Законът на ЕС за ИИ във финансовия сектор: Банки, застрахователи и кредитни институции

Банките, застрахователите, управляващите дружества и платежните институции са изправени пред задълженията по Закона на ЕС за ИИ, наслоени върху съществуващата финансова регулация (DORA, MiFID II, GDPR, CRR). Тази страница обяснява кои случаи на употреба на ИИ са с висок риск, как секторните регулатори взаимодействат с Закона за ИИ и какво трябва да направят финансовите институции за съответствие.

Законът за ИИ идва в сферата на финансите

Финансовите институции — банки, застрахователи, управляващи дружества, платежни доставчици, кредитни бюра — са сред най-интензивните потребители на ИИ в Европа. Кредитен скоринг, установяване на измами, алгоритмична търговия, профилиране на клиентски риск, застрахователно поемане на риска, автоматизиране на регулаторното докладване и скрийнинг за AML/KYC разчитат на системи за ИИ, които може да са обект на Закона на ЕС за ИИ.

За финансовите институции Законът на ЕС за ИИ не идва изолирано. Той се наслоява върху вече гъст регулаторен стек: DORA (цифрова устойчивост), MiFID II (инвестиционни услуги), GDPR (защита на данните), CRR/CRD (капиталови изисквания), Solvency II (застраховане), PSD2/PSD3 (платежни услуги) и секторни насоки на EBA, EIOPA и ESMA. Разбирането как Законът за ИИ се интегрира с — и понякога противоречи на — съществуващата финансова регулация е от съществено значение за ефективното съответствие.

Кои случаи на употреба на ИИ са с висок риск в сферата на финансите?

Приложение III на Закона на ЕС за ИИ идентифицира случаи на употреба, автоматично считани за с висок риск. Във финансовия сектор най-пряко релевантните са:

Категория 5(б): Оценка на кредитоспособността

С висок риск. Системите за ИИ, използвани за оценка на кредитоспособността на физически лица или класифициране на физически лица по кредитен риск, са изрично изброени. Обхваща:

Автоматизиран кредитен скоринг за потребителски заеми, лични овърдрафти, кредитни карти и ипотеки
Модели, оценяващи вероятността за изплащане, риска от неизпълнение или дълговия капацитет на индивидуални потребители
Системи за ИИ, препоръчващи кредитни лимити или суми на заеми въз основа на индивидуална оценка на риска

Не е автоматично обхванато: Корпоративни кредитни модели, оценяващи юридически лица, а не физически лица, макар те да могат все пак да задействат задължения за прозрачност по чл. 50 в зависимост от разгръщането.

Категория 5(б): Решения за застрахователни премии и покритие

С висок риск при значително засягане на физически лица. Системи за ИИ, правещи или силно влияещи върху решения относно:

Застрахователно покритие (приемане или отхвърляне на кандидати)
Нива на премиите (актюерски модели, определящи индивидуални премии)
Оценка и уреждане на претенции (автоматизирано обработване на претенции)

Моделите за ценообразуване на автомобилни застраховки, медицинско застраховане и имуществени застраховки за домакинства са пряко в обхвата. Определящият фактор е дали системата за ИИ взема или значително влияе върху решение, материално засягащо достъпа на физическо лице до основна частна услуга.

Категория 1: Биометрична идентификация

С висок риск. Системите за ИИ, използвани за:

Дистанционна биометрична идентификация на клиенти (KYC видео верификация, непрекъсната автентикация)
Биометрична категоризация, влияеща на класификацията на риска или достъпа до услуги

Биометричната идентификация в реално време на обществено достъпни места за правоприлагане е забранена по чл. 5. Търговските системи за верификация на самоличността, използващи разпознаване на лица за KYC, са обект на изисквания за висок риск, но не са забранени.

Категория 6: AML/KYC и свързани с правоприлагане

Системите за ИИ, използвани от финансовите институции за подпомагане на AML/KYC скрийнинг, филтриране на санкции или мониторинг на транзакции, при което резултатът се докладва на или се използва от правоприлагащите органи, може да попадат в категория 6 на Приложение III (правоприлагане). Включва:

Автоматично генерирани доклади за съмнителни дейности (SAR), предавани на FIU
Автоматизирани системи за скрийнинг на политически изложени лица (PEP)

Системите, използвани само за вътрешно управление на риска без изходни данни за правоприлагане, по-малко вероятно ще бъдат класифицирани като с висок риск по категория 6, макар да могат да се прилагат други категории.

Какво означават задълженията за ИИ с висок риск за финансовите институции

Ако система за ИИ, използвана от финансова институция, е с висок риск по Приложение III, задълженията се различават в зависимост от това дали институцията е доставчик (изградила системата) или краен потребител (закупила или лицензирала я).

Ако сте доставчикът (изградили системата)

Система за управление на риска (чл. 9): Установете и поддържайте документиран процес за управление на риска, повтарящ се през целия жизнен цикъл на системата
Управление на данните (чл. 10): Данните за обучение, валидиране и тестване трябва да бъдат обект на практики за управление, обхващащи релевантност, представителност и оценка на пристрастие
Техническа документация (Приложение IV): Пълно техническо досие, включващо описание на системата, архитектура, подход за обучение, показатели за изпълнение и план за мониторинг след пускане на пазара
Прозрачност (чл. 13): Инструкции за употреба, позволяващи на крайните потребители да разбират способностите, ограниченията и изискванията за надзор
Човешки надзор (чл. 14): Мерки за проектиране, позволяващи човешки надзор и намеса
Точност, надеждност, киберсигурност (чл. 15): Демонстрирани нива на изпълнение и устойчивост
Оценка на съответствието: Самооценка (Приложение VI) за повечето системи по Приложение III или оценка от нотифициран орган за биометрични системи
CE маркировка и ЕС Декларация за съответствие
Регистрация в базата данни на ЕС за ИИ
Мониторинг след пускане на пазара (чл. 72): Активна система за събиране на данни за изпълнение в реалния свят и докладване на инциденти

Ако сте крайният потребител (закупили/лицензирали системата)

Спазване на инструкциите: Използвайте системата строго в съответствие с инструкциите на доставчика
Човешки надзор: Назначете квалифициран персонал за провеждане на надзор с подходящи правомощия и ресурси
Качество на входните данни: Осигурете, че входните данни са релевантни и представителни за конкретния контекст на разгръщане
Съхранение на журнали: Активирайте и съхранявайте автоматизирани журнали за изисквания период
Докладване на инциденти: Докладвайте сериозни инциденти на доставчика и, в някои случаи, директно на органите
Оценка на въздействието върху основните права (чл. 27): Задължителна за публичните органи; препоръчителна за крайни потребители от частния сектор в чувствителни контексти

Взаимодействие с DORA

Регламентът за цифрова оперативна устойчивост (DORA) е в приложение от януари 2025 г. и налага всеобхватни изисквания за управление на ИКТ риска върху финансовите институции — включително системи за ИИ като ИКТ компоненти.

Ключови точки на взаимодействие:

Рамка за управление на ИКТ риска

DORA изисква от финансовите институции да поддържат рамка за управление на ИКТ риска, обхващаща идентификация, защита, установяване, реагиране и възстановяване. Системите за ИИ са ИКТ инструменти, обект на тази рамка. Законът за ИИ добавя специфични за ИИ изисквания върху нея: тестване за пристрастие, документация за прозрачност, проектиране на човешки надзор и управление на жизнения цикъл.

На практика: Модел за кредитен скоринг с ИИ в банка трябва да отговаря и на управлението на ИКТ риска по DORA (установяване на инциденти, планиране на непрекъснатост, управление на промените) и на изискванията за висок риск по Закона за ИИ (система за управление на риска, техническа документация, мониторинг след пускане на пазара).

Риск от трети страни (ИКТ доставчици от трети страни)

DORA налага детайлни изисквания за управление на ИКТ доставчици от трети страни — включително договорни изисквания, права за одит и надзор на критичните доставчици. Когато финансова институция използва система за ИИ от трета страна (напр. модел за кредитен скоринг, доставян от доставчик), изискванията на DORA за управление на риска от трети страни се прилагат за този доставчик.

Задълженията на крайния потребител по Закона за ИИ също се прилагат — изискващи от доставчика да предостави инструкции, документация за съответствие и способност за регистриране. Финансовите институции трябва да гарантират, че договорите им с доставчици на ИИ от трети страни удовлетворяват и изискванията на DORA за ИКТ доставчици, и правата на информация на крайния потребител по Закона за ИИ.

Докладване на инциденти

DORA разполага с собствена рамка за докладване на инциденти за значителни ИКТ инциденти, докладвани на секторните надзорници (EBA, EIOPA, ESMA). Законът за ИИ изисква от сериозни инциденти, включващи системи за ИИ с висок риск, да бъдат докладвани на националните органи за надзор на пазара.

Това са отделни задължения за докладване пред различни органи. Сериозен инцидент, включващ система за кредитен скоринг с ИИ, може да задейства и доклад за DORA инцидент (до EBA/национален финансов надзорник), и доклад за инцидент по Закона за ИИ (до органа за надзор на пазара).

Секторни надзорници и правоприлагане по Закона за ИИ

За финансовите институции секторните финансови надзорници — EBA (банкиране), EIOPA (застраховане), ESMA (ценни книжа и пазари) — имат специфична роля в прилагането на Закона за ИИ, макар да не са основният орган за правоприлагане по Закона за ИИ.

Европейските надзорни органи (ESA) са активни в:

Публикуване на насоки за управление на ИИ в сферата на финансовите услуги (насоки на EBA за вътрешно управление, ML/AI при кредитен риск)
Принос в насоките за прилагане на Закона за ИИ за финансовия сектор
Координиране с Службата по ИИ на ЕС за надзор на GPAI модели, доколкото засяга финансовите услуги

Практически приоритети за съответствие за финансовите институции

Инвентаризирайте всички системи за ИИ в употреба — класифицирайте всяка спрямо критериите на Приложение III. Приоритизирайте системите за кредитоспособност, застрахователно ценообразуване и биометрия/KYC.
Определете статуса на доставчик срещу краен потребител за всяка система — използвате ли доставени от доставчик модели или изграждате вътрешно?
Приравнете управлението на ИИ с рамката за ИКТ риска по DORA — интегрирайте задълженията по Закона за ИИ в съществуващата структура за управление по DORA, за да избегнете дублиращи се процеси.
Прегледайте договорите с доставчиците на ИИ от трети страни — осигурете, че договорите предоставят: документация за съответствие, инструкции за употреба, достъп до регистриране, задължения за уведомяване при инциденти, задължения за актуализации и права за одит.
Установете механизми за човешки надзор — за случаи на употреба с ИИ с висок риск осигурете квалифициран персонал с правомощия, инструменти и времето да преглежда значимо резултатите от ИИ преди вземане на важни решения.
Свържете се с мониторинга след пускане на пазара — разширете съществуващите процеси за управление на риска от модели (базелска валидация на модели, управление на промените по DORA), за да обхванат изискванията за мониторинг след пускане на пазара по чл. 72.
Подгответе се за базата данни на ЕС за ИИ — ако сте доставчик на системи за ИИ с висок риск, регистрацията е задължителна. Ако сте краен потребител — публичен орган, регистрацията може също да се изисква.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Моделите за кредитен скоринг обект ли са на изискванията за висок риск по Закона на ЕС за ИИ?

Да. Системите за ИИ за оценка на кредитоспособността — използвани за оценка на кредитоспособността на физически лица или оценка на кредитния риск — са изрично изброени в Приложение III, категория 5(б) като с висок риск. Това обхваща автоматизиран кредитен скоринг за потребителски заеми, ипотеки, кредитни карти и овърдрафти. Системи, използвани единствено за корпоративна оценка на кредита, може да не са в обхвата, но системи, включващи оценка на индивидуални физически лица, са ясно обхванати.

Как DORA взаимодейства с Закона на ЕС за ИИ за финансовите институции?

DORA (Регламент за цифрова оперативна устойчивост) и Законът на ЕС за ИИ имат припокриващи се, но различни обхвати. DORA обхваща широко управлението на ИКТ риска — включително системите за ИИ като ИКТ инструменти — с изисквания за докладване на инциденти, тестване за устойчивост и управление на риска от трети страни. Законът на ЕС за ИИ добавя специфични задължения за ИИ (тестване за пристрастие, прозрачност, човешки надзор, мониторинг след пускане на пазара) за случаи на употреба с висок риск. За финансовите институции съответствието изисква адресиране на двете рамки — DORA не освобождава институциите от задълженията по Закона за ИИ и Законът за ИИ не замества изискванията за ИКТ риска по DORA.

Системите за ИИ, използвани за установяване на измами, попадат ли под изискванията за висок риск по Закона на ЕС за ИИ?

Зависи от случая на употреба. Системите за ИИ, използвани за установяване на измами при транзакции в реално време — при което ИИ маркира подозрителни транзакции за преглед от хора или автоматично ги блокира — не са автоматично с висок риск по Приложение III. Ако обаче системата взема или силно влияе върху решения, значително засягащи лицата (напр. блокиране на сметка, намаляване на кредитен лимит, отказ на застрахователна претенция), случаят на употреба може да попадне в категория 5 на Приложение III (достъп до основни услуги). Правната сигурност ще зависи от регулаторните насоки и конкретното разгръщане.

Системите за ИИ, използвани за застрахователно ценообразуване и застраховане, са ли с висок риск?

Системите за ИИ за застрахователно ценообразуване и застраховане, правещи или силно влияещи върху решения относно покритието, нивата на премиите или уреждането на претенции за физически лица, вероятно попадат в категория 5 на Приложение III (достъп до основни частни услуги). Това включва модели за ценообразуване на автомобилни, здравни и имуществени застраховки за домакинства. Всеки случай на употреба трябва да бъде оценен индивидуално спрямо критериите на Приложение III.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.