Ki felel a mesterséges intelligencia által okozott károkért, ha már a biztosítók is kizárják a felelősségüket?
Az mesterségesintelligencia- (MI) technológiák használatának elterjedésével egyre több, a fentihez hasonló szituáció előfordulása valószínűsíthető. Az Egyesült Államokban egyes biztosítók már elkezdték kizárni a felelősségüket az MI-eszközök használata során okozott károkért, és ez a trend a közelmúltban már Magyarországon is megjelent. Ez a generatív MI-eszközök kockázatai és a felelősségbiztosítási piac működési algoritmusai alapján egyáltalán nem meglepő.
A felelősségbiztosítási modell működése
A felelősségbiztosítás olyan termék, ahol a biztosító a biztosítási díjért cserébe arra vállal kötelezettséget, hogy a biztosított cég által a tevékenysége során okozott kárt megtéríti helyette a károsultnak.
A felelősségbiztosítás egy komplex pénzügyi termék, ahol a biztosító által felvállalni vagy éppen kizárni tervezett kockázatok felmérése egy komoly biztosításmatematikai feladat. A folyamatnak szükségszerűen a részét képezi az adatgyűjtés a korábbi káreseményekkel kapcsolatban, de idetartozik a kárgyakoriságot és az esetlegesen kifizetendő károk összegét előre jelző valószínűségi modellek felállítása, ennek alapján a vállalható és kizárandó kockázatok meghatározása és a biztosítói helytállás feltételrendszerének meghatározása is.
A generatív MI sajátos kockázatai
A mesterséges intelligenciával kapcsolatos kockázatok egyik alapvető problémája, hogy mivel kereskedelmileg széles körben csak pár éve érhetők el ezek a megoldások, így nem áll rendelkezésre megfelelő mennyiségű historikus adat a káreseményekkel kapcsolatban. Egy másik kihívás, hogy a generatív és az ügynöki MI működése sokkal változatosabb és nehezen átlátható kockázati profillal bír.
A generatív MI-rendszerek teljesítménye instabil, változó, a tanító és egyéb adatok (pl. promptok) alapján történő kikövetkeztetési képességük nem koherens. Ebből kifolyólag az általuk előállított anyagok, következtetések megfelelő ellenőrzés nélkül nem megbízhatók, a megfelelőség ellenőrzéséhez viszont az adott területtel kapcsolatos szakértelem szükséges, amivel nem mindenki rendelkezik. Az ügyfelekkel való kommunikációra épített chatbotok is hajlamosak a hallucinációkra, azaz bármikor elképzelhető, hogy egy ügyfél kérdésére olyan választ adnak, ami nem felel meg a valóságnak.
Ezek az eszközök az általuk használt tech stackek komplexitása miatt sokkal jobban ki vannak téve a kiberbiztonsági kockázatoknak, az ezzel járó adatlopás és egyéb visszaélések veszélyének.
Ráadásul az egyre inkább önálló működési és döntéshozatali képességgel felvértezett ügynöki (agentic) MI-megoldások elterjedésével ez a kitettség csak fokozódni fog.
A fentiekből egy olyan kockázati profil rajzolódik ki, amely eltér a korábban ismert mintázatoktól, és emiatt nehezebben biztosítható.
A kiberbiztonsági biztosítások tanulságai
Természetesen nem a mesterséges intelligencia az első olyan technológia, amely új típusú kockázatokat hozott, és amely emiatt újfajta megközelítést tesz szükségessé.
Pár éve hasonló kérdések merültek fel a kiberbiztonsági kockázatok kezelése során, ahol leginkább az nehezítette a biztosítók tevékenységét, hogy a kiberincidensek nagy része a nyilvánosság elől rejtve maradt. Ennek megfelelően a kiberbiztonsági biztosítások is először csak a nyilvánosan megismerhető kártörténeti előzményekkel rendelkező területekre terjedtek ki, de a gyakorlatban gondot okozott az is, hogy a biztosítók termékei általában egyáltalán nem tettek említést ezekről a kockázatokról. Emiatt gyakoriak voltak a biztosító helytállásával kapcsolatos viták, de a helyzet idővel aztán enyhült. A biztosítók számára továbbá problémás volt annak az egységesen alkalmazható és transzparens követelményrendszernek a meghatározása is, amelyet számon kérhettek volna a biztosított cégeken a mentesülésük érdekében.
A generatív MI az új kiberbiztonság?
A kiberbiztosítások piacán megfigyeltek elvileg a generatív és ügynöki MI területére is érvényesek lehetnek.
Ezt támasztja alá az a tény, hogy az MI-rendszerek használatával elkövetett, visszaélésszerű cselekmények (pl. prompt injectionök által indukált felhasználói magatartások, deepfake videók) sok esetben szintén rejtve maradnak a nyilvánosság elől. Ennek oka ugyanaz, mint a kiberbiztonsági kockázatok esetében: egyik ilyen megoldást fejlesztő vagy használó cég sem szeretné, ha ezek az események kitudódnának, mivel ez aláásná a cégbe vetett bizalmat, és a hatóságok figyelmét is felkeltheti.
A két terület között ugyanakkor van egy fontos különbség is.
Míg a kiberbiztonsági károk általában egy külső támadás eredményeképpen jelentkeznek, és a kockázatok (például adatvesztés) könnyebben kategorizálhatóak, a generatív MI még rendeltetésszerű használat esetén is okozhat károkat,
pl. az MI-modell létrehozatalához felhasznált tanító adatokban meglévő torzítás hátrányos megkülönböztetést eredményezhet az oktatásban vagy a HR-ben.
Egy másik sajátosság az MI-ökoszisztéma és -értéklánc bonyolultságára és komplexitására vezethető vissza, ami miatt az MI-megoldásokkal okozott károkkal kapcsolatos felelősség telepítése sem egyszerű. Jelenleg rendkívül nehéz az ilyen károkat külföldi szolgáltatókkal vagy felhasználókkal szemben érvényesíteni, ami egy újabb, jelentős bizonytalanságot okoz a biztosítók számára is.
A biztosítási piac reakciói és a cégek fedezetlen kockázatai
A fentiek miatt a biztosítási piac lassan, de biztosan reagál az MI-rendszerek által fémjelzett egyedi kockázatokra és biztosítási nehézségekre, egyfelől a felelősségük korlátozásával és kizárásával, másfelől pedig a kifejezetten az MI-eszközök jellemzőihez igazított biztosítási termékek kidolgozásával.
A magyar felelősségbiztosítási piacon például az Uniqua biztosító felelősségbiztosítási általános szerződési feltételei már most is kizárják a biztosító felelősségét a mesterséges intelligenciával, vagy más ilyen technológia alkalmazásával okozott, illetve ezekkel összefüggésben bekövetkezett károkért.
Az erre való felkészülés fontosságát a generatív MI-eszközök felhasználására vonatkozó, szolgáltatók által meghatározott szerződési feltételek is aláhúzzák. A ChatGPT, a Copilot és minden más hasonló MI-rendszer felhasználási feltételei alapján az MI-eszközök használatáért kizárólag mi, a felhasználók leszünk felelősek, és a szolgáltatóra nem tudjuk áthárítani az MI-rendszer használatával a munkavállalóinknak vagy az ügyfeleinknek okozott, és velünk szemben érvényesített károkat. De mi a helyzet akkor, ha az MI-technológiával összefüggésben keletkezett, velünk szemben támasztott kárigényre a biztosításunk sem terjed ki? Ebben az esetben sajnos az ezzel kapcsolatos üzleti, operatív és pénzügyi kockázatot kizárólag a cégünk viseli.
A fenti kockázatok természetesen csökkenthetők és részben megelőzhetők az igazolható és a dokumentálás szintjét meghaladó, valódi jogszabályi megfeleléssel, az irányadó szabványok megfelelő implementációjával, az MI-megoldásokkal kapcsolatos döntéshozatali és egyéb folyamatokat egységes, dinamikus és rugalmas keretbe foglaló governance-rendszerek bevezetésével és működtetésével. De mindezek mellett minden MI-megoldást fejlesztő és használó cégnek érdemes ellenőriznie a kockázati profilját és a biztosítási szerződéseit, és a biztosítási piac változásait figyelemmel követve felkészülni a mesterséges intelligencia által okozott, adott esetben fedezetlen káresemények lehetőségére.
