Cele rozporządzenia w sprawie sztucznej inteligencji (AI Act)
Rozporządzenie Parlamentu Europejskiego i Rady 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (Dz. Urz. UE L, 2024/1689, 12 lipca 2024; dalej rozporządzenie w sprawie sztucznej inteligencji lub AI Act lub rozporządzenie) weszło w życie 1 sierpnia 2024 ale będzie stosowane, z pewnymi wyjątkami, dopiero od 2 sierpnia 2026 r.
Chociaż na pierwszy rzut oka trudno o taki wniosek, to jednak uważna lektura już pierwszego punktu preambuły AI Act oraz jego art. 1 określających cele rozporządzenia, wskazuje, że regulacja ta będzie mieć istotne znaczenie dla banków. Otóż dla banków kluczowe jest zaufanie, a AI Act ma wspierać rozwój godnej zaufania sztucznej inteligencji (stąd wynika – generalnie: przyjaznej człowiekowi). Banki są instytucjami zaufania publicznego, a zatem co do zasady nie mogą korzystać z systemów AI Act oszukańczych, wprowadzających w błąd. Systemy sztucznej inteligencji niepokoją m.in. dlatego, że umożliwiają wykorzystywanie ludzkich słabości i niedoskonałości w stopniu dotychczas niespotykanym. Kluczowe, w przypadku banków, jest budowanie zaufania, poprzez zapewnienie klientom bezpieczeństwa stosowanej technologii. Banki powinny także działać zgodnie z wartościami Unii Europejskiej i prawami podstawowymi zapisanymi w Karcie praw podstawowych Unii Europejskiej. Te ogólne cele, wskazane w pkt 1 preambuły, znajdują następnie uszczegółowienie w odniesieniu do banków w dalszych punktach preambuły i w treści przepisów rozporządzenia.
Czy banki mieszczą się w zakresie podmiotowym rozporządzenia w sprawie sztucznej inteligencji (AI Act)?
Zakres podmiotowy rozporządzenia w sprawie sztucznej inteligencji określa art. 2 ust. 1 AI Act. Banki ewidentnie mieszczą się w tym zakresie. Według art. 2 ust. 1 lit b) rozporządzenia w sprawie sztucznej inteligencji znajduje ono zastosowanie do podmiotów stosujących systemy AI (deployers of AI systems), które to podmioty mają siedzibę lub znajdują się w Unii. Definicja systemu AI jest zawarta w art. 3 pkt 1 rozporządzenia a definicja podmiotu stosującego system AI (deployer) w pkt 4 tego artykułu. Tu kluczowe jest określenie, w danym stanie faktycznym, co to oznacza, że dany podmiot (np. bank) wykorzystuje system AI, nad którym sprawuje kontrolę (using an AI system under its authority), szczególnie w kontekście outsourcingu. Do pomyślenia są mianowicie dwie sytuacje: taka, w której bank korzysta z systemu AI nad którym sprawuje kontrolę oraz taka, w której bank korzysta z systemu AI, nad którym kontroli nie sprawuje. Ustalenie tej kwestii ma szczególne znaczenie dla tzw. systemów AI wysokiego ryzyka, ponieważ w istocie regulacja zwarta w AI Act skupia się przede wszystkim na tych systemach.
Bankowe systemy AI wysokiego ryzyka
Zasady kwalifikacji systemów AI jako systemów wysokiego ryzyka określa art. 6 rozporządzenia w sprawie sztucznej inteligencji. Zasady te są dość skomplikowane, przy kwalifikacji należy stosować rozbudowane załączniki do rozporządzenia i co więcej – artykuł ten przewiduje wyjątki, od których w szczegółowo określonych sytuacjach są dalsze wyjątki.
W art. 6 ust. 1 rozporządzenia w sprawie sztucznej inteligencji zawarto odesłanie do załącznika I tego rozporządzenia i biorąc pod uwagę treść tego załącznika wydaje się mało prawdopodobne aby ustęp ten miał zastosowanie do systemów AI używanych przez banki. Natomiast art. 6 ust. 2 odsyła do załącznika III, który wymienia takie systemy AI, które ewidentnie mogą być wykorzystywane przez banki. Chodzi tu o:
- systemy AI przeznaczone do wykorzystywania do celów oceny zdolności kredytowej osób fizycznych lub ustalenia ich scoringu kredytowego, z wyjątkiem systemów AI wykorzystywanych w celu wykrywania oszustw finansowych,
- systemy zdalnej identyfikacji biometrycznej (z wyjątkiem systemów AI przeznaczonych do wykorzystywania przy weryfikacji biometrycznej, której jedynym celem jest potwierdzenie, że określona osoba fizyczna jest osobą, za którą się podaje – banki głównie w tym celu wykorzystują identyfikację biometryczną).
Bank, jak każdy pracodawca, może korzystać z systemów AI przeznaczonych do wykorzystywania do celów rekrutacji lub wyboru osób fizycznych a także z systemów AI przeznaczonych do wykorzystywania do celów podejmowania decyzji wpływających na warunki stosunków pracy (decyzji o awansie lub rozwiązaniu umownego stosunku pracy, przydzielania zadań w oparciu o indywidualne zachowanie lub cechy osobowości lub charakter lub do monitorowania lub oceny wydajności i zachowania osób pozostających w takich stosunkach) – takie systemy załącznik III uznaje za systemy AI wysokiego ryzyka.
Dla stosowania art. 6 AI Act istotne są wyjątki. Na przykład pomimo wskazania systemu AI w załączniku III może okazać się, że dany system nie jest systemem AI wysokiego ryzyka, ponieważ jest „przeznaczony do poprawienia wyniku zakończonej uprzednio czynności wykonywanej przez człowieka”. Zresztą przy stosowaniu wyjątku od kwalifikacji systemu AI jako „wysokiego ryzyka” ustawodawca unijny posługuje się szeregiem niedookreślonych zwrotów, które mogą w praktyce budzić sporo wątpliwości co do ich zakresu, chodzi tu np. o takie pojęcia jak: „stwarzanie znaczącego ryzyka” (pose a significant risk), „brak znaczącego wpływu na wynik procesu decyzyjnego” (not materially influencing the outcome of decision making), „wąsko określone zadanie proceduralne” (a narrow procedural task), czy „wykonywanie zadań przygotowawczych” (to perform a preparatory task).
Obowiązki banków stosujących systemy AI wysokiego ryzyka
Rozporządzenie w sprawie sztucznej inteligencji przewiduje w art. 26 szereg obowiązków dla podmiotów, które stosują systemy AI wysokiego ryzyka, a więc również dla banków, o ile takie systemy stosują. Chodzi tu o następujące obowiązki:
- podejmowanie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, że systemy AI wysokiego ryzyka są wykorzystywane zgodnie z dołączoną do nich instrukcją obsługi,
- powierzenie sprawowania nadzoru nad systemem AI wysokiego ryzyka człowiekowi, tj. osobie fizycznej, która ma niezbędne kompetencje, przeszkolenie i uprawnienia, a także niezbędne wsparcie (the necessary support),
- zapewnienie (bez uszczerbku dla dwóch wyżej wskazanych obowiązków), w takim zakresie, w jakim bank sprawuje kontrolę nad danymi wejściowymi, adekwatność i wystarczającą reprezentatywność w odniesieniu do przeznaczenia systemu AI wysokiego ryzyka (ta „adekwatność” oraz „reprezentatywność”, jak się wydaje, musi być ustalana w odniesieniu do konkretnego stanu faktycznego oraz sytemu AI),
- monitorowanie działania systemu AI wysokiego ryzyka w oparciu o instrukcję obsługi i informowanie, w stosownych przypadkach dostawców tych systemów, zgodnie z art. 72 rozporządzenia,
- przechowywanie generowanego automatycznie przez system AI wysokiego ryzyka rejestru zdarzeń (przez okres co najmniej 6 miesięcy, chyba że odpowiednie przepisy UE lub prawo krajowe nie stanowi inaczej), przy czym banki prowadzą takie rejestry jako część dokumentacji prowadzonej na podstawie przepisów CRD IV i implementujących tę dyrektywę przepisów krajowych (wydaje się, że należy tu wskazać art. 73 ust. 1 dyrektywy CRD IV nakładający obowiązek na instytucje kredytowe posiadania solidnych zasad zarządzania oraz skuteczne procedury służące identyfikacji ryzyka oraz jego monitorowania oraz odpowiednie mechanizmy kontroli wewnętrznej; w polskim prawie tej regulacji odpowiadają przepisy art. 9 – 9c ustawy Prawo bankowe),
- dokonanie, zgodnie z art. 27 AI Act, oceny skutków systemu AI wysokiego ryzyka dla praw podstawowych.
Jeżeli banki zamierzają stosować systemy AI wysokiego ryzyka względem swoich pracowników, mają obowiązek przed oddaniem do użytku lub wykorzystaniem takiego systemu w miejscu pracy, poinformować przedstawicieli pracowników i pracowników, których to dotyczy, że będzie w stosunku do nich wykorzystywany system AI wysokiego ryzyka.