L'adoption de l'IA dans les services financiers
Les services financiers comptent parmi les adoptants les plus agressifs de la technologie de l'IA. Du trading algorithmique et de la détection des fraudes à l'octroi de crédit et à l'automatisation du service client, l'IA remodèle chaque aspect du secteur.
Les avantages potentiels sont considérables : JP Morgan estime que ses initiatives en matière d'IA pourraient générer plus de $1.5 billion de valeur par an. Les banques déploient de grands modèles de langage pour l'analyse de documents, la surveillance de la conformité et les interactions avec les clients. Les compagnies d'assurance utilisent l'IA pour le traitement des sinistres, l'évaluation des risques et la modélisation actuarielle. Les gestionnaires d'actifs tirent parti de l'IA pour l'optimisation de portefeuille et l'analyse de marché.
Cependant, la lourde charge réglementaire du secteur financier rend l'adoption de l'IA particulièrement complexe. Les institutions financières doivent composer avec des réglementations qui se chevauchent émanant de plusieurs agences, l'OCC, la FDIC, la Réserve fédérale, la SEC, la FINRA et les régulateurs des États, chacune ayant des attentes évolutives en matière de gouvernance de l'IA. Un seul manquement à la conformité peut entraîner des injonctions, des amendes de plusieurs millions de dollars et de graves atteintes à la réputation qui érodent la confiance des clients et la valeur pour les actionnaires.
Les enjeux sont aggravés par la sensibilité des données financières. Les dossiers financiers des clients, les stratégies de trading, les plans de fusion et acquisition et les modèles de risque représentent certaines des données les plus précieuses et les plus ciblées de tous les secteurs. Lorsque des employés utilisent des outils d'IA avec ces données, qu'ils soient approuvés ou clandestins, le risque d'exposition catastrophique des données est important.
Principaux risques de sécurité liés à l'IA dans les services financiers
Les institutions financières font face à un ensemble distinct de risques de sécurité liés à l'IA, dictés par la nature de leurs données, leur environnement réglementaire et leur importance systémique.
Exposition d'informations matérielles non publiques (MNPI) : les banques d'investissement, les gestionnaires d'actifs et les courtiers-négociants manipulent des MNPI susceptibles de constituer des informations privilégiées. Les outils d'IA utilisés pour analyser des documents d'opérations, des rapports de résultats ou des stratégies de trading pourraient divulguer par inadvertance des MNPI, créant une responsabilité pour délit d'initié et un risque d'application par la SEC.
Risque de modèle et biais algorithmique : les modèles d'IA utilisés pour la décision de crédit, la souscription d'assurance et le trading doivent répondre à des exigences strictes au titre de SR 11-7 (gestion du risque de modèle) et des lois sur l'équité du crédit. Des résultats d'IA biaisés peuvent entraîner des pratiques de prêt discriminatoires, une tarification d'assurance inéquitable et des mesures coercitives réglementaires.
Fuite de données financières des clients : lorsque les chargés de clientèle, les analystes ou le personnel des opérations collent des détails de comptes clients, des historiques de transactions ou des plans financiers dans des outils d'IA, ils risquent d'enfreindre les exigences de confidentialité de la GLBA et les normes PCI DSS de protection des données des titulaires de cartes.
Manipulation des algorithmes de trading : les systèmes de trading pilotés par l'IA sont vulnérables à la manipulation adverse, à l'empoisonnement des données et aux attaques par extraction de modèle. Un algorithme de trading compromis pourrait causer des pertes financières importantes et une perturbation du marché.
Risque lié aux fournisseurs d'IA tiers : les régulateurs financiers examinent de plus en plus les relations avec les fournisseurs de technologie tiers. Les fournisseurs d'IA doivent être évalués selon les directives de gestion du risque tiers de l'OCC et de la FFIEC, en accordant une attention particulière à la gestion des données, à la transparence des modèles et à la continuité des activités.
Exactitude des rapports réglementaires : les outils d'IA utilisés pour générer des rapports réglementaires, des déclarations de conformité ou de la documentation d'audit doivent produire des résultats exacts et vérifiables. Les hallucinations de l'IA dans des contextes réglementaires peuvent constituer de fausses déclarations.
Cadre réglementaire de l'IA dans la finance
Les institutions financières doivent composer avec un réseau complexe de réglementations affectant le déploiement de l'IA.
Gestion du risque de modèle SR 11-7 : la directive SR 11-7 de la Réserve fédérale est le cadre fondamental de la gouvernance des modèles d'IA dans la banque. Elle exige des pratiques robustes de développement de modèles avec documentation, une validation indépendante des modèles avant le déploiement, une surveillance et un suivi continus des performances des modèles, une gouvernance claire des modèles avec des rôles et responsabilités définis, ainsi qu'une gestion de l'inventaire des modèles.
Conformité SOX et IA : la loi Sarbanes-Oxley exige une information financière exacte et des contrôles internes efficaces. Les outils d'IA qui touchent aux données ou aux processus d'information financière doivent être intégrés à votre cadre de contrôle SOX. Cela inclut les outils d'IA utilisés dans la reconnaissance des revenus, les processus de clôture financière ou la préparation des audits. Documentez les contrôles liés à l'IA, testez leur efficacité et veillez à ce que la certification de la direction couvre les processus assistés par l'IA.
PCI DSS et gestion des données par l'IA : si les outils d'IA traitent des données de titulaires de cartes, les exigences PCI DSS s'appliquent. Cela implique le chiffrement des données de titulaires de cartes dans les interactions avec l'IA, des contrôles d'accès limitant qui peut utiliser l'IA avec des données de paiement, la journalisation et la surveillance des interactions de l'IA impliquant des données de titulaires de cartes, ainsi que des tests d'intrusion réguliers des intégrations de systèmes d'IA.
Équité du crédit et biais de l'IA : l'Equal Credit Opportunity Act (ECOA) et le Fair Housing Act interdisent les prêts discriminatoires. Les modèles d'IA utilisés dans les décisions de crédit doivent être testés pour détecter les impacts disparates, fournir des résultats explicables pour les notifications d'action défavorable, faire l'objet d'audits de biais réguliers et maintenir une documentation du développement et de la validation des modèles.
Attentes de la SEC et de la FINRA : la SEC a signalé un examen accru de l'IA sur les marchés de capitaux. Les courtiers-négociants et les conseillers en investissement doivent documenter l'utilisation de l'IA dans les processus d'investissement, veiller à ce que la recherche générée par l'IA comporte les avertissements appropriés, mettre en œuvre des procédures de supervision des activités assistées par l'IA et conserver les livres et registres des interactions de l'IA conformément à la règle SEC 17a-4.
Conformité EU DORA : le Digital Operational Resilience Act exige que les entités financières gèrent le risque lié aux tiers TIC, mènent des tests de résilience opérationnelle numérique, signalent les incidents liés aux TIC et mettent en œuvre des cadres de gestion des risques TIC, autant d'éléments qui ont un impact direct sur les relations avec les fournisseurs d'IA et la résilience des systèmes d'IA.
Mettre en place un cadre de gouvernance de l'IA pour les institutions financières
Les institutions financières ont besoin d'un cadre de gouvernance de l'IA qui satisfasse les régulateurs tout en favorisant l'innovation.
Trois lignes de défense pour l'IA : appliquez le modèle traditionnel des trois lignes de défense à la gouvernance de l'IA. La première ligne (les unités opérationnelles) est propriétaire de l'utilisation de l'IA et met en œuvre les contrôles. La deuxième ligne (gestion des risques et conformité) assure la supervision, définit les normes et surveille le respect des règles. La troisième ligne (audit interne) fournit une assurance indépendante de l'efficacité de la gouvernance de l'IA.
Processus d'évaluation des risques de l'IA : élaborez un processus structuré d'évaluation des risques pour les outils et modèles d'IA. Évaluez le risque inhérent en fonction de la sensibilité des données, de l'impact des décisions, de l'exposition des clients et des implications réglementaires. Déterminez les contrôles requis en fonction du niveau de risque. Documentez le risque résiduel et obtenez une acceptation du risque appropriée.
Inventaire des modèles d'IA : tenez un inventaire complet de tous les modèles et outils d'IA utilisés dans l'organisation. Incluez l'objectif et le cas d'usage du modèle, les entrées et sorties de données, le propriétaire et le développeur du modèle, l'état et la date de validation, les indicateurs et seuils de performance, ainsi que l'historique des modifications et le contrôle de version.
Diligence raisonnable des fournisseurs d'IA : renforcez votre programme de gestion du risque tiers pour les fournisseurs d'IA. Évaluez les pratiques de gestion des données (stockage, conservation, utilisation pour l'entraînement), la transparence et l'explicabilité des modèles, les contrôles et certifications de sécurité, la continuité des activités et la reprise après sinistre, les capacités de conformité réglementaire, ainsi que les protections contractuelles, y compris la propriété des données et la notification des violations.
Reporting au conseil d'administration et à la direction : les régulateurs attendent une connaissance des risques de l'IA au niveau du conseil. Établissez un reporting régulier sur les indicateurs et tendances d'adoption de l'IA, le profil de risque de l'IA et les indicateurs clés de risque, les incidents et quasi-incidents majeurs liés à l'IA, les évolutions réglementaires affectant l'utilisation de l'IA, ainsi que l'efficacité du programme de gouvernance de l'IA.
Sécuriser l'IA dans les flux de travail financiers
Voici des mesures de sécurité pratiques pour les cas d'usage courants de l'IA dans les services financiers.
Décision de crédit et souscription : l'IA dans la décision de crédit et la souscription d'assurance exige les normes de gouvernance les plus élevées. Mettez en œuvre une validation des modèles avec examen indépendant, des tests de biais sur les classes protégées avant le déploiement puis chaque trimestre, une documentation d'explicabilité pour l'examen réglementaire, une intervention humaine pour les décisions défavorables, une surveillance des performances des modèles avec alertes automatisées de dérive, et des pistes d'audit complètes des entrées, sorties et décisions des modèles.
Détection des fraudes et LBC : les outils d'IA de détection des fraudes et de lutte contre le blanchiment d'argent doivent concilier efficacité et gouvernance. Validez les modèles de détection par rapport aux schémas de fraude connus et aux menaces émergentes, veillez à ce que les résultats des modèles soient explicables pour les déclarations d'activités suspectes (SAR), mettez en œuvre des boucles de rétroaction pour réduire les faux positifs, maintenez des indicateurs de performance des modèles pour l'examen par les autorités, et documentez les limites des modèles et les contrôles compensatoires.
IA destinée aux clients : les chatbots, assistants virtuels et outils de conseil pilotés par l'IA qui interagissent avec les clients exigent une information claire indiquant que l'IA est utilisée, des garde-fous empêchant les conseils financiers inappropriés, des voies d'escalade vers des conseillers humains, un examen de conformité des communications générées par l'IA, et une surveillance des hallucinations ou des informations produit inexactes.
Analyse de documents et diligence raisonnable : les outils d'IA utilisés pour l'analyse de contrats, la diligence raisonnable et l'examen de documents réglementaires doivent disposer de contrôles d'accès limitant l'exposition aux informations sensibles des opérations, d'une isolation des données empêchant la contamination croisée entre dossiers, d'une validation de l'exactitude avec examen juridique et de conformité, et d'une gestion sécurisée des données avec conservation et suppression appropriées.
Reporting réglementaire et conformité : les outils d'IA aidant aux déclarations réglementaires, à la surveillance de la conformité ou à la préparation des audits doivent produire des résultats vérifiables et traçables. Mettez en œuvre une relecture humaine de toutes les soumissions réglementaires assistées par l'IA, une validation des résultats de l'IA par rapport aux données sources, une documentation de la méthodologie de l'IA pour l'examen par les autorités, ainsi qu'un contrôle de version et une gestion des changements pour les processus assistés par l'IA.
Prévention de la Shadow AI dans les services financiers
La Shadow AI dans les services financiers présente un risque démesuré en raison des conséquences réglementaires et de la sensibilité des données.
Scénarios de Shadow AI à haut risque : des banquiers d'investissement collant les termes d'une opération dans ChatGPT pour rédiger un mémo, des traders utilisant l'IA pour analyser des stratégies propriétaires, des chargés de clientèle saisissant des détails financiers de clients pour rédiger des communications, des responsables de la conformité utilisant l'IA pour synthétiser des déclarations réglementaires, et du personnel des opérations automatisant la réconciliation avec des outils d'IA non approuvés.
Détection et prévention : mettez en œuvre une surveillance au niveau du réseau du trafic des services d'IA, des politiques DLP ajustées aux schémas de données financières (numéros de compte, codes SWIFT, indicateurs financiers), des contrôles de terminaux bloquant les applications d'IA non autorisées, une surveillance et un contrôle des extensions de navigateur, ainsi que des audits réguliers des abonnements et de l'utilisation des services d'IA.
Créer une culture d'utilisation conforme de l'IA : les institutions financières doivent favoriser une culture où l'adoption de l'IA est encouragée par les voies appropriées. Fournissez un catalogue d'outils d'IA approuvés avec une cartographie claire des cas d'usage, des processus d'approbation accélérés pour les nouveaux outils d'IA, des ambassadeurs de l'IA au sein de chaque ligne métier, une formation régulière sur les outils d'IA approuvés et les pratiques interdites, ainsi qu'une reconnaissance des équipes qui innovent de manière responsable avec l'IA.
Se préparer aux examens réglementaires
Les régulateurs financiers examinent de plus en plus la gouvernance de l'IA lors des revues de supervision. Préparez-vous en tenant une documentation complète.
Liste de contrôle de préparation à l'examen : tenez à jour une documentation comprenant un inventaire complet des modèles et outils d'IA, les politiques et procédures de gouvernance de l'IA, les rapports et conclusions de validation des modèles, les évaluations des risques de l'IA et les plans d'atténuation, les procès-verbaux des réunions du conseil et des comités abordant l'IA, les rapports d'incidents liés à l'IA et les mesures de remédiation, les dossiers de diligence raisonnable des fournisseurs d'IA tiers, les registres de formation des programmes liés à l'IA, ainsi que la documentation de gestion des changements pour les modèles d'IA.
Questions fréquentes des examinateurs : préparez-vous à répondre à la manière dont vous identifiez et gérez les risques liés à l'IA, à la structure de gouvernance qui supervise le déploiement de l'IA, à la manière dont vous garantissez que les modèles d'IA ne produisent pas de résultats discriminatoires, aux contrôles qui existent autour des relations avec les fournisseurs d'IA, à la manière dont vous détectez et prévenez l'utilisation non autorisée de l'IA, et à votre processus de validation et de surveillance continue des modèles d'IA.
Les institutions financières qui mettent en place de manière proactive des cadres de gouvernance de l'IA robustes seront mieux placées pour satisfaire les régulateurs, gérer les risques et capitaliser sur le potentiel transformateur de l'IA.
