Interviu cu Iuliu Mureșan, Chief Risk Officer, Garanti BBVA România
Inteligența Artificială nu mai este un subiect de viitor în sectorul bancar, ci o realitate care influențează deja activitatea funcțiilor de risc, conformitate și control intern. De la evaluarea creditelor și prevenirea fraudelor până la guvernanța modelelor, AI schimbă modul în care băncile identifică, analizează și gestionează riscurile. Despre oportunitățile pe care le aduce această transformare, provocările care o însoțesc și rolul esențial al factorului uman discutăm cu Iuliu Mureșan, Chief Risk Officer al Garanti BBVA România.
Suntem într-un moment de inflexiune sau deja în plină transformare? Cum evaluați impactul AI asupra managementului riscului bancar?
Suntem deja în plină transformare și cred că mulți profesioniști din industrie încă subestimează amploarea acesteia. AI nu adaugă doar un nou strat tehnologic peste procesele existente; ea reconfigurează logica după care sunt identificate, evaluate și monitorizate riscurile.
Din perspectiva unui CRO, impactul este profund: AI oferă capacitatea de a analiza volume imense de date, chiar nestructurate, de a identifica tipare complexe și de a genera informații relevante în timp real. În sectorul bancar, aceasta se traduce prin evaluări mai precise ale riscului de credit, detecție mai rapidă a fraudelor, monitorizare mai eficientă a riscurilor operaționale și o capacitate sporită de anticipare a schimbărilor din mediul economic.
Mai important, AI nu transformă doar procesele, ci și modul în care funcțiile de control își desfășoară activitatea. Managementul riscului, conformitatea, controlul intern și auditul pot beneficia semnificativ de aceste tehnologii, cu condiția existenței unui cadru solid de guvernanță.
Care sunt cele mai importante beneficii pe care AI le aduce deja în activitatea zilnică a unei bănci?
Principalul beneficiu este capacitatea de a transforma volume mari de date în informații utile procesului decizional. Modelele AI pot identifica relații și tendințe greu de observat prin metode tradiționale, contribuind la evaluări mai precise și la o înțelegere mai bună a comportamentului clienților.
O altă oportunitate concretă este automatizarea activităților repetitive, de la verificări manuale și consolidarea informațiilor până la generarea de rapoarte. În practică, eliberarea specialiștilor de aceste sarcini de rutină le permite să se concentreze pe analiză, interpretare și decizii cu valoare strategică.
Pentru funcțiile de risc, automatizarea este însă doar începutul. Câștigul real vine din capacitatea de a identifica semnale pe care metodele tradiționale nu le-ar detecta suficient de devreme.
Nu în ultimul rând, AI îmbunătățește experiența clienților prin procese mai rapide și servicii mai bine adaptate nevoilor individuale. Din perspectiva managementului riscului, acest lucru contribuie la o relație mai transparentă cu clientul și la reducerea riscului reputațional.
Vorbiți despre modele sofisticate, dar înainte de algoritmi există o condiție esențială: cât de importantă este calitatea datelor?
Datele sunt fundamentul oricărui model. Succesul acestuia este determinat, în primul rând, de calitatea informațiilor pe care le utilizează, mai mult decât de complexitatea algoritmului. Un model sofisticat construit pe date deficitare va produce rezultate deficitare, doar că mai rapid și la o scară mai mare decât metodele tradiționale.
Din perspectiva mea, trei caracteristici sunt esențiale: calitatea, respectiv date corecte, complete și consistente; disponibilitatea, adică accesul la informații în momentul potrivit; și relevanța, respectiv utilizarea datelor care aduc valoare reală obiectivului urmărit.
De aceea, guvernanța datelor, responsabilitățile clare privind administrarea acestora și controalele privind integritatea și trasabilitatea informațiilor devin componente esențiale ale oricărei utilizări responsabile a AI.
Am întâlnit situații în care un model de credit excelent din punct de vedere tehnic a produs rezultate distorsionate deoarece datele utilizate pentru antrenare nu aveau volumul și diversitatea necesare pentru a fi reprezentative din punct de vedere statistic. Dacă setul de date nu reflectă suficient populația asupra căreia modelul va fi aplicat, rezultatele pot fi înșelătoare, indiferent de performanța tehnică a soluției dezvoltate.
Prevenirea fraudelor și combaterea spălării banilor sunt domenii în care beneficiile AI par evidente. Ce vedeți concret în practică?
Aceasta este una dintre ariile în care beneficiile sunt deja vizibile și măsurabile. Modelele AI pot analiza milioane de tranzacții în timp real, identificând anomalii sau comportamente neobișnuite care ar putea indica tentative de fraudă, cu o acuratețe și o viteză pe care nicio echipă umană nu le poate replica.
În zona prevenirii și combaterii spălării banilor, AI poate contribui la identificarea unor tipare complexe de comportament, la prioritizarea alertelor și, foarte important, la reducerea semnificativă a numărului de investigații generate de alerte fals pozitive. Acest lucru nu reprezintă doar un detaliu tehnic, ci înseamnă resurse și timp redirecționate către cazurile cu risc real.
Diferența fundamentală față de abordările tradiționale este că, în trecut, căutam în principal încălcări ale unor reguli predefinite. Astăzi, modelele pot identifica comportamente atipice care nu au fost niciodată descrise explicit ca scenarii de fraudă. Valoarea reală constă nu doar în detectarea unui număr mai mare de cazuri, ci și în viteza cu care acestea sunt identificate, înainte ca impactul financiar sau reputațional să devină semnificativ.
Totuși, și în acest domeniu, tehnologia rămâne un instrument de sprijin, iar evaluarea situațiilor complexe și deciziile cu impact semnificativ aparțin în continuare specialiștilor.
Inteligența Artificială generativă (GenAI) este una dintre tehnologiile care au atras cea mai mare atenție în ultimii ani. Cum diferă aceasta de modelele tradiționale și ce beneficii poate aduce funcțiilor de risc?
GenAI deschide o nouă etapă. Dacă modelele tradiționale sunt construite pentru a analiza date și a genera predicții pe baza unor obiective bine definite, această tehnologie poate sintetiza informații, genera conținut și facilita accesul la cunoștințe într-un mod mult mai apropiat de limbajul uman.
Pentru funcțiile de risc și conformitate, beneficiile sunt concrete în zona documentării, analizelor complexe, raportării, interpretării cerințelor de reglementare sau gestionării unor volume mari de informații. Vedem deja aplicații în analiza documentelor, suportul pentru investigații AML (Anti-Money Laundering – prevenirea și combaterea spălării banilor) și sintetizarea informațiilor necesare procesului decizional.
Trebuie însă să rămânem pragmatici: GenAI poate produce rezultate inexacte sau incomplete, ceea ce în limbajul tehnic se numește „halucinații”, adică situații în care modelul generează răspunsuri plauzibile, dar care conțin informații eronate sau nefundamentate. Utilizarea sa trebuie însoțită de controale suplimentare, pentru că nu este o tehnologie care poate funcționa fără monitorizare și validare permanentă.
În banking, consecințele unui rezultat incorect pot fi semnificative: o decizie de credit fundamentată greșit, o comunicare către autoritatea de supraveghere care conține informații inexacte sau o investigație AML orientată eronat. De aceea, arhitectura de utilizare a GenAI trebuie să includă explicit un nivel de validare umană („human-in-the-loop”), mecanisme de verificare a rezultatelor înainte de utilizarea în procese critice și reguli clare de „prompt governance”, adică standarde privind modul în care angajații formulează interogările și tipurile de informații care pot fi utilizate ca input pentru modelele de GenAI.
Una dintre principalele critici aduse AI în banking este că operează ca o „cutie neagră”, generând rezultate greu de explicat. Cum răspundeți acestei preocupări?
Critica este legitimă și trebuie tratată cu seriozitate. Explicabilitatea nu este o opțiune, ci o cerință fundamentală în sectorul bancar.
Nu este suficient ca un model să producă rezultate precise. Trebuie să putem înțelege și explica modul în care a ajuns la o anumită concluzie. Dacă un client primește un răspuns negativ la o solicitare de credit sau dacă o tranzacție este blocată, banca trebuie să poată justifica decizia respectivă într-un mod transparent și obiectiv, atât față de client, cât și față de auditori sau autoritatea de supraveghere.
Aceasta este și una dintre principalele preocupări ale reglementatorilor europeni: EU Artificial Intelligence Act impune cerințe stricte de transparență și documentare pentru sistemele cu grad de risc ridicat, iar scoringul de credit se încadrează explicit în această categorie. În consecință, dacă un model nu poate fi explicat, pur și simplu nu poate fi utilizat în astfel de procese.
Există și alte riscuri semnificative pe care un CRO trebuie să le gestioneze în contextul adoptării AI?
Ca orice tehnologie cu impact major, AI aduce un spectru larg de riscuri. Unul dintre cele mai importante este riscul de model, care apare atunci când algoritmii produc rezultate inexacte din cauza unor date insuficiente, a unor schimbări semnificative ale mediului economic sau a unei monitorizări necorespunzătoare a performanței acestora. Există apoi riscul de „bias”: modelele pot prelua și amplifica dezechilibre existente în datele istorice, aspect deosebit de sensibil în procese precum creditarea sau segmentarea clienților în clase de risc.
La acestea se adaugă riscurile operaționale și cibernetice, inclusiv utilizarea necontrolată a instrumentelor AI de către angajați prin canale nesancționate, ceea ce poate genera scurgeri de date proprietare sau confidențiale, chiar și în absența unei intenții malițioase. În multe organizații, acest risc apare înainte ca managementul să conștientizeze amploarea fenomenului.
În cazul GenAI apare și o categorie nouă de riscuri: încrederea excesivă în rezultatele generate de model. Oamenii tind să acorde credibilitate unor răspunsuri formulate fluent și convingător, chiar și atunci când acestea conțin erori factuale. Din perspectivă de risc, aceasta este o provocare serioasă deoarece poate conduce la decizii greșite luate cu un nivel ridicat de încredere.
Nu în ultimul rând, aș menționa și dependența de furnizorii externi de tehnologie, care poate genera riscuri de concentrare și vulnerabilități legate de continuitatea operațională.
Cum poate fi asigurată utilizarea responsabilă a AI? Care este diferența dintre a vorbi despre guvernanță și a o construi efectiv?
Diferența este enormă și se vede în practică. Prea des confundăm guvernanța cu simpla existență a unor politici. În realitate, guvernanța începe atunci când politicile sunt transformate în procese și responsabilități clare și, mai ales, în controale care funcționează efectiv.
Concret, orice utilizare a AI trebuie să fie însoțită de politici clare, validare independentă a modelelor înainte de implementare, monitorizare permanentă pe parcursul ciclului de viață și controale riguroase privind calitatea datelor, securitatea informației și gestionarea accesului.
Un alt principiu fundamental este supravegherea umană. În domeniul bancar, responsabilitatea pentru deciziile importante trebuie să rămână întotdeauna la nivel uman, indiferent de gradul de automatizare. Nu este o limitare a tehnologiei, ci o responsabilitate pe care o avem față de clienți și față de stabilitatea sistemului financiar.
Cum influențează cadrul de reglementare european adoptarea AI în sectorul bancar? Vă simțiți susținut sau presat de noile cerințe?
Sincer, ambele și cred că aceasta este poziția onestă a oricărui CRO. Calendarul de implementare este unul foarte ambițios: DORA (Digital Operational Resilience Act) a devenit pe deplin aplicabil din ianuarie 2025, AI Act a intrat în vigoare în februarie 2025, inclusiv în ceea ce privește obligațiile pentru practicile interzise, iar aplicarea cerințelor pentru sistemele AI cu risc ridicat, unde se califică și scoringul de credit, ar fi trebuit să intre în vigoare în august 2026. Între timp, însă, în cadrul inițiativei legislative Digital Omnibus, instituțiile europene au convenit amânarea până la finalul lui 2027, recunoscând că implementarea necesită standarde tehnice și infrastructură de conformitate care nu sunt încă pe deplin disponibile.
Privesc însă reglementarea ca pe un cadru necesar. Europa încearcă să găsească un echilibru între inovare și utilizarea responsabilă a tehnologiei, iar pentru sectorul financiar acest lucru înseamnă cerințe suplimentare privind guvernanța datelor, documentarea modelelor, transparența și supravegherea umană. În realitate, vorbim despre principii sănătoase de management al riscului, care ar trebui să existe oricum.
Provocarea nu este înțelegerea reglementărilor, ci integrarea acestora în sute de procese, modele și fluxuri decizionale. Mesajul transmis de autorități este clar: utilizarea AI trebuie să fie inovatoare, dar și responsabilă, transparentă și controlabilă.
În paralel, trebuie să gestionăm și cerințele GDPR privind protecția datelor cu caracter personal, precum și regulile aplicabile externalizării serviciilor. Nu este simplu, dar nici nu ar trebui să fie. Operăm cu banii și datele oamenilor.
Cum se schimbă rolul profesionistului din zona de risc? Ce competențe devin critice?
Rolul devine, în același timp, mai complex și mai strategic. Specialiștii în risc trebuie să înțeleagă nu doar mecanismele financiare și economice, ci și modul în care funcționează datele, algoritmii și noile tehnologii. Analfabetismul digital nu mai este o opțiune acceptabilă în funcțiile de control.
Concret, văd trei competențe care vor deveni decisive în următorii ani. Prima este capacitatea de a înțelege și contesta ipotezele unui model – nu neapărat de a-l construi, ci de a identifica ce premise stau la baza lui și în ce condiții poate eșua. A doua este abilitatea de a traduce limbajul tehnic în limbaj de risc pentru board și autoritatea de supraveghere, reprezentând o punte între ingineria de date și guvernanță. A treia este expertiza în „model governance”: validarea independentă, monitorizarea ciclului de viață al modelelor, gestionarea bias-ului. Este un domeniu în care mulți profesioniști cu experiență vor trebui să își extindă competențele într-un ritm accelerat.
Capacitatea de analiză critică și judecata profesională rămân esențiale. Diferența este că acestea trebuie aplicate acum și tehnologiei, nu doar riscului financiar.
Funcția de risc evoluează de la un rol predominant de control și monitorizare către unul de partener strategic al afacerii. Misiunea noastră nu este doar să identificăm riscurile, ci să contribuim la adoptarea responsabilă a inovației. Iar acest lucru schimbă, treptat, locul funcției de risc în organizație: dintr-un gardian al limitelor, într-un actor al transformării digitale.
Cum se schimbă cultura de risc într-o organizație care adoptă AI? Cum gestionați rezistența internă?
Tehnologia poate accelera transformarea, dar cultura organizațională rămâne factorul determinant. Și, da, există rezistență, uneori din teamă, alteori din inerție sau dintr-o înțelegere incompletă a ceea ce înseamnă AI. În practică, întâlnim două tipuri distincte de reacții. Pe de o parte, există scepticismul unor profesioniști cu experiență, care se tem că rolul lor va fi diminuat. Pe de altă parte, există tendința unor echipe tehnice de a privi AI ca pe o soluție universală, fără a evalua întotdeauna suficient de riguros limitele și riscurile asociate. Ambele extreme pot deveni problematice: una încetinește inovația, cealaltă o accelerează fără cadrul necesar de control.
Adoptarea AI presupune o colaborare mult mai strânsă între business, tehnologie, risc și conformitate. Un model poate genera informații și recomandări, însă responsabilitatea deciziei rămâne întotdeauna la nivel uman.
Gestionarea rezistenței se face prin educație, transparență și, poate cel mai important, prin implicarea timpurie a echipelor în procesele de implementare. Oamenii acceptă mult mai ușor o tehnologie la a cărei construcție, testare sau validare au contribuit. În cele din urmă, o cultură matură de risc în era AI înseamnă echilibrul dintre încrederea în tehnologie și păstrarea spiritului critic.
Care este cea mai mare greșeală pe care o vedeți astăzi în adoptarea AI de către organizații?
Cea mai frecventă greșeală este tratarea AI ca pe un simplu proiect tehnologic și nu ca pe o transformare organizațională. Multe instituții încep discuția de la modele și algoritmi, când ar trebui să pornească de la date, procese, responsabilități și guvernanță. Tehnologia este partea vizibilă a aisbergului. Sub suprafață se află calitatea datelor, controalele, cultura organizațională și competențele oamenilor. Dacă aceste elemente lipsesc, chiar și cea mai performantă tehnologie va produce rezultate sub așteptări.
Mulți văd o tensiune între inovație și prudență. Cum priviți acest echilibru din perspectiva unui CRO?
În opinia mea, tensiunea reală nu este între inovație și prudență. Aceasta este, într-o anumită măsură, o falsă dilemă. Provocarea reală este legată de viteza cu care tehnologia și industria evoluează comparativ cu viteza cu care mecanismele de guvernanță și control reușesc să se adapteze.
Băncile trebuie să inoveze pentru a răspunde așteptărilor clienților și pentru a rămâne competitive. În același timp, au responsabilitatea de a proteja interesele clienților și stabilitatea sistemului financiar. Cheia este integrarea principiilor de management al riscului, conformitate și control încă din faza de proiectare a soluțiilor bazate pe AI.
Atunci când funcțiile de control sunt implicate de la început, inovația nu este încetinită, ci devine mai sustenabilă și mai sigură. Obiectivul nu este să alegem între inovație și prudență, ci să construim o inovație responsabilă.
Întrebare provocatoare pentru final: va mai exista funcția de CRO în forma actuală peste 10 ani?
Cred că viitorul va aparține organizațiilor care vor reuși să combine inteligența umană cu inteligența artificială, iar aceeași logică se aplică și funcției de CRO.
AI va deveni un instrument esențial pentru identificarea timpurie a riscurilor, optimizarea proceselor și anticiparea vulnerabilităților înainte ca acestea să se materializeze. Volumul de informații procesate va fi incomparabil mai mare, iar viteza de reacție va crește exponențial.
Toate băncile vor avea acces la tehnologie mai devreme sau mai târziu. Diferența va fi făcută de capacitatea organizațiilor de a transforma tehnologia în decizii mai bune, mai rapide și mai responsabile. Judecata managerială va rămâne factorul diferențiator.
Managementul riscului a avut întotdeauna rolul de a privi înainte și de a anticipa provocările viitorului. În era AI, această misiune rămâne aceeași. Instrumentele sunt mai puternice ca oricând, iar tocmai de aceea discernământul uman devine mai valoros ca niciodată.

COMMENTS