MNB DORA AI compliance — mit jelent ez magyar bankoknak?
2025. január óta DORA (Digital Operational Resilience Act) kötelező minden EU pénzügyi intézménynek. Magyar bankoknak és fintech-eknek az MNB vezérel. Az AI rendszerekre ez mit jelent konkrétan? Itt a mérnöki és compliance értelmezés.
Mi a DORA röviden?
EU rendelet, amely pénzügyi intézmények IT rezisztenciáját, incident reporting követelményeit, külső szolgáltatók (vendor) kockázatkezelését és penetrációs tesztjeit szabályozza. Az AI rendszerek külső szolgáltatónak (OpenAI, Anthropic) minősülnek — ami jelentős compliance teher.
Mit kell tenned magyar bankként, ha AI-t használsz?
- Regisztráld az AI szolgáltatót (pl. OpenAI, Anthropic) mint kritikus harmadik fél — MNB vendor management nyilvántartásba
- ICT incident reporting eljárás: ha az AI rendszer hibázik vagy kiesik, 4 órán belüli értesítés az MNB felé
- Digital Operational Resilience Testing (DORT): évente penetrációs teszt az AI-t használó rendszerekre is
- Oversight contract: a vendor-szerződésbe kerüljön be EU-s audit jog, adat-hozzáférés, exit stratégia
- Stress teszt: az AI rendszer SLA és elérhetőség kötelező egy-két éves stress teszttel
Magyar specialitások
Az MNB Vezérigazgatói ajánlásai ezenfelül tartalmazzák: az adatok EU-s hostolását (ideális Magyarországon vagy Németországban), magyar nyelvű compliance dokumentáció leadását, és az AI modell verziók változásainak negyedéves riportálását.
Mit jelent ez praktikusan egy AI projektnél?
Ha pl. RAG-alapú ügyfélszolgálati copilot-ot építesz Claude-dal: szerződés a Claude Enterprise-szel (zero retention, EU region), human-in-the-loop review gate minden pénzügyi tanácsadási válasznál, teljes audit trail LangSmith-ben, quarterly model version review, és DORT test évente. A compliance layer a projekt költségének 15-25%-át jelenti — amit érdemes elejétől beépíteni.
“A DORA nem tiltja az AI-t banki környezetben — pont hogy legitimálja. A kulcs a dokumentáció és az audit trail; ezek nélkül nem lehet regulated AI rendszert üzemeltetni.”