A hitelbírálat tradicionálisan az ügyfélről szerzett adatokra épít, a hitelbíráló ezen adatok alapján dönt a hitelszerződés megkötéséről, illetve annak bizonyos paramétereiről. Miben tér el a hitelbírálat folyamata, ha az eljárásba mesterséges intelligenciát is bevonnak?
M.A.: A digitális eszközök lehetővé tették hihetetlen mennyiségű adat elemzését, így a hitelbírálat során lehetővé vált, hogy a bankok gazdasági és társadalmi trendeket tárjanak fel; nem közvetlenül az adott ügyfélre vonatkozóan vonnak le következtetéseket, hanem arra a foglalkozási körre, vagy általában véve arra a környezetre, amihez az ügyfél tartozik. Ezek a folyamatok rengeteg olyan adatot tudnak figyelembe venni, amelyek gazdasági értelemben relevánsnak minősülnek. A hitelbírálat folyamata során a bank megpróbálja megjósolni, hogy az ügyfél milyen sikerességgel fogja tudni törleszteni a hitelt, és minél több releváns adatot tud figyelembe venni a folyamat során, a jóslata annál pontosabb lesz.
V.E.: A hitelbírálatok egyre inkább automatizált módon történnek, humán erőforrás bevonása nélkül. A folyamat végén lehet, hogy egy személy hoz majd formális döntést, de ahogy az újabb esetek is mutatják, a humán kontrollerek ilyenkor szinte mindig az MI által meghatározott scoring (hitelbírálati) értékekre támaszkodnak, és nem látják át, hogy a rendszer milyen súllyal és egyáltalán milyen tényezők alapján kalkulálta az ügyfelet minősítő pontszámot.
Komoly problémákat vethet fel tehát az az ismerethiány, ami a rendszer fekete doboz jellegéből adódik, hiszen az általa hozott döntések mögé a banki munkatárs sem lát, így, ha lenne is rá lehetőség, az ügyfél nem tudja, hogy konkrétan mivel szemben éljen panasszal.
Éppen a napokban születtek meg a SCHUFA ügyben az Európai Bíróság (EUB) ítéletei, amelyeket nagy várakozás előzött meg a szakmában. Az EUB szerint – a GDPR előírásai alapján – automatizált döntéshozatalnak minősül a független hitelminősítő cégek által, MI alkalmazásával kalkulált credit scoring, amely a banki döntést valójában determinálja. Habár a formális döntést ezekben a helyzetekben a bank hozza meg, de ha meghatározott pontozási százalék alatt a bank döntése nemleges, akkor a minősítés a döntést jelentős mértékben befolyásolja. Az EUB értelmezése irányt mutat arra a helyzetre, amikor az úgynevezett assistive AI előkészíti az emberi döntéshozatalt, amivel ténylegesen meg is hozza a döntést, hiszen azt jelentősen determinálja.
Milyen várható következményei lesznek a SCHUFA ügynek?
V.E.: A SCHUFA ügynek messzemenő következményei lesznek, hiszen a „döntés" terjedelme és ezáltal az automatizált döntéshozatal tilalma igen tág meghatározást nyert. Ez alól a tilalom alól csak bizonyos feltételek mellett lehet mentesülni. Jó példa talán, ha az automatizált döntéshozatalra a „szerződés teljesítése” érdekében van szükség és egyúttal a folyamatba megfelelő garanciák beépítésre kerültek úgy, mint az ügyfél külön tájékoztatása és joga, hogy emberi beavatkozást kérjen és kapjon, kifejtse álláspontját, magyarázatot kapjon a döntésről és panasszal éljen.
Ha a döntéshozatalba bank és hitelminisítő cég is bevonásra kerül, akkor meg kell vizsgálni, hogy a felek között hogyan oszlik meg a felelősség a GDPR-megfelelőség tekintetében, továbbá, hogy a döntéshozatal folyamatában a bank részéről történik-e további tényleges mérlegelés vagy a döntéshozatal továbbra is alapvetően a scoring értéken fog alapulni. Az utóbbi esetben az további kérdés, hogy a bankok egyáltalán mennyiben támaszkodhatnak majd a jövőben a hitelminősítő cégek scoring értékeire, hiszen a hitelminősítő cégek egyrészt nincsenek közvetlen szerződéses kapcsolatban az ügyféllel, másrészt nem mindegy, hogy milyen körülmények között gyűjtötték be az ügyfélről az adatokat.
A klasszikus hitelbírálat során a bank elsősorban az ügyféltől, illetve az ügyfélen keresztül szerezte be a döntéseit megalapozó adatokat. Mennyiben más az az adatkör, amire az MI a scoring értékek meghatározásakor támaszkodik, illetve ami alapján végül a hitelbírálati döntés megszületik? Változott az adatok forrása is a korábban megszokott folyamathoz képest?
M.A.: Ezen adatkör egy része továbbra is az ügyféltől érkezik, szerepelnek benne továbbá nyilvános gazdasági adatok, esetleg piaci trendek, de hogy pontosan milyen adathalmazról van szó, és azt pontosan hogyan használják, az nem teljesen megismerhető, egy része ezeknek az információknak üzleti titoknak minősül. Az ügyfél annak az adatkörnek a tartalmával nyilván tisztában van, amit maga adott meg a hitelbírálati folyamat során. A bank azonban nem csak olyan információkat használhat fel, amelyeket közvetlenül az ügyféltől szerzett, illetve amit az ügyfél maga is ismer, hanem számos olyan szempontot is figyelembe vehet, amiről az ügyfél esetleg még csak nem is tud.
Ez az ügyfél számára átláthatatlanná teszi a folyamatot, nehezebben derül ki számára, hogy a hitelbírálat során éri-e, érte-e hátrányos megkülönböztetés.
Például, ha a lakcím alapján a helyi ingatlanárakat figyelembe véve a bank kereseti kategóriákba sorolja az ügyfelet, tehát nem pusztán egy lakóhelyként veszi számításba, akkor felmerül a diszkrimináció lehetősége. Ha a bank a szerzett adatok alapján további társadalmilag releváns következtetéseket is levon, és amennyiben az ügyfél a folyamatnak erre a részére nem lát rá, lehetetlenné válik, hogy bármilyen formában azonosítsa a jogsértést, vagy bármilyen módon védekezzen ellene.
V.E.: Ez még egy erősen alakuló terület, a Magyar Bankszövetség is nemrég tett arra vonatkozóan javaslatot, hogy közvetlenül hozzáférjen az állami nyilvántartásokhoz. Az majd nagy kérdés lesz, hogy a bankok hogyan fogják tudni kezelni ezt a hatalmas adathalmazt. Eddig a klasszikus hitelbírálati mechanizmus során alapvetően jövedelmi és pénzügyi fegyelmezettségre vonatkozó adatokra lehetett támaszkodni, most azonban megnyílt az a kapu, hogy az ügyfelek szokásait és akár magatartási mintázatait is figyelembe vegyék. Kérdéses, hogy ez a jövőben mennyire lehet majd jogszerű, hiszen a magyar adatvédelmi hatóság eddig sem engedett meg semmilyen közösségimédia-ellenőrzést vagy háttérvizsgálatot. Rengeteg a nyitott kérdés, éppen ezért az Európai Adatvédelmi Biztos azt javasolja, hogy európai uniós szinten legyen meghatározva, hogy a hitelbírálat során milyen adatköröket lehet használni és a bankok milyen adatforrásokhoz nyúlhatnak.
A szolgáltatókra vonatkozó tájékoztatási kötelezettség nem ismeretlen a mai világban, azonban az az ellentmondás, hogy bonyolult dolgokat is egyszerűen és közérthetően kell az ügyfeleik számára megismerhetővé tenni, továbbra is kihívást szokott jelenteni. Hogyan birkózik meg ezzel az ellentmondással a szabályozás és a hitelpiac az MI vonatkozásában?
M.A.: Egyre erősödő szabályozással számolnék. Idővel megjelenik egy bővülő információtömeg, és ahogy majd látszik, hogy annak melyik része kifejezetten vagy kiemelten releváns a fogyasztó számára, akkor valószínűleg a szabályozásnak erre ki kell majd térnie. Ahhoz hasonló trendre számítok, mint ami az élelmiszeriparban zajlott le az elmúlt 10-15 évben, hogy megadjuk a tájékoztatást az adott termék összetételéről. Az összetételre adott tájékoztatás egy része viszont nem egyértelmű a fogyasztó számára, el tudja olvasni, de nem tudja, hogy mit jelent. Ha a tájékoztatás valamely eleme, beleértve az MI-t is, fontos, akkor elő fogják írni, hogy arra kiemelt hangsúlyt kell fektetni a tájékoztatás során.
B.A.: Amikor a teljes hiteldíj mutató (THM) évekkel ezelőtt megjelent, az is egy új fogalom, egy szabályozásból eredő kötelezettség volt annak érdekében, hogy legyen egy olyan fokmérő, ami minden szolgáltatásnál vagy terméknél ugyanazt jelenti, hogy fogyasztóként azokat össze lehessen hasonlítani. Ezek nagyban tudják segíteni, hogy közérthetővé váljon a tájékoztatás, a THM is beépült a fogalomrendszerünkbe, ma már nagyjából természetes mindenki számára, mert halljuk, látjuk, használjuk.
M.A.: Maga a szabályozás azt akarja biztosítani, hogy az MI alkalmazások átláthatóak és megmagyarázhatóak legyenek.
Az ügyfélnek joga van megismerni a folyamatot, ami viszont egész biztosan nem tud teljes körű lenni, mivel olyan adatok és trendek is szerepet játszottak a döntésben, amelyeket maga az alkalmazó sem feltétlenül lát át.
Várhatóan kialakul majd ebben egy egyensúly. Azt azonban meg kell jegyeznünk, hogyha felmerül annak lehetősége, hogy hátrányos megkülönböztetés érte az ügyfelet azáltal, hogy valamilyen társadalmilag releváns szempont játszott szerepet abban, hogy végül negatívvá vált a bírálat, bár nem közvetlenül, de közvetve mégis, akkor megfordul a bizonyítás terhe, és a pénzintézetnek kell igazolnia, hogy a döntése racionális volt, és nem hátrányos megkülönböztetés volt a döntés alapja. Ez a kötelezettség akkor is terheli a pénzintézetet, ha mástól vásárolja a technológiát.
B.A.: A hitelbírálat már most is elég bonyolult és összetett folyamat, nagy kérdés, hogy a szabályozó vagy a felügyeleti hatóság hogyan tudja majd elérni, hogy az erről szóló tájékoztatások közérthetőek legyenek. Szerintem ez nagy nehézség és komoly kihívás lesz. Analógia lehet az adatkezelés területéről egy jól elkészített adatkezelési tájékoztató, hiszen azzal szemben is követelmény, hogy rövid, tömör, velős, de egyébként a GDPR-nak megfelelő és közérthető legyen. Nagy kihívást jelent ennek elkészítése az adatkezelők számára, másrészt hasonló megpróbáltatás az érintett számára is annak megértése.
A pénzintézetek és ügyfeleik közötti viszonyra már most is kifejezetten komplex szabályozás vonatkozik, ügyfélként sokszor nem könnyű átlátni, hogy pontosan minek is kell megfeleljen egy bank, vagy hova is fordulhatunk jogorvoslatért. Miről kell egy banknak tájékoztatnia az ügyfelét, milyen tartalommal és milyen módon kell ezt tennie? Milyen szabályok alapozzák meg ezt a tájékoztatási kötelezettséget?
V.E.: Ha csak adatvédelmi oldalról vizsgáljuk, a GDPR kifejezetten előírja, hogy az algoritmus logikájáról tájékoztatást kell adni, de az már egy nehéz gyakorlati kérdés, hogy ezt milyen módon lehet teljesíteni. Ha felnyitjuk a fekete dobozt és feltárul egy neurális hálózatú mechanizmus, ami mondjuk 150 adatrétegből áll, akkor ettől nem lesz okosabb az érintett, és nem fogja tudni jobban gyakorolni az érintetti jogait.
Alapvetően egy rövid tömör tájékoztatást kell adni, aminek az lenne a célja, hogy az érintett képessé váljon gyakorolni a jogait, vagy akár panaszt tudjon tenni. Erre nincs bevett megoldás, ezt az adott banknak kell meghatároznia. Vannak már jó gyakorlatok, például fel lehet építeni egy alternatív teszt adatbázist, amibe az érintettek maguk vihetik be az adatokat, és tesztelhetik, hogy bizonyos bemeneti adat milyen eredményt generál, így láthatják, hogy a rendszer milyen adatokat, milyen módon súlyozott. Azt hiszem, hogy egy ilyen megközelítés sokkal inkább szolgálja az ügyfelek érdekeit és egyben jelenthet biztonságot a bankok számára.
B.A.: Az ügyfél ebben a folyamatban is fogyasztó marad, tehát a fogyasztóvédelmi szabályoknak érvényesülniük kell. A pénzintézetekre a tájékoztatási kötelezettség a fogyasztóvédelmi szabályok alapján is vonatkozik; ennek a tájékoztatásnak tisztességesnek kell lenni, és a fogyasztói döntéshozatal minden fázisában megfelelő információkkal el kell tudni látni a fogyasztót. A bank nem hivatkozhat arra, hogy nem tudja, hogy az a rendszer, amit működtet, pontosan milyen adatok és szempontok alapján dönti el, hogy hitelképes-e valaki vagy sem.
Ha a döntéshozatali folyamat valami miatt torzult, akkor az ügyfélnek fogyasztóként joga van az MNB-hez, a versenyhivatalhoz, vagy a fogyasztóvédelmi hatóságokhoz fordulni.
A nagy szolgáltatóval szemben egy információs aszimmetriában lévő személyként próbálhatja meg érvényesíteni, hogy megfelelően tájékoztassák arról, hogy miért döntöttek vele szemben úgy, ahogy döntöttek. Nem is biztos, hogy a döntés diszkriminatív, könnyen lehet, hogy a pénzintézet egyébként fel tudna sorolni olyan szempontokat, ami alapján igazolható a döntés jogszerűsége. Viszont, ha arról nem volt kellően informált az ügyfél, hogy milyen szempontok, milyen mechanizmusok alapján döntötték azt el, hogy hitelképes-e vagy sem, akkor a szolgáltató komoly hatósági eljárásokkal nézhet szembe.
A diszkrimináció fogalma a különböző tudományterületeken más és más, és a különböző fogalmak alkalmazása eltérő eredményekre vezethet. Hogyan egyeztethetőek össze ezek a különböző megközelítések az MI vonatkozásában?
M.A.: Informatikai vagy matematikai szempontból az, ami a statisztikai valószínűségekkel összhangban van, nem diszkriminatív. Jogi szempontból viszont egyáltalán nem erről szól a diszkrimináció, hanem a társadalmi kirekesztés megakadályozásáról. Tehát attól, hogy valami statisztikailag alátámasztott, ami informatikailag rendben van, az jogi szempontból még lehet diszkriminatív.
Hogyha az informatikusok és jogászok megtanulnak együtt dolgozni a fejlesztések során, akkor a definíciók közeledhetnek egymáshoz. Ez a felismerés a szakmában is új trendeket fog nyitni.
A jogászi megközelítés sokszor eltérő, mint más társadalmi szereplőké, más tudományterületek képviselőié, mert figyelembe kell vegye azt is, hogy mi jelentené a társadalmilag helyes fejlődési irányt. Néhány évtizeddel ezelőtt a biztosítók elkezdtek a női gépjármű-tulajdonosokra kedvezőbb tarifákat alkalmazni. A szakértők adatai azt mutatták, hogy a női vezetők kisebb eséllyel okoznak balesetet, mivel kevésbé agresszívek és kockázatkerülőbbek, mindezek nyomán pedig kevesebbe kerülnek a biztosítónak. Statisztikailag tehát teljesen megalapozott volt a női gépjármű-tulajdonosoknak kalkulált kedvező biztosítási díj. Erre viszont azt mondta az Európai Bíróság, hogy ez diszkriminatív, mert nemek közötti megkülönböztetést jelent.
V.E.: Vannak technológiák, amelyek tudnak javítani a helyzeten, de ezek nem tökéletesek, ráadásul újabb és újabb kérdéseket vethetnek fel. Az angol adatvédelmi biztos például kifejezetten javasolja, hogy különleges adatokat, tehát védett tulajdonságokra vonatkozó adatokat kezeljen a rendszer annak érdekében, hogy ilyen módon tanulhasson és képes legyen felismerni a védett tulajdonságot és megvédeni azt. De felmerül, hogy akkor a különleges adatokra vonatkozó szabályokat hogyan tudjuk érvényesíteni? Azt tudjuk, hogy a GDPR ezen adatok kezelésére jóval szigorúbb szabályokat határoz meg.
A modellt is lehet módosítani, vagyis, ha egy hitelbírálat során diszkriminatív volt például a férfi-női arány a pozitív előrejelzések tekintetében, akkor az finomítható. Azonban, ha mindezt tüneti módon kezeljük és nem nyúlunk a probléma gyökeréhez, akkor csak megbolygatjuk a rendszert, ami statisztikai hibákhoz vezethet.
A pontosság és a diszkriminációtilalom elvei egymással gyakran ütköznek, ilyenkor kompromisszumos megoldást kell találni, hiszen nem lehet egyformán teljesíteni a pontosságra és a diszkriminációmentességre vonatkozó elvárást is.
Minden esetben nagyon alapos elgondolást igényel, hogy az adott helyzetben hogyan kell eljárni.
M.A.: A diszkriminációtilalmon túlmenően egy új szemléletet is figyelembe kell venni, ami nem csak a mesterséges intelligencia alkalmazásból következik. Nem csupán arról van szó, hogy a bank eldönti, hogy akar, vagy nem akar a fogyasztónak hitelt adni, a szabályozás ma már azt is elvárja a fogyasztói kölcsönök esetében, hogy a bank vigyázzon a fogyasztóra. Meg kell néznie, hogy a fogyasztó nem terhelődik-e túl az adósságvállalással, és ha úgy hitelezett a bank, hogy valójában hitelképtelen volt a fogyasztó, akkor ennek jogi következményei vannak, egyszerűen érvénytelen lesz a kölcsönszerződés. Tehát a bank nem tud ennek fölé lőni, mert vigyáznia kell az adósra. Ha a bank ezt elmulasztja, akkor azzal kell számolnia, hogy a kölcsönszerződés semmis lesz. Ezt világosan kimondta az Európai Unió Bírósága által a közelmúltban, az Ultimo ügyben meghozott döntés.
Az MI alkalmazásakor egy további dimenzióval is bővülhet a kép, ha a pénzintézet külső technológia szolgáltatót is igénybe vesz. Mi a különbség akkor, ha a pénzintézetek házon belül fejlesztenek egy megoldást, vagy ha egy létező szolgáltatást vesznek igénybe?
B.A.: Megfelelő konstrukcióval bármelyik megoldható, nem tiltott az outsourcing, de versenyjogi szempontokból ezeknek a szolgáltatásoknak ugyanúgy függetlenül kell működniük a piacon. Mindkét esetben a banké a felelősség, az átláthatósági követelmények biztosítása ugyanúgy őt terheli a saját és külső fejlesztés esetén is. Ha más fejlesztését használja, akkor saját magát kell olyan helyzetbe hozni, hogy mindent tudjon a mechanizmusról.
Banki oldalról egyébként azt látom, hogy azt érzik biztonságosnak, ha maguk fejlesztenek, mert akkor jobban tudják biztosítani a jogszabályoknak való megfelelést és azt is, hogy ha kell, akkor el tudják magyarázni, hogy mit, miért és hogyan működtetnek ebben a rendszerben. Azt hiszem, hogy a napokban született EUB ítéletek a SCHUFA-ügyben erre még inkább ráerősítenek.
Ráadásul, ha van egy olyan külső szolgáltató cég, akinek az összes versenytárs bank adata és szempontrendszere birtokában lesz, akkor felmerülhet egy kartell jellegű információcsere lehetősége. Ezek az adatok túlnyomó többségében üzleti titoknak minősülnek, nem nyilvános információk, ilyen szempontból versenyjogilag érzékenyek, a bankok között egymással nem megoszthatók. A versenyhatóságok világszerte foglalkoznak már az MI, mint a versenytársak magatartásának koordinálására használt eszközzel, és egyre inkább koncentrálni fognak azokra az ügyekre, ahol az MI felhasználásával vagy „közreműködésével” követik el a jogsértést a piaci szereplők.
A pénzügyi szolgáltatások jogszabályi háttere eddig is bonyolultnak számított, a jogalkotó most még a technológiai fejlődéssel is lépést szándékozik tartani, ugyanakkor egy bank a folyamatait nem képes napról-napra, hétről-hétre újraszervezni. Hogyan birkózhat meg a szolgáltató ezekkel a kihívásokkal? Mire készüljön a bank, ha jogszerűen szeretne MI-t alkalmazni?
M.A.: A szabályozási környezet biztos, hogy változni fog a közeljövőben, még komplexebb lesz és más irányt fog venni, mert az Európai Unió mesterséges intelligencia rendelete a banki és a pénzügyi szolgáltatásokat a magas kockázatú mesterséges intelligencia alkalmazásokba sorolja, és elég komoly megfelelőségi szempontrendszert, hatósági kontrollt, nyilvántartást, minőségirányítást, a fejlesztés során pedig kockázatkezelést ír elő.
Mindez valószínűleg nagyon rövid időn belül meg fogja változtatni az egész területet, mert még szigorúbb kontroll lesz, amit utána versenyjogi, adatvédelmi, fogyasztóvédelmi, egyéb szabályozói, szellemi tulajdonjogi, szerződési jogi és általános alapjogi szempontokkal is össze kell vetni.
B.A.: Amikor az ügyfél kapcsolatba kerül a bankkal, azt többféle minőségben teszi, egyszerre lesz ügyfél, fogyasztó és érintett. Ezek a szerepkörök egy kicsit eltérnek egymástól, de már most is történik személyes adatkezelés, érintetti joggyakorlás, a GDPR kötelező alkalmazása óta pedig a bankoknak fel kellett készülniük arra is, hogy az érintetti kérelmeket valamilyen módon kezeljék. Számos panasszal is szembesülnek a bankok. A mechanizmusok tehát megvannak, ami nagyobb változást jelent, hogy a mesterséges intelligencia kicsit önmagában is élővé válik, vagyis bekerül ezekbe a folyamatokba, és képes lesz bizonyos döntések meghozatalára, rendszerek működtetésére. Amennyiben ez automatikus döntéshozatalnak minősül, akkor teljesen egyértelmű, hogy az adatvédelmi lámpának fel kell gyulladni a bank fejében, ha fogyasztóvédelmi problémát érint, akkor annak a lámpának is fel kell gyulladnia, ha pedig diszkriminációról van szó, akkor egy harmadik típusú lámpának kell világítani. Nagyon sok szabály keveredik, amelyekbe a mesterséges intelligencia alkalmazása egy új szemléletet hoz.
Fotók: Kaiser Ákos/Portfolio
A cikk megjelenését a VJT&Partners támogatta.
