Az MNB első ízben végzett el a bankoknál, biztosítóknál alkalmazott mesterséges intelligencia és gépi tanulás informatikai, személyiségi jogi és egyéb kockázatokat áttekintő vizsgálatot. Az MI és GT technológiát mára a számlanyitástól a marketingen át a kampánymenedzsmentig több területen is alkalmazzák a pénzintézetek. A felügyelet vizsgálata jogsértéseket nem, de kezelendő kockázatokat feltárt.
A Magyar Nemzeti Bank (MNB) informatikai témavizsgálatot folytatott le több pénzügyi intézménynél az általuk alkalmazott gépi tanulást és mesterséges intelligenciát használó informatikai megoldások IT-biztonsági ellenőrzésére. A vizsgálat három bankra és három biztosítóra terjedt ki.
A felügyelet szakemberei átvilágították a gépi tanulás és mesterséges intelligencia (GT-MI) alkalmazások szabályozottsági, ellenőrzési folyamatait, valamint a kontrollrendszerek hatékonyságát, az ezzel kapcsolatos szervezeti működést, a fejlesztési és üzembeállítási feladatokat, az IT architektúrát, az üzemeltetést, a logikai- és adatbiztonságot, illetve a jogosultságok kezelését. A hazai pénzügyi intézmények ma elsősorban az ügyfélazonosítás, számlanyitás, marketing, valamint az ügyfélkapcsolat-kezelés (CRM) és kampánymenedzsment folyamataikban alkalmaznak GT-MI megoldást.
Mivel a GT-MI rendkívül friss kezdeményezés, még érthető módon az ezekre vonatkozó szabályozási keretrendszer is formálódóban van. Speciális külön szabályozás hiányában a témavizsgálat a pénzügyi intézmények, biztosítók, befektetési vállalkozások és árutőzsdei szolgáltatók IT-rendszerének védelméről szóló rendelet, illetve az MNB-nek az IT-rendszer védelméről szóló ajánlása alapján zajlott. Az MNB külön munkacsoportot hozott létre ennek az új, egyedi vizsgálati módszertan kidolgozására és alkalmazására.
A GT-MI IT-biztonsági kérdései mellett az MNB olyan specifikus kockázatokat is áttekintett, hogy az érintett bankok, biztosítók által alkalmazott megoldás hogyan illeszkedik az intézmény stratégiájába, illetve, hogy a folyamatokkal kapcsolatos döntéseket kellő szakértelem bevonásával, specifikus kockázatelemzéssel hozzák-e meg. A vizsgálat kiterjedt arra is, hogy a pénzügyi intézmények megfelelően kezelték-e az ügyfelek személyiségi jogait, a személyes, a különleges (akár biometrikus) adatokat.
Az MNB megvizsgálta, hogy az intézmények gondoskodtak-e az összekapcsolt adatok védelméről, számoltak-e a modellből történő visszafejtés lehetőségére. Vizsgálati témának számított, hogy automatizált döntéshozatal esetén az intézmény alkalmazott-e minőségi kontrollt és hiba esetén felülvizsgálta-e a döntéseket. Felmérte-e a gyártói támogatás megszűnése esetén alkalmazandó eljárásokat, különös tekintettel a rendszeresen újratanítandó modelleknél.
Fontos szempont volt, hogy a vizsgált bankok, biztosítók kitértek-e a GT-MI tanítása során az „adatmérgezés” (adatbázisokban szereplő hibás modellek, információk) felismerésére, vagy a széles körben választott mintákkal történő tanításra a diszkrimináció kivédése érdekében. Az alkalmazott technológia jellemzőire vonatkozó tesztelések megtörténte mellett az MNB azt is vizsgálta, hogy az algoritmusok alkalmasak-e egyes döntések felidézésére szükség esetén.
Az MNB témavizsgálata nem tárt fel a jelenlegi jogszabályokat sértő kockázatokat, hiányosságokat. A felügyelet ugyanakkor több olyan javaslatot is megfogalmazott, amely kezelendő problémákra vonatkozik. Ezek főként a kockázatelemzés, szabályozottság, tesztelések hiányából/nem teljeskörű voltából fakadtak.
