BLOG

EU AI Act og Banksektor: Kreditvurdering og AI-Compliance i Finanssektoren

kategori: Finanssektor / Regulering

publiceret: 2026-05-14

forfatter: PowerQuant Redaktion

læsertid: ~12 min

Banker og kreditinstitutter i Danmark og EU befinder sig i dag midt i et regulatorisk krydsfelt. EU AI Act trådte i kraft den 1. august 2024, og fra 2. august 2026 gælder de fulde krav til høj-risiko AI-systemer — herunder kreditvurdering og kreditscoring. Oven i det kommer overlap med EBA's AI-retningslinjer, DORA, GDPR Artikel 22 og Basel IV's IRB-modeller.

Denne artikel giver dig et samlet overblik: hvad loven kræver, hvad det konkret betyder for din banks AI-systemer, og hvilke handlinger du bør tage nu.

Kreditvurdering er høj-risiko AI under Annex III

EU AI Act (Forordning 2024/1689) klassificerer en række AI-systemer som "høj-risiko" i Bilag III (Annex III). Finansielle tjenesteydelser udgør et selvstændigt afsnit her. Konkret er følgende systemer klassificeret som høj-risiko:

> *"AI-systemer, der anvendes til at vurdere enkeltpersoners kreditværdighed eller til at fastsætte deres kreditscoring — med undtagelse af AI-systemer, der anvendes til at opdage finansiel svindel"* (Annex III, pkt. 5, litra b).

Det betyder i praksis, at enhver algoritmisk model, som banker bruger til at afgøre om en kunde — privatperson eller virksomhed — kan få et lån, et kreditkort eller en kassekredit, er underlagt de strenge krav i EU AI Act Kapitel III, Afsnit 2.

Dette dækker:

  • Traditionelle scoringsmodeller baseret på betalingshistorik, gæld og indkomst
  • Maskinlæringsmodeller der kombinerer hundredvis af variabler
  • Automatiserede kreditafgørelsessystemer i realtid (f.eks. ved onlineansøgning)
  • Interne ratingmodeller (IRB) til opgørelse af kreditrisiko under CRR/CRD
  • Fraud detection-systemer er udtrykkelig undtaget fra denne klassifikation — men som vi vender tilbage til, kan de alligevel falde under andre krav.

    EBA's AI-retningslinjer: Overlap med EU AI Act

    Den Europæiske Banktilsynsmyndighed (EBA) udgav i november 2023 sine retningslinjer for AI-governance og etisk AI i den finansielle sektor: EBA/GL/2023/01 (Guidelines on the use of remote customer onboarding solutions) og det bredere EBA-arbejde om AI-ledelse.

    EBA's forventninger til banker stiller krav om:

  • AI-governance-strukturer — klart ejerskab, roller og ansvarsfordeling for AI-systemer
  • Modeltransparens — mulighed for at forklare, hvad der driver en AI-afgørelse
  • Løbende modelvalidering — backtesting, driftsovervågning og performancerapportering
  • Bias-test — systematisk gennemgang af om kreditmodeller diskriminerer bestemte grupper
  • Disse EBA-krav overlapper i høj grad med EU AI Act Artikel 9 (risikostyringssystem), Artikel 10 (datakvalitet) og Artikel 17 (kvalitetsstyringssystem). En bank, der allerede overholder EBA's AI-governance-forventninger, har dermed et solidt fundament for EU AI Act-compliance — men de to sæt krav er ikke identiske.

    Nøgleforskel: EBA opererer indenfor CRD/CRR-rammen og fokuserer primært på finansiel stabilitet og forbrugerbeskyttelse. EU AI Act stiller derudover krav til teknisk dokumentation (Annex IV), EU-database-registrering og conformity assessment, som ikke er dækket af EBA-retningslinjerne alene.

    CRR/CRD og Basel IV: IRB-modeller under dobbelt pres

    Under Capital Requirements Regulation (CRR) og Capital Requirements Directive (CRD) — og den kommende Basel IV-implementering fra 2025 — anvender mange større banker interne ratingmodeller (IRB) til at opgøre risikovægtede aktiver og dermed kapitalkrav.

    Disse IRB-modeller er algoritmiske systemer til kreditrisikovurdering. De falder direkte under Annex III-definitionen i EU AI Act. Det skaber et dobbelt compliance-krav:

    | Krav | Regulatorisk grundlag |

    |---|---|

    | Model-validering og backtesting | CRR Art. 143-145 + EBA/GL/2016/07 |

    | Teknisk dokumentation (AI Act) | EU AI Act Art. 11 + Annex IV |

    | Datakvalitet og bias-kontrol | EU AI Act Art. 10 |

    | EU-database-registrering | EU AI Act Art. 71 |

    | Menneskelig tilsyn | EU AI Act Art. 14 |

    Banker der allerede er underlagt tilsyn fra Finanstilsynet og ECB's SSM vedrørende IRB-modeller, skal altså nu også sikre sig, at de samme modeller overholder EU AI Act-kravene. Dokumentationskravene overlapper, men er ikke identiske — og der er ingen automatisk "pass-through" fra ét regelsæt til det andet.

    Artikel 10: Datakvalitet og bias i kreditmodeller

    EU AI Act Artikel 10 stiller specifikke krav til træningstdata, valideringsdata og testdata for høj-risiko AI-systemer. For kreditvurderingsmodeller betyder det:

    Hvad kræves:

  • Data skal være *relevante, repræsentative, fri for fejl og fuldstændige* i det omfang, det er muligt (Art. 10, stk. 2)
  • Kendte skævheder (bias) skal identificeres og håndteres, herunder historisk diskrimination i kreditdata (Art. 10, stk. 2, litra f)
  • Databeskyttelsesregler overholdes, herunder pseudonymisering og adgangsstyring (Art. 10, stk. 5)
  • Det praktiske problem med kreditdata:

    Historiske kreditdata afspejler ofte tidligere diskriminerende praksis — visse demografiske grupper har statistisk fået afvist flere lån, ikke nødvendigvis pga. dårlig kreditevne, men pga. diskrimination. En ML-model trænet på disse data kan reproducere og forstærke denne bias.

    EU AI Act kræver, at udbyderen (provider) og den, der anvender systemet (deployer), aktivt har undersøgt og adresseret dette. For kreditinstitutter, der selv udvikler deres scoringsmodeller, er man typisk både provider og deployer — og bærer dermed det fulde ansvar.

    Konkrete bias-former at teste for:

  • Kønsbias i kreditafgørelser (særligt relevant ifm. ligelønsdirektivet)
  • Aldersbias (yngre ansøgere med korte kredithistorikker)
  • Nationalitetsbias i migrantkundepopulationer
  • Geografisk bias (postnummer-baserede proxy-variable)
  • Artikel 13: Gennemsigtighed — kunder har ret til forklaring

    EU AI Act Artikel 13 stiller krav om, at høj-risiko AI-systemer er udformet og udviklet på en måde, der sikrer, at operationen er tilstrækkeligt transparent for den, der anvender systemet.

    For banker betyder dette i praksis:

  • Forklarbarhed ved afslag: Når en kunde afvises på basis af en AI-drevet kreditvurdering, skal banken kunne forklare de væsentligste årsager til afgørelsen
  • Begribelig forklaring: Forklaringen skal gives i et sprog, som kunden kan forstå — ikke blot "modellen vurderede sandsynlighed for misligholdelse til X%"
  • **Dok
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr