Banky, poisťovne, správcovia aktív a platobné inštitúcie čelia povinnostiam nariadenia EÚ o AI vrstveným na existujúcu finančnú reguláciu (DORA, MiFID II, GDPR, CRR). Táto stránka vysvetľuje, ktoré prípady použitia AI sú vysokorizikové, ako sektoroví regulátori interagujú s nariadením o AI a čo musia finančné inštitúcie urobiť na dodržiavanie súladu.
Nariadenie o AI prichádza do financií
Finančné inštitúcie — banky, poisťovne, správcovia aktív, poskytovatelia platobných služieb, úverové kancelárie — patria medzi najintenzívnejších používateľov AI v Európe. Kreditné skórovanie, detekcia podvodov, algoritmické obchodovanie, profilovanie klientov, upisovanie poistenia, automatizácia regulačného reportingu a skríning AML/KYC všetky spoliehajú na systémy AI, ktoré môžu podliehať nariadeniu EÚ o AI.
Pre finančné inštitúcie nariadenie EÚ o AI neprístupi izolovane. Vrstí sa na vrchol už hustého regulačného zásobníka: DORA (digitálna odolnosť), MiFID II (investičné služby), GDPR (ochrana údajov), CRR/CRD (kapitálové požiadavky), Solvency II (poistenie), PSD2/PSD3 (platobné služby) a sektorové usmernenia EBA, EIOPA a ESMA. Pochopenie, ako nariadenie o AI integruje — a niekedy je v konflikte s — existujúcou finančnou reguláciou, je nevyhnutné pre efektívny súlad.
Ktoré prípady použitia AI sú vysokorizikové vo financiách?
Príloha III nariadenia EÚ o AI identifikuje prípady použitia, ktoré sú automaticky vysokorizikové. Vo finančnom sektore sú najpriamejšie relevantné:
Kategória 5(b): Hodnotenie úverovej spôsobilosti
Vysokorizikové. Systémy AI používané na hodnotenie úverovej spôsobilosti fyzických osôb alebo klasifikáciu fyzických osôb z hľadiska kreditného rizika sú výslovne uvedené. To zahŕňa:
- Automatizované kreditné skórovanie pre spotrebiteľské pôžičky, osobné kontokorenty, kreditné karty a hypotéky
- Modely, ktoré hodnotia pravdepodobnosť splácania, riziko zlyhania alebo kapacitu dlhu jednotlivých spotrebiteľov
- Systémy AI, ktoré odporúčajú úverové limity alebo výšku pôžičiek na základe individuálneho hodnotenia rizík
Automaticky nepokryté: Podnikové úverové modely hodnotenia právnych subjektov a nie fyzických osôb, hoci tieto môžu stále spúšťať povinnosti transparentnosti čl. 50 v závislosti od nasadenia.
Kategória 5(b): Rozhodnutia o poistnom prémiu a krytí
Vysokorizikové, ak výrazne ovplyvňujú fyzické osoby. Systémy AI, ktoré robia alebo silne ovplyvňujú rozhodnutia o:
- Poistnom krytí (akceptovanie alebo odmietnutie žiadateľov)
- Výške prémií (aktuárske modely, ktoré stanovujú individuálne prémie)
- Hodnotení a vyrovnaní nárokov (automatizované spracovanie nárokov)
Modely oceňovania motorového poistenia, upisovanie zdravotného poistenia a modely majetkového poistenia pre domácnosti sú priamo v rozsahu. Určujúcim faktorom je, či systém AI robí alebo výrazne ovplyvňuje rozhodnutie, ktoré materiálne ovplyvňuje prístup fyzickej osoby k základnej súkromnej službe.
Kategória 1: Biometrická identifikácia
Vysokorizikové. Systémy AI používané na:
- Vzdialenú biometrickú identifikáciu zákazníkov (KYC video overenie, priebežná autentifikácia)
- Biometrickú kategorizáciu, kde ovplyvňuje klasifikáciu rizík alebo prístup k službám
Biometrická identifikácia v reálnom čase na verejne prístupných miestach na účely presadzovania práva je zakázaná podľa čl. 5. Komerčné systémy overenia identity pomocou rozpoznávania tváre pre KYC podliehajú požiadavkám vysokorizikového systému, ale nie sú zakázané.
Kategória 6: AML/KYC a priliehajúce k presadzovaniu práva
Systémy AI používané finančnými inštitúciami na podporu skríningu AML/KYC, filtrovania sankcií alebo monitorovania transakcií kde výsledok je hlásený alebo používaný orgánmi presadzovania práva môžu spadať pod Prílohu III kategória 6 (presadzovanie práva). To zahŕňa:
- Správy o podozrivých aktivitách generované AI (SAR) odoslané FIU
- Automatizované systémy skríningu PEP (politicky exponovaných osôb)
Systémy používané čisto na interné riadenie rizík bez výstupu presadzovania práva sú menej pravdepodobné, že budú klasifikované ako vysokorizikové podľa kategórie 6, hoci iné kategórie môžu platiť.
Čo povinnosti vysokorizikových systémov AI znamenajú pre finančné inštitúcie
Ak je systém AI používaný finančnou inštitúciou vysokorizikový podľa Prílohy III, povinnosti sa líšia v závislosti od toho, či je inštitúcia poskytovateľom (vybudovala systém) alebo nasadzujúcim subjektom (zakúpila alebo licencovala ho).
Ak ste poskytovateľom (vybudovali systém)
- Systém riadenia rizík (čl. 9): Zaviesť a udržiavať zdokumentovaný proces riadenia rizík iterujúci počas celého životného cyklu systému
- Správa údajov (čl. 10): Trénovacie, validačné a testovacie údaje musia podliehať postupom správy pokrývajúcim relevantnosť, reprezentatívnosť a hodnotenie zaujatosti
- Technická dokumentácia (Príloha IV): Úplný technický spis vrátane popisu systému, architektúry, prístupu k trénovaniu, metrík výkonu a plánu post-market monitoringu
- Transparentnosť (čl. 13): Pokyny na používanie umožňujúce nasadzujúcim subjektom pochopiť schopnosti, obmedzenia a požiadavky dohľadu
- Ľudský dohľad (čl. 14): Opatrenia dizajnu umožňujúce ľudský dohľad a zásah
- Presnosť, robustnosť, kybernetická bezpečnosť (čl. 15): Preukázané úrovne výkonu a odolnosti
- Posúdenie zhody: Sebahodnotenie (Príloha VI) pre väčšinu systémov Prílohy III alebo posúdenie notifikovaným orgánom pre biometrické systémy
- Označenie CE a EÚ vyhlásenie o zhode
- Registrácia v databáze EÚ AI
- Post-market monitoring (čl. 72): Aktívny systém zberu reálnych výkonnostných údajov a hlásenia incidentov
Ak ste nasadzujúcim subjektom (zakúpili/licencovali systém)
- Súlad s pokynmi: Používajte systém striktne v súlade s pokynmi poskytovateľa
- Ľudský dohľad: Prideľte kvalifikovaný personál na výkon dohľadu s príslušnou autoritou a zdrojmi
- Kvalita vstupných údajov: Zabezpečte, aby vstupné údaje boli relevantné a reprezentatívne pre konkrétny kontext nasadenia
- Uchovávanie protokolov: Aktivujte a uchovávajte automatizované protokoly po požadované obdobie
- Hlásenie incidentov: Hláste závažné incidenty poskytovateľovi a v niektorých prípadoch priamo orgánom
- Hodnotenie vplyvu na základné práva (čl. 27): Vyžaduje sa pre verejné orgány; odporúča sa pre nasadzujúce subjekty súkromného sektora v citlivých kontextoch
Interakcia s DORA
Nariadenie o digitálnej prevádzkovej odolnosti (DORA) nadobudlo uplatňovanie v januári 2025 a ukladá komplexné požiadavky na riadenie rizík ICT finančným inštitúciám — vrátane systémov AI ako komponentov ICT.
Kľúčové interakčné body:
Rámec riadenia rizík ICT
DORA vyžaduje, aby finančné inštitúcie udržiavali rámec riadenia rizík ICT pokrývajúci identifikáciu, ochranu, detekciu, reakciu a obnovu. Systémy AI sú nástrojmi ICT podliehajúcimi tomuto rámcu. Nariadenie EÚ o AI pridáva požiadavky špecifické pre AI na vrch: testovanie zaujatosti, dokumentácia transparentnosti, dizajn ľudského dohľadu a riadenie životného cyklu.
V praxi: Model kreditného skórovania AI banky musí spĺňať riadenie rizík ICT DORA (detekcia incidentov, plánovanie kontinuity, riadenie zmien) aj požiadavky nariadenia EÚ o AI na vysokorizikové systémy (systém riadenia rizík, technická dokumentácia, post-market monitoring).
Riziko tretích strán (poskytovatelia ICT tretích strán)
DORA ukladá detailné požiadavky na riadenie poskytovateľov ICT tretích strán — vrátane zmluvných požiadaviek, práv na audit a dohľadu nad kritickými poskytovateľmi. Keď finančná inštitúcia používa systém AI tretej strany (napr. model kreditného skórovania dodaný dodávateľom), požiadavky DORA na riadenie rizík tretích strán sa vzťahujú na tohto dodávateľa.
Povinnosti nasadzujúceho subjektu nariadenia o AI tiež platia — vyžadujúc od poskytovateľa, aby dodal pokyny, dokumentáciu zhody a schopnosť protokolovania. Finančné inštitúcie by mali zabezpečiť, aby ich zmluvy s dodávateľmi AI splňovali požiadavky poskytovateľa ICT DORA aj práva nasadzujúcich subjektov na informácie podľa nariadenia o AI.
Hlásenie incidentov
DORA má vlastný rámec hlásenia incidentov pre významné incidenty súvisiace s ICT, hlásené sektorovým dozorom (EBA, EIOPA, ESMA). Nariadenie EÚ o AI vyžaduje hlásenie závažných incidentov zahŕňajúcich vysokorizikové systémy AI národným orgánom trhového dohľadu.
Ide o samostatné povinnosti hlásenia rôznym orgánom. Závažný incident zahŕňajúci systém AI kreditného skórovania by mohol spustiť správu o incidente DORA (EBA/národný finančný dozor) aj správu o incidente nariadenia EÚ o AI (orgán trhového dohľadu).
Sektoroví dozoroví orgány a presadzovanie nariadenia o AI
Pre finančné inštitúcie majú sektoroví finanční dozoroví orgány — EBA (bankovníctvo), EIOPA (poistenie), ESMA (cenné papiere a trhy) — špecifickú úlohu pri implementácii nariadenia EÚ o AI, hoci nie sú primárnym orgánom presadzovania nariadenia o AI.
Podľa nariadenia o AI sa finančné inštitúcie, ktoré sú poskytovateľmi vysokorizikových systémov AI, musia registrovať v databáze EÚ AI. Vo finančnom sektore môže byť príslušný finančný dozorný orgán určený ako alebo spolupracovať s národným orgánom trhového dohľadu zodpovedným za dohľad nariadenia o AI v tomto sektore.
Európske dozorné orgány (ESA) boli aktívne v:
- Zverejňovaní usmernení o správe AI vo finančných službách (usmernenia EBA o internom riadení, ML/AI v úverovom riziku)
- Prispievaní k implementačnému usmerneniu nariadenia o AI pre finančný sektor
- Koordinácii s Úradom EÚ pre AI o dohľade nad modelmi GPAI, keďže ovplyvňuje finančné služby
Praktické priority súladu pre finančné inštitúcie
-
Inventár všetkých systémov AI v používaní — klasifikujte každý podľa kritérií Prílohy III. Uprednostnite systémy kreditnej spôsobilosti, oceňovania poistenia a biometrické/KYC systémy.
-
Určite stav poskytovateľa vs. nasadzujúceho subjektu pre každý systém — používate modely dodané dodávateľom alebo budujete interne?
-
Zosúladte správu AI s rámcom rizík ICT DORA — integrujte povinnosti nariadenia o AI do existujúcej štruktúry riadenia DORA, aby ste sa vyhli duplicitným procesom.
-
Preskúmajte zmluvy s dodávateľmi AI — zabezpečte, aby zmluvy poskytovať: dokumentáciu zhody, pokyny na používanie, prístup k protokolovaniu, záväzky oznamovania incidentov, záväzky aktualizácií a práva na audit.
-
Zaveďte mechanizmy ľudského dohľadu — pre vysokorizikové prípady použitia AI zabezpečte, aby kvalifikovaní pracovníci mali právomoc, nástroje a čas zmysluplne preskúmať výstupy AI pred prijatím závažných rozhodnutí.
-
Prepojte post-market monitoring — rozšírte existujúce procesy riadenia modelového rizika (validácia modelov Basel, riadenie zmien DORA) o požiadavky post-market monitoringu čl. 72.
-
Pripravte sa na databázu EÚ AI — ak ste poskytovateľom vysokorizikových systémov AI, registrácia je povinná. Ak ste nasadzujúcim subjektom verejného orgánu, registrácia môže byť tiež vyžadovaná.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Áno. Systémy AI hodnotenia úverovej spôsobilosti — používané na hodnotenie úverovej spôsobilosti fyzických osôb alebo hodnotenie kreditného rizika — sú výslovne uvedené v Prílohe III, kategória 5(b) ako vysokorizikové. To zahŕňa automatizované kreditné skórovanie pre spotrebiteľské pôžičky, hypotéky, kreditné karty a kontokorenty. Systémy používané výlučne na hodnotenie podnikového úveru nemusia byť v rozsahu, ale systémy zahŕňajúce hodnotenie jednotlivých fyzických osôb sú jasne pokryté.
DORA (nariadenie o digitálnej prevádzkovej odolnosti) a nariadenie EÚ o AI majú prekrývajúce sa, ale odlišné rozsahy. DORA pokrýva riadenie rizík ICT vo všeobecnosti — vrátane systémov AI ako nástrojov ICT — s požiadavkami na hlásenie incidentov, testovanie odolnosti a riadenie rizík tretích strán. Nariadenie EÚ o AI pridáva špecifické povinnosti AI (testovanie zaujatosti, transparentnosť, ľudský dohľad, post-market monitoring) pre vysokorizikové prípady použitia AI. Pre finančné inštitúcie si súlad vyžaduje riešenie oboch rámcov — DORA neoslobodzuje inštitúcie od povinností nariadenia o AI a nariadenie o AI nenahrádza požiadavky DORA na riziko ICT.
Závisí od prípadu použitia. Systémy AI používané na detekciu podvodov pri transakciách v reálnom čase — kde AI označuje podozrivé transakcie na ľudskú kontrolu alebo ich automaticky blokuje — nie sú automaticky vysokorizikové podľa Prílohy III. Ak však systém robí alebo silne ovplyvňuje rozhodnutia, ktoré výrazne ovplyvňujú jednotlivcov (napr. blokovanie účtu, zníženie úverového limitu, odmietnutie poistného plnenia), prípad použitia môže spadať do kategórie Prílohy III č. 5 (prístup k základným službám). Právna istota bude závisieť od regulačného usmernenia a konkrétneho nasadenia.
Systémy AI na oceňovanie poistenia a upisovanie, ktoré robia alebo silne ovplyvňujú rozhodnutia o krytí, výške prémií alebo vyrovnaní nárokov pre fyzické osoby, pravdepodobne spadajú do kategórie Prílohy III č. 5 (prístup k základným súkromným službám). To zahŕňa modely oceňovania motorového, zdravotného a majetkového poistenia. Modely upisovania životného poistenia, ktoré hodnotia riziko dlhovekosti pre jednotlivcov, môžu byť tiež pokryté. Každý prípad použitia musí byť individuálne posúdený voči kritériám Prílohy III.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.