EU AI Act-sanktioner: vad företag faktiskt riskerar
EU AI Act-sanktioner kan nå 35 miljoner euro, men ingen har bötfällts än. Här är vad svenska företag faktiskt riskerar 2026 och vilka undantag som sänker risken.
Rubrikerna skrämmer: böter upp till 35 miljoner euro eller 7 procent av global omsättning. Men i juni 2026 har ingen enda bötfällts under hela EU AI Act, trots att de tyngsta reglerna gällt i över ett år. Den här guiden reder ut vad EU AI Act-sanktioner faktiskt innebär för ett svenskt företag, när de börjar bita, och vilka undantag som sänker din risk på riktigt.
Det viktigaste först: lagen är skarp på pappret, men proportionalitet för småbolag är inbyggd, och flera undantag är gjorda för just er.
Vad kostar det att bryta mot EU AI Act?
EU AI Act-sanktioner regleras i Artikel 99 och delas i tre nivåer: förbjudna AI-praktiker kostar upp till 35 miljoner euro eller 7 procent av global omsättning, andra brott upp till 15 miljoner euro eller 3 procent, och vilseledande information till myndighet upp till 7,5 miljoner euro eller 1 procent.
För stora bolag gäller det högre av belopp och procent. Men för små och medelstora företag, inklusive startups, gäller enligt Artikel 99(6) det lägre av de två. Det är en medveten proportionalitetsregel som ska skydda mindre aktörer från att krossas av en bot.
De tre nivåerna ser ut så här bredvid varandra:
| Nivå | Tak stora bolag | Tak mindre företag (det lägre av) | Vad det täcker | Drabbar typiskt |
|---|---|---|---|---|
| Förbjudna praktiker | 35 M€ eller 7 % av global omsättning | 7 % av omsättningen | Överträdelse av Artikel 5 | den som kör manipulativ AI eller social poängsättning |
| Övriga skyldigheter | 15 M€ eller 3 % av global omsättning | 3 % av omsättningen | brott mot hög-risk-kraven (Artikel 16–27) och GPAI-regler | den som driftsätter ett hög-risk-system utan att uppfylla kraven |
| Vilseledande information | 7,5 M€ eller 1 % av global omsättning | 1 % av omsättningen | felaktiga eller ofullständiga uppgifter till myndighet | den som lämnar oriktig dokumentation vid tillsyn |
Konkret: en svensk startup med 20 miljoner kronor i omsättning som bryter mot en förbjuden praktik riskerar 7 procent av omsättningen, alltså 1,4 miljoner kronor, inte 35 miljoner euro. Sanktionerna är fortfarande tunga, men taket följer din storlek.
Det blir tydligare med flera storlekar bredvid varandra. Eftersom taket för ett mindre företag är procenten av omsättningen, inte eurobeloppet, skalar boten med hur stor du är och vilken nivå överträdelsen ligger på:
| Omsättning | Förbjuden praktik (7 %) | Hög-risk-brott (3 %) | Vilseledande uppgift (1 %) |
|---|---|---|---|
| 20 Mkr (litet) | 1,4 Mkr | 600 000 kr | 200 000 kr |
| 80 Mkr (medelstort) | 5,6 Mkr | 2,4 Mkr | 800 000 kr |
| 200 Mkr (större) | 14 Mkr | 6 Mkr | 2 Mkr |
Poängen är att eurotaken (35, 15 och 7,5 miljoner euro) i praktiken aldrig binder ett mindre svenskt företag. Det är procenten som styr, och då blir avståndet mellan nivåerna det som avgör risken: en förbjuden praktik kostar sju gånger mer än ett rent dokumentationsfel vid samma omsättning.
Värt att förstå är vad de tre nivåerna faktiskt täcker, eftersom de flesta mindre företag aldrig hamnar i den översta. Den högsta nivån gäller de uttryckligen förbjudna praktikerna i Artikel 5, sådant som social poängsättning av medborgare eller manipulativ AI. Den mellersta nivån gäller brott mot skyldigheterna för hög-risk-system, alltså att man kör ett system i en känslig tillämpning utan att uppfylla kraven. Den lägsta nivån gäller att lämna felaktig eller vilseledande information till en myndighet under tillsyn.
Vad de tre nivåerna täcker
Ett typiskt mindre företag med standardverktyg, en kundtjänst-chatbot och intern produktivitets-AI, löper i praktiken ingen risk för den högsta nivån. Ett medelstort bolag med 80 miljoner kronor i omsättning som missar dokumentationskraven för ett hög-risk-system tittar på upp till 3 procent, alltså 2,4 miljoner kronor, och då bara om det går så långt som till en bot. Vi går igenom hela bötesregimen och de fyra risknivåerna i vår grundguide till EU AI Act för svenska företag.
Har någon faktiskt bötfällts än?
Nej. Per juni 2026 har ingen bötfällts under hela EU AI Act, trots att förbudet mot vissa AI-praktiker (Artikel 5) gällt sedan 2 februari 2025. Det bekräftas av EU-parlamentets utredningstjänst och av oberoende juristbevakning, som inte hittat ett enda avgjort tillsynsärende.
Skälen är strukturella, inte en signal om att lagen är tandlös. Tillsynsmaskineriet är ännu inte på plats: enligt EU-parlamentets utredningstjänst omfattade listan över utsedda kontaktpunkter i mars 2026 bara åtta stycken, av 27 medlemsstater, sju månader efter deadline den 2 augusti 2025. AI-kontorets fulla bötesrätt över generella AI-modeller aktiveras först i augusti 2026, och hög-risk-kraven har ännu inte börjat gälla. Flera medlemsstater, däribland Sverige, har dessutom inte färdig nationell lagstiftning som pekar ut vem som får utfärda böterna.
Det här är en övergångsfas, inte ett permanent läge. Förbjudna praktiker kan i teorin bötfällas redan i dag, och första gången en myndighet tar ett ärende hela vägen sätts en standard som resten följer. Erfarenheten från GDPR är tydlig: de första åren var lugna, sedan kom besluten. Mönstret syns i siffrorna. Under 2023 utfärdades runt 2,1 miljarder euro i GDPR-böter inom EU, mer än 2019, 2020 och 2021 sammanlagt, och snittboten steg från omkring 500 000 euro 2019 till 4,4 miljoner euro 2023 enligt statistik från GDPR Enforcement Tracker sammanställd av Statista. Den samlade bötessumman har enligt CMS GDPR Enforcement Tracker Report passerat 6 miljarder euro fördelat på över 2 600 beslut fram till mars 2026. Den som byggde sin GDPR-compliance under de lugna första åren slapp göra det under granskning. Samma fönster är öppet nu för AI Act-sanktioner.
2026 är med andra ord ett uppbyggnadsår. Slutsatsen för ett mindre företag är inte att ignorera lagen, utan att använda tidsfönstret till att bli klar i lugn och ro innan tillsynen växlar upp. De som väntar tills första boten faller får i stället bråttom under press.
Vad GDPR-parallellen säger om infasningen
Ställer du de två regelverken bredvid varandra blir likheten konkret. Båda har ett högt maxtak, en trög start och en upptrappning som kommer först när tillsynen mognar:
| GDPR | EU AI Act | |
|---|---|---|
| Gäller från | maj 2018 | februari 2025 (förbud), augusti 2026 (GPAI) |
| Maxtak | 20 M€ eller 4 % av omsättning (Artikel 83) | 35 M€ eller 7 % av omsättning |
| Första åren | låg aktivitet, snittbot omkring 500 000 € (2019) | ingen bot utfärdad per juni 2026 |
| När det vände | 2,1 md € i böter under 2023, snittbot 4,4 M€ | tillsyn fasas in 2026–2028 |
Tabellen är en egen sammanställning av siffrorna ovan, inte en officiell jämförelse. Den visar varför 2026 liknar GDPR:s år 2018: regelverket gäller, taken är höga, men besluten har inte börjat komma. Den som läser AI Act-sanktioner mot GDPR:s facit ser att lugnet är tillfälligt.
När börjar EU AI Act-sanktioner bita på riktigt?
Sanktionerna fasas in i takt med att kraven träder i kraft. Förbjudna praktiker är redan sanktionerbara sedan februari 2025. Nästa skarpa datum är 2 augusti 2026, då AI-kontorets bötesrätt över generella AI-modeller aktiveras. Hög-risk-kraven kommer först därefter.
Här är tidslinjen som gäller för svenska företag:
| Krav | Sanktionerbart från |
|---|---|
| Förbjudna AI-praktiker (Artikel 5) | 2 februari 2025 (gäller) |
| AI-kunskapskravet (Artikel 4) | 2 februari 2025 (gäller) |
| Generella AI-modeller, GPAI (Artikel 101) | 2 augusti 2026 |
| Transparens om AI-innehåll (Artikel 50) | 2 augusti 2026, föreslås flyttat till 2 december 2026 |
| Hög-risk fristående system (Annex III) | föreslås flyttat till 2 december 2027 |
| Hög-risk i reglerade produkter (Annex I) | föreslås flyttat till 2 augusti 2028 |
Det praktiska rådet är att planera efter de datum som faktiskt är i kraft, inte efter de föreslagna senareläggningarna, förrän de är beslutade. Vill ni veta exakt vilken nivå ert system hamnar på, börja med vår steg-för-steg-guide till riskklassificering.
Hur fungerar EU AI Act-sanktioner för generella AI-modeller?
Generella AI-modeller, som de stora språkmodellerna bakom ChatGPT och Claude, har en egen sanktionsregim i Artikel 101. Här är EU-kommissionens AI-kontor ensam behörig myndighet, inte den svenska. Böterna ligger på upp till 15 miljoner euro eller 3 procent av global omsättning.
Den här regimen spelar roll indirekt för de flesta svenska företag. Sanktionerna riktar sig mot dem som bygger och tillhandahåller modellerna, alltså de stora leverantörerna, inte mot företaget som använder ChatGPT i sin verksamhet. Som användare är ni tillhandahållare i lagens mening, med betydligt lättare skyldigheter än modellbyggaren.
En detalj är ändå värd att känna till. Det finns en frivillig uppförandekod för generella AI-modeller, färdigställd i juli 2025. Den är inte tvingande, men en leverantör som ansluter sig och följer den riskerar lägre böter om en överträdelse ändå konstateras. Det säger något om hur tillsynen är tänkt att fungera: samarbete och dokumenterad god vilja väger tungt, både för modellbyggare och för vanliga företag. Den som kan visa att man försökt göra rätt behandlas mildare än den som ignorerat reglerna.
Vad ändrar Digital Omnibus för svenska företag?
Digital Omnibus är EU-kommissionens förslag att förenkla och senarelägga delar av AI-förordningen. Det är ännu inte gällande lag. En provisorisk politisk överenskommelse nåddes 7 maj 2026, men paketet måste röstas igenom och publiceras innan det binder.
För mindre företag innehåller förslaget två viktiga delar. Den första är senareläggningarna: hög-risk-systemen i Annex III skjuts till december 2027 och de i reglerade produkter till augusti 2028. Den andra är att en ny kategori, små midcap-bolag (färre än 750 anställda och högst 150 miljoner euro i omsättning), läggs till bredvid dagens definition av små och medelstora företag på 250 anställda och 50 miljoner euro. Fler företag får därmed del av proportionaliteten och de förenklade kraven, som förenklad dokumentation, prioriterad sandlådetillgång och anpassade bötestak.
Paketet inför också ett nytt förbud, mot AI som skapar icke-samtyckt intimt material och övergreppsmaterial. Det visar att senareläggningarna inte betyder att lagen luckras upp överlag: deadlines flyttas där standarderna inte hunnit bli klara, samtidigt som de tydligaste riskerna skärps. Riktningen är förenkling av administrationen, inte mildare hållning mot faktiska skador.
Tills paketet är publicerat i EU:s officiella tidning gäller de ursprungliga datumen fullt ut. Den som planerar sin compliance efter de nya datumen i förväg tar en risk: blir omröstningen försenad sitter ni plötsligt efter en deadline ni trodde var borttagen. Säkrast är att bygga compliance som om de ursprungliga datumen står kvar, och se en eventuell senareläggning som extra marginal, inte som en ursäkt att skjuta upp arbetet.
Vilka undantag finns för småföretag?
Förordningen har inbyggda lättnader för företag utöver bötesproportionaliteten. Den viktigaste är förenklad teknisk dokumentation: enligt Artikel 11 får små och medelstora företag som bygger hög-risk-system lämna dokumentationen i förenklad form, via en mall som kommissionen tar fram.
Undantaget tar bort byråkratisk tyngd, men inte de substantiella kraven på att systemet ska vara säkert och granskningsbart. Ni slipper alltså inte tänka på risk, men ni slipper en del av pappersarbetet som annars är dimensionerat för storbolag.
Utöver detta ska tillsynsmyndigheterna enligt förordningen ta särskild hänsyn till mindre företags ekonomiska livskraft när böter bestäms, och anpassa avgifter för sandlådor efter företagets storlek.
Vad förenklingen betyder i praktiken
I praktiken betyder förenklingen att ni dokumenterar samma sak som ett storbolag, fast med mindre formalia. En kort beskrivning av vad systemet gör, vilka data det använder och hur ni granskar det räcker längre för ett mindre bolag än för en koncern. Det undantaget får dock inte förväxlas med att slippa klassificera systemen. Ni måste fortfarande veta vilken risknivå varje AI-system ligger på, för det är den bedömningen som avgör om dokumentationskraven över huvud taget gäller er. De flesta system hos mindre företag landar i låg eller begränsad risk, där bördan är minimal från början.
Den som vill veta exakt vad som måste dokumenteras hittar en färdig mall i vår guide till EU AI Act-dokumentation.
Kan en regulatorisk sandlåda skydda er mot böter?
Ja. En regulatorisk sandlåda enligt Artikel 57 är en kontrollerad testmiljö där ni kan utveckla och pröva ett AI-system under myndighetens överinseende. Det starkaste skyddet är att inga administrativa böter ska dömas ut för överträdelser som sker inom sandlådan, så länge ni följer planen i god tro.
Sandlådan ger tre saker: en skyddad miljö att testa i innan lansering, prioriterad tillgång för just mindre företag och startups, och en slutrapport från myndigheten som snabbar upp den slutliga efterlevnadsbedömningen. För ett mindre bolag är det här ett sätt att bygga och bevisa compliance utan att riskera en bot på vägen.
Haken i juni 2026 är att de flesta länder, inklusive Sverige, ännu inte har en fullt operativ AI-sandlåda. Den svenska utredningen föreslår att PTS får i uppdrag att upprätta den obligatoriska sandlådan, men den är inte i drift. Sandlådan är alltså en möjlighet att planera in, inte att använda i dag.
För ett mindre företag som planerar ett system i en känsligare tillämpning är rådet att hålla sandlådan i åtanke som en framtida väg. När den svenska sandlådan väl öppnar blir den ett av de billigaste sätten att bygga och bevisa compliance, särskilt eftersom skyddet mot böter under testperioden tar bort det som annars är skrämmande med att lansera tidigt. Den som redan har sin riskklassificering och dokumentation klar kommer dessutom snabbare genom en sandlådeprocess, eftersom grundarbetet då redan är gjort.
När gäller R&D- och öppen källkod-undantagen?
Två generella undantag faller ofta företag till godo. Forsknings- och utvecklingsundantaget i Artikel 2 innebär att aktiviteter före marknadsintroduktion inte träffas av förordningen. Öppen källkod-undantaget innebär att fritt licensierad AI inte regleras, så länge den inte är hög-risk, förbjuden eller transparenspliktig.
R&D-undantaget är praktiskt viktigt: ni kan bygga och testa en prototyp internt utan full compliance-börda. Skyddet upphör i samma stund systemet sätts i drift eller släpps på marknaden, så det är ett utvecklingsfönster, inte en permanent frizon. Testning under verkliga förhållanden räknas dessutom som drift.
Gränsen för öppen källkod
Öppen källkod-undantaget har en tydlig gräns: licensen i sig räcker inte. Tar ni en öppen modell och bygger en hög-risk-tillämpning, till exempel kreditbedömning, gäller alla krav ändå. Undantaget skyddar delning av verktyg, inte riskfylld användning av dem. Samma logik gäller generella AI-modeller där öppna varianter utan systemrisk slipper en del av dokumentationskraven.
Det finns dessutom ett snävare undantag för rent vetenskaplig forskning, där AI som uteslutande tas fram för forskningsändamål faller helt utanför förordningen. Gränsen går vid syftet: så fort något kommersiellt syfte tillkommer försvinner undantaget. För ett mindre företag är den praktiska lärdomen att undantagen är generösa i utvecklingsfasen men stängs i samma stund tekniken börjar tjäna pengar. Bygg och experimentera fritt, men räkna med att full compliance gäller från första skarpa kunden. Det är sällan en nackdel, eftersom det är då systemet ändå behöver vara säkert och granskningsbart.
Hur undviker ni att bli testfallet?
Det effektivaste skyddet är att inte vara den uppenbara överträdaren när tillsynen vaknar. Ett ärende inleds oftast genom ett klagomål: enligt Artikel 85 kan vem som helst anmäla ett misstänkt AI-system till marknadskontrollmyndigheten, som ska beakta anmälan.
I Sverige föreslår utredningen Anpassningar till AI-förordningen (SOU 2025:101), som lämnades till regeringen i oktober 2025, att PTS får huvudansvaret som samordnande marknadskontrollmyndighet, medan IMY och Finansinspektionen delar ansvaret för hög-risk-AI. Totalt pekas elva myndigheter ut. De nya svenska reglerna föreslås träda i kraft samtidigt som förordningen blir fullt tillämplig, den 2 augusti 2026, men är ännu inte antagna. Förordningen gäller ändå direkt, så ni är bundna oavsett var den svenska lagstiftningen står.
Driftstoppet kostar oftast mer än boten
Den verkliga kostnaden för många mindre företag är inte botbeloppet utan driftstoppet. Marknadskontrollmyndigheten kan kräva att ett system dras tillbaka, återkallas eller förbjuds på marknaden, helt vid sidan av böterna. Ett system som plötsligt måste stängas mitt i drift kostar ofta mer i förlorad verksamhet än boten gör.
När en bot väl bestäms väger myndigheten in en rad omständigheter enligt Artikel 99(7): hur allvarlig överträdelsen är, om den var avsiktlig, om ni samarbetat, och om ni själva åtgärdat felet. Den som upptäcker en brist, rättar den och berättar för myndigheten behandlas påtagligt mildare än den som blir påkommen och bortförklarar. Det gör tidig, dokumenterad egenkontroll till en konkret riskreducering, inte bara en formalitet.
Tre saker håller er borta från testfalls-rollen: klassificera systemen rätt, dokumentera att ni gjort det, och informera kunderna när de möter AI. De som har den grunden på plats är inte de som myndigheten börjar med, och om något ändå skulle granskas är det de som har lättast att visa god vilja.
Sammantaget är EU AI Act-sanktioner reella men hanterbara för ett företag som agerar i tid. Botbeloppen följer er storlek, ingen har bötfällts än, och flera undantag är skrivna för mindre företag. Tidsfönstret 2026 är till för att bli klar i lugn och ro, innan tillsynen växlar upp på allvar. För hela bilden av hur AI-agenter passar svenska företag inom regelverkets ramar finns vår fördjupande guide till AI-agenter för svenska företag.
Vanliga frågor
Nej, inte i praktiken. Taket på 35 miljoner euro gäller det högre av belopp och procent för stora bolag. För små och medelstora företag gäller enligt Artikel 99(6) det lägre, alltså procenten av er omsättning. Ett bolag med 20 miljoner kronor i omsättning riskerar som mest runt 1,4 miljoner, inte 35 miljoner euro.
Ja. Senareläggningen är ett förslag i Digital Omnibus och gäller inte förrän den är publicerad i EU:s officiella tidning. Förbjudna praktiker och AI-kunskapskravet gäller dessutom redan sedan februari 2025, oberoende av Omnibus. Planera efter de datum som faktiskt är i kraft tills senareläggningen är beslutad.
Bara delvis. Fritt licensierad AI är undantagen från förordningen, men undantaget upphör om systemet är hög-risk, förbjudet eller transparenspliktigt. Bygger ni en kreditbedömning på en öppen modell gäller alla krav ändå. Licensen skyddar delning av verktyget, inte riskfylld användning av det.
Ett ärende inleds oftast genom ett klagomål enligt Artikel 85. Marknadskontrollmyndigheten kan utöver böter kräva att systemet dras tillbaka, återkallas eller förbjuds på marknaden. För många mindre företag blir driftstoppet dyrare än boten, eftersom verksamheten som bygger på systemet tvingas pausa.
PTS är föreslagen samordnande marknadskontrollmyndighet, och IMY tillsynsmyndighet för bland annat förbjudna praktiker och biometrisk identifiering. Sverige har i juni 2026 ännu inte antagit den kompletterande lagen, men förordningen är direkt tillämplig och binder svenska företag oavsett var den nationella lagstiftningen står.
AI i arbete?