EU:s AI-förordnings skyldigheter för banker, kreditinstitut och fintechföretag. Kreditbedömnings-AI, AML-system, algoritmisk handel, DORA-överlapp och EBA:s riktlinjer.
Varför banksektorn har koncentrerad exponering mot EU:s AI-förordning
Bank- och finanssektorn befinner sig i skärningspunkten mellan EU:s AI-förordnings strängaste skyldigheter och den mest komplexa regleringsmiljön i EU. Finansiella institutioner är bland de största användarna av AI i Europa — inom kreditgivning, bedrägeridetektering, AML/CFT-screening, kundkännedomsåtgärder, algoritmisk handel och kapitalförvaltning. EU:s AI-förordning riktar sig direkt mot de mest konsekvensrika av dessa användningsfall genom Annex III, som klassificerar flera finansiella AI-tillämpningar som högrisk per definition.
Banksektorn verkar dessutom under ett tätt befintligt regleringslandskap: DORA, MiFID II, CRD IV/CRR, AML-direktiv, GDPR och BCBS 239. EU:s AI-förordning ersätter inte dessa ramverk — den adderar till dem. För ett kreditinstitut som driftsätter en AI-baserad kreditbedömningsmodell utlöser detta simultana skyldigheter under AI-förordningen (Annex III, Art. 9–16), DORA (IKT-riskhantering) och EBA:s riktlinjer för modellriskhantering.
Högrisk-AI-användningsfall inom bank enligt Annex III
Annex III, kategori 5(b) listar explicit AI som används för bedömning av kreditvärdighet eller kreditbedömning av fysiska personer, samt AI som används för att bedöma kreditrisk hos juridiska personer där AI bestämmer eller väsentligen påverkar utfallet. Detta fångar upp ett brett spektrum av finansiella AI-driftsättningar.
Kreditbedömnings- och garantimodeller — automatiserade system som avgör låneberättigande, kreditgränser eller räntor för privat- och SMF-kunder — är högrisk-AI enligt Art. 6(2) läst tillsammans med Annex III. Banker som agerar leverantörer av dessa system måste genomföra överensstämmelsebedömningar, upprätthålla teknisk dokumentation enligt Art. 11, implementera riskhanteringssystem enligt Art. 9, säkerställa mekanismer för mänsklig tillsyn enligt Art. 14 och registrera systemet i EU:s AI-förordningsdatabas (Art. 71) innan driftsättning.
AML- och bedrägeridetekteringssystem ger en mer nyanserad bild. System som tillämpar sanktionsscreening, transaktionsövervakning eller beteendeanalys för att flagga misstänkt aktivitet påverkar i allmänhet finansiella institutioner snarare än att direkt bestämma utfall för enskilda personer. I de fall AI-utdata är den primära grunden för negativa åtgärder mot en kund (kontospärr, vägrat tillhandahållande av tjänst) kan högriskklassificering utlösas enligt Annex III kat. 5(b) eller kat. 6 (brottsbekämpning) beroende på den nationella myndighetens roll. Banker måste genomföra en noggrann klassificeringsanalys.
GPAI-baserade verktyg — stora språkmodeller som används för kundservice, dokumentbehandling eller investeringsanalys — är föremål för transparenskrav i Art. 50 (upplysning om att användare interagerar med AI) och, där modelleverantören har systemrisk, skyldigheter i Art. 55.
Leverantörs- kontra driftsättarskyldigheter för banker
Banker kan agera som leverantörer (som bygger egna AI-modeller), driftsättare (som använder tredjeparts-AI-system), eller bådadera. Distinktionen avgör skyldighetsprofilen:
| Roll | Skyldighetsgrund | Centrala krav |
|---|---|---|
| Leverantör | Art. 9–17 | Överensstämmelsebedömning, teknisk dokumentation, QMS, registrering |
| Driftsättare | Art. 26 | Övervaka system, säkerställa mänsklig tillsyn, upprätthålla loggar, informera användare |
| Bådadera | Art. 9–17 + Art. 26 | Fullständiga leverantörsskyldigheter + driftsättarens övervakningsskyldigheter |
Banker som köper kreditbedömnings-AI från en fintechleverantör agerar som driftsättare enligt Art. 26. De måste verifiera att leverantören har genomfört överensstämmelsebedömning, integrera mänsklig granskning i processer för negativa beslut, upprätthålla användningsloggar i 10 år (Art. 26(6)) och säkerställa att AI-beslut förklaras för berörda personer enligt GDPR Art. 22 och EU:s AI-förordning Art. 13.
Överlapp med sektorsreglering: DORA, MiFID II och Solvens II
DORA (förordning 2022/2554) gäller för banker, värdepappersföretag, försäkringsbolag och tredjeparts IKT-leverantörer. Specifikt för AI kräver DORA:
- AI-system behandlas som IKT-system underställda riskhanteringsramverk (Art. 6 DORA)
- Klassificering och rapportering av IKT-relaterade incidenter — AI-fel kan utgöra allvarliga IKT-incidenter
- Resiliensprovning av kritiska IKT-system — AI-modeller inkluderade där de är väsentliga för verksamheten
- Tredjeparts-riskhantering som täcker AI-leverantörsavtal, exitstrategier och revisionsrättigheter
MiFID II (Markets in Financial Instruments Directive) gäller för algoritmisk handel och investeringsrådgivning. AI-genererade investeringsrekommendationer utlöser krav på lämplighetsbedömning; algoritmiska handelssystem kräver förtransaktionskontroller, strömbrytare och regulatorisk anmälan.
EBA:s riktlinjer för IKT och säkerhetsriskhantering (EBA/GL/2019/04, uppdaterade 2022) föreskriver teknologiriskstyrning som täcker AI-modeller, krav på operativ kontinuitet och oberoende modellvalidering. Dessa är i stor utsträckning i linje med EU:s AI-förordnings krav på riskhantering i Art. 9.
Tillsynsmyndigheter
EU:s AI-förordnings tillsyn för bank-AI verkar genom en tvålagrad myndighetsstruktur:
Nationella behöriga myndigheter (NCA) som utsetts av varje medlemsstat enligt Art. 70 är de primära tillsynsorganen för AI-förordningen. De kan genomföra marknadskontroll, begära teknisk dokumentation och utfärda böter (upp till 30 miljoner euro eller 6 % av den globala årsomsättningen enligt Art. 99).
Europeiska bankmyndigheten (EBA) samordnar sektorsspecifik AI-tillsyn inom bankfacket, tillhandahåller tekniska standarder för IKT-risk och utfärdar riktlinjer som formar nationella tillsynsförväntningar. EBA deltar också i det europeiska AI-rådet inrättat enligt Art. 65.
ECB och nationella tillsynsmyndigheter kan begära AI-modelldokumentation som en del av SREP-bedömningar (Supervisory Review and Evaluation Process) enligt CRD IV där AI driver väsentliga kredit- eller operativa riskbeslut.
Efterlevnadsfärdplan för banker
Omedelbart (nu → augusti 2026): Genomför kontroll av efterlevnad av förbud — granska alla AI-system avseende praxis som förbjuds enligt Art. 5, inklusive social poängsättning och realtids biometrisk identifiering på offentliga platser. Dessa förbud gäller omedelbart för nya avtal.
Kvartal 3 2026 — Högriskklassificeringsrevision: Kartlägg alla driftsatta och under utveckling varande AI-system mot Annex III, specifikt kategorierna 5(b) och 5(c). Dokumentera klassificeringsgrunden. Engagera juridik och compliance för att bedöma DORA-överlapp.
Kvartal 4 2026 — Leverantörsskyldigheter för intern AI: För kreditbedömnings- och garantimodeller som byggts internt, inled förfaranden för överensstämmelsebedömning, utveckla teknisk dokumentation enligt Annex IV och implementera QMS enligt Art. 17.
2027 — Driftsättarskyldigheter för tredjeparts-AI: Revidera alla AI-leverantörsavtal avseende efterlevnad av EU:s AI-förordning. Kräv att leverantörer tillhandahåller överensstämmelsedeklarationer och registreringsnummer. Uppdatera databehandlingsavtal för att återspegla Art. 26:s loggningsskyldigheter.
Augusti 2027 — GPAI-skyldigheter träder i kraft: Säkerställ att alla tredjeparts-LLM och grundmodeller som används i banktillämpningar uppfyller Art. 51–55. Verifiera att leverantörer har publicerat transparensdokumentation enligt Art. 53.
December 2027 — Deadline för högrisk-AI: Full efterlevnad krävs för alla Annex III högrisk-AI-system. Säkerställ registrering i EU:s AI-förordningsdatabas, operativa mekanismer för mänsklig tillsyn och planer för marknadsövervakningsövervakning efter driftsättning enligt Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banker möter skyldigheter enligt EU:s AI-förordning främst genom kategorierna 5(b) och 5(c) i Annex III: AI som används vid kreditvärdighets- och kreditbedömning, samt AI som används vid teckningsgarantier för liv- och sjukförsäkringar. Dessa klassificeras som högrisk-AI-system som kräver överensstämmelsebedömningar, teknisk dokumentation, mekanismer för mänsklig tillsyn och registrering i EU:s AI-förordningsdatabas. Dessutom kan banker som använder AI för penningtvättsbekämpning (AML), bedrägeridetektering eller kundkännedomsåtgärder omfattas av Annex III beroende på systemets funktion och de beslut det påverkar.
DORA (Digital Operational Resilience Act, förordning 2022/2554) och EU:s AI-förordning skapar överlappande men distinkta skyldigheter. DORA kräver att finansiella enheter hanterar IKT-risker, genomför resiliensprovning och upprätthåller kapacitet för incidentrapportering — detta gäller AI-system som IKT-verktyg. EU:s AI-förordning tillför riskklassificering, överensstämmelsebedömning, transparens och krav på mänsklig tillsyn specifikt för AI-system. Ett kreditinstitut som driver ett AI-baserat kreditbedömningssystem måste uppfylla både DORA:s ramverk för IKT-riskhantering och EU:s AI-förordnings krav för högrisk-AI. EBA:s riktlinjer för IKT och säkerhetsriskhantering gäller parallellt.
Algoritmiska handelssystem finns inte direkt listade i Annex III och utgör därför inte automatiskt högrisk-AI enligt EU:s AI-förordning. Om en handelsalgoritm däremot används som en komponent i en kreditvärdighetsbedömning eller påverkar tillgången till finansiella tjänster på ett sätt som berör individer kan den falla inom tillämpningsområdet för Annex III. MiFID II:s krav för algoritmisk handel — inklusive strömbrytare, systemtestning och granskningsspår — är alltjämt fullt tillämpliga. EU:s AI-förordnings transparenskrav i Art. 50 gäller AI som interagerar med fysiska personer, och GPAI-modellskyldigheter enligt Art. 51 gäller stora språkmodeller som används på handels- eller analysplattformar.
Europeiska bankmyndigheten (EBA) har publicerat riktlinjer om intern styrning (EBA/GL/2021/05) och IKT-riskhantering som direkt påverkar förväntningarna på AI-styrning för banker. Centrala krav inkluderar ansvarsskyldighet på styrelsenivå för AI-strategi, oberoende validering av AI-modeller för kreditrisk, operativa riskramverk som täcker AI-fel samt krav på förklarbarhet för AI-system som påverkar kreditbeslut. EBA:s samråd om maskininlärning för IRB-modeller fastställer kvantitativa standarder för modellvalidering, datakvalitet och prestandaövervakning som nära sammanfaller med EU:s AI-förordnings krav på riskhantering i Art. 9.
Ja, i princip — EU:s AI-förordning gäller oavsett företagsstorlek. Art. 9(5) kräver dock att riskhanteringssystem är proportionerliga i förhållande till leverantörens eller driftsättarens storlek och natur. Bestämmelserna för SMF och startups i Art. 55 samt Art. 57 till Art. 63 ger tillgång till regulatoriska sandlådor som drivs av nationella behöriga myndigheter, vilket minskar hindren för efterlevnadstestning. EBA:s Innovationshub och European Forum for Innovation Facilitators (EFIF) ger ytterligare stöd för fintechföretag som navigerar AI-regleringen.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.