18.5.2026

EU AI Act 2.8.2026 — mitä suomalaisen verkkokauppiaan pitää tietää (B2C ja B2B)

Quick Answer: EU AI Act on jo voimassa, ja 2.8.2026 alkaen sovelletaan Art. 50:n avoimuusvelvoitteita: chatbotit on merkittävä AI:ksi, AI-tuotetut tuotekuvaukset ja kuvat on tunnistettavissa keinotekoisiksi. AI-lukutaitovelvoite (Art. 4) on ollut voimassa jo helmikuusta 2025. Asetus koskee jokaista suomalaista verkkokauppaa B2C- ja B2B-puolella yhtä lailla. B2B-kaupassa on lisäksi omat erityispiirteensä — yritysluottoarviointi on lähtökohtaisesti regulaation ulkopuolella, mutta toiminimet ja henkilökohtaiset takaukset muuttavat tilanteen.

Mikä EU AI Act on ja missä mennään toukokuussa 2026?

EU AI Act ei ole tulossa — se on jo voimassa. Toukokuussa 2026 olemme alle kolmen kuukauden päässä seuraavasta merkittävästä deadlinesta, eli vaiheessa jossa realistisesti ehditään enää välttämättömät muutokset, ei pohdintaa.

Asetus (Regulation (EU) 2024/1689) on maailman ensimmäinen kattava tekoälysääntely. Se astui voimaan 1.8.2024 ja soveltuu suoraan kaikkiin EU-jäsenvaltioihin ilman erillistä kansallista täytäntöönpanoa — aivan kuten GDPR. AI Act sisältää 113 artiklaa, 180 resitaalia ja 15 liitettä, ja sen ekstraterritoriaalinen soveltaminen ulottuu myös EU:n ulkopuolisiin toimijoihin, jotka tarjoavat AI-järjestelmiä EU:n markkinoille.

Merkittävä osa velvoitteista on jo voimassa. Kielletyt käyttötavat (Art. 5) ja AI-lukutaitovelvoite (Art. 4) astuivat voimaan 2.2.2025. Yleiskäyttöisten AI-mallien (GPAI) velvoitteet alkoivat soveltua 2.8.2025. Suomen kansallinen valvontalainsäädäntö tuli voimaan 1.1.2026, ja Traficom toimii kansallisena yhteyspisteenä. Valvontavastuu on jaettu 15 eri viranomaiselle, mukaan lukien Tietosuojavaltuutetun toimisto, Tukes, Fimea ja Finanssivalvonta.

Ratkaisevin päivämäärä useimmille verkkokauppiaille on 2.8.2026, jolloin Art. 50:n avoimuusvelvoitteet ja AI-lukutaitovelvoitteen valvonta alkavat. Toinen tärkeä päivä on 2.12.2026, jolloin AI-tuotetun kuvasisällön watermarking-velvoite astuu voimaan.

7.5.2026 saavutettiin poliittinen sopu Digital Omnibus on AI -lainsäädännöstä, joka lykkäsi korkeariskisten Annex III -järjestelmien soveltamista 16 kuukaudella (2.8.2026 → 2.12.2027) ja tuoteupotettujen Annex I -järjestelmien soveltamista vuodella (2.8.2027 → 2.8.2028). Lykkäys helpotti monen toimijan paineita, mutta avoimuusvelvoitteet ja AI-lukutaito pysyvät alkuperäisessä aikataulussa.

Lainsäätäjien viesti on yksiselitteinen: lykkäys ei ole syy lykätä compliance-työtä. Hogan Lovellsin analyysissä todetaan, että vahvimmassa asemassa ovat ne yritykset, jotka käyttävät lisäajan strategisesti — kartoittavat AI-käyttötapauksensa, mappaavat datavirtansa, arvioivat riskit ja rakentavat audit trailin valmiiksi.

Mitä Art. 50:n avoimuusvelvoitteet vaativat verkkokauppiaalta?

Art. 50 on se kohta AI Actista, joka koskee käytännössä jokaista verkkokauppaa kielestä ja koosta riippumatta. Ydinajatus on yksinkertainen: käyttäjän on tiedettävä, milloin hän on tekemisissä tekoälyn kanssa.

Velvoite jakautuu neljään osioon:

• Art. 50(1) edellyttää, että käyttäjälle ilmoitetaan vuorovaikutuksesta AI-järjestelmän kanssa. Tämä koskee asiakaspalvelu-chatbotteja, ostosoppaita ja virtuaalisia tuoteneuvojia.
• Art. 50(2) koskee generatiivisen AI:n tuotoksia — niiden on oltava koneluettavasti merkitty keinotekoisiksi, mikä tarkoittaa käytännössä tekstigeneraattorien tuottamia tuotekuvauksia ja AI:lla luotuja kuvia.
• Art. 50(3) käsittelee tunteiden tunnistusta ja biometristä luokittelua, ja
• Art. 50(4) deepfake-sisältöä ja informoivaa AI-tekstiä.

Käytännön sovellutus verkkokaupassa on suoraviivainen:

• Chatbotin avausviestissä on oltava selkeä merkintä siitä, että keskustelu käydään AI:n kanssa: "Olen verkkokaupan AI-assistentti — voit pyytää ihmisen apua koska tahansa". Erottuva visuaalinen ilme (avatar tai badge) vahvistaa avoimuutta.
• AI-tuotetut tuotekuvaukset tarvitsevat oman merkinnän, joka kertoo, että teksti on tekoälyn tuottamaa. Mikäli ihmistoimittaja on tarkistanut ja muokannut tekstin merkittävällä tavalla, AI Office:n tuleva ohjeistus saattaa keventää velvoitetta.

Tilanne on hälyttävän epätasapainoinen. Alhena.ai:n raportin mukaan 83% verkkokauppabrändeistä käyttää AI-chatbotteja, mutta vain 26% on aloittanut EU AI Act -compliance-valmistelut. Tämä on klassinen sääntelyn elinkaarivaihe: tekoälyn käyttö on jo arkipäiväistä, mutta sen läpinäkyvyysvaatimuksiin ei ole vielä reagoitu.

Watermarking-velvoite AI-tuotetuille kuville astuu voimaan 2.12.2026. Tämä tarkoittaa C2PA-yhteensopivaa metadatamerkintää tai vastaavaa kryptografista tunnistinta. Mikäli verkkokauppa käyttää generatiivista kuvatyökalua tuotelistauksiin, banner-mainontaan tai sosiaalisen median sisältöön, watermarking on integroitava ennen vuoden loppua.

Avoimuusvelvoitteen rikkomus ei ole vain teknisluonteinen ongelma. Sakkokatto on €15 miljoonaa tai 3% maailmanlaajuisesta liikevaihdosta — eli enemmän kuin GDPR:n €20 M / 4% suhteessa pienempiin yrityksiin. Lisäksi Delbionin auditkokemus osoittaa, että avoimuuspuutteet ovat usein juuri ne, jotka huomataan ensimmäisinä — koska ne ovat näkyviä asiakkaalle.

Mitä AI-lukutaitovelvoite (Art. 4) tarkoittaa käytännössä?

Art. 4 on AI Actin laajimmin sovellettava velvoite, mutta myös laajimmin laiminlyöty. Se koskee jokaista AI-järjestelmän tarjoajaa ja käyttöönottajaa — siis käytännössä jokaista yritystä, joka käyttää tekoälyä työssään.

Velvoitteen ydinmuotoilu on, että organisaation on varmistettava AI-järjestelmiä käyttävän henkilöstön riittävä AI-lukutaito. Mitä se EI ole: ei sertifikaattipakkoa, ei nimettyä AI officer -rakennetta, ei tietyn kestoista tai muotoista koulutusta. Travers Smithin analyysin mukaan organisaatioiden ei tarvitse mitata työntekijöiden AI-osaamisen tasoa eikä rakentaa erillistä AI governance -hallintoa.

Mitä se kuitenkin edellyttää: dokumentoitu koulutusohjelma, roolipohjainen differentiointi, AI-järjestelmien inventaariotuettu suunnittelu ja säännöllinen päivitys. AI Office on määrittänyt neljä vähimmäiskomponenttia — yleinen AI-ymmärrys, organisaation roolin selventäminen (provider vai deployer), riskitason mukainen syventäminen ja roolikohtainen räätälöinti.

Verkkokaupassa tämä tarkoittaa, että koulutuksen on katettava ne henkilöstöryhmät, jotka käyttävät AI:ta työssään. Sisältötuottajat ja copywriterit tarvitsevat korkeimman tason koulutuksen, koska he tuottavat asiakkaan näkemää sisältöä generatiivisilla työkaluilla. Asiakaspalvelijat tarvitsevat samaan tasoa, koska chatbot-järjestelmät ja conversation copilot -työkalut vaikuttavat suoraan asiakaskokemukseen. Tuotehallinta, markkinointi ja IT muodostavat keskitason ryhmän. Johdolle riittää yleisymmärrys, mutta se on välttämätön.

Suurin sokea piste on shadow AI — työntekijöiden omatoimisesti käyttöön ottamat työkalut. Delbionin auditkokemuksen mukaan tyypillisestä yrityksestä löytyy 5–12 dokumentoimatonta AI-työkalua. Jokainen niistä luo oman Art. 4 -velvoitteen, ja jokainen niistä voi vuotaa asiakas- tai liiketoimintatietoja ulos kontrollipisteen ulkopuolelle.

Art. 4:n erityispiirre on, ettei AI Act säädä sille suoria sakkoja. Sen sijaan kouluttamattomuus toimii raskauttavana tekijänä muissa rikkomustilanteissa, ja 2.8.2025 alkaen on ollut voimassa siviilivastuu: jos kouluttamaton työntekijä aiheuttaa haittaa AI-järjestelmän käytöllä, organisaatio on vastuussa. Kuten Delbion toteaa, dokumentoidun koulutusohjelman puuttuminen tekee minkä tahansa puolustuksen erittäin vaikeaksi.

Mitä AI Act -rikkomus voi maksaa?

Sakkokatot ovat AI Actissa kovemmat kuin GDPR:ssä. Kielletyistä käyttötavoista (Art. 5) sakko on enintään €35 miljoonaa tai 7% maailmanlaajuisesta liikevaihdosta — kumpi on suurempi. Muista velvoiterikkomuksista, kuten Art. 50 -avoimuusvelvoitteen laiminlyönnistä, sakkokatto on €15 miljoonaa tai 3%. Viranomaiselle annetusta harhaanjohtavasta tiedosta enintään €7,5 miljoonaa tai 1%.

Suomessa sakon voi määrätä Traficomin yhteyteen perustettu sanktiolautakunta. Verkkokaupassa todennäköisin riskikategoria on Art. 50 -rikkomus — esimerkiksi chatbotin AI-luonteen ilmaisematta jättäminen tai AI-tuotetun kuvasisällön merkitsemättömyys. €15 M / 3% kuulostaa abstraktilta, mutta keskikokoisella kauppiaalla, jonka liikevaihto on €20 M, 3% on jo €600 000.

Käytännön checklist verkkokauppiaalle ennen 2.8.2026

Seuraavat toimet ovat välttämättömiä ennen ensimmäistä deadlinea:

• AI-järjestelmien inventaario (chatbot, hakukone, suositukset, tekstigeneraattori, kuvagenerator, dynaaminen hinnoittelu) — Art. 4 + Art. 50, deadline 2.8.2026
• Chatbottiin selkeä AI-merkintä ennen keskustelun alkua — Art. 50(1), deadline 2.8.2026
• AI-tuotetut tuotekuvaukset merkattu — Art. 50(2), deadline 2.8.2026
• AI-tuotettujen kuvien watermarking-ratkaisu (C2PA tai vastaava) — Art. 50(2), deadline 2.12.2026
• Tietosuojaselosteen ja käyttöehtojen päivitys (GDPR + AI Act yhdessä) — deadline 2.8.2026
• Henkilöstön AI-lukutaitokoulutus dokumentoituna roolikohtaisesti — Art. 4, deadline 2.8.2026
• Roolijaon dokumentointi per järjestelmä: provider vs. deployer — Art. 25, deadline 2.8.2026
• Sopimuksellinen vastuunjako AI-vendorien kanssa — Art. 16 + Art. 25, jatkuva

Inventaario on lähtökohta kaikelle muulle. Jos et tiedä, missä AI:ta käytetään organisaatiossasi, et voi todeta velvoitetta täytetyksi. Ja kuten todettu, shadow AI:n laajuus on tyypillisesti aliarvioitu — auditeissa löytyy keskimäärin 5–12 dokumentoimatonta työkalua per yritys.

Miten B2B-kauppa eroaa B2C-kaupasta AI Actin näkökulmasta?

B2B-verkkokauppa eroaa B2C:stä AI Actin näkökulmasta kolmella tavalla: luottoarvioinnin sääntelytila, työllistämiseen liittyvät AI-työkalut ja agentic commercen nopeampi käyttöönotto.

Lähtökohtaisesti B2B-kaupalla on kevyempi compliance-taakka kuin B2C:llä. Suurin osa B2B-AI-järjestelmistä putoaa rajoitetun riskin luokkaan — KPMG:n arvion mukaan 85% yritysten AI-järjestelmistä on tässä kategoriassa. Lead scoring, account-based marketing, tarjousgeneraattorit ja CRM-AI ovat tyypillisesti minimaalisen tai rajoitetun riskin luokassa. B2B revenue -konsultti Florian Nègre tiivistää: lead scoring B2B-prioritisointiin on yleensä rajoitetun riskin, koska päätökset eivät ole yksilön kannalta merkittäviä — ne vaikuttavat kaupalliseen kohdentamiseen, eivät palveluiden saatavuuteen.

Mutta tämä yleiskuva sisältää kolme aitoa B2B-erityispiirrettä, jotka kannattaa tuntea: luottoarvioinnin Annex III -kysymys (käsitellään seuraavassa osiossa), myyntitiimin AI-työkalut työllistämispäätöksinä, ja agentic commercen kasvu B2B-puolella.

B2B-myynnissä työllistämiseen liittyvät velvoitteet (Annex III kohta 4) tulevat usein vastaan. Sales conversation intelligence -työkalut kuten Gong, Chorus tai Salesforce Einstein Conversation Insights ovat lähtökohtaisesti hyödyllisiä työkaluja, mutta jos ne tuottavat suorituspalautetta, joka vaikuttaa bonuksiin tai allokointipäätöksiin, järjestelmä siirtyy korkeariskiseen luokkaan. Forecast AI ja territory management AI luovat saman tilanteen, kun ne jakavat alueita tai asiakkaita myyjille AI:n perusteella. Sales coaching AI on korkeariskinen, jos se vaikuttaa palkkaukseen tai irtisanomisiin.

Vielä tärkeämpää: tunteiden tunnistus työpaikalla on suoraan kielletty Art. 5:n nojalla. Tämä koskee esimerkiksi conversation intelligence -työkalujen "emotion detection" -piirrettä, joka analysoi myyjien tunteita ääni- tai videopohjaisesti. Tämä ei ole "compliance-asia" johon voi varautua dokumentaatiolla — se on kielto. Latham & Watkins ohjaa pidättäytymään AI:n käytöstä työntekijöiden tunteiden valvontaan tai arviointiin. Käyttäytymismetriikat kuten "engagement score" tai "talk ratio" ovat sallittuja — emotion detection ei ole.

B2B-asiakaskunnan rakenne tuo myös oman ulottuvuutensa. B2B-verkkokaupassa on lähes aina suurempi myyntitiimi per liikevaihtoeuro kuin B2C:ssä — usein 1–3 myyjää per €1 M liikevaihtoa, B2C:ssä alle yhden. Tämä tarkoittaa, että työllistämiseen liittyvien AI-velvoitteiden volyymi on B2B-puolella suurempi.

Miksi B2B-luottoarviointi voi muuttua korkeariskiseksi — kolme sudenkuoppaa

B2B-luottoarviointi AI:lla on vastaintuitiivisesti AI Actin ulkopuolella. Annex III kohta 5(b) rajaa korkeariskisiksi vain ne AI-järjestelmät, joita käytetään luonnollisten henkilöiden luottokelpoisuuden arviointiin — petostentorjuntaa lukuun ottamatta. Yritys on oikeushenkilö, ei luonnollinen henkilö. Sama AI-malli, eri sääntelytila riippuen siitä, arvioidaanko kuluttajaa vai yritystä.

Tämä on aito B2B-helpotus suhteessa B2C-kauppaan. Kuluttajaluotossa Klarna, Walley ja Riverty kantavat AI Act -compliance-vastuun providerina, ja kauppias saa hyödyn ilman omaa korkeariskistä järjestelmää. B2B-luotoissa AI-pohjainen Y-tunnuspohjainen arviointi on lähtökohtaisesti rajoitetun riskin järjestelmä, jolla on vain avoimuusvelvoitteet.

Mutta tämä helpotus sisältää kolme sudenkuoppaa, jotka suomalaisen B2B-kauppiaan on syytä tuntea.

Sudenkuoppa 1: Toiminimet ja ammatinharjoittajat. Suomessa toiminimi (T:mi) on juridisesti luonnollinen henkilö, vaikka harjoittaa elinkeinotoimintaa. Tilastokeskuksen mukaan Suomessa on noin 200 000 toiminimeä — huomattava osa monen B2B-kauppiaan asiakaskunnasta. Jos automatisoit luottopäätöksen toiminimille AI:lla, järjestelmäsi on Annex III korkeariskinen. Sama koskee maatalousyrittäjiä, freelancereita ja muita itsenäisiä ammatinharjoittajia.

Sudenkuoppa 2: Henkilökohtainen takaus. Pienemmän yrityksen omistaja tai toimitusjohtaja antaa usein henkilökohtaisen takauksen B2B-luotolle. Jos AI arvioi takaajan luottokelpoisuutta — esimerkiksi Suomen Asiakastiedon tai Bisnoden henkilötietojen pohjalta — velvoitteet käynnistyvät. Konservatiivinen tulkinta on, että yrityksen luotto- ja takaajan luottoarvioinnin yhdistelmämallit kuuluvat Annex III:n piiriin.

Sudenkuoppa 3: GPAI-mallin uudelleenkäyttö. Tämä on monelle B2B-kauppiaalle näkymättömin riski. Jos myyntipäällikkö pyytää systemaattisesti ChatGPT:tä tai Geminiä arvioimaan, kannattaako uudelle asiakkaalle myöntää maksuaikaa, kauppiaasta voi tulla provider Art. 25(1)(b):n nojalla. MIT Pressin Harvard Data Science Review -julkaisussa käsitelty akateeminen analyysi toteaa, että yleiskäyttöisen AI-mallin uudelleenkäyttö luottokelpoisuuden arviointiin siirtää organisaation suoraan korkeariskisen järjestelmän providerin asemaan. Annex IV:n yhdeksän dokumentaatioblokkia (järjestelmän kuvaus, käyttötarkoitus, koulutusdata, riskinhallinta, human oversight) tulevat sovellettaviksi.

Käytännön valinta on selvä: jos B2B-kauppias käyttää erikoistunutta maksunvälittäjää (Walley B2B, Avarda B2B jne), suurin osa luottopäätöksen compliance-pinta-alasta delegoituu välittäjälle. Oma luottokäsittely AI:lla on yhä mahdollista, mutta nostaa hallintotaakkaa merkittävästi — ja tämä taakka kasvaa jokaisen toiminimi-asiakkaan myötä.

Agentic commerce ja B2B-procurement — mihin sääntely ei vielä yllä

Markkinatrendi on selvä: Gartnerin lokakuun 2025 ennusteen mukaan vuoteen 2028 mennessä 90% B2B-ostoista on AI-agentin välittämiä, ja yli 15 biljoonaa dollaria B2B-kulutuksesta kulkee AI-agenttien kautta. Salesforcen Agentforce Commerce -lanseerauksen yhteydessä raportoitiin, että intelligent agentit vaikuttivat 22%:iin globaaleista tilauksista Cyber Weekillä 2025.

AI Act ei vielä täysin kata agent-to-agent -tilanteita. Art. 50(1):n avoimuusvelvoite kohdistuu luonnolliseen henkilöön, joka on vuorovaikutuksessa AI:n kanssa. Kun ostaja-AI keskustelee myyjä-AI:n kanssa, ei ole "luonnollista henkilöä", jolle disclosure kohdistuisi. Käytännössä taustalla on ihmisiä molemmin puolin, mutta lainsäädäntö ei suoraan käsittele tätä kerrostumaa. AI Office:n tuleva ohjeistus voi täsmentää tilannetta vuoden 2026 aikana.

B2B-kauppiaalle tämä tarkoittaa kolmea asiaa. Ensinnäkin audit trail -valmius on tärkeä: lokitukseen pitää dokumentoida, kuka pyysi (ihminen vai agentti), mitä päätettiin ja kuka vastasi. B2B-tilausarvot ovat tyypillisesti korkeampia kuin B2C:ssä, joten sopimusoikeudelliset seuraukset ovat merkittäviä. Toiseksi, jos integraatio sisältää dynaamisia luottopäätöselementtejä (esim. dynamic credit limit), tilanne voi siirtyä Annex III:n piiriin. Kolmanneksi, agentic commerce -protokollat — OpenAI/Stripen Agentic Commerce Protocol, Googlen AP2, Anthropicin MCP — eivät vielä sisällä AI Act -compliance-elementtejä natiivisti, joten vastuu on integroijalla.

Miten AI Act vaikuttaa alustavalintaan ja compliance-pintaan?

Tämä on artikkelin keskeinen kärki suomalaiselle verkkokauppiaalle: AI Act ei ole vain checklist, jota täytetään yhden kerran — se on alustavalinnan strateginen ulottuvuus.

Jokainen erillinen AI-toiminto luo oman compliance-pintansa. Plugin-pohjaisessa kaupassa, jossa chatbot tulee yhdeltä toimittajalta, hakukone toiselta, sähköpostipersonointi kolmannelta ja kuvageneraattori neljänneltä, jokainen toimittaja on oma vendor, oma DPA, oma Art. 50 -toteutus ja oma audit trail. Käytännön esimerkki: 5 storen Shopify-toimijalla, jolla on Sufio (e-laskutus), Klaviyo AI (sähköposti), Klevu AI (haku), Octane AI (chatbot), Gorgias AI (asiakaspalvelu) ja Smart Reply AI (kommentit) → kuusi erillistä Art. 50 -toteutusta, joista jokaisen disclosure on dokumentoitava ja testattava erikseen.

Tämä on sama dynamiikka, jonka koimme jo GDPR:n kanssa. "Aluksi vain harvat ottivat tosissaan, sittemmin se muuttui hygieniatekijäksi, ja nyt jokainen jo osaa huomioida sen valinnoissaan", toteaa Viskan Oy:n toimitusjohtaja Jussi-Pekka Moilanen.

"Se, mitä ei kuitenkaan vielä niin usein huomioida, on näiden regulaatioiden kerrannaisvaikutukset. Kun verkkokaupan hallinta on pirstaloitunut useisiin sovelluksiin ja jokaiseen on pääsy AI-työkaluihin, hallinnointi kertaantuu. Jokainen sovellus pitää auditoida ja varmistaa vaatimusten mukaiseksi erikseen. Eurooppalaisilla toimijoilla on aina selvä etulyöntiasema näissä vaatimuksissa, ja AI Act korostaa tätä etua entisestään."

Natiivin AI-kerroksen omaava alusta — esimerkiksi Viskan Mímis-kyvykkyyksineen — kapseloi compliance-pinnan yhdeksi vendoriksi, yhdeksi DPA:ksi ja yhdeksi audit trailiksi. Tämä ei poista kauppiaan omia velvoitteita, mutta vähentää hallinnoitavien rajapintojen määrää merkittävästi.

Alusta vaikuttaa myös teknisen valmiuden tasoon. Käytännössä kauppiaan kannattaa selvittää alustatoimittajaltaan vähintään seuraavat asiat: mikä on vendorin rooli per AI-toiminto (provider, deployer vai distributor), mitkä Annex IV -dokumentaatiot vendor toimittaa korkeariskisten järjestelmien osalta, miten Art. 50 -disclosure toteutetaan natiivisti chatbotissa, mitkä lokitiedot pidetään audit trailia varten, ja mikä on liability-jakautuminen AI Act -rikkomuksen tilanteessa.

Vastuuta ei voi delegoida sopimuksellisesti. Kauppias on deployer vakiotapauksessa ja kantaa omat velvoitteensa Art. 50:n, Art. 4:n ja human oversightin (jos korkeariskinen) osalta. Alustatoimittaja voi olla provider tai distributor ja kantaa omat velvoitteensa, mutta lakitekstin näkökulmasta kummallakin on roolinsa täytettävänä.

Roadmap: mitä tehdä toukokuusta 2026 vuoteen 2028?

Akuutti vaihe (toukokuu–elokuu 2026):

• AI-järjestelmien inventaario, mukaan lukien työntekijöiden itse käyttöön ottamat työkalut
• Riskiluokitus per järjestelmä (kielletty / korkeariskinen / rajoitettu / minimaalinen)
• Roolijaon dokumentointi: provider vs. deployer per järjestelmä
• AI-lukutaitokoulutuksen suunnittelu ja roolikohtainen toteutus
• Chatbot-disclosure ja AI-tuotettujen tuotekuvausten merkintä käyttöön
• Tietosuojaselosteen ja käyttöehtojen päivitys
• Deadline 2.8.2026: Art. 50(1) ja AI-lukutaitovelvoitteen valvonta alkaa

Watermarking-vaihe (syyskuu–joulukuu 2026):

• AI-tuotettujen kuvien watermarking-ratkaisu (C2PA tai vastaava metadata-merkintä)
• Audit trail -valmiuden vahvistaminen
• Deadline 2.12.2026: Watermarking-velvoite voimassa

Korkeariskisten järjestelmien valmistautuminen (2027):

• Jos portfolio sisältää Annex III -järjestelmiä (esim. luottoarviointi toiminimille, rekrytointi-AI, sales coaching joka vaikuttaa palkkaukseen):
• Q1 2027: Annex IV -tekninen dokumentaatio aloitukseen
• Q2 2027: Conformity assessment -prosessi
• Q3 2027: EU-rekisteröinti (Art. 49)
• Deadline 2.12.2027: Annex III -velvoitteet voimassa

Tuoteupotetut järjestelmät (2027–2028):

• Jos kauppias myy AI-upotettuja tuotteita (älykkäät kodinkoneet, lääkinnälliset laitteet, koneet, lelut)
• Deadline 2.8.2028: Annex I -velvoitteet voimassa

Annex IV -dokumentaation valmistelu vie tyypillisesti 4–6 kuukautta. Lykkäys 2.12.2027:ään antaa realistisen aikataulun, mutta vain jos scoping aloitetaan vuoden 2026 jälkipuoliskolla.

AI Act ei pysäydä verkkokaupan kehitystä, mutta se nostaa hallintotaakkaa erityisesti plugin-pohjaisissa arkkitehtuureissa. Mitä yhtenäisemmin AI-toiminnot on integroitu, sitä suoraviivaisempi on compliance-pinta ja sitä helpompi on dokumentoida vastuujako, audit trail ja Art. 50 -disclosure.

Viskanin natiivin AI-kerroksen (Mímis-kyvykkyydet) ansiosta chatbot-disclosure, AI-tuotetun sisällön merkintä ja audit trail toteutuvat yhden vendorin ja yhden DPA:n alla. Haluatko kuulla, miten Viskan tukee EU AI Act -compliance-työtä käytännössä?