A pénzügyi szektor mindig is élen járt az innovatív technológiák használatában. Az APEX (Applied Expert Systems) nevű szolgáltató például már 1986-ban bevezette a PlanPower nevű, mesterséges intelligencia (MI) alapú megoldását, amelyet pénzügyi tervek készítésére használtak azok számára, akiknek éves bevétele meghaladta az évi 75.000 USD-t. Az MI használata mostanra a FinTech megoldások megvalósítása során is a napi gyakorlat részévé vált, a felmerülő kérdéseket ugyanakkor még nem rendezte egységes, EU-s szintű szabályozás – egészen mostanáig.

Milyen jogi kérdések merülhetnek fel a FinTech és az MI kapcsolatában?

A pénzügyi szolgáltatásokhoz kapcsolódó ügyféladatok automatizált gyűjtése, elemzése, és felhasználása ma már a FinTech kulcsfontosságú eleme. Néhány példa azokra a területekre, ahol az algoritmusok használatának olyan jogi vonatkozása lehet, amikre a jelenlegi törvények még nem adnak egyértelmű választ:

• Üzleti folyamatok vezérlése és optimalizálása – ez csökkentheti a beérkező kérések számát és az ehhez használt FinTech rendszer terhelését, jogi szempontból viszont szükséges lehet szabályozni, hogy mindez megfelelő minőségirányítási rendszer alapján történjen.
• Virtuális vagy „robo” asszisztens chatbotok – az általuk üzemeltetett ügyfélszolgálat felszabadíthatja a FinTech szolgáltató személyzetének kapacitását, figyelembe kell venni azonban, hogy az MI-alapú chatbot működése megfeleljen az irányadó fogyasztóvédelmi szabályoknak is.
• Személyre szabott, adatvezérelt szolgáltatások – ide tartozik az MI segítségével végzett hitelképesség-felmérés, portfólió-optimalizálás, vagy az algoritmikus kereskedés, fontos ugyanakkor, hogy az automatizált szolgáltatással kapcsolatos felelősség rögzítésre kerüljön.
• Visszaélések és kibertámadások megelőzése – az MI például a FinTech ügyfelek tranzakciós vagy naplózási adatai alapján meghatározhatja tipikus viselkedésüket, és az ettől való eltérés esetén automatikusan letilthatja az adott műveletet. Ha ez mégsem indokolt, biztosítani kell az ügyfél számára, hogy a felmerülő károk megelőzése érdekében emberi beavatkozást kérjen.

Mi az Európai Unió szabályozási válasza?

Az elmúlt három évben az EU folyamatosan dolgozott a mesterséges intelligencia (MI) fejlesztésével, forgalmazásával és használatával kapcsolatos, az európai értékeknek megfelelő egységes jogi keretszabályozás előkészítésén.

Ennek eredményeként az Európai Bizottság 2021. április 21-én előterjesztette a Mesterséges Intelligencia Harmonizált Szabályainak Megállapításáról szóló Rendelettervezetet (MI Rendelet), amely az EU első, MI-vel kapcsolatos jogi keretszabályozása. Célja kettős: az EU vezető szerepének pozicionálása az ágazatban, valamint az MI kockázatainak kezelése.

Az MI Rendelet „horizontális jogszabály” – minden iparágban alkalmazandó lesz, de az innovatív technológiák használata miatt kiemelt hatása lesz a pénzügyi szektor szereplőire, így a FinTech cégekre – elsősorban az általuk használt MI-rendszerek importőreire, forgalmazóira, üzemeltetőire, sőt, felhasználóira is.

Jogilag mikor használ „MI-rendszert” egy Fintech megoldás?

A jogszabály az MI-rendszer fogalmát komplex definíció formájában határozza meg.

Az MI-rendszer (i) gépi és/vagy ember által meghatározott adatokat és bemeneteket fogad, (ii) tanulás, érvelés vagy modellezés segítségével ér el ember által meghatározott célokat, és (iii) tartalom, előrejelzések, ajánlások vagy döntések formájában generál úgynevezett „kimeneteket”. Ehhez különböző technikákat és megközelítéseket alkalmaz, például gépi (felügyelt, felügyelet nélküli és megerősítő) tanulást.

Amint az a fenti meghatározásból látható, az MI-rendszer meghatározása elég széles körű, így az első nagyobb feladat majd az MI Rendeletnek való megfelelés során annak megállapítása, hogy a FinTech megoldás nyújtása során használt rendszer (elsősorban szoftver) MI-rendszernek minősül-e. Ennek elősegítése érdekében célszerű tehát már a most induló, illetve folyamatban levő fejlesztések során dokumentálni az adott rendszer elemeit.

Milyen szabályok irányadók „nagy kockázatú MI-rendszerek” használata során?

Az MI Rendelet tervezete bizonyos típusú – külön mellékletben felsorolt – MI-rendszereket „nagy kockázatúként” azonosít, és specifikus kötelezettségeket állapít meg használatukkal kapcsolatban. Ilyen kötelezettség többek között a külön kockázatkezelési rendszer fenntartása, megfelelő tanulóadat-, érvényesítésiadat- és tesztadatkészletek felhasználása, a kapcsolódó események automatikus rögzítése (naplózás), valamint részletes felhasználási utasítás kidolgozása és hatékony emberi felügyelet biztosítása.

FinTech megoldások használata során például kibertámadások megelőzése érdekében további biztonsági intézkedésként szolgálhat az MI-rendszer segítségével végzett beszédfelismerés vagy arcfelismerés, mert ezeket nehezebb lehet kijátszani, mint a hagyományos jelszavakat.

Az MI Rendelet tervezete szerint azonban a „természetes személyek valós idejű és nem valós idejű biometrikus azonosítására szolgáló MI-rendszerek” nagy kockázatú MI-rendszernek minősülnek, így a fenti biztonsági intézkedés megvalósításával kapcsolatban meg kell felelni az említett többlet-követelményeknek. Ugyanezek a követelmények irányadók a természetes személyek hitelképességének értékelésére vagy hitelpontszámuk megállapítására szolgáló, szintén „nagy kockázatúnak” minősített MI-rendszerek igénybevétele esetén.

Mire érdemes figyelni a nem „nagy kockázatú” MI-rendszerek esetében?

A FinTech cégek számára érdekes lehet az a leendő szabály is, hogy a természetes személyekkel való interakcióra szánt MI-rendszereket úgy kell megtervezni és kifejleszteni, hogy a felhasználók tájékoztatást kapjanak arról, hogy MI-rendszerrel állnak kapcsolatban. FinTech szolgáltatások esetében elsősorban a chatbotok, virtuális asszisztensek és robo-tanácsadók, valamit egyéb, a felhasználó által rendelkezésre bocsátott adatok automatizált feldolgozását végző MI-rendszerek tartozhatnak ide.

Hogyan alakul majd a Magyar Nemzeti Bank szerepe?

Az MI Rendelet tervezete szerint a pénzügyi szolgáltatásokra vonatkozó uniós jogszabályok által már szabályozott pénzügyi intézmények által forgalomba hozott, üzembe helyezett vagy használt MI-rendszerek esetében a piacfelügyeleti hatóság a tevékenységük tekintetében illetékes felügyeleti hatóság marad.

Magyarországon ez a Magyar Nemzeti Bank, aki jelenleg is aktív tagja a magyarországi Mesterséges Intelligencia Koalíciónak, és az új szabályozás alapján várható, hogy még jobban bekapcsolódik majd az MI-rendszerek jogi megfelelőségének felügyeletébe, valamint az MI még nagyobb szerepet kap az innovatív technológiák tesztelésére már bevezetett Regulatory Sandbox-ában.

Mik a várható fejlemények?

A jogalkotási folyamat a tavalyi év folyamán kezdődött – az Európai Parlament és az Európai Tanács még számos ponton módosíthatja a Rendelettervezetet annak végleges elfogadása előtt.

A jogszabály várhatóan 2022. végéig kerül véglegesítésre, és a FinTech cégeknek két év áll majd rendelkezésre, hogy megfeleljenek az új szabályoknak.

Ennek során be kell vezetniük az MI Rendelet által előirányzott belső eljárásokat, rendszereket és ellenőrzési funkciókat – terjedelemben egy, a GDPR-ra való felkészüléshez hasonló megfelelési projektre érdemes számítani. A megfelelés már csak azért is fontos, mert az MI Rendelet megszegése esetén a FinTech cégek komoly szankcióra számíthatnak: a bírság maximális összege 30 000 000 EUR összegű bírság, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 6 %-át kitevő összeg lesz.