Mit dem AI Act schafft die EU Regeln zur Nutzung künstlicher Intelligenz – auch für die Finanzindustrie. (Bild: KPMG, Getty Images)

So bereiten sich Banken und Versicherungen auf die KI-Verordnung der EU vor

Nach rund zwei Jahren Verhandlungen rückt ein EU-Gesetz zur Regulierung künstlicher Intelligenz (KI) immer näher. Programmen wie ChatGPT sollen Transparenzpflichten auferlegt werden. Erste Vorgaben könnten noch in diesem Jahr greifen. Erste Maßnahmen für Unternehmen in der Finanzindustrie sind ratsam.

Ob Banken, Versicherungen oder Asset Manager – Finanzunternehmen loten aktuell die Möglichkeiten generativer künstlicher Intelligenz aus. Gleichzeitig macht die Europäische Union (EU) Tempo bei der Regulierung. Viele Fragen sind offen: Was gilt als künstliche Intelligenz? Was darf sie, um der Gesellschaft und Unternehmen zu nutzen und gleichzeitig keinen Schaden anzurichten? Welche Leitplanken sollen für das Zusammenwirken von Mensch und Maschine gelten?

Schon vor mehr als zwei Jahren hat die EU den ersten Entwurf für einen Artificial Intelligence Act (kurz AI Act) vorgelegt – mit dem Ziel, verbindliche branchenübergreifende Regeln auf EU-Ebene zu etablieren. Diese sollen Unternehmen Rechtssicherheit bieten und den flächendeckenden Einsatz von KI entlang der gesamten Wertschöpfungskette ermöglichen. Zumindest Teile des AI Act könnten schon 2023 – also noch in diesem Jahr – in Kraft treten. Deshalb sollten sich Finanzinstitute schon jetzt mit dem Entwurf beschäftigen.

Intelligente Assistenten, Kreditprüfung und Automatisierung der Schadensabwicklung

Gerade in den datengetriebenen Finanzunternehmen wird der Einsatz von KI zum Game Changer. Die Automatisierung und Beschleunigung von Kreditwürdigkeitsprüfungen ist schon seit Jahren ein Thema. Mitarbeitende profitieren an vielen Stellen von intelligenten Assistenten. Und bei der Geldwäscheprävention können KI-Systeme unzählige Transaktionen in Echtzeit auf verdächtige Muster prüfen. Für Versicherungen bietet sich die Chance, einfache Schadensfälle schnell und automatisiert abzuwickeln. Und Chatbots, Know-Your-Customer-Prozesse und die personalisierte Ansprache verbessern die digitale Kundenkommunikation und bieten großes Potenzial für Kundenservice und Vertrieb.

Drei Risikokategorien für Anwendungen im AI Act

Der vorliegende Gesetzentwurf der EU teilt KI-Systeme in drei Risikokategorien ein. Jede Kategorie unterliegt unterschiedlichen Auflagen. Kurzgefasst: Je riskanter eine Anwendung ist, desto mehr Auflagen muss sie zu erfüllen.

KI-Systeme mit inakzeptablem Risiko (Kategorie 1) sollen in der EU künftig verboten werden. Dazu gehören manipulative Systeme, die Schwachstellen von Menschen ausnutzen oder für Social Scoring verwendet werden, Echtzeit-Überwachungssysteme sowie Gesichtserkennung im öffentlichen Raum. Kategorie-2-Systeme (hohes Risiko) sind laut EU solche, die Gesundheit, Sicherheit oder Grundrechte von EU-Bürgern gefährden können – dazu zählen biometrische Systeme, der Betrieb kritischer Infrastrukturen und Personalsoftware, etwa für Bewerbungen. Ein typisches Beispiel aus der Finanzindustrie ist das Kreditscoring.

Standards für mehr Transparenz und Fairness

Und auch KI-Systeme mit geringem und minimalem Risiko (Kategorie 3) sollen künftig bestimmte Transparenzvorschriften erfüllen. Wenn beispielsweise ein KI-System mit Menschen interagiert, muss es den Nutzenden darüber informieren, dass es ein I-System ist. Durch eine Kennzeichnung, woher die Daten stammen, mit denen die Systeme trainiert wurden, soll die Vertrauenswürdigkeit der neuen Technologie erhöht werden. Werden sie missachtet, droht Bußgeld.

Nachweismethoden und Standards für bestimmte Eigenschaften von KI-Systemen werden also immer wichtiger. Digitale Wasserzeichen können beispielsweise für mehr Transparenz sorgen und helfen, menschliche Bilder oder Filme von KI-generierten Inhalten zu unterscheiden. Das fördert die Nachvollziehbarkeit und Fairness beim Einsatz von KI-Systemen.

Was können Unternehmen heute tun? Sie sollten zum Beispiel bereits heute ihre KI-Lösungen inventarisieren und den geeigneten Rahmen für deren Einsatz schaffen, beispielsweise durch Konformitätserklärungen in Bezug auf spezifische Standards.

Artificial Intelligence Act, DORA, BAIT – ein Abgleich als erster Schritt

Branchenexperten warnen davor, dass mit übertrieben scharfen Auflagen, wie es die Ausschüsse vorsehen, KI aus Deutschland und Europa vertrieben werden könnte. Klar ist: Das Inkrafttreten des AI Act wird auch Auswirkungen auf bestehende regulatorische Rahmenbedingungen haben. Finanzunternehmen sollten sich daher frühzeitig mit dem Gesetz auseinandersetzen und eine Gap-Analyse durchführen. So erhalten sie einen Überblick darüber, welche Anforderungen neu sind und welche bereits durch bestehende Gesetze wie DORA, das IT-Sicherheitsgesetz oder BAIT / KAIT abgedeckt sind.

Wie geht es weiter? Voraussichtlich Mitte Juni wird der neue Vorschlag dem Plenum des EU-Parlaments zur Abstimmung vorgelegt. Wenn es dort Zustimmung erhält, beginnt der sogenannte Trilog, bei dem das Parlament, der Ministerrat und die Kommission über das endgültige Gesetz verhandeln. Bisher gibt es weltweit keine vergleichbaren Vorschriften für den Einsatz von KI-Anwendungen und es ist durchaus möglich, dass sich andere Länder an den europäischen Gesetzen orientieren werden.

Keine Insights mehr verpassen? Jetzt mehr auf dem KPMG Financial Services Blog lesen und den Newsletter ,KPMG Transformation Insights Financial Services‘ abonnieren!