ביום 24 בדצמבר, 2025 פורסם הדוח הסופי בנושא בינה מלאכותית (AI) בסקטור הפיננסי בישראל, על-ידי צוות ממשלתי בין-משרדי שהוקם בשנת 2022. בצוות חברים נציגי משרד המשפטים ומשרד האוצר, הפיקוח על הבנקים, רשות שוק ההון, ביטוח וחיסכון, רשות ניירות ערך ורשות התחרות. הדוח מתמקד בהשלכות השימוש ב-AI על מתן שירותים פיננסיים ועל חובות הציות של גופים מפוקחים, ומציג כיוון רגולטורי ברור: אימוץ AI מותר ואף צפוי להתרחב, אך ילווה בדרישות ממשל, בקרה ושקיפות לפי רמת הסיכון.
הדוח כולל המלצות וקווי מדיניות למגזר הפיננסי, תוך התמקדות בהיבטים רגולטוריים של מתן אשראי, חיתום, ייעוץ השקעות, ניהול תיקים וביטוח. הדוח מדגיש כי יש לנקוט בגישה זהירה ומבוססת-סיכון, ולבסס תהליכי ממשל וניהול סיכונים ייעודיים ל-AI, בדומה למסגרות קיימות של ניהול מודלים וסיכונים תפעוליים.
להלן עיקרי ההמלצות והנחיות העבודה של הצוות:
אין "פטור AI": שירות, המלצה או החלטה שניתנים באמצעות בינה מלאכותית כפופים לדין הקיים – לרבות דיני הגנת הצרכן, פרטיות, איסור אפליה, אחריות מקצועית וחובות גילוי. המשמעות היא שיישום AI אינו "מחליף" עמידה בחובות בסיסיות, אלא מחייב לוודא שהמערכת עומדת בהן באופן מדיד ומתועד (למשל: בקרות למניעת הטעיה או הטיות, תיעוד בסיסי לקביעות מהותיות, ומנגנוני טיפול בתלונות/ערעורים).
האחריות נשארת אצל הגוף המפוקח: בין אם המערכת נרכשת מספק חיצוני, מבוססת על מודל צד שלישי או פועלת באופן אוטונומי – האחריות כלפי הלקוח והרגולטור אינה "נודדת" ונשארת אצל הגוף המפוקח. הדוח משקף ציפייה לתהליכי בדיקת נאותות לספקים (בפרט סביב מקורות נתונים, תהליכי אימון, בדיקות הוגנות ואבטחת מידע), להסכמים שמגדירים חובות שקיפות ושיתוף פעולה בביקורת, ולהגדרת RACI פנימי ברור: מי מאשר, מי מנטר, ומי אחראי לתיקון ותקריות.
גישה מבוססת-סיכון הופכת לסטנדרט: שימושים מהותיים ובעלי השפעה על לקוחות (כגון מתן אשראי, חיתום ביטוחי, ייעוץ והשקעות) יידרשו לרף גבוה יותר של בקרה, הסברתיות ומעורבות אנושית. שימושים תפעוליים פשוטים (יותר "המלצה" ופחות "קבלת החלטה") – יידרשו לרף נמוך יותר. מומלץ לסווג שימושי AI למדרגות סיכון (למשל: קבלת החלטה מול סיוע, השפעה על זכויות/מחיר/כשירות לקוח, היקף לקוחות, רגישות נתונים), ולהצמיד לכל מדרגה סט בקרים: בדיקות לפני עלייה לאוויר, ניטור שוטף, ספי עצירה (kill switch) ותדירות רה-ולידציה.
הסברתיות דו-שכבתית: הגורם המפוקח נדרש להבטיח הסברתיות כללית של המערכת לרגולטור (אופן פעולה, נתונים ואלגוריתמיקה), ובמקביל – הסברתיות פרטנית ללקוח בהחלטות מהותיות ובסיכון גבוה, בכפוף למגבלות טכנולוגיות. ככל שקיים קושי להסביר את המערכת (בעיית 'הקופסה השחורה'), הדוח ממליץ לאפשר חלופות שירות ללקוחות, כולל שירות אנושי. המשמעות היא שיש להיערך ליכולת לתת "הסבר שניתן לפעולה" (actionable) – מה היו הגורמים המרכזיים שהשפיעו על החלטה, כיצד ניתן לשפר תוצאה, ומהו נתיב פנייה להשגה או בדיקה אנושית.
יידוע וגילוי: מומלץ לגבש מנגנונים להנגשת הגילוי על עצם השימוש במערכת בינה מלאכותית במתן השירותים, לרבות היקף, מתכונת ותדירות הגילוי, לפי רמת הסיכון והקשר השירות, וכל עוד ניתן, להציע חלופה של מתן שירות אנושי.
פרטיות והגנת מידע: הדין הישראלי ניטרלי-טכנולוגית וחל גם על שימושי AI. יש לחזק אבטחת מידע, מינימיזציה, להקפיד על חוקיות השימוש במידע, ולבצע הערכת תסקיר השפעה בנוגע לכלים בסיכון משמעותי. מעניין לציין כי הדוח מאותת כי נושא הסדרה של scraping ('קציר מידע') ייבחן כדי לקבוע הוראות המסדירות את התנאים והנסיבות שבהם ניתן לכרות מידע מהאינטרנט באופן שאינו מפר את הוראות חוק הגנת הפרטיות.
AI Governance: הדוח מאותת בבירור כי מצופה מגופים פיננסיים להקים מסגרות ממשל לבינה מלאכותית – מדיניות, תהליכי אישור, בקרה וניטור – בדומה לניהול סיכונים ומודלים.
פרטיות והטיות יהיו מוקדי האכיפה הראשונים: AI מחדד סיכונים קיימים בנוגע לעיבוד מידע אישי בהיקפים רחבים, יצירת נתונים מוסקים (inferred data), והטיות תוצאתיות נסתרות. אלו התחומים שבהם רגולטורים צפויים להתמקד.
סיכונים רחבים יותר לשוק הפיננסי: הדוח בחן גם סיכונים של פגיעה ביציבות הפיננסית, פגיעה בתחרות, סיכוני התערבות צד שלישי וסיכוני דיסאינפורמציה ומניפולציה, אם כי בשלב זה ההמלצות עודן בוסריות. הדוח מציע גם לשקול כללים למניעת ריכוזיות או תלות-יתר בנותני שירותי AIלרבות דרישה לגיוון ספקים במקרים מסוימים.
צעדים פרקטיים שכדאי לשקול כבר עכשיו:
מיפוי שימושי AI קיימים ומתוכננים וגיבוש מדיניות AI ונתונים ברמת הנהלה/דירקטוריון.
זיהוי מערכות מהותיות ומידת ההשפעה שלהן על הגוף המפוקח ועל הלקוח.
בחינה מחודשת של חוזים והסכמי רישיון עם ספקי AI, בדגש על אחריות, שקיפות, שיתוף פעולה בביקורת ואבטחת מידע.
תיעוד נתונים ושימושים כדי לאפשר הסברתיות ומסמכי יידוע למשתמשים.
הגדרת מנגנוני מעורבות ופיקוח אנושי, ובקרה על החלטות המתקבלות על ידי המערכת.
ביצוע תסקיר השפעת פרטיות או הערכת סיכונים בשימושים רגישים.
סיכום עם ChatGPT
