Задължения по Регламента за ИИ на ЕС за банки, кредитни институции и финтех компании. Кредитен скоринг с ИИ, системи за ПИП, алгоритмична търговия, припокриване с DORA и насоки на EBA.
Защо банковият сектор е изложен на концентриран риск по Регламента за ИИ на ЕС
Банковият сектор и финансовите услуги се намират на пресечната точка на най-строгите задължения по Регламента за ИИ на ЕС и най-сложната регулаторна среда в ЕС. Финансовите институции са сред най-големите внедрители на ИИ в Европа — при кредитното поемане, откриването на измами, скрининга AML/CFT, надлежната проверка на клиенти, алгоритмичната търговия и управлението на богатство. Регламентът за ИИ на ЕС пряко насочва към най-значимите от тези приложения чрез Приложение III, класифицирайки няколко финансови приложения с ИИ като високорискови по определение.
Банковият сектор функционира и в рамките на плътен предварително съществуващ регулаторен слой: DORA, MiFID II, CRD IV/CRR, Директиви за ПИП, GDPR и BCBS 239. Регламентът за ИИ на ЕС не замества тези рамки — той се добавя към тях. За кредитна институция, внедряваща модел за кредитен скоринг на базата на ИИ, се задействат едновременни задължения по Регламента за ИИ (Приложение III, чл. 9–16), DORA (управление на ИКТ риска) и насоките на EBA за управление на моделния риск.
Високорискови случаи на употреба на ИИ в банковия сектор по Приложение III
Приложение III, категория 5(б) изрично изброява ИИ, използван за оценка на кредитоспособността или кредитния скоринг на физически лица, и ИИ, използван за оценка на кредитния риск на юридически лица, при който ИИ определя или съществено влияе върху резултата. Това обхваща широк спектър от финансови внедрявания на ИИ.
Модели за кредитен скоринг и поемане — автоматизирани системи, определящи допустимост за заем, кредитни лимити или лихвени проценти за клиенти на дребно и МСП — представляват високорисков ИИ по чл. 6(2) във връзка с Приложение III. Банките, действащи като доставчици на тези системи, трябва да извършат оценки на съответствието, да поддържат техническа документация съгласно чл. 11, да прилагат системи за управление на риска по чл. 9, да осигуряват механизми за човешки надзор по чл. 14 и да регистрират системата в базата данни на Регламента за ИИ на ЕС (чл. 71) преди внедряването.
Системите за AML и откриване на измами представляват по-нюансирана картина. Системите, прилагащи скрининг на санкции, мониторинг на транзакции или поведенчески анализ за маркиране на подозрителна дейност, по принцип засягат финансовите институции, а не пряко определят резултати за физически лица. Когато резултатът от ИИ е основното основание за неблагоприятни действия спрямо клиент (замразяване на сметка, отказ от услуга), може да се задейства класификация като високорисков по категория 5(б) или категория 6 (правоприлагане) на Приложение III в зависимост от ролята на националния орган. Банките трябва да извършат внимателен анализ на класификацията.
Инструменти, базирани на МПИИ — широкоцелеви езикови модели, използвани за обслужване на клиенти, обработка на документи или инвестиционен анализ — са обект на изискванията за прозрачност по чл. 50 (разкриване, че потребителите взаимодействат с ИИ) и, при наличие на системен риск от доставчика на модела, на задълженията по чл. 55.
Задължения на доставчика спрямо внедрителя за банките
Банките могат да действат като доставчици (изграждащи собствени модели с ИИ), внедрители (използващи системи с ИИ на трети страни) или в двете роли. Разграничението определя профила на задълженията:
| Роля | Източник на задължението | Ключови изисквания |
|---|---|---|
| Доставчик | чл. 9–17 | Оценка на съответствието, техническа документация, СУК, регистрация |
| Внедрител | чл. 26 | Мониторинг на системата, осигуряване на човешки надзор, поддържане на журнали, информиране на потребителите |
| И двете | чл. 9–17 + чл. 26 | Пълни задължения на доставчика + задължения за мониторинг на внедрителя |
Банките, закупуващи ИИ за кредитен скоринг от финтех доставчик, действат като внедрители по чл. 26. Те трябва да проверят дали доставчикът е извършил оценка на съответствието, да интегрират човешки преглед в процесите на вземане на неблагоприятни решения, да поддържат журнали за употреба за 10 години (чл. 26(6)) и да гарантират, че решенията на ИИ са обяснени на засегнатите лица съгласно чл. 22 от GDPR и чл. 13 от Регламента за ИИ на ЕС.
Припокриване на секторното регулиране: DORA, MiFID II и Платежоспособност II
DORA (Регламент 2022/2554) се прилага за банки, инвестиционни посредници, застрахователни дружества и доставчици на ИКТ услуги от трети страни. По отношение на ИИ DORA изисква:
- Системите с ИИ да се третират като ИКТ системи, обект на рамки за управление на риска (чл. 6 DORA)
- Класификация и докладване на инциденти, свързани с ИКТ — откази на ИИ могат да представляват значителни ИКТ инциденти
- Тестване на устойчивостта на критичните ИКТ системи — включени са моделите с ИИ, когато са съществени за операциите
- Управление на риска от трети страни, обхващащо договори с доставчици на ИИ, стратегии за изход и права на одит
MiFID II (Директива за пазарите на финансови инструменти) се прилага за алгоритмичната търговия и инвестиционните съвети. Инвестиционните препоръки, генерирани от ИИ, задействат изискванията за оценка на пригодността; системите за алгоритмична търговия изискват контрол преди сключване на сделки, аварийни изключватели и регулаторно уведомяване.
Насоките на EBA за управление на ИКТ и риска за сигурността (EBA/GL/2019/04, актуализирани 2022 г.) задължително изискват управление на технологичния риск, обхващащо моделите с ИИ, изисквания за оперативна непрекъснатост и независимост при валидиране на моделите. Те са в голяма степен в съответствие с изискванията за управление на риска по чл. 9 от Регламента за ИИ на ЕС.
Органи за правоприлагане
Прилагането на Регламента за ИИ на ЕС за банковия ИИ функционира чрез двустепенна структура на правомощия:
Националните компетентни органи (НКО), определени от всяка държава членка по чл. 70, са основните органи за прилагане на Регламента за ИИ. Те могат да провеждат пазарен надзор, да изискват техническа документация и да налагат глоби (до €30 милиона или 6% от глобалния годишен оборот по чл. 99).
Европейският банков орган (EBA) координира секторния надзор върху ИИ в рамките на банковия съюз, предоставя технически стандарти за ИКТ риска и издава насоки, формиращи очакванията на националните надзорни органи. EBA участва и в Европейския съвет по изкуствен интелект, създаден по чл. 65.
ЕЦБ и националните пруденциални надзорни органи могат да изискват документация за моделите с ИИ като част от оценките по SREP (Процес на надзорен преглед и оценка) по CRD IV, когато ИИ е в основата на съществени решения относно кредитния или операционния риск.
Пътна карта за съответствие за банките
Незабавно (сега → август 2026 г.): Проверка за съответствие с забраните — преглед на всички системи с ИИ за практики, забранени по чл. 5, включително социалното оценяване и биометричната идентификация в реално време на обществени места. Тези забрани се прилагат незабавно за нови договори.
Q3 2026 — Одит за класификация като високорискови: Картографирайте всички внедрени и разработвани системи с ИИ спрямо Приложение III, по-специално категории 5(б) и 5(в). Документирайте обосновката за класификацията. Ангажирайте правния и съответствения екип за оценка на припокриването с DORA.
Q4 2026 — Задължения на доставчика за собствен ИИ: За вътрешно разработени модели за кредитен скоринг и поемане стартирайте процедурите за оценка на съответствието, разработете техническа документация съгласно Приложение IV и приложете СУК по чл. 17.
2027 — Задължения на внедрителя за ИИ на трети страни: Одитирайте всички договори с доставчици на ИИ за съответствие с Регламента за ИИ на ЕС. Изисквайте от доставчиците да предоставят декларации за съответствие и регистрационни номера. Актуализирайте споразуменията за обработка на данни, за да отразяват задълженията за регистриране по чл. 26.
Август 2027 — Влизане в сила на задълженията за МПИИ: Осигурете съответствие на всички широкоцелеви езикови модели и основни модели на трети страни, използвани в банкови приложения, с чл. 51–55. Проверете дали доставчиците са публикували документация за прозрачност по чл. 53.
Декември 2027 — Краен срок за високорисков ИИ: Изисква се пълно съответствие за всички високорискови системи с ИИ по Приложение III. Осигурете регистрация в базата данни на Регламента за ИИ на ЕС, оперативни механизми за човешки надзор и планове за мониторинг след пускането на пазара по чл. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Банките са засегнати от задълженията по Регламента за ИИ на ЕС главно чрез категории 5(б) и 5(в) на Приложение III: ИИ, използван при оценка на кредитоспособността и кредитен скоринг, и ИИ, използван при застраховане на живота и здравното застраховане. Те се класифицират като високорискови системи с ИИ, изискващи оценки на съответствието, техническа документация, механизми за човешки надзор и регистрация в базата данни на Регламента за ИИ на ЕС. Освен това банките, внедряващи ИИ за скрининг срещу изпиране на пари (AML), откриване на измами или надлежна проверка на клиенти, могат да попаднат в обхвата на Приложение III в зависимост от функцията на системата и решенията, на които тя влияе.
DORA (Регламент за цифрова операционна устойчивост, Регламент 2022/2554) и Регламентът за ИИ на ЕС създават припокриващи се, но различни задължения. DORA изисква финансовите субекти да управляват риска от ИКТ, да провеждат тестове за устойчивост и да поддържат способности за докладване на инциденти — това се прилага за системите с ИИ като ИКТ инструменти. Регламентът за ИИ на ЕС добавя изисквания за класификация на риска, оценка на съответствието, прозрачност и човешки надзор, специфични за системите с ИИ. Кредитна институция, която използва система с ИИ за кредитен скоринг, трябва да отговаря едновременно на рамката за управление на ИКТ риска по DORA и на изискванията за високорисков ИИ по Регламента за ИИ на ЕС. Насоките на EBA за управление на ИКТ и риска за сигурността се прилагат паралелно.
Системите за алгоритмична търговия не са пряко изброени в Приложение III, поради което не представляват автоматично високорисков ИИ по Регламента за ИИ на ЕС. Въпреки това, ако търговски алгоритъм се използва като компонент на оценката на кредитоспособността или влияе върху достъпа до финансови услуги по начин, засягащ физически лица, той може да попадне в обхвата на Приложение III. Изискванията на MiFID II за алгоритмична търговия — включително аварийни изключватели, тестване на системата и одитни следи — остават напълно приложими. Изискванията за прозрачност по чл. 50 от Регламента за ИИ на ЕС се прилагат за ИИ, взаимодействащ с физически лица, а задълженията за МПИИ модели по чл. 51 се прилагат за широкоцелеви езикови модели, използвани в платформи за търговия или анализ.
Европейският банков орган (EBA) е публикувал насоки за вътрешното управление (EBA/GL/2021/05) и управление на ИКТ риска, които пряко формират очакванията за управление на ИИ в банките. Ключовите изисквания включват отговорност на ниво съвет на директорите за стратегията за ИИ, независима валидация на моделите с ИИ, използвани при кредитен риск, рамки за операционен риск, обхващащи откази на ИИ, и изисквания за обяснимост на системите с ИИ, засягащи кредитни решения. Консултациите на EBA относно машинното обучение за IRB модели установяват количествени стандарти за валидиране на модели, качество на данните и мониторинг на ефективността, които са в тясно съответствие с изискванията за управление на риска по чл. 9 от Регламента за ИИ на ЕС.
Да, по принцип — Регламентът за ИИ на ЕС се прилага независимо от размера на компанията. Въпреки това чл. 9(5) изисква системите за управление на риска да бъдат пропорционални на размера и естеството на доставчика или внедрителя. Разпоредбите за МСП и стартъпи по чл. 55 и чл. 57 до чл. 63 предоставят достъп до регулаторни пясъчници, управлявани от националните компетентни органи, намалявайки бариерите за тестване на съответствието. Центърът за иновации на EBA и Европейският форум за улесняване на иновациите (EFIF) предоставят допълнителна подкрепа за финтех компании, навигиращи в регулирането на ИИ.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.