päivitetty 4.6.2026 (julkaistu 18.5.2026)
EU AI Act 2.8.2026 — mitä suomalaisen verkkokauppiaan pitää tietää (B2C ja B2B)
Quick Answer: EU:n tekoälysäädös (AI Act) koskee jokaista suomalaista verkkokauppaa B2C- ja B2B-puolella. Tärkein päivämäärä on 2.8.2026: silloin chatbotit on merkittävä tekoälyksi, AI:lla tehdyt tuotekuvaukset on tunnistettavissa keinotekoisiksi ja henkilökunnan on osattava käyttämiään AI-työkaluja vastuullisesti. 2.12.2026 alkaen sama koskee AI:lla luotuja kuvia. B2B-puolella säännöt ovat enimmäkseen kevyemmät, mutta toiminimet ja henkilökohtaiset takaukset luovat omat sudenkuoppansa.
Mistä EU AI Act -säädöksessä on kyse — ja koska se vaikuttaa sinuun?
EU:n tekoälysäädös ei ole tulossa — se on jo voimassa, ja seuraava merkittävä takaraja on alle kolmen kuukauden päässä. Vastaavasti kuin GDPR, säädös koskee suoraan kaikkia EU:ssa toimivia yrityksiä. Myös EU:n ulkopuolelta tulevat AI-järjestelmien tarjoajat ovat sen piirissä, jos heidän palvelujaan myydään EU-markkinoille.
Verkkokauppiaalle ratkaisevia päivämääriä on kaksi:
- 2.8.2026 — Avoimuusvelvoitteet ja AI-lukutaito siirtyvät valvonnan piiriin.
- 2.12.2026 — AI:lla tehtyjen kuvien tunnistemerkinnät (watermarking) tulevat pakollisiksi.
Toukokuussa 2026 sovittiin Digital Omnibus on AI -lykkäyksestä, joka siirsi korkeariskisten järjestelmien velvoitteet vuodella eteenpäin. Käytännössä tämä helpotti pankkien, vakuutusyhtiöiden ja rekrytointialustojen taakkaa — ei verkkokauppiaiden. Avoimuus- ja AI-lukutaitovelvoite pysyivät alkuperäisessä aikataulussa. Suomessa kansallinen valvontavastuu on Traficomilla, mutta käytännön valvonta on jaettu 15 viranomaiselle (Tietosuojavaltuutettu, Tukes, Fimea ja Finanssivalvonta mukaan lukien).
Hogan Lovellsin analyysi korostaa, ettei lykkäys ole syy lykätä omaa työtä. Vahvimmassa asemassa ovat ne yritykset, jotka käyttävät lisäajan kartoitukseen, riskien arviointiin ja audit trailin rakentamiseen.
Mitä verkkokauppiaan pitää käytännössä tehdä?
Säädös vaikuttaa verkkokauppaasi neljällä konkreettisella tavalla, eikä mikään niistä vaadi juridiikan opiskelua — vaan asioiden laittamista kuntoon.
1. Chatbotti on merkittävä tekoälyksi. Asiakkaan pitää tietää, milloin hän keskustelee koneen kanssa. Käytännössä tämä tarkoittaa selkeää viestiä keskustelun alussa: "Olen verkkokaupan AI-assistentti. Voit pyytää ihmisen apua koska tahansa." Visuaalinen tunniste (avatar tai badge) vahvistaa avoimuutta. Velvoite koskee yhtä lailla B2B- kuin B2C-kauppaa, sillä yritysasiakkaiden yhteyshenkilöt ovat luonnollisia henkilöitä.
2. AI:lla luodut tuotekuvaukset ja kuvat on merkittävä. Generatiivisen tekoälyn tuottaman sisällön on oltava koneluettavasti tunnistettavissa keinotekoiseksi. Tekstien osalta velvoite alkaa 2.8.2026 ja kuville 2.12.2026. Kuvien tunnisteena toimii C2PA-yhteensopiva metadatamerkintä tai vastaava kryptografinen tunniste. Jos ihminen on merkittävällä tavalla muokannut tekstiä, tuleva AI Office -ohjeistus saattaa keventää velvoitetta — mutta perustulkinta on, että merkintä tarvitaan.
3. Henkilöstön on osattava tekoälyä. AI-lukutaitovelvoite on ollut voimassa jo helmikuusta 2025, ja 2.8.2026 alkaa sen valvonta. Sertifikaattia ei vaadita eikä erillistä AI officer -rakennetta tarvita, kuten Travers Smithin analyysi toteaa. Mitä organisaation tulee osoittaa: dokumentoitu, roolikohtainen koulutusohjelma ja kirjattu AI-järjestelmien inventaario.
Tämä osa on usein suurempi kuin näyttää. Delbionin auditkokemuksen mukaan tyypillisestä yrityksestä löytyy 5–12 dokumentoimatonta AI-työkalua, jotka työntekijät ovat ottaneet käyttöönsä omasta aloitteestaan. Jokainen niistä luo oman velvoitteensa — ja jokainen niistä voi vuotaa asiakas- tai liiketoimintatietoja paikkaan, jota et hallitse. Verkkokaupassa korkeimman tason koulutuksen tarvitsevat sisältötuottajat, copywriterit ja asiakaspalvelijat. Tuotehallinta, markkinointi ja IT muodostavat keskitason ryhmän. Johdolle riittää yleisymmärrys, mutta se on välttämätön.
4. Tietosuojaseloste ja käyttöehdot päivitykseen. AI Act ei korvaa GDPR:ää vaan tulee sen rinnalle. Käytännössä molempien tiedotusvaatimukset on yhdistettävä ennen 2.8.2026.
Tilanne on epätasapainoinen. Alhena.ai:n raportin mukaan 83% verkkokauppabrändeistä käyttää AI-chatbotteja, mutta vain 26% on aloittanut compliance-valmistelut. Avoimuuspuutteet ovat usein juuri niitä ongelmia, jotka näkyvät asiakkaalle ensimmäisinä — ja siksi ne myös tehdään ensimmäisinä ilmoituksina valvojille.
Mitä rikkomus maksaa?
Avoimuusvelvoitteen laiminlyönti voi maksaa enintään 15 miljoonaa euroa tai 3% yhtiön maailmanlaajuisesta liikevaihdosta — kumpi näistä on suurempi. Keskikokoisella verkkokauppiaalla, jonka liikevaihto on 20 miljoonaa euroa, kolme prosenttia on jo 600 000 euroa. Suomessa sakon voi määrätä Traficomin yhteyteen perustettu sanktiolautakunta.
Sakkokatto on hieman GDPR:n vastaavaa kovempi suhteessa keskisuuren yrityksen liikevaihtoon. AI-lukutaitovelvoitteelle ei säädetty omia sakkoja, mutta kouluttamattomuus toimii raskauttavana tekijänä muissa rikkomustilanteissa: jos kouluttamaton työntekijä aiheuttaa tekoälyn käytöllä haittaa, organisaatio on vastuussa. Dokumentoidun koulutusohjelman puuttuminen tekee puolustuksesta vaikeaa.
B2B-kauppa — kevyempi taakka, kolme sudenkuoppaa
B2B-verkkokauppias saa AI Actista enimmäkseen helpotusta. Suurin osa B2B-tyypillisistä AI-käyttötapauksista — lead scoring, account-based marketing, tarjousgeneraattorit, CRM-AI — kuuluu kevyimmän riskin luokkaan. KPMG arvioi, että näin on noin 85%:lle yritysten AI-järjestelmistä. B2B-konsultti Florian Nègre tiivistää sen näin: lead scoring on yleensä rajoitetun riskin järjestelmä, koska päätökset eivät vaikuta yksilön palveluiden saatavuuteen vaan kaupalliseen kohdentamiseen.
Erityisen kiinnostava helpotus koskee luottoarviointia. Kuluttajaluotossa AI Act asettaa raskaita velvoitteita, mutta yritysluotot ovat sen ulkopuolella — yritys ei ole "luonnollinen henkilö" säädöksen mielessä. Kuluttajakaupassa Klarna, Walley ja Riverty kantavat luottoarvioinnin compliance-vastuun B2C-kauppiaiden puolesta, ja B2B:ssä Y-tunnuksen pohjalta tehtävä AI-luottokäsittely on yksinkertaisesti kevyemmän riskin järjestelmä.
Tämä helpotus sisältää kuitenkin kolme sudenkuoppaa, jotka kannattaa tuntea:
Sudenkuoppa 1: Toiminimet ja ammatinharjoittajat. Suomessa toiminimi (T:mi) on juridisesti luonnollinen henkilö, vaikka kyse on elinkeinotoiminnasta. Toiminimiä on Tilastokeskuksen mukaan noin 200 000 ja ne ovat huomattava osa monen B2B-kauppiaan asiakaskuntaa. Jos automatisoit luottopäätöksen toiminimille AI:lla, järjestelmäsi nousee korkeariskiseen luokkaan. Sama koskee maatalousyrittäjiä, freelancereita ja muita itsenäisiä ammatinharjoittajia.
Sudenkuoppa 2: Henkilökohtaiset takaukset. Pienempien yritysten omistajat antavat usein henkilökohtaisen takauksen B2B-luotolle. Jos AI arvioi takaajan luottokelpoisuutta — esimerkiksi Asiakastiedon tai Bisnoden henkilötietojen pohjalta — velvoitteet käynnistyvät. Yhdistelmämallit, joissa AI arvioi sekä yrityksen luottoa että takaajan henkilötietoja, kuuluvat korkeariskisten järjestelmien luokkaan.
Sudenkuoppa 3: ChatGPT:n ja Geminin epävirallinen käyttö. Tämä on monelle näkymättömin riski. Jos myyntipäällikkö pyytää systemaattisesti ChatGPT:tä tai Geminiä arvioimaan, kannattaako uudelle asiakkaalle myöntää maksuaikaa, organisaatiosta voi tulla AI-järjestelmän virallinen "tarjoaja" säädöksen mielessä — ja saman tien raskaat dokumentointivelvoitteet ovat päällä. MIT Pressin Harvard Data Science Review -julkaisu avaa mekanismia tarkemmin. Riski koskee kaikkea AI:n "vapaata" käyttöä, ei vain luottokäsittelyä.
Käytännön valinta on selvä: jos käytät erikoistunutta B2B-maksunvälittäjää (Walley B2B, Avarda B2B), suurin osa luottopäätöksen compliance-pinnasta delegoituu välittäjälle. Omaa AI-pohjaista luottokäsittelyä voi yhä tehdä, mutta hallintotaakka kasvaa jokaisen toiminimi-asiakkaan myötä.
B2B-puolella on myös toinen erityispiirre, joka kannattaa tiedostaa: myyntitiimin valvontatyökalut. Conversation intelligence -järjestelmät kuten Gong tai Chorus ovat lähtökohtaisesti hyödyllisiä, mutta jos ne tuottavat suorituspalautetta, joka vaikuttaa bonuksiin tai myyntialueiden jakoon, järjestelmä siirtyy korkeariskiseen luokkaan. Erityisen tärkeää: tunteiden tunnistus työpaikalla on suoraan kielletty. Latham & Watkins ohjeistaa pidättäytymään AI:n käytöstä työntekijöiden tunteiden valvontaan. Käyttäytymismetriikat kuten "engagement score" tai "talk ratio" ovat sallittuja — emotion detection ei ole.
Miksi tämä on alustavalinnan kysymys
AI Act ei ole pelkkä lista, jonka täyttää kerran — se on rakenteellinen tekijä, joka vaikuttaa siihen, miten verkkokauppasi kannattaa rakentaa.
Syy on yksinkertainen: jokainen erillinen AI-toiminto luo oman compliance-pintansa. Plugin-pohjaisessa verkkokaupassa chatbot tulee yhdeltä toimittajalta, hakukone toiselta, sähköpostipersonointi kolmannelta ja kuvageneraattori neljänneltä. Jokainen toimittaja on oma vendor, oma DPA, oma avoimuusvelvoitteen toteutus ja oma audit trail.
Konkreettinen esimerkki: viiden myymälän Shopify-toimijalla, jolla on Sufio (e-laskutus), Klaviyo AI (sähköposti), Klevu AI (haku), Octane AI (chatbot), Gorgias AI (asiakaspalvelu) ja Smart Reply AI (kommentit), on kuusi erillistä avoimuusvelvoitteen toteutusta. Jokaisen disclosure on dokumentoitava ja testattava erikseen. Jokainen niistä on auditoinnin piirissä, jokainen voi rikkoutua erikseen.
"Aluksi vain harvat ottivat tosissaan, sittemmin se muuttui hygieniatekijäksi, ja nyt jokainen jo osaa huomioida sen valinnoissaan", sanoo Viskan Oy:n toimitusjohtaja Jussi-Pekka Moilanen GDPR:n kokemuksista oppineena.
"Se, mitä ei kuitenkaan vielä niin usein huomioida, on näiden regulaatioiden kerrannaisvaikutukset. Kun verkkokaupan hallinta on pirstaloitunut useisiin sovelluksiin ja jokaiseen on pääsy AI-työkaluihin, hallinnointi kertaantuu. Jokainen sovellus pitää auditoida ja varmistaa vaatimusten mukaiseksi erikseen. Eurooppalaisilla toimijoilla on aina selvä etulyöntiasema näissä vaatimuksissa, ja AI Act korostaa tätä etua entisestään."
Natiivin AI-kerroksen omaava alusta — esimerkiksi Viskan, jonka Mímis-kyvykkyydet on rakennettu osaksi alustan ydintä — kapseloi AI-compliance-pinnan yhdeksi vendoriksi, yhdeksi DPA:ksi ja yhdeksi audit trailiksi. Tämä ei poista kauppiaan omia velvoitteita, mutta vähentää hallinnoitavien rajapintojen määrän kuudesta yhteen.
Vastuuta ei voi siirtää sopimuksellisesti. Kauppias on aina vastuussa omasta toiminnastaan — alustatoimittaja kantaa omat vastuunsa, mutta lakitekstin näkökulmasta molemmilla on roolinsa täytettävänä. Mitä vähemmän erillisiä AI-toimittajia kaupassasi on, sitä yksinkertaisempi vastuujako on todentaa.
Mitä teet seuraavien kuukausien aikana?
Loppukevät ja kesä 2026 ovat perusasioiden kuntoonlaiton aikaa. Loppuvuosi 2026 on watermarkingin vuoro. Vuosi 2027 koskee niitä, joilla on korkeariskisiä järjestelmiä — käytännössä omaa AI-pohjaista luottokäsittelyä toiminimille tai palkkaukseen vaikuttavia myyntitiimin AI-työkaluja.
Ennen 2.8.2026 — perusvelvoitteet:
- Tee inventaario kaikista AI-järjestelmistä, mukaan lukien työntekijöiden itse käyttöönottamat työkalut.
- Lisää chatbotteihin selkeä AI-merkintä keskustelun alkuun.
- Merkitse AI-tuotetut tuotekuvaukset koneluettavasti.
- Kouluta henkilöstö roolikohtaisesti ja dokumentoi koulutus.
- Päivitä tietosuojaseloste ja käyttöehdot vastaamaan sekä GDPR:ää että AI Actia.
- Selvitä alustatoimittajaltasi, kuka vastaa mistäkin AI-toiminnosta ja miten compliance-dokumentaatio toimitetaan.
Ennen 2.12.2026 — kuvasisältö ja audit trail:
- Ota käyttöön AI-tuotettujen kuvien watermarking (C2PA tai vastaava metadatamerkintä).
- Vahvista audit trail -valmius: lokitukseen tulee kirjautua kuka pyysi mitäkin, milloin ja kuka vastasi.
Vuoden 2027 aikana valmistelet työn, jos käytät korkeariskisiä järjestelmiä. Teknisen dokumentaation valmistelu vie tyypillisesti 4–6 kuukautta, joten varauksen kannattaa lähteä viimeistään vuoden 2026 jälkipuoliskolta.
Inventaario on lähtökohta kaikelle muulle. Jos et tiedä, missä AI:ta käytetään organisaatiossasi, et voi todeta velvoitetta täytetyksi.
Yhteenveto
AI Act ei pysäytä verkkokaupan kehitystä, mutta se nostaa hallintotaakkaa erityisesti plugin-pohjaisissa arkkitehtuureissa. Mitä yhtenäisemmin AI-toiminnot on integroitu kauppasi ytimeen, sitä suoraviivaisempi on compliance-pinta — ja sitä helpompi on dokumentoida vastuujako, audit trail ja chatbot-disclosure.
Viskanin natiivin AI-kerroksen (Mímis-kyvykkyydet) ansiosta chatbot-disclosure, AI-tuotetun sisällön merkintä ja audit trail toteutuvat yhden vendorin ja yhden DPA:n alla. Haluatko kuulla, miten Viskan tukee EU AI Act -compliance-työtä käytännössä?

Jussi-Pekka Moilanen – Toimitusjohtaja, Viskan Oy Ab
Jussi-Pekka Moilanen on Viskan Oy:n toimitusjohtaja, jolla on 20 vuoden kokemus verkkokaupan liiketoiminnasta. Hänen näkemyksensä perustuu ainutlaatuiseen kaksoisrooliin: hän on toiminut 8 vuotta verkkokauppiaana vastaten useiden verkkokauppojen liiketoiminnasta, minkä lisäksi hänellä on 12 vuoden kokemus Viskanilta mm. konsultoinnin, projektijohdon, myynnin ja asiakaskehityksen johtotehtävistä.
Jussin aihealueet asiantuntijana:
- Verkkokaupan rooli osana suurempaa liiketoimintaa
- Verkkokaupan kehityssuunnat ja tulevaisuuden trendit
- SaaS-liiketoiminnan kehittäminen
- Tekoälyn hyödyntäminen verkkokaupassa ja SaaS-liiketoiminnassa
Usein kysytyt kysymykset
Lue lisää
AI-agentit suosittelevat tuotteita jo nyt ChatGPT:ssä ja Geminissä – pian ne myös tekevät ostot. Onko verkkokauppasi valmis seuraavaan suureen muutokseen? Lue, mitä vaaditaan, jotta verkkokauppasi näkyy, tulee valituksi ja myy tekoälyn aikakaudella.
Pohjoismainen kauppias voittaa kansainvälisessä kilpailussa, kun kansainvälisen laajentamisen hoitaa yksi alusta — ei joukko erillisiä verkkokauppoja, joita pidetään synkronissa plugineilla.
Lue tästä, miksi keskitetty no-code-alusta on ehdoton kilpailuetu kansainväliselle verkkokauppiaalle.



