AI ve finančním sektoru: očekávání ČNB a DORA

AI ve finančním sektoru: očekávání ČNB a DORA — níže praktický pohled pro české firmy.

Očekávání regulátora

Pro finanční trh dozoruje používání AI Česká národní banka (ČNB). Cloud je posuzován jako outsourcing (pokyny EBA + DORA): instituce musí doložit kontrolu nad daty, business continuity, exit strategii a soulad s ochranou osobních údajů. DORA (Nařízení (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru) je účinná od 17. ledna 2025. Vyžaduje řízení rizik IKT, hlášení incidentů, testování odolnosti a zejména řízení rizik u poskytovatelů služeb IKT (cloud) — povinná smluvní ujednání, audit, exit strategie a lokaci dat. Plnění kontroluje ČNB v rámci dohledu.

Rizika modelů

Modely AI ve financích vyžadují kontrolu kvality, vysvětlitelnost a auditovatelnost rozhodnutí — viz bezpečnost AI.

Rezidence a architektura

Protože osFoundry lze provozovat ve vlastní infrastruktuře a připojit evropské či open-weight modely, může běžet ve vašem vlastním účtu v EU regionu nebo on-premise — cesta k rezidenci a suverenitě dat, ne „krabice“ ze zahraničí. (Poctivě: osFoundry má řízený EU region, ale NEMÁ řízený český region; pro data v ČR pod českou jurisdikcí je cesta self-host ve vlastní infrastruktuře nebo u českého poskytovatele, případně local-first.) Pod českou nebo evropskou jurisdikcí (mimo dosah CLOUD Act dle vlastnictví) fungují např. O2 Czech Republic (skupina PPF, jediná datová centra v ČR s certifikací TIER III, registrace v eGovernment cloudu na úrovni 3), vshosting či Algotech v Praze, nebo německý T-Systems (vlastník v EU). Plnou suverenitu dává také self-host ve vlastní infrastruktuře.

Suverenita a rezidence dat

V Česku neexistuje plnohodnotný region žádného z hyperscalerů: nejbližší jsou AWS eu-central-1 (Frankfurt), Microsoft Azure Germany West Central (Frankfurt) nebo Poland Central (Varšava) a Google Cloud europe-west3 (Frankfurt) či europe-central2 (Varšava). Vzdálenost je malá (Praha–Frankfurt ~400 km), takže problém suverenity není o latenci, ale o jurisdikci. US CLOUD Act (2018) a FISA Section 702 umožňují americkým orgánům vynutit u poskytovatelů kontrolovaných z USA vydání dat uložených kdekoli na světě — jurisdikce se řídí vlastnictvím firmy, ne umístěním serveru. Region „v EU“ tedy zajistí datovou rezidenci a GDPR, ale neznamená „mimo americkou jurisdikci“; to potvrzuje i rozsudek Schrems II a neřeší to ani EU-US Data Privacy Framework. Kam ukládat data pro AI — EU region (vlastní účet), čeští/EU poskytovatelé, on-premise, nebo lokální inference.

Protože osFoundry lze provozovat ve vlastní infrastruktuře a připojit evropské či open-weight modely, může běžet ve vašem vlastním účtu v EU regionu nebo on-premise — cesta k rezidenci a suverenitě dat, ne „krabice“ ze zahraničí. (Poctivě: osFoundry má řízený EU region, ale NEMÁ řízený český region; pro data v ČR pod českou jurisdikcí je cesta self-host ve vlastní infrastruktuře nebo u českého poskytovatele, případně local-first.)

Nezávislost a poctivost

dgm je nezávislý integrační partner (není spojen s osFoundry / OS LLC) a není právní ani daňový poradce. dgm zatím nemá dokončené zákaznické integrace, takže níže uvedené scénáře jsou popsány jako typické nebo možné, ne jako realizované projekty.

Toto není právní ani daňové poradenství: pravidla, sazby a termíny se často mění — před rozhodnutím je ověřte u oficiálních zdrojů (ÚOOÚ, MPO, API, CzechInvest, Finanční správa, ČNB).

Závěr

Kontaktujte dgm a proberte svůj scénář a návrh architektury.