Artikkeli
Tekoälysäädös pähkinänkuoressa – vaikutukset finanssialalle
EU:ssa päästiin perjantaina 8.12.2023 yhteisymmärrykseen tekoälyä koskevista yhdenmukaistetuista säännöistä (EU Artificial Intelligence Act). Seuraavaksi tekoälysäädös kulkee läpi EU:n lainsäädännön hyväksymisprosessin. Euroopan lainsäätäjien odotetaan hyväksyvän tekoälysäädöksen alkuvuodesta 2024. Voimaantulon jälkeen organisaatioilla on 24 kuukautta aikaa sopeuttaa toimintansa sääntelynmukaiseksi. Tässä artikkelissa keskitymme tekoälysäädökseen erityisesti finanssialan näkökulmasta.
Tutki sisältöä
- Tekoälysäädös tiivistettynä
- Tekoälysäädöksen voimaantulo ja valvonta
- Mitä tekoälysäädös merkitsee finanssialan yrityksille?
- Tekoälysääntelyn täytäntöönpano finanssialalla
- Ota meihin yhteyttä
Tekoälysäädös tiivistettynä
Teknologian ja tekoälyn nopea kehittyminen ovat lisänneet tarvetta niiden sääntelylle. Euroopan Unionin tekoälysäädös (Artificial Intelligence Act, AI Act) on maailman ensimmäinen tekoälyä kattavasti käsittelevä sääntelykokonaisuus. Laki koskee niin tekoälyn kehittämistä kuin julkaisun jälkeistä käyttöäkin. Lain tehtävänä on asettaa raamit tekoälyyn liittyvälle lainsäädännölle sekä varmistaa, että tekoäly on läpinäkyvää, jäljitettävissä olevaa, syrjimätöntä, sekä ympäristöystävällistä. Tekoälyn tulisi myös aina viimekädessä olla ihmisen valvonnassa.
Tavoitteilla pyritään takaamaan, että tekoälyjärjestelmät ovat turvallisia ja noudattavat Euroopan Unionin voimassa olevia perusoikeuksia ja lakeja. Sääntelyssä tekoälyjärjestelmällä tarkoitetaan ohjelmistoa, joka kykenee itse tuottamaan ratkaisuja ihmisen asettamille tavoitteille.
Tekoälysäädös on riskiperusteinen ja jakautuu neljään pääasialliseen riskitasoon:
- Riski, jota ei voida hyväksyä
- Suuri riski
- Rajallinen riski
- Vähäinen tai minimaalinen riski
Jokaiselle riskitasolle on määritetty omat vaatimuksensa. Suuriin riskeihin ja ihmiskeskeisiin tekoälyjärjestelmiin kiinnitetään erityistä huomiota ja asetetaan tiukempia vaatimuksia ja valvontatoimenpiteitä.
Tekoälysäädöksen voimaantulo ja valvonta
Euroopan parlamentti ja EU-maita edustava neuvosto saavuttivat yhteisymmärryksen tekoälysäädöksestä perjantaina 8. joulukuuta 2023. Neuvottelijat sopivat muun muassa turvatoimista ja poikkeuksista biometristen tunnistusjärjestelmien (RBI) käytölle. Korkean riskin tekoälyjärjestelmiin liittyen säädökseen sisällytettiin pakollinen perusoikeusvaikutusten arviointi, joka koskee myös pankki- ja vakuutusalaa. Näiden lisäksi EU:n kansalaisilla on oikeus tehdä valituksia ja pyytää selityksiä päätöksistä, jotka vaikuttavat heidän oikeuksiinsa ja joita tekoälyjärjestelmät ovat tehneet. Tämä edellyttää, että organisaation on kyettävä tarkistamaan ja selventämään päätösten perusteet palaten tarvittaessa alkuperäiseen dataan.
Seuraavaksi sovittu teksti on virallisesti hyväksyttävä sekä parlamentissa että neuvostossa tullakseen EU:n laiksi. Parlamentin sisämarkkina- ja kansalaisvapausvaliokunnat äänestävät sopimuksesta tulevassa kokouksessaan.
Tekoälysäädöksen valvontaa varten perustetaan Euroopan tekoälyvirasto, jotta säädöksen täytäntöönpano helpottuu. Tekoälyelimen tehtävänä on edistää tekoälyn käytön etuja ja antaa neuvoja, lausuntoja sekä suosituksia. Säädöksen toivotaan ehkäisevän EU:n sisämarkkinan hajautumista sekä helpottavan tekoälyyn liittyviä investointeja ja innovointia.
Tekoälysäädöksen noudattamatta jättämisestä voidaan määrätä sakkoja yhtiölle enimmillään 35 miljoonaa euroa tai 7 prosenttia yhtiön liiketoiminnasta noudattamatta jätetystä artiklasta riippuen.
Mitä tekoälysäädös merkitsee finanssialan yrityksille?
Tekoälyä käytetään finanssialalla niin yritysten itsensä kuin niiden asiakkaiden eduksi ja sen käyttö tulee lisääntymään. Tekoälysäädös on ylätason sääntelyä, joten juuri finanssialalla käytettyjä tekoälytyökaluja ei mainita siinä erikseen muuten kuin luottoriskipisteytysmallien ja -riskiarviointityökalujen osalta. Nämä löytyvät mainittuina, sillä ne kuuluvat korkean riskin järjestelmiin, joissa henkilö saattaa joutua syrjityksi taloudellisen profiilinsa perusteella.
Tekoälysäädöksen toteutumisen valvonta valtuutetaan finanssivalvontaviranomaisille. Näin ollen finanssialan valvontarakenne ei koe merkittävää muutosta tekoälysäädöksen myötä, vaan valvonta sisällytetään nykyisiin valvontamenetelmiin.
Tekoälyn tuomat uudet näkökulmat tulisi sisällyttää finanssiyhtiöillä oleviin valmiisiin toimintamalleihin. Tekoälysäädöksessä viitataan voimassa oleviin finanssialan säännöksiin, joiden oletetaan olevan yrityksissä jo suurilta osin kunnossa. Tällaisiin lukeutuu esimerkiksi datan käyttöön liittyvä sääntely.
Säädös tulee edellyttämään, että finanssialan yrityksillä on tarvittava osaaminen tekoälyyn liittyen. Tekoälyn hallinnointi vaatii monipuolisen tiimin, joka koostuu organisaation eri osista ja kyvykkyyksistä. Yritysten tuleekin todennäköisesti järjestää tekoälyyn liittyviä koulutuksia tai resursoida itselleen uusia osaajia. Tekoälysäädös tulee edellyttämään tekoälyyn liittyvän vastuunjaon määrittämistä organisaatioissa.
Tekoälysääntelyn täytäntöönpano finanssialalla
Finanssiyhtiöiden on nyt korkea aika käynnistää arviointi nykyisten toimintatapojensa vastaavuudesta tekoälysäädöksen edellytysten kanssa. Alustavilla tekoälyä koskevilla laeilla tulee olemaan lukuisia eri sovelluksia finanssialalla, sillä finanssialan yhtiöt voivat hienosäätää asetettuja lakeja omien tarpeidensa mukaan. On suositeltavaa selvittää, millä tavoin tekoälyä tällä hetkellä hyödynnetään ja kuinka sen valvonta on järjestetty.
Finanssiyhtiöiden on lisäksi hyvä huomioida, kuinka Euroopan Unionin DORA-asetuksen (Digital Operational Resilience Act) vaatimukset ovat vuorovaikutuksessa tekoälysäädöksen vaatimusten kanssa. Vuorovaikutuskohtia saattaa ilmetä erityisesti tieto- ja viestintätekniikkariskien hallinnoinnissa ja valvonnassa, sekä ylipäätään kolmasiin osapuoliin liittyvien riskien hallinnassa. Tekoälyn kehittyessä voidaan olettaa ICT-palveluiden ulkoistusten lisääntyvän. Samanaikaisesti GDPR asettaa henkilötietojen suojalle yleiset standardit, jotka voivat olla relevantteja myös tekoälyn käytössä. Säädösten yhteensovittaminen on tärkeää kattavan ja tehokkaan sääntelyn mukaisen toiminnan varmistamiseksi.
Tuemme tekoälysäädöksen tuomien vaatimusten täytäntöönpanossa
Autamme finanssisektorin organisaatioita ennakoimaan ja sopeutumaan sääntely-ympäristön muutoksiin sekä kehittämään compliance-valmiutta säädösten ja sääntelyyn liittyvien riskien käsittelyssä.
Palveluihimme kuuluu muun muassa:
- Sääntelyn sovittaminen organisaation strategiaan
- Datan hallinnointi
- Compliance-kyvykkyyksien arviointi ja kehittäminen
- IT-riskienhallinta (TVT-riskienhallinta)
- Häiriöhallinta ja häiriöraportointi
- Toimittajariskien hallinta
- Digitaalisen häiriönsietokyvyn testaus, kuten tietoturvatestaus tai penentraatiotestaus
Suositukset
EU:n datastrategia – tavoitteena hyödyntää dataa tehokkaasti ja laadukkaasti
Datasäädös on Euroopan datastrategian pilari, sillä se edistää kilpailuun perustuvia datamarkkinoita avaamalla uusia mahdollisuuksia yrityksille ja parantamalla datan saatavuutta kaikille yrityksille ja kuluttajille.
Finanssialan vuosi 2024
Miltä näyttää pankki- ja vakuutussektorin tuleva vuosi?