Sztuczna inteligencja została zdefiniowana, przynajmniej częściowo, na poziomie unijnym. Opracowała ją High-Level Expert Group on Artificial Intelligence przy Komisji Europejskiej. Zgodnie z tą propozycją AI należy rozumieć jako systemy przejawiające inteligentne zachowania będące wynikiem analizy otoczenia i podejmowania decyzji – z zachowaniem pewnego stopnia autonomii – w celu osiągnięcia określonych celów (a więc nie jest to wizja rodem z Terminatora). Z kolei ML to jedna z form sztucznej inteligencji polegająca na uczeniu się przez algorytmy określonych zależności, ich analizowanie i podejmowanie decyzji. Racjonalnych decyzji. Ta racjonalność jest zresztą przedmiotem wielu dyskusji, ponieważ jest trudna do zdefiniowania.

Jest jeszcze aspekt technologiczny. W jego ramach można powiedzieć, że są to modele zachowań oparte na zaawansowanych algorytmach komputerowych.

Jak wykorzystać AI w sektorze finansowym?

W sektorze finansowym zastosowań sztucznej inteligencji jest wiele i mogą być one przydatne dla wielu obszarów. Sztuczna inteligencja może przykładowo przyczynić się do automatyzacji i zwiększenia efektywności: (i) handlu instrumentami finansowymi (szczególnie przy działaniach „masowych”), (ii) doradztwa inwestycyjnego (robo-advisory), również w ramach Wealth Management, (iii) compliance regulacyjnego RegTech i SupTech (w tym raportowania), (iv) procesu oceny zdolności kredytowej, (v) profilowania klientów czy (vi) oceny ryzyka wewnątrz instytucji.

Przykładów zastosowania AI/ML jest jednak zdecydowanie więcej. Coraz częściej pojawiają się chociażby Chatboty czy wirtualni doradcy, którzy mogą wspierać „fizycznych” doradców przy pierwszym kontakcie z klientem, ale również wykonywać bardziej zaawansowane czynności. Można śmiało założyć, że wraz z rozwojem technologii oraz otoczenia regulacyjnego, sektor finansowy zacznie tworzyć nowe rozwiązania, które jeszcze lepiej będą wykorzystywać zaawansowane algorytmy.

Co już mamy?

Nie jest do końca tak, że wykorzystanie AI znajduje się poza uregulowaniami prawnymi. W szczególności unijni prawodawcy dostrzegają potencjał, ale i zagrożenia związane ze stosowaniem AI w sektorze finansowym (przykładowo tutaj), a także konieczność przynajmniej częściowego zaadresowania wątpliwości prawnych związanych z wykorzystaniem tych technologii, np. w odniesieniu do handlu algorytmicznego.

Mamy więc Rozporządzenie Komisji (UE) 2017/589, które określa, jakie wymogi organizacyjne powinny spełniać firmy inwestycyjne, np. domy maklerskie, które zdecydują się na oferowanie swoim klientom handlu algorytmicznego (np. środki bezpieczeństwa czy wymogi kwalifikacyjne dla ich pracowników odpowiedzialnych za kwestie techniczne i regulacyjne). Rozporządzenie nie odnosi się wprawdzie wprost do kwestii sztucznej inteligencji, ale sam handel algorytmiczny jest zasadniczo oparty właśnie na AI/ML.

W pewnym zakresie można uznać, że tzw. robo-advisory, a więc doradztwo inwestycyjne oparte na zaawansowanych algorytmach, też można uznać za zaadresowane (choć chyba w niewystarczający sposób). Przykładowo KNF stoi na stanowisku, że przepisy krajowe (m.in. ustawa o obrocie instrumentami finansowymi) i unijne (Rozporządzenie 2017/565) poprzez swoją neutralność technologiczną umożliwiają świadczenie tego typu usług – przy zachowaniu zasad dotyczących odpowiedzialności firmy inwestycyjnej względem klienta. Dodatkowo Europejski Urząd Nadzoru Giełd i Papierów Wartościowych(ESMA) w swoich wytycznych dotyczących profilowania klientów częściowo odniósł się do kwestii dotyczących wykorzystania automatycznych i półautomatycznych systemów oceny „cech” potencjalnego inwestora.

Innym ważnym elementem, choć nie o charakterze „twardego” prawa, są wytyczne w zakresie wykorzystania AIopracowane na poziomie Komisji Europejskiej. Wytyczne mają szczególne znaczenie w kontekście wykorzystania AI w procesie oceny zdolności kredytowej potencjalnego kredytobiorcy, w szczególności wobec zmian w prawie bankowym wprowadzonych m.in. w związku z wejściem w życie Rozporządzenia 2016/679.

Dobrze „zagospodarowanym” obszarem jest również kwestia outsourcingu, choć w przypadku stosowania rozwiązań chmurowych, nadal występują pewne wątpliwości. Duże znaczenie dla sektora mają wytyczne EBA w zakresie outsourcingu.

A na co jeszcze czekamy?

Wykorzystanie AI może budzić pewne wątpliwości i ryzyka po stronie dostawców technologii (w tym samych instytucji finansowych), jak i klientów tych podmiotów. Dlaczego? Sztuczna inteligencja to nie człowiek, któremu można przypisać odpowiedzialność i który może ponieść konsekwencje swojego działania (nieetycznego czy niezgodnego z prawem), np. w przypadku sprzedaży instrumentów finansowych niezgodnych z oczekiwaniami klienta. Kto w takiej sytuacji powinien wziąć na siebie odpowiedzialność za nieprawidłowe działanie algorytmu (abstrahuję tutaj od wewnętrznych regulacji i podziału odpowiedzialności)? W ostatecznym rozrachunku będzie to np. firma inwestycyjna, ale osobowo? Twórca algorytmu? Programista odpowiadający za jego prawidłowe działanie? Inspektor Compliance? Audytorzy? A może sam algorytm jest „osobą”, której można przypisać odpowiedzialność? Może każdy po trochu?

Big Data i AI

Tutaj pojawia się kolejne pytanie. Na jakim zestawie danych powinien opierać się algorytm AI, aby uznać, że jest on wiarygodny? Być może, choć wydaje się to praktycznie niemożliwe (ze względu na mnogość use case’ów), należałoby doprecyzować w przepisach, jaki minimalny zestaw danych (w drodze regulacji) powinien stanowić podstawę do uznania, że decyzja podjęta przez AI jest wiarygodna?

Art. 105a Prawa bankowego

Od 5 maja br. banki i inne instytucje kredytowe mogą podejmować decyzje kredytowe w oparciu o zautomatyzowane przetwarzanie danych wyłącznie w sytuacji, w której zapewniają osobom, których ocena dotyczy, prawa do uzyskania wyjaśnień, co do podstaw podjętej decyzji, np. odmowy udzielenia kredytu. Podstawowe pytanie, które pojawia się w tym kontekście, to jak powinien postąpić bank. Czy powinien udostępnić wyłącznie zestaw danych, na których opierał się algorytm w porównaniu z określonymi wskaźnikami, czy też „pokazać” cały algorytm i wyjaśnić, jak doszedł on do określonych wniosków?

Metody behawioralne

Jednym z elementów, które wprowadził pakiet PSD2, a przede wszystkim Rozporządzenie 2018/389,jest tzw. Strong Customer Authentication (SCA), czyli silne uwierzytelnianie klienta (więcej tutaj). Jedną z metod, którą instytucje mogą zastosować, aby spełnić wymogi SCA, są tzw. metody behawioralne zaakceptowane przez Europejski Urząd Nadzoru Bankowego(EBA).

Polegają one zasadniczo na ocenie zachowań (typowych) użytkownika np. karty płatniczej, oraz typowych scenariuszy i na tej podstawie identyfikowanie tego użytkownika. Wyzwania, które pojawiają się w tym kontekście, to przede wszystkim ocena skuteczności tych mechanizmów oraz granice naszej prywatności, a także możliwości zakwestionowania błędnych decyzji takiego algorytmu, np. w kontekście odpowiedzialności za nieautoryzowane transakcje, szczególnie jeżeli dochodzi do sporu sądowego.

RegTech?

Wspominałem już o tzw. RegTech, czyli technologiach wspierających tzw. regulacyjny compliance. Największym wyzwaniem dla rozwoju tego obszaru jest brak jasnych regulacji, które nie budzą nadmiernych wątpliwości interpretacyjnych i dodatkowo są przygotowane w formacie machine readable. Bez tego trudno będzie doprowadzić do rozwoju AI, nie tylko w obszarze RegTech, ale również w innych – wskazanych powyżej – obszarach. Podejmując decyzje, np. inwestycyjne, algorytm powinien brać również pod uwagę otoczenie regulacyjne i ewentualne konsekwencje dla klienta oraz instytucji, a może nawet systemu finansowego.

Zamiast podsumowania

Wykorzystanie sztucznej inteligencji w sektorze finansowym to niewątpliwie przyszłość. Jest to jednak technologia, która dopiero się rozwija i można przyjąć, że zarówno prawodawcy, jak i nadzorcy, chcą najpierw zebrać doświadczenia związane z jej stosowaniem. Dopiero mając szeroki obraz wykorzystania algorytmów można starać się stworzyć odpowiedni ekosystem prawny, który ułatwi świadczenie usług z wykorzystaniem AI. Nie warto więc na tym etapie oceniać postępów w zakresie regulacji tego obszaru. Dopiero następne lata pokażą, jaki kierunek należy przyjąć. Warto jednak zastanowić się „JAK” regulować AI, tj. „twarde” versus „miękkie” prawo. Zobaczymy.

Artykuł stanowi moją prywatną opinię autora i nie może być utożsamiany ze stanowiskiem jakiejkolwiek instytucji z którą jestem lub byłem związany.