Az EU AI Act tiltott gyakorlatai és az AI-jártassági kötelezettség 2025. február 2. óta élnek (Európai Bizottság, 2025). A magas kockázatú rendszerek (pl. hitelbírálat) kötelezettségeit a Digital Omnibus 2027. december 2-re halasztotta (Council of the EU, 2026). A legsúlyosabb bírság 35 millió euró vagy a globális árbevétel 7%-a (Európai Bizottság, 2024). A nagy volumenű pénzügyi AI-feldolgozás jellemzően kiváltja a GDPR 35. cikk szerinti DPIA-t (ScienceDirect, 2026). A NAV maga is kockázatelemzésre és MI-re építi a 2026-os ellenőrzéseket (NAV, 2025).
AI pénzügy adatbiztonság: EU AI Act és megfelelőség 2026
Sok pénzügyi vezetőt ugyanaz aggaszt: az AI pénzügy adatbiztonság kérdése, vagyis mi lesz az adattal, ha AI nyúl hozzá? Egy 2025-ös amerikai CFO-felmérés szerint a pénzügyi döntéshozók 78%-a a biztonságot és adatvédelmet nevezte meg fő AI-akadályként (Kyriba US CFO-felmérés, 2025). A félelem érthető, de sokszor rossz helyre irányul. A gyakorlatban nem az AI önmagában a kockázat, hanem a kontrollálatlan adatkezelés. Ebben a cikkben végigvesszük, mit ír elő 2026-ban az EU AI Act és a GDPR, biztonságos-e a NAV online számlaadatokat AI-val feldolgozni, és milyen konkrét checklist alapján engedj gépi feldolgozást a pénzügyi adataidra. A cél gyakorlati: holnap is használható megfelelőségi keret, nem elméleti jogi értekezés.
AI pénzügy adatbiztonság: kockázatosabb-e a jelenlegi folyamatnál?
Nem önmagában. A valódi kockázat ritkán maga az AI, sokkal inkább a kontrollálatlan adatkezelés. E-mailben köröző Excel, árnyék-AI és verziókáosz: ezek naplózatlan adatmozgást jelentenek. A NAV maga is kockázatelemzésre és mesterséges intelligenciára építi a 2026-os ellenőrzéseket (NAV, 2025). A kérdés tehát nem „AI vagy nem", hanem kontrollált vagy kontrollálatlan adatkezelés.
Gondolj bele, mi történik ma egy tipikus hónapzáráskor. Az érzékeny pénzügyi adat több személyes postafiókban, letöltött mellékletekben és megosztott mappákban landol. Nincs hozzáférés-kezelés, nincs audit-nyom, és senki nem tudja megmondani, hány másolat létezik. Ez pontosan az a helyzet, amit a GDPR és a belső kontroll szeretne elkerülni.
Egy governance-elt AI-rendszer ezzel szemben szűk, ellenőrzött csatornán kezeli az adatot. Szerepkör-alapú hozzáférés, titkosítás és teljes naplózás mellett minden lépés visszakereshető. A biztonság így nem az AI kikapcsolásáról szól, hanem arról, hogy a kaotikus kézi folyamatot cseréljük kontrollált, auditálható folyamatra.
| Szempont | Kézi, e-mailes folyamat | Governance-elt AI-folyamat |
|---|---|---|
| Hozzáférés | Nyitott, megosztott fájlok | Szerepkör-alapú, legkisebb jogosultság |
| Adatmásolatok | Sok, követhetetlen példány | Egy forrás, kontrollált csatorna |
| Naplózás | Nincs vagy hiányos | Teljes, visszakereshető audit-nyom |
| Titkosítás | Esetleges | Tároláskor és továbbításkor is |
| Emberi kontroll | Ad hoc | Beépített jóváhagyási pont |
A pénzügyi kontrolling AI-alapjairól külön is írtunk: az AI a pénzügyi kontrollingban pillércikk végigveszi, hol nyúl a rendszer az adathoz. A kontroll-pontok elhelyezéséhez pedig nézd meg, hogyan épül fel az AI-alapú pénzügyi folyamatmotor.
A gyakorlatban a naplózatlan, e-mailben köröző Excel és az árnyék-AI gyakran nagyobb adatkockázat, mint egy governance-elt, auditálható AI-rendszer. A NAV maga is kockázatelemzésre és mesterséges intelligenciára építi a 2026-os pénzügyi ellenőrzések kiválasztását (NAV, 2025), vagyis a gépi elemzés a pénzügyi adaton már a hatóságnál is bevett.
Az EU AI Act pénzügyi hatálybalépése lépcsőzetes
Fokozatosan. A tiltott gyakorlatok és az AI-jártassági kötelezettség 2025. február 2. óta élnek (Európai Bizottság, 2025). Az általános célú modellek (GPAI) kötelezettségei 2025. augusztus 2-től érvényesek. A magas kockázatú rendszerek, például a hitelbírálat kötelezettségeit a Digital Omnibus 2027. december 2-re halasztotta (Council of the EU, 2026).
A legtöbb belső pénzügyi automatizálás nem esik a magas kockázatú kategóriába. A számlafeldolgozás, a riportgenerálás vagy a cash-flow-előrejelzés jellemzően korlátozott vagy minimális kockázatú felhasználás. A magyar szakmai tartalom nagy része még az Omnibus előtti állapotot tükrözi, ezért sokan tévesen „magas kockázatúnak" hisznek egy sima riportautomatizálást.
A magas kockázat az Annex III szerinti esetekre vonatkozik. A hitelképesség-értékelés és a credit scoring ide tartozik (Gibson Dunn, 2026). Ha tehát nem hitelbírálatot automatizálsz, hanem belső pénzügyi folyamatot, a szabályozási teher jóval kisebb, mint sokan feltételezik.
A tét mégis komoly. A tiltott gyakorlatok bírsága elérheti a 35 millió eurót vagy a globális éves árbevétel 7%-át, a magas kockázatú kötelezettségek megsértése 15 millió eurót vagy 3%-ot (Európai Bizottság, 2024). Ezért érdemes már most tudni, melyik kategóriába esik a rendszered.
Ha az AI-bevezetés üzleti oldala is érdekel, arról külön írtunk: az AI-bevezetés megtérülése a pénzügyben a költség-haszon oldalt veszi végig.
Az EU AI Act tiltott gyakorlatai 2025. február 2. óta hatályosak, a magas kockázatú rendszerek kötelezettségeit viszont a Digital Omnibus 2027. december 2-re halasztotta (Council of the EU, 2026). A legsúlyosabb bírság 35 millió euró vagy a globális árbevétel 7%-a (Európai Bizottság, 2024).
GDPR és a pénzügyi adat: mikor kell adatvédelmi hatásvizsgálat (DPIA)?
Jellemzően igen, ha nagy volumenben dolgozol fel. A nagy mennyiségű pénzügyi adat AI-alapú feldolgozása általában kiváltja a GDPR 35. cikk szerinti adatvédelmi hatásvizsgálatot, a DPIA-t (ScienceDirect, 2026). Az AI Act deployerként ezen felül alapjogi hatásvizsgálatot, FRIA-t is előírhat. A két értékelés jelentős részben átfed.
Mit jelent ez a gyakorlatban? A DPIA nem bürokratikus pecsét, hanem strukturált végiggondolás. Feltérképezed, milyen személyes adatot érint a folyamat, ki fér hozzá, és milyen kockázat áll fenn az érintettekre nézve. Pénzügyi adatnál ez bérutalások, szállítói kapcsolattartók vagy ügyfélszámlák adatait jelentheti.
Négy elv köré érdemes szervezni a feldolgozást. Az adatminimalizálás azt kéri, hogy csak a szükséges mezőt add át. A célhoz kötöttség azt, hogy az adatot csak a megadott célra használd. Ehhez jön a szigorú hozzáférés-kezelés és a teljes körű naplózás. A ControlliQ-nál azt látjuk, hogy a bevezetések a hozzáférési mátrix tisztázásánál gyorsulnak be, nem a technológiánál.
A számlaadat feldolgozásának gyakorlati oldalát részletesen bemutatja a számlafeldolgozás automatizálása cikkünk, ott a mezőszintű adatkezelésre is kitérünk.
A nagy volumenű pénzügyi adat AI-alapú feldolgozása jellemzően kiváltja a GDPR 35. cikk szerinti adatvédelmi hatásvizsgálatot (DPIA), és az EU AI Act deployerként alapjogi hatásvizsgálatot (FRIA) is előírhat; a két értékelés lényegében átfed (ScienceDirect, 2026).
Biztonságos-e a NAV online számlaadatokat AI-val feldolgozni?
Igen, megfelelő adatrezidenciával és hozzáférés-kezeléssel. Érdemes tudni, hogy maga a NAV is MI-re és kockázatelemzésre építi a 2026-os ellenőrzéseket, kockázatelemzés-alapú kiválasztással (NAV, 2025). Vagyis a gépi elemzés a pénzügyi adaton már a hatóság oldalán is bevett gyakorlat, nem valami szokatlan kísérlet.
Négy technikai kontroll dönti el, mennyire biztonságos a feldolgozás. Az első az adatrezidencia: hol tárolódik fizikailag az adat. A második a titkosítás, mind tároláskor, mind továbbításkor. A harmadik a szerepkör-alapú hozzáférés, hogy mindenki csak a saját munkájához férjen hozzá. A negyedik a folyamatos audit-nyom.
Az online számla adata strukturált és jól definiált, ezért kifejezetten alkalmas kontrollált gépi feldolgozásra. A kockázat nem a NAV-adat természetéből fakad, hanem abból, ha kontroll nélkül másolgatjuk. Egy zárt, naplózott rendszerben a számlaadat biztonságosabban mozog, mint egy közösen szerkesztett táblázatban.
A NAV online számlaadatok AI-alapú belső feldolgozását négy technikai kontroll teszi biztonságossá: adatrezidencia, titkosítás, szerepkör-alapú hozzáférés és teljes audit-nyom. A strukturált számlaadat kifejezetten alkalmas kontrollált gépi feldolgozásra, a hatóság maga is gépi kiválasztást alkalmaz (NAV, 2025).
Megfelelőségi checklist, mielőtt AI-t engedsz a pénzügyi adatokra
Hét pontot érdemes végigvenned, mielőtt indulsz. A tét nem elméleti: a tiltott gyakorlatok bírsága elérheti a 35 millió eurót vagy a globális árbevétel 7%-át (Európai Bizottság, 2024). Egy strukturált átvizsgálás olcsóbb, mint bármelyik utólagos korrekció. A megfelelőség nem egyszeri pipa, hanem folyamatosan fenntartott állapot.
A 7 pontos megfelelőségi checklist
- Jogalap: tisztázd, milyen GDPR-jogalapon kezeled az adott pénzügyi adatot.
- DPIA / FRIA: nagy volumennél készíts adatvédelmi és szükség szerint alapjogi hatásvizsgálatot.
- Adatminimalizálás: csak a feladathoz szükséges mezőt add át a rendszernek.
- Adatrezidencia: rögzítsd, hol és milyen joghatóság alatt tárolódik az adat.
- Hozzáférés-kezelés: vezess be szerepkör-alapú, legkisebb jogosultság elvén működő hozzáférést.
- Emberi kontroll-pont: hagyj jóváhagyási lépést a lényeges döntéseknél.
- Naplózás és auditálhatóság: biztosíts teljes, visszakereshető audit-nyomot minden műveletről.
A ControlliQ-nál azt tapasztaljuk, hogy ez a hét pont a legtöbb középvállalatnál néhány hét alatt rendbe tehető, ha a felelősök korán leülnek egy asztalhoz. A technológia ritkán a szűk keresztmetszet: sokkal inkább a felelősségek és a jogosultságok tisztázása.
Melyik konkrét feladatot érdemes elsőként gépesíteni? Erről ad támpontot 7 kontrolling feladat, amit ma már AI végez el című cikkünk.
Mielőtt AI-t engedsz a pénzügyi adatokra, hét kontrollpontot érdemes lefedni: jogalap, DPIA/FRIA, adatminimalizálás, adatrezidencia, hozzáférés-kezelés, emberi kontroll-pont, naplózás. A tiltott gyakorlatok bírsága elérheti a 35 millió eurót vagy a globális árbevétel 7%-át (Európai Bizottság, 2024).
Miért versenyelőny a biztonságos AI a pénzügyben?
Mert a bizalom a skálázás előfeltétele. Az MNB elemzése szerint a pénzügyi szektorban az AI biztonságos, kontrollált bevezetése a szélesebb terjedés alapfeltétele (Domokos–Sajtos, Hitelintézeti Szemle, 2024). Aki előre governance-t épít, az később gyorsabban és szélesebb körben tud AI-t bevezetni, mert nem kell utólag tűzoltania.
A megfelelőséget sokan fékként élik meg, pedig lehetővé tevő réteg. Az a cég, amelyik tiszta jogalappal, naplózással és emberi kontroll-ponttal dolgozik, bátrabban ad új folyamatot a rendszernek. A kockázat ismert és kezelt, így nem blokkolja a következő lépést.
Ez a governance-elt folyamatréteg logikája: nem az AI szabadságát korlátozod, hanem keretet adsz neki. A keretben az adat átlátható, auditálható és visszakövethető marad. Ettől lesz a biztonságos AI nem költség, hanem tartós versenyelőny a pénzügyi működésben.
Az MNB elemzése szerint a pénzügyi szektorban az AI biztonságos, kontrollált bevezetése a szélesebb terjedés előfeltétele (Domokos–Sajtos, Hitelintézeti Szemle, 2024). A governance nem fék, hanem lehetővé tevő réteg: aki előre kontrollt épít, gyorsabban és szélesebben skálázza a pénzügyi AI-t.
Gyakran ismételt kérdések
Megfelel-e a GDPR-nak, ha AI dolgozza fel a cég pénzügyi adatait?
Igen, ha betartod az alapelveket. A nagy volumenű pénzügyi AI-feldolgozás jellemzően kiváltja a GDPR 35. cikk szerinti DPIA-t (ScienceDirect, 2026). Ehhez adatminimalizálás, célhoz kötöttség, szerepkör-alapú hozzáférés és teljes naplózás társul. Így a gépi feldolgozás megfelelő jogalappal GDPR-konform marad.
Mit ír elő az EU AI Act a pénzügyi AI-ra, és mikor lép hatályba?
Fokozatosan lép hatályba. A tiltott gyakorlatok 2025. február 2. óta élnek (Európai Bizottság, 2025). A magas kockázatú rendszerek, például a hitelbírálat kötelezettségeit a Digital Omnibus 2027. december 2-re halasztotta (Council of the EU, 2026). A belső pénzügyi automatizálás jellemzően nem magas kockázatú.
Biztonságos-e a NAV online számlaadatokat AI-alapú szoftverrel feldolgozni?
Igen, megfelelő kontrollokkal. A NAV maga is kockázatelemzésre és MI-re építi a 2026-os ellenőrzéseket (NAV, 2025). A biztonságot négy tényező adja: adatrezidencia, titkosítás, szerepkör-alapú hozzáférés és teljes audit-nyom. Ezekkel a strukturált számlaadat biztonságosan feldolgozható. Erről bővebben a számlafeldolgozás automatizálása cikkben olvashatsz.
Kell-e adatvédelmi hatásvizsgálat (DPIA), ha AI-t vezetünk be a pénzügyben?
Nagy volumennél jellemzően igen. A nagy mennyiségű pénzügyi adat AI-feldolgozása általában kiváltja a GDPR 35. cikk szerinti DPIA-t, és az AI Act FRIA-t is előírhat, a kettő átfed (ScienceDirect, 2026). A DPIA strukturáltan feltárja az adatkezelési kockázatot, és így csökkenti a későbbi jogi és üzleti kitettséget.
Konklúzió
Nem az AI a kockázat, hanem a kontrollálatlan adatkezelés. A naplózatlan Excel és az árnyék-AI gyakran nagyobb kitettség, mint egy governance-elt rendszer. Az EU AI Act a belső pénzügyi automatizálást jellemzően nem sorolja magas kockázatba, a magas kockázatú kötelezettségek pedig 2027. december 2-re csúsztak (Council of the EU, 2026). A GDPR DPIA és az AI Act FRIA nagyrészt átfed, a hét pontos checklist pedig végigvezet a biztonságos bevezetésen. A megfelelőség nem fék, hanem versenyelőny: aki előre kontrollt épít, gyorsabban skálázhat.
Szeretnéd látni, hogyan tartható átlátható és auditálható egy AI-vezérelt pénzügyi folyamat? Kérj ControlliQ-konzultációt, és végigvesszük a te folyamataidat.
Támba Bence a ControlliQ pénzügyi automatizációs csapatát vezeti, és középvállalati AI-bevezetéseken dolgozik. A cikk az EU AI Act, a GDPR és a NAV hivatalos forrásaira épül. Szerkesztési elvünk egyszerű: minden statisztikát megnevezett, visszakereshető forrással közlünk, és a nem hivatalos számokat iparági becslésként jelöljük. A jogszabályi hivatkozásokat a lenti forráslistában, lekérési dátummal ellenőrizheted. Utolsó frissítés: 2026. július 3.
- Európai Bizottság — Regulatory framework on AI (tiltott gyakorlatok, AI-jártasság, bírságok) — (lekérés: 2026-07-03)
- EUR-Lex — Regulation (EU) 2024/1689 (AI Act, hivatalos jogszabályszöveg: hatálybalépés, bírsági plafonok) — (lekérés: 2026-07-03)
- artificialintelligenceact.eu — Implementation timeline (GPAI-kötelezettségek áttekintése) — (lekérés: 2026-07-03)
- Council of the EU — AI: Council and Parliament agree to simplify and streamline rules (Digital Omnibus, magas kockázat 2027.12.02) — (lekérés: 2026-07-03)
- Gibson Dunn — EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines (hitelbírálat = Annex III) — (lekérés: 2026-07-03)
- ScienceDirect — GDPR 35. cikk DPIA és AI Act FRIA átfedése — (lekérés: 2026-07-03)
- NAV — Vágujhelyi Ferenc: a kockázatelemzés és mesterséges intelligencia támogatta kiválasztásra épülnek a 2026-os ellenőrzések — (lekérés: 2026-07-03)
- MNB Hitelintézeti Szemle — Domokos–Sajtos: Mesterséges intelligencia a pénzügyi szektorban, 23/1, 2024 — (lekérés: 2026-07-03)
- Kyriba — US CFOs Share Insights on AI Adoption in Finance (a US CFO-k 78%-a biztonsági/adatvédelmi aggályt jelöl meg) — (lekérés: 2026-07-03)

Támba Bence a Composite Solutions ügyvezetője (CEO). Célja, hogy a cégek AI-eszközökkel, automatizálással és egyedi szoftverfejlesztéssel minimalizálják a manuális munkát.
Támba Bence összes cikke →

