Εισαγωγή
Το EU AI Act (κανονισμός ΕΕ 2024/1689) αποτελεί μια ρυθμιστική μεταβολή για τα χρηματοπιστωτικά ιδρύματα που δραστηριοποιούνται στην Ευρώπη. Για τις τράπεζες, ο κανονισμός εισάγει υποχρεώσεις που διέπουν το σχεδιασμό, την ανάπτυξη, την παρακολούθηση, την τεκμηρίωση και την εποπτεία συστημάτων Τεχνητής Νοημοσύνης (ΤΝ) / Artificial Intelligence (AI), κυρίως των συστημάτων που χαρακτηρίζονται ως υψηλού κινδύνου. Σύμφωνα με τον κανονισμό, ένα σύστημα TN χαρακτηρίζεται ως υψηλού κινδύνου, όταν τα παραγόμενα αποτελέσματα παίζουν καθοριστικό ρόλο στη διαμόρφωση αποφάσεων, που επηρεάζουν την πρόσβαση των πελατών σε χρηματοπιστωτικές υπηρεσίες.
Η συμμόρφωση με τις απαιτήσεις του κανονισμού δεν περιορίζεται σε τεχνική επικύρωση. Απαιτεί ένα μετασχηματισμό διακυβέρνησης σε επίπεδο οργανισμού, που να ενσωματώνει αλλαγές σε θέματα στρατηγικής, διαχείρισης κινδύνων, συμμόρφωσης, και διαχειριστικών λειτουργιών.
Μια άλλη θεώρηση, είναι το ερώτημα εάν ένα σύστημα ΤΝ αναπτύσσεται εσωτερικά ή παρέχεται από εξωτερικό προμηθευτή. Στην πρώτη περίπτωση, το ίδρυμα ενεργεί ταυτόχρονα ως προμηθευτής και ως υπεύθυνος ανάπτυξης του συστήματος ΤΝ, αναλαμβάνοντας έτσι το πλήρες φάσμα των σχετικών υποχρεώσεων. Αντίθετα, όταν ένα ίδρυμα απλώς αξιοποιεί ένα σύστημα που έχει αναπτυχθεί από τρίτο μέρος, οι υποχρεώσεις συμμόρφωσης είναι σχετικά περιορισμένες, παραμένει ωστόσο υπόλογο για τη χρήση του συστήματος.
Σύμφωνα με πρόσφατη αξιολόγηση της Ευρωπαϊκής Αρχής Τραπεζών (ΕΒΑ) (21.11.2025), “ο Κανονισμός για την Τεχνητή Νοημοσύνη (AI Act) είναι συμπληρωματικός της νομοθεσίας της ΕΕ για τον τραπεζικό τομέα και τον τομέα πληρωμών, η οποία ήδη παρέχει ένα ολοκληρωμένο πλαίσιο για τη διαχείριση κινδύνων”. Το πλαίσιο του Κανονισμού Ψηφιακής Επιχειρησιακής Ανθεκτικότητας (DORA) για παράδειγμα, καλύπτει εκτενώς τις απαιτήσεις κυβερνοασφάλειας και επιχειρησιακής συνέχειας που ορίζονται στο EU AI Act.
Λαμβάνοντας υπόψη τα παραπάνω, το άρθρο αυτό περιγράφει τις βασικές συνιστώσες προσαρμογής, που πρέπει να εφαρμόσουν οι ευρωπαϊκές τράπεζες, ώστε να επιτύχουν συμμόρφωση με τις απαιτήσεις του κανονισμού.
Σύνοψη
Για τα ανώτερα στελέχη των ευρωπαϊκών τραπεζών που είναι υπεύθυνα για την υλοποίηση των απαιτήσεων του EU AI Act, οι παρακάτω δέκα ενέργειες αποτελούν προτεραιότητες που απαιτούν την υποστήριξη της διοίκησης, διαθεσιμότητα πόρων μεταξύ διαφόρων τμημάτων και διαρκή προσπάθεια:
- Κατανομή ευθυνών σε επίπεδο ανώτατης διοίκησης για κατάλληλη διακυβέρνηση στη χρήση εφαρμογών ΤΝ, με σαφείς κατευθύνσεις και καθορισμό μηχανισμών λήψης αποφάσεων στους CRO, CCO και Chief Data/AI Officer, όπως επίσης και με τη σύσταση ενός AI Governance Committee.
- Δημιουργία ολοκληρωμένου AI systems inventory με πλήρη τεκμηρίωση, όπου θα καταχωρούνται όλα τα μοντέλα machine learning, τα συστήματα TN από εξωτερικούς παρόχους και οι Generative AI εφαρμογές.
- Κατηγοριοποίηση επιπέδων κινδύνου των συστημάτων TN, βάσει επιπέδων κινδύνου που προβλέπονται από το EU AI Act, χρησιμοποιώντας δομημένες μεθοδολογίες, που λαμβάνουν υπόψη λειτουργικές επιπτώσεις και θέματα model risk.
- Εφαρμογή high–risk controls που αφορούν διαχείριση κινδύνων, data governance, τεχνική τεκμηρίωση, περιπτώσεις ανθρώπινης παρέμβασης και απαιτήσεις συνεχούς παρακολούθησης.
- Ενημέρωση πλαισίου διαχείρισης λειτουργικού κινδύνου ώστε αυτό να ενσωματώνει ανάλυση βασικών επιπτώσεων, ενισχυμένη διαφάνεια, σαφή κατανομή ευθυνών και συστηματική παρακολούθηση μετά τη μεταφορά των συστημάτων ΤΝ στην παραγωγή.
- Ενίσχυση εποπτείας προμηθευτών μέσω ενημερωμένου πλαισίου due diligence, συμβατικών ρητρών για θέματα συμμόρφωσης, κατανομής ευθύνης και αξιολόγησης κινδύνου προμηθευτών.
- Ευθυγράμμιση με ISO 42001 και NIST AI Risk Management Framework για αποτελεσματική διακυβέρνηση ΤΝ και υιοθέτηση ώριμων και δοκιμασμένων πρακτικών.
- Προετοιμασία για AI audit και εποπτικό έλεγχο μέσω διενέργειας εσωτερικών ελέγχων συμμόρφωσης, ανάπτυξης προγραμμάτων ελέγχου για συστήματα ΤΝ και προληπτικής επικοινωνίας με τις εποπτικές αρχές.
- Πλαίσιο διακυβέρνησης χρήσης εφαρμογών Generative AI, μέσω συγκεκριμένων περιορισμών ανά use case, οδηγιών χρήσης και τεχνικών ελέγχων, συμπεριλαμβανομένης της καταγραφής και παρακολούθησης των prompts που χρησιμοποιούν οι χρήστες και της εφαρμογής μηχανισμών ελέγχου στα παραγόμενα αποτελέσματα.
- Ενσωμάτωση Διακυβέρνησης ΤΝ στο enterprise risk management framework της κάθε τράπεζας, μέσω ένταξης στις διαδικασίες έγκρισης νέων προϊόντων, διαχείρισης αλλαγών, προμήθειας προϊόντων και υπηρεσιών τεχνολογίας, εξωτερικής ανάθεσης δραστηριοτήτων και θεμάτων στρατηγικού σχεδιασμού.
Αυτές οι ενέργειες αποτελούν τη βάση για συμμόρφωση με το EU AI Act και εφαρμογή αρχών Responsible AI. Οι τράπεζες που εφαρμόζουν με συνέπεια αυτές τις πρακτικές, θα μετατρέψουν τις ρυθμιστικές υποχρεώσεις σε ανταγωνιστικό πλεονέκτημα, διασφαλίζοντας την εμπιστοσύνη των εποπτικών αρχών, των πελατών και των μετόχων τους, ενώ παράλληλα θα έχουν ηγετικό ρόλο στην εποχή του AI–driven banking.
1. Διακυβέρνηση ΤΝ και κατανομή αρμοδιοτήτων
Ένα πρώτο βήμα για τη συμμόρφωση με το νέο πλαίσιο, είναι η ανάθεση της Διακυβέρνησης ΤΝ σε μέλος της ανώτατης διοίκησης. Το EU AI Act καθιστά σαφές ότι η ευθύνη για συστήματα ΤΝ που χαρακτηρίζονται ως υψηλού κινδύνου, δεν μπορεί να περιορίζεται στις τεχνικές ομάδες. Οι τράπεζες πρέπει να δημιουργήσουν μιας δομή Διακυβέρνησης ΤΝ, την ευθύνη της οποίας πρέπει να αναθέσουν σε ένα ανώτερο στέλεχος — ενδεικτικά Chief Risk Officer, Chief Compliance Officer ή Chief Data / AI Officer.
Πρέπει να συσταθεί AI Governance Committee ή να ενσωματωθεί σε υφιστάμενες επιτροπές διαχείρισης κινδύνων, με σαφείς γραμμές αναφοράς στο Διοικητικό Συμβούλιο. Η ανάθεση αυτής της ευθύνης πρέπει να περιλαμβάνει εποπτεία κατηγοριοποίησης των κινδύνων TN, την έγκριση πολιτικών, την ανασκόπηση περιστατικών σημαντικής επίπτωσης στη λειτουργία της τράπεζας και τη συμμετοχή σε διαδικασίες εποπτικής αξιολόγησης.
Μέρος της διακυβέρνησης ΤΝ πρέπει να αποτελεί ένα AI risk appetite statement, που να ορίζει τα αποδεκτά επίπεδα κινδύνων ΤΝ και μεταξύ αυτών του model risk, της έκθεση σε κίνδυνο μεροληψίας (bias), την εξάρτηση σε θέματα λειτουργικής συνέχειας και το επίπεδο εποπτικού κινδύνου. Η διακυβέρνηση ΤΝ πρέπει να ενσωματωθεί στο υφιστάμενο enterprise risk management framework, παρά να αντιμετωπίζεται απομονωμένα.
2. Ανάπτυξη AI System Inventory
Ένα από τα πρώτα βήματα συμμόρφωσης με το EU AI Act είναι η δημιουργία ενός δομημένου enterprise–wide inventory για όλα τα συστήματα ΤΝ που βρίσκονται σε φάση ανάπτυξης, δοκιμής ή παραγωγής.
Το inventory πρέπει να περιλαμβάνει συστήματα εσωτερικής ανάπτυξης, καθώς και εφαρμογές από προμηθευτές. Οι εφαρμογές αυτές μπορεί να αφορούν credit scoring models, εργαλεία fraud detection, συστήματα παρακολούθησης anti-money laundering, chatbots εξυπηρέτησης πελατών ή εφαρμογές Generative AI. Τα συστήματα αυτά μπορεί να χρησιμοποιούνται εσωτερικά στην τράπεζα ή στην επικοινωνία με τους πελάτες.
Για κάθε σύστημα, η τράπεζα πρέπει να τεκμηριώνει τον σκοπό του, τη λειτουργική μονάδα που έχει την ευθύνη χρήσης του (business owner), τις πηγές δεδομένων, το περιβάλλον μεταφοράς στην παραγωγή, τη συμμετοχή προμηθευτών και το lifecycle status. Αυτό το inventory γίνεται το σημείο αναφοράς για θέματα συμμόρφωσης, κατηγοριοποίησης επιπέδου κινδύνων, τεκμηρίωσης και συστηματικής παρακολούθησης ορθής λειτουργίας.
Χωρίς ένα πλήρες inventory, το ίδρυμα δεν μπορεί αξιόπιστα να αξιολογήσει το βαθμό συμμόρφωσής του με το EU AI Act.
3. Κατηγοριοποίηση επιπέδου κινδύνων βάσει του EU AI Act
Το EU AI Act εισάγει ένα πλαίσιο διαχείρισης κινδύνων που απαιτεί διάκριση μεταξύ συστημάτων απαγορευμένων (prohibited), υψηλού κινδύνου (high-risk), περιορισμένου κινδύνου (limited-risk) και ελάχιστου κινδύνου (minimal-risk). Πολλές τραπεζικές εφαρμογές εντάσσονται στην κατηγορία υψηλού κινδύνου, ιδιαίτερα εκείνες που επηρεάζουν την πρόσβαση σε πιστωτικά προϊόντα, προσδιορίζουν τις τιμές ασφαλιστικών υπηρεσιών, ή επηρεάζουν αποφάσεις διαχείρισης προσωπικού.
Οι τράπεζες πρέπει να αναπτύξουν μια εσωτερική μεθοδολογία κατηγοριοποίησης των συστημάτων ΤΝ, βάσει των κριτηρίων που προβλέπει ο κανονισμός. Αυτή η μεθοδολογία πρέπει να είναι αποτέλεσμα συνεργασίας μεταξύ νομικών υπηρεσιών, μονάδων κανονιστικής συμμόρφωσης, μονάδων διαχείρισης κινδύνων και ομάδων ανάπτυξης ΤΝ.
Οι αποφάσεις κατηγοριοποίησης για το επίπεδο κινδύνων πρέπει να τεκμηριώνονται, να αιτιολογούνται και να υπόκεινται σε περιοδική ανασκόπηση. Όπου υπάρχει αμφιβολία, μπορεί να υιοθετείται μια συντηρητική προσέγγιση κατηγοριοποίησης, ώστε να αποφεύγεται υποεκτίμηση των ρυθμιστικών υποχρεώσεων.
Η κατηγοριοποίηση επιπέδου κινδύνων καθορίζει το είδος των controls που θα πρέπει να εφαρμόζονται, τις απαιτήσεις τεκμηρίωσης, τις περιπτώσεις υποχρεωτικής ανθρώπινης παρέμβασης και τις υποχρεώσεις προς τις εποπτικές αρχές.
4. Εφαρμογή πλαισίων High-Risk controls
Για συστήματα κατηγοριοποιημένα ως υψηλού κινδύνου, το EU AI Act επιβάλλει συγκεκριμένες λειτουργικές απαιτήσεις. Οι τράπεζες πρέπει να εφαρμόσουν ολοκληρωμένα control frameworks που αφορούν διαχείριση κινδύνων, data governance, τεχνική τεκμηρίωση, διαφάνεια, περιπτώσεις υποχρεωτικής ανθρώπινης παρέμβασης και συνεχή παρακολούθηση.
Οι διαδικασίες διαχείρισης κινδύνων πρέπει να καλύπτουν ολόκληρο τον lifecycle του συστήματος ΤΝ. Αυτό περιλαμβάνει επικύρωση σχεδιασμού, δοκιμές πριν από την ανάπτυξη και συνεχή παρακολούθηση στην παραγωγή. Οι τράπεζες πρέπει να θεσπίσουν μηχανισμούς για τον εντοπισμό και περιορισμό μιας ελλιπούς ή μεροληπτικής λειτουργίας και γενικότερα περιπτώσεων που τα παραγόμενα αποτελέσματα δεν είναι αποδεκτά.
Τα controls που αφορούν το data governance πρέπει να διασφαλίζουν ότι τα δεδομένα εκπαίδευσης είναι αξιόπιστα, αντιπροσωπευτικά και μη μεροληπτικά (τουλάχιστον στο βαθμό που αυτό δεν μπορεί να δικαιολογηθεί). Τα αποτελέσματα των δοκιμών καλής λειτουργίας πρέπει να ενσωματώνονται στις διαδικασίες επικύρωσης.
Οι περιπτώσεις υποχρεωτικής ανθρώπινης παρέμβασης πρέπει να ορίζοντα με σαφήνεια, δηλαδή να καθορίζεται πότε οι αποφάσεις ενός συστήματος ΤΝ απαιτούν επισκόπηση από έναν άνθρωπο, τις συνθήκες που οι προτάσεις ενός μοντέλου μπορεί να μην αξιοποιηθούν και το ποιός έχει την τελική ευθύνη λήψης αποφάσεων. Τα συστήματα ΤΝ πρέπει να υποστηρίζουν, όχι να αντικαθιστούν, μια υπεύθυνη ανθρώπινη κρίση.
Πρέπει να τηρείται ολοκληρωμένη τεχνική τεκμηρίωση, συμπεριλαμβανομένου του σχεδιασμού των μοντέλων, των αποτελεσμάτων επικύρωσης, των δεικτών απόδοσης και αποτελεσματικότητας των μοντέλων που έχουν χρησιμοποιηθεί, γνωστών περιορισμών που θα πρέπει να λαμβάνονται υπόψη και των διαδικασιών παρακολούθησης ορθής λειτουργίας των συστημάτων ΤΝ. Η τεκμηρίωση πρέπει να παραμένει διαθέσιμη για επιθεώρηση από τις εποπτικές αρχές, σε όλη τη διάρκεια ζωής του συστήματος.
5. Αναβάθμιση πλαισίου διαχείρισης λειτουργικού κινδύνου
Οι ευρωπαϊκές τράπεζες έχουν ήδη πλαίσια διαχείρισης λειτουργικού κινδύνου που ευθυγραμμίζονται με τις εποπτικές απαιτήσεις. Ωστόσο, η συμμόρφωση με το EU AI Act απαιτεί μια σειρά αναβαθμίσεων.
Το πλαίσιο διαχείρισης λειτουργικού κινδύνου πρέπει να επεκταθεί ώστε να ενσωματώνει αξιολογήσεις για αρνητικές επιπτώσεις σε θεμελιώδη δικαιώματα των πολιτών. Οι τράπεζες πρέπει να αξιολογούν πώς τα συστήματα ΤΝ ενδέχεται να επηρεάζουν κοινωνικές διακρίσεις, προστασία καταναλωτών, εμπιστευτικότητα προσωπικών δεδομένων και αποκλεισμό μερίδας πολιτών από βασικά αγαθά και υπηρεσίες.
Η διαφάνεια και δυνατότητα επεξήγησης του τρόπου λειτουργίας των συστημάτων ΤΝ πρέπει επίσης να αναβαθμιστεί. Η τεκμηρίωση πρέπει να επιτρέπει στις εποπτικές αρχές και στους εσωτερικούς ελεγκτές να κατανοούν πώς λειτουργούν τα συστήματα ΤΝ, πώς λαμβάνονται οι αποφάσεις και ποιές είναι οι ασφαλιστικές δικλείδες που εφαρμόζονται.
Μετά τη μεταφορά ενός συστήματος στην παραγωγή, η παρακολούθησή του πρέπει να εξελιχθεί από περιοδική επικύρωση σε συνεχή εποπτεία, συμπεριλαμβανομένης της ανίχνευσης data drift, αξιολόγησης απόδοσης και δομημένης καταγραφής σημαντικών περιστατικών αρνητικών επιπτώσεων.
6. Αναβάθμιση πλαισίου διαχείρισης κινδύνων για ανάθεση σε εξωτερικούς προμηθευτές
Οι τράπεζες παραμένουν υπόλογες για συστήματα ΤΝ που παρέχονται από εξωτερικούς προμηθευτές. Η ανάθεση σε τρίτους δεν μεταφέρει τη ρυθμιστική ευθύνη.
Οι διαδικασίες due diligence για τους εξωτερικούς προμηθευτές πρέπει επομένως να περιλαμβάνουν αξιολογήσεις συμμόρφωσης με το EU AI Act. Τα συμβόλαια πρέπει να απαιτούν από τους προμηθευτές να αποκαλύπτουν τον τρόπο λειτουργίας των συστημάτων ΤΝ, να παρέχουν τεχνική τεκμηρίωση, να συνεργάζονται στους ελέγχους και να ενημερώνουν την τράπεζα για ουσιαστικές αλλαγές ή σημαντικά περιστατικά αρνητικών επιπτώσεων.
Οι τράπεζες πρέπει να θεσπίσουν πίνακες κατανομής ευθυνών, ώστε να είναι σαφές ποιό μέρος είναι υπεύθυνο για επιμέρους θέματα συμμόρφωσης, όπως η τήρηση της τεκμηρίωσης, οι δοκιμές για μεροληπτικά αποτελέσματα, αναφορές περιστατικών αρνητικών επιπτώσεων και η συνεχής παρακολούθηση της ορθής λειτουργίας ενός συστήματος.
Οι τράπεζες πρέπει να εφαρμόζουν βαθμονόμηση κινδύνου ανάθεσης σε προμηθευτές, με αναλυτικούς ελέγχους για τις περιπτώσεις συστημάτων υψηλού κινδύνου ή περιπτώσεις χρήσης σε κρίσιμες λειτουργίες.
7. Ευθυγράμμιση με αναγνωρισμένα πρότυπα ΤΝ
Για την περισσότερο συστηματική συμμόρφωση με τον κανονισμό, οι τράπεζες πρέπει να ευθυγραμμίσουν τα πλαίσια διακυβέρνησης με αναγνωρισμένα διεθνή πρότυπα ΤΝ όπως το ISO/IEC 42001 και το NIST AI Risk Management Framework.
Το ISO/IEC 42001 είναι ένα μοντέλο διαχείρισης συστημάτων ΤΝ, που καλύπτει θέματα διακυβέρνησης, διαχείρισης κινδύνων, τεκμηρίωσης και συνεχούς βελτίωσης. Η ευθυγράμμιση με αυτό το πρότυπο ενισχύει την ετοιμότητα για εσωτερικούς ή εξωτερικούς ελέγχους και την αξιοπιστία έναντι των εποπτικών αρχών.
Το NIST AI Risk Management Framework δίνει κατευθύνσεις για την υιοθέτηση αρχών Responsible AI, συμπεριλαμβάνοντας θέματα αξιοπιστίας, κατανομής ευθυνών, διαφάνειας, αμεροληψίας, προστασίας προσωπικών δεδομένων και ασφάλειας πληροφοριών. Η ενσωμάτωση αυτών των αρχών στα εσωτερικά πλαίσια διακυβέρνησης ενισχύει το βαθμό συμμόρφωσης με τις ρυθμιστικές απαιτήσεις.
Η υιοθέτηση δομημένων προτύπων μειώνει την επικάλυψη προσπαθειών και προβάλλει θετικά θέματα διακυβέρνησης ΤΝ, σε επόπτες και εμπλεκόμενα τρίτα μέρη.
8. Προετοιμασία για Εποπτικούς Ελέγχους
Οι τράπεζες πρέπει να αναμένουν αυξημένο εποπτικό ενδιαφέρον για τα συστήματα ΤΝ. Οι εποπτικές αρχές θα απαιτούν τεκμηριωμένες αποδείξεις για την πληρότητα των AI System Inventories, για τις αποφάσεις κατηγοριοποίησης επιπέδου κινδύνων, για τα αποτελέσματα δοκιμών αμεροληψίας, για τις περιπτώσεις υποχρεωτικής ανθρώπινης παρέμβασης και τα θέματα διακυβέρνησης.
Οι λειτουργίες εσωτερικού ελέγχου πρέπει να αναπτύξουν AI–specific audit programs ευθυγραμμισμένα με τις απαιτήσεις του EU AI Act. Τα πρώιμα αποτελέσματα εσωτερικών ελέγχων επιτρέπουν στα ιδρύματα να εντοπίζουν κενά και να αποκαθιστούν αδυναμίες πριν από εποπτικές παρεμβάσεις.
Η τακτική επικοινωνία θεμάτων λειτουργίας συστημάτων ΤΝ στην ανώτερη διοίκηση, πρέπει να αποδεικνύει ενεργό συμμετοχή και συνεχή παρακολούθηση για το επίπεδο συμμόρφωσης.
Η προληπτική αξιολόγηση μειώνει τον κίνδυνο επιβολής περιοριστικών μέτρων και ενισχύει την αξιοπιστία του ιδρύματος.
9. Εφαρμογή ειδικών controls για Generative AI
Το Generative AI εισάγει πρόσθετους κινδύνους, συμπεριλαμβανομένων αποτελεσμάτων αμφισβητούμενης αληθοφάνειας (hallucinations) και παραπληροφόρησης, διαρροής δεδομένων, παραβίαση πνευματικής ιδιοκτησίας και περιπτώσεων πλήρους αυτοματοποίησης χωρίς τους απαραίτητους μηχανισμούς ελέγχου.
Οι τράπεζες πρέπει να θεσπίσουν σαφείς εσωτερικές πολιτικές που να διέπουν τη χρήση Generative AI. Αυτές οι πολιτικές πρέπει να ορίζουν επιτρεπόμενες περιπτώσεις χρήσης, διαδικασίες έγκρισης, πρότυπα τεκμηρίωσης και περιπτώσεις που η ανθρώπινη παρέμβαση κρίνεται υποχρεωτική.
Πρέπει να εφαρμοστούν τεχνικές δικλείδες ασφαλείας όπως η καταγραφή των χρησιμοποιούμενων prompts, έλεγχοι πρόσβασης, συστήματα παρακολούθησης και διαδικασίες ελέγχου των παραγόμενων αποτελεσμάτων. Οι χρήσεις σε λειτουργίες υψηλού κινδύνου, όπως οι επικοινωνίες με πελάτες ή η βοήθεια στη σύνταξη εκθέσεων για τις εποπτικές αρχές, πρέπει να περιλαμβάνουν υποχρεωτική ανθρώπινη παρέμβαση.
Θέματα διακυβέρνησης για το Generative AI πρέπει να ενσωματώνονται στο ευρύτερο λειτουργικό μοντέλο ΤΝ, και να μην αντιμετωπίζονται ως πειραματικές ή μεμονωμένες δραστηριότητες.
10. Ενσωμάτωση Διακυβέρνησης ΤΝ στο λειτουργικό μοντέλο
Η συμμόρφωση με το EU AI Act δεν είναι έργο περιορισμένης διάρκειας. Απαιτεί μόνιμη αλλαγή στο λειτουργικό μοντέλο της τράπεζας.
Το διακυβέρνηση ΤΝ πρέπει να ενσωματωθεί στις διαδικασίες έγκρισης προϊόντων, τις ροές διαχείρισης αλλαγών, τις διαδικασίες προμηθειών και το στρατηγικό σχεδιασμό. Οι ευθύνες εφαρμογής των απαραίτητων ελέγχων πρέπει να ορίζονται με σαφήνεια. Η διαχείριση της απαραίτητης τεκμηρίωσης, οι διαδικασίες απόκρισης σε περιστατικά σημαντικών επιπτώσεων και τα σχετικά προγράμματα εκπαίδευσης πρέπει να θεσμοθετηθούν.
Πρέπει να παρέχεται τακτική εκπαίδευση στο προσωπικό με ρόλους ευθύνης, σε στελέχη μονάδων διαχείρισης κινδύνων, σε προγραμματιστές και σε τελικούς χρήστες. Η ευαισθητοποίηση σε θέματα ΤΝ, πρέπει να γίνει μέρος της κουλτούρας συμμόρφωσης του ιδρύματος.
Η ενσωμάτωση διακυβέρνησης ΤΝ στις βασικές λειτουργίες, διασφαλίζει τη μακροπρόθεσμη συμμόρφωση πέρα από την αρχική υλοποίηση εφαρμογών ΤΝ.
Συμπέρασμα
Το EU AI Act θεσπίζει ένα νέο ρυθμιστικό πλαίσιο εφαρμογής της Τεχνητής Νοημοσύνης στις χρηματοοικονομικές υπηρεσίες, κυρίως για την περίπτωση συστημάτων υψηλού κινδύνου. Για τις ευρωπαϊκές τράπεζες, η συμμόρφωση απαιτεί δομημένη διακυβέρνηση, ολοκληρωμένη παρακολούθηση συστημάτων ΤΝ, κατηγοριοποίηση επιπέδου κινδύνων, ενισχυμένη διαχείριση λειτουργικού κινδύνου, εποπτεία εξωτερικών προμηθευτών και αλλαγές στο λειτουργικό μοντέλο.
Τα ιδρύματα που προσεγγίζουν την εφαρμογή στρατηγικά και προληπτικά δεν μειώνουν μόνο τον κίνδυνο συμμόρφωσης, αλλά ενισχύουν παράλληλα την εμπιστοσύνη των πελατών, βελτιώνουν τις σχέσεις με τις εποπτικές αρχές και έχουν ηγετικό ρόλο σε θέματα Responsible AI.
Ο απαιτούμενος μετασχηματισμός είναι σημαντικός, αλλά η ευκαιρία να δομηθούν διαφανή και αξιόπιστα συστήματα ΤΝ είναι εξίσου ουσιαστική. Οι τράπεζες που θα δράσουν αποφασιστικά, θα βρεθούν σε καλύτερη θέση ώστε να αντιμετωπίσουν τις προκλήσεις ενός ταχύτατα εξελισσόμενου επιχειρηματικού και ρυθμιστικού τοπίου και να αξιοποιήσουν την Τεχνητή Νοημοσύνη ως βιώσιμο ανταγωνιστικό πλεονέκτημα.
——
Ο Αντώνης Δραγγιώτης έχει περισσότερα από 30 χρόνια εμπειρίας στους τομείς της τραπεζικής, της διαχείρισης κινδύνων και της τεχνητής νοημοσύνης. Έχει διατελέσει Group Chief Risk Officer στη VIVA WALLET και έχει αναλάβει ανώτερες διοικητικές θέσεις στον τομέα της διαχείρισης κινδύνων σε μεγάλες ελληνικές τράπεζες. Κάτοχος διδακτορικού (PhD) στην Τεχνητή Νοημοσύνη (ΤΝ), συνδυάζει βαθιά γνώση του χρηματοπιστωτικού τομέα με εμπειρία στην ανάπτυξη λογισμικού και συνεχή εκπαίδευση σε GenAI και Responsible AI, προκειμένου να είναι στην αιχμή των εξελίξεων και να υποστηρίζει την ασφαλή και αποτελεσματική εφαρμογή της ΤΝ στις χρηματοοικονομικές υπηρεσίες.
