Türkiye Finans Katılım Bankası Açık Bankacılık Yönetimi ve Dijital Stratejisti Dilek Taşhanlı, Fintechtime Mayıs sayısı için yazdı “Yapay Zekâ Yasası’nın Finansal Teknolojilerdeki Etkileri”.
Yapay Zeka Yasası, finansal teknolojilere etki edecek önemli düzenlemeler getirmekte ve bu kapsamda sağlık, güvenlik ve temel hakları koruma, şeffaflık ve hesap verilebilirlik gibi konuları ele alarak yapay zekâ sistemlerinin kullanımını sıkı bir şekilde düzenlemektedir. AB dışındaki kuruluşları da kapsayacak olan bu yasa, ciddi para cezaları içermekte ve 2030 yılına kadar büyümesi beklenen fintech pazarında önemli değişiklikler öngörmektedir. Bu yasanın getireceği düzenlemeler, bankacılık sektöründe biyometrik verilerin kullanımından uzaktan kimlik doğrulama süreçlerine, deepfake tespitinden şeffaflık ve hesap verebilirlik standartlarına kadar bir dizi yenilik içermekte ve finansal kuruluşlara önemli uyum yükümlülükleri getirmektedir.
Yapay Zekâ Yasası’nın Finansal Teknolojilerdeki Etkileri
Dünyada artan yapay zekâ geliştirmeleri ile ChatGPT ve Co-Pilot gibi yapay zekâ araçlarının piyasaya sürülmesinden önce 2021 yılında Avrupa Birliği Yapay Zekâ Yasası’na ilişkin ilk teklif yayınlanmıştı. Aralık 2023’teki müzakerelerde AB üyesi ülkeler anılan Kanun’un kabulü konusunda siyasi anlaşmaya varmış; Avrupa Parlamentosu ise, 13 Mart 2024 tarihinde bu Kanun’un kabulü lehinde oy kullanmıştı. Tasarının 2025 yılında kademeli olarak hayata geçmesi beklenirken tüm endüstrileri etkileyen mevzuatın özellikle finansal teknolojiler üzerindeki olası etkileri üzerine çalışmamı paylaşmak istiyorum.
Yönetmelik yaklaşık 459 sayfadan oluşmakta ve birçok farklı konuyu ve hususu kapsamaktadır. Genel olarak, bireylerin sağlık, güvenlik ve temel hakları açısından sınıflandırma sistemi, veri kalitesi, şeffaflık, insan gözetimi ve hesap verilebilirlik gibi geliştirme ve kullanım koşullarını, yapay zekâ tarafından oluşturulan ve değiştirilen görsellerin, seslerin ve videoların açık bir şekilde etiketlenmesi gibi şeffaflık kriterlerini, yüz gibi biyometrik hassas görüntülerin internetten alınıp hedefsiz bir sınıflandırma yapılması, iş ve eğitim alanlarında duygu durumlarına göre sosyal skorlama yapılmasını yasaklarken etik yaklaşım detaylarını içermektedir. Dönüm noktası olan mevzuat, öncelikle veri kalitesi, şeffaflık, insan gözetimi ve hesap verebilirlik ile ilgili kuralların güçlendirilmesine odaklanmaktadır. Ayrıca, sağlık ve eğitimden finans ve enerjiye kadar çeşitli sektörlerdeki temel etik soruları ve uygulama zorluklarını ele almayı amaçlamaktadır. Yasa, yapay zekâ teknolojisinin bir kişinin sağlığı ve güvenliği veya temel hakları için oluşturabileceği risk düzeyini belirleyen ve onu kabul edilemez, yüksek, sınırlı veya minimum olarak sıralayan basit bir sınıflandırma sistemi kullanmaktadır. Yeni kurallar, Birlikteki diğer kuruluşlar için yapay zekâ sistemleri sağlayan veya çıktıları AB içinde kullanılan sistemleri kullanan AB dışındaki kuruluşlar için de geçerli olacaktır. Yasa ile beraber 10 ila 30 milyon Euro veya firmanın küresel yıllık cirosunun yüzde 2 ila 6’sına kadar para cezası bulunmaktadır.
Mevzutta yer alan risk sınıflandırması ve örnekleri aşağıdaki gibidir:
- Kabul Edilemez Risk: Bu kategorideki yapay zekâ kullanımları, toplum üzerinde kabul edilemez derecede zararlı etkilere sahip olabilecek uygulamaları içerir. Örneğin, sosyal skorlama sistemleri bu kategori altında yasaklanabilir. Bunlar, bireylerin davranışlarını ve güvenilirliklerini izleyip değerlendiren ve bu bilgileri kısıtlayıcı veya ayrımcı şekilde kullanan sistemlerdir.
- Yüksek Risk: Yüksek riskli yapay zekâ uygulamaları, insan sağlığı, güvenliği veya temel hakları üzerinde önemli etkilere sahip olabilecek alanlarda yer alır. Örneğin, eğitim veya istihdam gibi kritik alanlarda karar verme süreçlerinde kullanılan AI sistemleri, bu kategoride yer alır. Bu sistemler için şeffaflık, veri kalitesi ve insan denetimi gibi katı düzenlemeler getirilecektir.
- Orta Risk: Bu kategori, kullanıcılar için belirli riskler taşıyan ancak yüksek risk kategorisine girmeyen yapay zekâ uygulamalarını kapsar. Bu tür sistemler, belirli düzenleyici gerekliliklere tabi tutulabilir ancak yüksek riskli uygulamalara göre daha az katıdır.
- Düşük Risk: Genel kullanım için düşük riskli olarak değerlendirilen yapay zekâ uygulamaları, daha az düzenleyici yükümlülük altında olacak. Bu tür uygulamalar, günlük operasyonel işlerde yaygın olarak kullanılır ve genellikle kullanıcılar için minimal risk taşır.
Uygulama ve Yönetmelik temel olarak 3 maddelik çerçevede ele alınacaktır.
- Düzenleyici İzleme: Her AB ülkesi, yerel düzeyde bu yasayı uygulamak ve izlemek üzere bir veya daha fazla yetkili otorite atayacaktır.
- Uyum Süreçleri: Yüksek ve kabul edilemez riskli yapay zekâ sistemleri için uyum süreçleri özellikle dikkatli bir şekilde yönetilecek ve bu sistemler piyasaya sürülmeden önce uygunluk değerlendirmelerinden geçirilecektir.
- Ceza Yaptırımları: Yasaya uymayan işletmeler GDPR’daki gibi global gelirlerinin belirli bir yüzdesine kadar ciddi para cezaları ile karşı karşıya kalacaktır.
2030 yılına kadar 46,8 milyar dolara ulaşması beklenen fintech pazarında yapay zekânın düzenlenmesi kritik önem taşımaktadır. Bu noktada temel etki, firmaların biyometrik tanımlama, sermaye yönetimi, dolandırıcılığın tespiti veya bireylerin kredi değerlendirmesi için yazılımları nasıl kullandıkları, sağladıkları, ithal ettikleri veya dağıttıkları üzerinde olacaktır. Ayrıca, güvenlik açıklarından yararlanan yazılımları yasaklayacak ve yazılım sağlayıcılarını ve kullanıcıları şeffaf olmaya mecbur bırakacaktır. Yeni yasa birçok girişimi AB’den ABD gibi yasanın olmadığı ya da şartların daha karşılanabilir olduğu bölgelere itecektir. Yapay zekâ girişimlerinin% 50’si, mevzuatın Avrupa’daki yeniliği yavaşlatacağını iletmiştir. Girişimlerin% 16’sı teknolojiyi geliştirmeyi bırakmayı veya AB dışına taşınmayı düşünmektedirler. Yeni mevzuata uymanın en büyük zorluklarından biri, hangi yazılımın yapay zekâ sistemi olarak sınıflandırıldığını ve bir grup içindeki hangi kuruluşların, özellikle birden fazla ülkede faaliyet gösteriyorlarsa, bu yükümlülüklere tabi olduklarını belirlemektir. Aynı zamanda, küresel firmalar da ülkeye özgü sorunlarla mücadele etmek zorunda kalacaklardır. Yapay zekâ yasası ile beraber finansal kuruluşlara 3rd parti kuruluşlarla yaptıkları işbirliğinden kaynaklı da sorumluluk gelecektir. Avrupa’da bu Digital Operational Resilience Act (DORA) yönetmeliği ile uygulanırken ülkemizde finansal kuruluşların dış hizmet alması ile ilgili yönetmelik bu çerçevede finansal kuruluşlara sorumluluk vermektedir.
Avrupa Birliği’nin Yapay Zeka Yasası (AI Act), finansal hizmetler sektöründe, özellikle bankacılık ve uzaktan müşteri edinimi alanlarında önemli etkilere sahip olacaktır. Bu yasa, yapay zekâ sistemlerinin kullanımı konusunda yeni kurallar getirerek, finansal kuruluşların müşteri verilerini nasıl işlediği, müşteri ile etkileşime girdiği ve güvenlik önlemlerini nasıl uyguladığı konularında belirleyici olacaktır. İşte bazı önemli etkiler ve gereklilikler:
- Biyometrik Verilerin Kullanımı
Yasa, biyometrik veriler gibi hassas kişisel verilerin kullanımını sıkı bir şekilde düzenlemektedir. Bankaların ve finans kurumlarının, müşterilerinin yüz tanıma veya parmak izi gibi biyometrik verilerini kullanmadan önce bu verilerin işlenmesinin yasal gerekliliklere uygun olduğundan emin olmaları gerekecektir. Özellikle, bu verilerin toplanması, saklanması ve işlenmesi konusunda yüksek düzeyde şeffaflık ve güvenlik önlemleri gerekecektir.
- Uzaktan Kimlik Doğrulama
Uzaktan kimlik doğrulama süreçleri, özellikle dijital bankacılık ve finans teknolojileri (fintech) alanında yaygın olarak kullanılmaktadır. AB Yapay Zekâ Yasası, bu süreçlerde kullanılan yapay zeka sistemlerinin, kullanıcıların bilgilendirilmesi ve onayının alınması, sistemlerin doğruluğu ve güvenilirliği gibi konularda yeni standartlar getirmektedir. Bankalar, müşteri onayı olmadan biyometrik doğrulama sistemleri kullanamayacak ve kullanılan sistemlerin nasıl çalıştığına dair şeffaflık sağlamak zorunda kalacaktır.
- Deepfake Tespiti ve Önlemleri
Deepfake teknolojisi, sahte video ve ses kayıtlarının oluşturulmasını mümkün kılmaktadır. Bu teknoloji, finansal dolandırıcılıkta kullanılabileceği için, bankalar bu tür tehditlere karşı koymak için ek önlemler almak zorunda kalacaktır. AB Yapay Zeka Yasası, deepfake teknolojisinin kötüye kullanımını önlemek için gerekli kontrollerin sağlanmasını talep etmiştir.
- Şeffaflık ve Hesap Verebilirlik
Bankalar, kullanılan yapay zekâ sistemlerinin nasıl çalıştığını müşterilere açıklamak zorunda kalacaktır. Bu, özellikle yapay zekâ destekli karar alma süreçlerinde müşterilere karşı daha fazla şeffaflık sağlanması anlamına gelecektir.
- Uyum Maliyetleri ve Yönetmelik Yükü
Bankalar, AB Yapay Zekâ Yasası’na uyum sağlamak için sistemlerini güncellemek, çalışanlarını eğitmek ve gerekli hukuki danışmanlık hizmetlerini almak zorunda kalacaktır. Bu durum, özellikle küçük ve orta ölçekli bankalar için önemli bir mali yük oluşturabilecektir.
Sonuç olarak, AB Yapay Zekâ Yasası’nın bankacılık sektörüne yönelik etkileri geniş kapsamlı olacak ve finansal kuruluşların, teknoloji ve uyum alanlarında önemli yatırımlar yapmalarını gerektirecektir. Bu değişiklikler, müşteri güvenliğini artırma ve teknolojik yenilikleri teşvik etme potansiyeline sahip olmakla birlikte, uygulama ve uyum süreçleri de dikkatle yönetilmelidir.
AB Yapay Zekâ Yasası’nın işletmeniz ve yapay zekâ kullanımınız için ne anlama geldiğini düşündüğünüzde, iç değerlendirmenize başlamak için “Kuruluşumuzda yapay zekânın kullanıldığı her yerin envanterine sahip miyiz?” sorusu harika bir başlangıçtır. Ve açıkça söylemek gerekirse, envanteriniz yoksa veya soruyu nasıl cevaplayacağınızı bilmiyorsanız, teknolojiyi sorumlu bir şekilde kullanmıyorsunuz demektir.