Akt EU o UI v finančnem sektorju: Banke, Zavarovalnice in Kreditne institucije

Banke, zavarovalnice, upravljavci premoženja in plačilne institucije se soočajo z obveznostmi Akta EU o UI, ki so se naložile na obstoječe finančne predpise (DORA, MiFID II, GDPR, CRR). Ta stran pojasnjuje, kateri primeri uporabe UI so visokotveganostni, kako sektorski regulatorji sovplivajo z Aktom o UI in kaj morajo finančne institucije storiti za zagotovitev skladnosti.

Akt o UI prihaja v financah

Finančne institucije — banke, zavarovalnice, upravljavci premoženja, ponudniki plačil, kreditni uradi — so med najintenzivnejšimi uporabniki UI v Evropi. Kreditno točkovanje, zaznavanje goljufij, algoritemsko trgovanje, profiliranje kreditnega tveganja strank, zavarovanje, avtomatizacija regulativnega poročanja in presejanje preprečevanja pranja denarja/poznaj-svojo-stranko se vse zanašajo na sisteme UI, ki so morda zavezani Aktu EU o UI.

Za finančne institucije Akt EU o UI ne prihaja v izolaciji. Nalaga se na že gosto regulativno sklado: DORA (digitalna odpornost), MiFID II (investicijske storitve), GDPR (varstvo podatkov), CRR/CRD (kapitalske zahteve), Solvency II (zavarovalništvo), PSD2/PSD3 (plačilne storitve) in sektorske smernice EBA, EIOPA in ESMA. Razumevanje, kako se Akt o UI integrira z — in včasih nasprotuje — obstoječi finančni regulativi, je bistvenega pomena za učinkovito skladnost.

Kateri primeri uporabe UI so visokotveganostni v financah?

Annex III Akta EU o UI identificira primere uporabe, ki so samodejno visokotveganostni. V finančnem sektorju so neposredno relevantni:

Kategorija 5(b): Ocenjevanje kreditne sposobnosti

Visokotveganostna. Sistemi UI, ki se uporabljajo za ocenjevanje kreditne sposobnosti naravnih oseb ali razvrščanje naravnih oseb po kreditnem tveganju, so izrecno navedeni. To zajema:

Avtomatizirano kreditno točkovanje za potrošniška posojila, osebne prekoračitve, kreditne kartice in hipoteke
Modeli, ki ocenjujejo verjetnost odplačila, tveganje neplačila ali kreditno zmogljivost posameznih potrošnikov
Sistemi UI, ki priporočajo kreditne limite ali zneske posojil na podlagi individualne ocene tveganja

Ni samodejno zajeto: Korporativni kreditni modeli, ki ocenjujejo pravne osebe in ne naravnih oseb, čeprav bi ti morda vseeno sprožili obveznosti preglednosti čl. 50 glede na uvajanje.

Kategorija 5(b): Zavarovalniške odločitve o premijah in kritju

Visokotveganostna, če bistveno vpliva na naravne osebe. Sistemi UI, ki sprejemajo ali močno vplivajo na odločitve o:

Zavarovalnem kritju (sprejem ali zavrnitev prosilcev)
Ravneh premij (aktuarski modeli, ki določajo individualne premije)
Ocenjevanju in poravnavi zahtevkov (avtomatizirano obravnavanje zahtevkov)

Modeli za določanje cen motornega zavarovanja, zavarovanje pri zdravstvenem in premoženjskem zavarovanju za gospodinjstva so neposredno v obsegu. Odločilni dejavnik je, ali sistem UI sprejema ali bistveno vpliva na odločitev, ki bistveno vpliva na dostop naravne osebe do bistvene zasebne storitve.

Kategorija 1: Biometrična identifikacija

Visokotveganostna. Sistemi UI, ki se uporabljajo za:

Daljinsko biometrično identifikacijo strank (KYC video verifikacija, neprekinjena avtentikacija)
Biometrično kategorizacijo, kjer vpliva na klasifikacijo tveganja ali dostop do storitev

Daljinska biometrična identifikacija v javno dostopnih prostorih v realnem času za kazenski pregon je prepovedana po čl. 5. Komercialni sistemi za preverjanje identitete z uporabo prepoznave obrazov za KYC so zavezani zahtevam visokotveganostnih, toda niso prepovedani.

Kategorija 6: Preprečevanje pranja denarja/KYC in primerljivo s kazenskim pregonom

Sistemi UI, ki jih finančne institucije uporabljajo za presejanje preprečevanja pranja denarja/KYC, filtriranje sankcij ali spremljanje transakcij kjer je rezultat prijavljen ali ga uporabi kazenski pregon, morda spadajo v Annex III kategorijo 6 (kazenski pregon). To vključuje:

Z UI ustvarjena Poročila o sumljivih transakcijah (SAR), posredovana FIU-jem
Avtomatizirani sistemi za presejanje politično izpostavljenih oseb (PEP)

Sistemi, ki se uporabljajo zgolj za interno upravljanje tveganj brez izida kazenskega pregona, je manj verjetno, da bodo razvrščeni kot visokotveganostni po kategoriji 6, čeprav se morda nanašajo druge kategorije.

Kaj pomenijo obveznosti visokotveganostne UI za finančne institucije

Če je sistem UI, ki ga finančna institucija uporablja, visokotveganostni po Annex III, se obveznosti razlikujejo glede na to, ali je institucija ponudnik (zgradila sistem) ali izvajalec (kupila ali licencirala ga).

Če ste ponudnik (zgradili sistem)

Sistem upravljanja tveganj (čl. 9): Vzpostavite in vzdržujte dokumentiran postopek upravljanja tveganj, ki se ponavlja skozi celoten življenjski cikel sistema
Upravljanje podatkov (čl. 10): Podatki za usposabljanje, vrednotenje in preizkušanje morajo biti zavezani praksam upravljanja, ki zajemajo relevantnost, reprezentativnost in ocenjevanje pristranskosti
Tehnična dokumentacija (Annex IV): Polna tehnična mapa, vključno z opisom sistema, arhitekturo, pristopom k usposabljanju, merili zmogljivosti in načrtom nadzora po trženju
Preglednost (čl. 13): Navodila za uporabo, ki izvajalcem omogočajo razumevanje zmogljivosti, omejitev in zahtev nadzora
Človeški nadzor (čl. 14): Ukrepi oblikovanja, ki omogočajo človeški nadzor in posredovanje
Točnost, robustnost, kibernetska varnost (čl. 15): Dokazane ravni zmogljivosti in odpornost
Ugotavljanje skladnosti: Samocertifikacija (Annex VI) za večino sistemov Annex III ali ocenjevanje priglašenega organa za biometrične sisteme
Oznaka CE in izjava EU o skladnosti
Registracija v bazi podatkov EU za UI
Nadzor po trženju (čl. 72): Aktivni sistem za zbiranje podatkov o resnični zmogljivosti in poročanje o incidentih

Če ste izvajalec (kupili/licencirali sistem)

Skladnost z navodili: Sistem uporabljajte strogo v skladu z navodili ponudnika
Človeški nadzor: Dodelite usposobljeno osebje za izvajanje nadzora z ustreznimi pooblastili in viri
Kakovost vhodnih podatkov: Zagotovite, da so vhodni podatki relevantni in reprezentativni za specifičen kontekst uvajanja
Hranjenje dnevnikov: Aktivirajte in hranite samodejne dnevnike za zahtevano obdobje
Poročanje o incidentih: Poročajte o resnih incidentih ponudniku in v nekaterih primerih neposredno organom
Ocena vpliva na temeljne pravice (čl. 27): Zahtevano za javne organe; priporočeno za izvajalce zasebnega sektorja v občutljivih kontekstih

Interakcija z DORA

Akt o digitalni operativni odpornosti (DORA) se je začel uporabljati januarja 2025 in finančnim institucijam nalaga celovite zahteve upravljanja IKT tveganj — vključno s sistemi UI kot komponentami IKT.

Ključne točke interakcije:

Okvir upravljanja IKT tveganj

DORA od finančnih institucij zahteva vzdrževanje okvira upravljanja IKT tveganj, ki zajema identifikacijo, zaščito, zaznavanje, odzivanje in okrevanje. Sistemi UI so orodja IKT, zavezana temu okviru. Akt EU o UI dodaja zahteve, specifične za UI, na vrhu: preizkušanje pristranskosti, dokumentacija preglednosti, oblikovanje človekovega nadzora in upravljanje življenjskega cikla.

V praksi: Model UI za kreditno točkovanje banke mora upoštevati tako upravljanje IKT tveganj po DORA (zaznavanje incidentov, načrtovanje kontinuitete, upravljanje sprememb) kot zahteve visokotveganostnih po Aktu EU o UI (sistem upravljanja tveganj, tehnična dokumentacija, nadzor po trženju).

Tveganje tretjih oseb (ponudniki IKT tretjih oseb)

DORA nalaga podrobne zahteve za upravljanje ponudnikov IKT tretjih oseb — vključno s pogodbenimi zahtevami, pravicami revizije in nadzorom kritičnih ponudnikov. Ko finančna institucija uporablja sistem UI tretje stranke (npr. model kreditnega točkovanja dobavitelja), se za tega dobavitelja nanašajo zahteve upravljanja tveganj tretjih oseb po DORA.

Prav tako se nanašajo obveznosti izvajalca po Aktu EU o UI — od ponudnika se zahteva zagotavljanje navodil, dokumentacije ugotavljanja skladnosti in zmogljivosti beleženja. Finančne institucije bi morale zagotoviti, da pogodbe z dobavitelji UI za UI tretjih oseb izpolnjujejo tako zahteve ponudnika IKT po DORA kot informacijske pravice izvajalca po Aktu EU o UI.

Poročanje o incidentih

DORA ima lasten okvir poročanja o incidentih za pomembne incidente, povezane z IKT, ki so poročani sektorskim nadzornikom (EBA, EIOPA, ESMA). Akt EU o UI zahteva, da se resni incidenti z visokotveganostnimi sistemi UI poročajo nacionalnim organom za nadzor trga.

To so ločene obveznosti poročanja različnim organom. Resni incident z modelom UI za kreditno točkovanje bi lahko hkrati sprožil poročilo o incidentu po DORA (EBA/nacionalnemu finančnemu nadzorniku) in poročilo o incidentu po Aktu EU o UI (organu za nadzor trga).

Sektorski nadzorniki in uveljavitev Akta o UI

Za finančne institucije imajo sektorski finančni nadzorniki — EBA (bančništvo), EIOPA (zavarovalništvo), ESMA (vrednostni papirji in trgi) — posebno vlogo pri implementaciji Akta EU o UI, čeprav niso primarni organ uveljavitve Akta o UI.

Po Aktu o UI morajo finančne institucije, ki so ponudniki visokotveganostnih sistemov UI, se registrirati v bazi podatkov EU za UI. V finančnem sektorju je morda pristojni finančni nadzorni organ določen za ali sodeluje z nacionalnim organom za nadzor trga, odgovornim za nadzor Akta o UI v tem sektorju.

Evropski nadzorni organi (ESA) so bili aktivni pri:

Objavljanju navodil o upravljanju UI v finančnih storitvah (smernice EBA o notranjem upravljanju, ML/UI pri kreditnem tveganju)
Prispevanju k navodilom za implementacijo Akta EU o UI za finančni sektor
Usklajevanju z Uradom EU za UI pri nadzoru modelov GPAI, ki vpliva na finančne storitve

Praktične prednostne naloge za finančne institucije

Popis vseh sistemov UI v uporabi — razvrstite vsak v primerjavi z merili Annex III. Prednostno obravnavajte sisteme za kreditno sposobnost, zavarovalniško določanje cen in biometriijo/KYC.
Ugotovite status ponudnika vs. izvajalca za vsak sistem — ali uporabljate modele, ki jih je dobavil dobavitelj, ali gradite interno?
Uskladite upravljanje UI z okvirom IKT tveganj po DORA — integrirajte obveznosti Akta o UI v obstoječo strukturo upravljanja DORA, da se izognete podvajajočim se postopkom.
Preglejte pogodbe z dobavitelji UI tretjih oseb — zagotovite, da pogodbe zagotavljajo: dokumentacijo ugotavljanja skladnosti, navodila za uporabo, dostop do beleženja, zaveze obvestil o incidentih, obveznosti posodobitev in pravice revizije.
Vzpostavite mehanizme človekovega nadzora — za primere visokotveganostne UI zagotovite, da ima usposobljeno osebje pooblastila, orodja in čas za smiselni pregled izhodov UI pred sprejetjem posledičnih odločitev.
Povežite se z nadzorom po trženju — razširite obstoječe postopke upravljanja modelnega tveganja (validacija modela Basel, upravljanje sprememb DORA), da zajemajo zahteve nadzora po trženju čl. 72.
Pripravite se na bazo podatkov EU za UI — če ste ponudnik visokotveganostnih sistemov UI, je registracija obvezna. Če ste izvajalec javnega organa, je morda zahtevana tudi registracija.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Ali so modeli kreditnega točkovanja zavezani zahtevam visokotveganostnih po Aktu EU o UI?

Da. Sistemi UI za ocenjevanje kreditne sposobnosti — ki se uporabljajo za ocenjevanje kreditne sposobnosti naravnih oseb ali ocenjevanje kreditnega tveganja — so izrecno navedeni v Annex III, kategorija 5(b) kot visokotveganostni. To zajema avtomatizirano kreditno točkovanje za potrošniška posojila, hipoteke, kreditne kartice in prekoračitve. Sistemi, ki se uporabljajo izključno za korporativno ocenjevanje kreditov, morda niso v obsegu, toda sistemi, ki vključujejo ocenjevanje posameznih naravnih oseb, so jasno zajeti.

Kako DORA sovpada z Aktom EU o UI za finančne institucije?

DORA (Akt o digitalni operativni odpornosti) in Akt EU o UI imata prekrivajoča se, toda ločena obsega. DORA zajema upravljanje IKT tveganj splošno — vključno s sistemi UI kot orodji IKT — z zahtevami za poročanje o incidentih, preizkušanje odpornosti in upravljanje tveganj tretjih oseb. Akt EU o UI dodaja specifične obveznosti UI (preizkušanje pristranskosti, preglednost, človeški nadzor, nadzor po trženju) za primere visokotveganostne UI. Za finančne institucije skladnost zahteva obravnavanje obeh okvirov — DORA ne izvzema institucij iz obveznosti Akta o UI, in Akt o UI ne nadomešča zahtev IKT tveganj DORA.

Ali sistemi UI za zaznavanje goljufij spadajo pod visokotveganostne po Aktu EU o UI?

Odvisno od primera uporabe. Sistemi UI, ki se uporabljajo za zaznavanje goljufij v transakcijah v realnem času — kjer UI zazna sumljive transakcije za pregled s strani človeka ali jih samodejno blokira — niso samodejno visokotveganostni po Annex III. Toda če sistem sprejema ali močno vpliva na odločitve, ki bistveno vplivajo na posameznike (npr. blokada računa, zmanjšanje kreditne meje, zavrnitev zavarovalnega zahtevka), primer uporabe morda spada v Annex III kategorijo 5 (dostop do bistvenih storitev). Pravna gotovost bo odvisna od regulativnih navodil in specifičnega uvajanja.

Ali so sistemi UI za zavarovalniško določanje cen in zavarovanje visokotveganostni?

Sistemi UI za zavarovalniško določanje cen in zavarovanje, ki sprejemajo ali močno vplivajo na odločitve o kritju, ravneh premij ali poravnavi zahtevkov za naravne osebe, verjetno spadajo v Annex III kategorijo 5 (dostop do bistvenih zasebnih storitev). To vključuje modele za določanje cen motornega, zdravstvenega in premoženjskega zavarovanja za gospodinjstva. Modeli zavarovanja življenja, ki za posameznike ocenjujejo tveganje dolgoživosti, so morda prav tako zajeti. Vsak primer uporabe je treba posamično oceniti v primerjavi z merili Annex III.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.