EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Jak EY może pomóc
-
Dowiedz się, w jaki sposób zespół konsultantów ds. ryzyka EY może pomóc Twojej organizacji w radzeniu sobie z zakłóceniami i przekształcaniu ryzyka w przewagę konkurencyjną.
Przeczytaj więcej -
EY Spectrum to model, który umożliwia przeprowadzenie ilościowej oceny wpływu przedsiębiorstwa, projektu inwestycyjnego lub branży na gospodarkę (ang. economic impact assessment lub EIA).
Przeczytaj więcej
Szanse związane wdrożeniem rozwiązań bazujących na AI
Główne sfery, w jakich wykorzystanie sztucznej inteligencji może stanowić nową jakość to min. automatyzacja świadczonych usług i produktów, poprawa wydajności pracy, marketing i targetowanie oraz wykrywanie nieprawidłowości.
Wszystkie powyżej wymienione zakresy wykorzystania AI łączy kilka cech. Przede wszystkim sztuczna inteligencja pozwala na oddelegowanie wielu codziennych zadań organizacyjnych, które pracownicy muszą wykonywać obok zadań eksperckich i kreatywnych. Wykorzystanie AI daje również możliwość świadczenia usług znacznie szybciej niż dotychczas, przykładowo dzięki algorytmom generującym odpowiedzi na proste pytania, czy tworzącym podstawowe zestawienia informacji potrzebne w codziennej pracy. AI daje również szansę na osiągnięcie wyższego poziomu obsługi klienta poprzez zautomatyzowanie całego procesu. Dzięki rozwiązaniom bazującym na imitowaniu ludzkiego głosu i prowadzeniu konwersacji w czasie rzeczywistym, możliwe jest rozstrzygnięcie większości spraw bez konieczności angażowania pracowników.
Nie można również zapominać o rozwiązaniach stworzonych dla konkretnych sektorów. Dobrym przykładem są tutaj rozwiązania tworzone w sektorze finansowym, które pozwolą na błyskawiczną ocenę szkód pod kątem wysokości wypłacanego ubezpieczenia czy zdolności kredytowej zarówno dużych jak i mniejszych podmiotów rynkowych.
Wszyscy zdają się zauważać ogromne korzyści jakie czerpać można z wdrożenia rozwiązań bazujących na sztucznej inteligencji. Zauważył to również unijny prawodawca, czego efektem jest przygotowanie serii aktów prawnych, których celem jest uregulowanie kwestii rosnącego wykorzystania w obrocie algorytmów sztucznej inteligencji.
Ryzyka regulacyjne: AI Act
Projekt rozporządzenia w sprawie sztucznej inteligencji opublikowany w kwietniu 2021 roku, wywołał gorącą debatę, zarówno na poziomie unijnym jak i poszczególnych państw członkowskich. Celem projektu było ustanowienie jednolitych zasad klasyfikowania systemów sztucznej inteligencji według poziomu ryzyka jaki zgodnie z ustawą przypisywać będziemy danym systemom. Akt będzie prawdopodobnie podlegał pewnym modyfikacjom, szczególnie w zakresie treści niektórych definicji i zawartości kluczowych załączników o czym niżej.
Główne postulaty wskazane przez unijnego prawodawcę to przewodnia i nadzorcza rola człowieka, techniczna solidność i bezpieczeństwo, ochrona prywatności i zarządzanie danymi, przejrzystość, różnorodność, niedyskryminacja i sprawiedliwość, społeczny i środowiskowy dobrostan oraz odpowiedzialność. Wskazać można, również na pewną myśl przewodnią towarzyszącą tej regulacji jaką jest uzależnienie rygoryzmu przepisów, od ryzyka związanego z określonym systemem. Szczególnie istotne będą dla nas systemy, których wykorzystanie zostanie uznane za zakazane praktyki oraz systemy wysokiego ryzyka.
Za zakazane praktyki zostanie uznana:
- Manipulacja powodująca lub mogąca powodować szkodę fizyczną lub psychiczną
- Social scoring
- Identyfikacja biometryczna w czasie rzeczywistym w miejscach publicznych do celów egzekwowania prawa – z wyjątkiem:
1. ukierunkowanego poszukiwania konkretnych potencjalnych ofiar przestępstw, w tym zaginionych dzieci
2. zapobiegnięcia konkretnemu, poważnemu i bezpośredniemu zagrożeniu życia lub bezpieczeństwa fizycznego osób fizycznych lub atakowi terrorystycznemu;
3. wykrywania, lokalizowania, identyfikowania lub ścigania sprawcy lub podejrzanego o popełnienie kwalifikowanych przestępstw objętych europejskim nakazem aresztowania (katalog: art. 2 ust. 2 Decyzji ramowej Rady 2002/584/WSiSW
Za system wysokiego ryzyka uznaje się system sztucznej inteligencji, który:
- jest przeznaczony do wykorzystywania jako związany z bezpieczeństwem element produktu objętego unijnym prawodawstwem harmonizacyjnym wymienionym w Załączniku II do rozporządzenia lub sam jest takim produktem.
- Musi to być również produkt, którego związanym z bezpieczeństwem elementem jest system sztucznej inteligencji, lub sam system sztucznej inteligencji jako produkt podlegają – na podstawie unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku II – ocenie zgodności przeprowadzanej przez osobę trzecią w celu wprowadzenia tego produktu do obrotu lub oddania go do użytku.
Za systemy wysokiego ryzyka uznaje się również te wymienione bezpośrednio w załączniku III:
- Identyfikacja i kategoryzacja biometryczna osób fizycznych
- Zarządzanie infrastrukturą krytyczną i jej eksploatacja
- Kształcenie i szkolenie zawodowe
- Zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia
- Dostęp do podstawowych usług prywatnych oraz usług i świadczeń publicznych, a także korzystanie z nich
- Ściganie przestępstw
- Zarządzanie migracją, azylem i kontrolą graniczną
- Sprawowanie wymiaru sprawiedliwości i procesy demokratyczne
Uznanie danego systemu za system wysokiego ryzyka będzie wiązać się z:
- Koniecznością spełnienia szeregu wymogów w zakresie: wdrożenia systemów zarządzania, wprowadzenia kryteriów jakości danych, szczegółowej dokumentacji i analizy logów, przejrzystości i udostępniania informacji użytkownikom, nadzoru człowieka oraz dokładności, solidności i cyberbezpieczeństwa (wynikających z rozdziału 3 projektu rozporządzenia)
- Naruszenie tych wymogów będzie wiązało się z nałożeniem kar:
1. do 30 milionów euro lub 6 % rocznego światowego obrotu: zakazane praktyki, niestosowanie się do zasad zarządzania danymi
2. do 20 milionów euro lub 4 % rocznego światowego obrotu: niestosowanie się do jakichkolwiek zasad lub obowiązków innych, niż dotyczące zakazanych praktyk oraz zasad zarządzania danymi
3. do 10 milionów euro lub 2 % rocznego światowego obrotu: Przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym i właściwym organ krajowym
Jak widać regulacja tworzy rozbudowany system klasyfikowania systemów AI. Nie uchroniło to jednak aktu przed daleko idącą krytyką. Spór ten toczy się w szczególności w zakresie: definicji sztucznej inteligencji, rozszerzenia katalogu zakazanych praktyk oraz w szczególności katalogu systemów wysokiego ryzyka zawartego w załączniku III.
Jednak krajobraz regulacyjny nie kończy się na AI Act. Wydaje się to rozsądne o tyle, że z wykorzystaniem sztucznej inteligencji wiąże się wiele szczegółowych kwestii, które wymagają uregulowanie w celu zapewnienia bezpieczeństwa, szczególnie w obrocie konsumenckim. Jednym z kroków jakie UE podjęła w celu zapewnienia tego bezpieczeństwa jest stworzenie projektu Cyber Resilience Act (CRA) opublikowanego 15 września, będzie on obok NIS 2 i DORA stanowił podstawy unijnego systemu cyberbezpieczeństwa. Zagadnienia odporności cyfrowej są więc obok AI Act, elementem który należy brać pod uwagę wprowadzając do organizacji rozwiązania bazujące na sztucznej inteligencji. Nie można również zapominać o regulacjach chmurowych. Cloud często wykorzystywany jest równolegle do rozwiązań bazujących na sztucznej inteligencji, wymienione regulacje będą zatem w pewnym zakresie nakładać się z zakresem aktów chmurowych takich jak polski Komunikat Chmurowy, opublikowany przez KNF.
Poniżej krótkie podsumowanie wspomnianych aktów prawnych:
- Cyber Resilience Act
- CRA ma na celu wzmocnienie bezpieczeństwa PDE (products with digital elements „produkty z elementami cyfrowymi”) i nakłada obowiązki, które obejmują: planowanie, projektowanie, rozwój, produkcję, dostawę i utrzymanie PDE
- zapobieganie podatności na zagrożenia cybernetyczne i postępowanie z nimi; oraz
- dostarczanie informacji dotyczących cyberbezpieczeństwa użytkownikom PDE
- CRA nakłada również obowiązki zgłaszania do ENISA każdej aktywnie wykorzystywanej podatności, jak również każdego incydentu, który wpływa na bezpieczeństwo PDE, w ciągu 24 godzin od powzięcia o nim wiadomości
- Obowiązki dotyczą przede wszystkim producentów PDE, do których zalicza się podmioty, które opracowują lub produkują PDE, jak również podmioty, które zlecają projektowanie, opracowywanie i produkcję stronie trzeciej. Importerzy i dystrybutorzy PDE muszą również zapewnić zgodność produktów z wymaganiami CRA
- Wymogi te obowiązują przez cały okres użytkowania produktu lub pięć lat od momentu wprowadzenia go na rynek, w zależności od tego, który okres jest krótszy.
- Komunikat Chmurowy:
UKNF w zakresie wykorzystania chmury publicznej lub hybrydowej rekomenduje w Komunikacie Chmurowym UKNF m.in.:
- Zapewnienia odpowiednich kompetencji pracowników
- Spełnienia minimalnych wymagań w zakresie umowy z dostawcą rozwiązań chmurowych
- Posiadania planu przetwarzania informacji w chmurze obliczeniowej
- Zapewnienia spełnienia odpowiednich standardów technicznych np. norm ISO
- Stosowania metod kryptograficznych
- Monitorowania środowiska przetwarzania tajemnicy ubezpieczeniowej lub tajemnicy agencyjnej w usługach chmury obliczeniowej
- Dokumentowania wszelkich istotnych operacji związanych z korzystaniem z usługi chmurowej.
- Digital Operational Resilience Act (DORA):
- Wzmocnienie odporności cyfrowej na zagrożenia wynikające z wykorzystywania nowoczesnej technologii i zapewnienia szybkiego powrotu do sprawności operacyjnej
- Wdrożenie polityki zarządzania ryzykiem związanym z ICT i ustalenie postępowania z incydentami z obszaru ICT
- Testowanie odporności na zagrożenia
- Zarządzanie ryzykiem ze strony dostawców zewnętrznych oraz wymianą informacji
- Zastosowanie w całym sektorze finansowym oraz w poszerzonym obszarze regulacyjnym "krytycznych dostawców usług zewnętrznych w zakresie technologii informacyjno-komunikacyjnych", co będzie obejmowało takie usługi jak chmura, analityka danych i audyt
- Bezpośrednią odpowiedzialności organu zarządzającego za zgodne z przepisami, w tym DORA, korzystanie z usług ICT (w tym AI).
Wnioski
Rozwiązania bazujące na sztucznej inteligencji mogą zrewolucjonizować nasze patrzenie na procesy zarówno wewnątrz jak i na zewnątrz organizacji. Jednak rosnąca liczba regulacji wymaga od biznesu podjęcia odpowiednich kroków, jeszcze zanim omówione regulacje wejdą w życie. Ilość regulacji wymaga zatem zarówno kompleksowego przygotowania technologicznego jak i zrozumienia nowych obowiązków stawianych przed biznesem.