Ответственность за ИИ в ЕС: что делать юристам сейчас

В феврале 2025 года Еврокомиссия сняла с повестки проект Директивы об ответственности за ИИ — документа, который должен был упростить людям путь к компенсации вреда от решений и продуктов на базе искусственного интеллекта. Для бизнеса это выглядит как «меньше регулирования». Для юристов — как больше неопределённости и, честно говоря, больше работы.

И вот почему это касается не только европейских компаний. Российские вендоры, интеграторы и команды, которые продают ИИ‑решения в ЕС или обслуживают клиентов с европейскими активами/пользователями, внезапно оказываются в ситуации, где комплаенс по AI Act усиливается, а вопрос «кто платит за ущерб» снова расползается по разным режимам права. В нашей серии «Искусственный интеллект в праве и юридических технологиях» это классический сюжет: регулирование меняется быстрее, чем компании успевают перестроить процессы, и именно здесь юридические технологии и ИИ‑инструменты дают реальную опору.

Что именно отменили — и почему это меняет правила игры

Ключевой эффект отмены Директивы об ответственности за ИИ простой: ЕС не ввёл единый “мост” между сложностью ИИ и задачей доказать причинно‑следственную связь. То есть пострадавшему по‑прежнему сложно показать, как именно модель, данные или автономное решение привели к ущербу — особенно когда система работает как «чёрный ящик».

Директива задумывалась как ответ на типичную проблему ИИ‑споров: доказательства и логика причинности часто находятся у производителя/оператора системы, а не у пострадавшего. Проект предлагал процессуальные облегчения — доступ к доказательствам и презумпции причинности в определённых сценариях. Это должно было выровнять позиции сторон.

Почему документ сняли? По сути — из-за отсутствия консенсуса и опасений бизнеса: повышение нагрузки, риск «штрафной» судебной активности и общий сигнал рынку «инновации будут дороже». Еврокомиссия выбрала политически более мягкий путь: опереться на действующие режимы ответственности плюс на превентивную рамку AI Act.

С практической точки зрения отмена директивы означает: «ответственность за ИИ» не исчезла — исчезла попытка сделать её единообразной.

Чем это отличается от EU AI Act: профилактика vs компенсация

Сейчас полезно держать в голове жёсткое разделение.

EU AI Act — про предотвращение вреда. Он строится на риск‑ориентированном подходе: чем выше риск применения, тем больше требований к процессам, данным, документации, человеческому контролю, мониторингу и управлению инцидентами.

Директива об ответственности за ИИ — была про компенсацию вреда. Её задача — сделать так, чтобы у пострадавшего появился понятный юридический маршрут: как идти в суд, что доказывать, какие сведения можно запросить.

Теперь компенсация снова уходит в «лоскутное одеяло»:

• режимы ответственности за дефектный продукт (на уровне ЕС и в имплементации),
• национальные деликтные нормы (разные стандарты в разных странах),
• потребительское право,
• GDPR (когда ущерб связан с персональными данными и автоматизированной обработкой),
• DSA (если речь о платформенных рисках и контенте),
• договорная ответственность и распределение рисков между участниками цепочки.

Юристу это приносит не красивую схему, а карту рисков, где один и тот же инцидент может подпасть под несколько оснований.

Где возникнет максимум споров

На практике самые конфликтные зоны — там, где:

1. Система принимает автономные решения (скоринг, отбор кандидатов, антифрод, динамическое ценообразование).
2. Причинность размыта (модель обучалась на данных третьих лиц; решение принято в цепочке сервисов; человек лишь «утвердил» рекомендацию).
3. Ущерб не очевидно “физический” (дискриминация, отказ в услуге, репутационные потери, упущенная выгода).

Именно здесь отсутствие унифицированной директивы сильнее всего увеличивает стоимость спора: больше экспертиз, больше запросов, больше споров о раскрытии материалов и логах.

Что это значит для юристов и инхаусов: неопределённость стала продуктовой характеристикой

Главное изменение 2025 года — юридическая функция больше не может рассчитывать на «скоро будет директива, она всё упростит». Её не будет (по крайней мере в текущем виде). Значит, выигрывает тот, кто выстраивает доказательственную готовность заранее.

1) Бремя доказывания снова тяжелее — и это нужно заложить в стратегию

Без специальных презумпций пострадавшим придётся собирать связку: факт вреда → неправомерность/дефект → причинная связь → вина (в некоторых режимах) → размер убытков. Для ответчика это не «праздник», а скорее повод заранее приготовить позицию: чем больше хаоса в доказательствах, тем выше риск проиграть из-за процессуальных мелочей.

Я видел, как ИИ‑проекты «ломаются» не на технологии, а на вопросе: кто покажет суду, почему модель решила именно так? Если ответа нет, спор становится дорогим даже при высокой вероятности успеха.

2) Риск‑митигирование переезжает из политики в операционные процессы

Комплаенс по ИИ — это больше не PDF‑политика на общем диске. Это повторяемые процедуры:

• управление датасетами и их происхождением,
• контроль изменений модели (версии, параметры, даты релизов),
• протоколирование решений и «почему так» (на уровне доступном для объяснения),
• мониторинг качества и дрейфа,
• маршруты реагирования на инциденты.

И вот здесь уместна связка с юридическими технологиями: ИИ‑инструменты для юристов (и для комплаенса) реально ускоряют сбор «следов» — от вычитки контрактов до составления матрицы рисков по требованиям AI Act.

3) Для юридических практик это окно возможностей — но придётся говорить языком продукта

Спрос смещается от абстрактных меморандумов к услугам типа:

• аудит цепочки поставки ИИ (vendor due diligence),
• настройка договорной модели ответственности (интегратор/вендор/заказчик),
• «стресс‑тест» AI governance под конкретные high‑risk сценарии,
• подготовка доказательственной базы под потенциальные споры.

Клиентам нужен результат: чек‑лист, артефакты, шаблоны, матрицы и понятный план работ на 30–90 дней.

Практический план на 30 дней: как снизить риск ответственности за ИИ

Ниже — набор шагов, который я бы делал в первую очередь для компании, работающей с ЕС‑рынком или европейскими клиентами.

Шаг 1. Соберите «паспорт ИИ‑системы» (одна страница, но по делу)

Цель — чтобы юрист, комплаенс и техлид одинаково описывали систему.

В паспорте фиксируются:

• назначение и бизнес‑процесс,
• кто оператор, кто поставщик, кто субподрядчики,
• какие данные используются (категории, источники),
• где хостится (облако/он‑прем),
• какие решения принимает автоматически, какие — рекомендательно,
• ключевые риски (дискриминация, безопасность, персональные данные).

Шаг 2. Сделайте карту ответственности в цепочке поставки

Ответ на вопрос «кто виноват» почти всегда сидит в контрактах и интеграции. Поэтому фиксируем роли:

• вендор модели,
• поставщик данных,
• интегратор,
• заказчик (оператор),
• конечный пользователь.

Дальше — сопоставляем роли с обязательствами: кто проводит тестирование, кто ведёт логи, кто уведомляет регулятора/клиента, кто несёт расходы на отзыв/патч.

Шаг 3. Включите «договорные ремни безопасности»

Договор — это ваш способ сделать неопределённость управляемой. Минимальный набор условий, которые реально работают:

• обязательство по документации (что именно передаёт вендор: описание модели, версии, ограничения, known issues),
• право на аудит и на получение артефактов (логи, результаты тестов, отчёты),
• инцидент‑менеджмент (SLA, сроки уведомления, совместное расследование),
• распределение ответственности и лимиты — но не «на бумаге», а привязанные к контролю сторон,
• обязанности по соблюдению AI Act (где применимо) и GDPR (если есть персональные данные).

Шаг 4. Настройте доказательственную готовность (litigation readiness)

Если спор случится, вам понадобятся не обещания, а факты:

• журнал версий модели и релизов,
• протоколы тестирования (включая bias‑тесты, если релевантно),
• логи использования и решений,
• матрица доступа (кто мог менять настройки),
• документация по человеческому контролю.

Это скучно, но именно это снижает стоимость спора в разы.

Шаг 5. Подключите ИИ‑инструменты в юридический контур — но с правильной постановкой задачи

ИИ в праве здесь полезен не «чтобы написать меморандум», а чтобы системно обрабатывать массивы:

• быстро сравнивать договоры поставщиков по риск‑клаулам,
• извлекать обязательства из документации и тикетов,
• собирать комплаенс‑матрицу по требованиям AI Act,
• поддерживать живой реестр ИИ‑систем и их статусов.

Рабочий принцип: сначала определяем, какие артефакты нужны для защиты и комплаенса, затем выбираем инструмент. Не наоборот.

Мини‑FAQ: вопросы, которые клиенты задают чаще всего

«Если директивы нет, значит рисков меньше?»

Нет. Рисков не меньше, они менее предсказуемы. Судебные стратегии будут строиться на старых режимах, а разные страны могут по‑разному трактовать похожие факты.

«AI Act сам по себе защитит от исков?»

AI Act помогает снизить вероятность вреда и даёт сильную позицию в споре (про процессы, контроль, документацию). Но он не отменяет исков и не превращается автоматически в “иммунитет”.

«Что делать стартапу, у которого нет ресурсов на большой комплаенс?»

Выбирайте 2–3 самых рискованных применения и делайте “минимально достаточный” набор: паспорт системы, логирование, базовые тесты, договорная модель ответственности. Это лучше, чем пытаться покрыть всё и не довести ничего до конца.

Почему отмена Директивы об ответственности за ИИ делает legaltech ещё нужнее

Снятие директивы — это не пауза, а перенос тяжести на практику: суды, эксперты, договоры и внутренние процедуры. А значит, юридические команды будут тонуть в разрозненных источниках требований и доказательств, если не поставить работу на рельсы.

Я бы сформулировал так: в 2025–2026 выигрывают не те, кто «ждёт ясности», а те, кто превращает неопределённость в управляемый процесс. ИИ‑инструменты в праве здесь уместны именно как «ускоритель рутины»: классификация документов, извлечение обязательств, контроль версий, подготовка досье по инцидентам.

Если вы ведёте ИИ‑продукт в ЕС или обслуживаете клиента с европейскими рисками, начните с простого: составьте паспорт системы и карту ответственности. А дальше задайте себе вопрос, который неизбежно задаст оппонент в споре: сможете ли вы за 72 часа собрать доказательства того, что система работала предсказуемо и под контролем?