Podjetja bodo morala razkriti uporabo umetne inteligence, ne zaradi tehnologije, ampak zaradi tveganja
Kako umetna inteligenca vpliva na kibernetsko zavarovanje? Zakaj zavarovalnice v svetu že zahtevajo razkritje uporabe AI in kaj to pomeni za podjetja v Sloveniji.
Zavarovalnice v Indiji in globalno so začele od podjetij zahtevati, da razkrijejo, kako uporabljajo umetno inteligenco (UI), kot del strožjih postopkov ocenjevanja za kibernetsko zavarovanje. Na prvi pogled gre za lokalno prakso, vendar v resnici odraža širši premik: umetna inteligenca postaja dejavnik tveganja, ki ga ni več mogoče spregledati.
Do zdaj so ocene temeljile predvsem na standardiziranih vprašalnikih, ki umetne inteligence sploh niso vključevali. Kot poudarja Tanuj Gulani iz podjetja Prudent Insurance Brokers, so bila tveganja, povezana z uporabo AI orodij, zato pogosto podcenjena ali pa sploh niso bila zaznana.
Ta vrzel danes postaja prevelika, da bi jo lahko ignorirali.
Nova realnost: umetna inteligenca kot del presoje tveganja
Podjetja se z vprašanji o umetni inteligenci ne srečujejo več samo na ravni inovacij ali optimizacije procesov, temveč tudi pri presoji tveganj. Ritesh Thosani, vodja področja kibernetskih tveganj pri Marsh India, pojasnjuje, da podjetja o njihovi uporabi UI podrobneje povprašajo predvsem takrat, ko je ta že neposredno povezana s prihodki ali operativnim delovanjem, kar je danes vse pogostejši primer.
Ta sprememba prihaja v času, ko se umetna inteligenca hitro širi v različne panoge. Čeprav prinaša večjo učinkovitost, hkrati odpira nova vprašanja. Sistemi lahko nehote izpostavijo občutljive podatke, ob neustrezni zaščiti pa povečajo površino za napade.
Hkrati umetna inteligenca ni vedno predvidljiva. Lahko generira napačne ali zavajajoče informacije, kar neposredno vpliva na zaupanje in kakovost odločanja – še posebej v okoljih, kjer imajo odločitve konkretne poslovne ali družbene posledice. Nekateri takšni primeri so se že pojavili tudi v praksi, kar dodatno krepi previdnost pri njeni uporabi.
Izziv za zavarovalnice: kako oceniti tveganje umetne inteligence
Za zavarovalnice to odpira zelo konkreten problem. Kibernetsko zavarovanje temelji na sposobnosti kvantifikacije tveganja, torej na razumevanju, kaj se lahko zgodi in kakšne bodo posledice.
Umetna inteligenca pa v ta model vnaša nove spremenljivke, ki jih je bistveno težje oceniti. Med njimi so vedenje modelov, kakovost in integriteta podatkov ter odvisnost od zunanjih ponudnikov, na katerih temeljijo številne AI rešitve.
Zato zavarovalnice ob zaznani uporabi umetne inteligence od podjetij zahtevajo bistveno bolj poglobljene informacije. Te se ne nanašajo več zgolj na tehnično zaščito sistemov, temveč na širši način upravljanja:
- kako je urejeno upravljanje umetne inteligence (AI governance),
- kdo nosi odgovornost za tveganja,
- kako se zaznava in obvladuje pristranskost modelov,
- kako so zaščiteni vmesniki (API-ji),
- kako poteka validacija modelov,
- kako so zaščiteni podatki,
- ter ali obstaja ustrezna sledljivost in beleženje dogodkov.
Odgovori na ta vprašanja imajo neposreden finančni vpliv. Podjetja, ki teh področij nimajo ustrezno urejenih, se lahko soočijo z višjimi premijami ali strožjimi pogoji zavarovanja. Po drugi strani pa lahko organizacije z jasnim upravljanjem in kontrolami pridobijo boljše pogoje in širše kritje.
Globalni trend: AI kot samostojna kategorija tveganja
Čeprav opisani primer prihaja iz Indije, ne gre za izoliran pojav. Podobno razmišljanje se vse bolj uveljavlja tudi na drugih trgih, kjer zavarovalnice umetno inteligenco že obravnavajo kot samostojno kategorijo tveganja.
To pomeni pomemben premik v razumevanju. UI ni več zgolj tehnološka nadgradnja obstoječih sistemov, temveč potencialen vir odgovornosti, ki lahko neposredno vpliva na poslovanje, zaupanje in finančno izpostavljenost podjetja.
Novi vprašalniki in nova pričakovanja zavarovalnic
Ta sprememba se že odraža v praksi. Zavarovalnice podjetjem pošiljajo vse bolj podrobne vprašalnike, v katerih jih ne sprašujejo več le o osnovni varnosti, temveč o konkretni uporabi umetne inteligence.
Zanimajo jih predvsem:
- načini uporabe AI orodij,
- vrste podatkov, ki jih ti sistemi obdelujejo,
- ter zaščitni ukrepi v primeru napak ali nepravilnega delovanja.
Kot poudarja S. Vishwanathan iz SBI General Insurance, takšna vprašanja zavarovalnicam omogočajo boljše razumevanje novih vrst groženj in prilagajanje zavarovalnih polic realnim tveganjem.
Prelom s preteklimi praksami kibernetske varnosti
Takšen pristop pomeni jasen odmik od dosedanjih praks. Do nedavnega so ocene kibernetskega tveganja temeljile predvsem na uveljavljenih standardih, kot sta ISO 27001 in NIST Cybersecurity Framework. V našem skupnem evropskem prostoru je to skupna evropska direktiva NIS2. Še bolj konkretno od meseca junija 2025 pa v Sloveniji uveljavljen zakon ZInfV-1.
Ti okviri so učinkovito pokrivali klasična tveganja, kot so vdori v podatke, nadzor dostopa in upravljanje sistemov. Niso pa bili zasnovani za specifične izzive, ki jih prinaša umetna inteligenca, predvsem v smislu nepredvidljivosti, odvisnosti od podatkov in kompleksnosti odločanja.
EU AI Act: regulacija umetne inteligence že postavlja okvir
V evropskem prostoru ta razvoj ni povsem nov. EU AI Act že uvaja regulativni okvir, ki umetno inteligenco obravnava kot področje, ki zahteva sistematično upravljanje.
Za določene kategorije sistemov, zlasti tiste z višjim tveganjem, zakonodaja zahteva sledeče:
- vzpostavitev sistema upravljanja tveganj,
- ustrezno dokumentacijo in sledljivost,
- človeški nadzor nad delovanjem,
- ter zagotavljanje varnosti in zanesljivosti sistemov.
Pomembno pa je razumeti, da regulacija in zavarovanje nista isto. EU AI Act določa, kako mora biti umetna inteligenca uporabljena in nadzorovana, ne določa pa, kako se tveganje finančno ovrednoti.
Prav tukaj pa nastopi vloga zavarovalnic.
Kaj to pomeni za slovenska podjetja
V Sloveniji se kibernetsko zavarovanje še vedno razvija, umetna inteligenca kot samostojen dejavnik tveganja pa večinoma še ni v ospredju razprav.
Vendar to ne pomeni, da spremembe ne prihajajo. Prihajajo in to s tempom, ki ga vsi skupaj še ne razumemo povsem dovolj, da bi že sprejemali “prave odločitve.”
Ko se bodo prakse začele bolj sistematično uveljavljati tudi pri nas, se verjetno ne bodo začele pri osnovah. Podjetja se bodo morala soočiti z vprašanji, ki jih danes vidimo na bolj razvitih trgih: kako uporabljajo umetno inteligenco, kako jo nadzorujejo in kako lahko to tudi dokažejo.
Od vprašanja uporabe do vprašanja odgovornosti
Ključno vprašanje se tako postopoma spreminja.
Ne gre več za to, ali podjetje uporablja umetno inteligenco. Temveč za to, ali razume tveganja, ki jih ta uporaba prinaša in ali jih zna ustrezno obvladovati.
Umetna inteligenca s tem postaja več kot le tehnološka odločitev. Postaja del širšega okvira upravljanja tveganj, ki vključuje varnost, skladnost in finančno izpostavljenost.
In prav to je razlog, da jo zavarovalnice vse bolj obravnavajo kot samostojen dejavnik.
Med inovacijo in odgovornostjo
Morda največja sprememba ni v tehnologiji sami, temveč v načinu, kako jo podjetja razumejo.
Umetna inteligenca je bila do nedavnega predvsem vprašanje priložnosti. Danes postaja tudi vprašanje odgovornosti. Ne zato, ker bi bila sama po sebi problematična, ampak zato, ker njena uporaba odpira nova, pogosto slabo razumljena tveganja.
V praksi to pomeni, da bo sposobnost podjetja, da razume in obvladuje uporabo umetne inteligence, vedno bolj vplivala na njegovo zaupanje v očeh partnerjev, regulatorjev in nenazadnje tudi zavarovalnic.
Pri tem ne gre za iskanje popolnih odgovorov, temveč za sposobnost postavljanja pravih vprašanj.
In prav tam se običajno začne tudi razlika med podjetji, ki umetno inteligenco zgolj uporabljajo, in tistimi, ki jo znajo upravljati.