Primjena vještačke inteligencije (AI) i mašinskog učenja (ML) mijenja poslovne modele, operacije i pristupe donošenju odluka u sve većem broju organizacija. Iako je teško procijeniti dugoročni karakter ovog tehnološkog talasa, jasno je da njegove trenutne implikacije imaju mjerljiv utjecaj. Pitanje nije toliko da li će AI ostati ili nestati, već kako se institucije postavljaju prema tehnologiji čiji razvoj nadmašuje tempo regulatornog prilagođavanja.
Sa etičkog stanovišta, odgovorna AI bi se trebala razvijati u skladu s temeljnim načelima poput non-maleficence (ne nanosi štetu) i beneficence (čini dobro). Modeli donose mogućnosti za poboljšanje usluga, preciznost analiza i automatizaciju procesa, ali istovremeno otvaraju nova pitanja o rizicima, odgovornosti i granicama primjene, posebno u sektorima pod strogim regulatornim nadzorom, poput bankarstva, osiguranja i zdravstva. Organizacije koje rade izvan takvih okvira kreću se brže, ali nisu ništa manje izložene posljedicama neadekvatnog nadzora nad AI tehnologijama.
Globalna slika regulative: fragmentirana i u razvoju
Razvoj AI regulative nema jedinstven međunarodni pravac. EU primjenjuje strogo normativni pristup kroz AI Act, SAD zadržava sektorske smjernice i decentraliziran model, dok Kina razvija vlastiti okvir koji uključuje nadzor algoritama i kontrolu sadržaja. Ovakva regulatorna raznolikost može otežati interoperabilnost, međunarodnu saradnju i koherentna etička pravila u razvoju i primjeni AI sistema.
Regulatorni okvir u BiH
Bosna i Hercegovina još nema poseban zakon ili podzakonski okvir posvećen AI/ML sistemima. Bankarski sektor se oslanja na postojeće zakone, regulativu i tradicionalne procese, te postupno uvodi digitalne alate, uključujući generativne modele u ograničenoj upotrebi (npr. Microsoft Copilot) i chat-bot rješenja.
Ipak, izdvajaju se četiri dokumenta koja se indirektno dotiču AI/ML tehnologija i njihovog upravljanja u bankarskom sektoru:
- Zakon o zaštiti ličnih podataka
- Odluka o sistemu internog upravljanja u banci
- Odluka o upravljanju informaciono-komunikacionim sistemima i IKT rizikom
- Odluka o upravljanju eksternalizacijom u banci
Ovi propisi, zajedno sa Supervizorskim očekivanjima za 2025. godinu, stvaraju početni okvir za razmatranje AI/ML sistema kroz prizmu upravljanja rizicima, odgovornosti i kontrole. Supervizor već naglašava da svaki pristup planiranju i upravljanju rizicima mora uključiti pitanja održivog poslovanja i poslovanja u uslovima značajnih i brzo razvijajućih eksternih promjena ili poremećaja, te uključiti šire diskusije o rizicima koji ranije nisu prepoznati kao materijalni za poslovanje banke.
Zaštita podataka: ključne implikacije za AI/ML
Tri područja posebno utiču na AI/ML sisteme:
- Zakonitost obrade podataka
- Transparentnost i kontrola nad podacima
- Automatizirano odlučivanje i upravljanje rizicima
AI i ML sistemi nemaju poseban pravni status, moraju se uklopiti u postojeće zahtjeve za obradu ličnih podataka.
Sistem internog upravljanja: zahtjevi za modele i podatke
Odluka o sistemu internog upravljanja daje opšte smjernice za organizaciju, kontrolne funkcije, interno upravljanje i upravljanje rizicima. U kontekstu AI/ML tehnologija posebno su relevantni zahtjevi vezani za:
- upravljanje rizicima modela,
- procese upravljanja rizicima,
- uloge kontrolnih funkcija,
- kvalitet i infrastrukturu podataka.
AI/ML modeli imaju još strožije zahtjeve za kvalitet podataka u odnosu na tradicionalne statističke modele, što postavlja jasna očekivanja pred banke i njihove razvojne timove.
IKT rizici: tehnološki aspekt implementacije
Odluka o IKT rizicima obuhvata cjelokupan tehnološki ekosistem neophodan za AI/ML, od infrastrukture do integracije i praćenja rada sistema. Promjena kojom se funkcija upravljanja IKT rizicima izdvaja ili jača funkciju upravljanja rizicima, pokazuje pravac u kojem se regulator priprema za nove tehnološke rizike.
Eksternalizacija: najosjetljiviji segment za AI/ML
AI/ML razvoj je resursno zahtjevan, pa bi banke mogle razmatrati eksternalizaciju. Ovdje se pojavljuje ključni izazov: Odluka o eksternalizaciji je stroga, posebno za materijalno značajne aktivnosti, kategoriju u koju AI sistemi mogu vrlo lako biti svrstani.
Ključna područja koja banke i IT kompanije moraju pokriti uključuju:
- upravljanje rizicima outsourcinga,
- pravo na reviziju i neograničen pristup dokumentaciji,
- kontinuitet poslovanja,
- izlazne strategije,
- upravljanje podizvođačima,
- dubinsku analizu pružaoca usluga.
Dodatni izazov je objašnjivost modela (explainability). Nedovoljno razumljivi modeli otežavaju validaciju i regulatorni pregled, što može biti prepreka za odobrenje implementacije. XAI tehnike mogu pomoći, ali i one imaju svoja ograničenja i zahtijevaju specifična znanja i u institucijama i kod regulatora.
EU smjernice relevantne za bankarski sektor
Nekoliko evropskih institucija već postavlja očekivanja za AI/ML:
- EU AI Act – standardizovan pristup za sigurnost, transparentnost i odgovornost AI sistema. Pojedini rokovi već su aktivni, a sektori poput kreditnog odlučivanja klasificirani su kao visokorizični.
- EBA – Machine Learning for IRB Models – izvještaj koji naglašava izazove poput pristrasnosti, stabilnosti, objašnjivosti i usklađenosti sa GDPR-om i AI Actom.
- ECB Guide to Internal Models (2025) – detaljan pregled supervizorskih očekivanja za interne modele, uključujući komponente koje mogu sadržavati ML.
Potencijalna primjena u bankama BiH
Ako se međunarodni trendovi nastave, AI/ML sistemi bi u domaćem bankarskom sektoru mogli biti tretirani kao visokorizični, dok bi outsourcing istih mogao biti svrstavan među materijalno značajne aktivnosti. U takvom okviru, politika upravljanja modelima postaje ključni dokument, sa zahtjevima za:
- transparentnost i objašnjivost,
- nezavisnu validaciju,
- kontrolu, reviziju i upravljanje cijelim životnim ciklusom modela.
AI/ML može biti strateška prednost, ali zahtijeva preciznu integraciju u okvire upravljanja rizicima. Bankarski sektor, koji tradicionalno djeluje oprezno i sistematično, bi mogao postupno uvoditi AI/ML sisteme, uz fokus na razumljivost, kontrolu i opravdanost svake primjene.
