Az AI egyre inkább a mindennapjaink része. A mesterséges intelligencia kérdése nemcsak a rá vonatkozó szabályozás miatt válik egyre népszerűbb témává, és kerül be a mindennapi közbeszédbe. Sőt, itt éppen az érzékelhető erőteljesen, hogy az uniós jogalkotás a valóságot igyekszik utolérni. Maga a technológia nem forradalmian új, de az elmúlt években szintet lépett a fejlődése mind minőségileg, mind mennyiségileg, mára pedig gyors ütemben alakítja számos iparág működését, beleértve a pénzügyi szektort is.

Az AI új megvilágításba helyezi az adatkezelést és a kockázatkezelést, megteremt(het)i a lehetőségét az automatizált döntéshozatalnak, és mindeközben új kihívásokat teremt az adatvédelem, az adatbiztonság, az etikai normák és az egyéb természetű jogi megfelelőség terén. Míg az innováció és a jogi szabályozás közötti egyensúly megtalálása kulcsfontosságú elvárás a jogalkotó(k) felé, addig a jogalkalmazó piaci és állami szereplőknek a már meghozott jogszabályi elvárásokhoz való adaptálódás jelent komoly kihívást.

Mi az AI Act?

2024 márciusában az Európai Uniós döntéshozó elfogadta a Mesterséges Intelligenciáról szóló 2024/1698 EU Rendeletet, közismert nevén az AI Actet. A szabályozás nemcsak azért forradalmi, mert a világon elsőként igyekszik keretjelleggel, átfogó módon szabályozni a mesterséges intelligencia használatát, hanem azért is, mert szabályozási tárgykörét tekintve úttörőnek minősül

Az AI Act újdonsága, hogy a különböző MI technológiákat kockázatmértékekhez köti. Ez tulajdonképpen egy lépcsőzetes szabályozás a legalacsonyabb kockázatú megoldástól egészen a teljesen tiltott alkalmazásokig. Az elgondolás alapja, hogy a különböző felhasználási célú eszközök eltérő kockázatot hordoznak magukban. Az AI Act négy kategóriát különböztet meg:

• Minimális Kockázat (Általános célú MI-modellek): Ide tartoznak azok az alkalmazások, amelyek nem befolyásolják jelentősen az emberek jogait vagy biztonságát. Ezeknek a rendszereknek csak általános átláthatósági és információs követelményeknek kell megfelelniük. Tipikus alkalmazási köre ezeknek a technológiáknak a szervezeteken belüli ügyviteli felhasználású alkalmazások.
• Korlátozott Kockázat: A korlátozott kockázatú AI rendszerek olyan alkalmazások, amelyek némileg befolyásolhatják a felhasználók döntéseit vagy jogait, de nem jelentős mértékben. Ezek közé tartoznak például a chatbotok vagy az AI-alapú ügyfélszolgálati rendszerek, amelyek elősegítik a kommunikációt, de nem befolyásolják közvetlenül a felhasználók döntéseit, vagy nem okoznak nagyobb kockázatot. Az ilyen rendszerek esetében a szabályozás a transzparenciára és a felhasználók tájékoztatására összpontosít. Ez a kategória az ügyféltájékoztatás területén meghatározó, illetve döntés-előkészítő funkció esetén releváns.
• Magas Kockázat: A magas kockázatú AI rendszerek olyan alkalmazások, amelyek jelentős hatással lehetnek az emberek jogaira, biztonságára és életminőségére. Ide tartoznak az olyan AI rendszerek, amelyek például egészségügyi diagnosztikában, pénzügyi döntéshozatalban vagy jogi területeken működnek. Ezek a rendszerek szigorú megfelelőségi követelményeknek és ellenőrzéseknek vannak alávetve, például adatvédelmi előírások, részletes dokumentáció, rendszeres auditok és kockázatértékelések révén.
• Elfogadhatatlan Kockázat (Tiltott MI gyakorlatok): Az elfogadhatatlan kockázatú AI rendszerek olyan alkalmazások, amelyek veszélyeztetik az emberek alapvető jogait és biztonságát, és ezeket az AI Act alapján semmilyen körülmények között nem lehet használni, mivel összeegyeztethetetlenek az alapvető jogokkal és értékekkel. Ide tartoznak például a szociális pontozási rendszerek, amelyek az emberek viselkedését vagy teljesítményét pontozzák, és így potenciálisan diszkriminatívak lehetnek, illetve etikai problémákat vetnek fel.

Ezek alapján is egyértelmű, hogy az AI rendszerek használóinak a legelső feladata a rendszer kockázati besorolása. Ennek az auditálásnak a főbb szabályait az AI Act határozza meg azzal, hogy ezt mely szervezetek végezhetik el.

A pénzügyi szektorban használt AI rendszerek kritikus kérdése, hogy mennyiben minősülnek magas kockázatúnak. Ugyanis a pénzügyi szektorban a kijelölt létfontosságú rendszerelemekre szigorúbb jogszabályi követelmények vonatkoznak az ágazat egyéb aktoraihoz képest.

Az AI Act meghatározása szerint a kritikus infrastruktúra által használt AI-t indokolt magas kockázatúnak minősíteni. Ez értelemszerűen nem jelent automatikus besorolást – nyilvánvaló, hogy különbséget kell tenni egy banki chatbot és egy, a hitelkérelmeket automatikusan elbíráló algoritmus között. Itt fontos megjegyezni azt is, hogy magának a banknak sem minősül feltétlenül minden egyes részterülete kritikus infrastruktúrának, de mégis jó felkészülni arra, hogy esetleg más piaci szereplőkhöz képest megnövekedett számban lesznek a bankokon belül használt szoftverek között magas kockázatúnak minősítettek.

Ha viszont egy rendszer magas kockázatú besorolást kap, akkor a szolgáltatónak ezzel kapcsolatban számos feladata keletkezik. Ezek közül a legfontosabbak a következők:

• Kockázatkezelés: Elsőként ki kell építenie és működtetnie kell egy kockázatkezelési rendszert. Ennek feladata többek között a nagy kockázatú rendszerek tekintetében a károkozás valószínűsítése és a kockázatok megfelelő kategorizálása.
• Adatkezelés: A szolgáltatóknak gondoskodniuk kell arról, hogy jó minőségű és megfelelően inkluzív adatkészletből tudjanak dolgozni a rendszerek.
• Műszaki dokumentáció: Ennek megfelelő vezetésével a szolgáltatók a „black box effect” hatásait igyekeznek csökkenteni. A black box effect kifejezést akkor használjuk, amikor egy MI rendszer hasznos információt ad a felhasználónak, de a rendszer döntéshozatali folyamata nem átlátható és visszakövethető.

• Felhasználási tájékoztató: Ennek elkészítése és megismerhetővé tétele az eszköz alkalmazóinak segít megérteni az AI rendszer működését.

A megváltozott jogszabályi környezet adta feladat érzékelése nem új és nem előzmény nélküli bankunk életében, de a röviden bemutatott szabályozás számos kihívás elé állítja a KIBERLAB csapatát, akik folyamatosan azon dolgoznak, hogy az AI rendszerek a legteljesebb jogi megfelelőség mellett tudjanak működni, és optimálisan nyújtsanak segítséget mind a felhasználói, mind a szolgáltatói oldal számára.

Figyeld az Intrát, hogy ne maradj le a sorozat többi cikkéről! A következő részben megtudhatod, mi számít mesterséges intelligenciának az AI Act alapján.