ELi tehisintellekti määruse kohustused pankadele, krediidiasutustele ja fintech-ettevõtetele. Krediidiskoori tehisintellekt, rahapesu tõkestamise süsteemid, algoritmkauplemine, DORA kattuvus ja EBA suunised.
Miks pangandus seisab silmitsi kontsentreeritud ELi tehisintellekti määruse riskiga
Pangandus- ja finantsteenuste sektor asub ELi tehisintellekti määruse rangeimate kohustuste ja ELi kõige keerukama regulatiivse keskkonna ristumiskohas. Finantsasutused on Euroopas tehisintellekti suurimate kasutuselevõtjate hulgas — krediidi tagamisel, pettuste tuvastamisel, AML/CFT sõelumisel, kliendi hoolsuskohustuse täitmisel, algoritmkauplemisel ja varahalduses. ELi tehisintellekti määrus sihib otseselt nende kasutusjuhtumite kõige olulisemaid aspekte III lisa kaudu, liigitades mitu finantstehnoloogia rakendust definitsiooni järgi suure riskiga süsteemideks.
Pangandus toimib ka tihedas eelnevalt kehtestatud regulatiivses kihis: DORA, MiFID II, CRD IV/CRR, AML direktiivid, GDPR ja BCBS 239. ELi tehisintellekti määrus ei asenda neid raamistikke — see lisandub neile. Krediidiasutuse jaoks, kes võtab kasutusele tehisintellektipõhise krediidiskoori mudeli, tekivad samaaegsed kohustused tehisintellekti määruse (III lisa, Art. 9–16), DORA (IKT riskijuhtimine) ja EBA mudeliriski juhtimise suuniste alusel.
Suure riskiga tehisintellekti kasutusjuhud panganduses vastavalt III lisale
III lisa, kategooria 5(b) loetleb sõnaselgelt tehisintellekti, mida kasutatakse füüsiliste isikute krediidivõimelisuse hindamiseks või krediidiskoori arvutamiseks, ning tehisintellekti, mida kasutatakse juriidiliste isikute krediidiriski hindamiseks, kus tehisintellekt määrab tulemuse või mõjutab seda oluliselt. See hõlmab laia valikut finantsvaldkonna tehisintellekti kasutusjuhtumeid.
Krediidiskoori ja tagamise mudelid — automatiseeritud süsteemid, mis määravad laenuõiguse, krediidilimiidid või intressimäärad jaeklientidele ja VKEdele — on suure riskiga tehisintellekt vastavalt Art. 6(2) koosmõjus III lisaga. Pangad, kes tegutsevad nende süsteemide pakkujatena, peavad läbima vastavushindamise, säilitama tehnilist dokumentatsiooni vastavalt Art. 11-le, rakendama riskijuhtimissüsteeme vastavalt Art. 9-le, tagama inimjärelevalve mehhanismid vastavalt Art. 14-le ning registreerima süsteemi ELi tehisintellekti määruse andmebaasis (Art. 71) enne kasutuselevõttu.
AML ja pettuste tuvastamise süsteemid kujutavad endast keerukamat pilti. Süsteemid, mis rakendavad sanktsioonide sõelumist, tehingute jälgimist või käitumisanalüütikat kahtlaste tegevuste märkimiseks, mõjutavad üldiselt finantsasutusi, mitte ei määra otseselt tulemusi üksikisikutele. Kui tehisintellekti väljund on esmane alus ebasoodsaks toiminguks kliendi suhtes (konto külmutamine, teenuse osutamisest keeldumine), võib suure riskiga liigitamine käivituda III lisa kat. 5(b) või kat. 6 (õiguskaitse) alusel sõltuvalt riikliku asutuse rollist. Pangad peavad läbi viima põhjaliku klassifitseerimisanalüüsi.
Üldotstarbelised tehisintellektipõhised tööriistad — suured keelemudelid, mida kasutatakse klienditeeninduseks, dokumenditöötluseks või investeerimisanalüüsiks — kuuluvad Art. 50 läbipaistvusnõuete alla (avaldamine, et kasutajad suhtlevad tehisintellektiga) ning, kui mudeli pakkujal on süsteemne risk, siis Art. 55 kohustuste alla.
Pakkuja ja kasutuselevõtja kohustused pankadele
Pangad võivad tegutseda pakkujatena (oma tehisintellektimudelite arendamine), kasutuselevõtjatena (kolmandate osapoolte tehisintellektsüsteemide kasutamine) või mõlemas rollis. Eristus määrab kohustuste profiili:
| Roll | Kohustuse allikas | Peamised nõuded |
|---|---|---|
| Pakkuja | Art. 9–17 | Vastavushindamine, tehniline dokumentatsioon, QMS, registreerimine |
| Kasutuselevõtja | Art. 26 | Süsteemi jälgimine, inimjärelevalve tagamine, logide säilitamine, kasutajate teavitamine |
| Mõlemad | Art. 9–17 + Art. 26 | Täielikud pakkuja kohustused + kasutuselevõtja jälgimiskohustused |
Pangad, kes ostavad krediidiskoori tehisintellekti fintech-tarnijalt, tegutsevad kasutuselevõtjatena vastavalt Art. 26-le. Nad peavad kontrollima, et tarnija on läbinud vastavushindamise, integreerima inimülevaate ebasoodsate otsuste protsessidesse, säilitama kasutuslogisid 10 aastat (Art. 26(6)) ning tagama, et tehisintellekti otsuseid selgitatakse mõjutatud isikutele GDPR Art. 22 ja ELi tehisintellekti määruse Art. 13 alusel.
Sektori regulatsiooni kattuvus: DORA, MiFID II ja Solventsus II
DORA (määrus 2022/2554) kohaldub pankadele, investeerimisettevõtetele, kindlustusseltsidele ja IKT kolmandate osapoolte pakkujatele. Tehisintellekti osas nõuab DORA:
- Tehisintellektsüsteemide käsitlemist IKT-süsteemidena, mis kuuluvad riskijuhtimise raamistike alla (Art. 6 DORA)
- IKT-ga seotud intsidentide klassifitseerimist ja aruandlust — tehisintellekti tõrked võivad kujutada suuremaid IKT intsidente
- Kriitiliste IKT-süsteemide vastupidavustestimist — tehisintellektimudelid kaasatakse, kui need on operatiivselt olulised
- Kolmandate osapoolte riskijuhtimist, mis hõlmab tehisintellekti tarnijate lepinguid, väljumisstrateegiaid ja auditeerimisõigusi
MiFID II (finantsinstrumentide turgude direktiiv) kohaldub algoritmkauplemisele ja investeerimisnõustamisele. Tehisintellekti põhjal antud investeerimissoovitused käivitavad sobivushindamise nõuded; algoritmkauplemissüsteemid nõuavad kauplemiseelseid kontrolle, hädaseiskamislüliteid ja regulatiivset teavitamist.
EBA suunised IKT ja turvariskide juhtimise kohta (EBA/GL/2019/04, uuendatud 2022) nõuavad tehnoseegiaju riskijuhtimist, mis hõlmab tehisintellektimudeleid, tegevuse järjepidevuse nõudeid ja mudeli valideerimise sõltumatust. Need on suures osas kooskõlas ELi tehisintellekti määruse Art. 9 riskijuhtimise nõuetega.
Täitevasutused
ELi tehisintellekti määruse täitmine panganduse tehisintellekti osas toimib kahetasandilise ametiasutuste struktuuri kaudu:
Riiklikud pädevad asutused (NCA-d), mille iga liikmesriik on määranud vastavalt Art. 70-le, on peamised tehisintellekti määruse täitmise asutused. Nad võivad teostada turujärelevalvet, nõuda tehnilist dokumentatsiooni ja määrata trahve (kuni 30 miljonit eurot või 6% ülemaailmsest aastakäibest vastavalt Art. 99-le).
Euroopa Pangandusjärelevalve (EBA) koordineerib sektoripõhist tehisintellekti järelevalvet kogu pangandusliidus, annab tehnilisi standardeid IKT riski kohta ja annab suuniseid, mis kujundavad riiklikke järelevalveootusi. EBA osaleb ka Art. 65 alusel loodud Euroopa tehisintellekti nõukogus.
EKP ja riiklikud usaldatavusjärelevalve asutused võivad nõuda tehisintellektimudelite dokumentatsiooni SREP (järelevalvealase läbivaatamise ja hindamise protsess) hinnangute osana vastavalt CRD IV-le, kus tehisintellekt juhib olulisi krediidi- või operatsiooniriskiotsuseid.
Pankade vastavuse tegevuskava
Koheselt (praegu → august 2026): Viige lõpule keeldude vastavuskontroll — vaadake üle kõik tehisintellektsüsteemid Art. 5 alusel keelatud tavade osas, sealhulgas sotsiaalne punktiarvestus ja reaalajas biomeetriline tuvastamine avalikes ruumides. Need keelud kehtivad uute lepingute puhul koheselt.
2026. aasta III kvartal — suure riskiga klassifitseerimise audit: Kaardistage kõik kasutusele võetud ja arendamisel olevad tehisintellektsüsteemid vastavalt III lisale, eelkõige kategooriad 5(b) ja 5(c). Dokumenteerige klassifitseerimise põhjendused. Kaasake õigus- ja vastavusosakond DORA kattuvuse hindamiseks.
2026. aasta IV kvartal — pakkuja kohustused ettevõttesisese tehisintellekti jaoks: Ettevõttesiseselt loodud krediidiskoori ja tagamise mudelite puhul algatage vastavushindamise protseduurid, töötage välja tehniline dokumentatsioon vastavalt IV lisale ja rakendage QMS vastavalt Art. 17-le.
2027 — kasutuselevõtja kohustused kolmandate osapoolte tehisintellekti jaoks: Auditeerige kõik tehisintellekti tarnijate lepingud ELi tehisintellekti määruse vastavuse osas. Nõudke pakkujatelt vastavusdeklaratsioonide ja registreerimisnumbrite esitamist. Uuendage andmetöötluslepinguid, et kajastada Art. 26 logimiskohustusi.
August 2027 — üldotstarbeliste tehisintellektimudelite kohustused jõustuvad: Veenduge, et kõik pangandusrakendustes kasutatavad kolmandate osapoolte suurte keelemudelid ja alusmudelid vastavad Art. 51–55 nõuetele. Kontrollige, et pakkujad on avaldanud läbipaistvuse dokumentatsiooni vastavalt Art. 53-le.
Detsember 2027 — suure riskiga tehisintellekti tähtaeg: Kõigi III lisa suure riskiga tehisintellektsüsteemide täielik vastavus on nõutav. Tagage registreerimine ELi tehisintellekti määruse andmebaasis, toimivad inimjärelevalve mehhanismid ja turustamisjärgsete seire kavad vastavalt Art. 72-le.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Pangad peavad täitma ELi tehisintellekti määruse kohustusi peamiselt III lisa kategooriate 5(b) ja 5(c) kaudu: tehisintellekt, mida kasutatakse krediidivõimelisuse hindamiseks ja krediidiskoori arvutamiseks, ning tehisintellekt, mida kasutatakse elu- ja tervisekindlustuse tagamisel. Need on liigitatud suure riskiga tehisintellektsüsteemideks, mis nõuavad vastavushindamist, tehnilist dokumentatsiooni, inimjärelevalve mehhanisme ja registreerimist ELi tehisintellekti määruse andmebaasis. Lisaks võivad pangad, kes kasutavad tehisintellekti rahapesu tõkestamise (AML) sõelumiseks, pettuste tuvastamiseks või kliendi hoolsuskohustuse täitmiseks, kuuluda III lisa reguleerimisalasse sõltuvalt süsteemi funktsioonist ja mõjutatud otsustest.
DORA (digitaalse tegevuskerksuse seadus, määrus 2022/2554) ja ELi tehisintellekti määrus loovad kattuvaid, kuid erinevaid kohustusi. DORA nõuab finantsüksustelt IKT-riski haldamist, vastupidavustestimist ja intsidentide aruandlusvõimekuse säilitamist — see kehtib tehisintellektsüsteemidele kui IKT-vahenditele. ELi tehisintellekti määrus lisab tehisintellektsüsteemidele spetsiifiliselt riskiklassifikatsiooni, vastavushindamise, läbipaistvuse ja inimjärelevalve nõuded. Krediidiasutus, mis kasutab tehisintellektipõhist krediidiskoori süsteemi, peab täitma nii DORA IKT-riski juhtimise raamistikku kui ka ELi tehisintellekti määruse suure riskiga tehisintellekti nõudeid. EBA IKT ja turvariskide juhtimise suunised kehtivad paralleelselt.
Algoritmkauplemissüsteemid ei ole otseselt loetletud III lisas, seega ei kujuta need automaatselt ELi tehisintellekti määruse alusel suure riskiga tehisintellekti. Kui kauplemisalgoritmi kasutatakse aga krediidivõimelisuse hindamise osana või see mõjutab üksikisikute juurdepääsu finantsteenustele, võib see kuuluda III lisa reguleerimisalasse. MiFID II nõuded algoritmkauplemise kohta — sealhulgas hädaseiskamislülitid, süsteemide testimine ja auditijäljed — jäävad täielikult kohaldatavaks. ELi tehisintellekti määruse Art. 50 läbipaistvusnõuded kehtivad tehisintellektile, mis suhtleb füüsiliste isikutega, ning Art. 51 alusel kehtivad üldotstarbeliste tehisintellektimudelite kohustused kauplemis- või analüüsiplatvormidel kasutatavate suurte keelemudelite suhtes.
Euroopa Pangandusjärelevalve (EBA) on avaldanud suunised sisejuhtimise kohta (EBA/GL/2021/05) ja IKT riskijuhtimise kohta, mis mõjutavad otseselt tehisintellekti juhtimise ootusi pankadele. Peamised nõuded hõlmavad juhatuse tasandi vastutust tehisintellekti strateegia eest, krediidiriski hindamisel kasutatavate tehisintellektimudelite sõltumatut valideerimist, tehisintellekti tõrgetega seotud operatsiooniriski raamistikke ning selgitatavuse nõudeid krediidiotsustele mõjutavate tehisintellektsüsteemide puhul. EBA konsultatsioonid masinõppe kasutamise kohta IRB mudelites seavad kvantitatiivsed standardid mudeli valideerimisele, andmekvaliteedile ja tulemuslikkuse jälgimisele, mis on tihedalt kooskõlas ELi tehisintellekti määruse Art. 9 riskijuhtimise nõuetega.
Jah, põhimõtteliselt — ELi tehisintellekti määrus kohaldub olenemata ettevõtte suurusest. Siiski nõuab Art. 9(5), et riskijuhtimissüsteemid oleksid proportsionaalsed pakkuja või kasutuselevõtja suuruse ja olemusega. VKEdele ja idufirmadele mõeldud sätted Art. 55 ja Art. 57 kuni Art. 63 alusel võimaldavad juurdepääsu riiklike pädevate asutuste juhitavatele regulatiivsetele liivakastidele, vähendades vastavustestimise tõkkeid. EBA innovatsioonikeskus ja Euroopa innovatsiooni hõlbustajate foorum (EFIF) pakuvad täiendavat tuge fintech-ettevõtetele tehisintellekti regulatsioonil navigeerimisel.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.