Die Bedeutung von künstlicher Intelligenz («KI») ist in den letzten Jahren in sämtlichen Lebensbereichen, namentlich auch in der Finanzindustrie stark angestiegen. Die schweizerische Finanzmarktaufsichtbehörde FINMA hat sich entsprechend bereits in ihrem Risikomonitoring 2023 zu den Risiken im Umgang mit KI geäussert und am 18. Dezember 2024 in der FINMA-Aufsichtsmitteilung 08/2024 «Governance und Risikomanagement beim Einsatz Künstlicher Intelligenz» zu ihren Erkenntnissen aus den gesammelten Erfahrungen mit AI geäussert. Am 12. Februar 2025 hat nun zusätzlich der Bundesrat eine Auslegeordnung zur möglichen Regulierung von künstlicher Intelligenz («KI») in der Schweiz publiziert. Dabei hat sich der Bundesrat für einen Regulierungsansatz entschieden, der sich an den Zielen der Stärkung des Innovationsstandorts Schweiz, der Wahrung des Grundrechtsschutzes inklusive der Wirtschaftsfreiheit und der Stärkung des Vertrauens der Bevölkerung in KI orientieren soll. 

Es ist zu begrüssen, dass in der Schweiz – wie bei Regulierungsthemen um DLT, Blockchain und Digital Assets – weiterhin auf die bewährten Prinzipien der technologieneutralen, prinzipienbasierten und gezielten Regulierung gesetzt wird.

Neue Technologien bringen Effizienzsteigerung, Kostensenkungen, neue Geschäftsmöglichkeiten und Skalierbarkeit; die FINMA sieht selbstverständlich auch mit der Nutzung von KI verbundene Risiken und erwartet daher ein entsprechendes Risikomanagement und eine solide Governance.

Risiken, die es zu berücksichtigen gilt

Risiken sieht die FINMA bei Finanzinstituten auf Basis ihrer Aufsichtstätigkeit hauptsächlich im Bereich der operationellen Risiken, insbesondere Modellrisiken (z.B. mangelnde Robustheit, Korrektheit, Bias und Erklärbarkeit) sowie IT- und Cyber-Risiken.

Weitere Risiken resultieren aus einer steigenden Abhängigkeit von Drittparteien wie Service Providern von Hardware-Lösungen oder Cloud-Dienstleistungen. Schliesslich bestehen Rechts- und Reputationsrisiken sowie Herausforderungen bei der Zuordnung von (internen) Verantwortlichkeiten. Ergo sind autonomes oder schwer erklärbares Handeln von Systemen mit (in die Welt) verstreuten Zuständigkeiten beim Einsatz von KI-Anwendungen bei bewilligten (oder solchen, die es werden wollen) Finanzinstituten nur schwer bewilligungsfähig.

Worauf müssen Finanzinstitute achten, um beim Einsatz von KI den Erwartungen der FINMA gerecht zu werden?

1.    Starke Governance: An KI-Anwendungen wird grundsätzlich die Erwartung gestellt, für Robustheit und Korrektheit, Bias-frei, Stabilität und Erklärbarkeit zu stehen. Dies bedarf regelmässig eines Testings (vgl. dazu Ziff. 3) und insbesondere klarer Verantwortlichkeiten von Mitarbeitenden mit entsprechenden Fähigkeiten und Erfahrungen. Werden KI-Anwendungen extern eingekauft, gelten diese Anforderungen genauso. Es lohnt sich daher, mit den Service Providern frühzeitig Tests, Kontrollmöglichkeiten, Datenqualität, die Verantwortlichkeiten und Haftungsfragen in den Outsourcing-Verträgen zu regeln und zu implementieren sowie sicherzustellen, dass die betrauten Service Provider über die nötigen Fähigkeiten und Erfahrungen verfügen.

2.    Vorgaben und Kontrollen betreffend Datenqualität: Es bedarf internen Vorgaben und Kontrollen, um die Datenqualität bei KI-Anwendungen sicherzustellen. KI-Anwendungen lernen oftmals automatisiert und ohne menschlichen Eingriff aus Daten. Die Herkunft der Daten sowie deren Qualität ist daher häufig wichtiger als die Auswahl eines konkreten Modells. «Daten (können) falsch, inkonsistent, unvollständig, nicht repräsentativ oder veraltet und daher von schlechter Qualität sein. Historische Daten können einen Bias enthalten, der sich in zukünftigen Prognosen weiterträgt, oder sie können aufgrund eines veränderten Umfelds für die Prognose nicht mehr repräsentativ sein». Es besteht die Gefahr der unbewussten Verwendung von gezielt manipulierten Daten. Die Erwartung des Regulators ist es, dass Finanzinstitute in ihren internen Weisungen und Richtlinien Vorgaben definiert haben, um sicherzustellen, «dass Daten vollständig, korrekt und integer sind und die Verfügbarkeit von und der Zugang zu Daten gesichert ist» (FINMA Aufsichtsmitteilung 08/2024, vom 8. Dezember 2024, S. 5).

3.    Durchführung von Tests und laufende Überwachung: Es bedarf einer sorgfältigen Auswahl von Performance-Indikatoren, Tests und laufender interner Überwachung der KI-Anwendung. Beispielsweise sollten Mitarbeiter Fragestellungen und vordefinierte Erwartungen festlegen und überprüfen, ob vorab festgelegte Performance-Indikatoren erreicht werden – und dies idealerweise vor Einsatz der KI-Anwendung (inkl. Beobachtung und Testing der KI-Ergebnisse bei Veränderungen der Input-Daten).

4.    Erklärbarkeit der KI-Ergebnisse: Ergebnisse der im Einsatz stehenden KI-Anwendungen müssen nachvollzogen, erklärt oder reproduziert werden können. D.h. eine kritische, interne Beurteilung muss möglich und belegt werden können.

5.    Notwendigkeit einer unabhängigen Überprüfung: Wie im Blockchain-Bereich üblich, erwartet die FINMA grundsätzlich von Entwicklern (nicht aber von den Nutzern) von KI-Anwendungen, dass diese eine unabhängige Überprüfung durch dafür qualifiziertes Personal oder Dritte durchführen. Bei wesentlichen Anwendungen beurteilt die FINMA, «ob die unabhängige Prüfung die Abgabe einer objektiven, versierten und unvoreingenommenen Meinung über die Angemessenheit und Zuverlässigkeit eines Verfahrens für einen bestimmten Anwendungsfall umfasst und ob die Ergebnisse der unabhängigen Überprüfung bei der Entwicklung der Anwendung berücksichtigt wurden» (FINMA Aufsichtsmitteilung 08/2024, vom 8. Dezember 2024, S. 7).

6.    Interne Dokumentationen wie Manuals und/oder Weisungen: Erwartet werden für Mitarbeiter nachvollziehbare, interne Dokumentationen (Manuals oder Weisungen), die den Zweck der Anwendung, deren zugrundeliegende Datenauswahl und -aufbereitung, die Modellauswahl, Performance-Masse, Annahmen, Limitierungen, Testing und Kontrollen sowie Fallback-Lösungen umfassen.

7.    Führen eines Risiko-Inventars mit Risikoklassifizierung (sog. Risk Management und Kontroll-Matrix): In Abhängigkeit von der KI-Anwendung – und wo für welche Funktionen diese bei einem Finanzinstitut genutzt wird – wird verlangt, dass konsistente Kriterien festgelegt werden zur Identifikation der KI-Anwendungen, ihrer Wesentlichkeit sowie ihrer vom Einzelfall abhängigen, spezifischen Risiken und deren Eintrittswahrscheinlichkeit. Für dieses Risiko-Inventar bietet sich eine Risk Management oder ICS-Matrix an.

Beim Einsatz von KI in sensiblen Bereichen, zu denen gemäss der Auslegung des Bundesrates neben dem Gesundheitswesen und der Strafverfolgung auch der Finanzsektor gehört (in bewusst oder unbewusster Abweichung zum im DSG gebräuchlichen Begriff der «besonders schützenswerten Daten» wonach z.B. finanzielle Daten nicht als besonders schützenswert gelten), ist es unerlässlich, dass das Finanzinstitut die Logik versteht, auf der die mithilfe einer KI-Anwendung getroffenen Entscheidungen beruhen (vgl. BJ, Rechtliche Basisanalyse im Rahmen der Auslegeordnung zu den Regulierungsansätzen im Bereich künstliche Intelligenz, vom 31.08.2024, S. 41). Bei Finanzinstituten heisst dies, dass wenn etwa Anlageempfehlungen mittels KI erörtert oder sogar ausgeführt werden, die den Entscheidungen zugrunde liegende Logik – vor und während dem Einsatz von KI – verstanden, getestet, dokumentiert, nochmals getestet und alle damit verbundenen Risiken identifiziert werden müssen.

Die Nutzung (und noch mehr die Entwicklung) von KI-Anwendungen in Finanzinstituten erfordert zwar einen bürokratischen Aufwand, doch dieser kann sich auszahlen: Eine sorgfältige Bearbeitung führt zu einer vernünftigen Risikomanagement-Matrix sowie insbesondere wirksamen Kontrollmechanismen. Ein gut durchdachtes Risikomanagement ist essenziell, um die Widerstandsfähigkeit und den nachhaltigen Erfolg von Finanzinstituten sicherzustellen.

Das Regulatory-Team von Advoro steht Ihnen dafür gerne zur Verfügung.