- Istniejące i planowane regulacje prawne w obszarze wykorzystania sztucznej inteligencji
- Obowiązki informacyjne dostawców i podmiotów stosujących systemy AI
- Elementy styczne AI Act i RODO
- Elementy styczne AI Act i DORA
- Elementy styczne AI Act i Ustawy Prawo bankowe
- Rekomendacja W
- Projekt Ustawy o systemach sztucznej inteligencji i ustanowienie KRiBSI (Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji)
- Konsekwencje niestosowania się do przepisów AI Act
- Wyzwania związane z wdrażaniem zgodności z postanowieniami AI Act w instytucjach finansowych
- Znaczenie zapewnienia zgodności z postanowieniami AI Act w instytucjach finansowych
- Sztuczna inteligencja w bankowości w obliczu zmieniających się przepisów
Sztuczna inteligencja odgrywa coraz większą rolę w sektorze bankowym, przyspieszając procesy, wspierając analizę danych oraz umożliwiając zaawansowaną personalizację usług. Jednak wraz z jej dynamicznym wzrostem pojawia się konieczność wprowadzenia regulacji zapewniających jej bezpieczne i odpowiedzialne wykorzystanie.
Przyjęty przez Parlament Europejski AI Act to kluczowy akt prawny, który określa zasady odpowiedzialnego i etycznego stosowania sztucznej inteligencji, nakłada obowiązki na korzystające z niej instytucje i wyznacza standardy zgodności. Nie jest to jednak jedyna regulacja, która będzie w tym zakresie istotna dla instytucji finansowych.
W artykule przyjrzymy się zarówno istniejącym, jak i proponowanym regulacjom prawnym dotyczącym sztucznej inteligencji, konsekwencjom ich nieprzestrzegania oraz wyzwaniom, jakie wiążą się z wdrażaniem nowych przepisów.
Istniejące i planowane regulacje prawne w obszarze wykorzystania sztucznej inteligencji
Unijna ustawa o sztucznej inteligencji (AI Act) jest pierwszym kompleksowym rozporządzeniem regulującym wykorzystanie technologii AI. W obecnej legislacji znajdziemy jednak również inne przepisy, które będą mieć zastosowanie w tej dziedzinie. Będą to inne ogólne przepisy przyjęte przez UE, jak ustawa o cyfrowej odporności operacyjnej (DORA) i ogólne rozporządzenie o ochronie danych (RODO), które także mają zastosowanie do podmiotów zarówno w Unii Europejskiej, jak i poza nią, jeśli ich działalność ma wpływ na rynek UE.
W prawodawstwie polskim przepisy wynikające z AI Act uzupełniają również Prawo bankowe i Rekomendacja W Komisji Nadzoru Finansowego. W przygotowaniu pozostają również inne akty prawne.
Niniejsza sekcja koncentruje się na istotnych z punktu widzenia tego artykułu postanowieniach wspomnianych regulacji oraz na sposobie, w jaki uzupełniają one przepisy unijnej ustawy o sztucznej inteligencji.
Obowiązki informacyjne dostawców i podmiotów stosujących systemy AI
Bez względu na poziom ryzyka określony dla systemu dostarczanego lub używanego przez dany podmiot, ustawa o sztucznej inteligencji na każdy z nich nakłada obowiązek informacyjny wobec osób zainteresowanych, na które wpływ może mieć przedmiotowy system AI. W tym wypadku należy:
- informować o tym, że dana osoba wchodzi w bezpośrednią interakcję z systemem AI,
- odpowiednio i jasno oznaczać treści generowane przez sztuczną inteligencję,
- powiadamiać osoby, wobec których stosowane są systemy kategoryzacji biometrycznej lub rozpoznawania emocji o wykorzystywaniu tych systemów,
- informować o fakcie posługiwania się deepfake’ami – o ich generowaniu lub manipulacji.
Elementy styczne AI Act i RODO
Podczas gdy ogólne rozporządzenie o ochronie danych osobowych (RODO) koncentruje się na zabezpieczaniu danych osobowych, unijna ustawa o sztucznej inteligencji reguluje kwestie związane z wykorzystywaniem przez systemy AI przekazywanych im danych w odpowiedzialny i bezpieczny sposób.
Systemy AI wysokiego ryzyka obejmują rozwiązania oparte na szkoleniu modeli AI z wykorzystaniem danych, wśród których mogą pojawić się dane osobowe – w takiej sytuacji oprócz wymogów AI Act zastosowanie mają dodatkowe regulacje wynikające z RODO. Co więcej, rozporządzenia zawierają wytyczne dotyczące przetwarzania danych biometrycznych oraz obowiązków informacyjnych w zakresie stosowania AI oraz przetwarzania danych osobowych.
Na podstawie danych systemy sztucznej inteligencji mogą być również wykorzystywane do zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, jak decyzje o przyznaniu kredytu. W takiej sytuacji, zgodnie z AI Act, osoby fizyczne mają możliwość uzyskania wyjaśnienia na temat podjętych decyzji, zaś RODO daje im prawo, by nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu danych.
W przypadku obu rozporządzeń znajdujemy postanowienia dotyczące analizy ryzyka. Zgodnie z nią, systemy sztucznej inteligencji przyporządkowuje się do odpowiednich kategorii, zaś w przypadku przetwarzania danych osobowych ocena ryzyka stanowi podstawę zapewnienia odpowiednich środków ochrony tych danych. Zarówno AI Act, jak i RODO nakładają również obowiązek rejestracji czynności lub zdarzeń w określonych sytuacjach, jak również zgłaszania naruszeń i istotnych z punktu widzenia bezpieczeństwa incydentów, jak np. nieprawidłowości w działaniu systemu. Należy tutaj zaznaczyć, że naruszenie ochrony danych osobowych może wystąpić wskutek działania wykorzystującego sztuczną inteligencję.
Tym samym oba przepisy podkreślają znaczenie przejrzystości działań podejmowanych przez zaangażowane podmioty.
Elementy styczne AI Act i DORA
Zarówno Rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA), jak i EU AI Act odnoszą się do pokrywających się obszarów, takich jak zarządzanie ryzykiem, zarządzanie danymi i cyberbezpieczeństwo, z silnym naciskiem na integralność i poufność danych. DORA ma na celu zapewnienie bezpieczeństwa technologii informacyjno-komunikacyjnych (ICT), co pozwala zagwarantować ciągłość świadczenia usług przez instytucje finansowe. Coraz częściej wśród elementów technologii ICT znajdziemy też systemy AI.
Obie regulacje odnoszą się w wielu miejscach do zbieżnych pojęć “dostawcy” lub “podmiotu stosującego” usługi ICT lub technologie AI. “Systemy AI” definiowane zgodnie z AI Act wpisują się ponadto w definicję “usług ICT” przedstawioną przez DORA, w szczególności w przypadku systemów AI wysokiego ryzyka. Kolejnym wspólnym zagadnieniem dla obu regulacji jest wymóg podnoszenia kompetencji i wiedzy dostawców i podmiotów wykorzystujących ICT oraz technologie AI. Występuje również wymóg zapewnienia nadzoru nad systemami i procesami przez człowieka. Zarówno DORA, jak i AI Act nakładają także obowiązek wprowadzania procedur zarządzania ryzykiem.
Wdrożenie przepisów obu aktów w usługach finansowych zapewni, że systemy bankowe oparte na sztucznej inteligencji będą spełniać odpowiednie standardy operacyjne i etyczne.
Elementy styczne AI Act i Ustawy Prawo bankowe
Ustawa Prawo bankowe z 29 sierpnia 1997 również ma wpływ na regulacje dotyczące wykorzystania sztucznej inteligencji w bankowości, głównie w zakresie przepisów o tajemnicy bankowej oraz zautomatyzowanym podejmowaniu decyzji.
W obszarze wykorzystania systemów AI wysokiego ryzyka obserwujemy zależność w przypadku zautomatyzowanego podejmowania decyzji w procesie ubiegania się o kredyt. Zarówno AI Act, jak i Prawo bankowe przewidują procedurę udzielania informacji i wyjaśnienia na temat przebiegu tego procesu i powodów wydania konkretnej decyzji na wniosek osoby zainteresowanej.
W zakresie systemów AI wysokiego ryzyka mieści się również kwestia dochowania tajemnicy bankowej. Tajemnica bankowa to obowiązek banku, jego pracowników oraz osób działających w jego imieniu do zachowania poufności informacji dotyczących czynności bankowych uzyskanych w czasie negocjacji, zawierania i realizacji umów z klientami. W opisywanym przypadku bank ma obowiązek dotrzymać tajemnicy bankowej na etapie tworzenia i rozwijania danego systemu AI poprzez ograniczenie danych wykorzystywanych do szkolenia i testowania modeli.
Ponadto w zakres zagadnień wspólnych dla obu regulacji wpisuje się outsourcing czynności bankowych i faktycznych poprzez wykorzystanie do ich realizacji systemów AI.
Rekomendacja W
Kolejną istotną dla bankowości regulacją w świetle postępu technologii AI jest wydana przez Komisję Nadzoru Finansowego (KNF) Rekomendacja W, której celem jest określenie zasad zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjnej w sektorze bankowym. Rekomendacja zapewnia wytyczne dotyczące ochrony systemów teleinformatycznych przed zagrożeniami cybernetycznymi, w tym procedur minimalizujących ryzyko wynikające z awarii systemów IT i błędów operacyjnych oraz mechanizmów zapewniających zgodność działań banków z regulacjami dotyczącymi technologii informacyjnej.
W obszarze zależności pomiędzy AI Act a Rekomendacją W obserwujemy pewne wyzwania związane z interpretacją pojęć modelu w relacji do modelu AI, umiejscowienia procesu walidacji, jak również określenia organu odpowiedzialnego za nadzór sektora bankowości, na co zwraca uwagę grupa robocza ds. AI Forum Technologii Bankowych w dokumencie podsumowującym jej prace z kwietnia 2025.
Projekt Ustawy o systemach sztucznej inteligencji i ustanowienie KRiBSI (Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji)
W celu dostosowania krajowych przepisów do unijnej regulacji AI Act, Ministerstwo Cyfryzacji opublikowało projekt Ustawy o systemach sztucznej inteligencji (USSI). Polska ustawa ma na celu stworzenie spójnych ram prawnych dla rozwijania, wdrażania i nadzoru nad technologiami AI z uwzględnieniem zarówno wspierania innowacyjności, jak i zapewnienia bezpieczeństwa osób i instytucji.
Ustawa odgrywa również istotną rolę w tworzeniu mechanizmów nadzoru poprzez powołanie instytucji odpowiedzialnej za monitorowanie przestrzegania przepisów i egzekwowanie regulacji AI w postaci Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI). Komisja współpracować będzie z Komisją Nadzoru Finansowego (KNF), Urzędem Ochrony Konkurencji i Konsumentów (UOKiK), Urzędem Ochrony Danych Osobowych (UODO), Komisją Europejską, Europejską Radą ds. Sztucznej Inteligencji oraz innymi lokalnymi organami odpowiednimi dla pozostałych państw członkowskich UE. Będzie ona uprawniona do prowadzenia kontroli podmiotów objętych przepisami AI Act oraz do wydawania decyzji o nałożeniu kary w przypadku naruszenia przepisów wynikających z tej ustawy. Podmioty zobowiązane do stosowania przepisów AI Act i USSI będą mogły również zwrócić się do KRiBSI o wydanie opinii w zakresie stosowania przez nie tych przepisów w konkretnych przypadkach.
Kolejnym obszarem, w którym AI Act nakłada obowiązek na państwa członkowskie UE, jest ustanowienie co najmniej jednej piaskownicy regulacyjnej najpóźniej do 2 sierpnia 2026. Piaskownica regulacyjna to ustanowione przez kompetentne władze środowisko umożliwiające dostawcom testowanie przez określony czas technologii i rozwiązań AI w rzeczywistych warunkach w sposób bezpieczny. Działania w zakresie tworzenia piaskownic regulacyjnych i zarządzania nimi będą leżeć również w gestii KRiBSI.
W momencie publikacji tego artykułu projekt Ustawy o systemach sztucznej inteligencji (USSI) trafił po konsultacjach społecznych do ponownych uzgodnień międzyresortowych.
Konsekwencje niestosowania się do przepisów AI Act
Niewłaściwe lub nieodpowiednio nadzorowane wykorzystanie technologii sztucznej inteligencji może skutkować naruszeniem bezpieczeństwa, dlatego zgodność z przepisami przyjętymi przez Parlament Europejski ma kluczowe znaczenie. Kary za nieprzestrzeganie unijnej ustawy o sztucznej inteligencji zależą od wagi naruszenia:
- Za nieprzestrzeganie przepisów dotyczących praktyk zakazanych o niedopuszczalnym ryzyku grozi kara w wysokości do 35 mln euro lub do 7% globalnego rocznego obrotu przedsiębiorstwa będącego sprawcą naruszenia – w zależności od tego, która z tych kwot jest wyższa.
- Za nieprzestrzeganie przepisów dotyczących operatorów lub jednostek notyfikowanych grozi kara w wysokości do 15 mln euro lub do 3% globalnego rocznego obrotu przedsiębiorstwa będącego sprawcą naruszenia – w zależności od tego, która z tych kwot jest wyższa.
- Za dostarczanie nieprawidłowych, niekompletnych lub mylących informacji jednostkom notyfikowanym lub właściwym organom państwowym w odpowiedzi na ich wniosek grozi kara w wysokości do 7,5 mln euro lub do 1% globalnego rocznego obrotu przedsiębiorstwa będącego sprawcą naruszenia – w zależności od tego, która z tych kwot jest wyższa.
- W przypadku małych i średnich przedsiębiorstw, w tym startupów, kara nie może być wyższa niż określony procent lub stała kwota wskazana powyżej odpowiednio dla danego naruszenia.
Wyzwania związane z wdrażaniem zgodności z postanowieniami AI Act w instytucjach finansowych
Wdrożenie procedur zapewniających zgodność działalności instytucji finansowych z unijną ustawą o sztucznej inteligencji wymaga od organizacji znalezienia sposobów na stosowanie się do rygorystycznych przepisów przy jednoczesnym zachowaniu wydajności operacyjnej.
Pod uwagę należy również wziąć wszystkie powiązane regulacje wymienione w powyższych sekcjach. Wiążą się one z szeregiem odrębnych wymogów, a zapewnienie zgodności bez konfliktów może stanowić wyzwanie, zwłaszcza pod względem możliwej błędnej interpretacji, co może prowadzić do nieefektywności lub nawet całkowitej niezgodności.
W wielu przypadkach konieczna będzie aktualizacja starszych systemów, co może wiązać się z wyzwaniami technicznymi. Ponadto pracownicy muszą zostać odpowiednio przeszkoleni, aby móc wykorzystywać i nadzorować systemy AI w sposób zapewniający skuteczność i bezpieczeństwo operacji. Na ogół wymaga to znacznych inwestycji.
Jednoczesne spełnienie wszystkich wymogów może nadwyrężyć zasoby organizacji – dlatego ważne jest, aby rozwiązywać potencjalne trudności w sposób proaktywny, poprzez współpracę między działami i wykorzystanie technologii wspierających zgodność, takich jak platformy zarządzania danymi lub zautomatyzowane narzędzia audytowe.
Znaczenie zapewnienia zgodności z postanowieniami AI Act w instytucjach finansowych
Sztuczna inteligencja jest silnie obecna na rynku i należy spodziewać się, że jej wykorzystanie będzie coraz bardziej powszechne – w tym w sektorze bankowości. Biorąc pod uwagę ryzyko i wyzwania związane z tą technologią, niezwykle ważne jest, aby organizacje stosowały odpowiednie przepisy wprowadzone przez europejską ustawę oraz powiązane regulacje.
Przestrzeganie przepisów AI Act:
- pomaga zwiększyć wydajność, dokładność i bezpieczeństwo procesów wspieranych przez sztuczną inteligencję,
- wzmacnia wydajność operacyjną organizacji dzięki skutecznemu zarządzaniu narzędziami AI,
- zapewnia etyczne i przejrzyste wykorzystanie sztucznej inteligencji, demonstrując zaangażowanie organizacji w odpowiedzialne jej wdrażanie i stosowanie, a tym samym zwiększając zaufanie klientów,
- promuje innowacje poprzez zapewnienie jasnych ram regulacyjnych,
- zmniejsza ryzyko kar i szkód dla reputacji wynikających z nieprzestrzegania przepisów.
W ten sposób banki mogą z powodzeniem optymalizować swoje operacje przy ograniczeniu ryzyka nieprawidłowości lub naruszeń, jednocześnie budując zaufanie do swoich kompetencji wśród konsumentów usług finansowych.
Sztuczna inteligencja w bankowości w obliczu zmieniających się przepisów
AI Act znacząco wpływa na regulacje dotyczące sztucznej inteligencji w sektorze bankowym, wprowadzając nowe obowiązki i zasady, które mają zapewnić bezpieczeństwo, przejrzystość oraz zgodność technologii AI z normami prawnymi. Chociaż ustawa narzuca rygorystyczne wymogi, stwarza także szanse na budowanie zaufania klientów oraz wspieranie innowacji.
Szybki wzrost technologii niesie zarówno nowe możliwości, jak i trudne do przewidzenia zagrożenia, co oznacza konieczność stałego monitorowania aktualizowanych przepisów w dynamicznie zmieniającym się krajobrazie regulacyjnym.
