Saksan BaFin julkaisi ohjeet tekoälyn käytöstä rahoitusalalla

Saksan finanssivalvoja BaFin on julkaissut ohjeistuksen siitä, miten tekoälyjärjestelmiä (AI) tulee hallinnoida ja integroida rahoitus- ja vakuutuslaitoksissa. Uusi ohjeistus pyrkii selventämään, miten EU:n tekoälyasetuksen (AI Act) periaatteet ja digitaalisen toimintakyvyn vikasietoisuuden säädöksen (DORA) vaatimukset yhdistyvät käytännössä.

Tekoälyn käyttö lisääntyy rahoitusalalla nopeasti aina sisäisistä kontrolleista asiakasrajapintaan. Tämä lisää kuitenkin myös riskejä. BaFinin ohjeistus korostaa, että tekoälyä ei tule tarkastella erillisenä innovaatioprojektina, vaan se on integroitava tiiviisti olemassa oleviin tietojenkäsittely- ja tietoturvariskien hallintarakenteisiin. Ohjeistuksessa vaaditaan tekoälyn koko elinkaaren huomioimista, kehityksestä ja koulutuksesta aina käyttöön, ylläpitoon sekä tietojen turvalliseen poistoon.

BaFin tulkitsee tekoälyjärjestelmiä teknisesti verkkoyhteys- ja informaatiojärjestelminä, jotka kuuluvat DORA-asetuksen piiriin. Tämä tarkoittaa, että tekoälykomponentteihin sovelletaan samoja riski- ja hallintavaatimuksia kuin muihinkin tietojärjestelmiin. Yritysten on varmistettava järjestelmien toimintavarmuus (resilienssi) ja suojattava ne mahdollisilta vioilta, manipuloinnilta ja kyberhyökkäyksiltä. Vaatimukset koskevat erityisesti luottolaitoksia ja vakuutusyhtiöitä, jotka ovat täysin DORA-asetuksen piirissä.

Ohjeistuksen tavoitteena on täyttää kuilu tekoälyasetuksen abstraktien vaatimusten ja rahoitusalan datakeskusten sekä pilviympäristöjen käytännön todellisuuden välillä. BaFin pyrkii varmistamaan, että tekoälyn hyödyt voidaan saavuttaa samalla kun varmistetaan alan vakaus ja asiakkaiden varojen turvallisuus. Pienempiin yrityksiin ja erillisiin säännellyille tahoille saatetaan soveltaa yksinkertaistettua menettelytapaa.