חוק הבינה המלאכותית האירופי עולה שלב: מה נכנס לתוקף באוגוסט 2026 ולמי זה רלוונטי

ב־2 באוגוסט 2026 נכנס ה-EU AI Act לשלב יישום מרכזי. חובות שקיפות חדשות יחולו על צ׳אטבוטים, מערכות AI גנרטיביות, Deepfake ותכנים שנוצרו או שונו באמצעות בינה מלאכותית

חוק הבינה המלאכותית האירופי, EU AI Act, נכנס לתוקף ב-1 באוגוסט 2024 ונבנה מראש כרגולציה המיושמת במספר שלבים. בפברואר 2025 החלו לחול האיסורים על שימושי AI מסוימים וחובת ה-AI Literacy. באוגוסט 2025 נכנסו לתחולה כללי הממשל והחובות החלות על ספקי מודלים כלליים, GPAI. ב-2 באוגוסט 2026 מגיע שלב מרכזי נוסף, שבו חלק גדול מהחוק הופך ליישומי, ובראשו חובות שקיפות הנוגעות לאינטראקציה עם AI ולתוכן שנוצר או שונה באמצעותו.

עבור ארגונים, המשמעות אינה מסתכמת בהוספת הודעת גילוי לצ׳אטבוט. נדרש להבין אילו מערכות AI פועלות בארגון, מה תפקיד הארגון ביחס לכל מערכת, איזה תוכן היא מייצרת, מי נחשף אליו וכיצד ניתן להוכיח עמידה בדרישות.

מהו החוק הבינה המלאכותית האירופאי – EU AI Act?

ה-EU AI Act הוא מסגרת רגולטורית אחידה החלה במדינות האיחוד האירופי. החוק מבוסס על רמת הסיכון הנוצרת מהמערכת ומהשימוש המיועד בה.

הוא מבחין בין מספר קטגוריות עיקריות:

• שימושי AI אסורים בשל סיכון בלתי מתקבל
• מערכות AI בסיכון גבוה
• מערכות שעליהן חלות חובות שקיפות
• מודלים כלליים של בינה מלאכותית, GPAI
• מערכות בעלות סיכון מינימלי, שעליהן בדרך כלל לא מוטלות חובות ייחודיות

הסיווג אינו תלוי רק בטכנולוגיה. אותה יכולת AI עשויה לקבל סיווג שונה בהתאם למטרה שלשמה היא מופעלת, לאוכלוסייה שעליה היא משפיעה ולהחלטות שהיא מסייעת לקבל.

על מי חוק הבינה המלאכותית האירופי חל?

ה-EU AI Act אינו מוגבל לחברות שהמטה שלהן נמצא באירופה.

הוא עשוי לחול על גופים ציבוריים ופרטיים בתוך האיחוד ומחוצה לו, כאשר הם משווקים מערכת או מודל AI באיחוד, מכניסים מערכת לשימוש באיחוד או משתמשים בה במסגרת פעילות אירופית. החובות עשויות לחול על ספקי מערכות, מפתחי מודלים, מפיצים, יבואנים וגם על ארגונים המשתמשים במערכות, המכונים בחוק Deployers.

לכן גם חברה ישראלית עשויה להיכנס לתחולת החוק כאשר היא:

• מספקת מוצר AI ללקוחות באירופה
• מפעילה שירות דיגיטלי עבור משתמשים באיחוד
• משתמשת ב-AI בתהליכי גיוס או קבלת החלטות הנוגעים לעובדים באירופה
• מפרסמת באירופה תוכן שנוצר באמצעות AI
• משלבת מערכת AI של ספק חיצוני במוצר הנמכר בשוק האירופי

עצם השימוש בכלי AI אינו קובע לבדו את התחולה. יש לבחון את התפקיד של הארגון, מטרת השימוש, השוק שבו המערכת מופעלת וסוג הפלט שהיא יוצרת.

למה חוק הבינה המלאכותית האירופי, ה-EU AI Act, רלוונטי גם לארגונים בישראל?

למרות שמדובר ברגולציה אירופית, התחולה שלה אינה נעצרת בגבולות האיחוד. חוק הבינה המלאכותית האירופי עשוי לחול גם על חברות וגופים הפועלים מישראל כאשר מערכת AI שלהם מוצעת לשוק האירופי, מופעלת באיחוד, או כאשר הפלט שהיא מפיקה משמש באירופה או משפיע על אנשים הנמצאים בה. הנציבות האירופית מבהירה כי המסגרת חלה על גורמים ציבוריים ופרטיים בתוך האיחוד ומחוצה לו, בהתאם לאופן שבו המערכת משווקת, מופעלת ומשפיעה על משתמשים באירופה.

הנושא רלוונטי במיוחד לחברות ישראליות בתחומי SaaS, פינטק, ביטוח, בריאות דיגיטלית, HR-Tech, סייבר, מסחר מקוון, שירות לקוחות ופיתוח מערכות AI. גם ארגון שאינו מפתח מודל בעצמו, אלא משלב במוצר צ'אטבוט, מנגנון סינון מועמדים, כלי דירוג, מערכת זיהוי ביומטרי או יצירת תוכן אוטומטית, עשוי להיחשב ספק או מפעיל ולשאת בחובות בהתאם לתפקידו. עבור חברות שעובדות עם לקוחות, עובדים, מפיצים או שותפים באירופה, היערכות מוקדמת חשובה גם מבחינה מסחרית: לקוחות אירופיים צפויים לבקש מידע על סיווג המערכת, שקיפות, פיקוח אנושי, אבטחת מידע, שימוש בנתונים ועמידה בדרישות החוק. לכן גם כאשר התחולה המשפטית אינה חד־משמעית, מיפוי AI ובדיקת פערים עשויים להפוך לתנאי להשתתפות במכרזים, להתקשרויות ולכניסה לשוק האירופי.

מה משתנה בחוק הבינה המלאכותית האירופי ב-2 באוגוסט 2026?

1. חובה להודיע לאדם שהוא מתקשר עם מערכת AI

כאשר אדם מתקשר ישירות עם מערכת AI, לדוגמה צ׳אטבוט, מוקד שירות אוטומטי או סוכן וירטואלי, ייתכן שתידרש הודעה ברורה כי מדובר במערכת בינה מלאכותית.

המטרה היא למנוע מצב שבו משתמש סבור שהוא משוחח עם אדם, בעוד שבפועל הוא מתקשר עם מערכת אוטומטית. ההודעה צריכה להינתן באופן ברור ובזמן המתאים, ולא להיות מוסתרת בתנאי שימוש ארוכים שאיש אינו קורא.

ארגונים צריכים לבחון לא רק צ׳אטבוטים באתר, אלא גם:

• מוקדי שירות קוליים
• עוזרים וירטואליים בתוך אפליקציות
• מערכות תמיכה לעובדים
• סוכני AI המבצעים תקשורת עם לקוחות
• מערכות מכירה או שירות המבצעות שיחה אוטומטית

2. סימון תוכן שנוצר או שונה באמצעות AI

ספקים של מערכות AI גנרטיביות נדרשים להטמיע סימון של פלטים שנוצרו או שונו באמצעות AI בפורמט קריא למכונה. המטרה היא לאפשר זיהוי טכני של תוכן סינתטי גם כאשר הסימון אינו מוצג ככיתוב גלוי על גבי התוכן.

הדרישה מתייחסת לפלטים כגון:

• תמונות
• וידאו
• אודיו
• טקסט
• תוכן סינתטי או תוכן שעבר שינוי מהותי

הפתרונות הטכניים צריכים להיות אפקטיביים, אמינים, ניתנים לזיהוי ומתאימים למצב הטכנולוגי הקיים, ככל שהדבר אפשרי מבחינה טכנית.

עבור ספקי מוצרי AI, מדובר בדרישה ארכיטקטונית ולא רק משפטית. נדרש לשלב יכולות סימון, Metadata או מנגנוני זיהוי כחלק מהמוצר עצמו.

3. גילוי נאות בנוגע ל־Deepfake

ארגונים המשתמשים בתוכן Deepfake, כלומר תוכן שנוצר או שונה באמצעות AI ונראה או נשמע כאילו הוא אמיתי, יידרשו לגלות כי מדובר בתוכן מלאכותי או מניפולטיבי.

החובה עשויה להיות רלוונטית במיוחד לתוכן הכולל:

• אדם שנראה כאילו אמר דבר שלא אמר
• קול משוכפל
• סרטון שבו דמות אמיתית הוחלפה
• תוכן חזותי המדמה אירוע שלא התרחש
• דמות דיגיטלית המתחזה לאדם ממשי

הנושא אינו מוגבל להונאות. גם קמפיינים שיווקיים, סרטוני הדרכה, תוכן יצירתי או שימוש בדמות וירטואלית עשויים לדרוש בחינה של חובת הגילוי.

4. גילוי בנוגע לטקסט AI בנושאים בעלי עניין ציבורי

כאשר ארגון מפרסם טקסט שנוצר או שונה באמצעות AI במטרה ליידע את הציבור בנושא בעל עניין ציבורי, עשויה לחול חובת גילוי.

הדבר עשוי להיות רלוונטי לגופי תקשורת, גופים ציבוריים, ארגונים פיננסיים, חברות תשתית, רשויות מקומיות וארגונים המפרסמים מידע לציבור.

החוק אינו מבקש למנוע שימוש ב-AI לכתיבה. הוא דורש שקיפות כאשר לתוכן עשויה להיות השפעה על השיח הציבורי או על הבנת הקורא.

5. הודעה על שימוש בזיהוי רגשות או בסיווג ביומטרי

ארגונים המפעילים מערכות לזיהוי רגשות או לסיווג ביומטרי נדרשים, במקרים הרלוונטיים, ליידע את האנשים שנחשפים למערכת.

חשוב לזכור שחלק משימושי זיהוי הרגשות כבר אסורים, בעיקר במקומות עבודה ובמוסדות חינוך, למעט חריגים מצומצמים הקשורים לבטיחות או לרפואה.

מה לא משתנה בחוק הבינה המלאכותית האירופי באוגוסט 2026?

אחד הנושאים שיצרו בלבול הוא מועד התחולה של הדרישות המלאות למערכות AI בסיכון גבוה.

לפי המבנה המקורי של החוק, חלק מדרישות ה-High-Risk נועדו לחול באוגוסט 2026.
עם זאת, במאי 2026 הושגה הסכמה פוליטית על חבילת AI Omnibus, שנועדה לפשט את היישום ולדחות חלק מהדרישות עד להשלמת תקנים וכלי תמיכה.

לפי ההסכמה:

• כללים למערכות בתחומי סיכון גבוה מסוימים, ובהם ביומטריה, תשתיות קריטיות, חינוך, תעסוקה, הגירה וביקורת גבולות, יחולו מ-2 בדצמבר 2027
• כללים למערכות AI המשולבות במוצרים מפוקחים יחולו מ-2 באוגוסט 2028

הדחייה אינה מבטלת את הצורך בהיערכות. מערכות המשמשות לגיוס, סינון מועמדים, דירוג אשראי, תמחור ביטוח חיים או בריאות וקבלת החלטות בנוגע לשירותים חיוניים עדיין עשויות להיחשב מערכות בסיכון גבוה. ארגונים צריכים להשתמש בזמן הנוסף למיפוי, לתיעוד, לבקרת נתונים, להגדרת פיקוח אנושי ולבניית תהליך ניהול סיכונים.

AI Literacy כבר אינה המלצה

חובת AI Literacy חלה כבר מפברואר 2025. היא מחייבת ספקים וארגונים המשתמשים במערכות AI לנקוט אמצעים שיבטיחו רמה מספקת של ידע והבנה בקרב העובדים והגורמים המפעילים את המערכות.

המשמעות רחבה יותר מהדרכה כללית על שימוש ב-ChatGPT. ההדרכה צריכה להתאים לתפקיד, להקשר ולרמת הסיכון.

עובד שכותב תוכן שיווקי זקוק לכללים אחרים ממנהל משאבי אנוש המשתמש ב-AI לסינון מועמדים. מפתח המשלב מודל במוצר זקוק להבנה אחרת מיועץ שירות המשתמש בסוכן AI כדי לענות ללקוחות.

תוכנית AI Literacy אפקטיבית צריכה לכלול:

• מגבלות המערכת והסיכון לטעויות
• כללים להזנת מידע אישי ורגיש
• שימוש אחראי בפלטי AI
• בדיקה אנושית לפני קבלת החלטה
• זיהוי Deepfake והתחזות
• שמירה על זכויות יוצרים
• דיווח על אירועים וחריגים

Code of Practice: כלי וולונטרי, חובות מחייבות

האיחוד האירופי פיתח קוד התנהגות לשקיפות בתוכן שנוצר באמצעות AI. הקוד נועד לסייע לספקים ולמשתמשים ליישם את חובות הסימון והגילוי של סעיף 50.

הצטרפות לקוד היא וולונטרית, אך החובות שבחוק אינן וולונטריות. ארגון שאינו מצטרף לקוד עדיין חייב לעמוד בדרישות ולהיות מסוגל להוכיח את הציות באמצעים אחרים.

ה-AI Office קרא לארגונים המעוניינים להיכלל ברשימת החותמים הראשונית להגיש את טופס ההצטרפות עד 22 ביולי 2026. ניתן להצטרף גם לאחר מכן, אך החל מ־2 באוגוסט נדרש להוכיח עמידה בחובות בכל מקרה.

הקשר בין EU AI Act ל־Governance ול-Compliance

ה-EU AI Act הוא לא רק רגולציה טכנולוגית. הוא מחייב ארגונים לבנות מנגנון ממשל AI ברור.

Governance קובע:

• מי רשאי לאשר מערכת AI
• מי אחראי על השימוש
• מי קובע את רמת הסיכון
• מי מאשר חריגים
• מי מפקח על תוצאות המערכת
• מי מדווח להנהלה

Compliance מתרגם את המסגרת לדרישות מעשיות:

• מיפוי המערכות
• סיווג התפקיד של הארגון
• בדיקת תחולה
• הטמעת גילוי נאות
• סימון תוכן
• שמירת ראיות
• בדיקת ספקים
• הדרכת עובדים

בלי Governance, האחריות נשארת לא ברורה. בלי Compliance, המדיניות נשארת על הנייר.

מה ארגונים צריכים לעשות לפני 2 באוגוסט 2026?

1. ליצור מלאי AI ארגוני

יש למפות מערכות שנרכשו, כלים שפותחו בתוך הארגון וכלי AI ציבוריים שבהם משתמשים עובדים.

המיפוי צריך לכלול:

• שם המערכת והספק
• מטרת השימוש
• סוגי המידע המעובדים
• קהל היעד
• סוגי הפלט
• מדינות שבהן המערכת פועלת
• בעלים עסקיים וטכנולוגיים

2. לקבוע את תפקיד הארגון

יש לברר האם הארגון הוא Provider, Deployer, Importer, Distributor או שילוב של כמה תפקידים. החובות משתנות בהתאם לתפקיד.

3. לזהות מערכות שעליהן חלות חובות שקיפות

יש להתמקד בצ׳אטבוטים, סוכנים וירטואליים, מערכות המייצרות תוכן, Voice Cloning, Deepfake, פרסומים בנושאים ציבוריים ומערכות ביומטריות.

4. לעדכן ממשקים ותהליכי תוכן

יש לבחון כיצד ומתי המשתמש מקבל הודעה על שימוש ב־AI, כיצד מסמנים תוכן וכיצד נשמר תיעוד של ההחלטה.

5. לעדכן הסכמים עם ספקים

הסכם עם ספק AI צריך להתייחס, בין היתר, לתפקידים לפי החוק, סימון פלטים, מידע הדרוש לבדיקת תחולה, אבטחת מידע, שימוש בנתונים, דיווח על אירועים ושינויים במודל.

6. לתעד את תהליך הציות

נדרש לשמור ראיות כגון:

• מלאי מערכות
• הערכות תחולה
• מדיניות שימוש
• אישורי הנהלה
• תיעוד הדרכות
• בדיקות שקיפות
• תיעוד של מנגנוני סימון
• החלטות על חריגים

אוגוסט 2026 הופך שקיפות לדרישה תפעולית

השלב שנכנס לתחולה ב-2 באוגוסט 2026 מעביר את ה-EU AI Act ממסגרת עקרונית לחובה שהלקוח, העובד או המשתמש עשוי לפגוש ישירות.

הארגון נדרש לדעת מתי אדם מתקשר עם AI, אילו פלטים נוצרו באמצעותו, כיצד מסמנים תוכן סינתטי ומתי נדרש גילוי מפורש.

היערכות נכונה אינה מתחילה בהוספת תווית בסוף התהליך. היא מתחילה במיפוי, חלוקת אחריות, ניהול ספקים, מדיניות, הדרכה ותיעוד. ארגונים שיבנו מנגנון AI Governance מסודר יוכלו לעמוד בדרישות, לצמצם סיכונים ולאפשר חדשנות מבוקרת במקום לנסות לעצור אותה.

איך אנחנו באינפוגארד מסייעים בהיערכות ל EU AI Act?

אינפוגארד מסייעת לארגונים למפות שימושי AI, לבחון תחולה רגולטורית, לסווג סיכונים ולבנות מנגנון ממשל וציות המותאם לפעילות הארגון.

הליווי עשוי לכלול סקר פערים, מלאי AI, מדיניות שימוש, הגדרת תפקידים ואחריות, הערכת ספקים, תהליכי אישור, חובות שקיפות, AI Literacy ושילוב הנושא במסגרת GRC, פרטיות ואבטחת מידע.

המטרה אינה רק לכתוב מדיניות, אלא להפוך את דרישות החוק לתהליך שניתן ליישם, למדוד ולהוכיח לאורך זמן, בהתאם לגישת אינפוגארד המחברת בין אנשים, תהליכים וטכנולוגיה.

מאמרים ומידע נוסף בנושא ציות בארגונים

• שירותי CISO במיקור חוץ
• GRC – Governance, Risk & Compliance
• ISO 27001
• DPO – ממונה הגנת הפרטיות
• Governance ב־2026
• סקרי ציות
• תקינה ורגולציה
• תיקון 13 לחוק הגנת הפרטיות
• DORA

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי Roy Kisch, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).