ES MI akta pienākumi bankām, kredītiestādēm un fintech uzņēmumiem. Kredītvērtēšanas MI, NILLTPF sistēmas, algoritmiskā tirdzniecība, DORA mijiedarbība un EBI vadlīnijas.
Kāpēc banku sektors saskaras ar koncentrētu ES MI akta iedarbību
Banku un finanšu pakalpojumu sektors atrodas ES MI akta stingrāko pienākumu un ES viskomplicētākās regulatīvās vides krustpunktā. Finanšu iestādes ir vieni no lielākajiem MI izmantotājiem Eiropā — kredītu parakstīšanā, krāpšanas atklāšanā, NILLTPF/TPFN pārbaudēs, klientu pienācīgā pārbaudē, algoritmiskajā tirdzniecībā un bagātības pārvaldībā. ES MI akts tieši vērsts uz šo lietošanas gadījumu vissvarīgākajiem aspektiem caur III pielikumu, klasificējot vairākus finanšu MI lietojumus kā augsta riska pēc definīcijas.
Banku sektors darbojas arī blīvā jau pastāvošā regulatīvā slānī: DORA, MiFID II, CRD IV/CRR, NILLTPF direktīvas, VDAR un BCBS 239. ES MI akts neaizstāj šos satvarus — tas papildina tos. Kredītiestādei, kas izvieto MI balstītu kredītvērtēšanas modeli, vienlaikus rodas pienākumi saskaņā ar MI aktu (III pielikums, Art. 9–16), DORA (IKT riska pārvaldība) un EBI modeļu riska pārvaldības vadlīnijām.
Augsta riska MI lietošanas gadījumi banku nozarē saskaņā ar III pielikumu
III pielikuma 5(b) kategorija skaidri uzskaita MI, ko izmanto fizisko personu kredītspējas vai kredītreitinga novērtēšanai, un MI, ko izmanto juridisko personu kredītriska novērtēšanai, kur MI nosaka vai būtiski ietekmē rezultātu. Tas aptver plašu finanšu MI izvietojumu klāstu.
Kredītvērtēšanas un parakstīšanas modeļi — automatizētas sistēmas, kas nosaka aizdevuma atbilstību, kredīta limitus vai procentu likmes mazumtirdzniecības un MVU klientiem — ir augsta riska MI saskaņā ar Art. 6(2) kopā ar III pielikumu. Bankām, kas darbojas kā šādu sistēmu nodrošinātājas, jāpabeidz atbilstības novērtējumi, jāuztur tehniskā dokumentācija saskaņā ar Art. 11, jāievieš riska pārvaldības sistēmas saskaņā ar Art. 9, jānodrošina cilvēka uzraudzības mehānismi saskaņā ar Art. 14 un jāreģistrē sistēma ES MI akta datubāzē (Art. 71) pirms izvietošanas.
NILLTPF un krāpšanas atklāšanas sistēmas sniedz niansētāku ainu. Sistēmas, kas piemēro sankciju pārbauді, darījumu uzraudzību vai uzvedības analītiku, lai atzīmētu aizdomīgu darbību, parasti ietekmē finanšu iestādes, nevis tieši nosaka iznākumus personām. Ja MI rezultāts ir primārais pamats negatīvai rīcībai pret klientu (konta iesaldēšana, pakalpojuma atteikums), augsta riska klasifikācija var tikt aktivizēta saskaņā ar III pielikuma kat. 5(b) vai kat. 6 (tiesībaizsardzība) atkarībā no valsts iestādes lomas. Bankām jāveic rūpīga klasifikācijas analīze.
VMMI balstīti rīki — lielie valodas modeļi, ko izmanto klientu apkalpošanai, dokumentu apstrādei vai ieguldījumu analīzei — ir pakļauti Art. 50 pārredzamības prasībām (izpaušana, ka lietotāji mijiedarbojas ar MI) un, ja modeļa nodrošinātājam ir sistēmisks risks, Art. 55 pienākumiem.
Nodrošinātāja un izvietotāja pienākumi bankām
Bankas var darboties kā nodrošinātājas (veidojot savus MI modeļus), izvietotājas (izmantojot trešo pušu MI sistēmas) vai abās lomās. Šī atšķirība nosaka pienākumu profilu:
| Loma | Pienākumu avots | Galvenās prasības |
|---|---|---|
| Nodrošinātājs | Art. 9–17 | Atbilstības novērtējums, tehniskā dokumentācija, KVS, reģistrācija |
| Izvietotājs | Art. 26 | Sistēmas uzraudzība, cilvēka uzraudzības nodrošināšana, žurnālu uzturēšana, lietotāju informēšana |
| Abi | Art. 9–17 + Art. 26 | Pilni nodrošinātāja pienākumi + izvietotāja uzraudzības pienākumi |
Bankas, kas iegādājas kredītvērtēšanas MI no fintech pārdevēja, darbojas kā izvietotājas saskaņā ar Art. 26. Tām jāpārbauda, vai pārdevējs ir pabeidzis atbilstības novērtējumu, jāintegrē cilvēka pārbaude nelabvēlīgu lēmumu procesos, jāuztur lietošanas žurnāli 10 gadus (Art. 26(6)) un jānodrošina, ka MI lēmumi tiek izskaidroti ietekmētajām personām saskaņā ar VDAR Art. 22 un ES MI akta Art. 13.
Nozares regulējuma pārklāšanās: DORA, MiFID II un Maksātspēja II
DORA (Regula 2022/2554) attiecas uz bankām, ieguldījumu brokeru sabiedrībām, apdrošināšanas sabiedrībām un IKT trešo pušu pakalpojumu sniedzējiem. Konkrēti attiecībā uz MI, DORA pieprasa:
- MI sistēmas tiek uzskatītas par IKT sistēmām, uz kurām attiecas riska pārvaldības satvari (Art. 6 DORA)
- Ar IKT saistīto incidentu klasifikācija un ziņošana — MI kļūmes var būt nozīmīgi IKT incidenti
- Kritisko IKT sistēmu noturības testēšana — MI modeļi iekļauti, ja tie ir būtiski operācijām
- Trešo pušu riska pārvaldība, kas aptver MI pārdevēju līgumus, izstāšanās stratēģijas un revīzijas tiesības
MiFID II (Finanšu instrumentu tirgu direktīva) attiecas uz algoritmisko tirdzniecību un ieguldījumu konsultācijām. Ar MI ģenerēti ieguldījumu ieteikumi aktivizē piemērotības novērtēšanas prasības; algoritmiskās tirdzniecības sistēmām nepieciešami pirmstirdzniecības kontroles pasākumi, ārkārtas apturēšanas slēdži un regulatīvs paziņojums.
EBI vadlīnijas par IKT un drošības riska pārvaldību (EBA/GL/2019/04, atjauninātas 2022) uzliek tehnoloģiju riska pārvaldību, kas aptver MI modeļus, operacionālās nepārtrauktības prasības un modeļu validācijas neatkarību. Tās būtiski saskan ar ES MI akta Art. 9 riska pārvaldības prasībām.
Izpildes iestādes
ES MI akta izpilde banku MI jomā darbojas caur divslāņu iestāžu struktūru:
Valsts kompetentās iestādes (VKI), ko katra dalībvalsts iecēlusi saskaņā ar Art. 70, ir galvenās MI akta izpildes struktūras. Tās var veikt tirgus uzraudzību, pieprasīt tehnisko dokumentāciju un uzlikt sodus (līdz 30 miljoniem EUR vai 6% no globālā gada apgrozījuma saskaņā ar Art. 99).
Eiropas Banku iestāde (EBI) koordinē nozarei specifisko MI uzraudzību banku savienībā, sniedz tehniskos standartus IKT riskam un izdod vadlīnijas, kas veido valsts uzraudzības cerības. EBI arī piedalās Eiropas MI padomē, kas izveidota saskaņā ar Art. 65.
ECB un valstu prudenciālie uzraugi var pieprasīt MI modeļu dokumentāciju kā daļu no SREP (Uzraudzības pārskata un novērtēšanas procesa) novērtējumiem saskaņā ar CRD IV, kur MI vada materiālus kredīta vai operacionālā riska lēmumus.
Atbilstības ceļvedis bankām
Nekavējoties (tagad → 2026. gada augusts): Pabeidz aizliegumu atbilstības pārbaudi — pārskatiet visas MI sistēmas attiecībā uz praksēm, kas aizliegtas saskaņā ar Art. 5, ieskaitot sociālo vērtēšanu un reāllaika biometrisko identifikāciju publiskās vietās. Šie aizliegumi nekavējoties attiecas uz jauniem līgumiem.
2026. gada 3. ceturksnis — augsta riska klasifikācijas revīzija: Kartējiet visas izvietotās un izstrādājamās MI sistēmas atbilstoši III pielikumam, īpaši 5(b) un 5(c) kategorijām. Dokumentējiet klasifikācijas pamatojumu. Iesaistiet juridiskos un atbilstības speciālistus DORA pārklāšanās novērtēšanai.
2026. gada 4. ceturksnis — nodrošinātāja pienākumi iekšēji veidotam MI: Kredītvērtēšanas un parakstīšanas modeļiem, kas veidoti iekšēji, uzsāciet atbilstības novērtēšanas procedūras, izstrādājiet tehnisko dokumentāciju saskaņā ar IV pielikumu un ieviesiet KVS saskaņā ar Art. 17.
2027. gads — izvietotāja pienākumi trešo pušu MI: Veiciet revīziju visiem MI pārdevēju līgumiem attiecībā uz ES MI akta atbilstību. Pieprasiet nodrošinātājiem sniegt atbilstības deklarācijas un reģistrācijas numurus. Atjauniniet datu apstrādes līgumus, lai atspoguļotu Art. 26 žurnālu uzturēšanas pienākumus.
2027. gada augusts — VMMI pienākumi stājas spēkā: Nodrošiniet, ka visi trešo pušu LLM un pamata modeļi, ko izmanto banku lietojumos, atbilst Art. 51–55. Pārbaudiet, vai nodrošinātāji ir publicējuši pārredzamības dokumentāciju saskaņā ar Art. 53.
2027. gada decembris — augsta riska MI termiņš: Pilnīga atbilstība nepieciešama visām III pielikuma augsta riska MI sistēmām. Nodrošiniet reģistrāciju ES MI akta datubāzē, darbotiesspējīgus cilvēka uzraudzības mehānismus un pēctirgus uzraudzības plānus saskaņā ar Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Bankas saskaras ar ES MI akta pienākumiem galvenokārt caur III pielikuma 5(b) un 5(c) kategorijām: MI, ko izmanto kredītspējas novērtēšanā un kredītvērtēšanā, un MI, ko izmanto dzīvības un veselības apdrošināšanas parakstīšanā. Šīs sistēmas ir klasificētas kā augsta riska MI sistēmas, kurām nepieciešami atbilstības novērtējumi, tehniskā dokumentācija, cilvēka uzraudzības mehānismi un reģistrācija ES MI akta datubāzē. Turklāt bankas, kas izvieto MI noziedzīgi iegūtu līdzekļu legalizācijas novēršanas (NILLTPF) pārbaudēm, krāpšanas atklāšanai vai klientu pienācīgai pārbaudei, var tikt aptvertas ar III pielikumu atkarībā no sistēmas funkcijas un lēmumiem, kurus tā ietekmē.
DORA (Digitālās operacionālās noturības akts, Regula 2022/2554) un ES MI akts rada pārklājošus, bet atšķirīgus pienākumus. DORA pieprasa finanšu vienībām pārvaldīt IKT risku, veikt noturības testēšanu un uzturēt incidentu ziņošanas iespējas — tas attiecas uz MI sistēmām kā IKT rīkiem. ES MI akts papildus pievieno riska klasifikāciju, atbilstības novērtējumu, pārredzamību un cilvēka uzraudzības prasības konkrēti MI sistēmām. Kredītiestādei, kas izmanto ar MI vadītu kredītvērtēšanas sistēmu, jāizpilda gan DORA IKT riska pārvaldības satvars, gan ES MI akta augsta riska MI prasības. EBI IKT un drošības riska pārvaldības vadlīnijas tiek piemērotas paralēli.
Algoritmiskās tirdzniecības sistēmas nav tieši uzskaitītas III pielikumā, tāpēc tās automātiski netiek uzskatītas par augsta riska MI saskaņā ar ES MI aktu. Tomēr, ja tirdzniecības algoritms tiek izmantots kā kredītspējas novērtēšanas komponents vai ietekmē piekļuvi finanšu pakalpojumiem tādā veidā, kas skar personas, tas var ietilpt III pielikuma darbības jomā. MiFID II prasības algoritmiskajai tirdzniecībai — ieskaitot ārkārtas apturēšanas slēdžus, sistēmas testēšanu un revīzijas pierakstus — paliek pilnībā piemērojamas. ES MI akta Art. 50 pārredzamības prasības attiecas uz MI, kas mijiedarbojas ar fiziskām personām, un VMMI modeļu pienākumi saskaņā ar Art. 51 attiecas uz lielajiem valodas modeļiem, ko izmanto tirdzniecības vai analīzes platformās.
Eiropas Banku iestāde (EBI) ir publicējusi vadlīnijas par iekšējo pārvaldību (EBA/GL/2021/05) un IKT riska pārvaldību, kas tieši informē MI pārvaldības cerības bankām. Galvenās prasības ietver padomes līmeņa atbildību par MI stratēģiju, neatkarīgu kredītriska MI modeļu validāciju, operacionālā riska satvarus, kas aptver MI kļūmes, un skaidrojamības prasības MI sistēmām, kas ietekmē kredītlēmumus. EBI konsultācijas par mašīnmācīšanos IRB modeļiem nosaka kvantitatīvos standartus modeļu validācijai, datu kvalitātei un veiktspējas uzraudzībai, kas cieši saskan ar ES MI akta Art. 9 riska pārvaldības prasībām.
Jā, principā — ES MI akts tiek piemērots neatkarīgi no uzņēmuma lieluma. Tomēr Art. 9(5) pieprasa, lai riska pārvaldības sistēmas būtu proporcionālas nodrošinātāja vai izvietotāja lielumam un raksturam. MVU un jaunuzņēmumu noteikumi saskaņā ar Art. 55 un Art. 57 līdz Art. 63 nodrošina piekļuvi regulatīvajām smilšu kastēm, kuras pārvalda valstu kompetentās iestādes, samazinot šķēršļus atbilstības testēšanai. EBI Inovāciju centrs un Eiropas Inovācijas veicinātāju forums (EFIF) sniedz papildu atbalstu fintech uzņēmumiem, kas pārvietojas MI regulējuma jomā.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.