Вы внедрили ИИ. А управление — нет
Компании уже используют ИИ не как игрушку, а как рабочий слой бизнеса: пишут письма, анализируют таблицы, собирают документы, готовят ответы клиентам, ускоряют продажи и саппорт. Проблема в том, что многие внедрили ИИ быстрее, чем правила его использования. И вот это уже не про хайп, а про управленческий долг. В России нет единого «большого закона об ИИ», но государство давно зафиксировало курс на развитие технологии: Национальная стратегия действует с 2019 года, в 2024 году ее обновили, а в апреле 2026 года правительство отдельно подтвердило, что регулирование ИИ должно развивать технологию, а не душить ее. Параллельно в марте 2026 года была создана правительственная подкомиссия по развитию и внедрению ИИ, а также утвержден план реализации стратегии на 2026–2028 годы.
Для бизнеса это плохая и хорошая новость одновременно. Хорошая — ИИ в России точно не рассматривают как временную модную игрушку. Плохая — регуляторика будет нарастать. Не одним красивым кодексом, а слоями: данные, конфиденциальность, отраслевые правила, внутренний контроль, ответственность за последствия. То есть вопрос уже не в том, «можно ли использовать ИИ», а в том, как вы докажете, что используете его управляемо. Это уже вопрос зрелости компании, а не только зрелости модели.
Где бизнес попадает в риск прямо сейчас
Самая банальная ошибка — считать ИИ просто интерфейсом. На деле это новый канал обработки данных. А закон о персональных данных требует, чтобы обработка ограничивалась конкретными, заранее определенными и законными целями, и чтобы данные не были избыточными по отношению к этим целям. В переводе на язык операционки: если сотрудник загрузил в внешний ИИ договор с физлицом, таблицу с зарплатами, клиентскую базу или переписку с персональными данными «просто для ускорения», это уже не бытовая мелочь, а юридически значимое действие.
Дальше — утечки. Роскомнадзор отдельно указывает: если произошла неправомерная или случайная передача, доступ или распространение персональных данных, оператор должен сообщить об инциденте, а затем в течение 72 часов направить результаты внутреннего расследования. Это важный сдвиг в реальности бизнеса: «мы просто тестировали сервис» больше не выглядит защитой. Это выглядит как плохо управляемый процесс.
Вторая зона риска — коммерческая тайна. Закон о коммерческой тайне прямо говорит, что режим считается установленным только после принятия обладателем информации мер по охране конфиденциальности. И эти меры должны быть не декоративными: нужно ограничить доступ, определить порядок обращения с информацией и вести учет тех, кто к ней допущен. Иначе потом будет сложно убедительно объяснять, что чувствительные условия сделки, финансовая модель или внутренняя аналитика действительно были защищены.
А теперь самая неприятная мысль: именно такие данные бизнес чаще всего и загружает в ИИ. Не абстрактные тексты, а коммерческие предложения, условия контрактов, цену привлечения клиента, структуру маржи, скрипты продаж, ответы юристов, таблицы по команде, финмодели. То есть ИИ ускоряет не только работу, но и радиус потенциального ущерба. Если внутри компании нет правил, кто, куда и что может отправлять, то вы не «внедрили ИИ». Вы просто открыли еще один неуправляемый контур риска.
Что мир уже понял раньше нас
Евросоюз пошел по самому системному пути. AI Act вступил в силу 1 августа 2024 года и будет полностью применяться с 2 августа 2026 года, причем часть требований уже действует: запреты на отдельные практики и обязанности по AI literacy начали применяться с 2 февраля 2025 года, а правила для general-purpose AI моделей — с 2 августа 2025 года. Европейская комиссия отдельно разъясняет, что провайдеры и deployers должны обеспечивать достаточный уровень AI literacy сотрудников и других лиц, работающих с ИИ от имени организации.
Это очень важный сигнал для предпринимателей. Европа фактически признала простую вещь: проблема не только в разработчике модели. Проблема еще и в том, что компания может использовать сильный инструмент с командой, которая не понимает его ограничений. Поэтому обучение людей, внутренние регламенты и понятное распределение ответственности постепенно становятся не «приятным бонусом», а нормой управления. И это, честно говоря, выглядит логично.
США идут мягче, но смысл тот же. NIST AI Risk Management Framework — добровольная рамка, предназначенная для лучшего управления рисками ИИ для людей, организаций и общества. Ключевой тезис там предельно прикладной: компании должны уметь встроить trustworthiness и управление рисками в дизайн, разработку, использование и оценку ИИ-систем. Это уже не разговор о том, нравится вам ИИ или нет. Это разговор о том, есть ли у вас процесс, если ИИ ошибается, и кто за это отвечает.
Китай, как обычно, идет быстрее и жестче. Там с 2022 года действуют правила для алгоритмических рекомендаций, с 10 января 2023 года — правила для deep synthesis, с 15 августа 2023 года — временные меры по генеративному ИИ, а в марте 2025 года были опубликованы правила маркировки ИИ-сгенерированного контента с явными и скрытыми метками; они синхронизированы с обязательным стандартом и вступают в силу с 1 сентября 2025 года. Китайский подход показывает, куда все идет в прикладном смысле: к маркировке, регистрационным обязанностям, контролю контента, безопасности и формальному закреплению ответственности поставщиков сервисов.
Куда идет Россия и что это значит для компаний
Судя по траектории российских документов 2024–2026 годов, Россия движется не к одному суперзакону «обо всем ИИ сразу», а к модели постепенного донастройки: стратегия, планы внедрения, регуляторная координация, требования к данным, развитие отраслевых режимов и более формальный контроль использования. Это не прямая цитата из одного закона, а вывод из того, как сейчас строится управление темой на уровне президента и правительства.
Для основателя, CEO, COO или CPO из этого следует очень земной вывод. ИИ в компании больше нельзя считать только вопросом эффективности. Это уже вопрос архитектуры процессов. Кто имеет право подключать внешние сервисы? Какие данные туда можно передавать? Где нужен human review? Кто валидирует результат? Какие задачи вообще запрещены без внутреннего согласования? Если ответов нет, то у вас не стратегия внедрения ИИ. У вас просто быстрый рост неуправляемого операционного долга.
Что делать бизнесу уже сейчас
Первое — разделить use cases, а не обсуждать ИИ вообще. Условно: генерация контента для маркетинга, помощь саппорту, внутренняя аналитика, работа с договорами, HR, финансы, клиентские данные. У этих сценариев разный профиль риска. Один и тот же «чат-бот» для разных отделов — это удобный миф, но плохая система управления.
Второе — сделать карту данных. Не на уровне «у нас есть персональные данные», а на уровне «какие именно данные, в каких процессах, кто ими пользуется, можно ли их обезличить, можно ли отправлять их во внешние сервисы, кто это одобряет». Закон о персональных данных и режим коммерческой тайны бьют именно по этой части.
Третье — принять короткий, но рабочий регламент. Не 40 страниц, которые никто не читал, а живой документ: какие сервисы разрешены, какие данные нельзя загружать, где обязателен human review, когда нужно юридическое согласование, кто отвечает за инцидент. Бизнес чаще всего падает не из-за отсутствия идеальной стратегии, а из-за отсутствия минимальных правил.
Четвертое — обучить команду. И не потому, что «так модно в Европе», а потому, что AI literacy уже де-факто становится нормой зрелого бизнеса. Сотрудник, который не понимает ограничений ИИ, создает не инновацию, а хаотичную переменную в процессе. Европейская логика здесь очень здравая: уровень подготовки людей нужно учитывать так же, как и возможности системы.
Пятое — принять неприятную реальность: ИИ не снимает ответственность с компании. Он меняет интерфейс ошибки, но не убирает ее цену. Если ИИ помог быстро масштабировать процесс — отлично. Если он так же быстро масштабировал утечку, некорректное решение, токсичный ответ клиенту или раскрытие чувствительной информации — платить за это будет не модель, а бизнес.
Вывод
В 2026 году зрелость компании по ИИ определяется не числом внедренных инструментов, а качеством управления ими. Настоящее конкурентное преимущество сейчас получает не тот, кто первым подключил пять нейросетей, а тот, кто смог встроить ИИ в процессы без потери контроля. Все остальное — очень дорогой способ почувствовать себя инновационным.
Хотите знать больше о налогах — читайте мои книги: taplink.cc/booksivkov
Если у вас уже идет или ожидается налоговая проверка — обращайтесь: taplink.cc/nalogpro
Подписывайтесь — дальше будет только самое важное и без лишней воды.