Obowiązki wynikające z EU AI Act dla systemów AI w ubezpieczeniach: modele aktuarialne, underwriting, ocena roszczeń oraz AI w wycenie składek dla osób fizycznych. Omówienie kategorii 5(b) Załącznika III oraz interakcji z Solvency II.
Ubezpieczenia a EU AI Act — wyzwanie aktuarialne
EU AI Act (Rozporządzenie (UE) 2024/1689) nakłada najwyższe obciążenia compliance na systemy AI, które wpływają na zdolność osób fizycznych do korzystania z podstawowych usług i produktów finansowych. Ubezpieczenia znajdują się w centrum tych obaw. Systemy AI, które decydują o tym, czy osoba fizyczna może uzyskać ubezpieczenie komunikacyjne, zdrowotne, na życie lub majątkowe — a jeśli tak, to po jakiej cenie — stanowią w wielu konfiguracjach systemy AI wysokiego ryzyka w rozumieniu Załącznika III, punkt 5(b) Rozporządzenia.
Kluczowym wyzwaniem dla sektora ubezpieczeniowego jest wymiar aktuarialny. Od ponad stulecia wycena ubezpieczeń opiera się na modelowaniu statystycznym ryzyka w kohortach populacji. EU AI Act nie zakazuje różnicowania aktuarialnego, lecz nakłada merytoryczne obowiązki na systemy AI, za pomocą których takie różnicowanie jest realizowane, gdy systemy te działają na poziomie indywidualnej osoby fizycznej. Przejście od tradycyjnych modeli poolingowych do indywidualnego scoringu ryzyka opartego na AI — możliwego dzięki telematyce, strumieniom danych zdrowotnych i analityce behawioralnej — to właśnie to, co aktywuje reżim wysokiego ryzyka przewidziany w Rozporządzeniu.
Zakłady ubezpieczeń działające w UE muszą zatem przeprowadzić systematyczne ćwiczenie klasyfikacyjne: które z ich systemów AI generują zindywidualizowane wyniki, które decydują lub istotnie wpływają na decyzje dotyczące ochrony ubezpieczeniowej dla osób fizycznych? To ćwiczenie klasyfikacyjne nie jest jedynie formalnością compliance. Jego wynik przesądza o tym, czy zakład ubezpieczeń jako podmiot wdrażający na podstawie Art. 26 (lub dostawca na podstawie Art. 16) ponosi obowiązki w zakresie ładu danych, dokumentacji technicznej, nadzoru ludzkiego, oceny zgodności i rejestracji w unijnej bazie danych dla systemów AI wysokiego ryzyka.
Zastosowanie Rozporządzenia do ubezpieczeń jest dodatkowo skomplikowane przez istniejącą gęstość regulacyjną sektora. Dyrektywa Solvency II (2009/138/WE), Dyrektywa w sprawie dystrybucji ubezpieczeń (IDD) (UE) 2016/97, GDPR oraz wytyczne EIOPA oparte na zasadach dotyczące AI (2021) każde z osobna nakładają wymogi dotyczące modelowania aktuarialnego, traktowania klientów i wykorzystania danych. Ramy te nakładają się na — lecz nie zastępują — obowiązki wynikające z EU AI Act. Programy compliance muszą odnosić się do wszystkich tych regulacji jednocześnie.
Przypadki użycia AI wysokiego ryzyka w ubezpieczeniach
Modele wyceny aktuarialnej dla osób fizycznych
Załącznik III, punkt 5(b) EU AI Act klasyfikuje jako systemy wysokiego ryzyka wszelkie systemy AI używane do oceny zdolności kredytowej osób fizycznych lub klasyfikowania osób fizycznych według profilu ryzyka w celu uzyskania dostępu do usług ubezpieczeniowych. Obejmuje to aktuarialne systemy AI, które:
- Generują indywidualny score ryzyka służący do ustalenia składki za ubezpieczenie komunikacyjne dla imiennie wskazanego ubezpieczonego
- Klasyfikują stan zdrowia lub ryzyko śmiertelności osoby fizycznej w celu ustalenia kwalifikowalności do ubezpieczenia na życie lub wysokości składki
- Wydają decyzję o wycenie ubezpieczenia majątkowego na podstawie ocenionych przez AI czynników ryzyka przypisywalnych konkretnej osobie fizycznej
Kluczowym progiem jest wpływ na indywidualną osobę fizyczną. AI aktuarialna stosowana wobec podmiotów prawnych — odpowiedzialność korporacyjna, komercyjny ładunek, przemysłowe mienie — nie aktywuje kategorii 5(b) Załącznika III, chyba że osoby fizyczne są dotknięte w materialnie równoważny sposób. Zakłady ubezpieczeń prowadzące działalność zarówno w zakresie ubezpieczeń osobowych, jak i korporacyjnych muszą klasyfikować każdy system AI według populacji, na którą działa.
Telematyka ubezpieczeń komunikacyjnych i systemy pay-as-you-drive
Systemy wyceny ubezpieczeń oparte na telematyce, które zbierają dane o zachowaniu kierowcy — prędkość, przyspieszenie, wzorce hamowania, czas użytkowania — i wykorzystują modele AI do generowania indywidualnej składki dla imiennie wskazanej osoby fizycznej, stanowią paradygmatyczny przypadek użycia AI wysokiego ryzyka w ubezpieczeniach. Systemy te spełniają wszystkie elementy kategorii 5(b) Załącznika III: oceniają indywidualne osoby fizyczne, generują wyniki decydujące o dostępie do ubezpieczenia i jego wycenie, a ich indywidualizacja oparta na AI jest dokładnie tym, co odróżnia je od tradycyjnego poolingu aktuarialnego.
Dostawcy silników scoringu telematycznego — niezależnie od tego, czy zostały opracowane wewnętrznie, czy licencjonowane od zewnętrznego dostawcy — muszą przestrzegać Art. 9 (zarządzanie ryzykiem), Art. 10 (ład danych dla zbiorów danych treningowych i walidacyjnych), Art. 11 w związku z Załącznikiem IV (dokumentacja techniczna), Art. 12 (rejestrowanie), Art. 13 (przejrzystość), Art. 14 (nadzór ludzki) oraz Art. 15 (dokładność, odporność, cyberbezpieczeństwo).
AI w underwritingu ubezpieczeń na życie i zdrowotnych
Systemy AI stosowane w underwritingu ubezpieczeń na życie do oceny ryzyka długowieczności lub śmiertelności indywidualnych wnioskodawców — decydując o tym, czy ochrona jest oferowana i po jakiej składce — są systemami wysokiego ryzyka zgodnie z kategorią 5(b) Załącznika III, gdy generują zindywidualizowane oceny dla osób fizycznych. Obejmuje to systemy AI przetwarzające odpowiedzi na kwestionariusze zdrowotne, dokumentację medyczną (jeśli jest uzyskiwana zgodnie z prawem) lub strumienie danych z urządzeń noszonych, w celu wygenerowania oceny ryzyka wpływającej na decyzje underwritingowe.
AI do ubezpieczeń zdrowotnych segmentująca indywidualnych wnioskodawców według profilu ryzyka zdrowotnego na potrzeby wyceny lub ustalenia kwalifikowalności podlega tej samej klasyfikacji. Zakłady ubezpieczeń muszą zwrócić uwagę na wzajemne oddziaływanie Art. 9 GDPR (dane dotyczące zdrowia jako szczególna kategoria danych) i wymogów ładu danych wynikających z Art. 10 EU AI Act: zbiory danych treningowych zawierające dane zdrowotne wymagają wyraźnej podstawy prawnej zgodnie z Art. 9(2) GDPR, a podstawa ta musi być udokumentowana w dokumentacji technicznej wymaganej przez Załącznik IV.
AI w ocenie i rozliczaniu roszczeń
Klasyfikacja AI do obsługi roszczeń zależy od jej funkcjonalnej roli w procedurze decyzji o roszczeniu. Należy rozróżnić dwa scenariusze:
- AI, która istotnie wpływa na wynik roszczenia dla osoby fizycznej: gdy system AI ocenia roszczenie, a jego wynik bezpośrednio skutkuje obniżeniem, odrzuceniem lub warunkową wypłatą świadczenia ubezpieczeniowego dla osoby fizycznej — nawet jeśli nominalnie podlega przeglądowi przez człowieka — system ten jest prawdopodobnie systemem wysokiego ryzyka zgodnie z kategorią 5(b) Załącznika III, ponieważ faktycznie decyduje o dostępie osoby fizycznej do świadczeń ubezpieczeniowych.
- AI, która sygnalizuje roszczenia do zbadania przez człowieka: gdy wynik AI jest jednym z wielu czynników rozważanych przez likwidatora szkód, który podejmuje niezależną merytoryczną decyzję, a likwidator ma uprawnienia i informacje pozwalające mu odstąpić od oceny AI, system ten może nie być systemem wysokiego ryzyka. To rozróżnienie musi być udokumentowane i operacyjnie rzeczywiste, a nie jedynie formalne.
Wykrywanie oszustw ubezpieczeniowych
Systemy AI używane do wykrywania potencjalnie fraudulentnych roszczeń zajmują istotną strefę graniczną. Gdy AI do wykrywania oszustw uruchamia automatyczne działanie niekorzystne — zawieszenie wypłaty, wypowiedzenie polisy — dotykające osoby fizycznej bez merytorycznego przeglądu przez człowieka, jest prawdopodobnie systemem wysokiego ryzyka. Gdy AI generuje jedynie sygnał ryzyka oszustwa, który jest następnie badany przez wyspecjalizowanego likwidatora zachowującego pełne uprawnienia decyzyjne, może nim nie być. Zakłady ubezpieczeń powinny szczegółowo udokumentować procedurę działania AI ds. oszustw i ocenić, czy operacyjny nadzór ludzki jest merytoryczny czy jedynie nominalny.
Dostawca a podmiot wdrażający w ubezpieczeniach
Rozróżnienie ról
EU AI Act nakłada różne zestawy obowiązków w zależności od tego, czy organizacja jest dostawcą (opracowuje i wprowadza AI na rynek) czy podmiotem wdrażającym (wykorzystuje system AI strony trzeciej w kontekście zawodowym). Dla zakładów ubezpieczeń rozróżnienie to ma istotne znaczenie handlowe:
- Zakład ubezpieczeń, który opracowuje własny silnik scoringu telematycznego lub AI do wyceny aktuarialnej, jest dostawcą w rozumieniu Art. 3(3) i ponosi pełne obowiązki dostawcy wynikające z Art. 16: system zarządzania jakością, dokumentacja techniczna, deklaracja zgodności UE, oznakowanie CE, rejestracja w unijnej bazie danych oraz monitorowanie powdrożeniowe.
- Zakład ubezpieczeń, który licencjonuje oprogramowanie AI do celów aktuarialnych od dostawcy, jest podmiotem wdrażającym w rozumieniu Art. 3(4) i ponosi obowiązki podmiotu wdrażającego wynikające z Art. 26: wdrożenie zgodne z instrukcjami dostawcy, nadzór ludzki, prowadzenie rejestrów i raportowanie incydentów.
- Zakład ubezpieczeń, który modyfikuje licencjonowany system AI w sposób zmieniający jego zamierzone przeznaczenie — na przykład stosując model telematyczny do populacji ubezpieczonych spoza zwalidowanego zakresu — może zostać reklasyfikowany jako dostawca na podstawie Art. 25(1) z pełnymi obowiązkami dostawcy.
Należyta staranność podmiotu wdrażającego w zakresie AI aktuarialnej dostawcy
Zakłady ubezpieczeń wdrażające zewnętrzne systemy AI do celów aktuarialnych muszą stosować ustrukturyzowaną należytą staranność przed wdrożeniem i po nim:
Przed wdrożeniem: Weryfikacja, czy system AI jest zarejestrowany w unijnej bazie danych systemów AI wysokiego ryzyka zgodnie z Art. 49, posiada oznakowanie CE oraz jest opatrzony deklaracją zgodności UE. Pobranie i przegląd streszczenia dokumentacji technicznej, obejmującego wskaźniki dokładności i stronniczości, zakres zwalidowanego przypadku użycia oraz oświadczenie o przeznaczeniu.
Zabezpieczenia umowne: Umowy z dostawcami AI powinny określać: obowiązek dostawcy informowania zakładu ubezpieczeń o istotnych aktualizacjach lub ponownych ocenach; obowiązek dostawcy udostępniania zaktualizowanych danych z monitorowania powdrożeniowego na żądanie; oraz granice dozwolonego zakresu wdrożenia — z jasnym mechanizmem umożliwiającym zakładowi ubezpieczeń zwrócenie się o ocenę rozszerzenia zakresu, zamiast działania jednostronnego.
Bieżące monitorowanie: Zgodnie z Art. 26(5), podmioty wdrażające muszą monitorować wydajność systemów AI wysokiego ryzyka w swoim kontekście operacyjnym. W przypadku AI aktuarialnej oznacza to śledzenie wydajności modelu w stosunku do rzeczywistych wyników roszczeń, monitorowanie przesunięcia rozkładu między populacją treningową a aktywną populacją ubezpieczonych oraz eskalowanie istotnych odchyleń do dostawcy w celu zbadania.
Interakcja z Solvency II, IDD i GDPR
Solvency II — System Zarządzania i ORSA
Wymogi II Filaru Dyrektywy Solvency II ustanawiają System Zarządzania obejmujący funkcje aktuarialne i zarządzanie ryzykiem. Own Risk and Solvency Assessment (ORSA) wymaga udokumentowanej identyfikacji ryzyk, testów warunków skrajnych oraz zarządzania modelami wewnętrznymi. Wymogi te pokrywają się w znacznym stopniu z systemem zarządzania ryzykiem na podstawie Art. 9 EU AI Act oraz elementami walidacji modeli wynikającymi z dokumentacji technicznej określonej w Załączniku IV.
Zakłady ubezpieczeń powinny przeprowadzić ustrukturyzowaną analizę luk, aby zidentyfikować, które artefakty zarządzania Solvency II mogą być wykorzystane dla celów zgodności z EU AI Act i które luki pozostają. Typowe luki obejmują: testowanie pod kątem stronniczości i ocenę sprawiedliwości specyficzne dla AI (nieuregulowane w Solvency II); dokumentację zbiorów danych treningowych i walidacyjnych na podstawie Art. 10 (wykraczającą poza zakres walidacji modeli Solvency II); automatyczne rejestrowanie działania systemu AI zgodnie z Art. 12; oraz projektowanie mechanizmów nadzoru ludzkiego na podstawie Art. 14. W przypadku gdy model wewnętrzny zatwierdzony na podstawie Solvency II zawiera komponenty AI, ramy zarządzania tym modelem muszą zostać rozszerzone w celu spełnienia obowiązków wynikających z EU AI Act, zanim system będzie mógł być zgodnie z prawem wdrożony w ramach reżimu wysokiego ryzyka.
Dyrektywa w sprawie dystrybucji ubezpieczeń — sprawiedliwość i przejrzystość
IDD (UE) 2016/97 wymaga, aby dystrybucja ubezpieczeń była prowadzona w najlepszym interesie klienta, z informacjami przedstawianymi w zrozumiały sposób. Gdy AI jest używana w procesie dystrybucji — na przykład na platformie cyfrowej generującej spersonalizowane rekomendacje produktowe lub wyceny składek — obowiązki IDD dotyczące sprawiedliwości i ujawnień pokrywają się z wymogami przejrzystości Art. 13 EU AI Act. Zakłady ubezpieczeń powinny zintegrować obowiązki ujawnień wynikające z EU AI Act z dokumentami informacyjnymi produktów IDD (IPID) oraz Dokumentami z kluczowymi informacjami, zapewniając, że rola AI w decyzji dystrybucyjnej lub cenowej jest przekazywana w języku dostępnym dla ubezpieczonego.
GDPR — szczególne kategorie danych i zautomatyzowane podejmowanie decyzji
Art. 9 GDPR klasyfikuje dane dotyczące zdrowia, dane genetyczne i dane dotyczące fizycznego lub psychicznego stanu zdrowia osoby jako szczególne kategorie danych, których przetwarzanie jest zabronione bez szczególnego wyjątku. Zakłady ubezpieczeń na życie i zdrowotnych wykorzystujące takie dane w treningu AI lub scoringu muszą zidentyfikować i udokumentować ważną podstawę prawną na mocy Art. 9(2) GDPR — najczęściej wyraźna zgoda na podstawie Art. 9(2)(a) lub wyjątek przewidziany w prawie państwa członkowskiego na podstawie Art. 9(2)(b) — dla każdej kategorii danych i celu przetwarzania.
Art. 22 GDPR ogranicza wyłącznie zautomatyzowane decyzje wywołujące skutki prawne lub podobnie istotne skutki dla osób fizycznych. Decyzja AI w zakresie underwritingu, która automatycznie odrzuca wniosek o ubezpieczenie, lub decyzja AI w zakresie roszczeń, która automatycznie obniża świadczenie, bez udziału człowieka stanowi wyłącznie zautomatyzowane podejmowanie decyzji w rozumieniu Art. 22. Podmiot danych ma prawo do: przeglądu decyzji przez człowieka; wyjaśnienia głównych czynników wpływających na zautomatyzowaną decyzję; oraz do zakwestionowania wyniku. Zakłady ubezpieczeń muszą wbudować te prawa w swoje procesy skierowane do klientów i zapewnić, że wewnętrzne mechanizmy przeglądu są merytorycznie funkcjonalne.
Wytyczne EIOPA w zakresie AI
Wytyczne EIOPA oparte na zasadach dotyczące stosowania AI w ubezpieczeniach (2021) ustanowiły oczekiwania sektora w zakresie przejrzystości, niedyskryminacji, jakości danych i wyjaśnialności modeli przed wejściem w życie EU AI Act. EIOPA opracowuje sektorowe wytyczne implementacyjne dla EU AI Act i zakłady ubezpieczeń powinny uważnie śledzić wyniki prac EIOPA. Krajowe organy nadzoru — ACPR (Francja), BaFin (Niemcy), IVASS (Włochy), DNB (Holandia) — będą wdrażać oczekiwania nadzorcze w zgodzie z wytycznymi EIOPA, a w okresie wdrażania Rozporządzenia spodziewane są sektorowe publikacje Q&A.
Egzekwowanie — EIOPA i krajowe organy nadzoru
Rola nadzorcza EIOPA
EIOPA (Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych) nie posiada bezpośrednich uprawnień egzekucyjnych na podstawie EU AI Act, który wyznacza krajowe organy nadzorcze jako właściwe organy zgodnie z Art. 70. EIOPA koordynuje jednak konwergencję nadzorczą wśród unijnych organów regulacyjnych sektora ubezpieczeniowego i wydaje wiążące i niewiążące standardy techniczne. Oczekiwania EIOPA w zakresie ładu AI — wyrażone poprzez wytyczne, opinie i komunikaty nadzorcze — będą kształtować sposób, w jaki krajowe organy nadzoru wdrażają wymogi EU AI Act w kontekście ubezpieczeń. Zakłady ubezpieczeń powinny traktować wyniki prac EIOPA jako autorytatywne wytyczne sektorowe, nawet jeśli nie są prawnie wiążące.
Krajowe organy nadzoru ubezpieczeniowego jako właściwe organy AI
Krajowe organy nadzoru ubezpieczeniowego na głównych rynkach UE są przygotowane do wykonywania funkcji właściwego organu na podstawie EU AI Act w odniesieniu do systemów AI w ubezpieczeniach:
- ACPR (Autorité de contrôle prudentiel et de résolution) we Francji, która opublikowała oczekiwania nadzorcze dotyczące AI w usługach finansowych
- BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) w Niemczech, z ugruntowanym doświadczeniem w nadzorze nad algorytmicznym podejmowaniem decyzji
- IVASS (Istituto per la Vigilanza sulle Assicurazioni) we Włoszech
- DNB (De Nederlandsche Bank) w Holandii
Organy te dysponują uprawnieniami wynikającymi z Art. 74 i Art. 75 do żądania dostępu do danych treningowych, dokumentacji technicznej i rejestrów; do przeprowadzania kontroli na miejscu; do nakazywania działań naprawczych; oraz do rekomendowania kar finansowych za niezgodność. Kary za wprowadzanie do obrotu niezgodnych systemów AI wysokiego ryzyka mogą sięgać 30 milionów euro lub 6% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.
Podwójny nadzór: EU AI Act i regulacje sektorowe
Organy nadzoru ubezpieczeniowego prowadzące egzekwowanie EU AI Act będą to czynić w kontekście swoich szerszych mandatów ostrożnościowych i dotyczących postępowania. Dochodzenie w ramach EU AI Act dotyczące stronniczego modelu wyceny aktuarialnej może jednocześnie angażować obowiązki sprawozdawcze Filaru III Solvency II, wymogi postępowania wynikające z IDD oraz egzekwowanie GDPR przez organ ochrony danych. Zakłady ubezpieczeń powinny przyjąć założenie, że interwencje nadzorcze będą mieć charakter przekrojowy i projektować swoje programy compliance odpowiednio.
Mapa drogowa compliance dla zakładów ubezpieczeń
Krok 1: Inwentaryzacja i klasyfikacja systemów AI
Przeprowadzenie kompleksowej inwentaryzacji wszystkich systemów AI używanych w: wycenie składek; akceptacji lub odmowie w underwritingu; ocenie lub wypłacie roszczeń; wykrywaniu oszustw; scoringu ryzyka klientów; oraz dystrybucji lub rekomendacjach produktowych. Dla każdego systemu należy ocenić, czy generuje wyniki, które decydują lub istotnie wpływają na rezultaty dla indywidualnych osób fizycznych. Systemy spełniające ten próg wymagają oceny klasyfikacyjnej w odniesieniu do kategorii 5(b) Załącznika III.
Krok 2: Ustalenie roli dostawcy/podmiotu wdrażającego
Dla każdego systemu AI wysokiego ryzyka należy ustalić, czy zakład ubezpieczeń jest dostawcą, podmiotem wdrażającym, czy — co kluczowe — czy użytkowanie poza zwalidowanym zakresem dostawcy spowodowało reklasyfikację jako dostawca. Zaangażowanie radców prawnych do oceny konfiguracji granicznych, w szczególności tam, gdzie wewnętrzne dane lub populacje ubezpieczonych zostały użyte do dostrojenia lub rozszerzenia licencjonowanego modelu.
Krok 3: Analiza luk w odniesieniu do obowiązków wynikających z EU AI Act
Mapowanie istniejących artefaktów zarządzania Solvency II, dokumentacji ORSA i procesów walidacji modeli wewnętrznych w stosunku do wymogów EU AI Act wynikających z Art. 9 (zarządzanie ryzykiem), Art. 10 (ład danych), Art. 11 i Załącznika IV (dokumentacja techniczna), Art. 12 (rejestrowanie), Art. 13 (przejrzystość), Art. 14 (nadzór ludzki) i Art. 15 (dokładność, odporność, cyberbezpieczeństwo). Dokumentowanie zidentyfikowanych luk i przypisywanie odpowiedzialności za ich usunięcie.
Krok 4: Ład danych i dostosowanie do GDPR
Dla każdego systemu AI wysokiego ryzyka przeprowadzenie audytu zbiorów danych treningowych i walidacyjnych. Dokumentowanie proweniencji danych, metod gromadzenia, reprezentatywności w odniesieniu do odpowiednich grup demograficznych ubezpieczonych oraz znanych ograniczeń. Zapewnienie, że podstawy prawne GDPR są ustanowione dla wszystkich danych osobowych i, w stosownych przypadkach, dla danych szczególnych kategorii. Integracja dokumentacji Art. 10 z dokumentacją techniczną Załącznika IV.
Krok 5: Projektowanie mechanizmów nadzoru ludzkiego
Zaprojektowanie operacyjnie realistycznych mechanizmów nadzoru ludzkiego dla każdego wdrożenia AI wysokiego ryzyka. W przypadku AI do underwritingu oznacza to, że wykwalifikowany underwriter ma informacje, uprawnienia i czas w procedurze pracy, aby przejrzeć i odejść od rekomendacji AI przed jej wpływem na ubezpieczonego. W przypadku AI do roszczeń oznacza to, że likwidator szkód posiada merytoryczne uprawnienia do przeglądu — nie jedynie nominalną funkcję zatwierdzającą. Dokumentowanie projektu nadzoru i ujęcie go w dokumentacji technicznej.
Krok 6: Należyta staranność wobec dostawców i naprawa umów
W przypadku zewnętrznych systemów AI do celów aktuarialnych wdrożenie procesu należytej staranności przed wdrożeniem opisanego powyżej oraz przegląd istniejących umów z dostawcami. Tam gdzie umowy nie zawierają postanowień zobowiązujących dostawcę do utrzymywania dokumentacji compliance z EU AI Act, informowania zakładu ubezpieczeń o istotnych zmianach i zezwalania na audyt wydajności systemu AI, naprawa poprzez zmianę umowy lub renegocjację. Ustanowienie wewnętrznych procedur monitorowania wydajności systemu AI w aktywnej populacji ubezpieczonych oraz raportowania istotnych odchyleń dostawcom i, tam gdzie jest to wymagane, organom nadzorczym.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Algorytm wyceny ubezpieczeń komunikacyjnych jest prawdopodobnie systemem wysokiego ryzyka zgodnie z Załącznikiem III, punkt 5(b), jeśli ocenia zdolność kredytową lub profil ryzyka indywidualnych osób fizycznych w celu ustalenia poziomu składki lub kwalifikowalności do ubezpieczenia. Systemy pay-as-you-drive oparte na telematyce, które oceniają indywidualne zachowania kierowcy i na tej podstawie ustalają składki dla imiennie wskazanych ubezpieczonych, wyraźnie mieszczą się w tej kategorii. Tradycyjne modele aktuarialne grupujące ubezpieczonych w klasy ryzyka bez indywidualnego scoringu opartego na AI zajmują bardziej szarą strefę, jednak każdy komponent AI generujący zindywidualizowaną ocenę służącą do wyceny lub akceptacji polisy osoby fizycznej powinien być oceniany na podstawie Art. 6(2) w związku z kategorią 5(b) Załącznika III.
Nie, choć istnieje znaczące nakładanie się regulacji, które należy wykorzystać. Art. 9 EU AI Act wymaga systemu zarządzania ryzykiem obejmującego identyfikację, analizę i ograniczanie przewidywalnych ryzyk w całym cyklu życia systemu AI. Wymogi II Filaru Solvency II dotyczące Own Risk and Solvency Assessment (ORSA) oraz Systemu Zarządzania nakładają obowiązek udokumentowanej identyfikacji ryzyk oraz zarządzania modelami wewnętrznymi w procesach aktuarialnych i wyceny. Struktury zarządzania, udokumentowane oceny ryzyka oraz procedury walidacji modeli opracowane dla Solvency II mogą stanowić fundament zgodności z EU AI Act, lecz muszą zostać uzupełnione o obowiązki specyficzne dla AI: testowanie pod kątem stronniczości, ład danych na podstawie Art. 10, automatyczne rejestrowanie zgodnie z Art. 12 oraz nadzór ludzki zgodnie z Art. 14. Niezbędna jest analiza luk w odniesieniu do wymogów dotyczących dokumentacji technicznej określonych w Załączniku IV.
W przypadku gdy system AI wysokiego ryzyka jest wykorzystywany do podejmowania lub istotnego wpływania na decyzje dotyczące osoby fizycznej — w tym akceptacji, odmowy lub wyceny ochrony ubezpieczeniowej — podmiot wdrażający musi zapewnić osobie fizycznej rzetelne informacje zgodnie z Art. 26(6) EU AI Act, a tam gdzie mają zastosowanie przepisy o zautomatyzowanym podejmowaniu decyzji na podstawie Art. 22 GDPR, stosuje się prawa podmiotów danych wynikające z Art. 13–15 i Art. 22 GDPR. Ubezpieczeni mają prawo do wyjaśnienia logiki zautomatyzowanych decyzji, prawo do żądania przeglądu przez człowieka oraz prawo do zakwestionowania wyniku. Zakłady ubezpieczeń korzystające z narzędzi AI w underwritingu muszą zatem zaprojektować procesy ujawniania informacji skierowane do klientów oraz wdrożyć mechanizmy przeglądu przez człowieka, które są rzeczywiście dostępne — nie uzależnione od specjalistycznej wiedzy.
Niekoniecznie. AI do wykrywania oszustw, która sygnalizuje roszczenia do zbadania przez człowieka — gdzie ostateczną decyzję o wypłacie, obniżeniu lub odmowie roszczenia podejmuje ludzki inspektor — może nie spełniać progu klasyfikacji jako system wysokiego ryzyka zgodnie z kategorią 5(b) Załącznika III, ponieważ AI nie decyduje samodzielnie o dostępie do ubezpieczenia dla osób fizycznych. Jednak jeśli wynik systemu wykrywania oszustw bezpośrednio uruchamia automatyczne obniżenie, zawieszenie lub odmowę wypłaty roszczenia dla osoby fizycznej bez merytorycznego przeglądu przez człowieka, system ten jest prawdopodobnie systemem wysokiego ryzyka. Zakłady ubezpieczeń powinny dokładnie udokumentować sposób, w jaki wyniki AI ds. oszustw są wykorzystywane w procedurze obsługi roszczeń, i zapewnić, że tam gdzie dotknięte są osoby fizyczne, rzeczywisty nadzór ludzki ma miejsce przed pozbawieniem świadczenia.
Zakłady ubezpieczeń wdrażające zewnętrzne narzędzia AI do celów aktuarialnych powinny wymagać umownie następujących dokumentów: deklaracji zgodności UE i dokumentacji oznakowania CE dla systemów wysokiego ryzyka; dokumentacji technicznej wymaganej przez Załącznik IV, obejmującej oświadczenie o przeznaczeniu, opisy zbiorów danych treningowych, wyniki walidacji i testów (w tym wskaźniki stronniczości i dokładności w odniesieniu do podpopulacji demograficznych) oraz akta zarządzania ryzykiem; instrukcji użytkowania skierowanych do podmiotu wdrażającego; danych z monitorowania powdrożeniowego i raportów o incydentach; a także parametrów i warunków, w których system został zwalidowany, łącznie z ograniczeniami dotyczącymi przypadków użycia lub populacji ubezpieczonych. Wdrożenie poza zakresem instrukcji użytkowania dostawcy może spowodować reklasyfikację zakładu ubezpieczeń jako dostawcy z pełnymi obowiązkami dostawcy na podstawie Art. 16.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.