11 maja 2023 roku komisje Parlamentu Europejskiego: Komisja Rynku Wewnętrznego i Ochrony Konsumentów (IMCO) oraz Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) przyjęły wspólne stanowisko w sprawie zmian do AI Act. W związku z tym, postanowiliśmy przygotować artykuł zawierający przegląd najpopularniejszych zastosowań sztucznej inteligencji w sektorze innowacji finansowych. Oprócz przykładów zastosowań AI zwracamy również uwagę na wyzwania regulacyjne, przed którymi stają zarówno odbiorcy, jak i dostawcy takich systemów.
Wprowadzenie
Ostatnio w mediach rozbrzmiewa gorąca dyskusja na temat sztucznej inteligencji (AI) oraz jej potencjalnym wpływie na nasze życie. Pomimo, iż jeszcze do niedawna AI stanowiła bardziej ciekawostkę niż powszechnie wykorzystywaną technologię, to niewątpliwie jej dynamiczny rozwój sprawia, iż sztuczna inteligencja staje się coraz bardziej zauważalna dla przeciętnego odbiorcy. Przykład zastosowania AI stanowią chociażby chatboty wykorzystywane przy obsłudze klientów w celu automatyzacji procesów przyjmowania skarg i reklamacji bądź udzielania odpowiedzi na najczęściej zadawane pytania. Szczególną popularność zyskał również opracowany przez spółkę OpenAI ChatGPT, czyli chatbot zbudowany na systemie GPT (z ang. „Generative Pre-trained Transformer”) będący sztuczną inteligencją służącą do przeprowadzania konwersacji w sposób imitujący rozmowę z drugim człowiekiem. System ten, wykorzystując głębokie uczenie maszynowe (tzw. „deep learning”), generuje tekstowe odpowiedzi na sformułowane przez użytkowników pytania.
Wzrost popularności AI prawdopodobnie zrewolucjonizuje rynek pracy oraz najważniejsze sektory gospodarki. Zakłada się, iż sztuczna inteligencja może w przyszłości spowodować choćby zanik niektórych stanowisk, jak również przeorganizować sposób pracy personelu, który dzięki automatyzacji zostanie „wyręczony” w wykonywaniu powtarzalnych i monotonnych zadań. Sztuczna inteligencja szczególnie szerokie zastosowanie znajduje w obszarze innowacji finansowych (FinTech), w którym z uwagi na łączenie działalności sektora finansowego z branżą technologiczną chętnie implementuje się nowe rozwiązania. AI dzięki możliwości przetwarzania i analizy danych w ogromnych ilościach może istotnie przyczynić się do zwiększenia wydajności procesów bankowych lub inwestycyjnych oraz usprawnić obsługę klienta. Jednocześnie dynamiczny rozwój AI stwarza potencjalne ryzyka dla prywatności, a choćby bezpieczeństwa jej użytkowników, powodując tym samym potrzebę ujęcia tej technologii w odpowiednie ramy prawne.
W związku z tym, warte omówienia stają się sposoby wykorzystywania sztucznej inteligencji w sektorze FinTech oraz wskazanie wyzwań regulacyjnych, przed którymi stoi legislatywa. Poniżej przedstawiamy najistotniejsze zagadnienia związane z zastosowaniem AI w sektorze finansowym oraz najważniejsze kwestie prawne.
Obsługa klienta
Podstawowym zastosowaniem AI w sektorze FinTech jest wykorzystanie wspomnianych chatbotów w procesach obsługi klienta. Przede wszystkim, znajdują one zastosowanie w komunikacji z klientem za pośrednictwem stron internetowych lub aplikacji mobilnych, przy użyciu których użytkownik może w ciągu kilku sekund otrzymać odpowiedź na zadane pytanie lub uzyskać informacje na temat określonego produktu lub usługi. Dzięki temu klient nie jest zmuszony do oczekiwania w kolejce podczas połączenia telefonicznego z dostawcą usługi lub na zwrotną wiadomość e-mail. Rozwiązanie to jest również korzystne dla personelu, ponieważ automatyzacja odpowiedzi na najczęściej zadawane przez klientów pytania pozwala zaoszczędzić czas pracownika i podnieść jego efektywność, umożliwiając skupienie się na bardziej merytorycznych zadaniach. Sztuczna inteligencja może okazać się pomocna w procesie rozpatrywania reklamacji, przeprowadzając klienta przez proces reklamacyjny – od przyjęcia zgłoszenia (np. o nieautoryzowanej transakcji płatniczej lub awarii aplikacji mobilnej dostawcy) do przygotowania informacji zwrotnej na temat uwzględnienia skargi bądź przekazania sprawy do adekwatnego pracownika.
Sztuczna inteligencja w postaci tzw. wirtualnych asystentów może doradzać klientom np. w wyborze usługi finansowej. Jednocześnie poprzez uczenie maszynowe oraz zastosowanie adekwatnych algorytmów AI jest w stanie lepiej „sprofilować” określonego klienta i oferować mu produkty usługi finansowane dostosowane do jego indywidualnych potrzeb. Jest pomocna także przy porównywaniu ryzyk związanych z inwestowaniem w określone klasy aktywów. Ponadto, w ramach specjalnych aplikacji wspieranych przez AI, możliwe staje się zautomatyzowane zarządzanie budżetem firmowym. Odpowiednio przystosowane AI umożliwia także obsługę wniosków składanych przez klientów instytucji finansowych (chociażby w przedmiocie uzyskania pożyczki).
Wsparcie procesów KYC oraz optymalizacja procesów wewnętrznych
Należy zwrócić uwagę na walory sztucznej inteligencji w zakresie zdalnej identyfikacji klientów. Dane nowych użytkowników, uzyskane po wypełnieniu odpowiednich formularzy np. na stronie internetowej banku, mogą być odpowiednio analizowane przez systemy AI w celu zweryfikowania ich kompletności i autentyczności oraz potwierdzenia tożsamości klienta. Jest to kolejna sfera działalność instytucji finansowych, w której sztuczna inteligencja może odciążyć personel, jednocześnie eliminując ryzyko wystąpienia błędu ludzkiego.
Oprócz wykorzystania sztucznej inteligencji w prowadzeniu działalności regulowanej, instytucje finansowe mogą skorzystać z odpowiednich systemów AI w celu wewnętrznego ulepszenia organizacji. Automatyzacja może pojawić m.in. w procesach zarządzania i katalogowania dokumentów, rekrutacyjnych czy wykrywania nieprawidłowości w zakresie cyberbezpieczeństwa. Sztuczna inteligencja znajdzie również zastosowanie w obszarze wsparcia procesów decyzyjnych podejmowanych w instytucjach finansowych. Dzięki możliwości zautomatyzowanego generowania rekomendacji AI będzie w stanie wesprzeć zarząd w podejmowaniu strategicznych decyzji biznesowych. Jednocześnie AI może dokonywać predykcji w odniesieniu do rezultatów działań podejmowanych przez instytucję finansową i w oparciu o te prognozy formułować odpowiednie propozycje postępowania. Dzięki czemu jest w stanie odpowiednio „instruować” poszczególne departamenty, odpowiedzialne za sprzedaż oferowanych produktów i usług.
Compliance, AML i Zarządzanie Ryzykiem
Warto także wspomnieć o możliwym zastosowaniu systemów AI w procesach zapewniania zgodności z przepisami prawa. W związku z nieustannie rosnącą ilością wymagań regulacyjnych nakładanych na podmioty nadzorowane, przydatnym rozwiązaniem może okazać się wykorzystanie narzędzi wspierających procesy Compliance. Do jej zadań może należeć weryfikacja kompletności danych raportowych przekazywanych organom nadzoru (np. KNF), jak również prawidłowa realizacja obowiązków ciążących na instytucjach finansowych. Odpowiednio zaprogramowana AI, zespolona z bazą aktów prawnych, diametralnie przyspieszy procedury weryfikacji odpowiednich dokumentów wewnętrznych (procedur, polityk, regulaminów), które powinny posiadać podmioty regulowane takie jak banki, instytucje płatnicze lub instytucje pożyczkowe, aby ich działalność pozostawała w zgodności z przepisami.
Sztuczna inteligencja wspomoże także procesy AML (z ang. „Anti-money laundering”), znacząco redukując ich koszty przy wykorzystaniu odpowiednich modeli oceny ryzyka prania pieniędzy, opracowywaniu rekomendacji dotyczących poszczególnych transakcji lub usług świadczonych przez dany podmiot. Zastosowanie uczenia maszynowego oraz biometrii behawioralnej pozwoli także na algorytmiczne wykrywanie podejrzanych transakcji, w tym transakcji oszukańczych.
Odpowiednie systemy AI potrafią skutecznie wspierać procesy związane z analizą oraz zarządzaniem ryzykiem, jak również w przypadku instytucji udzielających kredytów – oceną zdolności kredytowej klientów. Należy przy tym wspomnieć, iż w przypadku instytucji takich jak banki zastosowanie znajdzie przepis art. 105a ust. 1a prawa bankowego[1], zgodnie z którym w procesie oceny zdolności kredytowej możliwe jest zautomatyzowane przetwarzanie danych osobowych – również stanowiących tajemnicę bankową – pod warunkiem zapewnienia osobie, której dotyczy decyzja o udzieleniu albo odmowie udzielenia kredytu, stosownych wyjaśnień co do podstawy podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Oznacza to, iż dane klientów, przetwarzane w związku z oceną ich zdolności kredytowej, mogą być procesowane w sposób zautomatyzowany (np. przy wykorzystaniu odpowiednich algorytmów AI), o ile osoba, której dane dotyczą, zostanie adekwatnie poinformowana o wykorzystaniu takich mechanizmów w procesie oceny zdolności kredytowej oraz będzie jej zapewniona możliwość realizacji ww. uprawnień. Niemniej, jest to rozwiązanie znacząco usprawniające i przyspieszające analizę danych osób wnioskujących o udzielenie kredytu. Przyjmując, iż ostateczna decyzja w tym przedmiocie zawsze będzie należała do pracownika banku lub instytucji kredytowej, wykorzystanie AI w tym zakresie dostarczy osobie rozpatrującej wniosek zagregowane informacje na temat kredytobiorcy i usprawni analizę ryzyka.
Robo-doradztwo inwestycyjne
Wykorzystanie odpowiednich algorytmów do zautomatyzowanego prezentowania prognoz i rekomendacji inwestycyjnych stanowi kolejny przykład zastosowania sztucznej inteligencji w sektorze FinTech. Możliwe jest wskazanie zróżnicowanych modeli świadczenia usług robo-doradztwa np. ograniczających się do formułowania rekomendacji dla inwestora, jak też pełnej automatyzacji procesu inwestycyjnego, w którym algorytm samodzielnie dokonuje operacji na aktywach w oparciu o określoną przez inwestora strategię inwestycyjną. Systemy AI (na zasadzie działania wirtualnego asystenta) umożliwiają m.in. gromadzenie i prezentowanie skonsolidowanych informacji dla pracowników firm inwestycyjnych oraz prezentowanie analiz ryzyka dotyczących określonych klas aktywów. Systemy te mogą wspierać proces oferowania konkretnych instrumentów inwestycyjnych klientom, w oparciu o ich skłonność do ryzyka, ustalone strategie czy cele inwestycyjne.
Wyzwania regulacyjne związane z rozwojem sztucznej inteligencji – AI Act
Powyższe przykłady świadczą o niewątpliwych korzyściach płynących z zastosowania systemów sztucznej inteligencji w branży FinTech. Należy jednocześnie pamiętać, iż wykorzystywanie zaawansowanej technologii niesie ze sobą pewne ryzyka. Mimo iż automatyzacja procesów ma na celu wyeliminowanie błędu ludzkiego, to równie może okazać się zawodna. Nadmierne poleganie na algorytmach niesie za sobą ryzyko powstawania nieprawidłowości w działalności podmiotów nadzorowanych. Ponadto, niepoddana jakimkolwiek regulacjom AI może stanowić istotne zagrożenie dla prywatności oraz bezpieczeństwa danych jej użytkowników. W związku z tym, Unia Europejska już w 2021 roku podjęła działania zmierzające do stworzenia odpowiednich ram prawnych, gwarantujących bezpieczne tworzenie i wykorzystywanie systemów AI, rozpoczynając prace nad projektem Aktu w sprawie sztucznej inteligencji (AI Act)[2]. Jeszcze pod koniec 2022 roku opublikowany został projekt AI Act w wersji zaproponowanej przez Radę Unii Europejskiej.
W związku z intensywnymi pracami w komisjach, również Parlament Europejski niebawem przedstawi swoje stanowisko w sprawie projektu. Zainicjuje to trójstronną dyskusję między przedstawicielami Komisji Europejskiej, Parlamentu oraz Rady UE, prowadząc tym samym do przyspieszenia prac legislacyjnych nad AI Act.
Głównymi założeniami AI Act jest:
- stworzenie regulacji ograniczających zagrożenia związane z wykorzystaniem sztucznej inteligencji,
- zapewnienie wysokiego poziomu bezpieczeństwa dla firm i osób fizycznych oraz jednoczesne wspieranie rozwoju technologii AI,
- harmonizacja przepisów dotyczących wprowadzania na rynek, udostępniania i użytkowania systemów AI w Unii Europejskiej.
Do AI Act została również włączona odpowiednia klasyfikacja systemów AI przy zastosowaniu podejścia opartego na ryzyku. Wyróżnia się w niej systemy sztucznej inteligencji:
- o minimalnym ryzyku, które nie będą poddawane regulacji i będą mogły być swobodnie rozwijane (najczęściej na użytek wewnętrzny lub prywatny),
- o niewielkim ryzyku, którego dostawcy będą zobligowani do spełniania odpowiednich obowiązków informacyjnych i wymagań przejrzystości oraz
- wysokiego ryzyka tj. systemów które w znaczący sposób będą ingerować w sferę ludzkiej prywatności, do których można zaliczyć zdalną identyfikację biometryczną lub tzw. „scoring kredytowy”.
AI Act przewiduje liczne obowiązki zarówno po stronie dostawców, jak i użytkowników w zakresie wykorzystywania systemów AI wysokiego ryzyka. Mają one stanowić gwarancję ich prawidłowego rozwijania i użytkowania. W ramach aktualnie trwających prac legislacyjnych zaproponowano rozszerzenie katalogu systemów AI wysokiego ryzyka o systemy umożliwiające formułowanie wniosków na temat określonych osób, wygenerowanych dzięki biometrii oraz systemy rozpoznawania emocji, zarządzania ryzykiem w ruchu drogowym, morskim i powietrznym, dokonywania analizy cech i możliwości edukacyjnych uczniów i studentów w oparciu o ich wyniki w nauce, nadzorowania procesów migracyjnych przez odpowiednie władze państwowe oraz systemy przeznaczone do podejmowania decyzji lub wywierania istotnego wypływu na decyzje dotyczące uprawnień osób fizycznych do uzyskania ubezpieczenia zdrowotnego i na życie. Dostawcy systemów AI zostaną zobowiązani do zapewnienia przestrzegania wszystkich praw użytkowników, ze szczególnym uwzględnieniem ochrony ich danych osobowych. W rozporządzeniu wyróżniono także kategorię AI nieakceptowalnego ryzyka, którego wykorzystanie na terenie Unii Europejskiej będzie niedozwolone. Sztandarowym przykładem AI nieakceptowalnego ryzyka jest system „social scoringu”, czyli system oceny wiarygodności społecznej stosowany m.in. w Chinach.
AI Act wprowadzi również katalog zakazanych praktyk. W tym zakresie wskazano m.in. wykorzystywanie tzw. „predictive policing” polegającego na zastosowaniu systemów AI do przewidywania przestępstw przez określoną osobę w oparciu o dane historyczne lub uprzedzenia takie jak kolor skóry lub płeć. Ponadto, osoby, które uznają, iż doszło do naruszenia ich praw przez sztuczną inteligencję będą mogły wnieść skargę wzorowaną na prawie konsumenta do reklamacji w relacjach przedsiębiorca – konsument i odwołania od decyzji w relacjach państwo – obywatel. W związku z niedawno zaprezentowanymi zmianami, proponuje się utworzenie Europejskiego Urzędu ds. AI („EU AI Office”), odpowiedzialnego za nadzorowanie prawidłowego wdrażania i wykorzystywania systemów AI w Unii Europejskiejoraz wyznaczenie przez każde państwo członkowskie krajowego organu administracji, który będzie odpowiedzialny za rozpatrywanie wspomnianych skarg.
Na szczeblu unijnym, oprócz prac nad Aktem w sprawie sztucznej inteligencji, projektowana jest również dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję[3]. Dyrektywa ma stanowić uzupełnienie do AI Act i znaleźć zastosowanie w stosunku do pozaumownych cywilnoprawnych roszczeń z tytułu szkód spowodowanych przez AI, dochodzonych w oparciu o zasadę winy. Przepisy dyrektywy umożliwią formułowanie roszczeń nie tylko przez osoby poszkodowane, ale również przez osoby, które objęły prawa osoby poszkodowanej. Ponadto, wprowadzą domniemanie istnienia związku przyczynowego między winą pozwanego a funkcjonowaniem systemu sztucznej inteligencji. Dyrektywa przewiduje również nowe instrumenty prawnoprocesowe – wprowadza procesowy obowiązek ujawnienia odpowiedniej dokumentacji przez dostawcę lub użytkownika systemu AI wysokiego ryzyka, będącego potencjalnym pozwanym.
Sztuczna inteligencja a już obowiązujące przepisy
Warto zauważyć, iż na tle dyskusji dotyczącej zastosowań sztucznej inteligencji należy również pamiętać o odpowiedniej ochronie danych osobowych przetwarzanych przez systemy AI w oparciu o przepisy, które już teraz obowiązują. RODO[4], bo przede wszystkim o tej regulacji mowa, jest aktem „neutralnym technologicznie”, więc z punktu widzenia prawnej ochrony danych nie ma znaczenia, czy przetwarzanie danych osobowych odbywa się przy wykorzystaniu papierowej dokumentacji czy systemów informatycznych, w tym AI. W kontekście powyższych rozważań, dotyczących m.in. zautomatyzowanego przetwarzania informacji (mogących stanowić dane osobowe), na szczególną uwagę zasługuje art. 22 ust. 1 RODO odnoszący się do zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, w tym profilowania. Zgodnie z treścią tego przepisu, osoba, której dane dotyczą, ma prawo, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Oznacza to, iż w przypadku sprzeciwu osoby, której dane dotyczą, nie może być ona adresatem decyzji wywołującej wobec niej skutki prawne, o ile podstawą tej decyzji było zautomatyzowane przetwarzanie danych osobowych. Jednak wyjątek od powyższej reguły wprowadza art. 22 ust. 2 RODO. Przewiduje on, iż decyzja oparta o zautomatyzowane przetwarzanie może zostać podjęta w stosunku do osoby, której dane dotyczą, jeżeli:
- jest niezbędna do zawarcia lub wykonania umowy między tą osobą, a administratorem (tu podmiot nadzorowany),
- jest dozwolona prawem Unii Europejskiej lub prawem państwa członkowskiego oraz
- doszło do udzielenia wyraźnej zgody na takie przetwarzanie przez tę osobę.
Co więcej, przepisy RODO nakładają na administratora danych obowiązek wdrażania adekwatnych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. W konsekwencji, możliwe jest przy spełnieniu odpowiednich przesłanek przetwarzanie danych osobowych w sposób zautomatyzowany, tj. przy wykorzystaniu systemów sztucznej inteligencji, w oparciu o które zostanie wydana określona decyzja lub zawarta umowa, przy jednoczesnym zapewnieniu zgodności przetwarzania danych z prawem. Problemem jednak może okazać się zakres danych wykorzystywanych w ramach przeprowadzanych operacji przez AI. W sytuacji przetwarzania danych przez algorytm konieczne jest uwzględnienie zasady minimalizacji danych, o której mowa w art. 5 RODO. Przepis reguluje, iż dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Obowiązek zapewnienia adekwatności przetwarzanych danych przez system AI spoczywa na administratorze. Jest on zobowiązany do przeciwdziałania sytuacjom, gdy wykorzystywane przez niego systemy sztucznej inteligencji będą przetwarzać dane w zakresie szerszym, niż jest to niezbędne w danych celu.
Niezależnie od regulacji w obszarze ochrony danych osobowych, instytucje finansowe, zainteresowane wdrożeniem rozwiązań od zewnętrznych dostawców systemów AI, powinny wziąć pod uwagę przepisy określające wymogi dla outsourcingu regulowanego (np. bankowego, ubezpieczeniowego czy płatniczego). Co więcej, o ile system AI będzie wykorzystywać rozwiązania chmury obliczeniowej, konieczne może okazać się spełnienie wymagań wynikających z tzw. Komunikatu Chmurowego UKNF[5].
Podsumowanie
Tytułem podsumowania, rozwój sztucznej inteligencji niewątpliwie stawia nowe wyzwania zarówno po stronie ustawodawcy, jak i samych dostawców tej technologii, która już w tej chwili odgrywa istotną rolę w sektorze FinTech. Jej rosnąca popularność wśród użytkowników, szerokie zastosowanie i znaczący wpływ na optymalizację procesów sprawiają, iż bezsprzecznie będzie ona oddziaływać na kolejne obszary rynku, stając się „must have” każdej prosperującej instytucji finansowej.
[1] Ustawa z dnia 29 sierpnia 1997 roku – Prawo bankowe (Dz.U. 1997 Nr 140 poz. 939).
[2] Rozporządzenie Parlamentu Europejskiego i Rady UE ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji) i zmieniające niektóre akty ustawodawcze Unii.
[3] Dyrektywa Parlamentu Europejskiego i Rady UE w sprawie dostosowania przepisów dotyczących pozaumownej odpowiedzialności cywilnej do sztucznej inteligencji (dyrektywa w sprawie odpowiedzialności za sztuczną inteligencję).
[4] Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[5] Komunikat Urzędu Komisji Nadzoru Finansowego z dnia 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.