Raport BankTech | AI Governance – TUATARA | Nie czekaj na deadline – jak banki muszą działać już teraz, by dotrzymać tempa erze regulowanej AI

Jakie obowiązki regulacyjne nakłada AI Act na banki korzystające z rozwiązań AI?

– AI Act jasno definiuje role dostawców, użytkowników i operatorów systemów AI. Banki najczęściej występują jako użytkownicy, np. korzystając z modeli scoringowych dostarczanych przez zewnętrzne firmy, ale coraz częściej również oferują własne rozwiązania, jak doradcy AI. W obu przypadkach spoczywają na nich konkretne obowiązki regulacyjne.

Nawet przy korzystaniu z zewnętrznych modeli, np. w chmurze, bank musi sam ocenić ryzyka i zgodność z przepisami – nie może przenieść odpowiedzialności na dostawcę. To instytucja finansowa odpowiada za zgodność działania systemu z prawem.

Czasu na przygotowanie jest niewiele. Na dziś (maj 2025) AI Act został już formalnie przyjęty – Parlament Europejski i Rada UE zatwierdziły go na początku roku 2024. Po publikacji w Dzienniku Urzędowym w lipcu 2024 r., regulacje wejdą w życie w sierpniu 2025 r., a banki będą miały rok – do sierpnia 2026 r. – na pełne wdrożenie wymogów.

A co z firmami spoza UE działającymi na europejskim rynku – czy dla nich również obowiązuje AI Act?

– Tak, AI Act wprowadza mechanizmy eksterytorialności podobne do RODO. Jeśli firma spoza UE oferuje usługi oparte na AI klientom w Unii Europejskiej, podlega tym regulacjom. Przykładowo, amerykański bank wykorzystujący AI do oceny zdolności kredytowej klientów w Polsce musi dostosować swoje rozwiązania do wymogów AI Act. Unia Europejska w ten sposób wyznacza globalne standardy odpowiedzialnego i etycznego stosowania AI, co z czasem może ułatwić działalność także w innych jurysdykcjach.

Według naszych danych, aż 75% firm z sektora finansowego planuje zwiększyć inwestycje w AI w ciągu najbliższych dwóch lat. Czy rosnące inwestycje banków w AI idą w parze z odpowiednim przygotowaniem organizacyjnym?

– To wyraźny sygnał entuzjazmu i rosnącej świadomości potencjału AI. Banki widzą w niej szansę na automatyzację procesów, lepszą personalizację ofert, szybszą analizę danych czy skuteczniejsze wykrywanie fraudów. Ale właśnie tu pojawia się pewien paradoks – skala inwestycji rośnie, a jednocześnie wiele organizacji wciąż nie ma gotowych struktur nadzoru, procedur oceny ryzyka czy dedykowanych zespołów odpowiedzialnych za zgodność z regulacjami.

I tutaj właśnie kluczową rolę odgrywa AI Governance. Samo wdrożenie technologii to za mało. Potrzebne jest równoległe budowanie wewnętrznych procesów, prowadzenie szkoleń, wdrażanie mechanizmów testowania modeli, a przede wszystkim – zbudowanie infrastruktury compliance. Bez tego, nawet najbardziej zaawansowany system AI może stać się źródłem ryzyka – operacyjnego, reputacyjnego i prawnego.

Czy mógłby pan podać przykład sytuacji, w której brak odpowiedniego nadzoru nad systemem AI doprowadził do realnych problemów – i co to mówi o roli AI Governance jako nie tylko wymogu prawnego, ale też potencjalnej przewagi konkurencyjnej?

– Klasycznym przykładem jest przypadek Apple Card i Goldman Sachs w USA. Algorytm przyznawał kobietom niższe limity kredytowe niż mężczyznom, mimo że ich dane finansowe były identyczne. Zabrakło odpowiedniego nadzoru nad modelem, testów wykrywających stronniczość oraz transparentności działania systemu. Sprawa szybko przerodziła się w skandal, który zainteresował regulatorów i mocno uderzył w reputację banku.

To pokazuje, że AI Governance to nie tylko kwestia zgodności z przepisami. To fundament zaufania klientów i instytucji nadzorczych. Odpowiednie zarządzanie technologią – od projektowania, przez testowanie, aż po bieżący monitoring – staje się dziś elementem przewagi konkurencyjnej. Banki, które traktują AI jako strategiczne narzędzie, muszą równolegle budować równie dojrzałe mechanizmy kontroli, bo inaczej inwestycja w technologię może się szybko obrócić przeciwko nim.

AI Act wprowadza podejście oparte na ryzyku i definiuje również systemy całkowicie zakazane – zwłaszcza w kontekście manipulacji czy dyskryminacji. Co to oznacza w praktyce dla banków?

– AI Act klasyfikuje systemy AI według poziomu ryzyka – od zakazanych, przez wysokiego i ograniczonego, po niskiego ryzyka. Dla banków kluczowe są dwa obszary. Po pierwsze, systemy zakazane – jak manipulacja behawioralna, techniki podprogowe czy dyskryminacja ze względu na cechy wrażliwe – są absolutnie niedopuszczalne. To oznacza, że choć rekomendowanie produktów czy scoring sam w sobie nie jest zabroniony, to sposób działania tych systemów musi być przejrzysty, uczciwy i pod kontrolą. Wpływanie na decyzje klienta w sposób nieświadomy lub emocjonalnie manipulujący może zostać uznane za naruszenie prawa. Po drugie, systemy wysokiego ryzyka – np. scoring kredytowy – są dozwolone, ale podlegają surowym wymogom dotyczącym nadzoru, testowania i zgodności. Banki muszą więc inwentaryzować swoje rozwiązania AI, przypisywać je do odpowiednich kategorii i wdrażać adekwatne środki zarządzania ryzykiem. To nie tylko kwestia zgodności z regulacjami, ale też budowania zaufania klientów i reputacji instytucji.

W kontekście wykorzystywania dużych modeli językowych – zarówno do trenowania, jak i obsługi klientów, jak banki powinny zadbać o ochronę danych osobowych?

– To jedno z kluczowych wyzwań przy generatywnej AI. Po pierwsze: nie wolno wykorzystywać danych osobowych do trenowania modeli bez wyraźnej podstawy prawnej. Trzeba stosować anonimizację, pseudonimizację i przestrzegać zasady minimalizacji danych. Po drugie: korzystając z modeli zewnętrznych, np. API GPT, nie można przesyłać danych wrażliwych bez odpowiednich zabezpieczeń – umów, gwarancji zgodnych z RODO i kontroli nad miejscem przetwarzania danych. Dlatego bezpieczniejsze są rozwiązania lokalne lub hostowane w Unii Europejskiej. IBM watson.x governance to przykład modelu wdrażanego w kontrolowanym środowisku. Jeśli już sięgamy po publiczne modele, absolutnym minimum jest anonimizacja – nie przekazujemy imion, numerów kont, adresów. Kluczowe jest, by AI Governance ściśle współpracowało z działem ochrony danych i określało jasne zasady: kiedy, jak i przez kogo dane mogą być przetwarzane przez AI. Generatywna AI – tak, ale tylko przy zachowaniu pełnej kontroli nad danymi.

To brzmi jak poważne wyzwanie organizacyjne. Jak ocenia pan poziom przygotowania branży?

– Widzę wyraźną przepaść między świadomością a działaniem. Większość instytucji wie, że zmiany są nieuniknione, ale konkretne kroki często odkłada się na później. Tymczasem „później” właśnie się kończy. Niezgodność z AI Act oznacza nie tylko ryzyko wysokich kar finansowych – sięgających nawet 7% globalnego rocznego obrotu lub 7,5 miliona euro – ale przede wszystkim ryzyko utraty zaufania klientów, partnerów i rynku. W sektorze finansowym utrata zaufania często oznacza poważne problemy biznesowe.

Co trzeba zrobić, by naprawdę móc zaufać decyzjom podejmowanym przez AI?

– Zaufanie do decyzji AI opiera się na pięciu kluczowych filarach. Po pierwsze – wyjaśnialność. AI nie może być „czarną skrzynką” – decyzje muszą być jasne i zrozumiałe dla klienta i pracownika. Po drugie – uczciwość. Modele muszą działać bez uprzedzeń i dyskryminacji, opierając się na rzetelnych danych. Trzeci filar to odporność– systemy muszą być stabilne wobec zmian danych i prób manipulacji. Czwarty – transparentność – pełna jawność procesu tworzenia i działania AI, by użytkownicy i regulatorzy wiedzieli, jak są podejmowane decyzje. Na końcu – prywatność Dane klientów muszą być bezpieczne i chronione zgodnie z RODO. I pamiętajmy: AI to proces ciągły, wymaga stałego monitoringu i doskonalenia, by decyzje były zawsze godne zaufania.

Jakie narzędzia mogą pomóc instytucjom finansowym w zarządzaniu tymi procesami?

– Są już dostępne bardzo zaawansowane platformy, jak np. IBM watsonx.governance. To rozwiązania, które umożliwiają kompleksowe zarządzanie całym cyklem życia modeli – od dokumentacji, przez analizę ryzyka, po monitoring zgodności z regulacjami. Takie narzędzia integrują różne perspektywy: technologiczną, prawną, operacyjną. I co najważniejsze – zapewniają ślad audytowy, który w razie kontroli można bez trudu przedstawić regulatorowi.

Co banki powinny zrobić już teraz, by nie przegapić momentu?

– Po pierwsze – dokładnie zinwentaryzować wszystkie wykorzystywane systemy AI, zgodnie z definicją AI Act. Trzeba wiedzieć, co działa, gdzie i w jakim celu. Po drugie – przygotować szczegółowy plan dostosowania do regulacji: z harmonogramem, punktami kontrolnymi i przypisaniem odpowiedzialności. Po trzecie – zainwestować w kompetencje. AI governance nie wdroży się samo – potrzebne są konkretne osoby, narzędzia i procesy.

Odpowiedzialne AI governance to już nie wybór, a konieczność. To fundament bezpiecznego, etycznego i efektywnego wykorzystania sztucznej inteligencji w finansach. Im wcześniej branża podejdzie do tego wyzwania strategicznie, tym spokojniej i skuteczniej przejdzie przez nadchodzące zmiany regulacyjne i rynkowe.

Wierzę w to, że regulacje i ograniczenia służą bezpieczeństwu wszystkich, będą stymulować kreatywność autorów rozwiązań AI, z korzyścią dla instytucji finansowych i ich klientów.