Nye AI-værktøjer gør det nemt for virksomheder at analysere samhandelspartneres økonomi og risiko, men mange træder uforvarende ind i reguleret område uden at være bevidste om de juridiske implikationer.
Virksomheder, der udvikler egne AI-værktøjer til at analysere regnskaber og vurdere kunders kreditværdighed, kan i praksis ende med at agere som et kreditoplysningsbureau uden den nødvendige tilladelse.
Ifølge fintech-virksomheden Risika, der arbejder med kreditdata og risikovurderinger af virksomheder, er det en gråzone, som mange ikke nødvendigvis er opmærksomme på, og som kan have konsekvenser og sanktioner.
– Når virksomheder laver deres egne “DIY-kreditscore”, bevæger de sig ind i et område, der er både komplekst og reguleret. Det kan ændre deres juridiske rolle, uden de nødvendigvis er opmærksomme på det, siger Timm Jeppesen, CEO i Risika.
Timm Jeppesen, CEO i Risika
Kreditoplysninger om personer og enkeltmandsvirksomheder er reguleret i Danmark og omfattet af GDPR. Det kan betyde, at systematiske kreditvurderinger kræver tilladelse fra Datatilsynet – med risiko for sanktioner ved brud. Samtidig er kreditvurdering klassificeret som højrisiko-AI under EU’s AI Act med krav til dokumentation og kontrol.
Risikoen starter allerede ved udviklingen
Når virksomheder sætter deres udviklere til at bygge en scoringsmotor – skrive kode, træne modeller eller designe algoritmer – er de juridiske forpligtelser allerede i spil. Det er nok at være i gang med at udvikle systemet. Derfor kan virksomheden uforvarende have påtaget sig rollen som “udbyder” under EU’s AI Act, uden at have foretaget en eneste kreditvurdering.
– Vi taler om virksomheder, der i god tro har sat deres udviklere til at løse et forretningsmæssigt problem – og uden at vide det er endt som udbyder af et højrisiko-AI-system med tilhørende dokumentationskrav, tilsyn og potentielle bøder, siger Timm Jeppesen.
Grænsen mellem støtteværktøj og beslutningssystem er afgørende
Grænsen for, hvornår et AI-system er højrisiko, er hårfin. Et system der blot forbereder en menneskelig beslutning kan falde uden for kategorien, mens et system der reelt understøtter eller træffer beslutninger om kunder, er omfattet af kravene til risikostyring, teknisk dokumentation og menneskeligt tilsyn.
– Det simple spørgsmål, virksomheder kan stille sig selv, er om deres system hjælper dem med at træffe en beslutning, eller om det træffer den selv. Dét svar placerer dem ofte på den ene eller anden side af loven, siger Timm Jeppesen.
AI-systemer, der udfører profilering af fysiske personer, vil altid falde under kategorien højrisiko-AI under EU’s AI Act, uanset systemets kompleksitet eller omfang.
Upræcise data giver forkerte beslutninger
Ud over den juridiske risiko rejser DIY-løsningerne også et grundlæggende spørgsmål om datakvalitet. AI gør det nemt at analysere store mængder økonomiske data hurtigt, men det er ikke det samme som at analysere dem rigtigt.
– Interne AI-modeller arbejder ofte på et datagrundlag, der er ufuldstændigt eller forkert fortolket. Samtidig kan fejl være svære at opdage, fordi systemerne fremstår overbevisende. Det øger risikoen for forkerte kreditvurderinger og dermed dårlige beslutninger, siger Timm Jeppesen.
