EU AI akt u financijskom sektoru: Banke, osiguravatelji i kreditne institucije

Banke, osiguravatelji, upravitelji imovinom i platne institucije suočavaju se s obvezama EU AI akta naslojenima na postojeće financijske propise (DORA, MiFID II, GDPR, CRR). Ova stranica objašnjava koji su slučajevi upotrebe AI-ja visokorizični, kako sektorski regulatori komuniciraju s AI aktom i što financijske institucije moraju učiniti za usklađenost.

AI akt dolazi u financije

Financijske institucije — banke, osiguravatelji, upravitelji imovinom, pružatelji platnih usluga, kreditni uredi — jedni su od najintenzivnijih korisnika AI-ja u Europi. Kreditno bodovanje, otkrivanje prijevara, algoritamsko trgovanje, profiliranje klientovog rizika, preuzimanje rizika osiguranja, automatizacija regulatornog izvještavanja i AML/KYC pregled svi se oslanjaju na AI sustave koji mogu biti predmet EU AI akta.

Za financijske institucije, EU AI akt ne dolazi izolirano. Naslanjuje se na već gust regulatorni skup: DORA (digitalna otpornost), MiFID II (investicijske usluge), GDPR (zaštita podataka), CRR/CRD (kapitalni zahtjevi), Solventnost II (osiguranje), PSD2/PSD3 (platne usluge) i sektorske smjernice EBA-e, EIOPA-e i ESMA-e. Razumijevanje kako se AI akt integrira — a ponekad sukobljuje — s postojećim financijskim propisima ključno je za učinkovito usklađivanje.

Koji slučajevi upotrebe AI-ja su visokorizični u financijama?

Prilog III EU AI akta identificira slučajeve upotrebe koji su automatski visokorizični. U financijskom sektoru, najizravnije relevantni su:

Kategorija 5(b): Procjena kreditne sposobnosti

Visokorizično. AI sustavi koji se koriste za evaluaciju kreditne sposobnosti fizičkih osoba ili za klasifikaciju fizičkih osoba prema kreditnom riziku su eksplicitno navedeni. To pokriva:

Automatizirano kreditno bodovanje za potrošačke kredite, osobna prekoračenja, kreditne kartice i hipoteke
Modeli koji procjenjuju vjerojatnost otplate, rizik neplaćanja ili kapacitet duga individualnih potrošača
AI sustavi koji preporučuju kreditne limite ili iznose kredita na temelju individualne procjene rizika

Automatski nije obuhvaćeno: Korporativni kreditni modeli koji procjenjuju pravne osobe, a ne fizičke osobe, iako ovi mogu i dalje aktivirati obveze transparentnosti prema Čl. 50 ovisno o raspoređivanju.

Kategorija 5(b): Odluke o premijama i pokrivenosti osiguranja

Visokorizično ako značajno utječe na fizičke osobe. AI sustavi koji donose ili snažno utječu na odluke o:

Pokrivenosti osiguranjem (prihvaćanje ili odbijanje podnositelja zahtjeva)
Razinama premija (aktuarski modeli koji postavljaju individualne premije)
Procjeni zahtjeva i podmirenju (automatizirano rješavanje zahtjeva)

Modeli za određivanje cijena automobilskog osiguranja, preuzimanje zdravstvenog osiguranja i modeli osiguranja imovine za kućanstva izravno su u opsegu. Određujući faktor je donosi li AI sustav ili značajno utječe na odluku koja materijalno utječe na pristup fizičke osobe osnovnoj privatnoj usluzi.

Kategorija 1: Biometrijska identifikacija

Visokorizično. AI sustavi koji se koriste za:

Biometrijsku identifikaciju klijenata na daljinu (video verifikacija za KYC, kontinuirana provjera autentičnosti)
Biometrijsku kategorizaciju gdje utječe na klasifikaciju rizika ili pristup uslugama

Biometrijska identifikacija u realnom vremenu na javno dostupnim mjestima za kazneno pravosuđe je zabranjena prema Čl. 5. Komercijalni sustavi za verifikaciju identiteta koji koriste prepoznavanje lica za KYC podložni su visokorizičnim zahtjevima, ali nisu zabranjeni.

Kategorija 6: AML/KYC i blizak kaznenom pravosuđu

AI sustavi koje koriste financijske institucije za podršku AML/KYC pregledu, filtriranju sankcija ili praćenju transakcija gdje je ishod prijavljen ili korišten od strane kaznenog pravosuđa mogu potpadati pod kategoriju 6 Priloga III (kazneno pravosuđe). To uključuje:

AI generirane Izvještaje o sumnjivim aktivnostima (SAR) koji se prenose jedinicama za financijsku obavještajnost
Automatizirani sustavi za pregled PEP (politički izložene osobe)

Sustavi koji se koriste isključivo za interno upravljanje rizicima bez izlaza za kazneno pravosuđe manje su vjerojatno klasificirani kao visokorizični prema kategoriji 6, ali se mogu primjenjivati druge kategorije.

Što visokorizične obveze AI-ja znače za financijske institucije

Ako je AI sustav koji koristi financijska institucija visokorizičan prema Prilogu III, obveze se razlikuju ovisno o tome je li institucija pružatelj (izgradila sustav) ili korisnik (kupila ili licencirala ga).

Ako ste pružatelj (izgradili ste sustav)

Sustav upravljanja rizicima (Čl. 9): Uspostavite i održavajte dokumentiran proces upravljanja rizicima koji iterira kroz životni ciklus sustava
Upravljanje podacima (Čl. 10): Podaci za obuku, validaciju i testiranje moraju biti predmet praksi upravljanja koje pokrivaju relevantnost, reprezentativnost i procjenu pristranosti
Tehnička dokumentacija (Prilog IV): Potpuna tehnička datoteka uključujući opis sustava, arhitekturu, pristup obuci, metrike performansi i plan nadzora post-tržišta
Transparentnost (Čl. 13): Upute za korištenje koje korisnicima omogućuju razumijevanje sposobnosti, ograničenja i zahtjeva za nadzorom
Ljudski nadzor (Čl. 14): Mjere dizajna koje omogućuju ljudski nadzor i intervenciju
Točnost, čvrstoća, kibersigurnost (Čl. 15): Demonstrirane razine performansi i otpornost
Ocjena sukladnosti: Samoprocjena (Prilog VI) za većinu sustava prema Prilogu III, ili procjena prijavljenog tijela za biometrijske sustave
CE oznaka i EU Izjava o sukladnosti
Registracija u bazi podataka AI EU
Nadzor post-tržišta (Čl. 72): Aktivni sustav za prikupljanje podataka o performansama u stvarnom svijetu i prijavu incidenata

Ako ste korisnik (kupili/licencirali ste sustav)

Usklađenost s uputama: Koristite sustav strogo u skladu s uputama pružatelja
Ljudski nadzor: Dodijelite kvalificirano osoblje za provođenje nadzora s odgovarajućim ovlastima i resursima
Kvaliteta ulaznih podataka: Osigurajte da su ulazni podaci relevantni i reprezentativni za specifični kontekst raspoređivanja
Zadržavanje zapisa: Aktivirajte i zadržavajte automatizirane zapise za zahtijevani period
Prijava incidenata: Prijavite ozbiljne incidente pružatelju i, u nekim slučajevima, izravno tijelima
Procjena utjecaja na temeljna prava (Čl. 27): Potrebna za javna tijela; preporučena za korisnike privatnog sektora u osjetljivim kontekstima

Interakcija s DORA-om

Akt o digitalnoj operativnoj otpornosti (DORA) počeo se primjenjivati u siječnju 2025. i nameće sveobuhvatne zahtjeve upravljanja IKT rizicima financijskim institucijama — uključujući AI sustave kao IKT komponente.

Ključne točke interakcije:

Okvir upravljanja IKT rizicima

DORA zahtijeva od financijskih institucija održavanje okvira upravljanja IKT rizicima koji pokriva identificiranje, zaštitu, otkrivanje, odgovor i oporavak. AI sustavi su IKT alati predmet ovog okvira. EU AI akt dodaje AI specifične zahtjeve na vrhu: testiranje pristranosti, dokumentacija transparentnosti, dizajn ljudskog nadzora i upravljanje životnim ciklusom.

U praksi: AI model kreditnog bodovanja banke mora se uskladiti i s DORA upravljanjem IKT rizicima (otkrivanje incidenata, planiranje kontinuiteta, upravljanje promjenama) i s visokorazinskim zahtjevima EU AI akta (sustav upravljanja rizicima, tehnička dokumentacija, nadzor post-tržišta).

Rizici trećih strana (IKT pružatelji trećih strana)

DORA nameće detaljne zahtjeve za upravljanje IKT pružateljima trećih strana — uključujući ugovorne zahtjeve, pravo na reviziju i nadzor kritičnih pružatelja. Kada financijska institucija koristi AI sustav treće strane (npr. model kreditnog bodovanja dobavljača), DORA-ini zahtjevi upravljanja rizicima trećih strana primjenjuju se na tog dobavljača.

Primjenjuju se i obveze korisnika prema EU AI aktu — zahtijevajući da pružatelj dostavi upute, dokumentaciju sukladnosti i mogućnost bilježenja. Financijske institucije trebale bi osigurati da njihovi ugovori s AI dobavljačima trećih strana zadovoljavaju i DORA IKT zahtjeve pružatelja i prava korisnika prema EU AI aktu.

Prijava incidenata

DORA ima vlastiti okvir prijave incidenata za značajne IKT incidente, koji se prijavljuju sektorskim nadzornim tijelima (EBA, EIOPA, ESMA). EU AI akt zahtijeva prijavu ozbiljnih incidenata koji uključuju visokorizične AI sustave nacionalnim tijelima za nadzor tržišta.

Ovo su zasebne obveze prijave različitim tijelima. Ozbiljni incident koji uključuje AI model kreditnog bodovanja mogao bi pokrenuti i DORA izvještaj o incidentu (EBA-i/nacionalnom financijskom nadzorniku) i AI akt izvještaj o incidentu (tijelu za nadzor tržišta).

Sektorski nadzornici i provedba AI akta

Za financijske institucije, sektorski financijski nadzornici — EBA (bankarstvo), EIOPA (osiguranje), ESMA (vrijednosni papiri i tržišta) — imaju specifičnu ulogu u implementaciji EU AI akta, iako nisu primarna tijela za provedbu AI akta.

Prema AI aktu, financijske institucije koje su pružatelji visokorizičnih AI sustava moraju se registrirati u bazi podataka AI EU. U financijskom sektoru, relevantno financijsko nadzorno tijelo može biti određeno kao ili surađivati s nacionalnim tijelom za nadzor tržišta odgovornim za nadzor AI akta u tom sektoru.

Europska nadzorna tijela (ENT) bila su aktivna u:

Objavljivanju smjernica o AI upravljanju u financijskim uslugama (smjernice EBA-e o unutarnjem upravljanju, ML/AI u kreditnom riziku)
Doprinošenju smjernicama za implementaciju EU AI akta za financijski sektor
Koordinaciji s Uredom za AI EU o nadzoru GPAI modela u mjeri u kojoj utječe na financijske usluge

Praktični prioriteti usklađivanja za financijske institucije

Inventarizirajte sve AI sustave u upotrebi — klasificirajte svaki prema kriterijima Priloga III. Prioritizirajte sustave za kreditnu sposobnost, određivanje cijena osiguranja i biometrijske/KYC sustave.
Odredite status pružatelja vs. korisnika za svaki sustav — koristite li modele dobavljača ili gradite interno?
Uskladite AI upravljanje s okvirom IKT rizika DORA-e — integrirajte obveze AI akta u postojeću strukturu DORA upravljanja kako biste izbjegli duple procese.
Pregledajte ugovore s AI dobavljačima trećih strana — osigurajte da ugovori pružaju: dokumentaciju sukladnosti, upute za korištenje, pristup bilježenju, obveze obavještavanja o incidentima, obveze ažuriranja i pravo na reviziju.
Uspostavite mehanizme ljudskog nadzora — za visokorizične slučajeve upotrebe AI-ja, osigurajte da kvalificirano osoblje ima ovlast, alate i vrijeme za smislenu provjeru AI izlaza prije donošenja posljedičnih odluka.
Povežite se s nadzorom post-tržišta — proširite postojeće procese upravljanja modelskim rizicima (Basel validacija modela, upravljanje promjenama DORA-e) da pokrivaju zahtjeve nadzora post-tržišta prema Čl. 72.
Pripremite se za bazu podataka AI EU — ako ste pružatelj visokorizičnih AI sustava, registracija je obvezna. Ako ste korisnik javnog tijela, registracija može biti i potrebna.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Podliježu li modeli kreditnog bodovanja visokorazinskim zahtjevima EU AI akta?

Da. AI sustavi za procjenu kreditne sposobnosti — koji se koriste za evaluaciju kreditne sposobnosti fizičkih osoba ili za procjenu kreditnog rizika — eksplicitno su navedeni u Prilogu III, kategorija 5(b) kao visokorizični. To pokriva automatizirano kreditno bodovanje za potrošačke kredite, hipoteke, kreditne kartice i prekoračenja. Sustavi koji se koriste isključivo za korporativnu procjenu kredita možda nisu u opsegu, ali sustavi koji uključuju procjenu pojedinačnih fizičkih osoba su jasno obuhvaćeni.

Kako DORA komunicira s EU AI aktom za financijske institucije?

DORA (Akt o digitalnoj operativnoj otpornosti) i EU AI akt imaju preklapajuće, ali različite opsege. DORA pokriva upravljanje IKT rizicima šire — uključujući AI sustave kao IKT alate — sa zahtjevima za prijavu incidenata, testiranje otpornosti i upravljanje rizicima trećih strana. EU AI akt dodaje specifične AI obveze (testiranje pristranosti, transparentnost, ljudski nadzor, nadzor post-tržišta) za visokorizične slučajeve upotrebe AI-ja. Za financijske institucije, usklađenost zahtijeva rješavanje oba okvira — DORA ne izuzima institucije od obveza AI akta, a AI akt ne zamjenjuje IKT zahtjeve DORA-e.

Potpadaju li AI sustavi za otkrivanje prijevara pod visokorizičan AI prema EU AI aktu?

Ovisi o slučaju upotrebe. AI sustavi koji se koriste za otkrivanje prijevara u transakcijama u realnom vremenu — gdje AI označava sumnjive transakcije za pregled od strane čovjeka ili ih automatski blokira — nisu automatski visokorizični prema Prilogu III. Međutim, ako sustav donosi ili snažno utječe na odluke koje značajno utječu na pojedince (npr. blokiranje računa, smanjenje kreditnog limita, odbijanje zahtjeva za osiguranje), slučaj upotrebe može potpasti pod kategoriju 5 Priloga III (pristup osnovnim uslugama). Pravna sigurnost ovisi o regulatornim smjernicama i specifičnom raspoređivanju.

Jesu li AI sustavi za određivanje cijena i preuzimanje rizika osiguranja visokorizični?

AI sustavi za određivanje cijena i preuzimanje rizika osiguranja koji donose ili snažno utječu na odluke o pokrivenosti, razinama premija ili podmirenju zahtjeva za fizičke osobe vjerojatno potpadaju pod kategoriju 5 Priloga III (pristup osnovnim privatnim uslugama). To uključuje modele za određivanje cijena automobilskog, zdravstvenog i osiguranja imovine za kućanstva. Modeli preuzimanja rizika životnog osiguranja koji procjenjuju rizik životnog vijeka za pojedince mogu biti obuhvaćeni. Svaki slučaj upotrebe mora se pojedinačno procijeniti prema kriterijima Priloga III.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.