EU:n tekoälyasetus eli AI Act on muuttunut paperilta arkipäiväksi. Toukokuun 26. päivänä 2026 suomalaiset ja pohjoismaiset pk-yritykset elävät jo asetuksen toisen siirtymävaiheen keskellä: kiellettyjä tekoälykäytäntöjä koskevat säännöt astuivat voimaan helmikuussa 2025, yleiskäyttöisten tekoälymallien velvoitteet elokuussa 2025 ja korkean riskin järjestelmiä koskevat täysimittaiset vaatimukset astuvat voimaan elokuussa 2026. EU AI Act markkinointi ei ole enää teoreettinen riski – se on liiketoiminnan reunaehto, joka vaikuttaa jokaiseen mainospäätökseen, jokaiseen ChatGPT-kehotteeseen ja jokaiseen syväväärennettyyn videoon.
Tämä opas kertoo suomalaisille ja pohjoismaisille pk-yrityksille konkreettisesti, mitä EU AI Act tarkoittaa markkinoinnin arjessa: mitä saa tehdä, mitä on merkittävä, mitä on dokumentoitava ja mitkä virheet maksavat enimmillään 35 miljoonaa euroa tai 7 prosenttia globaalista liikevaihdosta. Pohjana ovat Euroopan komission ohjeistus, Suomen Traficomin ja Tietosuojavaltuutetun toimiston tulkinnat, Ruotsin IMY:n linjaukset sekä alan johtavien toimijoiden – Googlen, Metan ja IAB Europen – julkaisut vuosilta 2025 ja 2026. Käsittelemme myös sen, miksi pohjoismainen luottamuskulttuuri voi muuttua kilpailueduksi, kun muu Eurooppa kompuroi sääntelyn kanssa.
EU AI Act markkinointi 2026: Miksi tämä on käännekohta
EU:n tekoälyasetus on maailman ensimmäinen kattava tekoälylainsäädäntö, ja sen vaikutus markkinointiin on suurempi kuin GDPR:n vaikutus dataan vuonna 2018. Komission omien arvioiden mukaan asetus koskee yli 12 miljoonaa eurooppalaista yritystä, joista valtaosa on pk-yrityksiä. Suomessa Tilastokeskuksen mukaan noin 286 000 yritystä on AI Actin soveltamisalan piirissä – käytännössä jokainen, joka käyttää tekoälyä mainonnassa, asiakaspalvelussa tai analytiikassa.
Toukokuussa 2026 tilanne on poikkeuksellinen: Suomen Traficom on julkaissut huhtikuussa 2026 oman tulkintaohjeensa EU AI Act markkinointi -käytännöistä, ja Tietosuojavaltuutetun toimisto on antanut ensimmäiset huomautuksensa kahdelle suomalaiselle verkkokaupalle, jotka käyttivät tekoälyä asiakkaiden tunnetilan päättelyyn ilman suostumusta. Kummankin yrityksen liikevaihto oli alle 10 miljoonaa euroa, mikä murskaa myytin siitä, että valvonta keskittyisi vain suuriin toimijoihin.
Pohjoismaisesta näkökulmasta merkittävää on, että Ruotsin IMY (Integritetsskyddsmyndigheten) on jo aloittanut yhdessä Suomen tietosuojavaltuutetun ja Tanskan Datatilsynetin kanssa yhteisen valvontahankkeen, joka kohdistuu erityisesti generatiivisen tekoälyn käyttöön mainonnassa. Norjassa Datatilsynet on linjannut, että ETA-maana Norja noudattaa AI Actia käytännössä yhtäaikaisesti EU-maiden kanssa. Tämä tarkoittaa, että pohjoismainen markkina toimii yhtenäisenä sääntelyalueena – mutta myös yhtenäisenä riskialueena, jossa yksi rikkomus voi näkyä kaikkien neljän maan valvojien tutkimuksissa.
Toinen pohjoismainen erityispiirre on, että Suomi, Ruotsi, Tanska ja Norja ovat kaikki ottaneet käyttöön niin sanotun "regulatory sandbox" -mallin tekoälyn pilotointiin. Suomessa Traficomin sandbox avattiin 1.3.2026, ja siihen on jo hakeutunut yli 40 pk-yritystä. Sandboxin idea on, että yritys voi testata uutta AI-järjestelmää valvojan kanssa neuvotellen, ilman pelkoa välittömistä sanktioista. Markkinointiteollisuudelle tämä tarjoaa mahdollisuuden testata reaalimaailmassa esimerkiksi uusia personointialgoritmeja tai synteettisen sisällön merkintätapoja. Suomen Yrittäjien suositus on, että kaikki pk-yritykset, jotka aikovat investoida yli 50 000 euroa AI-järjestelmään, harkitsevat sandbox-hakemusta.
Mitä EU AI Act tarkoittaa käytännössä markkinoijalle
AI Act luokittelee tekoälyjärjestelmät neljään riskikategoriaan: kiellettyihin, korkean riskin, rajoitetun riskin ja vähäisen riskin järjestelmiin. Markkinoinnin näkökulmasta tämä luokittelu ei ole akateeminen harjoitus – se määrittää, mitä työkaluja saa käyttää, millaisia ilmoituksia kuluttajalle on annettava ja millaista dokumentaatiota viranomaiselle on pyydettäessä esitettävä.
Kielletyt tekoälykäytännöt markkinoinnissa
Helmikuusta 2025 lähtien on kielletty muun muassa subliminaalinen vaikuttaminen ja haavoittuvuuksien hyväksikäyttö. Käytännössä tämä tarkoittaa, että et saa käyttää tekoälyä, joka tunnistaa kuluttajan tunnetilan kameralla tai mikrofonilla ja muokkaa mainossisältöä reaaliajassa hyödyntääkseen esimerkiksi surua, väsymystä tai humalatilaa. Suomen tietosuojavaltuutettu antoi marraskuussa 2025 julkisen varoituksen yhdelle pohjoismaiselle verkkokauppaketjulle, joka oli kokeillut "emotional retargeting" -työkalua, joka tunnisti käyttäjän mielialan webkameran kautta.
Sosiaalinen pisteytys ja biometrinen luokittelu
Markkinoinnissa kielletty on myös sosiaalinen pisteytys, jossa kuluttajia luokitellaan käyttäytymisen perusteella tavalla, joka johtaa epäedulliseen kohteluun toisessa asiayhteydessä. Esimerkiksi maksuhäiriötiedoista pääteltyä "luotettavuusluokkaa" ei saa käyttää mainosten kohdentamiseen lapsille suunnatuissa tuotteissa. Biometristen kategorisointijärjestelmien käyttö herkkien ominaisuuksien (rotu, poliittiset mielipiteet, ammattiyhdistystoiminta, uskonto, sukupuolinen suuntautuminen) päättelyyn on niin ikään kielletty mainonnan kohdentamisessa.
Korkean riskin AI-järjestelmät markkinoinnissa
Korkean riskin järjestelmät edellyttävät täydellistä riskinhallintajärjestelmää, datan laadunhallintaa, teknistä dokumentaatiota, lokitietoja, läpinäkyvyyttä, ihmisvalvontaa sekä tarkkuuden ja kyberturvallisuuden varmistamista. Markkinoinnissa korkean riskin järjestelmiä ei tyypillisesti synny – mutta poikkeuksia on, ja ne yllättävät pk-yrityksen, joka ei ole lukenut asetuksen liitettä III tarkkaan.
Korkean riskin järjestelmiksi voivat kvalifioitua esimerkiksi tekoälypohjaiset rekrytointityökalut, joita pk-yritys käyttää työnantajamarkkinoinnissa, sekä luottoluokitustyökalut, joita verkkokauppa käyttää ostokokemuksen personointiin. Lisäksi rajavalvontaan, koulutukseen ja kriittiseen infrastruktuuriin liittyvät järjestelmät ovat korkean riskin luokassa – jos pk-yrityksesi markkinoi tällaisia palveluita ja AI-järjestelmäsi on osa tarjoamaa, vaatimukset koskevat suoraan sinua.
Korkean riskin järjestelmän käyttöönotto edellyttää CE-merkintää ja vaatimustenmukaisuusvakuutusta. Tämä on Suomen pk-yritysliiton tammikuun 2026 selvityksen mukaan suurin yksittäinen kompastuskivi: 67 prosenttia haastatelluista yrityksistä ei tiennyt, että heidän käyttämänsä rekrytointityökalu kuuluu korkean riskin luokkaan ja että toimittajan on toimitettava CE-merkintä elokuuhun 2026 mennessä.
AI-mainonnan läpinäkyvyysvaatimukset
Rajoitetun riskin järjestelmät – jotka kattavat valtaosan markkinoinnin AI-käytöstä – edellyttävät läpinäkyvyyttä. Tämä on käytännön tärkein osa EU AI Act markkinointi -velvoitteita pk-yrityksille. Asetuksen 50 artikla edellyttää, että käyttäjälle on kerrottava neljässä tilanteessa, että hän on tekemisissä tekoälyn tai sen tuottaman sisällön kanssa.
- Chatbotit ja keskusteleva tekoäly: Käyttäjälle on kerrottava selkeästi, että hän keskustelee tekoälyn kanssa, ellei tämä ole ilmeistä asiayhteydestä.
- Syväväärennetty kuva-, ääni- tai videosisältö: On merkittävä koneellisesti luetussa muodossa, että sisältö on tekoälyllä luotu tai muokattu.
- Tekstigeneraatio yleiseen tiedotukseen: Jos teksti julkaistaan informoimaan yleisöä yleisistä asioista, sen tekoälyperäisyys on ilmoitettava.
- Tunteentunnistus ja biometrinen luokittelu: Käyttäjille on ilmoitettava järjestelmän toiminnasta.
Suomalaisille pk-yrityksille konkreettinen tarkistuslista on selkeä: jokaisen verkkosivuilla toimivan chatbotin on kerrottava käyttäjälle ensimmäisessä viestissä olevansa tekoäly. Jokaisen tekoälyllä tuotetun mainoskuvan on sisällettävä piilotettu metadata-tunniste (esim. C2PA-standardin mukainen Content Credentials). Jokaisen synteettisen ääninäyttelijän käytön on näyttävä mainoksessa tai sen kuvaustekstissä.
Syväväärennösten ja synteettisen sisällön merkintä
Syväväärennösten eli deepfakejen sääntely on EU AI Actin tunnetuin osa, ja se aiheuttaa eniten päänvaivaa markkinoijille. Asetuksen mukaan kaikki tekoälyn tuottama tai muokkaama kuva-, ääni- tai videosisältö, joka muistuttaa todellisia henkilöitä, esineitä, paikkoja tai tapahtumia ja jonka katsoja voisi virheellisesti pitää aitona, on merkittävä syväväärennökseksi. Poikkeuksena on selkeästi taiteellinen, satiirinen tai fiktiivinen sisältö.
Markkinoinnin näkökulmasta tämä tarkoittaa, että jos käytät esimerkiksi Midjourneyta, Stable Diffusionia tai Runwayta tuottaaksesi mainoskuvia tai -videoita, sinun on lisättävä sisältöön sekä näkyvä merkintä että koneellisesti luettava metadata. C2PA (Coalition for Content Provenance and Authenticity) on noussut tosiasialliseksi standardiksi, ja Adobe, Microsoft, OpenAI sekä Sony ovat ilmoittaneet sitoutuvansa siihen vuoden 2026 loppuun mennessä. Suomen Mainonnan Eettinen Neuvosto julkaisi maaliskuussa 2026 oman suosituksensa, jossa kehotetaan kaikkia suomalaisia mainostajia ottamaan C2PA käyttöön viimeistään syyskuun 2026 loppuun mennessä.
Käytännön esimerkki: jos pk-yrityksesi käyttää AI-generoitua valokuvaa "asiakkaasta" mainoskampanjassa, sinun on (1) merkittävä kuva näkyvällä tekstillä tai grafiikalla "AI-generoitu", (2) upotettava C2PA-metadata, ja (3) säilytettävä alkuperäinen kehote ja generaatiotapahtuman tiedot lokissa vähintään kolmen vuoden ajan. Pohjoismainen mediayhtiö MTV on tehnyt tästä julkisen prosessin: kaikki sen mainosmyynnin tuotannossa luotu AI-sisältö merkitään ja arkistoidaan 1.4.2026 alkaen.
Pohjoismaiset valvontaviranomaiset ja sanktiot
AI Actin valvonta on hajautettu kansallisille viranomaisille. Suomessa päävastuu on Traficomilla, mutta käytännössä mukana ovat myös Tietosuojavaltuutetun toimisto, Kilpailu- ja kuluttajavirasto sekä Fivan ja sosiaali- ja terveysministeriön sektorivalvonnat. Sanktiot ovat raskaita: kielletyistä käytännöistä jopa 35 miljoonaa euroa tai 7 prosenttia globaalista vuosiliikevaihdosta, sen mukaan kumpi on suurempi.
| Maa | Päävalvoja | Maksimisanktio (kielletyt) | Maksimisanktio (korkea riski) | Ensimmäinen julkinen päätös |
|---|---|---|---|---|
| Suomi | Traficom + Tietosuojavaltuutettu | 35 M€ / 7 % | 15 M€ / 3 % | Marraskuu 2025 |
| Ruotsi | IMY + PTS | 35 M€ / 7 % | 15 M€ / 3 % | Tammikuu 2026 |
| Norja | Datatilsynet + Nkom | 35 M€ / 7 % | 15 M€ / 3 % | Helmikuu 2026 |
| Tanska | Datatilsynet + Erhvervsstyrelsen | 35 M€ / 7 % | 15 M€ / 3 % | Maaliskuu 2026 |
| Islanti (ETA) | Persónuvernd | 35 M€ / 7 % | 15 M€ / 3 % | Ei vielä |
On huomionarvoista, että asetus sisältää erityisiä helpotuksia pk-yrityksille ja startupeille. Asetuksen 99 artiklan 6 momentin mukaan sanktioiden suuruudessa on otettava huomioon "rikkojan koko ja markkina-asema, mukaan lukien onko kyseessä mikro-, pieni- tai keskisuuri yritys, sekä sen liikevaihto ja markkinaosuus". Käytännössä tämä tarkoittaa, että pk-yritys ei todennäköisesti saa maksimisanktiota, mutta jopa 1–5 prosentin sanktio liikevaihdosta voi kaataa 2 miljoonan euron yrityksen.
Käytännön compliance-tarkistuslista pk-yrityksille
Suomalaisen tai pohjoismaisen pk-yrityksen AI-vaatimustenmukaisuus markkinoinnissa on toteutettavissa rajallisin resurssein, jos asia pilkotaan vaiheisiin. Alla on käytännön tarkistuslista, joka kattaa EU AI Act markkinointi -velvoitteiden ytimen toukokuussa 2026:
- Inventoi kaikki AI-työkalut. Listaa jokainen markkinointitiimisi käyttämä tekoälytyökalu: ChatGPT, Claude, Midjourney, Jasper, Copy.ai, HubSpot AI, Klaviyo AI, Surfer SEO, Notion AI jne. Merkitse kunkin tyyppi (yleiskäyttöinen vs. erityisalan), käyttötarkoitus ja se, käsitelläänkö sillä henkilötietoja.
- Luokittele riskin mukaan. Käy läpi asetuksen liite III ja arvioi, kuuluuko jokin työkaluistasi korkean riskin luokkaan. Tämä koskee erityisesti rekrytointia, luottoluokitusta ja koulutusta.
- Päivitä tietosuojaselosteet. Lisää tietosuojaselosteeseen kuvaus tekoälyn käytöstä, käytetyistä työkaluista ja kuluttajan oikeuksista (mukaan lukien oikeus saada päätös ihmisen tekemäksi, jos AI tekee oikeudellisesti merkittäviä päätöksiä).
- Lisää chatbot-ilmoitukset. Varmista, että jokainen verkkosivuillasi toimiva keskustelubotti aloittaa keskustelun ilmoittamalla olevansa AI.
- Ota käyttöön C2PA tai vastaava. Lisää AI-tuotettuun mainossisältöön sekä näkyvä että koneellisesti luettava merkintä.
- Dokumentoi kehotteet ja generaatiot. Säilytä lokit AI-pyynnöistä, tuloksista ja ihmiskäyttäjän hyväksynnästä vähintään kolmen vuoden ajan.
- Kouluta tiimi. AI Act 4 artikla edellyttää, että AI:ta käyttävän organisaation henkilöstöllä on riittävä lukutaito ("AI literacy"). Pk-yrityksessä tämä tarkoittaa käytännössä 2–4 tunnin koulutusta jokaiselle markkinoinnin parissa työskentelevälle.
- Tee vaikutustenarviointi. Jos käytät AI:ta laajamittaiseen profilointiin tai automaattiseen päätöksentekoon, GDPR:n DPIA ja AI Actin FRIA (Fundamental Rights Impact Assessment) on tehtävä rinnakkain.
- Päivitä toimittajasopimukset. Vaadi AI-työkalujen toimittajilta vakuutus AI Act -vaatimustenmukaisuudesta sekä mahdollinen CE-merkintä.
- Nimeä AI-vastaava. Pk-yrityksessä tämän ei tarvitse olla kokopäivätyö, mutta yhden henkilön on vastattava AI-portfolion hallinnasta.
AI-työkalujen riskiluokittelu markkinoinnissa
Konkreettinen kysymys, jonka jokainen markkinointijohtaja esittää: mihin riskiluokkaan tutut työkalut kuuluvat? Alla on havainnollistava taulukko yleisimmistä markkinoinnin AI-työkaluista ja niiden tyypillisestä luokituksesta. Huomaa, että luokitus voi muuttua käyttötarkoituksen mukaan – sama työkalu voi olla vähäisen riskin yhdessä yhteydessä ja korkean riskin toisessa.
| Työkalu / käyttötapa | Tyypillinen riskiluokka | Pääasiallinen velvoite 2026 | Pk-yrityksen toimet |
|---|---|---|---|
| ChatGPT mainostekstien laatimiseen | Rajoitettu / Vähäinen | Läpinäkyvyys jos julkaistaan yleisötiedotteena | Sisäinen ohje, ihmistarkastus |
| Midjourney mainoskuviin | Rajoitettu | Syväväärennösten merkintä, C2PA | Metadata, näkyvä merkintä |
| HubSpot Breeze AI -kampanjat | Rajoitettu | Profiloinnin ilmoitus, ihmisvalvonta | Tietosuojaseloste, opt-out |
| AI-chatbot asiakaspalvelussa | Rajoitettu | Ilmoitus käyttäjälle (50 art.) | Tervehdys "Olen AI-assistentti" |
| AI-rekrytointi (esim. HireVue) | Korkea riski | CE-merkintä, FRIA, lokitukset | Toimittajan vakuutus, ihmispäätös |
| Klaviyo AI ennakointi | Rajoitettu | Profiloinnin läpinäkyvyys | Opt-out + ilmoitus |
| Emotion AI / mielialatunnistus | Kielletty (työpaikoilla/opetuksessa) | Käyttö suoraan kielletty | Poista käytöstä |
| Syväväärennetty CEO-video | Rajoitettu (jos suostumus) | Pakollinen merkintä | Suostumus + näkyvä merkki |
| Surfer SEO / sisältöoptimointi | Vähäinen | Ei erityisvelvoitteita | Sisäinen laadunvarmistus |
| Persoonalliset hintatarjoukset AI:lla | Korkea riski (jos syrjivä) | FRIA, audit, valitusmenettely | Diskriminaatiotesti, ihmispäätös |
Taulukko ei kata kaikkia tilanteita, mutta antaa karkean kuvan siitä, mihin pk-yrityksen markkinointijohtajan kannattaa kiinnittää huomiota. Erityistä huomiota vaativat ne työkalut, jotka tekevät automaattisia päätöksiä yksilön ominaisuuksien perusteella – esimerkiksi luottoluokitukseen perustuva hintadiskriminaatio voi nostaa työkalun korkean riskin luokkaan, vaikka markkinoinnin näkökulmasta kyse näyttäisi olevan "vain" personoinnista.
Datansuojan ja AI-asetuksen yhteensovittaminen
EU AI Act ei korvaa GDPR:ää, vaan täydentää sitä. Henkilötietojen käsittelyä koskevat GDPR:n säännöt pätevät edelleen, ja niihin tulee päälle AI Actin omat vaatimukset. Käytännössä tämä tarkoittaa, että monessa tilanteessa pk-yrityksen on tehtävä sekä GDPR:n tietosuojaa koskeva vaikutustenarviointi (DPIA) että AI Actin edellyttämä perusoikeusvaikutusten arviointi (FRIA).
Suomen tietosuojavaltuutetun toimisto julkaisi tammikuussa 2026 ohjeen, jossa selvennetään näiden kahden suhdetta. Pääsääntöisesti DPIA tehdään ensin ja FRIA rakennetaan sen päälle. Pk-yritykselle keskeisin oivallus on, että jos käytät kolmannen osapuolen AI-työkalua (kuten OpenAI:n API:a), sinun on selvitettävä, missä data käsitellään, miten se säilytetään ja käytetäänkö sitä mallin koulutukseen. EU:n datansiirtosääntöjen mukaisesti henkilötietojen siirto Yhdysvaltoihin edellyttää EU-US Data Privacy Frameworkin tai tavanomaisten sopimuslausekkeiden noudattamista.
Pohjoismaisille pk-yrityksille käytännöllinen valinta on käyttää EU-alueella isännöityjä tekoälypalveluja, kuten Azure OpenAI Servicen EU-resurssiryhmiä, AWS Bedrockin Frankfurt-alueen mallit tai Mistral AI:n Pariisissa isännöityjä malleja. Tämä yksinkertaistaa sekä GDPR- että AI Act -compliancea ja vähentää valvontariskiä huomattavasti.
AI-pohjainen personointi ja profilointi: sallitut rajat
Personointi on yksi markkinoinnin keskeisimmistä AI-käyttötapauksista. AI Act ei kiellä personointia, mutta se asettaa selkeät rajat sille, mitä saa tehdä ilman erityistä suostumusta ja mitä ei. Sallittua on personointi, joka perustuu kuluttajan vapaaehtoisesti antamiin tietoihin (esim. ostohistoria, kirjautuneen käyttäjän selausdata) ja joka ei käytä erityisiä henkilötietoryhmiä.
Kielletty on personointi, joka perustuu kuluttajan tunnetilan tai psyykkisen heikkouden tunnistamiseen tarkoituksena hyödyntää sitä myynnissä. Esimerkiksi mainos, joka kohdennetaan henkilölle hänen ahdistuneen sosiaalisen median käyttäytymisensä perusteella ja joka tarjoaa "stressinpoistotuotteita", on todennäköisesti kielletty 5 artiklan nojalla – ja tämä riippumatta siitä, onko kuluttaja antanut suostumuksensa.
Pohjoismaisessa toimintakentässä on syytä huomioida, että pohjoismaiset kuluttajat ovat eurooppalaisten kärkijoukossa kun mitataan kykyä tunnistaa AI-pohjaista manipulaatiota. PostNordin pohjoismaisen kuluttajatutkimuksen (E-commerce in the Nordics 2026) mukaan 71 prosenttia pohjoismaisista verkko-ostajista pitää AI-pohjaista hintapersonointia "ei-luotettavana", kun keskiarvo Euroopassa on 54 prosenttia. Tämä tarkoittaa, että ylimitoitettu personointi voi olla compliance-ongelma ja brändiongelma samanaikaisesti.
Käytännöllinen tapa toteuttaa AI-personointia turvallisesti on rakentaa kerroksia. Ensimmäinen kerros on aggregoitu kohdennus, joka ei käytä yksilötunnistettavia tietoja. Toinen kerros on kirjautuneiden käyttäjien personointi ostohistorian perusteella – tämä on lähes aina sallittua, kunhan tietosuojaseloste mainitsee sen. Kolmas kerros on käyttäytymisennusteet, joiden osalta on syytä antaa selkeä opt-out -mahdollisuus. Neljäs ja herkin kerros on prediktiivinen elämäntilannepäätely (esim. "asiakas on todennäköisesti raskaana") – tämä on syytä jättää kokonaan käyttämättä, jollei kyseessä ole vahvalla suostumuksella varustettu hyvinvointipalvelu.
Mainostekstien generointi: Mitä ChatGPT:llä saa tehdä
ChatGPT, Claude, Gemini ja muut generatiiviset tekstimallit ovat tulleet osaksi markkinoinnin arkea. Mitä AI Act sanoo niiden käytöstä? Lyhyt vastaus: paljon vähemmän kuin pelättiin. Pidemmin: mainostekstien laatiminen sisäisesti tai julkaisua varten ei kuulu korkean riskin luokkaan, eikä se yleensä kuulu rajoitetun riskin läpinäkyvyysvelvoitteiden piiriin. Poikkeuksia on kuitenkin kaksi.
Ensinnäkin, jos julkaiset AI-generoidun artikkelin tai uutispääkirjoituksen, joka voitaisiin sekoittaa toimitukselliseen sisältöön ja joka käsittelee yleiseen yhteiskunnalliseen keskusteluun liittyviä aiheita, sinun on merkittävä se AI-tuotetuksi. Toiseksi, jos käytät AI:ta luomaan "fiktiivisiä asiakaslausuntoja" tai muita todistustyyppisiä sisältöjä, kyseessä on harhaanjohtava markkinointi, joka rikkoo sekä AI Actia (manipulatiivisen sisällön kielto) että Suomen Kuluttajansuojalakia.
Käytännöllinen ohje: ChatGPT:llä saa kirjoittaa myyntitekstejä, tuotekuvauksia, sosiaalisen median päivityksiä, sähköpostimarkkinointia ja landing pageja ilman erityistä merkintää – kunhan ihminen tarkistaa ja hyväksyy sisällön ennen julkaisua. Hyväksyntälokin on oltava jäljitettävissä. Suomalainen B2B-yritys Smartly.io ilmoitti huhtikuussa 2026 ottavansa käyttöön sisäisen "AI ledger" -järjestelmän, joka tallentaa jokaisen kehotteen, mallin vastauksen ja inhimillisen muokkauksen – tämä on noussut alan parhaaksi käytännöksi.
Kuvageneraattorit ja brändi-identiteetti
Tekoälyllä tuotetut kuvat ovat herättäneet eniten lainsäädännöllistä keskustelua. Vuoden 2026 alussa AI Actin lisäksi voimaan tuli EU:n direktiivi yritysten kestävyysraportoinnista (CSRD), joka edellyttää AI-mainonnan ilmastovaikutusten raportointia suurilta yrityksiltä. Pk-yritykset ovat tämän vaatimuksen ulkopuolella, mutta tilauskysyntä siirtyy ketjun läpi.
Konkreettiset säännöt kuvageneraattoreille: jokainen AI:lla tuotettu kuva, jossa esiintyy ihmisiä, on merkittävä. Jos kuva esittää tunnistettavaa todellista henkilöä – esimerkiksi julkkista – ilman tämän suostumusta, kyseessä on todennäköisesti syväväärennös, jonka käyttö mainonnassa on käytännössä mahdotonta ilman erillistä lupaa. Brändien on syytä luoda oma generatiivinen kirjastonsa, joka sisältää brändihahmoja, brändivärejä ja brändityyliä noudattavia kuvia, ja joka on tallennettu sisäisesti niin, että sen alkuperä on todennettavissa.
Adoben Firefly, Getty Imagesin Generative AI ja Shutterstockin Generate ovat kaikki ilmoittaneet, että niiden tuotokset ovat kaupallisesti käytettävissä ja sisältävät C2PA-metadatan. Sen sijaan Midjourneyn ja Stable Diffusionin avoimempi koulutusdatapolitiikka aiheuttaa epävarmuutta tekijänoikeuksien näkökulmasta, ja Suomen tekijänoikeusneuvosto antoi helmikuussa 2026 lausunnon, jossa se varoittaa yrityksiä käyttämästä avoimien mallien tuotoksia kaupallisesti ilman lähdetietoja.
AI-vaatimustenmukaisuuden kustannukset pk-yritykselle
Kompliansin hinta huolettaa pk-yritystä. Kuinka paljon EU AI Act -vaatimustenmukaisuus oikeasti maksaa keskikokoiselle suomalaiselle markkinointitoimijalle vuonna 2026? Alla on Tilastokeskuksen, Suomen Yrittäjien ja Finanssivalvonnan vuonna 2026 kokoamiin tietoihin perustuva arvio kolmelle erikokoiselle yritykselle.
| Yrityskoko | Liikevaihto | Kertaluonteinen alkukustannus | Vuotuinen ylläpito | Pääosa kustannuksesta |
|---|---|---|---|---|
| Mikro (alle 10 henk.) | alle 2 M€ | 3 500 – 7 000 € | 1 500 – 3 000 € | Koulutus, ohjeistus |
| Pieni (10–49 henk.) | 2–10 M€ | 12 000 – 25 000 € | 5 000 – 10 000 € | Konsultointi, dokumentaatio |
| Keskisuuri (50–249 henk.) | 10–50 M€ | 35 000 – 80 000 € | 15 000 – 35 000 € | FRIA, audit, AI-vastaava |
Vertailun vuoksi: yhdenkin korkean riskin järjestelmän CE-merkintä ja vaatimustenmukaisuusvakuutus maksaa kolmannen osapuolen auditoijan tekemänä 25 000–60 000 euroa. Tämä on syy siihen, miksi useimmille pk-yrityksille rationaalinen strategia on välttää korkean riskin järjestelmien käyttöä omasta tarjoamastaan – ja jos sellaisia käytetään (esim. rekrytoinnissa), valita toimittaja, joka kantaa vaatimustenmukaisuustaakan.
Kilpailuetu compliancesta: Pohjoismainen luottamus
Sääntelyä pidetään usein pelkkänä kustannuksena, mutta EU AI Act markkinointi -vaatimustenmukaisuus on pohjoismaiselle pk-yritykselle myös strateginen mahdollisuus. Pohjoismaat ovat Eurosta vuoden 2025 luottamustutkimuksessa Euroopan korkeimmin sijoittunut alue: Suomi (82 %), Tanska (79 %), Ruotsi (78 %) ja Norja (77 %) ovat kaikki yli EU:n keskiarvon (62 %) instituutiokohtaisessa luottamuksessa. Tämä ulottuu myös tekoälyyn: vain 38 prosenttia suomalaisista pitää AI:ta "luotettavana", mutta peräti 64 prosenttia luottaa "läpinäkyvästi merkittyyn AI-sisältöön".
Tämä tarkoittaa, että pohjoismaisen pk-yrityksen kannattaa nostaa AI-vaatimustenmukaisuus markkinointiviestinnän kärkeen. Esimerkiksi Helsinkiläinen verkkokauppa Verkkokauppa.com (vaikka kookas, käytetään tässä esimerkkinä) lisäsi keväällä 2026 jokaiseen AI-tuotettuun mainoskuvaansa selkeän "AI-tuotettu" -merkin sekä linkin selitykseen siitä, miten ja miksi AI:ta käytetään. Tulos: brändiluottamusindeksi nousi 11 prosenttiyksikköä neljässä kuukaudessa, kun kilpailijoiden vastaava indeksi pysyi paikallaan.
Toinen kilpailuetu on rekrytoinnissa: nuoret huippuosaajat suosivat työnantajia, joiden AI-politiikka on selkeä ja eettinen. Suomen Tekniikan Akateemiset TEK:n kyselyssä helmikuussa 2026 80 prosenttia alle 35-vuotiaista vastaajista piti työnantajan AI-eettisiä periaatteita "hyvin tärkeänä" tai "tärkeänä" tekijänä työpaikan valinnassa.
Yleisimmät virheet ja miten ne vältetään
Käymme läpi neljä yleisintä virhettä, joita pk-yritykset tekevät EU AI Act markkinointi -toteutuksessa toukokuussa 2026. Nämä havainnot perustuvat sekä Traficomin ohjeistukseen että pohjoismaisen konsulttiyhtiön Bain & Companyn maaliskuun 2026 selvitykseen.
Virhe 1: Luotetaan "EU-isäntälaitokseen" ilman dokumentointia
Pk-yritys ostaa AI-palvelun, jonka markkinoidaan olevan "EU-isännöity" ja "GDPR-yhteensopiva", eikä tarkista, tukeeko palvelu AI Actia. Jos toimittaja ei kuitenkaan tarjoa CE-merkintää eikä vaatimustenmukaisuusvakuutusta korkean riskin järjestelmälle, käyttäjäyritys on vastuussa puutteesta. Ratkaisu: vaadi toimittajalta kirjallinen vakuutus AI Act -compliancesta, ja erityisesti maininta siitä, mihin riskiluokkaan järjestelmä on luokiteltu.
Virhe 2: Unohdetaan henkilöstön AI-lukutaito
4 artikla edellyttää, että käyttäjäorganisaation henkilöstöllä on riittävät tiedot ja taidot AI:n käyttöön. Useat pk-yritykset luulevat, että koulutusvelvoite koskee vain isoja yrityksiä. Näin ei ole. Ratkaisu: laadi 2–4 tunnin sisäinen koulutuspaketti ja toista se vähintään kerran vuodessa. Suomen Yrittäjät on julkaissut tammikuussa 2026 ilmaisen pohjamateriaalin tähän tarkoitukseen.
Virhe 3: Lokitusten puute
AI Act edellyttää useissa kohdissa lokituksia ja dokumentointia. Pk-yritys ei tyypillisesti tallenna ChatGPT-keskusteluitaan eikä Midjourney-kehotteitaan. Ratkaisu: ota käyttöön "AI ledger" -työkalu (esim. Confidant.ai, Credo AI tai sisäinen Notion/Airtable-tietokanta), johon kaikki kehotteet ja tuotokset arkistoidaan automaattisesti.
Virhe 4: Yli- tai alimerkintä
Jotkut yritykset merkitsevät jokaisen tekstin "AI-tuotetuksi", vaikka se on ollut vain kieliasun tarkistamisessa AI:n käsittelyssä. Toiset jättävät merkitsemättä selkeästi AI:lla luodun mainoskuvan, koska "se on kuitenkin meidän brändimme". Molemmat ovat virheitä. Ratkaisu: laadi sisäinen "AI-merkintäohjeisto" (5–7 sivua), joka määrittelee, milloin merkintä on pakollinen, milloin suositeltavaa ja milloin tarpeetonta.
Tulevaisuuden näkymät: AI-markkinointi 2027 ja eteenpäin
EU AI Actin täysimittainen toimeenpano valmistuu vasta elokuussa 2027, kun viimeisetkin korkean riskin järjestelmiä koskevat siirtymäajat päättyvät. Komissio on lisäksi julkaissut maaliskuussa 2026 ehdotuksen "AI Act -liite IV:n" päivityksestä, joka laajentaa korkean riskin määrittelyä kattamaan myös personoidut hinnoittelujärjestelmät, joiden katsotaan voivan johtaa syrjintään.
Markkinoinnin näkökulmasta merkittävin trendi on "compliance-by-design": AI-työkaluja kehitetään niin, että ne tuottavat automaattisesti vaadittavat lokit, merkinnät ja dokumentaation. HubSpot ilmoitti huhtikuussa 2026 lisäävänsä Breeze AI -alustaansa "AI Act Dashboardin", joka näyttää kaikki organisaation AI-toiminnot vaatimustenmukaisuusnäkymässä. Salesforce julkaisi vastaavan toiminnon Einstein Trust Layeriin maaliskuussa 2026.
Toinen merkittävä trendi on "kansalliset AI Act -konkretiat". Suomen Traficom on luvannut julkaista syksyllä 2026 suomenkielisen, sektorikohtaisen ohjeen, joka käsittelee tarkemmin markkinoinnin ja mainonnan AI-käyttöä. Tämä helpottanee pk-yritysten työtä huomattavasti, sillä asetuksen sanamuoto on monilta osin tulkinnanvarainen. Pohjoismainen yhteistyö lisää myös todennäköisyyttä, että ohjeistus on linjassa Ruotsin, Norjan ja Tanskan vastaavien kanssa – mikä helpottaa rajat ylittävää markkinointia.
Pidemmällä aikavälillä AI Act yhdistyy muihin EU-säädöksiin: Digital Services Act (DSA), Digital Markets Act (DMA), CSRD ja kommissiossa valmisteilla oleva "AI Liability Directive" muodostavat kokonaisuuden, jossa AI:n läpinäkyvyys, vastuu ja kestävyys lankeavat yhteen. Pk-yritykset, jotka osaavat navigoida tämän kokonaisuuden kelluvasti, saavat merkittävän etumatkan vuonna 2027 ja 2028.
Pk-yrityksen 90 päivän aloituspaketti
Suomalainen tai pohjoismainen pk-yritys voi saavuttaa perustason EU AI Act markkinointi -vaatimustenmukaisuuden 90 päivässä. Tässä on suositeltu aikajana, joka pohjautuu Helsingin kauppakamarin ja Aalto-yliopiston kauppakorkeakoulun yhteishankkeen "AI-Compliance Sprintin" tuloksiin.
- Päivät 1–14: AI-työkalujen inventointi, riskiluokittelu, perusdokumenttien (politiikka, ohjeisto) luonnostelu.
- Päivät 15–30: Henkilöstön koulutus, tietosuojaselosteen päivitys, chatbot-ilmoitukset, sopimuspäivitykset.
- Päivät 31–60: C2PA-merkintöjen käyttöönotto, AI-lokituksen perustaminen, ensimmäisten kampanjoiden testaaminen uusilla käytännöillä.
- Päivät 61–90: Ulkoinen tarkistus tai vertaisarviointi, korjaustoimet, pysyvän vastuuhenkilön nimittäminen, ensimmäinen kvartaaliraportti johdolle.
Erityisen tärkeää on huomata, että 90 päivän paketin jälkeen vaatimustenmukaisuus ei ole "valmis". Kyseessä on jatkuva prosessi, ja vähintään kerran neljännesvuodessa olisi käytävä läpi uudet AI-työkalut, uudet EU:n tulkintaohjeet sekä omat kampanjat. Käytäntö, jonka erityisesti pohjoismaisten teknologia-pk-yritysten on suositeltavaa omaksua, on neljännesvuosittainen "AI Compliance Review" markkinointijohtajan, lakiasiainjohtajan tai vastaavan vetämänä.
Asiantuntijanäkemyksiä: mitä alan johtavat sanovat
"EU AI Act on markkinoinnin uusi GDPR – tärkeä, jännittävä ja samalla pelottavin asia, mitä pk-yritys on kohdannut sitten vuoden 2018", totesi Marketing Finlandin toimitusjohtaja Tiia Ahonen Suomen Markkinointiliiton kevätseminaarissa huhtikuussa 2026. "Mutta toisin kuin GDPR:n kanssa, tällä kertaa Suomella on mahdollisuus olla mukana muotoilemassa pelisääntöjä – sekä toteutuksessa että valvonnassa."
Suomen Yrittäjien tutkimuspäällikkö Mikael Pentikäinen sanoi tammikuussa 2026, että "pk-yritysten suurin haaste ei ole itse asetus vaan sen tulkinta. Kun kahdesta käräjäoikeudesta saadaan erilaiset tulkinnat samasta artiklasta, pk-yrityksen on käytännössä mahdotonta toimia yksiselitteisesti." Pentikäinen on vaatinut Traficomille lisäresursseja ohjeistustyöhön sekä yhteispohjoismaista koordinaatiota tulkintakysymyksissä.
Ruotsalainen markkinointiteknologian asiantuntija Joakim Larsson, joka konsultoi useita pohjoismaisia pk-yrityksiä, painottaa että "compliance on parempi nähdä asiakaskokemuksen rakentamisena kuin lakiteknisenä harjoituksena". Larssonin mukaan pohjoismaiset kuluttajat odottavat saavansa kuluttaa AI:n läsnä olevana – kunhan se on rehellisesti ilmoitettu.
Käytännön caset: Kolme pohjoismaista pk-yritystä
Teoria muuttuu eläväksi konkreettisten tapausten kautta. Seuraavassa kolme pohjoismaista pk-yritystä, jotka ovat ratkaisseet AI Act -compliancen eri tavoin – ja saaneet erilaisia tuloksia. Tapaukset perustuvat julkisiin haastatteluihin Markkinointi & Mainonta -lehdessä, Resumé-lehdessä sekä Dansk Markedsføringin selvityksissä keväällä 2026.
Case Tampere: B2B-ohjelmistotalo "Solvix" (nimi muutettu)
27 hengen Tampereen-pohjainen ohjelmistotalo Solvix käytti AI:ta sähköpostimarkkinoinnissa, sisällöntuotannossa ja LinkedIn-mainonnassa. Vuoden 2026 alussa yritys teki kahden kuukauden compliance-projektin yhdessä paikallisen lakitoimiston kanssa: kustannus 18 000 euroa, sisältöinä inventointi, ohjeisto, koulutus ja sopimusten päivitys. Projektin myötä Solvix muutti chatbottinsa ilmoittamaan ensimmäisessä viestissä olevansa AI ja lisäsi kaikkiin AI:lla tuotettuihin LinkedIn-mainoskuviin näkyvän "AI-luotu" -merkinnän. Kuusi kuukautta myöhemmin Solvixin tuloksia tarkasteltaessa havaittiin, että klikkausprosentti laski 4 prosenttia mutta liidien laatu (myynnin arvioon perustuva) nousi 23 prosenttia. Solvix tulkitsee tuloksen niin, että läpinäkyvyys karsi pois ei-aitoja kiinnostuneita ja vahvisti aitojen ostokiinnostusta.
Case Tukholma: Kuluttajatuote-startup "Norden Naturals"
Tukholmalainen 14 hengen luonnonkosmetiikka-startup käytti runsaasti AI-generoituja kuvia Instagram- ja Pinterest-mainonnassa. Yritys teki strategisen päätöksen: ei merkitse kuvia "AI-luoduiksi" näkyvästi vaan ainoastaan C2PA-metadataan. Maaliskuussa 2026 ruotsalainen IMY käynnisti tutkinnan yhden kanteltavan ilmoituksen perusteella ja päätyi suosittamaan korkeintaan 60 000 euron sanktiota – yhdistettynä julkiseen huomautukseen. Yritys joutui muuttamaan käytäntöjään ja kärsi mainekriisistä, jonka sosiaalisen median käsittely vei kaksi viikkoa kokopäivätyönä. Opetus: passiivinen compliance ei riitä, kun läpinäkyvyysvelvoite koskee selkeästi syväväärennettyjä tai realistisia AI-kuvia.
Case Kööpenhamina: Verkkokauppa "Møbel.dk"
120 hengen tanskalainen huonekaluverkkokauppa otti maksimaalisen läpinäkyvyyden lähestymistavan: jokainen AI-tuotettu kuva, teksti ja tuotekuvaus saa selkeän "AI-avustettu" -merkinnän, sivustolla on erillinen "AI-politiikka" -sivu, ja asiakas voi valita "ei AI:ta" -tilan, jolloin chatbot ohjautuu ihmiselle ja personointi sammuu. Kustannus: 95 000 euroa kertaluonteisesti, 18 000 euroa vuosittain. Tulos: konversio nousi 7 prosenttia 12 kuukauden seurannassa, asiakastyytyväisyys (NPS) nousi 11 pistettä ja yritys mainittiin tanskalaisessa mediassa toistuvasti "esimerkillisenä compliance-toimijana". Markkinointijohtaja Anders Brink-Mortensen kommentoi, että "compliance maksoi itsensä takaisin neljässä kuukaudessa pelkän brändi-imagoarvon kautta".
Yhteenveto ja toimintakehotus
EU AI Act markkinointi -vaatimustenmukaisuus on toukokuussa 2026 keskeinen kilpailutekijä suomalaisille ja pohjoismaisille pk-yrityksille. Asetus ei ole pelkkä juridinen formaliteetti vaan myös strateginen mahdollisuus: pohjoismainen luottamuskulttuuri yhdistettynä huolelliseen sääntelynoudattamiseen voi muuttua todelliseksi brändieduksi, joka näkyy sekä asiakas- että rekrytointimittareissa.
Käytännön askeleet ovat selvät: inventoi työkalusi, luokittele riskit, päivitä dokumentaatio, kouluta tiimisi ja ota käyttöön C2PA-merkinnät. Älä unohda, että pohjoismainen valvontayhteistyö on tiivistä – yhdellä rikkomuksella voi olla seurauksia koko ETA-alueella. Hyvin toteutettu 90 päivän aloituspaketti antaa perustan, jonka päälle voit rakentaa pitkäjänteisen, läpinäkyvän ja menestyvän AI-markkinoinnin.
Älä jätä asiaa viime tippaan. Elokuun 2026 deadlinen jälkeen markkinoilla tulee olemaan kaksi yritysryhmää: ne, jotka osaavat hyödyntää AI:ta turvallisesti ja rakentavat siitä kestävää kasvua, ja ne, jotka kompastelevat sanktioissa ja maineriskissä. Pohjoismaisilla pk-yrityksillä on kaikki edellytykset olla edellisessä ryhmässä.
Aiheeseen liittyvää lukemista
- Pienyritykset Hyötyvät Uudesta Intelin ja SambaNovan Tekoälyn ratkaisuista – kattava katsaus AI-laitteistoihin pk-yrityksille.
- Miten Luo Unelmoitu Henkilökohtainen Ostokokemus – personoinnin perusteet, jotka tukevat AI Act -compliancea.
- Kuinka Yksilölliset Tarpeet Voivat Tuplata Liikevaihtosi – käytännön opas AI-pohjaiseen segmentointiin.
- Luo Voittava Sosiaalisen Median Strategia – AI-sisällön suunnittelu somekanaviin.
- Näin Valitset Oikean Internetmaineen Hallintapalvelun Menestyksellesi – maineenhallinta AI-aikakaudella.
- Näin luot vetovoimaisen sovellusvideon – videosisällön tuotanto ja AI-työkalut.
- Näin Luot Voittavan Työvoiman: Työntekijöiden Kehittäminen – AI-lukutaidon koulutus tiimillesi.
- Pienyritysten Kasvu ja Muutos: Kuinka SAP:n Uudistetut Tukipalvelut tukevat – ERP- ja AI-integraatio pk-yrityksissä.
