KI für Banken, aber sicher: der EU-AI-Act

Auf hochkompetitiven Märkten kann kein Akteur auf innovative Tools verzichten – und seien diese noch so riskant. Das gilt auch für KI-Systeme. Weil Regulierung dabei besser funktioniert als Verbote, hat die EU als weltweit erster Gesetzgeber dazu ein Regelwerk erlassen: die KI-Verordnung oder AI-Act. Hier lesen Sie, warum das Gesetz auch für Banken relevant ist.
 

Warum gerade jetzt?

Weil wir mit der sogenannten generativen KI derzeit einen Quantensprung erleben. Generative Systeme können mehr, als Input zu klassifizieren und daraus Schlüsse oder Entscheidungen abzuleiten. Nach Vorgaben des Nutzers erzeugen sie aus ihren Trainingsdaten und stetigem maschinellem Lernen digitalen Content vom Text über Audio und Grafik bis zum lippensynchronen Video. 

Risiko in vier Klassen

Die voraussichtlich ab Ende 2024 anwendbare KI-Verordnung der Europäischen Union soll Menschen, Institutionen und Umwelt vor Risiken des staatlichen oder kommerziellen Einsatzes maschineller Intelligenz schützen und dafür sorgen, dass solche Systeme sicher, transparent, egalitär und umweltverträglich arbeiten. Die von künstlicher Intelligenz ausgehenden Risiken teilt das Gesetz in vier Klassen ein.

Unzumutbares Risiko
Darunter fallen Systeme, die implizit Grundrechte verletzen, etwa indem sie menschliche Schwächen zur Verhaltensmanipulation ausnutzen, Menschen nach biometrischen oder sozialen Merkmalen selektieren, anlasslos überwachen oder verdächtigen. Der AI-Act verbietet solche Systeme. Demnach wäre es unzulässig, wenn eine Bank in ihren Zweigstellen Kameras installiert und mit einer KI vernetzt, die aus der Körpersprache der Besucherinnen und Besucher herauslesen soll, wer womöglich gerade einen Überfall plant.
 
Hochrisiko
Hochriskant sind KI-Systeme, deren Einsatz zwar nicht automatisch die Gesundheit, sonstige Grundrechte, Umwelt, Demokratie oder den Rechtsstaat schädigt, die aber für vorsätzlichen oder fahrlässigen Missbrauch anfällig sind. Die Verordnung bezieht sich hier explizit auf Bonitätsprüfungs- und Scoringtools von Banken, da der Zugang zu Krediten ihr zufolge zur Grundversorgung zählt.

Transparenzrisiko
Als moderat riskant, zumindest intransparent stuft der EU-Gesetzgeber einen KI-Einsatz ein, der zwar nicht mit Grundrechten kollidiert, die Nutzer aber über Art und Quellen des Angebots im Unklaren lässt. Das betrifft Chatbots, vor allem aber Programme, die Texte, Bilder, Ton oder Videos erzeugen. Für Banken ist dies dann relevant, wenn sie etwa im Telebanking oder in einer Videokonferenz Avatare einsetzen statt menschliches Personal. Legal ist dies unter dem AI-Act nur noch, wenn die Bank der Zielgruppe offenlegt, dass sie mit einer KI interagiert.
 
Vernachlässigbares Risiko
Keinerlei Einschränkungen gelten für einfache KI-Systeme wie den Spamfilter eines E-Mail-Programms.

KI in der Bank: Verzicht ist keine Option

Die KI-Verordnung erlegt Anbietern und Anwendern maschineller Intelligenz mehr Sorgfalt auf. Dennoch wird sich auf Dauer kaum ein Finanz- oder Realunternehmen leisten wollen, allein wegen des regulatorischen Aufwands darauf zu verzichten.

So profitieren Banken von maschineller Intelligenz: Vielen Kundinnen oder Kunden ist die Interaktion mit einem Chatbot, der binnen Sekunden verlässliche, personalisierte Antworten liefert, lieber, als sich ohne Erfolgsgarantie durch ein seitenlanges Q&A zu klicken. Per Robo-Advisor wird individuelle Finanzberatung auch im Retailsegment erschwinglich. Künstliche Intelligenz hilft zudem, E-Mails oder Gedrucktes digital zu erfassen, auszuwerten, zu klassifizieren und dem richtigen Vorgang oder Kundenkonto zuzuordnen.

Durch Analyse von Massendaten spürt maschinelle Intelligenz Risiken auf, bevor ein Schaden eintritt, und schlägt Maßnahmen zur Vorbeugung oder Begrenzung vor, sei es im Wertpapier- oder im Kreditgeschäft. Prädestiniert ist die KI auch zur Betrugsabwehr. Wer zum ersten Mal in einem Webshop oder im Ausland per Kreditkarte bezahlt, bemerkt in vielen Fällen, dass es länger dauert als beim Stammhändler. Das liegt daran, dass eine KI den Ersteinsatz der Karte als Anomalie wertet und somit als Indiz dafür, dass die Kartendaten womöglich gehackt wurden.

Die klassische automatische Betrugsabwehr arbeitet mit konditionalen Regeln: wenn … dann. Ändert ein Betrüger seine Taktik, laufen die Regeln ins Leere. Künstliche Intelligenz kommt ohne statische Regeln aus, weil sie Muster sowie kurz- und langfristige Abweichungen davon eigenständig aus den Transaktionsdaten herausliest. So beschleunigt sie das Tempo und die Treffsicherheit der Abwehr. KI-Lösungen zur Betrugsabwehr kommen nicht nur im Retailsegment zum Einsatz, sondern eignen sich auch intern und im Geschäft mit Großkunden zur Compliance mit Vorschriften gegen Wirtschaftskriminalität wie Marktmissbrauch oder Geldwäsche. 
 

Handlungsbedarf

Was müssen Banken tun, um ihre Informatik mit der KI-Verordnung in Einklang zu bringen? Alle mit künstlicher Intelligenz ausgerüsteten Systeme, ob intern entwickelt oder von externen Anbietern bezogen, sind auf Konformität mit dem Gesetz zu prüfen, die von ihnen ausgehenden Risiken zu bewerten.

• Zeigt sich, dass die Bank verbotene KI nutzt, muss sie diese zügig vom Netz nehmen. 
• Hochrisiko-KI unterliegt strengen Dokumentations- und Nachweispflichten. Solche Hochrisikosysteme muss der Anwender, in diesem Fall die Bank, regelmäßig prüfen und zertifizieren lassen. Insbesondere KI-Systeme, die zur Bewertung der Kreditwürdigkeit natürlicher Personen verwendet werden, sollen als Hochrisiko-KI-Systeme eingestuft werden, da sie den Zugang dieser Personen zu Finanzmitteln bestimmen.
• Für moderat riskante KI-Systeme besteht die Pflicht der Offenlegung. Die Bank muss offenlegen, dass es sich um eine KI handelt.
• Für KI-Systeme, die ein vernachlässigbares Risiko darstellen, steht es dem Anbieter frei, diese zu prüfen und zertifizieren zu lassen.

Gemeinsam mit unserem KI-Partner Lighthouz bieten wir ein mit allen gängigen Frameworks und Clouddiensten kompatibles, sofort einsatzbereites System zur Sicherung der Qualität von KI-Systemen an. Mit maschinell entwickelten, von Fachpersonal kontrollierten Tests untersucht unser System riskante KI-Apps und Tools nach vier Kriterien umfassend.

- Kohärenz: Reagiert die KI in längeren Dialogen mit Menschen kontextuell richtig?
- Zuverlässigkeit: Hält sich die KI an Regeln? Neigt sie zu Halluzinationen oder „toxischen“ Antworten?
- Sicherheit: Ist die KI anfällig für vorsätzliche oder arglose Manipulation?
- Privatsphäre: Gibt die KI personenbezogene Daten preis?

Mehr dazu unter: https://www.consileon.de/sichere-ki-fuer-compliance/

Weitere KI-Lösungen von Consileon

Zum Einsatz in Unternehmen eignen sich Allzweck-Chatbots wie ChatGPT weniger. Einerseits ist das Risiko hoch, dass sie falsche Antworten geben, weil ihre Wissensbasis sich teils aus fragwürdigen, unzuverlässigen oder böswilligen Quellen speist und firmeninterne Quellen fehlen. Andererseits wäre es leichtsinnig, strategische oder operative Fragen einer öffentlich zugänglichen Blackbox anzuvertrauen.

Consileon hilft institutionellen Anwendern bei der Entwicklung privater, branchenspezifischer Chatbots. Dazu bieten wir ein universell kompatibles Grundgerüst, das sich leicht in die Systemlandschaft des Anwenders integrieren lässt.