Kto płaci za szkody wyrządzone przez AI? Ryzyka i odpowiedzialność cywilna za działanie AI w bankowości

Sztuczna inteligencja (AI) szybko zyskuje na znaczeniu w sektorze finansowym. Jej wdrożenie w bankowości przynosi liczne korzyści, takie jak zwiększenie efektywności operacyjnej, redukcja kosztów oraz podniesienie jakości obsługi klienta. AI znajduje zastosowanie zarówno w obszarach wsparcia (backoffice), pomagając w wykrywaniu oszustw czy wspierając procesy kredytowe i ocenę ryzyka, jak i w bezpośredniej obsłudze klienta (frontoffice), poprzez chatboty, wirtualnych asystentów czy personalizację ofert. Narzędzia AI są również wykorzystywane do generowania treści marketingowych i sprzedażowych.

Pomimo niewątpliwych korzyści, dynamiczny rozwój i wdrażanie systemów AI w bankowości generuje nowe wyzwania, w tym przede wszystkim te związane z ryzykiem i potencjalną odpowiedzialnością cywilną za szkody wyrządzone klientom. Kwestia ta nabiera szczególnego znaczenia w obliczu braku szczegółowych regulacji prawnych w tej materii na poziomie krajowym i unijnym (pomimo wprowadzenia AI Act), choć prace nad nimi trwają.

Kluczowe informacje warte zapamiętania – Kto płaci za szkody wyrządzone przez AI:

Reklama

Wdrożenie sztucznej inteligencji w bankowości generuje znaczące ryzyka, w tym błędy systemowe, stronniczość algorytmów prowadzącą do dyskryminacji i naruszenia prywatności danych, co może skutkować szkodami dla klientów.
Odpowiedzialność cywilna za szkody wyrządzone przez AI w bankowości może wynikać z odpowiedzialności kontraktowej, deliktowej lub za produkt niebezpieczny, przy czym AI Act nakłada szczegółowe obowiązki na systemy AI wysokiego ryzyka, takie jak te używane do oceny zdolności kredytowej.
Regulacje dotyczące AI w sektorze finansowym są wciąż w fazie rozwoju i wymagają dalszej debaty oraz dostosowania, a etyczne stosowanie AI opiera się na zasadach takich jak transparentność, wyjaśnialność, brak dyskryminacji, ludzki nadzór i odpowiedzialne zarządzanie danymi.

Wyłaniające się ryzyka związane z AI w bankowości

Zastosowanie AI w sektorze finansowym wiąże się z szeregiem ryzyk, które mogą prowadzić do szkód po stronie klienta. Do najważniejszych należą:

Błędy i awarie systemów AI: Mogą skutkować utratą środków pieniężnych klientów lub ich danych.
Halucynacje modeli AI: Systemy, zwłaszcza wykorzystujące generatywną AI i rozumienie języka naturalnego, mogą podawać nieprawdziwe lub stronnicze odpowiedzi, co może wprowadzić klienta w błąd, na przykład co do treści umowy bankowej.
Problemy z jakością i zarządzaniem danymi: AI opiera się na dużych zbiorach danych. Nieodpowiednie zarządzanie danymi lub ich niska jakość mogą prowadzić do niedokładnych, niesprawiedliwych decyzji lub naruszeń prywatności, szczególnie w przypadku informacji poufnych lub wrażliwych.
Brak transparentności i wyjaśnialności (explainability): Skomplikowane algorytmy i duże zbiory danych, na których operują autonomiczne systemy AI, mogą sprawić, że proces podejmowania decyzji staje się trudny do zrozumienia i uzasadnienia dla użytkowników i interesariuszy. Klienci powinni mieć prawo do jasnych wyjaśnień dotyczących decyzji podejmowanych przez algorytmy.
Stronniczość (bias) i dyskryminacja: Algorytmy mogą odzwierciedlać stronniczość obecną w danych treningowych, prowadząc do nierównego traktowania lub dyskryminacji klientów, np. w procesie oceny zdolności kredytowej.
Kwestie bezpieczeństwa i prywatności: Wdrożenie AI zwiększa obawy dotyczące bezpieczeństwa danych. Niewłaściwe zastosowanie systemów AI może prowadzić do naruszeń tajemnicy bankowej lub wycieku danych.
Złożoność identyfikacji odpowiedzialnych podmiotów: W przypadku szkody spowodowanej przez system AI, ustalenie, kto ponosi odpowiedzialność, jest skomplikowane, ponieważ w procesie tworzenia, udostępniania i dystrybucji tych systemów często uczestniczy wiele podmiotów, takich jak banki, dostawcy technologii i dostawcy danych.

Obawy te znajdują odzwierciedlenie w postawach kadry zarządzającej w branży finansowej – ponad połowa respondentów nie ufa odpowiedziom ani wynikom generowanym przez narzędzia gen AI.

Krajobraz regulacyjny i ramy etyczne sztucznej inteligencji

Obecnie regulacje prawne nie nadążają za rozwojem AI. Unia Europejska, jako pierwszy region na świecie, wprowadza kompleksowe ramy prawne – tzw. Dyrektywa AI Act. Akt ten kategoryzuje systemy AI w zależności od poziomu ryzyka:

Systemy niedopuszczalnego ryzyka (np. systemy punktacji społecznej) będą zakazane.
Systemy wysokiego ryzyka (stosowane w krytycznych obszarach, takich jak infrastruktura krytyczna, edukacja, zatrudnienie, usługi publiczne i wymiar sprawiedliwości, co obejmuje część zastosowań w finansach) będą objęte rygorystycznymi wymogami dotyczącymi jakości danych, dokumentacji, transparentności, nadzoru ludzkiego, cyberbezpieczeństwa i zarządzania ryzykiem. Wymagana będzie ocena zgodności.
Systemy ograniczonego ryzyka (np. chatboty) będą wymagały przede wszystkim transparentności – informowania użytkownika, że ma do czynienia z AI.
Systemy minimalnego ryzyka (np. filtry spamowe) nie będą wymagały dodatkowych obowiązków poza ewentualnymi dobrowolnymi kodeksami postępowania.

Przygotowanie firm na AI Act, zwłaszcza w odniesieniu do systemów wysokiego ryzyka, wymaga proaktywnych działań, analizy luk w zgodności i wdrożenia planów dostosowawczych. Poza samą zgodnością prawną, strategiczne zarządzanie ryzykiem i budowanie kultury odpowiedzialnego i etycznego AI są kluczowe dla minimalizowania zagrożeń i budowania zaufania.

Reklama

W kontekście braku szczegółowych regulacji, ważne staje się wdrażanie wewnętrznych zasad tzw. Odpowiedzialnego AI (Responsible AI), obejmujących takie aspekty jak zarządzanie danymi, wyjaśnialność, prywatność, uczciwość, bezpieczeństwo i transparentność. Odpowiednie zarządzanie danymi jest kluczowe dla dokładnego, uczciwego i odpowiedzialnego działania gen AI. Wyjaśnialność decyzji opartych na AI powinna zapewnić przejrzystość dla użytkowników i interesariuszy. Koncepcja Responsible AI jest zgodna z uniwersalnymi zasadami etyki AI, które obejmują m.in. poszanowanie godności i praw człowieka (w tym prywatności i danych osobowych), równość i niedyskryminację, oraz nadzór ludzki (human in the loop).

Analiza rozwiązań zagranicznych wskazuje, że prace nad ramami prawnymi i etycznymi dla AI w bankowości są na wczesnym etapie w większości krajów UE. Silne jest przekonanie, że „twarde” prawo jest bardziej skuteczne niż „miękkie” prawo (zalecenia, kodeksy etyczne) w tym obszarze. Nie istnieje jeden uniwersalny kodeks etyki AI w sektorze bankowym, a regulacja jest rozproszona.

Odpowiedzialność cywilna za szkody wyrządzone przez AI

W obliczu szkód wyrządzonych przez systemy sztucznej inteligencji w bankowości pojawia się pytanie o zastosowanie tradycyjnych zasad odpowiedzialności cywilnej. Odpowiedzialność kontraktowa może mieć zastosowanie, jeśli system AI wprowadzi klienta w błąd co do treści umowy, co skłoni go do jej zawarcia. Odpowiedzialność deliktowa (za czyn niedozwolony) również może wchodzić w grę, zwłaszcza w sytuacjach celowego pozostawienia luk bezpieczeństwa w systemie AI w celu pozyskiwania danych klienta. Co ciekawe, źródła sugerują, że można się zastanowić nad dochodzeniem zadośćuczynienia za naruszenie dóbr osobistych przez… „zbuntowanego” chatbota, podając przykłady systemów AI, które zachowywały się obraźliwie lub szerzyły nieodpowiednie treści.

Dodatkowo, można rozważyć zastosowanie przepisów dotyczących odpowiedzialności za produkt niebezpieczny, które opierają się na zasadzie ryzyka i obejmują również produkty cyfrowe. W przypadku szkód spowodowanych przez systemy AI, klienci banków mogą powoływać się na uprawnienia wynikające z tych przepisów.

Reklama

Ważnym aspektem jest również przetwarzanie danych osobowych przez systemy AI. Rozporządzenie RODO przewiduje własne zasady odpowiedzialności za szkody wynikające z naruszenia przepisów o ochronie danych. Administratorem danych w banku będzie zazwyczaj sam bank, podczas gdy dostawcy technologii mogą być współadministratorami lub procesorami.

Polskie prawo bankowe dopuszcza podejmowanie decyzji o ocenie zdolności kredytowej i analizie ryzyka kredytowego wyłącznie na podstawie zautomatyzowanego przetwarzania danych osobowych. Jednakże, zapewnia to klientowi prawo do uzyskania stosownych wyjaśnień co do podstaw podjętej decyzji, do interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. Decyzje te mogą opierać się wyłącznie na danych niezbędnych do celu i rodzaju kredytu, z wykluczeniem szczególnych kategorii danych.

Jak zmniejszyć ryzyka i zapewnić odpowiedzialność?

Aby zminimalizować ryzyka związane z działaniem sztucznej inteligencji i zapewnić jasność co do odpowiedzialności, instytucje finansowe powinny podjąć szereg działań:

Wdrożenie wewnętrznych zasad Odpowiedzialnego AI.
Jasne i precyzyjne określenie odpowiedzialności za systemy AI wewnątrz organizacji.
Regularne audyty systemów AI – techniczne, prawne i etyczne.
Inwestowanie w szkolenia pracowników w zakresie etyki AI, odpowiedzialnego stosowania systemów i ochrony danych. Pracownicy powinni być dobrze przygotowani na zmiany, co może wymagać przekwalifikowania. Proaktywne podejście pracodawcy do szkoleń w obszarze gen AI jest pozytywnie skorelowane z satysfakcją pracowników.
Monitorowanie rozwoju regulacji unijnych i krajowych.
Aktywny udział w debatach i inicjatywach na poziomie unijnym i krajowym dotyczących etyki i regulacji AI.
Proaktywne informowanie i edukowanie klientów na temat zastosowania systemów AI w bankowości, zwłaszcza w kluczowych procesach decyzyjnych, oraz o przysługujących im prawach.
Respektowanie zasad takich jak zaangażowanie człowieka w decyzje z użyciem AI (human in the loop) w obszarach krytycznych dla konsumentów, np. przy ocenie wiarygodności kredytowej.

Podsumowanie

Wdrażanie systemów AI w bankowości otwiera drzwi do innowacji i korzyści, ale jednocześnie niesie ze sobą istotne ryzyka, w tym prawne, związane z potencjalną odpowiedzialnością cywilną za szkody wyrządzone klientom. W obliczu wciąż kształtującego się krajobrazu regulacyjnego kluczowe znaczenie ma przyjęcie proaktywnego podejścia do zarządzania ryzykiem i budowania kultury odpowiedzialnego, etycznego i transparentnego stosowania AI. Zapewnienie jasnych ram odpowiedzialności, inwestycja w edukację pracowników i klientów oraz ciągłe monitorowanie systemów AI to niezbędne kroki, aby zbudować zaufanie i w pełni wykorzystać potencjał tej technologii w sposób bezpieczny i zgodny z prawem.

Reklama

Często zadawane pytania: Kto płaci za szkody wyrządzone przez AI?

Czy bank może ponosić odpowiedzialność za wprowadzenie klienta w błąd przez system AI (np. chatbota)?

Kto jest odpowiedzialny za szkody spowodowane przez systemy AI w bankach – bank czy dostawca systemu?

Istotne znaczenie dla ustalenia odpowiedzialności ma źródło pochodzenia systemu AI i podstawa prawna korzystania z niego przez bank. Nie zawsze bank jest podmiotem odpowiedzialnym; może nim być np. podmiot trzeci dostarczający konkretny system. Banki mogą tworzyć własne rozwiązania AI lub korzystać z rozwiązań dostarczonych przez podmioty trzecie. Niemniej jednak, banki często biorą na siebie pełną odpowiedzialność za działania swoich systemów AI, co oznacza, że powinny zapewnić mechanizmy nadzoru i być gotowe do rozliczenia się z konsekwencji ich decyzji.

Czy sama sztuczna inteligencja może ponosić odpowiedzialność za wyrządzone szkody?

Co to jest „czarna skrzynka” w kontekście algorytmów AI i dlaczego stanowi problem etyczny i prawny?

Termin „czarna skrzynka” odnosi się do algorytmów AI, których wewnętrzne mechanizmy działania są trudne do zrozumienia i interpretacji. Brak transparentności utrudnia ocenę, czy decyzje są podejmowane w sposób etyczny i sprawiedliwy, a także komplikuje ustalenie odpowiedzialności w przypadku błędów. Wyjaśnialność systemów AI nabiera szczególnego znaczenia w kontekście przepisów wymagających uzasadnienia decyzji (np. kredytowych).

Reklama

Jak AI jest wykorzystywana w ocenie zdolności kredytowej i jakie ryzyka się z tym wiążą?

Systemy AI są wykorzystywane do analizowania zdolności kredytowej i scoringu kredytowego ze względu na ich zdolność do analizy olbrzymich ilości danych. Polskie prawo bankowe (art. 105a ust. 1a) dopuszcza podejmowanie decyzji o zdolności kredytowej wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych, pod warunkiem zapewnienia prawa do wyjaśnień, interwencji ludzkiej i wyrażenia własnego stanowiska. Głównym ryzykiem jest możliwość podjęcia decyzji dyskryminujących w przypadku błędnego skalibrowania systemu lub tendencyjnego doboru danych treningowych.

W jaki sposób klienci mogą chronić się przed potencjalnymi negatywnymi skutkami stosowania AI w finansach?

Jak zautomatyzowane podejmowanie decyzji według RODO odnosi się do wymogu nadzoru ludzkiego w AI Act?

RODO co do zasady ogranicza wyłącznie zautomatyzowane decyzje mające istotny wpływ na osobę, chyba że prawo krajowe dopuszcza takie przetwarzanie i zapewniona jest interwencja ludzka. AI Act wprowadza podobny wymóg nadzoru człowieka nad systemami AI wysokiego ryzyka, takimi jak te używane do oceny zdolności kredytowej, wymagając od nadzorujących odpowiednich kompetencji i szkoleń. Niespełnienie wymogu nadzoru ludzkiego może skutkować karami nałożonymi zarówno na podstawie RODO, jak i AI Act.

Jakie działania mogą podejmować instytucje finansowe, aby zapobiegać nadużyciom związanym z AI i promować etyczne wykorzystanie?

Instytucje powinny wdrażać etyczne kodeksy postępowania, inwestować w rozwój przejrzystych algorytmów (XAI), zapewniać szkolenia dla pracowników z zakresu etyki AI, przeprowadzać regularne audyty algorytmów (techniczne, prawne, etyczne) oraz aktywnie uczestniczyć w dialogu na temat odpowiedzialnego wykorzystania AI. Należy też jasno określać odpowiedzialność za systemy SI wewnątrz banków. Ważne jest odejście od punktowego wdrażania technologii na rzecz całościowego spojrzenia obejmującego całą organizację.

Reklama