Штучний інтелект у AML/CFT комплаєнсі

Чим може штучний інтелект допомогти у протидії відмиванню грошей та фінансуванню тероризму?

За даними ComplyAdvantage у 2023 році, у глобальному вимірі майже вдвічі зросла кількість штрафів, застосованих за порушення AML/CFT законодавства, так само як і змінився «рейтинг» порушників. 

Так, першість виборола криптовалютна індустрія, якій довелося стикнутися зі штрафами у $5,8 млрд., суттєво обігнавши банківську сферу, якій виписали штрафів лише на $835 млн.

Вочевидь, ставки ще ніколи не були такими високими і AML/CFT комплаєнс стає все більш важливим. 

Традиційно, боротьба з відмиванням грошей та фінансуванням тероризму, значною мірою спиралася на ручні процеси. Ці підходи стають дедалі менш ефективними через складність фінансових злочинів і обсяг транзакцій, що потребують перевірки. 

Це призвело до необхідності застосування AML технологій, як-от систем AML моніторингу, програмного забезпечення та інструментів AML комплаєнсу. Вони стали відігравати ключову роль у виявленні підозрілих транзакцій, моніторингу поведінки клієнтів і проведенні ефективної належної перевірки. 

Звісно, настав час інтеграції ШІ у зазначені AML технології. І переваги такої інтеграції є чисельними. 

По-перше, це розширена оцінка ризиків. Алгоритми ШІ та машинного навчання можуть аналізувати та оцінювати ризикові фактори, пов’язані з поведінкою клієнтів, транзакціями та відносинами, що забезпечує більш комплексне розуміння потенційних ризиків AML.

По-друге, це підвищена точність. Алгоритми ШІ та машинного навчання можуть виявляти підозрілі закономірності та аномалії, які можуть залишитися непоміченими традиційними системами. 

По-третє, це економічність. Алгоритми ШІ та машинного навчання дозволяють зацікавленим установам швидко та ефективно обробляти великі обсяги даних та зменшувати «ручні» зусилля, а відтак концентрувати роботу відділів комплаєнсу на кейсах з великим ризиком. 

Не викликає сумніву той факт, що наразі ми є свідками «гонки озброєнь» у застосуванні новітніх технологій, у тому числі, штучного інтелекту, як особами, задіяними у фінансових злочинах, так і фінансовими установами і регуляторами, які провадять боротьбу із цими фінансовими злочинами. 

Цікаво, що не дозволяє другій групі наразі вибороти першість у цій боротьбі?

Слабкі місця штучного інтелекту у сфері AML/CFT

Незважаючи на всі переваги застосування ШІ, існують і певні ризики, що мають враховуватися зацікавленими особами при інтеграції ШІ у процесах AML/CFT.

Серед таких ризиків та викликів, в першу чергу, виділяють проблему якості даних.

До прикладу, точність і повнота даних про клієнтів є ключовими в процесі ідентифікації клієнтів. Неточні або неповні дані можуть призвести до хибнопозитивних або хибнонегативних результатів під час перевірки особи або оцінки ризику. Як результат, це може дозволити злочинним діям залишитися непоміченими або неправильно позначити невинних клієнтів, створюючи непотрібні ускладнення та операційну неефективність.

Або ж моніторинг транзакцій клієнтів. Він значною мірою залежить від послідовності даних (які гарантують відсутність розбіжностей у розумінні діяльності клієнта) та своєчасності даних (які забезпечують моніторинг на основі найсвіжішої інформації про діяльність клієнта).

Крім того, до ризиків відносять відповідність чинним вимогам законодавства, адже ШІ-системи повинні відповідати не тільки, наприклад, європейському Закону про ШІ, але і законам про захист даних, антидискримінаційним законам та законодавству про захист прав споживачів.

І, нарешті, до ключових ризиків та проблем відносять проблему зрозумілості/ «інтерпретабельності» результатів роботи ШІ-систем та того, як вони дійшли того чи іншого висновку. Це має особливе значення для AML/CFT, оскільки саме можливість пояснення того чи іншого рішення, прийнятого із залученням ШІ, може мати юридичні наслідки у майбутньому. 

Серед таких наслідків може бути і заподіяння матеріальної чи нематеріальної шкоди результатами діяльності ШІ-систем. 

Що робити тоді?

Де шукати «крайнього», коли ШІ помилився?

Чинні національно-правові механізми відшкодування шкоди не підходять для вирішення спорів щодо відповідальності за шкоду, спричинену продуктами та послугами на основі ШІ. 

Згідно з традиційними правилами, потерпілі повинні довести винну протиправну дію або бездіяльність особи, яка спричинила шкоду, а також причинно-наслідковий зв’язок між такими діями чи бездіяльністю та заподіяною шкодою. 

Специфічні характеристики ШІ можуть ускладнити або зробити надто дорогим для потерпілих встановлення винної особи та доведення необхідних обставин для задоволення позову. 

Із розумінням цього, ще у жовтні 2020 року Європарламент ухвалив Резолюцію 2020/2014(INL) із рекомендаціями Єврокомісії щодо питання визначення режиму цивільної відповідальності для ШІ («Резолюція 2020»). 

Незважаючи на те, що даний документ не має обов’язкового характеру, він слугує політичною заявою та рекомендацією Єврокомісії, та визначає основні принципи, що мають бути включені до майбутнього законодавчого документу.

Так, Резолюція 2020 визначає правила щодо вимог фізичних та юридичних осіб про притягнення до цивільно-правової відповідальності операторів ШІ-систем високого ризику. При цьому, розрізняються поняття «фронтенд» та «бекенд» операторів. 

Перші є фізичними або юридичними особами, які здійснюють певний контроль за ризиками, пов’язаними із роботою та функціонуванням ШІ-систем, а також отримують вигоду від такої роботи. 

Другі є фізичними або юридичними особами, які на постійній основі визначають характеристики технологій, що застосовуються, та надають дані та суттєву бекенд підтримку, а відтак теж здійснюють контроль за ризиками, пов’язаними із роботою та функціонуванням ШІ-систем.

Важливо, що Резолюція 2020 пропонує встановлення правового режиму суворої відповідальності. 

Так, зазначається, що оператори ШІ-систем з високим рівнем ризику, з метою звільнення від відповідальності не можуть посилатися на те, що вони діяли з належною обачністю, або що шкоду чи збиток було завдано автономною діяльністю, пристроєм чи процесом, керованим їхньою ШІ-системою. Оператори не несуть відповідальності лише якщо шкоду або збитки спричинили форс-мажорні обставини.

Важливо, що Резолюція 2020 визначає граничні розміри відшкодування за шкоду, заподіяну внаслідок дій ШІ-систем з високим ризиком. 

Зокрема, передбачається компенсація у розмірі до 2 млн. євро у разі смерті або шкоди здоров’ю (фізичному чи психічному), а також у розмірі до 1 млн. євро у випадку заподіяння значної нематеріальної шкоди, якою спричинені суттєві економічні втрати або шкода майну. 

Важливо, що коли відповідної шкоди однією дією чи бездіяльністю заподіяно декільком особам-позивачам, то відповідне відшкодування не може перевищувати зазначеного порогу, тобто, відшкодування має пропорційно розподілятися між всіма позивачами.

Пропонуючи встановлення таких високих порогів матеріальної відповідальності, Європарламент зазначає також про необхідність введення обов’язкового страхування відповідальності для операторів ШІ-систем високого ризику.

Принаймні, такий був план та візія Європарламенту.

У вересні 2022 року Єврокомісія опублікувала проєкт Директиви щодо застосування правил позадоговірної цивільної відповідальності до ШІ («AILD Директива»).

Щодо шкоди, заподіяної ШІ-системами, AILD Директива має на меті забезпечити ефективну основу для відшкодування шкоди у позовах, що подаються на підставі недотримання відповідачем обов'язку дбайливого ставлення (duty of care) згідно із законодавством ЄС або національним законодавством.

Формулювання правового механізму відшкодування шкоди саме через концепцію порушення duty of care пояснюється викликами, що з ними стикаються позивачі при обґрунтуванні причинно-наслідкового зв’язку між незабезпеченням дотримання вимог законодавства, тобто виною, та результатами роботи ШІ-систем або неспроможністю ШІ-систем створити певний результат, що, у свою чергу, спричиняє відповідну шкоду. 

Відповідно, AILD Директива у статті 4 закладає презумпцію наявності такого причинно-наслідкового зв’язку. 

Умовою для такої презумпції є доведення вини відповідача, а також того факту, що відповідна вина вплинула на результат роботи ШІ-системи або його відсутність. Водночас, позивач повинен довести, що система ШІ (тобто, її результат або невиконання результату) спричинила шкоду.

Вину відповідача можна встановити, наприклад, через доведення недотримання duty of care відповідно до Закону про ШІ або інших правил ЄС, які, наприклад, регулюють використання автоматизованого моніторингу та ухвалення рішень для платформної праці або регулюють експлуатацію безпілотних літальних апаратів. 

Також вина може бути встановлена судом на підставі недотримання судового наказу про розкриття чи збереження доказів. 

Важливо, що AILD Директива розрізняє позови, подані проти (а) постачальника ШІ-системи високого ризику або проти особи, яка підпадає під зобов'язання постачальника відповідно до Закону про ШІ, та (б) позови проти користувача таких систем. 

У вересні цього року за запитом Правового комітету Європейського Парламенту проведено дослідження та опубліковано Додатковий звіт про оцінку впливу проєкту AILD Директиви. 

Як зазначається самим Європарламентом, пропонується розширити сферу дії AILD Директиви для охоплення ШІ-систем загального призначення та інших «високовпливових систем ШІ», а також програмного забезпечення. Зокрема, дослідження рекомендує перейти від директиви, зосередженої на ШІ, до регулювання відповідальності за програмне забезпечення. 

Також пропонується запровадження змішаної системи відповідальності, яка врівноважує позадоговірну цивільну відповідальність та сувору відповідальність, про яку йшлося у Резолюції 2020.

Цікаво, чим закінчиться цей європейський законотворчий процес.