EU MI-törvény a pénzügyi szektorban: bankok, biztosítók és hitelintézetek

A bankok, biztosítók, vagyonkezelők és fizetési intézmények EU MI-törvény szerinti kötelezettségekkel szembesülnek, amelyek a meglévő pénzügyi szabályozás (DORA, MiFID II, GDPR, CRR) tetejére rakódnak. Ez az oldal elmagyarázza, mely MI-felhasználási esetek magas kockázatúak, hogyan lépnek kölcsönhatásba az ágazati szabályozók az MI-törvénnyel, és mit kell tenniük a pénzügyi intézményeknek a megfelelés érdekében.

Az MI-törvény megérkezik a pénzügybe

A pénzügyi intézmények — bankok, biztosítók, vagyonkezelők, fizetési szolgáltatók, hitelirodák — Európa legintenzívebb MI-felhasználói közé tartoznak. A hitelminősítés, a csalásfelderítés, az algoritmikus kereskedés, az ügyfélkockázati profilalkotás, a biztosítási kockázatvállalás, a szabályozási jelentéstételi automatizálás és a pénzmosás elleni küzdelem/KYC-szűrés mind olyan MI-rendszerekre támaszkodnak, amelyekre az EU MI-törvény alkalmazandó lehet.

A pénzügyi intézmények számára az EU MI-törvény nem elszigetelten érkezik. Rárétegez egy már sűrű szabályozási veremre: DORA (digitális reziliencia), MiFID II (befektetési szolgáltatások), GDPR (adatvédelem), CRR/CRD (tőkekövetelmények), Solvency II (biztosítás), PSD2/PSD3 (fizetési szolgáltatások) és az EBA, az EIOPA és az ESMA ágazati iránymutatások. Az MI-törvény és a meglévő pénzügyi szabályozás integrálódásának — és esetenként ütközésének — megértése elengedhetetlen a hatékony megfeleléshez.

Melyik MI-felhasználási esetek magas kockázatúak a pénzügyben?

Az EU MI-törvény III. melléklete automatikusan magas kockázatúnak minősülő felhasználási eseteket azonosít. A pénzügyi szektorban a legközvetlenebbek a következők:

5(b) kategória: Hitelképesség-értékelés

Magas kockázatú. A természetes személyek hitelképességének értékelésére vagy a természetes személyek hitelkockázat szerinti osztályozására használt MI-rendszerek kifejezetten fel vannak sorolva. Ez lefedi:

Fogyasztói hitelekre, személyes folyószámlahitelekre, hitelkártyákra és jelzáloghitelekre vonatkozó automatizált hitelminősítést
Az egyéni fogyasztók törlesztési valószínűségét, nemteljesítési kockázatát vagy adósságkapacitását értékelő modelleket
Az egyéni kockázatértékelés alapján hitelkorlátokat vagy hitelösszegeket ajánló MI-rendszereket

Nem automatikusan lefedett: Természetes személyek helyett jogi személyeket értékelő vállalati hitelmodellek, bár ezek a telepítéstől függően kiválthatják az Art. 50 átláthatósági kötelezettségeket.

5(b) kategória: Biztosítási díj és lefedettségi döntések

Magas kockázatú, ha lényegesen érinti a természetes személyeket. Az alábbi döntéseket hozó vagy erőteljesen befolyásoló MI-rendszerek:

Biztosítási lefedettség (kérelmezők elfogadása vagy elutasítása)
Díjszintek (egyéni díjakat meghatározó aktuáriusi modellek)
Kárértékelés és -rendezés (automatizált kárkezelés)

A gépjármű-biztosítás árazási modelljei, az egészségbiztosítás kockázatvállalása és a háztartások vagyonbiztosítási modelljei közvetlenül a hatályon belül vannak. A meghatározó tényező, hogy az MI-rendszer olyan döntést hoz-e vagy befolyásol-e lényegesen, amely lényegesen érinti egy természetes személy alapvető magánszolgáltatáshoz való hozzáférését.

1. kategória: Biometrikus azonosítás

Magas kockázatú. A következőkre használt MI-rendszerek:

Ügyfelek távoli biometrikus azonosítása (KYC-videó-ellenőrzés, folyamatos hitelesítés)
Biometrikus kategorizálás, ahol az befolyásolja a kockázati osztályozást vagy a szolgáltatáshoz való hozzáférést

A valós idejű biometrikus azonosítás nyilvánosan hozzáférhető tereken bűnüldözési célokból az Art. 5 alapján tiltott. A KYC-hez arcfelismerést alkalmazó kereskedelmi személyazonossági ellenőrző rendszerekre magas kockázatú követelmények vonatkoznak, de nem tiltottak.

6. kategória: Pénzmosás elleni küzdelem/KYC és bűnüldözéssel szomszédos

A pénzügyi intézmények által pénzmosás elleni küzdelem/KYC-szűrés, szankciószűrés vagy tranzakciófigyelés támogatására használt MI-rendszerek ahol az eredményt bűnüldöző szerveknek jelentik vagy azok felhasználják a III. melléklet 6. kategóriájába (bűnüldözés) eshetnek. Ez magában foglalja:

A Pénzügyi Hírszerző Egységeknek küldött, MI által generált Gyanús Tevékenységi Jelentéseket (SAR)
Automatizált PEP (politikailag kitett személy) szűrési rendszereket

A kizárólag belső kockázatkezeléshez, bűnüldözési kimenet nélkül használt rendszerek kevésbé valószínű, hogy a 6. kategória alapján magas kockázatúnak minősülnek, bár más kategóriák alkalmazandók lehetnek.

Mit jelent a magas kockázatú MI-kötelezettség a pénzügyi intézmények számára?

Ha egy pénzügyi intézmény által használt MI-rendszer a III. melléklet alapján magas kockázatú, a kötelezettségek attól függnek, hogy az intézmény szolgáltató (megépítette a rendszert) vagy alkalmazó (megvásárolta vagy licencbe vette azt).

Ha Ön a szolgáltató (megépítette a rendszert)

Kockázatkezelési rendszer (Art. 9): Dokumentált kockázatkezelési folyamat létrehozása és fenntartása, amely az egész rendszeréletcikluson át iterál
Adatirányítás (Art. 10): A betanítási, validálási és tesztelési adatnak relevancia, reprezentativitás és elfogultságfelmérés szempontjából irányítási gyakorlatoknak kell megfelelniük
Műszaki dokumentáció (IV. melléklet): Teljes műszaki dossziér a rendszerleírással, architektúrával, betanítási megközelítéssel, teljesítménymutatókkal és forgalomba hozatal utáni figyelési tervvel
Átláthatóság (Art. 13): Az alkalmazóknak szóló, a képességeket, korlátokat és felügyeleti követelményeket ismertető használati utasítás
Emberi felügyelet (Art. 14): Az emberi felügyeletet és beavatkozást lehetővé tevő tervezési intézkedések
Pontosság, robusztusság, kiberbiztonság (Art. 15): Igazolt teljesítményszintek és rugalmasság
Megfelelőségértékelés: Önértékelés (VI. melléklet) a legtöbb III. melléklet szerinti rendszer esetén, vagy bejelentett testület általi értékelés biometrikus rendszereknél
CE-jelölés és EU megfelelőségi nyilatkozat
Regisztráció az EU MI-adatbázisban
Forgalomba hozatal utáni figyelés (Art. 72): Aktív rendszer a valós teljesítményadatok gyűjtésére és incidensbejelentésre

Ha Ön az alkalmazó (megvásárolta/licencbe vette a rendszert)

Utasítások betartása: A rendszert kizárólag a szolgáltató utasításainak megfelelően szabad használni
Emberi felügyelet: Megfelelő hatáskörrel és erőforrásokkal rendelkező, képzett személyzetet kell kijelölni a felügyelet elvégzésére
Bemeneti adatminőség: Biztosítani kell, hogy a bemeneti adatok relevánsak és reprezentatívak legyenek a konkrét telepítési kontextushoz
Naplók megőrzése: A szükséges ideig aktiválni és megőrizni kell az automatizált naplókat
Incidensbejelentés: Súlyos incidenseket be kell jelenteni a szolgáltatónak és bizonyos esetekben közvetlenül a hatóságoknak
Alapvető jogi hatásvizsgálat (Art. 27): Közszférabeli alkalmazók számára kötelező; az érzékeny területeken tevékenykedő magánszektor alkalmazói számára ajánlott

Kölcsönhatás a DORA-val

A Digitális Működési Rezilienciáról szóló Rendelet (DORA) 2025 januárjában lépett alkalmazásba, és átfogó IKT-kockázatkezelési követelményeket ír elő a pénzügyi intézmények számára — beleértve az MI-rendszereket mint IKT-összetevőket.

Főbb kölcsönhatási pontok:

IKT-kockázatkezelési keret

A DORA megköveteli a pénzügyi intézményektől az IKT-kockázatkezelési keret fenntartását, amely lefedi az azonosítást, védelmet, észlelést, reagálást és helyreállítást. Az MI-rendszerek az e keret hatálya alá tartozó IKT-eszközök. Az EU MI-törvény MI-specifikus követelményeket ad hozzá: elfogultság-tesztelés, átláthatósági dokumentáció, emberi felügyelet kialakítása és életciklus-kezelés.

A gyakorlatban: Egy bank MI-hitelminősítő modelljének meg kell felelnie mind a DORA IKT-kockázatkezelésnek (incidensészlelés, folytonossági tervezés, változáskezelés), mind az EU MI-törvény magas kockázatú követelményeinek (kockázatkezelési rendszer, műszaki dokumentáció, forgalomba hozatal utáni figyelés).

Harmadik fél kockázata (IKT harmadik fél szolgáltatók)

A DORA részletes követelményeket ír elő az IKT harmadik fél szolgáltatók kezelésére — beleértve a szerződéses követelményeket, audit-jogokat és a kritikus szolgáltatók felügyeletét. Amikor egy pénzügyi intézmény harmadik fél MI-rendszert alkalmaz (pl. szállítótól vásárolt hitelminősítő modell), az adott szállítóra a DORA harmadik fél kockázatkezelési követelményei vonatkoznak.

Az EU MI-törvény alkalmazói kötelezettségei szintén vonatkoznak — megkövetelve, hogy a szolgáltató utasításokat, megfelelőségi dokumentációt és naplózási lehetőséget biztosítson. A pénzügyi intézményeknek biztosítaniuk kell, hogy harmadik fél MI-szállítói szerződéseik kielégítsék mind a DORA IKT-szolgáltató követelményeket, mind az EU MI-törvény alkalmazói tájékoztatási jogokat.

Incidensbejelentés

A DORA saját incidensbejelentési kerettel rendelkezik a jelentős IKT-vonatkozású incidensekhez, amelyeket az ágazati felügyelőknek (EBA, EIOPA, ESMA) kell bejelenteni. Az EU MI-törvény megköveteli, hogy a magas kockázatú MI-rendszereket érintő súlyos incidenseket a nemzeti piacfelügyeleti hatóságoknak jelentsék be.

Ezek külön bejelentési kötelezettségek különböző hatóságoknak. Egy MI hitelminősítő rendszert érintő súlyos incidens egyszerre válthat ki egy DORA incidensjelentést (az EBA/nemzeti pénzügyi felügyelőnek) és egy EU MI-törvény incidensjelentést (a piacfelügyeleti hatóságnak).

Ágazati felügyelők és az MI-törvény végrehajtása

A pénzügyi intézmények esetén az ágazati pénzügyi felügyelők — EBA (banki), EIOPA (biztosítási), ESMA (értékpapír- és piacok) — konkrét szerepet játszanak az EU MI-törvény megvalósításában, bár nem az elsődleges MI-törvény végrehajtási hatóság.

Az MI-törvény alapján a magas kockázatú MI-rendszerek szolgáltatóiként működő pénzügyi intézményeknek regisztrálniuk kell az EU MI-adatbázisban. A pénzügyi szektorban az illetékes pénzügyi felügyeleti hatóság az adott szektor MI-törvény-felügyeletéért felelős nemzeti piacfelügyeleti hatóságként kerülhet kijelölésre vagy azzal együttműköd.

Az Európai Felügyeleti Hatóságok (ESA-k) aktívak voltak:

Az MI-irányításra vonatkozó útmutatások közzétételében a pénzügyi szolgáltatásokban (EBA iránymutatások a belső irányításról, ML/MI a hitelkockázatban)
Hozzájárulásban az EU MI-törvény megvalósítási útmutatóhoz a pénzügyi szektor számára
Az EU MI-Hivatal GPAI-modell felügyeletének koordinálásában, amennyiben az érinti a pénzügyi szolgáltatásokat

Gyakorlati megfelelési prioritások pénzügyi intézmények számára

Az összes MI-rendszer leltározása — minden egyes osztályozása a III. melléklet kritériumaival szemben. Prioritást élveznek a hitelképesség, a biztosítási árazás és a biometrikus/KYC rendszerek.
Szolgáltató vs. alkalmazó státusz meghatározása minden rendszer esetén — szállítóktól vásárolt modelleket vagy házon belül fejlesztetteket használ?
MI-irányítás összehangolása a DORA IKT-kockázati kerettel — az MI-törvény kötelezettségek integrálása a meglévő DORA irányítási struktúrába a duplikált folyamatok elkerülése érdekében.
Harmadik fél MI-szállítói szerződések felülvizsgálata — biztosítani kell, hogy a szerződések tartalmazzák: megfelelőségi dokumentációt, használati utasítást, naplózási hozzáférést, incidensértesítési vállalásokat, frissítési kötelezettségeket és audit-jogokat.
Emberi felügyeleti mechanizmusok kialakítása — a magas kockázatú MI-felhasználási esetekhez biztosítani kell, hogy a képzett személyzet rendelkezzen hatáskörrel, eszközökkel és idővel az MI-kimenetek tartalmas áttekintésére a következményes döntések meghozatala előtt.
Kapcsolódás a forgalomba hozatal utáni figyeléshez — a meglévő modellkockázat-kezelési folyamatok (Bázel-modellvalidáció, DORA változáskezelés) kiterjesztése az Art. 72 forgalomba hozatal utáni figyelési követelmények lefedésére.
Felkészülés az EU MI-adatbázisra — ha Ön magas kockázatú MI-rendszerek szolgáltatója, a regisztráció kötelező. Ha Ön közszférabeli alkalmazó, a regisztráció szintén előírható.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Vonatkoznak-e az EU MI-törvény magas kockázatú követelményei a hitelminősítő modellekre?

Igen. A természetes személyek hitelképességének értékelésére vagy a természetes személyek hitelkockázat szerinti osztályozására használt hitelképesség-értékelő MI-rendszerek kifejezetten szerepelnek a III. melléklet 5(b) kategóriájában magas kockázatúként. Ez lefedi a fogyasztói hitelekre, jelzáloghitelekre, hitelkártyákra és folyószámlahitelekre vonatkozó automatizált hitelminősítést. A kizárólag vállalati hitelértékelésre használt rendszerek esetleg nem esnek a hatályra, de a természetes személyek értékelésével járó rendszerek egyértelműen lefedvék.

Hogyan lép kölcsönhatásba a DORA az EU MI-törvénnyel a pénzügyi intézmények számára?

A DORA (digitális működési rezilienciáról szóló rendelet) és az EU MI-törvény átfedő, de különböző hatállyal bír. A DORA általánosan lefedi az IKT-kockázatkezelést — köztük az IKT-eszközként MI-rendszereket — incidensbejelentési, reziliencia-tesztelési és harmadik fél kockázatkezelési követelményekkel. Az EU MI-törvény konkrét MI-kötelezettségeket (elfogultság-tesztelés, átláthatóság, emberi felügyelet, forgalomba hozatal utáni figyelés) ad hozzá a magas kockázatú MI-felhasználási esetekre. A pénzügyi intézményeknek mindkét keretet meg kell szólítaniuk — a DORA nem mentesíti az intézményeket az MI-törvény kötelezettségei alól, és az MI-törvény nem helyettesíti a DORA IKT-kockázati követelményeket.

Vonatkoznak-e az EU MI-törvény magas kockázatú követelményei a csalásfelderítésre használt MI-rendszerekre?

A felhasználási esettől függ. A valós idejű tranzakciós csalás felderítésére használt MI-rendszerek — ahol az MI gyanús tranzakciókat jelöl emberi felülvizsgálathoz vagy automatikusan blokkolja azokat — nem automatikusan magas kockázatúak a III. melléklet alapján. Ha azonban a rendszer döntéseket hoz vagy erőteljesen befolyásol, amelyek lényegesen érintik az egyéneket (pl. számlazárolás, hitelkeret csökkentése, biztosítási kár elutasítása), a felhasználási eset a III. melléklet 5. kategóriájába (alapvető szolgáltatásokhoz való hozzáférés) eshet. A jogi bizonyosság szabályozói útmutatástól és a konkrét telepítéstől függ.

A biztosítási árazásra és kockázatvállalásra használt MI-rendszerek magas kockázatúak-e?

A természetes személyek számára lefedettségre, díjszintekre vagy kárrendezésre vonatkozó döntéseket hozó vagy erőteljesen befolyásoló biztosítási árazási és kockázatvállalási MI-rendszerek valószínűleg a III. melléklet 5. kategóriájába (alapvető magánszolgáltatásokhoz való hozzáférés) esnek. Ez magában foglalja a gépjármű-, egészségügyi és vagyonbiztosítási árazó modelleket. Az egyéni várható élettartamot értékelő életbiztosítási kockázatvállalási modellek szintén lefedvék lehetnek. Minden felhasználási esetet egyénileg kell értékelni a III. melléklet kritériumaival szemben.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.