Реальний стан впровадження AI в Європі
Ми опитали 32 європейські організації з різних галузей — від фарми до фінтеху, туризму та ритейлу. Наші знахідки ставлять під сумнів більшість припущень щодо готовності підприємств до AI.
Ключові знахідки
Чотири закономірності послідовно проявлялися у всіх 32 інтервʼю.
Тіньовий AI майже повсюдний
87% організацій з активним використанням AI повідомили про несанкціоноване використання AI.
Розрив у готовності величезний
Від нульового дослідження AI до виділених AI-лабораторій з 14 осіб.
Моніторинг як запізніла думка
Лише 2 з 32 мали AI-моніторинг як основу стратегії.
Приріст продуктивності дуже різниться
Контекст визначає цінність — не інструмент.
Анотація
Наприкінці 2025 — на початку 2026 року ми провели поглиблені інтервʼю з 32 європейськими організаціями зі сфер фармацевтики, охорони здоровʼя, онкологічних досліджень, аналітики даних, туризму, фінтеху, ритейлу, логістики та професійних послуг.
Результати малюють значно складнішу картину, ніж зазвичай показують дані опитувань. Тіньовий AI фактично є повсюдним — навіть суворо регульовані організації не можуть його запобігти. Спектр готовності є драматично ширшим, ніж очікувалось. А інструменти, до яких компанії звертаються першими, послідовно впроваджуються як вторинна думка, а не як фундамент.
Source: Sinaptic® AI Research, 2026
Польові спостереження
Шість репрезентативних кейсів з 32 інтерв'ю. Гортайте, щоб побачити.
Скандинавська фармацевтична асоціація
Традиційне галузеве об'єднання, що представляє сотні компаній-членів. Ще не досліджувало інструменти генеративного AI в жодній якості. Представляє масивний сегмент організацій на абсолютному нулі AI-шляху.
Мовчазна більшість на нульовій позиції AI-шляху.
Французький інститут онкологічних досліджень
Використовує 3-рівневу класифікацію конфіденційності (C1/C2/C3). Запускає локальні AI-інстанси для чутливих дослідницьких даних. Вважає AI-специфічний DLP «хибним занепокоєнням» — відповідальність користувача важливіша за технічні контролі.
Відповідальність користувача понад технічними контролями — але людська поведінка має сліпі зони.
Центральноєвропейська аналітична компанія
Активно використовує ChatGPT, Cursor та Claude Code для розробки. Ділиться підмножинами коду та метаданими з LLM, але ніколи — даними клієнтів. Має внутрішні політики використання AI, але визнає значні прогалини у їх виконанні.
Правила існують на папері — ніхто не знає, які дані потрапляють до зовнішнього AI.
Великий європейський туристичний конгломерат
Підприємство на €20B+ з виділеною AI-лабораторією на 10–14 осіб, що досліджує агентні інтернет-застосунки. Без GRC чи AI-моніторингу. Команди демонструють сліпу довіру до результатів AI без перевірки.
Сліпа довіра до результатів AI. SEO падає через AI-пошук.
Фінтех-платформа під регуляцією ЄС
Суворі політики безпеки MDM та DLP плагіни для Chrome. Розгорнуто спеціалізований захист LLM. Працює під регуляціями фінансового сектору ЄС з формальними вимогами відповідності.
Працівники обходять DLP через інші браузери. Тіньовий AI зберігається.
Східноєвропейський ритейл-холдинг
Перейшли від власних AI-моделей до зовнішніх LLM API. Швидкість впровадження пріоритетніша за безпеку. Масове тіньове використання AI в інженерії без жодного моніторингу чи видимості.
Legacy команди: 0%. Greenfield: +40%. Контекст визначає ROI.
Закономірності, які ми спостерігали
Наскрізні теми незалежно від галузей, розмірів та географій.
Блокування не працює. Моніторинг відсутній. Середина порожня.
Організації або намагаються повністю заблокувати AI (і зазнають невдачі), або дозволяють його вільно без жодної видимості. Майже ніхто не займає раціональну середню позицію: дозволити AI, але моніторити, які дані куди потрапляють.
Політики без виконання створюють хибне відчуття безпеки.
Декілька організацій мають написані політики використання AI. Жодна не змогла підтвердити, що ці політики послідовно дотримуються. Написані політики без моніторингу — це театр.
Зрілість AI не корелює з управлінням AI.
Туристичний конгломерат має виділену AI-лабораторію — але не має GRC-фреймворку та моніторингу. Технічна витонченість і зрілість управління — на абсолютно різних траєкторіях.
Аргумент «навчання важливіше за інструменти» має межі.
Відповідальність користувачів має значення — але це припускає ідеальну людську поведінку. Навчені співробітники з чіткими політиками все одно обходять контроль, коли інструменти створюють тертя.
AI вже порушує дохідність, а не лише операції.
Пошукові системи на базі AI активно переформатовують зовнішні бізнес-моделі. Організації, що зосереджуються виключно на внутрішньому управлінні, упускають ширшу стратегічну картину.
Тіньовий AI створює workslop — і ніхто не відстежує збитки.
В усіх організаціях з активним використанням AI тіньовий AI послідовно призводить до workslop — практики аутсорсингу завдання на AI замість виконання його самостійно, а потім використання результату без перевірки. У більшості випадків це призводить або до некоректних результатів через галюцинації, або до переробки, яка витрачає більше ресурсів, ніж потребувало б оригінальне завдання. У кількох випадках галюциновані AI-звіти потрапляли на презентації C-level ради без жодного сумніву в даних. Збитки реальні, але невидимі: жодна з опитаних організацій не відстежує втрати чи шкоду від неперевірених AI-результатів. Немає звітності про інциденти, немає аудиторського сліду якості, немає зворотного зв'язку. Ризик накопичується непомітно.
Ніхто не думає про екологічний слід AI — але всі хотіли б.
Жодна з опитаних організацій не відстежує карбоновий, водний чи енергетичний слід від використання AI. Але на запитання 100% респондентів відповіли, що такий функціонал був би корисним. Це не пріоритет і бюджету немає — але інтерес універсальний. Ця прогалина існує тому, що жоден існуючий інструмент не робить це простим. Цей інсайт безпосередньо вплинув на наше рішення вбудувати трекінг екологічного впливу в Sinaptic® DROID+ — не як преміум-додаток, а як вбудований функціонал.
Подолання прогалини
Кожна організація, з якою ми спілкувались, підтвердила одну й ту ж структурну прогалину: вони використовують AI, але не мають видимості AI. Політики існують, але ніхто не може підтвердити їх дотримання. Тіньовий AI генерує галюциновані результати, що доходять до керівництва без перевірки. Екологічні витрати накопичуються непомітно. І організації, найбільш просунуті в AI-можливостях, часто найменш просунуті в управлінні ними.
Рішення — не більше політик, не суворіше блокування і не краще навчання окремо. Кожен з цих підходів лікує симптом. Корінна причина — відсутність шару спостереження — інфраструктури, яка робить AI-активність видимою до того, як намагатися її регулювати.
Що пропонує ринок сьогодні
Існує кілька підходів, кожен з компромісами:
Enterprise DLP вендори (Netskope, Zscaler, Forcepoint)
Потужні мережеві контролі, але розглядають AI як ще один SaaS-застосунок. Не розуміють вміст промптів, не аналізують наміри, не мають AI-специфічного управління. Розроблені для запобігання витоку даних, не для управління AI.
AI-нативні стартапи безпеки (Prompt Security, Lakera, Robust Intelligence)
Фокусуються на prompt injection та безпеці виходу, але зазвичай покривають лише API-рівень. Не вирішують проблему тіньового AI в браузерах, не забезпечують організаційну видимість, обмежена інтеграція з GRC.
Внутрішні фреймворки управління (ручні політики, навчальні програми)
Необхідні, але недостатні. Наше дослідження показує 0% підтвердженої відповідності серед усіх організацій з письмовими політиками. Навчання допомагає, але не може запобігти обхідним шляхам, що підтримують тіньовий AI.
Спостереження перед регулюванням
Прогалина, яку ми виявили — це не продуктова прогалина, а методологічна. Організації зазнають невдач в управлінні AI не тому, що їм бракує інструментів. Вони зазнають невдач тому, що починають з неправильного кроку: пишуть політики до того, як зрозуміють, що насправді відбувається.
M3 Framework був розроблений саме для вирішення цієї проблеми послідовності. Це відкритий стандарт, а не пропрієтарний продукт — будь-хто може імплементувати його з будь-яким інструментарієм. Методологія проста: спочатку Mount — встановіть інфраструктуру спостереження, потім Monitor — спостерігайте за реальною поведінкою AI для встановлення фактичної бази, потім Manage — керуйте на основі доказових політик, що відображають реальність, а не припущення.
Незалежно від того, який інструментарій організація обирає — методологія працює. Ключовий інсайт цього дослідження: спостереження має передувати регулюванню. Неможливо керувати тим, чого не бачиш.
Для організацій, готових діяти на основі цих знахідок, шар спостереження може мати різні форми. Browser DLP вирішує проблему тіньового AI на рівні браузера — саме там відбувається більшість несанкціонованого використання AI. Sinaptic AI Intent Firewall® забезпечує верифікацію під час виконання для вже санкціонованих AI-агентів — гарантуючи, що кожна дія агента перевіряється на відповідність організаційній політиці перед виконанням. Разом з методологією M3 вони формують повний стек управління: бачити що AI робить, верифікувати що AI має намір зробити, керувати на основі доказів.
Повʼязані дослідження та джерела
Хочете побачити свій власний AI-ландшафт?
Організації в цьому дослідженні мали однакову сліпу зону: відсутність видимості. M3 Framework вирішує це за дні, а не місяці.
Legacy code
Greenfield
Source: Sinaptic® AI Field Research, 32 EU organizations, 2025–2026