Jaunas prasības finanšu sektora digitālajai drošībai

By: Anna Mišņeva

Finanšu pasaule pēdējo gadu laikā ir piedzīvojusi īstu digitālo lēcienu. Mēs vairs nemaksājam ar skaidru naudu vai neaizpildam papīra maksājuma uzdevumus – viss notiek digitāli, ātri un ērti. Arvien vairāk darījumu, sākot no komunālo pakalpojumu apmaksas un apdrošināšanas iegādes un beidzot ar vērtspapīru tirdzniecību, norisinās tiešsaistē, izmantojot modernas finanšu tehnoloģijas un ērtus tehniskus risinājumus. Šīs ērtības ir saistītas ar jauniem izaicinājumiem – kā tos pārvaldīt?

Finanšu nozare kļūst arvien vairāk savstarpēji saistīta un atkarīga no tehnoloģijām un ārējiem pakalpojumu sniedzējiem. Tas nozīmē, ka pieaug arī kiberdraudu un sistēmas traucējumu risks, kas var ietekmēt gan uzņēmumus, gan klientus.

Savukārt mākslīgā intelekta (MI) izmantošana procesos (piemēram, piedāvājot personalizētus pakalpojumus vai vērtējot riskus) var radīt diskrimināciju, klienta datu ļaunprātīgu izmantošanu vai neētisku rīcību.

Lai pārvaldītu šos izaicinājumus, Eiropā tika pieņemti divi nozīmīgi tiesību akti – DORA (regula 2022/2554 par finanšu nozares digitālās darbības noturību) un Mākslīgā intelekta akts (MI akts) (regula 2024/1689, ar ko nosaka saskaņotas normas MI jomā).

DORA

DORA ievieš vienotu Eiropas Savienības (ES) mēroga sistēmu digitālās darbības noturības pārvaldībai. Tā attiecas uz lielāko daļu ES finanšu iestāžu – bankām, maksājumu iestādēm, apdrošinātājiem, ieguldījumu pārvaldes sabiedrībām, pensiju fondiem, kriptoaktīvu pakalpojumu sniedzējiem un citām. Prasību apjoms katrai iestādei ir proporcionāls tās lielumam un riskiem. Krājaizdevu sabiedrības, nelieli apdrošinātāji un pensiju fondi ir atbrīvoti no šī pienākuma, jo rada mazu sistēmisko risku.

Svarīgākās DORA noteiktās prasības finanšu iestādēm ir šādas:

  • informācijas un komunikācijas tehnoloģiju risku pārvaldība – izveidot vienotu, visaptverošu sistēmu risku identificēšanai, novēršanai un uzraudzībai;
  • incidentu ziņošana – nodrošināt savlaicīgu un standartizētu ziņošanu regulatoriem par būtiskiem kiberincidentiem;
  • noturības testēšana – regulāri pārbaudīt sistēmu spēju izturēt uzbrukumus un tehniskus traucējumus;
  • trešo pušu uzraudzība – stingri pārvaldīt ārējo informācijas tehnoloģiju pakalpojumu sniedzēju riskus, īpaši kritiskos;
  • vadības atbildība – augstākajai vadībai jāuzņemas tieša atbildība par digitālās noturības stratēģiju un īstenošanu.

DORA stājās spēkā 2023.gada 16.janvārī, bet tās piemērošana aizsākās 2025.gada 17.janvārī. 2023.–2025.gads finanšu iestādēm bija pārejas periods, lai sagatavotos jaunajām prasībām par digitālās darbības noturību. No 2025.gada sākuma DORA ir tieši un pilnībā piemērojama visās ES valstīs.

Lai DORA pilnvērtīgi darbotos Latvijā, bija nepieciešams nacionāls tiesību salāgošanas likums. Šāds likums – Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums (Digitālās noturības likums) – tika pieņemts 2025.gada 1.septembrī un stājās spēkā 1.oktobrī. Šis likums nosaka administratīvos pasākumus un sodus par DORA normu pārkāpumiem, kā arī paredz, ka Latvijas Banka (LB) ir nacionālā uzraudzības iestāde, kas kontrolē prasību ievērošanu.

Vai DORA sniedz ieguvumu arī finanšu iestāžu klientiem? Nepašaubāmi – tā stiprina banku un apdrošinātāju noturību pret tehniskām problēmām. Klientiem ir mazāks risks zaudēt piekļuvi saviem pakalpojumiem vai datiem. DORA veicina lielāku uzticēšanos digitālajiem finanšu risinājumiem, labāku aizsardzību pret datu zādzībām un skaidrāku informāciju par iespējamiem incidentiem.

MI akts

Digitālās noturības likums ievieš arī nepieciešamās normas MI akta piemērošanai Latvijā. MI akts nosaka vienotus noteikumus, kā ES drīkst tirgot, ieviest un lietot MI sistēmas. Tas attiecas uz visiem, kas MI sistēmas izstrādā, izmanto, importē vai izplata, kā arī uz ražotājiem, kuru produktos ir MI.

MI akts būtiski ietekmēs arī bankas, apdrošinātājus, investīciju uzņēmumus un citus finanšu tirgus dalībniekus, ja tie izmanto vai piedāvā MI sistēmas, piemēram:

  • kredītriska novērtēšanai;
  • klientu uzraudzībai un noziedzīgi iegūtu līdzekļu legalizācijas novēršanai;
  • apdrošināšanas prēmiju noteikšanai;
  • automatizētai ieguldījumu vai tirdzniecības lēmumu pieņemšanai;
  • klientu apkalpošanai, izmantojot sarunbotus.

MI akts aizliedz finanšu nozarē izmantot sistēmas un prakses, kas var kaitēt cilvēkiem vai novest pie netaisnīgiem lēmumiem (tā dēvētās aizliegtās prakses). Piemēram, finanšu iestādēm nav atļauts slepeni uzraudzīt klientu uzvedību, manipulēt ar viņu izvēlēm vai pieņemt lēmumus par kredītu izsniegšanu, apdrošināšanu vai citiem finanšu pakalpojumiem, balstoties uz diskriminējošiem kritērijiem, piemēram, dzimumu, etnisko izcelsmi vai citām neatbilstošām pazīmēm. Aizliegts arī izmantot MI, lai klientus “sodītu” par viņu uzvedību, kas nav saistīta ar viņu finansiālajām iespējām, vai lai slēpti ietekmētu viņu finanšu lēmumus.

MI akts atsevišķi izdala augsta riska MI sistēmas. Tās ir tādas sistēmas, kas tiek izmantotas, lai novērtētu personas kredītspēju, noteiktu uzticamību vai finansiālo statusu. Tātad augsta riska MI finanšu nozarē ir, piemēram, algoritmi, kas lemj, vai piešķirt aizdevumu klientam; kredītreitingu modeļi, kas izmanto MI analīzi; MI sistēmas, kas automātiski nosaka apdrošināšanas prēmijas vai risku līmeni. Automatizētas “pazīsti savu klientu” vai noziedzīgi iegūtu līdzekļu legalizācijas novēršanas sistēmas, ja tās ietekmē cilvēku tiesības vai piekļuvi pakalpojumiem, arī tiek uzskatītas par augsta riska sistēmām.

MI akts paredz, ka finanšu iestādēm, kas izmanto augsta riska MI sistēmas, jāievēro noteikti nosacījumi:

  • datu kvalitāte un pārvaldība – MI modeļi jāapmāca, izmantojot kvalitatīvus un pārbaudāmus datus, lai nepieļautu aizspriedumus vai diskrimināciju (piemēram, pēc dzimuma vai etniskās izcelsmes);
  • dokumentācija un pārredzamība – jāspēj izskaidrot, kā sistēma pieņem lēmumu; jāuztur tehniskā dokumentācija;
  • cilvēka uzraudzība – lēmumi, kas būtiski ietekmē klientus (piemēram, atteikums piešķirt kredītu), jāpārskata cilvēkam;
  • drošība un robustums – sistēmai jābūt aizsargātai pret manipulācijām, kļūdām vai kiberdraudiem;
  • reģistrācija ES datubāzē – augsta riska MI sistēmas jāreģistrē Eiropas datubāzē pirms to ieviešanas tirgū;
  • atbilstības novērtējums – pirms izmantošanas jāveic iekšējs vai ārējs atbilstības audits (atkarībā no sistēmas veida).

MI akts sniedz klientiem vairākus svarīgus ieguvumus.

Pirmkārt, lēmumi, ko, izmantojot MI, pieņem bankas vai apdrošinātāji, būs godīgi un saprotami. Piemēram, ja tiek atteikts aizdevums, klients varēs saprast, kā šis lēmums tika pieņemts.

Otrkārt, klienta dati būs drošībā – mazāks risks, ka tos neatļauti izmantos vai manipulēs ar tiem. Klientiem būs skaidrs, kad saziņa vai pakalpojuma saņemšana notiek ar MI sistēmas palīdzību.

Treškārt, aizsardzība pret kaitīgu vai maldinošu MI nozīmē, ka finanšu iestādes nevarēs slepeni analizēt vai “sodīt” klientus par viņu uzvedību, kas nav saistīta ar finanšu pakalpojumiem.

Ceturtkārt, klientiem būs iespēja pārsūdzēt vai sūdzēties, ja pastāv aizdomas, ka MI lēmums bijis netaisnīgs.

Un, visbeidzot, MI akts veicina drošu un atbildīgu inovāciju, ļaujot izmantot jaunus digitālos finanšu pakalpojumus, kas ir ērtāki, personalizēti un uzticami.

LB uzrauga MI izmantošanas prasību ievērošanu finanšu sektorā saskaņā ar MI aktu un ir tiesīga finanšu iestādei piemērot sodu, sākot no brīdinājuma un beidzot ar naudassodu līdz 35 milj. eiro apmērā (tajā skaitā atbildīgai amatpersonai).

MI akts stājās spēkā 2024.gada 1.augustā, un tā piemērošana notiek pakāpeniski. No 2025.gada 2.februāra jau ir spēkā noteikumi, kas aizliedz noteiktas MI prakses, piemēram, slepenu personas uzvedības novērošanu vai manipulāciju ar cilvēku rīcību. Nākamais posms sāksies 2026.gada 2.augustā, kad stāsies spēkā prasības augsta riska MI sistēmām, tostarp finanšu sektorā. Tas nozīmē, ka šobrīd uzņēmumiem ir pārejas periods, lai savas MI sistēmas sagatavotu atbilstoši jaunajiem ES standartiem – īpaši drošības, atklātības un cilvēka uzraudzības pār automatizētiem lēmumiem ziņā.

DORA un MI akta ieviešana Latvijā nozīmē, ka finanšu un tehnoloģiju uzņēmumiem būs drošāki un pārskatāmāki digitālie risinājumi. Tas palīdz aizsargāt klientu datus, palielina uzticību banku un apdrošināšanas pakalpojumiem un ļauj piedāvāt modernus un drošus digitālos pakalpojumus. Kopumā regulas veicina drošāku, saprotamāku un inovatīvāku finanšu vidi gan uzņēmumiem, gan klientiem.

 

Publicēts: iBizness.lv. 26.11.2025.

Saistītie pakalpojumi

Jomas eksperti

Person Item Background
Anna Mišņeva
Zvērināta advokāte / Latvija

Experience Success

Juridiskie paziņojumi Sīkdatnes
Igaunija
Ahtri 4, Tallinn
T. +372 6407170
Apmeklēt tīmekļa vietni
Latvija
K.Valdemara 62, Riga
T. +371 67814848
Apmeklēt tīmekļa vietni
Lietuva
J. Jasinskio g. 2, Vilnius
T. +370 52681888
Apmeklēt tīmekļa vietni