Заказчик из Германии требует комплаенс под EU AI Act до августа. Кто проходил, что реально нужно?

[rojo7509]

Ситуация такая. Мы небольшая аутсорс-команда, сидим в Алматы, пишем для немецкого заказчика систему отбора резюме с ML-скорингом. Вчера прилетает письмо от их юристов: с августа 2026 такие системы попадают под high-risk категорию EU AI Act (всё, что про найм, идёт по Annex III), и до этого срока нужен комплаенс, иначе они не могут продавать продукт.

Список требований выглядит страшно: система управления рисками, документация по данным и обучению, логирование работы модели, human oversight, технический файл. Штрафы там до 35 млн евро или 7 процентов оборота. Понятно, что штрафовать будут заказчика, а не нас, но весь этот страх он транслирует на команду.

Кто-нибудь уже проходил это руками? Что из списка реально проверяют, а что закрывается нормально написанной документацией? Нанимать европейского консультанта за 300 евро в час очень не хочется.

[basedgoblin]

Проходили похожее с финтех-заказчиком из Нидерландов, у них кредитный скоринг, тоже high-risk. По факту 80 процентов работы это документация. Заведите один большой technical file по структуре из Annex IV и ведите его постоянно, а не за неделю до дедлайна. Самое муторное у нас было data governance: пришлось описать происхождение всех датасетов и доказать, что в обучении нет персональных данных без правового основания. Полтора месяца ушло. Остальное (логи, выключатель, оверсайт человеком) технически делается за пару спринтов.

[kingpaul]

не паникуйте раньше времени. нотифицированных органов, которые должны это всё проверять, физически не хватает, очереди на месяцы. реальных штрафов именно по high-risk пока ноль штук. все, кого знаю, просто пишут бумаги и живут дальше

[asyncmonk]

про GDPR в 2018 ровно так же рассуждали: бумажка, проверять некому, пронесёт. потом полетели штрафы и все резко забегали. я бы на пронесёт не закладывался, тем более когда заказчик сам уже дёргается

[pg1]

Момент, который тут все пропускают: смотрите, кто вы по акту. Если вы пишете код по ТЗ заказчика и продукт выводит он, то provider это он, а не вы. Ваши обязательства тогда сильно меньше и закрываются нормальным договором с разграничением ролей. Требуйте от их юристов письменно определить, кто provider, кто deployer, а не просто пересылать вам список страшилок.

[Bowden]

а потом европейцы удивляются, почему весь ИИ в США и Китае. единственный регион, который вместо моделей выпускает регламенты. сочувствую, ТС

[rawgoblin]

читаю и радуюсь, что мои заказчики из Ташкента и Москвы. какой акт, о чём вы вообще