‍Джерело: Офіційний документ НБУ — bank.gov.ua/ua/supervision/artificial-intelligence

Матеріал носить інформаційний характер і не є юридичною консультацією.

Дискусійний документ НБУ про ШІ: що змінюється для банків, фінтеху та небанківських установ

TL;DR

24 березня 2026 року НБУ опублікував Дискусійний документ з етичного та відповідального використання штучного інтелекту учасниками ринку фінансових послуг України. Це перший офіційний сигнал регулятора щодо майбутніх вимог до ШІ у фінансовому секторі. Документ не є обов'язковим нормативним актом — він відкриває публічну дискусію і збирає позиції ринку. Результат: Біла книга з рекомендаціями. Банкам, фінтех-компаніям і небанківським установам варто подати свої пропозиції до ai@bank.gov.ua та вже зараз оцінити відповідність своїх AI/ML-практик очікуванням регулятора.

Для кого ця стаття

• Банки, страховики, фінансові компанії та платіжні установи під регулюванням НБУ
• Фінтех-компанії, що постачають AI/ML-рішення для фінансового сектору
• Compliance, ризик-менеджмент, юридичні команди
• C-level, CDTO, CDO, CRO фінансових установ

Що таке Дискусійний документ НБУ про ШІ і чому він важливий

Коротка відповідь

Це перший спеціалізований регуляторний документ НБУ щодо ШІ у фінансовому секторі. Він не встановлює обов'язкових вимог прямо зараз — але окреслює регуляторні очікування, які стануть обов'язковими після прийняття Білої книги та нормативних актів.

Чому зараз

НБУ провів опитування 208 учасників ринку у листопаді 2025 року. Результати показали: 64% фінансових установ вже використовують AI/ML-рішення, з яких 23% — активно. Фінансовий сектор застосовує ШІ практично без спеціального регулювання. Документ закриває цю прогалину.

Нормативний статус

Дискусійний документ є консультативним: це не постанова, не нормативно-правовий акт, не методичні рекомендації. Його мета — зібрати позиції ринку для подальшого формування регуляторної рамки.

Разом із тим ігнорувати документ — ризик. В НБУ прямо зазначено: «НБУ очікує» — це формулювання наглядових очікувань, а не рекомендацій. У практиці наглядових органів такі очікування стають критеріями оцінки під час перевірок.

Три етапи процесу: що і коли

НБУ визначив поетапну дорогу до регулювання ШІ:

Етап 1 (поточний): Публікація Дискусійного документа → збір пропозицій ринку. Пропозиції надсилаються на ai@bank.gov.ua. Дедлайн не встановлено, але активна фаза консультацій — 2026 рік.

Етап 2: Публікація висновків — консолідована відповідь регулятора на результати дискусії.

Етап 3: Розробка Білої книги для фінансового сектору — узагальнений документ з підходами, практикою та очікуваннями НБУ.

Важливо: після Білої книги прогнозується розробка нормативних актів і зміни до існуючих регуляторних вимог (в документі прямо зазначено «після відповідних змін до нормативно-правових актів»).

Нормативна база: на що спирається документ

Ситуація зараз

НБУ прямо визнає: нормативна база щодо ШІ у фінансовому секторі України є фрагментарною. Спеціального закону про ШІ немає. ШІ регулюється опосередковано — через загальні вимоги до управління ризиками, захисту прав споживачів та інформаційної безпеки.

Діючі стратегічні документи

• Концепція розвитку ШІ в Україні (КМУ, 02.12.2020, № 1556-р зі змінами)
• Стратегія цифрового розвитку інноваційної діяльності до 2030 р. (КМУ, 31.12.2024, № 1351-р)
• Дорожня карта регулювання ШІ + Біла книга Мінцифри (26.06.2024)

Міжнародна рамка, яку НБУ враховує

Документ

Ключові вимоги для фінансового сектору

EU AI Act (Regulation 2024/1689)

Ризик-орієнтована класифікація систем ШІ; обов'язки провайдерів high-risk AI

DORA (Regulation 2022/2554)

Цифрова операційна стійкість; ICT third-party risk management

GDPR (Regulation 2016/679)

Захист персональних даних; automated decision-making (ст. 22)

ISO/IEC 42001:2023

Система управління ШІ в організації

ISO/IEC 23894:2023

Управління ризиками ШІ

NIST AI RMF (2023)

Американська рамка управління ризиками ШІ

Практичне значення: НБУ буде оцінювати практики установ крізь призму цих стандартів. Посилання на EU AI Act вказує на майбутнє зближення з євростандартами у рамках євроінтеграції.

10 принципів відповідального використання ШІ від НБУ

Документ містить 10 базових принципів. Нижче — суть кожного з практичними наслідками:

1. Законність та регуляторна відповідність

ШІ має використовуватися в рамках чинного законодавства: законодавство про фінпослуги, банківська таємниця, ліцензійні умови. ШІ не може бути підставою для порушення прав споживачів.

Практично: якщо система скорингу або AML-фільтрації ухвалює рішення, які порушують закон про захист прав споживачів — відповідальність лежить на установі, а не на алгоритмі.

2. Доцільність та відповідальне застосування

ШІ не може впроваджуватися формально або виключно як пілот без реальної бізнес-мети. Застосування має бути «аргументованим, експериментально-перевіреним та всебічно зваженим».

Практично: впровадження ШІ «бо всі впроваджують» без оцінки ризиків і задокументованого бізнес-рішення — вже зараз є регуляторним ризиком.

3. Прозорість та поінформованість

Клієнтів слід інформувати про використання ШІ. Публічні матеріали, суттєво змінені ШІ, мають бути марковані.

Практично: якщо кредитне рішення або скоринг прийняте за допомогою ШІ — клієнт має право знати про це. Відсутність цього розкриття = потенційне порушення законодавства про захист прав споживачів.

4. Ризик-орієнтований підхід

Установа самостійно класифікує системи ШІ за рівнями ризику: низький, середній, високий. Рівень управлінського контролю і тестування має відповідати рівню ризику. Для high-risk застосувань (кредитування, AML, антифрод) — посилений нагляд.

Практично: установам потрібен AI Risk Register із класифікацією кожної AI/ML-системи.

5. Конфіденційність та захист даних

Принцип мінімізації даних. ШІ-рішення від зовнішніх постачальників (хмарних, SaaS) мають використовуватися лише за наявності чітких договірних умов, що забороняють несанкціоноване використання даних для навчання моделей постачальника.

Практично: якщо ваші клієнтські дані передаються в хмарну AI-платформу — договір має містити заборону на використання цих даних для fine-tuning моделей провайдера.

6. Етичність, недискримінація та інклюзивність

Системи ШІ не повинні дискримінувати клієнтів або маніпулювати ними. Особлива увага до вразливих груп: особи з інвалідністю, маломобільні категорії.

Практично: скоринг-модель, що систематично відмовляє клієнтам за ознаками, корельованими з захищеними характеристиками — юридичний і репутаційний ризик.

7. Людський нагляд та відповідальність

Рішення, що мають правові, фінансові або соціальні наслідки, мають відбуватися «за участю і під наглядом людини». Відповідальність за рішення ШІ не можна перекласти на алгоритм або постачальника технологій.

Практично: «алгоритм відмовив» — не правомірне обґрунтування. Юридично відповідальна фінансова установа, а не система ШІ.

8. Права клієнтів

Клієнти мають право: знати про роль ШІ в рішенні, що їх стосується; отримати пояснення; оскаржити автоматизоване рішення.

Практично: потрібна процедура review автоматизованих рішень та канал для звернень клієнтів.

9. Адаптивність та операційна стійкість

Системи ШІ мають регулярно переглядатися і тестуватися. Потрібні процедури призупинення або виведення з експлуатації при виявленні неприйнятних ризиків.

Практично: kill switch для AI-систем — не опція, а очікування регулятора.

10. Інтегрованість та відповідальне масштабування

ШІ має бути інтегрований у загальну ІТ-архітектуру, системи ризик-менеджменту і комплаєнсу, а не функціонувати ізольовано. Масштабування — поетапне, контрольоване.

Практично: shadow AI (використання ШІ-інструментів поза офіційними системами установи) — регуляторний ризик.

Ключові блоки документа: що вимагається по суті

Система управління ШІ (AI Governance)

НБУ очікує, що установи побудують AI Governance Framework як частину загальної системи корпоративного управління. Елементи:

• Класифікація AI/ML-систем за рівнями ризику
• Розмежування функцій: розробка / використання / контроль
• Залучення органів управління (Наглядова рада, Правління) до стратегії ШІ
• Внутрішня документація і звітність
• Щоквартальний перегляд систем

Для high-risk застосувань (кредитування, AML/CFT, антифрод) — посилений рівень управління, незалежна валідація, регулярне тестування.

Структура відповідальності: органи управління → визначені посадові особи або підрозділи → функції розробки / використання / контролю розмежовані.

Захист прав споживачів

Документ деталізує чотири ключові зобов'язання установ:

1. Інформування — клієнту слід повідомляти, коли ШІ впливає на рішення, що стосуються його прав або фінансових зобов'язань. Форма: зрозуміла, доступна, без маніпуляції.

2. Пояснення — клієнт має право отримати пояснення: які фактори вплинули на рішення, яка роль автоматизованої системи. Пояснення ≠ розкриття алгоритму. Але «система відмовила» без жодного обґрунтування — вже недостатньо.

3. Перегляд — якщо рішення має суттєвий вплив на клієнта (відмова в кредиті, обмеження доступу до послуг), установа має забезпечити можливість перегляду уповноваженим працівником і механізм оскарження.

4. Канали звернень — зрозумілі, доступні, з обґрунтованим зворотним зв'язком.

Дані та моделі: що очікується

• Якість і репрезентативність тренувальних даних — регуляторне питання, не лише технічне
• Щоквартальний перегляд наборів даних
• Процедури виявлення та мінімізації bias (упередженості): нерепрезентативні вибірки, proxy-змінні, historical bias
• Щоквартальне тестування та валідація моделей
• Оцінка пояснюваності (explainability) — відповідно до складності моделі і рівня ризику
• Stres-тестування моделей: зміна економічних умов, неповнота даних, масштабування

Операційна та цифрова стійкість

Системи ШІ = частина ICT-інфраструктури з відповідними вимогами. НБУ прямо посилається на DORA як орієнтир. Практичні очікування:

• AI-системи мають бути включені до планів безперервності діяльності (BCP)
• AI-інциденти — включаються до загальної системи ICT incident management
• Тестування: навантаження, недоступність даних, failure scenarios
• Залежність від зовнішніх постачальників (cloud AI, SaaS) — оцінка критичності, audit rights, exit strategy у контрактах

Перегук з попередньою темою: DORA вже діє для ICT-провайдерів, що обслуговують EU financial entities. НБУ рухається в цьому ж напрямку для внутрішнього ринку.

Організаційна культура та компетенції

Окремий розділ — нетиповий для регуляторних документів. НБУ очікує:

• Навчання персоналу щодо можливостей, обмежень і ризиків ШІ
• Культуру відповідального використання ШІ на рівні органів управління
• Механізми виявлення та звітування про етичні проблеми, bias і ризики
• Питання до ринку: чи має НБУ регламентувати призначення Chief AI Officer (CAO) в установах?

Відкриті питання: що НБУ хоче почути від ринку

Документ містить структуровані питання до кожного розділу. Ключові з практичного боку:

• Які застосування ШІ вже використовуються у вашій установі? (кредитування, AML, антифрод, обслуговування клієнтів)
• Чи є внутрішня стратегія ШІ, узгоджена з Білою книгою Мінцифри?
• Який підхід до класифікації ШІ за рівнями ризику застосовується?
• Чи доцільна регуляторна категоризація за аналогією з EU AI Act?
• Які підходи до пояснюваності моделей застосовуються?
• Чи потрібен обов'язковий Chief AI Officer в установі?
• Чи є зацікавленість у регуляторній пісочниці НБУ для тестування ШІ-рішень?

Як подати позицію: надіслати пропозиції на ai@bank.gov.ua

Ризики для учасників ринку: що варто врахувати зараз

Ризик 1: «Не поспішати» → втратити вплив на регулювання

Дискусійний документ — рідкісний момент, коли ринок реально формує регуляторну рамку. Установи, що не подадуть пропозиції, отримають правила, розроблені без урахування їхньої практики.

Ризик 2: Наглядові очікування = майбутні критерії перевірок

Формулювання «Національний банк очікує» у документі — не побажання. В наглядовій практиці очікування регулятора, відображені в офіційних документах, стають критеріями оцінки під час on-site і off-site нагляду навіть до прийняття нормативних актів.

Ризик 3: Контракти з AI-постачальниками вже не відповідають вимогам

Документ містить конкретні очікування щодо договірних умов з постачальниками ШІ-рішень: заборона несанкціонованого навчання на клієнтських даних, audit rights, exit strategy. Більшість чинних договорів — особливо з міжнародними SaaS-провайдерами — цих умов не містять.

Ризик 4: Automated decision-making без процедури перегляду

Якщо установа ухвалює суттєві рішення для клієнтів на основі ШІ (відмова в кредиті, блокування рахунку, AML-рішення) без процедури перегляду та пояснення — це вже зараз потенційно суперечить законодавству про захист прав споживачів, а після прийняття Білої книги стане прямим порушенням.

Ризик 5: Shadow AI

Використання ChatGPT, Copilot та інших ШІ-інструментів співробітниками без корпоративного governance — регуляторний ризик, якщо обробляються клієнтські дані або ухвалюються рішення, що впливають на клієнтів.

Покроковий чеклист для фінансових установ

Крок 1: Інвентаризація AI/ML-систем
Скласти реєстр усіх AI/ML-рішень у використанні: внутрішні, зовнішні, в розробці. Визначити функцію кожної системи, рівень доступу до клієнтських даних, вплив на рішення щодо клієнтів.

Крок 2: Класифікація за рівнями ризику
Для кожної системи — визначити рівень ризику (низький / середній / високий) за критеріями: вплив на права клієнтів, масштаб використання, ступінь автоматизації, фінансові наслідки.

Крок 3: Аудит контрактів із зовнішніми AI-постачальниками
Перевірити договори на наявність: заборони навчання на клієнтських даних, SLA, audit rights, incident notification procedures, exit strategy.

Крок 4: Перегляд процедур прийняття рішень
Для high-risk AI-систем: чи є можливість перегляду рішення уповноваженим працівником? Чи є механізм пояснення клієнту? Чи є процедура оскарження?

Крок 5: Розробка або оновлення AI Policy
Внутрішня AI Policy має охоплювати: lifecycle management, roles & responsibilities, human oversight, data governance, incident response, periodic review.

Крок 6: Підготовка та подання позиції до НБУ
Відповісти на питання дискусії, сформулювати позицію установи щодо ключових аспектів майбутнього регулювання. Надіслати на ai@bank.gov.ua.

Порівняння з EU AI Act: на чому НБУ будує рамку

Аспект

EU AI Act

Дискусійний документ НБУ

Ризик-орієнтований підхід

Так, чотири категорії (неприйнятний / high / limited / minimal)

Три категорії (низький / середній / високий), самостійно визначаються установою

High-risk AI у фінансах

Explicit: credit scoring, life insurance underwriting — high-risk

Implicit: кредитування, AML, антифрод — посилений нагляд

Explainability

Обов'язкова для high-risk

Рекомендована як «належна практика»

Human oversight

Обов'язкова для high-risk

Очікується для рішень із юридичними/фінансовими наслідками

Заборонені практики

Explicit (biometric surveillance, social scoring тощо)

Implicit через принцип недискримінації

Третіх сторони

DORA + AI Act overlap

DORA-подібний підхід для AI-постачальників

Статус

Прямо застосовний з 2025–2026 рр.

Консультативний, майбутній нормативний акт

Висновок: НБУ свідомо калькує EU AI Act, адаптуючи його до поточних можливостей ринку. Установи, що вже адаптували практики до EU AI Act або DORA (особливо ті, що працюють в ЄС), матимуть суттєву перевагу.

Коли звертатися до юриста

• При підготовці позиції до НБУ за результатами Дискусійного документа
• При аудиті контрактів з AI/ML-постачальниками на відповідність очікуванням НБУ та DORA
• При розробці або оновленні внутрішньої AI Policy та AI Governance Framework
• При оцінці відповідності поточних практик automated decision-making законодавству про захист прав споживачів
• При структуруванні AI-продукту для ринку фінансових послуг України (оцінка ризику класифікації як regulated product)
• При підготовці заявки на участь у регуляторній пісочниці НБУ

FAQ

1. Чи обов'язковий до виконання Дискусійний документ НБУ про ШІ?
Ні. Це консультативний документ, а не нормативний акт. Однак він відображає наглядові очікування НБУ, що на практиці використовуються при перевірках. Після розробки Білої книги і нормативних актів вимоги стануть обов'язковими.

2. Хто зобов'язаний врахувати вимоги документа?
Усі учасники ринку фінансових послуг під регулюванням НБУ: банки, небанківські фінансові установи, страховики, платіжні установи, небанківські кредитори. IT-компанії, що постачають AI/ML-рішення цим установам, не є прямими адресатами, але договірні вимоги поширяться на них через контракти з регульованими установами.

3. До якого терміну треба надати відповіді на питання дискусії?
НБУ не встановив жорсткого дедлайну в документі. Однак активна фаза консультацій — 2026 рік. Чим раніше подана позиція, тим більше шансів вплинути на майбутню Білу книгу.

4. Які AI/ML-застосування є найбільш ризиковими з точки зору регулятора?
НБУ прямо виділяє як high-risk: кредитування та кредитний скоринг, фінансовий моніторинг (AML/CFT), боротьба з шахрайством, автоматизоване прийняття рішень із впливом на права або фінансові зобов'язання клієнтів.

5. Що НБУ очікує від договорів з AI-постачальниками?
Чіткі цілі та межі використання клієнтських даних; заборона несанкціонованого навчання моделей на цих даних; вимоги до інформаційної безпеки; можливість контролю або заміни постачальника; узгодженість з DORA-підходом для критичних ICT-постачальників.

6. Чи планується регуляторна пісочниця для тестування ШІ-рішень?
НБУ запитує ринок про зацікавленість у такому форматі. Регуляторна платформа (sandbox) НБУ вже існує — ймовірно, вона буде адаптована для AI-тестування.

7. Як пов'язані документ НБУ та EU AI Act?
НБУ прямо посилається на EU AI Act як орієнтир і будує підходи за його логікою. В рамках євроінтеграції Україна рухається до імплементації EU AI Act у національне законодавство. Дискусійний документ НБУ — перший крок у фінансовому секторі.

8. Що станеться, якщо установа продовжує використовувати ШІ без будь-якого governance?
Прямих санкцій зараз немає — документ консультативний. Але при наглядових перевірках відсутність AI Governance Framework буде фіксуватися як операційний ризик. Після прийняття нормативних актів — стане підставою для enforcement action.

Висновок

Дискусійний документ НБУ від 24 березня 2026 року — не лише сигнал про майбутнє регулювання. Це вікно можливостей для ринку сформувати регулювання під власні потреби. Установи, що подадуть обґрунтовані позиції, мають реальний шанс вплинути на те, якою буде Біла книга і наступні нормативні акти.

Паралельно — це чек-поінт для аудиту поточних AI/ML-практик: контрактів з постачальниками, процедур automated decision-making, захисту прав споживачів, governance-структур.

Перші кроки: скласти реєстр AI/ML-систем, класифікувати їх за рівнями ризику, перевірити договори з постачальниками, підготувати позицію для НБУ.

Потрібна підтримка з AI Governance або підготовкою позиції для НБУ?

Juscutum консультує фінансові установи та фінтех-компанії у:

• Аналізі відповідності AI/ML-практик очікуванням НБУ та EU AI Act
• Розробці AI Policy та AI Governance Framework
• Аудиті контрактів з AI-постачальниками (DORA-compliance, захист даних)
• Підготовці позицій та відповідей для НБУ в межах консультаційного процесу
• Структуруванні AI-продуктів для regulated ринків

→ Отримати консультацію → Juscutum

Первинне джерело: bank.gov.ua/ua/supervision/artificial-intelligence
Документ: Дискусійний документ від 24.03.2026 (PDF)

Juscutum — юридична компанія з практиками фінтех, AI-права, структурування регульованих бізнесів.