Високоризикові системи ШІ за Актом ЄС: чи стосується це вашого бізнесу?

Високоризикові системи ШІ за Актом ЄС: чи стосується це вашого бізнесу? — нижче практичний погляд для українського бізнесу.

Що є високоризиковим

Високоризикові системи (Додаток III: наприклад найм, кредитний скоринг, біометрія, критична інфраструктура, освіта) мають зобов’язання — управління ризиками, якість даних, людський нагляд, документація та прозорість. Класифікацію конкретного застосування слід перевіряти, а не припускати.

Що зазвичай НЕ є високоризиковим

Більшість корпоративних впроваджень ШІ (внутрішні асистенти, автоматизація, пошук по корпоративних даних / RAG) НЕ є високоризиковими в розумінні Акта ЄС про ШІ — головні обов’язки це захист персональних даних і прозорість, а не важкий високоризиковий режим. Реалістична рамка: не «регуляції вас знищать», а «ми точно знаємо, що діє і з якого моменту».

Як діяти

Перевіряйте класифікацію конкретного застосування (наприклад найм, скоринг, медицина), а не припускайте її. Управління ризиками ШІ та вирівнювання з Актом ЄС.

Стійкість і суверенітет даних

Після 2022 року Україна законодавчо дозволила розміщувати державні та критичні дані у хмарі за кордоном задля стійкості (Закон «Про хмарні послуги» № 2075-IX та постанови Кабміну № 263 і № 1500) — понад 100 державних реєстрів перенесли до хмари AWS, при цьому державну таємницю та службову інформацію виключили. Це «перевернута» логіка суверенітету: дані виносять із-під ризику обстрілів, але водночас вони потрапляють під чужу юрисдикцію. В Україні фізично немає регіону жодного з гіперскейлерів (AWS, Azure, Google Cloud); найближчі — у Франкфурті, Варшаві та Стокгольмі. Тобто питання суверенітету — не про відстань чи затримку, а про юрисдикцію. Американські закони CLOUD Act (2018) і FISA Section 702 дозволяють вимагати від провайдерів, що контролюються зі США (AWS, Microsoft, Google), видати дані, збережені будь-де у світі, зокрема в регіонах ЄС, — юрисдикція визначається власністю компанії, а не розташуванням сервера. Регіон «у ЄС» забезпечує резидентність даних і відповідність GDPR, але не означає «поза американською юрисдикцією». Де зберігати дані для ШІ — регіон ЄС (власний акаунт), українські провайдери, on-premise або локальний інференс.

Оскільки osFoundry можна розгорнути у власній інфраструктурі та підключити європейські або open-weight моделі, платформа може працювати у вашому власному акаунті в регіоні ЄС, на українському ґрунті або локально — це шлях до резидентності та суверенітету даних, а не «коробка» з-за кордону. (Чесно: osFoundry має керований регіон ЄС, але НЕ має керованого українського регіону; для даних на території України під українською юрисдикцією шлях — self-host у власній інфраструктурі чи в українського провайдера, або local-first.)

Незалежність і чесність

dgm — незалежний інтеграційний партнер (не пов’язаний з osFoundry / OS LLC) і не є юридичним чи податковим радником. dgm поки що не має завершених клієнтських інтеграцій, тому наведені нижче сценарії описані як типові або можливі, а не як реалізовані проєкти.

Це не юридична чи податкова консультація: правила, ставки та терміни часто змінюються — перед рішенням перевірте їх в офіційних джерелах (Уповноважений ВР з прав людини, Мінцифра, НБУ, Держлікслужба, Дія).

Підсумок

Зверніться до dgm, щоб обговорити ваш сценарій і запропоновану архітектуру.