AI în bănci, fintech și servicii financiare în România 2026: aplicații, riscuri și conformitate
AI în bănci și în serviciile financiare a trecut, în 2026, de la faza de experiment la faza de infrastructură. Modelele lingvistice mari, motoarele de detecție a fraudei în timp real și automatizarea proceselor de back-office nu mai sunt proiecte-pilot izolate, ci componente pe care instituțiile financiare din România le integrează în fluxul zilnic de decizie și de relație cu clientul. Pentru un CTO, un COO sau un Head of Risk & Compliance, întrebarea nu mai este dacă adopți AI, ci cum o faci fără să încalci cadrul de reglementare european, care s-a maturizat considerabil în ultimii doi ani.
Acest articol trasează, pentru decidenții din bănci, IFN-uri și fintech, harta completă: unde aduce AI valoare reală, ce riscuri specifice sectorului financiar apar, care este cadrul de conformitate aplicabil (EU AI Act, GDPR, DORA, rolurile BNR și ASF) și cum implementezi responsabil, cu omul în buclă și cu echipe formate corect.
Disclaimer: Acest articol are scop pur informativ și educativ. Nu constituie consultanță juridică, financiară sau de reglementare. Cadrul legal evoluează rapid, iar aplicarea lui la o situație concretă depinde de detalii specifice. Înainte de orice decizie, consultă un specialist în conformitate și un consilier juridic.
Unde aduce AI valoare reală în banking și fintech
Valoarea nu vine din „a avea AI", ci din a aplica tehnologia acolo unde volumul de date, viteza deciziei și costul erorii umane justifică automatizarea. În serviciile financiare, câteva zone se remarcă prin maturitate și impact.
Antifraudă și AML în timp real
Detectarea tranzacțiilor frauduloase și combaterea spălării banilor (AML) sunt, probabil, cele mai solide cazuri de utilizare. Sistemele bazate pe învățare automată analizează tipare de comportament, corelează semnale slabe și semnalează anomalii mult mai rapid decât regulile statice. Un element important din perspectivă juridică: în EU AI Act, sistemele de AI folosite exclusiv pentru detectarea fraudei financiare sunt exceptate explicit de la clasificarea „high-risk" aplicabilă scoringului de credit (Anexa III, punctul 5, litera b). Aceasta le poziționează diferit față de sistemele de creditare din punctul de vedere al obligațiilor de conformitate.
Scoring de credit și underwriting
Aici AI produce eficiență, dar și cel mai mare risc de reglementare. Modelele pot îmbogăți evaluarea bonității cu surse alternative de date și pot reduce timpul de la cerere la decizie. Însă, exact pentru că afectează accesul persoanelor fizice la creditare, evaluarea bonității și stabilirea scorului de credit al persoanelor fizice sunt clasificate de EU AI Act drept sisteme high-risk (revenim la detalii în secțiunea de conformitate). Orice inițiativă de underwriting automatizat trebuie proiectată de la început cu guvernanță, documentare și supraveghere umană.
Asistenți conversaționali și chatboți pentru clienți
Asistenții AI preiau întrebări repetitive, ghidează clienții prin produse și degrevează echipele de suport. Beneficiul este real — disponibilitate non-stop și consistență — dar în context financiar riscul de halucinație (informație plauzibilă, dar falsă, despre dobânzi, comisioane sau condiții contractuale) este inacceptabil. Soluția nu este eliminarea chatbotului, ci proiectarea lui cu surse controlate (retrieval din documente oficiale), limite clare și escaladare către operator uman pentru orice speță cu efect contractual.
Automatizare back-office, KYC și analiză de documente
Procesarea documentelor de identitate, onboarding-ul (KYC/CDD), reconcilierea, extragerea datelor din contracte și rapoarte — toate beneficiază de modele care „citesc" documente și structurează informația. Aici câștigul de productivitate este direct și măsurabil, iar riscul de reglementare este mai gestionabil, cu condiția protejării datelor cu caracter personal.
Personalizare și cybersecurity
AI permite recomandări de produse adaptate profilului (cu respectarea GDPR) și, pe partea de securitate, întărește apărarea: detecția intruziunilor, analiza comportamentală a conturilor și răspunsul la incidente. Într-un sector unde reziliența operațională este acum obligație legală (DORA), securitatea susținută de AI devine parte din strategia de conformitate, nu doar din cea de IT.
Fintech-ul din România și adopția AI
Ecosistemul fintech românesc a crescut constant, cu jucători în plăți, creditare, neobanking și infrastructură financiară, alături de bănci tradiționale care își modernizează stiva tehnologică. Adopția AI urmează un tipar prudent: instituțiile experimentează întâi în zone cu risc reglementar scăzut (suport, back-office, marketing) și abia apoi extind spre decizii cu impact asupra clientului (creditare, pricing).
Este important de evitat afirmațiile cu cifre neverificabile despre „gradul de adopție". Ce se poate spune cu prudență: presiunea competitivă și așteptările clienților împing sectorul spre automatizare, în timp ce cerințele de conformitate impun o abordare metodică. Instituțiile care reușesc nu sunt cele care adoptă cel mai repede, ci cele care construiesc de la început guvernanță, trasabilitate și competențe interne. Diferența dintre un pilot AI reușit și unul abandonat ține rareori de model și aproape întotdeauna de proces, date și oameni.
Cadrul de conformitate: ce trebuie să știe orice decident financiar
Această secțiune sintetizează cadrul european și rolurile autorităților române. Toate referințele au fost verificate pe surse oficiale; totuși, aplicarea concretă necesită consultanță de specialitate.
EU AI Act (Regulamentul UE 2024/1689): scoringul de credit este high-risk
Regulamentul (UE) 2024/1689 (EU AI Act) clasifică sistemele de AI pe niveluri de risc. În Anexa III, punctul 5, litera (b), sunt încadrate ca high-risk sistemele de AI destinate să evalueze bonitatea persoanelor fizice sau să stabilească scorul lor de credit, cu excepția sistemelor de AI folosite pentru detectarea fraudei financiare. Tot la punctul 5 (litera c) sunt vizate și sistemele de evaluare a riscului și de stabilire a prețurilor în relație cu persoanele fizice pentru asigurările de viață și de sănătate.
Încadrarea high-risk atrage obligații substanțiale: sistem de management al riscului, guvernanța datelor, documentație tehnică, jurnalizare (record-keeping), transparență, supraveghere umană și monitorizare post-comercializare.
Atenție la calendar — și la o modificare în curs. Obligațiile pentru sistemele high-risk din Anexa III erau prevăzute inițial să se aplice de la 2 august 2026. Prin pachetul legislativ „Digital Omnibus" (propunere a Comisiei Europene din 19 noiembrie 2025), s-a convenit la nivel politic (acord provizoriu din 7 mai 2026) amânarea acestor obligații pentru sistemele stand-alone din Anexa III la 2 decembrie 2027 (respectiv 2 august 2028 pentru AI încorporat în produse reglementate din Anexa I). Această amânare produce efecte juridice doar după adoptarea formală și publicarea în Jurnalul Oficial al UE. Până la publicare, calendarul formal în vigoare rămâne cel inițial, motiv pentru care recomandarea prudentă este să continui pregătirea de conformitate ca și cum termenul din 2026 s-ar aplica, urmărind în paralel adoptarea finală a Omnibus.
De reținut și practicile interzise (Articolul 5), aplicabile de la 2 februarie 2025: printre acestea, scoringul social (social scoring) — evaluarea persoanelor pe baza comportamentului social, cu tratament defavorabil nejustificat sau disproporționat. Pentru instituții financiare, granița dintre un scoring de credit legitim (high-risk, dar permis cu condiții) și o formă interzisă de scoring social trebuie analizată juridic cu atenție. Nerespectarea practicilor interzise poate atrage sancțiuni de până la 35 de milioane EUR sau 7% din cifra de afaceri anuală globală (Articolul 99).
GDPR (Regulamentul UE 2016/679), Articolul 22: decizii automatizate și intervenția umană
Chiar dacă un sistem respectă AI Act, rămâne aplicabil GDPR. Articolul 22 stabilește că persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată (inclusiv profilare) care produce efecte juridice sau o afectează în mod similar semnificativ. Refuzul unui credit prin scoring automat intră tipic în această categorie.
Există excepții (decizie necesară pentru încheierea/executarea unui contract, autorizată de dreptul UE/național, sau bazată pe consimțământul explicit), dar chiar și atunci operatorul trebuie să implementeze garanții adecvate: cel puțin dreptul la intervenție umană, dreptul de a-și exprima punctul de vedere și de a contesta decizia. Concret, orice flux de creditare automatizat are nevoie de un mecanism real prin care clientul poate cere reexaminarea de către o persoană.
DORA (Regulamentul UE 2022/2554): reziliența operațională digitală
Regulamentul (UE) 2022/2554 (DORA) se aplică direct, ca regulament, din 17 ianuarie 2025, fără transpunere națională. Vizează reziliența operațională digitală a sectorului financiar (bănci, firme de investiții, asigurători, instituții de plată, furnizori de servicii cripto și altele) și impune: cadru de management al riscului ICT, raportarea incidentelor majore legate de ICT, testarea rezilienței și — element esențial pentru AI — gestionarea riscului aferent terților ICT.
Relevanța pentru AI este directă: multe soluții AI rulează pe infrastructură cloud sau provin de la furnizori terți. DORA cere maparea acestor dependențe, clauze contractuale adecvate și planuri pentru scenarii de eșec al furnizorului. Cu alte cuvinte, adoptarea AI trebuie coordonată cu funcția care gestionează conformitatea DORA.
Autoritățile române: BNR și ASF
Supravegherea nu se face „de la Bruxelles", ci prin autoritățile naționale. În România:
- Banca Națională a României (BNR) autorizează, reglementează și supraveghează prudențial instituțiile de credit (băncile), monitorizează sistemele de plăți și asigură stabilitatea financiară. IFN-urile înscrise în Registrul General și Registrul Special sunt, de asemenea, supravegheate de BNR.
- Autoritatea de Supraveghere Financiară (ASF) reglementează și supraveghează piețele de capital (fonduri, instrumente financiare), piața asigurărilor (asigurători și intermediari) și pensiile private.
Prin urmare, o bancă își raportează inițiativele AI relevante în relația cu BNR, iar un asigurător sau un jucător de piață de capital, cu ASF. Nu presupune competențe pe care aceste autorități nu le au — verifică întotdeauna comunicările lor oficiale pentru orientări specifice AI.
Riscuri specifice serviciilor financiare
Bias în creditare și discriminare
Un model antrenat pe date istorice poate perpetua sau amplifica discriminarea. În creditare, unde deciziile afectează direct persoane, riscul de bias nu este doar reputațional, ci juridic. Sunt necesare testarea sistematică a echității, monitorizarea rezultatelor pe grupuri și guvernanța datelor cerută explicit pentru sistemele high-risk.
Explicabilitate și „dreptul la explicație"
Un scor de credit trebuie să poată fi explicat. Modelele opace („black box") intră în tensiune atât cu așteptarea de transparență din AI Act, cât și cu dreptul persoanei de a contesta o decizie automatizată (GDPR art. 22). Alege arhitecturi și instrumente care permit explicarea factorilor care au dus la decizie.
Halucinații în asistenții conversaționali
Un chatbot care „inventează" o condiție de dobândă sau o clauză poate genera reclamații, prejudicii și expunere legală. Mitigarea presupune surse controlate, verificare a răspunsurilor sensibile și limite clare privind ce poate și ce nu poate comunica asistentul fără intervenție umană.
Securitatea datelor
Datele financiare sunt printre cele mai sensibile. Utilizarea lor în antrenarea sau operarea modelelor ridică riscuri de scurgere, de reidentificare și de utilizare neconformă cu scopul declarat. Principiile de minimizare și limitare a scopului din GDPR rămân obligatorii.
Dependența de terți
Concentrarea pe puțini furnizori de cloud sau de modele creează risc sistemic la nivelul instituției — exact riscul pe care DORA îl adresează. O strategie AI matură include planuri de continuitate și opțiuni de reversibilitate.
Cum implementezi AI responsabil în instituția ta
- Om-în-buclă (human-in-the-loop). Pentru orice decizie cu efect asupra clientului — mai ales creditare — păstrează un punct de control uman real, nu formal. Este cerință de conformitate (AI Act pentru high-risk, GDPR art. 22) și bună practică de risc.
- Guvernanță și inventar AI. Creează un registru al sistemelor AI, clasificate pe nivel de risc, cu responsabili, date folosite, furnizori și controale. Fără inventar nu există conformitate demonstrabilă.
- Pilot înainte de scalare. Începe în zone cu risc reglementar scăzut (back-office, suport intern), măsoară rezultate reale și abia apoi extinde spre decizii sensibile.
- Măsurare și monitorizare continuă. Definește indicatori de performanță și de echitate, monitorizează derapajul modelelor (model drift) și documentează. Monitorizarea post-comercializare este obligație pentru high-risk.
- Aliniere cu DORA și cu funcția de risc ICT. Integrează furnizorii AI în managementul riscului aferent terților.
- Consultare juridică din faza de proiectare. „Compliance by design" costă mult mai puțin decât remedierea ulterioară.
De ce contează formarea echipelor (AI literacy — Articolul 4)
Un aspect adesea subestimat: Articolul 4 din EU AI Act impune furnizorilor și utilizatorilor (deployers) de sisteme AI să asigure un nivel suficient de „AI literacy" (alfabetizare în domeniul AI) pentru personalul propriu și pentru alte persoane care operează aceste sisteme în numele lor, ținând cont de cunoștințe, experiență și context. Această obligație se aplică de la 2 februarie 2025 și, spre deosebire de regulile pentru high-risk, este transversală — se aplică indiferent de nivelul de risc al sistemului.
Pentru o bancă sau un fintech, aceasta înseamnă că echipele de risc, conformitate, creditare, suport și IT trebuie să înțeleagă concret ce fac sistemele AI, ce limite au și cum le supraveghează corect. Formarea nu mai este „nice to have", ci o cerință legală explicită — și, în practică, factorul care face diferența între o adopție reușită și una riscantă.
Cum te ajută Cursuri AI
La Cursuri AI construim programe de formare pentru echipe din industrii reglementate, inclusiv servicii financiare. Pentru instituții, planurile pentru organizații (pagina /pentru-companii) permit înrolarea coordonată a echipelor, cu parcursuri adaptate rolurilor — de la risc și conformitate la operațiuni și securitate. Abordarea noastră este practică și aliniată la cadrul european, exact ce cere Articolul 4 privind AI literacy.
Câteva cursuri relevante pentru contextul financiar:
- AI în finanțe și contabilitate — pentru echipele care lucrează cu date financiare și procese de back-office.
- AI în securitate cibernetică și SOC — relevant pentru reziliența operațională și cerințele de tip DORA.
- AI pentru lideri de business — pentru decidenți care trebuie să înțeleagă guvernanța și riscul AI la nivel strategic.
Formarea coordonată a echipei nu doar reduce riscul de neconformitate — accelerează adopția AI acolo unde chiar aduce valoare.
Întrebări frecvente
Este scoringul de credit cu AI interzis în Uniunea Europeană? Nu este interzis, dar este clasificat drept sistem „high-risk" în EU AI Act (Anexa III, punctul 5, litera b) atunci când evaluează bonitatea persoanelor fizice. Aceasta atrage obligații stricte: guvernanța datelor, documentație, supraveghere umană și monitorizare. Sistemele folosite exclusiv pentru detectarea fraudei financiare sunt exceptate de la această încadrare.
Când intră în vigoare obligațiile pentru sistemele AI high-risk din sectorul financiar? Termenul inițial era 2 august 2026. Prin pachetul „Digital Omnibus" (acord politic provizoriu din 7 mai 2026) s-a convenit amânarea pentru sistemele stand-alone din Anexa III la 2 decembrie 2027, însă efectul juridic depinde de adoptarea formală și publicarea în Jurnalul Oficial. Recomandarea prudentă este să te pregătești ca și cum termenul mai apropiat s-ar aplica.
Ce cere GDPR pentru refuzul automat al unui credit? Articolul 22 GDPR dă persoanei dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrare automată cu efect semnificativ. Chiar și în excepțiile permise (contract, lege, consimțământ), instituția trebuie să asigure garanții: dreptul la intervenție umană, la exprimarea punctului de vedere și la contestarea deciziei.
Ce este DORA și de ce contează pentru proiectele AI? DORA (Regulamentul UE 2022/2554) se aplică din 17 ianuarie 2025 și vizează reziliența operațională digitală a sectorului financiar. Contează pentru AI mai ales prin cerințele de gestionare a riscului aferent terților ICT — furnizori cloud și de modele — și prin raportarea incidentelor și testarea rezilienței.
Cine supraveghează în România băncile și fintech-urile care folosesc AI? BNR autorizează și supraveghează prudențial instituțiile de credit și o parte dintre IFN-uri, iar ASF supraveghează piețele de capital, asigurările și pensiile private. Aplicarea EU AI Act se face prin autoritățile naționale competente; verifică întotdeauna comunicările oficiale ale acestora.
Este obligatorie formarea angajaților pe AI? Da. Articolul 4 din EU AI Act, aplicabil din 2 februarie 2025, cere furnizorilor și utilizatorilor de sisteme AI să asigure un nivel suficient de „AI literacy" pentru personalul care operează aceste sisteme. Obligația este transversală, indiferent de nivelul de risc.
Surse
- Regulamentul (UE) 2024/1689 (EU AI Act) — Anexa III (sisteme high-risk): artificialintelligenceact.eu/annex/3
- EU AI Act — Articolul 4 (AI literacy): artificialintelligenceact.eu/article/4
- EU AI Act — Articolul 5 (practici interzise): artificialintelligenceact.eu/article/5
- Digital Omnibus — amânarea obligațiilor high-risk (analiză): White & Case
- Regulamentul (UE) 2016/679 (GDPR) — Articolul 22: gdpr-info.eu/art-22-gdpr
- Regulamentul (UE) 2022/2554 (DORA): EUR-Lex
- Banca Națională a României — Registrele BNR: bnr.ro
- Autoritatea de Supraveghere Financiară — registre: asfromania.ro