Aktualnie umacniający się trend wykorzystywania sztucznej inteligencji w gospodarce przybiera na sile. Sztuczna inteligencja wykorzystywana jest nie tylko przez cyberprzestępców, ale i przez dostawców rozwiązań IT dla banków. Rozpoczęcie wykorzystywania systemów sztucznej inteligencji na dużą skalę w sektorze bankowym jest więc tylko kwestią czasu.
Choć AI ACT rozpocznie swoje stosowanie w pełnym zakresie dopiero w sierpniu 2026 r., to już teraz bank powinien rozważyć uwzględnianie przepisów tego rozporządzenia w toku swojej działalności, w szczególności w momencie wdrażania nowych rozwiązań technologicznych. Pozwoli to nie tylko ustalić docelowy koszt takiego systemu, zakres obowiązków, jaki będzie się wiązał z jego wykorzystywaniem, ale i to, czy po rozpoczęciu stosowania AI ACT system ten nadal będzie mógł być wykorzystywany w wyznaczonym celu. Zakres obowiązków spoczywających na banku w związku z wdrożeniem systemu AI w swojej organizacji będzie zależał od kwalifikacji tego systemu. Brak kwalifikacji lub nieprawidłowa kwalifikacja na tym etapie wiązać się może bowiem m.in. z obowiązkiem poniesienia dodatkowych kosztów na dostosowanie takiego systemu do wymogów prawnych czy zapewnieniem kompetencji wśród pracowników w niedalekiej przyszłości.
Niniejszy artykuł wyjaśnia problem kwalifikacji systemów AI w banku.
Czym jest system sztucznej inteligencji według AI ACT?
System AI jest to system, który spełnia poniższe wymogi:
- jest systemem maszynowym (a więc zawsze to będzie też system komputerowy)
- posiada cele (dorozumiane lub wyraźne)
- samodzielnie wnioskuje
- jest autonomiczny (w różnym stopniu)
- wchodzi w interakcje
- może wykazywać zdolności do adoptowania się
Jakie są rodzaje systemów AI według AI ACT?
Systemy AI w AI ACT zostały podzielone przez wzgląd na to, jakie ryzyko może generować ich wykorzystywanie. Od tego, jaki system wykorzystuje Bank, zależy to, jakie obowiązki będą na nim spoczywać.
AI ACT rozróżnia cztery rodzaje ryzyka:
- niedopuszczalne (zakazane praktyki, opisane w art. 5 AI ACT)
- wysokie
- średnie
- niskie
Zakazane praktyki
W artykule 5 AI ACT zawarty został katalog zakazanych praktyk. Należy do nich m.in. wykorzystywanie systemu AI, który stosuje techniki podprogowe będące poza świadomością danej osoby lub celowe techniki manipulacyjne lub wprowadzające w błąd, czego celem lub skutkiem jest dokonanie znaczącej zmiany zachowania danej osoby lub grupy osób poprzez znaczące ograniczenie ich zdolności do podejmowania świadomych decyzji, powodując tym samym podjęcie przez nie decyzji, której inaczej by nie podjęły, w sposób, który wyrządza lub może wyrządzić u niej, u innej osoby lub u grupy osób poważną szkodę.
Wykorzystywanie systemów, o których mowa w art. 5 AI ACT jest zakazane i wiązać się może z nałożeniem na podmiot stosujący (np. na bank) wysokiej kary pieniężnej w wysokości do 35 000 000 EUR lub – jeżeli sprawcą naruszenia jest przedsiębiorstwo – w wysokości do 7 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa.
Artykuł 5 AI ACT obowiązuje i jest stosowany od 2 lutego 2025 r.
Systemy AI wysokiego ryzyka
Znakomita większość przepisów AI ACT i obowiązków dotyczy właśnie systemów wysokiego ryzyka.
Systemem AI wysokiego ryzyka jest system AI, który:
- jest przeznaczony do wykorzystania jako związany z bezpieczeństwem element produktu objętego unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I lub sam system AI jest takim produktem
- podlega – na podstawie unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku I – ocenie zgodności przez stronę trzecią w związku z wprowadzeniem tego produktu do obrotu lub oddaniem go do użytku
- jest wskazany w załączniku III do AI ACT.
O ile pierwsze dwie kategorie nie dotyczą banków, to ostatni punkt, a wiec systemy wskazane w załączniku nr III do AI ACT już tak. Przy czym, nawet jeśli taki system znajduje w załączniku III, ale nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych, w tym poprzez brak znaczącego wpływu na wynik procesu decyzyjnego i nie wiąże się on z profilowaniem, to nie będzie stanowił systemu AI wysokiego ryzyka, gdy zostanie spełniona chociażby jedna z poniższych przesłanek:
- system AI jest przeznaczony do wykonywania wąsko określonego zadania proceduralnego
- system AI jest przeznaczony do poprawienia wyniku zakończonej uprzednio czynności wykonywanej przez człowieka
- system AI jest przeznaczony do wykrywania wzorców podejmowania decyzji lub odstępstw od wzorców podjętych uprzednio decyzji i nie ma na celu zastąpienia ani wywarcia wpływu na zakończoną uprzednio ocenę dokonaną przez człowieka – bez odpowiedniej weryfikacji przez człowieka lub
- system AI jest przeznaczony do wykonywania zadań przygotowawczych w kontekście oceny istotnej z punktu widzenia przypadków wykorzystania wymienionych w załączniku III.
Przykłady systemów AI wysokiego ryzyka wskazane w załączniku III do AI ACT, które mogą być wykorzystywane w banku
- systemy AI przeznaczone do wykorzystywania do celów oceny zdolności kredytowej osób fizycznych lub ustalenia ich scoringu kredytowego, z wyjątkiem systemów AI wykorzystywanych w celu wykrywania oszustw finansowych
- systemy AI przeznaczone do wykorzystywania przy ocenie ryzyka i ustalaniu cen w odniesieniu do osób fizycznych w przypadku ubezpieczenia na życie i ubezpieczenia zdrowotnego
- systemy wykorzystujące biometrię ((i) systemy zdalnej identyfikacji biometrycznej – z wyłączeniem systemów AI przeznaczonych do wykorzystania przy weryfikacji biometrycznej, której jedynym celem jest potwierdzenie, że określona osoba fizyczna jest osobą, za którą się podaje, (ii) systemy AI przeznaczone do wykorzystania przy kategoryzacji biometrycznej, według wrażliwych lub chronionych atrybutów lub cech na podstawie wywnioskowania tych atrybutów lub cech, (iii) systemy AI przeznaczone do wykorzystania przy rozpoznawaniu emocji).
Systemy AI średniego ryzyka
Do systemów AI średniego ryzyka zalicza się wszystkie te systemy, które generują lub mogą generować ryzyko manipulacji lub oszustwa osób fizycznych. Zazwyczaj zalicza się do nich systemy AI, które wchodzą w interakcje z osobami fizycznymi, mogą na nie oddziaływać (np. wirtualny konsultant) lub generować określone treści (np. materiały marketingowe, których odbiorcą jest osoba fizyczna).
System taki powinien być przejrzysty, a w przypadku, gdy wchodzi w interakcję z osobą fizyczną, powinien informować tę osobę, że jest systemem AI lub treść została przez ten system wygenerowana.
Systemy AI niskiego ryzyka
Należą do nich wszystkie systemy, które nie zostały zakwalifikowane do żadnej z powyższych kategorii.
Jak na wstępie zostało wskazane, wdrożenie systemu AI z uwzględnieniem kwalifikacji według AI ACT na tym etapie pozwoli bankowi przede wszystkim uniknąć dodatkowych kosztów w przyszłości. W tym zakresie właściwym kierunkiem jest także przyjęcie wewnątrz organizacji polityki AI, o czym szerzej była mowa w poprzednim artykule Kancelarii: https://brzoziewskakedziora.pl/blog/jak-sie-przygotowac-firme-na-ai-act/ .
Kancelaria posiada doświadczenie w zakresie wdrażania sztucznej inteligencji, w tym także w podmiotach finansowych. W ramach naszych usług świadczymy m.in. usługi polegające na:
- przeprowadzaniu szkoleń prawnych/compliance (także w bankach i w podmiotach nadzorowanych) – udokumentowane certyfikatem, potwierdzającym nabycie kompetencji zgodnie z art. 4 AI ACT
- tworzeniu regulacji wewnętrznych
- tworzeniu i opiniowaniu umów, w tym umów na rozwiązania informatyczne wykorzystujące AI
- wsparciu w zakresie prawa autorskiego.
