EU AI Act Perspektifinden FinTech Sektörüne Yansımalar
Avrupa Birliği, yapay zekâ teknolojilerinin hızla yaygınlaşması karşısında dünya genelinde kapsamlı bir yasal çerçeve oluşturan ilk düzenlemeyi hayata geçirmiştir. 13 Haziran 2024 tarihinde yayımlanan ve 1 Ağustos 2024’de yürürlüğe giren Avrupa Birliği Yapay Zekâ Tüzüğü (“AI Act”), risk temelli bir yaklaşım benimseyerek yapay zekâ sistemlerini geliştiren, piyasaya sunan ve kullanan tüm aktörlere bağlayıcı yükümlülükler getirmektedir.
Finansal hizmetler sektörü, yapay zekânın en yoğun kullanıldığı alanlardan birini oluşturmaktadır. Kredi skorlaması, sigorta risk değerlendirmesi, suçtan elde edilen gelirleri aklamayı önleme, dolandırıcılık tespiti ve otomatik karar alma mekanizmalarında yapay zeka kullanımı hızla artmaktadır. AI Act, bu uygulamaların önemli bir kısmını “yüksek riskli” olarak sınıflandırmakta olup, yüksek riskli yapay zeka sistemlerine ilişkin temel gerekliliklerin 2 Ağustos 2026 tarihinde tam anlamıyla yürürlüğe girmesi öngörülmektedir. İşbu bilgi notu, AI Act’ın FinTech sektörüne yönelik temel yükümlülüklerini hem hukuki hem de piyasa koşulları bağlamında ele almaktadır.
Risk Sınıflandırması ve Finansal Hizmetler
AI Act, yapay zekâ sistemlerini dört katmanlı bir risk hiyerarşisine göre sınıflandırmaktadır: kabul edilemez risk (yasaklanmış uygulamalar), yüksek risk, sınırlı risk ve minimal risk. Bu sınıflandırma AI Act’nin 6. maddesi ve Ek III hükümleri çerçevesinde belirlenmektedir.
Ek III’ün “Temel özel ve kamusal hizmetlere erişim” başlıklı 5. bölümü, finansal hizmetler sektörünü doğrudan ilgilendiren iki uygulama alanını yüksek riskli olarak tanımlamaktadır. Bunlardan ilki, gerçek kişilerin kredi değerliliğini değerlendirmek veya kredi skoru oluşturmak amacıyla kullanılan yapay zeka sistemleridir; ancak finansal dolandırıcılığın tespitine yönelik sistemler bu kapsamdan hariç tutulmuştur. İkincisi ise hayat ve sağlık sigortası kapsamında gerçek kişilere yönelik risk değerlendirmesi ve fiyatlandırma amacıyla kullanılan yapay zeka sistemleridir. Önemle belirtilmelidir ki, gerçek kişilerin profillemesini yapan yapay zeka sistemleri her koşulda yüksek riskli kabul edilmekte ve madde 6/3’teki muafiyet hükmünden yararlanamamaktadır.
Yüksek Riskli Yz Sistemlerine İlişkin Temel Yükümlülükler
AI Act, yüksek riskli YZ sistemlerini geliştiren sağlayıcılara ve kullanan konumlandırıcılara kapsamlı yükümlülükler yüklemektedir.
Her şeyden önce, yüksek riskli yapay zeka sistemleri için sistemin tüm yaşam döngüsü boyunca sürekli bir risk yönetim sistemi kurulması ve işletilmesi gerekmektedir. Kredi skorlaması yapan bir FinTech şirketinin, algoritmik adalet, veri kalitesi ve model performansına ilişkin riskleri düzenli olarak değerlendirmesi bu yükümlülüğün somut bir yansımasıdır.
Veri yönetişimi açısından, eğitim, doğrulama ve test veri setlerinin ilgili amaçla uyumlu, yeterince temsili ve mümkün olduğunca hatasız olması zorunludur. AI Act, olası önyargıların incelenmesini ve belgelenmiş bir azaltma stratejisinin oluşturulmasını öngörmektedir. Önyargı giderimi için zorunlu olması hâlinde hassas kişisel verilerin sınırlı ölçüde işlenmesine de izin verilmektedir. Bu hüküm, Genel Veri Koruma Yönetmeliği (“GDPR”) ile kesişen kritik bir alan oluşturmaktadır.
Sağlayıcılar ayrıca, Ek IV’te belirtilen kapsamlı bir teknik dokümantasyon dosyası hazırlamakla yükümlüdür. Sistem mimarisi, eğitim verisi özellikleri, model geliştirme metodolojisi, önyargı değerlendirmesi ve insan gözetim mekanizmalarına ilişkin detaylar bu dosyada yer almalıdır. Yüksek riskli yapay zeka sistemlerinin olayları otomatik olarak kaydedecek şekilde tasarlanması da zorunludur.
Şeffaflık ve insan gözetimi açısından, özellikle kredi ve sigorta kararlarında yapay zeka çıktılarının bir insan tarafından denetlenmesi ve gerektiğinde geçersiz kılınması mümkün olmalıdır. Bunun ötesinde, kredi skorlaması ve sigorta risk değerlendirmesi yapan yüksek riskli yapay zeka sistemlerini konumlandıran kuruluşlar, sistemi ilk kez kullanmadan önce bir Temel Haklar Etki Değerlendirmesi (“FRIA”) yapmak zorundadır. Finansal hizmetlerdeki yüksek riskli sistemler için genel olarak iç kontrol bazlı uygunluk değerlendirmesi yapılabilmekle birlikte, sonuçlar piyasa gözetim otoritelerinin denetimine tabi olup Avrupa Birliği (“AB”) veri tabanına tescil zorunludur.
Uygulama Takvimi ve Yaptırımlar
AI Act kademeli bir yürürlük takvimi öngörmektedir. 2 Şubat 2025 itibarıyla yasaklanmış yapay zeka uygulamalarına ilişkin kısıtlamalar ve yapay zeka okuryazarlığı yükümlülükleri yürürlüğe girmiştir. 2 Ağustos 2025’te yönetişim hükümleri ve genel amaçlı yapay zeka modellerine ilişkin yükümlülükler başlamıştır. FinTech sektörü açısından en kritik tarih olan 2 Ağustos 2026’da ise Ek III kapsamındaki yüksek riskli yapay zeka sistemlerine ilişkin tüm yükümlülükler – kredi skorlaması ve sigorta dahil – tam anlamıyla yürürlüğe girecektir. Avrupa Komisyonu’nun 19 Kasım 2025’te sunduğu Digital Omnibus teklifi bu tarihleri etkileyebilecek hükümler içermekle birlikte, kurumların mevcut takvime göre hazırlık yapması tavsiye edilmektedir.
AI Act ihlal türüne göre kademeli ve caydırıcı yaptırımlar öngörmektedir. Yasaklanmış yapay zeka uygulamalarına aykırılık hâlinde 35 milyon Euro’ya veya global yıllık cironun yüzde yedisine kadar; yüksek riskli yapay zeka yükümlülüklerine aykırılıkta 15 milyon Euro’ya veya yüzde üçe kadar; yetkili makamlara yanlış veya eksik bilgi sunulmasında ise 7,5 milyon Euro’ya veya yüzde bire kadar idari para cezası uygulanabilecektir. KOBİ’ler ve girişimler için cezalar orantılılık ilkesi gereği daha düşük tutulabilmektedir. Aynı fiilin AI Act ile birlikte GDPR veya Dijital Operasyonel Dayanıklılık Tüzüğü (“DORA”) kapsamında da ihlal oluşturması hâlinde çifte cezalandırma yasağı gereği yalnızca daha yüksek olan ceza uygulanacaktır.
Piyasa Koşulları Ve Sektörel Değerlendirme
2026 yılı, AB’nin dijital düzenleme ekosisteminde kritik bir dönüşüm noktasıdır. AI Act’ın yanı sıra DORA ve GDPR gibi düzenlemeler eş zamanlı uyum gereklilikleri yaratmaktadır. Bu düzenleyici yoğunluk, FinTech şirketleri için hem zorluk hem de fırsat barındırmaktadır. Erken uyum sağlayan kuruluşlar, Avrupa pazarına erişimde önemli bir rekabet avantajı elde edebilecektir. AI Act’ın öngördüğü şeffaflık, denetlenebilirlik ve insan gözetimi gereklilikleri, yalnızca bir uyum maliyeti değil, tüketici güvenini artıran stratejik bir yatırım olarak değerlendirilmelidir.
Tüzüğün ekstra-ülkesel etkisi de ayrıca vurgulanmalıdır. Merkezinin bulunduğu ülkeye bakılmaksızın, AB sınırları içinde hizmet sunan veya AB vatandaşlarını etkileyen yapay zeka sistemleri bu düzenlemeye tabidir. Bu husus, Türkiye’den AB pazarına yönelik hizmet sunan FinTech şirketleri açısından doğrudan önem taşımaktadır. Öte yandan, Brezilya, Kanada ve çok sayıda ABD eyaletinde AI Act’ı model alan düzenleme çalışmaları hızlanmaktadır. GDPR’ın küresel veri koruma standartlarını belirlemesine benzer şekilde, AI Act’ın da yapay zekâ alanında küresel bir referans çerçeve haline gelmesi beklenmektedir.
Sonuç ve Öneriler
AB Yapay Zekâ Tüzüğü, yapay zeka yönetişimini gönüllü rehberlikten bağlayıcı hukuki yükümlülüğe dönüştüren, küresel ölçekte belirleyici bir düzenlemedir. Kredi skorlaması ve sigorta risk değerlendirmesi başta olmak üzere FinTech sektörü, Ağustos 2026’dan itibaren kapsamlı uyum yükümlülükleriyle karşı karşıya kalacaktır.
Bu çerçevede, FinTech şirketlerinin mevcut ve planlanan tüm yapay sistemlerini envantere alarak risk kategorilerine göre sınıflandırması, her bir yüksek riskli sistem için kapsamlı risk değerlendirmesi ve teknik dokümantasyon hazırlaması, AI Act, GDPR ve DORA yükümlülüklerini entegre bir uyum çerçevesi altında ele alması ve sürekli izleme mekanizmaları kurması tavsiye edilmektedir. Düzenleyici gerekliliklerin yalnızca bir maliyet kalemi değil, güvenilir ve denetlenebilir yapay zeka altyapısı kurmanın stratejik bir avantajı olarak değerlendirilmesi büyük önem taşımaktadır.
