Цифровое право 2026: «теневой ИИ» крадет тайны компаний

Российский рынок цифрового права демонстрирует устойчивый рост, но перед компаниями встает критический вопрос: кто контролирует конфиденциальную информацию — организация или внешние нейросети. В 2025 году объем данных, отправленных сотрудниками в открытые сервисы, вырос в 30 раз, создав новую угрозу, которую эксперты называют «теневым ИИ».

Состояние рынка и масштабы проблемы

Российский рынок цифрового права оценивается в 15 млрд рублей, при этом государственный сектор выступает ключевым драйвером цифровизации. Использование ИИ в юридических функциях выросло с 10–18% в 2024 году до 40–50% в 2025 году — рост в 2,5 раза за один год. Однако этот прогресс сопровождается серьезным риском: большинство компаний не контролируют, как сотрудники используют открытые нейросети.

Главная проблема не в самих платформах, а в привычке «закинуть в нейросеть»: юристы загружают черновики договоров в публичные сервисы для ускорения проверки, менеджеры редактируют письма через нейросети, аналитики обрабатывают отчеты в открытых системах. Компания официально ничего не внедряла, но ее коммерческая тайна уже циркулирует на внешних серверах.

Четыре категории критически чувствительной информации

Для юридических функций существует минимум четыре типа данных, любое неосторожное движение с которыми создает серьезные последствия:

Коммерческая тайна — финансовые модели, ценовые стратегии, условия ключевых контрактов, внутренняя отчетность. Загрузить такой массив в открытую нейросеть означает не просто «ускорить работу», а создать риск нарушения законодательства и договорных режимов с партнерами.

Персональные данные — информация о клиентах, сотрудниках, контрагентах, особенно чувствительные категории (здоровье, дети, финансы). Провайдер ИИ часто считается третьим лицом, которому компания раскрывает информацию, но ответственность при утечке остается на организации, загрузившей данные.

Профессиональные тайны — адвокатская, врачебная и иные охраняемые законом виды тайны. Нейросеть не различает между протоколом допроса и текстом из блога — любой загруженный текст воспринимается как данные для анализа и хранения.

Данные критической инфраструктуры — сведения о технологических процессах, схемах, системах управления. Для объектов КИИ действуют особые требования: использование только доверенных моделей, обработка данных только на территории РФ, запрет на ИИ решения с иностранными правами.

Почему нейросеть не понимает, что у вас «критично»

Ключевая проблема: для публичной модели нет различия между уровнями конфиденциальности. Юристам и безопасникам важно осознать две вещи:

• Первое — провайдер ИИ часто считается третьим лицом, которому раскрывается информация, включая коммерческую тайну и персональные данные. 
• Второе — даже если сервис обещает «не обучаться на ваших данных», вопрос ответственности при утечке или неверном использовании остается на компании. Нейросеть не будет отвечать в суде за раскрытие тайны — отвечать будете вы.

Платформенный подход как решение

Вместо набора разрозненных сервисов и «серых» экспериментов появляется единый контур юридической работы: договоры, споры, согласования и задачи собираются в одной системе, связанной с управлением продажами, закупками и финансами.

Платформа юридической автоматизации дает три понятных эффекта:

• Суверенная среда — работа с документами и данными идет в защищенном контуре, а не в непонятных внешних облаках. Компания сохраняет полный контроль над тем, где обрабатываются ее данные и в какой юрисдикции они находятся.
• Управление доступом — доступы размечены ролями, все действия фиксируются и могут быть проверены службой безопасности. Не каждый сотрудник видит все, а только то, что ему нужно по функции.
• Встроенные правила — правила обращения с коммерческой тайной и персональными данными встроены в сам процесс, а не живут отдельным регламентом в папке. Платформа не создает новый риск, а забирает под контроль то, что и так уже происходит хаотично.

Четыре шага к управлению «теневым ИИ»

Шаг 1. Признать, что проблема уже есть. Почти в каждой компании сегодня есть «теневой ИИ»: сотрудники используют открытые сервисы для работы, даже если официального решения не было. Честный старт выглядит так: принять как факт, что обращения к открытым нейросетям уже происходят; оценить, какие типы документов чаще всего туда попадают (черновики договоров, переписка, отчеты); понять, где граница допустимого, а где начинается реальная угроза.

Шаг 2. Определить «красные зоны» и разрешенные сценарии. Вместо общего «нельзя» нужно прописать понятные правила: какие категории информации строго запрещено выносить во внешние сервисы; для каких задач можно использовать ИИ только внутри суверенного контура; какие типы запросов допустимы в открытых сервисах. Так у сотрудников появляется не только запрет, но и ясный коридор: что можно делать безопасно и эффективно.

Шаг 3. Дать «белую» альтернативу вместо серых схем. Если у людей нет удобного «белого» инструмента, они все равно будут искать обходные пути. Платформа юридической автоматизации встраивается в существующий документооборот, позволяет обрабатывать договоры, претензии, материалы дел внутри защищенной среды, дает юристам те же «ускорители» (подсветка рисков, подготовка черновиков, поиск практики), но без выноса данных наружу.

Шаг 4. Сделать юридическую функцию соавтором, а не надзирателем. Если юрслужба остается только «карающей рукой», ее начинают обходить. Гораздо эффективнее, когда юристы становятся соавторами правил: помогают бизнесу понять, какие ИИ инструменты можно использовать, где границы, и сами при этом работают в платформе юридической автоматизации. Когда платформа становится ежедневным инструментом, разговор с бизнесом меняется: вместо «нельзя в ИИ» звучит «давайте делать это внутри нашего контура, там и быстрее, и безопаснее».

ИИ в критической инфраструктуре: особые требования

Если в обычных бизнес-процессах ошибка с нейросетью бьет по деньгам и репутации, то в критической инфраструктуре цена может быть совсем другая: от массовых сбоев до угрозы жизни и безопасности людей.

За последние полтора года регулирование КИИ заметно ужесточилось:

• Расширен перечень типовых объектов КИИ и отраслей, где такие объекты обязательны (финансы, энергетика, транспорт, здравоохранение, связь);
• Усилены требования к программному обеспечению и оборудованию на значимых объектах, с приоритетом российского ПО и техники;
• Для государственного сектора и значимых объектов КИИ вводится режим «только доверенный ИИ» — модели из специального реестра, с обработкой данных только на территории РФ.

Появился проект ГОСТ по ИИ в критической инфраструктуре, который задает общие принципы безопасного применения таких систем.

Пять главных рисков внедрения ИИ в КИИ

Риск 1. Передача данных за пределы периметра. Все, что вводится в запрос к внешней модели, может уйти на чужие серверы и храниться там бессрочно. Для критической инфраструктуры это означает потенциальный вынос технологической документации, схем, журналов событий и параметров работы оборудования.

Риск 2. Атаки на сами модели и «отравление» данных. ИИ система уязвима не только как обычный сервер. Нападать можно на ее «мозги»: подмешивать искаженные данные в обучающие выборки, чтобы модель принимала неверные решения в нужный момент; использовать специально сформированные запросы (prompt атаки), чтобы обойти ограничения.

Риск 3. Непредсказуемое поведение в нештатных ситуациях. ИИ хорошо справляется с типовыми сценариями, но критическая инфраструктура отличается тем, что именно в нештатных режимах цена ошибки максимальна. Модель может «залипнуть» на привычных шаблонах и не распознать новую комбинацию событий.

Риск 4. Новые точки входа для кибератак. ИИ компоненты часто интегрируются с системами мониторинга, управления событиями безопасности, журналами инцидентов. Если сделать это «по быстрому», без модели угроз, появляется новый канал обхода контроля.

Риск 5. Иллюзия зрелости вместо реальной готовности. Самый тихий, но опасный риск — управленческий. Появляется ощущение, что раз «мы внедрили ИИ», значит, у нас все современно и безопасно. На практике модель угроз под ИИ компоненты не пересматривалась, регуляторные требования учтены частично или формально, ответственность размазана между участниками.

Три уровня внедрения ИИ в КИИ

Уровень 1. Аналитика рядом с КИИ, но не внутри нее. Системы, которые обрабатывают обезличенные журналы событий, метрики, тренды, но не принимают решений напрямую и не имеют доступа к управлению объектом. Ключевая задача — анонимизация, контроль каналов выгрузки и запрет на передачу исходных критических данных во внешние модели.

Уровень 2. Подсказки оператору и юристу в контуре КИИ. Помощь в анализе регламентов, договоров на обслуживание, отчетов по инцидентам, но без прямого управления оборудованием. Здесь ИИ можно использовать в суверенных платформах, работающих внутри периметра, с жестким контролем прав доступа.

Уровень 3. Прямое участие ИИ в управлении объектом КИИ. Самый чувствительный уровень. Здесь действуют предстоящие стандарты и особые требования: только доверенные модели, сертифицированные решения, детализированное описание жизненного цикла системы. Любое внедрение требует участия юристов и служб безопасности с этапа проектирования.

Роль юридической функции в новой реальности

Когда речь идет о критически чувствительных темах, юрист становится не только экспертом по нормам, но и архитектором правил для ИИ:

• Задает рамки: что является тайной, где проходит граница допустимого;
• Участвует в выборе и настройке платформы юридической автоматизации, которая станет единственным окном работы с ИИ;
• Следит за тем, как меняются подходы регуляторов к использованию нейросетей в области тайны и персональных данных, и обновляет внутренние правила.

Главный вопрос перестает звучать как «можно ли нам использовать нейросети в чувствительных темах». Он становится другим: кто у нас отвечает за то, чтобы это делалось по правилам, и на каком контуре эти правила реализованы технически.

Платформа юридической автоматизации в критической зоне

Все ключевые решения о внедрении ИИ в критические процессы проходят через договоры, регламенты, заключения юристов. Платформа юридической автоматизации помогает:

• Держать в порядке договоры и дополнительные соглашения по ИИ компонентам (локализация данных, режим КИИ, ответственность);
• Отслеживать изменения в регулировании и автоматически подсвечивать, какие объекты или контракты попадают под новые требования;
• Фиксировать, какие именно модели, версии и конфигурации ИИ используются, чтобы потом не искать это по разрозненным письмам и таблицам.

По сути, юридическая платформа становится «памятью» и «пультом управления» правовой частью внедрения ИИ в КИИ. Без этого очень легко потерять нить: где у вас уже реестр доверенных моделей, а где все еще «серые зоны».

Главное: не путать скорость и зрелость

Внедрение нейросетей в критическую инфраструктуру неизбежно — слишком велик соблазн ускорить анализ событий, прогнозирование аварий и обработку больших массивов данных. Но зрелость здесь измеряется не количеством пилотов, а ответами на пару простых вопросов:

• Понимаем ли мы, на каком уровне (анализ рядом, подсказки, прямое управление) мы сейчас внедряем ИИ?
• Выполнены ли требования к КИИ и доверенным моделям, и есть ли у нас юридически оформленная архитектура ответственности?

Если на эти вопросы нет ясных ответов, любая «умная» система в КИИ превращается в лишнюю точку риска. Если есть — ИИ становится не угрозой, а еще одним управляемым инструментом внутри понятных юридических и технических рамок.

Перспективы рынка на 2026–2030 годы

Российский рынок цифрового права продолжит рост благодаря государственному сектору как драйверу цифровизации. Ожидается рост B2G-рынка с интеграцией ИИ в CRM-системы судов и ФНС, фокус на блокчейне для смарт-контрактов. Госсектор создаст спрос на решения по банкротствам (рынок 400–500 тыс. клиентов ежегодно) и рискам в документах.

По прогнозам, к 2030 году автоматизация охватит 60–70% типовых судебных процессов в арбитражных судах, а до 90% типовых юридических документов будут создаваться или проходить первичную обработку автоматически

Однако этот рост будет обеспечен не только классическими юридическими услугами, но и смежными направлениями — цифровое право, автоматизация комплаенса, аналитика данных. Главный вызов остается неизменным: компаниям нужно выбрать, будут ли они контролировать свои данные через собственные платформы или оставят их в руках случайных внешних сервисов.