Nařízení DORA se začalo používat 17. ledna 2025 a Česká národní banka oznámila, že bude jeho plnění sledovat v rámci dohledu. Formálně jde o digitální provozní odolnost finančního sektoru, ne o umělou inteligenci. Prakticky se ale DORA stává jedním z hlavních rámců pro bankovní AI. Jakmile AI systém vstupuje do klientského procesu, detekce podvodů, scoringu, call centra nebo interního rozhodování, není to jen inovace. Je to ICT riziko.
Banka nemůže oddělit model od provozu
Retailové bankovnictví je ideální prostředí pro AI: vysoký objem transakcí, opakující se vzorce, velké množství historických dat a tlak na rychlost. Stejné vlastnosti ale zvyšují riziko. Když selže marketingový model, firma pošle horší nabídku. Když selže model ve fraud detection, může pustit podvod nebo zablokovat legitimní platby. Když vypadne chatbot v bankovní aplikaci, část klientů ztratí přístup k podpoře v citlivém okamžiku.
Komerční banka ve výroční zprávě za rok 2024 uvádí, že investiční podvody tvořily 62 procent zaznamenaných platebních podvodů, phishing 12 procent a vishing 10 procent. Zpráva zároveň popisuje automatizovaný Fraud Detection System založený na pravidlech a modelech analyzujících transakce, zařízení a uživatelské relace. To je dobrý příklad oblasti, kde AI není vedlejší doplněk. Je součástí obranné infrastruktury.
DORA tlačí na třetí strany
Banky často nebudou modely provozovat celé samy. Budou používat cloud, SaaS nástroje, API modely, specializované fraud systémy, call center platformy nebo analytické dodavatele. DORA však vyžaduje řízení rizik třetích stran v oblasti ICT. To znamená smlouvy, exit plány, testování, evidence kritických funkcí a schopnost reagovat na incident.
Pro AI dodavatele to mění prodejní konverzaci. Nestačí říct, že model má vysokou přesnost. Banka se bude ptát na provozní dostupnost, lokalitu zpracování, logování, obnovu po výpadku, subdodavatele, změnové řízení modelu, testovací prostředí a incident reporting. U generativní AI přibude otázka, zda se prompt a odpověď stávají bankovním záznamem a jak dlouho se uchovávají.
ČNB bude zajímat proces, ne demo
ČNB tradičně nehodnotí technologii podle toho, jak dobře vypadá v ukázce. Bude se dívat na řízení rizik, odpovědnost vedení, kontrolní funkce a schopnost doložit rozhodnutí. AI projekt v bance proto nemůže zůstat v inovačním oddělení. Musí projít architekturou, bezpečností, právem, compliance, data governance a provozem.
To má i pozitivní stránku. DORA může pomoci oddělit seriózní AI nasazení od experimentů bez vlastníka. Pokud je systém kritický, musí mít runbook. Pokud používá externí službu, musí mít smluvní a technickou kontrolu. Pokud se mění model, musí existovat postup validace. Tato pravidla nejsou brzdou AI. Jsou podmínkou, aby se AI dala použít v instituci, která spravuje peníze milionů klientů.
V retailovém bankovnictví bude zvlášť citlivá hranice mezi doporučením a rozhodnutím. Model může navrhnout, že klient je ve zvýšeném riziku podvodu, ale proces musí určit, kdo smí transakci zadržet a jak se klient dozví důvod. Podobně u chatbotu může systém připravit odpověď, ale nesmí nepozorovaně měnit smluvní podmínky nebo dávat individualizované finanční doporučení bez kontroly. DORA zde nepřináší odpověď na každý AI detail, ale nutí banku popsat scénář selhání dříve, než k němu dojde.
Tlak poroste i z druhé strany trhu. Klienti očekávají okamžitou reakci na podvod, ale zároveň nechtějí, aby jim banka bez vysvětlení blokovala platby. To je přesně oblast, kde musí AI pracovat s lidským escalation procesem. Odolnost není jen dostupnost serveru. Je to schopnost rychle vrátit službu do normálu, vysvětlit zásah a poučit model i pravidla z incidentu.
Bez této zpětné vazby se i dobrý model časem odtrhne od reality útoků.
Co to znamená
Proč na tom záleží: retailová banka bude mít stále víc AI v rozhraní ke klientovi i v obranných systémech na pozadí. Bez provozní disciplíny se z toho stane křehká vrstva nad kritickou infrastrukturou. DORA připomíná, že dostupnost, audit a reakce na incident jsou stejně důležité jako přesnost modelu.
Pro české banky je praktický postup jasný. Nejprve označit AI systémy, které podporují kritické nebo důležité funkce. Potom zmapovat dodavatele a datové toky. Následně sjednotit testování modelů s ICT risk managementem: nejen accuracy, ale i výpadek, degradace, změna dat, útok na prompt, špatná integrace a chování při nedostupnosti dodavatele.
AI v bance bude postupně méně tématem inovací a více tématem řízení. To není špatná zpráva. Znamená to, že se dostává do jádra provozu. DORA jen říká, že kdo ji tam pustí, musí ji umět také vypnout, vysvětlit a nahradit, když se něco pokazí.
Proč je to důležité
Adopce AI v českém prostředí už není otázkou prestiže, ale konkurenceschopnosti. Firmy, které začnou letos, získají zásadní časovou výhodu.
Pondělní redakční briefing
Pravidelný přehled o AI v českém byznysu přímo do vaší schránky. Bez spamu, jen data.