Sanktioner AI Act: upp till 35 miljoner euro i böter

Sanktionerna i AI Act kan uppgå till 35 M€ eller 7 % av den globala omsättningen. Detaljer om böter per överträdelstyp och jämförelse med GDPR.

Ett sanktionsregime utan motstycke

Den europeiska förordningen om artificiell intelligens (förordning 2024/1689) inför ett av de strängaste sanktionssystemen inom europeisk digital rätt. Med böter upp till 35 miljoner euro eller 7 % av den globala omsättningen sänder AI Act en tydlig signal: bristande efterlevnad inom AI är inte en abstrakt risk, det är en betydande finansiell risk.

Artikel 99 — Règlement (UE) 2024/1689
Medlemsstaterna ska fastställa regler om sanktioner och andra verkställighetsåtgärder, som även kan omfatta varningar och icke-monetära åtgärder, som är tillämpliga på överträdelser av denna förordning av operatörer, och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas korrekt och effektivt […].

De tre bötesnivåerna

Artikel 99 i förordningen definierar tre sanktionsnivåer, beroende på överträdelsens allvar.

Nivå 1 — Förbjudna metoder: 35 M€ eller 7 % av global omsättning

Den högsta sanktionsnivån gäller överträdelser av Artikel 5 (förbjudna metoder):

Social poängsättning
Subliminal manipulation eller vilseledande tekniker
Utnyttjande av personers sårbarheter
Biometrisk realtidsidentifiering på offentliga platser (med undantag)
Emotionsigenkänning på arbetsplatsen och inom utbildning
Uppbyggnad av ansiktsdatabaser genom scraping

Böterna kan uppgå till 35 miljoner euro eller 7 % av företagets globala årsomsättning, det högsta beloppet gäller.

För ett företag med 500 miljoner euro i omsättning innebär detta potentiellt 35 miljoner euro i böter. För en global koncern med 10 miljarder euro i omsättning stiger den teoretiska böten till 700 miljoner euro.

Nivå 2 — Bristande efterlevnad av högrisk-system: 15 M€ eller 3 % av global omsättning

Den andra nivån bestraffar överträdelser av skyldigheterna för högrisk-AI-system och AI-modeller för allmänna ändamål:

Bristande riskhanteringskrav (Artikel 9)
Bristfällig datastyrning (Artikel 10)
Avsaknad av teknisk dokumentation (Artikel 11)
Brist på transparens mot användare (Artikel 13)
Otillräcklig mänsklig tillsyn (Artikel 14)
Bristande efterlevnad av AI-modeller för allmänna ändamål (Artiklarna 51 till 56)
Bristande efterlevnad av AI-kompetenskravet (Artikel 4)

Den sista punkten är avgörande: brist på utbildning av medarbetare i AI faller under denna nivå. Ett företag som inte har vidtagit några åtgärder för att garantera en tillräcklig nivå av AI-kompetens för sin personal riskerar böter upp till 15 miljoner euro eller 3 % av den globala omsättningen.

Nivå 3 — Felaktig information: 7,5 M€ eller 1,5 % av global omsättning

Den tredje nivån gäller när ett företag lämnar felaktiga, ofullständiga eller vilseledande uppgifter till behöriga myndigheter eller anmälda organ:

Falska överensstämmelseförklaringar
Förfalskade eller ofullständiga tekniska dokument
Felaktiga svar på informationsförfrågningar från myndigheter
Döljande av incidenter eller funktionsstörningar

Böterna kan uppgå till 7,5 miljoner euro eller 1,5 % av den globala årsomsättningen.

Svenskt perspektiv: För en aktör som Swedbank (ca 50 miljarder SEK i intäkter) skulle den högsta sanktionsnivån innebära böter på upp till 3,5 miljarder SEK. Även för offentliga aktörer som Försäkringskassan eller Skatteverket, som utvecklar AI-baserad ärendehantering, är sanktionsrisken reell.

För att mäta allvaret i AI Acts sanktionsregime är jämförelsen med GDPR belysande:

Kriterium	GDPR	AI Act
Maximal böter (fast belopp)	20 M€	35 M€
Maximal böter (% av omsättning)	4 % av global omsättning	7 % av global omsättning
Antal nivåer	2	3
I kraft sedan	Maj 2018	Stegvis (2025-2027)
Tillsynsmyndighet	Dataskyddsmyndigheter	Nationella myndigheter + Europeiska AI-byrån

Den europeiska lagstiftaren har medvetet fastställt AI Acts sanktioner över GDPR:s. Budskapet är tydligt: riskerna med dåligt hanterad AI anses vara minst lika allvarliga som dataskyddsrisker — och företag kommer att bestraffas därefter.

Som referens har GDPR:s sanktioner inte förblivit teoretiska. 2023 fick Meta böter på 1,2 miljarder euro från den irländska myndigheten. Amazon fick 746 miljoner euro 2021 i Luxemburg. De europeiska myndigheterna har visat att de inte tvekar att tillämpa maximala sanktioner på stora företag.

Särskilda regler för SMF

Förordningen föreskriver anpassad behandling för små företag. Artikel 99(6) preciserar att böterna ska vara “effektiva, proportionella och avskräckande”. För SMF och startups måste myndigheterna beakta företagets ekonomiska bärkraft.

Konkret:

Omsättningsprocenterna gäller på samma sätt, men de fasta beloppen (35 M€, 15 M€, 7,5 M€) utgör ett absolut tak
Myndigheterna ska beakta företagets storlek, överträdelsens allvar, huruvida den var avsiktlig eller inte, och åtgärder som vidtagits för att begränsa skadan
Regulatoriska sandlådor (Artikel 57) erbjuder en ram inom vilken SMF kan testa sina AI-system under verkliga förhållanden med myndigheternas stöd

Vem kontrollerar och vem bestraffar?

Behöriga nationella myndigheter

Varje medlemsstat ska utse en eller flera behöriga nationella myndigheter med ansvar för marknadsövervakning och verkställighet av förordningen. I Sverige kommer detta ansvar sannolikt att delas mellan flera instanser:

IMY (Integritetsskyddsmyndigheten) — redan behörig för dataskydd, har naturlig expertis avseende AI-system som behandlar personuppgifter
PTS eller en ny dedikerad myndighet — för aspekter relaterade till AI-modeller och infrastruktur
Befintliga sektormyndigheter (Finansinspektionen för finans, Socialstyrelsen för hälso- och sjukvård) — för högrisk-AI-system inom sina respektive områden

Europeiska AI-byrån (AI Office)

Inrättad inom Europeiska kommissionen, spelar Europeiska AI-byrån en samordnande roll och har direkta befogenheter avseende AI-modeller för allmänna ändamål. Den kan:

Utvärdera överensstämmelsen hos AI-modeller för allmänna ändamål
Begära korrigerande åtgärder från leverantörer
Utdöma böter för överträdelser rörande modeller för allmänna ändamål

📄AI Act Artikel 4: utbildningskravet förklarat→

Vikten av att kunna bevisa efterlevnad

Utöver böterna vilar AI Acts mekanism på en grundläggande princip: bevisbördan ligger på företaget. Det är inte myndighetens uppgift att bevisa att du inte följer reglerna — det är din uppgift att bevisa att du gör det.

Vad “bevisa efterlevnad” konkret innebär

Teknisk dokumentation: för varje högrisk-AI-system, ett komplett dossier som beskriver systemet, dess ändamål, prestanda, begränsningar och använda träningsdata
Complianceregister: historik av överensstämmelsebedömningar, interna revisioner, uppdateringar
Användningsloggar: automatiska register som spårar AI-systemens beslut (minsta lagringstid sex månader)
Utbildningsbevis: intyg, utvärderingsresultat, deltagandegrad — som visar att personalen uppnår den kompetensnivå som Artikel 4 kräver
Rapporteringsrutiner: dokumenterade mekanismer som gör det möjligt för användare att rapportera funktionsstörningar eller problematiska resultat

En mätbar och spårbar kompetenspoäng per medarbetare utgör ett särskilt starkt beviselement för Artikel 4. Likaså gör en fullständig historik av genomförda utbildningar, med datum, innehåll och resultat, det möjligt att bevisa efterlevnad på ett objektivt sätt.

Den försvårande omständigheten: avsaknad av åtgärder

Vid en kontroll är den mest ogynnsamma situationen inte att ha ett ofullkomligt complianceprogram — det är att inte ha något alls. Myndigheterna kommer att beakta de insatser företaget har gjort. Att ha påbörjat ett strukturerat tillvägagångssätt, även ett ofullständigt, är alltid att föredra framför total passivitet.

📄AI-revision i företaget: praktisk steg-för-steg-guide→

Riskkalendern

Sanktionerna tillämpas stegvis, i linje med ikraftträdandet av de olika skyldigheterna:

Datum	Gällande skyldigheter	Tillämpliga sanktioner
1 februari 2025	Förbjudna metoder (Artikel 5)	Upp till 35 M€ / 7 %
2 augusti 2025	AI-kompetens (Artikel 4) + Modeller för allmänna ändamål	Upp till 15 M€ / 3 %
2 augusti 2026	Högrisk-AI-system	Upp till 15 M€ / 3 %
2 augusti 2027	Högrisk-system integrerade i reglerade produkter	Upp till 15 M€ / 3 %

De två första tidsfristerna har redan passerat. Företag som ännu inte har vidtagit åtgärder avseende förbjudna metoder och AI-kompetens befinner sig redan i riskzonen.

Bortom böterna: de indirekta riskerna

De finansiella sanktionerna är bara den synliga delen. Bristande efterlevnad av AI Act exponerar för andra, lika viktiga risker:

Reputationsrisk: att offentligt identifieras som icke-regelenlig med AI-regelverket sänder en förödande signal till kunder, partners och investerare
Kommersiell risk: regelföljande företag kommer att kräva att deras leverantörer och partners också följer reglerna — en kaskadeffekt jämförbar med GDPR
Operationell risk: myndigheter kan beordra tillbakadragande av ett icke-regelenligt AI-system från marknaden eller förbjuda dess användning — vilket potentiellt kan lamslå kritiska affärsprocesser
Tvistrisk: personer som drabbats av ett icke-regelenligt AI-system kan väcka talan, med tillhörande juridiska kostnader och skadestånd

Ce que ça implique pour vous

AI Act inför de tyngsta sanktionerna inom europeisk digital rätt: 35 miljoner euro eller 7 % av den globala omsättningen för förbjudna metoder, 15 miljoner för högrisk-system och brist på utbildning. Nyckeln till att minimera risken: bevisa efterlevnad genom noggrann dokumentation, spårbara utbildningar och mätbara utvärderingar. De första tidsfristerna har redan passerat — varje dag utan åtgärd ökar exponeringen.