08:15
Мнения

ИИ-кризис в Европе и окно возможностей для банков Казахстана

Николай Халабузарь
Николай Халабузарь

Банки Казахстана сегодня работают сразу в нескольких регуляторных реальностях. С одной стороны — закон РК «Об искусственном интеллекте» вступил в силу и требует конкретных, немедленных действий. С другой — важно соблюдать нормы Европейского союза, которые формируют ожидания партнеров банков, ин инвесторов и международных рынков. В то же время сам ЕС пересматривает правила регулирования ИИ, поставив некоторые требования на паузу. Совместимо ли это?

Ответ на этот вопрос заключается в том, чтобы

  • выстроить систему управления ИИ так, чтобы выполнить требования Казахстана,
  • сохраняя совместимость с европейскими стандартами и при этом
  • не перегрузить бизнес-процессами, которые сам ЕС отложил.

И это вполне возможно. Как использовать открывшееся окно возможностей с максимальной эффективностью? Об этом наш разговор с Рубиной Лозовой, вице-президентом Банка ЦентрКредит по управлению данными.

Кризис регулирования: когда ограничения убивают перспективу

— Как получилось, что банки Казахстана вынуждены внедрять ИИ с учетом двух разных регуляторных моделей?

— Это произошло благодаря тому, что инвесторы и партнеры банков находятся в европейской юрисдикции, а значит, ее требования касаются и нас. Но сейчас Европейский союз оказался в ситуации, которая еще несколько лет назад казалась маловероятной: при сильной научной базе он начал проигрывать глобальную гонку ИИ США и Китаю. Разрыв измеряется кратно — инвестиции в ИИ в США превышают европейские примерно в 12 раз: около 109 млрд долларов против 9 млрд.

Это произошло благодаря чрезмерному ужесточению контроля в области ИИ. Регуляторы в ЕС по сути сделали стоимость соблюдения требований применения ИИ выше потенциальной ценности инноваций.

— Но почему это так критично?

— Потому что в результате стартапы и технологические команды начали покидать европейскую юрисдикцию. Разработчики вынуждены тратить ресурсы не на разработку и внедрение, а на соблюдения барьеров. В это же время США и Китай продолжают экспериментировать, масштабироваться и допускать ошибки без постоянного регуляторного давления.

Проблему в ЕС понимают и признают, и потому в ноябре 2025 года запустили Digital Omnibus — режим Stop-the-Clock. Дедлайны по высокорисковым системам перенесены до декабря 2027 года, административная нагрузка снижена на 25-35%, создаются ускоренные механизмы согласования для ИИ с низким уровнем риска.

— Такое решение ЕС – это признание ошибки или…

— Это временное замедление в ЕС и создало то самое окно возможностей, минимум на два года. Это время можно использовать для выстраивания собственной системы управления ИИ, совместимой с международными практиками. Если этот период будет использован правильно, соответствие европейским стандартам станет не барьером, а конкурентным преимуществом. Последовательность действий здесь кажется очевидной: подстройка под недавно принятое казахстанское законодательство и затем уже адаптация под европейские стандарты.

Сравнение ИИ-регулирования в ЕС и Казахстана

— Если сравнивать регулирование ИИ в ЕС и Казахстане, в чем их принципиальное различие для банка?

В Казахстане новый закон об ИИ уже вступил в силу, и мы видим, что требования ЕС и Казахстана во многом совпадают в области

  • машиночитаемой маркировки,
  • документов с водными знаками,
  • ведения журнала использования моделей и
  • пересмотра трудовых договоров в части прав на промты и результаты работы с ИИ.

Но есть ключевое различие — в ответственности. В ЕС фокус на штрафах. В Казахстане критичнее риск приостановки работы систем. Для банка именно этот риск определяет приоритет: в первую очередь обеспечивается соответствие законам РК и операционная устойчивость.

— С учетом этих отличий – насколько реально банку будет соблюдать правила обеих юрисдикций?

— На текущем уровне это не составит проблемы при грамотной стратегии внедрения, соблюдения зон ответственности для ИИ. Хочу подчеркнуть, что при всей сложности европейской бюрократии, текущий разворот ЕС в сторону Digital Omnibus демонстрирует два критически важных подхода, которые Казахстану не мешало бы перенять для развития здорового ИИ-рынка.

Во-первых, это принцип «единого окна» для отчетности — в рамках Digital Omnibus Европа внедряет унифицированную отчетность. Бизнесу не нужно готовить три разных пакета документов для compliance по GDPR (защита данных), EU AI Act (искусственный интеллект) и EU Data Act (данные). Вводится принцип «один отчет»: данные подаются один раз через единый интерфейс и далее распределяются между ведомствами. В Казахстане мы пока видим риск фрагментации: разные ведомства могут запрашивать дублирующую информацию в разных форматах, что кратно увеличивает административную нагрузку (overhead) на банки, не добавляя реальной безопасности.

И во-вторых – предсказуемость сроков. Европейский подход внедрения регуляторных норм в области ИИ подразумевает длительные переходные периоды – от 12 до 36 месяцев. Это время дается рынку на адаптацию процессов и IT-ландшафта. В Казахстане мы сталкиваемся с практикой «шокового внедрения»: на соответствие новым нормам часто отводится 60-90 дней. При этом складывается парадоксальная ситуация, когда закон уже вступил в силу и требует исполнения, а подзаконные акты, приказы и технические регламенты еще не разработаны или находятся на регистрации. Бизнес вынужден инвестировать в доработки «вслепую», рискуя через полгода переделывать все заново. Для банковской сферы, где цена ошибки измеряется не только деньгами, но и доверием клиентов, наличие готовой методологической базы до вступления требований в силу — это вопрос не удобства, а операционной устойчивости.

— Как уже существующие требования закона РК об ИИ меняют практику принятия решений в банке?

Закон РК содержит определенные операционные требования с конкретными сроками:

  • внедрения машиночитаемой маркировки ИИ-контента,
  • фиксации использования ИИ,
  • соблюдения запретов на социальный скоринг и оценку личных качеств уже с 2026 года.

Также закон использует гибридную модель управления рисками: три уровня риска и дополнительный критерий автономности. Ключевое ограничение — запрет полной автономии в критических решениях. Для банков это прямое требование сохранять человека в контуре принятия решений.

В ЕС внедряется более формализованная пирамида из четырех уровней риска с четким перечнем систем с высоким риском. Подход ЕС более детализирован и жестко фиксирует зоны, где автоматизация допустима только при строгих условиях.

— Во что это превращается на практике?

— Для банка это означает необходимость провести ревизию всех автоматизированных решений, прежде всего в кредитовании, и зафиксировать реальное участие человека по каждому процессу. В результате появляется матрица соответствия, где видно,

  • на каком этапе человек принимает решение и
  • какие метрики контролируются.

Инфраструктурные подходы также различаются. Казахстан делает ставку на центральное регулирование и Национальную платформу ИИ. ЕС развивает децентрализованную экосистему, регулируемую через стандарты и сертификацию. Для банков это означает, что возможна интеграция с государственными источниками данных при сохранении локальной обработки банковской тайны и критической информации.

Пожалуй, самой чувствительной зоной использования ИИ является кредитный скоринг. В Казахстане социальный скоринг и оценка личных качеств запрещены. В ЕС скоринг относится к системам высокого риска и требует аудита данных, но дедлайн внедрения отложен до декабря 2027 года. Адекватным ответом здесь кажется внедрение Explainable AI, системы прозрачного принятия решений, имеет смысл начинать уже сейчас.

Особенности внедрения ИИ в разных зонах ответственности

— Вся эта ситуация — «темные воды» для банков Казахстана. Вы как-то уже можете суммировать риски на основе первого опыта?

— Могу точно назвать ключевую ошибку при внедрении ИИ — регулировать его одинаково на всех уровнях. На деле же единственная рабочая модель — разделение систем по уровню регуляторного и социального риска.

— И как это выглядит на практике?

— Во-первых, поговорим об ИИ в кредитном конвейере. Модели принятия решений по кредитам физлиц находятся в зоне максимального регулирования и внимания со стороны Банка — это вопрос и социальной ответственности, и социальной справедливости, и критическая масса ошибок здесь набирается очень быстро и имеет большой негативный потенциал. Именно поэтому регулятор здесь требует прозрачности, понятности и исключения потенциальной дискриминации. Отчасти это достигается изолированием ИИ в этой сфере от систем антифрода и сервисных моделей. Здесь строго обязательны

  • вовлечение человека в принятие решений с отказом,
  • полная аудируемость решений и
  • Explainable AI как инструмент защиты банка и клиента.

Во-вторых, ИИ в HR-сфере применяется очень активно, но системы подбора персонала также относятся к высокорисковым из-за возможности дискриминации, и потому здесь точно так же важно участие человека в принятии решений.

В применении ИИ здесь требуется регулярный системный аудит предвзятости:

  • анализ данных,
  • тестирование на разных группах,
  • мониторинг результатов найма и
  • документирование корректировок.

И в-третьих, применение ИИ в биометрии уже дает прекрасные результаты и имеет большие перспективы, но и здесь есть свои этические ограничения. Биометрия должна использоваться исключительно для идентификации человека, анализ эмоций исключается полностью, поскольку создает риски манипуляции.

С целью повышения прозрачности здесь требуется выраженное согласие человека при процедурах биометрии, также должны использоваться альтернативные методы верификации. Разделение методов позволяет применять разные уровни контроля и не тратить одинаковые ресурсы на процессы с разной ценой ошибки.

План реализации: от обязательного комплаенса к зрелости данных

— Все вышеперечисленное гарантирует эффективное внедрение ИИ — или есть еще подводные камни?

— Устойчивый результат достигается поэтапно, когда каждый шаг закрывает конкретный регуляторный риск и одновременно готовит инфраструктуру к следующему уровню зрелости.

— Можете назвать, какие этапы для себя вы определили на этом пути? Как выстраивались задачи?

— Да, пусть и в общих чертах. Первой фазой внедрения у нас стала Compliance Core. Она решает базовую задачу: безусловное соответствие нормам казахстанского законодательства. На этом этапе в 2025г. мы сформировали полный реестр всех ИИ-систем, в 2026 г. продолжаем данную работу и классифицируем системы по уровню риска.

Это помогает понять, где именно используется ИИ и какое регуляторное давление он создает.

Параллельно с этим внедряется автоматизированная машиночитаемая маркировка контента — причем не созданная вручную, а как вписанная в ИТ-процессы. На этой стадии все модели проходят ревизию на предмет элементов социального скоринга и оценки личных характеристик, которые прямо запрещены законом.

На этот период критические решения переводятся в режим пониженной автономности: обязательное участие человека становится встроенным элементом процесса, а не декларацией. Таким образом, уже на первом этапе банк снижает риск регуляторных претензий и операционных остановок, в то же время нарабатывая опыт и сумму практических решений.

Вторая фаза плана внедрения будет представлять собой переход к регуляторной зрелости. В это время фокус будет смещен на практическую устойчивость и управляемость системы. Продолжается работа по  выстраиванию системы управления данными (Data Governance). Качество здесь определяется конкретным набором правил: какие данные считаются достаточными, насколько они полны, актуальны и отражают ли реальную картину.

Прозрачность работы ИИ (Explainable AI) внедряется как рабочий инструмент для реального контроля решений и защиты банка в спорных ситуациях. Банк внедряет механизмы, которые позволяют объяснять, почему система приняла то или иное решение — чтобы эти решения можно было проверить, оспорить и защитить в случае спорных ситуаций.

Модели попадают под постоянное наблюдение. Отслеживается, не меняется ли их поведение со временем, не появляются ли аномалии и не расходятся ли результаты с исходными допущениями. Это позволяет выявлять проблемы до того, как они превращаются в риск.

В реальности это выглядит так: модель, которая корректно работала на прошлых данных, через несколько месяцев может начать вести себя иначе. Без постоянного мониторинга и участия человека это быстро превращается из технологического преимущества в регуляторный риск.

Завершающим элементом становится полный комплект технической и методологической документации по европейской логике регулирования ИИ. Он обеспечивает воспроизводимость решений и прозрачность работы всех систем повышенного риска.

Европейские ориентиры и казахстанские стандарты

— Если сформулировать суть этой стратегии в одном предложении — в чем она? Можно ли отказаться от нее вообще и пойти другим путем?

— Такая логика гармонизации позволяет закрыть императивные требования Казахстана и одновременно выстроить архитектуру управления ИИ, совместимую с европейскими стандартами. В этой модели нормы ЕС выступают не как обязательство немедленного исполнения, а как внутренний ориентир качества управления рисками.

Общая логика внедрения здесь такова:

  • разделение систем снижает регуляторную нагрузку там, где цена ошибки ниже, и
  • усиливает контроль там, где он действительно необходим.

На практике, благодаря такой стратегии и набору инструментов, банк сохраняет непрерывность ключевых процессов, не снижает темпы внедрения ИИ и демонстрирует зрелость системы управления рисками для международных партнеров и инвесторов. Можно ли отказаться от такой стратегии? Не думаю, ведь суть здесь не в формальном соблюдении правил, а в построении системы, которая способна переживать изменения регулирования — и продолжать работать, повышая эффективность и конкурентоспособность банка.

Материалы по теме