Biztosítás — EU AI Act megfelelőség

Az EU AI Act kötelezettségei a biztosítási ágazat MI-rendszereire: aktuáriusi modellek, kockázatvállalás, kárbecslés és természetes személyekre vonatkozó díjszabási MI. Kiterjed az Annex III 5(b) kategóriára és a Szolvencia II kapcsolódási pontjaira.

A biztosítás és az EU AI Act — az aktuáriusi kihívás

Az EU AI Act (Regulation (EU) 2024/1689) a legnagyobb megfelelési terhet azokra az MI-rendszerekre rója, amelyek befolyásolják természetes személyek hozzáférését alapvető szolgáltatásokhoz és pénzügyi termékekhez. A biztosítás ennek az aggodalomnak a középpontjában áll. Azok az MI-rendszerek, amelyek meghatározzák, hogy egy természetes személy kaphat-e gépjármű-, egészség-, élet- vagy vagyonbiztosítást — és milyen költséggel —, számos konfiguráció esetén magas kockázatú MI-rendszerek az Annex III 5(b) pont alapján.

A biztosítási ágazat meghatározó kihívása az aktuáriusi dimenzió. Több mint egy évszázada a biztosítási díjszabás a kockázat statisztikai modellezésén alapul, amelyet népességi kohorszokon alkalmaznak. Az EU AI Act nem tiltja az aktuáriusi differenciálást, hanem lényeges kötelezettségeket ró azokra az MI-rendszerekre, amelyek révén az ilyen differenciálás végrehajtódik, ha e rendszerek az egyedi természetes személy szintjén működnek. A hagyományos pooling-modellektől az MI-vezérelt egyéni kockázatpontozás felé való elmozdulás — amelyet telematika, egészségügyi adatfolyamok és viselkedéselemzés tesz lehetővé — pontosan az, ami az jogszabály magas kockázatú rendszert szabályozó részét aktiválja.

Az EU-ban működő biztosítóknak ezért szisztematikus osztályozási vizsgálatot kell végezniük: MI-rendszereik közül melyek hoznak létre olyan egyéni kimeneteket, amelyek meghatározzák vagy lényegesen befolyásolják természetes személyek fedezeti döntéseit? Ez az osztályozási vizsgálat nem csupán formai megfelelési kötelezettség. Eredménye határozza meg, hogy a biztosító mint Art. 26. szerinti alkalmazó (vagy Art. 16. szerinti forgalomba hozó) viseli-e az adatirányítással, műszaki dokumentációval, emberi felügyelettel, megfelelőségértékeléssel és a magas kockázatú MI EU-adatbázisban való regisztrációval kapcsolatos kötelezettségeket.

A jogszabály biztosítási alkalmazását tovább bonyolítja az ágazat meglévő szabályozási sűrűsége. A Szolvencia II irányelv (2009/138/EK), a biztosítási értékesítési irányelv (IDD) (EU) 2016/97, a GDPR és az EIOPA elveken alapuló MI-iránymutatásai (2021) egyaránt követelményeket támasztanak az aktuáriusi modellezéssel, az ügyfelekkel való bánásmóddal és az adatfelhasználással szemben. Ezek a keretek átfednek az EU AI Act kötelezettségeivel — de nem helyettesítik azokat. A megfelelési programoknak egyidejűleg kell mindegyiket kezelniük.

Magas kockázatú MI-felhasználási esetek a biztosításban

Természetes személyekre vonatkozó aktuáriusi díjszabási modellek

Az EU AI Act Annex III 5(b) pontja magas kockázatúnak minősít minden olyan MI-rendszert, amelyet természetes személyek hitelképességének értékelésére vagy természetes személyek kockázati profilja szerinti osztályozására használnak biztosítási szolgáltatásokhoz való hozzáférés céljából. Ez kiterjed azokra az aktuáriusi MI-rendszerekre, amelyek:

Egyéni kockázatpontszámot generálnak egy névvel azonosított kötvénytulajdonos gépjármű-biztosítási díjának meghatározásához
Természetes személy egészségi állapotát vagy halálozási kockázatát osztályozzák életbiztosítási fedezeti jogosultság vagy díj meghatározása céljából
Konkrét természetes személynek betudható, MI-értékelt kockázati tényezők alapján vagyonbiztosítási díjszabási döntést hoznak

A kritikus küszöb az egyedi természetes személyre gyakorolt hatás. A jogi személyekre alkalmazott aktuáriusi MI — vállalati felelősség, kereskedelmi áru, ipari vagyontárgy — nem aktiválja az Annex III 5(b) kategóriát, kivéve ha a természetes személyeket lényegileg egyenértékű módon érinti. A személyes és vállalati szerződéseket egyaránt megkötő biztosítóknak minden MI-rendszert az általa érintett populáció szerint kell osztályozniuk.

Gépjármű-biztosítási telematika és pay-as-you-drive rendszerek

A telematikaalapú biztosítási díjszabási rendszerek, amelyek vezetési magatartási adatokat gyűjtenek — sebességet, gyorsítást, fékezési mintázatokat, napszaki használatot — és MI-modellekkel egyéni díjat generálnak egy névvel azonosított természetes személy számára, a paradigmatikus magas kockázatú biztosítási MI-felhasználási esetek. E rendszerek az Annex III 5(b) kategória valamennyi elemének megfelelnek: egyéni természetes személyeket értékelnek, olyan kimeneteket hoznak létre, amelyek meghatározzák a biztosításhoz való hozzáférést és annak díját, és MI-vezérelt egyéniesítésük pontosan az, ami megkülönbözteti őket a hagyományos aktuáriusi poolingtól.

A telematikai pontozómotor forgalomba hozóinak — akár házon belül fejlesztett, akár harmadik féltől licencelt megoldásról van szó — meg kell felelniük az Art. 9. (kockázatkezelés), Art. 10. (adatirányítás a tanítási és validálási adatkészletekhez), az Annex IV-vel összefüggő Art. 11. (műszaki dokumentáció), Art. 12. (naplózás), Art. 13. (átláthatóság), Art. 14. (emberi felügyelet) és Art. 15. (pontosság, robosztusság, kiberbiztonság) követelményeinek.

Élet- és egészségbiztosítási kockázatvállalási MI

Az életbiztosítási kockázatvállalásban egyéni kérelmezők élettartami vagy halálozási kockázatának értékelésére használt MI-rendszerek — amelyek meghatározzák, hogy felajánlják-e a fedezetet és milyen díjon — magas kockázatúak az Annex III 5(b) kategória alapján, ahol természetes személyekre vonatkozó egyéni értékeléseket hoznak létre. Ide tartoznak azok az MI-rendszerek, amelyek egészségügyi kérdőívre adott válaszokat, orvosi dokumentációt (ahol jogszerűen hozzáférhető) vagy viselhető eszközök adatfolyamait dolgozzák fel, hogy a kockázatvállalási döntéseket befolyásoló kockázatpontszámot generáljanak.

Az egészségbiztosítási MI, amely az egyéni kérelmezőket egészségi kockázati profiljuk szerint szegmentálja díjszabási vagy jogosultsági meghatározás céljából, ugyanolyan besorolás alá esik. A biztosítóknak figyelniük kell a GDPR Art. 9. (egészségügyi adatok mint különleges kategóriájú adatok) és az AI Act Art. 10. adatirányítási követelményeinek metszéspontjára: az egészségügyi adatokat tartalmazó tanítási adatkészletekhez kifejezett GDPR Art. 9(2) jogalap szükséges, és ezt a jogalapot dokumentálni kell az Annex IV által előírt műszaki dokumentációban.

Kárigény-értékelési és -rendezési MI

A kárigény-MI besorolása a kárigény-kezelési döntési folyamatban betöltött funkcionális szerepétől függ. Két forgatókönyvet kell megkülönböztetni:

MI, amely lényegesen befolyásol egy természetes személyt érintő kárigény-eredményt: ahol egy MI-rendszer értékel egy kárigényt, és kimenete közvetlenül eredményezi egy természetes személy biztosítási juttatásának csökkentését, elutasítását vagy feltételes kifizetését — még ha névlegesen egy ember is vizsgálja felül —, a rendszer nagy valószínűséggel magas kockázatú az Annex III 5(b) kategória alapján, mivel ténylegesen meghatározza a természetes személy biztosítási juttatáshoz való hozzáférését.
MI, amely kárigényeket jelöl meg emberi vizsgálat céljából: ahol az MI-kimenet az egyik bemenet a több közül, amelyeket egy kárrendező megvizsgál, aki önálló, érdemi döntést hoz, és hatásköre és információja van az MI értékelésétől való eltérésre, a rendszer nem feltétlenül magas kockázatú. Ezt a különbséget dokumentálni kell, és operatív valósággal kell bírnia, nem csupán névlegesnek kell lennie.

Biztosítási csalásfelderítés

A potenciálisan csalárd kárigények felderítésére használt MI-rendszerek fontos határterületen helyezkednek el. Ha a csalásfelderítő MI automatikus hátrányos intézkedést vált ki — kifizetés felfüggesztése, kötvény felmondása — természetes személlyel szemben érdemi emberi felülvizsgálat nélkül, nagy valószínűséggel magas kockázatú. Ha az MI csupán csalási kockázati jelzést generál, amelyet aztán egy szakértő kárrendező vizsgál meg, aki teljes döntési jogkörrel rendelkezik, lehet, hogy nem az. A biztosítóknak részletesen dokumentálniuk kell a csalás-MI munkafolyamatát, és értékelniük kell, hogy az operatív emberi felügyelet érdemi-e vagy csupán névleges.

Forgalomba hozó és alkalmazó a biztosításban

A szerepek megkülönböztetése

Az EU AI Act eltérő kötelezettségrendszert ró attól függően, hogy egy szervezet forgalomba hozó (fejleszti az MI-t és forgalomba helyezi) vagy alkalmazó (harmadik féltől származó MI-rendszert használ szakmai összefüggésben). A biztosítók számára ez a megkülönböztetés kereskedelmileg is jelentős:

Az a biztosító, amely saját telematikai pontozómotor vagy aktuáriusi díjszabási MI-rendszer fejleszt, Art. 3(3) szerinti forgalomba hozónak minősül, és viseli az Art. 16. szerinti teljes körű forgalomba hozói kötelezettségeket: minőségirányítási rendszer, műszaki dokumentáció, EU Megfelelőségi Nyilatkozat, CE-jelölés, regisztráció az EU-adatbázisban és forgalomba hozatalt követő megfigyelés.
Az a biztosító, amely aktuáriusi MI-szoftvert licencel egy szállítótól, Art. 3(4) szerinti alkalmazónak minősül, és viseli az Art. 26. szerinti alkalmazói kötelezettségeket: a szállító utasításaival összhangban való bevezetés, emberi felügyelet, naplóvezetés és eseményjelentés.
Az a biztosító, amely egy licencelt MI-rendszert a rendeltetési célját megváltoztató módon módosít — például egy telematikai modellt a validált hatókörön kívüli kötvénytulajdonos-populációra alkalmaz —, az Art. 25(1) alapján forgalomba hozóként sorolható be újra, teljes körű forgalomba hozói kötelezettségekkel.

Alkalmazói gondossági vizsgálat aktuáriusi szállítói MI esetén

A harmadik féltől származó aktuáriusi MI-rendszereket alkalmazó biztosítóknak strukturált gondossági vizsgálatot kell végezniük a bevezetés előtt és után:

Bevezetés előtt: Ellenőrizni kell, hogy az MI-rendszer regisztrálva van-e a magas kockázatú MI Art. 49. szerinti EU-adatbázisában, rendelkezik-e CE-jelöléssel, és EU Megfelelőségi Nyilatkozat kíséri-e. Kérelmezni és áttekinteni kell a műszaki dokumentáció összefoglalóját, beleértve a pontossági és torzítási mutatókat, a validált felhasználási eset hatókörét és a rendeltetési nyilatkozatot.

Szerződéses védelem: A MI-szállítókkal kötött közbeszerzési szerződéseknek rögzíteniük kell: a szállító kötelezettségét, hogy értesítse a biztosítót lényeges frissítésekről vagy újraértékelésekről; a szállító kötelezettségét, hogy kérésre naprakész forgalomba hozatalt követő megfigyelési adatokat bocsásson rendelkezésre; és az engedélyezett alkalmazási hatókör határait — egyértelmű mechanizmussal arra az esetre, ha a biztosító hatókörbővítési értékelést kér, ahelyett hogy egyoldalúan lépne tovább.

Folyamatos megfigyelés: Az Art. 26(5) alapján az alkalmazóknak figyelemmel kell kísérniük a magas kockázatú MI-rendszerek teljesítményét működési kontextusukban. Az aktuáriusi MI esetén ez a modell teljesítményének tényleges kárkövetelési eredményekkel szembeni nyomon követését, a tanítási populáció és az élő kötvénytulajdonos-populáció közötti eloszlási eltérés megfigyelését és a lényeges eltérések szállítóhoz való továbbítását jelenti kivizsgálás céljából.

Kölcsönhatás a Szolvencia II-vel, az IDD-vel és a GDPR-ral

Szolvencia II — Irányítási rendszer és ORSA

A Szolvencia II irányelv 2. pillérének követelményei irányítási rendszert hoznak létre az aktuáriusi és kockázatkezelési funkciók felett. Az Own Risk and Solvency Assessment (ORSA) dokumentált kockázatazonosítást, stressztesztelést és belső modell-irányítást követel meg. Ezek a követelmények lényegesen átfednek az EU AI Act Art. 9. szerinti kockázatkezelési rendszerével és az Annex IV műszaki dokumentáció modellvalidálási elemeivel.

A biztosítóknak strukturált hiányelemzést kell végezniük annak meghatározására, hogy a Szolvencia II irányítási artefaktumok közül melyek használhatók fel az AI Act megfelelőségéhez, és melyek maradnak ki. A tipikus hiányosságok közé tartoznak: MI-specifikus torzítástesztelés és méltányossági értékelés (amelyet a Szolvencia II nem kezel); Art. 10. szerinti adatkészlet-dokumentáció a tanítási és validálási adatokhoz (amely túlmutat a Szolvencia II modellvalidálási hatókörén); Art. 12. szerinti automatikus naplózás az MI-rendszer működéséről; és Art. 14. szerinti emberi felügyeleti mechanizmus kialakítása. Ahol a Szolvencia II alapján jóváhagyott belső modell MI-komponenseket tartalmaz, az adott modell irányítási keretét ki kell terjeszteni az AI Act kötelezettségeinek teljesítésére, mielőtt a rendszert jogszerűen üzembe helyezhetik a magas kockázatú rendszerre vonatkozó rezsim keretében.

Biztosítási értékesítési irányelv — Méltányosság és átláthatóság

Az IDD (EU) 2016/97 előírja, hogy a biztosítási értékesítés az ügyfél érdekében, érthető módon bemutatott információk alapján történjen. Ahol MI-t alkalmaznak az értékesítési folyamatban — például egy digitális platformon, amely személyre szabott termékajánlatokat vagy díjajánlatokat generál —, az IDD méltányossági és tájékoztatási kötelezettségei összhangban vannak az EU AI Act Art. 13. átláthatósági követelményeivel. A biztosítóknak integrálniuk kell az AI Act tájékoztatási kötelezettségeit az IDD termékismertetőkbe (IPID) és a kiemelt információs dokumentumokba, biztosítva, hogy az MI értékesítési vagy díjszabási döntésben betöltött szerepét a kötvénytulajdonos számára érthető nyelven kommunikálják.

GDPR — Különleges kategóriájú adatok és automatizált döntéshozatal

A GDPR Art. 9. az egészségügyi adatokat, genetikai adatokat és a személy testi vagy lelki egészségi állapotára vonatkozó adatokat különleges kategóriájú adatokként sorolja be, amelyek feldolgozása tilos egy adott kivétel hiányában. Az életbiztosítók és egészségbiztosítók, amelyek ilyen adatokat használnak MI-tanításban vagy -pontozásban, minden adatkategória és feldolgozási cél tekintetében meg kell határozniuk és dokumentálniuk kell az érvényes Art. 9(2) jogalapot — leggyakrabban az Art. 9(2)(a) szerinti kifejezett hozzájárulást vagy az Art. 9(2)(b) szerinti tagállami jogi eltérést.

A GDPR Art. 22. korlátozza a kizárólag automatizált döntéseket, amelyek természetes személyekre jogi vagy hasonlóan jelentős hatással bírnak. Egy MI-alapú kockázatvállalási döntés, amely automatikusan elutasítja a fedezeti kérelmet, vagy egy MI-alapú kárigény-döntés, amely automatikusan csökkenti a juttatási kifizetést emberi beavatkozás nélkül, az Art. 22. szerinti kizárólag automatizált döntéshozatalnak minősül. Az érintett jogosult: az automatizált döntés emberi felülvizsgálatára; az automatizált döntést befolyásoló főbb tényezők magyarázatára; és az eredmény vitatásának jogára. A biztosítóknak ezeket a jogokat be kell építeniük ügyfélkommunikációs folyamataikba, és biztosítaniuk kell, hogy a belső felülvizsgálati mechanizmusok érdemben működnek.

EIOPA MI-iránymutatások

Az EIOPA elveken alapuló iránymutatásai az MI biztosításban való alkalmazásáról (2021) az AI Act hatályba lépése előtt ágazati elvárásokat fogalmaztak meg az átláthatóság, a megkülönböztetésmentesség, az adatminőség és a modell magyarázhatósága terén. Az EIOPA ágazat-specifikus végrehajtási útmutatásokat dolgoz ki az EU AI Act-hez, és a biztosítóknak szorosan figyelemmel kell kísérniük az EIOPA anyagait. A nemzeti felügyeleti hatóságok — ACPR (Franciaország), BaFin (Németország), IVASS (Olaszország), DNB (Hollandia) — az EIOPA iránymutatásával összhangban hajtják végre a felügyeleti elvárásokat, és ágazat-specifikus kérdések és válaszok közzétételére számítani lehet a jogszabály végrehajtási időszakában.

Végrehajtás — EIOPA és nemzeti felügyeleti hatóságok

Az EIOPA felügyeleti szerepe

Az EIOPA (European Insurance and Occupational Pensions Authority) nem rendelkezik közvetlen végrehajtási jogkörrel az EU AI Act alapján, amely az Art. 70. alapján a nemzeti felügyeleti hatóságokat jelöli ki illetékes hatóságként. Az EIOPA azonban koordinálja a felügyeleti konvergenciát az EU biztosítási szabályozói között, és kötelező erejű és nem kötelező erejű technikai standardokat bocsát ki. Az EIOPA MI-irányítási elvárásai — iránymutatásokon, véleményeken és felügyeleti nyilatkozatokon keresztül kifejezve — alakítják majd, hogyan hajtják végre a nemzeti felügyelők az AI Act követelményeit a biztosítási összefüggésben. A biztosítóknak az EIOPA anyagait mérvadó ágazati iránymutatásként kell kezelniük még akkor is, ha azok jogilag nem kötelező erejűek.

Nemzeti biztosítási felügyelők mint MI-illetékes hatóságok

A főbb EU-piacokon működő nemzeti biztosítási felügyelők pozícióban vannak arra, hogy az AI Act illetékes hatósági funkcióit a biztosítási MI-rendszerek felett gyakorolják:

ACPR (Autorité de contrôle prudentiel et de résolution) Franciaországban, amely felügyeleti elvárásokat tett közzé az MI-ről a pénzügyi szolgáltatásokban
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Németországban, amelynek bevált múltja van az algoritmikus döntéshozatal felügyeletében
IVASS (Istituto per la Vigilanza sulle Assicurazioni) Olaszországban
DNB (De Nederlandsche Bank) Hollandiában

Ezek a hatóságok az Art. 74. és Art. 75. alapján rendelkeznek jogkörrel arra, hogy hozzáférést kérjenek a tanítási adatokhoz, műszaki dokumentációhoz és naplókhoz; helyszíni ellenőrzéseket végezzenek; korrekciós intézkedéseket rendeljenek el; és pénzügyi szankciót ajánljanak a nem megfelelés esetén. A nem megfelelő magas kockázatú MI forgalomba helyezéséért kiszabott bírságok elérheti a 30 millió eurót vagy a globális éves forgalom 6%-át, amelyik a magasabb.

Kettős felügyelet: AI Act és ágazati szabályozás

A biztosítási felügyelők az AI Act végrehajtását szélesebb körű prudenciális és magatartási megbízatásuk összefüggésében végzik majd. Egy elfogult aktuáriusi díjszabási modellbe irányuló AI Act-vizsgálat egyidejűleg aktiválhatja a Szolvencia II 3. pillérének jelentéstételi kötelezettségeit, az IDD magatartási követelményeit és az adatvédelmi hatóság GDPR-végrehajtását. A biztosítóknak számolniuk kell azzal, hogy a felügyeleti beavatkozások keresztfunkcionálisak lesznek, és megfelelési programjaikat ennek megfelelően kell megtervezniük.

Megfelelési ütemterv biztosítók számára

1. lépés: MI-rendszer-leltár és osztályozás

Végezzen átfogó leltárt az összes MI-rendszerről, amelyet a következőkben alkalmaz: díjszabás; kockázatvállalási elfogadás vagy elutasítás; kárigény-értékelés vagy -fizetés; csalásfelderítés; ügyfél-kockázatpontozás; és értékesítés vagy termékajánlás. Minden rendszernél értékelje, hogy olyan kimeneteket hoz-e létre, amelyek meghatározzák vagy lényegesen befolyásolják egyéni természetes személyek eredményeit. Az e küszöböt elérő rendszereknél az Annex III 5(b) kategória alapján osztályozási értékelés szükséges.

2. lépés: Forgalomba hozó/alkalmazó meghatározás

Minden magas kockázatú MI-rendszernél határozza meg, hogy a biztosító a forgalomba hozó, az alkalmazó, vagy — kritikus fontossággal — hogy a szállító validált hatókörén kívüli használat kiváltotta-e az újrabesorolást forgalomba hozóként. Bevonjon jogi tanácsadót a határterületi konfigurációk értékeléséhez, különösen ahol házon belüli adatokat vagy kötvénytulajdonos-populációkat alkalmaztak licencelt modell finomhangolásához vagy kiterjesztéséhez.

3. lépés: Hiányelemzés az AI Act kötelezettségeivel szemben

Térképezze fel a meglévő Szolvencia II irányítási artefaktumokat, ORSA-dokumentációt és belső modellvalidálási folyamatokat az AI Act követelményeivel szemben az Art. 9. (kockázatkezelés), Art. 10. (adatirányítás), Art. 11. és Annex IV (műszaki dokumentáció), Art. 12. (naplózás), Art. 13. (átláthatóság), Art. 14. (emberi felügyelet) és Art. 15. (pontosság, robosztusság, kiberbiztonság) tekintetében. Dokumentálja az azonosított hiányosságokat és rendelje hozzá a kármentesítési felelősséget.

4. lépés: Adatirányítás és GDPR-összehangolás

Minden magas kockázatú MI-rendszernél ellenőrizze a tanítási és validálási adatkészleteket. Dokumentálja az adatok eredetét, gyűjtési módszereit, a releváns kötvénytulajdonos-demográfiai csoportok reprezentativitását és az ismert korlátokat. Gondoskodjon arról, hogy az összes személyes adathoz, és ahol alkalmazható, a különleges kategóriájú adatokhoz GDPR-jogalap áll rendelkezésre. Integrálja az Art. 10. dokumentációt az Annex IV műszaki fájlba.

5. lépés: Emberi felügyeleti mechanizmus kialakítása

Tervezzen operatívan realisztikus emberi felügyeleti mechanizmusokat minden magas kockázatú MI-alkalmazáshoz. Kockázatvállalási MI esetén ez azt jelenti, hogy egy képzett kockázatvállalónak legyen meg az információja, jogköre és munkafolyamati ideje arra, hogy felülvizsgálja és eltérjen az MI ajánlásától, mielőtt az a kötvénytulajdonost érinti. Kárigény-MI esetén ez azt jelenti, hogy egy kárrendező érdemi felülvizsgálati jogkörrel rendelkezik — nem csupán névleges jóváhagyási funkcióval. Dokumentálja a felügyeleti kialakítást és foglalja bele a műszaki dokumentációba.

6. lépés: Szállítói gondossági vizsgálat és szerződésmódosítás

A harmadik féltől származó aktuáriusi MI-rendszereknél hajtsa végre a fent leírt bevezetés előtti gondossági vizsgálatot és tekintse át a meglévő szállítói szerződéseket. Ahol a szerződések nem tartalmaznak rendelkezéseket, amelyek kötelezik a szállítót az AI Act megfelelési dokumentáció fenntartására, a biztosító értesítésére lényeges változásokról és az MI-rendszer teljesítményének ellenőrzésének lehetővé tételére, orvosolja ezt szerződésmódosítással vagy újratárgyalással. Alakítson ki belső eljárásokat az MI-rendszer teljesítményének nyomon követésére az élő kötvénytulajdonos-populációban, és a lényeges eltérések szállítóhoz, illetve ahol szükséges, felügyeleti hatóságokhoz való bejelentésére.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Magas kockázatú-e a gépjármű-biztosítási díjszabási algoritmusunk az EU AI Act szerint?

A gépjármű-biztosítási díjszabási algoritmus nagy valószínűséggel magas kockázatú az Annex III 5(b) pontja alapján, ha egyedi természetes személyek hitelképességét vagy kockázati profilját értékeli a díjszint vagy a fedezeti jogosultság meghatározása céljából. A telematikaalapú pay-as-you-drive rendszerek, amelyek az egyéni gépjárművezetői magatartást pontozják, és e pontszám alapján szabják meg a névvel azonosított kötvénytulajdonosok díját, egyértelműen ebbe a kategóriába tartoznak. A hagyományos aktuáriusi pooling-modellek, amelyek az egyéneket MI-vezérelt egyéni pontozás nélkül aktuáriusi osztályokba sorolják, szürkébb területen mozognak, de minden olyan MI-komponenst, amely egyéni pontszámot generál egy természetes személy kötvényének díjszabásához vagy elfogadásához, az Art. 6(2) és az Annex III 5(b) kategória alapján kell értékelni.

A Szolvencia II ORSA lefedi az EU AI Act kockázatkezelési rendszerre vonatkozó követelményeit?

Nem, azonban lényeges átfedések állnak fenn, amelyeket ki kell aknázni. Az EU AI Act Art. 9. cikke olyan kockázatkezelési rendszert ír elő, amely az MI-rendszer teljes életciklusa során azonosítja, elemzi és mérsékeli az előre látható kockázatokat. A Szolvencia II 2. pillérébe tartozó Own Risk and Solvency Assessment (ORSA) és a Governance rendszer követelményei az aktuáriusi és díjszabási folyamatok dokumentált kockázatazonosítását és belső modell-irányítását követelik meg. A Szolvencia II-höz kidolgozott irányítási struktúrák, dokumentált kockázatértékelések és modellvalidálási eljárások alapját képezhetik az EU AI Act megfelelőségének, de ezeket ki kell egészíteni az MI-specifikus kötelezettségekkel: torzításteszteléssel, az Art. 10. szerinti adatirányítással, az Art. 12. szerinti automatikus naplózással és az Art. 14. szerinti emberi felügyelettel. Az Annex IV műszaki dokumentációs követelményekkel szembeni hiányelemzés elvégzése elengedhetetlen.

Mit kell a biztosítóknak közölniük a kötvénytulajdonosokkal a kockázatvállalási vagy díjszabási döntésekben alkalmazott MI-használatról?

Ahol magas kockázatú MI-rendszert használnak természetes személyt érintő döntés meghozatalára vagy lényeges befolyásolására — ideértve a biztosítási fedezet elfogadását, elutasítását vagy díjszabását —, az alkalmazónak az EU AI Act Art. 26(6) bekezdése alapján értelmes tájékoztatást kell nyújtania a természetes személynek, és ahol a GDPR Art. 22. cikke szerinti automatizált döntéshozatal valósul meg, a GDPR Art. 13–15. és 22. cikkének érintetti jogai alkalmazandók. A kötvénytulajdonosok jogosultak az automatizált döntések logikájának magyarázatára, az emberi felülvizsgálat kérésének jogára és az eredmény vitatásának jogára. Az MI-alapú kockázatvállalási eszközöket alkalmazó biztosítóknak ezért ügyfélkommunikációs tájékoztatási folyamatokat kell kialakítaniuk, és valóban hozzáférhető — szakismeretet nem feltételező — emberi felülvizsgálati mechanizmusokat kell bevezetniük.

Magas kockázatúak-e a kárigény-csalásfelderítő MI-rendszerek?

Nem automatikusan. Az a csalásfelderítő MI, amely kárigényeket jelöl meg emberi vizsgálat céljából — ahol az emberi vizsgáló hoz végső döntést arról, hogy a kárigényt kifizessék, csökkentsék vagy elutasítsák — nem feltétlenül éri el az Annex III 5(b) kategória szerinti magas kockázatú besorolás küszöbét, mivel az MI önállóan nem határozza meg természetes személyek biztosításhoz való hozzáférését. Ha azonban a csalásfelderítő rendszer kimenete közvetlenül automatikus csökkentést, felfüggesztést vagy kártérítési fizetés megtagadását váltja ki egy természetes személynél érdemi emberi felülvizsgálat nélkül, a rendszer nagy valószínűséggel magas kockázatú. A biztosítóknak pontosan dokumentálniuk kell, hogy a csalás-MI kimeneteit hogyan alkalmazzák a kárigény-kezelési folyamatban, és biztosítaniuk kell, hogy ahol természetes személyeket érint, az ellátástól való megfosztás előtt érdemi emberi felügyelet érvényesüljön.

Milyen dokumentumokat kell kérnünk az aktuáriusi szoftverszállítónktól?

A harmadik féltől származó aktuáriusi MI-eszközöket alkalmazó biztosítóknak szerződésesen kell megkövetelniük a következőket: a magas kockázatú rendszerekhez szükséges EU Megfelelőségi Nyilatkozatot és CE-jelölés dokumentációt; az Annex IV által előírt műszaki dokumentációt, beleértve a rendeltetési nyilatkozatot, a tanítási adatkészletek leírását, a validálási és tesztelési eredményeket (beleértve a torzítási és pontossági mutatókat demográfiai alcsoportonként) és a kockázatkezelési fájlt; az alkalmazónak szóló használati útmutatót; a forgalomba hozatalt követő megfigyelési adatokat és eseményjelentéseket; valamint azokat a paramétereket és feltételeket, amelyek körében a rendszert validálták, ideértve a felhasználási esetekre vagy kötvénytulajdonos-populációkra vonatkozó korlátozásokat. A szállító használati útmutatójának hatókörén kívüli alkalmazás a biztosítót az Art. 16. szerinti teljes körű forgalomba hozói kötelezettségekkel rendelkező forgalomba hozóként sorolhatja be újra.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.