Compliance požadavky pro finanční sektor a fintech.
Profil sektoru
Atribut Hodnota AI Act dopad 🔴 CRITICAL (High-Risk) NIS2 kategorie Essential (Annex I – Banking) GDPR dopad 🔴 HIGH Další regulace PSD2, DORA, AML, MiFID II
AI Act pro finance
High-Risk AI systémy (Annex III)
Systém Klasifikace Povinnosti Credit scoring 🔴 HIGH-RISK Plné povinnosti Fraud detection 🔴 HIGH-RISK DPIA, explainability AML screening 🔴 HIGH-RISK Human oversight Algorithmic trading 🟡 MEDIUM Monitoring, testing Customer service chatbot 🟡 MEDIUM Transparentnost Risk assessment 🔴 HIGH-RISK Documentation
Credit Scoring specifika
AI ACT POVINNOSTI
Risk classification: HIGH-RISK
DPIA povinné
Bias testing (gender, age, ethnicity)
Explainability (proč bylo zamítnuto)
Human appeal process
GDPR POVINNOSTI (Art. 22)
Právo nebýt předmětem automatizovaného rozhodování
Právo na vysvětlení
Právo na human review
Informace o logice rozhodování
DOKUMENTACE
Model card (training data, features, performance)
Fairness metrics per demographic group
Decision audit trail
Regular re-validation reports
NIS2 + DORA pro finance
DORA = Lex Specialis
Finance sektor podléhá DORA (Digital Operational Resilience Act), které je lex specialis a nahrazuje NIS2 pro ICT risk management ve finančním sektoru.
→ Kompletní DORA dokumentace DORA Compliance Checklist
Požadavek NIS2 DORA ICT Risk Management ✅ ✅ (detailnější) Incident Reporting 24-72h 4h initial, 72h full Testing Penetration testing TLPT (Threat-Led) Third-party risk Vendor audit ICT concentration risk Resilience Business continuity Operational resilience
DORA Timeline
17.1.2025: DORA plně aplikovatelné (NYNÍ!)30.4.2025: Registry ICT třetích stran → ESAsPrůběžně: Dohled ze strany ČNB
Klíčové požadavky DORA
Oblast Požadavek Priorita ICT Risk Framework Dokumentovaný risk management 🔴 Critical Incident classification Kritéria pro major incidents 🔴 Critical TLPT Threat-led penetration testing 🔴 Critical ICT third-party Register všech ICT providers 🔴 Critical Exit strategies Plán pro výměnu critical vendors 🟡 High Resilience testing Roční testing, stress scenarios 🟡 High
→ Pro kompletní checklist viz DORA Checklist (60+ položek)
GDPR pro finance
Specifické oblasti
Oblast Požadavek Právní základ KYC data Customer identification Legal obligation (AML) Transaction data Platební historie Contract Credit history Scoring, risk assessment Legitimate interest + consent Marketing data Cross-selling, offers Consent Fraud data Fraud prevention Legitimate interest
Retention periods
Typ dat Retention Základ KYC/AML data 10 let po ukončení vztahu AML zákon Transaction records 10 let Účetní předpisy Credit decisions 5 let Interní pravidla Marketing consent Do odvolání GDPR Fraud alerts 5 let Legitimate interest
DSAR ve financích
PSD2 specifika
Open Banking
Požadavek Popis SCA Strong Customer Authentication API access TPP (Third Party Provider) přístup Consent management Granulární souhlasy pro data sharing Fraud monitoring Real-time transaction monitoring
AI v PSD2
Typické použití:
Transaction risk scoring (SCA exemptions)
Fraud detection (real-time)
Customer behavior analysis
AML screening
Compliance:
Explainability pro SCA decisions
Audit trail pro API access
Consent management pro data sharing
Checklist pro finance
Short-term (Měsíc 1-3)
Medium-term (Měsíc 3-6)
Long-term (Měsíc 6-12)
Typické náklady
Položka Odhad DORA compliance program €100-200k AI compliance (credit scoring) €30-50k TLPT (threat-led pen testing) €50-100k ICT risk framework €30-50k Third-party due diligence €20-40k Celkem Y1 €230-440k
Regulační kontakty
Autorita Oblast ČNB Banking, DORA, PSD2 ÚOOÚ GDPR NÚKIB NIS2 FAÚ AML
Zdroje