Due diligence 2026: що інвестори з ЄС тепер перевірятимуть в AI-стартапах
Режим читання збільшує текст, прибирає всю зайву інформацію зі сторінки і дозволяє зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.
Уявіть типовий пітч-дек українського AI-стартапу на стадії Seed або Series A. Інвестор із Берліна чи Амстердама переглядає слайди, ставить питання про retention, CAC та unit-економіку. А потім додає ще одне: «Який рівень ризику вашої AI-системи за EU AI Act? Яка у вас документація щодо тренувальних даних?»
Ще рік тому такі питання звучали рідко. Але із наближенням нових вимог ЄС вони поступово стають частиною стандартного due diligence для AI-компаній.
У червні 2026 року Європарламент підтримав пакет AI Omnibus, який відклав частину вимог для high-risk AI-систем до грудня 2027 року та серпня 2028 року. Водночас положення AI Act уже починають впливати на те, як інвестори оцінюють компанії, що працюють зі штучним інтелектом.
У колонці для Vector Іванна Хоніна, Head of Legal у Preply, пояснює, що саме змінилося, які вимоги відтермінували та над чим українським засновникам варто почати працювати вже зараз.
EU AI Act — перший у світі обов’язковий закон про штучний інтелект із реальними санкціями за порушення. Він набрав чинності в серпні 2024 року, але запроваджується поетапно.
У червні 2026 року Європарламент підтримав пакет AI Omnibus, який переносить частину дедлайнів AI Act і спрощує виконання окремих вимог для бізнесу. На момент публікації документ ще очікує остаточного погодження Радою ЄС.
Як виглядає графік впровадження регулювання:
- Лютий 2025 року — набуває чинності заборона найризикованіших практик. Поза законом опиняються соціальний скоринг громадян, маніпулятивні AI-системи та окремі види біометричного розпізнавання в реальному часі.
- Серпень 2025 року — починають діяти вимоги для моделей загального призначення (GPAI). Компанії, які розробляють або використовують великі мовні моделі на кшталт ChatGPT, мають дотримуватися правил прозорості та документування.
- Серпень 2026 року — набувають чинності вимоги щодо прозорості для AI-систем, які взаємодіють із користувачами. Люди мають бути поінформовані, що спілкуються з AI, а не з людиною.
- Грудень 2026 року — починають діяти правила маркування AI-generated контенту та додаткові обмеження для сервісів зі створення несанкціонованих інтимних зображень (nudifier apps).
- Грудень 2027 року — стартує повне застосування вимог до stand-alone high-risk AI-систем (Annex III). Для AI-компонентів у регульованих продуктах, зокрема медичних пристроях, дедлайн перенесено до серпня 2028 року.
Найважливіша зміна AI Omnibus — перенесення дедлайну для high-risk систем із серпня 2026-го на грудень 2027-го. Причина не лише в політичних дискусіях, а й у тому, що інфраструктура для виконання закону виявилася неготовою.
По-перше, країни ЄС не встигли акредитувати достатню кількість Notified Bodies — органів, які мають проводити оцінку відповідності та сертифікацію систем.
По-друге, гармонізовані технічні стандарти, які розробляють CEN і CENELEC та на які бізнес має спиратися під час підтвердження відповідності, досі не завершені.
По-третє, AI Office — новий орган ЄС, відповідальний за нагляд і правозастосування у сфері штучного інтелекту, — все ще формує власну операційну спроможність.
Фактично регуляторна рамка вже існувала, але інституції та інструменти, необхідні для її повноцінного запуску, ще не були готові.
Штрафи за AI Act мають ступінчасту структуру:
- Найвищий рівень, до 35 млн євро або 7% глобального річного обороту, застосовується за найсерйозніші порушення: використання заборонених систем (стаття 5) або виведення high-risk системи на ринок ЄС без CE-маркування чи оцінки відповідності.
- Середній рівень, до 15 млн євро або 3% обороту, охоплює більшість інших порушень: недотримання вимог deployers, порушення зобов’язань щодо прозорості, невиконання вимог до моделей загального призначення.
- Нижній рівень, до 7,5 млн євро або 1,5% обороту, передбачений за надання неточної або вводячої в оману інформації наглядовим органам. Для стартапів навіть нижній рівень може бути критичним. Принцип пропорційності застосовується, але регулятор має дискрецію.
Підхід ЄС — ризик-орієнтований: чим більший потенційний вплив вашої AI-системи на людей, тим жорсткіші вимоги. Чат-бот для підбору меблів і система для оцінки кандидатів на роботу живуть у абсолютно різних регуляторних реальностях — навіть якщо обидва використовують одну й ту саму базову модель.
Чому це стосується вас, навіть якщо ви в Україні
Поширена помилка: «ми не в ЄС, тому нас це не стосується». Це не так.
EU AI Act має екстериторіальну дію — так само, як GDPR. Якщо ваш AI-продукт використовується в ЄС, якщо ваш SaaS-клієнт зареєстрований у Берліні чи Варшаві, або якщо система впливає на рішення щодо громадян ЄС — ви вже під регулюванням. Фізична адреса компанії не має значення.
Мій досвід роботи з IT-компаніями показує чотири основні сценарії, коли AI Act стає прямим ризиком для українського бізнесу:
Сценарій 1. Ви продаєте B2B AI-рішення клієнтам у ЄС
Ваш клієнт — умовна HR-платформа в Нідерландах — зобов’язаний перевіряти compliance своїх постачальників AI. У результаті він або приходить до вас із детальним переліком вимог, або просто відмовляється від контракту.
Сценарій 2. Ваш SaaS використовують європейські компанії як кінцеві користувачі
Якщо система потрапляє в категорію high-risk, регуляторні вимоги фактично «переходять» на вас як на постачальника технології.
Сценарій 3. Ви шукаєте інвестиції в європейських фондах
У такому випадку due diligence вже виходить за межі фінансових показників і включає оцінку регуляторних ризиків та відповідності AI Act.
Сценарій 4. Ви подаєтесь на гранти ЄС (Horizon Europe, EIC Accelerator та інші)
Відповідність AI Act фактично стає базовою умовою участі.
Додатково: Україна в межах стратегії WINWIN 2030 рухається до гармонізації з регулюванням ЄС і з жовтня 2025 року бере участь у роботі European AI Board як спостерігач.
Новий due diligence: що тепер питають інвестори
Майже десять років тому інвестори почали системно питати про обробку персональних даних після ухвалення GDPR. З досвіду юридичної практики та спостережень колег: на початку 2020-х відсутність базової privacy-документації перестала бути технічною деталлю і стала реальним стоп-фактором для закриття раундів та підписання клієнтських контрактів. Сьогодні схожий процес починає розгортатися навколо AI governance.
Ось що вже перевіряють або найближчим часом перевірятимуть більш технічно зрілі інвестори:
Класифікація системи за рівнем ризику
Перше і ключове питання: до якої категорії належить продукт. Мінімальний ризик (ігрові AI, спам-фільтри), обмежений (чат-боти), високий (HR, освіта, медицина, кредитний скоринг) або неприйнятний (заборонені практики). Відсутність чіткої відповіді на цьому етапі — червоний прапор для інвестора.
Джерела тренувальних даних
Звідки походять дані? Чи є правові підстави для їх використання? Чи містять вони персональні дані громадян ЄС? Чи задокументований процес їх збору та обробки? Проблема більшості стартапів у тому, що ці питання починають вирішувати постфактум, а не на етапі побудови продукту.
Технічна документація
AI Act вимагає повної технічної документації для high-risk систем: архітектура моделі, дані для тренування та тестування, метрики точності, відомі обмеження та ризики. Саме це перевіряється під час оцінки відповідності та отримання CE-маркування.
Human oversight (людський контроль)
Чи передбачено механізм втручання людини, яка може переглянути, скасувати або скоригувати рішення системи? Для high-risk AI це обов’язкова вимога, а для інвесторів — індикатор зрілості продукту.
Governance-процеси та внутрішні політики
Хто в компанії відповідає за AI compliance? Чи існує AI use policy? Чи є процедура реагування на інциденти та управління ризиками?
Roadmap відповідності
Навіть якщо продукт ще не повністю відповідає вимогам, наявність чіткого плану та розуміння gap’ів значно підсилює позицію компанії в переговорах.
Скільки це коштує — і скільки коштує відкласти
Одразу — дисклеймер: будь-які цифри нижче є орієнтовними. Вартість залежить від складності системи, наявної документації, юрисдикції та конкретних постачальників послуг. Це радше порядок цифр для первинного планування, а не фінальний кошторис.
- Внутрішня самооцінка (internal assessment) — для більшості стартапів це робота юриста або compliance-консультанта разом із технічною командою. Орієнтовна вартість: від 10 000 до 50 000 євро, залежно від складності системи та стану документації. Тривалість — приблизно 2–4 місяці.
- Зовнішня оцінка. Важливий нюанс, який часто плутають: для більшості high-risk AI систем (Annex III — HR, освіта, медицина, кредитний скоринг) AI Act дозволяє проходити самооцінку відповідності без залучення третьої сторони.
Незалежна зовнішня оцінка потрібна лише у вужчих випадках — наприклад, для систем біометричної ідентифікації або AI, інтегрованого у фізичні продукти, які вже регулюються іншими технічними регламентами ЄС (медичні пристрої, ліфти тощо).
У таких випадках залучається Notified Body — акредитований орган, уповноважений державою-членом ЄС на проведення оцінки відповідності. Це можуть бути, зокрема, TÜV або Bureau Veritas. Орієнтовна вартість такої оцінки: від 50 000 до 200 000 євро, термін — 6–12 місяців.
Базовий AI governance пакет (політики, документація, ризик-аналіз, внутрішні процедури) для типового B2B AI-стартапу — приблизно 15 000–40 000 євро за умови правильно організованого процесу.
Ось кілька сценаріїв, які я бачила в практиці.
Інвестор на стадії term sheet просить надати AI compliance документацію. Її немає. Раунд відкладається на 3–4 місяці, поки команда збирає все з нуля під тиском і з консультантами вже за значно вищою ставкою. За цей час конкурент із готовою документацією закриває свій раунд.
Корпоративний клієнт із ЄС надсилає vendor questionnaire з питаннями про AI risk classification, training data та механізми human oversight. Без відповідей контракт не підписується. Підготовка займає тижні — або місяці, якщо система не була задокументована заздалегідь — і часто виявляє прогалини, які блокують угоду.
Після грудня 2027 року компанія з high-risk AI системою без належної документації може стати об’єктом регуляторної перевірки. Витрати на термінове приведення у відповідність, юридичний супровід і потенційні штрафи кратно перевищують вартість проактивної підготовки.
Спільне у всіх цих сценаріях одне: compliance, зроблений під тиском, завжди дорожчий і менш якісний, ніж compliance, закладений у продукт заздалегідь.
Що робити вже зараз: 5 кроків для фаундера
- Проведіть інвентаризацію AI-систем. Складіть просту таблицю: які AI-компоненти є у вашому продукті, що саме вони роблять, на яких даних навчені, які рішення приймають. Дуже часто виявляється, що стартап використовує кілька AI-систем, про деякі з яких команда давно «забула».
- Визначте рівень ризику. Зайдіть на офіційний EU AI Act Compliance Checker або проконсультуйтесь з юристом. Ключове питання: чи впливає ваша система на зайнятість, освіту, доступ до кредитування, охорону здоров’я, правосуддя або базові права людини? Якщо так — ви, швидше за все, у high-risk категорії.
- Задокументуйте джерела даних і моделі. Де взяли дані для тренування? Чи є ліцензія або consent? Яку базову модель використовуєте (власна, open source, API від OpenAI/Anthropic)? Якщо використовуєте сторонні foundation models — ознайомтесь з їхніми умовами використання щодо AI Act compliance. Це може вплинути на вашу власну відповідальність.
- Запровадьте базові AI governance процеси. Мінімум: AI use policy для команди, процедура перевірки нових AI-інструментів, призначена відповідальна особа за AI compliance (це може бути CTO або юрист), базовий incident response plan. Звучить як бюрократія — насправді займає тиждень роботи і суттєво покращує позицію під час будь-якого due diligence.
- Підготуйте AI compliance пакет для інвесторів. Одностороннє резюме (2–3 сторінки): класифікація ваших систем, стан документації, ключові ризики та план їх усунення, roadmap відповідності до вимог AI Act. Інвестори, які розуміються на темі, оцінять цю прозорість.
Більше про це
Від коду до бізнес-цінності: як AI трансформує роль CTO
Будь-яку статтю можна зберегти в закладки на сайті, щоб прочитати її пізніше.
Партнерські матеріали
