AI Governance · Compliance

AI Act + DORA + KNF
co banki muszą przygotować
przed wdrożeniem GenAI

GenAI w bankowości przestaje być wyłącznie tematem technologicznym. AI Act, DORA i oczekiwania KNF zmieniają sposób wdrażania AI — i to fundamentalnie. Oto co bank powinien przygotować zanim wdroży GenAI na produkcję.

PP
dr Przemysław Prokopow
AI / Enterprise Architect · aidlabankow.pl
9 maja 2026
12 min czytania
Umów konsultację AI Pobierz checklistę AI dla banku

Jeszcze niedawno wiele organizacji traktowało GenAI głównie jako innowację technologiczną. Powstawały szybkie PoC-y, chatboty i eksperymenty z modelami LLM. Dominowało podejście: „Najpierw zróbmy demo, później pomyślimy o compliance".

Dziś sytuacja wygląda zupełnie inaczej. AI w bankowości coraz bardziej staje się tematem regulacyjnym, obszarem zarządzania ryzykiem i elementem governance organizacji. I właśnie dlatego AI Act, DORA oraz oczekiwania KNF zaczynają fundamentalnie zmieniać sposób wdrażania GenAI.

Nota eksperta

Największym wyzwaniem GenAI w bankowości zwykle nie jest model AI. Są nim governance, bezpieczeństwo, compliance i zarządzanie ryzykiem.

Dlaczego regulacje zmieniają sposób wdrażania AI?
  • High-risk AI — scoring, AML, fraud pod rygorystycznymi wymogami
  • Auditability — każda decyzja AI musi mieć ścieżkę audytową
  • Explainability — wyjaśnialność decyzji wymagana przez regulatora
  • Human oversight — nadzór ludzki dla systemów wysokiego ryzyka
  • Resilience — odporność operacyjna systemów AI (DORA)
  • Governance — zarządzanie modelami i lifecycle management
  • Security — ochrona danych, RBAC, DLP, prompt filtering
  • Operational risk — AI jako element ryzyka operacyjnego banku

Dlaczego GenAI jest szczególnie trudne regulacyjnie

Klasyczne systemy IT zwykle działają deterministycznie — ten sam input daje ten sam output. Modele GenAI działają inaczej. Są probabilistyczne, generują odpowiedzi dynamicznie i mogą hallucinate, tworzyć nieprzewidywalne odpowiedzi lub generować treści niezgodne z politykami organizacji.

To powoduje nowe ryzyka: operacyjne, compliance, prawne, reputacyjne i cyberbezpieczeństwa. I właśnie dlatego regulatorzy zaczynają interesować się AI dużo bardziej niż klasycznym software'em.

Regulacje nie mają zatrzymać AI. Mają sprawić, że AI będzie bezpieczne, kontrolowane i auditowalne.

AI Act zmienia sposób myślenia o AI

EU AI Act High-Risk AI Risk Classification

AI Act to pierwsza tak duża próba uregulowania systemów AI w Europie. Najważniejsze jest to, że AI Act nie traktuje wszystkich systemów AI tak samo — podejście opiera się na poziomie ryzyka. Część systemów będzie praktycznie zakazana, część objęta wysokim rygorem, część otrzyma ograniczone obowiązki.

I właśnie tutaj zaczyna się kluczowy problem dla banków: wiele zastosowań AI w sektorze finansowym może zostać zakwalifikowanych jako systemy wysokiego ryzyka.

Dlaczego bankowość wpada w „high-risk AI"

Bankowość podejmuje decyzje mające realny wpływ na ludzi: kredyty, scoring, AML, fraud detection, onboarding, ocena ryzyka i decyzje operacyjne. A właśnie takie obszary AI Act traktuje najbardziej restrykcyjnie. Oznacza to wymagania dotyczące:

  • governance i quality management
  • risk management i klasyfikacja ryzyk
  • auditability i explainability każdej decyzji
  • human oversight dla krytycznych procesów
  • monitoring modeli i dokumentacja systemów AI

I właśnie dlatego wiele prostych PoC-ów GenAI nie nadaje się do środowiska bankowego bez gruntownej przebudowy. Więcej o governance: AI Governance w bankach.

DORA zmienia perspektywę z „AI" na odporność operacyjną

DORA ICT Risk Operational Resilience

Wiele organizacji skupia się wyłącznie na AI Act. Tymczasem dla banków równie ważna — a czasami ważniejsza — jest DORA. Bo DORA patrzy na AI przede wszystkim jako element infrastruktury ICT i ryzyka operacyjnego. Oznacza to pytania:

  • co się stanie, gdy model AI przestanie działać
  • jak wygląda incident management i disaster recovery
  • kto odpowiada za dostawcę modelu — vendor lock-in i kontrakty
  • jak wygląda resilience architektury AI
  • jak monitorowane i raportowane są incydenty

I właśnie tutaj wiele organizacji zaczyna rozumieć, że produkcyjne AI jest dużo bliżej cyberbezpieczeństwa i enterprise architecture niż prostego „chatbota AI".

Pomoc eksperta

AI w bankowości przestaje być eksperymentem technologicznym. Pomagamy projektować enterprise AI zgodne z governance, security i compliance.

Umów konsultację AI

KNF nie potrzebuje osobnego „AI Act", żeby zadawać trudne pytania

KNF Model Risk Outsourcing

Wiele organizacji myśli: „Poczekajmy na konkretne wytyczne KNF dotyczące AI". W praktyce KNF już dziś może zadawać bardzo konkretne pytania dotyczące bezpieczeństwa, outsourcingu, zarządzania ryzykiem, modeli, danych, continuity i cyberbezpieczeństwa — bo większość tych obszarów już istnieje w obecnych regulacjach. AI po prostu zwiększa skalę i złożoność problemu. Szczegółowe podejście: konsulting AI dla banków.

Największy problem: brak AI governance

Wiele organizacji rozpoczęło eksperymenty z GenAI zanim powstały polityki AI, standardy użycia modeli, governance modeli, klasyfikacja use case'ów, procesy akceptacji ryzyka i AI lifecycle management. W efekcie: każdy PoC wygląda inaczej, compliance reaguje dopiero po fakcie, organizacja traci kontrolę nad skalą eksperymentów.

I właśnie dlatego AI governance staje się dziś jednym z najważniejszych tematów w bankowości. Co to oznacza w praktyce: dlaczego PoC AI nie trafia na produkcję.

Shadow AI staje się realnym problemem

Pracownicy bardzo szybko zaczynają używać ChatGPT, Copilotów i publicznych modeli — często bez wiedzy security, bez governance, bez klasyfikacji danych i bez świadomości ryzyka. I właśnie dlatego organizacje potrzebują polityk AI, guardrails, edukacji pracowników, bezpiecznych środowisk GenAI i centralnego governance. Zakazy zwykle nie działają długo.

Największe ryzyka GenAI w bankowości

Ryzyka GenAI, które banki identyfikują najczęściej
  • Wycieki danych — brak kontroli nad kontekstem przekazywanym do modeli
  • Hallucinations — modele generują wiarygodnie brzmiące, ale nieprawdziwe odpowiedzi
  • Prompt injection — złośliwe manipulowanie zachowaniem modelu przez użytkownika
  • Shadow AI — pracownicy korzystają z publicznych modeli z danymi banku
  • Vendor lock-in — uzależnienie od dostawcy modelu bez planu exit
  • Brak explainability — decyzje modelu niemożliwe do wyjaśnienia regulatorowi
  • Brak audit trail — niemożność odtworzenia decyzji AI w przypadku incydentu

Governance będzie ważniejsze niż sam model

To trend, który bardzo wyraźnie widać na rynku. Na początku wszyscy pytali „jakiego modelu użyć?" Coraz częściej organizacje pytają: jak kontrolować AI, jak audytować modele, jak monitorować ryzyko i jak wdrożyć AI zgodnie z regulacjami.

Dojrzałość AI będzie coraz częściej oceniana nie po jakości demo, ale po jakości governance, security, architektury i procesów operacyjnych. Więcej o podejściu technicznym: wdrożenie AI w banku.

Co bank powinien przygotować przed wdrożeniem GenAI?

01

AI Governance

  • Polityki AI — role, odpowiedzialności, klasyfikacja use case'ów
  • Model lifecycle management i procesy zatwierdzania
  • Governance modeli i risk assessment
02

Security i Data Governance

  • Klasyfikacja danych, RBAC/ABAC, tenant isolation
  • Guardrails, DLP, prompt filtering, audit trail
  • Monitoring bezpieczeństwa i alertowanie
03

Enterprise Architecture i Resilience

  • Wspólna architektura AI — integracje, observability, monitoring
  • Vendor strategy — exit plan, kontrakty zgodne z DORA
  • Disaster recovery i testowanie odporności systemów AI
04

Compliance i Risk Management

  • AI risk assessment i klasyfikacja use case'ów (AI Act)
  • Explainability i human oversight dla systemów high-risk
  • Dokumentacja modeli, model validation i monitoring
05

Edukacja organizacji

  • Szkolenia z polityk AI i zasad bezpieczeństwa
  • Bezpieczne środowiska GenAI ograniczające shadow AI
  • Governance procesów i zmiana operating model
Czy bank jest gotowy na regulowane AI?
AI governance — polityki, role, procesy
Klasyfikacja danych i RBAC/ABAC
Monitoring modeli i drift detection
Audit trail każdej decyzji AI
AI risk assessment i high-risk mapping
Vendor management zgodny z DORA
DLP i prompt filtering
RBAC / ABAC na poziomie dokumentów
Human oversight dla high-risk AI
Lifecycle management modeli AI
Eksperymentalne AI vs Enterprise AI w środowisku regulowanym
ObszarPoC / Eksperymentalne AIProdukcyjne Enterprise AI
GovernanceBrak lub ad hocPolityki AI, procesy zatwierdzania, role i odpowiedzialności
SecurityPomijane w fazie demoRBAC, DLP, prompt filtering, tenant isolation
ComplianceAfterthoughtAI Act, DORA, KNF — wbudowane w architekturę
MonitoringBrakObservability, drift detection, alerty, dashboardy
AuditabilityNiemożliwaPełny audit trail, cytowanie źródeł, logi decyzji
Risk managementNieocenianyAI risk assessment, model validation, monitoring
ResilienceBrak planu DRDisaster recovery, vendor exit plan, HA
OwnershipIT / innovation labSponsor biznesowy, compliance, risk — wspólna odpowiedzialność

Najbardziej dojrzałe organizacje robią jedną rzecz inaczej

Nie traktują AI jako „narzędzia". Traktują AI jako nową warstwę infrastruktury organizacji. Wtedy governance pojawia się od początku, security jest częścią architektury, compliance uczestniczy w projektach i organizacja buduje zdolność skalowania AI.

Governance Framework
5 filarów enterprise AI governance w bankowości
1
AI Governance
Polityki AI, klasyfikacja use case'ów, model lifecycle management, procesy zatwierdzania i role odpowiedzialności w organizacji.
2
Security
Klasyfikacja danych, RBAC/ABAC, DLP, prompt filtering, tenant isolation, audit trail i monitoring bezpieczeństwa systemów AI.
3
Compliance
AI risk assessment, explainability, human oversight, dokumentacja modeli dla AI Act, DORA i wytycznych KNF. Rejestracja systemów high-risk.
4
Monitoring i Observability
Monitoring jakości modeli, drift detection, alerty, dashboardy operacyjne. Incydent reporting zgodny z DORA.
5
Operating Model AI
Organizacja wokół AI: sponsor biznesowy, AI owner, szkolenia pracowników, polityki shadow AI i zarządzanie zmianą.

Podsumowanie

AI Act, DORA i oczekiwania KNF nie oznaczają końca GenAI w bankowości. Wręcz przeciwnie — oznaczają przejście od eksperymentów do dojrzałego enterprise AI. Największym wyzwaniem nie będzie sam model AI. Najtrudniejsze okażą się governance, bezpieczeństwo, compliance, zarządzanie ryzykiem i zdolność organizacji do kontrolowanego skalowania AI.

Jak to wygląda w praktyce: jak wdrożyć AI w banku krok po kroku i zastosowania AI w bankowości. Kompleksowe wsparcie: usługi AI dla sektora finansowego.

PP
dr Przemysław Prokopow
AI / Enterprise Architect · Banking & Financial Sector

Projektuje i wdraża enterprise AI dla banków i instytucji finansowych. Specjalizuje się w AI governance, compliance AI, GenAI i architekturze enterprise dla środowisk regulowanych. Doświadczenie w projektach dla banków komercyjnych i spółdzielczych, z uwzględnieniem wymagań AI Act, DORA i KNF.

AI Governance Enterprise AI GenAI Banking Architecture Compliance AI AI Security DORA · KNF
AI Act DORA KNF AI Governance GenAI Compliance AI High-Risk AI Enterprise AI
FAQ

Pytania o AI Act, DORA i KNF

Czy AI Act dotyczy banków?
+
Tak. AI Act dotyczy każdej organizacji wdrażającej lub używającej systemów AI w UE. Dla banków szczególnie istotna jest klasyfikacja high-risk AI — scoring kredytowy, systemy AML i fraud detection mogą być zakwalifikowane jako systemy wysokiego ryzyka. Oznacza to konkretne wymagania: governance, audit trail, explainability, ludzki nadzór, rejestracja w systemach unijnych i dokumentacja techniczna.
Co oznacza high-risk AI w bankowości?
+
High-risk AI to systemy AI mające istotny wpływ na prawa lub bezpieczeństwo ludzi. W bankowości mogą to być: scoring kredytowy i systemy decyzji kredytowych, systemy AML i fraud detection, systemy oceny ryzyka wpływające na dostęp do usług finansowych. Dla takich systemów AI Act wymaga: risk management, quality management, auditability, explainability, ludzkiego nadzoru i dokumentacji przed wdrożeniem.
Jak DORA wpływa na GenAI w bankowości?
+
DORA patrzy na AI przede wszystkim jako element infrastruktury ICT i ryzyka operacyjnego. Obejmuje: zarządzanie ryzykiem dostawców modeli AI (vendor management, kontrakty), wymagania dotyczące odporności operacyjnej systemów AI, incydent reporting, disaster recovery, testowanie odporności i monitorowanie systemów AI. W praktyce DORA wymaga, żeby bank traktował systemy GenAI podobnie jak inne systemy krytyczne — z pełnym zarządzaniem ryzykiem operacyjnym.
Czy KNF reguluje AI w bankach?
+
KNF nie ma jeszcze osobnych wytycznych poświęconych wyłącznie AI, ale istniejące regulacje już obejmują obszary istotne dla AI: outsourcing i vendor management (dostawcy modeli AI), zarządzanie ryzykiem operacyjnym, cyberbezpieczeństwo i ochrona danych, governance i zgodność. KNF może zadawać pytania dotyczące AI w ramach istniejących uprawnień nadzorczych. Banki powinny zakładać, że AI będzie coraz bardziej przedmiotem zainteresowania regulatora.
Jak przygotować AI governance w banku?
+
AI governance w banku powinno obejmować: polityki AI (zasady użycia, klasyfikacja use case'ów, procesy zatwierdzania), security (RBAC, klasyfikacja danych, audit trail, DLP, guardrails), compliance (AI risk assessment, explainability, human oversight), architekturę (wspólna platforma AI, vendor strategy, observability) i edukację organizacji (szkolenia, polityki shadow AI). Governance powinno być projektowane od początku projektu, nie dodawane na końcu.
Zaczniemy od rozmowy

Planujesz wdrożenie GenAI
w swoim banku?

Porozmawiajmy o architekturze, governance, security i compliance dla enterprise AI. Pierwsze spotkanie bezpłatne — konkretne wnioski, nie ogólna prezentacja.

Odpowiedź w ciągu 24 godzin roboczych
NDA podpisujemy przed każdą rozmową
Pierwsze spotkanie bezpłatne i bez zobowiązań
Konkretny plan działania, nie ogólna prezentacja

Umów bezpłatną konsultację AI (30 min)

Odpowiadamy w ciągu 24h. Dane bezpieczne — nie udostępniamy podmiotom trzecim.

Umów konsultację 30 min →