Obveze EU Akta o AI za banke, kreditne institucije i fintech tvrtke. AI za kreditno ocjenjivanje, AML sustavi, algoritamsko trgovanje, preklapanje s DORA-om i EBA smjernice.
Zašto je bankarstvo posebno izloženo EU Aktu o AI
Sektor bankarstva i financijskih usluga nalazi se na sjecištu najstrožih obveza EU Akta o AI i najsloženijeg regulatornog okruženja u EU. Financijske institucije su jedni od najvećih korisnika AI u Europi — u odobravanju kredita, otkrivanju prijevara, AML/CFT provjeri, dubinskoj provjeri klijenata, algoritamskom trgovanju i upravljanju imovinom. EU Akt o AI izravno cilja na najvažnije od ovih slučajeva korištenja putem Annexa III, klasificirajući nekoliko financijskih AI aplikacija kao visokorizične po definiciji.
Bankarstvo također djeluje pod gustim slojem prethodnih propisa: DORA, MiFID II, CRD IV/CRR, AML direktive, GDPR i BCBS 239. EU Akt o AI ne zamjenjuje te okvire — nadopunjuje ih. Za kreditnu instituciju, uvođenje AI modela za kreditno ocjenjivanje istovremeno aktivira obveze prema Aktu o AI (Annex III, Art. 9–16), DORA-i (upravljanje IKT rizicima) i EBA smjernicama za upravljanje modelskim rizicima.
Visokorizični slučajevi korištenja AI u bankarstvu prema Annexu III
Annex III, kategorija 5(b) izričito navodi AI koji se koristi za procjenu kreditne sposobnosti ili kreditno ocjenjivanje fizičkih osoba, te AI koji se koristi za procjenu kreditnog rizika pravnih osoba gdje AI određuje ili bitno utječe na ishod. Ovo obuhvaća širok raspon financijskih AI primjena.
Modeli kreditnog ocjenjivanja i preuzimanja rizika — automatizirani sustavi koji određuju prihvatljivost za kredit, kreditne limite ili kamatne stope za pravne i SME klijente — visokorizični su AI prema Art. 6(2) u vezi s Annexom III. Banke koje djeluju kao pružatelji tih sustava moraju dovršiti procjene sukladnosti, održavati tehničku dokumentaciju prema Art. 11, implementirati sustave upravljanja rizicima prema Art. 9, osigurati mehanizme nadzora od strane čovjeka prema Art. 14 i registrirati sustav u bazi podataka EU Akta o AI (Art. 71) prije uvođenja.
AML sustavi i sustavi za otkrivanje prijevara predstavljaju složeniju sliku. Sustavi koji primjenjuju provjeru sankcija, praćenje transakcija ili bihevioralnu analitiku radi označavanja sumnjive aktivnosti općenito utječu na financijske institucije, a ne izravno određuju ishode za pojedince. Gdje je AI rezultat primarna osnova za negativne mjere prema klijentu (zamrzavanje računa, odbijanje usluge), može se aktivirati visokorizična klasifikacija prema Annexu III kat. 5(b) ili kat. 6 (kazneno pravo) ovisno o ulozi nacionalnog tijela. Banke moraju provesti pažljivu analizu klasifikacije.
Alati temeljeni na GPAI-u — veliki jezični modeli koji se koriste za korisničku podršku, obradu dokumenata ili investicijsku analizu — podliježu zahtjevima transparentnosti prema Art. 50 (objavljivanje da korisnici komuniciraju s AI) i, gdje pružatelj modela ima sistemski rizik, obvezama prema Art. 55.
Obveze pružatelja nasuprot primjenjivača za banke
Banke mogu djelovati kao pružatelji (izgradnja vlastitih AI modela), primjenjivači (korištenje AI sustava trećih strana) ili oboje. Razlika određuje profil obveza:
| Uloga | Izvor obveze | Ključni zahtjevi |
|---|---|---|
| Pružatelj | Art. 9–17 | Procjena sukladnosti, tehnička dokumentacija, QMS, registracija |
| Primjenjivač | Art. 26 | Nadzor sustava, osiguranje nadzora čovjeka, održavanje zapisa, informiranje korisnika |
| Oboje | Art. 9–17 + Art. 26 | Pune obveze pružatelja + dužnosti praćenja primjenjivača |
Banke koje kupuju AI za kreditno ocjenjivanje od fintech dobavljača djeluju kao primjenjivači prema Art. 26. Moraju provjeriti je li dobavljač dovršio procjenu sukladnosti, integrirati pregled od strane čovjeka u procese negativnih odluka, održavati evidencije korištenja 10 godina (Art. 26(6)) i osigurati da se AI odluke objasne pogođenim osobama prema GDPR Art. 22 i Art. 13 EU Akta o AI.
Preklapanje sektorske regulacije: DORA, MiFID II i Solvency II
DORA (Uredba 2022/2554) primjenjuje se na banke, investicijska društva, osiguravajuća društva i IKT pružatelje trećih strana. Za AI specifično, DORA zahtijeva:
- AI sustave koji se tretiraju kao IKT sustavi podložni okvirima upravljanja rizicima (Art. 6 DORA)
- Klasifikaciju i izvješćivanje o IKT incidentima — AI greške mogu predstavljati značajne IKT incidente
- Testiranje otpornosti kritičnih IKT sustava — AI modeli uključeni tamo gdje su materijalni za poslovanje
- Upravljanje rizicima trećih strana koje pokriva ugovore s AI dobavljačima, strategije izlaska i revizijska prava
MiFID II (Direktiva o tržištima financijskih instrumenata) primjenjuje se na algoritamsko trgovanje i investicijsko savjetovanje. Preporuke za ulaganje generirane AI aktiviraju zahtjeve procjene prikladnosti; sustavi algoritamskog trgovanja zahtijevaju kontrole prije trgovanja, prekidače i regulatorno obavještavanje.
EBA smjernice za upravljanje IKT i sigurnosnim rizicima (EBA/GL/2019/04, ažurirane 2022.) nalažu upravljanje tehnološkim rizicima koje pokriva AI modele, zahtjeve operativnog kontinuiteta i neovisnost validacije modela. Ovo je u znatnoj mjeri usklađeno s zahtjevima upravljanja rizicima prema Art. 9 EU Akta o AI.
Tijela za provedbu
Provedba EU Akta o AI za bankarski AI funkcionira kroz strukturu nadležnosti na dvije razine:
Nacionalna nadležna tijela (NCA) koje imenuje svaka država članica prema Art. 70 primarna su tijela za provedbu Akta o AI. Mogu provoditi nadzor tržišta, zahtijevati tehničku dokumentaciju i izricati novčane kazne (do 30 milijuna EUR ili 6% globalnog godišnjeg prometa prema Art. 99).
Europsko nadzorno tijelo za bankarstvo (EBA) koordinira sektorski nadzor AI u bankarskoj uniji, pruža tehničke standarde za IKT rizike i izdaje smjernice koje oblikuju nacionalna nadzorna očekivanja. EBA također sudjeluje u Europskom odboru za AI osnovanom prema Art. 65.
ECB i nacionalna nadzorna tijela mogu zahtijevati dokumentaciju AI modela kao dio SREP (Postupak nadzorne provjere i ocjene) procjena prema CRD IV gdje AI pokreće materijalne odluke o kreditnom ili operativnom riziku.
Plan usklađenosti za banke
Odmah (sada → kolovoz 2026.): Dovršiti provjeru usklađenosti s zabranama — pregledati sve AI sustave zbog praksi zabranjenih prema Art. 5, uključujući socijalno ocjenjivanje i biometrijsku identifikaciju u stvarnom vremenu na javnim mjestima. Te zabrane odmah se primjenjuju na nove ugovore.
Q3 2026. — Revizija klasifikacije visokorizičnih sustava: Mapirati sve primijenjene i AI sustave u razvoju prema Annexu III, specifično kategorijama 5(b) i 5(c). Dokumentirati obrazloženje klasifikacije. Uključiti pravne i uskladbene stručnjake za procjenu preklapanja s DORA-om.
Q4 2026. — Obveze pružatelja za interni AI: Za interne modele kreditnog ocjenjivanja i preuzimanja rizika, pokrenuti postupke procjene sukladnosti, razviti tehničku dokumentaciju prema Annexu IV i implementirati QMS prema Art. 17.
2027. — Obveze primjenjivača za AI trećih strana: Revidirati sve ugovore s AI dobavljačima zbog usklađenosti s EU Aktom o AI. Zahtijevati od pružatelja dostavu deklaracija o sukladnosti i registracijskih brojeva. Ažurirati sporazume o obradi podataka kako bi odražavali obveze evidentiranja prema Art. 26.
Kolovoz 2027. — Obveze GPAI na snazi: Osigurati da svi LLM-ovi i temeljni modeli trećih strana koji se koriste u bankarskim aplikacijama budu u skladu s Art. 51–55. Provjeriti jesu li pružatelji objavili dokumentaciju o transparentnosti prema Art. 53.
Prosinac 2027. — Rok za visokorizični AI: Zahtijeva se potpuna usklađenost za sve visokorizične AI sustave prema Annexu III. Osigurati registraciju u bazi podataka EU Akta o AI, operativne mehanizme nadzora od strane čovjeka i planove praćenja nakon stavljanja na tržište prema Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banke se suočavaju s obvezama EU Akta o AI primarno kroz kategorije 5(b) i 5(c) Annexa III: AI koji se koristi u procjeni kreditne sposobnosti i kreditnom ocjenjivanju, te AI koji se koristi u osiguranju života i zdravlja. Ovi sustavi klasificiraju se kao visokorizični AI sustavi koji zahtijevaju procjenu sukladnosti, tehničku dokumentaciju, mehanizme nadzora od strane čovjeka i registraciju u bazi podataka EU Akta o AI. Osim toga, banke koje primjenjuju AI za provjeru pranja novca (AML), otkrivanje prijevara ili dubinsku provjeru klijenata mogu biti obuhvaćene Annexom III ovisno o funkciji sustava i odlukama na koje utječe.
DORA (Akt o digitalnoj operativnoj otpornosti, Uredba 2022/2554) i EU Akt o AI stvaraju preklapajuće, ali različite obveze. DORA zahtijeva od financijskih subjekata upravljanje IKT rizicima, provedbu testiranja otpornosti i održavanje sposobnosti izvješćivanja o incidentima — to se primjenjuje na AI sustave kao IKT alate. EU Akt o AI dodaje klasifikaciju rizika, procjenu sukladnosti, transparentnost i zahtjeve za nadzor od strane čovjeka specifično za AI sustave. Kreditna institucija koja upravlja AI sustavom za kreditno ocjenjivanje mora zadovoljiti i DORA-in okvir upravljanja IKT rizicima i zahtjeve EU Akta o AI za visokorizični AI. EBA smjernice za upravljanje IKT i sigurnosnim rizicima primjenjuju se paralelno.
Sustavi algoritamskog trgovanja nisu izravno navedeni u Annexu III, pa automatski ne čine visokorizični AI prema EU Aktu o AI. Međutim, ako se algoritam za trgovanje koristi kao komponenta procjene kreditne sposobnosti ili utječe na pristup financijskim uslugama na način koji pogađa pojedince, može ući u područje primjene Annexa III. Zahtjevi MiFID II za algoritamsko trgovanje — uključujući prekidače, testiranje sustava i revizijske tragove — ostaju u cijelosti primjenjivi. Zahtjevi transparentnosti prema Art. 50 EU Akta o AI primjenjuju se na AI koji komunicira s fizičkim osobama, a obveze modela opće namjene (GPAI) prema Art. 51 primjenjuju se na velike jezične modele koji se koriste u platformama za trgovanje ili analizu.
Europsko nadzorno tijelo za bankarstvo (EBA) objavilo je smjernice o internom upravljanju (EBA/GL/2021/05) i upravljanju IKT rizicima koje izravno informiraju očekivanja AI upravljanja za banke. Ključni zahtjevi uključuju odgovornost uprave za AI strategiju, neovisnu validaciju AI modela koji se koriste u kreditnom riziku, operativne okvire rizika koji pokrivaju AI pogreške i zahtjeve objašnjivosti za AI sustave koji utječu na kreditne odluke. EBA-ine konzultacije o strojnom učenju za IRB modele postavljaju kvantitativne standarde za validaciju modela, kvalitetu podataka i praćenje performansi koji su usko usklađeni s zahtjevima upravljanja rizicima prema Art. 9 EU Akta o AI.
Da, u načelu — EU Akt o AI primjenjuje se bez obzira na veličinu tvrtke. Međutim, Art. 9(5) zahtijeva da sustavi upravljanja rizicima budu proporcionalni veličini i prirodi pružatelja ili primjenjivača. Odredbe za MSP-ove i startupove prema Art. 55 i Art. 57 do Art. 63 pružaju pristup regulatornim pješčanicima kojima upravljaju nacionalna nadležna tijela, smanjujući prepreke za testiranje usklađenosti. EBA Innovation Hub i Europski forum za facilitatore inovacija (EFIF) pružaju dodatnu podršku fintech tvrtkama koje se snalaze u regulaciji AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.