בינה מלאכותית במגזר הפיננסי - חובות דיווח וציות חדשים בישראל

אין בישראל רגולציה פורמלית של בינה מלאכותית אלא שהמשטר הנוכחי נסמך על הרגולציה הקיימת בתחומי הסיכון שהשימוש בבינה מלאכותית פוגש.

כך למשל, בעולמות הפיננסיים המפוקחים קיימת מסגרת רגולטורית קיימת של פיקוח, ניהול סיכונים, ממשל תאגידי והגנת לקוחות, אשר יוצרת תשתית חוקית גם בכל הנוגע לשימוש במערכות בינה מלאכותית ובכלל זה במערכות GenAI. נקודת המוצא הנוכחית של הרגולטורים איננה איסור על אימוץ טכנולוגיות מתקדמות, אלא דרישה להכרה מודעת בשימוש בהן, מיפוי והערכת סיכונים, תיעוד ויצירת נהלי עבודה להקטנת הסיכון, גילוי יזום לצרכנים כאשר מדובר ביישומים בעלי השפעה מהותית, והיערכות לאכיפה באותם המקרים שבהם השימוש יוצר סיכון רגולטורי, צרכני או מערכתי.

לאחרונה פורסם הדוח הסופי בנושא בינה מלאכותית (AI) בסקטור הפיננסי בישראל, על-ידי צוות ממשלתי בין-משרדי הכולל המלצות וקווי מדיניות למגזר הפיננסי, תוך התמקדות בהיבטים רגולטוריים של מתן אשראי, חיתום, ייעוץ השקעות, ניהול תיקים וביטוח. הדוח מדגיש כי יש לנקוט בגישה זהירה ומבוססת-סיכון, ולבסס תהליכי ממשל וניהול סיכונים ייעודיים ל-AI,  בדומה למסגרות קיימות של ניהול מודלים וסיכונים תפעוליים.

מה נחשב שימוש בבינה מלאכותית במגזר הפיננסי לצורכי דיווח וציות

שימוש בבינה מלאכותית במגזר הפיננסי מוגדר, במובן המשפטי־רגולטורי, כהפעלה של מערכת אלגוריתמית המשפיעה בפועל על תהליכים מהותיים בפעילות הגוף המפוקח. אין מדובר בהגדרה טכנולוגית, אלא בהגדרה פונקציונלית, המתמקדת בשאלה האם למערכת קיימת השפעה ממשית על קבלת החלטות, על תוצרים פיננסיים, על ניהול סיכונים או על זכויות לקוחות.

שימוש פנימי לעומת שימוש מול לקוחות

ההבחנה בין שימוש פנימי לשימוש מול לקוחות מבוססת על זהות הגורמים המושפעים מהמערכת ועל היקף ההשלכות המשפטיות הנובעות מפעולתה. שימוש פנימי מתייחס למערכות המסייעות לתהליכי ניהול, בקרה, ציות או תפעול בתוך הארגון, מבלי להשפיע ישירות על לקוחות. לעומת זאת, שימוש מול לקוחות או צרכנים מתקיים כאשר תוצרי המערכת משפיעים על התקשרות עם לקוחות, על תנאי שירות, על תמחור, על דירוג סיכון, על מתן אשראי או על ייעוץ פיננסי. הבחנה זו רלוונטית להגדרת עצם קיומו של “שימוש” רגולטורי, שכן היא משליכה על עוצמת הסיכון ועל היקף החובות החלות על הגוף המפעיל את המערכת.

שימוש תומך החלטה לעומת החלטה אוטומטית

ההבחנה בין מערכת התומכת בקבלת החלטות לבין מערכת המקבלת החלטות באופן אוטומטי נוגעת לשאלת ייחוס האחריות ולהערכת הסיכון המשפטי. כאשר המערכת מספקת המלצות או ניתוחים, אך ההחלטה הסופית מתקבלת בידי גורם אנושי, מדובר בשימוש תומך החלטה. כאשר המערכת קובעת תוצאה מחייבת או בעלת השפעה ישירה, ללא התערבות אנושית מהותית, מדובר בהחלטה אוטומטית. הבחנה זו משפיעה על האופן שבו הרגולטורים מעריכים את רמת השליטה הניהולית ואת פוטנציאל הפגיעה בלקוחות וביציבות המערכת.

למה רגולטורים בישראל מחמירים את הציפיות סביב GenAI במגזר הפיננסי

החמרת הציפיות הרגולטוריות בישראל מבוססת על ההכרה בכך שמערכות GenAI משנות את פרופיל הסיכון של גופים פיננסיים ומעצימות את הצורך בפיקוח, בשקיפות ובאחריות ניהולית. בניגוד לכלים טכנולוגיים מסורתיים, מערכות אלו פועלות לעיתים במידה מוגבלת של שקיפות, נשענות על מאגרי נתונים רחבים, ועלולות להפיק תוצרים שקשה להסבירם או לצפות את השפעתם מראש. במגזר שבו אמון הציבור ויציבות המערכת הם ערכים מרכזיים, מאפיינים אלו נתפסים כבעלי משמעות רגולטורית מיוחדת.

סיכוני ציות, שקיפות ואחריות ניהולית

סיכוני הציות והשקיפות נובעים מן הקושי להסביר תהליכי קבלת החלטות אלגוריתמיים, מן האפשרות להטיות מערכתיות ומאי־ודאות לגבי איכות מקורות המידע. לצידם, מתעוררים סיכוני אחריות ניהולית כאשר הנהלת הגוף אינה מפעילה פיקוח מספק על מערכות המשפיעות בפועל על פעילות מפוקחת. שילוב זה מצדיק, מנקודת מבט רגולטורית, העלאת רף הציפיות באשר לאופן שבו גופים פיננסיים מאמצים ומנהלים שימושים מתקדמים בבינה מלאכותית.

אילו חובות דיווח וציפיות ציות חלות בפועל על גופים פיננסיים בישראל

חובות הדיווח והציות החלות על גופים פיננסיים בישראל מתפרשות כיום גם על שימושים מהותיים בבינה מלאכותית, מכוח דיני הפיקוח, חובות ניהול סיכונים, אבטחת מידע, כללי ממשל תאגידי , דיני הגנת הצרכן ודיני הגנת פרטיות. הרגולטורים מצפים כי שימוש כזה יזוהה כחלק ממערך הסיכונים של הארגון, יתועד ויטופל בהתאם, גם בהיעדר הסדרה ייעודית ומפורטת בתחום הבינה המלאכותית.

דיווח יזום על שימושים מהותיים בבינה מלאכותית

שימוש בבינה מלאכותית ייחשב מהותי כאשר הוא משפיע באופן ממשי על פרופיל הסיכון של הגוף הפיננסי, על אופן קבלת החלטות בעלות משמעות כלכלית, על תמחור או דירוג לקוחות, או על אופי והיקף השירותים הניתנים לציבור. במצבים אלו מתגבשת ציפייה רגולטורית לדיווח יזום לרשות המפקחת, גם כאשר לא אירע כשל או אירוע חריג, מתוך תפיסה כי עצם השימוש מצדיק פיקוח מוקדם והבנה רגולטורית של השלכותיו.

שקיפות וגילוי ללקוחות על שימוש ב-AI

כאשר שימוש בבינה מלאכותית משפיע על זכויות הלקוחות, על תנאי ההתקשרות עמם או על אופן קבלת החלטות בעניינם, קיימת ציפייה רגולטורית לשקיפות ולגילוי נאות. היעדר שקיפות מספק עלול להיחשב כהטעיה או כהפרת חובות גילוי ואמון, ולהוביל לחשיפה משפטית ורגולטורית, גם אם המערכת עצמה פעלה כמתוכנן מבחינה טכנולוגית.

אחריות הנהלה ונושאי משרה בשימוש בבינה מלאכותית בגופים פיננסיים

אחריות ההנהלה ונושאי המשרה חלה גם על החלטות הנוגעות לאימוץ, להטמעה ולפיקוח על שימושים מהותיים בבינה מלאכותית. הדין והרגולציה אינם רואים בטכנולוגיה גורם המנתק את הקשר בין מקבלי ההחלטות לבין תוצאותיה, אלא כלי נוסף המצוי בשליטתם ובאחריותם של מנהלי הגוף המפוקח.

חובת פיקוח והבנה של סיכוני AI

מצופה מנושאי משרה להבין, ברמה העקרונית, את הסיכונים המרכזיים הכרוכים בשימוש במערכות בינה מלאכותית מהותיות, ולוודא כי קיימים מנגנוני פיקוח המאפשרים שליטה, בקרה וזיהוי כשלים. אין מדובר בדרישה למומחיות טכנולוגית, אלא לאחריות ניהולית להבטיח שהשימוש במערכת נעשה במסגרת מדיניות סיכונים מודעת ומבוקרת.

תיעוד ובקרה כבסיס לאחריות

קיומם של מנגנוני תיעוד ובקרה הוא רכיב מרכזי בהערכת אחריות ניהולית. היעדר תיעוד של שיקולי אימוץ המערכת, של בדיקות שבוצעו ושל אופן הפיקוח עליה, עלול להתפרש כהפרת חובת פיקוח ולהגביר את החשיפה האישית והתאגידית להליכי אכיפה.

מתי שימוש בבינה מלאכותית עלול להיחשב ככשל ציות או הפרה רגולטורית

שימוש בבינה מלאכותית עלול להיחשב ככשל ציות או כהפרה רגולטורית כאשר הוא נעשה ללא שקיפות מספקת כלפי הרגולטור או כלפי הלקוחות, ללא פיקוח ניהולי אפקטיבי, תוך הסתמכות בלתי מבוקרת על תוצרי המערכת, או כאשר קיימים פערים מהותיים במנגנוני הבקרה והתיעוד. במצבים אלו, עצם השימוש בטכנולוגיה עשוי להפוך מגורם חדשנות לגורם המקים אחריות משפטית.

היערכות משפטית לשימוש ב-GenAI בגופים פיננסיים בישראל

היערכות משפטית לשימוש ב-GenAI משמעה בחינה שיטתית של נקודות המפגש בין הטכנולוגיה לבין החובות הרגולטוריות החלות על הגוף הפיננסי. מדובר בתהליך של מיפוי שימושים קיימים ומתוכננים, זיהוי החובות החלות עליהם מכוח הדין והרגולציה הקיימים, והערכת רמת הסיכון המשפטי הנובעת מכל שימוש מהותי. היערכות זו איננה מערך ציות תפעולי, אלא מסגור משפטי של תחומי אחריות, חשיפות אפשריות והשלכות רגולטוריות עתידיות.

תובנות מרכזיות

• שימוש מהותי בבינה מלאכותית במגזר הפיננסי אינו נתפס עוד ככלי טכנולוגי ניטרלי, אלא כחלק בלתי נפרד ממערך הסיכונים שעליו חלה רגולציה פיננסית מלאה. לדוגמה, מערכת המבצעת סינון לקוחות לצורכי אשראי או זיהוי הונאות עשויה להיחשב כמרכיב המשפיע ישירות על יציבות תיק האשראי ועל חשיפת הגוף לסיכונים משפטיים.
• הציפייה מצד רגולטורים בישראל לדיווח יזום או לגילוי משקפת את תפיסת ההסברתיות – שלפיה עצם השימוש במערכות AI בעלות השפעה מהותית מחייב שקיפות מוקדמת. כך למשל, הטמעה של מערכת GenAI לצורך אוטומציה של ייעוץ השקעות או קבלת החלטות בתמחור מוצרים פיננסיים עשויה להצדיק פנייה יזומה לרשות המפקחת, גם ללא אירוע כשל בפועל.
• אחריותם של נושאי משרה חלה גם כאשר ההחלטות מתקבלות באמצעות מערכות אלגוריתמיות, ולא במישרין על-ידם באופן המשקף את תפיסת האחריותיות (accountability). במצב שבו הנהלה מאשרת שימוש במערכת המעניקה דירוגי סיכון ללקוחות, מבלי להבין את מגבלותיה או לפקח על אופן פעולתה, עלולה לקום אחריות ניהולית גם בהיעדר כוונה להפר את הדין.
• היעדר שקיפות, בקרה ותיעוד הופך שימוש בבינה מלאכותית מגורם של חדשנות תחרותית לגורם המקים חשיפה רגולטורית משמעותית. כך, למשל, שימוש במודל חיזוי ללא תיעוד מסודר של שיקולי האימוץ או ללא יכולת להסביר בדיעבד את תוצריו עלול להיחשב ככשל ציות, גם אם התוצאה העסקית הייתה חיובית.

לסיכום

השימוש בבינה מלאכותית במגזר הפיננסי משתלב כיום במסגרת חובות הדיווח, הציות והממשל התאגידי החלות על גופים מפוקחים בישראל, ומציב סט חדש של ציפיות רגולטוריות באשר לאופן ניהול הסיכונים הטכנולוגיים. יישומי GenAI מהותיים אינם ניטרליים מבחינה משפטית, אלא משפיעים ישירות על היקף האחריות הרגולטורית והניהולית של הארגון ושל מקבלי ההחלטות בו. במקרים של אי־ודאות או חשיפה מוגברת, מומלץ לבחון את המצב לאור הדין והרגולציה החלים ולהסתייע בייעוץ משפטי המתמחה ברגולציה פיננסית ובדיני טכנולוגיה.