EU AI Act w Sektorze Finansowym: Banki, Ubezpieczyciele i Instytucje Kredytowe

Banki, ubezpieczyciele, zarządcy aktywów i instytucje płatnicze muszą spełniać obowiązki EU AI Act nałożone na istniejącą regulację finansową (DORA, MiFID II, RODO, CRR). Ta strona wyjaśnia, które zastosowania AI są wysokiego ryzyka, jak regulatorzy sektorowi wchodzą w interakcję z EU AI Act i co instytucje finansowe muszą robić, aby spełniać wymogi.

EU AI Act Dociera do Finansów

Instytucje finansowe — banki, ubezpieczyciele, zarządcy aktywów, dostawcy usług płatniczych, biura kredytowe — należą do najbardziej intensywnych użytkowników AI w Europie. Scoring kredytowy, wykrywanie oszustw, handel algorytmiczny, profilowanie ryzyka klientów, gwarantowanie ubezpieczeń, automatyzacja sprawozdawczości regulacyjnej i przesiewanie AML/KYC opierają się na systemach AI, które mogą podlegać EU AI Act.

Dla instytucji finansowych EU AI Act nie dociera w izolacji. Nakłada się na już gęsty stos regulacyjny: DORA (odporność cyfrowa), MiFID II (usługi inwestycyjne), RODO (ochrona danych), CRR/CRD (wymogi kapitałowe), Solvency II (ubezpieczenia), PSD2/PSD3 (usługi płatnicze) oraz sektorowe wytyczne EBA, EIOPA i ESMA. Zrozumienie, jak EU AI Act integruje się z — i czasami koliduje z — istniejącą regulacją finansową jest niezbędne do efektywnej zgodności.

Które Zastosowania AI Są Wysokiego Ryzyka w Finansach?

Annex III EU AI Act identyfikuje przypadki użycia, które są automatycznie wysokiego ryzyka. W sektorze finansowym najbardziej bezpośrednio istotne to:

Kategoria 5(b): Ocena Zdolności Kredytowej

Wysokiego ryzyka. Systemy AI stosowane do oceny zdolności kredytowej osób fizycznych lub klasyfikacji osób fizycznych pod względem ryzyka kredytowego są wyraźnie wymienione. Obejmuje to:

Automatyczny scoring kredytowy dla kredytów konsumenckich, osobistych kredytów w rachunku bieżącym, kart kredytowych i kredytów hipotecznych
Modele oceniające prawdopodobieństwo spłaty, ryzyko niewykonania zobowiązania lub zdolność zadłużeniową indywidualnych konsumentów
Systemy AI rekomendujące limity kredytowe lub kwoty kredytów na podstawie indywidualnej oceny ryzyka

Nie automatycznie objęte: Modele kredytów korporacyjnych oceniające podmioty prawne, a nie osoby fizyczne, choć mogą one nadal uruchamiać obowiązki przejrzystości Art. 50 w zależności od wdrożenia.

Kategoria 5(b): Decyzje dotyczące Składek i Zakresu Ubezpieczeń

Wysokiego ryzyka jeżeli istotnie dotykają osób fizycznych. Systemy AI, które podejmują lub silnie wpływają na decyzje dotyczące:

Zakresu ubezpieczenia (akceptacja lub odrzucenie wnioskodawców)
Poziomów składek (modele aktuarialne ustalające indywidualne składki)
Oceny i rozliczenia roszczeń (automatyczna obsługa roszczeń)

Modele wyceny ubezpieczeń motoryzacyjnych, gwarantowanie ubezpieczeń zdrowotnych i modele ubezpieczeń majątkowych dla gospodarstw domowych są bezpośrednio w zakresie. Czynnikiem decydującym jest to, czy system AI podejmuje lub znacząco wpływa na decyzję, która istotnie wpływa na dostęp osoby fizycznej do niezbędnej usługi prywatnej.

Kategoria 1: Identyfikacja Biometryczna

Wysokiego ryzyka. Systemy AI stosowane do:

Zdalnej identyfikacji biometrycznej klientów (weryfikacja KYC wideo, ciągłe uwierzytelnianie)
Kategoryzacji biometrycznej, gdzie wpływa na klasyfikację ryzyka lub dostęp do usług

Zdalna identyfikacja biometryczna w czasie rzeczywistym w miejscach publicznie dostępnych do celów egzekwowania prawa jest zakazana na podstawie Art. 5. Komercyjne systemy weryfikacji tożsamości używające rozpoznawania twarzy do KYC podlegają wymogom wysokiego ryzyka, ale nie są zakazane.

Kategoria 6: AML/KYC i Powiązanie z Egzekwowaniem Prawa

Systemy AI stosowane przez instytucje finansowe do wspierania przesiewania AML/KYC, filtrowania sankcji lub monitorowania transakcji gdzie wynik jest przekazywany lub używany przez organy ścigania mogą mieścić się w kategorii Annex III 6 (egzekwowanie prawa). Obejmuje to:

Zgłoszenia podejrzanych działań (SAR) generowane przez AI przekazywane do JIU
Zautomatyzowane systemy przesiewania PEP (Osoba Eksponowana Politycznie)

Systemy stosowane wyłącznie do wewnętrznego zarządzania ryzykiem bez wyników egzekwowania prawa rzadziej są klasyfikowane jako wysokiego ryzyka w kategorii 6, choć inne kategorie mogą mieć zastosowanie.

Co Obowiązki AI Wysokiego Ryzyka Oznaczają dla Instytucji Finansowych

Jeżeli system AI stosowany przez instytucję finansową jest wysokiego ryzyka na podstawie Annex III, obowiązki różnią się w zależności od tego, czy instytucja jest dostawcą (zbudowała system) czy podmiotem wdrażającym (zakupiła lub licencjonowała go).

Jeżeli Jesteś Dostawcą (Zbudowałeś System)

System zarządzania ryzykiem (Art. 9): Ustanów i prowadź udokumentowany proces zarządzania ryzykiem iterujący przez cały cykl życia systemu
Zarządzanie danymi (Art. 10): Dane do trenowania, walidacji i testowania muszą podlegać praktykom zarządzania obejmującym odpowiedniość, reprezentatywność i ocenę uprzedzeń
Dokumentacja techniczna (Annex IV): Pełny plik techniczny obejmujący opis systemu, architekturę, podejście do trenowania, metryki wydajności i plan nadzoru posprzedażowego
Przejrzystość (Art. 13): Instrukcje użytkowania umożliwiające podmiotom wdrażającym zrozumienie możliwości, ograniczeń i wymagań nadzoru
Nadzór człowieka (Art. 14): Projektowanie środków umożliwiających nadzór i interwencję człowieka
Dokładność, odporność, cyberbezpieczeństwo (Art. 15): Wykazane poziomy wydajności i odporność
Ocena zgodności: Samoocena (Annex VI) dla większości systemów Annex III lub ocena przez jednostkę notyfikowaną dla systemów biometrycznych
Oznakowanie CE i deklaracja zgodności UE
Rejestracja w unijnej bazie danych AI
Nadzór posprzedażowy (Art. 72): Aktywny system zbierania danych o rzeczywistej wydajności i zgłaszania incydentów

Jeżeli Jesteś Podmiotem Wdrażającym (Zakupiłeś/Licencjonowałeś System)

Zgodność z instrukcjami: Używaj systemu ściśle zgodnie z instrukcjami dostawcy
Nadzór człowieka: Wyznacz wykwalifikowany personel do sprawowania nadzoru z odpowiednimi uprawnieniami i zasobami
Jakość danych wejściowych: Zapewnij, że dane wejściowe są odpowiednie i reprezentatywne dla konkretnego kontekstu wdrożenia
Przechowywanie logów: Aktywuj i przechowuj automatyczne logi przez wymagany okres
Zgłaszanie incydentów: Zgłaszaj poważne incydenty dostawcy i, w niektórych przypadkach, bezpośrednio organom
Ocena wpływu na prawa podstawowe (Art. 27): Wymagana dla organów publicznych; zalecana dla podmiotów wdrażających sektora prywatnego w wrażliwych kontekstach

Interakcja z DORA

DORA (Rozporządzenie o operacyjnej odporności cyfrowej) weszła w zastosowanie w styczniu 2025 r. i nakłada kompleksowe wymagania zarządzania ryzykiem ICT na instytucje finansowe — w tym systemy AI jako komponenty ICT.

Kluczowe punkty interakcji:

Ramy Zarządzania Ryzykiem ICT

DORA wymaga od instytucji finansowych prowadzenia ram zarządzania ryzykiem ICT obejmujących identyfikację, ochronę, wykrywanie, reagowanie i odzyskiwanie. Systemy AI są narzędziami ICT podlegającymi tym ramom. EU AI Act dodaje wymogi specyficzne dla AI: testowanie uprzedzeń, dokumentacja przejrzystości, projektowanie nadzoru człowieka i zarządzanie cyklem życia.

W praktyce: Model scoringu kredytowego AI banku musi spełniać zarówno zarządzanie ryzykiem ICT DORA (wykrywanie incydentów, planowanie ciągłości, zarządzanie zmianami), jak i wymogi AI wysokiego ryzyka EU AI Act (system zarządzania ryzykiem, dokumentacja techniczna, nadzór posprzedażowy).

Ryzyko Stron Trzecich (Zewnętrzni Dostawcy ICT)

DORA nakłada szczegółowe wymagania dla zarządzania zewnętrznymi dostawcami ICT — w tym wymagania umowne, prawa do audytu i nadzór nad krytycznymi dostawcami. Gdy instytucja finansowa używa zewnętrznego systemu AI (np. dostarczanego przez dostawcę modelu scoringu kredytowego), wymagania DORA dotyczące zarządzania ryzykiem stron trzecich mają zastosowanie do tego dostawcy.

Obowiązki podmiotu wdrażającego EU AI Act mają również zastosowanie — wymagając, aby dostawca dostarczył instrukcje, dokumentację conformity i możliwość rejestrowania. Instytucje finansowe powinny zapewnić, że ich umowy z zewnętrznymi dostawcami AI spełniają zarówno wymagania dostawców ICT DORA, jak i prawa informacyjne podmiotów wdrażających EU AI Act.

Zgłaszanie Incydentów

DORA ma własne ramy zgłaszania incydentów dla znaczących incydentów związanych z ICT, zgłaszanych do sektorowych nadzorców (EBA, EIOPA, ESMA). EU AI Act wymaga zgłaszania poważnych incydentów obejmujących systemy AI wysokiego ryzyka krajowym organom nadzoru rynku.

Są to odrębne obowiązki sprawozdawcze do różnych organów. Poważny incydent obejmujący system AI scoringu kredytowego mógłby jednocześnie uruchamiać raport incydentu DORA (do EBA/krajowego nadzorcy finansowego) i raport incydentu EU AI Act (do organu nadzoru rynku).

Sektorowi Nadzorcy i Egzekwowanie EU AI Act

Dla instytucji finansowych sektorowi nadzorcy finansowi — EBA (bankowość), EIOPA (ubezpieczenia), ESMA (papiery wartościowe i rynki) — mają konkretną rolę w implementacji EU AI Act, choć nie są podstawowym organem egzekwowania EU AI Act.

Na podstawie EU AI Act, instytucje finansowe będące dostawcami systemów AI wysokiego ryzyka muszą rejestrować się w unijnej bazie danych AI. W sektorze finansowym odpowiedni organ nadzoru finansowego może być wyznaczony lub współpracować z krajowym organem nadzoru rynku odpowiedzialnym za nadzór EU AI Act w tym sektorze.

Europejskie Organy Nadzoru (ESA) były aktywne w:

Publikowaniu wskazówek dotyczących zarządzania AI w usługach finansowych (wytyczne EBA dotyczące ładu wewnętrznego, ML/AI w ryzyku kredytowym)
Wkładzie w wskazówki implementacyjne EU AI Act dla sektora finansowego
Koordynowaniu z Biurem AI UE w zakresie nadzoru modeli GPAI w miarę wpływu na usługi finansowe

Priorytety Zgodności dla Instytucji Finansowych

Inwentaryzuj wszystkie używane systemy AI — klasyfikuj każdy w stosunku do kryteriów Annex III. Priorytetowo traktuj systemy zdolności kredytowej, wyceny ubezpieczeń i biometrii/KYC.
Ustal status dostawcy a podmiotu wdrażającego dla każdego systemu — czy używasz modeli dostarczanych przez dostawców czy budujesz wewnętrznie?
Dostosuj zarządzanie AI do ram ryzyka ICT DORA — integruj obowiązki EU AI Act z istniejącą strukturą zarządzania DORA, aby unikać powielających się procesów.
Przeglądaj umowy z zewnętrznymi dostawcami AI — upewnij się, że umowy zapewniają: dokumentację conformity, instrukcje użytkowania, dostęp do rejestrowania, zobowiązania do powiadamiania o incydentach, obowiązki aktualizacji i prawa do audytu.
Ustanów mechanizmy nadzoru człowieka — dla zastosowań AI wysokiego ryzyka zapewnij, że wykwalifikowany personel ma uprawnienia, narzędzia i czas do znaczącego przeglądu wyników AI przed podejmowaniem decyzji o konsekwencjach.
Połącz z nadzorem posprzedażowym — rozszerz istniejące procesy zarządzania ryzykiem modelu (walidacja modelu Basel, zarządzanie zmianami DORA) o wymagania nadzoru posprzedażowego Art. 72.
Przygotuj się do unijnej bazy danych AI — jeżeli jesteś dostawcą systemów AI wysokiego ryzyka, rejestracja jest obowiązkowa. Jeżeli jesteś podmiotem wdrażającym organu publicznego, rejestracja może być również wymagana.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Czy modele scoringu kredytowego podlegają wysokim wymogom EU AI Act?

Tak. Systemy AI do oceny zdolności kredytowej — stosowane do oceny zdolności kredytowej osób fizycznych lub oceny ryzyka kredytowego — są wyraźnie wymienione w Annex III, kategoria 5(b) jako wysokiego ryzyka. Obejmuje to automatyczny scoring kredytowy dla kredytów konsumenckich, kredytów hipotecznych, kart kredytowych i kredytów w rachunku bieżącym. Systemy stosowane wyłącznie do oceny kredytowej przedsiębiorstw mogą nie być w zakresie, ale systemy obejmujące ocenę indywidualnych osób fizycznych są wyraźnie objęte.

Jak DORA wchodzi w interakcję z EU AI Act dla instytucji finansowych?

DORA (Rozporządzenie o operacyjnej odporności cyfrowej) i EU AI Act mają nakładające się, ale odrębne zakresy. DORA obejmuje zarządzanie ryzykiem ICT szeroko — w tym systemy AI jako narzędzia ICT — z wymaganiami dotyczącymi zgłaszania incydentów, testowania odporności i zarządzania ryzykiem stron trzecich. EU AI Act dodaje konkretne obowiązki AI (testowanie uprzedzeń, przejrzystość, nadzór człowieka, nadzór posprzedażowy) dla zastosowań AI wysokiego ryzyka. Dla instytucji finansowych zgodność wymaga realizacji obu ram — DORA nie zwalnia instytucji z obowiązków EU AI Act, a EU AI Act nie zastępuje wymogów ryzyka ICT DORA.

Czy systemy AI stosowane do wykrywania oszustw podlegają EU AI Act wysokiego ryzyka?

To zależy od przypadku użycia. Systemy AI stosowane do wykrywania oszustw transakcji w czasie rzeczywistym — gdzie AI oznacza podejrzane transakcje do przeglądu człowieka lub automatycznie je blokuje — nie są automatycznie wysokiego ryzyka na podstawie Annex III. Jednak jeżeli system podejmuje lub silnie wpływa na decyzje istotnie dotykające jednostki (np. blokada rachunku, zmniejszenie limitu kredytowego, odmowa roszczenia ubezpieczeniowego), przypadek użycia może mieścić się w kategorii Annex III 5 (dostęp do usług niezbędnych). Pewność prawna będzie zależeć od wskazówek regulacyjnych i konkretnego wdrożenia.

Czy systemy AI stosowane do wyceny ubezpieczeń i gwarantowania emisji są wysokiego ryzyka?

Systemy AI do wyceny i gwarantowania emisji ubezpieczeń, które podejmują lub silnie wpływają na decyzje dotyczące zakresu, poziomów składek lub rozliczenia roszczeń dla osób fizycznych, prawdopodobnie mieszczą się w kategorii Annex III 5 (dostęp do niezbędnych usług prywatnych). Obejmuje to modele wyceny ubezpieczeń motoryzacyjnych, gwarantowanie ubezpieczeń zdrowotnych i modele ubezpieczeń majątkowych dla gospodarstw domowych. Modele gwarantowania ubezpieczeń na życie oceniające ryzyko długowieczności dla jednostek mogą być również objęte. Każdy przypadek użycia musi być oceniany indywidualnie w stosunku do kryteriów Annex III.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.