Pankit, vakuuttajat, omaisuudenhoitajat ja maksupalveluntarjoajat kohtaavat EU:n tekoälyasetuksen velvoitteita päällekkäin olemassa olevan rahoitussääntelyn (DORA, MiFID II, GDPR, CRR) kanssa. Tällä sivulla selitetään, mitkä tekoälyn käyttötapaukset ovat korkeariskisiä, miten sektoriset sääntelyviranomaiset ovat vuorovaikutuksessa tekoälyasetuksen kanssa ja mitä rahoituslaitosten on tehtävä vaatimustenmukaisuuden saavuttamiseksi.
Tekoälyasetus tulee rahoituseen
Rahoituslaitokset — pankit, vakuuttajat, omaisuudenhoitajat, maksupalveluntarjoajat, luottotietotoimistot — ovat Euroopan intensiivisimpiä tekoälyn käyttäjiä. Luottoluokitus, petosten havaitseminen, algoritminen kaupankäynti, asiakasriskiprofilointi, vakuutusmerkintä, viranomaisraportoinnin automatisointi ja AML/KYC-seulonta tukeutuvat kaikki tekoälyjärjestelmiin, jotka voivat olla EU:n tekoälyasetuksen alaisia.
Rahoituslaitoksille EU:n tekoälyasetus ei tule yksinään. Se lisätään jo tiheiden sääntelyn pinoon: DORA (digitaalinen resilienssi), MiFID II (sijoituspalvelut), GDPR (tietosuoja), CRR/CRD (vakavaraisuusvaatimukset), Solvenssi II (vakuutus), PSD2/PSD3 (maksupalvelut) sekä EBA:n, EIOPA:n ja ESMA:n sektorikohtaiset ohjeet. Sen ymmärtäminen, miten tekoälyasetus integroituu — ja joskus on ristiriidassa — olemassa olevan rahoitussääntelyn kanssa, on olennaista tehokkaalle vaatimustenmukaisuudelle.
Mitkä tekoälyn käyttötapaukset ovat korkeariskisiä rahoituksessa?
EU:n tekoälyasetuksen liite III tunnistaa automaattisesti korkeariskiset käyttötapaukset. Rahoitussektorilla suorimmin relevantteja ovat:
Luokka 5(b): Luottokelpoisuuden arviointi
Korkeariskinen. Tekoälyjärjestelmät, joita käytetään luonnollisten henkilöiden luottokelpoisuuden arviointiin tai luottoriskiKuokan luokitteluun, on nimenomaisesti lueteltu. Tämä kattaa:
- Automaattinen luottoluokitus kuluttajalainoja, henkilökohtaisia tilinylityksiä, luottokortteja ja asuntolainoja varten
- Mallit, jotka arvioivat yksittäisten kuluttajien takaisinmaksutodennäköisyyttä, maksuhäiriöriskiä tai velkakapasiteettia
- Tekoälyjärjestelmät, jotka suosittelevat luottorajoja tai lainasummia yksilöllisen riskiarvioinnin perusteella
Ei automaattisesti kattama: Yritysluottoluokitusmallit, jotka arvioivat oikeushenkilöitä luonnollisten henkilöiden sijaan, vaikka nämäkin voivat käynnistää Art. 50:n avoimuusvelvoitteet käyttöönottotavasta riippuen.
Luokka 5(b): Vakuutuksen vakuutusmaksu- ja kattavuuspäätökset
Korkeariskinen, jos vaikuttaa merkittävästi luonnollisiin henkilöihin. Tekoälyjärjestelmät, jotka tekevät tai voimakkaasti vaikuttavat päätöksiin:
- Vakuutuksen kattavuudesta (hakijoiden hyväksyminen tai hylkääminen)
- Vakuutusmaksutasoista (yksilölliset vakuutusmaksut asettavat aktuaarilaskelmat)
- Korvausvaatimuksen arvioinnista ja selvittämisestä (automatisoitu korvausvaatimuksen käsittely)
Moottoriajoneuvojen vakuutuksen hinnoittelumallit, terveysvakuutuksen merkintä ja talouksien kiinteistövakuutusmallit ovat suoraan soveltamisalassa. Määräävä tekijä on, tekeekö tekoälyjärjestelmä tai voimakkaasti vaikuttaa päätökseen, joka merkittävästi vaikuttaa luonnollisen henkilön pääsyyn olennaiseen yksityiseen palveluun.
Luokka 1: Biometrinen tunnistaminen
Korkeariskinen. Tekoälyjärjestelmät, joita käytetään:
- Asiakkaiden etäbiometriseen tunnistamiseen (KYC-videovahvistus, jatkuva todennus)
- Biometriseen luokitteluun, jossa luokittelu vaikuttaa riskiprofilointiin tai palvelun saatavuuteen
Luonnollisten henkilöiden reaaliaikainen biometrinen tunnistaminen julkisesti saavutettavissa tiloissa lainvalvontatarkoituksiin on kielletty Art. 5:n mukaisesti. KYC-tarkoituksiin kasvojentunnistusta käyttävät kaupalliset henkilöllisyydentarkistamisjärjestelmät ovat korkeariskisten vaatimusten alaisia mutta eivät kiellettyjä.
Luokka 6: AML/KYC ja lainvalvontaan läheisesti liittyvä
Tekoälyjärjestelmät, joita rahoituslaitokset käyttävät AML/KYC-seulonnassa, sanktioidenkantasuodatuksessa tai tapahtumien valvonnassa joissa tulos raportoidaan lainvalvonnalle tai käytetään sen toimesta, voivat kuulua liitteen III luokkaan 6 (lainvalvonta). Tämä sisältää:
- Tekoälyn tuottamat epäilyttävistä liiketoimista tehtävät ilmoitukset (SAR), jotka lähetetään rahanpesun selvittelykeskuksille
- Automatisoidut poliittisesti alttiiden henkilöiden (PEP) seulontajärjestelmät
Pelkästään sisäiseen riskienhallintaan ilman lainvalvontatuotosta käytettäville järjestelmille on vähemmän todennäköistä tulla luokitelluiksi korkeariskisiksi luokan 6 mukaisesti, joskin muut luokat voivat soveltua.
Mitä korkeariskiset tekoälyvelvoitteet tarkoittavat rahoituslaitoksille
Jos rahoituslaitoksen käyttämä tekoälyjärjestelmä on korkeariskinen liitteen III mukaisesti, velvoitteet eroavat sen mukaan, onko laitos tarjoaja (rakensi järjestelmän) vai käyttäjä (hankki tai lisensoi sen).
Jos olet tarjoaja (rakensi järjestelmän)
- Riskinhallintajärjestelmä (Art. 9): Perusta ja ylläpidä dokumentoitua riskinhallintaprosessia, joka iteroi koko järjestelmän elinkaaren ajan
- Tietojen hallinto (Art. 10): Koulutus-, validointi- ja testidatan on oltava hallintakäytäntöjen alaisia kattaen relevanssin, edustavuuden ja harhojen arvioinnin
- Tekninen dokumentaatio (liite IV): Täydellinen tekninen tiedosto, mukaan lukien järjestelmän kuvaus, arkkitehtuuri, koulutuksen lähestymistapa, suorituskykymetriikat ja markkinoille saattamisen jälkeinen valvontasuunnitelma
- Avoimuus (Art. 13): Käyttöohjeet käyttäjille, jotka mahdollistavat kyvykkyyksien, rajoitusten ja valvontavaatimusten ymmärtämisen
- Ihmisten valvonta (Art. 14): Suunnittelutoimenpiteet, jotka mahdollistavat ihmisten valvonnan ja puuttumisen
- Tarkkuus, kestävyys, kyberturvallisuus (Art. 15): Osoitetut suoritustasot ja resilienssi
- Vaatimustenmukaisuuden arviointi: Oma arviointi (liite VI) useimmille liitteen III järjestelmille tai ilmoitetun laitoksen arviointi biometrisille järjestelmille
- CE-merkintä ja EU:n vaatimustenmukaisuusvakuutus
- Rekisteröityminen EU:n tekoälytietokantaan
- Markkinoille saattamisen jälkeinen valvonta (Art. 72): Aktiivinen järjestelmä reaalimaailman suorituskykytietojen keräämiseen ja tapahtumaraportoinnin osalta
Jos olet käyttäjä (hankki/lisensoi järjestelmän)
- Ohjeiden noudattaminen: Käytä järjestelmää tiukasti tarjoajan ohjeiden mukaisesti
- Ihmisten valvonta: Nimeä pätevä henkilöstö suorittamaan valvontaa asianmukaisella toimivallalla ja resursseilla
- Syöttötietojen laatu: Varmista, että syöttötiedot ovat relevantteja ja edustavia erityiselle käyttöönottokontekstille
- Lokin säilyttäminen: Aktivoi ja säilytä automaattiset lokit vaadituksi ajaksi
- Tapahtumaraportointi: Ilmoita vakavista tapahtumista tarjoajalle ja joissakin tapauksissa suoraan viranomaisille
- Perusoikeusvaikutusten arviointi (Art. 27): Vaaditaan julkisilta elimiltä; suositellaan yksityissektorin käyttäjille arkaluonteisissa yhteyksissä
Vuorovaikutus DORA:n kanssa
Digitaalista operatiivista häiriönsietokykyä koskeva asetus (DORA) astui soveltamiseen tammikuussa 2025 ja asettaa kattavat tieto- ja viestintätekniikan riskienhallinnan vaatimukset rahoituslaitoksille — myös tekoälyjärjestelmille tieto- ja viestintätekniikan komponentteina.
Keskeiset vuorovaikutuspisteet:
Tieto- ja viestintätekniikan riskinhallintakehys
DORA edellyttää rahoituslaitoksilta tieto- ja viestintätekniikan riskinhallintakehystä, joka kattaa tunnistamisen, suojaamisen, havaitsemisen, reagoinnin ja palautumisen. Tekoälyjärjestelmät ovat tieto- ja viestintätekniikan työkaluja, joihin tämä kehys soveltuu. EU:n tekoälyasetus lisää tekoälykohtaisia vaatimuksia päälle: harhojen testaus, avoimuusdokumentaatio, ihmisten valvonnan suunnittelu ja elinkaaren hallinta.
Käytännössä: Pankin tekoälypohjaisen luottoluokitusmallin on noudatettava sekä DORA:n tieto- ja viestintätekniikan riskienhallintaa (tapahtumien havaitseminen, jatkuvuussuunnittelu, muutoksenhallinta) että EU:n tekoälyasetuksen korkeariskisiä vaatimuksia (riskinhallintajärjestelmä, tekninen dokumentaatio, markkinoille saattamisen jälkeinen valvonta).
Kolmansien osapuolten riski (tieto- ja viestintätekniikan kolmansien osapuolten tarjoajat)
DORA asettaa yksityiskohtaisia vaatimuksia tieto- ja viestintätekniikan kolmansien osapuolten tarjoajien hallintaan — mukaan lukien sopimusvaatimukset, tarkastusoikeudet ja merkittävien tarjoajien valvonta. Kun rahoituslaitos käyttää kolmannen osapuolen tekoälyjärjestelmää (esim. toimittajan luottoluokitusmalli), DORA:n kolmansien osapuolten riskienhallinnan vaatimukset soveltuvat kyseiseen toimittajaan.
EU:n tekoälyasetuksen käyttäjävelvoitteet soveltuvat myös — edellyttäen tarjoajaa toimittamaan ohjeet, vaatimustenmukaisuusdokumentaatio ja lokikirjauskyky. Rahoituslaitosten tulisi varmistaa, että kolmannen osapuolen tekoälytoimittajasopimukset täyttävät sekä DORA:n tieto- ja viestintätekniikan tarjoajan vaatimukset että EU:n tekoälyasetuksen käyttäjän tiedonsaantioikeudet.
Tapahtumaraportointi
DORA:lla on oma tapahtumaraportoinnin kehys merkittäville tieto- ja viestintätekniikkaan liittyville tapahtumille, jotka raportoidaan sektorikohtaisille valvojille (EBA, EIOPA, ESMA). EU:n tekoälyasetus edellyttää vakavista korkeariskiseen tekoälyyn liittyvistä tapahtumista ilmoittamista kansallisille markkinavalvontaviranomaisille.
Nämä ovat erillisiä raportointivelvoitteita eri viranomaisille. Vakava tapahtuma, johon liittyy tekoälypohjainen luottoluokitusjärjestelmä, voisi käynnistää sekä DORA-tapahtumaraportin (EBA:lle/kansalliselle rahoitusvalvojalle) että EU:n tekoälyasetuksen tapahtumaraportin (markkinavalvontaviranomaiselle).
Sektoriset valvojat ja tekoälyasetuksen täytäntöönpano
Rahoituslaitoksille sektoriset rahoitusvalvojat — EBA (pankki), EIOPA (vakuutus), ESMA (arvopaperit ja markkinat) — hoitavat erityistä roolia EU:n tekoälyasetuksen täytäntöönpanossa, vaikka he eivät ole ensisijainen tekoälyasetuksen täytäntöönpanoviranomainen.
Tekoälyasetuksen mukaisesti korkeariskisten tekoälyjärjestelmien tarjoajina toimivien rahoituslaitosten on rekisteröidyttävä EU:n tekoälytietokantaan. Rahoitussektorilla asianmukainen rahoitusvalvontaviranomainen voidaan nimetä tai se voi tehdä yhteistyötä kyseisen sektorin tekoälyasetuksen valvonnasta vastaavan kansallisen markkinavalvontaviranomaisen kanssa.
Eurooppalaiset valvontaviranomaiset (ESA) ovat olleet aktiivisia:
- Julkaisemalla ohjausta tekoälyn hallintoon rahoituspalveluissa (EBA:n ohjeet sisäisestä hallinnosta, ML/AI luottoriskissä)
- Myötävaikuttamalla EU:n tekoälyasetuksen täytäntöönpano-ohjaukseen rahoitussektorilla
- Koordinoimalla EU:n tekoälyviraston kanssa GPAI-mallien valvonnasta, kuten se vaikuttaa rahoituspalveluihin
Käytännön vaatimustenmukaisuusprioriteetit rahoituslaitoksille
-
Inventoi kaikki käytössä olevat tekoälyjärjestelmät — luokittele jokainen liitteen III kriteerien mukaisesti. Priorisoi luottokelpoisuus, vakuutuksen hinnoittelu ja biometrinen/KYC-järjestelmät.
-
Selvitä tarjoaja vs. käyttäjä -asema jokaisen järjestelmän osalta — käytätkö toimittajan tarjoamia malleja vai rakennatko sisäisesti?
-
Yhdenmukaista tekoälyn hallinto DORA:n tieto- ja viestintätekniikan riskikehyksen kanssa — integroi tekoälyasetuksen velvoitteet olemassa olevaan DORA-hallintoon päällekkäisten prosessien välttämiseksi.
-
Tarkista kolmannen osapuolen tekoälytoimittajasopimukset — varmista, että sopimukset tarjoavat: vaatimustenmukaisuusdokumentaation, käyttöohjeet, lokikirjauksen pääsyn, tapahtumaraportoinnin sitoumukset, päivitysvelvoitteet ja tarkastusoikeudet.
-
Perusta ihmisten valvontamekanismit — korkeariskisille tekoälyn käyttötapauksille varmista, että pätevällä henkilöstöllä on toimivalta, työkalut ja aika merkityksellisesti tarkistaa tekoälyn tuotokset ennen seurauksellisia päätöksiä.
-
Yhdistä markkinoille saattamisen jälkeiseen valvontaan — laajenna olemassa olevia mallinriskienhallintaprosesseja (Basel-mallien validointi, DORA:n muutoksenhallinta) kattamaan Art. 72:n markkinoille saattamisen jälkeisen valvonnan vaatimukset.
-
Valmistaudu EU:n tekoälytietokantaan — jos olet korkeariskisten tekoälyjärjestelmien tarjoaja, rekisteröityminen on pakollista. Jos olet julkisen elimen käyttäjä, rekisteröityminen voi myös olla vaadittua.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Kyllä. Luottokelpoisuuden arviointitekoälyjärjestelmät — joita käytetään luonnollisten henkilöiden luottokelpoisuuden arviointiin tai luottoriski-luokitteluun — on nimenomaisesti lueteltu liitteessä III, luokassa 5(b) korkeariskisinä. Tämä kattaa automaattisen luottoluokituksen kuluttajalainoja, asuntolainoja, luottokortteja ja tilinylityksiä varten. Yksinomaan yritysten luottoluokitukseen käytettävät järjestelmät eivät ehkä kuulu soveltamisalaan, mutta yksittäisten luonnollisten henkilöiden arviointia koskevat järjestelmät ovat selkeästi kattamia.
DORA (digitaalista operatiivista häiriönsietokykyä koskeva asetus) ja EU:n tekoälyasetus ovat päällekkäisiä mutta erottuvia soveltamisaloja. DORA kattaa tieto- ja viestintätekniikan riskienhallinnan laajasti — myös tekoälyjärjestelmät tieto- ja viestintätekniikan työkaluina — vaatimuksilla tapahtumaraportoinnin, häiriönsietokykytestauksen ja kolmansien osapuolten riskienhallinnan osalta. EU:n tekoälyasetus lisää tekoälykohtaisia velvoitteita (harhojen testaus, avoimuus, ihmisten valvonta, markkinoille saattamisen jälkeinen valvonta) korkeariskisille tekoälyn käyttötapauksille. Rahoituslaitosten on käsiteltävä molempia kehyksiä — DORA ei vapauta laitoksia tekoälyasetuksen velvoitteista, eikä tekoälyasetus korvaa DORA:n tieto- ja viestintätekniikkavaatimuksia.
Se riippuu käyttötapauksesta. Tekoälyjärjestelmät, joita käytetään reaaliaikaiseen tapahtumien petoksentorjuntaan — joissa tekoäly merkitsee epäilyttävät tapahtumat ihmisen tarkistettavaksi tai estää ne automaattisesti — eivät automaattisesti kuulu liitteen III korkeariskiseen luokkaan. Jos järjestelmä kuitenkin tekee tai voimakkaasti vaikuttaa päätöksiin, jotka merkittävästi vaikuttavat yksilöihin (esim. tilin esto, luottorajan pienentäminen, vakuutuskorvausvaatimuksen hylkääminen), käyttötapaus voi kuulua liitteen III luokkaan 5 (pääsy olennaisiin palveluihin). Oikeudellinen varmuus riippuu sääntelyohjauksesta ja erityisestä käyttöönottotavasta.
Vakuutuksen hinnoittelu- ja vakuutusmerkintätekoälyjärjestelmät, jotka tekevät tai voimakkaasti vaikuttavat päätöksiin kattavuudesta, vakuutusmaksutasoista tai korvausvaatimuksen selvittämisestä luonnollisille henkilöille, kuuluvat todennäköisesti liitteen III luokkaan 5 (pääsy olennaisiin yksityisiin palveluihin). Tämä sisältää moottoriajoneuvojen vakuutuksen hinnoittelumallit, terveysvakuutuksen vakuutusmerkinnän ja talouksien kiinteistövakuutusmallit. Myös elämävakuutuksen vakuutusmerkintämallit, jotka arvioivat yksilöiden elinajanodotteen riskiä, voivat olla kattamia. Jokainen käyttötapaus on arvioitava erikseen liitteen III kriteereitä vasten.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.