kategori: Finanssektor / Regulering
publiceret: 2026-05-14
forfatter: PowerQuant Redaktion
læsertid: ~12 min
Banker og kreditinstitutter i Danmark og EU befinder sig i dag midt i et regulatorisk krydsfelt. EU AI Act trådte i kraft den 1. august 2024, og fra 2. august 2026 gælder de fulde krav til høj-risiko AI-systemer — herunder kreditvurdering og kreditscoring. Oven i det kommer overlap med EBA's AI-retningslinjer, DORA, GDPR Artikel 22 og Basel IV's IRB-modeller.
Denne artikel giver dig et samlet overblik: hvad loven kræver, hvad det konkret betyder for din banks AI-systemer, og hvilke handlinger du bør tage nu.
Kreditvurdering er høj-risiko AI under Annex III
EU AI Act (Forordning 2024/1689) klassificerer en række AI-systemer som "høj-risiko" i Bilag III (Annex III). Finansielle tjenesteydelser udgør et selvstændigt afsnit her. Konkret er følgende systemer klassificeret som høj-risiko:
> *"AI-systemer, der anvendes til at vurdere enkeltpersoners kreditværdighed eller til at fastsætte deres kreditscoring — med undtagelse af AI-systemer, der anvendes til at opdage finansiel svindel"* (Annex III, pkt. 5, litra b).
Det betyder i praksis, at enhver algoritmisk model, som banker bruger til at afgøre om en kunde — privatperson eller virksomhed — kan få et lån, et kreditkort eller en kassekredit, er underlagt de strenge krav i EU AI Act Kapitel III, Afsnit 2.
Dette dækker:
Fraud detection-systemer er udtrykkelig undtaget fra denne klassifikation — men som vi vender tilbage til, kan de alligevel falde under andre krav.
EBA's AI-retningslinjer: Overlap med EU AI Act
Den Europæiske Banktilsynsmyndighed (EBA) udgav i november 2023 sine retningslinjer for AI-governance og etisk AI i den finansielle sektor: EBA/GL/2023/01 (Guidelines on the use of remote customer onboarding solutions) og det bredere EBA-arbejde om AI-ledelse.
EBA's forventninger til banker stiller krav om:
Disse EBA-krav overlapper i høj grad med EU AI Act Artikel 9 (risikostyringssystem), Artikel 10 (datakvalitet) og Artikel 17 (kvalitetsstyringssystem). En bank, der allerede overholder EBA's AI-governance-forventninger, har dermed et solidt fundament for EU AI Act-compliance — men de to sæt krav er ikke identiske.
Nøgleforskel: EBA opererer indenfor CRD/CRR-rammen og fokuserer primært på finansiel stabilitet og forbrugerbeskyttelse. EU AI Act stiller derudover krav til teknisk dokumentation (Annex IV), EU-database-registrering og conformity assessment, som ikke er dækket af EBA-retningslinjerne alene.
CRR/CRD og Basel IV: IRB-modeller under dobbelt pres
Under Capital Requirements Regulation (CRR) og Capital Requirements Directive (CRD) — og den kommende Basel IV-implementering fra 2025 — anvender mange større banker interne ratingmodeller (IRB) til at opgøre risikovægtede aktiver og dermed kapitalkrav.
Disse IRB-modeller er algoritmiske systemer til kreditrisikovurdering. De falder direkte under Annex III-definitionen i EU AI Act. Det skaber et dobbelt compliance-krav:
| Krav | Regulatorisk grundlag |
|---|---|
| Model-validering og backtesting | CRR Art. 143-145 + EBA/GL/2016/07 |
| Teknisk dokumentation (AI Act) | EU AI Act Art. 11 + Annex IV |
| Datakvalitet og bias-kontrol | EU AI Act Art. 10 |
| EU-database-registrering | EU AI Act Art. 71 |
| Menneskelig tilsyn | EU AI Act Art. 14 |
Banker der allerede er underlagt tilsyn fra Finanstilsynet og ECB's SSM vedrørende IRB-modeller, skal altså nu også sikre sig, at de samme modeller overholder EU AI Act-kravene. Dokumentationskravene overlapper, men er ikke identiske — og der er ingen automatisk "pass-through" fra ét regelsæt til det andet.
Artikel 10: Datakvalitet og bias i kreditmodeller
EU AI Act Artikel 10 stiller specifikke krav til træningstdata, valideringsdata og testdata for høj-risiko AI-systemer. For kreditvurderingsmodeller betyder det:
Hvad kræves:
Det praktiske problem med kreditdata:
Historiske kreditdata afspejler ofte tidligere diskriminerende praksis — visse demografiske grupper har statistisk fået afvist flere lån, ikke nødvendigvis pga. dårlig kreditevne, men pga. diskrimination. En ML-model trænet på disse data kan reproducere og forstærke denne bias.
EU AI Act kræver, at udbyderen (provider) og den, der anvender systemet (deployer), aktivt har undersøgt og adresseret dette. For kreditinstitutter, der selv udvikler deres scoringsmodeller, er man typisk både provider og deployer — og bærer dermed det fulde ansvar.
Konkrete bias-former at teste for:
Artikel 13: Gennemsigtighed — kunder har ret til forklaring
EU AI Act Artikel 13 stiller krav om, at høj-risiko AI-systemer er udformet og udviklet på en måde, der sikrer, at operationen er tilstrækkeligt transparent for den, der anvender systemet.
For banker betyder dette i praksis: