Obowiązki wynikające z Aktu o AI UE dla banków, instytucji kredytowych i firm fintech. Scoring kredytowy AI, systemy AML, handel algorytmiczny, powiązania z DORA oraz wytyczne EBA.
Dlaczego Bankowość Cechuje Skoncentrowana Ekspozycja na Akt o AI UE
Sektor bankowości i usług finansowych znajduje się na przecięciu najsurowszych obowiązków wynikających z Aktu o AI UE oraz najbardziej złożonego środowiska regulacyjnego w UE. Instytucje finansowe należą do największych podmiotów wdrażających AI w Europie — w obszarze underwritingu kredytowego, wykrywania oszustw, screeningu AML/CFT, należytej staranności wobec klientów, handlu algorytmicznego i zarządzania majątkiem. Akt o AI UE bezpośrednio ukierunkowuje się na najbardziej doniosłe z tych przypadków użycia poprzez Załącznik III, klasyfikując kilka finansowych zastosowań AI jako wysokiego ryzyka z definicji.
Bankowość funkcjonuje również w ramach gęstej, istniejącej warstwy regulacyjnej: DORA, MiFID II, CRD IV/CRR, Dyrektywy AML, RODO oraz BCBS 239. Akt o AI UE nie zastępuje tych ram — dodaje do nich kolejne wymagania. Dla instytucji kredytowej wdrożenie modelu scoringu kredytowego opartego na AI uruchamia jednoczesne obowiązki wynikające z Aktu o AI (Załącznik III, Art. 9–16), DORA (zarządzanie ryzykiem ICT) oraz wytycznych EBA dotyczących zarządzania ryzykiem modeli.
Przypadki Użycia AI Wysokiego Ryzyka w Bankowości Objęte Załącznikiem III
Załącznik III, kategoria 5(b) wprost wymienia AI stosowane do oceny zdolności kredytowej lub scoringu kredytowego osób fizycznych oraz AI stosowane do oceny ryzyka kredytowego osób prawnych, gdy AI determinuje lub w znacznym stopniu wpływa na wynik. Obejmuje to szeroki zakres wdrożeń AI w sektorze finansowym.
Modele scoringu kredytowego i underwritingu — zautomatyzowane systemy określające kwalifikowalność do pożyczki, limity kredytowe lub stopy procentowe dla klientów detalicznych i MŚP — stanowią AI wysokiego ryzyka zgodnie z Art. 6(2) w związku z Załącznikiem III. Banki działające jako dostawcy tych systemów muszą przeprowadzić oceny zgodności, utrzymywać dokumentację techniczną zgodnie z Art. 11, wdrożyć systemy zarządzania ryzykiem zgodnie z Art. 9, zapewnić mechanizmy nadzoru ludzkiego zgodnie z Art. 14 oraz zarejestrować system w bazie danych Aktu o AI UE (Art. 71) przed wdrożeniem.
Systemy AML i wykrywania oszustw przedstawiają bardziej złożony obraz. Systemy stosujące screening sankcji, monitoring transakcji lub analitykę behawioralną do flagowania podejrzanej aktywności wpływają zasadniczo na instytucje finansowe, a nie bezpośrednio determinują wyniki dla osób fizycznych. Gdy dane wyjściowe AI stanowią podstawową przesłankę dla działań niekorzystnych wobec klienta (zamrożenie konta, odmowa świadczenia usługi), może zostać uruchomiona klasyfikacja wysokiego ryzyka zgodnie z Załącznikiem III kat. 5(b) lub kat. 6 (organy ścigania) w zależności od roli organu krajowego. Banki muszą przeprowadzić staranną analizę klasyfikacyjną.
Narzędzia oparte na GPAI — duże modele językowe stosowane do obsługi klienta, przetwarzania dokumentów lub analizy inwestycyjnej — podlegają wymogom przejrzystości Art. 50 (ujawnienie, że użytkownicy wchodzą w interakcję z AI) oraz, gdy dostawca modelu cechuje się ryzykiem systemowym, obowiązkom Art. 55.
Obowiązki Dostawcy a Obowiązki Podmiotu Stosującego w Bankach
Banki mogą działać jako dostawcy (budujący własne modele AI), podmioty stosujące (używające systemów AI stron trzecich) lub w obydwu rolach. Rozróżnienie to determinuje profil obowiązków:
| Rola | Podstawa obowiązku | Kluczowe wymagania |
|---|---|---|
| Dostawca | Art. 9–17 | Ocena zgodności, dokumentacja techniczna, QMS, rejestracja |
| Podmiot stosujący | Art. 26 | Monitorowanie systemu, zapewnienie nadzoru ludzkiego, utrzymywanie logów, informowanie użytkowników |
| Obie role | Art. 9–17 + Art. 26 | Pełne obowiązki dostawcy + obowiązki monitorowania podmiotu stosującego |
Banki nabywające AI do scoringu kredytowego od dostawcy fintech działają jako podmioty stosujące zgodnie z Art. 26. Muszą zweryfikować, czy dostawca przeprowadził ocenę zgodności, włączyć przegląd ludzki do procesów podejmowania niekorzystnych decyzji, utrzymywać logi użytkowania przez 10 lat (Art. 26(6)) oraz zapewnić, że decyzje AI są wyjaśniane osobom, których dotyczą, zgodnie z Art. 22 RODO i Art. 13 Aktu o AI UE.
Nakładanie się Regulacji Sektorowych: DORA, MiFID II i Solvency II
DORA (Rozporządzenie 2022/2554) ma zastosowanie do banków, firm inwestycyjnych, towarzystw ubezpieczeniowych oraz zewnętrznych dostawców ICT. W odniesieniu do AI DORA wymaga w szczególności:
- Systemów AI traktowanych jako systemy ICT podlegające ramom zarządzania ryzykiem (Art. 6 DORA)
- Klasyfikacji i zgłaszania incydentów związanych z ICT — awarie AI mogą stanowić poważne incydenty ICT
- Testowania odporności krytycznych systemów ICT — modele AI uwzględnione tam, gdzie są istotne dla operacji
- Zarządzania ryzykiem stron trzecich obejmującego umowy z dostawcami AI, strategie wyjścia i prawa do audytu
MiFID II (Dyrektywa w sprawie Rynków Instrumentów Finansowych) ma zastosowanie do handlu algorytmicznego i doradztwa inwestycyjnego. Rekomendacje inwestycyjne generowane przez AI uruchamiają wymogi oceny adekwatności; systemy handlu algorytmicznego wymagają kontroli przed transakcją, wyłączników awaryjnych i powiadomień regulacyjnych.
Wytyczne EBA dotyczące zarządzania ryzykiem ICT i bezpieczeństwa (EBA/GL/2019/04, zaktualizowane 2022) nakazują stosowanie ładu zarządzania ryzykiem technologicznym obejmującego modele AI, wymogi ciągłości operacyjnej oraz niezależność walidacji modeli. Są one w znacznym stopniu zbieżne z wymaganiami Art. 9 Aktu o AI UE dotyczącymi zarządzania ryzykiem.
Organy Egzekwowania Prawa
Egzekwowanie przepisów Aktu o AI UE w odniesieniu do bankowego AI funkcjonuje w ramach dwuwarstwowej struktury organów:
Krajowe Właściwe Organy (NCA) wyznaczone przez każde Państwo Członkowskie zgodnie z Art. 70 są podstawowymi organami egzekwowania Aktu o AI. Mogą przeprowadzać nadzór rynkowy, żądać dokumentacji technicznej oraz nakładać kary (do 30 mln EUR lub 6% globalnego rocznego obrotu zgodnie z Art. 99).
Europejski Urząd Nadzoru Bankowego (EBA) koordynuje sektorowy nadzór AI w całej unii bankowej, zapewnia standardy techniczne dotyczące ryzyka ICT oraz wydaje wytyczne kształtujące krajowe oczekiwania nadzorcze. EBA uczestniczy również w Europejskiej Radzie ds. AI ustanowionej zgodnie z Art. 65.
EBC i krajowe organy nadzoru ostrożnościowego mogą żądać dokumentacji modeli AI w ramach ocen SREP (Supervisory Review and Evaluation Process) zgodnie z CRD IV, gdy AI napędza materialne decyzje kredytowe lub operacyjne dotyczące ryzyka.
Plan Zgodności dla Banków
Natychmiastowe (teraz → sierpień 2026): Wykonanie kontroli zgodności z zakazami — przegląd wszystkich systemów AI pod kątem praktyk zabronionych przez Art. 5, w tym scoringu społecznego i identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej. Zakazy te obowiązują natychmiastowo dla nowych umów.
Q3 2026 — Audyt klasyfikacji wysokiego ryzyka: Mapowanie wszystkich wdrożonych i będących w fazie rozwoju systemów AI względem Załącznika III, w szczególności kategorii 5(b) i 5(c). Dokumentowanie uzasadnienia klasyfikacji. Zaangażowanie prawników i działu compliance do oceny nakładania się z DORA.
Q4 2026 — Obowiązki dostawcy dla AI opracowanego wewnętrznie: W przypadku modeli scoringu kredytowego i underwritingu budowanych wewnętrznie — wszczęcie procedur oceny zgodności, opracowanie dokumentacji technicznej zgodnie z Załącznikiem IV oraz wdrożenie QMS zgodnie z Art. 17.
2027 — Obowiązki podmiotu stosującego dla AI stron trzecich: Audyt wszystkich umów z dostawcami AI pod kątem zgodności z Aktem o AI UE. Zobowiązanie dostawców do dostarczenia deklaracji zgodności i numerów rejestracyjnych. Aktualizacja umów o przetwarzanie danych w celu uwzględnienia obowiązków rejestrowania wynikających z Art. 26.
Sierpień 2027 — Obowiązki GPAI wchodzą w życie: Zapewnienie, że wszystkie zewnętrzne LLM i modele fundamentalne stosowane w aplikacjach bankowych spełniają wymagania Art. 51–55. Weryfikacja, czy dostawcy opublikowali dokumentację przejrzystości zgodnie z Art. 53.
Grudzień 2027 — Termin dotyczący AI wysokiego ryzyka: Pełna zgodność wymagana dla wszystkich systemów AI wysokiego ryzyka objętych Załącznikiem III. Zapewnienie rejestracji w bazie danych Aktu o AI UE, operacyjnych mechanizmów nadzoru ludzkiego oraz planów monitorowania po wprowadzeniu do obrotu zgodnie z Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banki podlegają obowiązkom wynikającym z Aktu o AI UE przede wszystkim przez kategorie Załącznika III 5(b) i 5(c): AI stosowane w ocenie zdolności kredytowej i scoringu kredytowym oraz AI stosowane w ubezpieczeniach na życie i zdrowotnych w zakresie underwritingu. Są one klasyfikowane jako systemy AI wysokiego ryzyka, wymagające ocen zgodności, dokumentacji technicznej, mechanizmów nadzoru ludzkiego oraz rejestracji w bazie danych Aktu o AI UE. Ponadto banki wdrażające AI do screeningu prania pieniędzy (AML), wykrywania oszustw lub należytej staranności wobec klientów mogą podlegać Załącznikowi III w zależności od funkcji systemu i decyzji, na które ma on wpływ.
DORA (Digital Operational Resilience Act, Rozporządzenie 2022/2554) oraz Akt o AI UE tworzą nakładające się, lecz odrębne obowiązki. DORA wymaga od podmiotów finansowych zarządzania ryzykiem ICT, przeprowadzania testów odporności oraz utrzymywania zdolności do zgłaszania incydentów — dotyczy to systemów AI jako narzędzi ICT. Akt o AI UE dodaje wymagania dotyczące klasyfikacji ryzyka, oceny zgodności, przejrzystości oraz nadzoru ludzkiego dla systemów AI. Instytucja kredytowa obsługująca system scoringu kredytowego oparty na AI musi spełniać zarówno ramy zarządzania ryzykiem ICT wynikające z DORA, jak i wymagania Aktu o AI UE dotyczące AI wysokiego ryzyka. Wytyczne EBA dotyczące zarządzania ryzykiem ICT i bezpieczeństwa mają zastosowanie równolegle.
Systemy handlu algorytmicznego nie są bezpośrednio wymienione w Załączniku III, dlatego nie stanowią automatycznie AI wysokiego ryzyka w rozumieniu Aktu o AI UE. Jednak jeśli algorytm handlowy jest stosowany jako element oceny zdolności kredytowej lub wpływa na dostęp do usług finansowych w sposób oddziałujący na osoby fizyczne, może wchodzić w zakres Załącznika III. Wymogi MiFID II dotyczące handlu algorytmicznego — w tym wyłączniki awaryjne, testowanie systemów i ścieżki audytu — pozostają w pełni stosowane. Wymogi przejrzystości Art. 50 Aktu o AI UE mają zastosowanie do AI wchodzącego w interakcję z osobami fizycznymi, a obowiązki modelu GPAI wynikające z Art. 51 stosują się do dużych modeli językowych używanych na platformach handlowych lub analitycznych.
Europejski Urząd Nadzoru Bankowego (EBA) opublikował wytyczne dotyczące ładu wewnętrznego (EBA/GL/2021/05) oraz zarządzania ryzykiem ICT, które bezpośrednio kształtują oczekiwania dotyczące zarządzania AI w bankach. Kluczowe wymagania obejmują odpowiedzialność na poziomie zarządu za strategię AI, niezależną walidację modeli AI stosowanych w ryzyku kredytowym, ramy ryzyka operacyjnego obejmujące awarie AI oraz wymagania dotyczące wyjaśnialności systemów AI wpływających na decyzje kredytowe. Konsultacje EBA dotyczące uczenia maszynowego dla modeli IRB ustalają ilościowe standardy walidacji modeli, jakości danych i monitorowania wyników, które są ściśle zbieżne z wymaganiami Art. 9 Aktu o AI UE dotyczącymi zarządzania ryzykiem.
Tak, co do zasady — Akt o AI UE ma zastosowanie niezależnie od wielkości przedsiębiorstwa. Jednak Art. 9(5) wymaga, aby systemy zarządzania ryzykiem były proporcjonalne do wielkości i charakteru dostawcy lub podmiotu stosującego. Przepisy dotyczące MŚP i startupów zawarte w Art. 55 oraz Art. 57 do Art. 63 zapewniają dostęp do piaskownic regulacyjnych prowadzonych przez krajowe właściwe organy, zmniejszając bariery w testowaniu zgodności. Hub Innowacji EBA oraz Europejskie Forum Ułatwień dla Innowacji (EFIF) zapewniają dodatkowe wsparcie dla firm fintech poruszających się w obszarze regulacji AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.