Европейский парламент в октябре 2024 года ввёл беспрецедентный запрет на использование встроенных инструментов искусственного интеллекта на служебных устройствах депутатов и сотрудников. Решение, принятое IT-отделом парламента, было мотивировано невозможностью гарантировать безопасность конфиденциальных данных при их загрузке на облачные сервера сторонних компаний, преимущественно американских. Под ограничение попали такие популярные ИИ-помощники, как ChatGPT от OpenAI, Copilot от Microsoft и Claude от Anthropic.
Ключевой причиной запрета стали два взаимосвязанных риска. Во-первых, данные, попадающие на серверы американских корпораций, подпадают под юрисдикцию США, где власти, согласно законам вроде Cloud Act, могут обязать компании предоставить доступ к информации пользователей. Во-вторых, существует опасность, что конфиденциальные данные, загруженные для обработки ИИ, могут быть использованы для обучения моделей и впоследствии «всплыть» в ответах другим пользователям, нарушая законодательную тайну.
Это решение создаёт парадоксальный контраст с общей политикой Еврокомиссии, которая, наоборот, предлагает смягчить некоторые правила защиты данных (GDPR), чтобы облегчить технологическим гигантам обучение их ИИ-моделей. Таким образом, в ЕС налицо противоречие между стремлением к инновациям и жёсткими требованиями цифрового суверенитета и кибербезопасности.
Опасения европейских законодателей оказались пророческими. Всего через несколько дней после объявления о запрете, 18 февраля 2026 года, Microsoft подтвердила серьёзную уязвимость (CW1226324) в своём ИИ-ассистенте Copilot, входящем в пакет Microsoft 365. Ошибка, активная с января 2026 года, позволяла Copilot получать доступ и обрабатывать электронные письма, помеченные как конфиденциальные, обходя установленные политики предотвращения потери данных (DLP). Уязвимость затрагивала функционал Copilot Chat в приложениях Word, Excel и PowerPoint, потенциально подвергая риску корпоративные коммуникации в течение примерно шести недель.
Эксперты по кибербезопасности отмечают, что этот инцидент наглядно демонстрирует фундаментальную проблему: традиционные модели безопасности, рассчитанные на действия человека, плохо применимы к поведению ИИ-агентов, имеющих широкий доступ к системам. Решение Европарламента и инцидент с Microsoft указывают на растущую глобальную тенденцию — приоритет безопасности и суверенитета данных над удобством и эффективностью ИИ-инструментов, особенно в чувствительных государственных и корпоративных средах. Ожидается, что это ускорит разработку «суверенных» европейских ИИ-решений с локальным хостингом данных и полным соответствием GDPR.
