Zaznacz stronę

Integracja AI z otoczeniem regulacyjnym sektora finansowego

10 września 2024 | Aktualności, The Right Focus, Wiedza

Sztuczna inteligencja coraz silniej zaznacza swoją obecność w sektorze finansowym, wprowadzając nowe możliwości automatyzacji, analizy danych oraz personalizacji usług. Jednak wraz z rosnącym zastosowaniem AI, pojawiają się również wyzwania związane ze zintegrowaniem jej z obowiązującymi przepisami. Kluczowe aspekty tej integracji obejmują m.in. zgodność z rozporządzeniem w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Z perspektywy polskich podmiotów i specyfiki polskiego sektora finansowego istotne są również wytyczne KNF dotyczące wykorzystania chmury obliczeniowej.

Sprawdzamy, jak wdrażanie rozwiązań opartych o AI wpisuje się w obowiązujące regulacje sektora finansowego oraz jakie zmiany są konieczne, aby sektor finansowy mógł w pełni korzystać z potencjału sztucznej inteligencji.

AI w dobie DORA

Rozporządzenie DORA, które ma zwiększać odporność cyfrową sektora finansowego kładzie szczególny nacisk na zarządzanie ryzykiem związanym z usługami ICT (technologiami informacyjno-komunikacyjnymi).

Usługi świadczone przy wykorzystaniu systemów sztucznej inteligencji, które zgodnie z AI Act co do zasady są uważane za oprogramowanie będą obejmować szereg rodzajów usług uznawanych przez DORA za usługi ICT. Oznacza to, że banki i inne podmioty finansowe będą musiały zapewnić ich zgodność z tym rozporządzeniem.

AI może przyczynić się do poprawy odporności cyfrowej, m.in. poprzez:

  • Wczesne wykrywanie zagrożeń cybernetycznych
  • Automatyzację monitoringu systemów
  • Optymalizację procesów decyzyjnych

Jednakże, aby podmioty finansowe mogły, zgodnie z DORA, w pełni wykorzystywać potencjał AI, konieczne jest zapewnienie transparentności wdrażanych technologii. Stosując rozwiązania oparte o AI powinny bowiem:

  • Zapewnić bezpieczeństwo danych
  • Przeprowadzić ocenę ryzyka
  • Stosować odpowiednie środki bezpieczeństwa
  • Opracować procedury związane z raportowaniem incydentów

Integracja AI z wymogami DORA wymaga też wdrożenia odpowiednich mechanizmów kontroli i monitorowania usług.

Obowiązkowy program testowania operacyjnej odporności cyfrowej zakłada m.in. analizy oprogramowania czy przeglądy kodu źródłowego, co w praktyce wiąże się z zapewnieniem, że wykorzystywane algorytmy są projektowane i wdrażane w sposób minimalizujący ryzyko.

DORA wymaga również uwzględnienia potencjalnego wpływu wykorzystywanych rozwiązań na ciągłość i dostępność usług. By minimalizować zagrożenia banki muszą mieć alternatywne rozwiązania oraz mechanizmy pozwalające na ręczną interwencję np. w sytuacji, gdy algorytmy zawiodą lub będą działać niezgodnie z oczekiwaniami.

Podmioty finansowe powinny zwrócić uwagę na podobieństwa między DORA oraz AI Act. Usprawnienie podejścia do wdrażania każdego z tych rozporządzeń może doprowadzić do obniżenia kosztów oraz poprawy zarządzania ryzykiem i odpornością.

Ustanowienie jednolitych, dobrze udokumentowanych ram, które jasno określają ryzyko wynikające z korzystania z systemów sztucznej inteligencji, w tym wszelkich zagrożeń cybernetycznych oraz określenie środków przeciwdziałających tym zagrożeniom może pomóc w zapewnieniu zgodności, m.in. z DORA i AI Act.

Podczas tworzenia takich ram nie można zapomnieć również o ryzyku wynikającym z przetwarzania danych osobowych.

Relacja AI z Komunikatem Chmurowym

Związek chmury i sztucznej inteligencji jest nierozerwalny.

Chmura jest naturalnym środowiskiem rozwoju sztucznej inteligencji, pozwala bowiem łatwo tworzyć aplikacje wykorzystujące AI oraz zarządzać nimi na późniejszym etapie oraz przetwarzać ogromne ilości danych, co jest kluczowe dla efektywności algorytmów. Jednak takie wdrożenie stawia przed instytucjami finansowymi dodatkowe wyzwania, takie jak zapewnienie zgodności z wytycznymi dotyczącymi korzystania z chmury.

Komunikat chmurowy, będący zbiorem wytycznych dla podmiotów nadzorowanych nakłada na nie szereg obowiązków związanych z bezpieczeństwem danych.

Ze względu na fakt, że technologie AI w dużej mierze opierają się na chmurze, sektor finansowy niejednokrotnie będzie musiał wziąć pod uwagę wymogi Komunikatu przy wdrażaniu systemów sztucznej inteligencji, co będzie wiązało się m.in. z

  • Zapewnieniem odpowiednich kompetencji pracowników
  • Opracowaniem planu przetwarzania informacji
  • Monitorowaniem środowiska przetwarzania
  • Regularnym dokumentowaniem prowadzonych działań

RODO i inne regulacje

Mówiąc o wdrażaniu rozwiązań opartych o AI należy pamiętać o odpowiedniej ochronie danych osobowych w oparciu o obowiązujące przepisy, głównie RODO.

Niezależnie od przepisów dotyczących ochrony danych osobowych, banki i podmioty finansowe, zainteresowane wdrożeniem rozwiązań od zewnętrznych dostawców systemów AI, powinny wziąć pod uwagę przepisy mające zastosowanie do ich działalności, określające wymogi dla outsourcingu regulowanego (np. bankowego, ubezpieczeniowego czy płatniczego), a także pozostałe rekomendacje organu nadzoru, w tym rekomendację D.

Podsumowując, zintegrowanie AI z sektorem finansowym stanowi niemałe wyzwanie. Przede wszystkim jest to jednak ogromna szansa na zwiększenie wydajności procesów oraz bezpieczeństwa operacyjnego, a tym samym na bardziej efektywne świadczenie usług.

Coraz powszechniejsze wykorzystywanie AI w bankowości to nowe ułatwienia dla klientów i przewaga konkurencyjna dla banków.

W tym kontekście, szczególnie istotna jest synergia wdrażanych rozwiązań z otoczeniem prawnym, co pozwoli na pełne wykorzystanie potencjału, jaki AI daje podmiotom finansowym.

Masz pytania? Skontaktuj się z nami

Maciej Kuranc

Mikołaj Kuterek

Najnowsza Wiedza

Zapraszamy do kontaktu:

Maciej Kuranc

Maciej Kuranc

Radca prawny / Starszy Prawnik / Praktyka NewTech / Ochrona Danych Osobowych i Cyberbezpieczeństwo

+48 22 326 9600

m.kuranc@kochanski.pl