Obligațiile Actului UE privind IA pentru bănci, instituții de credit și firme fintech. Scorare credit prin IA, sisteme AML, tranzacționare algoritmică, suprapunere cu DORA și ghidurile EBA.
De ce Sectorul Bancar Prezintă o Expunere Concentrată la Actul UE privind IA
Sectorul bancar și al serviciilor financiare se află la intersecția celor mai stricte obligații ale Actului UE privind IA și a celui mai complex mediu de reglementare din UE. Instituțiile financiare sunt printre cei mai mari utilizatori de IA din Europa — în subscrierea creditelor, detectarea fraudelor, verificarea AML/CFT, diligența față de clienți, tranzacționarea algoritmică și gestionarea averii. Actul UE privind IA vizează direct cele mai consecvente dintre aceste cazuri de utilizare prin Anexa III, clasificând mai multe aplicații financiare IA ca cu risc ridicat prin definiție.
Sectorul bancar funcționează, de asemenea, sub un strat de reglementare preexistentă dens: DORA, MiFID II, CRD IV/CRR, Directive AML, GDPR și BCBS 239. Actul UE privind IA nu înlocuiește aceste cadre — le adaugă. Pentru o instituție de credit, implementarea unui model de scorare a creditului bazat pe IA declanșează obligații simultane în temeiul Actului privind IA (Anexa III, Art. 9–16), DORA (gestionarea riscului TIC) și ghidurile EBA privind gestionarea riscului modelelor.
Cazuri de Utilizare IA cu Risc Ridicat în Sectorul Bancar în temeiul Anexei III
Anexa III, categoria 5(b) enumeră explicit IA utilizată pentru evaluarea bonității creditului sau scorarea creditului persoanelor fizice, și IA utilizată pentru evaluarea riscului de credit al persoanelor juridice, unde IA determină sau influențează substanțial rezultatul. Aceasta acoperă o gamă largă de implementări ale IA financiare.
Modelele de scorare a creditului și de subscriere — sisteme automatizate care determină eligibilitatea pentru împrumut, limitele de credit sau ratele dobânzii pentru clienții de retail și IMM-uri — sunt IA cu risc ridicat conform Art. 6(2) coroborat cu Anexa III. Băncile care acționează ca furnizori ai acestor sisteme trebuie să finalizeze evaluările conformității, să mențină documentația tehnică în temeiul Art. 11, să implementeze sisteme de gestionare a riscului în temeiul Art. 9, să asigure mecanisme de supraveghere umană în temeiul Art. 14 și să înregistreze sistemul în baza de date a Actului UE privind IA (Art. 71) înainte de implementare.
Sistemele AML și de detectare a fraudelor prezintă o imagine mai nuanțată. Sistemele care aplică verificarea sancțiunilor, monitorizarea tranzacțiilor sau analiza comportamentală pentru a semnala activități suspecte afectează în general instituțiile financiare, mai degrabă decât să determine direct rezultate pentru persoanele fizice. Acolo unde rezultatul IA constituie baza principală pentru acțiuni adverse împotriva unui client (înghețarea contului, refuzul serviciului), clasificarea cu risc ridicat poate fi declanșată în temeiul Anexei III cat. 5(b) sau cat. 6 (aplicarea legii), în funcție de rolul autorității naționale. Băncile trebuie să efectueze o analiză atentă a clasificării.
Instrumentele bazate pe GPAI — modele lingvistice de mari dimensiuni utilizate pentru servicii clienți, procesarea documentelor sau analiza investițiilor — sunt supuse cerințelor de transparență din Art. 50 (divulgarea că utilizatorii interacționează cu IA) și, acolo unde furnizorul modelului prezintă risc sistemic, obligațiilor din Art. 55.
Obligațiile Furnizorului față de Operatorul de Implementare pentru Bănci
Băncile pot acționa ca furnizori (construind propriile modele IA), operatori de implementare (utilizând sisteme IA terțe) sau ambele. Distincția determină profilul obligațiilor:
| Rol | Sursa obligației | Cerințe cheie |
|---|---|---|
| Furnizor | Art. 9–17 | Evaluarea conformității, documentație tehnică, SMC, înregistrare |
| Operator de implementare | Art. 26 | Monitorizarea sistemului, asigurarea supravegherii umane, menținerea jurnalelor, informarea utilizatorilor |
| Ambele | Art. 9–17 + Art. 26 | Obligații complete de furnizor + obligații de monitorizare ale operatorului |
Băncile care achiziționează IA de scorare a creditului de la un furnizor fintech acționează ca operatori de implementare în temeiul Art. 26. Acestea trebuie să verifice că furnizorul a finalizat evaluarea conformității, să integreze revizuirea umană în procesele de decizie adversă, să mențină jurnalele de utilizare timp de 10 ani (Art. 26(6)) și să asigure că deciziile IA sunt explicate persoanelor afectate în temeiul GDPR Art. 22 și Art. 13 al Actului UE privind IA.
Suprapunerea cu Reglementările Sectoriale: DORA, MiFID II și Solvency II
DORA (Regulamentul 2022/2554) se aplică băncilor, firmelor de investiții, companiilor de asigurări și furnizorilor TIC terți. Specific pentru IA, DORA impune:
- Sistemele IA tratate ca sisteme TIC supuse cadrelor de gestionare a riscului (Art. 6 DORA)
- Clasificarea și raportarea incidentelor legate de TIC — eșecurile IA pot constitui incidente TIC majore
- Testarea rezilienței sistemelor TIC critice — modelele IA incluse acolo unde sunt esențiale pentru operațiuni
- Gestionarea riscului terților care acoperă contractele cu furnizorii de IA, strategiile de ieșire și drepturile de audit
MiFID II (Directiva privind Piețele în Instrumente Financiare) se aplică tranzacționării algoritmice și consultanței în investiții. Recomandările de investiții generate de IA declanșează cerințe de evaluare a adecvării; sistemele de tranzacționare algoritmică necesită controale pre-tranzacție, întrerupătoare de urgență și notificare de reglementare.
Ghidurile EBA privind Gestionarea Riscului TIC și al Securității (EBA/GL/2019/04, actualizate în 2022) impun guvernanța riscului tehnologic care acoperă modelele IA, cerințele de continuitate operațională și independența validării modelelor. Acestea se aliniază substanțial cu cerințele de gestionare a riscului din Art. 9 al Actului UE privind IA.
Autorități de Aplicare
Aplicarea Actului UE privind IA pentru IA bancară funcționează printr-o structură de autoritate pe două niveluri:
Autoritățile Naționale Competente (ANC) desemnate de fiecare Stat Membru în temeiul Art. 70 sunt principalele organisme de aplicare a Actului privind IA. Acestea pot efectua supravegherea pieței, pot solicita documentație tehnică și pot impune amenzi (până la 30 milioane EUR sau 6% din cifra de afaceri anuală globală în temeiul Art. 99).
Autoritatea Bancară Europeană (EBA) coordonează supravegherea sectorială a IA în cadrul uniunii bancare, furnizează standarde tehnice privind riscul TIC și emite ghiduri care modelează așteptările de supraveghere naționale. EBA participă, de asemenea, la Consiliul European pentru IA instituit în temeiul Art. 65.
BCE și supraveghetorii prudențiali naționali pot solicita documentația modelelor IA ca parte a evaluărilor SREP (Procesul de Supraveghere și Evaluare) în temeiul CRD IV, acolo unde IA conduce decizii materiale de credit sau de risc operațional.
Foaie de Parcurs pentru Conformitate pentru Bănci
Imediat (acum → august 2026): Finalizați verificarea conformității cu interdicțiile — examinați toate sistemele IA pentru practici interzise în temeiul Art. 5, inclusiv scorarea socială și identificarea biometrică în timp real în spații publice. Aceste interdicții se aplică imediat pentru contractele noi.
T3 2026 — Auditul de clasificare a riscului ridicat: Cartografiați toate sistemele IA implementate și în curs de dezvoltare față de Anexa III, în special categoriile 5(b) și 5(c). Documentați rațiunea clasificării. Implicați departamentele juridice și de conformitate pentru a evalua suprapunerea cu DORA.
T4 2026 — Obligații de furnizor pentru IA internă: Pentru modelele de scorare a creditului și de subscriere construite intern, inițiați procedurile de evaluare a conformității, elaborați documentația tehnică conform Anexei IV și implementați SMC în temeiul Art. 17.
2027 — Obligații de operator pentru IA terță: Auditați toate contractele cu furnizorii de IA pentru conformitatea cu Actul UE privind IA. Solicitați furnizorilor să furnizeze declarații de conformitate și numere de înregistrare. Actualizați acordurile de prelucrare a datelor pentru a reflecta obligațiile de jurnalizare din Art. 26.
August 2027 — Obligații GPAI efective: Asigurați că toate LLM-urile și modelele de fundament terțe utilizate în aplicațiile bancare respectă Art. 51–55. Verificați că furnizorii au publicat documentația de transparență în temeiul Art. 53.
Decembrie 2027 — Termenul pentru IA cu risc ridicat: Conformitate deplină impusă pentru toate sistemele IA cu risc ridicat din Anexa III. Asigurați înregistrarea în baza de date a Actului UE privind IA, mecanismele operaționale de supraveghere umană și planurile de monitorizare post-piață în temeiul Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Băncile se confruntă cu obligații din Actul UE privind IA în principal prin categoriile 5(b) și 5(c) ale Anexei III: IA utilizată în evaluarea bonității creditului și scorarea creditului, și IA utilizată în subscrierea asigurărilor de viață și de sănătate. Acestea sunt clasificate ca sisteme IA cu risc ridicat, necesitând evaluări ale conformității, documentație tehnică, mecanisme de supraveghere umană și înregistrare în baza de date a Actului UE privind IA. În plus, băncile care utilizează IA pentru verificarea anti-spălare a banilor (AML), detectarea fraudelor sau diligența față de clienți pot fi vizate de Anexa III, în funcție de funcția sistemului și deciziile pe care le influențează.
DORA (Actul privind Reziliența Operațională Digitală, Regulamentul 2022/2554) și Actul UE privind IA creează obligații suprapuse, dar distincte. DORA impune entităților financiare să gestioneze riscul TIC, să efectueze teste de reziliență și să mențină capacități de raportare a incidentelor — aceasta se aplică sistemelor IA ca instrumente TIC. Actul UE privind IA adaugă clasificarea riscurilor, evaluarea conformității, transparența și cerințe de supraveghere umană specifice sistemelor IA. O instituție de credit care operează un sistem de scorare a creditului bazat pe IA trebuie să satisfacă atât cadrul de gestionare a riscului TIC al DORA, cât și cerințele pentru IA cu risc ridicat ale Actului UE privind IA. Ghidurile EBA privind gestionarea riscului TIC și al securității se aplică în paralel.
Sistemele de tranzacționare algoritmică nu sunt enumerate direct în Anexa III, deci nu constituie automat IA cu risc ridicat în temeiul Actului UE privind IA. Totuși, dacă un algoritm de tranzacționare este utilizat ca parte a unei evaluări a bonității creditului sau influențează accesul la servicii financiare în mod care afectează persoanele fizice, poate intra în domeniul de aplicare al Anexei III. Cerințele MiFID II pentru tranzacționarea algoritmică — inclusiv întrerupătoarele de urgență, testarea sistemelor și pistele de audit — rămân pe deplin aplicabile. Cerințele de transparență ale Actului UE privind IA din Art. 50 se aplică IA care interacționează cu persoane fizice, iar obligațiile privind modelele GPAI din Art. 51 se aplică modelelor lingvistice de mari dimensiuni utilizate în platformele de tranzacționare sau analiză.
Autoritatea Bancară Europeană (EBA) a publicat ghiduri privind guvernanța internă (EBA/GL/2021/05) și gestionarea riscului TIC care informează direct așteptările privind guvernanța IA pentru bănci. Cerințele cheie includ responsabilitatea la nivel de consiliu de administrație pentru strategia IA, validarea independentă a modelelor IA utilizate în riscul de credit, cadre de risc operațional care acoperă eșecurile IA și cerințe de explicabilitate pentru sistemele IA care afectează deciziile de credit. Consultările EBA privind învățarea automată pentru modelele IRB stabilesc standarde cantitative pentru validarea modelelor, calitatea datelor și monitorizarea performanței, care se aliniază îndeaproape cu cerințele de gestionare a riscului din Art. 9 al Actului UE privind IA.
Da, în principiu — Actul UE privind IA se aplică indiferent de dimensiunea companiei. Totuși, Art. 9(5) impune ca sistemele de gestionare a riscului să fie proporționale cu dimensiunea și natura furnizorului sau operatorului. Prevederile pentru IMM-uri și start-up-uri din Art. 55 și Art. 57 până la Art. 63 oferă acces la sandbox-uri de reglementare operate de autoritățile naționale competente, reducând barierele pentru testarea conformității. Centrul de Inovație al EBA și Forumul European pentru Facilitatori ai Inovației (EFIF) oferă sprijin suplimentar firmelor fintech care navighează reglementarea IA.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.