AI u wrót, czy jesteśmy gotowi?

W panelu, który prowadziła Katarzyna Urbańska, dyrektor Zespołu Prawno-Legislacyjnego Związku Banków Polskich, uczestniczyli Łukasz Gracki, kierownik Wydziału Zarządzania Ryzykiem Nadużyć Banku Millennium, Magdalena Lewandowska, dyrektor Departamentu Walidacji Modeli Alior Banku, dr Michał Macierzyński, dyrektor Departamentu Usług Cyfrowych PKO Banku Polskiego, Krzysztof Sodowski, Product Owner, Tożsamość elektroniczna, Rządowe programy rodzinne w ING Bank Śląskim i Agnieszka Szopa-Maziukiewicz, dyrektor Zarządzająca Obszarem IT w Biurze Informacji Kredytowej.

Polski sektor bankowy w dalszym ciągu wyróżnia się nowoczesnością na tle innych państw Unii Europejskiej, także i rozwiązania bazujące na AI nie są nowością dla polskich bankowców, podkreślała Katarzyna Urbańska.

Zgodził się z nią Michał Macierzyński, wskazując, iż bankowcy od dawna korzystali z AI nie nazywając tych rozwiązań po imieniu. Jego zdaniem, obecny szum wokół AI wpisuje się w trend nagłaśniania zyskujących popularność rozwiązań technologicznych, tak, jak w minionych latach miało miejsce w przypadku blockchaina. Różnica pomiędzy rozproszonym rejestrem a sztuczną inteligencją jest taka, że ta druga technologia może mieć znacznie szersze zastosowanie, wskazywał reprezentant PKO Banku Polskiego.

Obecnie problemem jest użycie sztucznej inteligencji w relacjach z klientami, a to z uwagi na niewystarczającą transparentność odpowiedzi udzielanych przez AI, dodał Michał Macierzyński.

Implementacja AI Act

Krzysztof Sodowski zwrócił uwagę na inną kwestię: dla pokolenia, które teraz wchodzi na rynek, sztuczna inteligencja będzie standardem. Powszechnie wykorzystywanym w codziennym życiu. Obecnie formułowane ostrzeżenia przed ewentualnymi zagrożeniami towarzyszącymi posługiwaniem się AI należy traktować raczej w kontekście braku doświadczenia z tymi technologiami, choć w istocie banki posługują się elementami sztucznej inteligencji – w ING Banku Śląskim funkcjonuje kilkadziesiąt rozwiązań bazujących na inteligentnych algorytmach.

– Mamy w organizacji kilka zespołów, które są dedykowane do tego, żeby dla potrzeb reszty organizacji budować rozwiązania AI-owe – potwierdził Krzysztof Sodowski. Przykładem takiej powtarzalnej  czynności, jaką realizują roboty, jest wycena nieruchomości, dzięki czemu możliwe jest uwolnienie zasobów ludzkich do bardziej ambitnych działań.

Odnosząc się do perspektywy implementacji AI Act, panelista podkreślił, iż największym wyzwaniem może okazać się zabezpieczenie nie tyle samych systemów, ile interakcji między różnymi systemami stosującymi AI.

AI i dane osobowe

Sztuczna inteligencja była najczęściej wyszukiwanym zwrotem w Google w roku 2023 – przypomniał Łukasz Gracki, dodając, iż musimy nauczyć się żyć z tą technologią. Największym wyzwaniem w najbliższym czasie będzie nauczenie pracowników korzystania z AI, choćby w celu pisania promptów. Te zaś mogą przydać się np. przy sporządzaniu zawiadomień o potencjalnych fraudach celem wprowadzenia blokady rachunków, wówczas reakcja będzie następować w ciągu sekund a nie minut, jak to ma miejsce przy obsłudze tych procesów przez ludzi.

Tu właśnie, jak wskazał przedstawiciel Banku Millennium, należy upatrywać różnicę pomiędzy generatywną sztuczną inteligencją a klasycznym machine learningiem, od lat wykorzystywanym przez banki.

O tym, że generatywna AI zwiększy efektywność pracy podnosząc jednocześnie standard jej wykonywania, mówiła też Agnieszka Szopa-Maziukiewicz. Przypomniała ona ustalenia z najnowszego raportu firmy Gartner  „Future of AI in Banking”, z których wynika, iż do 2030 roku ponad 70% procesów biznesowych w różnych dziedzinach życia będzie zautomatyzowanych, przy czym najwięcej, ponad 60% wszystkich wdrożeń AI, obejmie obszar cyberbezpieczeństwa i analityki antyfraudowej.

BIK już od kilku lat posługuje się uczeniem maszynowym w procesach antyfraudowych, ostatnio uruchomił też platformę bazującą na analizie behawioralnej, pozwalającej na bieżąco weryfikować, czy z systemów bankowości elektronicznej lub mobilnej nie korzystają niepowołane osoby.

Magdalena Lewandowska również zgodziła się z przedmówcami, iż wprowadzenie AI jest nieuniknione, a z racji zaangażowania w ten biznes największych firm IT możemy być świadkami przełomu na skalę dotąd nieobserwowaną.

Z drugiej strony przyjęty niedawno przez Parlament Europejski AI Act może zadziałać jako swoisty hamulec wykorzystania sztucznej inteligencji, choćby z uwagi na zbyt szeroką definicję AI, mogącą obejmować np. standardowe procesy scoringowe. To z kolei skutkowałoby sklasyfikowaniem ich w kategoriach systemów wysokiego ryzyka, wraz ze wszystkimi obowiązkami i obostrzeniami w tym zakresie.

Równie niepokojący jest timing wdrażania AI Act – dopiero po 18 miesiącach od wejścia w życie przepisów KE opublikuje stosowne standardy wykonawcze, które zaczną obowiązywać raptem po pół roku.

– Nad tym wszyscy jako sektor powinniśmy pracować ramię w ramię, wspólnie z Ministerstwem Cyfryzacji, które rozpoczęło proces prekonsultacji. Wierzę, że to będzie przyczynek do dialogu między nami, sektorem, a nadzorcą, no i finalnie też z Komisją Europejską – dodała Magdalena Lewandowska.

W dalszej części debaty nie zabrakło wątku rosnących wymagań regulacyjnych w zakresie ochrony konsumenta przed cyberfraudami. Łukasz Gracki przypomniał, iż mamy dwóch poszkodowanych takim procederem: samego klienta, któremu skradziono pieniądze, i bank, od którego organy ochrony konsumenta domagają się, by zwrócił klientowi środki utracone wskutek nieautoryzowanej operacji.

W tych działaniach AI może być oczywiście wsparciem, tak, by spośród tysięcy reklamacji wyodrębniać te, które dotyczą nieautoryzowanych transakcji i obsługiwać je w wymaganym przez prawo czasie. W tym kontekście reprezentant Banku Millennium wskazał na zasadność skanowania przez banki dowodów osobistych – pozyskane w ten sposób zdjęcie klienta system AI może wykorzystać do weryfikacji wniosków kredytowych pod kątem ewentualnego fraudu, również i przy zdalnym onboardingu dysponowanie wizerunkiem zwiększa poziom bezpieczeństwa.

Krzysztof Sodowski zwrócił uwagę na inną kwestię, jaką jest potrzeba udostępnienia bankom danych z rejestrów publicznych, obejmujących także wizerunek danej osoby. Przypomniał on, iż bankowe systemy służą dziś nie tylko do korzystania z usług finansowych, pozwalają też zalogować się do serwerów publicznych, dlatego to instytucjom państwowym powinno zależeć na sprawnej wymianie informacji.

Jako banki moglibyśmy być dla strony rządowej partnerem w wynajdywaniu i wskazywaniu różnych błędów w danych – dodał panelista.

Michał Macierzyński odniósł się do innej kwestii, mianowicie zbytniego przenoszenia odpowiedzialności z klienta banku na bank w kwestii transakcji nieautoryzowanych. Powiedział on, iż Polska jest liderem zmian prokonsumenckich w Unii Europejskiej, i nie dotyczy to tylko obszaru cyberbezpieczeństwa – na podobnej zasadzie restrykcyjne limity dot. interchange z prawa polskiego skłoniły UE do wprowadzenia jeszcze niższych progów.

Przypomniał on, iż oszukańcze reklamy dotyczące pseudoinwestycji są powszechne na mediach społecznościowych i nikt z tym nic nie robi, dlaczego zatem za ewentualne szkody miałby odpowiadać bank. Problem ten nabiera szczególnego wymiaru także i dlatego, że – jak wskazała Agnieszka Szopa-Maziukiewicz – aż 60% wszystkich cyberataków ma za cel kradzież tożsamości, a środkiem do jego osiągnięcia jest wykorzystanie różnych metod socjotechnicznych, w rodzaju phishingu czy e-maili naszpikowanych złośliwym oprogramowaniem.

Banki regularnie przestrzegają swych klientów przez sztuczkami stosowanymi przez sprawców, jednak w obliczu obecnej skali zagrożeń należy wdrażać zabezpieczenia o charakterze sektorowym, zasilane z jak najszerszych źródeł danych. Magdalena Lewandowska wskazała na dodatkowe utrudnienie, jakimi są przepisy w zakresie ochrony danych osobowych, a konkretnie ich niedoprecyzowanie i możliwość szerokiego rozumienia zwłaszcza w obszarze tzw. danych wrażliwych.