Povinnosti vyplývajúce z nariadenia EÚ o umelej inteligencii pre banky, úverové inštitúcie a fintech spoločnosti. Bodovanie kreditu, systémy AML, algoritmické obchodovanie, prekrývanie s DORA a usmernenia EBA.
Prečo bankovníctvo čelí koncentrovanej expozícii voči nariadeniu EÚ o umelej inteligencii
Sektor bankovníctva a finančných služieb sa nachádza na priesečníku najprísnejších povinností nariadenia EÚ o umelej inteligencii a najzložitejšieho regulačného prostredia v EÚ. Finančné inštitúcie patria medzi najväčších nasadzovateľov AI v Európe — v oblasti kreditného upisovania, detekcie podvodov, screeningu AML/CFT, hĺbkovej kontroly klientov, algoritmického obchodovania a správy majetku. Nariadenie EÚ o umelej inteligencii priamo cieli na najdôslednejšie z týchto prípadov použitia prostredníctvom Annex III, pričom niekoľko finančných aplikácií AI klasifikuje ako vysokorizikové z definície.
Bankovníctvo tiež funguje pod hustou existujúcou regulačnou vrstvou: DORA, MiFID II, CRD IV/CRR, Smernice AML, GDPR a BCBS 239. Nariadenie EÚ o umelej inteligencii tieto rámce nenahrádza — pridáva sa k nim. Pre úverovú inštitúciu nasadzovanie modelu kreditného skórovania na báze AI spúšťa súčasné povinnosti podľa Nariadenia o AI (Annex III, Art. 9–16), DORA (riadenie rizika IKT) a usmernení EBA o riadení modelového rizika.
Vysokorizikové prípady použitia AI v bankovníctve podľa Annex III
Annex III, kategória 5(b) explicitne uvádza AI používanú na hodnotenie úveruschopnosti alebo kreditného skórovania fyzických osôb a AI používanú na hodnotenie kreditného rizika právnických osôb, kde AI určuje alebo podstatne ovplyvňuje výsledok. To zachytáva širokú škálu nasadení finančnej AI.
Modely kreditného skórovania a upisovania — automatizované systémy, ktoré určujú oprávnenosť na úver, kreditné limity alebo úrokové sadzby pre retailových a MSP klientov — sú vysokorizikové AI podľa Art. 6(2) v spojení s Annex III. Banky konajúce ako poskytovatelia týchto systémov musia dokončiť posudzovanie zhody, udržiavať technickú dokumentáciu podľa Art. 11, implementovať systémy riadenia rizík podľa Art. 9, zabezpečiť mechanizmy ľudského dohľadu podľa Art. 14 a zaregistrovať systém v databáze nariadenia EÚ o umelej inteligencii (Art. 71) pred nasadením.
Systémy AML a detekcie podvodov predstavujú zložitejší obraz. Systémy, ktoré uplatňujú screening sankcií, monitorovanie transakcií alebo behaviorálnu analytiku na označenie podozrivej aktivity, vo všeobecnosti ovplyvňujú finančné inštitúcie, než aby priamo určovali výsledky pre jednotlivcov. Kde je výstup AI primárnym základom pre nepriaznivé opatrenie voči klientovi (zmrazenie účtu, odmietnutie služby), môže byť spustená vysokoriziková klasifikácia podľa Annex III kat. 5(b) alebo kat. 6 (presadzovanie práva) v závislosti od úlohy národného orgánu. Banky musia vykonať starostlivú klasifikačnú analýzu.
Nástroje na báze GPAI — veľké jazykové modely používané na zákaznícky servis, spracovanie dokumentov alebo investičnú analýzu — podliehajú požiadavkám transparentnosti podľa Art. 50 (zverejnenie, že používatelia interagujú s AI) a, kde má poskytovateľ modelu systémové riziko, povinnostiam podľa Art. 55.
Povinnosti poskytovateľa vs. prevádzkovateľa pre banky
Banky môžu konať ako poskytovatelia (budujúci vlastné modely AI), prevádzkovatelia (používajúci systémy AI tretích strán) alebo oboje. Rozlišovanie určuje profil povinností:
| Úloha | Zdroj povinností | Kľúčové požiadavky |
|---|---|---|
| Poskytovateľ | Art. 9–17 | Posudzovanie zhody, technická dokumentácia, QMS, registrácia |
| Prevádzkovateľ | Art. 26 | Monitorovanie systému, zabezpečenie ľudského dohľadu, vedenie záznamov, informovanie používateľov |
| Oboje | Art. 9–17 + Art. 26 | Úplné povinnosti poskytovateľa + povinnosti monitorovania prevádzkovateľa |
Banky nakupujúce AI kreditného skórovania od fintech dodávateľa konajú ako prevádzkovatelia podľa Art. 26. Musia overiť, že dodávateľ dokončil posudzovanie zhody, integrovať ľudský preskúmanie do procesov nepriaznivého rozhodnutia, udržiavať záznamy o používaní po dobu 10 rokov (Art. 26(6)) a zabezpečiť, aby boli rozhodnutia AI vysvetlené dotknutým osobám podľa GDPR Art. 22 a Art. 13 nariadenia EÚ o umelej inteligencii.
Prekrývanie sektorovej regulácie: DORA, MiFID II a Solventnosť II
DORA (Nariadenie 2022/2554) sa vzťahuje na banky, investičné spoločnosti, poisťovacie spoločnosti a poskytovateľov IKT tretích strán. Konkrétne pre AI, DORA vyžaduje:
- Systémy AI považované za systémy IKT podliehajúce rámcom riadenia rizík (Art. 6 DORA)
- Klasifikácia a hlásenie incidentov súvisiacich s IKT — zlyhania AI môžu predstavovať závažné incidenty IKT
- Testovanie odolnosti kritických systémov IKT — modely AI zahrnuté tam, kde sú materiálne pre prevádzku
- Riadenie rizika tretích strán pokrývajúce zmluvy s dodávateľmi AI, stratégie odchodu a práva na audit
MiFID II (Smernica o trhoch s finančnými nástrojmi) sa vzťahuje na algoritmické obchodovanie a investičné poradenstvo. Investičné odporúčania generované AI spúšťajú požiadavky na hodnotenie vhodnosti; systémy algoritmického obchodovania vyžadujú predbežné obchodné kontroly, núdzové vypínače a regulačné oznámenie.
Usmernenia EBA k riadeniu rizika IKT a bezpečnosti (EBA/GL/2019/04, aktualizované 2022) nariaďujú správu technologického rizika pokrývajúcu modely AI, požiadavky na prevádzkovú kontinuitu a nezávislosť validácie modelov. Tieto sa v podstatnej miere zhodujú s požiadavkami riadenia rizík podľa Art. 9 nariadenia EÚ o umelej inteligencii.
Orgány presadzovania práva
Presadzovanie nariadenia EÚ o umelej inteligencii pre bankové AI funguje prostredníctvom dvojvrstvovej štruktúry orgánov:
Príslušné vnútroštátne orgány (NCA) určené každým členským štátom podľa Art. 70 sú primárnymi orgánmi presadzovania Nariadenia o AI. Môžu vykonávať trhový dohľad, žiadať technickú dokumentáciu a ukladať pokuty (až do výšky 30 mil. EUR alebo 6 % celosvetového ročného obratu podľa Art. 99).
Európsky orgán pre bankovníctvo (EBA) koordinuje sektorovo špecifický dohľad nad AI v celej bankovej únii, poskytuje technické normy v oblasti rizika IKT a vydáva usmernenia, ktoré formujú národné supervízne očakávania. EBA sa tiež zúčastňuje na Európskej rade pre AI zriadenej podľa Art. 65.
ECB a národní prudenciálni supervízori môžu požadovať dokumentáciu modelov AI ako súčasť hodnotení SREP (Supervisory Review and Evaluation Process) podľa CRD IV, kde AI riadi materiálne kreditné alebo operačné rizikové rozhodnutia.
Plán dodržiavania súladu pre banky
Okamžite (teraz → august 2026): Vykonajte kontrolu dodržiavania zákazov — preskúmajte všetky systémy AI na praktiky zakázané podľa Art. 5, vrátane sociálneho skórovania a biometrickej identifikácie v reálnom čase na verejných priestranstvách. Tieto zákazy platia okamžite pre nové zmluvy.
Q3 2026 — Audit vysokorizikovej klasifikácie: Zmapujte všetky nasadené a vyvíjané systémy AI voči Annex III, konkrétne kategórie 5(b) a 5(c). Zdokumentujte odôvodnenie klasifikácie. Zapojte právnikov a compliance na posúdenie prekrývania s DORA.
Q4 2026 — Povinnosti poskytovateľa pre internú AI: Pre modely kreditného skórovania a upisovania vytvorené interne iniciujte postupy posudzovania zhody, vypracujte technickú dokumentáciu podľa Annex IV a implementujte QMS podľa Art. 17.
2027 — Povinnosti prevádzkovateľa pre AI tretích strán: Auditujte všetky zmluvy s dodávateľmi AI z hľadiska súladu s nariadením EÚ o umelej inteligencii. Požadujte od poskytovateľov vyhlásenia o zhode a registračné čísla. Aktualizujte dohody o spracovaní údajov tak, aby odrážali povinnosti vedenia záznamov podľa Art. 26.
August 2027 — Účinnosť povinností GPAI: Zabezpečte, aby všetky veľké jazykové modely a základné modely tretích strán používané v bankových aplikáciách spĺňali Art. 51–55. Overte, že poskytovatelia zverejnili dokumentáciu transparentnosti podľa Art. 53.
December 2027 — Termín pre vysokorizikové AI: Vyžaduje sa úplný súlad pre všetky vysokorizikové systémy AI podľa Annex III. Zabezpečte registráciu v databáze nariadenia EÚ o umelej inteligencii, funkčné mechanizmy ľudského dohľadu a plány monitorovania po uvedení na trh podľa Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banky čelia povinnostiam vyplývajúcim z nariadenia EÚ o umelej inteligencii najmä prostredníctvom kategórií Annex III 5(b) a 5(c): umelá inteligencia používaná na hodnotenie úveruschopnosti a kreditné skórovanie, a umelá inteligencia používaná v upisovaní životného a zdravotného poistenia. Tieto sú klasifikované ako vysokorizikové systémy AI vyžadujúce posudzovanie zhody, technickú dokumentáciu, mechanizmy ľudského dohľadu a registráciu v databáze nariadenia EÚ o umelej inteligencii. Okrem toho banky, ktoré nasadzujú AI na screening proti praniu špinavých peňazí (AML), detekciu podvodov alebo hĺbkovú kontrolu klientov, môžu byť zahrnuté pod Annex III v závislosti od funkcie systému a rozhodnutí, ktoré ovplyvňuje.
DORA (Digital Operational Resilience Act, Nariadenie 2022/2554) a nariadenie EÚ o umelej inteligencii vytvárajú prekrývajúce sa, ale odlišné povinnosti. DORA vyžaduje, aby finančné subjekty riadili riziko IKT, vykonávali testovanie odolnosti a udržiavali možnosti hlásenia incidentov — to sa vzťahuje na systémy AI ako nástroje IKT. Nariadenie EÚ o umelej inteligencii pridáva klasifikáciu rizík, posudzovanie zhody, transparentnosť a požiadavky na ľudský dohľad pre systémy AI konkrétne. Úverová inštitúcia prevádzkujúca systém kreditného skórovania riadený AI musí splniť rámec riadenia rizika IKT podľa DORA aj požiadavky na vysokorizikové AI podľa nariadenia EÚ o umelej inteligencii. Usmernenia EBA k riadeniu rizika IKT a bezpečnosti sa uplatňujú paralelne.
Systémy algoritmického obchodovania nie sú priamo uvedené v Annex III, takže automaticky nepredstavujú vysokorizikové AI podľa nariadenia EÚ o umelej inteligencii. Ak sa však obchodovací algoritmus používa ako súčasť hodnotenia úveruschopnosti alebo ovplyvňuje prístup k finančným službám spôsobom, ktorý má vplyv na jednotlivcov, môže spadať do rozsahu pôsobnosti Annex III. Požiadavky MiFID II pre algoritmické obchodovanie — vrátane núdzových vypínačov, testovania systémov a auditných záznamov — zostávajú plne uplatniteľné. Požiadavky na transparentnosť podľa Art. 50 nariadenia EÚ o umelej inteligencii sa vzťahujú na AI komunikujúcu s fyzickými osobami a povinnosti modelov GPAI podľa Art. 51 sa vzťahujú na veľké jazykové modely používané na platformách obchodovania alebo analýzy.
Európsky orgán pre bankovníctvo (EBA) vydal usmernenia o internom riadení (EBA/GL/2021/05) a riadení rizika IKT, ktoré priamo informujú očakávania správy AI pre banky. Kľúčové požiadavky zahŕňajú zodpovednosť na úrovni predstavenstva za stratégiu AI, nezávislé overovanie modelov AI používaných v kreditnom riziku, rámce operačného rizika pokrývajúce zlyhania AI a požiadavky na vysvetliteľnosť pre systémy AI ovplyvňujúce kreditné rozhodnutia. Konzultácie EBA o strojovom učení pre modely IRB stanovujú kvantitatívne štandardy pre validáciu modelov, kvalitu údajov a monitorovanie výkonu, ktoré úzko súvisia s požiadavkami riadenia rizík podľa Art. 9 nariadenia EÚ o umelej inteligencii.
Áno, v zásade — nariadenie EÚ o umelej inteligencii sa uplatňuje bez ohľadu na veľkosť spoločnosti. Art. 9(5) však vyžaduje, aby systémy riadenia rizík boli primerané veľkosti a povahe poskytovateľa alebo prevádzkovateľa. Ustanovenia pre MSP a startupy podľa Art. 55 a Art. 57 až Art. 63 poskytujú prístup k regulačným pieskoiskoviskám prevádzkovaným príslušnými vnútroštátnymi orgánmi, čím sa znižujú prekážky testovania zhody. EBA Innovation Hub a Európske fórum pre facilitátorov inovácií (EFIF) poskytujú ďalšiu podporu pre fintech spoločnosti navigujúce reguláciu AI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.