Sektor bankowy stoi dziś przed wyjątkowym wyzwaniem – dynamiczny rozwój narzędzi sztucznej inteligencji niesie nie tylko szanse, ale również poważne ryzyka prawne i reputacyjne. Wkrótce (od lutego 2025 r. i szerzej od sierpnia 2026 r.) zaczną obowiązywać kluczowe przepisy unijnego AI Act – aktu prawnego, który precyzyjnie reguluje, jakich praktyk nie wolno stosować w bankowości przy wykorzystaniu sztucznej inteligencji. Dla banków i instytucji finansowych oznacza to konieczność pilnego przejrzenia procedur, narzędzi oraz polityk IT, aby uniknąć nie tylko wysokich kar, ale także poważnych konsekwencji dla klientów.
Poniższy poradnik wyjaśnia, jakie praktyki AI są bezwzględnie zakazane w sektorze bankowym, prezentuje praktyczne przykłady oraz wskazuje konkretne działania, które banki powinny podjąć, by uniknąć naruszeń.
Co to jest AI Act i jakie znaczenie mają Wytyczne KE dla banków?
AI Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, to pierwszy kompleksowy akt prawny w Europie, który wprowadza spójne zasady rozwoju i wykorzystywania sztucznej inteligencji na jednolitym rynku. W praktyce, dla banków oznacza to bezpośrednie obowiązywanie nowych przepisów bez konieczności implementacji krajowej. Dodatkowo Komisja Europejska opublikowała tzw. Wytyczne dotyczące zakazanych praktyk AI, które – choć nie są formalnie wiążące – stanowią praktyczny drogowskaz przy interpretacji przepisów.
Banki, które wykorzystują AI np. do oceny ryzyka kredytowego, automatyzacji obsługi klienta czy przeciwdziałania praniu pieniędzy, muszą natychmiast przeanalizować, czy stosowane narzędzia nie wchodzą w zakres praktyk zakazanych wymienionych w art. 5 AI Act.
Najważniejsze praktyki zakazane według art. 5 AI Act – ryzyka dla bankowości
1. Wykorzystywanie technik manipulacyjnych lub podprogowych
Zakaz dotyczy stosowania AI w sposób, który ogranicza zdolność klientów do podejmowania świadomych decyzji – w szczególności poprzez:
- techniki podprogowe (np. sygnały wizualne lub dźwiękowe wpływające na emocje),
- celowe manipulowanie percepcją użytkownika,
- skłanianie do podejmowania decyzji, których klient normalnie by nie podjął (np. wzięcie niekorzystnego kredytu).
Przykład z bankowości:
Wyobraźmy sobie bank w Warszawie, który wdraża czatbota mającego „delikatnie” sugerować klientom zakup skomplikowanego produktu inwestycyjnego. Jeśli bot wykorzystuje niejawne sygnały lub język wywołujący określone emocje (np. niepokój przed utratą oszczędności) i wpływa to na decyzję klienta, narusza art. 5 ust. 1 lit. a AI Act.
⚠️ Konsekwencje: Takie działania są bezwzględnie zakazane, nawet jeśli intencją banku było tylko zwiększenie sprzedaży.
2. Wykorzystywanie słabości określonych grup klientów
Zakaz obejmuje używanie AI do wywierania wpływu na osoby szczególnie podatne, np. ze względu na wiek, niepełnosprawność, czy trudną sytuację finansową.
Przykład z bankowości:
Instytucja finansowa z Poznania uruchamia algorytm, który kieruje reklamy wysoko oprocentowanych pożyczek do osób starszych, zamieszkujących rejony o niższych dochodach. System analizuje dane, by wychwycić klientów w trudnej sytuacji i specjalnie do nich targetuje agresywną ofertę. Takie działanie – zgodnie z art. 5 ust. 1 lit. b AI Act – jest zabronione.
📌 Ważne: Samo posiadanie danych o wieku czy statusie ekonomicznym nie jest zakazane. Kluczowe jest, czy algorytm świadomie wykorzystuje te dane, by „wycisnąć” z nich więcej, wiedząc o podatności tej grupy.
3. Nielegalne wykorzystywanie AI do tworzenia baz biometrycznych
AI Act zakazuje budowania baz danych do rozpoznawania twarzy poprzez nieukierunkowane zbieranie wizerunków z internetu czy monitoringu.
Przykład z bankowości:
Bank z Gdańska zleca firmie zewnętrznej analizę zachowań klientów w placówkach poprzez AI analizującą obrazy z kamer, by bez wiedzy klientów budować bazę rozpoznawania twarzy. Taka praktyka jest zabroniona (art. 5 ust. 1 lit. e AI Act) – niezależnie od celu, np. przeciwdziałania kradzieżom.
4. Zakaz social scoringu – krzywdząca klasyfikacja klientów
Bank nie może wykorzystywać AI do długoterminowej klasyfikacji lub oceny klientów na podstawie cech osobistych (np. stylu życia, aktywności w internecie) w celu podejmowania decyzji, które prowadzą do:
- nieuzasadnionego odmówienia produktu finansowego,
- pogorszenia warunków oferty,
- lub innych niekorzystnych działań wobec danej osoby lub grupy.
Przykład:
Bank stosuje AI do analizy danych z mediów społecznościowych oraz zachowań online klientów, by stworzyć scoring, który następnie wpływa na odmowę udzielenia kredytu mieszkaniowego osobie o „nieodpowiednim” profilu społecznym. Takie działania są zabronione, ponieważ scoring jest nieproporcjonalny do rzeczywistego ryzyka kredytowego i oparty o dane nieistotne dla usługi bankowej.
Co grozi za naruszenie zakazów AI Act? Jak się przygotować?
Kary za naruszenie zakazów są dotkliwe – mogą sięgać nawet 35 mln euro lub 7% rocznego światowego obrotu przedsiębiorstwa.
Dlatego każdy bank powinien:
- Przeprowadzić audyt stosowanych narzędzi AI – czy żadne z nich nie stosuje zakazanych technik manipulacji, targetingowania podatnych grup, social scoringu, nielegalnego przetwarzania biometrii.
- Przeanalizować przepływy danych – jakie dane zbierają i analizują systemy AI, czy są to informacje niezbędne do realizacji usługi, czy przypadkiem nie „wypływają” poza zakres dopuszczony przez prawo.
- Szkolić pracowników – zespoły IT, compliance i marketingu powinny znać zarówno AI Act, jak i Wytyczne KE.
- Opracować jasne procedury wyjaśniające działanie AI – w razie kontroli lub skargi, bank powinien umieć w prosty sposób wyjaśnić, jak działa jego system AI i na jakiej podstawie podejmuje decyzje.
Praktyczne przykłady sytuacji granicznych – na co szczególnie uważać?
Przykład 1:
Bank z Katowic wdraża nowy scoring kredytowy, który bierze pod uwagę nie tylko historię kredytową, ale także dane dotyczące miejsca zamieszkania (kod pocztowy) i rodzaj aktywności w internecie. Jeśli algorytm nieświadomie faworyzuje lub dyskryminuje klientów z określonych dzielnic, może dojść do dyskryminacji pośredniej. Bank musi regularnie monitorować, czy system nie generuje nieproporcjonalnych skutków dla określonych grup.
Przykład 2:
Instytucja wprowadza asystenta AI, który ma „zachęcać” do wyboru produktów inwestycyjnych poprzez dynamiczne komunikaty – jeśli są one projektowane w sposób emocjonalny, wywołujący presję, mogą naruszać przepisy zakazujące manipulacji.
Podsumowanie – kluczowe wskazówki dla banków
- Sprawdź, czy nie stosujesz AI w zakazany sposób – nawet jeśli cel jest szczytny (np. bezpieczeństwo czy większa sprzedaż).
- Regularnie monitoruj i testuj algorytmy – szczególnie pod kątem niezamierzonych skutków dla określonych grup klientów.
- Twórz polityki transparentności – bądź gotów jasno wyjaśnić, jak działa Twój system AI i jakie dane przetwarza.
- Wdrażaj szkolenia dla kluczowych działów – znajomość przepisów przez IT, compliance, marketing to niezbędny fundament.
Podstawa prawna
- art. 5 ust. 1 lit. a–e, art. 5 ust. 8 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act)
- Wytyczne Komisji Europejskiej dotyczące praktyk zakazanych z zakresu sztucznej inteligencji (kwiecień 2025 r.)
Tematy porad zawartych w poradniku
- zakazane praktyki AI w bankowości
- compliance AI Act 2025 bank
- social scoring w banku a prawo
- ryzyka AI w sektorze finansowym
- manipulacja AI w usługach bankowych