PowerQuantNLStuur uw vragenlijst

De AI-verordening ontmoet de financiële regelgeving

Banken en fintechbedrijven opereren al onder uitgebreide sectorale regelgeving. Verordening (EU) 2024/1689 van het Europees Parlement en de Raad (de AI-verordening) legt hier nog een laag bovenop, met bijzondere aandacht voor de wijze waarop AI-systemen worden gebruikt. De verordening is een EU-verordening en geldt rechtstreeks in de lidstaten; er is geen afzonderlijke nationale uitvoeringswet vereist.

De AI-verordening vervangt de bestaande financiële regelgeving niet, maar vult haar aan. Sommige eisen, bijvoorbeeld rond risicobeheer en governance, kunnen in de praktijk deels samenvallen met eisen die al voortvloeien uit sectorale regels, maar zij vormen afzonderlijke juridische grondslagen.

Kredietscoring als hoogrisico volgens Bijlage III

Bijlage III somt toepassingsgebieden op die als hoogrisico worden aangemerkt. Hiertoe behoren onder meer AI-systemen die bedoeld zijn om te worden gebruikt voor de kredietscoring en kredietwaardigheidsbeoordeling van natuurlijke personen. Dit is van centraal belang voor banken, kredietverstrekkers en veel fintechbedrijven.

Wanneer een AI-systeem wordt gebruikt voor kredietscoring, valt het onder het hoogrisicoregime. De verplichtingen voor aanbieders van Bijlage III-systemen gelden vanaf 2 augustus 2026. Er is een voorstel, de Digital Omnibus, om deze uit te stellen tot 2 december 2027 (Digital Omnibus-voorstel, nog niet in werking getreden; goedgekeurd door het Europees Parlement op 16 juni 2026, maar de Raad wacht de publicatie in het Publicatieblad af). Tot dan geldt de datum 2 augustus 2026.

Rollen: aanbieder of gebruiksverantwoordelijke

De AI-verordening maakt onderscheid tussen de aanbieder (provider) en de gebruiksverantwoordelijke (deployer). Een bank die een kredietscoringssysteem inkoopt en gebruikt, is doorgaans gebruiksverantwoordelijke. Degene die het systeem ontwikkelt en op de markt aanbiedt, is aanbieder.

Let op artikel 25: onder bepaalde voorwaarden kan een gebruiksverantwoordelijke worden geherkwalificeerd als aanbieder, bijvoorbeeld als de gebruiksverantwoordelijke zijn eigen naam op het systeem zet of een substantiële wijziging aanbrengt in een hoogrisico-AI-systeem. Een dergelijke herkwalificatie brengt aanzienlijk uitgebreidere verplichtingen met zich mee.

Verplichtingen van de gebruiksverantwoordelijke volgens artikel 26

Voor gebruiksverantwoordelijken van hoogrisico-AI-systemen bepaalt artikel 26 een aantal verplichtingen, waaronder:

  • het systeem gebruiken in overeenstemming met de gebruiksaanwijzing van de aanbieder,
  • zorgen voor menselijk toezicht door personen met passende bekwaamheid,
  • ervoor zorgen dat de invoergegevens relevant zijn met het oog op het beoogde doel van het systeem, voor zover de gebruiksverantwoordelijke controle heeft over de invoergegevens,
  • de werking monitoren en de aanbieder en de bevoegde autoriteit inlichten bij risico's of ernstige incidenten.

Voor kredietscoring komt daarnaast de informatieverstrekking aan de betrokken natuurlijke personen aan de orde, in overeenstemming met de bepalingen van de verordening inzake hoogrisico-AI-systemen.

AML en andere gebruikssituaties

Veel banken zetten AI in bij maatregelen tegen witwassen (AML), transactiemonitoring en fraudedetectie. Of een dergelijk systeem in een individueel geval hoogrisico vormt volgens Bijlage III, moet in het concrete geval worden beoordeeld op basis van het beoogde doel van het systeem. Ongeacht de classificatie blijft de eis van AI-geletterdheid volgens artikel 4 bestaan, van kracht sinds 2 februari 2025, evenals het verbod op de praktijken van artikel 5.

Transparantie volgens artikel 50 voor chatbots

Artikel 50 (transparantie) geldt vanaf 2 augustus 2026. Voor banken en fintech is dit bijzonder relevant voor chatbots en andere conversatie-interfaces: natuurlijke personen moeten worden geïnformeerd dat zij interacteren met een AI-systeem, tenzij dit vanzelfsprekend is. Verder gelden er eisen voor het markeren van bepaalde door AI gegenereerde of gemanipuleerde inhoud.

Sancties volgens artikel 99

  • Verboden praktijken volgens artikel 5: tot 35 miljoen EUR of 7 % van de wereldwijde jaaromzet.
  • Overtredingen van onder meer artikel 50 en de hoogrisicoverplichtingen: tot 15 miljoen EUR of 3 %.
  • Onjuiste informatie aan autoriteiten: tot 7,5 miljoen EUR of 1 %.

Voor financiële actoren met een aanzienlijke omzet kunnen op percentages gebaseerde boetes substantieel worden.

Vóór de inkoop

  • Breng in kaart welke AI-systemen worden gebruikt voor kredietscoring en controleer of zij hoogrisico vormen volgens Bijlage III.
  • Bepaal uw rol: aanbieder of gebruiksverantwoordelijke – en houd rekening met herkwalificatie volgens artikel 25.
  • Vraag de documentatie en gebruiksaanwijzing van de aanbieder op om aan artikel 26 te kunnen voldoen.
  • Zorg voor artikel 50-transparantie voor chatbots vóór 2 augustus 2026.
  • Documenteer AI-geletterdheid volgens artikel 4 (vgl. PowerQuant Module 1 voor AI-inventarisatie en Artikel 4-register).

Deze pagina bevat algemene informatie over de AI-verordening en vormt geen juridisch advies.