Znaczący wpływ na tę szybką adaptację ma nadchodzące Rozporządzenie w sprawie sztucznej inteligencji. W zamyśle unijnego prawodawcy nowe przepisy mają stać się katalizatorem zmian, nakreślając wytyczne dla bezpiecznego i etycznego wdrażania technologii. Banki z entuzjazmem podchodzą do innowacji i już teraz wdrażają systemy AI, z roku na rok zwiększając inwestycje w tym obszarze. Przekonanie o konieczności wdrożenia sztucznej inteligencji staje się coraz bardziej powszechne, a regulacje mają zapewnić, że wdrożenie to będzie przebiegało w sposób bezpieczny i z poszanowaniem praw osób (w tym klientów), na które wpływ ma działanie systemów AI.

Współautorami tekstu są:

  • Maciej Bisch, Manager EY Law,
  • Oktawia Sepioł, Associate EY Law.

Więcej na temat związany z regulacjami sztucznej inteligencji w Unii Europejskiej możecie przeczytać tutaj. W podlinkowanej kategorii znajdziecie teksty tworzone przez ekspertów EY Law.

BANNER-EY

Czy nadchodzące rozporządzenie będzie początkiem wykorzystania AI w sektorze bankowym?

Cyfryzacja bankowości to proces, który w ostatnich latach zyskał na znaczeniu. Obecnie jest nie tylko trendem, ale wręcz koniecznością pozwalającą utrzymać konkurencyjność rynkową. Digitalizacja w bankowości objawia się na wielu płaszczyznach – od wprowadzenia aplikacji mobilnych i webowych, które umożliwiają klientom zarządzanie finansami z dowolnego miejsca i o każdej porze, po wdrażanie zaawansowanych systemów zarządzania danymi i bezpieczeństwem. Banki inwestują w rozwiązania, które zapewniają elastyczność i skalowalność usług, a także bezpieczeństwo i przejrzystość transakcji.

Wśród narzędzi cyfrowych, które przyciągają uwagę sektora bankowego, znajdują się systemy oparte na sztucznej inteligencji. Wzrost zainteresowania nową technologią stanowi odpowiedź na rosnące oczekiwania klientów dotyczące szybkości, wygody i personalizacji usług. Od automatyzacji procesów po zaawansowaną analizę danych – sztuczna inteligencja nie tylko pozwala bankom na optymalizację operacji, lecz także tworzy nowe możliwości kreowania innowacyjnych produktów i usług.

Przy czym banki nie wstrzymują procesu wdrażania sztucznej inteligencji w oczekiwaniu na nadchodzące regulacje. Wiele rozwiązań z powodzeniem funkcjonuje w sektorze już od wielu lat. Wskazać możemy tutaj szczególnie rozwiązania funkcjonujące obecnie w bankach w następujących obszarach.

  • Obsługa klienta

Banki coraz śmielej wykorzystują sztuczną inteligencję w rozwiązaniach przeznaczonych do obsługi klienta, takich jak asystenci głosowi czy voiceboty. Dzięki zastosowaniu technologii takich jak przetwarzanie języka naturalnego (NLP) czy uczenie maszynowe (ML) asystenci głosowi są w stanie rozumieć pytania wypowiadane przez użytkowników w naturalnym języku, odpowiadać na nie w sposób spersonalizowany oraz uczyć się z każdą interakcją. Systemy te opierają się na rozległych bazach danych i algorytmach, które analizują informacje w krótkim czasie, a następnie identyfikują wzorce mowy i dostosowują odpowiedzi do potrzeb i zachowań klientów. Asystenci głosowi wykorzystują również technologie rozpoznawania mowy, które pozwalają na konwersję mowy na tekst i odwrotnie, umożliwiając płynną i naturalną komunikację. Dzięki temu banki mogą oferować swoim klientom wsparcie 24 godziny na dobę, 7 dni w tygodniu, co znacząco poprawia doświadczenie użytkownika i podnosi poziom zadowolenia z usług bankowych.

  • Automatyzacja procesów wewnętrznych przedsiębiorstwa

Dzięki AI banki mogą znacząco usprawnić i przyspieszyć wiele operacji, które tradycyjnie wymagałyby uwagi pracowników. Przekłada się to na oszczędność czasu i zasobów. Jednym z takich obszarów są procesy rekrutacyjne. Banki wykorzystują systemy oparte na sztucznej inteligencji do wstępnej weryfikacji kandydatów. Osoby, które zdecydują się na rozmowę prowadzoną przez bota, zostaną sprofilowane i zgodnie z preferencjami dopasowane do rekrutacji prowadzonych przez bank.

Innym przykładem wykorzystania AI w bankowości jest analiza pism. Systemy AI są w stanie przetwarzać i analizować duże liczby dokumentów, takich jak wnioski kredytowe, umowy czy reklamacje, a następnie wyszukiwać w nich kluczowe informacje lub dokonywać ich klasyfikacji. Taki system może wspierać pracowników banku w analizowaniu i strukturyzowaniu pism oraz identyfikowaniu istotnych danych. Dodatkowo system przygotowuje propozycje treści odpowiedzi dla klientów, bazując na materiałach historycznych.

  • Personalizacja usług

Kolejnym obszarem wykorzystania AI, który zyskuje na znaczeniu, jest personalizacja usług bankowych. Dzięki zaawansowanym algorytmom i uczeniu maszynowemu banki nie tylko oferują swoim klientom produkty dopasowane do ich finansowych nawyków, lecz także przewidują ich przyszłe potrzeby i zachowania.

Jednym z przykładów wykorzystania AI w personalizacji usług są systemy rekomendacji, które na podstawie historii transakcji i zachowań online klienta są w stanie zaproponować najbardziej odpowiedni produkt finansowy lub najlepiej dopasowaną usługę. Bank, dzięki takiemu wykorzystaniu sztucznej inteligencji do analizy danych, może lepiej rozpoznawać preferencje i oczekiwania swoich klientów oraz dostosować swoje produkty do konkretnego użytkownika, w zależności od jego indywidualnych potrzeb i preferencji. Tego typu rozwiązania są elementem hiperpersonalizacji, która polega na dopasowaniu usług do konkretnego użytkownika, a nie do grupy docelowej.

Jak wynika z powyższego, wiele rozwiązań obecnie klasyfikowanych jako sztuczna inteligencja zostało już wdrożonych w polskim sektorze bankowym na przestrzeni ostatnich lat, pomimo że nadal oczekujemy na moment wejścia w życie nowych regulacji w tym obszarze. Rozwiązania te, jako że były projektowane i wdrażane przed przyjęciem przez organy unijne Rozporządzenia w sprawie sztucznej inteligencji, mogą nie być dostosowane do wymogów wynikających z tego aktu prawnego, zatem może zachodzić konieczność ich dostosowania do nowych przepisów.

Jak do tej pory wdrażane były rozwiązania oparte na sztucznej inteligencji?

Należy zwrócić uwagę, iż każde narzędzie wskazane powyżej jest równocześnie samodzielnym systemem IT lub komponentem takiego systemu. Ponadto narzędzia te przetwarzają dane, w tym dane prawnie chronione, i wspierają konkretną funkcję czy proces w banku. Oznacza to, że do tych rozwiązań będą miały zastosowanie już obowiązujące przepisy i wytyczne, w szczególności w następujących obszarach:

  • dedykowane korzystanie przez banki z infrastruktury teleinformatycznej,
  • regulujące przetwarzanie informacji o konkretnej kategorii oraz
  • wynikające z charakteru danego procesu biznesowego.

W zakresie zarządzania infrastrukturą teleinformatyczną banku do wdrażanych obecnie systemów AI zastosowanie znajdzie Rekomendacja D KNF. Tego rodzaju system będzie bowiem elementem architektury technicznej banku. Ponadto, jeżeli dane rozwiązanie technologiczne ma charakter usług chmurowych, co jest typowe dla modeli AI, właściwy będzie tzw. komunikat chmurowy KNF. Istotny jest tutaj również sposób oddziaływania wdrażanego systemu na przedsiębiorstwo. Niektóre rozwiązania technologiczne wpływają na aspekty regulowane przez organy nadzoru. Przykładowo, jeżeli system ma znaczenie dla ciągłości działania banku, wówczas zastosujemy Rekomendację M KNF.

Z perspektywy informacji, które przetwarzane są w danym systemie informatycznym, również wskazać możemy regulacje kształtujące działanie takiego narzędzia. Oczywistym przykładem jest tutaj RODO, które będzie właściwe, o ile przetwarzanie dotyczy danych osobowych. Wówczas oprogramowanie powinno spełniać wymóg privacy by design oraz zapewniać odpowiednie bezpieczeństwo informacji. Innym przykładem regulacji, która znajduje zastosowanie w momencie przetwarzania konkretnego rodzaju danych, są przepisy odnoszące się do tajemnicy bankowej, zawarte w Prawie bankowym. Kształtują one nie tylko działanie samego systemu, lecz także relacje z ewentualnym dostawcą oprogramowania.

Podobnie na wdrożenia systemów AI wykonujących konkretne procesy wewnętrzne banku wpływają obecnie przepisy regulujące dane funkcje przedsiębiorstwa. Przede wszystkim, w przypadku wykorzystania systemu dostarczanego przez zewnętrznego dostawcę, właściwe będą tutaj przepisy Prawa bankowego dotyczące powierzenia czynności bankowych, oraz tzw. wytyczne w sprawie outsourcingu EBA. Jest to obszar tzw. outsorucingu regulowanego. Natomiast, jeżeli system będzie wykorzystywany do analizy ryzyka kredytowego lub świadczenia usług płatniczych, konieczne może okazać się stosowanie dodatkowych przepisów, np. Prawa bankowego w zakresie zautomatyzowanego przetwarzania danych osobowych, czy też standardów technicznych i wytycznych EBA towarzyszących dyrektywie PSD2.

Nie można tutaj nie wspomnieć także obszaru cyberbezpieczeństwa, który nie posiada obecnie specjalnej regulacji prawnej, lecz już wkrótce zostanie objęty przepisami DORA, które zaczną obowiązywać od stycznia 2025 r.

Wszystkie powyższe regulacje wpływają zarówno na kształt wdrażanych systemów informatycznych, jak i na proces wdrożenia, relacje z ewentualnymi dostawcami oprogramowania czy na dopuszczalny sposób korzystania z rozwiązania.

Skoro wdrażanie sztucznej inteligencji do bankowości już obecnie podlega regulacjom, czy potrzebujemy nowych przepisów?

Choć obecne regulacje dotyczące wykorzystania systemów teleinformatycznych w sektorze bankowym są już rozbudowane i szczegółowe, to jednak nie adresują one w pełni wyzwań, jakie niesie za sobą implementacja sztucznej inteligencji. Istniejące przepisy nie są w stanie w pełni zabezpieczyć przed ryzykami charakterystycznymi dla AI, które wymagają nowego podejścia regulacyjnego.

Jednym z kluczowych obszarów zarządzania ryzykiem systemów sztucznej inteligencji w banku jest konieczność zachowania nadzoru człowieka. Systemy AI mogą działać z niezwykłą szybkością i efektywnością, jednak ich decyzje powinny być weryfikowane przez człowieka, szczególnie w kontekście złożonych operacji finansowych, ponieważ błąd może nieść za sobą poważne konsekwencje. Nadzór ten jest niezbędny do zapewnienia zgodności działań AI z prawem, etyką i oczekiwaniami klientów.

Brak wyjaśnialności decyzji podejmowanych przez AI to kolejne wyzwanie. Systemy te często działają jak tzw. czarne skrzynki, co oznacza, że trudno jest zrozumieć, na podstawie jakich danych i algorytmów podjęły daną decyzję. W sektorze bankowym, w którym wymagana jest przejrzystość i możliwość audytu, taka niejasność może prowadzić do problemów z odpowiedzialnością i zaufaniem. Aspekt ten dostrzegany jest zresztą przez sektor bankowy, gdyż już obecnie w Prawie bankowym funkcjonuje obowiązek zapewnienia możliwości wyjaśnienia podstaw podjęcia decyzji kredytowej w przypadku zastosowania zautomatyzowanego przetwarzania danych osobowych.

Kolejnym obszarem ryzyka, które również nie jest zawarte w obecnych regulacjach, a które uznaje się za charakterystyczne dla AI, są tzw. halucynacje, czyli generowanie błędnych lub nierealistycznych wyników. Mogą one być skutkiem błędów w danych wejściowych lub nieprzewidzianych interakcji w modelach uczenia maszynowego. W sektorze bankowym, w którym dokładność ma kluczowe znaczenie, takie błędy mogą prowadzić do nieprawidłowych decyzji kredytowych lub inwestycyjnych.

Wiąże się to również z ryzykiem dyskryminacji, które polega na możliwości nieświadomego faworyzowania lub marginalizowania przez systemy AI pewnych grup klientów. Jeśli algorytmy sztucznej inteligencji będą trenowane na danych historycznych, które zawierają uprzedzenia, mogą nieświadomie utrwalać nierówności. To z kolei może prowadzić do naruszeń prawa i etyki, a także do strat reputacyjnych dla instytucji finansowych.

W świetle tych wyzwań nadchodzące Rozporządzenie w sprawie sztucznej inteligencji ma na celu zapewnienie wykorzystywania technologii w sposób, który w jak największym stopniu zapobiega typowym ryzykom związanym z AI oraz jest etyczny i zgodny z europejskimi wartościami. Wkrótce podmioty finansowe będą stały przed koniecznością wypełnienia nie tylko wymogów wynikających z istniejących przepisów, lecz także nowych regulacji dotyczących specyfiki sztucznej inteligencji. Już teraz warto podjąć działania dostosowujące organizację do nowych przepisów. Tylko w ten sposób możliwe będzie pełne wykorzystanie potencjału AI przy jednoczesnym zapewnieniu zgodności regulacyjnej.

Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, Warszawa, styczeń 2013 r.

Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, Warszawa, 23 stycznia 2020 r.

Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach, Warszawa, styczeń 2013 r.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe.

Wytyczne Europejskiego Urzędu Nadzoru Bankowego (European Banking Authority) EBA/GL/2019/02 z dnia 25 lutego 2019 r. w sprawie outsourcingu.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011.