EU AI Act ve finančním sektoru: banky, pojišťovny a úvěrové instituce

Banky, pojišťovny, správci aktiv a platební instituce čelí povinnostem EU AI Act vrstveným na stávající finanční regulaci (DORA, MiFID II, GDPR, CRR). Tato stránka vysvětluje, které případy použití AI jsou vysoce rizikové, jak odvětvové regulátory interagují s AI Act a co musí finanční instituce udělat pro soulad.

AI Act přichází do financí

Finanční instituce — banky, pojišťovny, správci aktiv, poskytovatelé platebních služeb, úvěrové kanceláře — patří mezi nejintenzivnější uživatele AI v Evropě. Úvěrové skórování, detekce podvodů, algoritmické obchodování, profilování zákaznického rizika, upisování pojistného, automatizace regulačního výkaznictví a screening AML/KYC se spoléhají na systémy AI, které mohou podléhat EU AI Act.

Pro finanční instituce EU AI Act nepřichází samostatně. Vrství se na již hustý regulační zásobník: DORA (digitální odolnost), MiFID II (investiční služby), GDPR (ochrana dat), CRR/CRD (kapitálové požadavky), Solvency II (pojišťovnictví), PSD2/PSD3 (platební služby) a odvětvové pokyny EBA, EIOPA a ESMA. Pochopení toho, jak AI Act integruje s — a někdy je v konfliktu s — stávající finanční regulací, je zásadní pro efektivní soulad.

Které případy použití AI jsou ve financích vysoce rizikové?

Příloha III EU AI Act identifikuje případy použití, které jsou automaticky vysoce rizikové. Ve finančním sektoru jsou nejpřímo relevantní:

Kategorie 5(b): Hodnocení úvěruschopnosti

Vysoce rizikové. Systémy AI používané k hodnocení úvěruschopnosti fyzických osob nebo ke klasifikaci fyzických osob z hlediska úvěrového rizika jsou výslovně uvedeny. To pokrývá:

Automatizované úvěrové skórování pro spotřebitelské půjčky, osobní kontokorenty, kreditní karty a hypotéky
Modely hodnotící pravděpodobnost splácení, riziko selhání nebo dluhovou kapacitu jednotlivých spotřebitelů
Systémy AI doporučující úvěrové limity nebo výše půjček na základě individuálního hodnocení rizika

Automaticky nepokrývá: Podnikové úvěrové modely hodnotící právnické osoby spíše než fyzické osoby, přestože ty mohou stále vyvolat povinnosti transparentnosti čl. 50 v závislosti na nasazení.

Kategorie 5(b): Rozhodnutí o pojistném a pojistném krytí

Vysoce rizikové, pokud výrazně ovlivňují fyzické osoby. Systémy AI, které přijímají nebo silně ovlivňují rozhodnutí o:

Pojistném krytí (přijetí nebo odmítnutí žadatelů)
Výši pojistného (pojistně-matematické modely stanovující individuální pojistné)
Posuzování a vypořádání pojistných událostí (automatizované zpracování pojistných událostí)

Modely oceňování motorového pojistného, upisování zdravotního pojištění a modely majetkového pojištění pro domácnosti jsou přímo v rozsahu. Určujícím faktorem je, zda systém AI přijímá nebo výrazně ovlivňuje rozhodnutí, které materiálně ovlivňuje přístup fyzické osoby k základní soukromé službě.

Kategorie 1: Biometrická identifikace

Vysoce riziková. Systémy AI používané pro:

Vzdálenou biometrickou identifikaci zákazníků (video ověření KYC, průběžná autentizace)
Biometrickou kategorizaci, kde ovlivňuje klasifikaci rizika nebo přístup ke službám

Biometrická identifikace v reálném čase na veřejně přístupných místech pro vymáhání práva je zakázána podle čl. 5. Komerční systémy ověřování identity používající rozpoznávání obličeje pro KYC podléhají požadavkům pro vysoce rizikové systémy, ale nejsou zakázány.

Kategorie 6: AML/KYC a přesah s vymáháním práva

Systémy AI používané finančními institucemi pro podporu screeningu AML/KYC, filtrování sankcí nebo monitorování transakcí kde výsledek je hlášen nebo používán orgány vymáhání práva mohou spadat do kategorie 6 Přílohy III (vymáhání práva). To zahrnuje:

Zprávy o podezřelé aktivitě (SAR) generované AI předávané FIU
Automatizované screeningové systémy PEP (Politicky exponovaná osoba)

Systémy používané čistě pro interní řízení rizik bez výstupu pro vymáhání práva jsou méně pravděpodobně klasifikovány jako vysoce rizikové v kategorii 6, přestože mohou platit jiné kategorie.

Co povinnosti vysoce rizikového AI znamenají pro finanční instituce

Pokud je systém AI používaný finanční institucí vysoce rizikový podle Přílohy III, povinnosti se liší podle toho, zda je instituce poskytovatelem (systém vybudovala) nebo provozovatelem (zakoupila nebo licencovala jej).

Pokud jste poskytovatelem (systém jste vybudovali)

Systém řízení rizik (čl. 9): Zaveďte a udržujte zdokumentovaný proces řízení rizik iterující po celý životní cyklus systému
Správa dat (čl. 10): Trénovací, validační a testovací data musí podléhat postupům správy pokrývajícím relevanci, reprezentativnost a posouzení zkreslení
Technická dokumentace (Příloha IV): Úplný technický spis včetně popisu systému, architektury, trénovacího přístupu, metrik výkonu a plánu monitorování po uvedení na trh
Transparentnost (čl. 13): Pokyny k použití umožňující provozovatelům pochopit schopnosti, omezení a požadavky na dohled
Lidský dohled (čl. 14): Konstrukční opatření umožňující lidský dohled a zásah
Přesnost, robustnost, kybernetická bezpečnost (čl. 15): Prokázané úrovně výkonu a odolnost
Posouzení shody: Vlastní posouzení (Příloha VI) pro většinu systémů Přílohy III nebo posouzení oznámeným místem pro biometrické systémy
Označení CE a EU prohlášení o shodě
Registrace v databázi AI EU
Monitorování po uvedení na trh (čl. 72): Aktivní systém pro shromažďování dat o výkonu v reálném světě a hlášení incidentů

Pokud jste provozovatelem (zakoupili/licencovali systém)

Soulad s pokyny: Používejte systém přísně v souladu s pokyny poskytovatele
Lidský dohled: Přiřaďte kvalifikovaný personál k provádění dohledu s odpovídající pravomocí a zdroji
Kvalita vstupních dat: Zajistěte, aby vstupní data byla relevantní a reprezentativní pro konkrétní kontext nasazení
Uchovávání protokolů: Aktivujte a uchovávejte automatické protokoly po požadovanou dobu
Hlášení incidentů: Hlaste závažné incidenty poskytovateli a v některých případech přímo orgánům
Posouzení dopadu na základní práva (čl. 27): Vyžadováno pro orgány veřejné moci; doporučeno pro soukromé provozovatele v citlivých kontextech

Interakce s DORA

Zákon o digitální provozní odolnosti (DORA) vstoupil v platnost v lednu 2025 a ukládá komplexní požadavky na řízení rizik IKT finančním institucím — včetně systémů AI jako součástí IKT.

Klíčové interakční body:

Rámec řízení rizik IKT

DORA vyžaduje, aby finanční instituce udržovaly rámec řízení rizik IKT pokrývající identifikaci, ochranu, detekci, reakci a obnovu. Systémy AI jsou nástroje IKT podléhající tomuto rámci. EU AI Act přidává specifické požadavky AI na vrcholu: testování zkreslení, dokumentace transparentnosti, návrh lidského dohledu a řízení životního cyklu.

V praxi: Model AI pro úvěrové skórování banky musí splňovat řízení rizik IKT DORA (detekce incidentů, plánování kontinuity, řízení změn) i požadavky EU AI Act pro vysoce rizikové systémy (systém řízení rizik, technická dokumentace, monitorování po uvedení na trh).

Riziko třetích stran (poskytovatelé ICT třetích stran)

DORA ukládá podrobné požadavky pro řízení poskytovatelů ICT třetích stran — včetně smluvních požadavků, práv na audit a dohledu nad kritickými poskytovateli. Když finanční instituce používá systém AI třetí strany (např. dodavatelsky dodávaný model úvěrového skórování), požadavky DORA na řízení rizik třetích stran platí pro tohoto dodavatele.

Platí také povinnosti provozovatele EU AI Act — vyžadující, aby poskytovatel dodával pokyny, dokumentaci shody a schopnost protokolování. Finanční instituce by měly zajistit, aby jejich smlouvy s dodavateli AI splňovaly jak požadavky DORA na poskytovatele IKT, tak práva provozovatele na informace podle EU AI Act.

Hlášení incidentů

DORA má vlastní rámec hlášení incidentů pro závažné incidenty spojené s IKT, hlášené odvětvovým orgánům dohledu (EBA, EIOPA, ESMA). EU AI Act vyžaduje hlášení závažných incidentů zahrnujících vysoce rizikové systémy AI vnitrostátním orgánům dozoru nad trhem.

Jde o oddělené povinnosti hlášení různým orgánům. Závažný incident zahrnující systém AI pro úvěrové skórování by mohl vyvolat jak zprávu o incidentu DORA (EBA/vnitrostátnímu finančnímu dozorovému orgánu), tak zprávu o incidentu EU AI Act (orgánu dozoru nad trhem).

Odvětvové orgány dohledu a vymáhání AI Act

Pro finanční instituce mají odvětvové finanční orgány dohledu — EBA (bankovnictví), EIOPA (pojišťovnictví), ESMA (cenné papíry a trhy) — specifickou roli v implementaci EU AI Act, přestože nejsou primárním orgánem vymáhání AI Act.

Podle AI Act musí finanční instituce, které jsou poskytovateli vysoce rizikových systémů AI, registrovat v databázi AI EU. Ve finančním sektoru může být příslušný finanční dozorový orgán jmenován jako nebo spolupracovat s vnitrostátním orgánem dozoru nad trhem zodpovědným za dohled AI Act v daném odvětví.

Evropské dozorové orgány (ESA) byly aktivní v:

Zveřejňování pokynů k řízení AI ve finančních službách (pokyny EBA k internímu řízení, ML/AI v úvěrovém riziku)
Přispívání k implementačnímu vedení EU AI Act pro finanční sektor
Koordinaci s Úřadem EU pro AI ohledně dohledu nad modely GPAI, jak ovlivňuje finanční služby

Praktické priority souladu pro finanční instituce

Inventarizujte všechny používané systémy AI — klasifikujte každý vůči kritériím Přílohy III. Upřednostněte systémy hodnocení úvěruschopnosti, pojistného oceňování a biometrie/KYC.
Určete status poskytovatele vs. provozovatele pro každý systém — používáte dodavatelsky dodávané modely nebo budujete interně?
Slaďte řízení AI s rámcem řízení rizik IKT DORA — integrujte povinnosti AI Act do stávající struktury řízení DORA, abyste se vyhnuli duplicitním procesům.
Přezkoumejte smlouvy s dodavateli AI třetích stran — zajistěte, aby smlouvy poskytovaly: dokumentaci shody, pokyny k použití, přístup k protokolování, závazky k oznamování incidentů, aktualizační povinnosti a práva na audit.
Zaveďte mechanismy lidského dohledu — pro vysoce rizikové případy použití AI zajistěte, aby kvalifikovaný personál měl pravomoc, nástroje a čas smysluplně přezkoumávat výstupy AI před přijetím důsledných rozhodnutí.
Propojte s monitorováním po uvedení na trh — rozšiřte stávající procesy řízení rizik modelů (validace modelu Basel, řízení změn DORA) na pokrytí požadavků monitorování po uvedení na trh čl. 72.
Připravte se na databázi AI EU — pokud jste poskytovatelem vysoce rizikových systémů AI, registrace je povinná. Pokud jste provozovatelem z řad orgánů veřejné moci, může být registrace také požadována.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Podléhají modely úvěrového skórování požadavkům EU AI Act pro vysoce rizikové systémy?

Ano. Systémy AI pro hodnocení úvěruschopnosti — používané k hodnocení úvěruschopnosti fyzických osob nebo k posuzování úvěrového rizika — jsou výslovně uvedeny v Příloze III, kategorii 5(b) jako vysoce rizikové. To pokrývá automatizované úvěrové skórování pro spotřebitelské půjčky, hypotéky, kreditní karty a kontokorenty. Systémy používané výhradně pro hodnocení podnikového úvěru nemusí být v rozsahu, ale systémy zahrnující hodnocení fyzických osob jsou jasně pokryty.

Jak DORA interaguje s EU AI Act pro finanční instituce?

DORA (Zákon o digitální provozní odolnosti) a EU AI Act mají překrývající se, ale odlišné rozsahy. DORA pokrývá řízení rizik IKT obecně — včetně systémů AI jako nástrojů IKT — s požadavky na hlášení incidentů, testování odolnosti a řízení rizik třetích stran. EU AI Act přidává specifické povinnosti AI (testování zkreslení, transparentnost, lidský dohled, monitorování po uvedení na trh) pro vysoce rizikové případy použití AI. Pro finanční instituce vyžaduje soulad řešení obou rámců — DORA nevyňímá instituce z povinností AI Act a AI Act nenahrazuje požadavky DORA na řízení rizik IKT.

Spadají systémy AI pro detekci podvodů pod EU AI Act jako vysoce rizikové?

Záleží na případu použití. Systémy AI používané pro detekci podvodů transakcí v reálném čase — kde AI označuje podezřelé transakce k lidskému přezkumu nebo je automaticky blokuje — nejsou automaticky vysoce rizikové podle Přílohy III. Pokud však systém přijímá nebo silně ovlivňuje rozhodnutí, která výrazně ovlivňují jednotlivce (např. blokování účtu, snížení úvěrového limitu, zamítnutí pojistné události), může případ použití spadat do kategorie 5 Přílohy III (přístup k základním službám). Právní jistota bude záviset na regulačním vedení a konkrétním nasazení.

Jsou systémy AI pro pojistné oceňování a upisování vysoce rizikové?

Systémy AI pro pojistné oceňování a upisování, které přijímají nebo silně ovlivňují rozhodnutí o pojistném krytí, výši pojistného nebo vypořádání pojistných událostí u fyzických osob, pravděpodobně spadají do kategorie 5 Přílohy III (přístup k základním soukromým službám). To zahrnuje modely oceňování motorového, zdravotního a majetkového pojištění pro domácnosti. Modely upisování životního pojištění hodnotící riziko dlouhověkosti u jednotlivců mohou být také pokryty. Každý případ použití musí být posouzen individuálně vůči kritériím Přílohy III.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.