Systemy AI rewolucjonizują społeczeństwa i gospodarkę i dlatego już niedługo mają doczekać się całościowej regulacji, która obejmie całą Unię Europejską. Mimo tego, że ogólnoeuropejskie prawo regulacji AI, czyli Akt o Sztucznej Inteligencji (AI Act) jest na ostatnim etapie uzgodnień międzyinstytucjonalnych i nie posiadamy jeszcze finalnego tekstu, już na tym etapie można z dużą dozą pewności opisać najważniejsze założenia i kluczowe obowiązki, których podmiotem będą zarówno dostawcy systemów AI, jak i ich użytkownicy. Mimo potrzeby finalnego kompromisu i wejścia AI Act w życie, na podstawie politycznych komunikatów wiadomo już, że główne założenia dotyczące ról i obowiązków, a także kwalifikacji systemów AI w kontekście sektora bankowego nie będą różniły się od tych przedstawionych w ostatnich propozycjach legislacyjnych.

Jest to szczególnie ważne dla sektora bankowego, który dynamicznie wprowadza i w coraz bardziej intensywny sposób używa systemów AI do poprawy swojej konkurencyjności[1]. Wystarczy wspomnieć jak duży potencjał systemy AI mają w dziedzinach takich jak ocena wiarygodności kredytowej i ryzyka, optymalizacja procesów i operacji, analiza zachowania klientów, czy możliwość ich obsługi w sposób zautomatyzowany.

Ze względu na krytyczną rolę sektora bankowego, a także ryzyko związane z użyciem systemów AI w bankowości dla konstytucyjnych praw podstawowych, sektor bankowy będzie przedmiotem zwiększonej uwagi regulatorów na całym świecie.

Co jeszcze istotniejsze, bardzo dobre zrozumienie natury systemów, których bank chce użyć, a także sposobu ich zaprojektowania i użycia, będzie niezbędne, ponieważ wiele potencjalnych zastosowań w bankowości może oscylować pomiędzy systemami, których ryzyko jest predefiniowane jako albo zbyt wysokie, albo wysokie lecz cały czas akceptowalne pod pewnymi warunkami. Przykładem może być automatyczna ocena ryzyka kredytowego, która to praktyka w zależności od szczegółów zaprojektowania systemu i jego wdrożenia może być dozwolona lub zabroniona[2].

Dlatego wymagane będzie od banków posiadanie łącznej ekspertyzy prawnej i technicznej, z uwzględnieniem etycznego wymiaru zastosowań sztucznej inteligencji (aby realnie ocenić możliwy wpływ systemów AI na konsumentów). Będzie to niezbędne do odpowiedniego nawigowania poprzez wyzwania stworzone w wyniku wejścia w życie AI Act.

AI Act nałoży zróżnicowane obowiązki na dostawców i użytkowników systemów AI, w zależności od poziomu ryzyka, który przedstawia określony system. Poziom ryzyka jest jednocześnie predefiniowany przez prawo, poprzez kategoryzacje według określonych zastosowań.

AI Act dzieli systemy AI na te, których użycie wiąże się z nieakceptowalnym ryzykiem, wysokim ryzykiem, ograniczonym i niskim ryzykiem. Zabronione jest używanie systemów o nieakceptowalnym ryzyku. Regulacji podlega tworzenie i używanie systemów o AI o wysokim ryzyku, a takim będą systemy wykorzystywane w sektorze bankowym, ponieważ uznane one będą za systemy kwalifikowalne jako wykorzystane przy świadczeniu niezbędnych społecznie usług, takich jak dostęp do kredytu. Możliwym jest również, że duża część systemów w sektorze bankowym nie związana bezpośrednio z obsługą konsumenta może być uznana za systemy wysokiego ryzyka, ze względu na bycie częścią infrastruktury krytycznej, ważnej dla bezpieczeństwa i stabilności finansowej państwa.

Dopuszczalnym będzie używanie systemów o wysokim ryzyku pod warunkiem spełnienia szeregu wymogów, które nałoży AI Act. W odniesieniu do obowiązków nakładanych przez AI Act na banki i sektor bankowy, kluczowe aspekty to:

1. Zgodność z wymogami dotyczącymi ryzyka: Banki będą musiały ocenić i zarządzać ryzykiem związanym z wykorzystaniem systemów AI. Obejmuje to identyfikację, ocenę i minimalizację potencjalnych szkód lub błędów wynikających z użycia AI.
2. Transparentność i wyjaśnialność: Banki będą musiały zapewnić, że systemy AI są przejrzyste i że decyzje podjęte przez te systemy mogą być wyjaśnione klientom i organom regulacyjnym.
3. Ochrona danych i prywatności: Systemy AI wykorzystywane w bankowości będą musiały przestrzegać surowych przepisów dotyczących ochrony danych osobowych, zgodnie z ogólnym rozporządzeniem o ochronie danych (GDPR) oraz dodatkowymi wymogami określonymi w AI Act.
4. Nadzór i sprawozdawczość: Banki będą zobowiązane do monitorowania i raportowania o wykorzystaniu systemów AI, w tym o wszelkich incydentach lub problemach związanych z tymi systemami.
5. Ocena ryzyka i zgodności: Banki będą musiały regularnie przeprowadzać ocenę ryzyka i zgodności swoich systemów AI, aby upewnić się, że nadal spełniają one wymogi regulacyjne.

Wszystkie te obowiązki będą wiązały się z zaprojektowaniem i wprowadzeniem procesów weryfikacji dostawców systemów AI, zgodnie z wyżej wymienionymi kryteriami. Jednocześnie fundamentalną kwestią będzie ocena nie tylko technicznego ryzyka systemu AI, ale jego wpływu z perspektywy ryzyka stwarzanego dla praw podstawowych[3], co będzie wymagało połączenia specjalistycznej ekspertyzy prawnej i technicznej jednocześnie.

Mimo tego, że AI Act po uchwaleniu na poziomie unijnym wejdzie prawdopodobnie dopiero po dwóch latach, proces zapewnienia zgodności z prawem będzie wymagający i czasochłonny, więc warto zacząć przygotowywać się już teraz.

[1] Omar H Fares, Irfan Butt and Seung Hwan Mark Lee, ‘Utilization of Artificial Intelligence in the Banking Sector: A Systematic Literature Review’ [2022] Journal of Financial Services Marketing.

[2] European Parliament, ‘Texts Adopted – Artificial Intelligence Act – Wednesday, 14 June 2023’ (www.europarl.europa.eu2023) <https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.html>.

[3] Mantelero, A. (2022). Human Rights Impact Assessment and AI. In: Beyond Data. Information Technology and Law Series, vol 36. T.M.C. Asser Press, The Hague. https://doi.org/10.1007/978-94-6265-531-7_2