Obveznosti EU AI Act za banke, kreditne institucije in fintech podjetja. Umetna inteligenca za ocenjevanje kreditne sposobnosti, sistemi za preprečevanje pranja denarja, algoritemsko trgovanje, prekrivanje z DORA in smernice EBA.
Zakaj je bančništvo posebej izpostavljeno EU AI Act
Bančni in finančni storitveni sektor se nahaja na presečišču najstrožjih obveznosti EU AI Act in najkompleksnejšega regulativnega okolja v EU. Finančne institucije sodijo med največje uvajatelje UI v Evropi — pri kreditnem zavarovalništvu, odkrivanju goljufij, pregledovanju AML/CFT, skrbnosti glede stranke, algoritemskem trgovanju in upravljanju premoženja. EU AI Act neposredno cilja na najpomembnejše od teh primerov uporabe prek Priloge III, ki uvršča več finančnih aplikacij UI med visoko tvegane po definiciji.
Bančništvo deluje tudi v okviru gostega obstoječega regulativnega sloja: DORA, MiFID II, CRD IV/CRR, direktive AML, GDPR in BCBS 239. EU AI Act teh okvirov ne nadomešča — dodaja se jim. Za kreditno institucijo uvajanje modela kreditnega točkovanjana podlagi UI hkrati sproži obveznosti po AI Act (Priloga III, čl. 9–16), DORA (upravljanje tveganja IKT) in smernicah EBA o upravljanju modelnega tveganja.
Visoko tvegani primeri uporabe UI v bančništvu po Prilogi III
Priloga III, kategorija 5(b) izrecno navaja UI, ki se uporablja za ocenjevanje kreditne sposobnosti ali kreditno točkovanje fizičnih oseb, in UI, ki se uporablja za ocenjevanje kreditnega tveganja pravnih oseb, kjer UI določa ali bistveno vpliva na izid. To zajema širok nabor uvajanj finančne UI.
Modeli kreditnega točkovanjain zavarovalništva — avtomatizirani sistemi, ki določajo upravičenost do posojila, kreditne limite ali obrestne mere za stranke iz maloprodaje in MSP — so visoko tvegana UI po čl. 6(2) v povezavi s Prilogo III. Banke, ki nastopajo kot ponudniki teh sistemov, morajo opraviti ocene skladnosti, vzdrževati tehnično dokumentacijo po čl. 11, uvesti sisteme upravljanja tveganj po čl. 9, zagotoviti mehanizme človeškega nadzora po čl. 14 in pred uvajanjem registrirati sistem v bazi podatkov EU AI Act (čl. 71).
Sistemi AML in odkrivanja goljufij kažejo bolj niansirana sliko. Sistemi, ki za označevanje sumljivih dejavnosti uporabljajo pregled sankcij, spremljanje transakcij ali vedenjsko analitiko, na splošno zadevajo finančne institucije in ne vplivajo neposredno na izide za posameznike. Kadar je izhod UI primarna osnova za škodljivo ukrepanje zoper stranko (zamrznitev računa, zavrnitev storitve), se lahko sproži visoko tvegana razvrstitev po Prilogi III kat. 5(b) ali kat. 6 (kazenski pregon), odvisno od vloge nacionalnega organa. Banke morajo izvesti skrbno analizo razvrstitve.
Orodja na osnovi GPAI — veliki jezikovni modeli, ki se uporabljajo za storitve za stranke, obdelavo dokumentov ali analizo naložb — so predmet zahtev glede preglednosti iz čl. 50 (razkritje, da uporabniki komunicirajo z UI) in, kadar ponudnik modela nosi sistemsko tveganje, obveznosti iz čl. 55.
Obveznosti ponudnika in uvajatelja za banke
Banke lahko nastopajo kot ponudniki (ki gradijo lastne modele UI), uvajatelji (ki uporabljajo sisteme UI tretjih oseb) ali oboje. Razlika določa profil obveznosti:
| Vloga | Vir obveznosti | Ključne zahteve |
|---|---|---|
| Ponudnik | čl. 9–17 | Ocena skladnosti, tehnična dokumentacija, QMS, registracija |
| Uvajatelj | čl. 26 | Nadzor sistema, zagotovitev človeškega nadzora, vzdrževanje dnevnikov, obveščanje uporabnikov |
| Oboje | čl. 9–17 + čl. 26 | Vse obveznosti ponudnika + dolžnosti nadzora uvajatelja |
Banke, ki kupujejo UI za kreditno točkovanjeod fintech prodajalca, nastopajo kot uvajatelji po čl. 26. Preveriti morajo, da je prodajalec opravil oceno skladnosti, vključiti človeški pregled v procese škodljivih odločitev, vzdrževati dnevnike uporabe 10 let (čl. 26(6)) in zagotoviti, da so odločitve UI razložene prizadetim posameznikom po GDPR čl. 22 in čl. 13 EU AI Act.
Prekrivanje sektorske ureditve: DORA, MiFID II in Solventnost II
DORA (Uredba 2022/2554) se nanaša na banke, investicijska podjetja, zavarovalnice in ponudnike IKT tretjih oseb. Posebej za UI DORA zahteva:
- Sisteme UI, ki se obravnavajo kot sistemi IKT, za katere veljajo okviri upravljanja tveganj (čl. 6 DORA)
- Razvrščanje in poročanje o incidentih, povezanih z IKT — napake UI so lahko resni incidenti IKT
- Preskušanje odpornosti kritičnih sistemov IKT — modeli UI so vključeni, kadar so za poslovanje bistvenega pomena
- Upravljanje tveganja tretjih oseb, ki zajema pogodbe z dobavitelji UI, strategije izhoda in pravice revizije
MiFID II (Direktiva o trgih finančnih instrumentov) se nanaša na algoritemsko trgovanje in naložbene nasvete. Naložbena priporočila, ki jih ustvari UI, sprožajo zahteve glede ocenjevanja primernosti; sistemi algoritemskega trgovanja zahtevajo nadzor pred sklenitvijo posla, izsiljevalna stikala in regulativno uradno obvestilo.
Smernice EBA o upravljanju tveganja IKT in varnosti (EBA/GL/2019/04, posodobljene 2022) nalagajo upravljanje tehnološkega tveganja, ki zajema modele UI, zahteve za operativno kontinuiteto in neodvisnost validacije modelov. Te se v veliki meri ujemajo z zahtevami glede upravljanja tveganj iz čl. 9 EU AI Act.
Organi za izvrševanje
Izvrševanje EU AI Act za bančno UI poteka prek dvoslojne strukture organov:
Pristojni nacionalni organi (NCA), ki jih vsaka država članica imenuje po čl. 70, so primarni organi za izvrševanje AI Act. Lahko izvajajo nadzor trga, zahtevajo tehnično dokumentacijo in nalagajo globe (do 30 milijonov EUR ali 6 % skupnega letnega prometa po čl. 99).
Evropski bančni organ (EBA) usklajuje sektorski nadzor UI v bančni uniji, zagotavlja tehnične standarde za tveganje IKT in izdaja smernice, ki oblikujejo pričakovanja nacionalnih nadzornikov. EBA sodeluje tudi v Evropskem odboru za UI, ustanovljenem po čl. 65.
ECB in nacionalni nadzorniki bonitetnega nadzora lahko zahtevajo dokumentacijo modela UI v okviru ocenjevanj SREP (Proces nadzorniškega pregledovanjain ocenjevanja) po CRD IV, kadar UI vodi bistvene odločitve o kreditnem ali operativnem tveganju.
Načrt skladnosti za banke
Takoj (zdaj → avgust 2026): Opravite pregled skladnosti s prepovedmi — preglejte vse sisteme UI glede praks, prepovedanih po čl. 5, vključno z družbenim točkovanjem in identifikacijo biometričnih podatkov v realnem času v javnih prostorih. Te prepovedi se za nove pogodbe uporabljajo takoj.
Q3 2026 — Revizija razvrstitve visoko tveganega: Preslikajte vse uvedene in razvijajoče se sisteme UI glede na Prilogo III, zlasti kategoriji 5(b) in 5(c). Dokumentirajte razloge za razvrstitev. Vključite pravno in skladnostno ekipo za oceno prekrivanja z DORA.
Q4 2026 — Obveznosti ponudnika za interno UI: Za modele kreditnega točkovanjain zavarovalništva, razvite interno, sprožite postopke ocene skladnosti, razvijte tehnično dokumentacijo po Prilogi IV in uvedite QMS po čl. 17.
2027 — Obveznosti uvajatelja za UI tretjih oseb: Preverite vse pogodbe z dobavitelji UI glede skladnosti z EU AI Act. Od ponudnikov zahtevajte izjave o skladnosti in registrske številke. Posodobite sporazume o obdelavi podatkov, da bodo odražali obveznosti beleženja iz čl. 26.
Avgust 2027 — Začetek veljavnosti obveznosti GPAI: Zagotovite, da vsi modeli LLM in temeljni modeli tretjih oseb, ki se uporabljajo v bančnih aplikacijah, ustrezajo čl. 51–55. Preverite, ali so ponudniki objavili dokumentacijo o preglednosti po čl. 53.
December 2027 — Rok za visoko tvegano UI: Zahtevana je polna skladnost za vse visoko tvegane sisteme UI po Prilogi III. Zagotovite registracijo v bazi podatkov EU AI Act, delujoče mehanizme človeškega nadzora in načrte za poobjavljeno spremljanje po čl. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banke se srečujejo z obveznostmi EU AI Act predvsem prek kategorij Priloge III 5(b) in 5(c): UI, ki se uporablja pri ocenjevanju kreditne sposobnosti in kreditnem točkovanju, ter UI, ki se uporablja pri sklepanju življenjskega in zdravstvenega zavarovanja. Ti sistemi so razvrščeni kot visoko tvegani sistemi UI, ki zahtevajo ocene skladnosti, tehnično dokumentacijo, mehanizme človeškega nadzora in registracijo v bazi podatkov EU AI Act. Poleg tega so banke, ki uvajajo UI za pregled preprečevanja pranja denarja (AML), odkrivanje goljufij ali skrbnost glede stranke, lahko zajete v Prilogo III, odvisno od funkcije sistema in odločitev, na katere vpliva.
DORA (Akt o digitalni operativni odpornosti, Uredba 2022/2554) in EU AI Act ustvarjata prekrivajoče se, a ločene obveznosti. DORA zahteva, da finančni subjekti upravljajo tveganje IKT, izvajajo preskuse odpornosti in vzdržujejo zmogljivosti poročanja o incidentih — to se nanaša na sisteme UI kot orodja IKT. EU AI Act dodaja zahteve za razvrščanje tveganj, oceno skladnosti, preglednost in človeški nadzor, ki so posebej namenjene sistemom UI. Kreditna institucija, ki upravlja sistem kreditnega točkovanjana podlagi UI, mora zadostiti tako okviru za upravljanje tveganja IKT iz DORA kot zahtevam EU AI Act za visoko tvegano UI. Vzporedno se uporabljajo smernice EBA za upravljanje tveganja IKT in varnosti.
Sistemi algoritemskega trgovanja niso neposredno navedeni v Prilogi III, zato samodejno ne predstavljajo visoko tveganega UI po EU AI Act. Vendar pa, če se algoritem za trgovanje uporablja kot sestavina ocene kreditne sposobnosti ali vpliva na dostop do finančnih storitev na način, ki prizadene posameznike, lahko spada v področje uporabe Priloge III. Zahteve MiFID II za algoritemsko trgovanje — vključno z izsiljevalnimi stikali, preskušanjem sistemov in revizijskimi sledmi — ostajajo v celoti veljavne. Zahteve glede preglednosti iz čl. 50 EU AI Act se nanašajo na UI, ki komunicira s fizičnimi osebami, obveznosti modela GPAI iz čl. 51 pa se nanašajo na velike jezikovne modele, ki se uporabljajo na platformah za trgovanje ali analizo.
Evropski bančni organ (EBA) je objavil smernice o notranjem upravljanju (EBA/GL/2021/05) in upravljanju tveganja IKT, ki neposredno oblikujejo pričakovanja glede upravljanja UI za banke. Ključne zahteve vključujejo odgovornost na ravni uprave za strategijo UI, neodvisno validacijo modelov UI, ki se uporabljajo pri kreditnem tveganju, okvire operativnega tveganja, ki zajemajo napake UI, ter zahteve glede razložljivosti za sisteme UI, ki vplivajo na kreditne odločitve. Posvetovanja EBA o strojnem učenju za modele IRB določajo kvantitativne standarde za validacijo modelov, kakovost podatkov in spremljanje uspešnosti, ki se tesno ujemajo z zahtevami glede upravljanja tveganj iz čl. 9 EU AI Act.
Da, načeloma — EU AI Act se nanaša ne glede na velikost podjetja. Vendar čl. 9(5) zahteva, da so sistemi upravljanja tveganj sorazmerni z velikostjo in naravo ponudnika ali uvajatelja. Določbe za MSP in zagonska podjetja iz čl. 55 in čl. 57 do čl. 63 zagotavljajo dostop do regulativnih peskovnikov, ki jih upravljajo pristojni nacionalni organi, s čimer zmanjšujejo ovire za preskušanje skladnosti. Inovacijsko vozlišče EBA in Evropski forum za pospeševanje inovacij (EFIF) zagotavljata dodatno podporo za fintech podjetja, ki se soočajo z regulacijo UI.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.