EU:s AI Act har varit i kraft sedan augusti 2024, men den svenska implementeringen — som inkluderar tillsynsmyndighet, sanktionsavgifter och nationella undantag — börjar gälla först nu. Och som med all EU-regulering: det är inte de stora bolagen som blöder mest.
Ett 8-personers startup får exakt samma compliance-börda som Microsoft. Skillnaden är att Microsoft har 300 jurister.
Tre problem som ingen riktigt vill prata om
1. Hög-risk-tröskeln är medvetet bred. HR-screening, kreditbedömningar, utbildningsbedömningar — allt klassas som “hög-risk”. Det betyder att ett 8-personers startup som bygger ett AI-verktyg för att hjälpa läkare läsa journaler får exakt samma compliance-börda som Microsoft. Skillnaden är att Microsoft har 300 jurister.
2. Den svenska tillsynsmyndigheten är underfinansierad. IMY (Integritetsskyddsmyndigheten) har fått ansvaret men inte resurserna. Det betyder två saker: dels lång väntetid på besked, dels att tillsynen blir godtycklig. Vi har redan sett bolag som väntat 11 månader på ett förhandsbesked om huruvida deras produkt klassas som hög-risk.
3. Sanktionsavgifterna är binära. Brott mot AI Act kan ge sanktioner upp till 7% av global omsättning eller 35 miljoner euro — beroende på vilket som är högst. För Google är 35 miljoner euro en lunch. För ett svenskt scaleup med 80 miljoner i omsättning är det en konkurs.
Vad bolag faktiskt gör
Vi har pratat med fyra svenska AI-startups som påverkas direkt. Tre flyttar delar av utvecklingen till USA. En sjunde överväger att lägga ned hög-risk-produktlinjen helt. Inte för att de inte kan bli compliant — utan för att compliance-kostnaden gör affärsmodellen omöjlig.
Det här är inte argumentet “regulering är dåligt”. AI Act löser verkliga problem: social scoring, ansiktsigenkänning i offentliga rum, manipulerade rekommendationssystem. Allt det är bra. Problemet är att den breda hög-risk-kategorin sveper in legitima B2B-verktyg där riskerna är hanterbara med traditionella metoder (tester, audits, kontrakt).
Vad som kan rädda situationen
EU-kommissionen har öppnat för “regulatory sandboxes” — försöksmiljöer där startups kan testa hög-risk-system utan full compliance-börda. Frankrike och Tyskland är redan igång. Sverige har lovat att deras sandbox ska vara operativ “under första halvan av 2026” vilket i praktiken brukar betyda hösten.
Det är troligen den enda kortsiktiga räddningen. Långsiktigt behöver kategoriseringen ses över — och det är ett politiskt projekt som tar år.
