AI agentic în bănci este acum o problemă de inginerie deghizată în problemă de AI. Modelul este interschimbabil; planul de control nu este. Provocarea pentru 2026 nu este adopția — Cambridge CCAF o plasează deja la 52% — ci dacă sistemele autonome pe care banca dumneavoastră le rulează astăzi pot trece o examinare SR 11-7 în trimestrul următor. Majoritatea nu pot.
Sumar executiv / Concluzii principale
- Nu le mai spuneți chatboți. Unitatea de producție este un flux de lucru limitat cu permisiuni stricte de apel de instrument. Munca se desfășoară în interiorul fluxului, nu în interiorul LLM-ului.
- OSWorld la 66,3% este plafonul de fiabilitate. Cel mai apropiat benchmark al Stanford HAI de utilizarea instrumentelor în întreprindere eșuează în continuare la una din trei sarcini structurate. Este o cifră care justifică o implementare agresivă cu om în buclă; nu justifică execuția nesupravegheată asupra a nimic ce atinge banii clienților.
- Clasificați după permisiuni, nu după inteligență. Scara autonomiei merge de la Nivelul 0 (extragere de clauze ISDA în regim de doar citire) la Nivelul 4 (reparare de plăți cu mai multe instrumente și puncte de control obligatorii). Nivelul 5 — execuție auto-orchestrată fără puncte de control — nu ar trebui să existe în băncile aflate în producție în 2026.
- Planul de control al agentului are cinci componente inginerești, nu este un document de politică. Conturi de serviciu cu domeniu OAuth, rutare semantică deterministă, bariere Open Policy Agent, jurnalizare de audit WORM și un întrerupător de urgență testat. Orice componentă lipsă este o constatare.
- SR 11-7 și PRA SS1/23 se aplică deja. Fed a clarificat în repetate rânduri că orice sistem de luare a deciziilor de la intrare la ieșire intră sub incidență. Băncile care susțin că un LLM nu este un model au pierdut argumentul de reglementare înainte să îl formuleze.
De ce 2026 este anul în care acest indice contează #
Tranziția de la chat la fluxuri de lucru limitate este singurul lucru care contează în AI agentic pentru bănci anul acesta. Un chatbot care redactează un e-mail către client poate fi revizuit. Un agent care apelează POST /accounts/{id}/freeze pe platforma de carduri din producție este dovadă auditabilă. Producția a ajuns din urmă încadrarea: studiul Cambridge CCAF din 2026 raportează 52% adopție agentică activă și 23% în faza de scalare sau transformare (Cambridge CCAF ⧉). Pragul „pilot izolat" a fost depășit cândva la sfârșitul anului 2025.
Două lucruri s-au schimbat în paralel cu adopția.
În primul rând, autoritățile de reglementare au încetat să trateze LLM-urile ca pe o noutate. Federal Reserve a clarificat că SR 11-7 ⧉ se aplică deciziilor bazate pe LLM, indiferent dacă LLM-ul este clasificat intern ca model. SS1/23 ⧉ al PRA a fost întotdeauna suficient de larg pentru a le acoperi. Clasificarea „risc ridicat" din EU AI Act acoperă majoritatea utilizărilor LLM în serviciile financiare. Nu mai există argumentul „nu suntem siguri dacă se aplică".
În al doilea rând, realitatea benchmark-urilor a ajuns din urmă. AI Index 2026 al Stanford HAI raportează OSWorld — cel mai apropiat benchmark disponibil de utilizarea reală a instrumentelor în întreprindere — la 66,3% acuratețe (Stanford HAI ⧉). Una din trei sarcini structurate eșuează în continuare. Această cifră stabilește plafonul tehnic al autonomiei în 2026. Suficient de mare pentru a justifica implementări limitate de Nivel 3 sub supravegherea om în buclă; nu suficient de mare pentru a justifica execuția nesupravegheată împotriva oricărui API care atinge fondurile clienților.
Indicele AI agentic pentru bănci trebuie să facă pentru deciziile bazate pe LLM ceea ce cadrul Basel a făcut pentru capital: să convertească afirmațiile „avem controale" în dovezi măsurabile și auditabile per flux de lucru.
Arhitectura indicelui 2026 #
| Strat al indicelui | Cum arată „pregătit" | Indicator de pregătire | Mod de eșec |
|---|---|---|---|
| Nivelul de autonomie | Fiecare flux din producție etichetat Nivel 0–4; niciun Nivel 5 în producție | % fluxuri pe nivel; ponderea la Nivel 3+ | Un agent din producție emite un pacs.008 către un BIC de beneficiar halucinat pentru că nicio listă de permisiuni statică nu filtrează încărcătura înainte de SWIFTNet |
| Permisionarea API | Fiecare agent mapează la un singur cont de serviciu cu domenii OAuth cu privilegiul minim (de exemplu, card-freeze:write:lt-5000usd); MTLS către nucleul vechi |
% agenți la privilegiul minim; numărul de permisiuni orfane | Agentul reutilizează un cont de serviciu cu domeniu prea larg; iterează conturi pe care nu avea ce să le citească; incident GDPR Articolul 33 raportat în 72 de ore |
| Bariere de siguranță deterministe | Fiecare apel de instrument trecut prin router semantic (NeMo Guardrails / LangChain Guardrails) plus validator de schemă JSON înainte de API | % apeluri de instrumente interceptate; rata de respingere pe categorie | LLM-ul emite un apel transfer cu amount: 0; API-ul din aval nu validează; alerta de reconciliere a registrului ajunge 18 ore mai târziu, într-un alt fus orar |
| Acoperire om în buclă | Fiecare execuție de Nivel 3 ridică un UI de aprobare cu timeout dur; auto-aprobarea dezactivată prin politică | Debitul de aprobări; rata de aprobare formală (aprobate sub 2 secunde) | Operatorul apasă „aprobă" pe 200 de alerte în 4 minute; SAR depus împotriva unui client legitim; plângere la autoritate în aceeași săptămână |
| Completitudinea jurnalului de audit | Jurnalul WORM imuabil capturează prompt-ul de sistem + contextul recuperat + ieșirea LLM + apelul de instrument + rezultatul instrumentului + UID-ul aprobatorului; semnat criptografic la momentul scrierii | % invocări cu trasare completă | Examinatorul SR 11-7 întreabă de ce agentul #4421 a aprobat un transfer de 4,8 milioane USD; banca are confirmarea transferului și fișa modelului; nicio dovadă la nivel de prompt; constatare emisă |
| Economia per unitate | Costul per decizie completată urmărit incluzând costul de stornare și reparare; pozitiv față de baza manuală | Cost net per decizie; rata de stornare | Cheltuiala per token pe agenții de caz limită depășește costul investigatorului manual pe care l-au înlocuit; CFO oprește programul în T3 |
Semnale actuale de urmărit #
| Semnal | Ce înseamnă pentru bănci | Sursă |
|---|---|---|
| 52% adopție activă | AI agentic a depășit faza de pilot; guvernanța la nivel de instituție este restantă | Cambridge CCAF ⧉ |
| 23% în scalare sau transformare | O minoritate semnificativă a depășit teatrul probelor de concept | Cambridge CCAF ⧉ |
| OSWorld la 66,3% | Rată de eșec de unu la trei la utilizarea structurată a instrumentelor. Execuția nesupravegheată împotriva API-urilor cu fonduri ale clienților este insustenabilă la acest nivel de fiabilitate | Stanford HAI ⧉ |
| 55% citează pierderea supravegherii umane ca risc principal | Proiectarea controalelor este preocuparea inginerească principală, nu una de conformitate în aval | Cambridge CCAF ⧉ |
| 76% dintre instituțiile financiare mari au dificultăți să măsoare valoarea | Afirmațiile generice de productivitate nu rezistă unei discuții cu CFO. Măsurați per flux de lucru, nu per program | Cambridge CCAF ⧉ |
Scara autonomiei #
Clasificați agenții după ceea ce au voie să facă, nu după cât de deștept este modelul de bază. Aceeași instanță GPT-5 / Claude 4 / Gemini 3 poate sta la fiecare nivel; ceea ce diferă este învelișul.
- Nivel 0 — Observare. Acces doar pentru citire la jurnale, urme sau tranzacții. Agentul scoate la suprafață tipare sau anomalii; nicio scriere oriunde. Exemplu: detectarea derivei ratelor de respingere
pacs.008pe coridor și alertarea echipei de operațiuni. - Nivel 1 — Recuperare doar pentru citire. Citește din sistemele operaționale; emite ieșire structurată pentru consum uman. Exemplu: extragerea variațiilor de clauze CSA dintr-un acord-cadru ISDA al unei contrapartide și semnalarea abaterilor de la șablonul standard al băncii. Agentul nu scrie niciodată înapoi în depozitul de contracte.
- Nivel 2 — Redactare pentru depunere umană. Generează conținut pe care un om îl revizuiește și îl depune. Exemplu: redactarea unui raport de activitate suspectă pornind de la o alertă a sistemului antifraudă plus dosarul KYC plus urma tranzacției; ofițerul BSA îl citește, îl editează dacă este nevoie și îl depune. Sistemul de evidență vede doar versiunea aprobată de om.
- Nivel 3 — Execuție limitată. Apelează un API din producție cu limite dure, deterministe, impuse de înveliș. Exemplu: apelul API de blocare a cardului cu
max-amount-at-risk: 5000 USDimpus de o politică de listă de permisiuni; agentul nu poate bloca un card legat de solduri peste acest prag fără o escaladare de Nivel 2. Limita trăiește în politică drept cod, nu în prompt — prompturile nu sunt o graniță de securitate. - Nivel 4 — Orchestrare cu mai multe instrumente și puncte de control obligatorii. Rulează o secvență între sisteme; fiecare tranziție de stare este jurnalizată; punctele de control necesită aprobare umană înainte de următorul apel de instrument. Exemplu: flux de reparare a plăților — extragerea unui
pacs.008eșuat din coada de scrisori moarte → căutarea beneficiarului corect prin SWIFT KYC Registry → generarea mesajului corectat → scrierea în coada de ieșire → omul aprobă retrimiterea. Dacă orice pas eșuează validatorul de schemă, fluxul se oprește și creează un caz de excepție. - Nivel 5 — Auto-orchestrare. Agentul planifică și execută fără aprobare la punct de control. Niciun flux bancar din producție nu ar trebui să fie la Nivelul 5 în 2026. Aceasta nu este o declarație de maturitate; este o declarație de fiabilitate. OSWorld la 66,3% se cumulează pe apeluri API înlănțuite. Trei apeluri de instrumente, fiecare la 66%, înseamnă 29% succes de la cap la coadă. Cinci înseamnă 13%. Nu o faceți.
Planul de control al agentului #
Planul de control este stratul de inginerie dintre LLM și sistemele dumneavoastră din producție. Cinci componente, toate la timpul de execuție, niciuna scrisă într-un document de politică.
1. Identitate și permisiuni #
Fiecare agent mapează la exact un cont de serviciu. Acel cont deține tokenuri OAuth client_credentials cu domeniu pe suprafața API minimă necesară. Tokenul agentului de blocare a cardului poate apela POST /accounts/{id}/freeze cu amount-at-risk: 0..5000 usd. Nu poate apela GET /accounts/{id}/balance pentru alți clienți. Nu poate apela nimic în custodie, trezorerie sau tranzacționare. Secretele conturilor de serviciu rotesc săptămânal; credențialele cu durată lungă sunt cea mai frecventă defecțiune a planului de control în implementările din producție.
2. Bariere de siguranță deterministe pe apelurile de instrumente #
Fiecare apel de instrument al LLM trece printr-un router semantic determinist (NeMo Guardrails, LangChain Guardrails sau echivalent) înainte ca apelul să ajungă la API-ul de producție. Routerul clasifică intenția împotriva unei liste de permisiuni finite; apelurile din afara listei sunt respinse și jurnalizate. Apoi un validator de schemă JSON verifică încărcătura — câmpurile obligatorii prezente, sumele în dolari în limite, codurile de țară ISO valide, BIC-ul beneficiarului pe lista de contrapartide preaprobate de bancă. Validatorul ar trebui să fie paranoic: un pacs.008 cu amount: 0 este o defecțiune a modelului, nu o tranzacție legitimă. La fel este și un transfer către o țară pe care filtrul de sancțiuni nu a preaprobat-o pentru segmentul de clientelă inițiator.
3. Politică drept cod #
Open Policy Agent (sau echivalent) se află între validator și API. Politicile sunt versionate în Git; deciziile de respingere sunt jurnalizate; același motor de politici care filtrează apelurile între microservicii în platforma existentă filtrează apelurile de instrumente ale agenților. Tratarea agenților ca o clasă specială cu filtrare făcută la comandă este modul în care băncile ajung cu planuri de control umbră pe care nimeni din echipa de platformă nu le mai înțelege șase luni mai târziu.
4. Jurnalul de audit #
Stocare WORM imuabilă — S3 Object Lock, imutabilitate Azure Blob sau o bază de date cu registru. Fiecare invocare captează: marcaj temporal, ID-ul agentului, ID-ul contului de serviciu, hash-ul promptului de sistem, contextul recuperat, furnizorul LLM plus modelul plus versiunea, ieșirea brută a LLM, apelul de instrument analizat, decizia OPA, răspunsul API, efectul în aval și UID-ul aprobatorului acolo unde se aplică. Înregistrările sunt semnate criptografic la momentul scrierii. Acest jurnal este ceea ce examinatorii SR 11-7 și SS1/23 vor cere. Dacă nu puteți produce o trasare completă pentru orice decizie dată, nu aveți un agent gestionat sub riscul de model.
5. Întrerupătorul de urgență #
Un API cu „buton roșu" care anulează toate invocările de agent în desfășurare dintr-o clasă de permisiuni în mai puțin de 60 de secunde. Testat trimestrial printr-un exercițiu pe masă. Întrerupătorul de urgență este singurul lucru care vă recuperează dintr-o lansare de model al unui furnizor care regresează discret, dintr-un vector de injecție de prompt pe care nu l-ați anticipat sau dintr-un eveniment de derivă care împinge ratele de fals-pozitiv peste pragul operațional. Întrerupătoarele de urgență netestate nu funcționează; bugetați timpul pentru exercițiu.
Managementul riscului de model #
Băncile care susțin că „un LLM nu este un model conform SR 11-7" au pierdut deja. Federal Reserve a clarificat în repetate rânduri că orice sistem de la intrare la ieșire folosit într-un flux de luare a deciziilor intră sub incidență. SS1/23 al PRA este și mai larg. Postura corectă: tratați fiecare agent din producție ca model SR 11-7 / SS1/23 din prima zi. Costul încadrării retroactive a unui agent deja implementat ca model este de mai multe ori mai mare decât costul proiectării sale ca atare de la început.
Trei linii de apărare, aplicate agenților:
- Prima linie (proprietarul modelului). Documentează utilizarea intenționată a agentului, descendența datelor de antrenare și evaluare, schema promptului de sistem, lista de permisiuni a apelurilor de instrumente, rezultatele testelor întrerupătorului de urgență. Deține monitorizarea derivei în producție.
- A doua linie (echipa MRM). Validează agentul înainte de producție. Raportul de validare acoperă scorurile de evaluare lansate de furnizor (MMLU, HumanEval, HellaSwag sunt utile, dar nu suficiente), scorurile de evaluare specifice băncii (propriul set de evaluare reținut, construit din exemple operaționale — aceasta este munca în care majoritatea băncilor subinvestesc), rezultatele echipei roșii pentru injecția de prompt, analiza de prejudecată și echitate acolo unde fluxul are impact asupra clientului și o declarație cuantificată de risc rezidual.
- A treia linie (audit intern). Testează barierele planului de control și completitudinea jurnalului de audit împotriva unui eșantion de decizii din producție. Ciclul de audit din 2027 va arăta foarte diferit de cel din 2025; bugetați-l acum.
Monitorizarea continuă contează mai mult decât validarea punctuală. Seturile de evaluare specifice băncii, rulate săptămânal, prind regresiile de actualizare a modelului pe care benchmark-urile furnizorului nu le scot la suprafață. Cadența de lansare a OpenAI, Anthropic și Google este mai rapidă decât cadența dumneavoastră de validare; ori închideți decalajul rulând evaluări continue, ori îl închide un examinator printr-o constatare în defavoarea dumneavoastră.
Măsurarea impactului asupra afacerii #
Afirmațiile generice de productivitate nu rezistă unei discuții cu CFO. Măsurați agenții așa cum măsurați orice altă schimbare operațională:
- Cost per decizie completată, incluzând costul de stornare și reparare al deciziilor eșuate. Un agent de redactare SAR care reduce timpul ofițerului BSA cu 40%, dar generează 12% depuneri fals-pozitive, a distrus valoare, nu a creat-o.
- Atingeri manuale evitate, contabilizate net de noile atingeri create de supravegherea planului de control și gestionarea excepțiilor. Scopul nu este minimizarea atenției umane; este redirecționarea ei către decizii cu efect de pârghie mai mare.
- Rata de stornare — procentul acțiunilor executate de agent care sunt anulate în 24 de ore. O rată de stornare peste 2% pe un flux de Nivel 3 este o problemă de fiabilitate. Peste 5% este o problemă a planului de control.
- Completitudinea trasei de audit — procentul deciziilor cu proveniență completă reconstituibilă din jurnalul WORM. Ar trebui să fie 100% pentru fluxurile de Nivel 3 și Nivel 4. Orice mai puțin este o defecțiune de politică ce va apărea la audit.
Dacă un flux devine mai rapid, dar mai puțin explicabil, indicele trebuie să îl penalizeze. Cea mai ieftină cale de a pica un examen de reglementare este să optimizezi pentru debit și să pierzi trasarea.
Ce înseamnă pentru fiecare tip de bancă #
Băncile cu importanță sistemică globală #
Problema dificilă este guvernanța la scară: sute de agenți între liniile de business, fiecare cu propriul proprietar de model, fiecare o potențială constatare de audit. Investiția nu este încă un pilot. Este planul central de control, infrastructura unificată a jurnalului de audit și un banc MRM capabil să valideze peste 50 de agenți pe trimestru. Fără această capacitate, agenții ajung în producție mai repede decât pot fi guvernați, iar instituția acumulează expunere SR 11-7 în liniște.
Băncile de tranzacții și corporative #
Fluxurile cu cel mai înalt ROI sunt repararea plăților, extragerea documentelor KYC, devierea întrebărilor frecvente la serviciile de trezorerie și rupturile de reconciliere. Toate sunt Nivel 2 sau Nivel 3 limitat. Clientul corporativ nu se interesează că un agent a făcut munca; se interesează că SLA s-a îmbunătățit și rata disputelor a rămas constantă. Conduceți cu indicatorii, nu cu tehnologia.
Băncile regionale #
Cumpărați, nu construiți. Alegeți un furnizor a cărui platformă de agenți are deja primitivele planului de control — domeniu OAuth, integrare OPA, jurnal de audit WORM, întrerupător de urgență testat — și validați acea platformă în raport cu cadrul dumneavoastră MRM. Construirea unui plan de control la comandă este o investiție pe mai mulți ani care nu diferențiază la scară regională. Cheltuiți capacitatea inginerească pe proiectarea fluxurilor și UX-ul operatorului.
Fintech-uri, PSP-uri și furnizorii de infrastructură #
Întrebarea de produs pentru furnizori nu este „performează agentul vostru AI mai bine decât oamenii". Este „produce platforma voastră o trasă de audit conformă SR 11-7 din cutie". Furnizorii care pot răspunde cu da vor încheia contracte de întreprindere. Furnizorii care nu pot vor rămâne blocați în bucle de probe de concept în timp ce echipa MRM a băncii găsește motive să respingă validarea.
Concluzie #
AI agentic în bănci în 2026 este o problemă de inginerie. Munca interesantă este în planul de control, nu în model. Modelul este interschimbabil; domeniul OAuth, routerul semantic determinist, barierele de politică OPA, jurnalul de audit imuabil și întrerupătorul de urgență nu sunt.
Instituțiile care vor arăta credibile în fața autorităților de reglementare peste 18 luni sunt cele care tratează fiecare agent din producție ca model SR 11-7 / SS1/23 din prima zi, cu seturi de evaluare specifice băncii rulate continuu și un plan de control proiectat să eșueze în siguranță. Instituțiile care nu o fac vor descoperi dacă bancul lor MRM poate scala pentru a gestiona peste 50 de constatări de remediere pe trimestru.
Măsurați agenții așa cum măsurați orice schimbare operațională: cost, fiabilitate, reversibilitate, dovezi. OSWorld la 66,3% este plafonul dumneavoastră de fiabilitate. Planificați în consecință.
Întrebări frecvente #
Ce este AI agentic în bănci?
Un flux de lucru limitat care combină un LLM cu apeluri de instrumente către sisteme de producție, bariere de siguranță la timpul de execuție și puncte de control om în buclă. Munca se desfășoară în interiorul fluxului, nu în interiorul modelului. Dacă ați auzit cuvântul „chatbot", sunteți în categoria greșită.
De unde ar trebui să înceapă băncile?
Fluxuri de Nivel 1 și Nivel 2 unde valoarea este măsurabilă, iar dezavantajul este controlabil: extragerea clauzelor ISDA, redactarea SAR, trierea reparării plăților, recuperarea cunoștințelor interne, asistența la revizuirea codului, clasificarea documentelor KYC. Săriți peste Nivelul 3 până când planul de control gestionează domeniul OAuth, rutarea semantică, filtrarea OPA, jurnalizarea WORM și un întrerupător de urgență testat.
Care este cel mai mare risc?
Lăsarea agenților să execute împotriva API-urilor de producție fără bariere de siguranță deterministe între ieșirea LLM-ului și API. Cifra OSWorld de 66,3% este avertismentul. Apelurile de instrumente neînvelite la acea rată de eșec împotriva unui SWIFT MT103 sau a unui API cu fonduri ale clienților scriu titlul cel mai rău al următorului ciclu de reglementare.
Se aplică SR 11-7 agenților bazați pe LLM?
Da. Federal Reserve a clarificat că orice sistem de la intrare la ieșire folosit în fluxuri de luare a deciziilor intră sub SR 11-7. SS1/23 al PRA acoperă același teren în Regatul Unit. Clasificarea „risc ridicat" din EU AI Act acoperă majoritatea cazurilor de utilizare din serviciile financiare. Dezbaterea „este acesta un model" s-a încheiat; acționați în consecință.
Cum ar trebui raportat AI agentic către consilii?
Patru cifre per flux: nivelul de autonomie, completitudinea trasei de audit, rata de stornare, costul net per decizie. Plus o listă cu primele cinci riscuri reziduale. Săriți peste prezentările cu fișa modelului.
Referințe #
- Stanford HAI, (2026). Raportul AI Index 2026 ⧉.
- Stanford HAI, (2026). Capitolul privind performanța tehnică ⧉.
- Cambridge Centre for Alternative Finance, (2026). Raportul global 2026 privind AI în serviciile financiare ⧉.
- Federal Reserve, (2011). SR 11-7: îndrumări privind managementul riscului de model ⧉.
- Prudential Regulation Authority, (2023). Declarația de supraveghere SS1/23: principii de management al riscului de model pentru bănci ⧉.
- Comisia Europeană, (2024). Regulamentul (UE) 2024/1689 — Legea AI ⧉.
- NVIDIA, (2024). Cadrul NeMo Guardrails ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
Ultima revizuire .
Ultima revizuire .