Az EU MI-rendelet kötelezettségei bankok, hitelintézetek és fintech cégek számára. Hitelminősítési MI, pénzmosás elleni rendszerek, algoritmikus kereskedés, DORA-átfedés és EBA-iránymutatások.
Miért koncentrálódik az EU MI-rendelet kitettsége a bankszektor esetében
A banki és pénzügyi szolgáltatási szektor az EU MI-rendelet legszigorúbb kötelezettségeinek és az EU legösszetettebb szabályozási környezetének metszéspontján helyezkedik el. A pénzintézetek Európában a MI legnagyobb alkalmazói közé tartoznak — hitelezési döntéshozatalban, csalásfelderítésben, AML/CFT-szűrésben, ügyfél-átvilágításban, algoritmikus kereskedésben és vagyonkezelésben. Az EU MI-rendelet az Annex III-on keresztül közvetlenül célozza meg ezen felhasználási esetek leginkább következményekkel járóit, több pénzügyi MI-alkalmazást magas kockázatúnak minősítve definíció szerint.
A bankszektor emellett sűrű, már meglévő szabályozási réteg alatt működik: DORA, MiFID II, CRD IV/CRR, AML-irányelvek, GDPR és BCBS 239. Az EU MI-rendelet nem váltja fel ezeket a keretrendszereket — kiegészíti őket. Egy hitelintézet számára MI-alapú hitelminősítési modell bevezetése egyidejű kötelezettségeket vált ki a MI-rendelet (Annex III, Art. 9–16), a DORA (IKT-kockázatkezelés) és az EBA modellkockázat-kezelési iránymutatásai alapján.
Magas kockázatú MI-felhasználási esetek a banki szektorban az Annex III alapján
Az Annex III 5(b) kategóriája kifejezetten felsorolja a természetes személyek hitelképességének értékelésére vagy hitelminősítésére használt MI-t, valamint a jogi személyek hitelkockázatának értékelésére alkalmazott MI-t, ahol a MI meghatározza vagy lényegesen befolyásolja az eredményt. Ez a pénzügyi MI-alkalmazások széles körét lefedi.
A hitelminősítési és kockázatvállalási modellek — automatizált rendszerek, amelyek meghatározzák a lakossági és KKV-ügyfelek hiteljogosultságát, hitelkereteit vagy kamatait — az Art. 6(2) alapján az Annex III-mal összefüggésben magas kockázatú MI-nek minősülnek. Az ezen rendszerek szolgáltatójaként eljáró bankoknak megfelelőségi értékelést kell elvégezniük, az Art. 11 szerinti műszaki dokumentációt kell fenntartaniuk, az Art. 9 szerinti kockázatkezelési rendszereket kell megvalósítaniuk, az Art. 14 szerinti emberi felügyeleti mechanizmusokat kell biztosítaniuk, és a rendszert az EU MI-rendelet adatbázisában (Art. 71) kell regisztrálniuk az üzembe helyezés előtt.
Az AML- és csalásfelderítési rendszerek árnyaltabb képet mutatnak. A szankciószűrést, tranzakciófelügyeletet vagy viselkedéselemzést gyanús tevékenységek jelzésére alkalmazó rendszerek általában a pénzintézeteket érintik, nem pedig közvetlenül az egyének számára meghatározó döntéseket hoznak. Ahol a MI-kimenet az elsődleges alapja az ügyféllel szembeni hátrányos intézkedésnek (számlabefagyasztás, szolgáltatás megtagadása), a magas kockázatú besorolás az Annex III 5(b) vagy 6. kategóriája (bűnüldözés) alapján kiváltódhat a nemzeti hatóság szerepétől függően. A bankoknak gondos osztályozási elemzést kell végezniük.
Az ÁFMI-alapú eszközök — ügyfélszolgálatra, dokumentumfeldolgozásra vagy befektetési elemzésre használt nagy nyelvi modellek — az Art. 50 szerinti átláthatósági követelményeknek (annak közzététele, hogy a felhasználók MI-vel lépnek kapcsolatba) és — ahol a modell szolgáltatójának rendszerkockázata van — az Art. 55 kötelezettségeinek vannak alávetve.
Szolgáltatói és alkalmazói kötelezettségek bankok esetében
A bankok szolgáltatóként (saját MI-modellek fejlesztése), alkalmazóként (harmadik fél MI-rendszereinek használata) vagy mindkét minőségben eljárhatnak. A megkülönböztetés határozza meg a kötelezettségi profilt:
| Szerep | Kötelezettség forrása | Legfontosabb követelmények |
|---|---|---|
| Szolgáltató | Art. 9–17 | Megfelelőségi értékelés, műszaki dokumentáció, QMS, regisztráció |
| Alkalmazó | Art. 26 | Rendszer felügyelete, emberi felügyelet biztosítása, naplók fenntartása, felhasználók tájékoztatása |
| Mindkettő | Art. 9–17 + Art. 26 | Teljes szolgáltatói kötelezettségek + alkalmazói felügyeleti feladatok |
A fintech szállítótól hitelminősítési MI-t vásárló bankok az Art. 26 alapján alkalmazóként járnak el. Ellenőrizniük kell, hogy a szállító elvégezte-e a megfelelőségi értékelést, emberi felülvizsgálatot kell beépíteniük a hátrányos döntési folyamatokba, 10 évig kell fenntartaniuk a használati naplókat (Art. 26(6)), és biztosítaniuk kell, hogy a MI-döntéseket az érintett személyeknek a GDPR Art. 22 és az EU MI-rendelet Art. 13 alapján megmagyarázzák.
Ágazati szabályozási átfedés: DORA, MiFID II és Szolvencia II
A DORA (2022/2554 rendelet) bankokra, befektetési vállalkozásokra, biztosítótársaságokra és IKT-harmadik fél szolgáltatókra vonatkozik. A MI vonatkozásában a DORA előírja:
- A MI-rendszereket IKT-rendszerként kezelje, amelyek kockázatkezelési keretrendszereknek vannak alávetve (Art. 6 DORA)
- IKT-val kapcsolatos incidensek osztályozása és bejelentése — a MI-hibák jelentős IKT-incidensnek minősülhetnek
- A kritikus IKT-rendszerek rugalmassági tesztelése — MI-modellek is beleértve, ahol lényegesek a működéshez
- A MI-szállítói szerződéseket, kilépési stratégiákat és auditjogokat lefedő harmadik fél kockázatkezelése
A MiFID II (pénzügyi eszközök piacairól szóló irányelv) az algoritmikus kereskedésre és befektetési tanácsadásra vonatkozik. A MI által generált befektetési ajánlások megfelelőségi értékelési követelményeket váltanak ki; az algoritmikus kereskedési rendszerek előzetes kereskedési kontrollt, leállítási kapcsolókat és szabályozói bejelentést igényelnek.
Az EBA IKT- és biztonsági kockázatkezelési iránymutatásai (EBA/GL/2019/04, 2022-ben frissítve) előírják a MI-modelleket lefedő technológiai kockázatirányítást, az operatív folytonossági követelményeket és a modellvalidálási függetlenséget. Ezek lényegesen illeszkednek az EU MI-rendelet Art. 9 szerinti kockázatkezelési követelményeihez.
Végrehajtási hatóságok
Az EU MI-rendelet banki MI vonatkozású végrehajtása kétszintű hatósági struktúrán keresztül működik:
Az Art. 70 alapján az egyes tagállamok által kijelölt nemzeti illetékes hatóságok (NCA-k) az elsődleges MI-rendelet-végrehajtó szervek. Piaci felügyeletet végezhetnek, műszaki dokumentációt kérhetnek, és bírságokat szabhatnak ki (az Art. 99 alapján legfeljebb 30 millió euró vagy az éves globális forgalom 6%-a).
Az Európai Bankhatóság (EBA) koordinálja az ágazatspecifikus MI-felügyeletet a bankunióban, technikai standardokat biztosít az IKT-kockázathoz, és iránymutatásokat ad ki, amelyek alakítják a nemzeti felügyeleti elvárásokat. Az EBA részt vesz az Art. 65 alapján létrehozott Európai MI Testületben is.
Az EKB és a nemzeti prudenciális felügyelők a CRD IV alapján a SREP (felügyeleti felülvizsgálati és értékelési folyamat) keretében MI-modell dokumentációt kérhetnek, ahol a MI lényeges hitel- vagy operatív kockázati döntéseket vezérel.
Megfelelési ütemterv bankok számára
Azonnali (most → 2026. augusztus): Az Art. 5 alapján tiltott gyakorlatok megfelelési ellenőrzésének elvégzése — az összes MI-rendszer átvizsgálása a tiltott gyakorlatokra, beleértve a társadalmi pontozást és a valós idejű biometrikus azonosítást nyilvános terekben. Ezek a tilalmak az új szerződéseknél azonnal alkalmazandók.
2026. III. negyedév — Magas kockázatú osztályozási audit: Az összes telepített és fejlesztés alatt álló MI-rendszer feltérképezése az Annex III alapján, különösen az 5(b) és 5(c) kategóriák tekintetében. Az osztályozás indoklásának dokumentálása. Jogi és megfelelési szakértők bevonása a DORA-átfedés értékeléséhez.
2026. IV. negyedév — Belső fejlesztésű MI szolgáltatói kötelezettségei: A belső fejlesztésű hitelminősítési és kockázatvállalási modellek esetén a megfelelőségi értékelési eljárások megkezdése, az Annex IV szerinti műszaki dokumentáció kidolgozása és az Art. 17 szerinti QMS bevezetése.
2027 — Harmadik féltől származó MI alkalmazói kötelezettségei: Az összes MI-szállítói szerződés auditálása az EU MI-rendeletnek való megfelelés szempontjából. A szolgáltatóknak meg kell adniuk a megfelelőségi nyilatkozatokat és regisztrációs számokat. Az adatkezelési megállapodások frissítése az Art. 26 szerinti naplózási kötelezettségek tükrözése érdekében.
2027. augusztus — ÁFMI-kötelezettségek hatályba lépése: Annak biztosítása, hogy a banki alkalmazásokban használt összes harmadik fél LLM és alapmodell megfeleljen az Art. 51–55 követelményeinek. Ellenőrizni, hogy a szolgáltatók közzétették-e az Art. 53 szerinti átláthatósági dokumentációt.
2027. december — Magas kockázatú MI határideje: Teljes megfelelőség szükséges az összes Annex III magas kockázatú MI-rendszer esetében. Biztosítani kell az EU MI-rendelet adatbázisában való regisztrációt, a működő emberi felügyeleti mechanizmusokat és az Art. 72 szerinti piaci utókövetési terveket.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
A bankok elsősorban az Annex III 5(b) és 5(c) kategóriáin keresztül szembesülnek EU MI-rendelet kötelezettségekkel: a hitelképesség-értékeléshez és hitelminősítéshez használt MI, valamint az élet- és egészségbiztosítási kockázatvállalásnál alkalmazott MI. Ezeket magas kockázatú MI-rendszerekként sorolják be, amelyek megfelelőségi értékelést, műszaki dokumentációt, emberi felügyeleti mechanizmusokat és az EU MI-rendelet adatbázisában való regisztrációt igényelnek. Ezenfelül a pénzmosás elleni (AML) szűrésre, csalásfelderítésre vagy ügyfél-átvilágításra MI-t alkalmazó bankok a rendszer funkciójától és az általa befolyásolt döntésektől függően szintén az Annex III hatálya alá kerülhetnek.
A DORA (Digital Operational Resilience Act, 2022/2554 rendelet) és az EU MI-rendelet átfedő, de eltérő kötelezettségeket teremt. A DORA előírja a pénzügyi szervezetek számára az IKT-kockázat kezelését, a rugalmassági tesztelést és az incidensjelentési képességek fenntartását — ez IKT-eszközként vonatkozik a MI-rendszerekre is. Az EU MI-rendelet kockázati osztályozást, megfelelőségi értékelést, átláthatóságot és emberi felügyeleti követelményeket ad hozzá kifejezetten a MI-rendszerekre. Az MI-alapú hitelminősítési rendszert működtető hitelintézetnek egyaránt teljesítenie kell a DORA IKT-kockázatkezelési keretrendszerét és az EU MI-rendelet magas kockázatú MI-követelményeit. Az EBA IKT- és biztonsági kockázatkezelési iránymutatásai párhuzamosan alkalmazandók.
Az algoritmikus kereskedési rendszerek nem szerepelnek közvetlenül az Annex III-ban, ezért nem minősülnek automatikusan magas kockázatú MI-nek az EU MI-rendelet alapján. Azonban ha egy kereskedési algoritmust hitelképesség-értékelés részeként alkalmaznak, vagy olyan módon befolyásolja a pénzügyi szolgáltatásokhoz való hozzáférést, amely egyéneket érint, az Annex III hatálya alá eshet. A MiFID II algoritmikus kereskedésre vonatkozó követelményei — beleértve a leállítási kapcsolókat, rendszertesztelést és auditnaplókat — teljes mértékben alkalmazandók maradnak. Az EU MI-rendelet Art. 50 szerinti átláthatósági követelmények vonatkoznak a természetes személyekkel kapcsolatba lépő MI-re, az Art. 51 szerinti ÁFMI-modell kötelezettségek pedig a kereskedési vagy elemzési platformokon alkalmazott nagy nyelvi modellekre.
Az Európai Bankhatóság (EBA) iránymutatásokat tett közzé a belső irányításról (EBA/GL/2021/05) és az IKT-kockázatkezelésről, amelyek közvetlenül meghatározzák a bankok MI-irányítási elvárásait. A legfontosabb követelmények: igazgatótanácsi szintű elszámoltathatóság a MI-stratégiáért, a hitelkockázatban használt MI-modellek független validálása, a MI-hibákat lefedő működési kockázati keretek, valamint a hitelezési döntéseket érintő MI-rendszerek magyarázhatósági követelményei. Az EBA IRB-modellekre vonatkozó gépi tanulással foglalkozó konzultációi a modellvalidálásra, adatminőségre és teljesítményfigyelésre vonatkozó mennyiségi szabványokat határoznak meg, amelyek szorosan illeszkednek az EU MI-rendelet Art. 9 szerinti kockázatkezelési követelményeihez.
Igen, elvileg igen — az EU MI-rendelet a vállalat méretétől függetlenül alkalmazandó. Az Art. 9(5) azonban előírja, hogy a kockázatkezelési rendszereknek arányosnak kell lenniük a szolgáltató vagy alkalmazó méretével és jellegével. Az Art. 55 és Art. 57–63 szerinti KKV- és startup-rendelkezések hozzáférést biztosítanak a nemzeti illetékes hatóságok által üzemeltetett szabályozói homokozókhoz, csökkentve a megfelelőségi tesztelés akadályait. Az EBA Innovációs Központ és az Európai Innovációs Facilitátorok Fóruma (EFIF) további támogatást nyújt a MI-szabályozásban eligazodó fintech cégeknek.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.