ES DI aktas finansų sektoriuje: bankai, draudikai ir kredito įstaigos

Bankai, draudikai, turto valdytojai ir mokėjimo institucijos susiduria su ES DI akto įpareigojimais, sluoksniuojamais ant esamų finansinių reglamentų (DORA, MiFID II, BDAR, CRR). Šiame puslapyje paaiškinama, kurie DI naudojimo atvejai yra didelės rizikos, kaip sektoriaus reguliuotojai sąveikauja su DI aktu ir ką finansinės institucijos turi daryti laikydamosi reikalavimų.

DI aktas pasiekia finansus

Finansinės institucijos — bankai, draudikai, turto valdytojai, mokėjimo teikėjai, kreditų biurai — yra vienos iš intensyviausių DI naudotojų Europoje. Kreditų vertinimas, sukčiavimo aptikimas, algoritminis sandorių sudarymas, klientų rizikos profiliavimas, draudimo draudimo rizikos vertinimas, reguliavimo ataskaitų automatizavimas ir PLP/KYC tikrinimas priklauso nuo DI sistemų, kurios gali būti pavaldžios ES DI aktui.

Finansinėms institucijoms ES DI aktas neatvyksta izoliuotai. Jis sluoksniuojasi virš jau tankaus reguliavimo paketą: DORA (skaitmeninis atsparumas), MiFID II (investicinės paslaugos), BDAR (duomenų apsauga), CRR/CRD (kapitalo reikalavimai), Solvency II (draudimas), PSD2/PSD3 (mokėjimo paslaugos) ir sektoriaus EBA, EIOPA ir ESMA gairės. Suprasti, kaip DI aktas integruojasi su — ir kartais konfliktuoja su — esamu finansiniu reguliavimu, yra būtina efektyviai atitikčiai.

Kurie DI naudojimo atvejai finansuose yra didelės rizikos?

ES DI akto Annex III nustato naudojimo atvejus, kurie yra automatiškai didelės rizikos. Finansų sektoriuje tiesiogiai aktualiausi yra:

5(b) kategorija: Kreditingumo vertinimas

Didelės rizikos. DI sistemos, naudojamos fizinių asmenų kreditingumui vertinti arba fiziniams asmenims kreditų rizikos požiūriu klasifikuoti, yra aiškiai išvardytos. Tai apima:

Automatizuotas kreditų vertinimas vartojimui skirtoms paskoloms, asmeniniams overdraftams, kreditinėms kortelėms ir hipotekoms
Modeliai, vertinantys atsiskaitymo tikimybę, įsipareigojimų nevykdymo riziką ar individual vartotojų skolų pajėgumą
DI sistemos, rekomenduojančios kreditų limitus ar paskolų sumas pagal individualų rizikos vertinimą

Automatiškai neapimama: Įmonių kreditų modeliai, vertinantys juridinius asmenis, o ne fizinius asmenis, nors tai vis tiek gali suaktyvinti Art. 50 skaidrumo įpareigojimus, priklausomai nuo diegimo.

5(b) kategorija: Draudimo įmokos ir draudimo aprėpties sprendimai

Didelės rizikos, jei reikšmingai paveikia fizinius asmenis. DI sistemos, kurios priima ar stipriai daro įtaką sprendimams dėl:

Draudimo aprėpties (pareiškėjų priėmimo ar atmetimo)
Draudimo įmokų lygių (aktuariniai modeliai, nustatantys individualias įmokas)
Pretenzijų vertinimo ir sureguliavimo (automatizuotas pretenzijų tvarkymas)

Motorinio draudimo kainodaros modeliai, sveikatos draudimo draudimo rizikos vertinimas ir namų ūkių turto draudimo modeliai yra tiesiogiai taikymo srityje. Lemiamas veiksnys — ar DI sistema priima ar reikšmingai daro įtaką sprendimui, iš esmės paveikiančiam fizinio asmens prieigą prie esminės privačios paslaugos.

1 kategorija: Biometrinė identifikacija

Didelės rizikos. DI sistemos, naudojamos:

Nuotolinei klientų biometrinei identifikacijai (KYC vaizdo tikrinimas, nuolatinė autentifikacija)
Biometriniam kategorizavimui, kur tai daro įtaką rizikos klasifikavimui ar prieigai prie paslaugų

Realaus laiko biometrinė identifikacija viešai prieinamose erdvėse teisėsaugos tikslais yra draudžiama pagal Art. 5. Komercinės tapatybės tikrinimo sistemos, naudojančios veido atpažinimą KYC, patenka į didelės rizikos reikalavimus, tačiau nėra draudžiamos.

6 kategorija: PLP/KYC ir teisėsaugai artimos

DI sistemos, naudojamos finansinių institucijų PLP/KYC tikrinimui, sankcijų filtravimui ar sandorių stebėjimui kur rezultatas pranešamas arba naudojamas teisėsaugos gali patekti į Annex III 6 kategoriją (teisėsauga). Tai apima:

DI generuotas Įtartinų veiksmų ataskaitas (ĮVA), perduodamas FŽV
Automatizuotas politiškai paveiktų asmenų (PPA) tikrinimo sistemas

Sistemos, naudojamos tik vidaus rizikos valdymui be teisėsaugos išvesties, mažiau tikėtina, kad bus klasifikuojamos kaip didelės rizikos pagal 6 kategoriją, nors gali būti taikomos kitos kategorijos.

Ką didelės rizikos DI įsipareigojimai reiškia finansinėms institucijoms

Jei finansinės institucijos naudojama DI sistema yra didelės rizikos pagal Annex III, įsipareigojimai skiriasi priklausomai nuo to, ar institucija yra teikėja (sukūrė sistemą) ar naudotoja (ją įsigijo ar licencijavo).

Jei esate teikėjas (sukūrėte sistemą)

Rizikos valdymo sistema (Art. 9): Sukurti ir palaikyti dokumentuotą rizikos valdymo procesą, kartojantis per visą sistemos gyvavimo ciklą
Duomenų valdysena (Art. 10): Mokymo, validavimo ir testavimo duomenys turi būti pavaldūs valdymo praktikoms, apimančioms aktualumą, reprezentatyvumą ir šališkumo vertinimą
Techninė dokumentacija (Annex IV): Pilna techninė byla, įskaitant sistemos aprašymą, architektūrą, mokymo metodą, veiklos rodiklius ir stebėjimo po pateikimo rinkai planą
Skaidrumas (Art. 13): Naudojimo instrukcijos, leidžiančios naudotojams suprasti galimybes, apribojimus ir priežiūros reikalavimus
Žmogaus priežiūra (Art. 14): Priemonių, leidžiančių žmogaus priežiūrai ir įsikišimui, projektavimas
Tikslumas, patikimumas, kibernetinis saugumas (Art. 15): Įrodyti veiklos lygiai ir atsparumas
Atitikties vertinimas: Savivertinimas (Annex VI) daugumai Annex III sistemų arba notifikuotos įstaigos vertinimas biometrinėms sistemoms
CE ženklinimas ir ES atitikties deklaracija
Registracija ES DI duomenų bazėje
Stebėjimas po pateikimo rinkai (Art. 72): Aktyvi sistema realaus pasaulio veiklos duomenims rinkti ir incidentams pranešti

Jei esate naudotojas (įsigijote / licencijavote sistemą)

Instrukcijų laikymasis: Naudoti sistemą tik pagal teikėjo instrukcijas
Žmogaus priežiūra: Paskirti kvalifikuotą personalą priežiūrai su tinkama valdžia ir ištekliais
Įvesties duomenų kokybė: Užtikrinti, kad įvesties duomenys būtų aktualūs ir reprezentatyvūs konkrečiam diegimo kontekstui
Žurnalų saugojimas: Aktyvuoti ir saugoti automatinius žurnalus reikalaujamą laikotarpį
Incidentų pranešimas: Pranešti apie rimtus incidentus teikėjui ir kai kuriais atvejais tiesiogiai institucijoms
Pagrindinių teisių poveikio vertinimas (Art. 27): Privaloma viešojo sektoriaus įstaigoms; rekomenduojama privačiojo sektoriaus naudotojams jautriuose kontekstuose

Sąveika su DORA

Skaitmeninis veiklos atsparumo aktas (DORA) pradėjo taikyti 2025 m. sausio mėn. ir nustato išsamius IRT rizikos valdymo reikalavimus finansinėms institucijoms — įskaitant DI sistemas kaip IRT komponentus.

Pagrindiniai sąveikos taškai:

IRT rizikos valdymo sistema

DORA reikalauja, kad finansinės institucijos palaikytų IRT rizikos valdymo sistemą, apimančią identifikavimą, apsaugą, aptikimą, atsaką ir atkūrimą. DI sistemos yra IRT įrankiai, pavaldūs šiai sistemai. ES DI aktas prideda DI konkrečius reikalavimus papildomai: šališkumo testavimą, skaidrumo dokumentaciją, žmogaus priežiūros projektavimą ir gyvavimo ciklo valdymą.

Praktikoje: Banko DI kreditų vertinimo modelis turi atitikti ir DORA IRT rizikos valdymą (incidentų aptikimas, tęstinumo planavimas, pokyčių valdymas) ir ES DI akto didelės rizikos reikalavimus (rizikos valdymo sistema, techninė dokumentacija, stebėjimas po pateikimo rinkai).

Trečiųjų šalių rizika (IRT trečiųjų šalių teikėjai)

DORA nustato išsamius reikalavimus IRT trečiųjų šalių teikėjų valdymui — įskaitant sutartinius reikalavimus, audito teises ir kritinių teikėjų priežiūrą. Kai finansinė institucija naudoja trečiosios šalies DI sistemą (pvz., pardavėjo kreditų vertinimo modelį), DORA trečiųjų šalių rizikos valdymo reikalavimai taikomi tam pardavėjui.

ES DI akto naudotojo įsipareigojimai taip pat taikomi — reikalaujant, kad teikėjas pateiktų instrukcijas, atitikties dokumentaciją ir registravimo galimybę. Finansinės institucijos turėtų užtikrinti, kad jų trečiųjų šalių DI pardavėjų sutartys tenkintų ir DORA IRT teikėjų reikalavimus, ir ES DI akto naudotojų informacijos teises.

Incidentų pranešimas

DORA turi savo incidentų pranešimo sistemą dideliems su IRT susijusiems incidentams, pranešamiems sektoriaus prižiūrėtojams (EBA, EIOPA, ESMA). ES DI aktas reikalauja, kad rimti incidentai, susijantys su didelės rizikos DI sistemomis, būtų pranešami nacionalinėms rinkos priežiūros institucijoms.

Tai yra atskiri pranešimų įsipareigojimai skirtingoms institucijoms. Rimtas incidentas, susijęs su DI kreditų vertinimo sistema, galėtų suaktyvinti ir DORA incidento ataskaitą (EBA / nacionaliniam finansiniam prižiūrėtojui), ir ES DI akto incidento ataskaitą (rinkos priežiūros institucijai).

Sektoriaus prižiūrėtojai ir DI akto vykdymas

Finansinėms institucijoms sektoriaus finansiniai prižiūrėtojai — EBA (bankininkystė), EIOPA (draudimas), ESMA (vertybiniai popieriai ir rinkos) — atlieka konkrečią rolę ES DI akto įgyvendinime, nors jie nėra pagrindinis DI akto vykdymo organas.

Pagal DI aktą finansinės institucijos, kurios yra didelės rizikos DI sistemų teikėjos, turi registruotis ES DI duomenų bazėje. Finansų sektoriuje atitinkama finansinė priežiūros institucija gali būti paskirta arba bendradarbiauti su nacionaline rinkos priežiūros institucija, atsakinga už to sektoriaus DI akto priežiūrą.

Europos priežiūros institucijos (EPI) buvo aktyvios:

Skelbiant gaires dėl DI valdymo finansinėse paslaugose (EBA vidaus valdymo, ML/DI kreditų rizikoje gairės)
Prisidedant prie ES DI akto įgyvendinimo gairių finansų sektoriui
Koordinuojant su ES DI biuru dėl GPAI modelių priežiūros, paveikiančios finansines paslaugas

Praktiniai atitikties prioritetai finansinėms institucijoms

Inventorizuokite visas naudojamas DI sistemas — klasifikuokite kiekvieną pagal Annex III kriterijus. Pirmenybę teikite kreditingumo, draudimo kainodaros ir biometrinėms/KYC sistemoms.
Nustatykite teikėjo ir naudotojo statusą kiekvienai sistemai — ar naudojate pardavėjų teikiamus modelius, ar kuriate pačios?
Derinkite DI valdyseną su DORA IRT rizikos sistema — integruokite DI akto įpareigojimus į esamą DORA valdymo struktūrą, kad išvengtumėte dubliuojančių procesų.
Peržiūrėkite trečiųjų šalių DI pardavėjų sutartis — užtikrinkite, kad sutartys teiktų: atitikties dokumentaciją, naudojimo instrukcijas, prieigą prie registravimo, incidentų pranešimo įsipareigojimus, atnaujinimo įsipareigojimus ir audito teises.
Nustatykite žmogaus priežiūros mechanizmus — didelės rizikos DI naudojimo atvejams užtikrinkite, kad kvalifikuotas personalas turėtų valdžią, priemones ir laiko prasmingai peržiūrėti DI išvestis prieš priimant svarbiausius sprendimus.
Prisijunkite prie stebėjimo po pateikimo rinkai — pratęskite esamus modelių rizikos valdymo procesus (Bazelio modelio validavimą, DORA pokyčių valdymą) apimti Art. 72 stebėjimo po pateikimo rinkai reikalavimus.
Ruoškitės ES DI duomenų bazei — jei esate didelės rizikos DI sistemų teikėjas, registracija yra privaloma. Jei esate viešojo sektoriaus naudotojas, registracija taip pat gali būti reikalinga.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Ar kreditų vertinimo modeliams taikomi ES DI akto didelės rizikos reikalavimai?

Taip. Kreditingumo vertinimo DI sistemos — naudojamos fizinių asmenų kreditingumui vertinti arba fiziniams asmenims kreditų rizikos požiūriu klasifikuoti — yra aiškiai išvardytos Annex III, 5(b) kategorijoje kaip didelės rizikos. Tai apima automatizuotą kreditų vertinimą vartojimui skirtoms paskoloms, hipotekoms, kreditinėms kortelėms ir overdraftams. Sistemos, naudojamos tik įmonių kreditų vertinimui, gali nepateikti į taikymo sritį, tačiau sistemos, susijusios su atskirų fizinių asmenų vertinimu, aiškiai patenka.

Kaip DORA sąveikauja su ES DI aktu finansinėms institucijoms?

DORA (Skaitmeninio veiklos atsparumo aktas) ir ES DI aktas turi persidengiančias, tačiau skirtingas apimtis. DORA plačiai apima IRT rizikos valdymą — įskaitant DI sistemas kaip IRT įrankius — su reikalavimais dėl incidentų pranešimo, atsparumo testavimo ir trečiųjų šalių rizikos valdymo. ES DI aktas prideda konkrečius DI įpareigojimus (šališkumo testavimas, skaidrumas, žmogaus priežiūra, stebėjimas po pateikimo rinkai) didelės rizikos DI naudojimo atvejams. Finansinėms institucijoms atitiktis reikalauja tenkinti abi sistemas — DORA neatleidžia institucijų nuo DI akto įpareigojimų ir DI aktas nepakeičia DORA IRT rizikos reikalavimų.

Ar DI sistemos, naudojamos sukčiavimo aptikimui, patenka į ES DI akto didelę riziką?

Tai priklauso nuo naudojimo atvejo. DI sistemos, naudojamos realaus laiko sandorių sukčiavimo aptikimui — kur DI pažymi įtartinus sandorius žmogaus peržiūrai arba juos automatiškai blokuoja — nėra automatiškai didelės rizikos pagal Annex III. Tačiau jei sistema priima ar stipriai daro įtaką sprendimams, reikšmingai paveikiantiems asmenis (pvz., sąskaitos blokavimas, kreditų limito sumažinimas, draudimo pretenzijų atmetimas), naudojimo atvejis gali patekti į Annex III 5 kategoriją (prieiga prie esminių paslaugų). Teisinis tikrumas priklausys nuo reguliavimo gairių ir konkretaus diegimo.

Ar DI sistemos, naudojamos draudimo kainodaros ir draudimo rizikos vertinimui, yra didelės rizikos?

Draudimo kainodaros ir draudimo rizikos vertinimo DI sistemos, kurios priima ar stipriai daro įtaką sprendimams dėl draudimo aprėpties, draudimo įmokų lygių ar pretenzijų sureguliavimo fiziniams asmenims, greičiausiai pateks į Annex III 5 kategoriją (prieiga prie esminių privačių paslaugų). Tai apima motorinio draudimo kainodaros modelius, sveikatos draudimo draudimo rizikos vertinimą ir namų ūkių turto draudimo modelius. Gyvybės draudimo draudimo rizikos vertinimo modeliai, vertinantys ilgaamžiškumo riziką asmenims, taip pat gali būti apimami. Kiekvienas naudojimo atvejis turi būti atskirai vertinamas pagal Annex III kriterijus.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.