EU:n tekoälylain velvoitteet pankeille, luottolaitoksille ja fintech-yrityksille. Luottoluokitustekoäly, rahanpesun torjuntajärjestelmät, algoritminen kaupankäynti, DORA-päällekkäisyys ja EBA:n ohjeet.
Miksi pankkitoiminta altistuu erityisen voimakkaasti EU:n tekoälylain velvoitteille
Pankki- ja rahoituspalvelusektori sijaitsee EU:n tekoälylain tiukimpien velvoitteiden ja EU:n monimutkaisimman sääntelyympäristön risteyksessä. Rahoituslaitokset ovat Euroopan suurimpia tekoälyn hyödyntäjiä — luottomerkinnässä, petostentorjunnassa, AML/CFT-seulonnassa, asiakkaan tunnistamisessa, algoritmisessa kaupankäynnissä ja varallisuudenhoidossa. EU:n tekoälylaki kohdistuu suoraan näiden käyttötapausten merkittävimpiin osiin liitteen III kautta luokittelemalla useita rahoitusalan tekoälysovelluksia korkean riskin sovelluksiksi määritelmällisesti.
Pankkitoimintaa säätelee lisäksi tiheä olemassa oleva sääntelykerros: DORA, MiFID II, CRD IV/CRR, rahanpesun torjunnan direktiivit, GDPR ja BCBS 239. EU:n tekoälylaki ei korvaa näitä kehyksiä — se lisää niihin. Luottolaitokselle tekoälypohjaisen luottoluokitusjärjestelmän käyttöönotto käynnistää samanaikaiset velvoitteet tekoälylain nojalla (liite III, Art. 9–16), DORA:n nojalla (TVT-riskienhallinta) sekä EBA:n malliriskinhallinnan ohjeiden nojalla.
Korkean riskin tekoälyn käyttötapaukset pankkitoiminnassa liitteen III nojalla
Liite III, kategoria 5(b) luettelee nimenomaisesti tekoälyn, jota käytetään luonnollisten henkilöiden luottokelpoisuuden arvioinnissa tai luottoluokituksessa, sekä tekoälyn, jota käytetään oikeushenkilöiden luottoriskin arvioinnissa, kun tekoäly määrittää tai vaikuttaa olennaisesti lopputulokseen. Tämä kattaa laajan valikoiman rahoitusalan tekoälyn käyttöönottoja.
Luottoluokitus- ja merkintämallit — automaattiset järjestelmät, jotka määrittävät lainakelpoisuuden, luottorajat tai korot vähittäis- ja pk-asiakkaille — ovat korkean riskin tekoälyä Art. 6(2) nojalla luettuna yhdessä liitteen III kanssa. Pankit, jotka toimivat näiden järjestelmien palveluntarjoajina, on suoritettava vaatimustenmukaisuuden arvioinnit, ylläpidettävä teknistä dokumentaatiota Art. 11 nojalla, otettava käyttöön riskienhallintajärjestelmät Art. 9 nojalla, varmistettava ihmisen valvontamekanismit Art. 14 nojalla ja rekisteröitävä järjestelmä EU:n tekoälylain tietokantaan (Art. 71) ennen käyttöönottoa.
AML- ja petostentorjuntajärjestelmät esittävät vivahteikkaamman kuvan. Järjestelmät, jotka soveltavat pakotteiden seulontaa, transaktioiden seurantaa tai käyttäytymisanalytiikkaa epäilyttävän toiminnan merkitsemiseksi, vaikuttavat yleensä rahoituslaitoksiin sen sijaan, että ne suoraan määrittäisivät yksittäisille henkilöille koituvia seurauksia. Kun tekoälyn tuotos on ensisijainen peruste haitalliselle toimenpiteelle asiakasta vastaan (tilin jäädyttäminen, palvelun kieltäytyminen), korkean riskin luokittelu voidaan käynnistää liitteen III kat. 5(b) tai kat. 6 (lainvalvonta) nojalla riippuen kansallisen viranomaisen roolista. Pankkien on suoritettava huolellinen luokitteluanalyysi.
GPAI-pohjaiset työkalut — suuret kielimallit, joita käytetään asiakaspalvelussa, asiakirjojen käsittelyssä tai sijoitusanalyysissa — ovat Art. 50 avoimuusvaatimusten alaisia (ilmoitus siitä, että käyttäjät ovat vuorovaikutuksessa tekoälyn kanssa), ja missä mallin palveluntarjoajalla on systeeminen riski, Art. 55 velvoitteiden alaisia.
Palveluntarjoajan ja käyttäjän velvoitteet pankeille
Pankit voivat toimia palveluntarjoajina (rakentamalla omia tekoälymalleja), käyttäjinä (käyttämällä kolmannen osapuolen tekoälyjärjestelmiä) tai molempina. Tämä erottelu määrittää velvoiteprofiilin:
| Rooli | Velvoitelähde | Keskeiset vaatimukset |
|---|---|---|
| Palveluntarjoaja | Art. 9–17 | Vaatimustenmukaisuuden arviointi, tekninen dokumentaatio, QMS, rekisteröinti |
| Käyttäjä | Art. 26 | Järjestelmän seuranta, ihmisen valvonnan varmistaminen, lokien ylläpito, käyttäjien tiedottaminen |
| Molemmat | Art. 9–17 + Art. 26 | Täydet palveluntarjoajan velvoitteet + käyttäjän seurantatehtävät |
Pankit, jotka ostavat luottoluokitustekoälyä fintech-toimittajalta, toimivat käyttäjinä Art. 26 nojalla. Niiden on varmistettava, että toimittaja on suorittanut vaatimustenmukaisuuden arvioinnin, integroitava ihmisen tarkistus haitallisten päätösten prosesseihin, ylläpidettävä käyttölokeja 10 vuoden ajan (Art. 26(6)) ja varmistettava, että tekoälypäätökset selitetään asianomaisille henkilöille GDPR:n Art. 22 ja EU:n tekoälylain Art. 13 nojalla.
Alakohtaisen sääntelyn päällekkäisyys: DORA, MiFID II ja Solvenssi II
DORA (asetus 2022/2554) koskee pankkeja, sijoituspalveluyrityksiä, vakuutusyhtiöitä ja TVT:n kolmansien osapuolten palveluntarjoajia. Tekoälyn osalta DORA edellyttää:
- Tekoälyjärjestelmiä käsitellään TVT-järjestelminä, jotka ovat riskienhallintakehysten alaisia (Art. 6 DORA)
- TVT-liittyvien poikkeamien luokittelu ja raportointi — tekoälyvirheet voivat muodostaa merkittäviä TVT-poikkeamia
- Kriittisten TVT-järjestelmien häiriönsietokykytestaus — tekoälymallit mukaan lukien, jos ne ovat olennaisia toiminnoille
- Kolmansien osapuolten riskienhallinta, joka kattaa tekoälytoimittajien sopimukset, poistumisstrategiat ja tarkastamisoikeudet
MiFID II (rahoitusvälineiden markkinat -direktiivi) koskee algoritmista kaupankäyntiä ja sijoitusneuvontaa. Tekoälyn tuottamat sijoitussuositukset käynnistävät soveltuvuuden arviointivaatimukset; algoritmisille kaupankäyntijärjestelmille vaaditaan kaupankäyntiä edeltäviä kontrollejä, kaatumiskytkimiä ja viranomaisilmoituksia.
EBA:n ohjeet TVT- ja tietoturvariskienhallinnasta (EBA/GL/2019/04, päivitetty 2022) edellyttävät teknologiariskien hallintoa, joka kattaa tekoälymallit, operatiivisen jatkuvuuden vaatimukset ja mallin validoinnin riippumattomuuden. Nämä ovat huomattavassa linjassa EU:n tekoälylain Art. 9 riskienhallintavaatimusten kanssa.
Valvontaviranomaiset
EU:n tekoälylain täytäntöönpano pankkitekoälyn osalta toimii kaksitasoisen viranomaisen kautta:
Kansalliset toimivaltaiset viranomaiset (NCA) kunkin jäsenvaltion Art. 70 nojalla nimeämät ovat ensisijaiset tekoälylain täytäntöönpanoelimet. Ne voivat suorittaa markkinavalvontaa, pyytää teknistä dokumentaatiota ja määrätä sakkoja (enintään 30 miljoonaa euroa tai 6 % maailmanlaajuisesta vuotuisesta liikevaihdosta Art. 99 nojalla).
Euroopan pankkiviranomainen (EBA) koordinoi alakohtaista tekoälyn valvontaa koko pankkiunionissa, tarjoaa TVT-riskiä koskevia teknisiä standardeja ja antaa ohjeita, jotka muovaavat kansallisia valvontaodotuksia. EBA osallistuu myös Art. 65 nojalla perustettuun Euroopan tekoälylautakuntaan.
EKP ja kansalliset vakavaraisuusvalvojat voivat pyytää tekoälymallien dokumentaatiota osana SREP (valvontaviranomaisen arviointiprosessi) -arviointeja CRD IV:n nojalla, kun tekoäly ohjaa olennaisia luotto- tai operatiivisen riskin päätöksiä.
Vaatimustenmukaisuuden etenemissuunnitelma pankeille
Välitön (nyt → elokuu 2026): Suorita kieltojen noudattamistarkistus — tarkista kaikki tekoälyjärjestelmät Art. 5 nojalla kiellettyjen käytäntöjen varalta, mukaan lukien sosiaalinen pisteyttäminen ja reaaliaikainen biometrinen tunnistaminen julkisissa tiloissa. Nämä kiellot tulevat voimaan välittömästi uusien sopimusten osalta.
Q3 2026 — Korkean riskin luokittelutarkastus: Kartoita kaikki käyttöön otetut ja kehitteillä olevat tekoälyjärjestelmät liitteen III vastaisesti, erityisesti kategoriat 5(b) ja 5(c). Dokumentoi luokitteluperusteet. Ota lakimies- ja compliance-henkilöstö mukaan DORA-päällekkäisyyden arvioimiseksi.
Q4 2026 — Palveluntarjoajan velvoitteet sisäiselle tekoälylle: Sisäisesti rakennettujen luottoluokitus- ja merkintämallien osalta käynnistä vaatimustenmukaisuuden arviointimenettelyt, kehitä tekninen dokumentaatio liitteen IV mukaisesti ja ota käyttöön QMS Art. 17 nojalla.
2027 — Käyttäjän velvoitteet kolmannen osapuolen tekoälylle: Tarkasta kaikki tekoälytoimittajien sopimukset EU:n tekoälylain noudattamisen osalta. Vaadi palveluntarjoajilta vaatimustenmukaisuusilmoitukset ja rekisteröintinumerot. Päivitä tietojenkäsittelysopimukset vastaamaan Art. 26 lokivelvoitteita.
Elokuu 2027 — GPAI-velvoitteet voimaan: Varmista, että kaikki pankkisovelluksissa käytetyt kolmannen osapuolen suuret kielimallit ja perusmallit noudattavat Art. 51–55. Tarkista, että palveluntarjoajat ovat julkaisseet avoimuusdokumentaation Art. 53 nojalla.
Joulukuu 2027 — Korkean riskin tekoälyn määräaika: Kaikkien liitteen III korkean riskin tekoälyjärjestelmien täydellinen vaatimustenmukaisuus vaaditaan. Varmista rekisteröinti EU:n tekoälylain tietokantaan, operatiiviset ihmisen valvontamekanismit ja markkinoille saattamisen jälkeisen seurannan suunnitelmat Art. 72 nojalla.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Pankit kohtaavat EU:n tekoälylain velvoitteet ensisijaisesti liitteen III kategorioiden 5(b) ja 5(c) kautta: tekoäly, jota käytetään luottokelpoisuuden arvioinnissa ja luottoluokituksessa, sekä tekoäly, jota käytetään henki- ja sairausvakuutuksen merkinnässä. Nämä luokitellaan korkean riskin tekoälyjärjestelmiksi, jotka edellyttävät vaatimustenmukaisuuden arviointeja, teknistä dokumentaatiota, ihmisen valvontamekanismeja ja rekisteröintiä EU:n tekoälylakin tietokantaan. Lisäksi pankit, jotka ottavat käyttöön tekoälyä rahanpesun torjuntaan (AML), petostentorjuntaan tai asiakkaan tunnistamiseen, voivat kuulua liitteen III soveltamisalaan järjestelmän toiminnosta ja sen vaikuttamista päätöksistä riippuen.
DORA (digitaalista operatiivista häiriönsietokykyä koskeva asetus, asetus 2022/2554) ja EU:n tekoälylaki luovat päällekkäisiä mutta erillisiä velvoitteita. DORA velvoittaa rahoitusyhteisöjä hallitsemaan tieto- ja viestintätekniikan (TVT) riskejä, suorittamaan häiriönsietokykytestauksia ja ylläpitämään poikkeamien raportointikapasiteettia — tämä koskee tekoälyjärjestelmiä TVT-työkaluina. EU:n tekoälylaki lisää riskiluokittelun, vaatimustenmukaisuuden arvioinnin, avoimuuden ja ihmisen valvontavaatimukset erityisesti tekoälyjärjestelmille. Luottolaitoksen, joka käyttää tekoälypohjaista luottoluokitusjärjestelmää, on täytettävä sekä DORA:n TVT-riskienhallinnan kehys että EU:n tekoälylain korkean riskin tekoälyvaatimukset. EBA:n TVT- ja tietoturvariskienhallinnan ohjeet sovelletaan rinnakkain.
Algoritmisia kaupankäyntijärjestelmiä ei ole suoraan lueteltu liitteessä III, joten ne eivät automaattisesti muodosta korkean riskin tekoälyä EU:n tekoälylain nojalla. Jos kaupankäyntialgoritmi on kuitenkin osa luottokelpoisuuden arviointia tai vaikuttaa rahoituspalveluihin pääsyyn tavalla, joka vaikuttaa yksityishenkilöihin, se voi kuulua liitteen III soveltamisalaan. MiFID II -vaatimukset algoritmiselle kaupankäynnille — mukaan lukien kaatumiskytkimet, järjestelmätestaus ja tilintarkastusjäljet — pysyvät täysin sovellettavina. EU:n tekoälylain Art. 50 avoimuusvaatimukset koskevat tekoälyä, joka on vuorovaikutuksessa luonnollisten henkilöiden kanssa, ja GPAI-mallin velvoitteet Art. 51 nojalla koskevat suuria kielimalleja, joita käytetään kaupankäynti- tai analyysialustoilla.
Euroopan pankkiviranomainen (EBA) on julkaissut ohjeet sisäisestä hallinnosta (EBA/GL/2021/05) ja TVT-riskienhallinnasta, jotka suoraan ohjaavat pankkien tekoälyhallintoa koskevia odotuksia. Keskeisiä vaatimuksia ovat hallitustason vastuu tekoälystrategiasta, luottoriskissä käytettävien tekoälymallien riippumaton validointi, tekoälyvirheet kattavat operatiivisen riskin kehykset sekä selitettävyysvaatimukset luottopäätöksiin vaikuttaville tekoälyjärjestelmille. EBA:n konsultaatiot IRB-mallien koneoppimisesta asettavat kvantitatiiviset standardit mallin validoinnille, tietojen laadulle ja suorituskyvyn seurannalle, jotka ovat tiiviisti linjassa EU:n tekoälylain Art. 9 riskienhallintavaatimusten kanssa.
Kyllä, periaatteessa — EU:n tekoälylakia sovelletaan yrityksen koosta riippumatta. Art. 9(5) edellyttää kuitenkin, että riskienhallintajärjestelmät ovat oikeassa suhteessa palveluntarjoajan tai käyttäjän kokoon ja luonteeseen. PK-yritys- ja startup-säännökset Art. 55 ja Art. 57–63 nojalla tarjoavat pääsyn kansallisten toimivaltaisten viranomaisten operoimiin sääntelyhiekkalaatikoihin, mikä vähentää vaatimustenmukaisuustestauksen esteitä. EBA:n innovaatiokeskus ja Euroopan innovaatioiden helpottamisfoorumi (EFIF) tarjoavat lisätukea fintech-yrityksille, jotka navigoivat tekoälysääntelyssä.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.