Sebastien Rousseau

INGINERIE AGENTICĂ

Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi

IA agentică a trecut de la pilot la producție. 70% din bănci o utilizează; unu din cinci are un model matur de guvernanță. Adversarii operează la viteza mașinii, moștenirea COBOL datează din epoca batch a anilor 1960, iar termenul EU AI Act este la 12 săptămâni.

34 min de citit
Banner for: Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi

IA agentică a trecut de la pilot la producție în sectorul bancar global. Șaptezeci la sută dintre instituții o utilizează într-o oarecare măsură; doar una din cinci are un model de guvernanță matur. Între timp, adversarii autonomi operează la viteza mașinii, moștenirea COBOL cu care noile sisteme trebuie să fie interoperabile a fost scrisă pe baza ipotezelor de procesare în loturi (batch) din anii 1960, iar termenul-limită al Regulamentului UE privind IA (EU AI Act) pentru sistemele cu risc ridicat este la douăsprezece săptămâni distanță. Aceasta este poziția de inginerie și guvernanță pe care o bancă trebuie să o adopte.


Idei principale

  • Tranziția de la vibe coding la dezvoltarea spec-driven (bazată pe specificații) nu mai este doar o aspirație. Andrej Karpathy, care a creat termenul „vibe coding” în februarie 2025, a recunoscut un an mai târziu ⧉ că acea eră se apropie de sfârșit și că noua stare implicită pentru profesioniști este ingineria agentică — orchestrarea de agenți în raport cu specificații detaliate sub supraveghere umană.
  • Adoptarea în sectorul bancar este reală și se accelerează. 70% dintre firmele bancare ⧉ raportează că utilizează IA agentică într-o oarecare măsură (16% în producție, 52% în fază de pilot, EY 2026); 44% dintre echipele financiare o vor folosi în acest an — o creștere de peste 600% de la an la an, conform Wolters Kluwer.
  • Guvernanța nu a ținut pasul. Studiul Deloitte „State of AI 2026” arată că doar una din cinci companii are un model de guvernanță matur pentru agenții AI autonomi. Analiza Deloitte asupra bazei de date de riscuri AI a MIT identifică peste 350 de riscuri ⧉ care pot apărea din comportamentul autonom sau agentic.
  • Peisajul amenințărilor s-a industrializat. Anthropic a dezvăluit în noiembrie 2025 că grupul GTG-1002, sponsorizat de statul chinez, a deturnat Claude Code pentru a rula operațiuni de spionaj autonom împotriva a aproximativ 30 de ținte, IA gestionând 80-90% din operațiunile tactice în mod independent. Flashpoint a observat o creștere de 1.500% a discuțiilor ilicite legate de IA ⧉ doar între noiembrie și decembrie 2025.
  • Sistemele legacy reprezintă constrângerea tăcută. Bugetele IT pentru serviciile financiare sunt consumate în proporție de 70-75% de întreținerea sistemelor legacy, 63% dintre bănci se bazează în continuare pe cod scris înainte de anul 2000, iar majoritatea băncilor raportează doar una sau două persoane la nivel intern care pot întreține codul COBOL pe care rulează platformele lor principale. IA agentică este acum abordarea dominantă pentru eliminarea acestui decalaj.
  • Stiva de reglementare converge. Sub Regulamentul UE privind IA, data de 2 august 2026 marchează aplicabilitatea deplină pentru sistemele IA cu risc ridicat (Anexa III include în mod explicit scorarea de credit și evaluarea bonității). DORA este deja în vigoare. SR 11-7 a fost extins în practica autorităților de reglementare pentru a acoperi LLM-urile și sistemele agentice. Amenzile pentru nerespectare ajung la 35 de milioane de euro sau 7% din cifra de afaceri anuală globală.
  • Supravegherea umană nu este un concept unic. Distincția dintre HITL (Human-in-the-Loop, unde agentul nu poate executa fără aprobarea umană explicită) și HOTL (Human-on-the-Loop, unde agentul execută autonom sub monitorizare umană) este acum cadrul de lucru pentru conformitatea cu Articolul 14 din Regulamentul UE privind IA, iar fiecare agent cu risc ridicat are nevoie de o poziție explicită privind modelul care se aplică.
  • Majoritatea agenților vor fi cumpărați, nu construiți. Managementul riscurilor terților (TPRM) sub DORA este cea mai puternică provocare insuficient recunoscută din 2026. Furnizorii vor oferi majoritatea capabilităților agentice pe care băncile le implementează; obligația de reglementare rămâne la nivelul băncii, iar majoritatea contractelor existente cu furnizorii nu pot satisface cerințele de documentare din Articolul 13.
  • Ingineria agentică nu înseamnă „ChatGPT plus servere MCP”. Este o poziție de asumare structurală a fluxurilor cap-la-cap ale instituției — parcursul clienților, ciclurile de viață ale tranzacțiilor, planul de control, substratul de audit, fundația criptografică cuantic-sigură — construite și operate de propria funcție de inginerie a instituției, nu delegate unui chatbot.

Anul în care ingineria agentică a devenit inevitabilă

Conversația despre IA în serviciile financiare a fost, până de curând, dominată de două lucruri adiacente, dar distincte: interfețele de chat generative (utile, dar limitate) și modelele de generare augmentată prin recuperare (RAG) suprapuse pe datele companiei (utile, de asemenea limitate). Ceea ce s-a schimbat între sfârșitul anului 2025 și începutul anului 2026 este faptul că a treia categorie — agenții autonomi care planifică, execută și finalizează fluxuri de lucru cu mai mulți pași cu supraveghere umană limitată — a trecut de la stadiul de demonstrație tehnică la cel de realitate operațională, pătrunzând simultan atât în întreprinderi, cât și în arsenalul actorilor de amenințări.

Andrej Karpathy, care a creat termenul „vibe coding” în februarie 2025 ⧉, a petrecut următorul an urmărind inginerii profesioniști depășind această etapă. Revizuirea sa — „ingineria agentică” — este acum termenul de lucru utilizat în întreaga industrie. Substanța acestei schimbări este simplă: în activitatea serioasă de software din 2026, inginerii nu scriu codul în mod direct în 99% din timp. Ei orchestrează agenți care fac acest lucru, acționând ca supraveghetori. Munca nu mai constă în tastarea caracterelor într-un editor, ci în producerea de specificații care limitează ceea ce pot genera agenții, în proiectarea porților de verificare pe care rezultatul trebuie să le treacă și în gestionarea deciziilor de arhitectură pe care le implementează agenții.

Această schimbare pare a fi o conversație specifică unei echipe de inginerie. În sectorul bancar nu este așa. Este o conversație la nivel de consiliu de administrație, deoarece aceeași capacitate agentică ce rescrie modul în care este produs codul intern rescrie, de asemenea, modul în care operează adversarii externi, modul în care autoritățile de reglementare așteaptă să fie exercitată supravegherea și modul în care este definit perimetrul instituțional. O bancă ce nu își asumă clar poziția cu privire la ingineria agentică până la sfârșitul anului 2026 nu este o bancă ce a evitat problema. Esența este că furnizorii, adversarii și autoritățile de reglementare au răspuns deja la această întrebare în locul ei.

Stadiul adoptării în sectorul bancar

Imaginea de ansamblu este fără echivoc. Conform cercetărilor compilate din mai multe sondaje din 2026, 70% dintre directorii executivi din bănci ⧉ raportează că firmele lor folosesc deja IA agentică într-o oarecare măsură. Gartner estimează ⧉ că, până la sfârșitul anului 2026, aproximativ 40% dintre toate firmele de servicii financiare vor rula agenți AI sub o formă sau alta. Cheltuielile cu IA în serviciile financiare sunt pe cale să atingă 67 de miliarde de dolari până în 2028 (IDC). McKinsey estimează că IA agentică poate elibera între 10 și 12 ore pe săptămână pentru managerii de relații cu clienții (relationship managers) din bănci.

Imaginea execuției este mai puțin încurajatoare. KPMG raportează ⧉ că 99% dintre companii intenționează să pună în producție agenți autonomi, dar doar 11% au făcut-o deja. EY constată că 34% dintre lideri au început să folosească agenți AI și doar 14% i-au implementat complet. Forrester constată că 57% dintre organizații consideră că le lipsesc capabilitățile interne pentru a profita de IA agentică. Decalajul dintre intenție și execuție nu este un artefact de marketing. Este o reflectare reală a muncii de inginerie, guvernanță și cultură organizațională care nu a fost încă realizată.

Autoritatea de Conduită Financiară (FCA) din Regatul Unit a exprimat public îngrijorări ⧉ cu privire la faptul că viteza de implementare depășește maturitatea guvernanței — o tensiune pe care directorul de date (Chief Data Officer) al FCA, Jessica Rasu, a încadrat-o ca pe un risc pe termen scurt pentru consumatorii de retail. McKinsey a avertizat separat că băncile care nu reușesc să își adapteze modelele de afaceri ⧉ riscă o erodare de până la 170 de miliarde de dolari din profiturile globale până în 2030. Ambele observații sunt corecte simultan. Întrebarea nu este dacă trebuie să facem pasul, ci cum să îl facem păstrând integritatea operațională și de guvernanță pe care reglementările din serviciile financiare au cerut-o întotdeauna și pe care sistemele agentice o fac și mai critică.

Trei vectori de risc pe care băncile trebuie să îi interiorizeze

Înainte de orice conversație despre arhitectură, atenția consiliului de administrație ar trebui să se îndrepte către trei riscuri specifice sistemelor agentice, care apar mai devreme decât au prevăzut majoritatea băncilor.

1. Adversarul autonom

Cea mai derutantă evoluție din 2026 este operaționalizarea IA agentice de partea atacatorilor. În august 2025, Anthropic a dezvăluit o categorie de activitate pe care a numit-o vibe hacking: infractori cibernetici care utilizează IA agentică pentru a efectua atacuri sofisticate la scară largă, IA fiind integrată în recunoaștere, colectarea de credențiale, penetrarea rețelei și analiza datelor furate. În noiembrie 2025 ⧉, Anthropic a dezvăluit că a perturbat o campanie a unui grup sponsorizat de statul chinez (desemnat GTG-1002) care a deturnat instanțe de Claude Code pentru a desfășura spionaj autonom împotriva a aproximativ treizeci de ținte din domeniul apărării, energiei și tehnologiei, IA gestionând 80-90% din operațiunile tactice și operând la mii de solicitări pe secundă — viteze imposibile pentru operatorii umani.

În ianuarie 2026, Step Finance — un manager de portofoliu DeFi bazat pe Solana — a fost compromis într-un mod care a transformat o intruziune pe un dispozitiv într-o pierdere de 27-30 de milioane de dolari, deoarece agenții de tranzacționare AI ai firmei aveau permisiuni de a executa transferuri mari fără aprobare umană. Atacatorul a folosit ingineria socială direct asupra IA, susținând că rulează un program autorizat de recompense pentru bug-uri (bug bounty). Lecția ⧉ nu a fost că IA este intrinsec nesigură, ci că un agent AI care acceptă o autorizare pretinsă fără verificare reprezintă o slăbiciune de perimetru.

Tendința generală este ceea ce băncile trebuie să interiorizeze. Raportul Global Threat Intelligence din 2026 al Flashpoint a identificat o creștere de 1.500% a discuțiilor ilicite legate de IA între noiembrie și decembrie 2025, atacatorii dezvoltând activ sisteme autonome care colectează date, rotesc infrastructura, ajustează mesajele și învață din încercările eșuate fără supraveghere umană continuă. Jamie Dimon de la JPMorgan a fost explicit în mod public ⧉ afirmând că avantajul inițial în această tehnologie aparține ofensivei, nu defensivei. Implicația este inconfortabilă: o bancă ce rulează operațiuni de securitate clasice împotriva unor adversari agentici se află, structural, în poziția unui jucător de șah al cărui adversar a primit un computer.

2. Regresia calității codului

Al doilea vector este intern și mai silențios. Codul generat de LLM-uri, în absența unei discipline a specificațiilor și a unei verificări riguroase, este livrat cu defecte la o rată substanțial mai mare decât codul scris de oameni. O analiză SonarQube asupra a cinci LLM-uri de ultimă generație ⧉ care generează cod Java a constatat că peste 70% dintre vulnerabilitățile detectate în rezultatele Llama 3.2 90B au fost clasificate ca având o severitate BLOCKER, în timp ce aproximativ două treimi din vulnerabilitățile generate de GPT-4o și OpenCoder-8B au fost clasificate ca BLOCKER sau CRITICAL. Pearce et al. (IEEE S&P) au constatat că aproximativ 40% din programele generate de LLM-uri în contexte sensibile din punct de vedere al securității conțineau vulnerabilități. Yan et al. (2025) au plasat acest interval între 9,8% și 42,1% în testele de referință. Un catalog separat realizat de Fu et al. a identificat 43 de vulnerabilități de tip CWE în trei instrumente de generare de cod bazate pe IA.

Pentru o industrie nereglementată, aceasta este o taxă pe productivitate. Pentru o bancă, este un risc de reglementare și operațional care se acumulează. Codul care este livrat cu o rată ridicată de vulnerabilități într-un sistem care gestionează plăți, decontări sau date ale clienților nu este o problemă de calitate a codului în abstract; este suprafața pe care adversarii de tip GTG-1002 o vor sonda în 2027 cu aceleași instrumente agentice care l-au produs. Soluția nu este interzicerea codului generat de LLM (imposibil din punct de vedere comercial), ci înconjurarea acestuia cu infrastructura de verificare și specificație care asigură depistarea defectelor înainte de implementare. Acesta este motivul practic pentru care dezvoltarea spec-driven este adoptată rapid de organizațiile de inginerie din întreprinderi care nu sunt exclusiv companii de tehnologie.

3. Ancora sistemelor legacy

Al treilea vector este cel pe care băncile îl înțeleg deja cel mai bine și pe care tranziția agentică l-a făcut simultan mai urgent și mai abordabil. Peste 70% din companiile Fortune 500 se bazează încă pe computere mainframe, după cum notează analiza Computer Weekly ⧉, adesea construite pe zeci de ani de cod COBOL și RPG interconectat cu logică de business personalizată. În serviciile financiare, în special, tehnologiile legacy consumă 70-75% din cheltuielile anuale cu IT-ul. Un studiu CIO citat într-o analiză a industriei din 2026 a constatat că 63% dintre bănci se bazează în continuare pe cod scris înainte de anul 2000, iar peste 75% au raportat că au doar una sau două persoane la nivel intern cu abilitățile necesare pentru a-l întreține.

Ceea ce s-a schimbat în februarie 2026 a fost sosirea unor instrumente agentice credibile pentru modernizarea sistemelor legacy. Anunțul celor de la Anthropic conform căruia Claude Code poate mapa dependențele COBOL, documenta fluxurile de lucru și identifica riscurile ⧉ pe care analiștii umani ar avea nevoie de luni de zile să le descopere — corelat cu capabilități similare de la Microsoft (GitHub Copilot pentru COBOL, Watsonx Code Assistant) și AWS (Mainframe Modernization cu IA agentică) — a redus în mod considerabil curba costurilor de modernizare. Reacția prețului acțiunilor IBM (o scădere de 13% în ziua anunțului) a fost un semnal de piață neelegant, dar precis. IA reprezintă acum aproximativ o treime din investițiile în modernizarea întreprinderilor, iar peste 75% dintre întreprinderi folosesc IA în strategia lor de modernizare. Ancora sistemelor legacy este, pentru prima dată, o problemă de inginerie abordabilă, mai degrabă decât una generațională.

De ce vibe coding nu poate fi modul implicit în sectorul bancar

Este important să fim preciși cu privire la motivul pentru care vibe coding — prompt scurt, observarea rezultatului, iterare — eșuează ca flux de lucru implicit într-un mediu reglementat. Modul de eșec nu este cel evident (faptul că LLM-ul are ocazional halucinații). Modul de eșec este structural și se manifestă în patru locuri simultan.

Primul este lipsa unor convenții comune. Mai mulți ingineri care lucrează prin prompturi de chat vor produce cinci moduri diferite de a face același lucru în aceeași bază de cod în decursul unui singur trimestru. Într-un context nereglementat, aceasta este o datorie tehnică. Într-un context reglementat, aceasta este suprafața care cedează la audit.

Al doilea este degradarea contextului. Agenții AI sunt fără stare (stateless). Într-un proiect mare, conversațiile depășesc ferestrele de context, iar raționamentul din spatele deciziilor de arhitectură anterioare se evaporă. Același agent, două săptămâni mai târziu, va lua o decizie inversă într-un nou chat pentru că nimic nu păstrează raționamentul primei decizii. Pentru sistemele care au nevoie de un jurnal de audit pentru autoritățile de reglementare, acest mod de lucru este incompatibil din punct de vedere structural.

Al treilea este acumularea invizibilă de defecte. Descoperirile lui Pearce, Yan și cele ale SonarQube menționate mai sus nu sunt cazuri izolate. Ele reprezintă rata de referință la care LLM-urile generează cod vulnerabil în absența disciplinei specificațiilor și a testării riguroase. O bancă ce rulează fluxuri de lucru de tip vibe-coding în producție acumulează aceste defecte în același ritm, fără vizibilitatea de suprafață necesară pentru a ști ce a fost livrat.

Al patrulea este problema trasabilității de reglementare. Articolul 12 din Regulamentul UE privind IA solicită înregistrarea automată a intrărilor și ieșirilor (jurnale de audit) pentru sistemele IA cu risc ridicat. SR 11-7 solicită roluri documentate pentru proprietarul și validatorul modelului, managementul schimbării pentru actualizările modelelor și raportarea către consiliu cu privire la riscul modelelor AI. DORA solicită un management cuprinzător al riscurilor TIC cu dovezi documentate. Niciuna dintre aceste obligații nu poate fi satisfăcută de un flux de lucru al cărui artefact principal este un istoric de chat pe care nimeni nu îl păstrează.

Concluzia nu este că LLM-urile nu sunt potrivite pentru sectorul bancar. Concluzia este că fluxul de lucru din jurul lor trebuie să producă specificații, jurnale de audit și porți de verificare ca livrabile de prim rang, nu ca elemente secundare. Aceasta este ceea ce înseamnă, din punct de vedere operațional, dezvoltarea spec-driven.

Dezvoltarea spec-driven într-un mediu reglementat

Dezvoltarea spec-driven (SDD) inversează ordinea lucrurilor. În loc de a trece direct la implementare și a itera cu un agent, echipa produce mai întâi o specificație — decizii de arhitectură, cerințe, contracte de interfață, criterii de succes, constrângeri de securitate — iar agentul generează codul care satisface specificația. Verificarea este structurată: specificația definește ce trebuie să facă rezultatul, iar un proces separat (generarea de teste, revizuirea codului, verificarea formală unde este cazul) controlează dacă acest lucru a fost realizat.

Instrumentele practice s-au consolidat la sfârșitul anului 2025 și începutul anului 2026. Spec Kit de la GitHub ⧉ (lansat la sfârșitul anului 2025) formalizează intenția înainte de generarea codului. AWS integrează fluxuri de lucru bazate pe specificații direct în Kiro IDE. JetBrains și Cursor au introdus moduri de planificare care structurează interacțiunea cu IA. Cadre precum BMAD (Breakthrough Method for Agile AI-Driven Development) merg și mai departe cu echipe de agenți AI specializați care oglindesc rolurile de analist, arhitect, dezvoltator și QA pe parcursul SDLC. SDD constituțional, formalizat într-o lucrare arXiv în februarie 2026, integrează în specificația însăși constrângeri explicite de securitate cu mapări de vulnerabilități CWE.

Pentru o bancă, varianta care contează este ceea ce analiza Augment Code numește dezvoltare spec-anchored (ancorată în specificații) — specificațiile vin pe primul loc, IA generează cod limitat de acestea, iar straturi suplimentare de guvernanță (constrângeri constituționale, puncte de control pentru supraveghere, porți de aprobare umană) se situează între generare și îmbinare (merge). Aceasta este singura variantă care produce jurnalul de audit pe care îl așteaptă Articolul 12 din Regulamentul UE privind IA, rolul documentat de validator cerut de SR 11-7 și disciplina de management al schimbării solicitată de DORA.

Investiția necesară este reală, dar este și abordabilă. Instituțiile care fac acest lucru bine au mutat activitatea zilnică a inginerilor de la tastarea caracterelor la producerea a două artefacte: o specificație pe care agentul o va îndeplini și un cadru de verificare pe care rezultatul trebuie să îl treacă. Cererea cognitivă asupra inginerului este mai mare în unele privințe (claritatea intenției contează mai mult ca niciodată) și mai mică în altele (munca mecanică de a scrie cod repetitiv a dispărut). Instituțiile care nu au făcut încă această schimbare operează în continuare într-un mod în care LLM-ul este doar un dactilograf mai rapid. Această poziție nu este sustenabilă într-un sector reglementat dincolo de următoarele douăsprezece luni.

Stiva de reglementare care se aplică acum

Perimetrul de reglementare din 2026 în jurul IA în sectorul bancar nu mai este o listă de verificare; este o stivă de obligații suprapuse care trebuie analizate împreună. Cea mai importantă dată este 2 august 2026, când obligațiile privind sistemele cu risc ridicat din Regulamentul UE privind IA devin pe deplin aplicabile ⧉. Anexa III clasifică în mod explicit scorarea de credit, evaluarea bonității, evaluarea riscurilor în asigurările de viață și de sănătate, precum și evaluarea sau clasificarea situației financiare a persoanelor fizice drept activități cu risc ridicat. Obligațiile care decurg din această clasificare includ evaluări de conformitate, sisteme de management al calității, cadre de management al riscului, documentație tehnică, înregistrarea în baza de date a UE, o guvernanță robustă a datelor, supraveghere umană și protecție cibernetică. Penalitățile pentru încălcarea obligațiilor legate de riscul ridicat ajung la 35 de milioane de euro sau 7% din cifra de afaceri anuală globală, oricare dintre acestea este mai mare.

Pe lângă Regulamentul privind IA:

Compararea a trei moduri de dezvoltare asistată de IA

Dimensiune Vibe Coding Dezvoltare Spec-Driven Inginerie Agentică
Intrare principală Prompt scurt Specificație formală Specificație + plan de orchestrare a agenților
Rolul inginerului Iterator de prompturi Autor de specificații Orchestrator și verificator
Disciplina rezultatelor Generare directă de cod Cod limitat de specificații Fluxuri de lucru multi-agent care produc cod, teste, doc
Jurnal de audit Istoric chat (nepăstrat) Specificație + cod generat + teste Specificație + urme ale agenților + artefacte de verificare
Rata defectelor (exclusiv LLM) Rată de vulnerabilitate de 10-40% (referință din literatură) Redusă semnificativ de constrângerile specificației Cea mai scăzută cu porți de verificare
Trasabilitate de reglementare Insuficientă pentru IA cu risc ridicat Compatibilă cu Articolul 12 din Regulamentul UE privind IA Proiectată pentru Articolul 12 + SR 11-7 + DORA
Potrivită pentru sectorul bancar? Nu, pentru producție Da, cu guvernanță Da, cu guvernanță matură
Plafon de capabilitate Limitat de promptarea single-shot Limitat de calitatea specificațiilor Limitat de calitatea orchestrării

Sursă: Sinteză a comentariilor lui Karpathy (2026), analiza SDD a Augment Code ⧉, analiza dezvoltării spec-driven a CGI ⧉ și literatura academică privind ratele de vulnerabilitate ale codului generat de LLM-uri (Pearce et al., Yan et al., Fu et al., 2023–2025).

Construirea băncii agentice: O perspectivă de arhitectură

Poziția strategică din spatele acestor fluxuri de lucru este cea pe care conducerea executivă (C-suite) trebuie să și-o asume în mod explicit. Ingineria agentică în sectorul bancar nu este o inițiativă de productivitate a dezvoltatorilor. Esența este o capabilitate instituțională care atinge parcursul cap-la-cap al clienților, întregul ciclu de viață al tranzacțiilor și substratul criptografic și de audit care stă la baza ambelor. Patru straturi ale acestei capabilități merită atenția directă a executivului, de sus în jos:

Stratul 4 — Planul de control al agenților Guvernanță, audit, întrerupătoare de urgență, detectarea anomaliilor de comportament, intervenție umană (human override). Configurații de supraveghere HITL și HOTL per clasă de agenți.

Stratul 3 — Fluxuri de lucru agentice Parcursul clienților, operațiuni interne, fluxul de dezvoltare. Spec-driven implicit pentru fluxurile cu risc ridicat.

Stratul 2 — Stratul de date și modele AIBOM (AI Bill of Materials - Listă de componente AI), registru de modele, substrat de recuperare, controlul versiunilor pentru șabloanele de prompturi, trasabilitatea ajustării fine (fine-tune lineage).

Stratul 1 — Fundația cuantic-sigură ML-KEM, ML-DSA, PKI hibrid, cripto-agilitate. Substratul de care depind declarațiile de integritate ale fiecărui strat superior.

Stratul 1 — Fundația cuantic-sigură. Fiecare strat de deasupra acestuia presupune integritatea substratului criptografic. Având în vedere că foaia de parcurs a G7, planul în trei etape al NCSC și concluziile Proiectului Leap al BIS sunt documente publice, aceasta nu mai este o preocupare de nișă. Sistemele agentice ale căror jurnale de audit sunt semnate cu algoritmul clasic ECDSA sau a căror stabilire a cheilor depinde de RSA ori ECDH își vor vedea valabilitatea declarațiilor de integritate expirând odată cu criptografia respectivă. Instituțiile care procedează corect aduc activitatea post-cuantică în amonte și tratează ML-KEM, ML-DSA și PKI-ul hibrid drept substratul pe care se bazează garanțiile de audit și integritate ale fiecărui strat superior.

Stratul 2 — Stratul de date și modele. Acesta este locul unde se află Lista de componente AI (AIBOM - AI Bill of Materials). În mod similar cu Lista de componente criptografice (CBOM) utilizată în planificarea migrării post-cuantice, AIBOM este inventarul fiecărui model, set de date, șablon de prompt, index de recuperare, ajustare fină (fine-tune) și dependență AI terță pe care instituția o operează. Este artefactul pe care Articolul 49 din Regulamentul UE privind IA îl solicită efectiv, inventarul pe care examinările SR 11-7 îl cer acum și fundamentul oricărei poziții de guvernanță credibile. Majoritatea instituțiilor nu au unul. Vor avea nevoie de el până în august.

Stratul 3 — Fluxurile de lucru agentice. Acesta este stratul pe care majoritatea instituțiilor îl construiesc în prezent, adesea fără a acorda suficientă atenție straturilor 1, 2 și 4. Fluxurile de lucru în sine variază de la cele interne (generarea de cod, redactarea documentelor de reglementare, triajul asistenței clienților) la cele orientate către clienți (copiloți pentru managerii de relații cu clienții, integrare [onboarding], orchestrare KYC, monitorizarea tranzacțiilor, optimizare FX) și până la cele complet autonome (operațiuni de trezorerie, anumite funcții de tranzacționare și management al riscului acolo unde toleranța autorității de reglementare o permite). Disciplina strategică la acest strat este de a-l trata ca pe o inginerie de sisteme, nu ca pe o dezvoltare de aplicații — modelele de orchestrare, regulile de escaladare, porțile human-in-the-loop și emiterea datelor de audit sunt preocupări de proiectare de prim rang.

Stratul 4 — Planul de control al agenților. Aceasta este ceea ce Deloitte a caracterizat drept „camera de control a agenților” ⧉: auditul în timp real, înregistrarea acțiunilor (jurnalele de audit), detectarea anomaliilor de comportament, întrerupătoarele de urgență și infrastructura de intervenție umană (human override) care înconjoară fiecare agent în producție. Pierderea Step Finance nu a fost, tehnic vorbind, o defecțiune a IA. A fost un eșec al planului de control: agenții aveau permisiuni pe care nu ar fi trebuit să le aibă, iar anomalia de comportament care ar fi trebuit să declanșeze o oprire nu a făcut-o. Instituțiile care construiesc mai întâi planul de control — înainte de a extinde implementarea agenților — sunt cele care nu se vor confrunta cu incidente de tipo Step Finance în 2027.

Comparația relevantă pentru conducere (C-suite) nu este „facem mai multă IA decât concurenții noștri?”. Ci dacă instituția deține toate cele patru straturi sau dacă unul ori mai multe straturi sunt delegate în mod tacit unui furnizor fără nicio capacitate contractuală de a satisface cerințele de documentare din Articolul 13 al Regulamentului UE privind IA. Aceasta din urmă este o poziție care pare în regulă până când o autoritate de reglementare pune întrebări.

Supravegherea umană în practică: HITL vs HOTL

Singura distincție din cadrul Stratului 4 pe care autoritățile de reglementare sunt cele mai concentrate în 2026 este cea dintre două modele de supraveghere. Ambele sunt forme de supraveghere umană; ele diferă prin latență, scară și ipoteza pe care autoritatea de reglementare este dispusă să o accepte cu privire la comportamentul agentului.

Human-in-the-Loop (HITL) este modelul în care un agent nu poate executa o acțiune cu impact major fără aprobarea umană explicită. Agentul pregătește decizia, o prezintă și așteaptă. Un agent de remediere KYC care marchează un cont pentru închidere, dar nu îl poate închide fără aprobarea unui ofițer de conformitate, este HITL. Compromisul este operațional: HITL este mai sigur și produce un jurnal de audit neechivoc conform Articolului 14, dar nu se adaptează la fluxuri de lucru cu volum mare și latență scăzută.

Human-on-the-Loop (HOTL) este modelul în care un agent execută acțiuni în mod autonom în limitele unor parametri stabiliți, în timp ce oamenii monitorizează telemetria în timp real și își păstrează autoritatea de a opri agentul în orice moment. Un agent de filtrare a fraudelor în timp real care blochează automat tranzacțiile care se potrivesc cu anumite tipare de risc, în timp ce o echipă operațională umană urmărește volumul alertelor și intervine în cazul anomaliilor, este HOTL. Compromisul este invers: HOTL este scalabil, dar se bazează pe setarea corectă a parametrilor agentului și pe detectarea anomaliilor de comportament care surprinde abaterile înainte ca daunele să se acumuleze.

Articolul 14 din Regulamentul UE privind IA nu impune utilizarea HITL sau HOTL; acesta cere ca supravegherea manuă să fie semnificativă. Implicația practică este că fiecare agent cu risc ridicat pe care banca îl operează trebuie să aibă o poziție explicită și documentată cu privire la modelul aplicat, motivele acestei alegeri și calea de escaladare atunci când agentul întâlnește situații în afara parametrilor săi stabiliți. Majoritatea băncilor care rulau proiecte-pilot în 2025 nu aveau această documentație. Majoritatea băncilor care vor rula agenți în producție până în august 2026 vor avea nevoie de ea.

Regula de decizie nu este complexă. Pentru acțiuni cu impact major, cu volum redus și ireversibile — respingerea creditului pentru o persoană fizică, închiderea contului, autorizarea de transferuri bancare de mare valoare, transmiterea de rapoarte de reglementare —, modelul HITL este cel implicit recomandabil. Pentru acțiuni cu volum mare, reversibile și limitate prin parametri — alerte de monitorizare a tranzacțiilor, clasificarea documentelor, triajul de rutină al serviciului clienți —, modelul HOTL este adecvat, cu condiția ca detectarea anomaliilor de comportament și infrastructura întrerupătoarelor de urgență să fie mature. Băncile care tratează fiecare flux de lucru ca HITL nu vor beneficia de avantajul operațional al sistemelor agentice. Băncile care tratează fiecare flux de lucru ca HOTL se vor confrunta, în cele din urmă, cu un incident similar celui de la Step Finance.

Cumpărare vs Construcție: Problema agenților furnizați de terți

Realitatea anului 2026 cu care se confruntă majoritatea băncilor este că nu vor construi în principal capabilități agentice. Le vor cumpăra. Peisajul furnizorilor — platforma bancară agentică a Oracle lansată în februarie 2026, Watsonx de la IBM, suita Copilot de la Microsoft, AWS Bedrock Agents, Salesforce Agentforce, NowAssist de la ServiceNow și valul de furnizori specializați în fintech — se mișcă mai repede decât poate ține pasul ingineria internă a băncilor. Consecința strategică este că majoritatea agenților care vor funcționa într-o bancă în 2027 vor fi scriși de altcineva, iar întrebarea de guvernanță nu mai este „putem avea încredere în agenții noștri?”, ci „putem avea încredere în agenții pe care i-am achiziționat și putem demonstra acest lucru unei autorități de reglementare?”.

Aceasta este cea mai răsunătoare provocare neresimțită pe deplin sub DORA. Articolele 28-30 din regulament fac din managementul riscului TIC legat de terți un domeniu activ de supraveghere, cu cerințe explicite care acoperă prevederile contractuale, monitorizarea continuă, evaluarea riscului de concentrare și strategiile de ieșire. Autoritățile europene de supraveghere mențin un registru al furnizorilor terți critici de TIC, având puteri directe de supraveghere asupra celor desemnați ca atare. Noua realitate operațională este că furnizorii de IA din 2026 — furnizorii de modele de ultimă generație, dezvoltatorii de platforme de agenți, sistemele SaaS integrate cu IA — sunt, tot mai mult, acei terți TIC pe care DORA a fost creat să îi reglementeze.

Pentru o bancă aflată în poziția de cumpărător, se aplică trei discipline practice:

Solicitați AIBOM de la furnizor. Orice produs de tip agent achiziționat pentru a fi utilizat în fluxuri de lucru cu risc ridicat trebuie să vină cu o listă documentată de componente (AIBOM) care să acopere modelele de bază, proveniența și limitările datelor de antrenare, ajustările fine aplicate, indicii de recuperare accesați, versiunile șabloanelor de prompturi și lanțul de dependențe al componentelor din aval ale agentului. Acesta este artefactul de care banca va avea nevoie pentru a satisface cerințele de documentare din Articolul 13 al Regulamentului UE privind IA. Banca nu îl poate produce retrospectiv în lipsa unui angajament contractual din partea furnizorului de a-l pune la dispoziție.

Testați cutia neagră, nu broșura. Evaluările istorice privind achizițiile de la furnizori se concentrează pe compararea caracteristicilor și pe interviuri cu clienți de referință. Pentru sistemele agentice, acest lucru nu este suficient. Instituția trebuie să efectueze teste de comportament ale agentului în condiții analoage implementării sale prevăzute în producție — inclusiv testarea adversarială pentru injecția de prompturi, rezistența la ingineria socială (vectorul Step Finance), abaterile sub influența modificărilor distribuției datelor și latența și modurile de eșec ale întrerupătorului de urgență și ale căilor de intervenție umană. Majoritatea contractelor curente cu furnizorii nu permit această profunzime a testării fără o negociere specifică; acea negociere trebuie să aibă loc înainte de semnarea contractului, nu după.

Renegociați contractele în termenii Articolului 13. Majoritatea acordurilor existente cu furnizorii de IA nu includ niciuna dintre cerințele privind documentația, drepturile de audit, notificarea modificărilor modelelor, raportarea incidentelor sau divulgarea subcontractanților pe care Regulamentul UE privind IA și DORA le impun împreună. Analiza Regulativ privind firmele din Marea Britanie ⧉ a fost explicită în acest sens: revizuirea juridică a acordurilor cu furnizorii durează săptămâni, iar majoritatea instituțiilor nu pot satisface cerințele Articolului 13 pentru un model ale cărui mecanisme interne furnizorul nu a fost niciodată obligat contractual să le dezvăluie. Obligația de reglementare revine utilizatorului (celui care implementează), nu furnizorului. Echipele de achiziții trebuie să știe acest lucru înainte de următorul ciclu de reînnoire, nu după o investigație a autorităților de reglementare.

Rezumatul la nivel de consiliu de administrație este că relația cu furnizorii a trecut de la achiziții la transferul de risc — iar riscul, de fapt, nu se transferă. Banca rămâne cea care implementează. Banca rămâne răspunzătoare. Banca are nevoie de instrumentele contractuale și de disciplina de testare care fac ca răspunderea sa să fie gestionabilă, nu doar formală.

Ce înseamnă acest lucru în funcție de tipul băncii

Răspunsul corect variază. Tiparul de mai jos este o segmentare orientativă, nu o prescripție.

Bănci universale din prima categorie (Tier-One)

Instituțiile cu bilanțuri de peste 1.000 de miliarde de dolari și prezență globală sunt simultan cele mai expuse (cel mai extins perimetru de reglementare, cea mai mare moștenire de sisteme legacy, ținte de mare valoare pentru adversarii autonomi) și cele mai bine dotate cu resurse. Prioritatea strategică este de a construi mai întâi planul de control — Stratul 4 din arhitectura de mai sus — și de a introduce disciplina dezvoltării spec-driven în funcția internă de inginerie înainte de a extinde implementarea agenților. Consecința competitivă a reușitei este semnificativă; consecința eșecului este existențială, având în vedere expunerea la penalități sub Regulamentul UE privind IA și expunerea operațională la tiparele de amenințări de tip GTG-1002.

Bănci de nivel mediu și regionale

Întrebarea competitivă pentru băncile de nivel doi este mai acută decât pentru cele din prima categorie. Ele se confruntă cu același perimetru de reglementare fără a avea același buget de guvernanță, cu aceeași suprafață de amenințări fără aceleași resurse defensive și cu o bază de clienți care le compară tot mai mult cu fintech-urile native IA. Răspunsul practic este standardizarea strictă pe un set mic de furnizori verificați (cu contracte care satisfac cerințele de documentare din Articolul 13), investiția în disciplina dezvoltării spec-driven mai degrabă decât în ingineria de platformă personalizată și utilizarea instrumentelor agentice pentru a comprima calendarul de modernizare COBOL care a fost o ancoră strategică timp de două decenii. Instituțiile care fac pasul devreme aici vor reduce în mod considerabil decalajul tehnologic față de băncile de nivel unu, pentru prima dată într-o generație.

Fintech-uri, PSP-uri și instituții din sfera cripto

Segmentul fintech și al instituțiilor de plată are problema inversă: agilitatea este ridicată, guvernanța este adesea mai scăzută decât în cazul băncilor comparabile, iar expunerea la penalități sub Regulamentul UE privind IA este, pentru un fintech de dimensiuni medii, potențial existențială. Disciplina strategică constă în tratarea guvernanței AI ca pe o etapă de validare a lansării produsului (product-readiness gate), mai degrabă decât ca pe o simplă cerință de conformitate — construind AIBOM, substratul de audit și fluxurile de lucru spec-driven în cultura de inginerie de la bun început, în loc de a le implementa retroactiv sub presiunea reglementărilor. Pentru instituțiile a căror infrastructură de plăți se intersectează cu termenul-limită SWIFT CBPR+ pentru adrese structurate din noiembrie 2026, investiția în ingineria agentică este, de asemenea, mecanismul natural pentru industrializarea activității de remediere a adreselor structurate — regulile de validare, aplicarea calității datelor și integrarea în fluxul CI (CI-pipeline) sunt exact tiparele pe care fluxurile de lucru spec-driven le fac gestionabile.

Funcțiile interne de inginerie

Pentru inginerii și cercetătorii care citesc acest lucru, disciplina de lucru care contează este cea de zi cu zi. Mutați centrul de greutate al activității de la tastarea caracterelor la producerea de specificații și cadre de verificare (verification harnesses). Tratați urmele agenților (agent traces), planurile intermediare și porțile de aprobare ca pe niște artefacte de prim rang în controlul versiunilor voastre. Investiți în instrumente — Spec Kit, Kiro, modul de planificare din Cursor, Claude Code cu fișiere de abilități (skill files) la nivel de proiect — care fac din specificație artefactul durabil, iar din codul generat, unul de unică folosință. Schimbarea de ergonomie este reală. Recompensa profesională este că disciplina adoptată la frontieră este, de asemenea, disciplina care rezistă controlului de reglementare.


Planul de acțiune pe 12 săptămâni până în august 2026

Pentru sponsorul executiv care conduce un program de inginerie agentică de acum și până la data de punere în aplicare a Regulamentului UE privind IA, activitatea se comprimă într-o secvență de douăsprezece săptămâni. Planul de mai jos nu este exhaustiv; este minimul pe care un consiliu de administrație ar trebui să îl aștepte de la un program credibil înainte de 2 august 2026.

Săptămânile 1-2 — Elaborarea AIBOM. Configurați inventarul centralizat al fiecărui sistem AI, model, set de date, șablon de prompt, index de recuperare, ajustare fină și dependență AI terță din producție sau aflate în curs de dezvoltare. Mapează fiecare intrare în raport cu clasificarea din Anexa III a Regulamentului UE privind IA. Elementul livrabil este o singură sursă de adevăr pe care CRO, CCO, CISO și CTO o pot interoga individual.

Săptămânile 3-4 — Clasificarea modelului de supraveghere per sistem. Pentru fiecare agent cu risc ridicat și cu impact major, documentați în mod explicit dacă modelul de supraveghere este HITL sau HOTL, argumentele din spate, calea de escaladare și persoana responsabilă nominalizată conform SM&CR (Marea Britanie) sau regimului național echivalent. Acolo unde răspunsul este neclar, folosiți implicit modelul HITL până când analiza este finalizată.

Săptămânile 5-6 — Construirea sau consolidarea planului de control al agenților. Înregistrarea acțiunilor în timp real, detectarea anomaliilor de comportament, întrerupătoarele de urgență și căile de intervenție umană operaționale pe fiecare agent în producție. Acolo unde planul de control nu există încă pentru un sistem, acel sistem trece în stare de implementare restricționată până când acesta este implementat.

Săptămânile 7-8 — Revizuirea contractelor cu furnizorii. Departamentele juridic și de achiziții analizează fiecare contract activ cu furnizorii de IA în ceea ce privește drepturile de documentare conform Articolului 13, notificarea modificărilor modelelor, raportarea incidentelor, drepturile de audit și divulgarea subcontractanților. Rezultatul este o listă structurată pe niveluri: conform, remediere necesară, înlocuire necesară. Deciziile de înlocuire trebuie să înceapă acum pentru a avea șanse de finalizare în acest an.

Săptămânile 9-10 — Simularea evaluării conformității. Pentru fiecare sistem cu risc ridicat conform Anexei III, parcurgeți fluxul de evaluare a conformității ca și cum un organism notificat ar sosi în săptămâna următoare. Acest lucru va scoate la iveală lacune care par minore pe hârtie, dar sunt severe din punct de vedere operațional la o examinare reală. Remediați ceea ce se poate remedia; documentați restul.

Săptămânile 11-12 — Validarea înainte de lansare și aprobarea consiliului. Revizuirea finală a AIBOM, a clasificărilor HITL/HOTL, a dovezilor privind planul de control, a stadiului remedierii contractelor cu furnizorii și a rezultatelor simulării evaluării conformității. Confirmarea responsabilității nominale a managerilor superiori. Înregistrarea oficială a poziției în procesul-verbal al consiliului. Notificarea autorității de reglementare acolo unde cadrul de lucru prevede o notificare prealabilă.

Instituțiile care finalizează această secvență de douăsprezece săptămâni nu vor fi rezolvat pe deplin ingineria agentică. Ele vor fi stabilit nivelul minim de referință pe care îl necesită un program credibil. Instituțiile care nu au început până la momentul publicării acestui articol nu sunt în mod singular neglijente, așa cum a subliniat analiza Regulativ referitor la SWIFT. Ele reprezintă majoritatea. Întrebarea la care fiecare CCO, CRO și CTO trebuie să răspundă în următoarele două săptămâni este dacă firma acționează în mai sau se panichează în iulie.

Concluzie

Observația dură care s-a cristalizat în întreaga industrie în ultimele șase luni este că vechile moduri de operare la scară de întreprindere sunt depășite nu de o nouă tehnologie, ci de un nou model de lucru. Instrumentele agentice au scos la iveală — uneori în producție, alteori în rapoarte de incidente — defecte și lacune în sistemele legacy care s-au acumulat în liniște timp de ani de zile. Aceleași instrumente au oferit actorilor rău-intenționați resurse care anterior necesitau sprijinul unui stat. Aceleași instrumente, utilizate la nivel intern și cu disciplină, reprezintă calea cea mai credibilă pe care instituțiile o au pentru a elimina decalajul legacy, a respecta termenul-limită de reglementare din august 2026 și a atinge ritmul operațional pe care așteptările clienților și realitățile competitive îl cer în prezent.

Instituțiile care își asumă această poziție la nivel intern — care tratează ingineria agentică drept o capabilitate structurală a băncii, mai degrabă decât ca pe o soluție de productivitate achiziționată de la un furnizor — vor petrece următorii doi ani consolidându-și avantajul. Instituțiile care nu fac acest lucru vor petrece următorii doi ani descoperind, în rapoartele de incidente și în constatările autorităților de reglementare, ceea ce ar fi trebuit să construiască. Alegerea dintre aceste două rezultate este o decizie a consiliului de administrație din 2026, nu o decizie tehnologică din 2028.

Ca un context anterior pe acest site, articolul din aprilie 2026 despre pragurile cuantice a acoperit traiectoria hardware-ului care stă la baza Stratului 1 din arhitectura de mai sus, articolul din mai 2026 despre migrarea post-cuantică în finanțele corporative a descris în detaliu substratul criptografic, analiza din mai 2026 privind termenul-limită pentru adresa structurată pacs.008 a tratat disciplina de reglementare și inginerie pe care validarea bazată pe specificații o face fezabilă, iar proiectele open-source în Rust: KyberLib, pain001 și pacs008 se înscriu în efortul mai amplu de a pune primitive de nivel de producție — sigure din punct de vedere cuantic, conforme pentru plăți, pregătite pentru audit — în mâinile echipelor de inginerie care vor construi banca agentică. Legătura dintre aceste elemente nu este întâmplătoare. Este forma activității pe care o solicită următorii doi ani.

Întrebări frecvente

Care este diferența dintre IA generativă, IA agentică și ingineria agentică?

IA generativă produce conținut ca răspuns la un prompt; este reactivă. IA agentică urmărește obiective definite în mod autonom, accesând date, folosind instrumente și luând măsuri în cadrul unor fluxuri de lucru cu mai mulți pași, fără a necesita un prompt din partea omului la fiecare pas. Ingineria agentică — termenul pe care Karpathy l-a adoptat în 2026 ⧉ — este disciplina de lucru care constă în orchestrarea agenților în raport cu specificații detaliate sub supraveghere umană. Pentru sectorul bancar, distincția contează deoarece perimetrul de reglementare, modelul de amenințări și disciplina de inginerie sunt diferite pentru fiecare categorie. O interfață de chat și un agent de tranzacționare complet autonom nu fac parte din aceeași clasă de reglementare, iar tratarea lor ca și cum ar fi la fel creează riscuri la ambele capete.

De ce este termenul-limită din august 2026 al Regulamentului UE privind IA atât de important pentru bănci?

Anexa III a Regulamentului privind IA clasifică în mod explicit mai multe cazuri de utilizare a IA din sectorul bancar de bază ca având risc ridicat: evaluarea bonității și scorarea de credit a persoanelor fizice, evaluarea riscurilor și stabilirea prețurilor în asigurările de viață și de sănătate, precum și evaluarea sau clasificarea situației financiare a persoanelor fizice. Începând cu 2 august 2026, cei care implementează aceste sisteme trebuie să demonstreze conformitatea cu sisteme de management al calității, cadre de management al riscului, documentație tehnică, evaluări de conformitate, înregistrări în baza de date a UE, o guvernanță solidă a datelor, supraveghere umană și măsuri de securitate cibernetică. Articolul 12 solicită înregistrarea automată a intrărilor și ieșirilor (jurnal de audit). Articolul 14 solicită o supraveghere umană semnificativă (HITL sau HOTL, după cum este adecvat pentru sistem). Penalitățile pentru nerespectare ajung la 35 de milioane de euro sau 7% din cifra de afaceri anuală globală. Munca pentru a îndeplini aceste obligații este o muncă de inginerie — nu o muncă de documentare — și acesta este motivul practic pentru care disciplina spec-driven s-a accelerat pe parcursul primului trimestru din 2026.

Care este diferența practică dintre HITL și HOTL și când ar trebui să se aplice fiecare?

HITL (Human-in-the-Loop) înseamnă că agentul nu poate executa acțiuni de mare importanță fără aprobarea umană explicită. HOTL (Human-on-the-Loop) înseamnă că agentul execută acțiuni în mod autonom în limitele unor parametri bine definiți, în timp ce oamenii monitorizează telemetria și își păstrează autoritatea de a opri execuția în orice moment. Articolul 14 din Regulamentul UE privind IA solicită ca supravegherea să fie semnificativă, dar nu prescrie modelul. Regula de decizie este de a aplica HITL acolo unde acțiunea are un impact major, un volum redus și este ireversibilă (respingerea unui credit, închiderea unui cont, autorizarea unui transfer de mare valoare, transmiterea unui raport de reglementare) și HOTL acolo unde acțiunea are un volum mare, este reversibilă și delimitată de parametri (alerte de monitorizare a tranzacțiilor, clasificarea documentelor, triajul de rutină al serviciului clienți). Ambele necesită ca infrastructura întrerupătoarelor de urgență și a sistemelor de intervenție umană să fie operațională și testată; diferența este dacă omul se află în amonte de execuție (HITL) sau alături de aceasta (HOTL).

Majoritatea agenților noștri vor proveni de la furnizori. Cum satisfacem DORA și Regulamentul UE privind IA pentru sisteme pe care nu le-am construit noi?

Obligația de reglementare revine utilizatorului (celui care implementează), nu furnizorului. Răspunsul practic are trei paliere. În primul rând, solicitați un AIBOM documentat de la furnizor înainte de semnare — proveniența modelului, originea datelor de antrenare, ajustările fine, șabloanele de prompturi, indicii de recuperare, lanțul de dependențe. În al doilea rând, efectuați teste de comportament ale agentului în condiții analoage cu cele de producție, inclusiv teste adversariale pentru injecția de prompturi și rezistența la ingineria socială. În al treilea rând, renegotierea contractelor cu furnizorii pentru a include drepturi de documentare conform Articolului 13, notificarea modificărilor modelelor, raportarea incidentelor, drepturile de audit și divulgarea subcontractanților — majoritatea contractelor existente nu au niciuna dintre acestea. Articolele 28-30 din DORA acoperă managementul riscului TIC generat de terți și reprezintă ancora de reglementare relevantă pe partea europeană; orientările FFIEC sunt echivalentul pe partea SUA. Activitatea este importantă și nu poate fi amânată.

Cât de îngrijorate ar trebui să fie băncile, în realitate, în legătură cu adversarii agentici?

Răspunsul sincer este că amenințarea este reală și este distinctă din punct de vedere operațional de amenințările cibernetice anterioare. Dezvăluirea de către Anthropic în noiembrie 2025 a grupului GTG-1002 este exemplul de referință: IA agentică gestionând 80-90% din operațiunile tactice într-o campanie de spionaj sponsorizată de un stat împotriva a aproximativ treizeci de ținte din apărare, energie și tehnologie, operând la mii de solicitări pe secundă. Incidentul Step Finance din ianuarie 2026 — o pierdere de 27-30 de milioane de dolari cauzată de agenți de tranzacționare AI cu permisiuni excesive — este exemplul de referință despre cum o implementare internă de IA poate bani o suprafață de atac. Raportul GTIR 2026 al Flashpoint a observat o creștere de 1.500% a discuțiilor ilicite legate de IA într-o singură lună. Acestea nu sunt scenarii ipotetice; sunt situații reale din rapoartele de incidente din perioada 2025-2026. Băncile care desfășoară operațiuni clasice de apărare împotriva adversarilor agentici sunt, structural, expuse în mod asimetric, iar răspunsul corect este construirea de capacități de apărare bazate pe IA (IA contra IA), în loc de a încetini tranziția agentică de teama ofensivei.

Este IA agentică doar „ChatGPT plus servere MCP”?

Nu, și aceasta este una dintre cele mai grave concepții greșite de pe piața actuală. O interfață de chat augmentată cu servere MCP este un model util pentru preluarea și prelucrarea datelor în cadrul unei sesiuni delimitate. Ingineria agentică este o capabilitate structurală a instituției — AIBOM, planul de control al agenților, fluxul de dezvoltare spec-driven, substratul de audit, fundația criptografică cuantic-sigură, tiparele de orchestrare în cadrul parcursului cap-la-cap al clienților. Acestea nu sunt funcționalități cumpărate de la un furnizor; sunt o poziție de asumare instituțională. Băncile care tratează problema ca pe o decizie de achiziție ajung la implementări superficiale care eșuează la audit. Băncile care o tratează ca pe o problemă de asumpție a ingineriei și guvernanței obțin un activ cu valoare cumulativă.

Care este cel mai important lucru pe care o bancă ar trebui să îl facă în următoarele douăsprezece săptămâni?

Trei lucruri, în ordine. În primul rând, elaborarea Listei de componente AI (AIBOM) — inventarul complet al fiecărui sistem AI, model, set de date, șablon de prompt, index de recuperare și dependență AI terță din producție sau în curs de dezvoltare, fiecare intrare fiind clasificată în conformitate cu Anexa III a Regulamentului UE privind IA. Instituția care nu poate prezenta acest document atunci când o autoritate de reglementare îl solicită este cea BEGIN_TRANSLATION

Front Matter (YAML)

author: "contact@sebastienrousseau.com (Sebastien Rousseau)" banner_alt: "Diagramă de arhitectură inginerie agentică pentru bănci — agenți AI spec-driven, plan de control al guvernanței, substrat cuantic-sigur și fluxuri de modernizare mainframe legacy" banner_height: "571" banner_width: "1425" banner: "https://cloudcdn.pro/stocks/images/hector-j-rivas-1FxMET2U5dU-unsplash.webp" cdn: "https://cloudcdn.pro" charset: "UTF-8" cname: "sebastienrousseau.com" copyright: "© Copyright 2007 - 2026 - Sebastien Rousseau. Toate drepturile rezervate." date: "17 May 2026" description: "IA agentică a trecut la producție în bănci. 70% o utilizează; puțini au guvernanță matură. Adversarii operează autonom; deadline EU AI Act pentru riscuri ridicate este la 12 săptămâni." format-detection: "telephone=no" hreflang: "ro" icon: "https://cloudcdn.pro/clients/sebastienrousseau/v1/logos/sebastienrousseau.svg" id: "https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026" image_alt: "Portret alb-negru al lui Sebastien Rousseau" image_height: "162" image_width: "162" image: "https://cloudcdn.pro/stocks/images/sebastienrousseau.webp" keywords: "inginerie agentică, dezvoltare spec-driven, bănci, servicii financiare, guvernanță AI, EU AI Act, DORA, SR 11-7, NIST AI RMF, ISO 42001, modernizare COBOL, mainframe, vibe coding, vibe hacking, agenți autonomi, Claude Code, GitHub Spec Kit, AI Bill of Materials, AIBOM, human in the loop, HITL, human on the loop, HOTL, managementul riscului terților, TPRM, risc furnizori, criptografie post-cuantică, plan de control agenți, FCA, SM&CR, plan de acțiune 12 săptămâni, Sebastien Rousseau" language: "ro-RO" layout: "report" locale: "ro_RO" logo_alt: "Logo pentru Sebastien Rousseau" logo_height: "44" logo_width: "44" menu: "" measurementID: "G-169G4ET5HQ" name: "Sebastien Rousseau" permalink: "https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026" rating: "general" referrer: "no-referrer" robots: "index, follow" schema: "FAQPage, Article" seo_title: "Ingineria agentică pentru bănci: Ghidul de guvernanță AI pentru 2026" short_name: "sebastienrousseau" subtitle: "IA agentică a trecut de la pilot la producție. 70% din bănci o utilizează; unu din cinci are un model matur de guvernanță. Adversarii operează la viteza mașinii, moștenirea COBOL datează din epoca batch a anilor 1960, iar termenul EU AI Act este la 12 săptămâni." tags: "AI agentic, spec-driven development, banks, guvernanță AI, EU AI Act, DORA, COBOL modernisation, HITL, HOTL, TPRM, AIBOM, Claude Code, criptografie post-cuantică, ISO 20022, calcul cuantic, AI, Rust, open source, ingineria platformei" theme-color: "0, 67, 165" title: "Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi" url: "https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026" viewport: "width=device-width, initial-scale=1, shrink-to-fit=no" last_reviewed: "2026-05-17"

RSS - The RSS feed front matter (YAML).

atom_link: "https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/rss.xml" category: "Finance" docs: https://validator.w3.org/feed/docs/rss2.html generator: "Static Site Generator (SSG) (version 0.0.26)" item_description: "Ghidul definitiv din 2026 pentru ingineria agentică în bănci și instituții financiare — acoperind trecerea de la vibe coding la dezvoltarea spec-driven, HITL vs HOTL, managementul riscului terților sub DORA, stiva de reglementare, modernizarea sistemelor legacy și substratul cuantic-sigur." item_guid: "https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/rss.xml" item_link: "https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/rss.xml" item_pub_date: "Sun, 17 May 2026 06:06:06 +0000" item_title: "Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi" last_build_date: "Sun, 17 May 2026 06:06:06 +0000" managing_editor: "contact@sebastienrousseau.com (Sebastien Rousseau)" pub_date: "Sun, 17 May 2026 06:06:06 +0000" ttl: "60" type: "article" webmaster: "contact@sebastienrousseau.com"

Apple - The Apple front matter (YAML).

apple_mobile_web_app_orientations: "portrait" apple_touch_icon_sizes: "192x192" apple-mobile-web-app-capable: "yes" apple-mobile-web-app-status-bar-inset: "black" apple-mobile-web-app-status-bar-style: "black-translucent" apple-mobile-web-app-title: "Inginerie agentică pentru bănci" apple-touch-fullscreen: "yes"

MS Application - The MS Application front matter (YAML).

msapplication-navbutton-color: "0, 83, 191"

Twitter Card - The Twitter Card front matter (YAML).

twitter_card: "summary_large_image" twitter_creator: "@wwdseb" twitter_description: "Ghidul definitiv din 2026 pentru ingineria agentică în bănci și instituții financiare — dezvoltare spec-driven, HITL vs HOTL, TPRM sub DORA, stiva de reglementare, modernizare legacy și substrat cuantic-sigur." twitter_image: "https://cloudcdn.pro/clients/sebastienrousseau/v1/logos/sebastienrousseau.svg" twitter_image_alt: "Logo pentru Sebastien Rousseau" twitter_site: "@wwdseb" twitter_title: "Ingineria agentică pentru bănci: Ghidul de guvernanță AI 2026" twitter_url: "https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026"

Humans.txt - The Humans.txt front matter (YAML).

author_website: "https://sebastienrousseau.com" author_twitter: "@wwdseb" author_location: "Londra, Marea Britanie" thanks: "Vă mulțumim pentru că ați citit!" site_last_updated: "2026-05-17" site_standards: "HTML5, CSS3, RSS, Atom, JSON, XML, YAML, Markdown, TOML" site_components: "Kaishi, Kaishi Builder, Kaishi CLI, Kaishi Templates, Kaishi Themes" site_software: "Static Site Generator, Rust"

excerpt: "IA agentică a trecut de la pilot la producție în sectorul bancar global. Șaptezeci la sută dintre instituții o utilizează într-o oarecare măsură; doar una din cienci are un model de guvernanță matur. Între timp,..."

Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi

IA agentică a trecut de la pilot la producție în sectorul bancar global. Șaptezeci la sută dintre instituții o utilizează într-o oarecare măsură; doar una din cinci are un model de guvernanță matur. Între timp, adversarii autonomi operează la viteza mașinii, moștenirea COBOL cu care noile sisteme trebuie să fie interoperabile a fost scrisă pe baza ipotezelor de procesare în loturi (batch) din anii 1960, iar termenul-limită al Regulamentului UE privind IA (EU AI Act) pentru sistemele cu risc ridicat este la douăsprezece săptămâni distanță. Aceasta este poziția de inginerie și guvernanță pe care o bancă trebuie să o adopte.


Idei principale

  • Tranziția de la vibe coding la dezvoltarea spec-driven (bazată pe specificații) nu mai este doar o aspirație. Andrej Karpathy, care a creat termenul „vibe coding” în februarie 2025, a recunoscut un an mai târziu ⧉ că acea eră se apropie de sfârșit și că noua stare implicită pentru profesioniști este ingineria agentică — orchestrarea de agenți în raport cu specificații detaliate sub supraveghere umană.
  • Adoptarea în sectorul bancar este reală și se accelerează. 70% dintre firmele bancare ⧉ raportează că utilizează IA agentică într-o oarecare măsură (16% în producție, 52% în fază de pilot, EY 2026); 44% dintre echipele financiare o vor folosi în acest an — o creștere de peste 600% de la an la an, conform Wolters Kluwer.
  • Guvernanța nu a ținut pasul. Studiul Deloitte „State of AI 2026” arată că doar una din cinci companii are un model de guvernanță matur pentru agenții AI autonomi. Analiza Deloitte asupra bazei de date de riscuri AI a MIT identifică peste 350 de riscuri ⧉ care pot apărea din comportamentul autonom sau agentic.
  • Peisajul amenințărilor s-a industrializat. Anthropic a dezvăluit în noiembrie 2025 că grupul GTG-1002, sponsorizat de statul chinez, a deturnat Claude Code pentru a rula operațiuni de spionaj autonom împotriva a aproximativ 30 de ținte, IA gestionând 80-90% din operațiunile tactice în mod independent. Flashpoint a observat o creștere de 1.500% a discuțiilor ilicite legate de IA ⧉ doar între noiembrie și decembrie 2025.
  • Sistemele legacy reprezintă constrângerea tăcută. Bugetele IT pentru serviciile financiare sunt consumate în proporție de 70-75% de întreținerea sistemelor legacy, 63% dintre bănci se bazează în continuare pe cod scris înainte de anul 2000, iar majoritatea băncilor raportează doar una sau două persoane la nivel intern care pot întreține codul COBOL pe care rulează platformele lor principale. IA agentică este acum abordarea dominantă pentru eliminarea acestui decalaj.
  • Stiva de reglementare converge. Sub Regulamentul UE privind IA, data de 2 august 2026 marchează aplicabilitatea deplină pentru sistemele IA cu risc ridicat (Anexa III include în mod explicit scorarea de credit și evaluarea bonității). DORA este deja în vigoare. SR 11-7 a fost extins în practica autorităților de reglementare pentru a acoperi LLM-urile și sistemele agentice. Amenzile pentru nerespectare ajung la 35 de milioane de euro sau 7% din cifra de afaceri anuală globală.
  • Supravegherea umană nu este un concept unic. Distincția dintre HITL (Human-in-the-Loop, unde agentul nu poate executa fără aprobarea umană explicită) și HOTL (Human-on-the-Loop, unde agentul execută autonom sub monitorizare umană) este acum cadrul de lucru pentru conformitatea cu Articolul 14 din Regulamentul UE privind IA, iar fiecare agent cu risc ridicat are nevoie de o poziție explicită privind modelul care se aplică.
  • Majoritatea agenților vor fi cumpărați, nu construiți. Managementul riscurilor terților (TPRM) sub DORA este cea mai puternică provocare insuficient recunoscută din 2026. Furnizorii vor oferi majoritatea capabilităților agentice pe care băncile le implementează; obligația de reglementare rămâne la nivelul băncii, iar majoritatea contractelor existente cu furnizorii nu pot satisface cerințele de documentare din Articolul 13.
  • Ingineria agentică nu înseamnă „ChatGPT plus servere MCP”. Este o poziție de asumare structurală a fluxurilor cap-la-cap ale instituției — parcursul clienților, ciclurile de viață ale tranzacțiilor, planul de control, substratul de audit, fundația criptografică cuantic-sigură — construite și operate de propria funcție de inginerie a instituției, nu delegate unui chatbot.

Anul în care ingineria agentică a devenit inevitabilă

Conversația despre IA în serviciile financiare a fost, până de curând, dominată de două lucruri adiacente, dar distincte: interfețele de chat generative (utile, dar limitate) și modelele de generare augmentată prin recuperare (RAG) suprapuse pe datele companiei (utile, de asemenea limitate). Ceea ce s-a schimbat între sfârșitul anului 2025 și începutul anului 2026 este faptul că a treia categorie — agenții autonomi care planifică, execută și finalizează fluxuri de lucru cu mai mulți pași cu supraveghere umană limitată — a trecut de la stadiul de demonstrație tehnică la cel de realitate operațională, pătrunzând simultan atât în întreprinderi, cât și în arsenalul actorilor de amenințări.

Andrej Karpathy, care a creat termenul „vibe coding” în februarie 2025 ⧉, a petrecut următorul an urmărind inginerii profesioniști depășind această etapă. Revizuirea sa — „ingineria agentică” — este acum termenul de lucru utilizat în întreaga industrie. Substanța acestei schimbări este simplă: în activitatea serioasă de software din 2026, inginerii nu scriu codul în mod direct în 99% din timp. Ei orchestrează agenți care fac acest lucru, acționând ca supraveghetori. Munca nu mai constă în tastarea caracterelor într-un editor, ci în producerea de specificații care limitează ceea ce pot genera agenții, în proiectarea porților de verificare pe care rezultatul trebuie să le treacă și în gestionarea deciziilor de arhitectură pe care le implementează agenții.

Această schimbare pare a fi o conversație specifică unei echipe de inginerie. În sectorul bancar nu este așa. Este o conversație la nivel de consiliu de administrație, deoarece aceeași capacitate agentică ce rescrie modul în care este produs codul intern rescrie, de asemenea, modul în care operează adversarii externi, modul în care autoritățile de reglementare așteaptă să fie exercitată supravegherea și modul în care este definit perimetrul instituțional. O bancă ce nu își asumă clar poziția cu privire la ingineria agentică până la sfârșitul anului 2026 nu este o bancă ce a evitat problema. Este o bancă pentru care furnizorii, adversarii și autoritățile de reglementare au răspuns deja la această întrebare în locul ei.

Stadiul adoptării în sectorul bancar

Imaginea de ansamblu este fără echivoc. Conform cercetărilor compilate din mai multe sondaje din 2026, 70% dintre directorii executivi din bănci ⧉ raportează că firmele lor folosesc deja IA agentică într-o oarecare măsură. Gartner estimează ⧉ că, până la sfârșitul anului 2026, aproximativ 40% dintre toate firmele de servicii financiare vor rula agenți AI sub o formă sau alta. Cheltuielile cu IA în serviciile financiare sunt pe cale să atingă 67 de miliarde de dolari până în 2028 (IDC). McKinsey estimează că IA agentică poate elibera între 10 și 12 ore pe săptămână pentru managerii de relații cu clienții (relationship managers) din bănci.

Imaginea execuției este mai puțin încurajatoare. KPMG raportează ⧉ că 99% dintre companii intenționează să pună în producție agenți autonomi, dar doar 11% au făcut-o deja. EY constată că 34% dintre lideri au început să folosească agenți AI și doar 14% i-au implementat complet. Forrester constată că 57% dintre organizații consideră că le lipsesc capabilitățile interne pentru a profita de IA agentică. Decalajul dintre intenție și execuție nu este un artefact de marketing. Esența este o reflectare reală a muncii de inginerie, guvernanță și cultură organizațională care nu a fost încă realizată.

Autoritatea de Conduită Financiară (FCA) din Regatul Unit a exprimat public îngrijorări ⧉ cu vigoare despre faptul că viteza de implementare depășește maturitatea guvernanței — o tensiune pe care directorul de date (Chief Data Officer) al FCA, Jessica Rasu, a încadrat-o ca pe un risc pe termen scurt pentru consumatorii de retail. McKinsey a avertizat separat că băncile care nu reușesc să își adapteze modelele de afaceri ⧉ riscă o erodare de până la 170 de miliarde de dolari din profiturile globale până în 2030. Ambele observații sunt corecte simultan. Întrebarea nu este dacă trebuie să facem pasul, ci cum să îl facem păstrând integritatea operațională și de guvernanță pe care reglementările din serviciile financiare au cerut-o întotdeauna și pe care sistemele agentice o fac și mai critică.

Trei vectori de risc pe care băncile trebuie să îi interiorizeze

Înainte de orice conversație despre arhitectură, atenția consiliului de administrație ar trebui să se îndrepte către trei riscuri specifice sistemelor agentice, care apar mai devreme decât au prevăzut majoritatea băncilor.

1. Adversarul autonom

Cea mai derutantă evoluție din 2026 este operaționalizarea IA agentice de partea atacatorilor. În august 2025, Anthropic a dezvăluit o categorie de activitate pe care a numit-o vibe hacking: infractori cibernetici care utilizează IA agentică pentru a efectua atacuri sofisticate la scară largă, IA fiind integrată în recunoaștere, colectarea de credențiale, penetrarea rețelei și analiza datelor furate. În noiembrie 2025 ⧉, Anthropic a dezvăluit că a perturbat o campanie a unui grup sponsorizat de statul chinez (desemnat GTG-1002) care a deturnat instanțe de Claude Code pentru a desfășura spionaj autonom împotriva a aproximativ treizeci de ținte din domeniul apărării, energiei și tehnologiei, IA gestionând 80-90% din operațiunile tactice și operând la mii de solicitări pe secundă — viteze imposibile pentru operatorii umani.

În ianuarie 2026, Step Finance — un manager de portofoliu DeFi bazat pe Solana — a fost compromis într-un mod care a transformat o intruziune pe un dispozitiv într-o pierdere de 27-30 de milioane de dolari, deoarece agenții de tranzacționare AI ai firmei aveau permisiuni de a executa transferuri mari fără aprobare umană. Atacatorul a folosit ingineria socială direct asupra IA, susținând că rulează un program autorizat de recompense pentru bug-uri (bug bounty). Lecția ⧉ nu a fost că IA este intrinsec nesigură, ci că un agent AI care acceptă o autorizare pretinsă fără verificare reprezintă o slăbiciune de perimetru.

Tendința generală este ceea ce băncile trebuie să interiorizeze. Raportul Global Threat Intelligence din 2026 al Flashpoint a identificat o creștere de 1.500% a discuțiilor ilicite legate de IA între noiembrie și decembrie 2025, atacatorii dezvoltând activ sisteme autonome care colectează date, rotesc infrastructura, ajustează mesajele și învață din încercările eșuate fără supraveghere umană continuă. Jamie Dimon de la JPMorgan a fost explicit în mod public ⧉ afirmând că avantajul inițial în această tehnologie aparține ofensivei, nu defensivei. Implicația este inconfortabilă: o bancă ce rulează operațiuni de securitate clasice împotriva unor adversari agentici se află, structural, în poziția unui jucător de șah al cărui adversar a primit un computer.

2. Regresia calității codului

Al doilea vector este intern și mai silențios. Codul generat de LLM-uri, în absența unei discipline a specificațiilor și a unei verificări riguroase, este livrat cu defecte la o rată substanțial mai mare decât codul scris de oameni. O analiză SonarQube asupra a cinci LLM-uri de ultimă generație ⧉ care generează cod Java a constatat că peste 70% dintre vulnerabilitățile detectate în rezultatele Llama 3.2 90B au fost clasificate ca având o severitate BLOCKER, în timp ce aproximativ două treimi din vulnerabilitățile generate de GPT-4o și OpenCoder-8B au fost clasificate ca BLOCKER sau CRITICAL. Pearce et al. (IEEE S&P) au constatat că aproximativ 40% din programele generate de LLM-uri în contexte sensibile din punct de vedere al securității conțineau vulnerabilități. Yan et al. (2025) au plasat acest interval între 9,8% și 42,1% în testele de referință. Un catalog separat realizat de Fu et al. a identificat 43 de vulnerabilități de tip CWE în trei instrumente de generare de cod bazate pe IA.

Pentru o industrie nereglementată, aceasta este o taxă pe productivitate. Pentru o bancă, este un risc de reglementare și operațional care se acumulează. Codul care este livrat cu o rată ridicată de vulnerabilități într-un sistem care gestionează plăți, decontări sau date ale clienților nu este o problemă de calitate a codului în abstract; este suprafața pe care adversarii de tip GTG-1002 o vor sonda în 2027 cu aceleași instrumente agentice care l-au produs. Soluția nu este interzicerea codului generat de LLM (imposibil din punct de vedere comercial), ci înconjurarea acestuia cu infrastructura de verificare și specificație care asigură depistarea defectelor înainte de implementare. Acesta este motivul practic pentru care dezvoltarea spec-driven este adoptată rapid de organizațiile de inginerie din întreprinderi care nu sunt exclusiv companii de tehnologie.

3. Ancora sistemelor legacy

Al treilea vector este cel pe care băncile îl înțeleg deja cel mai bine și pe care tranziția agentică l-a făcut simultan mai urgent și mai abordabil. Peste 70% din companiile Fortune 500 se bazează încă pe computere mainframe, după cum notează analiza Computer Weekly ⧉, adesea construite pe zeci de ani de cod COBOL și RPG interconectat cu logică de business personalizată. În serviciile financiare, în special, tehnologiile legacy consumă 70-75% din cheltuielile anuale cu IT-ul. Un studiu CIO citat într-o analiză a industriei din 2026 a constatat că 63% dintre bănci se bazează în continuare pe cod scris înainte de anul 2000, iar peste 75% au raportat că au doar una sau două persoane la nivel intern cu abilitățile necesare pentru a-l întreține.

Ceea ce s-a schimbat în februarie 2026 a fost sosirea unor instrumente agentice credibile pentru modernizarea sistemelor legacy. Anunțul celor de la Anthropic conform căruia Claude Code poate mapa dependențele COBOL, documenta fluxurile de lucru și identifica riscurile ⧉ pe care analiștii umani ar avea nevoie de luni de zile să le descopere — corelat cu capabilități similare de la Microsoft (GitHub Copilot pentru COBOL, Watsonx Code Assistant) și AWS (Mainframe Modernization cu IA agentică) — a redus în mod considerabil curba costurilor de modernizare. Reacția prețului acțiunilor IBM (o scădere de 13% în ziua anunțului) a fost un semnal de piață neelegant, dar precis. IA reprezintă acum aproximativ o treime din investițiile în modernizarea întreprinderilor, iar peste 75% dintre întreprinderi folosesc IA în strategia lor de modernizare. Ancora sistemelor legacy este, pentru prima dată, o problemă de inginerie abordabilă, mai degrabă decât una generațională.

De ce vibe coding nu poate fi modul implicit în sectorul bancar

Este important să fim preciși cu privire la motivul pentru care vibe coding — prompt scurt, observarea rezultatului, iterare — eșuează ca flux de lucru implicit într-un mediu reglementat. Modul de eșec nu este cel evident (faptul că LLM-ul are ocazional halucinații). Modul de eșec este structural și se manifestă în patru locuri simultan.

Primul este lipsa unor convenții comune. Mai mulți ingineri care lucrează prin prompturi de chat vor produce cinci moduri diferite de a face același lucru în aceeași bază de cod în decursul unui singur trimestru. Într-un context nereglementat, aceasta este o datorie tehnică. Într-un context reglementat, aceasta este suprafața care cedează la audit.

Al doilea este degradarea contextului. Agenții AI sunt fără stare (stateless). Într-un proiect mare, conversațiile depășesc ferestrele de context, iar raționamentul din spatele deciziilor de arhitectură anterioare se evaporă. Același agent, două săptămâni mai târziu, va lua o decizie inversă într-un nou chat pentru că nimic nu păstrează raționamentul primei decizii. Pentru sistemele care au nevoie de un jurnal de audit pentru autoritățile de reglementare, acest mod de lucru este incompatibil din punct de vedere structural.

Al treilea este acumularea invizibilă de defecte. Descoperirile lui Pearce, Yan și cele ale SonarQube menționate mai sus nu sunt cazuri izolate. Ele reprezintă rata de referință la care LLM-urile generează cod vulnerabil în absența disciplinei specificațiilor și a testării riguroase. O bancă ce rulează fluxuri de lucru de tip vibe-coding în producție acumulează aceste defecte în același ritm, fără vizibilitatea de suprafață necesară pentru a ști ce a fost livrat.

Al patrulea este problema trasabilității de reglementare. Articolul 12 din Regulamentul UE privind IA solicită înregistrarea automată a intrărilor și ieșirilor (jurnale de audit) pentru sistemele IA cu risc ridicat. SR 11-7 solicita roluri documentate pentru proprietarul și validatorul modelului, managementul schimbării pentru actualizările modelelor și raportarea către consiliu cu privire la riscul modelelor AI. DORA solicită un management cuprinzător al riscurilor TIC cu dovezi documentate. Niciuna dintre aceste obligații nu poate fi satisfăcută de un flux de lucru al cărui artefact principal este un istoric de chat pe care nimeni nu îl păstrează.

Concluzia nu este că LLM-urile nu sunt potrivite pentru sectorul bancar. Concluzia este că fluxul de lucru din jurul lor trebuie să producă specificații, jurnale de audit și porți de verificare ca livrabile de prim rang, nu ca elemente secundare. Aceasta este ceea ce înseamnă, din punct de vedere operațional, dezvoltarea spec-driven.

Dezvoltarea spec-driven într-un mediu reglementat

Dezvoltarea spec-driven (SDD) inversează ordinea lucrurilor. În loc de a trece direct la implementare și a itera cu un agent, echipa produce mai întâi o specificație — decizii de arhitectură, cerințe, contracte de interfață, criterii de succes, constrângeri de securitate — iar agentul generează codul care satisface specificația. Verificarea este structurată: specificația definește ce trebuie să facă rezultatul, iar un proces separat (generarea de teste, revizuirea codului, verificarea formală unde este cazul) controlează dacă acest lucru a fost realizat.

Instrumentele practice s-au consolidat la sfârșitul anului 2025 și începutul anului 2026. Spec Kit de la GitHub ⧉ (lansat la sfârșitul anului 2025) formalizează intenția înainte de generarea codului. AWS integrează fluxuri de lucru bazate pe specificații direct în Kiro IDE. JetBrains și Cursor au introdus moduri de planificare care structurează interacțiunea cu IA. Cadre precum BMAD (Breakthrough Method for Agile AI-Driven Development) merg și mai departe cu echipe de agenți AI specializați care oglindesc rolurile de analist, arhitect, dezvoltator și QA pe parcursul SDLC. SDD constituțional, formalizat într-o lucrare arXiv în februarie 2026, integrează în specificația însăși constrângeri explicite de securitate cu mapări de vulnerabilități CWE.

Pentru o bancă, varianta care contează este ceea ce analiza Augment Code numește dezvoltare spec-anchored (ancorată în specificații) — specificațiile vin pe primul loc, IA generează cod limitat de acestea, iar straturi suplimentare de guvernanță (constrângeri constituționale, puncte de control pentru supraveghere, porți de aprobare umană) se situează între generare și îmbinare (merge). Aceasta este singura variantă care produce jurnalul de audit pe care îl așteaptă Articolul 12 din Regulamentul UE privind IA, rolul documentat de validator cerut de SR 11-7 și disciplina de management al schimbării solicitată de DORA.

Investiția necesară este reală, dar este și abordabilă. Instituțiile care fac acest lucru bine au mutat activitatea zilnică a inginerilor de la tastarea caracterelor la producerea a două artefacte: o specificație pe care agentul o va îndeplini și un cadru de verificare pe care rezultatul trebuie să îl treacă. Cererea cognitivă asupra inginerului este mai mare în unele privințe (claritatea intenției contează mai mult ca niciodată) și mai mică în altele (munca mecanică de a scrie cod repetativ a dispărut). Instituțiile care nu au făcut încă această schimbare operează în continuare într-un mod în care LLM-ul este doar un dactilograf mai rapid. Această poziție nu este sustenabilă într-un sector reglementat dincolo de următoarele douăsprezece luni.

Stiva de reglementare care se aplică acum

Perimetrul de reglementare din 2026 în jurul IA în sectorul bancar nu mai este o listă de verificare; este o stivă de obligații suprapuse care trebuie analizate împreună. Cea mai importantă dată este 2 august 2026, când obligațiile privind sistemele cu risc ridicat din Regulamentul UE privind IA devin pe deplin aplicabile ⧉. Anexa III clasifică în mod explicit scorarea de credit, evaluarea bonității, evaluarea riscurilor în asigurările de viață și de sănătate, precum și evaluarea sau clasificarea situației financiare a persoanelor fizice drept activități cu risc ridicat. Obligațiile care decurg din această clasificare includ evaluări de conformitate, sisteme de management al calității, cadre de management al riscului, documentație tehnică, înregistrarea în baza de date a UE, o guvernanță robustă a datelor, supraveghere umană și protecție cibernetică. Penalitățile pentru încălcarea obligațiilor legate de riscul ridicat ajung la 35 de milioane de euro sau 7% din cifra de afaceri anuală globală, oricare dintre acestea este mai mare.

Pe lângă Regulamentul privind IA:

Compararea a trei moduri de dezvoltare asistată de IA

Dimensiune Vibe Coding Dezvoltare Spec-Driven Inginerie Agentică
Intrare principală Prompt scurt Specificație formală Specificație + plan de orchestrare a agenților
Rolul inginerului Iterator de prompturi Autor de specificații Orchestrator și verificator
Disciplina rezultatelor Generare directă de cod Cod limitat de specificații Fluxuri de lucru multi-agent care produc cod, teste, doc
Jurnal de audit Istoric chat (nepăstrat) Specificație + cod generat + teste Specificație + urme ale agenților + artefacte de verificare
Rata defectelor (exclusiv LLM) Rată de vulnerabilitate de 10-40% (referință din literatură) Redusă semnificativ de constrângerile specificației Cea mai scăzută cu porți de verificare
Trasabilitate de reglementare Insuficientă pentru IA cu risc ridicat Compatibilă cu Articolul 12 din Regulamentul UE privind IA Proiectată pentru Articolul 12 + SR 11-7 + DORA
Potrivită pentru sectorul bancar? Nu, pentru producție Da, cu guvernanță Da, cu guvernanță matură
Plafon de capabilitate Limitat de promptarea single-shot Limitat de calitatea specificațiilor Limitat de calitatea orchestrării

Sursă: Sinteză a comentariilor lui Karpathy (2026), analiza SDD a Augment Code ⧉, analiza dezvoltării spec-driven a CGI ⧉ și literatura academică privind ratele de vulnerabilitate ale codului generat de LLM-uri (Pearce et al., Yan et al., Fu et al., 2023–2025).

Construirea băncii agentice: O perspectivă de arhitectură

Poziția strategică din spatele acestor fluxuri de lucru este cea pe care conducerea executivă (C-suite) trebuie să și-o asume în mod explicit. Ingineria agentică în sectorul bancar nu este o inițiativă de productivitate a dezvoltatorilor. Este o capabilitate instituțională care atinge parcursul cap-la-cap al clienților, întregul ciclu de viață al tranzacțiilor și substratul criptografic și de audit care stă la baza ambelor. Patru straturi ale acestei capabilități merită atenția directă a executivului, de sus în jos:

Stratul 4 — Planul de control al agenților Guvernanță, audit, întrerupătoare de urgență, detectarea anomaliilor de comportament, intervenție umană (human override). Configurații de supraveghere HITL și HOTL per clasă de agenți.

Stratul 3 — Fluxuri de lucru agentice Parcursul clienților, operațiuni interne, fluxul de dezvoltare. Spec-driven implicit pentru fluxurile cu risc ridicat.

Stratul 2 — Stratul de date și modele AIBOM (AI Bill of Materials - Listă de componente AI), registru de modele, substrat de recuperare, controlul versiunilor pentru șabloanele de prompturi, trasabilitatea ajustării fine (fine-tune lineage).

Stratul 1 — Fundația cuantic-sigură ML-KEM, ML-DSA, PKI hibrid, cripto-agilitate. Substratul de care depind declarațiile de integritate ale fiecărui strat superior.

Stratul 1 — Fundația cuantic-sigură. Fiecare strat de deasupra acestuia presupune integritatea substratului criptografic. Având în vedere că foaia de parcurs a G7, planul în trei etape al NCSC și concluziile Proiectului Leap al BIS sunt documente publice, aceasta nu mai este o preocupare de nișă. Sistemele agentice ale căror jurnale de audit sunt semnate cu algoritmul clasic ECDSA sau a căror stabilire a cheilor depinde de RSA ori ECDH își vor vedea valabilitatea declarațiilor de integritate expirând odată cu criptografia respectivă. Instituțiile care procedează corect aduc activitatea post-cuantică în amonte și tratează ML-KEM, ML-DSA și PKI-ul hibrid drept substratul pe care se bazează garanțiile de audit și integritate ale fiecărui strat superior.

Stratul 2 — Stratul de date și modele. Acesta este locul unde se află Lista de componente AI (AIBOM - AI Bill of Materials). În mod similar cu Lista de componente criptografice (CBOM) utilizată în planificarea migrării post-cuantice, AIBOM este inventarul fiecărui model, set de date, șablon de prompt, index de recuperare, ajustare fină (fine-tune) și dependență AI terță pe care instituția o operează. Esența este artefactul pe care Articolul 49 din Regulamentul UE privind IA îl solicită efectiv, inventarul pe care examinările SR 11-7 îl cer acum și fundamentul oricărei poziții de guvernanță credibile. Majoritatea instituțiilor nu au unul. Vor avea nevoie de el până în august.

Stratul 3 — Fluxurile de lucru agentice. Acesta este stratul pe care majoritatea instituțiilor îl construiesc în prezent, adesea fără a acorda suficientă atenție straturilor 1, 2 și 4. Fluxurile de lucru în sine variază de la cele interne (generarea de cod, redactarea documentelor de reglementare, triajul asistenței clienților) la cele orientate către clienți (copiloți pentru managerii de relații cu clienții, integrare [onboarding], orchestrare KYC, monitorizarea tranzacțiilor, optimizare FX) și până la cele complet autonome (operațiuni de trezorerie, anumite funcții de tranzacționare și management al riscului acolo unde toleranța autorității de reglementare o permite). Disciplina strategică la acest strat este de a-l trata ca pe o inginerie de sisteme, nu ca pe o dezvoltare de aplicații — modelele de orchestrare, regulile de escaladare, porțile human-in-the-loop și emiterea datelor de audit sunt preocupări de proiectare de prim rang.

Stratul 4 — Planul de control al agenților. Aceasta este ceea ce Deloitte a caracterizat drept „camera de control a agenților” ⧉: auditul în timp real, înregistrarea acțiunilor (jurnalele de audit), detectarea anomaliilor de comportament, întrerupătoarele de urgență și infrastructura de intervenție umană (human override) care înconjoară fiecare agent în producție. Pierderea Step Finance nu a fost, tehnic vorbind, o defecțiune a IA. A fost un eșec al planului de control: agenții aveau permisiuni pe care nu ar fi trebuit să le aibă, iar anomalia de comportament care ar fi trebuit să declanșeze o oprire nu a făcut-o. Instituțiile care construiesc mai întâi planul de control — înainte de a extinde implementarea agenților — sunt cele care nu se vor confrunta cu incidente de tip Step Finance în 2027.

Comparația relevantă pentru conducere (C-suite) nu este „facem mai multă IA decât concurenții noștri?”. Ci dacă instituția deține toate cele patru straturi sau dacă unul ori mai multe straturi sunt delegate în mod tacit unui furnizor fără nicio capacitate contractuală de a satisface cerințele de documentare din Articolul 13 al Regulamentului UE privind IA. Aceasta din urmă este o poziție care pare în regulă până când o autoritate de reglementare pune întrebări.

Supravegherea umană în practică: HITL vs HOTL

Singura distincție din cadrul Stratului 4 pe care autoritățile de reglementare sunt cele mai concentrate în 2026 este cea dintre două modele de supraveghere. Ambele sunt forme de supraveghere umană; ele diferă prin latență, scară și ipoteza pe care autoritatea de reglementare este dispusă să o accepte cu privire la comportamentul agentului.

Human-in-the-Loop (HITL) este modelul în care un agent nu poate executa o acțiune cu impact major fără aprobarea umană explicită. Agentul pregătește decizia, o prezintă și așteaptă. Un agent de remediere KYC care marchează un cont pentru închidere, dar nu îl poate închide fără aprobarea unui ofițer de conformitate, este HITL. Compromisul este operațional: HITL este mai sigur și produce un jurnal de audit neechivoc conform Articolului 14, dar nu se adaptează la fluxuri de lucru cu volum mare și latență scăzută.

Human-on-the-Loop (HOTL) este modelul în care un agent execută acțiuni în mod autonom în limitele unor parametri stabiliți, în timp ce oamenii monitorizează telemetria în timp real și își păstrează autoritatea de a opri agentul în orice moment. Un agent de filtrare a fraudelor în timp real care blochează automat tranzacțiile care se potrivesc cu anumite tipare de risc, în timp ce o echipă operațională umană urmărește volumul alertelor și intervine în cazul anomaliilor, este HOTL. Compromisul este invers: HOTL este scalabil, dar se bazează pe setarea corectă a parametrilor agentului și pe detectarea anomaliilor de comportament care surprinde abaterile înainte ca daunele să se acumuleze.

Articolul 14 din Regulamentul UE privind IA nu impune utilizarea HITL sau HOTL; acesta cere ca supravegherea umană să fie semnificativă. Implicația practică este că fiecare agent cu risc ridicat pe care banca îl operează trebuie să aibă o poziție explicită și documentată cu privire la modelul aplicat, motivele acestei alegeri și calea de escaladare atunci când agentul întâlnește situații în afara parametrilor săi stabiliți. Majoritatea băncilor care rulau proiecte-pilot în 2025 nu aveau această documentație. Majoritatea băncilor care vor rula agenți în producție până în august 2026 vor avea nevoie de ea.

Regula de decizie nu este complexă. Pentru acțiuni cu impact major, cu volum redus și ireversibile — respingerea creditului pentru o persoană fizică, închiderea contului, autorizarea de transferuri bancare de mare valoare, transmiterea de rapoarte de reglementare —, modelul HITL este cel implicit recomandabil. Pentru acțiuni cu volum mare, reversibile și limitate prin parametri — alerte de monitorizare a tranzacțiilor, clasificarea documentelor, triajul de rutină al serviciului clienți —, modelul HOTL este adecvat, cu condiția ca detectarea anomaliilor de comportament și infrastructura întrerupătoarelor de urgență să fie mature. Băncile care tratează fiecare flux de lucru ca HITL nu vor beneficia de avantajul operațional al sistemelor agentice. Băncile care tratează fiecare flux de lucru ca HOTL se vor confrunta, în cele din urmă, cu un incident similar celui de la Step Finance.

Cumpărare vs Construcție: Problema agenților furnizați de terți

Realitatea anului 2026 cu care se confruntă majoritatea băncilor este că nu vor construi în principal capabilități agentice. Le vor cumpăra. Peisajul furnizorilor — platforma bancară agentică a Oracle lansată în februarie 2026, Watsonx de la IBM, suita Copilot de la Microsoft, AWS Bedrock Agents, Salesforce Agentforce, NowAssist de la ServiceNow și valul de furnizori specializați în fintech — se mișcă mai repede decât poate ține pasul ingineria internă a băncilor. Consecința strategică este că majoritatea agenților care vor funcționa într-o bancă în 2027 vor fi scriși de altcineva, iar întrebarea de guvernanță nu mai este „putem avea încredere în agenții noștri?”, ci „putem avea încredere în agenții pe care i-am achiziționat și putem demonstra acest lucru unei autorități de reglementare?”.

Aceasta este cea mai răsunătoare provocare neresimțită pe deplin sub DORA. Articolele 28-30 din regulament fac din managementul riscului TIC legat de terți un domeniu activ de supraveghere, cu cerințe explicite care acoperă prevederile contractuale, monitorizarea continuă, evaluarea riscului de concentrare și strategiile de ieșire. Autoritățile europene de supraveghere mențin un registru al furnizorilor terți critici de TIC, având puteri directe de supraveghere asupra celor desemnați ca atare. Noua realitate operațională este că furnizorii de IA din 2026 — furnizorii de modele de ultimă generație, dezvoltatorii de platforme de agenți, sistemele SaaS integrate cu IA — sunt, tot mai mult, acei terți TIC pe care DORA a fost creat să îi reglementeze.

Pentru o bancă aflată în poziția de cumpărător, se aplică trei discipline practice:

Solicitați AIBOM de la furnizor. Orice produs de tip agent achiziționat pentru a fi utilizat în fluxuri de lucru cu risc ridicat trebuie să vină cu o listă documentată de componente (AIBOM) care să acopere modelele de bază, proveniența și limitările datelor de antrenare, ajustările fine aplicate, indicii de recuperare accesați, versiunile șabloanelor de prompturi și lanțul de dependențe al componentelor din aval ale agentului. Acesta este artefactul de care banca va avea nevoie pentru a satisface cerințele de documentare din Articolul 13 al Regulamentului UE privind IA. Banca nu îl poate produce retrospectiv în lipsa unui angajament contractual din partea furnizorului de a-l pune la dispoziție.

Testați cutia neagră, nu broșura. Evaluările istorice privind achizițiile de la furnizori se concentrează pe compararea caracteristicilor și pe interviuri cu clienți de referință. Pentru sistemele agentice, acest lucru nu este suficient. Instituția trebuie să efectueze teste de comportament ale agentului în condiții analoage implementării sale prevăzute în producție — inclusiv testarea adversarială pentru injecția de prompturi, rezistența la ingineria socială (vectorul Step Finance), abaterile sub influența modificărilor distribuției datelor și latența și modurile de eșec ale întrerupătorului de urgență și ale căilor de intervenție umană. Majoritatea contractelor curente cu furnizorii nu permit această profunzime a testării fără o negociere specifică; acea negociere trebuie să aibă loc înainte de semnarea contractului, nu după.

Renegociați contractele în termenii Articolului 13. Majoritatea acordurilor existente cu furnizorii de IA nu includ niciuna dintre cerințele privind documentația, drepturile de audit, notificarea modificărilor modelelor, raportarea incidentelor sau divulgarea subcontractanților pe care Regulamentul UE privind IA și DORA le impun împreună. Analiza Regulativ privind firmele din Marea Britanie ⧉ a fost explicită în acest sens: revizuirea juridică a acordurilor cu furnizorii durează săptămâni, iar majoritatea instituțiilor nu pot satisface cerințele Articolului 13 pentru un model ale cărui mecanisme interne furnizorul nu a fost niciodată obligat contractual să le dezvăluie. Obligația de reglementare revine utilizatorului (celui care implementează), nu furnizorului. Echipele de achiziții trebuie să știe acest lucru înainte de următorul ciclu de reînnoire, nu după o investigație a autorităților de reglementare.

Rezumatul la nivel de consiliu de administrație este că relația cu furnizorii a trecut de la achiziții la transferul de risc — iar riscul, de fapt, nu se transferă. Banca rămâne cea care implementează. Banca rămâne răspunzătoare. Banca are nevoie de instrumentele contractuale și de disciplina de testare care fac ca răspunderea sa să fie gestionabilă, nu doar formală.

Ce înseamnă acest lucru în funcție de tipul băncii

Răspunsul corect variază. Tiparul de mai jos este o segmentare orientativă, nu o prescripție.

Bănci universale din prima categorie (Tier-One)

Instituțiile cu bilanțuri de peste 1.000 de miliarde de dolari și prezență globală sunt simultan cele mai expuse (cel mai extins perimetru de reglementare, cea mai mare moștenire de sisteme legacy, ținte de mare valoare pentru adversarii autonomi) și cele mai bine dotate cu resurse. Prioritatea strategică este de a construi mai întâi planul de control — Stratul 4 din arhitectura de mai sus — și de a introduce disciplina dezvoltării spec-driven în funcția internă de inginerie înainte de a extinde implementarea agenților. Consecința competitivă a reușitei este semnificativă; consecința eșecului este existențială, având în vedere expunerea la penalități sub Regulamentul UE privind IA și expunerea operațională la tiparele de amenințări de tip GTG-1002.

Bănci de nivel mediu și regionale

Întrebarea competitivă pentru băncile de nivel doi este mai acută decât pentru cele din prima categorie. Ele se confruntă cu același perimetru de reglementare fără a avea același buget de guvernanță, cu aceeași suprafață de amenințări fără aceleași resurse defensive și cu o bază de clienți care le compară tot mai mult cu fintech-urile native IA. Răspunsul practic este standardizarea strictă pe un set mic de furnizori verificați (cu contracte care satisfac cerințele de documentare din Articolul 13), investiția în disciplina dezvoltării spec-driven mai degrabă decât în ingineria de platformă personalizată și utilizarea instrumentelor agentice pentru a comprima calendarul de modernizare COBOL care a fost o ancoră strategică timp de două decenii. Instituțiile care fac pasul devreme aici vor reduce în mod considerabil decalajul tehnologic față de băncile de nivel unu, pentru prima dată într-o generație.

Fintech-uri, PSP-uri și instituții din sfera cripto

Segmentul fintech și al instituțiilor de plată are problema inversă: agilitatea este ridicată, guvernanța este adesea mai scăzută decât în cazul băncilor comparabile, iar expunerea la penalități sub Regulamentul UE privind IA este, pentru un fintech de dimensiuni medii, potențial existențială. Disciplina strategică constă în tratarea guvernanței AI ca pe o etapă de validare a lansării produsului (product-readiness gate), mai degrabă decât ca pe o simplă cerință de conformitate — construind AIBOM, substratul de audit și fluxurile de lucru spec-driven în cultura de inginerie de la bun început, în loc de a le implementa retroactiv sub presiunea reglementărilor. Pentru instituțiile a căror infrastructură de plăți se intersectează cu termenul-limită SWIFT CBPR+ pentru adrese structurate din noiembrie 2026, investiția în ingineria agentică este, de asemenea, mecanismul natural pentru industrializarea activității de remediere a adreselor structurate — regulile de validare, aplicarea calității datelor și integrarea în fluxul CI (CI-pipeline) sunt exact tiparele pe care fluxurile de lucru spec-driven le fac gestionabile.

Funcțiile interne de inginerie

Pentru inginerii și cercetătorii care citesc acest lucru, disciplina de lucru care contează este cea de zi cu zi. Mutați centrul de greutate al activității de la tastarea caracterelor la producerea de specificații și cadre de verificare (verification harnesses). Tratați urmele agenților (agent traces), planurile intermediare și porțile de aprobare ca pe niște artefacte de prim rang în controlul versiunilor voastre. Investiți în instrumente — Spec Kit, Kiro, modul de planificare din Cursor, Claude Code cu fișiere de abilități (skill files) la nivel de proiect — care fac din specificație artefactul durabil, iar din codul generat, unul de unică folosință. Schimbarea de ergonomie este reală. Recompensa profesională este că disciplina adoptată la frontieră este, de asemenea, disciplina care rezistă controlului de reglementare.


Planul de acțiune pe 12 săptămâni până în august 2026

Pentru sponsorul executiv care conduce un program de inginerie agentică de acum și până la data de punere în aplicare a Regulamentului UE privind IA, activitatea se comprimă într-o secvență de douăsezeci de săptămâni. Planul de mai jos nu este exhaustiv; este minimul pe care un consiliu de administrație ar trebui să îl aștepte de la un program credibil înainte de 2 august 2026.

Săptămânile 1-2 — Elaborarea AIBOM. Configurați inventarul centralizat al fiecărui sistem AI, model, set de date, șablon de prompt, index de recuperare, ajustare fină și dependență AI terță din producție sau aflate în curs de dezvoltare. Mapează fiecare intrare în raport cu clasificarea din Anexa III a Regulamentului UE privind IA. Elementul livrabil este o singură sursă de adevăr pe care CRO, CCO, CISO și CTO o pot interoga individual.

Săptămânile 3-4 — Clasificarea modelului de supraveghere per sistem. Pentru fiecare agent cu risc ridicat și cu impact major, documentați în mod explicit dacă modelul de supraveghere este HITL sau HOTL, argumentele din spate, calea de escaladare și persoana responsabilă nominalizată conform SM&CR (Marea Britanie) sau regimului național echivalent. Acolo unde răspunsul este neclar, folosiți implicit modelul HITL până când analiza este finalizată.

Săptămânile 5-6 — Construirea sau consolidarea planului de control al agenților. Înregistrarea acțiunilor în timp real, detectarea anomaliilor de comportament, întrerupătoarele de urgență și căile de intervenție umană operaționale pe fiecare agent în producție. Acolo unde planul de control nu există încă pentru un sistem, acel sistem trece în stare de implementare restricționată până când acesta este implementat.

Săptămânile 7-8 — Revizuirea contractelor cu furnizorii. Departamentele juridic și de achiziții analizează fiecare contract activ cu furnizorii de IA în ceea ce privește drepturile de documentare conform Articolului 13, notificarea modificărilor modelelor, raportarea incidentelor, drepturile de audit și divulgarea subcontractanților. Rezultatul este o listă structurată pe niveluri: conform, remediere necesară, înlocuire necesară. Deciziile de înlocuire trebuie să înceapă acum pentru a avea șanse de finalizare în acest an.

Săptămânile 9-10 — Simularea evaluării conformității. Pentru fiecare sistem cu risc ridicat conform Anexei III, parcurgeți fluxul de evaluare a conformității ca și cum un organism notificat ar sosi în săptămâna următoare. Acest lucru va scoate la iveală lacune care par minore pe hârtie, dar sunt severe din punct de vedere operațional la o examinare reală. Remediați ceea ce se poate remedia; documentați restul.

Săptămânile 11-12 — Validarea înainte de lansare și aprobarea consiliului. Revizuirea finală a AIBOM, a clasificărilor HITL/HOTL, a dovezilor privind planul de control, a stadiului remedierii contractelor cu furnizorii și a rezultatelor simulării evaluării conformității. Confirmarea responsabilității nominale a managerilor superiori. Înregistrarea oficială a poziției în procesul-verbal al consiliului. Notificarea autorității de reglementare acolo unde cadrul de lucru prevede o notificare prealabilă.

Instituțiile care finalizează această secvență de douăsprezece săptămâni nu vor fi rezolvat pe deplin ingineria agentică. Ele vor fi stabilit nivelul minim de referință pe care îl necesită un program credibil. Instituțiile care nu au început până la momentul publicării acestui articol nu sunt în mod singular neglijente, așa cum a subliniat analiza Regulativ referitor la SWIFT. Ele reprezintă majoritatea. Întrebarea la care fiecare CCO, CRO și CTO trebuie să răspundă în următoarele două săptămâni este dacă firma acționează în mai sau se panichează în iulie.

Concluzie

Observația dură care s-a cristalizat în întreaga industrie în ultimele șase luni este că vechile moduri de operare la scară de întreprindere sunt depășite nu de o nouă tehnologie, ci de un nou model de lucru. Instrumentele agentice au scos la iveală — uneori în producție, alteori în rapoarte de incidente — defecte și lacune în sistemele legacy care s-au acumulat în liniște timp de ani de zile. Aceleași instrumente au oferit actorilor rău-intenționați resurse care anterior necesitau sprijinul unui stat. Aceleași instrumente, utilizate la nivel intern și cu disciplină, reprezintă calea cea mai credibilă pe care instituțiile o au pentru a elimina decalajul legacy, a respecta termenul-limită de reglementare din august 2026 și a atinge ritmul operațional pe care așteptările clienților și realitățile competitive îl cer în prezent.

Instituțiile care își asumă această poziție la nivel intern — care tratează ingineria agentică drept o capabilitate structurală a băncii, mai degrabă decât ca pe o soluție de productivitate achiziționată de la un furnizor — vor petrece următorii doi ani consolidându-și avantajul. Instituțiile care nu fac acest lucru vor petrece următorii doi ani descoperind, în rapoartele de incidente și în constatările autorităților de reglementare, ceea ce ar fi trebuit să construiască. Alegerea dintre aceste două rezultate este o decizie a consiliului de administrație din 2026, nu o decizie tehnologică din 2028.

Ca un context anterior pe acest site, articolul din aprilie 2026 despre pragurile cuantice a acoperit traiectoria hardware-ului care stă la baza Stratului 1 din arhitectura de mai sus, articolul din mai 2026 despre migrarea post-cuantică în finanțele corporative a descris în detaliu substratul criptografic, analiza din mai 2026 privind termenul-limită pentru adresa structurată pacs.008 a tratat disciplina de reglementare și inginerie pe care validarea bazată pe specificații o face fezabilă, iar proiectele open-source în Rust: KyberLib, pain001 și pacs008 se înscriu în efortul mai amplu de a pune primitive de nivel de producție — sigure din punct de vedere cuantic, conforme pentru plăți, pregătite pentru audit — în mâinile echipelor de inginerie care vor construi banca agentică. Legătura dintre aceste elemente nu este întâmplătoare. Este forma activității pe care o solicită următorii doi ani.

Întrebări frecvente

Care este diferența dintre IA generativă, IA agentică și ingineria agentică?

IA generativă produce conținut ca răspuns la un prompt; este reactivă. IA agentică urmărește obiective definite în mod autonom, accesând date, folosind instrumente și luând măsuri în cadrul unor fluxuri de lucru cu mai mulți pași, fără a necesita un prompt din partea omului la fiecare pas. Ingineria agentică — termenul pe care Karpathy l-a adoptat în 2026 ⧉ — este disciplina de lucru care constă în orchestrarea agenților în raport cu specificații detaliate sub supraveghere umană. Pentru sectorul bancar, distincția contează deoarece perimetrul de reglementare, modelul de amenințări și disciplina de inginerie sunt diferite pentru fiecare categorie. O interfață de chat și un agent de tranzacționare complet autonom nu fac parte din aceeași clasă de reglementare, iar tratarea lor ca și cum ar fi la fel creează riscuri la ambele capete.

De ce este termenul-limită din august 2026 al Regulamentului UE privind IA atât de important pentru bănci?

Anexa III a Regulamentului privind IA clasifică în mod explicit mai multe cazuri de utilizare a IA din sectorul bancar de bază ca având risc ridicat: evaluarea bonității și scorarea de credit a persoanelor fizice, evaluarea riscurilor și stabilirea prețurilor în asigurările de viață și de sănătate, precum și evaluarea sau clasificarea situației financiare a persoanelor fizice. Începând cu 2 august 2026, cei care implementează aceste sisteme trebuie să demonstreze conformitatea cu sisteme de management al calității, cadre de management al riscului, documentație tehnică, evaluări de conformitate, înregistrări în baza de date a UE, o guvernanță solidă a datelor, supraveghere umană și măsuri de securitate cibernetică. Articolul 12 solicită înregistrarea automată a intrărilor și ieșirilor (jurnal de audit). Articolul 14 solicită o supraveghere umană semnificativă (HITL sau HOTL, după cum este adecvat pentru sistem). Penalitățile pentru nerespectare ajung la 35 de milioane de euro sau 7% din cifra de afaceri anuală globală. Munca pentru a îndeplini aceste obligații este o muncă de inginerie — nu o muncă de documentare — și acesta este motivul practic pentru care disciplina spec-driven s-a accelerat pe parcursul primului trimestru din 2026.

Care este diferența practică dintre HITL și HOTL și când ar trebui să se aplice fiecare?

HITL (Human-in-the-Loop) înseamnă că agentul nu poate executa acțiuni de mare importanță fără aprobarea umană explicită. HOTL (Human-on-the-Loop) înseamnă că agentul execută acțiuni în mod autonom în limitele unor parametri bine definiți, în timp ce oamenii monitorizează telemetria și își păstrează autoritatea de a opri execuția în orice moment. Articolul 14 din Regulamentul UE privind IA solicită ca supravegherea să fie semnificativă, dar nu prescrie modelul. Regula de decizie este de a aplica HITL acolo unde acțiunea are un impact major, un volum redus și este ireversibilă (respingerea unui credit, închiderea unui cont, autorizarea unui transfer de mare valoare, transmiterea unui raport de reglementare) și HOTL acolo unde acțiunea are un volum mare, este reversibilă și delimitată de parametri (alerte de monitorizare a tranzacțiilor, clasificarea documentelor, triajul de rutină al serviciului clienți). Ambele necesită ca infrastructura întrerupătoarelor de urgență și a sistemelor de intervenție umană să fie operațională și testată; diferența este dacă omul se află în amonte de execuție (HITL) sau alături de aceasta (HOTL).

Majoritatea agenților noștri vor proveni de la furnizori. Cum satisfacem DORA și Regulamentul UE privind IA pentru sisteme pe care nu le-am construit noi?

Obligația de reglementare revine utilizatorului (celui care implementează), nu furnizorului. Răspunsul practic are trei paliere. În primul rând, solicitați un AIBOM documentat de la furnizor înainte de semnare — proveniența modelului, originea datelor de antrenare, ajustările fine, șabloanele de prompturi, indicii de recuperare, lanțul de dependențe. În al doilea rând, efectuați teste de comportament ale agentului în condiții analoage cu cele de producție, inclusiv teste adversariale pentru injecția de prompturi și rezistența la ingineria socială. În al treilea rând, renegotierea contractelor cu furnizorii pentru a include drepturi de documentare conform Articolului 13, notificarea modificărilor modelelor, raportarea incidentelor, drepturile de audit și divulgarea subcontractanților — majoritatea contractelor existente nu au niciuna dintre acestea. Articolele 28-30 din DORA acoperă managementul riscului TIC generat de terți și reprezintă ancora de reglementare relevantă pe partea europeană; orientările FFIEC sunt echivalentul pe partea SUA. Activitatea este importantă și nu poate fi amânată.

Cât de îngrijorate ar trebui să fie băncile, în realitate, în legătură cu adversarii agentici?

Răspunsul sincer este că amenințarea este reală și este distinctă din punct de vedere operațional de amenințările cibernetice anterioare. Dezvăluirea de către Anthropic în noiembrie 2025 a grupului GTG-1002 este exemplul de referință: IA agentică gestionând 80-90% din operațiunile tactice într-o campanie de spionaj sponsorizată de un stat împotriva a aproximativ treizeci de ținte din apărare, energie și tehnologie, operând la mii de solicitări pe secundă. Incidentul Step Finance din ianuarie 2026 — o pierdere de 27-30 de milioane de dolari cauzată de agenți de tranzacționare AI cu permisiuni excesive — este exemplul de referință despre cum o implementare internă de IA poate deveni o suprafață de atac. Raportul GTIR 2026 al Flashpoint a observat o creștere de 1.500% a discuțiilor ilicite legate de IA într-o singură lună. Acestea nu sunt scenarii ipotetice; sunt situații reale din rapoartele de incidente din perioada 2025-2026. Băncile care desfășoară operațiuni clasice de apărare împotriva adversarilor agentici sunt, structural, expuse în mod asimetric, iar răspunsul corect este construirea de capacități de apărare bazate pe IA (IA contra IA), în loc de a încetini tranziția agentică de teama ofensivei.

Este IA agentică doar „ChatGPT plus servere MCP”?

Nu, și aceasta este una dintre cele mai grave concepții greșite de pe piața actuală. O interfață de chat augmentată cu servere MCP este un model util pentru preluarea și prelucrarea datelor în cadrul unei sesiuni delimitate. Ingineria agentică este o capabilitate structurală a instituției — AIBOM, planul de control al agenților, fluxul de dezvoltare spec-driven, substratul de audit, fundația criptografică cuantic-sigură, tiparele de orchestrare în cadrul parcursului cap-la-cap al clienților. Acestea nu sunt funcționalități cumpărate de la un furnizor; sunt o poziție de asumare instituțională. Băncile care tratează problema ca pe o decizie de achiziție ajung la implementări superficiale care eșuează la audit. Băncile care o tratează ca pe o problemă de asumpție a ingineriei și guvernanței obțin un activ cu valoare cumulativă.

Care este cel mai important lucru pe care o bancă ar trebui să îl facă în următoarele douăsprezece săptămâni?

Trei lucruri, în ordine. În primul rând, elaborarea Listei de componente AI (AIBOM) — inventarul complet al fiecărui sistem AI, model, set de date, șablon de prompt, index de recuperare și dependență AI terță din producție sau în curs de dezvoltare, fiecare intrare fiind clasificată în conformitate cu Anexa III a Regulamentului UE privind IA. Instituția care nu poate prezenta acest document atunci când o autoritate de reglementare îl solicită este cea care va primi măsuri corective. În al doilea rând, construirea planului de control al agenților pentru orice sistem AI care ia în prezent sau influențează în mod semnificativ decizii care afectează clienții — înregistrarea jurnalelor de audit, detectarea anomaliilor de comportament, intervenția umană (human override) și întrerupătoarele de urgență ca infrastructură implicită, nu ca un element viitor pe foaia de parcurs. În al treilea rând, mutarea culturii interne de inginerie de la vibe coding la dezvoltarea spec-driven pentru activitățile cele mai importante — sisteme cu risc ridicat, fluxuri de lucru reglementate și fluxul de modernizare a sistemelor legacy. Primele două reprezintă activități de conformitate; a treia este o activitate competitivă. Instituțiile care le realizează pe toate trei vor fi într-o poziție considerabil mai puternică decât cele care fac doar una sau niciuna. Secvența completă de douăsprezece săptămâni este detaliată în secțiunea dedicată planului de acțiune de mai sus.

Referințe

Ultima revizuire .

Ultima revizuire .

Republică acest articol

Copiază formatul pentru Medium

# Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/](https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/)

IA agentică a trecut la producție în bănci. 70% o utilizează; puțini au guvernanță matură. Adversarii operează autonom; deadline EU AI Act pentru riscuri ridicate este la 12 săptămâni.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/

Copiază formatul pentru Mastodon

Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau

IA agentică a trecut la producție în bănci. 70% o utilizează; puțini au guvernanță matură. Adversarii operează autonom; deadline EU AI Act pentru riscuri ridicate este la 12 săptămâni.

https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/

Copiați formatat pentru LinkedIn

Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau

IA agentică a trecut la producție în bănci. 70% o utilizează; puțini au guvernanță matură.

Iată principalele concluzii strategice:

- Anul în care ingineria agentică a devenit inevitabilă. Conversația despre IA în serviciile financiare a fost, până de curând, dominată de două lucruri adiacente, dar distincte: interfețele de chat generative (utile, dar limitate) și modelele de generare augmentată prin…
- Stadiul adoptării în sectorul bancar. Imaginea de ansamblu este fără echivoc.
- Trei vectori de risc pe care băncile trebuie să îi interiorizeze. Înainte de orice conversație despre arhitectură, atenția consiliului de administrație ar trebui să se îndrepte către trei riscuri specifice sistemelor agentice, care apar mai devreme decât au prevăzut majoritatea…
- De ce vibe coding nu poate fi modul implicit în sectorul bancar. Este important să fim preciși cu privire la motivul pentru care vibe coding — prompt scurt, observarea rezultatului, iterare — eșuează ca flux de lucru implicit într-un mediu reglementat.

Care este abordarea organizației dvs. față de provocările descrise în acest articol?

→ https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/

#InginerieAgentică #DezvoltareSpecDriven #Bănci #ServiciiFinanciare #GuvernanțăAi

Sebastien Rousseau | CC-BY-4.0
Citează acest articol

Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau

IA agentică a trecut la producție în bănci. 70% o utilizează; puțini au guvernanță matură. Adversarii operează autonom; deadline EU AI Act pentru riscuri ridicate este la 12 săptămâni.

BibTeX

@online{rousseau2026inginerie,
  author  = {Rousseau, Sebastien},
  title   = {{Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/},
  urldate = {2026}
}

RIS

TY  - GEN
AU  - Rousseau, Sebastien
TI  - Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/
ER  -

Vancouver

Rousseau S. Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau. sebastienrousseau.com. 2026 May 17. Available from: https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/

Chicago

Rousseau, Sebastien. "Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau." sebastienrousseau.com. May 17, 2026. https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/.

APA

Rousseau, S. (2026, May 17). Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/

Republică acest articol

Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau

IA agentică a trecut la producție în bănci. 70% o utilizează; puțini au guvernanță matură. Adversarii operează autonom; deadline EU AI Act pentru riscuri ridicate este la 12 săptămâni.

Acest articol este licențiat sub Creative Commons Attribution 4.0 International. Republicarea necesită atribuirea la URL-ul canonic.

Inginerie agentică pentru bănci: Un ghid pentru 2026 pentru C-Suite și inginerii care o vor construi — Sebastien Rousseau

IA agentică a trecut la producție în bănci. 70% o utilizează; puțini au guvernanță matură. Adversarii operează autonom; deadline EU AI Act pentru riscuri ridicate este la 12 săptămâni.

Originally published at https://sebastienrousseau.com/ro/2026-05-17-agentic-engineering-banks-blueprint-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.