12 lipca 2024 r. w Dzienniku Urzędowym Unii Europejskiej opublikowano rozporządzenie w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji1 (tzw. AI Act). Rozporządzenie to będzie miało znaczący wpływ na wszystkie sektory gospodarki, w których wykorzystuje się technologie sztucznej inteligencji. W niniejszym artykule analizujemy konsekwencje przyjęcia AI Act z perspektywy sektora finansowego, który jest jednym z liderów we wdrażaniu tego typu rozwiązań. Samo rozporządzenie zawiera również pewne przepisy szczególne dla sektora finansowego (w tym dotyczące kwalifikacji systemów AI wysokiego ryzyka).
Systemy sztucznej inteligencji już obecnie zaczynają odgrywać kluczową rolę w transformacji sektora finansowego. Można je podzielić na dwie grupy: te, które wchodzą w bezpośrednią interakcję z klientami instytucji finansowych, oraz te, których celem jest optymalizacja i automatyzacja procesów wewnętrznych.
Do pierwszej grupy należą systemy, takie jak chatboty i wirtualni asystenci. Tego rodzaju rozwiązania zapewniają całodobową, spersonalizowaną obsługę klienta, odpowiadając w czasie rzeczywistym na pytania dotyczące produktów i usług oferowanych przez instytucję finansową. Wirtualni asystenci mogą również odgrywać bardziej zaawansowane role, na przykład dostarczając spersonalizowane porady finansowe lub rekomendacje, które uwzględniają indywidualne cele klienta, jego historię finansową oraz preferencje. Z wykorzystaniem chatbotów można również obsługiwać pewne proste dyspozycje, np. zgłoszenia utraty karty płatniczej lub zmiany danych klienta.
Do drugiej grupy można zaliczyć systemy AI wykorzystywane w następujących obszarach:
Zakres obowiązków wynikających z AI Act dla instytucji finansowych będzie zależał od rodzaju systemu AI wykorzystywanego w działalności instytucji oraz roli jaką będzie posiadać instytucja finansowa na gruncie AI Act (np. jako dostawca lub podmiot stosujący). Warto jednak już na wstępie podkreślić, że zarówno systemy AI wspierające front-end, jak i back-end instytucji finansowej, mogą być zakwalifikowane jako systemy wysokiego ryzyka.
System AI na gruncie AI Act oznacza, w uproszczeniu, system maszynowy cechujący się pewnym poziomem automomii działania, wykazujący zdolność adaptacji po jego wdrożeniu, który na podstawie danych wejściowych posiada zdolność wnioskowania i generowania wyników takich jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne. W AI Act wyróżnia się następujące kategorie systemów AI podlegających regulacji:
Systemy AI, które nie kwalifikują się do żadnej z powyższych kategorii, pozostają poza regulacją AI Act. Ich stosowanie nadal podlega nadzorowi w innych obszarach działalności instytucji (nadzór finansowy, ochrona danych, ochrona konsumenta etc.).
Zdecydowanie największą uwagę prawodawca unijny przywiązuje do systemów AI wysokiego ryzyka, których dotyczy też największa część regulacji AI Act. W przypadku instytucji finansowych, szczególne znaczenie będą miały następujące systemy AI zaliczane do kategorii wysokiego ryzyka, wymienione w załączniku nr III do Rozporządzenia:
Oprócz systemów AI wysokiego ryzyka wymienionych powyżej, instytucje finansowe mogą również wykorzystywać inne systemy AI zaliczane do kategorii wysokiego ryzyka, np. systemy przeznaczone do celów rekrutacji lub podejmowania decyzji wpływających na warunki stosunków pracy czy decyzji o awansie pracowników. Odrębną część AI Act poświęca obowiązkom dostawców modeli AI ogólnego przeznaczenia – choć składa się ona tylko z trzech artykułów (art. 53-55 AI Act), może mieć duże znaczenie dla banków i innych instytucji finansowych (w szczególności biorąc pod uwagę potencjał takich rozwiązań i dotychczasową powszechność użycia narzędzi typu LLM przez liderów wdrożeń AI w sektorze). Katalog systemów AI wysokiego ryzyka nie jest zresztą zamknięty – Komisja Europejska będzie również posiadać prawo modyfikacji katalogu systemów wysokiego ryzyka w drodze przyjmowania aktów delegowanych, przewidzianych w prawie Unii Europejskiej.
Jeśli instytucja finansowa samodzielnie rozwija system AI wysokiego ryzyka jako „dostawca” (provider) w rozumieniu AI Act, będzie na niej spoczywał szereg obowiązków. Należą do nich m.in. posiadanie systemu zarządzania jakością, przygotowanie dokumentacji technicznej, prowadzenie rejestru zdarzeń, ocena zgodności czy obowiązek rejestracji takiego systemu.
Gdy instytucja finansowa korzysta z systemu AI wysokiego ryzyka jako „podmiot stosujący” (deployer), obowiązki spoczywające na niej będą ograniczone – powinna ona m.in. zapewnić, że system jest używany zgodnie z instrukcją obsługi, zastosowano nadzór ludzki i monitoring jego wykorzystania, kontrolę nad danymi wejściowymi, rejestrowanie zdarzeń, a także realizację określonych obowiązków informacyjnych.
Instytucje finansowe stosujące systemy AI przeznaczone do celów oceny zdolności kredytowej oraz oceny ryzyka ubezpieczeniowego będą dodatkowo zobowiązane do przeprowadzenia tzw. oceny skutków w zakresie praw podstawowych, jakie może wywołać wykorzystanie takiego systemu. Ocena ta ma charakter zbliżony do oceny skutków dla ochrony danych (tzw. DPIA) przeprowadzanej na podstawie przepisów RODO2, przy czym ocena ta jest szersza i wymaga kompleksowej analizy wszystkich praw podstawowych wymienionych w Karcie praw podstawowych Unii Europejskiej3. Zasady przeprowadzania takiej oceny, określa AI Act.
Powyżej wskazaliśmy jedynie wybrane obowiązki instytucji finansowych działających jako dostawcy lub podmioty stosujące systemy AI wysokiego ryzyka. W rzeczywistości zakres tych obowiązków jest znacznie szerszy i obejmuje wiele szczegółowych wymogów regulacyjnych, których celem jest zapewnienie zgodności z AI Act.
Instytucje finansowe działają w skomplikowanym środowisku prawnym, które jest regulowane zarówno przez prawo stanowione, jak i wytyczne oraz rekomendacje organów nadzoru (tzw. soft law). Wdrażając systemy oparte na sztucznej inteligencji, instytucje te muszą uwzględnić w szczególności regulacje dotyczące:
Regulacje, o których mowa powyżej, należy – co do zasady – stosować niezależnie od obowiązków wynikających z AI Act. Trudno jednak nie zauważyć, że niektóre obowiązki wynikające z AI Act oraz wspomnianych regulacji przynajmniej częściowo się pokrywają lub wzajemnie na siebie oddziałują. W związku z tym optymalnym rozwiązaniem jest, aby przygotowanie do wdrożenia systemu AI w instytucji miało charakter kompleksowy, uwzględniając pozostałe regulacje oraz istniejące procedury wewnętrzne.
Takie podejście wydaje się zgodne z intencją prawodawcy unijnego. AI Act w kilku miejscach wskazuje, że instytucje finansowe mogą uznać za spełnione niektóre obowiązki wynikające z Rozporządzenia, jeśli instytucja zapewnia zgodność z odpowiednimi przepisami właściwymi dla instytucji finansowych, dotyczącymi zarządzania wewnętrznego i posiadania odpowiednich procedur. Dotyczy to przykładowo:
W odniesieniu do obowiązku prowadzenia rejestru zdarzeń, o którym mowa w art. 12 AI Act, instytucje finansowe powinny prowadzić te rejestry jako część dokumentacji prowadzonej na podstawie odpowiednich unijnych przepisów dotyczących usług finansowych (art. 18 ust. 3 AI Act). Warto jednak podkreślić, że odwołania te odnoszą się wyłącznie do instytucji finansowych działających w charakterze dostawcy systemów AI (a nie podmiotu stosującego). Nie zwalnia to również instytucji finansowych z zapewnienia zgodności z wymogami określonymi przez AI Act – w zakresie oceny skutków, przejrzystości, zarządzania danymi czy incydentami nadal obligatoryjne jest posiadanie przez instytucje finansowe odpowiednich rozwiązań organizacyjnych w standardzie określonym przepisami AI Actu.
Podsumowując, wdrażając wymogi wynikające z AI Act, instytucja finansowa powinna zweryfikować, czy dany wymóg można uznać za zrealizowany, biorąc pod uwagę obowiązujące w instytucji procedury i polityki, w tym te wprowadzone na podstawie przepisów właściwych dla instytucji finansowych (dotyczyć to będzie przede wszystkim procedur i polityk odnoszących się do zarządzania środowiskiem teleinformatycznym). W innych przypadkach niezbędne będzie uzupełnienie obowiązujących procedur i polityk o odpowiednie obowiązki wynikające z nowego rozporządzenia, a także wprowadzenie innych wymaganych procesów (np. dotyczących nadzoru ludzkiego czy incydentów).
Publikacja AI Act w Dzienniku Urzędowym Unii Europejskiej oznacza, że z dniem 1 sierpnia 2024 r. akt ten wszedł w życie. Podobnie jak w przypadku innych aktów prawa unijnego, nie oznacza to jednak automatycznego obowiązku stosowania przepisów Rozporządzenia. W przypadku większości przepisów AI Act, obowiązek ich stosowania rozpocznie się 2 sierpnia 2026 r. Warto przy tym zwrócić uwagę, że już od 2 lutego 2025 r. rozpoczną stosowanie przepisy ogólne i przepisy o zakazanych praktykach w zakresie AI.
Okres najbliższych dwóch lat będzie jednak świetnym czasem na wdrożenia i prace rozwojowe nad stosowaniem AI w instytucjach finansowych. Prawodawca zdecydował się bowiem odsunąć zastosowanie przepisów AI Act do 2030 roku dla systemów AI, które wprowadzono do obrotu lub oddano do użytku przed 2 sierpnia 2026, chyba że po tej dacie wprowadzono istotne zmiany w ich projekcie. Oczywiście istotność zmiany będzie potencjalnie wrażliwym i częstym obszarem sporów z nadzorcą, niemniej zmiana musi dotyczyć „projektu” (designs) systemu, żeby utracić prawo do korzystania z okresu przejściowego. Nie powinno to zatem obejmować standardowych zmian dotyczących np. aktualizacji zabezpieczeń lub zaprojektowanego rozwoju modelu wskutek uczenia maszynowego. W każdym przypadku zastosowanie AI Actu będzie jednak miało miejsce dopiero od wprowadzenia takiej zmiany, co nadal pozostawia dostawcom (w tym instytucjom finansowym) dodatkowy bufor czasowy na dostosowanie systemów AI do nowej regulacji, a trwające lub zamierzone projekty warto przyspieszyć w czasie, aby start produkcyjny dokonać nie później do 2 sierpnia 2026.
W obliczu nowych regulacji i dynamicznego rozwoju technologii AI, instytucje finansowe powinny dodatkowo przyjąć proaktywne podejście, polegające m.in. na:
Choć nowe przepisy niosą ze sobą wyzwania i koszty dostosowawcze, stwarzają również szansę na budowę bardziej odpowiedzialnego i zaufanego ekosystemu AI w finansach. Instytucje finansowe, które proaktywnie podejdą do nowych regulacji i zainwestują w etyczne i zgodne z prawem rozwiązania AI, mogą zyskać znaczącą przewagę konkurencyjną w cyfrowej erze finansów.
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (dalej jako „AI Act” lub „Rozporządzenie”)
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako „RODO”)
3 Karta praw podstawowych Unii Europejskiej (Dz.Urz.UE.C 2010 Nr 83, poz. 389)
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Tekst mający znaczenie dla EOG) (dalej jako „DORA”)
5 Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23 stycznia 2020 r. (link: https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf)