Băncile, asigurătorii, administratorii de active și instituțiile de plată se confruntă cu obligații conform Regulamentului UE privind IA suprapuse reglementării financiare existente (DORA, MiFID II, GDPR, CRR). Această pagină explică ce cazuri de utilizare AI sunt de risc ridicat, cum interacționează reglementatorii sectoriali cu Regulamentul privind IA și ce trebuie să facă instituțiile financiare pentru a se conforma.
Regulamentul privind IA Vine în Finanțe
Instituțiile financiare — bănci, asigurători, administratori de active, furnizori de plăți, birouri de credit — sunt printre cei mai intensivi utilizatori AI din Europa. Scorarea creditului, detectarea fraudelor, tranzacționarea algoritmică, profilarea riscului clienților, subscrierea în asigurări, automatizarea raportărilor de reglementare și filtrarea AML/KYC se bazează pe sisteme AI care pot fi supuse Regulamentului UE privind IA.
Pentru instituțiile financiare, Regulamentul UE privind IA nu vine în izolare. Se suprapune pe un stivă de reglementare deja densă: DORA (reziliență digitală), MiFID II (servicii de investiții), GDPR (protecția datelor), CRR/CRD (cerințe de capital), Solvency II (asigurări), PSD2/PSD3 (servicii de plată) și orientările sectoriale ABE, EIOPA și ESMA. Înțelegerea modului în care Regulamentul privind IA se integrează cu — și uneori intră în conflict cu — reglementarea financiară existentă este esențială pentru o conformitate eficientă.
Ce Cazuri de Utilizare AI Sunt de Risc Ridicat în Finanțe?
Anexa III a Regulamentului UE privind IA identifică cazuri de utilizare care sunt automat de risc ridicat. În sectorul financiar, cele mai direct relevante sunt:
Categoria 5(b): Evaluarea Solvabilității
Risc ridicat. Sistemele AI utilizate pentru a evalua bonitatea persoanelor fizice sau pentru a clasifica persoanele fizice în termeni de risc de credit sunt explicit enumerate. Aceasta acoperă:
- Scorarea automată a creditului pentru împrumuturi de consum, descoperiri personale de cont, carduri de credit și credite ipotecare
- Modele care evaluează probabilitatea de rambursare, riscul de neplată sau capacitatea de îndatorare a consumatorilor individuali
- Sisteme AI care recomandă limite de credit sau sume de împrumut pe baza evaluării riscului individual
Nu este acoperit automat: Modelele de credit corporativ care evaluează entitățile juridice mai degrabă decât persoanele fizice, deși acestea pot totuși declanșa obligații de transparență Art. 50 în funcție de implementare.
Categoria 5(b): Decizii privind Prima și Acoperirea Asigurărilor
Risc ridicat dacă afectează semnificativ persoanele fizice. Sistemele AI care iau sau influențează puternic decizii privind:
- Acoperirea asigurărilor (acceptarea sau respingerea solicitanților)
- Nivelurile primelor (modele actuariale care stabilesc prime individuale)
- Evaluarea și soluționarea cererilor (gestionarea automată a cererilor)
Modelele de prețuri pentru asigurările auto, subscrierea în asigurările de sănătate și modelele de asigurare de proprietate pentru gospodării sunt direct în domeniu. Factorul determinant este dacă sistemul AI ia sau influențează semnificativ o decizie care afectează material accesul unei persoane fizice la un serviciu privat esențial.
Categoria 1: Identificarea Biometrică
Risc ridicat. Sisteme AI utilizate pentru:
- Identificarea biometrică la distanță a clienților (verificare video KYC, autentificare continuă)
- Categorizarea biometrică unde influențează clasificarea riscului sau accesul la servicii
Identificarea biometrică în timp real în spații accesibile publicului pentru aplicarea legii este interzisă conform Art. 5. Sistemele comerciale de verificare a identității care utilizează recunoașterea facială pentru KYC sunt supuse cerințelor de risc ridicat, dar nu sunt interzise.
Categoria 6: AML/KYC și Adiacentul Aplicării Legii
Sistemele AI utilizate de instituțiile financiare pentru a sprijini filtrarea AML/KYC, filtrarea sancțiunilor sau monitorizarea tranzacțiilor unde rezultatul este raportat sau utilizat de forțele de ordine pot cădea în categoria Anexei III 6 (aplicarea legii). Aceasta include:
- Rapoarte de Activitate Suspectă (RAS) generate de AI transmise UIF-urilor
- Sisteme automate de filtrare PEP (Persoană Expusă Politic)
Sistemele utilizate pur pentru gestionarea internă a riscurilor fără ieșire pentru forțele de ordine sunt mai puțin probabil să fie clasificate ca risc ridicat conform categoriei 6, deși pot fi aplicabile alte categorii.
Ce Înseamnă Obligațiile AI de Risc Ridicat pentru Instituțiile Financiare
Dacă un sistem AI utilizat de o instituție financiară este de risc ridicat conform Anexei III, obligațiile diferă în funcție de faptul că instituția este furnizor (a construit sistemul) sau operator (l-a achiziționat sau licențiat).
Dacă Sunteți Furnizor (Ați Construit Sistemul)
- Sistem de gestionare a riscurilor (Art. 9): Înființați și mențineți un proces documentat de gestionare a riscurilor care iterează pe tot parcursul ciclului de viață al sistemului
- Guvernanța datelor (Art. 10): Datele de antrenare, validare și testare trebuie să fie supuse practicilor de guvernanță acoperind relevanța, reprezentativitatea și evaluarea prejudecăților
- Documentație tehnică (Anexa IV): Dosar tehnic complet inclusiv descrierea sistemului, arhitectura, abordarea de antrenare, metricele de performanță și planul de monitorizare post-comercializare
- Transparență (Art. 13): Instrucțiuni de utilizare care permit operatorilor să înțeleagă capacitățile, limitările și cerințele de supraveghere
- Supravegherea umană (Art. 14): Măsuri de proiectare care permit supravegherea și intervenția umană
- Acuratețe, robustețe, securitate cibernetică (Art. 15): Niveluri de performanță demonstrate și reziliență
- Evaluarea conformității: Autoevaluare (Anexa VI) pentru cele mai multe sisteme Anexa III, sau evaluare de organism notificat pentru sistemele biometrice
- Marcaj CE și declarație UE de conformitate
- Înregistrare în baza de date AI a UE
- Monitorizarea post-comercializare (Art. 72): Sistem activ pentru colectarea datelor de performanță din lumea reală și raportarea incidentelor
Dacă Sunteți Operator (Ați Achiziționat/Licențiat Sistemul)
- Conformitatea instrucțiunilor: Utilizați sistemul strict în conformitate cu instrucțiunile furnizorului
- Supravegherea umană: Desemnați personal calificat pentru a efectua supravegherea cu autoritate și resurse adecvate
- Calitatea datelor de intrare: Asigurați că datele de intrare sunt relevante și reprezentative pentru contextul specific de implementare
- Retenția jurnalelor: Activați și păstrați jurnalele automate pentru perioada necesară
- Raportarea incidentelor: Raportați incidentele grave furnizorului și, în unele cazuri, direct autorităților
- Evaluarea impactului asupra drepturilor fundamentale (Art. 27): Necesară pentru organismele publice; recomandată pentru operatorii din sectorul privat în contexte sensibile
Interacțiunea cu DORA
Regulamentul privind reziliența operațională digitală (DORA) a intrat în aplicare în ianuarie 2025 și impune cerințe complete de gestionare a riscurilor TIC instituțiilor financiare — inclusiv sistemele AI ca componente TIC.
Puncte cheie de interacțiune:
Cadrul de Gestionare a Riscurilor TIC
DORA impune instituțiilor financiare să mențină un cadru de gestionare a riscurilor TIC acoperind identificarea, protecția, detecția, răspunsul și recuperarea. Sistemele AI sunt instrumente TIC supuse acestui cadru. Regulamentul UE privind IA adaugă cerințe specifice AI pe deasupra: testarea prejudecăților, documentarea transparenței, proiectarea supravegherii umane și gestionarea ciclului de viață.
În practică: Un model AI de scorare a creditului al unei bănci trebuie să respecte atât gestionarea riscurilor TIC DORA (detectarea incidentelor, planificarea continuității, gestionarea modificărilor) cât și cerințele de risc ridicat ale Regulamentului UE privind IA (sistemul de gestionare a riscurilor, documentația tehnică, monitorizarea post-comercializare).
Riscul Terților (Furnizori Terți TIC)
DORA impune cerințe detaliate pentru gestionarea furnizorilor terți TIC — inclusiv cerințe contractuale, drepturi de audit și supravegherea furnizorilor critici. Când o instituție financiară utilizează un sistem AI terț (de ex., un model de scorare a creditului furnizat de furnizor), se aplică cerințele de gestionare a riscurilor terților DORA pentru acel furnizor.
Se aplică de asemenea obligațiile de operator ale Regulamentului UE privind IA — impunând furnizorului să furnizeze instrucțiuni, documentație de conformitate și capacitate de jurnalizare. Instituțiile financiare ar trebui să se asigure că contractele lor cu furnizorii AI terți satisfac atât cerințele furnizorului TIC DORA, cât și drepturile de informare ale operatorului conform Regulamentului UE privind IA.
Raportarea Incidentelor
DORA are propriul cadru de raportare a incidentelor pentru incidentele semnificative legate de TIC, raportate supraveghetorilor sectoriali (ABE, EIOPA, ESMA). Regulamentul UE privind IA impune raportarea incidentelor grave care implică sisteme AI de risc ridicat autorităților naționale de supraveghere a pieței.
Acestea sunt obligații de raportare separate adresate diferitelor autorități. Un incident grav care implică un sistem AI de scorare a creditului ar putea declanșa atât un raport de incident DORA (la ABE/supraveghetor financiar național) cât și un raport de incident conform Regulamentului UE privind IA (la autoritatea de supraveghere a pieței).
Supraveghetorii Sectoriali și Aplicarea Regulamentului privind IA
Pentru instituțiile financiare, supraveghetorii financiari sectoriali — ABE (bancă), EIOPA (asigurări), ESMA (valori mobiliare și piețe) — au un rol specific în implementarea Regulamentului UE privind IA, deși nu sunt autoritatea principală de aplicare a Regulamentului privind IA.
Conform Regulamentului privind IA, instituțiile financiare care sunt furnizori de sisteme AI de risc ridicat trebuie să se înregistreze în baza de date AI a UE. În sectorul financiar, autoritatea financiară de supraveghere relevantă poate fi desemnată ca sau să colaboreze cu autoritatea națională de supraveghere a pieței responsabilă de supravegherea Regulamentului privind IA pentru acel sector.
Autoritățile Europene de Supraveghere (AES) au fost active în:
- Publicarea orientărilor privind guvernanța AI în servicii financiare (orientările ABE privind guvernanța internă, ML/AI în riscul de credit)
- Contribuind la orientările de implementare a Regulamentului UE privind IA pentru sectorul financiar
- Coordonând cu Biroul AI al UE privind supravegherea modelelor GPAI în măsura în care afectează serviciile financiare
Priorități Practice de Conformitate pentru Instituțiile Financiare
-
Inventariați toate sistemele AI în uz — clasificați fiecare față de criteriile Anexei III. Prioritizați sistemele de evaluare a solvabilității, prețuri pentru asigurări și biometrice/KYC.
-
Determinați statutul de furnizor față de operator pentru fiecare sistem — utilizați modele furnizate de furnizor sau construiți în interior?
-
Aliniați guvernanța AI cu cadrul de riscuri TIC DORA — integrați obligațiile Regulamentului privind IA în structura existentă de guvernanță DORA pentru a evita procese duplicate.
-
Revizuiți contractele cu furnizorii AI terți — asigurați-vă că contractele furnizează: documentația de conformitate, instrucțiunile de utilizare, accesul la jurnalizare, angajamentele de notificare a incidentelor, obligațiile de actualizare și drepturile de audit.
-
Înființați mecanisme de supraveghere umană — pentru cazurile de utilizare AI de risc ridicat, asigurați că personalul calificat are autoritatea, instrumentele și timpul pentru a revizui semnificativ ieșirile AI înainte ca deciziile consecvente să fie luate.
-
Conectați la monitorizarea post-comercializare — extindeți procesele existente de gestionare a riscului de model (validarea modelului Basel, gestionarea modificărilor DORA) pentru a acoperi cerințele de monitorizare post-comercializare Art. 72.
-
Pregătiți-vă pentru baza de date AI a UE — dacă sunteți furnizor de sisteme AI de risc ridicat, înregistrarea este obligatorie. Dacă sunteți un operator organism public, înregistrarea poate fi de asemenea necesară.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Da. Sistemele AI de evaluare a solvabilității — utilizate pentru a evalua bonitatea persoanelor fizice sau pentru a evalua riscul de credit — sunt explicit enumerate în Anexa III, categoria 5(b) ca risc ridicat. Aceasta acoperă scorarea automată a creditului pentru împrumuturi de consum, credite ipotecare, carduri de credit și descoperiri de cont. Sistemele utilizate exclusiv pentru evaluarea creditului corporativ pot să nu fie în domeniu, dar sistemele care implică evaluarea persoanelor fizice sunt clar acoperite.
DORA (Regulamentul privind reziliența operațională digitală) și Regulamentul UE privind IA au domenii de aplicare suprapuse, dar distincte. DORA acoperă gestionarea riscurilor TIC în general — inclusiv sistemele AI ca instrumente TIC — cu cerințe pentru raportarea incidentelor, testarea rezilienței și gestionarea riscurilor terților. Regulamentul UE privind IA adaugă obligații specifice AI (testarea prejudecăților, transparență, supraveghere umană, monitorizare post-comercializare) pentru cazurile de utilizare AI de risc ridicat. Pentru instituțiile financiare, conformitatea necesită abordarea ambelor cadre — DORA nu scutește instituțiile de obligațiile Regulamentului privind IA, iar Regulamentul privind IA nu înlocuiește cerințele DORA privind riscurile TIC.
Depinde de cazul de utilizare. Sistemele AI utilizate pentru detectarea fraudelor tranzacționale în timp real — unde AI marchează tranzacțiile suspecte pentru revizuire umană sau le blochează automat — nu sunt automat de risc ridicat conform Anexei III. Cu toate acestea, dacă sistemul ia sau influențează puternic decizii care afectează semnificativ persoanele (de ex., blocarea contului, reducerea limitei de credit, refuzul cererii de asigurare), cazul de utilizare poate cădea în categoria Anexei III 5 (acces la servicii esențiale). Certitudinea juridică va depinde de orientările de reglementare și de implementarea specifică.
Sistemele AI de stabilire a prețurilor și subscriere în asigurări care iau sau influențează puternic decizii privind acoperirea, nivelurile primelor sau soluționarea cererilor pentru persoanele fizice sunt probabil să cadă în categoria Anexei III 5 (acces la servicii private esențiale). Aceasta include modele de prețuri pentru asigurările auto, de sănătate și de proprietate ale gospodăriilor. Modelele de subscriere pentru asigurările de viață care evaluează riscul de longevitate pentru persoane pot fi de asemenea acoperite. Fiecare caz de utilizare trebuie evaluat individual față de criteriile Anexei III.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.