BLOG

EU AI Act og banksektoren: AI i kreditvurdering, hvidvaskbekæmpelse og kundebetjening

Den finansielle sektor er én af de sektorer, der er hårdest ramt af EU AI Act. Banker, realkreditinstitutter og FinTech-virksomheder anvender i dag AI i alt fra kreditscoring og hvidvaskdetektering til virtuelle kundeassistenter og algoritmisk handel. Med Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 — EU AI Act — er et nyt regulatorisk lag nu trådt i kraft, og fristen for fuldt compliance med høj-risiko AI-systemer er sat til 2. august 2026. Denne artikel gennemgår de vigtigste krav og giver et konkret 6-trins compliance-roadmap til banker og FinTech-virksomheder.

1. AI i banksektoren: det regulatoriske overblik 2026

Banksektoren opererer allerede inden for et tæt regulatorisk net: CRR/CRD IV, MiFID II, PSD2, hvidvaskloven (hvidvasklovens §§ 1-57, lovbekendtgørelse nr. 316 af 25. marts 2024) og GDPR. EU AI Act tilføjer nu et horisontalt compliance-krav, der skærer igennem alle disse sektorspecifikke rammer.

Forordningens struktur er risikobaseret. AI-systemer kategoriseres i fire niveauer: uacceptabel risiko (forbudt, Art. 5), høj risiko (strengt reguleret, Art. 6-49), begrænset risiko (transparenskrav, Art. 50) og minimal risiko (ingen særskilte krav). For banker er det primært niveau to og tre, der er relevante.

Tidslinje for banker:

  • 2. februar 2025: Art. 5 (forbudte AI-systemer) og Art. 4 (AI-literacy-krav) i kraft
  • 2. august 2025: GPAI-reglerne (Art. 51-63) gælder for General Purpose AI-modeller
  • 2. august 2026: Annex III høj-risiko AI-systemer skal opfylde fulde krav (Art. 8-49)
  • 2. august 2027: Resterende bestemmelser og overgangsregler udløber
  • Med under tre måneder til Annex III-fristen (2. august 2026) er det nu, banker skal have styr på klassifikation, dokumentation og menneskelig tilsyn.

    2. Annex III punkt 5(b): kreditvurdering og scoring — klassifikationsanalyse for banker

    Annex III til EU AI Act opregner de use cases, der automatisk klassificeres som høj-risiko AI-systemer, forudsat at AI-systemet opfylder betingelserne i Art. 6. Punkt 5, litra b, er direkte relevant for banker:

    > *"AI-systemer beregnet til brug i kreditvurdering og kreditscoring af fysiske personer, som vurderer disse personers kreditværdighed eller fastsætter deres kreditrisikoscore — bortset fra AI-systemer, der anvendes med henblik på afsløring af finansiel bedrageri."*

    Dette dækker:

  • Kreditscoring ved låneansøgning (forbrugslån, boliglån, billån)
  • Dynamisk kreditlimitjustering på kreditkort baseret på ML-modeller
  • Erhvervskreditvurdering for SMV-segmentet
  • Intern ratingmodeller (AIRB) under CRR Art. 143-191
  • Bemærk undtagelsen for bedrageridetektion: Systemer designet primært til transaktionsbedrageri er ikke automatisk høj-risiko under punkt 5(b), men kan potentielt falde under andre Annex III-kategorier.

    Klassifikationstest (Art. 6, stk. 1): Et AI-system er høj-risiko, hvis det er opregnet i Annex III *og* ikke primært er en sikkerhedskomponent i et produkt, der er reguleret under separat EU-harmoniseringslovgivning. For kreditscoring i banker er der ingen overskridende produktregulering, der fritager systemet — klassificeringen er dermed høj-risiko for de fleste kreditscoring-applikationer.

    3. AI i kreditafgørelser: GDPR Art. 22 og retten til menneskelig prøvelse

    For fysiske personer gælder udover EU AI Act også GDPR Art. 22, som giver enkeltpersoner ret til ikke at være genstand for udelukkende automatiserede afgørelser — herunder profilering — der har retsvirkning eller tilsvarende betydelig indvirkning.

    En automatiseret kreditafgørelse er netop et sådant tilfælde. GDPR Art. 22 kræver derfor som udgangspunkt, at banken enten:

  • Indhenter eksplicit samtykke (Art. 22, stk. 2, litra c)
  • Anvender afgørelsen som led i indgåelse eller opfyldelse af en kontrakt (Art. 22, stk. 2, litra a)
  • Fastsætter ret til menneskelig prøvelse, indsigelse og forklaring (Art. 22, stk. 3)
  • EU AI Act Art. 13 (gennemsigtighed) og Art. 14 (menneskelig tilsyn) komplementerer GDPR Art. 22. For høj-risiko AI-systemer kræves det, at systemet er designet således, at ansvarlige fysiske personer kan:

  • Forstå systemets kapaciteter og begrænsninger
  • Overvåge dets drift effektivt
  • Overstyre, tilsidesætte eller stoppe systemet
  • Dobbelt-compliance krav for banker: Et kreditscoring-system skal dermed opfylde *både* GDPR

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr