συμμόρφωση τραπεζών ΤΝ — Το EU AI Act (EU – 1689/2024) είναι ο πρώτος ολοκληρωμένος ευρωπαϊκός κανονισμός για την Τεχνητή Νοημοσύνη και στοχεύει να διασφαλίσει ότι τα συστήματα ΤΝ στην ΕΕ είναι ασφαλή, διαφανή, αξιόπιστα και σύμφωνά με τα θεμελιώδη δικαιώματα των πολιτών. Ο κανονισμός υιοθετεί προσέγγιση βασισμένη στον κίνδυνο, την οποία περιγράφει ως “risk-based approach“, και επιβάλλει αυστηρούς κανόνες σε εφαρμογές υψηλού κινδύνου όπως η πιστοληπτική αξιολόγηση και οι προσλήψεις, ενώ απαγορεύει χρήσεις που θεωρούνται επικίνδυνες.
Η συμμόρφωση για τις τράπεζες απαιτεί μετασχηματισμό στη διακυβέρνηση, τη διαχείριση κινδύνων, τη συμμόρφωση και τις λειτουργικές διαδικασίες. Σύμφωνα με τις τρέχουσες προτάσεις, η Ευρωπαϊκή Επιτροπή προτείνει αναβολή της εφαρμογής κάποιων απαιτήσεων έως και 16 μήνες, δίνοντας περισσότερο χρόνο στις επιχειρήσεις, ενώ η πρόσφατη αξιολόγηση της ΕΒΑ (21.11.2025) επισημαίνει ότι “ο Κανονισμός για την Τεχνητή Νοημοσύνη (AI Act) είναι συμπληρωματικός της νομοθεσίας της ΕΕ για τον τραπεζικό τομέα και τον τομέα πληρωμών, η οποία ήδη παρέχει ένα ολοκληρωμένο πλαίσιο για τη διαχείριση κινδύνων”.
Υπάρχει ανησυχία στην αγορά για το κόστος συμμόρφωσης και την πολυπλοκότητα, με επιχειρηματικούς παράγοντες να προειδοποιούν για ενδεχόμενη μεταβολή επενδύσεων. Συγκεκριμένα, ο Roland Busch, CEO της Siemens, είχε δηλώσει ότι μπορεί να δώσει προτεραιότητα σε ΗΠΑ και Κίνα για επενδύσεις ύψους 1 δισ. € στην ΤΝ αν οι κανόνες παραμείνουν εξαιρετικά περιοριστικοί, γεγονός που τροφοδοτεί τον διάλογο για ισορροπία ανάμεσα στην κανονιστική προστασία και στην καινοτομία.
Οι άμεσες προτεραιότητες των τραπεζών
Οι ευρωπαϊκές τράπεζες πρέπει να ακολουθήσουν συγκεκριμένα βήματα συμμόρφωσης. Στο πλαίσιο αυτό, παρουσιάζονται 10 βασικές ενέργειες που πρέπει να λάβουν υπόψη τους, από τη δημιουργία διακυβέρνησης ΤΝ έως την ενσωμάτωση των νέων απαιτήσεων στο λειτουργικό τους μοντέλο.
1. Διακυβέρνηση ΤΝ και κατανομή αρμοδιοτήτων: Πρέπει να συσταθεί δομή Διακυβέρνησης ΤΝ με ευθύνη σε ανώτερο στέλεχος — ενδεικτικά Chief Risk Officer, Chief Compliance Officer ή Chief Data / AI Officer. Επίσης, να λειτουργεί AI Governance Committee ή να ενσωματωθεί σε υπάρχουσες επιτροπές, με σαφείς γραμμές αναφοράς στο Διοικητικό Συμβούλιο και ένα AI risk appetite statement.
2. AI System Inventory: Δημιουργία ενός ολοκληρωμένου enterprise-wide inventory που να καταγράφει όλα τα συστήματα ΤΝ — εσωτερικά και από τρίτους — με σκοπό, υπεύθυνο business owner, πηγές δεδομένων, στάδιο lifecycle και συμμετοχή προμηθευτών.
Κατηγοριοποίηση και έλεγχοι υψηλού κινδύνου
3. Κατηγοριοποίηση κινδύνων: Τα συστήματα πρέπει να κατηγοριοποιηθούν ως prohibited, high-risk, limited-risk ή minimal-risk. Πολλές τραπεζικές εφαρμογές, ειδικά αυτές που επηρεάζουν την πρόσβαση σε πιστωτικά προϊόντα ή αποφάσεις προσωπικού, θα εμπίπτουν στο high-risk και απαιτούν εσωτερική μεθοδολογία αξιολόγησης.
4. High-Risk controls: Για συστήματα υψηλού κινδύνου επιβάλλονται λειτουργικοί έλεγχοι που καλύπτουν διαχείριση κινδύνων, data governance, τεκμηρίωση, διαφάνεια αποφάσεων, ανθρωπο-ενσωμάτωση στην απόφαση και συνεχή παρακολούθηση.
5. Διαχείριση λειτουργικού κινδύνου: Απαιτούνται αναβαθμίσεις στον τρόπο αξιολόγησης κινδύνων παραβίασης θεμελιωδών δικαιωμάτων, έλλειψης διαφάνειας ή ασυνέχειας λειτουργίας, καθώς και συστήματα καταγραφής δυσλειτουργιών και συμβάντων ασφαλείας.
Διαχείριση τρίτων και διεθνή πρότυπα
6. Κίνδυνοι από εξωτερικούς προμηθευτές: Η ανάθεση σε τρίτους δεν μεταφέρει την ευθύνη. Οι διαδικασίες due diligence πρέπει να περιλαμβάνουν αξιολόγηση συμμόρφωσης με το EU AI Act και τα συμβόλαια να καθορίζουν σαφώς τις ευθύνες.
7. Ευθυγράμμιση με πρότυπα: Ευθυγράμμιση με διεθνή πρότυπα όπως το ISO/IEC 42001 και το NIST AI Risk Management Framework βοηθά στην τεκμηρίωση, στην αξιοπιστία και στην προετοιμασία για ελέγχους.
8. Προετοιμασία για εποπτικούς ελέγχους: Οι εσωτερικές ελεγκτικές λειτουργίες πρέπει να αναπτύξουν AI-specific audit programs για να εντοπίζουν κενά πριν από εποπτικές παρεμβάσεις.
Πρακτικά μέτρα για Generative AI
9. Controls για Generative AI: Λόγω κινδύνων όπως hallucinations, διαρροή δεδομένων και ζητήματα πνευματικής ιδιοκτησίας, απαιτούνται δικλείδες όπως καταγραφή prompts, έλεγχοι πρόσβασης και διαδικασίες παρακολούθησης αποτελεσμάτων.
10. Ενσωμάτωση στο λειτουργικό μοντέλο: Η συμμόρφωση είναι μακροχρόνια υποχρέωση και πρέπει να ενσωματωθεί σε διαδικασίες έγκρισης προϊόντων, διαχείρισης αλλαγών, προμηθειών και στρατηγικού σχεδιασμού, μαζί με συστηματική εκπαίδευση προσωπικού.
Συμπέρασμα και στρατηγική προσέγγιση
Η συμμόρφωση τραπεζών ΤΝ δεν μειώνει μόνο τον κίνδυνο ρυθμιστικών κυρώσεων, αλλά αν εφαρμοστεί στρατηγικά ενισχύει την εμπιστοσύνη πελατών και τη σχέση με εποπτικές αρχές, δίνοντας παράλληλα την ευκαιρία να γίνει η ΤΝ βιώσιμο ανταγωνιστικό πλεονέκτημα.
