AI Act nije samo novi propis, nego pitanje pravne sigurnosti financijskog sektora, a financijske institucije dobile su više vremena no ne i razlog za odgodu usklađivanja

Financijski sektor ulazi u razdoblje u kojem se umjetna inteligencija više ne može promatrati samo kao tehnološki alat za učinkovitije poslovanje, nego kao regulatorno, reputacijsko i strateško pitanje. Banke, osiguravatelji i fintech kompanije već koriste AI u kreditnom scoringu, procjeni rizika, sprječavanju prijevara, korisničkoj podršci, internim HR procesima i brojnim ugrađenim funkcijama poslovnih aplikacija.

No upravo širina te uporabe otvara problem koji je često veći od same tehnologije: mnoge organizacije još nemaju potpunu sliku o tome gdje se sve umjetna inteligencija doista koristi. Za ICTbusiness Media - ICTbusiness, Katarina Bulić Bestulić, odvjetnica i savjetnica za AI governance, ističe da je prvi korak ozbiljnog usklađivanja stvarna inventura AI sustava, a ne formalna tablica koja se jednom ispuni i zaboravi. Ona posebno upozorava na shadow AI, odnosno tiho i raspršeno korištenje alata poput generativnih modela, AI dodataka u CRM sustavima, HR platformama, cloud servisima ili rješenjima za analitiku. Iako se dio rokova za visokorizične AI sustave pomiče prema novom regulatornom okviru, to ne znači da financijske institucije mogu odgoditi pripreme. 

Obveze transparentnosti, zabrane određenih praksi i pravila za sustave opće namjene već stvaraju konkretan okvir odgovornosti. AI Act se pritom ne može promatrati odvojeno od GDPR-a, DORA-e, MiFID-a II i propisa o sprječavanju pranja novca, jer isti sustav često istodobno aktivira više regulatornih režima. Ona naglašava da dobro postavljen compliance ne usporava inovacije, nego omogućuje da se AI u osjetljivim procesima koristi sigurnije, brže i dokazivo zakonito. U konačnici, financijski sektor ne prodaje samo tehnologiju i usluge, nego povjerenje, a umjetna inteligencija taj ulog čini još većim.

EU AI Act se u financijskom sektoru često doživljava kao još jedan sloj regulative, ali kod visokorizičnih AI sustava riječ je o pitanju pravne sigurnosti samog poslovnog modela. Koliko su banke, osiguravatelji i fintech kompanije doista spremni za 2. kolovoza 2026.?

Počet ću informacijom koja većini sektora još nije sjela: datum kojega se svi pripremaju upravo se pomaknuo. Digital Omnibus na AI, koji je Europski parlament potvrdio 16. lipnja, a Vijeće bi ga trebalo formalno usvojiti krajem lipnja, odgađa obveze za samostalne visokorizične sustave iz Priloga III. s 2. kolovoza 2026. na 2. prosinca 2027. A upravo u tom Prilogu III. sjede sustavi koji su financijskom sektoru najvažniji: kreditni scoring i procjena rizika u životnom i zdravstvenom osiguranju.

Zvuči kao olakšanje. I jest, ali samo za onoga tko zna što to točno znači. Postoje tri stvari koje se ne smiju previdjeti.

Prvo, dok Omnibus ne bude objavljen u Službenom listu, a to se očekuje tek u srpnju, pravno na snazi ostaje stari rok. Tko danas uspori program usklađivanja računajući na odgodu, računa na tekst koji još nije zakon.

Drugo, odgoda se ne odnosi na sve. Obveze transparentnosti iz članka 50., one koje terete organizaciju koja sustav koristi, takozvanog deployera, ostaju na 2. kolovoza 2026. Zabranjene prakse na snazi su još od veljače 2025., pravila za sustave opće namjene od kolovoza 2025. Dakle, 2. kolovoza je i dalje živ datum, samo za drugi set obveza nego što sektor misli.

Treće, i najvažnije: posao usklađivanja traje dulje od staze koju je zakonodavac dao. Ozbiljan AI governance ne postavlja se u tri mjeseca.

A gdje je najveći jaz? Nije između svijesti i pripremljenosti na način na koji se to obično prikazuje. Elementarniji je od toga. Velika većina institucija ne može odgovoriti na najjednostavnije pitanje: gdje sve mi zapravo koristimo umjetnu inteligenciju? Veliki sustavi poput scoringa ili AML monitoringa nisu glavni problem; oni su vidljivi, netko ih je nabavio, netko za njih odgovara. Problem je tiha, raspršena AI: ChatGPT otvoren u svakom odjelu, AI značajka tiho upaljena unutar CRM-a, copilot u HR alatu koji nitko nije prijavio. To je takozvana shadow AI. I da, za većinu organizacija prvi će problem biti posve banalan: nemaju kartu vlastitog terena.

Prvi korak svakog ozbiljnog compliancea je inventura AI sustava, ali u praksi to zvuči puno lakše nego što jest. Kako financijska institucija uopće može napraviti stvarnu, a ne formalnu mapu svih AI alata koje koristi?

Inventura je točka na kojoj se formalno i stvarno usklađivanje razilaze. Formalna inventura je tablica koju netko jednom ispuni i zaboravi. Stvarna je živi registar koji se mijenja svaki put kad netko u kući uključi novu značajku ili potpiše novi SaaS ugovor.

Tko je odgovoran? Najgori mogući odgovor je „svi". Kad su svi odgovorni, nije nitko. Inventura je po prirodi međufunkcijski posao, ali netko mora držati olovku. U praksi najbolje funkcionira kad pravni odjel ili compliance orkestriraju proces, IT i sigurnost rade tehničko otkrivanje, jer oni vide promet, integracije i licence. Poslovne jedinice daju istinu s terena, a uprava daje mandat. Bez mandata uprave inventura se pretvori u molbu koju pola odjela ignorira.

A što ako te ekspertize još nema unutar kuće? Tu je model koji se vani odavno pokazao najučinkovitijim, a sve više se primjenjuje i kod nas. Instituciju kroz prvi krug provede vanjski stručnjak za AI governance, koji ne odradi samo posao, nego usput educira interni tim. Cilj nije stalni vanjski savjetnik na koji se firma zauvijek oslanja, nego prijenos znanja, tako da veće organizacije nakon nekog vremena tu ulogu mogu preuzeti same. Dobra vanjska ekspertiza tu je da postavi temelj i da samu sebe s vremenom učini suvišnom.

Kako razlikovati klasičnu automatizaciju od AI sustava koji ulazi u doseg Akta? Test nije „je li pametno". Makro u Excelu može biti vrlo koristan, a nije AI u smislu Akta. Mjerilo je funkcionalno: govorimo li o sustavu koji iz ulaznih podataka zaključuje kako generirati izlaze, predikcije, sadržaj, preporuke, odluke, uz određeni stupanj autonomije i prilagodljivosti. Pravilo koje slijedi fiksnu logiku nije to. Model koji uči i zaključuje jest.

A vanjski alati su mjesto gdje leži najveći dio sante leda. AI ugrađen u vaš CRM, u rješenje za detekciju prijevara, u HR platformu, u cloud servis. Ovdje je poruka neugodna: pravnu odgovornost ne možete outsourcati. Možete kupiti alat, ne možete kupiti izlaz iz odgovornosti. Zato vanjski dobavljači ulaze u dubinsku analizu, u ugovore se ugrađuje obveza protočnosti informacija, a dobavljaču se postavlja pitanje koje mnogi izbjegavaju: ima li u ovome umjetne inteligencije i kako je vi klasificirate?

To je prvi stup pristupa koji u praksi koristim: vidljivost. Bez nje je sve ostalo nagađanje.

Jedno od najosjetljivijih pitanja bit će klasifikacija rizika, osobito kod graničnih slučajeva. Kako izbjeći situaciju da kompanija podcijeni rizik AI sustava i tek u nadzoru regulatora shvati da ga je pogrešno klasificirala?

Najopasnija klasifikacija je ona ugodna. Podcjenjivanje rizika je zamka jer posljedice ne osjetite odmah, osjetite ih tek kad regulator ili oštećeni korisnik ospori vašu procjenu, a tada dokazni spis koji bi vas obranio jednostavno ne postoji.

Koji su najteži granični slučajevi u financijama? Poredat ću ih onako kako ih institucije najčešće krivo procijene.

Interni HR alati: podcijenjeni gotovo uvijek; alat koji filtrira životopise ili rangira kandidate sjedi posred Priloga III. i visokorizičan je, bez obzira što ga doživljavate kao „interni HR-ov pomagač".

Scoring modeli: tu svi znaju da je ozbiljno.

Sustavi za sprječavanje prijevara i AML su obrnuta zamka: oni nisu automatski visokorizični po Prilogu III., što mnoge iznenadi, ali ih i dalje stišće članak 22. GDPR-a o automatiziranom odlučivanju.

Robo-savjetnici i segmentacija korisnika: ovisi o tome koliko duboko zadiru u odluku koja pogađa pojedinca.

Kako dokazati da sustav nije visokorizičan? Tako da „nije visokorizičan" tretirate kao zaključak koji morate obraniti, a ne kao pretpostavku od koje krećete. Izuzeće iz članka 6. ne primjenjuje se samo od sebe; mora biti obrazloženo, dokumentirano, a po novom Omnibusu i takve sustave i dalje treba registrirati. Drugim riječima, papir koji objašnjava zašto ste odlučili kako ste odlučili vrijedi više od same odluke.

Trebaju li onda iz opreza sve tretirati kao visokorizično? Ne. To je skupa predstava koja razrjeđuje pravo upravljanje rizikom: ako je sve crveno, ništa nije crveno. Moj savjet je drukčiji: klasificirajte strogo, dokumentirajte logiku, a ondje gdje je doista pedeset-pedeset, gradite prema višem standardu za one kontrole koje su jeftine i lako branjive. Disciplina, ne panika.

Financijske institucije već žive pod snažnim regulatornim pritiskom GDPR-a, DORA-e, MiFID-a II i propisa o sprječavanju pranja novca. Kako EU AI Act mijenja postojeću arhitekturu usklađenosti i zašto se ti propisi više ne mogu promatrati odvojeno?

Najčešća, i najskuplja, pogreška je tretirati AI Act kao zaseban toranj prilijepljen sa strane. Nije novi toranj. Novi je kat na zgradi koja već stoji, a u toj zgradi su GDPR, DORA, MiFID II i propisi o sprječavanju pranja novca. Tko gradi novi kat ne mareći za temelje ispod, srušit će si zgradu.

Gdje se najjače preklapaju? AI Act i GDPR sudaraju se najsnažnije kod automatiziranog odlučivanja, procjene učinka, upravljanja podacima i transparentnosti. Uzmite kreditni scoring: jedan te isti sustav istovremeno aktivira visokorizični režim AI Akta i članak 22. GDPR-a. Isti model, dvije pravne leće, dva seta obveza koje se moraju posložiti da si ne proturječe.

A DORA ulazi u priču u trenutku kad AI alat postane dio kritične ICT infrastrukture ili kad ga isporučuje treća strana. Tada vaš dobavljač AI-a nije više samo dobavljač AI-a, on je i ICT pružatelj treće strane u smislu DORA-e, sa svime što to znači za upravljanje rizikom i ugovore.

Može li ista dokumentacija pokriti više zahtjeva? Djelomično da, i upravo je tu ušteda. Dobro postavljena procjena rizika, evidencija o upravljanju podacima i registar dobavljača mogu se inženjerski osmisliti tako da istovremeno služe AI Aktu, GDPR-u i DORA-i, umjesto da gradite tri paralelne tvornice papira. Ali oprez: DPIA se ne može jednostavno prelijepiti naljepnicom i proglasiti procjenom sukladnosti po AI Aktu. Preklapaju se, nisu istovjetni. Pametna arhitektura je jedan integrirani sloj governancea s jasnim mapiranjem na svaki propis, a ne tri silosa koja se međusobno ne poznaju. To je, uostalom, jedini način da usklađenost bude održiva, da svaki novi propis ne znači novi odjel.

Često se kaže da compliance usporava inovacije, no vi tvrdite suprotno: da je dobro postavljen compliance preduvjet da se AI uopće može ozbiljno koristiti. Kako uvjeriti uprave da EU AI Act nije samo trošak, nego i alat za sigurnije i brže uvođenje umjetne inteligencije?

Tvrdnja da compliance usporava inovacije zvuči logično dok je ne pogledate izbliza. Tada se okrene naglavačke. Poslovna cijena neuređenog korištenja AI-a stiže puno prije ijedne regulatorne kazne. Chatbot prema klijentima koji halucinira i daje krivu informaciju o proizvodu. Scoring model s ugrađenom pristranošću koji vam stvara pravnu izloženost i reputacijsku štetu. Curenje podataka kroz alat koji nitko nije odobrio. Kazna je posljednji i, iskreno, najmanji trošak na tom popisu.

Kako to objasniti upravi? Razlikom između dvije rečenice koje zvuče slično, a dijeli ih provalija.

„Imamo AI alat."

I: „Imamo AI alat koji smijemo koristiti, znamo pod kojim uvjetima ga koristimo i to možemo dokazati regulatoru."

Prva rečenica je rizik prerušen u inovaciju. Druga je branjiva imovina.

Hoće li prvi koji to poslože imati prednost? Hoće, i to stvarnu, ali ne zato što imaju certifikat na zidu. Nego zato što mogu brže uvoditi AI i u osjetljivije procese, sa sigurnošću, dok konkurencija još uvijek ne smije upaliti pola alata jer ne zna smije li. Institucija koja može dokazati da je njezin AI siguran jest institucija koja AI uopće smije ozbiljno koristiti.

U listopadu dolazite na ACCEPT Finance Market Zagreb, prvi regionalni sajam računovodstva i fiancnija, svega nekoliko mjeseci nakon ključnog datuma primjene EU AI Act-a. Koju biste najvažniju poruku ondje željeli poslati financijskom, računovodstvenom i tehnološkom sektoru?

Do listopada Omnibus će biti objavljen, prašina slegnuta, i ostat će jedno pitanje: tko je iskoristio dobiveno vrijeme, a tko je pritisnuo „snooze".

Institucije koje odgodu pročitaju kao „imamo vremena do 2027., opustimo se" bit će točno one koje 2027. panično jure, jer izgradnja stvarnog governancea, inventura, klasifikacija, dokazni spis, traje dvanaest do osamnaest mjeseci kad se radi kako treba, i dotiče svaki odjel u kući.

Što bi svaka banka, osiguravatelj i fintech do listopada već morali imati? Živi registar AI sustava. Branjivu klasifikaciju svakog od njih. Obveze transparentnosti prema članku 50., koje su, da podsjetim, na snazi od kolovoza, stvarno implementirane, a ne samo na papiru. I imenovanu osobu koja za AI governance odgovara, makar u startu uz vanjsku podršku koja tu ulogu pomaže izgraditi. Pitanje koje će publika tek tada početi postavljati, „je li ovo visokorizično?", trebala je otvoriti danas, i to u oštrijem obliku: „možemo li dokazati kako smo do te odluke došli?"

Ako bih cijeli roadmap morala sažeti u jednu rečenicu: AI Act je istovremeno pravna obveza, poslovni rizik i prilika za izgradnju povjerenja, a institucije koje ga prepoznaju kao ovo treće nadigrat će one koje u njemu vide samo prvo.

A iza svega toga stoji poruka veća od bilo kojeg propisa. Ne gradimo društvo u kojem je čovjek protiv stroja. Naš je zadatak osigurati da stroj ostane stroj: uvijek pod ljudskom kontrolom i u službi višeg dobra, a ne samo brzine i uštede. Jer u trenutku kad ubrzanje procesa i ušteda na vremenu počnu ići na štetu sigurnosti, ljudskog integriteta, tjelesnog i mentalnog zdravlja, to se mora staviti na vagu. A na toj vagi čovjek uvijek pretegne.

Zato u financijama na kraju i ne prodajemo tehnologiju. Prodajemo povjerenje.

AI to ne mijenja, samo podiže ulog.