Ramy zarządzania AI dla polskich instytucji finansowych

Firma inwestycyjna z Warszawy wdraża algorytm scoringowy do oceny wniosków kredytowych. Dział prawny pyta: czy to system wysokiego ryzyka w rozumieniu AI Act? Dział IT pyta: czy spełniamy wymogi DORA dotyczące ryzyka ICT? Dział compliance pyta: gdzie jest dokumentacja dla KNF? Trzy pytania, trzy regulacje, jeden brak odpowiedzi – i realna odpowiedzialność zarządu za każde z nich.

Ramy zarządzania AI dla polskich instytucji finansowych wynikają z trzech nakładających się regulacji: AI Act (Rozporządzenie UE 2024/1689, w mocy od 1 sierpnia 2024 r.), DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 r.) oraz RODO (Rozporządzenie UE 2016/679). Systemy AI stosowane w scoringu kredytowym, rekrutacji i biometrii są klasyfikowane jako wysokiego ryzyka i wymagają oceny zgodności przed wdrożeniem. Kary za naruszenia DORA nakładane przez KNF mogą sięgać 1% rocznego obrotu.

Poniższy przewodnik przeprowadza przez cztery etapy budowania ram zarządzania AI: klasyfikację systemów, wymagania dokumentacyjne, zarządzanie ryzykiem ICT oraz praktyczne scenariusze dla różnych typów instytucji. Każdy etap zawiera konkretne terminy i progi, które decydują o zakresie obowiązków.

Jak sklasyfikować systemy AI w instytucji finansowej?

Pierwszym krokiem jest klasyfikacja. AI Act dzieli systemy na cztery kategorie: niedozwolone, wysokiego ryzyka, wymagające przejrzystości oraz systemy ogólnego przeznaczenia. Dla instytucji finansowej najistotniejsza jest kategoria wysokiego ryzyka – obejmuje scoring kredytowy, systemy HR do rekrutacji oraz rozwiązania biometryczne. Ocena zgodności musi poprzedzać wdrożenie.

W praktyce wiele instytucji popełnia ten sam błąd. Zakupują gotowe rozwiązanie od dostawcy technologicznego i przyjmują, że dokumentacja dostawcy wystarczy. Tymczasem AI Act rozróżnia role „dostawcy" i „użytkownika" (deployer). Instytucja finansowa wdrażająca gotowy system scoringowy jest użytkownikiem – ale nadal ponosi własne obowiązki weryfikacyjne.

Klasyfikacja wymaga odpowiedzi na trzy pytania. Po pierwsze: czy system podejmuje lub wspomaga decyzje wpływające na prawa osób fizycznych? Po drugie: czy jest wymieniony w Załączniku III do AI Act? Po trzecie: czy przetwarza dane biometryczne lub wrażliwe kategorie danych osobowych? Odpowiedź „tak" na którekolwiek z nich uruchamia reżim wysokiego ryzyka.

Małe banki spółdzielcze i SKOK-i często błędnie zakładają, że skala działalności zwalnia je z obowiązków. AI Act nie przewiduje progu przychodowego dla klasyfikacji ryzyka. Jedynym kryterium jest funkcja systemu – nie wielkość instytucji.

• Scoring kredytowy → system wysokiego ryzyka (Załącznik III AI Act)
• Chatbot obsługi klienta bez decyzyjności → niskie ryzyko, obowiązek przejrzystości
• Algorytm wykrywania fraudów → analiza indywidualna (zależy od zakresu decyzji)
• Biometryczna identyfikacja klientów → system wysokiego ryzyka
• Narzędzie do analizy rynku bez wpływu na indywidualne decyzje → ogólne przeznaczenie

Jakie dokumenty musi przygotować instytucja finansowa?

Dokumentacja to fundament zgodności z AI Act i DORA. Dla systemów wysokiego ryzyka AI Act wymaga technicznej dokumentacji systemu, dziennika zdarzeń (log), instrukcji dla użytkownika oraz oceny zgodności. DORA nakłada równolegle obowiązek prowadzenia rejestru aktywów ICT – każdy system AI musi znaleźć się w tym rejestrze z opisem funkcji, dostawcy i zależności. Oba dokumenty muszą być gotowe przed wdrożeniem.

Instytucja z Krakowa – towarzystwo funduszy inwestycyjnych – odkryła jesienią 2024 r., że jej rejestr ICT nie obejmuje trzech systemów AI zakupionych w ciągu poprzednich 18 miesięcy. Uzupełnienie dokumentacji zajęło sześć tygodni i wymagało zaangażowania zewnętrznego audytora. Koszt: około 80 000 PLN. Koszt braku dokumentacji przy kontroli KNF mógłby być wielokrotnie wyższy.

RODO dodaje trzecią warstwę. Jeśli system AI przetwarza dane osobowe – a scoring kredytowy zawsze to robi – konieczna jest ocena skutków dla ochrony danych (DPIA). PUODO (Urząd Ochrony Danych Osobowych) wymaga przeprowadzenia DPIA przed uruchomieniem systemu. Brak DPIA to naruszenie RODO, niezależne od zgodności z AI Act.

Minimalny pakiet dokumentacyjny dla systemu scoringowego obejmuje: dokumentację techniczną AI Act, rejestr ICT zgodny z DORA, ocenę zgodności, DPIA zgodną z RODO oraz procedurę obsługi skarg klientów kwestionujących decyzję algorytmu. Łącznie – pięć dokumentów, trzy regulacje, jeden system.

Uważamy, że bezpieczniejszym rozwiązaniem jest budowanie dokumentacji w jednym projekcie interdyscyplinarnym, a nie sekwencyjnie przez trzy różne działy. Duplikacja pracy kosztuje więcej niż integracja od początku. Warto też pamiętać, że dokumentacja AI Act musi być dostępna dla KNF na żądanie – w języku polskim lub angielskim.

Jeśli Państwa instytucja korzysta z rozwiązań zagranicznych dostawców technologicznych, pomocne może być zapoznanie się z analizą strategii ochrony IP dla firm technologicznych działających w Polsce – szczególnie w kontekście praw do dokumentacji i kodu źródłowego systemów AI.

Konkretna sytuacja Państwa instytucji wymaga oceny, które systemy AI podlegają reżimowi wysokiego ryzyka i jakie dokumenty są wymagane przed kontrolą KNF. Brak dokumentacji to nieodwracalne ryzyko sankcyjne – nie można jej wytworzyć wstecznie po wszczęciu postępowania.

Jeśli Państwa instytucja wdraża lub planuje wdrożenie systemów AI w obszarze kredytowym, ubezpieczeniowym lub HR – przeprowadzimy klasyfikację systemów, sporządzimy dokumentację AI Act i DORA oraz przygotujemy DPIA: info@kordeckipartners.com.

Jak zarządzać ryzykiem ICT zgodnie z DORA?

DORA obowiązuje od 17 stycznia 2025 r. i dotyczy wszystkich podmiotów finansowych nadzorowanych przez KNF: banków, firm inwestycyjnych, zakładów ubezpieczeń, TFI, platform crowdfundingowych i dostawców usług płatniczych. Obowiązek zarządzania ryzykiem ICT obejmuje każdy system informatyczny – w tym systemy AI. Termin na dostosowanie ram zarządzania ryzykiem ICT minął wraz z wejściem rozporządzenia w życie.

Kluczowym elementem jest klasyfikacja incydentów. DORA wymaga zgłaszania poważnych incydentów ICT do KNF w ciągu 4 godzin od ich wykrycia (wstępne powiadomienie), a następnie szczegółowego raportu w ciągu 72 godzin. Jeśli awaria systemu AI wpłynęła na dostępność usług finansowych – mamy do czynienia z incydentem ICT wymagającym zgłoszenia.

W praktyce – wiele instytucji o tym zapomina – awaria algorytmu scoringowego, która zatrzymała przyznawanie kredytów przez kilka godzin, może spełniać kryteria „poważnego incydentu ICT". Próg nie jest wysoki. Wystarczy, że incydent dotknął znaczną liczbę klientów lub wpłynął na krytyczne funkcje biznesowe.

DORA nakłada też obowiązki wobec dostawców zewnętrznych. Umowy z dostawcami systemów AI muszą zawierać klauzule dotyczące: prawa do audytu, ciągłości usług, lokalizacji danych oraz procedur wyjścia. Brak tych klauzul w istniejących umowach to luka wymagająca natychmiastowego uzupełnienia. Odpowiedzialność zarządu za brak właściwych ram ICT jest porównywalna z odpowiedzialnością za zaległości podatkowe – w obu przypadkach może być osobista. Więcej o mechanizmach tej odpowiedzialności opisujemy w analizie odpowiedzialności zarządu za zaległości podatkowe z art. 116 Ordynacji podatkowej.

Trzy scenariusze: bank, ubezpieczyciel, fintech

Różne typy instytucji finansowych mają różne profile ryzyka regulacyjnego w obszarze AI. Trzy scenariusze pokazują, jak te same regulacje przekładają się na konkretne obowiązki i koszty.

Scenariusz 1: Bank komercyjny. Bank wdraża system AI do oceny ryzyka kredytowego dla klientów detalicznych. System jest klasyfikowany jako wysokiego ryzyka (Załącznik III AI Act). Wymagana dokumentacja techniczna, DPIA, rejestr ICT zgodny z DORA oraz procedura wyjaśniania decyzji klientom. Koszt wdrożenia ram zgodności: od 150 000 do 300 000 PLN, w zależności od złożoności systemu. Termin: przed wdrożeniem systemu.

Scenariusz 2: Zakład ubezpieczeń. Towarzystwo ubezpieczeniowe używa algorytmu do ustalania składek dla klientów indywidualnych. Jeśli algorytm przetwarza dane wrażliwe (np. dane zdrowotne) – RODO wymaga DPIA i podstawy prawnej przetwarzania. AI Act może wymagać oceny zgodności, zależnie od stopnia automatyzacji decyzji. DORA obejmuje system jako element infrastruktury ICT. Trzy regulacje, jeden system, jeden projekt compliance.

Scenariusz 3: Fintech bez licencji KNF. Startup oferujący narzędzia analityczne dla doradców finansowych. Jeśli startup nie jest podmiotem nadzorowanym – DORA go nie dotyczy. Ale AI Act i RODO stosują się niezależnie od nadzoru. Jeśli narzędzie wpływa na decyzje inwestycyjne klientów doradców – możliwa klasyfikacja jako system wysokiego ryzyka. Wejście na rynek bez analizy klasyfikacyjnej to ryzyko, które zamyka drogę do szybkiego skalowania.

Dla podmiotów działających transgranicznie – np. obsługujących klientów z Cypru lub UE – istotne są też przepisy o transferze danych. Mechanizmy prawne transferu danych z Polski omawia analiza transferu danych z Polski na Cypr.

Konkretna sytuacja każdej instytucji wymaga indywidualnej oceny zakresu obowiązków wynikających z AI Act, DORA i RODO. Pominięcie jednej z regulacji nie eliminuje odpowiedzialności – nieodwracalnie ją zwiększa.

Jeśli Państwa instytucja należy do jednego z powyższych scenariuszy i nie ma jeszcze wdrożonych ram zarządzania AI – przeprowadzimy gap analysis, określimy zakres obowiązków i przygotujemy harmonogram wdrożenia: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mały bank spółdzielczy z przychodami poniżej 10 mln PLN musi stosować AI Act?

O: Tak. AI Act nie przewiduje progu przychodowego dla podmiotów objętych regulacją. Obowiązki zależą wyłącznie od funkcji wdrożonego systemu AI – nie od wielkości instytucji. Jeśli bank spółdzielczy używa algorytmu do oceny wniosków kredytowych, ma obowiązek przeprowadzenia oceny zgodności i prowadzenia dokumentacji technicznej. Termin stosowania przepisów dotyczących systemów wysokiego ryzyka upływa 2 sierpnia 2026 roku.

P: Czy dokumentacja wymagana przez AI Act i DORA może być wspólna?

O: Częściowo. Rejestr aktywów ICT wymagany przez DORA może zawierać odniesienia do dokumentacji technicznej AI Act, ale oba dokumenty mają różny zakres i strukturę wymaganą przez każde z rozporządzeń. Bezpieczniejszym rozwiązaniem jest opracowanie zintegrowanego systemu dokumentacyjnego, który spełnia wymogi obu regulacji bez powielania danych. Oszczędza to czas i redukuje ryzyko niespójności, które może być przedmiotem uwag KNF podczas kontroli.

P: Ile kosztuje wdrożenie ram zarządzania AI w średniej wielkości instytucji finansowej?

O: Koszty zależą od liczby systemów AI, ich klasyfikacji i stanu obecnej dokumentacji. Dla instytucji z dwoma lub trzema systemami wysokiego ryzyka, bez wcześniejszego przygotowania dokumentacji, koszt kompleksowego projektu compliance wynosi zazwyczaj od 120 000 do 250 000 PLN. Obejmuje to analizę klasyfikacyjną, dokumentację AI Act, aktualizację rejestru ICT, przeprowadzenie DPIA oraz szkolenie personelu. Instytucje, które wcześniej wdrożyły RODO i mają aktualny rejestr przetwarzania, zwykle ponoszą niższe koszty.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, w tym AI Act, DORA i RODO. Pracujemy z polskimi instytucjami finansowymi, inwestorami zagranicznymi i działami prawnymi korporacji wdrażających systemy AI. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.