ES DI akto prievolės bankams, kredito įstaigoms ir finansinių technologijų įmonėms. Kredito vertinimo DI, AML sistemos, algoritminis prekybos, DORA persidengimas ir EBA gairės.
Kodėl Bankininkystė Susiduria su Susitelkusia ES DI Akto Rizika
Bankininkystės ir finansinių paslaugų sektorius yra ES DI akto griežčiausių prievolių ir sudėtingiausios ES reguliavimo aplinkos sankirtoje. Finansų įstaigos yra vienos iš didžiausių DI diegėjų Europoje — kredito draudimo, sukčiavimo aptikimo, AML/CFT atrankos, kliento patikrinimo, algoritminio prekybos ir turto valdymo srityse. ES DI aktas tiesiogiai nukreiptas į svarbiausius iš šių naudojimo atvejų per III priedą, klasifikuojant kelias finansinių DI taikymo sritis kaip didelės rizikos pagal apibrėžimą.
Bankininkystė taip pat veikia esant tankiam išankstiniam reguliavimo sluoksniui: DORA, MiFID II, CRD IV/CRR, AML direktyvos, BDAR ir BCBS 239. ES DI aktas nepakeičia šių sistemų — jis jas papildo. Kredito įstaigai, diegiančiai DI pagrįstą kredito vertinimo modelį, vienu metu atsiranda prievolės pagal DI aktą (III priedas, Art. 9–16), DORA (IRT rizikos valdymas) ir EBA modelių rizikos valdymo gaires.
Didelės Rizikos DI Naudojimo Atvejai Bankininkystėje Pagal III Priedą
III priedo 5(b) kategorija aiškiai išvardija DI, naudojamą fizinių asmenų kreditingumo arba kredito balo vertinimui, ir DI, naudojamą juridinių asmenų kredito rizikos vertinimui, kai DI nustato arba iš esmės daro įtaką rezultatui. Tai apima platų finansinių DI diegimų spektrą.
Kredito vertinimo ir pasirašymo modeliai — automatizuotos sistemos, nustatančios paskolos tinkamumą, kredito limitus ar palūkanų normas mažmeninės prekybos ir MVĮ klientams — yra didelės rizikos DI pagal Art. 6(2) kartu su III priedu. Bankai, veikiantys kaip šių sistemų tiekėjai, turi atlikti atitikties vertinimus, tvarkyti techninę dokumentaciją pagal Art. 11, įdiegti rizikos valdymo sistemas pagal Art. 9, užtikrinti žmogaus priežiūros mechanizmus pagal Art. 14 ir prieš diegimą užregistruoti sistemą ES DI akto duomenų bazėje (Art. 71).
AML ir sukčiavimo aptikimo sistemos pateikia subtilesnius aspektus. Sistemos, taikančios sankcijų atranką, operacijų stebėjimą ar elgsenos analizę įtartinam veiksmui pažymėti, paprastai veikia finansų įstaigos, o ne tiesiogiai nulemia individualių asmenų rezultatus. Kai DI rezultatas yra pirminis pagrindas nepalankiam veiksmui prieš klientą (sąskaitos įšaldymas, paslaugos atsisakymas), didelės rizikos klasifikacija gali būti suaktyvinta pagal III priedo kat. 5(b) arba kat. 6 (teisėsaugos), atsižvelgiant į nacionalinės institucijos vaidmenį. Bankai turi atlikti kruopščią klasifikavimo analizę.
BPDM pagrįsti įrankiai — dideli kalbos modeliai, naudojami klientų aptarnavimui, dokumentų tvarkymui ar investicijų analizei — yra taikomi Art. 50 skaidrumo reikalavimams (atskleidimas, kad vartotojai sąveikauja su DI), o ten, kur modelio tiekėjas turi sisteminę riziką — Art. 55 prievolėms.
Tiekėjo Prieš Diegėją Prievolės Bankams
Bankai gali veikti kaip tiekėjai (kuriančių savo DI modelius), diegėjai (naudojančių trečiųjų šalių DI sistemas) arba abu. Šis skirtumas lemia prievolių profilį:
| Vaidmuo | Prievolių šaltinis | Pagrindiniai reikalavimai |
|---|---|---|
| Tiekėjas | Art. 9–17 | Atitikties vertinimas, techninė dokumentacija, KVS, registracija |
| Diegėjas | Art. 26 | Sistemos stebėjimas, žmogaus priežiūros užtikrinimas, žurnalų tvarkymas, vartotojų informavimas |
| Abu | Art. 9–17 + Art. 26 | Visos tiekėjo prievolės + diegėjo stebėjimo pareigos |
Bankai, perkantys kredito vertinimo DI iš finansinių technologijų tiekėjo, veikia kaip diegėjai pagal Art. 26. Jie turi patikrinti, ar tiekėjas atliko atitikties vertinimą, integruoti žmogaus peržiūrą į nepalankių sprendimų procesus, tvarkyti naudojimo žurnalus 10 metų (Art. 26(6)) ir užtikrinti, kad DI sprendimai būtų paaiškinti paveiktiems asmenims pagal BDAR Art. 22 ir ES DI akto Art. 13.
Sektorinių Reglamentų Persidengimas: DORA, MiFID II ir Mokumas II
DORA (Reglamentas 2022/2554) taikomas bankams, investicinėms įmonėms, draudimo bendrovėms ir IRT trečiųjų šalių paslaugų teikėjams. Konkrečiai DI atveju DORA reikalauja:
- DI sistemos traktuojamos kaip IRT sistemos, kurioms taikomos rizikos valdymo sistemos (Art. 6 DORA)
- Su IRT susijusių incidentų klasifikavimas ir ataskaitų teikimas — DI gedimai gali sudaryti pagrindinius IRT incidentus
- Svarbių IRT sistemų atsparumo testavimas — DI modeliai įtraukti ten, kur jie yra esminiai operacijoms
- Trečiųjų šalių rizikos valdymas, apimantis DI tiekėjų sutartis, išėjimo strategijas ir audito teises
MiFID II (Finansinių priemonių rinkų direktyva) taikoma algoritminei prekybai ir investavimo patarimams. DI sugeneruotos investavimo rekomendacijos suaktyvina tinkamumo vertinimo reikalavimus; algoritminio prekybos sistemos reikalauja išankstinių prekybos kontrolių, išjungimo jungiklių ir reguliavimo pranešimo.
EBA gairės dėl IRT ir saugumo rizikos valdymo (EBA/GL/2019/04, atnaujintos 2022) įpareigoja technologijų rizikos valdymą, apimantį DI modelius, veiklos tęstinumo reikalavimus ir modelio validavimo nepriklausomumą. Jie iš esmės dera su ES DI akto Art. 9 rizikos valdymo reikalavimais.
Vykdymo Institucijos
ES DI akto vykdymas bankiniam DI veikia per dvigubo sluoksnio institucijų struktūrą:
Nacionalinės kompetentingos institucijos (NKI), paskirtos kiekvienos valstybės narės pagal Art. 70, yra pagrindinės DI akto vykdymo institucijos. Jos gali vykdyti rinkos priežiūrą, reikalauti techninės dokumentacijos ir skirti baudas (iki 30 mln. EUR arba 6 % pasaulinės metinės apyvartos pagal Art. 99).
Europos bankininkystės institucija (EBA) koordinuoja sektorinę DI priežiūrą visoje bankininkystės sąjungoje, teikia techninius standartus dėl IRT rizikos ir leidžia gaires, formuojančias nacionalinių priežiūros institucijų lūkesčius. EBA taip pat dalyvauja Europos DI valdyboje, įsteigtoje pagal Art. 65.
ECB ir nacionaliniai prudencinės priežiūros institucijų atstovai gali reikalauti DI modelio dokumentacijos kaip dalies SREP (Priežiūros peržiūros ir vertinimo proceso) vertinimų pagal CRD IV, kai DI lemia esminę kredito arba operacinę riziką.
Bankų Atitikties Veiksmų Planas
Neatidėliotinai (dabar → 2026 m. rugpjūtis): Atlikite draudimų atitikties patikrą — peržiūrėkite visas DI sistemas dėl praktikų, draudžiamų pagal Art. 5, įskaitant socialinį vertinimą ir biometrinę identifikavimą realiuoju laiku viešose vietose. Šie draudimai nedelsiant taikomi naujoms sutartims.
2026 m. III ketvirtis — didelės rizikos klasifikavimo auditas: Susiekite visas diegtas ir kuriamas DI sistemas su III priedu, ypač 5(b) ir 5(c) kategorijomis. Dokumentuokite klasifikavimo pagrindimą. Pasitelkite teisininkus ir atitikties specialistus DORA persidengimui įvertinti.
2026 m. IV ketvirtis — tiekėjo prievolės vidaus DI: Kredito vertinimo ir pasirašymo modeliams, kuriami vidaus, inicijuokite atitikties vertinimo procedūras, sukurkite techninę dokumentaciją pagal IV priedą ir įdiekite KVS pagal Art. 17.
2027 m. — diegėjo prievolės trečiųjų šalių DI: Atlikite visų DI tiekėjų sutarčių ES DI akto atitikties auditą. Reikalaukite, kad tiekėjai pateiktų atitikties deklaracijas ir registracijos numerius. Atnaujinkite duomenų tvarkymo sutartis, atspindinčias Art. 26 žurnalų tvarkymo prievoles.
2027 m. rugpjūtis — BPDM prievolės įsigalioja: Užtikrinkite, kad visi trečiųjų šalių DKM ir pagrindiniai modeliai, naudojami bankininkystės programose, atitiktų Art. 51–55. Patikrinkite, ar tiekėjai paskelbė skaidrumo dokumentaciją pagal Art. 53.
2027 m. gruodis — didelės rizikos DI terminas: Reikalaujama visiška visų III priedo didelės rizikos DI sistemų atitiktis. Užtikrinkite registraciją ES DI akto duomenų bazėje, veikiančius žmogaus priežiūros mechanizmus ir rinkos stebėjimo po pateikimo planus pagal Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Bankams ES DI akto prievolės taikomos pirmiausia pagal III priedo 5(b) ir 5(c) kategorijas: DI, naudojamas kreditingumo vertinimui ir kredito balų nustatymui, bei DI, naudojamas gyvybės ir sveikatos draudimo pasirašymui. Jie priskiriami didelės rizikos DI sistemoms, kurioms taikomi atitikties vertinimai, techninė dokumentacija, žmogaus priežiūros mechanizmai ir registracija ES DI akto duomenų bazėje. Be to, bankų naudojamas DI pinigų plovimo prevencijai (AML), sukčiavimo aptikimui ar kliento patikrinimui gali patekti į III priedo taikymo sritį, atsižvelgiant į sistemos funkciją ir jos paveikiamus sprendimus.
DORA (Skaitmeninio operacinio atsparumo aktas, Reglamentas 2022/2554) ir ES DI aktas sukuria persidengančias, bet skirtingas prievoles. DORA reikalauja, kad finansų subjektai valdytų IRT riziką, atliktų atsparumo testavimą ir palaikytų incidentų ataskaitų teikimo galimybes — tai taikoma DI sistemoms kaip IRT priemonėms. ES DI aktas prideda rizikos klasifikavimą, atitikties vertinimą, skaidrumą ir žmogaus priežiūros reikalavimus konkrečiai DI sistemoms. Kredito įstaiga, naudojanti DI pagrįstą kredito vertinimo sistemą, turi tenkinti tiek DORA IRT rizikos valdymo sistemą, tiek ES DI akto didelės rizikos DI reikalavimus. EBA IRT ir saugumo rizikos valdymo gairės taikomos lygiagrečiai.
Algoritminio prekybos sistemos nėra tiesiogiai išvardytos III priede, todėl jos automatiškai nepriskiria didelės rizikos DI pagal ES DI aktą. Tačiau jei prekybos algoritmas naudojamas kaip kreditingumo vertinimo sudedamoji dalis arba daro įtaką asmenų galimybėms gauti finansines paslaugas, jis gali patekti į III priedo taikymo sritį. MiFID II reikalavimai algoritminei prekybai — įskaitant išjungimo jungiklius, sistemos testavimą ir audito sekas — lieka visiškai taikytini. ES DI akto Art. 50 skaidrumo reikalavimai taikomi DI, sąveikaujančiam su fiziniais asmenimis, o BPDM modelių prievolės pagal Art. 51 taikomos dideliems kalbos modeliams, naudojamiems prekybos ar analizės platformose.
Europos bankininkystės institucija (EBA) paskelbė gaires dėl vidaus valdymo (EBA/GL/2021/05) ir IRT rizikos valdymo, kurios tiesiogiai informuoja bankų DI valdymo lūkesčius. Pagrindiniai reikalavimai apima: valdybos atskaitomybę už DI strategiją, nepriklausomą DI modelių, naudojamų kredito rizikai, validavimą, veiklos rizikos sistemas, apimančias DI gedimus, ir paaiškinamumo reikalavimus DI sistemoms, darančioms įtaką kredito sprendimams. EBA konsultacijos dėl mašininio mokymosi IRB modeliams nustato kiekybinius standartus modelio validavimui, duomenų kokybei ir veiklos stebėjimui, kurie glaudžiai dera su ES DI akto Art. 9 rizikos valdymo reikalavimais.
Taip, iš principo — ES DI aktas taikomas nepriklausomai nuo įmonės dydžio. Tačiau Art. 9(5) reikalauja, kad rizikos valdymo sistemos būtų proporcingos tiekėjo ar diegėjo dydžiui ir pobūdžiui. MVĮ ir startuolių nuostatos pagal Art. 55 ir Art. 57–63 suteikia prieigą prie reguliacinių smėlio dėžių, kurias valdo nacionalinės kompetentingos institucijos, sumažindamos atitikties testavimo kliūtis. EBA inovacijų centras ir Europos inovacijų palengvintojų forumas (EFIF) teikia papildomą paramą finansinių technologijų įmonėms, orientuojančioms DI reguliavime.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.