AI Act: як забезпечити відповідність AI-комунікацій у телекомі

У 2026 році телеком-оператори стикаються з подвійним викликом: стрімким розвитком AI-комунікацій та необхідністю адаптуватися до нових регуляторних вимог, зокрема європейського AI Act. Актуальність цього року зумовлена активною імплементацією положень акта, який встановлює жорсткі вимоги до прозорості, безпеки та надійності систем штучного інтелекту. Це вимагає від операторів не лише технічної готовності, а й переосмислення підходів до управління даними та кібербезпеки. Забезпечення відповідності AI Act у 2026–2027 роках стає обов’язковим для уникнення штрафів та збереження довіри замовників.

AI Act та його вплив на AI-комунікації в телекомі: виклики 2026 року

AI Act ЄС, хоча і не регулює безпосередньо конкретні комунікаційні технології, встановлює рамкові вимоги до систем штучного інтелекту, які використовуються в критичних сферах. Для телеком-операторів це означає, що будь-які AI-рішення, що обробляють персональні дані, впливають на безпеку мережі або взаємодіють із замовниками (наприклад, голосові боти, системи аналізу трафіку, антифрод-системи на базі AI), підпадають під пильну увагу. Основні вимоги, що стали практикою у 2026 році, полягають у необхідності забезпечити:

• Прозорість та пояснюваність AI-рішень: здатність демонструвати, як AI приймає рішення, особливо у випадках, що стосуються замовників.
• Якість та цілісність даних: AI Act вимагає, щоб дані для навчання AI були репрезентативними, актуальними та не містили упереджень.
• Кібербезпеку AI-систем: захист AI-моделей від маніпуляцій, атак та несанкціонованого доступу.
• Людський нагляд: можливість втручання людини в роботу AI-систем, особливо у високоризикових сценаріях.

Ці вимоги безпосередньо впливають на розробку та впровадження AI-комунікацій, змушуючи операторів переглядати свої архітектури та операційні процеси.

Підготовка даних як фундамент для відповідності AI Act: від фрагментації до консистентності

Першочерговим завданням для телеком-операторів є підготовка даних. Типова помилка полягає у початку AI-проєкту з вибору великої мовної моделі (LLM) або іншого AI-інструменту, ігноруючи стан власних даних. Без якісних, консистентних та добре структурованих даних будь-яка AI-ініціатива приречена на провал, а відповідність AI Act стає неможливою.

Проблеми, з якими стикаються оператори, включають:

• Фрагментація даних: інформація про замовників, мережевий трафік, білінг та інциденти безпеки часто зберігається в розрізнених системах (OSS/BSS, CRM, SIEM) без єдиної точки зору.
• Відсутність єдиних довідників: неузгодженість термінології, форматів та ідентифікаторів у різних департаментах.
• Низька якість даних: пропуски, дублікати, застаріла або некоректна інформація, що призводить до упередженості AI-моделей та неточних прогнозів.

Для вирішення цих проблем необхідно впроваджувати комплексні політики Data Governance. Це включає створення єдиних довідників, стандартизацію процесів збору та обробки даних, а також регулярний аудит якості даних. Лише після цього можна говорити про ефективне навчання AI-моделей, які відповідатимуть вимогам AI Act щодо прозорості та надійності.

Кібербезпека та антифрод: захист AI-комунікацій від зростаючих загроз

Зростання AI-комунікацій створює нові вектори для кіберзагроз та шахрайства. Глобальні втрати від телеком-шахрайства у 2025 році оцінено приблизно у 41.82 мільярда доларів, згідно з CFCA Global Fraud Loss Survey 2025. Це підкреслює суттєву важливість посилення захисту.

ENISA у своєму звіті Threat Landscape 2025 зазначає, що фішинг залишається провідним вектором початкового доступу, а експлуатація застарілих сигнальних протоколів, таких як SS7 і Diameter, становить значущий ризик для мобільних мереж. AI-комунікації можуть бути використані для автоматизації фішингових кампаній, створення переконливих голосових імітацій (deepfakes) або для маніпуляції мережевими протоколами.

Телеком-операторам необхідно впроваджувати багаторівневі системи кібербезпеки, що включають:

• Посилену автентифікацію: застосування багатофакторної автентифікації для доступу до AI-систем та комунікаційних каналів.
• Моніторинг аномалій: використання AI для виявлення нетипової поведінки в мережі та комунікаціях, що може свідчити про шахрайство або кібератаку.
• Захист від спуфінгу: впровадження механізмів для перевірки автентичності джерела виклику та повідомлення.
• Сегментація мережі: ізоляція критичних AI-систем для мінімізації ризиків поширення атак.

Технічні аспекти автентифікації викликів: STIR/SHAKEN та роль Identity header

Одним із ключових напрямів у боротьбі з шахрайством та забезпеченням довіри до AI-комунікацій є автентифікація викликів. Фреймворк STIR/SHAKEN (Secure Telephone Identity Revisited / Signature-based Handling of Asserted information using toKENs) є важливим інструментом у цьому контексті.

Згідно з FCC First Caller ID Authentication Report and Order, STIR/SHAKEN — це фреймворк автентифікації Caller ID для IP-частин голосових мереж, що передбачає технічний процес перевірки та управління сертифікатами. Він дозволяє оператору-джерелу виклику криптографічно підписати інформацію про Caller ID, а оператору-отримувачу – перевірити цей підпис. Це допомагає боротися зі спуфінгом Caller ID, коли шахраї маскуються під легітимні номери.

RFC 8224: Authenticated Identity Management in SIP визначає використання Identity header у SIP для перенесення криптографічно підписаної інформації про походження виклику. Цей Identity header містить PASSporT (Personal Assertion Token), який підтверджує автентичність виклику та рівень атестації (A, B або C), що вказує на впевненість оператора у джерелі виклику.

Для телеком-операторів, що впроваджують AI-комунікації, критично важливо забезпечити підтримку STIR/SHAKEN на всіх етапах проходження виклику: від originating provider до terminating provider. Це включає правильну генерацію та валідацію Identity header, а також його збереження при проходженні через Session Border Controllers (SBC) та транзитних провайдерів. Платформи, як DooxSwitch Platform (VoIP-платформа DooxSwitch для softswitch, SIP-routing, білінгу та LCR), мають забезпечувати коректну обробку та передачу цих даних для підтримки цілісності автентифікації.

Стратегія впровадження: кроки телеком-оператора до відповідності AI Act

Для успішної адаптації до вимог AI Act та ефективного використання AI-комунікацій у 2026–2027 роках, телеком-операторам слід зосередитися на наступних стратегічних кроках:

1. Аудит та інвентаризація AI-систем: визначити всі AI-рішення, що використовуються або плануються до впровадження, та оцінити їхній потенційний ризик згідно з AI Act.
2. Розробка політик Data Governance: створити єдині стандарти для збору, зберігання, обробки та використання даних, що живлять AI-моделі. Це включає створення єдиних довідників та забезпечення якості даних.
3. Посилення кібербезпеки AI-інфраструктури: впровадити комплексні заходи захисту для AI-систем, включаючи захист від маніпуляцій моделями, атак на дані та несанкціонованого доступу.
4. Впровадження та оптимізація механізмів автентифікації: посилити використання STIR/SHAKEN для IP-голосових мереж, забезпечити коректну обробку Identity header та інтеграцію з антифрод-системами. Це також стосується міжнародних SIP-транків, де часто втрачається інформація про походження виклику.
5. Навчання та підвищення кваліфікації персоналу: забезпечити, щоб співробітники, які працюють з AI-системами, розуміли регуляторні вимоги та найкращі практики кібербезпеки.
6. Співпраця з технологічними партнерами: залучення експертизи компаній, що спеціалізуються на телеком-рішеннях та AI, може прискорити процес адаптації. Наприклад, Softengi має досвід у розробці AI-рішень, а DooxSwitch — у створенні телеком-платформ.

Чекліст готовності телеком-оператора до AI Act та AI-комунікацій

• Оцінка поточної якості та консистентності даних для AI-моделей.
• Впровадження політик Data Governance та створення єдиних довідників.
• Аналіз ризиків кібербезпеки, пов’язаних з AI-комунікаціями (фішинг, експлуатація SS7/Diameter протоколів).
• Планування впровадження або посилення механізмів автентифікації викликів (STIR/SHAKEN, Identity header).
• Перевірка відповідності систем білінгу та роутингу вимогам безпеки та автентифікації.
• Розробка плану реагування на інциденти кібербезпеки та шахрайства.
• Навчання персоналу щодо нових регуляторних вимог та безпекових практик.