Drogi Czytelniku,
Polska zajęła pierwsze miejsce w UE pod względem liczby transakcji bankowości mobilnej i internetowej w 2025 roku. BLIK przetworzył w ubiegłym roku 2,9 miliarda transakcji o wartości 104,9 miliarda euro — dane, które plasują go wśród najbardziej aktywnych systemów płatności detalicznych na kontynencie. PKO Bank Polski podejmuje ponad 80% decyzji kredytowych z wykorzystaniem modeli uczenia maszynowego. Bank Pekao przetwarza 1,5 miliona dokumentów kwartalnie przez AI. ING Bank Śląski uruchomił asystenta GenAI dla klientów korporacyjnych w grudniu 2025 roku.
Żaden polski bank nie opublikował samodzielnych ram AI governance.
To nie jest wyłącznie polski problem. W całej Europie schemat jest ten sam: zaawansowane wdrożenia AI, wczesny etap infrastruktury zarządzania. EBA (Europejski Urząd Nadzoru Bankowego) odnotował w listopadzie 2025 r., że większość banków w UE nie posiada wystarczających ram zarządzania danymi dostosowanych do wymogów specyficznych dla AI. Bankowe zespoły ds. compliance są w dużej mierze świadome terminu sierpień 2026 r. — ale świadomość i gotowość operacyjna to dwa różne problemy. W Polsce luka między tym, co AI faktycznie robi, a tym, co mówią dokumenty dotyczące zarządzania, jest szczególnie widoczna. To będzie miało znaczenie, gdy rozpoczną się kontrole KNF.
Zostało sześć miesięcy.
Wymagania art. 26 dla podmiotów wdrażających#
2 sierpnia 2026 r. art. 26 unijnej ustawy o AI staje się egzekwowalny wobec podmiotów wdrażających. Kluczowa implikacja dla banków: każdy system AI oceniający zdolność kredytową osoby fizycznej jest systemem wysokiego ryzyka zgodnie z sekcją 5 lit. b) Załącznika III. Obejmuje to szeroki zakres nowoczesnej infrastruktury scoringu kredytowego — sieci neuronowe, metody ensemble learning i wszelkie LLM wdrożone w łańcuchu decyzji kredytowych.
Artykuł 26 wymaga od podmiotu wdrażającego:
- Pełnego rejestru wszystkich systemów AI wysokiego ryzyka działających w produkcji
- Nadzoru ludzkiego — nie nominalnego, lecz sprawowanego przez kompetentną osobę z realnym uprawnieniem do interwencji
- Ciągłego monitorowania, w tym wykrywania anomalii
- Dzienników operacyjnych przechowywanych przez co najmniej sześć miesięcy
- Przejrzystej komunikacji z klientami, gdy AI wpływa na dotyczące ich decyzje
To minimum wymagane w przeglądzie nadzorczym, a nie aspiracja.
Już sam wymóg rejestru może zablokować większość banków. W kwietniu 2025 r. Forum Technologii Bankowych przy ZBP opublikowało 62-stronicowy praktyczny przewodnik dotyczący zgodności z ustawą o AI — jedyny polskojęzyczny dokument operacyjny w tej dziedzinie. Napisany przez zespoły walidacji modeli i ryzyka z polskich banków, radców prawnych oraz praktyków technologicznych pracujących z tymi systemami w produkcji. Zidentyfikował problem inwentaryzacji jako główną lukę. W momencie badania: tylko jeden bank na pięć posiadał pełny rejestr swoich systemów AI. Nie można zarządzać tym, czego się nie zinwentaryzowało.
Ten sam przewodnik odniósł się do jednej z praktycznych niejasności ustawy: które techniki ML podlegają klasyfikacji wysokiego ryzyka, a które nie. Granica między tradycyjnym systemem informatycznym a systemem AI w rozumieniu ustawy jest mniej oczywista, niż się wydaje, a klasyfikacja konkretnych technik była przedmiotem toczącej się dyskusji z organami regulacyjnymi. Komisja Europejska była zobowiązana do opublikowania wytycznych dotyczących zakresu klasyfikacji — aktualne stanowisko należy zweryfikować w oparciu o te wytyczne przed przypisaniem jakiegokolwiek systemu do kategorii compliance. To, co pozostaje niezmienne: klasyfikacji nie można zakładać. Każdy system w portfolio wymaga udokumentowanej analizy.
Ekspozycja API#
Jest jeszcze jedna warstwa ryzyka compliance, którą banki budujące na komercyjnych LLM muszą zaadresować osobno.
Bank korzystający z OpenAI, Azure OpenAI lub dowolnej równoważnej usługi na jakimkolwiek etapie decyzji kredytowej — podsumowanie dokumentów, komunikacja z klientem, komentarz scoringowy — staje się podmiotem wdrażającym system AI wysokiego ryzyka w rozumieniu art. 26. Te same obowiązki, co w przypadku samodzielnie zbudowanego modelu. Jeśli bank w znacznym stopniu zmodyfikuje wyniki lub dystrybuuje je pod własną marką, może zostać przekwalifikowany do roli dostawcy na mocy art. 25, z dodatkowymi wymogami, w tym rejestracją w bazie danych UE i oceną zgodności.
DORA dodaje kolejną warstwę. Art. 28 traktuje każde wywołanie API LLM jako zależność od zewnętrznego dostawcy ICT — nie subskrypcję SaaS. Wymaga udokumentowanych zobowiązań umownych z dostawcą, strategii wyjścia, monitorowania ryzyka koncentracji i prawa do audytu. DORA weszła w życie 17 stycznia 2025 r. Banki, które zintegrowały API LLM bez ujęcia ich w rejestrze podmiotów zewnętrznych DORA, są już niezgodne z przepisami — niezależnie od tego, kiedy przypadnie termin wynikający z ustawy o AI.
Test praktyczny: czy dostawca LLM figuruje w rejestrze podmiotów zewnętrznych DORA? Jeśli nie — jesteście już teraz niezgodni z przepisami, niezależnie od terminu ustawy o AI.
Dlaczego nikt nie ma podręcznika#
Analiza EBA z listopada 2025 r., mapująca ustawę o AI na istniejące prawo bankowe UE, doprowadziła do nieoczekiwanego wniosku: EBA nie widzi pilnej potrzeby opracowania nowych wytycznych. Skoncentruje się na współpracy nadzorczej i może opublikować wytyczne operacyjne w 2026 lub 2027 r. Do tego czasu banki mają budować compliance na tekście ustawy i niewiążącym arkuszu informacyjnym EBA.
Ustawa o AI określa, co należy osiągnąć. Nie określa, jak. Najbardziej kompletną operacyjnie ramą zarządzania ryzykiem AI jest NIST AI RMF 1.0 — amerykański standard zbudowany wokół czterech funkcji (Govern, Map, Measure, Manage) z profilem sektora finansowego. Wiele europejskich banków posiadających ustrukturyzowane programy AI governance stosuje NIST w praktyce, by wypełnić tę lukę operacyjną. Godnym uwagi wyjątkiem jest BBVA, które łączy BCBS 239 z tekstem unijnej ustawy o AI jako dualną ramę.
Bardziej bezpośrednio użytecznym dokumentem referencyjnym są wytyczne BaFin dotyczące ryzyk ICT w zastosowaniach AI w podmiotach finansowych, opublikowane 30 stycznia 2026 r. Niewiążące, ale jedyne opracowanie głównego organu nadzoru UE zapewniające operacyjne szczegóły implementacji DORA i AI w całym cyklu życia modelu: pozyskiwanie danych, rozwój, eksploatacja produkcyjna i wycofanie. Dla polskich banków — najbardziej wiarygodny dostępny punkt odniesienia do czasu, gdy KNF opublikuje własne wytyczne.
KNF obserwuje. Priorytety nadzorcze na 2026 r. wyraźnie wymieniają AI, ze szczególnym uwzględnieniem procesów scoringu kredytowego.
Jak wygląda zarządzanie operacyjne#
Trzy europejskie banki opublikowały wystarczająco dużo szczegółów operacyjnych, by służyć jako punkty odniesienia.
Ocena ryzyka GenAI Grupy ING obejmuje ponad 100 odrębnych czynników ryzyka, zanim jakikolwiek system trafi do produkcji. Deklarowana zasada: „Governance nie może żyć w dokumentach strategicznych ani prezentacjach — musi być wbudowane bezpośrednio w produkt." Monitorowanie jest zautomatyzowane i ciągłe, a nie cykliczne.
Nordea zbudowała modułową platformę GenAI na AWS Bedrock, z której korzysta już 10 000 pracowników. Zasadą projektową są certyfikowalne komponenty: governance stosuje się do małych, wydzielonych części systemu niezależnie, a następnie kumuluje. Budują raz i stosują wielokrotnie, zamiast zarządzać każdym wdrożeniem od nowa. Szef działu AI Adoption: „Jeśli nie akceptujesz governance, powinieneś iść pracować w startupie."
BBVA zebrał 2500 data scientistów w jednej jednostce i zbudował globalny rejestr modeli z ciągłym monitorowaniem. Traktują zarządzanie ryzykiem modeli i regulacyjny AI compliance jako tę samą dyscyplinę, zarządzaną przez tę samą infrastrukturę.
Wspólny mianownik: decyzje dotyczące governance podejmowane są na poziomie architektury, zanim system powstanie. Podejście, która nie działa — komitet etyczny recenzujący systemy po wdrożeniu — produkuje dokumentację. Nie dostarcza tego, czego wymaga art. 26.
Luka w spółkach zależnych#
Ustawa o AI obejmuje spółki zależne. Firmy leasingowe, faktoringowe i zajmujące się finansami konsumenckimi, które używają modeli ML do decyzji kredytowych, podlegają tej samej klasyfikacji z Załącznika III co ich banki macierzyste — dysponując istotnie mniejszymi zasobami do zarządzania i zazwyczaj mniejszymi zespołami ds. compliance.
Każda duża polska grupa bankowa ma spółki zależne, które świadczą usługi leasingowe i zapewne robią to z wykorzystaniem zautomatyzowanych modeli. Strategia AI grupy dominującej nie przekłada się automatycznie na governance na poziomie spółki zależnej zgodne z art. 26. Nadzór KNF obejmuje strukturę grupy, a luki na poziomie spółek zależnych ujawniają się w kontrolach grupowych.
Tu dystans między dokumentami strategii AI a zarządzaniem operacyjnym jest najbardziej wyraźny. Duże banki zbudowały wewnętrzne zespoły AI i compliance zdolne do prowadzenia własnych programów zarządzania — zewnętrzne doradztwo wnosi ograniczoną wartość na tym poziomie i bankowe zespoły o tym wiedzą. Spółki zależne są inne: brak wewnętrznych zasobów, ekspozycja regulacyjna identyczna jak spółki dominującej, a firmy doradcze dominujące w AI governance dla bankowości działają na poziomach cenowych, których spółki zależne nie mogą sobie pozwolić. Przepaść między obowiązkiem regulacyjnym a dostępnym wsparciem jest największa dokładnie tam, gdzie zasoby instytucjonalne są najcieńsze.
Pytania do zarządu#
Co mieści się w waszym rejestrze systemów AI? Jeśli nie jesteście w stanie wymienić każdego modelu AI działającego w produkcji w ciągu 30 minut — nie jesteście gotowi na audyt z art. 26.
Które systemy należą do kategorii wysokiego ryzyka z Załącznika III? Systemy scoringu kredytowego niemal na pewno tak. Narzędzia do wykrywania oszustw są z niego explicite wyłączone. Czy macie udokumentowaną klasyfikację dla każdego systemu produkcyjnego — i czy została ona zweryfikowana w oparciu o aktualne wytyczne Komisji?
Co się dzieje, gdy wywoływany jest API LLM? „Nasz dostawca zajmuje się compliance" — prawo tak nie działa. Wy jesteście podmiotem wdrażającym.
Z jakich ram operacyjnych korzystacie? NIST RMF, ISO 42001, wytyczne BaFin ze stycznia 2026 r. czy własna synteza. Nie ma wymaganej odpowiedzi. Musi być jakaś odpowiedź.
Jak faktycznie wygląda wasz nadzór ludzki? Art. 26 wymaga kompetentnej osoby z uprawnieniem do interwencji. „Zespół weryfikuje zgłoszone przypadki" to początek odpowiedzi. Nie jej koniec.
Briefing#
Komisja Europejska nie dotrzymała własnego terminu ws. wytycznych klasyfikacyjnych#
Ustawa o AI zobowiązywała Komisję Europejską do opublikowania wytycznych na podstawie art. 6 — klauzuli określającej, co kwalifikuje się jako system AI wysokiego ryzyka — do 2 lutego 2026 r. Komisja nie dotrzymała tego terminu. Projekt do konsultacji spodziewany jest do końca lutego, a formalne przyjęcie prawdopodobnie nastąpi w marcu lub kwietniu. Dla banków kończących teraz inwentaryzację systemów stwarza to konkretny problem: nie można sfinalizować klasyfikacji modeli wysokiego ryzyka w oparciu o standard, który jeszcze nie istnieje. Sytuację dodatkowo komplikuje propozycja AI Omnibus, znajdująca się w fazie dialogu, która przesunęłaby termin zgodności z Załącznikiem III z sierpnia 2026 r. na grudzień 2027 r. Ostateczny tekst przed końcem maja jest mało prawdopodobny — co oznacza, że aktualny termin prawny to wciąż sierpień 2026 r., a status Omnibus nie jest zielonym światłem do wstrzymania prac.
Pierwszy rok DORA: ryzyko ICT najgorzej ocenianą kategorią w europejskim nadzorze bankowym#
Rok po wejściu DORA w życie wyniki SREP EBC z 2025 r. pokazują, że ryzyko operacyjne i ryzyko ICT otrzymały najniższe średnie oceny we wszystkich kryteriach nadzorczych — to systemowo najsłabszy wymiar. 18 listopada 2025 r. IBM, Accenture, AWS EMEA i Microsoft Ireland zostały formalnie uznane za Krytycznych Zewnętrznych Dostawców ICT i objęte ich bezpośrednim nadzorem ESA. Program inspekcji EBC na 2026 r. obejmuje dwie fale kampanii na miejscu dotyczące cyberbezpieczeństwa i ryzyka stron trzecich. Dla każdego banku korzystającego z obciążeń AI lub API LLM na tych platformach: rejestr DORA jest teraz żywym źródłem danych nadzorczych, a luki ujawnią się w 2026 r., nie w 2027 r. (Analiza IBM)
59% europejskich banków ma już dedykowane budżety na AI compliance#
Badanie ComplyAdvantage State of Financial Crime 2026 (600 menedżerów wyższego szczebla) wykazało, że 59% europejskich firm finansowych ma dedykowane budżety na AI i aktywne projekty — wobec 46% w Ameryce Północnej. Motorem jest termin sierpień 2026 r., a nie ambicje konkurencyjne: firmy inwestują specjalnie po to, by zapewnić wyjaśnialność i podatność na audyt modeli AI. Raport potwierdza, że oparte na AI monitorowanie transakcji i ocena zdolności kredytowej są klasyfikowane jako wysokiego ryzyka, z obowiązkowymi wymogami przejrzystości i nadzoru ludzkiego. Najszybciej poruszają się nie te firmy, które wydają najwięcej — lecz te, które zaczęły od problemu rejestru systemów.
Okno operacyjne#
Kancelarie prawne powiedzą wam, co mówią przepisy. Trudniejszy problem to zbudowanie systemu operacyjnego, który przetrwa inspekcję KNF: rejestr modeli, dokumentacja klasyfikacji, architektura nadzoru, dzienniki monitorowania, rejestr podmiotów zewnętrznych DORA obejmujący każdy API LLM i dokumentacja wiążąca każdy system z decyzją governance.
Konkluzja grupy roboczej FTB z kwietnia 2025 r. — napisana przez praktyków zarządzających tymi modelami w produkcji — była taka, że luka między możliwościami AI polskiej bankowości a jej infrastrukturą zarządzania jest realna, ale możliwa do zlikwidowania. Prawie rok później, z sierpniem 2026 r. odległym o sześć miesięcy, przepaść ta zmniejszyła się dla jednych i wzrosła dla innych. Trzy kroki pokrywają większość problemu: sporządzić listę wszystkich systemów AI w produkcji, sklasyfikować każdy zgodnie z Załącznikiem III przy użyciu aktualnych wytycznych Komisji i sprawdzić, czy dostawcy API LLM figurują w rejestrze podmiotów zewnętrznych DORA. Wszystko inne wynika z tych trzech kroków.
Okno jeszcze jest. Nie będzie otwarte wiecznie.
Do następnego numeru,
Krzysztof
Źródła: Raport Grupy Roboczej FTB ZBP (kwiecień 2025) · Mapowanie EBA — Ustawa o AI (listopad 2025) · Wytyczne BaFin AI/DORA (styczeń 2026) · Ustawa o AI UE — Załącznik III i art. 26 (Dziennik Urzędowy, czerwiec 2024) · DORA art. 28 · Wywiad ING FFNews (luty 2026) · Case study Nordea AWS (grudzień 2025) · BBVA Responsible Innovation (marzec 2025) · Priorytety nadzorcze KNF 2026 · Deloitte European Financial Centres Power Index 2025 · IAPP — analiza art. 6 Ustawy o AI (luty 2026) · IBM DORA Rok Pierwszy (luty 2026) · ComplyAdvantage State of Financial Crime 2026