TL;DR. 24 березня 2026 року НБУ опублікував Дискусійний документ з етичного та відповідального використання штучного інтелекту учасниками ринку фінансових послуг України. Це перший офіційний сигнал регулятора щодо майбутніх вимог до ШІ у фінансовому секторі. Документ не є обов'язковим нормативним актом — він відкриває публічну дискусію і збирає позиції ринку. Результат: Біла книга з рекомендаціями. Банкам, фінтех-компаніям і небанківським установам варто подати свої пропозиції на ai@bank.gov.ua та вже зараз оцінити відповідність своїх AI/ML-практик очікуванням регулятора.
Для кого ця стаття
- Банки, страховики, фінансові компанії та платіжні установи під регулюванням НБУ
- Фінтех-компанії, що постачають AI/ML-рішення для фінансового сектору
- Compliance, ризик-менеджмент, юридичні команди
- C-level, CDTO, CDO, CRO фінансових установ
Що таке Дискусійний документ НБУ про ШІ і чому він важливий
Коротка відповідь
Це перший спеціалізований регуляторний документ НБУ щодо ШІ у фінансовому секторі. Він не встановлює обов'язкових вимог прямо зараз — але окреслює регуляторні очікування, які стануть обов'язковими після прийняття Білої книги та нормативних актів.
Чому зараз
НБУ провів опитування 208 учасників ринку у листопаді 2025 року. Результати показали: 64% фінансових установ вже використовують AI/ML-рішення, з яких 23% — активно. Фінансовий сектор застосовує ШІ практично без спеціального регулювання. Документ закриває цю прогалину.
Нормативний статус
Дискусійний документ є консультативним: це не постанова, не нормативно-правовий акт, не методичні рекомендації. Його мета — зібрати позиції ринку для подальшого формування регуляторної рамки.
Разом із тим ігнорувати документ — ризик. В НБУ прямо зазначено: «НБУ очікує» — це формулювання наглядових очікувань, а не рекомендацій. У практиці наглядових органів такі очікування стають критеріями оцінки під час перевірок.
Три етапи процесу: що і коли
НБУ визначив поетапну дорогу до регулювання ШІ:
- Етап 1 (поточний): Публікація Дискусійного документа → збір пропозицій ринку. Пропозиції надсилаються на ai@bank.gov.ua. Дедлайн не встановлено, але активна фаза консультацій — 2026 рік.
- Етап 2: Публікація висновків — консолідована відповідь регулятора на результати дискусії.
- Етап 3: Розробка Білої книги для фінансового сектору — узагальнений документ з підходами, практикою та очікуваннями НБУ.
Важливо: після Білої книги прогнозується розробка нормативних актів і зміни до існуючих регуляторних вимог.
Нормативна база: на що спирається документ
Ситуація зараз
НБУ прямо визнає: нормативна база щодо ШІ у фінансовому секторі України є фрагментарною. Спеціального закону про ШІ немає. ШІ регулюється опосередковано — через загальні вимоги до управління ризиками, захисту прав споживачів та інформаційної безпеки.
Міжнародна рамка, яку НБУ враховує
| Документ | Ключові вимоги для фінансового сектору |
|---|---|
| EU AI Act (Regulation 2024/1689) | Ризик-орієнтована класифікація систем ШІ; обов'язки провайдерів high-risk AI |
| DORA (Regulation 2022/2554) | Цифрова операційна стійкість; ICT third-party risk management |
| GDPR (Regulation 2016/679) | Захист персональних даних; automated decision-making (ст. 22) |
| ISO/IEC 42001:2023 | Система управління ШІ в організації |
| ISO/IEC 23894:2023 | Управління ризиками ШІ |
| NIST AI RMF (2023) | Американська рамка управління ризиками ШІ |
Практичне значення: НБУ буде оцінювати практики установ крізь призму цих стандартів. Посилання на EU AI Act вказує на майбутнє зближення з євростандартами у рамках євроінтеграції.
10 принципів відповідального використання ШІ від НБУ
1. Законність та регуляторна відповідність
ШІ має використовуватися в рамках чинного законодавства: законодавство про фінпослуги, банківська таємниця, ліцензійні умови. ШІ не може бути підставою для порушення прав споживачів. Практично: якщо система скорингу або AML-фільтрації ухвалює рішення, які порушують закон про захист прав споживачів — відповідальність лежить на установі, а не на алгоритмі.
2. Доцільність та відповідальне застосування
ШІ не може впроваджуватися формально або виключно як пілот без реальної бізнес-мети. Застосування має бути «аргументованим, експериментально-перевіреним та всебічно зваженим». Практично: впровадження ШІ «бо всі впроваджують» без оцінки ризиків і задокументованого бізнес-рішення — вже зараз є регуляторним ризиком.
3. Прозорість та поінформованість
Клієнтів слід інформувати про використання ШІ. Публічні матеріали, суттєво змінені ШІ, мають бути марковані. Практично: якщо кредитне рішення або скоринг прийняте за допомогою ШІ — клієнт має право знати про це. Відсутність цього розкриття = потенційне порушення законодавства про захист прав споживачів.
4. Ризик-орієнтований підхід
Установа самостійно класифікує системи ШІ за рівнями ризику: низький, середній, високий. Для high-risk застосувань (кредитування, AML, антифрод) — посилений нагляд. Практично: установам потрібен AI Risk Register із класифікацією кожної AI/ML-системи.
5. Конфіденційність та захист даних
Принцип мінімізації даних. ШІ-рішення від зовнішніх постачальників (хмарних, SaaS) мають використовуватися лише за наявності чітких договірних умов, що забороняють несанкціоноване використання даних для навчання моделей постачальника. Практично: якщо ваші клієнтські дані передаються в хмарну AI-платформу — договір має містити заборону на використання цих даних для fine-tuning моделей провайдера.
6. Етичність, недискримінація та інклюзивність
Системи ШІ не повинні дискримінувати клієнтів або маніпулювати ними. Особлива увага до вразливих груп: особи з інвалідністю, маломобільні категорії. Практично: скоринг-модель, що систематично відмовляє клієнтам за ознаками, корельованими з захищеними характеристиками — юридичний і репутаційний ризик.
7. Людський нагляд та відповідальність
Рішення, що мають правові, фінансові або соціальні наслідки, мають відбуватися «за участю і під наглядом людини». Відповідальність за рішення ШІ не можна перекласти на алгоритм або постачальника технологій. Практично: «алгоритм відмовив» — не правомірне обґрунтування. Юридично відповідальна фінансова установа, а не система ШІ.
8. Права клієнтів
Клієнти мають право: знати про роль ШІ в рішенні, що їх стосується; отримати пояснення; оскаржити автоматизоване рішення. Практично: потрібна процедура review автоматизованих рішень та канал для звернень клієнтів.
9. Адаптивність та операційна стійкість
Системи ШІ мають регулярно переглядатися і тестуватися. Потрібні процедури призупинення або виведення з експлуатації при виявленні неприйнятних ризиків. Практично: kill switch для AI-систем — не опція, а очікування регулятора.
10. Інтегрованість та відповідальне масштабування
ШІ має бути інтегрований у загальну ІТ-архітектуру, системи ризик-менеджменту і комплаєнсу, а не функціонувати ізольовано. Практично: shadow AI (використання ШІ-інструментів поза офіційними системами установи) — регуляторний ризик.
Ключові блоки документа: що вимагається по суті
Система управління ШІ (AI Governance)
НБУ очікує, що установи побудують AI Governance Framework як частину загальної системи корпоративного управління. Ключові елементи:
- Класифікація AI/ML-систем за рівнями ризику
- Розмежування функцій: розробка / використання / контроль
- Залучення органів управління (Наглядова рада, Правління) до стратегії ШІ
- Внутрішня документація і звітність
- Щоквартальний перегляд системи
Для high-risk застосувань (кредитування, AML/CFT, антифрод) — посилений рівень управління, незалежна валідація, регулярне тестування.
Захист прав споживачів
Документ деталізує чотири ключові зобов'язання установ:
- Інформування — клієнту слід повідомляти, коли ШІ впливає на рішення, що стосуються його прав або фінансових зобов'язань.
- Пояснення — клієнт має право отримати пояснення: які фактори вплинули на рішення, яка роль автоматизованої системи. «Система відмовила» без жодного обґрунтування — вже недостатньо.
- Перегляд — якщо рішення має суттєвий вплив на клієнта (відмова в кредиті, обмеження доступу до послуг), установа має забезпечити можливість перегляду уповноваженим працівником.
- Канали звернень — зрозумілі, доступні, з обґрунтованим зворотним зв'язком.
Дані та моделі: що очікується
- Якість і репрезентативність тренувальних даних — регуляторне питання, не лише технічне
- Щоквартальний перегляд наборів даних
- Процедури виявлення та мінімізації bias: нерепрезентативні вибірки, proxy-змінні, historical bias
- Щоквартальне тестування та валідація моделей
- Оцінка пояснюваності (explainability) — відповідно до складності моделі і рівня ризику
- Стрес-тестування моделей: зміна економічних умов, неповнота даних, масштабування
Операційна та цифрова стійкість
Системи ШІ = частина ICT-інфраструктури з відповідними вимогами. НБУ прямо посилається на DORA як орієнтир. Практичні очікування:
- AI-системи мають бути включені до планів безперервності діяльності (BCP)
- AI-інциденти — включаються до загальної системи ICT incident management
- Тестування: навантаження, недоступність даних, failure scenarios
- Залежність від зовнішніх постачальників (cloud AI, SaaS) — оцінка критичності, audit rights, exit strategy у контрактах
Ризики для учасників ринку: що варто врахувати зараз
Ризик 1: «Не поспішати» → втратити вплив на регулювання
Дискусійний документ — рідкісний момент, коли ринок реально формує регуляторну рамку. Установи, що не подадуть пропозиції, отримають правила, розроблені без урахування їхньої практики.
Ризик 2: Наглядові очікування = майбутні критерії перевірок
Формулювання «Національний банк очікує» у документі — не побажання. В наглядовій практиці очікування регулятора, відображені в офіційних документах, стають критеріями оцінки під час on-site і off-site нагляду навіть до прийняття нормативних актів.
Ризик 3: Контракти з AI-постачальниками вже не відповідають вимогам
Документ містить конкретні очікування щодо договірних умов з постачальниками ШІ-рішень: заборона несанкціонованого навчання на клієнтських даних, audit rights, exit strategy. Більшість чинних договорів — особливо з міжнародними SaaS-провайдерами — цих умов не містять.
Ризик 4: Automated decision-making без процедури перегляду
Якщо установа ухвалює суттєві рішення для клієнтів на основі ШІ (відмова в кредиті, блокування рахунку, AML-рішення) без процедури перегляду та пояснення — це вже зараз потенційно суперечить законодавству про захист прав споживачів, а після прийняття Білої книги стане прямим порушенням.
Ризик 5: Shadow AI
Використання ChatGPT, Copilot та інших ШІ-інструментів співробітниками без корпоративного governance — регуляторний ризик, якщо обробляються клієнтські дані або ухвалюються рішення, що впливають на клієнтів.
Покроковий чеклист для фінансових установ
- Інвентаризація AI/ML-систем. Скласти реєстр усіх AI/ML-рішень у використанні: внутрішні, зовнішні, в розробці. Визначити функцію кожної системи, рівень доступу до клієнтських даних, вплив на рішення щодо клієнтів.
- Класифікація за рівнями ризику. Для кожної системи — визначити рівень ризику (низький / середній / високий) за критеріями: вплив на права клієнтів, масштаб використання, ступінь автоматизації, фінансові наслідки.
- Аудит контрактів із зовнішніми AI-постачальниками. Перевірити договори на наявність: заборони навчання на клієнтських даних, SLA, audit rights, incident notification procedures, exit strategy.
- Перегляд процедур прийняття рішень. Для high-risk AI-систем: чи є можливість перегляду рішення уповноваженим працівником? Чи є механізм пояснення клієнту? Чи є процедура оскарження?
- Розробка або оновлення AI Policy. Внутрішня AI Policy має охоплювати: lifecycle management, roles & responsibilities, human oversight, data governance, incident response, periodic review.
- Підготовка та подання позиції до НБУ. Відповісти на питання дискусії, сформулювати позицію установи щодо ключових аспектів майбутнього регулювання. Надіслати на ai@bank.gov.ua.
Порівняння з EU AI Act: на чому НБУ будує рамку
| Аспект | EU AI Act | Дискусійний документ НБУ |
|---|---|---|
| Ризик-орієнтований підхід | Так, чотири категорії (неприйнятний / high / limited / minimal) | Три категорії (низький / середній / високий), самостійно визначаються установою |
| High-risk AI у фінансах | Explicit: credit scoring, life insurance underwriting — high-risk | Implicit: кредитування, AML, антифрод — посилений нагляд |
| Explainability | Обов'язкова для high-risk | Рекомендована як «належна практика» |
| Human oversight | Обов'язкова для high-risk | Очікується для рішень із юридичними / фінансовими наслідками |
| Заборонені практики | Explicit (biometric surveillance, social scoring тощо) | Implicit через принцип недискримінації |
| Треті сторони | DORA + AI Act overlap | DORA-подібний підхід для AI-постачальників |
| Статус | Прямо застосовний з 2025–2026 рр. | Консультативний, майбутній нормативний акт |
Висновок: НБУ свідомо калькує EU AI Act, адаптуючи його до поточних можливостей ринку. Установи, що вже адаптували практики до EU AI Act або DORA, матимуть суттєву перевагу.
Практика технологій та інвестицій Juscutum — підтримка з AI Governance
Практика технологій та інвестицій Juscutum консультує фінансові установи та фінтех-компанії у:
- Аналізі відповідності AI/ML-практик очікуванням НБУ та EU AI Act
- Розробці AI Policy та AI Governance Framework
- Аудиті контрактів з AI-постачальниками (DORA-compliance, захист даних)
- Підготовці позицій та відповідей для НБУ в межах консультаційного процесу
- Структуруванні AI-продуктів для regulated ринків
Партнер практики Петро Білик спеціалізується на регуляторних питаннях технологічного та інвестиційного бізнесу, включаючи AI-право та відповідність вимогам фінансових регуляторів.
Часті запитання
Чи обов'язковий до виконання Дискусійний документ НБУ про ШІ?
Ні. Це консультативний документ, а не нормативний акт. Однак він відображає наглядові очікування НБУ, що на практиці використовуються при перевірках. Після розробки Білої книги і нормативних актів вимоги стануть обов'язковими.
Хто зобов'язаний врахувати вимоги документа?
Усі учасники ринку фінансових послуг під регулюванням НБУ: банки, небанківські фінансові установи, страховики, платіжні установи, небанківські кредитори. IT-компанії, що постачають AI/ML-рішення цим установам, не є прямими адресатами, але договірні вимоги поширяться на них через контракти з регульованими установами.
До якого терміну треба надати відповіді на питання дискусії?
НБУ не встановив жорсткого дедлайну в документі. Однак активна фаза консультацій — 2026 рік. Чим раніше подана позиція, тим більше шансів вплинути на майбутню Білу книгу.
Які AI/ML-застосування є найбільш ризиковими з точки зору регулятора?
НБУ прямо виділяє як high-risk: кредитування та кредитний скоринг, фінансовий моніторинг (AML/CFT), боротьба з шахрайством, автоматизоване прийняття рішень із впливом на права або фінансові зобов'язання клієнтів.
Що НБУ очікує від договорів з AI-постачальниками?
Чіткі цілі та межі використання клієнтських даних; заборона несанкціонованого навчання моделей на цих даних; вимоги до інформаційної безпеки; можливість контролю або заміни постачальника; узгодженість з DORA-підходом для критичних ICT-постачальників.
Чи планується регуляторна пісочниця для тестування ШІ-рішень?
НБУ запитує ринок про зацікавленість у такому форматі. Регуляторна платформа (sandbox) НБУ вже існує — ймовірно, вона буде адаптована для AI-тестування.
Як пов'язані документ НБУ та EU AI Act?
НБУ прямо посилається на EU AI Act як орієнтир і будує підходи за його логікою. В рамках євроінтеграції Україна рухається до імплементації EU AI Act у національне законодавство. Дискусійний документ НБУ — перший крок у фінансовому секторі.
Що станеться, якщо установа продовжує використовувати ШІ без будь-якого governance?
Прямих санкцій зараз немає — документ консультативний. Але при наглядових перевірках відсутність AI Governance Framework буде фіксуватися як операційний ризик. Після прийняття нормативних актів — стане підставою для enforcement action.
Висновок
Дискусійний документ НБУ від 24 березня 2026 року — не лише сигнал про майбутнє регулювання. Це вікно можливостей для ринку сформувати регулювання під власні потреби. Установи, що подадуть обґрунтовані позиції, мають реальний шанс вплинути на те, якою буде Біла книга і наступні нормативні акти.
Паралельно — це чек-поінт для аудиту поточних AI/ML-практик: контрактів з постачальниками, процедур automated decision-making, захисту прав споживачів, governance-структур.
Перші кроки: скласти реєстр AI/ML-систем, класифікувати їх за рівнями ризику, перевірити договори з постачальниками, підготувати позицію для НБУ.
Якщо потрібна підтримка з AI Governance або підготовкою позиції для НБУ — зверніться до практики технологій та інвестицій Juscutum.
Первинне джерело: bank.gov.ua/ua/supervision/artificial-intelligence. Матеріал носить інформаційний характер і не є юридичною консультацією.
