Ještě před lednem 2025 se finanční instituce musí připravit na regulaci DORA. Pak začnou evropské orgány dodržování nařízení o digitální provozní odolnosti finančních institucí kontrolovat.
V roce 2008 jsme všichni pochopili, co znamená systémové riziko. Krize na hypotečním trhu ve Spojených státech se prostřednictvím složitých produktů rozšířila do celého finančního systému a způsobila dominový efekt, který otřásl světovou ekonomikou. O několik let později zažila Evropa další krizi ve spojení se systémovým rizikem související se státním dluhem. Obě krize jasně ukázaly, že potíže vyplývající z úzkého vztahu mezi veřejnými financemi a bankovním sektorem se mohou snadno přenést a vyvolat finanční napětí v dalších zemích EU.
V reakci na finanční krizi vytvořila EU v roce 2014 bankovní unii s cílem formovat jednotný, transparentní a bezpečný evropský trh, který by posílil stabilitu, bezpečnost a spolehlivost bankovního sektoru i celého společenství. S rozvojem technologií se ale ukázalo, že finanční stabilita nezávisí pouze na čistě finančních ukazatelích, ale také na digitalizaci nebo technologiích, které již většina finančních procesů využívá.
Kybernetický útok, selhání IT systémů v jedné bance nebo dokonce geopolitické rozhodnutí v jedné zemi se může rozšířit na celý evropský finanční systém nebo jeho část. Proto EU prosadila nařízení o digitální provozní odolnosti (DORA), aby se evropský finanční sektor stal „odolnějším“ i v případě vážného narušení provozu. Za tímto účelem se DORA zaměřuje na harmonizaci a posílení dvou klíčových oblastí: kybernetické bezpečnosti a řízení rizik dodavatelů technologií. Obě oblasti jsou v oboru zažité, ale velká změna, kterou DORA přináší, spočívá v tom, že finanční instituce musí mít plány a strategie pro případné ukončení spolupráce s dodavateli, kteří podporují jejich kriticky důležité procesy. Poprvé budou někteří z těchto poskytovatelů pod přímým dohledem, aby se potvrdila jejich vhodnost pro finanční odvětví, a pokud tomu tak nebude nebo již nebude, mohou orgány dohledu donutit finanční instituce, aby tyto plány ukončení spolupráce aktivovaly.
Technologické předpoklady pro splnění požadavků DORA
Jedním z klíčových předpokladů pro splnění těchto požadavků je, aby finanční instituce disponovaly technologiemi, které umožňují přenositelnost a interoperabilitu aplikací i dat. Jde o to, aby v případě závažných nebo opakujících se provozních incidentů nebo z rozhodnutí regulátora byly schopny pružně a rychle přejít z infrastruktury „A“ na infrastrukturu „B“. V této souvislosti jsou zásadní technologie s otevřenými standardy, protože umožňují používat různé služby a aplikace bez obav o kompatibilitu a také snižují závislost na dodavatelích.
Vzhledem k různým technologickým prostředím, ve kterých musí finanční instituce fungovat, je také nezbytné mít hybridní a interoperabilní platformy, kde se aplikace a data mohou přesouvat z jednoho cloudu do druhého, do datového centra nebo dokonce do libovolné kombinace infrastruktur, aniž by bylo nutné aplikace předělávat nebo přeškolovat zaměstnance. Jinými slovy, problémy, které vznikají u poskytovatelů technologií, by neměly mít negativní dopad na fungování institucí, natož na miliony občanů, podniků a institucí, které finanční systém denně využívají.
Úloha umělé inteligence v souvislosti s DORA
V procesu adaptace regulace DORA může hrát zásadní roli i umělá inteligence (AI). Její aplikace na automatizaci procesů zvýší efektivitu a odolnost finančního systému a automatizace řízená událostmi, kterou AI umožňuje, pomůže řešit požadavky DORA.
Dalším požadavkem nařízení DORA je pravidelné hodnocení rizik spojených se staršími systémy, tedy takovými, které se blíží konci svého životního cyklu, ale zároveň podporují kriticky důležité funkce finanční instituce. Zde začíná hrát klíčovou roli generativní AI, která urychluje překlad softwaru do různých aktuálnějších programovacích jazyků a modernizuje celkový technologický základ nebo uvolňuje čas pracovníků oddělení IT strávený nad prvními verzemi kódu. S ohledem na klíčové výzvy AI může optimalizovat místa nasazení aplikací, jako jsou ukazatele udržitelnosti, provozní efektivita a náklady. Možnosti AI jsou téměř neomezené, pokud jsou k dispozici správné týmy, procesy a řešení.
Přes všechny výhody AI nesmí finanční systém ztrácet ze zřetele skutečnost, že mnoho modelů AI funguje jako „černá skříňka“, která využívá miliony nebo dokonce biliony parametrů neznámého původu pro generativní AI a je trénována na datech, která jsou pro instituce, které je budou používat, často neviditelná. Tato netransparentnost je v mnoha aspektech bankovní regulace nepřijatelná. Otevření zdrojového kódu AI bude proto v tomto ohledu velkým krokem vpřed. Zpřístupnění velkých jazykových modelů (LLM), jako jsou ty z projektů Granite nebo InstructLab, přispěje k transparentnosti a vysvětlitelnosti umělé inteligence, kterou podporuje EU.
S nedávným nástupem open source AI se algoritmy a data používaná v modelech, které budou využívat finanční instituce, stanou transparentními, což umožní, aby tato vzrušující nová technologie bezpečným způsobem přinesla podnikům a společnosti mnohem víc, když se sníží riziko podjatosti orgánů dohledu při ověřování její vhodnosti. A to je dobrá zpráva pro finanční sektor, který se připravuje na zavedení regulace DORA v lednu 2025.
Autor: Héctor Arias, vedoucí globální divize technologií pro retailové bankovnictví ve společnosti Red Hat
