Niemal połowa banków pilotuje agentową AI - co to właściwie znaczy?

Zacznijmy od tego, czym jest agentowa AI (agentic AI), bo termin ten bywa mylony z tradycyjnymi chatbotami. To systemy zdolne do autonomicznego planowania i realizacji wieloetapowych zadań bez interwencji człowieka przy każdym kroku.

W praktyce bankowej - agent AI, który samodzielnie przeprowadza pełny proces weryfikacji klienta (KYC): od pobrania danych, przez screening sankcji, po raport dla nadzorcy. Różnica jest jak między kalkulatorem a księgowym, który sam wie, co policzyć.

Według badania Red Hat i FStech 47% europejskich instytucji finansowych jest na etapie pilotażu lub aktywnego wdrożenia agentowej AI. Kolejne 36% nie planuje na razie jej wprowadzenia - ale nie z braku zainteresowania.

Jak komentuje Lubomir Stojek, Country Manager Red Hat w Polsce, ten podział odzwierciedla raczej ostrożne podejście do implementacji niż odrzucenie samej technologii.

Rozwój agentowych systemów jest ściśle zależny od możliwości zapewnienia kontroli nad nimi i dostosowania się do regulacji branżowych - mówi Lubomir Stojek, Country Manager Red Hat w Polsce.

Wykrywanie nadużyć na czele, ale skala problemu jest gigantyczna

Hierarchia zastosowań agentowej AI w finansach wygląda jednoznacznie: wykrywanie nadużyć (71%), monitorowanie zgodności regulacyjnej (66%) i procesy KYC/AML (61%). Rozwiązania skierowane do klientów pojawiają się rzadziej - AI rozwija się tam, gdzie tolerancja na ryzyko jest najniższa.

Te liczby zyskują dramatyczny kontekst dzięki danym McKinsey z sierpnia 2025 roku. Według Interpolu sektor finansowy wykrywa zaledwie ok. 2% globalnych przepływów związanych z przestępczością finansową - mimo że wydatki na KYC/AML rosły nawet o 10% rocznie w rozwiniętych rynkach w latach 2015-2022.

• Agentowa AI może zredukować nakład manualnej pracy KYC nawet o 60%. Przy takim punkcie wyjścia nic dziwnego, że banki widzą w niej priorytet.

Uzasadnione obawy - 72% boi się regulacji

Badanie wskazuje, że 72% respondentów obawia się niezgodności z lokalnymi przepisami, 55% boi się wycieków danych, a 51% widzi ryzyko w konfliktach regulacyjnych między jurysdykcjami.

Regulacyjne ramy są tutaj konkretne. EU AI Act od 2 lutego 2025 roku zakazał pewnych praktyk AI, a od 2 sierpnia 2026 nałożył pełne obowiązki na systemy wysokiego ryzyka. 

Scoring kredytowy i biometryczna identyfikacja są klasyfikowane jako systemy wysokiego ryzyka (Annex III EU AI Act). Fraud detection jest wyłączony z tej kategorii przez Recital 58 – nie determinuje indywidualnych praw jednostki. Klasyfikacja systemów KYC/AML wymaga weryfikacji case by case.

• Czytaj także - systemy wysokiego ryzyka podlegające najsurowszym wymogom AI Act. Kary? Do 35 mln euro lub 7% globalnego obrotu.

Równolegle od 17 stycznia 2025 roku obowiązuje rozporządzenie DORA (Digital Operational Resilience Act), które zobowiązuje instytucje finansowe do zarządzania ryzykiem ICT i testowania odporności operacyjnej. DORA wprowadza nadzór UE nad krytycznymi dostawcami ICT - w tym dostawcami chmury, którzy spoza UE muszą posiadać europejski podmiot zależny. To wzmacnia argument o ograniczeniu zależności od globalnych dostawców chmury, na którą wskazuje 59% respondentów badania Red Hat.

Suwerenność danych - więcej niż lokalizacja serwerów

73% badanych instytucji uznaje suwerenność danych za kluczowy lub ważny element strategii AI. Firmy coraz rzadziej myślą wyłącznie o fizycznej lokalizacji serwerów - pytanie dotyczy tego, kto może trenować modele AI na danych klientów i jakie wnioski dostawcy zewnętrzni mogą zachować po zakończeniu współpracy.

Badanie Economist Impact z grudnia 2025 roku potwierdza wagę tematu: ponad 92% respondentów z sektora finansowego uważa, że nieadekwatna odpowiedź na kwestię suwerenności danych prowadzi do uszczerbku reputacyjnego. Bank Anglii w raporcie z kwietnia 2025 dodaje, że koncentracja rynku dostawców AI stanowi ryzyko systemowe - awaria jednego dużego dostawcy chmury mogłaby uderzyć w wiele instytucji jednocześnie.

Mimo to ponad 60% badanych firm wciąż nie posiada formalnej strategii suwerenności danych. Bariery: wysokie koszty (64%) i brak kompetencji (58%). Problem z wymaganiami DORA w zakresie zarządzania ryzykiem dostawców ICT - czas na strategię się kończy, przepisy już obowiązują.

62% firm bazuje na manualnej analizie incydentów

62% instytucji finansowych nadal bazuje na manualnej analizie incydentów bezpieczeństwa, co czwarty podmiot (26%) nie ma wyodrębnionego monitoringu AI, a tylko 43% wdrożyło zautomatyzowane procedury reagowania.

EU AI Act dla systemów wysokiego ryzyka wymaga wbudowanego automatycznego monitoringu - firmy z tą luką mogą być już w niezgodności z regulacjami obowiązującymi od sierpnia 2025.

Open source jako fundament niezależności?

Połowa badanych instytucji już wykorzystuje lub pilotuje rozwiązania open source AI, a kolejne 21% dostrzega ich potencjał. Red Hat - jako dostawca rozwiązań open source - ma oczywisty interes w promowaniu tej narracji, co warto brać pod uwagę. Niemniej organizacja FINOS (Fintech Open Source Foundation) niezależnie potwierdza, że open source AI daje instytucjom finansowym możliwość budowy rozwiązań dopasowanych do wymogów regulacyjnych bez uzależnienia od jednego dostawcy.

Warto jednak odnotować, że wcześniejsza edycja tego samego badania FStech/Red Hat wskazywała, że jedynie 15% instytucji posiadało kompleksową strategię AI uwzględniającą open source - tak duży skok może wynikać zarówno z realnej ewolucji rynku, jak i ze zmiany metodologii.

Jak przygotować instytucję finansową na agentową AI

1. Przeprowadź audyt zgodności z EU AI Act - zidentyfikuj systemy AI kwalifikujące się jako wysokiego ryzyka (scoring, fraud detection, KYC). Termin na pełną zgodność: 2 sierpnia 2026.
2. Opracuj strategię suwerenności danych - obejmującą zasady trenowania modeli, retencji danych przez dostawców i kontroli nad architekturą AI.
3. Zautomatyzuj monitoring AI - manualna analiza incydentów nie spełnia wymogów AI Act. Wbuduj mechanizmy nadzoru w architekturę agentów.
4. Zweryfikuj zgodność z DORA - w zakresie zarządzania ryzykiem koncentracji u dostawców chmury i ICT. Przepisy obowiązują od stycznia 2025.
5. Rozważ architekturę hybrydową z open source - nie dla ideologii, ale dla realnej kontroli nad kodem i niezależności od jednego vendora.

Warto zapamiętać

• Agentowa AI wchodzi do finansów przez compliance - wykrywanie nadużyć i KYC/AML dominują, ale 60% firm nie ma strategii kontroli danych
• EU AI Act i DORA już obowiązują - systemy fraud detection i scoringu to kategoria wysokiego ryzyka z konkretnymi obowiązkami prawnymi
• Suwerenność danych to kwestia strategiczna, nie techniczna - dotyczy trenowania modeli, retencji danych i niezależności od dostawców, nie tylko lokalizacji serwerów

Najczęstsze pytania

Czym jest agentowa AI i czym różni się od tradycyjnej sztucznej inteligencji?

Agentowa AI (agentic AI) to systemy zdolne do autonomicznego planowania i realizacji wieloetapowych zadań bez interwencji człowieka przy każdym kroku. W praktyce bankowej oznacza to np. agenta AI, który samodzielnie przeprowadza pełny proces weryfikacji klienta KYC - od pobrania dokumentów po wygenerowanie raportu dla nadzorcy.

Jakie regulacje UE dotyczą wdrożeń AI w sektorze finansowym?

Dwie kluczowe to EU AI Act (obowiązki dla systemów wysokiego ryzyka od sierpnia 2025, kary do 35 mln euro) oraz DORA (zarządzanie ryzykiem ICT i nadzór nad dostawcami chmury, obowiązuje od stycznia 2025). Systemy wykrywania nadużyć i scoring kredytowy są klasyfikowane jako systemy wysokiego ryzyka w ramach AI Act.

Dlaczego suwerenność danych jest ważna przy wdrażaniu agentowej AI?

Agentowa AI przetwarza dane klientów autonomicznie i w dużej skali. Brak kontroli nad tym, gdzie dane są przetwarzane, kto trenuje na nich modele i co dostawcy zachowują po zakończeniu współpracy, generuje ryzyko regulacyjne, reputacyjne i operacyjne. Według Economist Impact ponad 92% firm uważa, że zaniedbanie suwerenności danych prowadzi do uszczerbku reputacyjnego.

Źródła:

• Red Hat / FStech, „Agentowa AI i suwerenność danych w europejskim sektorze finansowym", 2025/2026 - badanie na próbie 101 decydentów
• McKinsey & Company, „How agentic AI can change the way banks fight financial crime", sierpień 2025
• Bank of England, „Financial Stability in Focus: Artificial intelligence in the financial sector", kwiecień 2025
• Economist Impact, „A moving target: Data sovereignty in the age of AI", grudzień 2025
• EU AI Act - Rozporządzenie UE 2024/1689 w sprawie sztucznej inteligencji
• DORA - Rozporządzenie UE 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego, obowiązuje od 17 stycznia 2025

Foto: Freepik