Ingen AI-modell klarar EU-reglerna – och ansvaret kan hamna hos dig

Ingen klarar godkänt – inte ens den bästa

Den ideella forskningsstiftelsen Aithos har genomfört en av de mest systematiska granskningarna hittills av hur väl AI-modeller lever upp till europeisk lagstiftning. Med sitt eget verktyg LARA – Legal Assessment for Real-world Agents – simulerade de verkliga situationer där AI-assistenter riskerar att hamna i juridiskt tveksamma lägen: insamling av användaruppgifter utan samtycke, påverkan av sårbara personer, skapande av psykologiska profiler.

Resultaten är svåra att vifta bort. Vissa modeller bröt mot gällande regler i upp till 93 procent av de testade fallen. Den modell som klarade sig bäst – Anthropics Claude Opus 4.7 – hade ändå en regelöverträdelserate på cirka 54 procent. Enligt Computer Sweden är slutsatsen glasklart formulerad: samtliga stora AI-modeller på marknaden bryter mot EU:s regelverk.

För att sätta det i perspektiv: ett godkänt betyg på ett körkortsprov kräver att du klarar mer än 90 procent av frågorna. Claude Opus klarade ungefär hälften. Det är inte i närheten av tillräckligt.

Ansvaret stannar inte hos tech-jättarna

Det som gör den här studien särskilt intressant ur ett svenskt perspektiv är vad Aithos understryker om ansvarsfördelning. Det räcker inte att peka finger åt OpenAI, Google eller Anthropic och vänta på att de ska fixa sina modeller. Företag som bygger egna AI-lösningar ovanpå dessa grundmodeller kan själva hållas ansvariga om deras produkter bryter mot EU-rätten.

Det betyder att ett medelstort svenskt bolag som integrerat en AI-assistent i sin kundtjänst, sitt HR-system eller sin marknadskommunikation potentiellt exponerar sig för rättsliga konsekvenser – även om de köpt en tjänst från ett etablerat tech-bolag. "Vi använde bara API:et" är troligen inte ett tillräckligt juridiskt försvar.

En bredare rättslig rörelse

Aithos-studien landar mitt i ett redan turbulent rättsligt klimat för AI-branschen. The Verge rapporterar att CNN nu stämt AI-företaget Perplexity för att systematiskt ha kopierat och återgett journalistiskt innehåll utan tillstånd – inklusive material bakom betalvägg – och presenterat det direkt för sina egna användare. Det är det senaste i en lång rad liknande konflikter; The New York Times och flera andra medieorganisationer har tidigare stämt OpenAI och Google på liknande grunder.

Kärnan i dessa tvister handlar om var gränsen går mellan att sammanfatta och att kopiera. Det är en gräns som AI-teknikens nuvarande arkitektur gör genuint svår att dra, och utfallet av CNN:s stämning väntas följas noggrant av hela branschen. Ett prejudikat i den frågan skulle kunna förändra spelplanen för hur AI-tjänster får tränas och användas.

Sett tillsammans målar dessa nyheter upp ett mönster: regulatoriska och rättsliga strukturer är på väg att komma ikapp AI-teknikens snabba framfart. Det var egentligen bara en tidsfråga.

Vad svenska företag bör göra nu

Jag vill vara tydlig: det här är inte ett argument för att sluta använda AI. Det är ett argument för att använda den med öppna ögon.

För svenska verksamheter finns det några konkreta frågor att ställa sig:

• Vilka personuppgifter behandlas av era AI-verktyg, och har ni rättslig grund för det enligt GDPR?
• Vem är ni som personuppgiftsansvarig och vad säger era avtal med AI-leverantörerna om ansvarsfördelning?
• Har ni gjort en konsekvensbedömning (DPIA) för era AI-integrationer som hanterar känsliga uppgifter?

EU:s AI-förordning börjar gälla fullt ut 2027, men tillsynsmyndigheter behöver inte vänta tills dess för att agera – GDPR gäller redan nu, och Aithos-studien visar att modellerernas regelefterlevnad är kraftigt bristfällig redan i dag.

Det finns en genuin möjlighet här för de svenska företag som väljer att ta det juridiska ramverket på allvar tidigt. Att bygga AI-system med inbyggd hänsyn till GDPR och AI-förordningen är inte bara en kostnad – det är en konkurrensfördel när granskningen väl skärps.