2025.12.10.

Az MNB AI-játékszabályai a bankoknak: mire kell készülni 2026 áprilisáig?

Az MNB átfogó MI-elvárásrendszert adott ki a bankoknak: a governance-től az ügyféltájékoztatásig mindent lefed, és 2026 áprilisától a megfelelés már elvárt.

A Magyar Nemzeti Bank átfogó elvárásrendszert fogalmazott meg a hitelintézetek MI-használatára vonatkozóan. A szabályozás a szervezetirányítástól az ügyféltájékoztatásig minden területet érint, és alkalmazása 2026 áprilisától elvárt.

A Magyar Nemzeti Bank 13/2025. (XII.3.) számú ajánlása nem csupán „frissítés” a korábbi digitális transzformációs elvárásokhoz képest: a XIV. fejezet gyakorlatilag a hazai bankszektor első átfogó AI-keretrendszere.

A dokumentum az MI biztonságos és felelős alkalmazására vonatkozó elvárásokat fogalmaz meg a szervezetirányítás, data governance, modellfejlesztés, kockázatkezelés, informatikai biztonság, MI-szakértelem és a kommunikáció területén.

Az ajánlás alkalmazását az MNB 2026. április 1-jétől várja el, a hitelintézeteknek pedig 2026. június 30-ig el kell készíteniük saját MI-alstratégiájukat. Az MNB elvárja, hogy az alstratégia konkrét mérföldköveket, mérhető mutatókat és részletes terveket tartalmazzon.

Röviden: Mit jelent az MNB MI-ajánlása a bankoknak a következő hónapokban?

A XIV. fejezet lényegében egy, az EU AI Act-tel összhangban álló, bankspecifikus MI-irányítási keretrendszert ad a hazai hitelintézetek kezébe.

A gyakorlatban a következő nagy feladatblokkok rajzolódnak ki:

MI-leltár és kockázati térkép kialakítása: Teljes körű leltár a banknál használt és tervezett MI-rendszerekről, kockázati besorolással és üzleti felelősökkel.
MI-alstratégia és governance-modell kialakítása: Board-szintű jóváhagyással, kijelölt MI-felelőssel, életciklus-alapú szabályzatokkal és döntési fórumokkal.
Data governance és modell-dokumentáció rendbetétele: Formális, auditálható MI-specifikus adatkormányzási rendszer kialakítása.
MI-specifikus kockázatkezelési és IT-biztonsági keret kialakítása: Új risk taxonomy, kockázati limitrendszer, MI-re szabott kontrollok és DORA-konform IT-biztonsági megoldások kialakítása.
MI-szakértelem fejlesztése és kommunikációs eljárások kidolgozása: Szervezetszintű AI-képességfejlesztő program bevezetése, az első és második védelmi vonal szerepeinek tisztázása, átlátható belső és külső AI-kommunikáció kidolgozása.

MI-alstratégia: az AI kikerül a „sandboxból”

Az MNB egyértelművé teszi:

amely hitelintézet MI-rendszert szolgáltat, alkalmaz vagy bevezetni tervez, annak a digitális transzformációs stratégiát ki kell egészítenie egy önálló MI-alstratégiával.

Ez az alstratégia rögzíti az MI-alkalmazás céljait, a fejlesztési és bevezetési terveket, valamint a megvalósítás mérföldköveit.

Ez a gyakorlatban többek között azt jelenti, hogy:

leltárba kell venni az összes már működő és tervezett MI-rendszert (saját fejlesztés és harmadik feles megoldás egyaránt),
ezekhez üzleti célokat, felelősöket, kockázati besorolást és kontrollkörnyezetet kell hozzárendelni,
a meglévő digitális és IT stratégiát, illetve kockázatkezelési keretrendszert MI-szempontból is újra kell gondolni.

Másképp fogalmazva: az MI többé nem „kísérleti fejlesztés”, hanem a core banki működés szerves, szabályozott része.

MI-governance: dedikált vezető, teljes életciklus-kontroll

A XIV. fejezet központi eleme, hogy a bank rendelkezzen hatékony és megbízható MI-irányítási rendszerrel, világos szervezeti felépítéssel és felelősségi körökkel.

Kulcsfontosságú elvárások:

MI-felelős vezető: legyen kijelölt, MI-jártassággal rendelkező, megfelelő felhatalmazású vezető, aki az MI-alstratégia megvalósításáért felel.
Életciklus-alapú szabályozás: belső szabályzatoknak ki kell terjedniük az MI-rendszerek teljes életciklusára – a kutatástól és tervezéstől a hatásvizsgálaton, fejlesztésen és tanításon át egészen az üzemeltetésig, monitoringig, hibakezelésig és kivezetésig.
Éves felülvizsgálat: a belső MI-szabályozást és folyamatokat legalább évente felül kell vizsgálni, a technológiai fejlődés üteméhez igazítva.

Az MNB külön nevesíti az AI-etika dimenzióját is: elvárja, hogy az intézmény etikai alapelvei az MI-fejlesztés és -alkalmazás során is érvényesüljenek, és jó gyakorlatnak tartja önálló MI-etikai kódex bevezetését.

A bankok számára ez a gyakorlatban board-szintű napirendet jelent: az MI-irányítás már nem pusztán IT- vagy innovációs kérdés, hanem prudenciális, reputációs és fogyasztóvédelmi kockázatokat közvetlenül érintő terület.

Data governance: az MI-adat nem „akármi”

Az MNB kifejezetten adatkormányzási rendszert vár el a nagy kockázatú MI-rendszerek esetén, amely részletesen szabályozza az adatbeszerzés, gyűjtés, előkészítés, tisztítás, címkézés, ellenőrzés, pótlás, tárolás, hozzáférés és törlés rendjét, valamint ezek dokumentálását.

Fontos üzenetek:

Adatminőség és fairness: saját fejlesztésű MI-rendszernél a tanító-, validáló- és tesztadatokkal szemben elvárás a pontosság, hibamentesség, részrehajlás- és diszkriminációmentesség.
Adatvédelmi megfelelés: személyes adatokat használó MI-rendszereknél a működés folyamatosan a hatályos adatvédelmi jogszabályokhoz kell, hogy igazodjon – az MI nem ad felhatalmazást „kreatív” adatkezelésre.
Transzparens adat-pipeline: a nyers adatokon végzett összes előkészítési és tisztítási lépést dokumentálni kell, hogy utólag visszakövethető legyen, milyen folyamatokon mentek át az MI-modell tanítóadatai.
Szintetikus adatok feltételekkel: mesterségesen előállított, szintetikus adatok csak alapos minőség- és alkalmassági vizsgálat, valamint validáció után alkalmazhatók.

Ezek a követelmények erősen rámutatnak: a „data governance” nem IT-technikai mellékszál, hanem az MI-kockázatkezelés magja – különösen a hitelezési, AML, fraud-szűrési és ügyfél-szegmentációs modellek esetében.

Modellfejlesztés és beszerzés: dokumentált, reprodukálható MI

Az ajánlás részletesen szabályozza az MI-modellek fejlesztésére és harmadik fél által szállított rendszerekre vonatkozó elvárásokat.

Néhány kulcspont:

Arányos modellkomplexitás: az alkalmazandó MI-rendszereket és modelleket az üzleti célokhoz, a rendelkezésre álló adatokhoz és kompetenciákhoz igazodva kell megválasztani, kerülve az alul- és túlillesztést (pl. hold-out data, keresztvalidáció, regularizáció, early stopping).
Reprodukálhatóság: elvárás, hogy a saját fejlesztésű MI-rendszerek kimenetei lényegükben megismételhetők legyenek, és ezt a követelményt a bank a harmadik felektől beszerzett rendszereknél is érvényesítse.
Dokumentáció: a tervezéstől a tanításon át a tesztelésig és felülvizsgálatig a teljes folyamatot világosan dokumentálni kell.
Emberi felügyelet: nagy kockázatú MI-rendszereknél a teljes életciklus során biztosítani kell az emberi felügyeletet és beavatkozási lehetőséget – de az MNB jó gyakorlatnak tartja, ha ez a kevésbé kockázatos rendszerekre is kiterjed.
Független audit: jó gyakorlatnak számít a saját és harmadik feles MI-rendszerek független szolgáltató általi auditja, tanúsítása.
Guardrail-megoldások: az ajánlás kifejezetten említi az olyan technikai kontrollokat, amelyek a rendszer inputját és outputját szűrik, módosítják a technikai, etikai és jogi kereteknek való megfelelés biztosítása érdekében.

A gyakorlatban ez a legtöbb magyar banknál azt jelenti: a már használt AI-megoldásokhoz (pl. scoring, chatbot, ajánlómotor) utólag is fel kell építeni a modell-dokumentációt, a reproduce-álhatósági környezetet és a független kontrollvonalakat.

MI-specifikus kockázatkezelés: új risk taxonomy, egyértelmű „go/no-go” szintek

A 20. pont önálló, MI-specifikus kockázatkezelési keretrendszert ír elő. A hitelintézetnek:

meg kell határoznia saját MI-kockázati profilját,
MI-rendszerenként rögzítenie kell az elfogadható kockázati szintet,
csak olyan rendszert vezethet be, amelynél az azonosított kockázatok a bevezetés előtt megfelelően kezeltek és elfogadható szintre csökkentettek.

A banknak a teljes életciklus során folyamatosan monitoroznia kell a kockázatokat – beleértve a nem rendeltetésszerű használat eseteit is. A kockázati besorolást minimum évente felül kell vizsgálni, és besorolásonként kockázatarányos kontrollokat kell rendelni (pl. magasabb monitoring-intenzitás, szigorúbb validáció, mélyebb IT-biztonsági kontrollok).

IT-biztonság és AI: támadások, adatlopás, „prompt poisoning”

Külön fejezet foglalkozik az MI-rendszerekhez kapcsolódó informatikai biztonsági elvárásokkal, összhangban a DORA-val és az új MNB IT-biztonsági ajánlással.

A banknak többek között gondoskodnia kell arról, hogy:

a tanítóadatok ne legyenek jogosulatlanul manipulálhatók vagy kinyerhetők,
a modellek algoritmusa, struktúrája, paraméterei, nem nyilvános bemenetei vagy rendszer-promptjai ne legyenek jogosulatlanul rekonstruálhatók vagy módosíthatók,
az ügyfelek és felhasználók által bevitt adatok szűrésre kerüljenek, hogy ne eredményezhessenek szándékolatlan kimeneteket.

Az MNB jó gyakorlatnak tekinti, ha maguk az MI-modellek is tartalmaznak támadás- és manipuláció-felismerő képességeket, és ha az input-szűrés nemcsak védelmi, hanem energia- és erőforrás-optimalizációs szempontból is csökkenti a rendszer terhelését.

MI-szakértelem: nem elég, ha csak az adattudós érti

Az ajánlás külön fejezetben foglalkozik a szervezeti MI-szakértelem fejlesztésével. A banknak biztosítania kell, hogy a munkavállalók a saját szerepüknek megfelelő szintű MI-jártassággal rendelkezzenek – azaz képesek legyenek megérteni a használt MI-rendszerek működési logikáját, kimeneteit, kockázatait és etikus használatának kereteit.

Az MNB elvárja, hogy:

a digitális kompetenciákra vonatkozó rendszeres (min. kétévenkénti) felmérés részét képezze az MI-jártasság mérése is,
a munkavállalók célzott képzéseket kapjanak, amelyek a konkrét, a bank által alkalmazott MI-rendszerekre is kitérnek.

Ez különösen a front office, kockázatkezelés, jogi és compliance területeknél lesz kritikus: nem elég „rábízni a modellre” a döntést, a humán döntéshozónak értenie is kell, mihez asszisztál az MI.

Kommunikáció: transzparens AI-hiba-kezelés

Az ajánlás végül a belső és külső MI-kommunikációt is szabályozza. A banknak proaktívan kell kommunikálnia a szervezeten belül az MI-stratégiáról, pozíciójáról és terveiről, és célszerű önálló MI-kommunikációs stratégiát kialakítani.

Kiemelt elvárás:

belső bejelentőrendszer az MI-rendszerek működéséhez kapcsolódó hibák, hiányosságok, etikai vétségek bejelentésére és kivizsgálására,
ügyféltájékoztatás: a feltárt, ügyfeleket érintő hibák, hiányosságok és etikai vétségek hatásáról és elhárításáról egyértelmű, közérthető módon kell tájékoztatni az érintetteket.

Ez a gyakorlatban a „black box” jellegű MI-megoldásokkal szembeni bizalom erősítésének kulcsa lehet – különösen, ha az MI egyre inkább belenyúl a hitel-, árazási vagy ügyfélkiszolgálási döntésekbe.

AI | mesterséges intelligencia | MI | MI stratégia | MNB

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

⭐ Legnépszerűbb

2026-ban az AI egyszerre lesz a hatékonyság és a növekedés kulcsa – interjú Becsei Andrással, az OTP Bank vezérigazgató-helyettesével

Digitális bankolás | AI

Új szolgáltatásokkal bővül a Digitális Állampolgárság Program (DÁP) – helyzetjelentés az IdomSofttól

Szabályozás | DÁP

2026-os fókusz az Erste-nél: proaktív Hey George, kényelmesebb devizás fizetések és neobróker-szintű befektetési élmény a George-ban

Digitális Bankolás | AI

Az MNB AI-játékszabályai a bankoknak: mire kell készülni 2026 áprilisáig?

Szabályozás | AI

DÁP a gyakorlatban: 30 kérdés és válasz, amelyek nem fértek bele a webinárba

Szabályozás | DÁP

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

Az MNB AI-játékszabályai a bankoknak: mire kell készülni 2026 áprilisáig?

Röviden: Mit jelent az MNB MI-ajánlása a bankoknak a következő hónapokban?

MI-alstratégia: az AI kikerül a „sandboxból”

MI-governance: dedikált vezető, teljes életciklus-kontroll

Data governance: az MI-adat nem „akármi”

Modellfejlesztés és beszerzés: dokumentált, reprodukálható MI

MI-specifikus kockázatkezelés: új risk taxonomy, egyértelmű „go/no-go” szintek

IT-biztonság és AI: támadások, adatlopás, „prompt poisoning”

MI-szakértelem: nem elég, ha csak az adattudós érti

Kommunikáció: transzparens AI-hiba-kezelés

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

⭐ Legnépszerűbb

2026-ban az AI egyszerre lesz a hatékonyság és a növekedés kulcsa – interjú Becsei Andrással, az OTP Bank vezérigazgató-helyettesével

Új szolgáltatásokkal bővül a Digitális Állampolgárság Program (DÁP) – helyzetjelentés az IdomSofttól

2026-os fókusz az Erste-nél: proaktív Hey George, kényelmesebb devizás fizetések és neobróker-szintű befektetési élmény a George-ban

Az MNB AI-játékszabályai a bankoknak: mire kell készülni 2026 áprilisáig?

DÁP a gyakorlatban: 30 kérdés és válasz, amelyek nem fértek bele a webinárba

🔗 Kapcsolódó cikkek:

Bankok az AI korában: Hogyan lesz a digitálisból intelligens?

Megérkezett az EU AI rendelete: kinek, mit és meddig kell teljesítenie?

Fintech-trendek, amik átírják a bankszakma jövőjét – 2025 első félévének legfontosabb tanulságai

Ne maradj le semmiről!