A Magyar Nemzeti Bank közzétette a régen várt, a 4/2021. (III. 30.) MNB ajánlás helyébe lépő 13/2025. (XII.3.) számú ajánlását a hitelintézetek digitális transzformációjáról (az „Ajánlás”). Az új Ajánlás célja többek között a hitelintézetek felelős mesterséges intelligencia (MI) használatának elősegítése és a biztonságos MI-rendszerek bankszektorban történő elterjedésének ösztönzése – ebben a cikkben ezeket a rendelkezéseket mutatjuk be.
Az MNB az Ajánlás szerinti MI alstratégia kidolgozását és annak MNB részére való megküldését első alkalommal 2026. június 30-ig várja el az érintett hitelintézetektől. Minden egyéb rendelkezés 2026. április 1-től alkalmazandó.
Az Ajánlás mindenekelőtt rögzíti, hogy a hitelintézet digitális transzformációs stratégiájának részeként „MI alstratégiát” kell elfogadjon, ami meghatározza az MI biztonságos és felelős alkalmazására vonatkozó célkitűzéseket és azok mérföldköveit. Az MI alstratégiában, valamint az egyéb hitelintézeti dokumentumokban megjelenítendő intézkedésekkel kapcsolatos MNB elvárásokat és jó gyakorlatokat az Ajánlás XIV. fejezete (Az MI biztonságos és felelős alkalmazása) tartalmazza, hét pontban.
A legfontosabb részfeladatok az alábbiak:
1. A szervezetirányítás MI-szempontú fejlesztése
A szervezetirányítás MI-szempontú fejlesztésének keretében a hitelintézet ki kell alakítsa az MI-re vonatkozó belső kereteket, folyamatokat és eljárásokat. Ennek része a jól elhatárolt, átlátható és egyértelmű felelősségi köröket előíró szervezeti felépítés, valamint a kapcsolódó folyamatok és ellenőrzési mechanizmusok. Az MI-rendszer teljes életciklusát lefedő – legalább évente értékelt és felülvizsgált – belső szabályzatok ki kell terjedjenek különösen az MI-rendszerek kutatására, tervezésére, hatásvizsgálatára, fejlesztésére, tanítására, dokumentálására, validálására, harmadik féltől történő beszerzésére, bevezetésére, használatára, működtetésére, felülvizsgálatára, értékelésére, monitoringjára és ellenőrzésére, karbantartására, hibakezelésére, kivezetésére, valamint a kapcsolódó folyamatokra és döntéshozatalra, valamint a fenti folyamatokban részt vevő szakterületek és szervezeti egységek feladataira és felelősségére. A hitelintézetnek törekednie kell az átláthatóság, a biztonság, a megmagyarázhatóság, a tisztességesség, a megkülönböztetés tilalma, a méltányosság és az elszámoltathatóság alapelveinek érvényre juttatására. Az MI alstratégia megvalósítása érdekében kellő felhatalmazással és feladatkörrel, valamint MI-jártassággal rendelkező vezetőt kell kijelölni.
Jó gyakorlatok:
- Az MI-rendszerekkel kapcsolatos feladatokat szoros koordináció mellett kell megvalósítani, az összes érintett szakterület bevonásával, a fent említett vezető irányításával.
- Az MI-vel kapcsolatos technológiák és megoldások fejlődésének nyomkövetése, az MI bevezetési lehetőségek elemzése, valamint a már automatizált saját belső folyamatok hatékonyságának és üzleti igényeknek való megfelelőségének felülvizsgálata.
- Az MI-vel kapcsolatos jogalkotási-szabályozási folyamatok nyomonkövetése, és megfelelési felkészülési stratégia készítése.
- Az MI-rendszerekre vonatkozó intézményi etikai kódex létrehozása.
2. Az adatkormányzás („data governance”) és az adatvagyon-kezelés MI-szempontú fejlesztése
Az EU AI Act alapján nagy kockázatúnak minősülő, illetve a hitelintézet saját kockázatértékelése alapján magas kockázatúként besorolt MI-rendszerek esetében csoportszintű adatkormányzási rendszert kell kialakítani. Ez a rendszer – az alkalmazott MI-rendszer saját fejlesztésű vagy harmadik fél szolgáltató által biztosított jellegéhez igazodóan – meghatározza az MI-rendszerek fejlesztéséhez és alkalmazásához, működtetéséhez szükséges adatok beszerzésére, forrására, gyűjtésére, előkészítésére, tisztítására, címkézésére, ellenőrzésére, pótlására, kezelésére, tárolására, hozzáférésére, törlésére, megsemmisítésére, és e folyamatok dokumentálására vonatkozó belső szabályokat, követelményeket és eljárásokat.
Saját fejlesztésű MI-rendszer esetén biztosítani kell a tanító-, validálási-, és tesztadatok megfelelő, jó minőségét, ellenőrzését és alkalmasságát. Az adatokkal kapcsolatos elvárások: (i) pontosság, hiba-, részrehajlás-, és diszkriminációmentesség; (ii) reprezentatív kör – az MI-rendszer funkciójára tekintettel, a kockázatarányosság elvét figyelembe véve; (iii) releváns jelleg – a szándékolt alkalmazási körre figyelemmel, valamint (iv) koherencia és megfelelő struktúra.
Saját fejlesztésű MI-rendszer esetén a feldolgozatlan, nyers adatokon végzett előkészítési, szűrési, tisztítási, adatpótlási és egyéb hasonló, a megfelelő adatminőség érdekében elvégzett műveleteket teljeskörűen dokumentálni kell – ez biztosítja az MI-rendszer alapjául szolgáló modell tanításához felhasznált tanítóadatok előállítása során sorra kerülő műveletek megismerhetőségét.
Szintetikus – mesterségesen előállított, az előállítási eljárás alapjául szolgáló eredeti adatok statisztikai jellemzőit és struktúráját megfelelően reprezentáló – adatokat csak azok minőségének, szándékolt célra történő alkalmasságának és – az adatok előállítási eljárása vizsgálatát is ideértve – megfelelőségének teljeskörű vizsgálatát és az adatok validációját követően lehet alkalmazni.
Külső forrásból származó adatok MI-rendszerben történő – különösen valós idejű – felhasználása esetén az adatok elérésének, szűrésének, felhasználásának kereteit meghatározó szabályokat és eljárásokat kell bevezetni.
Jó gyakorlatok:
- A nagy kockázatú MI-rendszerekre vonatkozó követelményeknek a nagy kockázatúnak nem minősülő MI-rendszerek esetén történő érvényesítése.
- Saját fejlesztésű MI-rendszer esetén: (i) a felhasznált adatok megfelelőségének rendszeres felülvizsgálata; (ii) a nyers adatok – az adatvédelmi szabályok által lehetővé tett keretek között – a feldolgozott adatoktól függetlenül elérhetősége és előhívhatósága; és (iii) felügyelt tanulási módszer alkalmazása esetén a tanítóadatok címkézése során a több címkéző általi megerősítés biztosítása, és a kapcsolódó dokumentációban a konszenzus-arányok és a statisztikai megfelelőség biztosításásnak bemutatása.
3. Ml-rendszerek fejlesztése és beszerzése
Az előző két pontban említett intézkedésekhez képest az Ml-rendszerek fejlesztésével és beszerzésével kapcsolatos intézkedéseket már nem csak az MI alstratégiában, hanem az annak végrehajtására kialakított belső szabályzatokban is meg kell jeleníteni.
Saját fejlesztésű MI-rendszer fejlesztése esetén (i) megfelelő technikákat kell alkalmazni az MI-modellek alulillesztésének és túlillesztésének elkerülésére; (ii) meg kell teremteni a katasztrofális felejtés elleni védelmet; és (iii) biztosítani kell az MI-rendszer eredményeinek, kimeneteinek megismételhetőségét, reprodukálhatóságát – az MI-rendszer és az alapjául szolgáló MI-modell technológiai sajátosságaihoz igazodóan, legalább azok lényeges tartalmában. Ez utóbbi követelményt harmadik féltől beszerzett MI-rendszer, MI-modell tekintetében is érvényesíteni kell. A saját fejlesztésű MI-modellek és MI-rendszerek tervezését, fejlesztését, tanítását, validálását, tesztelését és felülvizsgálatát teljeskörű, világos és átlátható módon dokumentálni kell. Nagy kockázatú MI-rendszerek valamennyi életszakasza tekintetében biztosítani kell az emberi felügyeletet és az emberi beavatkozás lehetőségét.
Harmadik féltől beszerzett MI-rendszer és MI-modell beszerzése esetén a bevezetésig információt kell szerezni arra vonatkozóan, hogy a harmadik fél az MBN MI-rendszerek fejlesztése és beszerzése tekintetében meghatározott követelményeit milyen módon biztosítja.
Végül, valamely MI-rendszer működési zavara vagy nem szándékolt működése esetére megfelelő műszaki-technikai megoldásokat, eljárásokat és intézkedéseket kell kialakítani – az érintett szolgáltatás rendeltetésszerű működésének helyreállítására és az érintett időszakban az MI-rendszer közreműködésével meghozott döntések felülvizsgálatára.
Jó gyakorlatok:
- Saját fejlesztésű MI-rendszer esetén annak meghatározása, hogy milyen időszakonként, és mely események vagy feltételek bekövetkezése esetén szükséges az alkalmazott MI-modell felülvizsgálata, frissítése vagy újratanítása.
- Az MI-rendszerek alapelvi megfelelőségének ellenőrzése és értékelése a potenciálisan elfogult vagy diszkriminatív döntések kiszűrésére alkalmas etikai tesztekkel.
- Olyan műszaki-technikai megoldások és eszközök („guardrail”) alkalmazása, amelyek biztosítják az MI-rendszer bemenetének és kimenetének ellenőrzése, szűrése, módosítása útján, hogy az MI-rendszer a hitelintézet által elvárt technikai, etikai és jogi keretek között működjön.
- Az emberi felügyelet és az emberi beavatkozás lehetőségének nem csak a nagy kockázatú MI-rendszerek tekintetében történő biztosítása.
- Olyan belső kompetenciák és eljárások kialakítása, illetve technikai eszközök alkalmazása, amelyek segítségével a hitelintézet képes a nem saját fejlesztésű, harmadik féltől beszerzett MI-rendszerei műszaki-technikai, etikai és jogi megfelelőségének értékelésére.
- Saját fejlesztésű és harmadik féltől beszerzett MI-rendszerek független szolgáltató általi auditálása, tanúsítása.
- Az MI-rendszerek teljesítményének, valamint az elvárt üzleti-, és ügyféligényeknek való megfelelőségének folyamatos értékelése, a tapasztalatok és fejlesztési igények dokumentálása, valamint azoknak az IT beruházások során való figyelembevétele.
4. A kockázatkezelés MI-szempontú fejlesztése
A kockázatkezelés MI-szempontú fejlesztése során az MNB által előírt intézkedéseket már nem csak az MI alstratégiában, hanem a szervezet kockázatértékelési alapdokumentumaiban is meg kell jeleníteni.
A hitelintézetnek az MI-rendszerekre vonatkozó saját kockázati profil alapján meg kell határoznia az elfogadható kockázati szintet, valamint teljeskörűen dokumentált, rendszeresen felülvizsgált kockázatkezelési rendszert és eljárásokat kell működtetnie. Fel kell mérni és nyomon kell követni az MI-rendszerek ismert és a technológia mindenkori állásához képest előrelátható kockázatait, figyelembe véve a nem rendeltetésszerű használat lehetséges eseteit is. A fő szempontok: adatvédelem, megfelelőség, jogi kockázatok, felelősség, reputáció, pénzügyi kockázatok, alapvető jogok és etikai elvek, ügyféloldali kockázatok, modellkockázatok, operációs kockázatok, harmadik feles szolgáltatói kockázatok és a generatív MI-rendszerek által hordozott kockázatok. A kockázati besorolást legalább évente felül kell vizsgálni. Jó gyakorlat, ha az MI-rendszereket a teljeskörű általános bevezetést megelőzően szakaszosan, a bevezetési tapasztalatok és a kapcsolódó üzleti igények teljesülésének folyamatos visszamérése és értékelése mellett vezetik be.
5. Az informatikai biztonság MI-specifikus fejlesztése
Az informatikai biztonság MI-specifikus fejlesztése során megfelelő műszaki-technikai megoldások és védelmi intézkedések biztosításával kell gondoskodni az alkalmazott MI-rendszerek tekintetében arról, hogy (i) a tanítóadatokat jogosulatlanul ne lehessen manipulálni vagy kinyerni; (ii) a tanuló algoritmusok, struktúrák, paramétereket, nem nyilvános bemeneteket vagy rendszerpromptokat jogosulatlanul ne lehessen kinyerni, rekonstruálni vagy manipulálni; és (iii) a felhasználók és ügyfelek által küldött bemeneti adatokat ellenőrizzék és szűrjék annak érdekében, hogy azokat ne manipulálják és ne eredményezhessenek a szándékolttól eltérő kimenetet.
Ezen túlmenően, külső forrásból származó tanítóadatok használata esetén megfelelő műszaki megoldásokat és folyamatokat kell kialakítani a jogosulatlan adatmanipuláció felismerésére és kiszűrésére. Monitoring megoldást kell kialakítani és működtetni az MI-rendszerek ellen irányuló támadások felismerésére és elhárítására, a harmadik féltől beszerzett MI-rendszer vagy MI-modell esetén a bevezetésig pedig be kell szerezni arra vonatkozó információkat, hogy a harmadik fél az informatikai biztonsággal kapcsolatos specifikus MNB ajánlásokban foglaltakat milyen műszaki-technikai megoldásokkal és védelmi intézkedésekkel biztosítja.
Jó gyakorlat: ha az alkalmazott MI-modellek maguk is rendelkeznek olyan képességekkel, amelyek (i) biztosítják a manipulációk és támadások felismerését és elhárítását, modellszintű kezelését, és az is, (ii) ha a hitelintézet olyan technikai megoldásokat alkalmaz, amelyek az MI-rendszer bemenete előszűrésével, a nem rendeltetésszerű bemenetek kiszűrésével a védelmi funkció ellátása mellett alkalmasak az alkalmazott MI-rendszer terheltségének csökkentésére, így energiafelhasználásának optimalizálására, ezáltal környezeti hatásának csökkentésére.
6. A szervezeti MI-szakértelem fejlesztése
A szervezeti MI-szakértelem fejlesztése biztosítása érdekében munkavállalók digitális kompetenciáival kapcsolatos felmérés keretében el kell végezni a munkavállalók MI-jártasságának felmérését is. A munkavállalók megfelelő szintű MI-jártassággal kell, hogy rendelkezzenek: a gyakorlatban ez olyan készségeket és ismereteket jelent, amelyek lehetővé teszik az MI-rendszerek felelős és biztonságos fejlesztését, működtetését és alkalmazását – ideértve különösen általánosságban az MI és konkrétan a hitelintézet által alkalmazott MI-rendszerek lehetőségeinek, működési logikájának és mechanizmusának, kimenetei értelmezésének, etikus használatának, kockázatainak, és az azok által potenciálisan okozott károknak az ismeretét. A fenti célból rendszeresen biztosítani kell az MI-vel kapcsolatos releváns, munkakörhöz és a hitelintézet által alkalmazott MI-rendszerekhez igazodó, folyamatosan aktualizált és naprakész tananyagon alapuló elméleti és gyakorlati kurzusokat, továbbképzéseket, gyakorlati szoftverhasználati képzéseket, tapasztalati tanulási lehetőségeket és belső tudásátadási fórumokat, valamennyi munkavállaló számára.
Jó gyakorlatok:
- Világos belső szabályok érvényesítése a harmadik fél által szolgáltatott MI-rendszerek, e körben különösen a generatív MI-rendszerek belső munkafolyamatok során történő alkalmazásának kockázataira, kereteire és korlátaira. Vitás felhasználási esetekben megfelelő szakértelemmel és felhatalmazással rendelkező személy döntsön az alkalmazás eseti megengedhetőségéről.
- Az MI-vel kapcsolatos folyamatok és döntéshozatal vagy az MI-rendszerek működtetése és üzemeltetése szempontjából kulcspozícióban lévő munkavállalók, valamint az ügyfelekkel az MI-rendszerekkel összefüggésben ügyintézői minőségben kapcsolatba kerülő munkavállalók MI-jártasságának időszakos értékelése, vizsgákkal.
- A belső MI-szakértelem és az MI-kompetenciák állandó meglététét és folytonosságát biztosító humánerőforrás-politika, így különösen annak vizsgálata, hogy milyen eszközök alkalmazásával lehet a megfelelő MI-kompetenciákkal rendelkező potenciális új munkaerőt bevonzani.
7. Az MI-vel kapcsolatos kommunikáció fejlesztése
Az MI-vel kapcsolatos kommunikáció fejlesztése érdekében az MI-rendszerek működésével kapcsolatos hibák, hiányosságok és etikai vétségek bejelentésére a hitelintézet belső bejelentőrendszert kell működtessen. Ezzel összefüggésben, az ügyfeleket tájékoztatni kell az őket érintő hibák, hiányosságok és etikai vétségek hatásáról és azok elhárításáról. Ezen túlmenően, az ügyfelek számára külön tájékoztatást kell biztosítani a következő esetek tekintetében: (i) az egyes, MI-rendszerrel támogatott termékek, szolgáltatások, ügyfelet érintő folyamatok; (ii) az ügyfél által megtekintett vagy érzékelt, MI-rendszer által létrehozott tartalmak; és (iii) ha az ügyfél MI-rendszerrel lép közvetlen interakcióba. A fentiek mellett kiemelt, megfelelő kompetenciákkal és MI-jártassággal rendelkező csatornát kell működtetni az MI-rendszereket érintő ügyfélkapcsolattartásra. Ennek keretében biztosítani kell, hogy az ügyfelek (i) tájékoztatást kérhessenek arról, hogy egy termék, szolgáltatás vagy ügyfelet érintő hitelintézeti folyamat MI-rendszer által támogatott-e, és vannak-e emberi közreműködést és ügyintézést biztosító alternatívák; (ii) kezdeményezhessék az őket közvetlenül érintő, MI-rendszer részvételével meghozott döntések felülvizsgálatát; és (iii) kezdeményezhessék az MI-rendszerekkel kapcsolatos hibák és hiányosságok észszerű határidőn belül történő kivizsgálását.
Jó gyakorlatok:
- Stratégia kidolgozása az MI-vel kapcsolatos kommunikációra.
- Az MI banki alkalmazásával, az MI-rendszerekkel történő hatékony kommunikációval, valamint az MI-vel kapcsolatos biztonságtudatosság fejlesztésével kapcsolatos ismeretterjesztő-edukációs tartalmak megjelenítése digitális csatornákon és közösségi oldalakon, a különböző korosztályok és célcsoportok számára releváns módon.
- Generatív MI-rendszert alkalmazó kommunikációs csatornák esetén a rendszeres ügyfél-visszajelzés lehetőségének biztosítása az MI-rendszer által generált válaszok minőségével és pontosságával kapcsolatban.