Når det gjelder regulering, er begrepet «USA» en selvmotsigelse. Delstatslover er alt annet enn enhetlige, og hver jurisdiksjon skreddersyr tradisjonelt lovgivningen for å passe sine innbyggeres spesifikke behov. Ingen steder er denne lappeteppetilnærmingen til loven mer sann enn i den gryende verdenen av AI.

Lovgivere i alle 50 stater signert 118 AI-relaterte lovforslag i kraft i år, og dermed også de som allerede er i kraft. Dette representerer bare 11 % av de 1,080 lovene som delstatslovgivere behandlet i 2025.

Vedtatte lover blir også bredere. Colorados SB 24-305 (gjeldende fra 30. juni neste år) er det første brede rammeverket for forbrukerrettigheter for AI som påvirker private selskaper som utvikler eller bruker «høyrisiko-AI-systemer» innen områder som sysselsetting, utlån, helsevesen og boligbeslutninger.

Ulike lover har ulike tilnærminger til problemet, noe som forverrer lappeteppeeffekten. For eksempel knytter Texas Responsible Artificial Intelligence Governance Act (TRAIGA), et annet omfattende rammeverk for forbrukerbeskyttelse innen AI som ble undertegnet i år, ansvar til forsett i motsetning til Colorados resultatbaserte fokus. I mellomtiden har California flere lover, inkludert en som fokuserer på åpenhet om treningsdata.

Alarmklokkene for samsvar med regelverket ringer allerede for amerikanske selskaper. sju av ti IT-ledere rangerer nå samsvar med regelverk blant sine tre største utfordringer for generativ AI-distribusjon. Gartner (kilden til statistikken) mener at brudd på AI-regelverket vil føre til en økning på 30 % i juridiske tvister for teknologiselskaper. Bedrifter forstår kanskje risikoen, men det betyr ikke at de er klare for den. Under en fjerdedel er sikre på at de faktisk kan håndtere AI-styring, sier markedsanalytikerselskapet.

Det er ikke noe nytt for amerikanske selskaper å slite med reguleringer, som måtte fordøye GDPR (litt som en slange som svelger en geit) i 2018. Men AI ser ut til å bli verre for dem.

Trumps EO-gambit

Krisede ledere kan se til president Trumps siste brev for trøst. Forrige uke utstedte Det hvite hus en Executive Order søker å tøyle statlig regulering av AI. Ved å gjøre det forsøker den å innfri mange av løftene som er gitt i dens AI handlingsplan, utgitt i juli.

Den siste justisministeren utnevner justisminister Pam Bondi til leder av en «AI Litigation Task Force» som skal oppdage statlige lover hun anser som ulovlige. Handelsdepartementet vil følge opp ved å knytte tilskuddsforslag til det «regulatoriske landskapet» i statene.

EO tar sikte på å erstatte forskrifter på delstatsnivå som statsadvokaten ikke liker med et enkelt juridisk rammeverk, som vil bli utviklet av en spesialrådgiver for AI og krypto (en stilling som for tiden innehas av tidligere Paypal-sjef David Sacks). Federal Communications Commission vil også undersøke muligheten for å lage en enkelt føderal standard for rapportering og offentliggjøring av AI-modeller.

Dette kan kanskje glede noen av de selskapene som er bekymret for kompleksiteten i lovgivningen på statlig nivå, men i praksis tror ikke juridiske eksperter at det har noen fordeler.

«Føderale etater som DOJ og FTC kan ikke gripe inn i lovlige statlige forskrifter uten en klar delegasjon fra Kongressen» skrev Olivier Sylvain, professor i jus ved Fordham University og seniorforsker i politikk ved Columbia Universitys Knight First Amendment Institute.

Kongressen spiller ikke ballen. I juli stemte Senatet med overveldende flertall for å fjerne et foreslått 10-årig moratorium for håndheving av statlige AI-lover fra det foreslåtte lovforslaget. Nylig nektet lovgivere å legge til et slikt moratorium i National Defense Authorization Act.

Utøvende ordre gjelder myndighetene, ikke den private sektoren, og det er derfor det siste dokumentet prøver å bruke den utøvende grenen til å knuse statlige rettstvister. Men «uten noen lov som kommer i nærheten av å håndtere statlig regulering av AI, enn si en som forhindrer det, ville et angrep fra Justisdepartementet eller FTC på stater sannsynligvis være dødt ved ankomst», la Sylvain til.

Risikoene ved ikke-kompatibel AI-distribusjon

Med dette i tankene bør selskaper planlegge for langsiktig samsvar med statlige AI-reguleringer. For å gjøre dette bør tre spørsmål nå være obligatoriske i styrediskusjoner om AI: Hvem er ansvarlig for AI-beslutninger? Hvordan vurderes risikoene? Og hva skjer når modeller feiler? Men dette skjer ikke. Bare 49 % av styrene har vurdert AI, risiko, ifølge den nasjonale foreningen av bedriftsdirektører.

Farene ved å ikke vurdere risiko er flere. Den største så langt, ifølge McKinsey, er unøyaktighet, ettersom 30 % av selskapene opplever dette minst én gang i AI-prosjekter. I 2024 betalte Air Canada erstatning etter at chatboten deres oppfunnet sorgrabatter, men disse blekner sammenlignet med omdømmeskaden det forårsaket.

Nummer to på McKinseys liste var forklarbarhet, som har påvirket 14 % av selskaper i reelle AI-implementeringer. Hvis du ikke klarer å forklare hvorfor modellen din nektet noen et lån, kan du havne i regulatorisk trøbbel. Andre risikoer inkluderer brudd på personvern og sårbarheter i nettsikkerheten, som alle kan føre til potensielle regulatoriske tilbakeslag.

Bedrifter trenger ikke lete lenge etter eksempler på AI-implementeringer som har gått galt. Én AI-drevet programvareutviklingstjeneste slettet en persons produksjonsdatabase, for eksempel. Kanskje det mest urovekkende av alt var imidlertid skandalen rundt den nederlandske skattemyndighetens misbruk av AI å ta livsviktige avgjørelser om ytelser.

ISO/IEC 42001 gir et grunnlag for samsvar med AI

I ustabile tider som disse, hvor det regulatoriske AI-landskapet langt fra er ensartet, er det viktig å vende seg til veletablerte standarder som ISO / IEC 42001 bidrar til å skape gjennomgående god praksis. Dette ble publisert i desember 2023 og er en internasjonal standard for AI-styringssystemer. Organisasjoner som vurderer AI-implementering kan bruke dette til å hjelpe dem med risiko- og konsekvensanalyser. Det er et verktøy for AI-styring som fungerer på tvers av flere jurisdiksjoner.

Bedrifter kan bidra til å utvikle og opprettholde robuste beste praksiser innen AI ved å bygge samsvarstiltak inn i organisasjonsstrukturen. For eksempel kan du utnevne et medlem av samsvarsteamet til å føre tilsyn med AI-spesifikke samsvarstiltak drevet av ISO 42001, og bygge regelmessige risikovurderingstiltak inn i prosessene for AI-utvikling, -distribusjon og -bruk.

ISO 42001 er en livbøye som bedriftenes compliance-avdelinger kan klamre seg til, og ligger midt i et turbulent hav av statlige lover, og med skiftende føderale håndhevingsprioriteringer som tester de juridiske grensene for regulering.