W ostatnich latach sztuczna inteligencja (AI) stała się jednym z kluczowych elementów transformacji cyfrowej w różnych sektorach gospodarki, w tym w sektorze finansowym.
AI oferuje szeroki zakres możliwości wykorzystania w branży finansowej, od zwiększenia efektywności operacyjnej do poprawy jakości usług. Jednak rozwój wykorzystania AI w sektorze finansowym jest tamowany przez kontrowersje związane ze specyfiką tej technologii. Systemy AI działają bowiem w sposób niedeterministyczny, co oznacza, że wynik działania systemu może być za każdym razem inny, a wyjaśnienie sposobu konkretnego zadziałania niemożliwe.
Jest to podstawowa różnica w stosunku do tradycyjnych programów komputerowych, która przekłada się przede wszystkim na istotnie zwiększone ryzyko związane z korzystaniem z systemów AI.
Inaczej mówiąc, jeśli znamy reguły, według których dane są przetwarzane, nie musimy korzystać z AI. Z kolei AI jest szczególnie przydatna w odwrotnej sytuacji – gdy mamy dane wejściowe i odpowiedzi, ale nie znamy reguł, według których dane są przetwarzane na odpowiedź. W takim przypadku system AI może nauczyć się tych reguł na podstawie dostarczonych przykładów.
Tradycyjne programy komputerowe powstają poprzez opisanie w kodzie źródłowym reguł, według których dane mają być przetwarzane na wynik. W konsekwencji działają one w sposób przewidywalny i deterministyczny. Natomiast systemy AI powstają w odmienny sposób – poprzez zebranie wielu przykładów składających się z danych i wyników ich przetwarzania, które są analizowane w ramach uczenia maszynowego w celu wykrycia reguł, według których z danych powstają wyniki.
Inaczej mówiąc – zwykłe programy komputerowe mogą być tworzone wówczas, gdy znamy reguły, według których dane są przetwarzane. Sztuczna inteligencja jest przydatna w odwrotnej sytuacji – gdy znamy dane wejściowe i odpowiedzi, ale nie znamy reguł, według których dane są przetwarzane na odpowiedź. W takim przypadku system AI może nauczyć się tych reguł na podstawie dostarczonych przykładów
Technologia sztucznej inteligencji pozwala zatem na tworzenie systemów pozwalających na rozwiązywanie zagadnień, których nie da się opisać przy pomocy metod algorytmicznych. Jednocześnie jednak AI nie opisuje tych zagadnień przy pomocy metod analogicznych do metod algorytmicznych. Wynikiem działania AI (tzw. trenowania AI) jest model AI, który ze względu na swoją złożoność można badać wyłącznie poprzez obserwację jego działania, a nie poprzez analizę jego budowy, jak to ma miejsce w przypadku tradycyjnego oprogramowania.
Ta specyfika systemów AI sprawia, że korzystanie z nich zawsze wiąże się z pewnym ryzykiem. W konsekwencji analiza tego ryzyka jest immanentnym elementem wykorzystywania AI, a rozmiar ryzyka i jego waga są ściśle związane z konkretnym sposobem korzystania z systemów AI.
Ta specyfika ma istotny wpływ na dynamikę wykorzystywania systemów AI w sektorze finansowym.
Korzystanie z technologii AI niesie ze sobą również szereg innych wyzwań, w tym kwestie związane z etyką, prywatnością, bezpieczeństwem danych oraz odpowiedzialnością za decyzje podejmowane przez systemy AI.
W odpowiedzi na te wyzwania na całym świecie zaczęły się prace nad regulacjami prawne w celu zapewnienia, że rozwój i wdrażanie AI odbywać się w sposób bezpieczny i zgodny z wartościami chronionymi w danym społeczeństwie.
W Unii Europejskiej prace te zostały uwieńczone publikacją rozporządzenia o sztucznej inteligencji, zwanego powszechnie AI Act. Ustawodawca unijny postawił sobie cel stworzenia regulacji dla systemów AI, które nie tylko chronią konsumentów i użytkowników, ale także wspierają innowacje i konkurencyjność w dziedzinie sztucznej inteligencji.
Znaczenie regulacji prawnych AI dla sektora finansowego
Regulacje prawne w sektorze finansowym mają na celu ochronę interesów klientów, zapewnienie stabilności systemu finansowego oraz zapobieganie nadużyciom. W konsekwencji sektor finansowy jest jednym z najbardziej uregulowanych sektorów gospodarki, w którym olbrzymią rolę odgrywa zarządzanie ryzykiem prowadzonej działalności oraz zapewnianie jej zgodności z regulacjami prawnymi
Nic więc dziwnego, że mimo, że instytucje finansowe dostrzegają wiele możliwości drzemiących w systemach AI, potrzebują one precyzyjnych regulacji prawnych, aby zacząć systemy AI wykorzystywać na szerszą skalę.
Z jednej strony systemy AI ze względu na możliwość wyprowadzania reguł z dużych zbiorów danych wydają się być stworzone do analizy ryzyka, wykrywania oszustw, personalizacji usług czy optymalizacji procesów operacyjnych, jednak z drugiej strony sektor finansowy musi mieć pewność, że stosowanie technologii AI w tych zastosowaniach będzie zgodne z obowiązującymi przepisami i nie doprowadzi do powstawania nowych zagrożeń dla podmiotów finansowych.
Wprowadzenie odpowiednich regulacji prawnych dotyczących AI w sektorze finansowym jest zatem warunkiem dla szerszej adaptacji technologii AI.
Wpływ regulacji prawnych AI na innowacyjność i konkurencyjność
Regulacje dotyczące sztucznej inteligencji mają istotny wpływ na innowację i konkurencyjność w różnych sektorach gospodarki. Mogą one zarówno wspierać rozwój nowych technologii, jak i stanowić wyzwanie dla przedsiębiorstw, które muszą dostosować się do nowych wymogów prawnych.
Z punktu widzenia sektora finansowego regulacje wprowadzone dla systemów AI mają zdecydowanie więcej zalet niż wad. Regulacje zwiększają zaufanie zarówno samych przedsiębiorców jak i klientów do technologii AI poprzez zapewnienie wysokiego poziomu zarządzania ryzykiem. W konsekwencji firmy, które przestrzegają tych regulacji, mogą budować swoją reputację jako odpowiedzialne i godne zaufania, co stanowi ich przewagę konkurencyjną. Ponadto wprowadzenie AI Actu jako rozporządzenia stosowanego bezpośrednio we wszystkich krajach unijnych ułatwia działalność transgraniczną i redukuje bariery wejścia na nowe rynki.
Wadą jest z pewnością wysoki koszt przestrzegania przepisów. Już teraz wiemy, że szybkość, z jaką powstawał AI Act oraz skala zmian wprowadzanych w toku procesu legislacyjnego, zaowocowała bardzo złożonymi przepisami, które będą musiały podlegać wyjaśnianiu poprzez wytyczne Komisji Europejskiej i w rezultacie stanowić wyzwanie dla sektora finansowego, który musi na bieżąco dostosowywać swoje procesy do wymogów prawnych.
Warto jednak zauważyć, że AI Act stanowi wzór aktu prawnego równoważącego ochronę praw obywateli i promowanie rozwoju technologii, co sprawia, że może się stać globalnym standardem dotyczącym sztucznej inteligencji i że finalnie może zostać zaakceptowany także przez międzynarodowe firmy jako część ich strategii globalnej.
Aktualne regulacje prawne dotyczące AI w sektorze finansowym
Podstawowym aktem prawnym regulującym korzystanie z systemów AI jest AI Act. Prowadzone są także prace nad kolejnymi przepisami w postaci dyrektywy o odpowiedzialności za sztuczną inteligencję, jednak prace te są dopiero na wczesnym etapie.
AI Act obowiązuje od 1 sierpnia 2024 r., jednak poszczególne jego przepisy wchodzą w życie stopniowo – od 2 lutego 2025 r. (przepisy o niedozwolonych praktykach AI) do 2 sierpnia 2026 r. (formalne wejście przepisów, które nie weszły w życie wcześniej, w tym przepisy o systemach AI wysokiego ryzyka).
AI Act ustanawia zharmonizowane zasady dotyczące wprowadzania na rynek, udostępniania i użytkowania sztucznej inteligencji w Unii Europejskiej. Jego celem jest promowanie innowacji i wdrażania AI, przy jednoczesnym zapewnieniu wysokiego poziomu ochrony zdrowia, bezpieczeństwa i praw podstawowych w Unii, w tym demokracji i praworządności.
Rozporządzenie o sztucznej inteligencji jest stosowane bezpośrednio we wszystkich krajach unijnych, jednak wymaga ono wdrożenia lokalnego w zakresie stworzenia odpowiednich mechanizmów egzekwowania prawa, w tym organów nadzoru, procedur kontroli oraz nakładania kar. W Polsce jest obecnie w toku konsultacji projekty ustawy, która będzie wdrażała ww. zasady do prawa polskiego.
AI Act określa zasady dotyczące całego cyklu życia systemów AI – od ich wytworzenia do ich stosowania. Przepisy rozporządzenia opierają się na podejściu opartym na ryzyku. Konsekwencją tego jest klasyfikacja systemów AI według poziomu ryzyka związanego z korzystaniem z nich, a także poświęcenie zdecydowanej większości przepisów rozporządzenia systemom wysokiego ryzyka.
AI Act klasyfikuje systemy AI na cztery różne kategorie ryzyka:
- Ryzyko niedopuszczalne: Systemy AI stwarzające niedopuszczalne ryzyko dla praw podstawowych i wartości Unii są zakazane na mocy artykułu 5 AI Act.
- Wysokie ryzyko: Systemy AI stwarzające wysokie ryzyko dla zdrowia, bezpieczeństwa i praw podstawowych podlegają rozbudowanemu zestawowi wymagań i obowiązków. Systemy te są klasyfikowane jako systemy wysokiego ryzyka zgodnie z artykułem 6 AI Act oraz załącznikami I i III.
- Ryzyko związane z przejrzystością: Systemy AI stwarzające ograniczone ryzyko związane z przejrzystością podlegają obowiązkom w zakresie przejrzystości na mocy artykułu 50 AI Act.
- Minimalne lub brak ryzyka: Systemy AI stwarzające minimalne lub żadne ryzyko nie są regulowane przez rozporządzenie, jednak dostawcy i użytkownicy mogą dobrowolnie przestrzegać dobrowolnych kodeksów postępowania.
Systemy AI, które mogą być stosowane w sektorze bankowym, mogą się znajdować w każdej z tych kategorii, jednak można przewidywać, że ze względu zarówno na poziom ryzyka związanego z różnymi kategoriami jak i różny stopień złożoności regulacji dotyczących poszczególnych rodzajów systemów, instytucje finansowe będą w pierwszej kolejności stosowały systemy AI, które stwarzają minimalne lub żadne ryzyko lub stwarzają ograniczone ryzyko związane z przejrzystością. Wśród tej drugiej kategorii systemów znajdują się na przykład popularne chatboty, które wspierają obsługę klienta i w stosunku do których jedynym wymogiem jest to, aby zainteresowane osoby fizyczne były informowane o tym, że prowadzą interakcję z systemem AI.
Trudno przypuszczać, aby sektor finansowy stosował systemy AI, które stwarzają niedopuszczalne ryzyko dla praw podstawowych i wartości Unii i są w związku z tym zakazane, jednak z pewnością konieczne jest wyeliminowanie takich systemów, których stosowanie mogło być rozpoczęte wcześniej np. systemów AI do rozpoznawania emocji w głosie ludzkim używanych w celu nadzoru pracowników centrum obsługi klienta (warto zaznaczyć, że używanie takich systemów do wykrywania np. negatywnych emocji wśród kontaktujących się z centrum klientów nie jest zakazane).
Systemy wysokiego ryzyka to systemy stwarzające wysokie ryzyko dla zdrowia, bezpieczeństwa i praw podstawowych. Ustawodawca unijny uznał, że takimi systemami będą w szczególności systemy AI, które stosowane są w celu przyznania dostępu do podstawowych usług prywatnych oraz podstawowych usług i świadczeń publicznych, a także korzystanie z nich. Na liście takich usług znajdują się obecnie dwie usługi świadczone przez sektor finansowy: ocena zdolności kredytowej oraz ocena ryzyka ubezpieczenia na życie i zdrowotnego.
Są to konkretniej:
- systemy AI przeznaczone do wykorzystywania do celów oceny zdolności kredytowej osób fizycznych lub ustalenia ich scoringu kredytowego, z wyjątkiem systemów AI wykorzystywanych w celu wykrywania oszustw finansowych, oraz
- systemy AI przeznaczone do wykorzystywania przy ocenie ryzyka i ustalaniu cen w odniesieniu do osób fizycznych w przypadku ubezpieczenia na życie i ubezpieczenia zdrowotnego.
Lista takich systemów może w przyszłości podlegać zmianie w miarę rozwoju technologii.
Wyzwania związane z wdrażaniem AI Act
Ponieważ AI Act w zdecydowanej większości zawiera regulacje dotyczące systemów AI wysokiego ryzyka, to można przewidywać, że wdrożenie takich systemów w sektorze finansowym będzie następowało powoli i tylko w sytuacjach, gdy rozpoznane korzyści przewyższają zidentyfikowane ryzyka. Instytucje finansowe będą w pierwszej kolejności oczekiwały na wypracowanie kompletu wytycznych Komisji Europejskiej oraz dobrych praktyk w celu zminimalizowania ryzyka związanego z korzystaniem z systemów wysokiego ryzyka.
Jest to szczególnie istotne w odniesieniu do systemów wysokiego ryzyka używanych do oceny zdolności kredytowej oraz oceny ryzyka ubezpieczenia na życie i zdrowotnego. Oprócz konieczności spełnienia szeregu ogólnych obowiązków dotyczących korzystania z tych systemów, przed wdrożeniem systemu AI wysokiego ryzyka do stosowania w takim zakresie, konieczne jest przeprowadzenie oceny skutków w zakresie praw podstawowych, jakie może wywołać wykorzystanie takiego systemu.
Obecnie najwięcej zainteresowania w sektorze finansowym budzą systemy AI ogólnego przeznaczenia czyli systemy oparte na modelach AI ogólnego przeznaczenia. Są to modele trenowane na dużej ilości danych z wykorzystaniem nadzoru własnego (self-supervision) na dużą skalę, które wykazują znaczną ogólność i są w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki model ten jest wprowadzany do obrotu, i który można zintegrować z różnymi systemami lub aplikacjami niższego szczebla.
Typowym przykładem takich systemów są systemy generatywnej sztucznej inteligencji przeznaczone do tworzenia tekstów i oparte o duże modele językowe (Large Language Models). Okazało się, że takie systemy radzą sobie dobrze z wieloma zadaniami, które występują w procesach biznesowych.
Co więcej, okazało się, że takie systemy generatywne, które zostały wytrenowane na wielkich zbiorach danych, zazwyczaj działają lepiej niż systemy wytrenowane na własnych danych (o czym świadczy przykład systemu BloombergGPT). Inwestowanie w inżynierię danych i budowanie własnych modeli nie musi być zatem koniecznością, jeśli korzysta się z gotowych modeli. Nie ma wówczas także potrzeby gromadzenia dużych ilości danych, jak to ma miejsce przy tworzeniu własnych modeli.
Ograniczeniem dla całkowicie dowolnego stosowania systemów AI ogólnego przeznaczenia w sektorze bankowym jest jednak zasada wynikająca z AI Act (art. 25), mówiąca, że za dostawcę systemu AI wysokiego ryzyka uznaje się każdego, kto zmienia przeznaczenie systemu AI, w tym systemu AI ogólnego przeznaczenia, w taki sposób, że dany system AI staje się systemem AI wysokiego ryzyka. Przepisy nie wyjaśniają przy tym, czy zmiana przeznaczenia musi wynikać z decyzji organów zarządczych danego podmiotu czy też wystarczy choćby incydentalne stosowanie systemu AI ogólnego przeznaczenia przez pracownika tego podmiotu. Powoduje to, że należy zachować dużą ostrożność w stosowaniu systemów AI ogólnego przeznaczenia w sytuacjach, w których może wystąpić wysokie ryzyko dla zdrowia, bezpieczeństwa i praw podstawowych, czyli w sytuacjach opisanych w Załączniku III do AI Act. W rezultacie niezbędne jest stworzenie odpowiednich wytycznych dla stosowania takich systemów w organizacji. Alternatywą jest akceptacja statusu dostawcy systemu AI wysokiego ryzyka, co jednak wiąże się z wieloma obowiązkami.
Jednym z najważniejszych wyzwań dla sektora finansowego jest także złożoność regulacji. AI Act wprowadza szereg szczegółowych wymogów, które mogą być trudne do zrozumienia i wdrożenia, a na dodatek regulacje będą uzupełniane przez kolejne wytyczne oraz normy. Instytucje finansowe muszą inwestować w szkolenia i rozwój kompetencji, aby zapewnić, że ich pracownicy są świadomi i rozumieją nowe przepisy.
Podejście sektora finansowego
Z aktualnych danych (z rynku amerykańskiego) wynika, że sektor finansowy jest dosyć ostrożny w stosowaniu systemów AI. Banki wykorzystują generatywną AI w ponad połowie zadeklarowanych przypadków użycia, ale prawie wszystkie są wewnętrzne. Narzędzia skierowane do klientów pozostają w zdecydowanej mniejszości.
Połowa wszystkich przypadków deklarowanego użycia AI koncentruje się w dwóch obszarach. Są to narzędzia do angażowania klientów (np. chatboty, które poprawiają doświadczenia użytkowników poprzez spersonalizowaną komunikację) oraz narzędzia do ułatwiania dostępu do wiedzy (np. narzędzia do szybkiego podsumowywania dokumentów dla analityków finansowych lub dostęp do wewnętrznych regulacji).
Jest także wiele rozbieżnych opinii na temat zaawansowania biznesu w stosowanie AI. Goldman Sachs twierdzi, że zaledwie 6% firm korzysta z AI, zaś McKinsey twierdzi, że ponad 60% dużych firm korzysta z AI.
Rekomendacje dla sektora finansowego
Systemy AI różnią się w swoim działaniu od tradycyjnych narzędzi IT. Zwłaszcza systemy generatywnej AI wymagają innego podejścia, gdyż nie zawierają katalogu z góry opisanych funkcjonalności. Jest to zaleta, ale także i wada tych systemów, gdyż brak wiedzy na temat sposobu ich działania, a także nieznajomość ryzyk związanych z korzystaniem z nich, może prowadzić do występowania zagrożeń.
Podstawowym działaniem dla sektora finansowego, które powinno być wdrożone, to edukacja. Pracownicy powinni być świadomi zarówno regulacji jak i ryzyk i korzyści związanych z systemami AI. Regularne szkolenia i programy edukacyjne mogą pomóc w budowaniu kompetencji niezbędnych do pracy w zgodzie z nowymi przepisami, a także do jak najlepszego wykorzystywania możliwości tkwiących w nowych narzędziach.
Szkolenie i edukacja jest przy tym obowiązkiem wszystkim podmiotów stosujących systemy AI (art. 4 AI Act). Zgodnie z przepisami, podmioty te podejmują środki w celu zapewnienia, w możliwie największym stopniu, odpowiedniego poziomu kompetencji w zakresie AI wśród swojego personelu i innych osób zajmujących się działaniem i wykorzystaniem systemów AI w ich imieniu, z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i wyszkolenia oraz kontekstu, w którym systemy AI mają być wykorzystywane, a także biorąc pod uwagę osoby lub grupy osób, wobec których systemy AI mają być wykorzystywane.
Jeśli dana organizacja myśli o wykorzystaniu systemów AI w celu usprawnienia jej działania, to konieczne jest zapewnienie pracownikom bezpiecznych systemów AI (np. systemów generatywnych AI w prywatnej chmurze lub w infrastrukturze własnej) oraz zachęcenie ich do eksperymentowania z AI. Pracownicy muszą wiedzieć, że korzystanie z AI nie wpłynie negatywnie na ich ocenę pracowniczą i że ich pracodawca doceni ich zaangażowanie w wykorzystywanie AI. Dostęp do systemów AI, dzielenie się wiedzą, szkolenia oraz wsparcie na najwyższych szczeblach organizacji mogą pomóc w przełamaniu tych obaw.
Badania pokazują, że menadżerowie wyższego szczebla mają dzięki swemu doświadczeniu znacznie większy potencjał do efektywnego wykorzystania systemów AI niż młodsi pracownicy. Dzięki swojemu doświadczeniu mogą bowiem lepiej ocenić, kiedy system AI dostarcza wartościowych i poprawnych informacji, a kiedy popełnia błędy. Liderzy powinni więc sami doświadczyć, jak działają systemy AI, a nie polegać na zewnętrznych źródłach.
Instytucje finansowe powinny na bieżąco śledzić zmiany w regulacjach dotyczących AI, aby móc szybko reagować na nowe wymagania. Może to obejmować zatrudnienie specjalistów ds. zgodności lub korzystanie z usług firm doradczych.
Instytucje finansowe powinny także rozwijać i wdrażać zaawansowane metody oceny ryzyka związanego z wykorzystaniem AI. Ryzyka te bowiem są odmienne od tych, które występują w przypadku dotychczasowych systemów technologicznych. Przykładem może być ryzyko opisane w art. 14.4.b AI Act, gdzie wskazano na ryzyko potencjalnej tendencji do automatycznego polegania lub nadmiernego polegania na wyniku wytworzonym przez system AI wysokiego ryzyka (tzw. „błąd automatyzacji”), w szczególności w przypadku systemów AI wysokiego ryzyka wykorzystywanych do udzielania informacji lub zaleceń na potrzeby decyzji podejmowanych przez osoby fizyczne. Może to obejmować tworzenie dedykowanych zespołów ds. ryzyka technologicznego oraz stosowanie narzędzi do monitorowania i analizy ryzyka.
Instytucje powinny również opracować i wdrożyć wewnętrzne wytyczne dotyczące wykorzystania AI, które będą z jednej strony zapewniać zgodność z AI Act i dalszymi regulacjami, a drugiej strony mogą dodatkowo promować odpowiedzialne i sprawiedliwe praktyki (jako przykład można podać obowiązek wskazywania w wewnętrznej korespondencji tych treści, które pochodzą z systemu AI, a które nie były zweryfikowane przez osobę nadawcy).
Wskazane jest także tworzenie grup roboczych i stowarzyszeń branżowych, które będą działać jako platformy do wymiany informacji i wspólnego rozwiązywania problemów związanych z regulacjami systemów AI, a także do promowania dobrych praktyk.
Podsumowując, instytucje finansowe muszą podejść do nowych regulacji dotyczących AI w sposób proaktywny i strategiczny. Kluczowe jest nie tylko dostosowanie się do przepisów, ale także wykorzystanie ich jako szansy na innowacje i poprawę efektywności operacyjnej.
Artykuł ukazał się w marcu 2025 r. w raporcie „Ocena dojrzałości danych i AI w sektorze finansowym ” wydanym przez Future Finance Poland.
