– Europejskie przepisy dotyczące sztucznej inteligencji przewidują poszerzone wymagania w zakresie przejrzystości w działaniu systemów, które wchodzą w interakcje z człowiekiem. Chodzi o asystentów głosowych, chatboty, które są wykorzystywane coraz częściej w sektorze finansowym. Dostawca czy operator rozwiązania wyposażonego w SI będzie musiał przekazywać użytkownikowi określone informacje na temat zastosowanej technologii. Jeśli rozmawia z nami chatbot, powinniśmy dowiedzieć się, że mamy do czynienia z systemem sztucznej inteligencji, a nie z człowiekiem – podkreśla radca prawny Michał Nowakowski.

Michał Nowakowski jest doktorem nauk prawnych oraz radcą prawnym. Pełni funkcję Counsel’a w kancelarii prawnej Maruta\Wachta, jak również jest CEO w spółce ceforai, która zajmuje się wsparciem przy wdrażaniu rozwiązań opartych o etyczną sztuczną inteligencję. Specjalizuje się w zagadnieniach nowych technologii, w tym prawnych aspektach wykorzystania uczenia maszynowego oraz zastosowaniem technologii w sektorze finansowym. Pasjonat wszystkiego, co nowe.

Usługi finansowe wykorzystujące nowe technologie są w tej chwili pod względem prawnym uporządkowane?

Klasyczne usługi finansowe można powiedzieć, że są już uregulowane, to znaczy istnieją przepisy prawa bankowego, jest ustawa o usługach płatniczych, ustawa o obrocie instrumentami finansowymi i oczywiście akty unijne, które regulują wiele z tych kwestii. Natomiast jest przynajmniej kilka obszarów, które jeszcze wymagają uporządkowania lub zmiany w związku z postępującą cyfryzacją. Skupiłbym się na trzech tematach, które wydają mi się istotne. Po pierwsze, zautomatyzowane sposoby przetwarzania danych i szeroko rozumiana sztuczna inteligencja. Mamy kwestię tzw. cyfrowej odporności operacyjnej, która pojawia się w kontekście projektowanego rozporządzenia. Niedawno zostało zawarte wstępne porozumienie dotyczące DORA (czyli Digital Operational Resilience Act - red.), to będzie akt prawny skierowany do bardzo szerokiego kręgu podmiotów sektora finansowego. On oczywiście nie ma charakteru produktowego, ale będzie nakładał dodatkowe obowiązki w zakresie różnych sfer cyfrowych. A skoro usługi finansowe migrują do świata cyfrowego, zatem jest to ściśle powiązane. Trzecim obszarem są też finanse zdecentralizowane, które budzą emocje nie tylko ze względu na ochronę konsumentów, ale także ryzyka związane z praniem pieniędzy i finansowania terroryzmu.

Na czym ma polegać cyfrowa odporność operacyjna?

Chodzi głównie o zakres zabezpieczeń cyfrowych, ale też o kwestie związane z chmurą obliczeniową, która jest coraz intensywniej wykorzystywana w sektorze finansowym. Może mniej dynamicznie w sektorze bankowym, co jest wynikiem pewnych ograniczeń wynikających chociażby z prawa bankowego, ale i pewnej awersji lub dystansu rynku do cloud computingu. Częściej po tę technologię sięgają mniejsze instytucje finansowe. W odporności chodzi również o systemy informatyczne, przeprowadzanie testów, o infrastrukturę w kontekście incydentów oraz o kwestie stricte osobowe. Te ostatnie dotyczą specjalistów odpowiadających bezpośrednio za sferę cyfrową czy też outsourcing usług. I tu pojawia się bardzo ciekawy wątek, o którym mało się mówi, mianowicie, że DORA będzie nakładała pewne obowiązki i wymagania względem dostawców usług IT, czyli podmiotów, które świadczą usługi o charakterze technicznym. Tu mamy bezpieczeństwo przetwarzania informacji, stabilność infrastruktury czy powierzenie pewnych czynności operacyjnych innym podmiotom.

Powiedział pan, że jednym z obszarów, które potrzebują prawnego doregulowania, jest stosowanie sztucznej inteligencji. Może pan podać przykład – gdzie brakuje porządku?

Akt w sprawie sztucznej inteligencji przewiduje zwiększone wymagania w zakresie przejrzystości i transparentności w odniesieniu do systemów, które wchodzą w interakcje z człowiekiem.

O co tutaj chodzi?

O różnych asystentów głosowych, o chatboty, które są wykorzystywane coraz częściej w sektorze finansowym. Dostawca czy operator rozwiązania wyposażonego w sztuczną inteligencję będzie musiał użytkownikowi przekazywać określone informacje, jeśli chodzi o tę technologię. Jeśli rozmawia z nami chatbot, powinniśmy dowiedzieć się, że mamy do czynienia z systemem sztucznej inteligencji, a nie z żywym człowiekiem. Temu może towarzyszyć instrukcja, jak skontaktować się z pracownikiem, jeślibyśmy tego potrzebowali. Rzecz więc w tym, aby człowiek miał jasność, w jakiej jest sytuacji, żeby warunki były przejrzyste. Dodatkowo, Unia Europejska uchwala akty prawne, które pośrednio będą miały wpływ na zastosowanie rozwiązań opartych o Machine Learning. Jest np. European Data Governance Act, który wprowadza wymogi w odniesieniu do pośredników w zakresie obrotu danymi, to znaczy, jakie będą musieli spełnić wymagania organizacyjno-techniczne. Chodzi o dane, które dostarczają, powiedzmy, na potrzeby trenowania modeli ML dla firm i instytucji. Dane muszą być wysokiej jakości, bezpieczne i spełniać standardy, które wynikają z przepisów o ochronie danych osobowych. Zatem to też coś, co na pewno przełoży się na sektor finansowy, tym bardziej, że UE pracuje nad nową koncepcją tak zwanych otwartych finansów, która ma uzupełnić koncepcję otwartej bankowości.

Otwarta bankowość akcentuje m.in. transparentne wykorzystywanie nowych technologii. A co z kryptowalutami?

Rynek kryptoaktywów coraz mocniej się rozwija. Oczywiście, choćby ostatnio, widzimy, jak bywa niestabilny, ale w dalszym ciągu mamy świadomość, że sektor finansowy czy, szerzej, społeczeństwo nie może go ignorować. W 2020 roku pojawiła się strategia dla cyfrowych finansów, jest też rozporządzenie dotyczące technologii rozproszonego rejestru na potrzeby infrastruktury rynkowej, która ma umożliwiać handlowanie instrumentami finansowymi opartym o DLT. Jest jeszcze rozporządzenie, które ma uregulować status przynajmniej wybranych kryptoaktywów, na przykład stablecoinów. Oczywiście założeniem projektu jest wprowadzenie nadzoru nad, nazwijmy to, instrumentami oraz ich „dostawcami”. Nie mówimy tutaj oczywiście o instrumentach finansowych, bo gdyby dane kryptoaktywa wykazywały cechy charakterystyczne dla instrumentu finansowego, podlegałyby wprost regulacji właściwej dla nich.

A jak oceniłby pan aktualną dojrzałość prawa, jeśli chodzi o blockchain? Tyle że mam na myśli nie tylko kryptowaluty, ale w ogóle biznesowe zastosowania łańcuchów blokowych.

Myślę, że to jest sinusoida. Można aktualny moment porównać z sytuacją machine learningu kilkanaście lat temu. Czyli są chwile większej albo mniejszej euforii w zakresie tego typu technologii. Natomiast, w mojej ocenie, brak pewnych rozwiązań prawnych w zakresie wykorzystania blockchainu plus problemy o charakterze infrastrukturalnym i brak systemowego podejścia powodują, że poziom adaptacji tych rozwiązań jest jeszcze niski. Kilka lat temu często zdarzało się, że różne podmioty, nie tylko z sektora finansowego, przychodziły do konsultantów i firm świadczących usługi w tym obszarze, nie mówiąc, jaki problem biznesowy chcą rozwiązać, tylko deklarowały: chcemy mieć u siebie blockchain. I dopiero wtedy zaczynano szukać jakiegoś procesu, który można by było połączyć z tego rodzaju rozwiązaniami. Czyli tak naprawdę wszystko było na odwrót. A blockchain oczywiście ma potencjał, ale ma też pewne obszary, które wymagają większego zainteresowania ze strony regulatorów. Przykładowo kwestie dotyczące prywatności są tutaj dużym i ważnym zagadnieniem. Niełatwa do rozstrzygnięcia jest także koncepcja tak zwanego trwałego nośnika. Natomiast instytucje, w tym finansowe, zaczęły trochę bardziej interesować się wykorzystaniem blockchainu nie tylko w kontekście kryptoaktywów, ale też do tworzenia wewnętrznych systemów obiegu dokumentacji. Dzięki takiemu rozwiązaniu można zapewnić po pierwsze integralność dokumentów, a po drugie wiarygodność podpisów.

Rozmawiamy o regulacjach europejskich dotyczących data science. A jest coś ważnego, specyficznego dla polskiego sektora finansowego w tym obszarze, na co warto zwrócić uwagę?

Brakuje nam przepisów prawnych, poza pewną ich namiastką. Weźmy przykład artykuł 105a ust. 1a z prawa bankowego, który odnosi się do zautomatyzowanych systemów oceny zdolności kredytowej. Jest dla mnie oczywiste, że to przepis, który odnosi się właśnie do zautomatyzowanego przetwarzania danych na potrzeby tych procesów, czyli wykorzystania sztucznej inteligencji. Ale nie mamy dookreślenia, z czego możemy korzystać, jakie są wymagania do spełnienia po stronie dostawcy, który wybiera podobne narzędzie – de facto to odpowiedzialność banku. Mamy określone wprawdzie jakie prawa musi zapewnić użytkownikom, którzy są poddawani procesowi, oczywiście do tego dochodzi RODO, w którym jest artykuł 22 dotyczący zautomatyzowanych procesów decyzyjnych czy profilowania, ale to jak wyjaśniać działanie modeli jest już pewną zagadką. Dziś nie mamy tak naprawdę żadnych regulacji, na przykład wytycznych ze strony Komisji Nadzoru Finansowego, nie licząc istniejących od wielu lat rekomendacji, odnoszących się do modeli oceny ryzyka czy obszaru IT. One pośrednio oczywiście dotykają sfery modelowania danych, ale sektorowi finansowemu przydałyby się bardziej precyzyjnie określone zasady. 

Jakie praktyczne konsekwencje ma brak precyzyjnych przepisów?

Dane mogą być wykorzystywane w sposób nieetyczny albo niezgodny z prawem. Jeżeli nie ma aktów prawnych, pojawia się pytanie, czy jesteśmy w stanie cokolwiek sprawdzić? Oczywiście Komisja Nadzoru Finansowego może zrobić inspekcję, w jaki sposób podchodzimy do kwestii zbierania danych na potrzeby modeli, które wykorzystujemy. Może sprawdzić, jak działa proces przetwarzania, jak wygląda proces trenowania. Ale jeżeli nie ma jasnych wytycznych w tym zakresie albo oczekiwań, to KNF może de facto tylko pogrozić palcem.

A dlaczego nie ma przepisów? Nikt nie był zainteresowany ich wprowadzeniem? Sektor finansowy też nie?

Pewnie nie, prawdopodobnie branża obawiała się, że dostanie dodatkowe obowiązki, co w świetle tzw. tsunami regulacyjnego jest czymś raczej niepożądanym, ponieważ oznacza nowy koszt – jednorazowy i stały równocześnie. Pytanie także o to, czy sam nadzór jest gotowy na zmiany i czy zwyczajnie posiada odpowiednie zasoby. Nie jest to „przypadłość” wyłącznie polskiego sektora, a na takie wyzwania wskazuje chociażby Financial Stability Board. Taka jest moja opinia.

Może trudnością jest też materia tych regulacji. Wspominał pan wcześniej o SI. To rozwiązania, które wymagają dużej wiedzy, a ta wiedza szybko się dezaktualizuje. Opracowane dziś przepisy, jutro mogą być anachroniczne.

Nie do końca się z tym zgodzę, ponieważ koncepcja tworzenia prawa, przynajmniej na poziomie Unii Europejskiej, zakłada trzy podstawowe zasady, na które zawsze zwracam uwagę. Pierwsza to zasada proporcjonalności, druga – neutralności technologicznej i trzecia – podejście oparte na ryzyku (ang. risk-baased approach). Jeżeli połączymy te trzy elementy i stworzymy akt prawny, który jest neutralny technologicznie, to znaczy nie narzuca konkretnych rozwiązań, i zadbamy, aby przepisy w jakiś sposób dostosowywały się do zmieniającego się otoczenia – wtedy jesteśmy w stanie w odpowiedni sposób zabezpieczyć rynek i konsumentów.

Poglądy i opinie wyrażone w niniejszym artykule stanowią wyłącznie osobiste poglądy autora i nie mogą być utożsamiane z poglądami lub opiniami instytucji, z którą autor jest lub był związany.