Правове регулювання AI в Україні: що має знати бізнес

💡 Усі статті, обговорення, новини про AI — в одному місці. Приєднуйтесь до AI спільноти!

У 2026 році AI в Україні — це вже щоденний робочий інструмент у бізнесі. За даними 200 українських компаній, 93% респондентів уже працюють з AI. Штучний інтелект використовують у торгівлі, фінансовому секторі, освіті, сервісах і навіть в оборонних рішеннях, зокрема для виробництва дронів.

Але AI впроваджують швидше, ніж компанії встигають встановити внутрішні правила його використання. Через це у відкриті чати може потрапляти конфіденційна інформація, а в промптах — персональні дані.

Саме тому для українських компаній, особливо тих, що працюють з ЄС або планують вихід на європейський ринок, регулювання AI — це вже практичне питання відповідальності, комплаєнсу й базової бізнес-гігієни.

Як використання AI регулюється в Україні

Станом на березень 2026 окремого закону про штучний інтелект в Україні немає, проте бізнес уже стикається з вимогами суміжних сфер: захисту персональних даних, кібербезпеки, прав споживачів і договірної відповідальності. Паралельно держава формує підхід до майбутнього AI-регулювання.

Базовим стратегічним документом залишається Концепція розвитку штучного інтелекту в Україні. Вона не встановлює прямих обов’язків для компаній, але показує напрям державної політики. Ще один документ — Біла книга Мінцифри щодо регулювання AI, яка пояснює поетапний перехід до майбутніх правил. Також Мінцифри розробило рекомендації щодо використання AI у медіа, рекламі, а також у контексті прав людини й захисту персональних даних. Такі документи не є обов’язковими, але дають бізнесу орієнтири для відповідального використання AI.

Чи потрібен українській компанії EU AI Act, якщо вона не в ЄС

Питання «ми ж не в ЄС, то навіщо нам EU AI Act?» нагадує ранні дискусії навколо GDPR. Проте AI Act поширюється не лише на європейські компанії, а й на провайдерів, які виводять AI-системи або GPAI-моделі на ЄС, а також на компанії з третіх країн, якщо результати роботи таких систем використовуються в Євросоюзі. Тому українським компаніям краще ставити питання інакше:

чи продає вона AI-продукт у ЄС
чи її клієнт використовує його в ЄС
яку роль компанія виконує в ланцюгу постачання

У центрі AI Act — поділ AI-систем за рівнем ризику. Більшість продуктів належать до minimal risk, проте окремі use cases можуть перейти в категорію high-risk. Деякі практики є забороненими — наприклад, маніпулятивний вплив або експлуатацію вразливостей людини.

High-risk виникає лише у визначених випадках: у рекрутингу та HR, освіті, критичній інфраструктурі, оцінці кредитоспроможності фізосіб, біометричних системах, а також у частині рішень у сфері правопорядку, міграції й правосуддя. Водночас AI Act не застосовується до систем, які використовуються виключно в оборонних або військових цілях. Тому ключове питання не в тому, чи використовуєте ви AI, а в тому, для чого саме ви це робите.

Наприклад, HR SaaS для ринку Польщі, який автоматично відсіює CV кандидатів, має високий шанс потрапити в high-risk, бо впливає на доступ до працевлаштування. Натомість чатбот-помічник для банку в Німеччині може мати low-risk класифікацію, якщо лише відповідає на запити клієнтів, а не кредитні рішення чи іншу оцінку клієнта.

Як підготувати бізнес до регуляції AI

AI Act набрав чинності 1 серпня 2024 року, а більшість вимог для high-risk почнуть застосовуватися з 2 серпня 2026 року. Тож для українських компаній це вже питання підготовки контрактів, внутрішньої документації та оцінки ризиків.

Для первинної self-check оцінки варто відповісти на 4 питання:

яку роль ви виконуєте за AI Act?
чи потрапляє ваш продукт у сферу дії регламенту?
чи є в ланцюгу дистриб’ютори, інтегратори або реселери?
чи є серед ваших сценаріїв ті, що можуть вважатися high-risk або навіть забороненими?

Ігнорувати AI-комплаєнс сьогодні — означає свідомо накопичувати юридичні й бізнес-ризики. Тож найраціональніший крок для компанії — провести первинну оцінку відповідності й зрозуміти, чи має її AI-продукт точки входу в зону регуляторної уваги в Україні та ЄС.