PowerQuantSESkicka ert frågeformulär

AI-förordningen möter finansregleringen

Banker och fintech-bolag verkar redan under omfattande sektorsreglering. Europaparlamentets och rådets förordning (EU) 2024/1689 (AI-förordningen) lägger ytterligare ett lager ovanpå detta, med särskilt fokus på hur AI-system används. Förordningen är en EU-förordning och gäller direkt i Sverige; ingen separat svensk implementeringslag krävs.

AI-förordningen ersätter inte befintlig finansreglering utan kompletterar den. Vissa krav, exempelvis kring riskhantering och styrning, kan i praktiken delvis sammanfalla med krav som redan följer av sektorsregler, men de utgör separata rättsliga grunder.

Kreditvärdering som högrisk enligt Bilaga III

Bilaga III förtecknar användningsområden som klassas som högrisk. Hit hör bland annat AI-system avsedda att användas för kreditvärdering och kreditprövning av fysiska personer. Detta är centralt för banker, kreditgivare och många fintech-bolag.

När ett AI-system används för kreditvärdering omfattas det av högrisk-regelverket. Skyldigheterna för tillhandahållare av Bilaga III-system gäller från 2 augusti 2026. Det finns ett förslag, Digital Omnibus, om att skjuta upp dessa till 2 december 2027 (Digital Omnibus-förslag, ännu ej i kraft; godkänt av Europaparlamentet 16 juni 2026, men rådet inväntar OJ-publicering). Fram till dess gäller datumet 2 augusti 2026.

Roller: leverantör eller tillhandahållare

AI-förordningen skiljer mellan leverantör (provider) och tillhandahållare (deployer, även kallad driftsättare). En bank som köper in och använder ett kreditvärderingssystem är typiskt sett tillhandahållare. Den som utvecklar och tillhandahåller systemet på marknaden är leverantör.

Observera artikel 25: under vissa förutsättningar kan en tillhandahållare omklassificeras till leverantör, exempelvis om tillhandahållaren sätter sitt eget namn på systemet eller gör en väsentlig ändring av ett högrisk-AI-system. En sådan omklassificering medför betydligt mer omfattande skyldigheter.

Tillhandahållarens skyldigheter enligt artikel 26

För tillhandahållare av högrisk-AI-system anger artikel 26 ett antal skyldigheter, däribland att:

  • använda systemet i enlighet med leverantörens bruksanvisning,
  • säkerställa mänsklig tillsyn av personer med lämplig kompetens,
  • säkerställa att indata är relevanta med hänsyn till systemets avsedda ändamål, i den mån tillhandahållaren kontrollerar indata,
  • övervaka driften och underrätta leverantören och behörig myndighet vid risker eller allvarliga incidenter.

För kreditvärdering aktualiseras dessutom information till berörda fysiska personer i enlighet med förordningens bestämmelser om högrisk-AI-system.

AML och andra användningsfall

Många banker använder AI inom åtgärder mot penningtvätt (AML), transaktionsövervakning och bedrägeridetektering. Huruvida ett enskilt sådant system utgör högrisk enligt Bilaga III måste bedömas i det konkreta fallet utifrån systemets avsedda ändamål. Oavsett klassificering kvarstår kravet på AI-kunnighet enligt artikel 4, i kraft sedan 2 februari 2025, samt förbudet mot metoderna i artikel 5.

Transparens enligt artikel 50 för chatbots

Artikel 50 (transparens) gäller från 2 augusti 2026. För banker och fintech är detta särskilt relevant för chatbots och andra konversationsgränssnitt: fysiska personer ska informeras om att de interagerar med ett AI-system, om det inte är uppenbart. Vidare ställs krav på märkning av visst AI-genererat eller manipulerat innehåll.

Sanktioner enligt artikel 99

  • Förbjudna metoder enligt artikel 5: upp till 35 miljoner EUR eller 7 % av global årsomsättning.
  • Överträdelser av bland annat artikel 50 och högrisk-skyldigheterna: upp till 15 miljoner EUR eller 3 %.
  • Oriktig information till myndigheter: upp till 7,5 miljoner EUR eller 1 %.

För finansiella aktörer med betydande omsättning kan procentbaserade böter bli väsentliga.

Inför inköp

  • Kartlägg vilka AI-system som används för kreditvärdering och kontrollera om de utgör högrisk enligt Bilaga III.
  • Avgör er roll: leverantör eller tillhandahållare – och beakta omklassificering enligt artikel 25.
  • Begär in leverantörens dokumentation och bruksanvisning för att kunna uppfylla artikel 26.
  • Säkerställ artikel 50-transparens för chatbots inför 2 augusti 2026.
  • Dokumentera AI-kunnighet enligt artikel 4 (jfr PowerQuant Modul 1 för AI-inventering och Artikel 4-register).

Denna text utgör allmän information och är inte juridisk rådgivning.