Jak EU AI Act zmieni nasze bankowe aplikacje mobilne?

Według World Retail Banking Report 2024 zaledwie 6% banków detalicznych wdrożyło pełną strategię transformacji AI. Tymczasem większość sektora nie ma planów operacyjnych na wejście w życie EU AI Act (2024/1689), czyli pierwszego na świecie kompleksowego rozporządzenia o sztucznej inteligencji.

Warto zaznaczyć, że przepisy dotyczące systemów wysokiego ryzyka zaczną w pełni obowiązywać 2 sierpnia 2026 roku, jak wynika z analizy Deloitte, a kary sięgają 35 mln EUR lub 7% globalnego obrotu, co podkreślają eksperci PwC.

Dla banków oferujących aplikacje mobilne oznacza to zatem obowiązkowy audyt algorytmów decyzyjnych w czterech obszarach: ocena kredytowa, wykrywanie oszustw, personalizacja ofert oraz obsługa klienta.

Siedem kluczowych wniosków z EU AI Act dla sektora bankowego

• Scoring i ocena zdolności kredytowej przez AI to systemy wysokiego ryzyka, jak stanowi Załącznik III. Pełna egzekwowalność: 2 sierpnia 2026.
• Z kolei systemy wykrywania oszustw i AML są wprost wyłączone z kategorii wysokiego ryzyka.
• Chatboty bankowe muszą ujawniać, że użytkownik nie rozmawia z człowiekiem (Art. 50). Co więcej, PSD3 idzie dalej – klient zawsze musi mieć dostęp do żywego konsultanta.
• Weryfikacja biometryczna 1:1 (np. Face ID) nie jest systemem wysokiego ryzyka. Surowe przepisy dotyczą bowiem dopiero identyfikacji 1:wiele.
• Rynek platform AI governance osiągnie 15,8 mld USD do 2030 r. (CAGR 30%).
• Tylko 25% instytucji finansowych buduje dzięki AI pozycję umożliwiającą wyprzedzenie konkurencji, podczas gdy reszta tkwi w punktowych eksperymentach. Eksperci BCG szacują dodatkowo, że osiągnięcie pełnej gotowości trwa 2–3 lata.
• 82% klientów bankowych chce zatwierdzać każdą czynność asystenta AI, a jedynie 26% jest zadowolonych z doświadczeń bankowych — jak pokazuje Accenture Banking Consumer Study 2025. Dlatego też dobrze wdrożony AI Act może przyspieszyć przyjęcie technologii, dając klientom poczucie kontroli.

Czym jest EU AI Act i dlaczego wpływa na bankowość mobilną

EU AI Act stanowi pierwszą regulację prawną obejmującą wszystkie aspekty sztucznej inteligencji. To rozporządzenie wprowadza jednolite zasady dla całego rynku. Obowiązuje od 1 sierpnia 2024 r., a poszczególne obowiązki wchodzą w życie stopniowo przez trzy lata, jak szczegółowo opisują Deloitte oraz PwC. Struktura przepisów opiera się na czterostopniowej klasyfikacji ryzyka, i to właśnie od niej zależy zakres obowiązków dostawcy i operatora.

Decyzje algorytmów w aplikacjach bankowych, od odmowy kredytu po blokadę transakcji, wpływają bezpośrednio na sytuację finansową ludzi. Przykładowo, odmowa wygenerowana w ułamku sekundy może przekreślić zakup mieszkania lub start firmy. Sektor finansowy przoduje we wdrażaniu sztucznej inteligencji.

Według prognoz IDC globalne nakłady na tę technologię w finansach osiągną poziom 97 mld USD do 2027 r. Jednocześnie 63% instytucji finansowych wciąż nie wypracowało skutecznych zasad kontroli nad rozwiązaniami AI lub stosuje jedynie ich podstawowe formy, jak wskazuje raport Capgemini. Oznacza to, że sektor najszybciej wdrażający algorytmy decyzyjne robi to bez odpowiednich zabezpieczeń.

Czterostopniowa klasyfikacja ryzyka AI w bankowości od praktyk zakazanych po ryzyko minimalne

Praktyki zakazane przez EU AI Act obejmujące scoring społeczny i manipulację

Najwyższy szczebel obejmuje scoring społeczny, manipulację ludźmi i systemy typujące przestępców na podstawie cech osobowości. Zakazy te obowiązują od 2 lutego 2025 r., jak potwierdzają analizy Deloitte oraz PwC.

Eksperci PwC zwracają uwagę na fakt, że systemy behawioralne łączące dane klienta z wielu sfer życia w jeden ogólny wynik wiarygodności mogą naruszać ten zakaz. Takie działanie generuje realne ryzyko prawne dla instytucji finansowych.

W efekcie algorytm łączący historię kredytową z danymi o lokalizacji, nawykach zakupowych i aktywnością w mediach społecznościowych balansuje na granicy legalności. Granica między scoringiem kredytowym a społecznym okazuje się zatem cieńsza, niż zakładano.

Systemy AI wysokiego ryzyka obejmujące scoring kredytowy i ocenę zdolności finansowej

Ta kategoria narzuca najszerszy zakres obowiązków. Eksperci z firm Deloitte, Accenture oraz EY potwierdzają, że Załącznik III Sekcja 5(b) wprost wymienia systemy oceny zdolności kredytowej i scoringu kredytowego osób fizycznych.

Wymogi narzucają konkretne standardy techniczne i operacyjne. Artykuł 9 nakazuje wdrożenie systemu zarządzania ryzykiem przez cały cykl życia modelu. Artykuł 10 oraz Artykuł 11 określają zasady zarządzania danymi treningowymi oraz obowiązek prowadzenia pełnej dokumentacji technicznej, jak szczegółowo opisuje Deloitte.

Kolejne przepisy wymagają automatycznego logowania zdarzeń oraz zapewnienia pełnej przejrzystości wobec użytkowników, co podkreśla analiza PwC. Zgodnie z Artykułami 14 i 15 konieczny jest stały nadzór ludzki oraz certyfikowana dokładność i cyberbezpieczeństwo systemów.

Z kolei dopuszczenie rozwiązania do rynku zależy również od formalnej oceny zgodności oraz rejestracji w unijnej bazie danych. Artykuł 27 nakłada na operatorów dodatkowy obowiązek oceny wpływu technologii na prawa podstawowe. To nie są jedynie zalecenia, lecz sztywne warunki dopuszczenia systemu do obrotu.

Ograniczone ryzyko i obowiązki przejrzystości dla chatbotów bankowych

Ten poziom regulacji nakłada wyłącznie obowiązki w zakresie przejrzystości. Dotyczy to między innymi bankowych chatbotów. Użytkownik musi otrzymać jasną informację, czy ma do czynienia z AI, zgodnie z Artykułem 50, jak wskazują Deloitte oraz PwC.

Obciążenie regulacyjne jest tutaj znacznie mniejsze, chociaż granica między chatbotem informacyjnym a decyzyjnym bywa nieostra. Chatbot podpowiadający kurs walut to przecież inna kategoria niż chatbot wstępnie kwalifikujący wniosek kredytowy.

Ryzyko minimalne czyli systemy AI bez wymogów regulacyjnych

W tej kategorii nie istnieją żadne wymogi prawne. Firmy mogą stosować własne standardy postępowania lub wewnętrzne zasady etyki, jak wyjaśnia PwC. W efekcie instytucje samodzielnie decydują o ewentualnym przyjęciu dodatkowych reguł operacyjnych.

Harmonogram wdrożenia EU AI Act i kluczowe daty dla banków na lata 2024–2027

• 1.08.2024: AI Act wchodzi w życie
• 2.02.2025: Zakazane praktyki egzekwowalne + wymóg AI literacy (Art. 4)
• 2.08.2025: Obowiązki dot. modeli GPAI; wyznaczenie organów nadzoru
• 2.08.2026: Pełna egzekwowalność dla systemów wysokiego ryzyka (scoring)
• 2.08.2027: Pełne stosowanie wszystkich przepisów

Zastrzeżenie: jak ostrzega PwC, propozycja Digital Omnibus Komisji Europejskiej z 2025 r. sygnalizuje możliwe przesunięcie terminów, choć jednocześnie podkreśla, że dokument „oferuje ulgę regulacyjną przy otwartych pytaniach”. Banki nie powinny jednak traktować tego jako gwarancji odroczenia.

Ekosystem regulacyjny AI Act w powiązaniu z DORA, PSD3 i innymi przepisami

AI Act funkcjonuje w otoczeniu powiązanych regulacji. Raport Accenture Banking Top Trends 2026 wskazuje trójkąt zależności obejmujący AI Act, DORA i PSD3/PSR. Eksperci Deloitte wskazują na konkretną korzyść biznesową płynącą z tych regulacji.

Bank może zbudować jeden wspólny system zgodności zamiast utrzymywać trzy odrębne procesy compliance. Taka konsolidacja pozwala na znaczną optymalizację kosztów oraz uproszczenie struktur kontrolnych wewnątrz organizacji.

Banki po wdrożeniu DORA mają solidny punkt wyjścia. Oba akty wymagają bowiem zarządzania ryzykiem i dokumentowania relacji z dostawcami zewnętrznymi, jak szczegółowo opisują Deloitte oraz Accenture. Organizacja z gotową infrastrukturą DORA, rejestrami dostawców, metodykami oceny ryzyka i ścieżkami audytu, musi więc tę bazę rozszerzyć, a nie budować od zera.

Osobny wpływ ma PSD3/PSR (porozumienie z listopada 2025): klient musi mieć dostęp do żywego konsultanta, nawet jeśli bank oferuje najlepszego chatbota. PSD3 wyklucza tym samym model pełnej automatyzacji obsługi bankowej.

Scoring kredytowy AI jako największe wyzwanie prawne dla aplikacji bankowych

Automatyczna ocena zdolności kredytowej, zarówno przy pożyczkach, jak i w modelu BNPL (Buy Now Pay Later, czyli płatności odroczone), staje się największym wyzwaniem prawnym dla aplikacji bankowych. W związku z tym, od sierpnia 2026 r. każde użycie AI w tym procesie wymaga pełnej certyfikacji.

Dlaczego scoring kredytowy AI jest automatycznie klasyfikowany jako wysokie ryzyko

Eksperci Deloitte, EY i Accenture są jednomyślni: scoring kredytowy profilujący osoby fizyczne to automatycznie system wysokiego ryzyka, bez wyjątków. Definicja profilowania zawarta w RODO precyzyjnie odpowiada tym wymogom.

Obejmuje ona zautomatyzowane przetwarzanie danych służące do oceny sytuacji ekonomicznej, wiarygodności lub zachowania klienta, jak wyjaśniają Deloitte oraz PwC. Takie ujęcie przepisów pozwala na spójną interpretację obowiązków w obu aktach prawnych. W rezultacie algorytm analizujący historię transakcji i przyznający lub odmawiający limitu kredytowego podlega najsurowszym wymogom prawnym. Taka automatyzacja procesów decyzyjnych wymusza na banku pełne dostosowanie do restrykcyjnych standardów bezpieczeństwa i kontroli.

Mimo to potencjał biznesowy pozostaje duży. Dane McKinsey pokazują, że złożone systemy AI w analizach kredytowych przynoszą 20–60% wzrost produktywności i przyspieszają decyzje o ok. 30%. Tyle że korzyści te trzeba realizować w nowych ramach prawnych, z udokumentowanym nadzorem ludzkim, pełnymi ścieżkami audytu i certyfikowaną wyjaśnialnością.

Bank, który dotychczas uruchamiał model scoringowy w kilka tygodni, teraz staje zatem przed wielomiesięczną certyfikacją.

Wymogi regulacyjne EU AI Act wobec systemów scoringu kredytowego w praktyce

Analiza opublikowana przez Deloitte opisuje pełny zestaw obowiązków wobec systemów scoringu. System zarządzania ryzykiem musi obejmować cały cykl życia modelu, od projektowania po wycofanie (Art. 9). Ponadto zarządzanie danymi (Art. 10) wymaga udokumentowania zbiorów treningowych pod kątem kompletności, reprezentatywności i braku stronniczości.

Bank musi wykazać, na czym model się uczył i dlaczego te dane są miarodajne. Przykładowo, jeśli organ nadzoru zapyta, czy w zbiorze treningowym uwzględniono osoby o nieregularnych dochodach, freelancerów czy imigrantów, bank musi przedstawić twarde dowody. Brak możliwości wykazania takiego zróżnicowania danych spowoduje, że model nie przejdzie certyfikacji.

Operatorzy muszą też przeprowadzić ocenę wpływu na prawa podstawowe (Art. 27).

Eksperci Accenture zwracają uwagę na istotną pułapkę. Otóż banki, które budują system scoringowy we własnym zakresie, stają się jednocześnie dostawcą i operatorem systemu w rozumieniu AI Act. W takiej sytuacji instytucje te muszą spełnić podwójny zestaw obowiązków. Konieczne jest jednoczesne realizowanie wymogów przewidzianych dla twórcy oraz dla wdrażającego, co w praktyce podwaja zakres dokumentacji i procesów oceny zgodności.

Art. 14 wymaga, by nadzór ludzki był rzeczywisty, a nie pozorny, jak podkreśla PwC. Pracownik mechanicznie zatwierdzający decyzje algorytmu, których nie rozumie, nie spełnia tych wymogów. Analiza PwC wskazuje, że organ regulacyjny sprawdzi, czy kontrola faktycznie działa, a nie czy tylko figuruje w dokumentacji. Regulator zapyta więc osobę pełniącą formalny nadzór o działanie modelu i historię interwencji.

Odpowiedzią na te wymagania jest rosnący rynek narzędzi wyjaśnialności (XAI). Prognozy Forrester wskazują, że inwestycje w obszary AI governance oraz XAI będą rosły w tempie 30% rocznie (CAGR) do 2030 r. Bez narzędzi wyjaśnialności (XAI) spełnienie wymogów przejrzystości z Artykułu 13 jest praktycznie niemożliwe. Bank musi bowiem potrafić zrozumiale uzasadnić powody odmowy przyznania kredytu zamiast jedynie informować o decyzji podjętej przez algorytm.

Wykrywanie oszustw i AML w EU AI Act ze zwolnieniem z rygorów wysokiego ryzyka i jego granicami

Ustawodawca wprost wyłączył systemy antyfraudowe i AML z rygorów wysokiego ryzyka. To istotne ułatwienie dla działów compliance, biorąc pod uwagę, że wydatki IT na zarządzanie ryzykiem w bankowości osiągnęły 60 mld USD w 2024 r., według danych Celent.

Jakie obowiązki obejmują systemy antyfraudowe mimo zwolnienia z kategorii wysokiego ryzyka

Zwolnienie nie oznacza jednak braku obowiązków. Jak zauważają eksperci EY i Deloitte, systemy antyfraudowe muszą spełniać ogólne wytyczne AI Act. Oznacza to konieczność przestrzegania zakazu stosowania niedozwolonych praktyk (Art. 5) oraz zapewnienia pracownikom kompetencji w zakresie obsługi sztucznej inteligencji (Art. 4).

Kluczowym elementem jest tutaj obowiązek zachowania przejrzystości podczas bezpośredniej interakcji z użytkownikiem (Art. 50). W praktyce, gdy system blokuje przelew i generuje komunikat w aplikacji, klient ma prawo otrzymać jasne wyjaśnienie przyczyn podjętego działania. Wyświetlenie jedynie lakonicznej informacji o odrzuceniu transakcji jest niewystarczające w świetle nowych przepisów.

Analiza PwC zwraca uwagę na istotny wyjątek. W sytuacji, gdy ocena ryzyka oszustwa bezpośrednio wpływa na wysokość oprocentowania lub składki ubezpieczeniowej, system może zostać uznany za rozwiązanie wysokiego ryzyka.

Dzieje się tak dlatego, że narzędzie funkcjonuje wtedy jako system scoringu kredytowego. Taka zmiana kwalifikacji nakłada na bank znacznie surowsze obowiązki regulacyjne. O klasyfikacji nie decyduje więc technologia, lecz kontekst zastosowania, jak podkreślają zarówno Deloitte, jak i PwC. Ten sam algorytm uruchomiony w innym procesie biznesowym może zatem zmienić kategorię z minimalnego ryzyka na praktykę zakazaną.

Eksperci Accenture ostrzegają z kolei, że systemy AML oparte wyłącznie na profilowaniu klientów, bez powiązania z konkretnymi transakcjami, mogą naruszać zakazy zawarte w Artykule 5.

Obowiązki przejrzystości chatbotów bankowych i granica między informowaniem a decydowaniem

Wydatki na systemy sztucznej inteligencji służące do komunikacji z klientem rosną w tempie dwucyfrowym według danych IDC. Jednocześnie raport Capgemini wskazuje, że 60% użytkowników bankowości uważa takie narzędzia za frustrujące. Choć banki masowo inwestują w rozwiązania budzące opór, AI Act oraz PSD3 wymuszają zmianę tego podejścia.

Nowe przepisy obligują bowiem instytucje do zapewnienia wyższej jakości i jasności komunikacji. W praktyce oznacza to konieczność oferowania narzędzi, które są po prostu lepsze i łatwiejsze do zrozumienia dla zwykłego człowieka.

Obowiązki wynikające z Art. 50 EU AI Act wobec chatbotów w aplikacjach bankowych

Bank musi poinformować użytkownika o tym, że rozmawia on ze sztuczną inteligencją, o ile fakt ten nie jest oczywisty z samego kontekstu, jak wskazują Deloitte oraz PwC. W aplikacji mobilnej oznacza to konieczność wyraźnego oznaczenia interfejsu czatu za pomocą etykiety, baneru lub odpowiedniej ikony.

Prawdziwym wyzwaniem jest sytuacja, w której chatbot zostaje zintegrowany z procesami decyzyjnymi. Jeśli narzędzie to służy do wstępnej kwalifikacji wniosków kredytowych, blokowania transakcji lub zmiany limitów, eksperci EY wskazują na możliwość uznania go za system wysokiego ryzyka.

W takim przypadku chatbot przestaje być jedynie kanałem informacyjnym, a staje się integralną częścią systemu oceny. Dlatego kluczowe jest precyzyjne zdefiniowanie granic między funkcją konwersacyjną a decyzyjną już na etapie projektowania architektury produktu. To właśnie ta granica decyduje o tym, czy bank musi przejść przez pełną, rygorystyczną procedurę certyfikacji całego rozwiązania, jak podkreślają Deloitte oraz EY.

Personalizacja ofert bankowych i rekomendacje AI na granicy scoringu wysokiego ryzyka

Systemy rekomendacji produktów finansowych nie figurują w Załączniku III i mieszczą się w kategorii minimalnego lub ograniczonego ryzyka, jak potwierdzają Deloitte oraz Accenture.

Wyjątek stanowi sytuacja, w której system profiluje osoby fizyczne w celu oceny ich sytuacji ekonomicznej, a proces ten dotyczy dostępu do usług podstawowych. W takim przypadku rozwiązanie jest kwalifikowane jako wysokie ryzyko, jak wyjaśniają Deloitte oraz PwC.

Mechanizm reklasyfikacji jest tu analogiczny do opisanego przy systemach antyfraudowych — o kategorii ryzyka decyduje nie technologia, lecz jej zastosowanie. Jeśli system tylko poleca produkt na podstawie gustu klienta, wymogi są minimalne. Jeśli jednak na podstawie profilu ryzyka odmawia dostępu do usługi, bank musi przejść pełną i rygorystyczną certyfikację.

Takie podejście przynosi jednak wymierne korzyści. Dane przytoczone przez Accenture pokazują, że instytucje stosujące personalizację opartą na AI notują o 30–40% wyższe utrzymanie klientów. Według 77% liderów bankowych to właśnie personalizacja jest kluczowym czynnikiem budującym lojalność. AI Act nie przekreśla tych zysków. Przepisy wymuszają jedynie pełną przejrzystość procesu i jasne informowanie klientów o tym, jaką rolę w obsłudze pełnią algorytmy.

Klasyfikacja biometrii w bankowości mobilnej od weryfikacji 1:1 po identyfikację 1:wiele

Błędna klasyfikacja biometrii generuje dwa skrajne zagrożenia. Z jednej strony bank może narazić się na wielomilionowe, zbędne wydatki, a z drugiej na dotkliwe kary za brak zgodności z przepisami, jak ostrzegają Deloitte oraz Accenture. Wybór między przejściem wielomiesięcznej certyfikacji a spełnieniem jedynie podstawowych obowiązków informacyjnych zależy wyłącznie od tego, czy system zostanie poprawnie przypisany do konkretnej kategorii ryzyka w AI Act.

Weryfikacja biometryczna w modelu 1 do 1 nie jest zaliczana do kategorii wysokiego ryzyka, jak potwierdzają Deloitte oraz EY. Rozwiązanie to służy jedynie do potwierdzenia, że dana osoba jest tym, za kogo się podaje. W praktyce dotyczy to popularnych funkcji takich jak logowanie przez Face ID, autoryzacja przelewu odciskiem palca czy weryfikacja tożsamości poprzez porównanie selfie ze zdjęciem w dowodzie. We wszystkich tych przypadkach system ogranicza się do zestawienia jednego, bieżącego obrazu z jednym, zapisanym wcześniej wzorcem.

Zupełnie inaczej wygląda sytuacja w przypadku zdalnej identyfikacji biometrycznej, gdzie jedna twarz jest porównywana z całą bazą wielu osób. Takie systemy są klasyfikowane jako rozwiązania wysokiego ryzyka, jak wyjaśniają Deloitte, Accenture oraz PwC.

Jeszcze ostrzejsze restrykcje dotyczą kategoryzacji biometrycznej opartej na cechach chronionych, takich jak rasa, religia czy orientacja seksualna. Praktyki te są bezwarunkowo zakazane od 2 lutego 2025 r., jak potwierdzają Deloitte oraz PwC. Złamanie tego zakazu wiąże się z najsurowszymi karami przewidzianymi w AI Act.

Dlaczego automatyczne profilowanie behawioralne klientów banku zawsze oznacza wysokie ryzyko

Systemy analizujące wzorce transakcji, aktywność w aplikacji oraz profile wydatków w celu oceny wiarygodności finansowej to obszar najbardziej narażony na ryzyko niezgodności. Wynika to z faktu, że Artykuł 6 ustęp 3 wprost wskazuje na brak możliwości zmiany kwalifikacji w takich przypadkach. Jeśli systemy wymienione w Załączniku III dokonują profilowania osób fizycznych, są one zawsze uznawane za rozwiązania wysokiego ryzyka, jak potwierdzają Accenture oraz EY.

Definicja profilowania z RODO idealnie pasuje do tej sytuacji. Chodzi w niej po prostu o ocenę sytuacji finansowej i zachowania konkretnego człowieka, jak wyjaśnia Deloitte.

Wymóg realnego nadzoru ludzkiego, szczegółowo opisany w sekcji o scoringu kredytowym, ma tu szczególne znaczenie — systemy behawioralne działają w tle i operują na danych zbieranych pasywnie, co dodatkowo utrudnia faktyczną kontrolę nad ich decyzjami, jak podkreśla PwC.

Ile kosztuje zgodność z EU AI Act w bankowości

Rynek platform AI governance jako narzędzie obniżające koszt regulacji

Prognozy Forrester wskazują na wzrost rynku oprogramowania AI governance z CAGR 30% do 2030 r., do wartości 15,8 mld USD. Raport Gartner dodaje, że do 2028 r. te technologie obniżą koszty compliance o 20%. Organizacje korzystające z zaawansowanych platform AI governance mają z kolei 3,4 razy większą szansę na efektywne zarządzanie AI, według tego samego badania Gartner. Regulacja tworzy zatem popyt na narzędzia, które same obniżają koszt jej spełnienia.

Wydatki banków na compliance i technologię w kontekście AI Act

Instytucje finansowe już teraz wydają na compliance od 6% do 10% swoich przychodów, jak wynika z danych Deloitte, a globalne wydatki IT na samo zarządzanie ryzykiem dobiły w 2024 roku do 60 mld USD, według Celent. Prognozy Celent wskazują, że budżety technologiczne w bankowości detalicznej będą rosły o 5,8% w 2025 roku i o 6,4% w 2026 roku.

W tym kontekście AI Act nie jest dla banków nagłym szokiem, a raczej kolejnym, zaplanowanym etapem rozbudowy systemów. Co więcej, te inwestycje po prostu się opłacają. Dane Deloitte pokazują, że automatyzacja procesów regulacyjnych przyspiesza pracę o 30–60% i obniża koszty obsługi o 40%. Nowe przepisy wymuszające lepsze zarządzanie danymi przynoszą więc korzyści wykraczające daleko poza samo spełnienie wymogów AI Act.

Kary finansowe za naruszenie EU AI Act sięgające 35 mln EUR lub 7% globalnego obrotu

Dla przykładowego banku z obrotem 50 miliardów euro, kara w wysokości 7 procent wynosi aż 3,5 miliarda euro. Taka suma jest porównywalna z najwyższymi karami nakładanymi za złamanie przepisów RODO, jak zauważa PwC. Ostateczna wysokość kary zależy od tego, jak duże było przewinienie oraz ile osób na nim ucierpiało.

Ważna jest też historia dotychczasowych kontroli w firmie oraz to, ile firma potencjalnie zarobiła pieniędzy w wyniku obejścia przepisów, jak dodaje PwC. Jeśli bank świadomie zarabiał na systemie, który nie spełniał norm, zapłaci po prostu znacznie więcej.

Ryzyko operacyjne i nakaz natychmiastowego wycofania systemu AI z użytku

Organ nadzoru ma prawo nakazać, aby bank natychmiast przestał używać danego systemu AI, jak szczegółowo opisuje Deloitte. Jeśli taka blokada dotknie aplikacji do oceny zdolności kredytowej, cały proces przyznawania pieniędzy po prostu staje w miejscu. W takiej sytuacji klient nie dostanie nowej pożyczki, nie zwiększy limitu na karcie ani nie skorzysta z płatności odroczonych.

Bank, który dzięki takim automatom zarabia co miesiąc dziesiątki milionów, zaczyna tracić te pieniądze każdego dnia. Straty wynikające z samego zatrzymania pracy mogą być wtedy znacznie wyższe niż oficjalna kara finansowa od urzędu.

Ryzyko reputacyjne wynikające z braku zgodności z AI Act

Badanie Accenture Banking Consumer Study 2025 pokazuje trudną sytuację sektora finansowego. Z grupy około 50 tysięcy ankietowanych osób z 39 krajów tylko 26 procent dobrze ocenia swoje relacje z bankami. Problem braku zaufania widać jeszcze wyraźniej w przypadku sztucznej inteligencji.

Aż 85 procent klientów chce dostawać jasne informacje o tym, jak działają algorytmy. Tymczasem tylko 28 procent badanych faktycznie otrzymuje takie wyjaśnienia. Każdy kolejny problem z przepisami tylko pogorszy tę sytuację. Utrata zaufania oznacza bowiem wprost, że klienci będą wycofywać swoje oszczędności i przestaną zakładać nowe konta.

Compliance z AI Act jako czynnik wzrostu i przewagi konkurencyjnej banku

Zaufanie do AI napędza wyniki finansowe banków

Banki, które potrafią przekonać klientów, że ich dane są bezpieczne, a algorytmy działają uczciwie, rozwijają się znacznie szybciej. Dane McKinsey pokazują, że takie instytucje notowały średni roczny wzrost wyższy aż o 7,8 raza w ciągu siedmiu lat. W latach 2021–2024 banki zaczęły o 150 procent częściej pokazywać konkretne wyniki swoich technologii.

To, czy firma jasno tłumaczy swoje działania, stało się kluczowym elementem dla inwestorów. Badanie PwC Responsible AI Survey 2025 pokazuje ciekawe podejście szefów dużych organizacji. Aż 58 procent liderów uważa, że uczciwe używanie sztucznej inteligencji to głównie sposób na większy zysk. Same przepisy są dla nich mniej ważne niż realne korzyści finansowe.

Korzyści wczesnego wdrożenia odpowiedzialnej AI w bankowości

Firmy, które szybko wprowadziły zasady uczciwego korzystania ze sztucznej inteligencji, notują o 18 procent wyższe przychody. Dodatkowo ich klienci są o 25 procent bardziej lojalni niż w innych bankach, jak wynika z badania Accenture i Stanford. Takie podejście pomaga też w szukaniu pracowników. Skuteczność rekrutacji wzrosła o 21 procent, co rozwiązuje duży problem, bo według danych BCG aż dwie trzecie instytucji ma braki kadrowe.

Te same badania pokazują, że wyspecjalizowane zespoły zajmujące się algorytmami pracują o 60 procent efektywniej. Pozwala to obniżyć koszty bieżącej działalności o 40 procent, jak podkreśla BCG. Eksperci Accenture dodają do tego jeszcze jeden ważny fakt. Jeśli bank jest dobrze przygotowany pod względem technicznym i organizacyjnym, ma ponad trzy razy większą szansę na skuteczne rozszerzenie skali działania swojej sztucznej inteligencji.

Dlaczego AI Act poprawia jakość wdrożeń sztucznej inteligencji w bankach

Według danych EY Parthenon zaledwie 16 procent projektów związanych ze sztuczną inteligencją w bankowości zostaje ostatecznie wdrożonych. Co więcej, aż 40 procent z nich nie realizuje założonych celów. Główne powody to brak jasnych zasad zarządzania oraz nieprecyzyjne określenie tego, co właściwie uznamy za sukces.

Przepisy AI Act wymuszają teraz konkretne standardy monitorowania i testowania systemów. Wprowadza to niezbędny porządek, którego brakowało w 84 procentach projektów kończących się porażką przed etapem wdrożenia.

Plan wdrożenia EU AI Act w banku w pięciu fazach przed sierpniem 2026

Wnioski płynące z analiz firm McKinsey, Deloitte, EY, Accenture oraz BCG są jednoznaczne. Budowanie zasad bezpiecznego i uczciwego korzystania ze sztucznej inteligencji to proces, który zajmuje całe lata. Dla instytucji, które do tej pory zwlekały z rozpoczęciem prac, termin wyznaczony na sierpień 2026 roku oznacza bardzo dużą presję czasu.

Faza 1: Inwentaryzacja i klasyfikacja systemów AI w banku (natychmiast)

Jak wskazano wcześniej, większość instytucji wciąż nie ma uporządkowanego governance AI, co potwierdza raport Capgemini. Wiele banków nie wie nawet dokładnie, ile takich systemów działa w ich infrastrukturze. Dlatego eksperci McKinsey radzą, aby stworzyć jeden centralny spis wszystkich używanych modeli.

Faza 2: Budowa ram governance AI zgodnych z EU AI Act (Q1–Q2 2026)

Eksperci McKinsey wskazują na cztery główne filary działania. Proponują, aby dopisać do obecnych zasad zarządzania ryzykiem nowe zagrożenia typowe dla sztucznej inteligencji, takie jak halucynacje, uprzedzenia algorytmów czy spadek ich skuteczności z czasem. Ważne jest też pilnowanie systemów, używanie kart oceny ryzyka oraz powołanie jednego głównego zespołu do spraw nadzoru.

Z kolei firma EY proponuje plan oparty na pięciu krokach obejmujący stworzenie bazy wiedzy o projektach, zespołu nadzorującego bieżące operacje oraz przygotowanie dokładnej mapy drogowej wdrożeń. Plan ten zakłada również wprowadzenie reguł uczciwego używania technologii oraz przeprowadzenie ośmiu kluczowych zadań, które mają naprawić błędy w systemach.

Raport Accenture radzi natomiast, aby stworzyć jedne wspólne zasady, które połączą wymogi AI Act, DORA oraz NIS2 z procedurami wewnętrznymi banku. Dzięki temu, że jeden system nadzoru obsłuży wiele różnych przepisów, unikniemy powtarzania tej samej pracy kilka razy.

Faza 3: Wdrożenie techniczne narzędzi MLOps i XAI w banku (Q2–Q3 2026)

Do sprawnego działania banki potrzebują odpowiednich narzędzi, takich jak platformy MLOps oraz systemy do nadzorowania sztucznej inteligencji, jak podkreśla Forrester. Niezbędne są także rozwiązania, które pozwalają monitorować systemy i wyjaśniać ich decyzje za pomocą metod takich jak LIME czy SHAP. Dodatkowo potrzebna jest infrastruktura do automatycznego zapisywania historii działań algorytmów.

Dane Celent pokazują, że 47 procent banków korporacyjnych uznaje sztuczną inteligencję za swój najważniejszy cel technologiczny. Co więcej, aż 65 procent z nich zamierza już w 2025 roku udostępnić klientom usługi oparte na AI, jak wskazuje osobny raport Celent. Właśnie dlatego programiści oraz osoby pilnujące przepisów muszą ze sobą współpracować od samego początku prac, zamiast spotykać się dopiero przy końcowym sprawdzaniu gotowego produktu.

Faza 4: Certyfikacja systemów AI i dokumentacja zgodności z EU AI Act (Q3–Q4 2026)

Systemy zaliczane do kategorii wysokiego ryzyka wymagają oficjalnego potwierdzenia zgodności z przepisami oraz wpisania do unijnej bazy danych jeszcze przed ich uruchomieniem. Przeprowadzenie oceny wpływu na prawa podstawowe wymaga udziału specjalistów z różnych dziedzin, jak podkreśla Deloitte. W takim zespole muszą znaleźć się prawnicy, eksperci od danych, etycy oraz osoby odpowiedzialne za dany biznes. Żadna z tych grup nie jest bowiem w stanie rzetelnie przygotować takiej analizy samodzielnie.

Eksperci Accenture podkreślają, że każda większa zmiana w modelu AI wymusza ponowne sprawdzenie jego zgodności z prawem. Dotyczy to sytuacji, w których bank doucza algorytm, zmienia jego strukturę lub modyfikuje progi, na podstawie których zapadają decyzje. W ten sposób uzyskanie odpowiednich certyfikatów staje się stałym elementem pracy nad technologią, a nie tylko jednorazowym zadaniem do odhaczenia.

Faza 5: Ciągły monitoring zgodności systemów AI po wdrożeniu (od Q4 2026)

Zapewnienie zgodności z AI Act to proces ciągły, który nie kończy się po wdrożeniu, jak podkreślają Deloitte oraz EY. Przepisy wymagają, aby bank stale pilnował systemów, które już pracują na rynku. W razie każdej poważnej wpadki trzeba natychmiast raportować sytuację do nadzoru.

Prognozy Celent przewidują, że wydatki na technologię w bankowości wzrosną o 5,8 procent w 2025 roku oraz o 6,4 procent w 2026 roku. Budowa zaplecza, które ma zagwarantować tę zgodność, to inwestycja rozliczana w skali wielu lat.

Jak EU AI Act zmieni UX i interfejs aplikacji bankowej na ekranie telefonu

Wymogi AI Act będą widoczne na ekranie telefonu. Raport Accenture wymienia cztery nowe elementy interfejsu: powiadomienie o interakcji z AI, wyjaśnienie decyzji kredytowej ze wskazaniem ważnych czynników, ścieżka do ludzkiego doradcy, oraz możliwość zakwestionowania decyzji algorytmu. Każdy z nich wymaga przemyślanego projektowania UX.

Przejrzystość AI jako czynnik przyspieszający adopcję technologii w bankowości

Badanie Accenture Banking Consumer Study 2025 pokazuje, że 65% respondentów jest otwartych na asystenta AI w aplikacji bankowej, ale 82% chce zatwierdzać każdą czynność, a 79% oczekuje kontroli nad zachowaniem systemu. Klienci nie odrzucają AI, lecz odrzucają AI bez kontroli. Wymogi przejrzystości z AI Act odpowiadają zatem tym oczekiwaniom: regulacja wymusza to, czego klienci od lat się domagali.

Obecnie 26% klientów pozytywnie ocenia personalizację bankową, jak wskazuje raport Capgemini. AI Act, przy dobrze zaprojektowanej przejrzystości, może zmniejszyć ten dystans. Pod warunkiem jednak, że wymogi regulacyjne zostaną potraktowane jako zaproszenie do lepszego projektowania usług.

Efekt brukselski i wpływ EU AI Act na globalną strategię compliance banków

Trzy strategie globalnych banków wobec regulacji AI

Analiza Deloitte opisuje trzy podejścia: przyjęcie wymogów UE jako globalnego standardu wewnętrznego, odrębna ścieżka compliance wyłącznie dla rynku europejskiego, lub ograniczenie wdrożeń AI w Europie. Wiele globalnych instytucji wybrało wariant pierwszy, gdyż utrzymanie jednego standardu jest tańsze niż prowadzenie równoległych ścieżek. Jak wynika z badania EY, ponad 70% firm bankowych deklaruje wykorzystanie autonomicznego AI.

Na świecie istnieje już ponad 300 różnych ustaw i przepisów dotyczących sztucznej inteligencji, jak podaje Deloitte. Unia Europejska stawia na zasady ogólne, które dotyczą wszystkich branż jednocześnie. Z kolei USA wybiera podejście sektorowe, czyli osobne reguły dla różnych dziedzin gospodarki, a Chiny skupiają się na kontrolowaniu algorytmów pod kątem spokoju społecznego. Eksperci EY przewidują, że te różnice w przepisach będą się tylko pogłębiać.

Firmy Deloitte oraz Accenture zgodnie radzą, aby oprzeć zasady nadzoru nad technologią właśnie na unijnym AI Act, traktując go jako standard. Strategia polegająca na tym, by od razu zbudować system według najsurowszych zasad, pozwala na spokojne korzystanie z niego w dowolnym miejscu. Dzięki temu bank jest gotowy na moment, w którym inne kraje zaczną zaostrzać swoje przepisy, a to, że tak się stanie, jest praktycznie pewne.

Podsumowanie i rekomendacje dla banków wdrażających EU AI Act

EU AI Act zmieni sposób działania każdej funkcji AI w bankowej aplikacji mobilnej. Scoring kredytowy i analityka behawioralna oparta na profilowaniu podlegają najsurowszym wymogom jako systemy wysokiego ryzyka bez możliwości reklasyfikacji, jak potwierdzają Deloitte oraz EY. Systemy wykrywania oszustw korzystają natomiast z wyraźnego zwolnienia.

Chatboty wymagają przejrzystości i rozgraniczenia między informowaniem a decydowaniem, jak wskazują Deloitte oraz Accenture. Z kolei weryfikacja biometryczna 1:1 nie podlega wymogom wysokiego ryzyka, potwierdzają eksperci Accenture oraz EY.

Warto więc rozpocząć inwentaryzację systemów AI już teraz, zwłaszcza że według ekspertów z BCG budowa pełnej gotowości zajmuje od 2 do 3 lat. Przy terminie ustawionym na sierpień 2026 roku czasu jest zbyt mało, by traktować to jako zwykły projekt informatyczny.

Właśnie dlatego zapewnienie zgodności musi stać się priorytetem dla całego banku, a nie tylko zadaniem zrzuconym na dział IT. Co więcej, takie szerokie podejście po prostu się opłaca – dane Accenture pokazują, że organizacje łączące siły wielu działów są 3,3 razy skuteczniejsze w rozwijaniu technologii niż te, które zamknęły ten proces wewnątrz jednej komórki.

AI Act nie powstaje w próżni, lecz uzupełnia znane już bankom przepisy, takie jak DORA, CRD/CRR czy PSD2, jak wyjaśnia Deloitte. Dzięki temu instytucje, które mają już solidne procesy zarządzania ryzykiem modeli, posiadają gotowe fundamenty i nie muszą budować wszystkiego od zera.

Warto przy tym spojrzeć na nowe wymogi jak na okazję biznesową, a nie tylko uciążliwy obowiązek. Skoro aż 82% klientów chce mieć realną kontrolę nad tym, jak traktuje ich sztuczna inteligencja, jak pokazuje Accenture Banking Consumer Study 2025, to bank stawiający na pełną przejrzystość zyska przewagę rynkową i lojalność klientów.

Co więcej, zasady AI Act warto przyjąć jako wewnętrzny standard dla całego banku, niezależnie od lokalnych rynków, jak radzą Deloitte oraz EY. Taka strategia zabezpiecza organizację przed nieuchronnym zaostrzaniem przepisów w innych częściach świata.

Dane McKinsey potwierdzają biznesowy sens tego kierunku: banki, które uwiarygodniły się w oczach klientów jako bezpieczne instytucje online, osiągają niemal 8-krotnie wyższy wzrost. W takim ujęciu AI Act staje się fundamentem strategii wzrostu i źródłem zysku, a nie tylko kosztem operacyjnym.

Najczęściej zadawane pytania (FAQ)

Jak AI Act w bankowości mobilnej zmienia zasady działania systemów AI sektora finansowego?

Rozporządzenie AI Act wymusza na instytucjach finansowych audyt algorytmów decyzyjnych w czterech obszarach: ocenie ryzyka kredytowego, wykrywaniu podejrzanych transakcji, personalizacji ofert oraz obsłudze klienta.

Systemy AI muszą spełniać wymogi przejrzystości, automatyzacji nadzoru ludzkiego i certyfikacji. Pełna egzekwowalność regulacji wobec systemów AI wysokiego ryzyka nastąpi 2 sierpnia 2026 roku. Znaczenie AI w procesie podejmowania decyzji rośnie, dlatego wyzwania regulacyjne dotyczą każdej funkcji AI działającej w aplikacji mobilnej – od analiza danych po bezpieczeństwo płatności.

Które systemy AI należą do kategorii wysokiego ryzyka i jakie obowiązki nakładają na instytucje finansowe?

Zgodnie z Załącznikiem III rozporządzenia AI Act systemy AI służące do oceny zdolności kredytowej osób fizycznych należą automatycznie do kategorii systemów AI wysokiego ryzyka – bez wyjątków. Dotyczy to również automatycznego profilowania behawioralnego, gdzie analiza wzorców transakcji i profili wydatków na podstawie danych wejściowych służy ocenie ryzyka.

Instytucje finansowe sektora finansowego stosujące takie zastosowania AI muszą przejść certyfikację, prowadzić dokumentację techniczną dokumentów i zapewnić realny nadzór nad decyzjami algorytmów. Technologia AI oparta na danych historycznych wymaga udowodnienia jakości danych treningowych pod kątem reprezentatywności.

Czy fraud detection i systemy AI wykrywania oszustw podlegają rygorom AI wysokiego ryzyka?

Systemy AI odpowiedzialne za fraud detection i wykrywanie podejrzanych transakcji są wyłączone z kategorii wysokiego ryzyka – to ułatwienie dla sektora finansowego i sektora bankowego. Mimo to instytucje finansowe muszą przestrzegać ogólnych zasad rozporządzenia AI, w tym zakazu praktyk niedozwolonych oraz obowiązku przejrzystości wobec klienta.

AI wspiera wykrywanie potencjalnych działań przestępczych w czasie rzeczywistym, lecz gdy ocena ryzyka oszustwa wpływa na oprocentowanie, system może zostać reklasyfikowany jako AI wysokiego ryzyka. O klasyfikacji nie decyduje technologia AI, lecz kontekst zastosowania.

Jakie kary grożą bankom za naruszenia dotyczące systemów AI wysokiego ryzyka, gdy systemy AI nie przejdą certyfikacji?

Za stosowanie zakazanych praktyk kary sięgają 35 mln EUR lub 7% globalnego obrotu. Niezgodność systemów AI wysokiego ryzyka z regulacjami to grzywna do 15 mln EUR lub 3% obrotu. Organ nadzoru może nakazać natychmiastowe wycofanie systemu AI z użytku, co w praktyce oznacza zatrzymanie procesów decyzyjnych i utratę przychodów.

Instytucje finansowe ponoszą pełną odpowiedzialność za bezpieczeństwo i ochronę danych w każdym zastosowaniu AI. Odpowiedzialności nie można przenieść na dostawcę technologii.

Jak instytucje finansowe sektora bankowego powinny przygotować systemy AI do wejścia w życie AI Act?

Rekomendacje ekspertów obejmują pięć faz wdrożenia. Najpierw inwentaryzację i klasyfikację zastosowań AI w banku – wiele instytucji finansowych nie wie, ile systemów AI działa w ich infrastrukturze. Kolejne rekomendacje to budowa ram governance łączących wymogi AI Act z regulacjami DORA, automatyzacji procesów monitorowania, wdrożenie narzędzi wyjaśnialności decyzji, certyfikacja systemów AI wysokiego ryzyka i ciągły monitoring.

Zarządzanie tym procesem wymaga zaangażowania pracowników z wielu działów. Budowa gotowości zajmuje 2-3 lata – instytucje finansowe powinny zacząć natychmiast.

Czy systemy AI sztucznej inteligencji w chatbotach bankowych podlegają wymogom dotyczącym obsługi klienta?

Chatboty podlegają obowiązkom przejrzystości – bank musi poinformować użytkownika, że rozmawia z AI. Jeśli chatbot operujący w języku naturalnym zostanie zintegrowany z procesami decyzyjnymi, takimi jak wstępna kwalifikacja wniosków, może zostać uznany za system AI wysokiego ryzyka.

Rozporządzenie Parlamentu Europejskiego wymaga rozgraniczenia funkcji informacyjnej od decyzyjnej. PSD3 gwarantuje klientowi dostęp do konsultanta, a obsługa reklamacji nie może opierać się wyłącznie na automatyzacji. Odpowiedzialności za decyzje AI nie wolno cedować na algorytm.

Czy weryfikacja biometryczna w aplikacji bankowej jest klasyfikowana jako systemy AI wysokiego ryzyka?

Weryfikacja biometryczna 1:1, czyli logowanie przez Face ID czy autoryzacja przelewu odciskiem palca, nie jest systemem wysokiego ryzyka. Systemy AI porównujące jedno zdjęcie z jednym wzorcem podlegają jedynie podstawowym wymogom bezpieczeństwa.

Natomiast zdalna identyfikacja biometryczna – porównanie twarzy z bazą wielu osób – to AI wysokiego ryzyka wymagające certyfikacji i ochrony danych biometrycznych. Cyberbezpieczeństwo tych systemów musi spełniać standardy wynikające zarówno z AI Act, jak i DORA.

Jakie wyzwania regulacyjne wiążą się z zastosowaniami AI w usługach płatniczych i płatnościach?

W sektorze usług płatniczych systemy AI pełnią kluczową rolę – AI wspiera automatyzację wykrywania podejrzanych transakcji i analizę w czasie rzeczywistym. Wyzwania regulacyjne w usługach płatniczych wynikają z zależności między AI Act, DORA i PSD3: te regulacje tworzą trójkąt zależności, który instytucje finansowe muszą spełnić jednocześnie.

W płatnościach systemy oparte na AI analizują dane w czasie rzeczywistym na podstawie danych wejściowych klienta, co wymaga ochrony danych i bezpieczeństwa cyberbezpieczeństwa. AI wspiera procesy automatyzacji w sektorze usług płatniczych, lecz odpowiedzialności za błędy decyzji algorytmów nie da się uniknąć.

Jakie rekomendacje dotyczące bezpieczeństwa, personalizacji i automatyzacji systemów AI dają eksperci instytucjom finansowym?

Rekomendacje dla sektora finansowego obejmują trzy priorytety. Po pierwsze, instytucje finansowe powinny wdrożyć systemy oparte na AI zapewniające personalizacji ofert z zachowaniem pełnej przejrzystości – personalizacji opartej na AI zwiększa utrzymanie klientów o 30-40%.

Po drugie, automatyzacji procesów regulacyjnych przyspiesza pracę o 30-60% i obniża koszty, a pracowników należy przeszkolić w zakresie AI i obsługi dokumentów. Po trzecie, bezpieczeństwo i ochrony systemów AI wymaga ciągłej analizy jakości danych, cyberbezpieczeństwo musi obejmować całe środowisko fizyczne i cyfrowe, a systemy oparte na AI powinny zapewniać odpowiedzialności za każdą decyzję.

W finansach regulacje wymuszają wyższy poziom ochrony – instytucje finansowe traktujące AI Act jako szansę, a nie koszt, osiągają wyższy wzrost.

Artykuły na tym blogu tworzy zespół ekspertów specjalizujących się w AI, rozwoju aplikacji webowych i mobilnych, doradztwie technicznym oraz projektowaniu produktów cyfrowych. Naszym celem nie jest marketing, a dostarczanie wartościowych materiałów edukacyjnych.