Povinnosti EU AI Act pro banky, úvěrové instituce a fintech společnosti. Bodování úvěruschopnosti, systémy AML, algoritmické obchodování, překryv s DORA a pokyny EBA.
Proč bankovnictví čelí soustředěnému vystavení EU AI Act
Bankovní a finanční sektor stojí na průsečíku nejpřísnějších povinností EU AI Act a nejsložitějšího regulačního prostředí v EU. Finanční instituce patří mezi největší nasazovatele AI v Evropě — v oblasti upisování úvěrů, detekce podvodů, screeningu AML/CFT, hloubkové kontroly zákazníků, algoritmického obchodování a správy majetku. EU AI Act přímo cílí na nejdůležitější z těchto případů užití prostřednictvím Annex III, přičemž několik finančních aplikací AI klasifikuje jako vysoce rizikové ze své podstaty.
Bankovnictví rovněž funguje v rámci husté preexistující regulační vrstvy: DORA, MiFID II, CRD IV/CRR, AML direktivy, GDPR a BCBS 239. EU AI Act tyto rámce nenahrazuje — přidává se k nim. Pro úvěrovou instituci nasazující model bodování úvěrů založený na AI vznikají současné povinnosti podle AI Act (Annex III, Art. 9–16), DORA (řízení rizik ICT) a pokynů EBA pro řízení rizik modelů.
Vysoce rizikové případy užití AI v bankovnictví podle Annex III
Annex III, kategorie 5(b) explicitně uvádí AI používanou pro hodnocení úvěruschopnosti nebo bodování úvěrů fyzických osob a AI používanou pro hodnocení úvěrového rizika právnických osob, kde AI určuje nebo podstatně ovlivňuje výsledek. To zachycuje širokou škálu finančních nasazení AI.
Modely bodování úvěrů a upisování — automatizované systémy, které určují způsobilost k úvěru, úvěrové limity nebo úrokové sazby pro retailové zákazníky a zákazníky z řad malých a středních podniků — jsou vysoce rizikovým AI podle Art. 6(2) ve spojení s Annex III. Banky jednající jako poskytovatelé těchto systémů musí dokončit posouzení shody, udržovat technickou dokumentaci podle Art. 11, implementovat systémy řízení rizik podle Art. 9, zajistit mechanismy lidského dohledu podle Art. 14 a registrovat systém v databázi EU AI Act (Art. 71) před nasazením.
Systémy AML a detekce podvodů představují složitější obraz. Systémy, které aplikují screening sankcí, sledování transakcí nebo behaviorální analytiku za účelem označení podezřelé činnosti, obecně ovlivňují finanční instituce, aniž by přímo určovaly výsledky pro fyzické osoby. Tam, kde je výstup AI primárním základem pro nepříznivé opatření vůči zákazníkovi (zmrazení účtu, odmítnutí služby), může být spuštěna vysokoriziková klasifikace podle Annex III kat. 5(b) nebo kat. 6 (vymáhání práva) v závislosti na roli národního orgánu. Banky musí provést pečlivou analýzu klasifikace.
Nástroje založené na GPAI — velké jazykové modely používané pro zákaznické služby, zpracování dokumentů nebo investiční analýzu — podléhají požadavkům na transparentnost podle Art. 50 (zveřejnění, že uživatelé interagují s AI) a, kde má poskytovatel modelu systémové riziko, povinnostem podle Art. 55.
Povinnosti poskytovatele vs. provozovatele pro banky
Banky mohou působit jako poskytovatelé (budující vlastní modely AI), provozovatelé (používající systémy AI třetích stran) nebo jako obojí. Toto rozlišení určuje profil povinností:
| Role | Zdroj povinností | Klíčové požadavky |
|---|---|---|
| Poskytovatel | Art. 9–17 | Posouzení shody, technická dokumentace, QMS, registrace |
| Provozovatel | Art. 26 | Monitorování systému, zajištění lidského dohledu, vedení protokolů, informování uživatelů |
| Obojí | Art. 9–17 + Art. 26 | Úplné povinnosti poskytovatele + povinnosti provozovatele v oblasti monitorování |
Banky nakupující AI pro bodování úvěrů od fintech dodavatele jednají jako provozovatelé podle Art. 26. Musí ověřit, že dodavatel dokončil posouzení shody, integrovat lidský přezkum do procesů nepříznivých rozhodnutí, udržovat protokoly o využití po dobu 10 let (Art. 26(6)) a zajistit, aby rozhodnutí AI byla vysvětlena dotčeným fyzickým osobám podle GDPR Art. 22 a Art. 13 EU AI Act.
Překryv odvětvové regulace: DORA, MiFID II a Solvency II
DORA (nařízení 2022/2554) se vztahuje na banky, investiční podniky, pojišťovny a poskytovatele ICT třetích stran. Konkrétně pro AI DORA vyžaduje:
- Systémy AI považované za systémy ICT podléhající rámcům řízení rizik (Art. 6 DORA)
- Klasifikaci a hlášení incidentů souvisejících s ICT — selhání AI mohou představovat závažné incidenty ICT
- Testování odolnosti kritických systémů ICT — zahrnuty modely AI, kde jsou pro provoz podstatné
- Řízení rizik třetích stran pokrývající smlouvy s dodavateli AI, strategie ukončení a práva na audit
MiFID II (Směrnice o trzích finančních nástrojů) se vztahuje na algoritmické obchodování a investiční poradenství. Investiční doporučení generovaná AI spouštějí požadavky na posouzení vhodnosti; systémy algoritmického obchodování vyžadují předobchodní kontroly, kill switche a regulační oznámení.
Pokyny EBA pro řízení rizik ICT a bezpečnosti (EBA/GL/2019/04, aktualizováno 2022) nařizují správu technologických rizik pokrývající modely AI, požadavky na operační kontinuitu a nezávislost validace modelů. Tyto pokyny jsou podstatně v souladu s požadavky na řízení rizik podle Art. 9 EU AI Act.
Orgány dohledu
Vymáhání EU AI Act pro bankovní AI funguje prostřednictvím dvouvrstvé struktury orgánů:
Národní příslušné orgány (NCA) určené každým členským státem podle Art. 70 jsou primárními orgány vymáhání AI Act. Mohou provádět tržní dohled, vyžadovat technickou dokumentaci a ukládat pokuty (až 30 mil. EUR nebo 6 % celosvětového ročního obratu podle Art. 99).
Evropský orgán pro bankovnictví (EBA) koordinuje odvětvový dohled nad AI v rámci bankovní unie, poskytuje technické normy pro rizika ICT a vydává pokyny, které formují národní očekávání orgánů dohledu. EBA se rovněž účastní Evropské rady pro AI zřízené podle Art. 65.
ECB a národní orgány obezřetnostního dohledu mohou vyžadovat dokumentaci modelů AI jako součást hodnocení SREP (Supervisory Review and Evaluation Process) podle CRD IV, kde AI řídí podstatná rozhodnutí o úvěrovém nebo operačním riziku.
Plán souladu pro banky
Okamžitě (nyní → srpen 2026): Dokončit kontrolu souladu se zákazem — přezkoumat všechny systémy AI z hlediska praktik zakázaných podle Art. 5, včetně sociálního bodování a biometrické identifikace v reálném čase na veřejných místech. Tyto zákazy se okamžitě uplatňují na nové smlouvy.
Q3 2026 — Audit klasifikace vysoce rizikových: Zmapovat všechny nasazené a vyvíjené systémy AI podle Annex III, konkrétně kategorií 5(b) a 5(c). Zdokumentovat zdůvodnění klasifikace. Zapojit právní oddělení a oddělení compliance k posouzení překryvu s DORA.
Q4 2026 — Povinnosti poskytovatele pro interní AI: Pro modely bodování úvěrů a upisování vytvořené interně zahájit postupy posouzení shody, vypracovat technickou dokumentaci podle Annex IV a implementovat QMS podle Art. 17.
2027 — Povinnosti provozovatele pro AI třetích stran: Provést audit všech smluv s dodavateli AI z hlediska souladu s EU AI Act. Vyžadovat od poskytovatelů prohlášení o shodě a registrační čísla. Aktualizovat smlouvy o zpracování dat tak, aby odrážely povinnosti vedení protokolů podle Art. 26.
Srpen 2027 — Povinnosti GPAI vstupují v platnost: Zajistit, aby všechny LLM třetích stran a základní modely používané v bankovních aplikacích splňovaly Art. 51–55. Ověřit, že poskytovatelé zveřejnili dokumentaci o transparentnosti podle Art. 53.
Prosinec 2027 — Termín pro vysoce rizikové AI: Vyžaduje se plný soulad pro všechny vysoce rizikové systémy AI podle Annex III. Zajistit registraci v databázi EU AI Act, operační mechanismy lidského dohledu a plány monitorování po uvedení na trh podle Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banky čelí povinnostem EU AI Act především prostřednictvím kategorií Annex III 5(b) a 5(c): AI používaná při hodnocení úvěruschopnosti a bodování úvěrů a AI používaná při upisování životního a zdravotního pojištění. Tyto systémy jsou klasifikovány jako vysoce rizikové systémy AI vyžadující posouzení shody, technickou dokumentaci, mechanismy lidského dohledu a registraci v databázi EU AI Act. Banky nasazující AI pro screening praní špinavých peněz (AML), detekci podvodů nebo hloubkovou kontrolu zákazníků mohou být rovněž zahrnuty do Annex III v závislosti na funkci systému a rozhodnutích, která ovlivňuje.
DORA (Digital Operational Resilience Act, nařízení 2022/2554) a EU AI Act vytvářejí překrývající se, avšak odlišné povinnosti. DORA vyžaduje, aby finanční subjekty řídily rizika ICT, prováděly zkoušení odolnosti a udržovaly schopnosti hlášení incidentů — to se vztahuje na systémy AI jako nástroje ICT. EU AI Act přidává klasifikaci rizik, posouzení shody, požadavky na transparentnost a lidský dohled specificky pro systémy AI. Úvěrová instituce provozující systém bodování úvěrů řízený AI musí splňovat jak rámec řízení rizik ICT podle DORA, tak požadavky EU AI Act na vysoce rizikové AI. Pokyny EBA pro řízení rizik ICT a bezpečnosti se uplatňují souběžně.
Systémy algoritmického obchodování nejsou přímo uvedeny v Annex III, takže automaticky nepředstavují vysoce rizikové AI podle EU AI Act. Pokud je však obchodní algoritmus používán jako součást hodnocení úvěruschopnosti nebo ovlivňuje přístup k finančním službám způsobem, který se dotýká fyzických osob, může spadat do působnosti Annex III. Požadavky MiFID II pro algoritmické obchodování — včetně kill switchů, testování systémů a auditních záznamů — zůstávají plně použitelné. Požadavky na transparentnost podle Art. 50 EU AI Act se vztahují na AI interagující s fyzickými osobami a povinnosti modelů GPAI podle Art. 51 se uplatňují na velké jazykové modely používané v obchodních nebo analytických platformách.
Evropský orgán pro bankovnictví (EBA) zveřejnil pokyny pro interní správu (EBA/GL/2021/05) a řízení rizik ICT, které přímo informují o očekáváních týkajících se správy AI pro banky. Mezi klíčové požadavky patří odpovědnost na úrovni představenstva za strategii AI, nezávislé ověřování modelů AI používaných při úvěrovém riziku, operační rámce rizik pokrývající selhání AI a požadavky na vysvětlitelnost pro systémy AI ovlivňující úvěrová rozhodnutí. Konzultace EBA o strojovém učení pro modely IRB stanovují kvantitativní standardy pro validaci modelů, kvalitu dat a sledování výkonnosti, které úzce souzní s požadavky na řízení rizik podle Art. 9 EU AI Act.
Ano, v zásadě — EU AI Act se uplatňuje bez ohledu na velikost společnosti. Avšak Art. 9(5) vyžaduje, aby systémy řízení rizik byly přiměřené velikosti a povaze poskytovatele nebo provozovatele. Ustanovení pro malé a střední podniky a startupy podle Art. 55 a Art. 57 až Art. 63 poskytují přístup k regulačním sandboxům provozovaným národními příslušnými orgány, čímž snižují překážky pro testování shody. Innovation Hub EBA a Evropské fórum pro inovační facilitátory (EFIF) poskytují dodatečnou podporu fintech firmám orientujícím se v regulaci AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.