EL AI seadus finantssektoris: pangad, kindlustusseltsid ja krediidiasutused

Pangad, kindlustusseltsid, varahaldurid ja makseasutused seisavad silmitsi EL AI seaduse kohustuste kihtimisega olemasolevale finantsregulatsioonile (DORA, MiFID II, GDPR, CRR). See leht selgitab, millised AI kasutusjuhud on kõrge riskiga, kuidas sektori regulaatorid suhtlevad AI seadusega ja mida finantsasutused peavad tegema vastavuse saavutamiseks.

AI seadus jõuab finantssfääri

Finantsasutused — pangad, kindlustusseltsid, varahaldurid, makseettevõtted, krediidibürood — on Euroopas ühed intensiivsemad AI kasutajad. Krediidihindamine, pettuste tuvastamine, algoritmipõhine kauplemine, kliendi riskiprofiilimine, kindlustusandmine, regulatiivse aruandluse automatiseerimine ning AML/KYC sõelumine toetuvad kõik AI-süsteemidele, mis võivad alluda EL AI seadusele.

Finantsasutuste jaoks ei saabu EL AI seadus isoleeritult. See kihistub juba tiheda regulatiivse paki peale: DORA (digitaalne vastupidavus), MiFID II (investeerimisteenused), GDPR (andmekaitse), CRR/CRD (kapitalinõuded), Solvency II (kindlustus), PSD2/PSD3 (makseteenused) ning sektori EBA, EIOPA ja ESMA suunised. AI seaduse integreerimise mõistmine — ja mõnikord konfliktide lahendamine — olemasoleva finantsregulatsiooniga on tõhusa vastavuse jaoks hädavajalik.

Millised AI kasutusjuhud on finantssektoris kõrge riskiga?

EL AI seaduse III lisa tuvastab automaatselt kõrge riskiga kasutusjuhtumid. Finantssektoris on kõige otsesemalt asjakohased:

Kategooria 5(b): Krediidivõimelisuse hindamine

Kõrge riskiga. AI-süsteemid, mida kasutatakse füüsiliste isikute krediidivõimelisuse hindamiseks või füüsiliste isikute krediidiriski klassifitseerimiseks, on selgesõnaliselt loetletud. See hõlmab:

Automatiseeritud krediidihindamine tarbimislaenude, isiklike arvelduskrediitide, krediitkaartide ja hüpoteekide puhul
Mudelid, mis hindavad tagasimaksmise tõenäosust, maksejõuetuse riski või üksikute tarbijate võlakandmise suutlikkust
AI-süsteemid, mis soovitavad krediidilimiite või laenusummasid individuaalse riskihindamise põhjal

Ei hõlma automaatselt: Juriidilisi isikuid (mitte füüsilisi isikuid) hindavad ettevõtte krediidimudelid, kuigi need võivad endiselt käivitada Art. 50 läbipaistvuskohustused sõltuvalt kasutuselevõtust.

Kategooria 5(b): Kindlustuse kindlustusmaksu ja kindlustuskatte otsused

Kõrge riskiga, kui see oluliselt mõjutab füüsilisi isikuid. AI-süsteemid, mis teevad või tugevalt mõjutavad otsuseid:

Kindlustuskatte kohta (taotlejate vastuvõtmine või tagasilükkamine)
Kindlustusmaksu tasemete kohta (aktuaarsed mudelid, mis seavad individuaalseid kindlustusmakseid)
Nõuete hindamise ja lahendamise kohta (automatiseeritud nõuete käsitlemine)

Mootori kindlustuse hinnastamise mudelid, tervise kindlustusandmine ja kodumajapidamiste kinnisvarakindlustuse mudelid on otseselt kohaldamisalas. Määrav tegur on see, kas AI-süsteem teeb või oluliselt mõjutab otsuse, mis materiaalselt mõjutab füüsilise isiku juurdepääsu põhilisele erateenusele.

Kategooria 1: Biomeetriline tuvastamine

Kõrge riskiga. AI-süsteemid, mida kasutatakse:

Klientide kaugbomeetriliseks tuvastamiseks (KYC-video kontroll, pidev autentimine)
Biomeetriliseks kategoriseerimiseks, kus see mõjutab riski klassifikatsiooni või teenusele juurdepääsu

Füüsiliste isikute reaalajas biomeetriline kaugtuvastamine avalikult ligipääsetavates kohtades õiguskaitse eesmärgil on Art. 5 alusel keelatud. Kaubanduslikud isikutuvastamissüsteemid, mis kasutavad näotuvastust KYC jaoks, alluvad kõrge riskiga nõuetele, kuid ei ole keelatud.

Kategooria 6: AML/KYC ja õiguskaitsega külgnev

Finantsasutuste poolt kasutatavad AI-süsteemid AML/KYC sõelumise, sanktsioonide filtreerimise või tehingute seire toetamiseks kus tulemus edastatakse õiguskaitsele või seda kasutatakse võivad kuuluda III lisa kategooria 6 (õiguskaitse) alla. See hõlmab:

AI-loodud kahtlaste tegevuste aruanded (SAR-d), mis edastatakse FIU-dele
Automatiseeritud poliitiliselt eksponeeritud isikute (PEP) sõelumissüsteemid

Ainult sisemiseks riskijuhtimiseks kasutatavad süsteemid ilma õiguskaitse väljundita on vähem tõenäoliselt klassifitseeritud kõrge riskiga kategooria 6 alla, kuigi muud kategooriad võivad kehtida.

Mida kõrge riskiga AI kohustused tähendavad finantsasutustele

Kui finantsasutuse kasutatav AI-süsteem on III lisa alusel kõrge riskiga, sõltuvad kohustused sellest, kas asutus on pakkuja (ehitas süsteemi) või kasutuselevõtja (ostis või litsentsib selle).

Kui olete pakkuja (ehitasite süsteemi)

Riskijuhtimissüsteem (Art. 9): Kehtestage ja hoidke dokumenteeritud riskijuhtimise protsess, mis kordub kogu süsteemi elutsükli jooksul
Andmehaldus (Art. 10): Treenimis-, valideerimis- ja testimisandmed peavad alluma halduspraktikatele, mis hõlmavad asjakohasust, esindatavust ja eelarvamuste hindamist
Tehniline dokumentatsioon (IV lisa): Täielik tehniline toimik, sealhulgas süsteemi kirjeldus, arhitektuur, treenimise lähenemine, tulemuslikkuse mõõdikud ja järelturu seire plaan
Läbipaistvus (Art. 13): Kasutusjuhised, mis võimaldavad kasutuselevõtjatel mõista võimekust, piiranguid ja järelevalve nõudeid
Inimjärelevalve (Art. 14): Disainimeetmed inimjärelevalve ja -sekkumise võimaldamiseks
Täpsus, vastupidavus, küberturvalisus (Art. 15): Demonstreeritud tulemuslikkuse tasemed ja vastupidavus
Vastavushindamine: Enesehindamine (VI lisa) enamiku III lisa süsteemide puhul või teavitatud asutuse hindamine biomeetriliste süsteemide puhul
CE-märgis ja EL vastavusdeklaratsioon
Registreerimine EL AI andmebaasis
Järelturu seire (Art. 72): Aktiivne süsteem reaalse maailma tulemuslikkuse andmete kogumiseks ja intsidentide teatamiseks

Kui olete kasutuselevõtja (ostsite/litsentsisite süsteemi)

Juhiste järgimine: Kasutage süsteemi rangelt vastavalt pakkuja juhistele
Inimjärelevalve: Määrake kvalifitseeritud personal järelevalveks asjakohase volituse ja ressurssidega
Sisendandmete kvaliteet: Tagage, et sisendandmed on asjakohased ja esinduslikud konkreetse kasutusele võtmise kontekstis
Logide säilitamine: Aktiveerige ja säilitake automaatlogid nõutud perioodi jooksul
Intsidentide teatamine: Teatage tõsistest intsidentidest pakkujale ja mõnel juhul otse asutustele
Põhiõiguste mõjuhinnang (Art. 27): Nõutav avalike asutuste puhul; soovitatav erasektori kasutuselevõtjatele tundlikes kontekstides

Suhtlemine DORA-ga

Digitaalse tegevuskerksuse seadus (DORA) hakkas kehtima jaanuaris 2025 ja paneb finantsasutustele põhjalikud IKT riskijuhtimise nõuded — sealhulgas AI-süsteemidele IKT komponentidena.

Põhilised suhtlemiskohad:

IKT riskijuhtimise raamistik

DORA nõuab finantsasutustelt IKT riskijuhtimise raamistiku hoidmist, mis hõlmab tuvastamist, kaitset, tuvastamist, reageerimist ja taastamist. AI-süsteemid on IKT tööriistad, mis alluvad sellele raamistikule. EL AI seadus lisab peale AI-spetsiifilised nõuded: eelarvamuste testimine, läbipaistvuse dokumentatsioon, inimjärelevalve disain ja elutsükli haldamine.

Praktikas: Panga AI krediidihindamise mudel peab vastama nii DORA IKT riskijuhtimisele (intsidentide tuvastamine, järjepidevuse planeerimine, muudatuste haldamine) kui ka EL AI seaduse kõrge riskiga nõuetele (riskijuhtimissüsteem, tehniline dokumentatsioon, järelturu seire).

Kolmanda osapoole risk (IKT kolmanda osapoole pakkujad)

DORA paneb üksikasjalikud nõuded IKT kolmanda osapoole pakkujate haldamiseks — sealhulgas lepingulised nõuded, auditeerimisõigused ja kriitiliste pakkujate järelevalve. Kui finantsasutus kasutab kolmanda osapoole AI-süsteemi (nt tarnijapoolne krediidihindamise mudel), kohalduvad DORA kolmanda osapoole riskijuhtimise nõuded sellele tarnijale.

EL AI seaduse kasutuselevõtja kohustused kohalduvad samuti — nõudes pakkujalt juhiste, vastavusdokumentatsiooni ja logimissuutlikkuse esitamist. Finantsasutused peaksid tagama, et nende kolmanda osapoole AI tarnijate lepingud rahuldavad nii DORA IKT pakkujate nõudeid kui ka EL AI seaduse kasutuselevõtja teabe õigusi.

Intsidentide teatamine

DORA-l on oma intsidentide teatamise raamistik oluliste IKT-ga seotud intsidentide jaoks, mis esitatakse sektori järelevalvajatele (EBA, EIOPA, ESMA). EL AI seadus nõuab tõsiste intsidentide teatamist, mis hõlmavad kõrge riskiga AI-süsteeme, riiklikele turujärelevalveasutustele.

Need on eraldiseisvad teatamiskohustused erinevatele asutustele. Tõsine intsident, mis hõlmab AI krediidihindamise süsteemi, võib käivitada nii DORA intsidentide aruande (EBA-le/riiklikule finantseerimise järelevalvajale) kui ka EL AI seaduse intsidentide aruande (turujärelevalveasutusele).

Sektori järelevalvajad ja AI seaduse täitmine

Finantsasutuste puhul on sektori finantseerimise järelevalvajatel — EBA (pangandus), EIOPA (kindlustus), ESMA (väärtpaberid ja turud) — EL AI seaduse rakendamisel konkreetne roll, kuigi nad ei ole peamine AI seaduse täitmisasutus.

AI seaduse alusel peavad kõrge riskiga AI-süsteemide pakkujatest finantsasutused registreeruma EL AI andmebaasis. Finantssektoris võib asjakohane finantseerimise järelevalveasutus olla määratud või teha koostööd riikliku turujärelevalveasutusega, kes vastutab selle sektori AI seaduse järelevalve eest.

Euroopa järelevalveasutused (ESA-d) on olnud aktiivsed:

Finantsteenustes AI haldamise juhiste avaldamisel (EBA sisejuhtimise suunised, ML/AI krediidiriski puhul)
EL AI seaduse rakendamisjuhiste väljatöötamisel finantssektori jaoks
Koordineerimisel EL AI bürooga GPAI mudeli järelevalve osas finantsteenuseid mõjutavates aspektides

Finantsasutuste praktilised vastavuse prioriteedid

Loetlege kõik kasutatavad AI-süsteemid — klassifitseerige iga III lisa kriteeriumite suhtes. Eelistage krediidivõimelisuse, kindlustuse hinnastamise ja biomeetriliste/KYC süsteeme.
Määrake pakkuja vs. kasutuselevõtja staatus iga süsteemi puhul — kas kasutate tarnijapoolseid mudeleid või ehitate ise?
Joondage AI juhtimine DORA IKT riskiraamistikuga — integreerige AI seaduse kohustused olemasolevasse DORA juhtimisstruktuuri, et vältida dubleerivaid protsesse.
Vaadake üle kolmanda osapoole AI tarnijate lepingud — tagage, et lepingud pakuvad: vastavusdokumentatsiooni, kasutusjuhiseid, logide juurdepääsu, intsidentide teatamise kohustusi, uuendamise kohustusi ja auditeerimisõigusi.
Kehtestage inimjärelevalve mehhanismid — kõrge riskiga AI kasutusjuhtude puhul tagage, et kvalifitseeritud töötajatel on volitused, tööriistad ja aeg AI väljundite sisukaks ülevaatamiseks enne tagajärgelike otsuste tegemist.
Ühendage järelturu seirega — laiendage olemasolevaid mudeli riskijuhtimise protsesse (Baseli mudeli valideerimine, DORA muudatuste haldamine) Art. 72 järelturu seire nõuete hõlmamiseks.
Valmistuge EL AI andmebaasiks — kui olete kõrge riskiga AI-süsteemide pakkuja, on registreerimine kohustuslik. Kui olete avalike asutuste kasutuselevõtja, võidakse registreerimine samuti nõuda.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kas krediidihindamise mudelid alluvad EL AI seaduse kõrge riskiga nõuetele?

Jah. Krediidivõimelisuse hindamise AI-süsteemid — mida kasutatakse füüsiliste isikute krediidivõimelisuse hindamiseks või füüsiliste isikute krediidiriski klassifitseerimiseks — on selgesõnaliselt loetletud III lisas, kategoorias 5(b) kõrge riskiga. See hõlmab automatiseeritud krediidihindamist tarbimislaenude, hüpoteekide, krediitkaartide ja arvelduskrediidi puhul. Ainult juriidiliste isikute (mitte füüsiliste isikute) krediidi hindamiseks kasutatavad süsteemid ei pruugi kuuluda kohaldamisalasse, kuid füüsiliste isikute hindamist hõlmavad süsteemid on selgelt kaetud.

Kuidas DORA suhtleb EL AI seadusega finantsasutuste jaoks?

DORA (digitaalse tegevuskerksuse seadus) ja EL AI seadus on kattuvate, kuid erinevate ulatustega. DORA hõlmab IKT riskijuhtimist laialdaselt — sealhulgas AI-süsteeme IKT tööriistadena — nõuetega intsidentide teatamise, kerksuse testimise ja kolmanda osapoole riskijuhtimise osas. EL AI seadus lisab konkreetsed AI kohustused (eelarvamuste testimine, läbipaistvus, inimjärelevalve, järelturu seire) kõrge riskiga AI kasutusjuhtude puhul. Finantsasutuste puhul nõuab vastavus mõlema raamistikuga tegelemist — DORA ei vabasta asutusi AI seaduse kohustusest ja AI seadus ei asenda DORA IKT riskide nõudeid.

Kas pettuste tuvastamiseks kasutatavad AI-süsteemid alluvad EL AI seaduse kõrge riskiga kategooriale?

See sõltub kasutusjuhust. AI-süsteemid, mida kasutatakse reaalajas tehingute pettuste tuvastamiseks — kus AI märgistab kahtlased tehingud inimeste ülevaatamiseks või blokeerib need automaatselt — ei ole automaatselt kõrge riskiga III lisa alusel. Kuid kui süsteem teeb või tugevalt mõjutab otsuseid, mis oluliselt mõjutavad isikuid (nt konto blokeerimine, krediidilimiidi vähendamine, kindlustusnõude keeldamine), võib kasutusjuht kuuluda III lisa kategooria 5 alla (juurdepääs põhiteenustele). Õiguslik kindlus sõltub regulatiivsest juhisest ja konkreetsest kasutusele võtmisest.

Kas kindlustuse hinnastamise ja kindlustusandmise AI-süsteemid on kõrge riskiga?

Kindlustuse hinnastamise ja kindlustusandmise AI-süsteemid, mis teevad või tugevalt mõjutavad otsuseid kindlustuskatte, kindlustusmaksu taseme või kindlustusnõuete lahendamise kohta füüsiliste isikute puhul, kuuluvad tõenäoliselt III lisa kategooria 5 alla (juurdepääs põhilistele eriteenustele). See hõlmab mootori kindlustuse hinnastamise mudeleid, tervise kindlustusandmise ja kinnisvarakindlustuse mudeleid kodumajapidamiste jaoks. Üksikisikute elukestuse riski hindavad elukindlustuse kindlustusandmise mudelid võivad samuti olla kaetud. Iga kasutusjuhtu tuleb hinnata individuaalselt III lisa kriteeriumite suhtes.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.