Kunstmatige intelligentie dringt in hoog tempo door tot alle lagen van de financiële sector. Van klantinteractie tot risicobeheer: AI speelt een steeds grotere rol in de dienstverlening. Maar zijn er ook risico’s? En hoe blijven beleggingsondernemingen in control?
AI – of kunstmatige intelligentie – is al lang geen toekomstmuziek meer en dit blijkt ook in de financiële sector. AI brengt allerlei kansen met zich: processen en meer administratieve taken kunnen efficiënter en sneller uitgevoerd worden waardoor medewerkers meer tijd hebben om zich op de kerntaken te focussen. Ook in de wereld van beleggingsondernemingen zien we in toenemende mate AI-toepassingen.
Zo maken beleggingsondernemingen gebruik van chatbots voor de klantenservice, zetten ze robo-adviseurs in en laten ze de identificatie en verificatie van klanten (deels) door AI uitvoeren. Ook kan AI helpen bij fraudedetectie. De praktische toepassingen reiken verder dan enkel deze voorbeelden, maar het laat zien dat ook de – traditioneel wat meer risicomijdende – financiële sector de voordelen van AI omarmt.
Risico’s
De inzet van AI biedt veel kansen, maar kent ook een keerzijde en brengt verschillende risico’s met zich mee. Zo kan er sprake zijn van ingebouwde vooroordelen (bias), met mogelijk ingrijpende maatschappelijke gevolgen. Ook roept het gebruik van klantgegevens in AI-systemen vragen op over privacy. Daarnaast is kan het onduidelijk zijn hoe een AI-systeem precies tot bepaalde uitkomsten of beslissingen komt.
Tot slot bestaat het risico dat bedrijven te afhankelijk worden van één leverancier van een AI-oplossing, waardoor sprake kan zijn van een zogenoemde vendor lock-in.
Wat verwachten toezichthouders?
De toezichthouders, zoals ESMA en AFM, houden de ontwikkeling van AI in de financiële sector nauwlettend in de gaten. Om deze reden zien we in de afgelopen jaren een toename aan rapporten, richtlijnen en nieuwsberichten vanuit toezichthouders over het verantwoord gebruik van AI door financiële instellingen.
Toezichthouders zijn duidelijk in hun publicaties: de inzet van AI moet zorgvuldig plaatsvinden. Voor beleggingsondernemingen blijven bestaande normen die zien op risicobeheersing, integere en beheerste bedrijfsvoering en het handelen in het klantbelang onverkort van kracht. Dit moet zich ook vertalen naar de interne governance, de kennis over AI-systemen die werknemers binnen de organisatie hebben en de verantwoordelijkheid van het bestuur voor de inzet van AI-systemen. Toezichthouders spreken uitdrukkelijk de verwachting uit dat ondernemingen rekening houden met de risico’s van AI.
Recent heeft ESMA een studie uitgebracht over de toepassing van “Large Language Models in Finance: Pathways to Responsible Adoption”. Het rapport geeft adviezen over de weg naar een verantwoorde inzet van AI-systemen, zoals de betrouwbaarheid van het systeem en het voorkomen van bias en de uitlegbaarheid van uitkomsten. Het belang van training over AI voor werknemers wordt ook in deze studie onderstreept.
Impact van de AI Act
Naast de informatie die door toezichthouders wordt gepubliceerd is sinds kort ook specifieke wetgeving op het gebied van AI; de Europese AI Act. De AI Act is op 12 juli 2024 formeel vastgesteld en treedt gefaseerd in werking vanaf medio 2025 tot medio 2027. Voor beleggingsondernemingen is de AI Act relevant als zij zelf AI-systemen aanbieden of AI-systemen van derden bedrijfsmatig gebruiken. De AI Act classificeert AI-systemen naar risiconiveau en heeft drie categorieën, namelijk (i) verboden AI-systemen, (ii) hoog risico AI-systemen en (iii) laag risico AI-systemen.
De wetgever heeft systemen die – kort gezegd – gebruikmaken van kwetsbaarheden van bepaalde personen of op een manipulatieve wijze het gedrag beïnvloeden als verboden gekwalificeerd. De hoog risico AI-systemen zijn bijvoorbeeld systemen die gebruikmaken van biometrische gegevens voor identificatie, ingezet worden voor werving en selectie of beslissingen maken over de kredietwaardigheid van natuurlijk personen. Nuttig voor de financiële sector is het feit dat systemen die weliswaar biometrische gegevens gebruiken voor identificatie, maar dit enkel wordt ingezet bij de onboarding van nieuwe klanten, niet als hoog risico kwalificeren. Systemen die niet in de verboden of hoog risico categorie vallen, worden gezien als laag risico.
De aanbieder of gebruiker van de AI-systemen moeten afhankelijk van de risicoclassificatie voldoen aan eisen op het gebied van o.a. risicobeheer, menselijke toezicht en robuustheid. In ieder geval geldt voor klantgerichte systemen, zoals chatbots, dat het voor de klant duidelijk moet zijn dat zij met een AI-systeem te maken hebben. Ook ‘generatieve AI’, zoals ChatGPT, valt onder specifieke verplichtingen indien ingezet in klantgerichte processen.
Vijf praktische tips voor beleggingsondernemingen:
- Houd het klantbelang altijd voor ogen
AI-systemen kunnen processen efficiënter en sneller maken, maar vanuit de zorgplicht van de beleggingsonderneming richting haar klanten is het belangrijk om altijd de vraag te stellen of het gebruik van AI (ook) in het belang van de klant is. - Wees transparant naar klanten én medewerkers
Informeer klanten over de wijze waarop AI wordt ingezet en leg duidelijke afspraken vast over het gebruik van AI door werknemers. Voorkom dat medewerkers zelf AI-tools gaan gebruiken buiten het toezicht en de controle van de organisatie. - Breng de AI-systemen in kaart
Inventariseer waar en hoe AI wordt gebruikt binnen de organisatie en beoordeel of en in hoeverre de AI Act van toepassing is. Waar nodig moeten interne processen aan de AI Act aangepast worden. Denk hierbij aan de classificatie van AI-systemen of het vereiste van menselijk toezicht. - Toets AI aan bestaande normen
De AI Act komt bovenop bestaande wetgeving. Denk aan de Wft en de AVG. Integreer AI in bestaande compliance processen in plaats van als standalone proces om dit goed op elkaar aan te laten sluiten. - Zorg voor integratie van AI in de governance
Wijs een eindverantwoordelijke aan voor AI. Verder is het van belang om het gebruik van AI te integreren in de bestaande processen, waardoor sprake is van een samenhang tussen ICT, legal, compliance en business units.
Leon Engelen is advocaat bij Hart Advocaten, onderdeel van het expertpanel dat maandelijks een bijdrage voor Investment Officer schrijft.