AI Act, RODO, KNF i AML w pośrednictwie finansowym - checklista wdrożenia agenta AI zgodnie z prawem w 2026 roku

Spotkanie przedwdrożeniowe. Właściciel biura pośrednictwa kredytowego, jego prawnik i przedstawiciel Chronofy przy jednym stole. Prawnik ma listę pytań: Czy AI podejmuje decyzje kredytowe? Czy to system wysokiego ryzyka według AI Act? Co z RODO Art. 22? Co z KNF? Co z AML?

Właściciel patrzy na zegarek. Chciał mieć wdrożenie za miesiąc. Zaczyna myśleć, że za rok będzie szybciej.

To jest dokładnie ten moment, w którym strach przed regulacjami kosztuje więcej niż same regulacje. Bo pytania prawnika są zasadne - ale odpowiedzi na nie są konkretne, wykonalne i nie wymagają zatrudnienia dodatkowego działu prawnego. Wymagają wiedzy i odpowiedniego dostawcy.

Ten artykuł zamyka naszą serię o AI w pośrednictwie finansowym - Pośrednik kredytowy spędza 90 minut na wstępnej kwalifikacji klienta. Agent AI robi to samo w 8 minut - i przekazuje gotowy brief., Multiagencja traci wznowienia OC nie przez złą ofertę. Przez brak SMS-a 30 dni przed terminem polisy., Klient składa wniosek o pożyczkę online. Oczekuje decyzji w 5 minut. Twój zespół przetwarza go 2 godziny - ręcznie. i Klient czeka 7 dni na operat szacunkowy. Połowę tego czasu rzeczoznawca spędza na wyszukiwaniu danych z publicznych rejestrów.. Tu zbieramy regulacje w jedną, praktyczną checklistę - i wyjaśniamy, które z tych przepisów naprawdę dotyczą małego i średniego biura pośrednictwa finansowego.

Mapa regulacji - co dotyczy kogo i od kiedy

Zanim przejdziemy do checklist, warto ustalić, które przepisy mają realne znaczenie dla biura pośrednictwa finansowego w Polsce w 2026 roku. Nie wszystkie nagłówki prasowe przekładają się na obowiązki małej multiagencji.

AI Act - rozporządzenie unijne, stosuje się bezpośrednio, bez implementacji krajowej: Od 2 lutego 2025: zakazy systemów AI niedopuszczalnego ryzyka (manipulacja, social scoring, biometria masowa) - żaden z tych przypadków nie dotyczy typowego biura finansowego. Od 2 sierpnia 2025: obowiązki dla dostawców modeli GPAI (GPT, Claude, Gemini) - dotyczy dostawców, nie użytkowników końcowych. Od 2 sierpnia 2026: pełne wymagania dla systemów wysokiego ryzyka, w tym scoring kredytowy i ocena zdolności finansowej osób fizycznych, oraz obowiązek transparencji dla systemów ograniczonego ryzyka (chatboty, voiceboty).

RODO - obowiązuje od 2018 roku, bez zmian, ale AI dodaje nowe konteksty do stosowania Art. 22 (zautomatyzowane decyzje) i Art. 35 (DPIA).

Ustawa AML - obowiązuje instytucje pożyczkowe i pośredników kredytowych. Nakłada obowiązki KYC, screeningu i dokumentacji. AI nie zmienia obowiązków - zmienia sposób ich realizacji.

Wytyczne KNF - miękkie prawo, ale z twardymi konsekwencjami. KNF oczekuje od podmiotów nadzorowanych zarządzania ryzykiem AI na poziomie zarządu i regularnego raportowania.

Które systemy AI w biurze finansowym są wysokiego ryzyka - a które nie

To jest pytanie, które właściciel biura powinien zadać pierwszemu - bo odpowiedź determinuje całą resztę.

Systemy AI wysokiego ryzyka w pośrednictwie finansowym (pełne wymogi od 2 sierpnia 2026): Automatyczny scoring zdolności kredytowej osób fizycznych - jeśli AI samodzielnie i ostatecznie wyznacza zdolność lub odmawia rekomendacji kredytu dla konkretnej osoby fizycznej. Systemy oceny ryzyka ubezpieczeniowego - jeśli AI decyduje o odmowie ubezpieczenia lub wysokości składki bez możliwości odwołania do człowieka. Systemy biometryczne - identyfikacja twarzy, rozpoznawanie głosu w celu uwierzytelniania (jeśli stosowane w przestrzeni publicznej lub bez wyraźnej zgody).

Systemy AI ograniczonego ryzyka (jeden główny obowiązek: transparencja od 2 sierpnia 2026): Chatboty i voiceboty - obowiązek: klient musi wiedzieć, że rozmawia z AI, nie z człowiekiem. Systemy rekomendacyjne - np. agent AI sugerujący klientowi produkty kredytowe lub ubezpieczeniowe jako materiał do rozważenia przez doradcę.

Systemy AI minimalnego lub zerowego ryzyka (brak dodatkowych wymogów): Automatyzacja dokumentów, generowanie pism, przypomnień, raportów. Automatyzacja wewnętrznych procesów - CRM, kalendarz, workflow. Screening AML i list sankcyjnych - systemy do wykrywania oszustw finansowych są wyraźnie wyłączone z kategorii high-risk przez Annex III AI Act.

W modelu Chronofy: agent AI kwalifikuje wstępnie, zbiera dane i generuje brief - ale nie wydaje ostatecznych decyzji finansowych. To klasyfikuje system jako ograniczone ryzyko przy zachowaniu pełnej wartości automatyzacji dla biura.

RODO w praktyce biura finansowego z AI - 6 konkretnych obowiązków

Obowiązek 1 - Umowa powierzenia przetwarzania danych (Art. 28 RODO). Każdy dostawca oprogramowania AI, który przetwarza dane Twoich klientów, musi mieć z Tobą podpisaną umowę powierzenia. Bez niej działasz poza prawem - niezależnie od jakości produktu. Sprawdź umowy z: CRM, systemem ubezpieczeniowym (Insly, Berg System), platformą pożyczkową, narzędziem AI. Chronofy dostarcza gotową umowę przy każdym wdrożeniu.

Obowiązek 2 - Klauzula informacyjna uwzględniająca AI. Twoja polityka prywatności lub klauzula informacyjna musi zawierać informację o: używaniu systemów AI w procesie obsługi klienta, celach i podstawie prawnej przetwarzania przez AI, prawie klienta do informacji o zautomatyzowanym przetwarzaniu i do ludzkiego przeglądu decyzji.

Obowiązek 3 - Realizacja Art. 22 RODO. Jeśli AI bierze udział w procesach decyzyjnych wobec klientów (scoring, kwalifikacja, odmowa) - klient musi mieć możliwość żądania ludzkiego przeglądu decyzji i wyrażenia swojego stanowiska. Procedura musi być opisana i faktycznie działać. Każde żądanie musi być rozpatrzone przez człowieka w rozsądnym terminie.

Obowiązek 4 - DPIA (ocena skutków dla ochrony danych). Wymagana, gdy przetwarzanie z użyciem AI może generować wysokie ryzyko dla osób fizycznych - np. systematyczne profilowanie klientów na dużą skalę, przetwarzanie danych szczególnych kategorii (zdrowie, dane biometryczne), automatyzacja decyzji dotyczących dostępu do usług finansowych. Przeprowadź DPIA przed uruchomieniem systemu, nie po.

Obowiązek 5 - Retencja i minimalizacja danych. Dane zbierane przez agenta AI podlegają tym samym zasadom RODO co dane zbierane przez człowieka. Określ, jak długo dane klientów są przechowywane w systemie AI, i zadbaj, żeby były usuwane po upływie okresu retencji. Zgodnie z zasadą minimalizacji: zbieraj tylko to, co niezbędne do celu.

Obowiązek 6 - Rejestr czynności przetwarzania. Aktualizacja rejestru o nowe czynności przetwarzania związane z AI: opis procesu, kategorie danych, cele, podstawa prawna, odbiorcy, okres retencji. To dokument wymagany przy kontroli UODO.

Obowiązki AML przy wdrożeniu AI w instytucji pożyczkowej

Jeśli prowadzisz firmę pożyczkową lub pośredniczysz w produktach finansowych podlegających ustawie AML - masz dodatkową warstwę wymagań, niezależnych od AI Act i RODO.

Weryfikacja tożsamości (CDD/KYC): Agent AI może automatyzować zbieranie i weryfikację danych tożsamości klienta. Kluczowe: każda weryfikacja musi być udokumentowana z datą, metodą i wynikiem. Dokumentacja musi być przechowywana przez 5 lat od zakończenia relacji biznesowej.

Screening list sankcyjnych: Obowiązek sprawdzenia klienta wobec list sankcji ONZ, UE i krajowych przed każdą transakcją powyżej progu ustawowego. AI może to robić automatycznie przez API - wynik musi być zarejestrowany. Jeśli klient figuruje na liście - sprawa trafia do MLRO.

PEP (Politically Exposed Persons): Wzmocnione due diligence dla PEP i ich bliskich. AI może flagować potencjalnych PEP na podstawie baz danych - ale Enhanced Due Diligence wymaga interwencji człowieka.

Raportowanie do GIIF: Podejrzane transakcje (STR) muszą być zgłaszane do Generalnego Inspektora Informacji Finansowej. Agent AI może automatycznie generować alerty dla MLRO - ale decyzję o zgłoszeniu podejmuje człowiek.

Dokumentacja: Każdy krok procesu AML musi być archiwizowany. Agent AI Chronofy generuje automatyczne logi każdej weryfikacji z kompletną historią dla potrzeb audytu lub kontroli.

Checklista compliance przed wdrożeniem agenta AI w biurze finansowym - 12 punktów

Przejdź przez tę listę przed uruchomieniem systemu AI w kontakcie z klientem.

1. Sklasyfikuj system AI pod kątem AI Act: minimalny, ograniczony czy wysoki ryzyko. Udokumentuj uzasadnienie.

2. Jeśli chatbot lub voicebot - upewnij się, że klient dostaje informację o rozmowie z AI (powitanie, nota na stronie).

3. Podpisz umowę powierzenia przetwarzania danych z każdym dostawcą AI (Art. 28 RODO).

4. Zaktualizuj klauzulę informacyjną o AI i zautomatyzowane przetwarzanie.

5. Wdróż procedurę realizacji Art. 22 RODO - jak klient może żądać ludzkiego przeglądu decyzji.

6. Przeprowadź DPIA, jeśli wymagana - i udokumentuj wynik.

7. Zaktualizuj rejestr czynności przetwarzania o nowe procesy AI.

8. Dla systemów high-risk AI Act: przygotuj dokumentację techniczną systemu i plan zarządzania ryzykiem przed 2 sierpnia 2026.

9. Jeśli podlegasz AML: udokumentuj procedury KYC realizowane przez AI, screening list sankcyjnych i ścieżkę eskalacji do MLRO.

10. Sprawdź, gdzie fizycznie przechowywane są dane klientów przetwarzane przez AI (preferowane: serwery w UE).

11. Wdróż RBAC (kontrolę dostępu opartą na rolach) - każdy pracownik biura ma dostęp tylko do danych, do których jest uprawniony.

12. Zaplanuj roczny przegląd compliance - regulacje AI Act i KNF będą ewoluować, system musi być aktualizowany.

Jak Chronofy eliminuje ryzyko prawne przy wdrożeniu w sektorze finansowym

Compliance w sektorze finansowym nie jest przeszkodą dla wdrożenia AI - jest kryterium wyboru dostawcy.

Chronofy projektuje każde wdrożenie z myślą o zgodności regulacyjnej jako elemencie bazowym. Konkretnie oznacza to: szyfrowanie TLS 1.3 i AES-256, prywatne endpointy LLM (dane klientów nie trafiają do publicznych modeli), certyfikaty ISO/IEC 27001 i ISO/IEC 27701, SOC 2 Type II. Pełny RBAC i logi audytowe rejestrujące każde działanie systemu. Model AI kwalifikuje i przygotowuje - człowiek decyduje, co eliminuje ryzyko Art. 22 RODO i high-risk AI Act przy standardowych zastosowaniach.

Przy każdym wdrożeniu Chronofy dostarcza: umowę powierzenia RODO gotową do podpisania, klasyfikację systemu AI pod kątem AI Act z uzasadnieniem, wzór zaktualizowanej klauzuli informacyjnej, dokumentację techniczną systemu na potrzeby audytu KNF, oraz procedurę AML opisującą role AI i człowieka w procesie weryfikacji - jeśli dotyczy.

Podsumowanie serii: Branża 2 - Finanse

Ten artykuł zamyka serię o AI w pośrednictwie finansowym. Przez pięć tekstów przeszliśmy przez całą szerokość sektora.

W Polscy pośrednicy finansowi sprzedali 72 mld zł kredytów w 2025 roku. Oto jak AI zmienia ich biura w 2026. pokazaliśmy obraz całości: 72 mld zł kredytów przez pośredników w 2025, cztery podbranże, jeden wspólny problem dostępności.

W Pośrednik kredytowy spędza 90 minut na wstępnej kwalifikacji klienta. Agent AI robi to samo w 8 minut - i przekazuje gotowy brief. rozebraliśmy proces kwalifikacji klienta na etapy - 90 minut do 8 minut.

W Multiagencja traci wznowienia OC nie przez złą ofertę. Przez brak SMS-a 30 dni przed terminem polisy. pokazaliśmy, ile kosztuje brak SMS-a przed wznowieniem OC.

W Klient składa wniosek o pożyczkę online. Oczekuje decyzji w 5 minut. Twój zespół przetwarza go 2 godziny - ręcznie. policzyliśmy, ile godzin analitycy tracą na wnioski, które i tak zostaną odrzucone.

W Klient czeka 7 dni na operat szacunkowy. Połowę tego czasu rzeczoznawca spędza na wyszukiwaniu danych z publicznych rejestrów. pokazaliśmy, że 40% czasu operatu to zbieranie danych z rejestrów, które AI robi w 12 minut.

Napisz: biuro@chronofy.pl lub zadzwoń: +48 792 975 094 (Dastin Adamowski). Pierwsze spotkanie bezpłatne, bez zobowiązań.