Odpovědnost za chyby finančního AI poradce

Nikita Veremeev

28.02.2026 | 6 minutové čtení

Aktualizováno: 28.02.2026

Od roku 2016 rozvíjím COREDO jako partnera podnikatelů, pro které jsou technologie, finance a právo jednotným ekosystémem růstu. Během té doby tým COREDO realizoval desítky projektů v EU, ve Velké Británii, v Singapuru, v Dubaji, v Česku, na Slovensku, na Kypru a v Estonsku, přičemž registroval právnické osoby, získával finanční licence a budoval AML‑struktury. Dnes vidím klíčovou výzvu pro ty, kteří zavádějí algoritmická doporučení: právní odpovědnost za chyby AI ve financích se rozděluje mezi několika účastníky a jurisdikcemi, a pravidla se mění rychleji než plány IT týmů.

V tomto článku jsem shromáždil praktické přístupy, které COREDO používá při navrhování a provázení AI poradců. Mým cílem je ukázat, jak propojit dodržování předpisů, smluvní mechanismy a technologické procesy tak, aby odpovědnost finančního AI poradce byla průhledná, smluvně omezená a podpořená pojišťovacími a procesními zárukami. To není teorie, ale soubor nástrojů ověřený na reálných případech v Evropě, Asii a zemích SNS.

Mapa regulace: co se mění

Иллюстрация к разделу «Mapa regulace: co se mění» v článku «Odpovědnost za chyby finančního AI-poradce»
regulace AI‑poradců v EU se stala systematickou: Evropský zákon o AI (AI Act), MiFID II, DORA a metodické dopisy ESMA/EBA formují požadavky na vysvětlitelnost, provozní odolnost a řízení modelového rizika. V praxi to znamená: každá platforma s automatickými investičními doporučeními spadá pod test „vysokého rizika“, potřebuje dokumentaci modelu, záznamy rozhodnutí, postupy validace modelu a human‑in‑the‑loop pro kritické zásahy. Praxe COREDO potvrzuje: tam, kde klient předem implementoval vysvětlitelnost a protokolování, je riziko nároků ze strany regulátora výrazně nižší.

V Asii probíhá harmonizace různými rychlostmi. MAS v Singapuru a SFC v Hongkongu publikují principy kontrolované automatizace, odpovědnost platformy za algoritmická doporučení a požadavky na suitability při robo‑poradenství. Některé trhy jihovýchodní Asie zavádějí rámce týkající se AI liability a ochrany soukromí, blízké režimům podobným GDPR. Řešení vyvinuté v COREDO pro jeden singapurský projekt zahrnovalo sloučení místních AI‑směrnic MAS s praktikami evropského řízení rizika modelu (model risk governance), což usnadnilo škálování služby v EU.

Velká Británie se řídí principem «same risk, same regulation» prostřednictvím FCA, kladouc důraz na řízení střetu zájmů, testy na zkreslení (bias) a dokumentování předpokladů modelu. V Estonsku a na Kypru regulátoři uplatňují MiFID II a místy – lokální vysvětlení pro robo‑poradenství. V Česku a na Slovensku se centrální banky zaměřují na provozní riziko a přístupy DORA. Tým COREDO přizpůsobuje licenční balíčky a interní politiky s ohledem na tyto nuance, aby registrace finančních poradců s AI proběhla bez právních mezer.

Křížová jurisdikce a odpovědnost AI‑služby, to je volba rozhodného práva (governing law), rozhodčích doložek, mechanismů přeshraničního přenosu dat (cross‑border data transfer) a DPA‑smluv. Vždy doporučuji předem určit fórum sporu, postupy e‑discovery a formát přípustných elektronických důkazů (neměnné záznamy (immutable logs), blockchainová časová razítka), jinak i silná právní pozice se rozpadne ve fázi dokazování.

Kdo odpovídá za rozhodnutí AI‑poradce

Ilustrace k oddílu «Kdo odpovídá za rozhodnutí AI‑poradce» v článku «Odpovědnost za chyby finančního AI‑poradce»

Odpovědnost správcovské společnosti při automatických radách se opírá o fiduciární povinnost a standard profesionální péče. Pokud klient delegoval rozhodování robotu, očekává se lidský dohled, politiky vhodnosti a periodické přezkoumání modelu podle profilu rizika. Naše zkušenost v COREDO ukázala: existence výboru pro modely a protokolů pro lidské přepsání snižuje pravděpodobnost nároků z nepoctivosti (good faith) a porušení fiduciární povinnosti.

Komerční odpovědnost dodavatele AI‑řešení vychází ze smlouvy: záruky funkčnosti, strop odpovědnosti pro škody (cap), vyloučení nepřímých ztrát a odškodnění za žaloby týkající se IP a únik dat. Produktová odpovědnost (product liability) však může vzniknout mimo smlouvu, pokud je prokázána vada softwaru. V kontraktech stanovujeme rozdělení: vina výrobce vs vina uživatele při chybě AI s návazností na zóny kontroly, data, parametry, prostředí, aktualizace.

Člověk v řetězci (human‑in‑the‑loop) a právní důsledky se redukují na otázku: čí jednání bylo spouštěčem ztráty. Pokud rozhraní jednoznačně vyžadovalo potvrzení investičního doporučení člověkem, a potvrzení bylo dáno bez kontroly, odpovědnost se přesouvá na osobu, která rozhodla. Tam, kde systém vykonává doporučení automaticky, regulátor očekává posílená opatření pro vysvětlitelnost (explainability), upozorňování (alerting) a limity rizik.

Práva a povinnosti depozitářů při radách AI ve fondech (UCITS/AIFMD) zůstávají klasické: úschova aktiv a dohled nad dodržováním investičního mandátu. Pokud AI vede k odchylce od limitů, depozitář je povinen signalizovat a blokovat porušení, jinak vzniká společná odpovědnost s investičním správcem.

Smluvní architektura: rizika předem

Ilustrace k oddílu «Smluvní architektura: rizika předem» ve článku «Odpovědnost za chyby finančního AI-poradce»
Smluvní odpovědnost při zavádění AI‑poradce není jeden bod, ale systém. Považuji za základní čtyři bloky: omezení odpovědnosti a výhrady ve smlouvě o AI (liability cap, exclusion of indirect/ consequential damages, warranty disclaimers), smlouva o přizpůsobení AI a rozdělení rizik (transfer of liability při změnách), řízení dodavatelů a právní odpovědnost dodavatelů (flow‑down povinností), a také SLA a KPI pro AI‑služby.

Do SLA zařazujeme metriky nejen dostupnosti, ale i výkonu modelu: tracking error, drawdown thresholds, znalosti o tréninku (data freshness SLAs), explainability latency a čas na human review. Praxe COREDO potvrzuje: takové KPI pomáhají před regulátorem ukázat Due Diligence a strukturovat postupy incident‑reakce.

Smlouvy o přizpůsobení AI a rozdělení rizik zohledňují použití open‑source a pretrained models (transfer learning). Pokud open‑source komponent způsobí licenční konflikt nebo zranitelnost, dodavatel by měl nést odškodnění a povinnost k rychlé nápravě. Pro klienty s mezinárodním rozsahem přidáváme zákaz neoprávněného transfer learningu na datech klienta a upravujeme práva k modelovým artefaktům.

Řízení dodavatelů a právní odpovědnost dodavatelů pokrývají externí poskytovatele dat a agregátory signálních dat. Chyba poskytovatele tržního feedu se může proměnit v algoritmickou chybu v investicích; přenášíme odpovědnost a práva na audit po řetězci, včetně práva na nezávislý audit poskytovatelů a certifikátů jako ISO 27001 a SOC 2.

Automatizace AML a řízení shody

Ilustrace k oddílu „Automatizace AML a compliance“ v článku „Odpovědnost za chyby finančního AI-poradce“
Odpovědnost za porušení AML při doporučeních AI vzniká nejčastěji v tocích automatizovaného KYC, monitoringu transakcí a sankčního screeningu. regulátoři EU se opírají o rámce AMLD, v Asii o srovnatelné akty a pokyny centrálních bank; na některých trzích v Africe je to méně formalizované, ale lokální rizika jsou vysoká kvůli nekvalitním seznamům a omezeným zdrojům dat. Tým COREDO buduje kontrolu kvality dat a procesy eskalace, aby garbage‑in garbage‑out nebyl příčinou pokuty.

Povinnosti informovat klienty a regulátory jsou zakotveny v politikách reakce na incidenty. Pokud systém poskytne radu, která porušuje sankční souladu, měl by algoritmus zaznamenat událost, zablokovat akci a spustit postup oznamování. Zde je důležité propojit DORA a lokální požadavky AML: regulátor chce vidět nejen prevenci, ale také odolnost procesů.

Řízení rizik modelů: dokumentace

Ilustrace k oddílu «Řízení rizik modelů: dokumentace» v článku «Odpovědnost za chyby finančního AI-poradce»
Validace modelu (model validation) a související právní ochrana. Budujeme tři linie obrany: vývoj s unit‑ a integration‑testy, nezávislá validace (backtesting, stresové testy, kalibrace) a audit výboru pro modely. Metody modelového rizika zahrnují VAR testy, hodnocení posunu výkonu a kalibraci pravděpodobností pro úvěrové a tržní modely. Takový okruh zajišťuje kauzální souvislost (causation) ve váš prospěch, když je vyžadováno forenzní ML.

regulační požadavky na vysvětlitelnost (explainability) AI se liší, ale trend je jasný: dokumentujte features, omezení, použitelnost a kontrafaktuální vysvětlení (counterfactual analysis). V investičních doporučeních místní regulátoři požadují srozumitelné odůvodnění (rationale), i když jde o složitý ensemblový model. Řešení vyvinuté v COREDO zaznamenává cestu rozhodnutí a skóre důvěry, což snižuje spory o předvídatelnosti a mezích odpovědnosti za nepředvídaná doporučení.

Technická auditovatelnost: logování, auditní stopa a replikace rozhodnutí – náš povinný blok. Doporučujeme neměnné záznamy (immutable logs), verzování modelů a sad dat, hashování artefaktů a časové razítkování. To vytváří možnost prokazování činů při incidentu a pomáhá rozlišit chybu softwaru od nesprávné interpretace dat.

Testování na adversariální útoky a právní bezpečnostní povinnosti přecházejí do popředí: data poisoning, prompt injection v generativních komponentách a obcházení omezení. Spojujeme požadavky ISO 27001, řízení přístupu podle rolí (role‑based access control), rozdělení povinností (Dev/ML/SOC) a podepsaná schválení nasazení. Naše zkušenost v COREDO ukázala: formální change‑management záznamy často vyřeší spor o vinu dávno před soudem.

Správa dat (Data governance) zahrnuje provenance, lineage, consent a retention, včetně důvěrnosti a přeshraničního přenosu osobních údajů (režimy podobné GDPR). Pro open banking a API‑připojení k AI‑poradcům platí omezení rámců PSD2/OB: souhlas klienta, bezpečnost kanálů a jasné rozdělení odpovědnosti mezi TPP, bankou a platformou.

Právní důsledky incidentů

Přímá škoda a ušlý zisk z chyb AI‑poradce se oceňují podle metodik pro vyčíslení škody, které zohledňují VAR, drawdown, tracking error a tržní kontext. Přísnost důkazní základny vyžaduje prokázat kauzalitu: bez forenzního ML a kontrafaktuální analýzy je obtížné ukázat, že právě algoritmus způsobil ztrátu. Klienty na to připravujeme dopředu: modelové karty, verze dat a replikace experimentů.

Postupy reakce na incidenty a regulatorní oznamování při chybách AI zahrnují zajištění (containment), analýzu příčiny (root cause analysis), nápravu (remediation) a kontrolu účinnosti provedených oprav. DORA výslovně požaduje operativní komunikaci a zaznamenávání akcí; MAS a SFC očekávají obdobné praktiky. Doporučuji formálně zavést RACI matici a povinné lhůty pro interní zprávu – to snižuje regulatorní riziko.

Právní mechanismy kompenzace škod způsobených AI zahrnují smluvní náhrady (indemnities), mimosmluvní nároky (deliktní právo, tort law) a v některých případech odpovědnost za výrobek (product liability). Na trzích s právním systémem common law je vyšší riziko deliktních žalob a mohou být uznávána rozšířená hlediska výše škody; v kontinentálním systému je větší důraz na smluvní úpravu. Trestní odpovědnost za chyby AI nabývá relevance při praní špinavých peněz, porušování sankcí a úmyslném obcházení kontrol.

Veřejné reportování a zveřejňování používání AI vůči investorům se postupně stává tržním standardem. V několika projektech COREDO jsme připravovali části politiky týkající se etiky AI, kde jsme zaznamenávali poctivost, nepřítomnost diskriminace a vysvětlitelnost (explainability) – to snižovalo reputační riziko při incidentech.

Pojištění a finanční záruky

pojištění rizik chyb AI (pojištění odpovědnosti za AI) doplňuje pojištění profesní odpovědnosti (pojištění profesní odpovědnosti) a kybernetické pojištění (kybernetické pojištění). Pojišťovny se dívají na zralost řízení rizik modelu, přítomnost zapojení člověka do procesu, logy a pravidelné validace. Doporučuji vytvářet pojistné klauzule s požadavky na oznámení, právo regresu a koordinaci řešení sporů.

Požadavky pojišťovny při krytí chyb AI často zahrnují minimální standardy informační bezpečnosti, nezávislé audity a školení personálu. Praxe COREDO potvrzuje: když jsou tyto podmínky zabudovány do politiky a smlouvy, cena krytí a franšízy se stávají předvídatelnějšími.

Rozdělení odpovědnosti v případech COREDO

Praktický případ: odpovědnost při chybné prognóze likvidity. Platforma v EU vydala doporučení k rebalancování, aniž by zohlednila lokální clearingová okna; vznikl dočasný nedostatek likvidity. Tým COREDO provedl forenzní ML, prokázal drift modelu kvůli zastaralému feedu a inicioval přezkum SLA u poskytovatele dat. Odpovědnost rozdělili: poskytovatel feedu uhradil přímou škodu v rámci stropu, správcovská společnost převzala provozní náklady a přehodnotila mechanismus lidského zásahu.

Případ AML: automatizovaný KYC přehlédl sankční indikátor klienta v Asii. Během analýzy příčiny jsme odhalili otravu dat (data poisoning); externí databáze přiřadila nesprávný štítek. Řešení vyvinuté v COREDO zahrnovalo neměnné záznamy a varovné koridory, proto regulátor hodnotil náležitou péči (due diligence) pozitivně. Kompenzace byla omezena na administrativní opatření, dodavatel dat přijal odškodnění za chybu.

Drift modelu na novém trhu: expanze do Dubaje vedla ke zvýšení chyb v posuzování vhodnosti (suitability). Trvali jsme na postupném nasazení (staged rollout), kontrolním období s lidským dohledem (human-in-the-loop) a limitech pro automatické provádění. Po třech týdnech se metriky stabilizovaly; to ilustruje analýzu nákladů a přínosů zavedení lidského dohledu (human-in-the-loop) ke snížení odpovědnosti.

Registrace AI-poradce a Licencování: v Singapuru klient získal licenci za podpory COREDO, zavedením pravidel transparentnosti algoritmů, auditu dodavatelů a postupů vysvětlitelnosti. V EU je obdobná služba strukturována podle MiFID II s důrazem na posouzení vhodnosti (suitability) a DORA-kontroly; pro Estonsko jsme připravili lokální politiky a zprávy pro FSA.

Od myšlenky k udržitelné praxi

Due diligence při zavádění AI:

Regulační mapa: AI Act, MiFID II, DORA, režimy podobné GDPR, MAS, SFC.
Hodnocení právních rizik používání AI pro správu kapitálu: licence, hranice automatizace, open banking/API.
Prověrka dodavatele: certifikáty, SOC zprávy, historie incidentů, politika proti zkreslení.
Smluvní architektura: stropy odpovědnosti, náhrady škody, vyloučení záruk, rozhodčí doložky, volba práva.

Návrh korporátního řízení AI:

Výbor pro modely, nezávislé ověřování, periodické přezkoumání, modelové karty.
Logování, verzování, neměnný auditní záznam, blockchainové razítka.
Řízení přístupu: RBAC, rozdělení povinností, role SOC/DevOps.
Politiky etiky AI, řízení střetu zájmů a veřejné zveřejnění.

Smluvní šablony a vyjednávací pozice:

SLA a KPI: dostupnost, drift, vysvětlitelnost, latence, lidské přezkoumání.
Smluvní mechanismy přenosu odpovědnosti a náhrady škody od dodavatele, přenos povinností na subdodavatele.
Omezení odpovědnosti: stropy, vyloučení ušlého zisku, carve‑outs pro úmysl a únik dat.
Mezinárodní dohody a výběr jurisdikce; rozhodčí doložky a vyšší moc při chybách AI služeb.

ROI a snížení soudních rizik:

Metriky dopadu chyb: VAR, drawdown, tracking error v KPI týmu rizik.
Kontinuální validace, monitorování driftu a vysvětlitelnost jako úspora na budoucích žalobách.
Human‑in‑the‑loop na kritických prahových hodnotách: analýza nákladů a přínosů ve srovnání s expozicí odpovědnosti.
Pojišťovací řešení: správné sladění professional indemnity, cyber a AI liability.

Specifické otázky, na které se zapomíná

Odpovědnost za zaujatost a diskriminaci v doporučeních AI není jen otázka etiky, ale i právní riziko. Regulátoři očekávají testy na bias, úpravy dat a dokumentování fairness‑metrik. V jednom z projektů tým COREDO zavedl pravidelné bias‑audity jako součást SLA s dodavatelem.

Právní důsledky model driftu a zastaralých doporučení vyžadují postupy deprecation a oznámení klientům. Pokud model přestal odpovídat trhu, je vaší povinností pozastavit automatická doporučení, informovat klienty a regulátora a aktualizovat disclosure.

Odpovědnost při používání otevřených modelů (open‑source) v poradci: oblast zvýšené pozornosti. Právní rámec product liability ve vztahu k finančnímu softwaru s AI je v EU diskutován čím dál častěji; rozumná strategie – jasně oddělit „tak jak jsou“ komponenty a vaši záruku integrace.

Vliv místní legislativy v Asii na přeshraniční AI‑řešení se projevuje v požadavcích na lokalizaci dat, periodických auditorských kontrolách a dodatečných souhlasích. Zde COREDO pomáhá vybrat strukturu skupinové politiky, která obstojí jak proti režimům podobným GDPR, tak asijským pravidlům.

Role firemního právníka

Role firemního právníka při hodnocení AI projektů a smluv nespočívá pouze v úpravách SLA. Očekávám od interních týmů účast na designových sezeních, formalizaci požadavků na vysvětlitelnost (explainability) a ověřování realizovatelnosti (implementability) právních podmínek v IT procesech. Jen tak se právní odpovědnost nestává brzdkou inovací.

Technická auditovatelnost a nástroje pro Forensic ML jsou předem připravenou platformou pro obhajobu. Doporučujeme vytvářet soubor předpokladů, verzí, testovacích případů a kontrafaktických scénářů vhodných pro právně akceptovatelné posouzení modelů. Takový přístup umožňuje nejen vyhrávat spory, ale také se poučit z incidentů.

Co dělat dnes: kontrolní seznam

Proveďte gap‑analýzu podle AI Act, MiFID II, DORA, MAS/SFC a místních AML předpisů.
Zaveďte řízení rizik modelu: výbor, validace, monitorování driftu, vysvětlitelnost.
Znovu přezkoumejte smlouvy: limity odpovědnosti (caps), odškodnění, vyloučení záruk, SLA podle metrik modelu, arbitráž a volba práva.
Nastavte neměnitelné záznamy, řízení přístupu podle rolí, rozdělení povinností a postupy reakce na incidenty s oznámeními.
Přehodnoťte pojistné krytí: pojištění odpovědnosti za AI, profesní odpovědnost a kyberpojištění se sladěnými podmínkami.
Aktualizujte veřejná prohlášení o používání AI, aby očekávání klientů odpovídala skutečnosti.

Závěry

Inteligentní poradci mění finanční odvětví, ale spolu s příležitostmi přicházejí právní a provozní povinnosti. Odpovědnost platformy za algoritmická doporučení, odpovědnost správcovské společnosti při automatických radách a smluvní odpovědnost při zavádění AI‑konzultanta jsou zvládnutelné kategorie rizik, pokud se správně vybuduje architektura procesu a smluv.

Tým COREDO umí propojit licencování, AML‑kompliance, korporátní řízení rizik modelu a smluvní mechanismy tak, aby technologie pracovaly pro růst, a ne pro spory.

Pokud připravujete vstup na nové trhy v EU, ve Spojeném království, v Singapuru, v Dubaji, na Kypru, v Estonsku, v Česku nebo na Slovensku, nebo budujete finanční AI‑službu s mezinárodní odpovědností: pojďme probrat praktický plán. Zaručuji, že každý řádek kódu a každý bod smlouvy budou pracovat ve prospěch vaší odolnosti a předvídatelnosti výsledku, a praxe COREDO potvrzuje: je to dosažitelné.