Штучний інтелект трансформує фінансовий сектор у всьому світі, і Україна – не виняток. Технологія змінює бізнес-моделі фінансових установ, очікування клієнтів, здатна суттєво підвищити ефективність процесів та покращити якість послуг. Водночас експерти попереджають і про те, що використання ШІ може призвести до появи нових видів ризиків для клієнтів, фінансової стабільності, прозорості прийняття рішень учасниками та зниження довіри до фінансового сектору.
Регулювання ШІ у фінсекторі: стан справ
В Україні наразі немає спеціального закону щодо регулювання ШІ, проте в 2024 році Мінцифри опублікувало Дорожню карту регулювання ШІ та Білу книгу з регулювання ШІ в Україні, які передбачають, зокрема, розробку секторальних рекомендацій. У фінансовому секторі над розробкою відповідних секторальних рекомендацій працює Національний банк. Враховуючи євроінтеграційний трек, регулятор бере до уваги європейську модель регулювання, відповідно до якої горизонтальна рамка ШІ закладена на надгалузевому рівні (EU AI Act), тоді як секторальні вимоги формуються відповідними регуляторами.
Першим кроком у цьому напрямку стала публікація Дискусійного документа з етичного та відповідального використання ШІ в березні цього року. Він включає принципи застосування технологій учасниками фінансового ринку, підходи до управління ризиками, вимоги до людського нагляду за алгоритмами, захисту прав споживачів, даних, моделей і операційної стійкості. Документ також містить питання до обговорення спільно з банками та фінансовими компаніями, адже, як зазначили в НБУ, важливо не зарегулювати використання ШІ, а забезпечити баланс між безпекою та впровадженням інновацій. Тож наступним етапом є діалог між Нацбанком і учасниками фінансового ринку, після чого вже в червні будуть представлені висновки у вигляді першої версії Білої книги ШІ для фінансового сектору.
Чому для регулятора важливий діалог з банками
Як підкреслили в НБУ, практичний досвід фінансових установ, їх бачення ризиків, викликів і можливостей використання штучного інтелекту є ключовим для формування збалансованих і прикладних рекомендацій.
За результатами опитування, проведеного Національним банком у листопаді 2025 року, технології ШІ та машинного навчання вже використовуються в діяльності учасників ринку фінансових послуг: із 208 установ, що надали відповідь, 64% повідомили про використання AI / ML-рішень, з яких 23% – про їх активне використання. Ці результати підтверджують, що фінансовий сектор України вже перебуває на етапі практичного впровадження технологій ШІ, що потребує узгоджених орієнтирів відповідального використання.
Базові принципи при впровадженні ШІ
Національний банк визначає 10 принципів як базову рамку очікуваної поведінки учасників ринку при впровадженні ШІ:
1. Законність та регуляторна відповідність.
Учасникам ринку необхідно забезпечувати дотримання вимог щодо, зокрема, захисту інформації з обмеженим доступом, та персональних даних, банківської таємниці, таємниці фінансової послуги.
2. Доцільність, користь та відповідальне застосування.
3. Прозорість, зрозумілість та поінформованість.
Тут важливо інформувати клієнтів про використання ШІ в продуктах, послугах або процесах та пояснювати роль ШІ в прийнятті рішень без розкриття комерційної таємниці або чутливої інформації.
4. Ризик-орієнтований підхід.
В рамках цього принципу важливо зазначити, що учасникам ринку фінансових послуг доцільно класифікувати системи ШІ за рівнями ризику (наприклад, низький, середній, високий, з урахуванням впливу та потенційної шкоди, яку використання системи ШІ може нанести такому учаснику), і застосовувати пропорційні заходи контролю й тестування під наглядом людини.
5. Конфіденційність, захист даних та інформаційна безпека.
Використання систем ШІ має здійснюватися з використанням лише тих даних, які є необхідними та релевантними для визначеної мети їх функціонування.
6. Етичність, недискримінація та інклюзивність.
7. Нагляд людиною, відповідальність та звітність.
Регулятор зазначає, що рішення або результати, сформовані системами ШІ, мають підлягати належному нагляду людиною (відбуватися за участю й під наглядом людини), коли вони можуть мати правові, фінансові або соціальні наслідки.
8. Права клієнтів учасників ринку фінансових послуг.
Зокрема, право клієнтів знати, коли ШІ відіграє істотну роль у прийнятті рішень, що їх стосуються; отримувати пояснення щодо таких рішень; а також вимагати перегляду та оскарження автоматизованих рішень.
9. Адаптивність, надійність та операційна стійкість.
Учасникам ринку фінансових послуг необхідно мати процедури зупинення, коригування або виведення з експлуатації систем ШІ в разі виявлення неприйнятних ризиків або шкоди.
10. Інтегрованість та відповідальне масштабування.
В дискусійному документі зазначається, що використання систем ШІ має бути інтегрованим в наявні процеси, ІТ-архітектуру, системи управління ризиками, внутрішнього контролю та комплаєнсу, а не функціонувати ізольовано. Також повинне бути передбачене контрольоване масштабування, за якого розширення функціоналу, кількості користувачів або сфер застосування ШІ здійснюється поетапно та з урахуванням ризиків.
Регулювання штучного інтелекту у фінансовому секторі: бачення банків
FinTech Insider запитав у банків – лідерів фінансового сектору України щодо їх бачення регулювання штучного інтелекту. Як розповів Андрій Малахов, директор департаменту експлуатації інформаційних систем UGB (Укргазбанк), UGB вже надав свої пропозиції Національному банку України в межах обговорення Білої книги з регулювання штучного інтелекту та бере активну участь у професійному діалозі щодо майбутньої моделі регулювання ШІ у фінансовому секторі. “На нашу думку, Біла книга має стати рамковим секторальним документом, який синхронізує український підхід до регулювання ШІ з європейською моделлю, зокрема EU AI Act, але з урахуванням специфіки фінансового сектору України”, – каже Андрій Малахов.
За словами експерта, майбутнє регулювання має забезпечити баланс між розвитком інновацій та захистом клієнтів і фінансової системи. У першу чергу регулювання потрібне там, де ШІ може впливати на права клієнтів, фінансові рішення, обробку персональних даних або кібербезпеку. “Йдеться про принципи прозорості, людського контролю, недискримінації, захисту даних та відповідального використання технологій”, – каже Андрій Малахов і водночас додає: “Важливо уникнути надмірного регуляторного навантаження, яке може сповільнити впровадження інновацій. Наприклад, ми вважаємо, що можна не запроваджувати обов’язкової окремої посади Chief AI Officer для всіх установ – ці функції можуть виконувати чинні CDO або CIO”.
Також, як підкреслює представник UGB, важливо чітко відокремити класичні алгоритми автоматизації від складних моделей генеративного ШІ, оскільки рівень ризиків та впливу в цих випадках суттєво відрізняється. “Окремо підтримуємо ідею створення регуляторної «пісочниці» та перехідного періоду для тестування нових AI-рішень. Це дозволить банкам впроваджувати інновації у контрольованому середовищі без ризику надмірних санкцій за ненавмисні помилки на етапі пілотування”, – зазначає Андрій.
Ще один аспект, про який говорить експерт – принцип “розділеної відповідальності”між фінансовими установами та постачальниками ШІ-рішень, особливо у випадку використання закритих моделей, де банк не має доступу до архітектури або вихідного коду технології.
“Загалом роль регулятора ми бачимо не у створенні бар’єрів, а у формуванні чітких правил, роз’ясненні «сірих зон» та підтримці безпечного розвитку інновацій у фінансовому секторі”, – ділиться позицією Укргазбанку директор департаменту експлуатації інформаційних систем.
Про бачення свого банку розповів у коментарі також Євген Балютов, директор з інформаційної безпеки Райффайзен Банку. За його словами, головне питання не “регулювати чи ні”, а що саме регулювати і наскільки жорстко.
“Ключовий критерій простий: чи створює конкретна AI-система реальний ризик для клієнта, ринку або стабільності фінансової системи. Якщо так — контроль необхідний. Якщо ні — надлишкові вимоги стають податком на інновації без реального приросту безпеки”, – каже Євген Балютов.
За його словами, найважливіше – регулювати ризик, а не сам факт використання ШІ. Кредитний скоринг і внутрішній корпоративний чат-бот — це принципово різні рівні впливу, навіть якщо в основі обох одна й та сама модель.
“Тому підхід має бути пропорційним: чим вищий потенційний вплив системи на клієнта або фінансову стабільність — тим жорсткіші вимоги до governance, аудиту, пояснюваності та контролю”, – зазначає експерт і додає, що при цьому low-risk внутрішні інструменти, пілоти або AI-рішення без прямого впливу на клієнтські чи ринкові рішення не повинні обростати окремою бюрократією, адже це лише сповільнює впровадження технологій і підвищує вартість інновацій без практичного ефекту.
Як підкреслює Євген Балютов, Україна зараз має сильну позицію: ми можемо будувати сучасну модель регулювання без тягаря багаторічної бюрократичної інерції. І водночас — брати найкраще з уже існуючих міжнародних підходів. “Наприклад, європейський AI Act побудований на risk-based логіці — і це правильний напрямок. Але для банків критично важливо, щоб регулятор фокусувався на результаті: захисті клієнта, стійкості системи, контролі ризику. А не на спробі зарегулювати конкретну технологію або архітектурний підхід”, – каже представник Райффайзен Банку. Експерт підкреслюює, що технології змінюються швидше за нормативну базу, тому регулювання має бути technology-neutral і outcomes-based. “Інакше є ризик почати регулювати вже вчорашній день”, – зазначає Євген.
Наразі Райффайзен Банк також працює над власними пропозиціями для регулятора щодо Білої книги ШІ для фінансового сектору, адже це важливий етап для всього ринку.
