Dlaczego AI wymyka się bankom spod kontroli?
Gwałtowny, lecz chaotyczny wzrost wdrożeń AI
Przez ostatnie dwa lata mogliśmy obserwować niespotykane jak dotąd przyspieszenie w adaptacji sztucznej inteligencji. W ciągu zaledwie kilkunastu miesięcy rynek przeszedł z fazy eksperymentów do etapu wdrożeń na masową skalę. Potwierdzają to dane z raportu IBM. Publikacja „2025 Global Banking & Financial Markets Outlook” wskazuje, że obecnie aż 78% banków wdraża AI.
Globalne badanie przeprowadzone przez EY-Parthenon „Generatywna AI w bankowości”, dostarcza dalszych szczegółów na temat skali inwestycji. Aż 45% instytucji finansowych już przeznacza swoje budżety na rozwiązania oparte na GenAI, a kolejne 52% planuje podjąć takie kroki w najbliższej przyszłości. Łącznie oznacza to, że 97% rynku albo już inwestuje, albo ma konkretne plany w tym zakresie.
Warto zwrócić uwagę, że w raporcie IBM autorzy posługują się określeniem „taktyczne” wdrażanie AI. Sugeruje ono, że wiele z tych 78% banków implementuje AI w odpowiedzi na konkretne, pojedyncze potrzeby biznesowe, a nie w ramach spójnej, ogólnofirmowej strategii. Takie podejście, choć pozwala na szybkie osiąganie korzyści, tworzy zjawisko, które można nazwać „pułapką taktyczną”.
Wdrażanie technologii wyprzedza bowiem rozwój strategii, ładu korporacyjnego i zasad bezpieczeństwa. Taktyczne wdrożenia, często realizowane na poziomie poszczególnych departamentów, w pogoni za szybkością i zwinnością mogą omijać centralne działy IT. Prowadzi to do powstawania silosów technologicznych, braku centralnego rejestru wykorzystywanych modeli AI oraz niespójnych standardów w zakresie bezpieczeństwa.
W ten sposób sama szybkość implementacji staje się jednym z głównych czynników ryzyka, bezpośrednio przyczyniając się do wzrostu zjawiska „Shadow AI” oraz liczby incydentów bezpieczeństwa związanych z AI.
Paradoks ROI: rozdźwięk pomiędzy oczekiwaniami a rzeczywistością
Jedną z najbardziej uderzających sprzeczności w obecnym ekosystemie AI w bankowości jest rozdźwięk pomiędzy optymistyczną percepcją ROI wśród kadry zarządzającej a rzeczywistymi zyskami. Z jednej strony, badanie EY US AI Pulse ujawnia, że 97% menedżerów wyższego szczebla dostrzega zwrot z inwestycji w sztuczną inteligencję.
Z drugiej strony, Raport Deloitte z 2024 r., „Financial AI Adoption Report”, przedstawia nieco mniej optymistyczne dane: tylko 38% projektów AI w sektorze finansowym spełnia lub przekracza oczekiwania dotyczące ROI. Oznacza to, że aż 62% inicjatyw nie przynosi oczekiwanych korzyści w zakładanym czasie i budżecie. Co więcej, ten sam raport ujawnia, że ponad 60% firm zgłasza znaczące opóźnienia we wdrożeniach, co bezpośrednio wpływa na rentowność projektów.
Zjawisko „Shadow AI”
Gwałtowne upowszechnienie zaawansowanych narzędzi generatywnej sztucznej inteligencji stworzyło nowy, krytyczny obszar ryzyka dla instytucji finansowych. Chodzi o niekontrolowane wykorzystanie AI przez pracowników. Zjawisko to, określane mianem „Shadow AI”, jest bezpośrednim następstwem dążenia do zwiększenia produktywności i stanowi jedno z największych wyzwań dla bezpieczeństwa danych i zgodności z regulacjami w latach 2024-2025.
Badanie przeprowadzone w 2024 r. przez firmę CybSafe ujawniło, że 38% pracowników przyznało się do udostępniania wrażliwych danych firmowych zewnętrznym narzędziom GenAI, takim jak ChatGPT, bez wiedzy i zgody swojego pracodawcy. Oznacza to, że ponad jedna trzecia personelu potencjalnie wyprowadza dane firmowe – w tym informacje o klientach, strategie biznesowe czy dane finansowe – do publicznych modeli językowych, nad którymi bank nie ma żadnej kontroli. I nie mówimy tutaj o teoretycznym ryzyku: to powszechna, codzienna praktyka w wielu przedsiębiorstwach.
Przyczyna nie leży w pracownikach, lecz w organizacji
Analizując przyczyny tego zjawiska, nie można postrzegać go wyłącznie jako problemu wynikającego z braku dyscypliny poszczególnych pracowników. Odsetek na poziomie 38% jest zbyt wysoki, by tłumaczyć to jedynie niesubordynacją. Powinniśmy więc patrzeć na zjawisko w kategoriach porażki systemu. Dlaczego? Ponieważ pracownicy postrzegają zatwierdzone przez pracodawcę narzędzia i procesy jako wysoce niewystarczające.
Sięgają oni po narzędzia zewnętrzne, ponieważ ich własne organizacje działają zbyt wolno, są zbyt restrykcyjne lub nie zapewniają możliwości, których potrzebują do efektywnego wykonywania swojej pracy. W tym kontekście, „Shadow AI” jest bezpośrednią konsekwencją luki pomiędzy możliwościami dostępnej technologii a tym, co oferują wewnętrzne działy IT w banku.
Zaniedbania w obszarze AI Act i kontroli wewnętrznej
AI Act stanowi największą zmianę regulacyjną w obszarze technologii od czasu wprowadzenia RODO. Akt ten nakłada na organizacje szereg obowiązków, wliczając w to klasyfikację systemów AI według poziomu ryzyka, zapewnienie przejrzystości ich działania, prowadzenie szczegółowej dokumentacji oraz wdrożenie mechanizmów nadzoru.
Mimo że przepisy te będą wchodzić w życie etapami do 2026 r., poziom przygotowania sektora jest niepokojąco niski. Potwierdza to badanie EY, według którego aż 60% instytucji finansowych przyznaje, że nie jest w pełni przygotowanych na nadchodzące regulacje związane z AI Act.
Kluczowym elementem skutecznego zarządzania ryzykiem AI jest posiadanie kompletnego i aktualnego spisu wszystkich systemów i modeli sztucznej inteligencji w organizacji. Taki rejestr nie jest więc jedynie administracyjnym dodatkiem, ale fundamentalnym filarem AI Governance.
Rosnąca liczba incydentów napędzanych przez AI
Gwałtowna adaptacja sztucznej inteligencji, połączona z niewystarczającym rozwojem mechanizmów kontrolnych, doprowadziła do powstania nowego, poważnego źródła zagrożeń dla cyberbezpieczeństwa w sektorze finansowym.
Raport firmy Cisco zawiera jedną liczbę, która daje wiele do myślenia: aż 86% organizacji na całym świecie doświadczyło incydentów bezpieczeństwa związanych z AI w 2024 r. Co gorsza, trend ten zauważalnie przyspiesza. „Stanford AI Index Report 2025” informuje o wzroście wynoszącym 56,4%, podczas gdy inne źródła, jak daily.dev, podają liczbę 47%.
Rekomendacje: model 9 Filarów AI Governance
Analiza danych z lat 2024-2025 prowadzi do jednego wniosku: sektor bankowy balansuje pomiędzy zawrotnym tempem wdrażania sztucznej inteligencji a gotowością organizacji do zarządzania ryzykiem.
W odpowiedzi na te wyzwania, firma Speednet opracowała kompleksowy raport pt. „Moja firma wdrożyła system AI i co dalej? Oto 9 elementów AI Governance, o których nie możesz zapomnieć”. Publikacja przedstawia kompletny model 9 Filarów AI Governance, podkreślając, że nie jest to przypadkowy zbiór zadań, lecz spójna i przemyślana ścieżka rozwoju.
Oparty na trzech logicznych etapach model rozpoczyna się od „budowania fundamentów i przejmowania kontroli”, co oznacza uporządkowanie chaosu poprzez ustanowienie struktur (jak centralny rejestr AI), ładu danych, kultury etycznej i nadzoru. Następnie, na solidnych podstawach, model przechodzi do „wdrożenia strategii i zarządzania ryzykiem”, obejmując m.in. zarządzanie ryzykiem, niezależną weryfikację oraz zapewnienie zgodności z nowymi regulacjami, jak AI Act.
Całość wieńczy etap „optymalizacji i weryfikacji”, który pozwala weryfikować zarówno efektywność nadzoru, jak i – co kluczowe dla biznesu – faktyczny zwrot z inwestycji (ROI).
Takie podejście sprawia, że zarządzanie AI przestaje być tylko kosztem. Staje się narzędziem, które daje trwałą przewagę na rynku i pozwala szybciej oraz bezpieczniej wprowadzać innowacje.
Pełna wersja raportu będzie dostępna w listopadzie.
