Banker, försäkringsbolag, kapitalförvaltare och betaltjänstleverantörer möter skyldigheter enligt EU:s AI-förordning som läggs ovanpå befintlig finansreglering (DORA, MiFID II, GDPR, CRR). Denna sida förklarar vilka AI-användningsfall som är högrisk, hur sektorsreglering samverkar med AI-förordningen och vad finansinstitut måste göra för att efterleva.
AI-förordningen möter finanssektorn
Finansinstitut — banker, försäkringsbolag, kapitalförvaltare, betaltjänstleverantörer, kreditupplysningsbolag — är bland de mest intensiva AI-användarna i Europa. Kreditbedömning, bedrägeridetektering, algoritmisk handel, kundriskprofilering, försäkringsriskbedömning, automatisering av regulatorisk rapportering och AML/KYC-screening förlitar sig alla på AI-system som kan vara föremål för EU:s AI-förordning.
För finansinstitut anländer EU:s AI-förordning inte isolerat. Den läggs ovanpå en redan tät regulatorisk stack: DORA (digital motståndskraft), MiFID II (investeringstjänster), GDPR (dataskydd), CRR/CRD (kapitalkrav), Solvens II (försäkring), PSD2/PSD3 (betaltjänster) och sektoriella EBA-, EIOPA- och ESMA-riktlinjer. Att förstå hur AI-förordningen integreras med — och ibland kolliderar med — befintlig finansreglering är avgörande för effektiv efterlevnad.
Vilka AI-användningsfall är högrisk inom finans?
EU:s AI-förordnings Bilaga III identifierar användningsfall som automatiskt är högrisk. Inom finanssektorn är de mest direkt relevanta:
Kategori 5(b): Kreditvärdighetsbedömning
Högrisk. AI-system som används för att utvärdera fysiska personers kreditvärdighet eller klassificera fysiska personer i termer av kreditrisk är uttryckligen listade. Detta täcker:
- Automatiserad kreditbedömning för konsumentlån, personliga övertrasseringar, kreditkort och bolån
- Modeller som bedömer återbetalningssannolikhet, fallissemangsrisk eller skuldkapacitet för enskilda konsumenter
- AI-system som rekommenderar kreditgränser eller lånebelopp baserat på individuell riskbedömning
Inte automatiskt täckt: Företagskreditmodeller som bedömer juridiska personer snarare än fysiska personer, även om dessa fortfarande kan utlösa Art. 50 transparensskyldigheter beroende på driftsättning.
Kategori 5(b): Försäkringspremiebeslut och täckningsbeslut
Högrisk om det avsevärt påverkar fysiska personer. AI-system som fattar eller starkt påverkar beslut om:
- Försäkringstäckning (godkännande eller avvisande av sökande)
- Premienivåer (aktuariella modeller som fastställer individuella premier)
- Skadebedömning och -avräkning (automatiserad skadehantering)
Motorförsäkringsprissättningsmodeller, hälsoförsäkringsriskbedömning och fastighetsförsäkringsmodeller för hushåll är direkt i tillämpningsområdet. Den avgörande faktorn är om AI-systemet fattar eller väsentligt påverkar ett beslut som materiellt påverkar en fysisk persons tillgång till en viktig privat tjänst.
Kategori 1: Biometrisk identifiering
Högrisk. AI-system som används för:
- Biometrisk fjärridentifiering av kunder (KYC-videoverifiering, kontinuerlig autentisering)
- Biometrisk kategorisering där det påverkar riskklassificering eller tjänstetillgång
Realtids biometrisk identifiering i allmänt tillgängliga utrymmen för brottsbekämpning är förbjuden enligt Art. 5. Kommersiella identitetsverifieringssystem som använder ansiktsigenkänning för KYC lyder under högriskkrav men är inte förbjudna.
Kategori 6: AML/KYC och angränsande till brottsbekämpning
AI-system som används av finansinstitut för att stödja AML/KYC-screening, sanktionsfiltrering eller transaktionsövervakning där utfallet rapporteras till eller används av brottsbekämpning kan falla inom Bilaga III kategori 6 (brottsbekämpning). Detta inkluderar:
- AI-genererade misstänkta aktivitetsrapporter (SARs) som överförs till FIU:er
- Automatiserade system för screening av politiskt exponerade personer (PEP)
System som används enbart för intern riskhantering utan brottsbekämpningsutfall är mindre benägna att klassificeras som högrisk under kategori 6, även om andra kategorier kan gälla.
Vad högrisk-AI-skyldigheter innebär för finansinstitut
Om ett AI-system som används av ett finansinstitut är högrisk enligt Bilaga III, skiljer sig skyldigheterna beroende på om institutionen är tillhandahållare (byggde systemet) eller driftsättare (köpte eller licensierade det).
Om du är tillhandahållaren (byggde systemet)
- Riskhanteringssystem (Art. 9): Upprätta och underhåll en dokumenterad riskhanteringsprocess som itererar under systemets hela livscykel
- Datastyrning (Art. 10): Tränings-, validerings- och testdata måste vara föremål för styrningsmetoder som täcker relevans, representativitet och biasbestning
- Teknisk dokumentation (Bilaga IV): Fullständig teknisk fil inklusive systembeskrivning, arkitektur, träningsmetod, prestandamätvärden och plan för övervakning efter utsläppande
- Transparens (Art. 13): Bruksanvisningar som möjliggör för driftsättare att förstå kapaciteter, begränsningar och tillsynskrav
- Mänsklig tillsyn (Art. 14): Designåtgärder som möjliggör mänsklig tillsyn och ingripande
- Noggrannhet, robusthet, cybersäkerhet (Art. 15): Påvisade prestandanivåer och motståndskraft
- Bedömning av överensstämmelse: Självbedömning (Bilaga VI) för de flesta Bilaga III-system, eller anmält organ för biometriska system
- CE-märkning och EU-försäkran om överensstämmelse
- Registrering i EU:s AI-databas
- Övervakning efter utsläppande (Art. 72): Aktivt system för insamling av verkliga prestandadata och incidentrapportering
Om du är driftsättaren (köpte/licensierade systemet)
- Efterlevnad av anvisningar: Använd systemet strikt i enlighet med tillhandahållarens anvisningar
- Mänsklig tillsyn: Tilldela kvalificerad personal för att utföra tillsyn med lämplig befogenhet och resurser
- Indatakvalitet: Säkerställ att indata är relevant och representativ för den specifika driftsättningskontexten
- Loggbevarande: Aktivera och bevara automatiska loggar under den erforderliga perioden
- Incidentrapportering: Rapportera allvarliga incidenter till tillhandahållaren och, i vissa fall, direkt till myndigheter
- Konsekvensbedömning avseende grundläggande rättigheter (Art. 27): Obligatorisk för offentliga organ; rekommenderad för privata driftsättare i känsliga sammanhang
Samverkan med DORA
Förordningen om digital operativ motståndskraft (DORA) trädde i tillämpning i januari 2025 och inför heltäckande IKT-riskhanteringskrav på finansinstitut — inklusive AI-system som IKT-komponenter.
Viktiga samverkanspunkter:
IKT-riskhanteringsram
DORA kräver att finansinstitut underhåller en IKT-riskhanteringsram som täcker identifiering, skydd, detektering, respons och återhämtning. AI-system är IKT-verktyg som lyder under denna ram. EU:s AI-förordning lägger till AI-specifika krav ovanpå: biasbestning, transparensdokumentation, design för mänsklig tillsyn och livscykelhantering.
I praktiken: En banks AI-kreditbedömningsmodell måste uppfylla både DORA:s IKT-riskhantering (incidentdetektering, kontinuitetsplanering, ändringshantering) och EU:s AI-förordnings högriskkrav (riskhanteringssystem, teknisk dokumentation, övervakning efter utsläppande).
Tredjepartsrisk (IKT-tredjepartsleverantörer)
DORA inför detaljerade krav för hantering av IKT-tredjepartsleverantörer — inklusive avtalskrav, revisionsrättigheter och tillsyn av kritiska leverantörer. När ett finansinstitut använder ett AI-system från tredje part (t.ex. en leverantörsförsedd kreditbedömningsmodell) gäller DORA:s krav på tredjepartsriskhantering för den leverantören.
EU:s AI-förordnings driftsättarskyldigheter gäller också — och kräver att tillhandahållaren tillhandahåller anvisningar, konformitetsdokumentation och loggningskapacitet. Finansinstitut bör säkerställa att deras AI-leverantörsavtal med tredje part uppfyller både DORA:s IKT-leverantörskrav och EU:s AI-förordnings driftsättarens informationsrättigheter.
Incidentrapportering
DORA har sin egen ram för incidentrapportering för betydande IKT-relaterade incidenter, rapporterade till sektoriella tillsynsmyndigheter (EBA, EIOPA, ESMA). EU:s AI-förordning kräver att allvarliga incidenter som involverar högrisk-AI-system rapporteras till nationella marknadskontrollmyndigheter.
Dessa är separata rapporteringsskyldigheter till olika myndigheter. En allvarlig incident som involverar ett AI-kreditbedömningssystem kan utlösa både en DORA-incidentrapport (till EBA/nationell finansiell tillsynsmyndighet) och en AI-förordningsincidentrapport (till marknadskontrollmyndigheten).
Sektoriella tillsynsmyndigheter och AI-förordningens tillsyn
För finansinstitut har de sektoriella finansiella tillsynsmyndigheterna — EBA (bank), EIOPA (försäkring), ESMA (värdepapper och marknader) — en specifik roll i AI-förordningens implementering, även om de inte är den primära AI-förordningstillsynsmyndigheten.
Enligt AI-förordningen måste finansinstitut som är tillhandahållare av högrisk-AI-system registrera sig i EU:s AI-databas. Inom finanssektorn kan den relevanta finansiella tillsynsmyndigheten utses som eller samarbeta med den nationella marknadskontrollmyndigheten ansvarig för AI-förordningens tillsyn i den sektorn.
Europeiska tillsynsmyndigheterna (ESA) har varit aktiva i:
- Publicering av vägledning om AI-styrning inom finansiella tjänster (EBA:s riktlinjer om intern styrning, ML/AI i kreditrisk)
- Bidrag till AI-förordningens implementeringsvägledning för finanssektorn
- Samordning med EU:s AI-byrå om GPAI-modelltillsyn i den mån det berör finansiella tjänster
Praktiska efterlevnadsprioriteringar för finansinstitut
-
Inventera alla AI-system i bruk — klassificera varje mot Bilaga III-kriterierna. Prioritera kreditvärdighetsbedömning, försäkringsprissättning och biometriska/KYC-system.
-
Fastställ tillhandahållar- kontra driftsättarstatus för varje system — använder du leverantörsförsedda modeller eller bygger du internt?
-
Anpassa AI-styrning med DORA:s IKT-riskram — integrera AI-förordningens skyldigheter i den befintliga DORA-styrningsstrukturen för att undvika dubbla processer.
-
Granska AI-leverantörsavtal med tredje part — säkerställ att avtal tillhandahåller: konformitetsdokumentation, bruksanvisningar, loggningstillgång, åtaganden om incidentmeddelande, uppdateringsskyldigheter och revisionsrättigheter.
-
Upprätta mekanismer för mänsklig tillsyn — för högrisk-AI-användningsfall, säkerställ att kvalificerad personal har befogenhet, verktyg och tid att meningsfullt granska AI-utdata innan konsekventiella beslut fattas.
-
Koppla till övervakning efter utsläppande — utvidga befintliga processer för modellriskhantering (Basel-modellvalidering, DORA-ändringshantering) till att täcka Art. 72 krav på övervakning efter utsläppande.
-
Förbered för EU:s AI-databas — om du är tillhandahållare av högrisk-AI-system är registrering obligatorisk. Om du är ett offentligt organ som driftsättare kan registrering också krävas.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. AI-system för kreditvärdighetsbedömning — som används för att utvärdera fysiska personers kreditvärdighet eller bedöma kreditrisk — är uttryckligen listade i Bilaga III, kategori 5(b) som högrisk. Detta täcker automatiserad kreditbedömning för konsumentlån, bolån, kreditkort och övertrasseringar. System som enbart används för företagskreditbedömning kanske inte är i tillämpningsområdet, men system som involverar bedömning av enskilda fysiska personer är tydligt täckta.
DORA (förordningen om digital operativ motståndskraft) och EU:s AI-förordning har överlappande men distinkta tillämpningsområden. DORA täcker IKT-riskhantering brett — inklusive AI-system som IKT-verktyg — med krav på incidentrapportering, motståndstestning och tredjepartsriskhantering. EU:s AI-förordning lägger till specifika AI-skyldigheter (biasbestning, transparens, mänsklig tillsyn, övervakning efter utsläppande) för högrisk-AI-användningsfall. För finansinstitut kräver efterlevnad att båda regelverken hanteras — DORA undantar inte institutioner från AI-förordningens skyldigheter, och AI-förordningen ersätter inte DORA:s IKT-riskkrav.
Det beror på användningsfallet. AI-system som används för realtidstransaktionsbedrägeridetektering — där AI flaggar misstänkta transaktioner för mänsklig granskning eller automatiskt blockerar dem — är inte automatiskt högrisk enligt Bilaga III. Men om systemet fattar eller starkt påverkar beslut som väsentligt påverkar individer (t.ex. kontoblockering, kreditgränsändring, avslag på försäkringsanspråk) kan användningsfallet falla inom Bilaga III kategori 5 (tillgång till viktiga tjänster). Juridisk säkerhet beror på regulatorisk vägledning och den specifika driftsättningen.
AI-system för försäkringsprissättning och riskbedömning som fattar eller starkt påverkar beslut om täckning, premienivåer eller skadeavräkning för fysiska personer faller troligen inom Bilaga III kategori 5 (tillgång till viktiga privata tjänster). Detta inkluderar motorförsäkringsprissättningsmodeller, hälsoförsäkringsriskbedömning och fastighetsförsäkringsmodeller för hushåll. Livförsäkringsriskbedömningsmodeller som bedömer livslängdsrisk för individer kan också täckas. Varje användningsfall måste bedömas individuellt mot Bilaga III-kriterierna.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.