Czy potrafisz to wyjaśnić? Czyli dlaczego sektor finansowy wciąż boi się AI?
27 lis 2025 / 6min
Instytucje finansowe intensywnie eksperymentują ze sztuczną inteligencją. Modele językowe potrafią przyspieszyć analizę dokumentów, obsługę klienta oraz przygotowanie raportów. Przykładem może być nasz e-point Assistant.
Jednocześnie instytucje finansowe nie mogą po prostu wdrożyć dowolnego modelu AI. Muszą być w stanie pokazać, jakie dane, zasady i dokumenty doprowadziły do konkretnego jego wyniku. Dla wielu zarządów właśnie ten obowiązek wyjaśnienia każdej decyzji systemów AI jest dziś główną obawą i realną blokadą przed odważniejszym wdrażaniem innowacji opartych na sztucznej inteligencji.
W tym kontekście pojawiają się dwa pojęcia: RAG (Retrieval Augmented Generation), oraz wyjaśnialność. Połączenie tych dwóch podejść pozwala budować systemy sztucznej inteligencji, które są użyteczne, zgodne z prawem oraz możliwe do obrony przed nadzorcą, klientem i audytorem.
W tym artykule wyjaśniam, czym jest RAG i jak wspiera wyjaśnialność. Dowiesz się też, do jakich przepisów możesz się odwołać, projektując rozwiązania oparte na sztucznej inteligencji w banku, towarzystwie funduszy inwestycyjnych czy firmie ubezpieczeniowej.
Dlaczego wyjaśnialność AI jest tak ważna w finansach
W sektorze finansowym systemy wykorzystujące sztuczną inteligencję wpływają na decyzje, które bezpośrednio dotyczą klientów. Chodzi między innymi o przyznanie lub odmowę kredytu, wysokość składki ubezpieczeniowej, rekomendację produktu, blokadę transakcji albo wynik reklamacji. Odpowiedzialność za te decyzje wciąż ponoszą ludzie. Jeżeli jednak nie da się ich sensownie wyjaśnić, rośnie ryzyko regulacyjne, prawne oraz reputacyjne.
Presja regulacyjna staje się coraz większa. Akt prawny dotyczący sztucznej inteligencji, znany jako AI Act, kwalifikuje wiele zastosowań sztucznej inteligencji w finansach jako systemy wysokiego ryzyka. Instytucje muszą dokumentować proces decyzyjny od danych wejściowych aż po uzasadnienie wyniku. Klienci coraz częściej oczekują, że usłyszą, dlaczego otrzymali taką, a nie inną decyzję. Organizacje muszą być przygotowane na audyty prowadzone wewnętrznie oraz przez nadzorców.
Tradycyjne podejście, w którym model językowy jest wytrenowany na nieznanych danych i nie pozostawia wyraźnego śladu źródeł, staje się problematyczne. Z tego powodu w instytucjach finansowych niezbędne staje się użycie architektur opartych o RAG.
Czym jest RAG i czym różni się od klasycznego modelu?
Retrieval Augmented Generation to wzorzec architektoniczny, który łączy model językowy z kontrolowanym repozytorium wiedzy. Zamiast zakładać, że model znajdzie sam odpowiedź, najpierw wyszukuje się odpowiednie dokumenty, a dopiero potem prosi model o przygotowanie odpowiedzi na podstawie tych sprawdzonych materiałów.
W praktyce wygląda to w następujący sposób. Użytkownik zadaje pytanie, na przykład dotyczące interpretacji konkretnego paragrafu regulaminu kredytowego. Silnik RAG wyszukuje najbardziej pasujące dokumenty, takie jak regulaminy, procedury czy notatki działu compliance. Następnie model językowy generuje odpowiedź, korzystając wyłącznie z dostarczonych materiałów. Na końcu system prezentuje użytkownikowi odpowiedź wraz z listą źródeł, na których została oparta.
Korzyści dla instytucji finansowej
Takie podejście przynosi kilka bardzo konkretnych efektów. Ogranicza zjawisko halucynacji, ponieważ model nie powinien wymyślać przepisów czy polityk. Pracuje na dokumentach pochodzących z systemów instytucji.
Zapewnia także aktualność, gdyż wystarczy zaktualizować repozytorium dokumentów bez konieczności ponownego trenowania modelu. Umożliwia to kontrolę nad źródłami i wersjonowanie ich. Tworzy także podstawę do wyjaśnialności, ponieważ łatwo pokazać, na jakich dokumentach model oparł odpowiedź.
|
RAG to sposób budowy systemu opartego na sztucznej inteligencji. Model językowy nie tworzy w nim odpowiedzi wyłącznie na bazie własnej pamięci. Opiera się na konkretnych dokumentach pobranych z systemów instytucji wraz ze śladem źródeł. |
Co na to prawo i gdzie w regulacjach pojawia się wyjaśnialność
Wyjaśnialność nie zawsze jest wprost nazwana w przepisach, jednak jej wymagania są rozproszone w wielu aktach prawnych i wytycznych. Dla instytucji finansowych szczególnie ważne są między innymi cztery obszary.
1. AI Act i systemy wysokiego ryzyka
Rozporządzenie dotyczące sztucznej inteligencji klasyfikuje jako systemy wysokiego ryzyka między innymi rozwiązania wykorzystywane do oceny zdolności kredytowej, ustalania wyniku punktowego klienta lub oceny ryzyka ubezpieczeniowego. Treść rozporządzenia można znaleźć w serwisie EUR Lex jako AI Act.
AI Act wymaga, aby systemy wysokiego ryzyka były zaprojektowane w taki sposób, żeby użytkownicy mogli interpretować wynik i właściwie z niego korzystać. Muszą być odpowiednio udokumentowane, to znaczy z jasno opisanymi danymi wejściowymi, procesem działania oraz ograniczeniami. Konieczny jest także nadzór człowieka, który może ingerować w działanie systemu.
RAG pomaga spełnić te wymagania, ponieważ pozwala powiązać odpowiedź systemu z konkretnymi dokumentami. W toku audytu czy sporu z klientem można pokazać, na jakich materiałach model oparł swoją sugestię.
2. DORA, czyli odporność operacyjna i kontrola nad dostawcami
Rozporządzenie DORA harmonizuje zasady odporności cyfrowej w sektorze finansowym. Wymaga między innymi pełnego zrozumienia ryzyk związanych z technologią, kontroli nad kluczowymi dostawcami usług informatycznych oraz zdolności do testowania i audytowania systemów uznawanych za krytyczne. W praktyce oznacza to, że rozwiązania oparte na modelach językowych muszą być nie tylko wydajne, lecz również przejrzyste i możliwe do przetestowania.
Architektura RAG, w której wyraźnie widać oddzielne elementy takie jak repozytorium wiedzy, warstwa wyszukiwania, model językowy oraz warstwa audytu, ułatwia spełnienie tych wymogów i pomaga lepiej zapanować nad całym ekosystemem.
3. Wytyczne EBA w sprawie udzielania i monitorowania kredytów
Europejski Urząd Nadzoru Bankowego w wytycznych dotyczących udzielania i monitorowania kredytów podkreśla znaczenie solidnych standardów oceny zdolności kredytowej oraz przejrzystości wobec klienta. Tekst dokumentu jest dostępny tu.
Jeżeli proces oceny kredytowej opiera się na systemie wykorzystującym sztuczną inteligencję, instytucja powinna umieć opisać logikę działania modelu w sposób zrozumiały, udokumentować dane użyte w procesie oraz wykazać, że decyzje nie mają charakteru dyskryminującego. RAG wspiera ten cel, ponieważ pozwala powiązać decyzję z dokumentami opisującymi polityki kredytowe, regulaminy i procedury obowiązujące w danym banku.
4. RODO, zautomatyzowane decyzje i prawo do wyjaśnienia
Ogólne rozporządzenie o ochronie danych ogranicza możliwość podejmowania wyłącznie zautomatyzowanych decyzji, które wywołują istotne skutki dla osób fizycznych. Tekst tego aktu prawnego w języku polskim można znaleźć jako RODO.
W kontekście sztucznej inteligencji szczególnie ważne są obowiązek informowania o zautomatyzowanym podejmowaniu decyzji, prawo klienta do uzyskania wyjaśnienia logiki działania systemu oraz prawo do zakwestionowania decyzji i domagania się interwencji człowieka.
Jeżeli system oparty na RAG przygotowuje rekomendację, na przykład sugeruje odrzucenie wniosku kredytowego, dobrą praktyką jest jasne pokazanie, na jakich dokumentach wewnętrznych się opierał, które kryteria z tych dokumentów miały znaczenie oraz w jaki sposób rekomendacja trafiła do osoby podejmującej ostateczną decyzję.
5. Regulacje krajowe
Polskie instytucje finansowe mogą sięgnąć do dokumentu zatytułowanego Rekomendacje w Zakresie Sztucznej Inteligencji w Sektorze Finansowym przygotowanego na zlecenie Ministerstwa Finansów. Autorzy zwracają uwagę na potrzebę tworzenia wytycznych sektorowych dotyczących sztucznej inteligencji, konieczność zapewnienia realnego nadzoru człowieka, szczególne wyzwania związane z przeciwdziałaniem praniu pieniędzy, procesem otwierania relacji z klientami oraz oceną zdolności kredytowej, a także na obowiązki informacyjne wobec klientów.
Coraz częściej o roli sztucznej inteligencji w finansach wypowiadają się także polscy nadzorcy oraz Rzecznik Finansowy. W centrum ich uwagi znajduje się odpowiedzialność instytucji za decyzje podejmowane z wykorzystaniem modeli.
Jak RAG wspiera wyjaśnialność w organizacji
Dobrze zaprojektowany system oparty na RAG może stać się kręgosłupem wyjaśnialności w instytucji finansowej. Najważniejszą rolę odgrywa ślad źródeł, ponieważ system pokazuje listę dokumentów, na których opiera odpowiedź. Analityk, prawnik lub audytor mogą dzięki temu prześledzić tok rozumowania modelu.
Istotne jest także kontrolowane repozytorium wiedzy. Do systemu trafiają wyłącznie zatwierdzone dokumenty, czyli procedury, regulaminy, polityki produktowe i interpretacje prawne. Ogranicza to ryzyko oparcia decyzji na materiałach, które nie zostały zweryfikowane przez odpowiednie działy.
Kolejnym elementem jest wersjonowanie dokumentów. Każdy dokument ma własną wersję, datę obowiązywania oraz historię zmian. Przy sporze z klientem można sprawdzić, jak wyglądała procedura w dniu podjęcia decyzji, co znacząco ułatwia obronę stanowiska.
RAG sprzyja również powtarzalności wyników. Jeżeli te same dane wejściowe oraz ten sam zestaw dokumentów prowadzą do tego samego rezultatu, łatwiej jest testować i weryfikować system zarówno od strony technicznej, jak i pod kątem zgodności z przepisami.
Ostatnim istotnym elementem jest warstwa audytu. System zapisuje historię zapytań, użytych dokumentów i wygenerowanych odpowiedzi. To ważne wsparcie dla zespołów bezpieczeństwa i compliance, a jednocześnie dowód dochowania należytej staranności w oczach nadzorcy.
5. Jak zacząć pracę z RAG i wyjaśnialną AI w instytucji finansowej
Z perspektywy zarządu wdrożenie RAG i wyjaśnialnej sztucznej inteligencji to nie tylko projekt technologiczny. To także inicjatywa, która ma wymiar regulacyjny i organizacyjny. W praktyce warto przejść przez kilka kolejnych etapów.
Pierwszy krok to inwentaryzacja procesów i decyzji. Warto przygotować mapę procesów, w których zapadają istotne decyzje dotyczące klienta, występują duże wolumeny dokumentów oraz pojawiają się powtarzalne pytania do działu prawnego lub zespołu compliance. To naturalni kandydaci do wsparcia przez RAG.
Drugi krok to ocena ryzyka i przypisanie procesów do kategorii przewidzianych przez AI Act. Dla wybranych obszarów należy ocenić, czy można je uznać za systemy wysokiego ryzyka, jakie są obecne mechanizmy kontroli i dokumentowania decyzji oraz jakie luki w wyjaśnialności istnieją dzisiaj. Na tej podstawie można zaprojektować docelowe mechanizmy audytu i nadzoru człowieka.
Trzeci krok to zaprojektowanie architektury RAG oraz zasad zarządzania danymi. Kluczowe pytania brzmią tutaj następująco. Jakie dokumenty trafiają do repozytorium. Kto odpowiada za ich jakość oraz aktualność. Jak wygląda proces wersjonowania i wycofywania dokumentów. W jaki sposób organizacja rozwiązuje kwestie dostępu i uprawnień. Bez jasnych zasad zarządzania danymi nawet najlepsza technologia nie zapewni zgodności.
Czwarty krok to wbudowanie wyjaśnialności w doświadczenie użytkownika. Wyjaśnialność nie może pozostać jedynie w logach technicznych. Dobrze zaprojektowany interfejs pokazuje użytkownikowi źródła odpowiedzi, pozwala szybko przejść do regulaminu lub procedury oraz ułatwia dopisanie własnej notatki uzasadniającej decyzję. Dzięki temu pracownicy chętnie korzystają z systemu, a organizacja buduje bazę wiedzy, która z czasem staje się dodatkową przewagą.
Piąty krok to pilotaż, testy oraz przygotowanie do audytu. Warto rozpocząć od jednego lub dwóch procesów i przeprowadzić testy jakości odpowiedzi, przegląd logów oraz śladów źródeł, symulację audytu regulacyjnego oraz weryfikację, czy z perspektywy RODO i AI Act rozwiązanie jest do obrony.
Sprawdź, czy Twoja instytucja jest gotowa na innowacje
Jeżeli chcesz dowiedzieć się, czy RAG i wyjaśnialna sztuczna inteligencja mogą realnie pomóc Twojej organizacji, daj znać. Krótka rozmowa z ekspertami e-point, którzy łączą doświadczenie technologiczne, biznesowe oraz regulacyjne to idealny start.
Podczas bezpłatnych konsultacji możemy wspólnie odpowiedzieć na pytania o to, gdzie w organizacji zastosowanie RAG przyniesie najszybszy efekt. Możemy wstępnie ocenić ryzyka zarówno regulacyjne jak i biznesowe. Możemy także omówić przyszłą road mapę działań i kształt pilotażu w Twojej organizacji.