Jak ustawa o sztucznej inteligencji wpływa na regulacje dotyczące sztucznej inteligencji w sektorze bankowym?

Sztuczna inteligencja odgrywa coraz ważniejszą rolę w sektorze bankowym, przyspieszając procesy, wspierając analizę danych i umożliwiając zaawansowane opcje personalizacji. Jej dynamiczny rozwój wiąże się z koniecznością wprowadzenia regulacji zapewniających jej bezpieczne i odpowiedzialne korzystanie.

Ustawa o sztucznej inteligencjiprzyjęte przez Parlament Europejski jest kluczowym aktem prawnym, który definiuje zasady odpowiedzialnego i etycznego korzystania ze sztucznej inteligencji, nakłada obowiązki na instytucje z niej korzystające i ustala standardy zgodności; nie jest to jednak jedyne rozporządzenie, które jest istotne dla instytucji finansowych w tym zakresie.

W tym artykule przyjrzymy się różnym przepisom dotyczącym sztucznej inteligencji, konsekwencjom ich nieprzestrzegania oraz wyzwaniom związanym z wdrażaniem nowych regulacji.

Różne przepisy dotyczące wykorzystania sztucznej inteligencji

Podczas Ustawa UE o sztucznej inteligencji Jest to pierwsze kompleksowe rozporządzenie regulujące wykorzystanie technologii sztucznej inteligencji (AI). W obowiązującym prawodawstwie znajdziemy również inne regulacje mające zastosowanie w tym obszarze. Należą do nich inne ogólne przepisy przyjęte przez UE, takie jak ustawa o odporności operacyjnej w dziedzinie cyfrowej (Digital Operational Resilience Act, DORA) i ogólne rozporządzenie o ochronie danych (RODO), które mają również zastosowanie do podmiotów zarówno w Unii Europejskiej, jak i poza nią, jeśli ich działalność wpływa na rynek UE.

W tej części skupiono się na postanowieniach wyżej wymienionych rozporządzeń, które mają znaczenie dla niniejszego artykułu, oraz na tym, w jaki sposób uzupełniają one postanowienia ustawy UE o sztucznej inteligencji.

Obowiązki informacyjne podmiotów dostarczających i korzystających z systemów AI

Niezależnie od poziomu ryzyka określonego dla systemu dostarczanego lub użytkowanego przez dany podmiot, ustawa o sztucznej inteligencji nakłada na ten podmiot obowiązek informacyjny związany z odpowiednim informowaniem osób, na które system może mieć wpływ. W takim przypadku podmiot jest zobowiązany do:

• poinformować daną osobę, że wchodzi ona w bezpośrednią interakcję z systemem sztucznej inteligencji,
• odpowiednio i wyraźnie oznaczać treści generowane przez sztuczną inteligencję,
• powiadamiać osoby, wobec których zastosowano systemy kategoryzacji biometrycznej lub rozpoznawania emocji, o stosowaniu takich systemów,
• wyraźnie zaznaczyć, że wykorzystywane są materiały typu deepfake — generowane lub manipulowane.

Powiązania między ustawą o sztucznej inteligencji a RODO

Podczas Ogólne rozporządzenie o ochronie danych (GDPR) Ustawa UE o sztucznej inteligencji koncentruje się na zabezpieczaniu danych osobowych i reguluje odpowiedzialny i bezpieczny sposób, w jaki systemy sztucznej inteligencji powinny wykorzystywać udostępnione im dane.

Do systemów AI wysokiego ryzyka zaliczają się rozwiązania oparte na modelach AI trenowanych na danych, wśród których mogą znajdować się dane osobowe – w takiej sytuacji, oprócz wymogów Ustawy o AI, obowiązują przepisy RODO. Ponadto przepisy te zawierają wytyczne dotyczące przetwarzania danych biometrycznych oraz obowiązki informacyjne dotyczące wykorzystania AI i przetwarzania danych osobowych.

W oparciu o te dane systemy sztucznej inteligencji mogą być również wykorzystywane do zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, takich jak decyzje o udzieleniu pożyczki. W takiej sytuacji, zgodnie z ustawą o sztucznej inteligencji (AI), osoby fizyczne mają prawo do otrzymania wyjaśnień dotyczących podjętych decyzji, natomiast RODO przyznaje im prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu danych.

W obu rozporządzeniach można znaleźć postanowienia dotyczące analizy ryzyka. Systemy sztucznej inteligencji są przypisane do różnych kategoriiW przypadku przetwarzania danych osobowych ocena ryzyka stanowi podstawę do zapewnienia środków ochrony tych danych. Zarówno ustawa o sztucznej inteligencji, jak i RODO nakładają również obowiązek rejestrowania działań lub zdarzeń w określonych sytuacjach, a także zgłaszania naruszeń i incydentów związanych z bezpieczeństwem, takich jak awarie systemu. Należy w tym miejscu zaznaczyć, że naruszenie bezpieczeństwa danych może nastąpić w wyniku działań wykorzystujących sztuczną inteligencję.

W ten sposób oba rozporządzenia podkreślają wagę przejrzystości działań podmiotów zaangażowanych.

Powiązania między ustawą o sztucznej inteligencji a ustawą DORA

Oboje Ustawa o cyfrowej odporności operacyjnej (DORA) a ustawa UE o sztucznej inteligencji (AI Act) dotyczy nakładających się obszarów, takich jak zarządzanie ryzykiem, zarządzanie danymi i cyberbezpieczeństwo, ze szczególnym naciskiem na integralność i poufność danych. Ustawa DORA ma na celu zapewnienie bezpieczeństwa technologie informacyjno-komunikacyjne (ICT), co pomaga zagwarantować ciągłość usług świadczonych przez instytucje finansowe. Wśród elementów ICT znajdują się również systemy sztucznej inteligencji (AI).

Oba rozporządzenia wielokrotnie odwołują się do zbieżnych koncepcji „dostawców” lub „podmiotów korzystających” z usług ICT lub technologii AI. „Systemy AI”, zgodnie z definicją zawartą w ustawie o AI, wpisują się w definicję „usług ICT” zawartą w ustawie DORA, szczególnie w przypadku systemów AI wysokiego ryzyka. Innym wspólnym problemem poruszanym w obu rozporządzeniach jest wymóg doskonalenia kompetencji i wiedzy podmiotów dostarczających i korzystających z technologii ICT i AI. Wymagany jest również nadzór ludzki nad systemami i procesami. Zarówno DORA, jak i ustawa o AI również postulują wprowadzenie procedur zarządzania ryzykiem.

Wdrożenie postanowień obu ustaw w obszarze usług finansowych zagwarantuje, że systemy bankowe oparte na sztucznej inteligencji będą spełniać odpowiednie standardy operacyjne i etyczne.

Wpływ ustawy o sztucznej inteligencji na regulacje lokalne

Państwa członkowskie UE są zobowiązane do wyznaczenia własnych organów odpowiedzialnych za nadzór nad przestrzeganiem ustawy o sztucznej inteligencji do August 1, 2025 .

Zadaniem tych organów będzie stworzenie spójnych ram prawnych dla rozwoju, wdrażania i nadzoru nad technologiami AI w celu wspierania innowacji i zapewnienia bezpieczeństwa osób i instytucji. Będą one współpracować z Komisją Europejską, Europejską Radą ds. Sztucznej Inteligencji oraz innymi organami samorządowymi o odpowiednich kompetencjach, takich jak ochrona danych czy nadzór finansowy.

Kolejnym obszarem, w którym ustawa o sztucznej inteligencji nakłada obowiązki na każde państwo członkowskie UE, jest utworzenie co najmniej jednego piaskownica regulacyjna do 2 sierpnia 2026 r. A piaskownica regulacyjna to środowisko utworzone przez właściwe organy, które umożliwia dostawcom bezpieczne testowanie technologii i rozwiązań z zakresu sztucznej inteligencji w warunkach rzeczywistych przez określony czas.

Aby zapoznać się z przeglądem powiązań między Ustawą o sztucznej inteligencji a polskimi przepisami obowiązującymi w bankowości, zobacz ten artykuł.

Konsekwencje nieprzestrzegania ustawy o sztucznej inteligencji

Ponieważ niewłaściwe lub niewystarczająco nadzorowane wykorzystanie technologii sztucznej inteligencji może prowadzić do naruszeń bezpieczeństwa, kluczowe znaczenie ma przestrzeganie przepisów przyjętych przez Parlament Europejski. Kary za nieprzestrzeganie unijnej ustawy o sztucznej inteligencji zależą od wagi naruszenia:

• Niedostosowanie się do przepisów dotyczących niedozwolonych praktyk niosących ze sobą niedopuszczalne ryzyko będzie skutkować karą pieniężną w wysokości do 35 milionów euro lub do 7% całkowitego światowego rocznego obrotu przedsiębiorstwa naruszającego przepisy — w zależności od tego, która kwota jest wyższa.
• Niedostosowanie się do przepisów dotyczących operatorów lub jednostek notyfikowanych będzie skutkować karą pieniężną w wysokości do 15 milionów euro lub do 3% całkowitego światowego rocznego obrotu przedsiębiorstwa naruszającego przepisy — w zależności od tego, która kwota jest wyższa.
• Podanie nieprawdziwych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub właściwym organom państwowym w odpowiedzi na ich żądanie będzie skutkować karą pieniężną w wysokości do 7.5 mln euro lub do 1% całkowitego światowego rocznego obrotu przedsiębiorstwa naruszającego przepisy — w zależności od tego, która kwota jest wyższa.
• W przypadku małych i średnich przedsiębiorstw, w tym przedsiębiorstw typu start-up, kara nie może być wyższa niż określony powyżej procent lub kwota stała wskazana za dane naruszenie.

Wyzwania związane z wdrażaniem zgodności z ustawą o sztucznej inteligencji w sektorze bankowym

Wdrożenie przepisów unijnej ustawy o sztucznej inteligencji w sektorze bankowym wymaga od organizacji znalezienia sposobów na zapewnienie zgodności z rygorystycznymi przepisami przy jednoczesnym utrzymaniu wydajności operacyjnej.

Należy również uwzględnić powiązane przepisy wymienione w powyższych sekcjach. Zawierają one zestaw odrębnych wymagań, a zapewnienie ich bezkolizyjnej zgodności może stanowić wyzwanie, zwłaszcza pod względem możliwej błędnej interpretacji, co może prowadzić do nieefektywności, a nawet całkowitej niezgodności.

W wielu przypadkach starsze systemy mogą wymagać aktualizacji, co może wiązać się z wyzwaniami technicznymi. Ponadto pracownicy muszą zostać odpowiednio przeszkoleni, aby móc korzystać z systemów AI, zarządzać nimi i nadzorować je w sposób zapewniający ich adekwatność i bezpieczeństwo. Zazwyczaj wymaga to znacznych inwestycji zasobów.

Jednoczesne spełnienie wszystkich wymagań może nadwyrężyć zasoby organizacji. Dlatego ważne jest, aby rozwiązywać potencjalne trudności w sposób proaktywny, poprzez współpracę między działami i wykorzystanie technologii wspierających zgodność, takich jak platformy zarządzania danymi czy narzędzia do automatycznego audytu.

Znaczenie zapewnienia zgodności z ustawą o sztucznej inteligencji w instytucjach finansowych

Sztuczna inteligencja (AI) na stałe zagości w naszym życiu, a jej wykorzystanie będzie się tylko zwiększać, w tym w sektorze usług finansowych. Biorąc pod uwagę ryzyko i wyzwania związane z tą technologią, oczywiste jest, że niezwykle ważne jest, aby organizacje opracowały i wdrożyły strategię AI w oparciu o odpowiednie przepisy Ustawy o AI i powiązane z nią przepisy.

Przestrzeganie postanowień ustawy o sztucznej inteligencji:

• pomaga zwiększyć wydajność, dokładność i bezpieczeństwo operacji wspieranych przez sztuczną inteligencję,
• wzmacnia efektywność operacyjną organizacji poprzez niezawodne zarządzanie sztuczną inteligencją,
• zapewnia etyczne i przejrzyste wykorzystanie sztucznej inteligencji, demonstrując zaangażowanie organizacji w odpowiedzialne wdrażanie i wykorzystywanie sztucznej inteligencji, zwiększając zaufanie klientów,
• promuje innowacyjność poprzez zapewnianie jasnych ram regulacyjnych,
• zmniejsza ryzyko nałożenia kar pieniężnych i utraty reputacji w wyniku nieprzestrzegania zasad.

Dzięki temu banki mogą skutecznie optymalizować swoje operacje, minimalizując ryzyko nieścisłości lub naruszeń, budując jednocześnie zaufanie do swoich kompetencji wśród konsumentów usług finansowych.

Sztuczna inteligencja w bankowości w obliczu zmieniających się przepisów

Ustawa o sztucznej inteligencji (AI) reguluje wykorzystanie sztucznej inteligencji w sektorze bankowym, wprowadzając nowe obowiązki i przepisy mające na celu zapewnienie bezpieczeństwa, przejrzystości i zgodności technologii AI z normami prawnymi. Ustawa nakłada surowe wymogi, ale jednocześnie stwarza bankom możliwości budowania zaufania klientów i wspierania innowacji.

Szybki rozwój technologii niesie ze sobą zarówno nowe możliwości, jak i w dużej mierze nieprzewidywalne zagrożenia, co oznacza, że ​​zmieniające się przepisy muszą być stale monitorowane.