Запуск AI-стартапа в 2026 году — это уже не только про технологию, но и про выживание в сложной регуляторной среде. От EU AI Act до судебных исков по авторскому праву — ошибки на старте могут стоить миллионы и закрыть рынок еще до релиза. IT-World разбирает ключевые риски и минимальный набор требований, без которых сегодня нельзя писать даже первую строчку кода
Большинство ИИ фаундеров узнают про регуляторные требования в одном из двух случаев: когда инвестор на due diligence задает неудобные вопросы или когда уже что-то случилось. Оба варианта дороже, чем предварительный анализ ситуаций. Эта статья — попытка сделать разбор без воды: что реально работает, что еще нет и где можно допустить ошибку, которая потом будет стоить дорого.
В 2026 году AI-стартап одновременно попадает под несколько регуляторных режимов: EU AI Act, GDPR, DSA, американский пэчворк из FTC-enforcement и штатовских законов. Плюс IP-риски, которые резко материализовались после нескольких громких судебных урегулирований. Разберем каждый блок по существу.
Мы попросили юристов Wolja Digital, специализирующихся на структурировании ИT-компаний и стартапов, персональных данных, защите бренда и интеллектуальной собственности, рассказать о базовом минимуме, о котором необходим знать основателю AI-продукта до того, как он зарегистрирует первую компанию.
EU AI Act: работает уже сейчас, но не полностью
Регламент вступил в силу в августе 2024 года. С февраля 2025-го уже действуют запреты — и это не «потенциальные риски», а конкретные составы нарушений со штрафами до 35 млн евро или 7% мирового оборота.
Однозначно запрещены: социальный скоринг граждан, предиктивная оценка на основе только профилирования, распознавание эмоций на рабочих местах и в школах, сбор биометрических баз данных через скрапинг Интернета. Если ваш продукт хоть краем касается этих зон, то запуск AI-стартапа в Европе для вас закрыт.
Huawei намерена стать мировым лидером в технологиях ИИ
С августа 2025 года вступили в силу требования к GPAI-моделям (моделям общего назначения, вроде Claude, ChatGPT, Gemini). Если вы разрабатываете LLM, мультимодальную модель или что-то с «широкой общностью применения» – то вы provider по AI Act. Конкретные обязательства включают ведение техдокументации, саммари тренировочных данных, политику соблюдения авторских прав, информацию для тех, кто будет строить на вашей модели дальше.
Большой вопрос — август 2026-го. Именно тогда должны включиться полные требования к высокорисковым системам. Еврокомиссия предложила в ноябре 2025-го перенести этот дедлайн на декабрь 2027 года через так называемый Digital Omnibus, поскольку в последнее время есть тенденция и спрос рынка на ослабление регуляторного давления на стартапы и ИT-отрасль.
High-risk охватывает восемь категорий:
- биометрия,
- критическая инфраструктура,
- образование,
- рекрутинг и HR,
- доступ к финансовым и публичным сервисам,
- правоохранение,
- миграция,
- судопроизводство.
Есть одна деталь, которую часто упускают, — система автоматически становится высокорисковой, если она профилирует физических лиц вне зависимости от того, в какую категорию попадает сам продукт.
Для высокорисковых систем требуется много бюрократической работы, в том числе система управления рисками, документация по данным (датасеты должны быть репрезентативны и проверены на предубеждения), техническая документация до выхода на рынок, автоматическое логирование событий, возможность вмешательства человека, оценка соответствия и регистрация в базе данных ЕС. Речь идет не только о политиках и регламентах, но и о полноценной операционной инфраструктуре, которую надо строить заранее.
EU AI Act создает преференции для малого бизнеса и регуляторные «песочницы». К августу 2026все государства-члены обязаны запустить такие «песочницы», для стартапов такая процедура бесплатна. Испания уже работает, у остальных дедлайн этим летом.
GDPR: он был всегда, но теперь другой
В декабре 2024 года EDPB выпустил Opinion 28/2024 — ключевой документ о том, как GDPR применяется к разработке AI-моделей. Несколько аспектов, которые меняют картину.
Законный интерес (Legitimate interest) подтвержден как рабочее правовое основание для тренировки моделей на персональных данных. Это важно, потому что еще год назад юристы расходились во мнениях. EDPB сказал: да, можно, но трехступенчатый тест никто не отменял — интерес должен быть реальным и конкретным, обработка необходимой, баланс в пользу контроллера. Помогают смягчающие меры: псевдонимизация, возможность отказа, техники машинного забывания (unlearning).
В отношении анонимности модели EDPB высказался прямо: нельзя просто заявить, что модель анонимна и GDPR не применяется. Оценка проводится в каждом конкретном случае. Если из модели с реальной вероятностью можно извлечь персональные данные, она не считается анонимной.
Бывший технический директор OpenAI представила планы по созданию нового AI-стартапа
Теперь главное для продуктов с персонализацией — статья 22. Она запрещает принимать решения, основанные исключительно на автоматической обработке, если эти решения производят юридические последствия или аналогично существенно влияют на человека. В декабре 2023 года CJEU по делу SCHUFA подтвердил: кредитный скоринг третьей стороной попадает под эту статью, если кредитор «существенно опирается» на данный скор. Это напрямую касается fintech, insurtech, любого HR-продукта.
Автоматическое принятие решений разрешено в трех случаях: необходимость для контракта, авторизация законом или явное согласие. Во всех трех случаях нужно обеспечить право на человеческое вмешательство и право оспорить решение. «Объяснение логики» — не обязательно раскрытие алгоритма целиком (CJEU подтвердил в феврале 2025-го по делу Dun & Bradstreet), но должна быть значимая информация о том, как принималось решение. Что понимается под термином «значимая» — пока каждый суд трактует по-своему.
Если продукт профилирует пользователей — нужно раскрыть это в политике конфиденциальности с объяснением логики и последствий, обеспечить право на возражение, а при систематическом профилировании с существенными последствиями — провести DPIA. Французский регулятор CNIL прямо указал: для всех высокорисковых AI-систем по AI Act DPIA презюмируется обязательным при работе с персональными данными.
DSA: платформенная логика
DSA применяется к онлайн-платформам, которые хранят и публично распространяют пользовательский контент. B2B-инструмент без контента, созданного пользователями, закрытый API, корпоративный чатбот — обычно под DSA не попадают. Но если строите продукт с публичным контентом и рекомендательными алгоритмами — это уже платформа.
Базовые обязательства для всех, включая стартапы: юридический представитель в ЕС (если компания зарегистрирована не в ЕС, это отдельная статья расходов, от 50 000 евро в год), единая точка контакта для регуляторов, прозрачные политики, ежегодные отчеты о прозрачности. Освобождение для микро- и малых предприятий по большинству требований раздела III действует до тех пор, пока не достигнут порог 45 млн активных пользователей в ЕС. После этого — все обязательства сразу.
Для рекомендательных систем уже сейчас статья 27 требует раскрыть основные параметры алгоритма на понятном языке — не технические детали, но логику ранжирования. Минимальный стандарт, который применяется к любой платформе.
США: одно окно и множество дверей
Федерального AI-закона в США нет и в ближайшее время не будет. Это не означает отсутствие рисков, это означает, что рисков несколько и они разные. FTC продолжает Operation AI Comply, запущенную в сентябре 2024-го. Идея в том что компании, завышающие возможности AI-продуктов, получают штрафы и запреты.
DoNotPay позиционировал себя как «первый в мире робот-юрист» — в итоге $193 000 и ограничения на рекламу.
Evolv Technologies продавала AI-сканеры безопасности, которые не обнаруживали ножи — запрет на необоснованные заявления.
Rite Aid использовала распознавание лиц с тысячами ложных срабатываний, непропорционально затронувших определенные группы населения — пятилетний запрет плюс обязанность удалить модели.
Тренд: фокус на классическом обмане, а не на более широких теориях вреда. Но фокус есть.
На уровне штатов наблюдается более высокая нормотворческая активность, и уже приняты акты, регулирующие использование ИИ. Colorado AI Act — первый комплексный закон штата в области ИИ в США — вступает в силу 30 июня 2026. Он устанавливает требование соблюдения разумной осмотрительности для предотвращения алгоритмической дискриминации, проведения оценки воздействия (impact assessments) и раскрытия информации потребителям.
В декабре 2025 года Трамп подписал исполнительный указ с прямой целью ограничить применение норм этого акта — в ответ генеральные прокуроры 22 штатов уже направили официальное письмо с возражением. В данной сфере сохраняется минимальный уровень правовой определенности, однако закон остается в силе до вынесения соответствующих судебных решений.
Для fintech и медицины отраслевые регуляторы добавляют еще один слой. SEC активно преследует за введение в заблуждение относительно использования ИИ (так называемый AI washing) — первые кейсы против инвестиционных компаний, завышавших роль AI в своих продуктах, появились в 2024 году и продолжились в 2025-м. Если строите AI для регулируемых сфер, то фактор отраслевого регулятора нужно закладывать в roadmap с первого дня.
Интеллектуальная собственность: серая зона сохраняется
Урегулирование Bartz v. Anthropic в сентябре 2025 года на $1,5 млрд за использование пиратских книг для тренировки показало, что при обучении ИИ права на интеллектуальную собственность все-таки придется соблюдать. К концу 2025 года поступило более 70 AI-copyright-исков — рынок продолжает формировать судебную практику.
В нашей практике Wolja Digital несколько музыкальных ИИ-стартапов, которые мы сопровождали в запуске их продуктов, столкнулись с давлением со стороны правообладателей музыкальных треков, потому на текущий момент уже обязательно на уровне технической инфраструктуры закладывать возможность блокировки нарушающего контента.
Не изменилась и позиция регуляторов и судов, заявленная в 2022 году по вопросу возникновения авторского права на созданный ИИ-контент. USPTO и US Copyright Office подтверждают, что промпты сами по себе авторства не создают. Если ИИ определяет выразительные элементы работы, а человек только написал ей промпт, то такое произведение не охраноспособно. Защищается то, что создано при значимом человеческом участии, — отбор, аранжировка, творческая модификация вывода.
Три вещи до запуска
Все перечисленное выше звучит страшно бюрократично, но решаемо. Ключевой вопрос в том, что перед запуском стартапа нужно оценить, какие функции выполняет ваш продукт, какие данные и где он обрабатывает и на какие рынки он планирует выходить.
От этого зависит, насколько серьезная юридическая и техническая работа предстоит перед запуском продукта, а также в какой локации наиболее удобно регистрировать ваш ИИ-стартап.
Команда Wolja Digital работает с AI-компаниями именно на этом стыке — от корпоративной структуры и соблюдения требований до IP-стратегии и защиты данных.