Finanční sektor mezi regulacemi, technologiemi a digitalizací

Armin Warda, vedoucí divize FSI technologií v regionu EMEA ve společnosti Red Hat

Regulatorní požadavky, jako je unijní zákon o digitální provozní odolnosti (Digital Operational Resilience Act, DORA), zdůrazňují potřebu finančních institucí zlepšit jejich odolnost vůči velmi reálným hrozbám, jako jsou kybernetické útoky, selhání systémů a další provozní rizika. Hlavní výzva pro banky spočívá v tom, jak mohou nejen splnit regulatorní požadavky, ale také zůstat konkurenceschopné díky inovacím a atraktivním produktovým portfoliím. Úspěch spočívá ve správné kombinaci nových postupů a využití pokročilých technologií. Pro splnění rostoucích očekávání zákazníků ohledně nejmodernějších digitálních řešení je nezbytná zejména integrace hybridního cloud computingu a umělé inteligence. Pro banky to ale ve většině případů znamená vydat se na zcela novou cestu, aby dokázaly držet krok s měnícími se požadavky.

Rychlý pokrok ve světě technologií nepochybně znamená i změnu paradigmatu v bankovním sektoru. Například na rozdíl od tradičních transakcí vyžadují platby v reálném čase nepřetržitou dostupnost, kterou musí poskytovatelé finančních služeb zajistit nejen technicky, ale také z hlediska regulace. EU připravuje nové a revidované předpisy, jako je směrnice o platebních službách PSD3/PSR (Payment Services Directive) a směrnice o přístupu k finančním údajům FiDA (Financial Data Access), které kladou důraz na otevřené bankovnictví a sdílení finančních údajů, ale také ukládají bankám více povinností v oblasti řešení podvodů. S přechodem od dávkového zpracování plateb k platbám v reálném čase je odhalování podvodů náročnější a už ho nelze řešit bez zvýšené automatizace.

Proto zde stále větší roli hraje umělá inteligence – a to nejen při rychlejším odhalování případů podvodů a praní špinavých peněz, ale také při zlepšování služeb zákazníkům. Dalším ústředním pilířem moderních bankovních infrastruktur je hybridní nebo multicloudová strategie, jejíž využití v posledních letech rovněž výrazně vzrostlo. Přináší to řadu důležitých výhod, jako je vyšší spolehlivost a transparentnost systému, což je s ohledem na požadavky vyplývající z nařízení DORA stále důležitější, a také pomáhá snižovat závislost na jednotlivých poskytovatelích, a tím omezovat riziko koncentrace cloudu.

Platby v reálném čase nejsou jedinou technologickou inovací v bankovnictví a platebním styku. Některé tradiční banky vstupují do podnikání v oblasti úschovy spekulativních kryptoměn, jako je bitcoin, což byla doposud doména především fintech společností. Digitální měny, jako jsou stablecoiny kryté americkým dolarem nebo eurem, jsou nyní v EU regulovány nařízením MiCAR (Markets in Crypto-Assets Regulation) a v USA zákonem GENIUS a začínají narušovat zavedené systémy velkoobchodních a přeshraničních plateb. Až Evropská centrální banka zavede digitální euro, dojde k posunům v digitálních maloobchodních platbách. V současné době v těchto platbách převažují kreditní a debetní karty a platby aplikacemi od mimoevropských poskytovatelů. Digitální měny a kryptoaktiva využívají nové technologie, jako je tokenizace a technologie distribuované účetní knihy (DLT), které vytvářejí potřebu – a příležitost – řešit odolnost novými způsoby.

Důležité řešení představuje koncept „resilience by design“, což znamená, že již ve fázi vývoje nových systémů by banky měly počítat s možnými narušeními provozu a do architektury začlenit vhodná preventivní opatření. Rozhodující roli zde hrají testy scénářů a analýzy rizik, aby bylo možné realisticky posoudit dopady narušení a proaktivně vyvinout protiopatření.

Umělá inteligence již vedla ke změně paradigmatu ve všech odvětvích a bankovní sektor není výjimkou. Nástroje založené na umělé inteligenci slibují obrovské výhody i nové možnosti použití, které bankám pomohou dodržovat právní předpisy a odhalovat slabá místa. Tato řešení také vytvářejí skutečnou přidanou hodnotu v oblastech, jako je optimalizace procesů, řešení problémů nebo odhalování podvodů. Mohou tak nejen přispět k dodržování předpisů, jako je DORA, ale také zlepšit provozní efektivitu.

Zavádění umělé inteligence s sebou ale nese i řadu nových rizik a regulací, jako je například zákon EU o umělé inteligenci, kterých si banky musí být od počátku vědomy. Kromě potřeby velkého množství vysoce kvalitních dat ztěžuje rychlý vývoj přesných a spolehlivých systémů také jemné doladění modelů v souladu s právními požadavky. Efektivní implementaci pomáhají řešit specializované procesy, které trénují jazykové modely s konkrétními daty a ve specifických regulačních rámcích pro oblasti jejich použití. Je také třeba zajistit, aby modely umělé inteligence fungovaly transparentně a srozumitelně, a aby banky mohly vysvětlit, jaká data a jakým způsobem byla použita. Data, která se používají k trénování nebo dolaďování modelů umělé inteligence, však musí být předem vyčištěna. Z datových souborů je například nutné odstranit materiál chráněný autorskými právy či jinak nevhodná data. Nejlepším postupem je implementovat automatizované procesy zpracování dat, které lze kontrolovat a zaznamenávat jejich činnosti. Tyto datové toky by měly také verzovat své vstupy a výstupy a být schopny reprodukovat výsledky. Transparentnost, která umožňuje podnikům udržet si kontrolu nad rozhodováním v oblasti umělé inteligence, zde pomáhají zvyšovat open source technologie. Transparentnost, kterou open source poskytuje, je pro podniky, které jej používají, velkou výhodou, stejně jako jeho schopnost vytvářet rychlé inovace.

Nastupující technologií, která poskytuje šifrování dat v paměti během jejich zpracování je takzvaný confidential computing. Jako doplněk k osvědčeným postupům šifrování úložiště pro data v klidu a šifrování sítě pro data při přenosu umožňuje confidential computing přesunout úlohy, které zpracovávají mimořádně citlivá nebo cenná data, do veřejných cloudů. Příklady takových úloh v odvětví finančních služeb jsou trénování AI, úschova kryptoměn a digitální měny.

Při zpracování zašifrovaných dat v cloudu je pak zásadní přístup „hold-your-own-key“ (HYOK), kdy šifrovací klíče nejsou uloženy v cloudu ani nejsou pro poskytovatele cloudu viditelné, ale zůstávají v držení zákazníka. HYOK spolu se vzdálenou atestací systémů, která je další součástí confidential computingu a je poskytována open source projektem Trustee, umožňuje ověřitelnou důvěryhodnost výpočetních prostředí, která nemáte fyzicky pod kontrolou.

Stejně jako cloudová prostředí může confidential computing posílit bezpečnost a odolnost lokálního zpracování mimořádně citlivých nebo cenných dat tím, že omezí prostor pro útoky.

Kromě bezpečnosti představují náklady na škálování využití AI – zejména náklady na inferenci AI ve velkém měřítku, s tím, jak stále více aplikací získává funkce AI – rostoucí obavu pro pokročilé uživatele AI, zatímco jiné banky mohou mít stále potíže s převedením možností využití umělé inteligence z ověřených konceptů (PoC) do produkce. Vidíme, že akcionáři a další zainteresované strany stále častěji požadují důkazy o návratnosti investic (ROI) využití AI.

Klíčem k optimalizaci nákladů je přizpůsobení rovnováhy mezi cloudovou a lokální infrastrukturou pro různé případy použití AI a různé fáze vývoje AI. Banky by měly zajistit, aby bylo možné přesouvat trénování, dolaďování, ověřování a odvozování modelů AI mezi cloudovými a lokálními prostředími, a současně byly splněny požadavky na náklady, suverenitu dat a odolnost.

Důležitá však není jen samotná technologie, ale i způsob, jakým ji finanční sektor využívá. Banky, kterým se podaří současně zavádět technologické inovace a budovat potřebnou odolnost, nejen že splní regulatorní požadavky, ale také posílí svou konkurenceschopnost na stále více digitalizovaném trhu.

Organizace musí zvýšit svou flexibilitu a organizační vyspělost, aby se mohly přizpůsobit novým požadavkům. Hlavním problémem často je, že mnoho finančních institucí pracuje se zastaralými procesy, které jsou nejen neefektivní, ale také špatně zdokumentované. Tyto faktory komplikují identifikaci rizik a rychlou reakci na hrozby.

Rigidní organizační struktury navíc brání potřebné agilitě. Spolupráce mezi IT, řízením rizik a odděleními je často roztříštěná. Tyto struktury vedou nejen k neefektivnímu rozhodování, ale také ztěžují realizaci naléhavě potřebných nových strategií odolnosti. Bez jasného přehledu o kritických obchodních procesech a závislostech na poskytovatelích třetích stran nemohou banky přijímat informovaná rozhodnutí.

Všem úvahám a řešením musí předcházet jeden hlavní aspekt: odolnost není statický cíl, ale spíše trvalý proces. Ti, kteří se spoléhají na úzkou spolupráci a neustálou iteraci mezi všemi zúčastněnými stranami, vytvářejí základ pro udržitelný úspěch. Tento základ vyžaduje nejen nové technologie, ale také přehodnocení podnikové kultury.

Jako strategicky důležitý první krok se ukazuje vytvoření multifunkčních týmů. Podporou úzké spolupráce mezi odděleními IT, řízením rizik a dalšími odbornými útvary mohou banky zajistit, aby do rozhodovacího procesu byly zahrnuty všechny relevantní perspektivy. V praxi to znamená vytvoření agilních řídicích struktur, provádění průběžných testů odolnosti a začlenění zpětné vazby, které umožní rychlé přizpůsobení regulačním a technologickým změnám. Tyto činnosti zlepšují kvalitu rozhodování a podporují hlubší porozumění potřebám ostatních. Dalším klíčem jsou realistické testovací postupy – pravidelné procházení možných scénářů umožňuje účinně identifikovat slabá místa a zlepšuje schopnost reakce.

Odolnost je kulturní změnou a nezbytnou součástí úspěšných podnikových strategií. Banky, které neustále zlepšují své procesy, využívají nové technologie a podporují spolupráci mezi jednotlivými odděleními, překonají provozní problémy a využijí obrovský potenciál sílící digitalizace finančního sektoru.