Bank of England, Prudential Regulation Authority (PRA), dan Financial Conduct Authority (FCA) secara kolektif menerbitkan dokumen FS2/23 yang merangkum masukan industri terhadap makalah diskusi Oktober 2022 (DP5/22).1 Dokumen ini bukan kebijakan final. Namun memberikan indikasi arah regulasi masa depan.
Pendekatan Unik Inggris: Tanpa Hukum Khusus AI
Berbeda dengan Uni Eropa yang tengah menyusun AI Act, pemerintah Inggris memilih jalur berbeda. Mereka tidak berniat membuat undang-undang khusus AI.1 Sebaliknya, prinsip panduan non-statutori akan diadaptasi oleh regulator sektoral masing-masing. Otoritas keuangan UK menjadi pelopor dalam menerjemahkan pendekatan ini ke dalam praktik nyata.
Strategi ini mencerminkan filosofi regulasi Inggris yang cenderung fleksibel. Beberapa pihak menyebutnya sebagai "regulasi ringan" namun tetap terarah pada hasil (outcomes-based). Pertanyaannya: apakah pendekatan ini cukup kuat menghadapi risiko AI yang kompleks?
Tujuh Temuan Kunci dari Respons Industri
Definisi AI: Perdebatan yang Belum Tuntas
Mayoritas responden menolak definisi AI yang terlalu spesifik untuk sektor keuangan.1 Mereka khawatir regulasi berbasis definisi teknis akan cepat usang mengingat kecepatan perkembangan teknologi. Industri lebih memilih kerangka netral-teknologi yang fokus pada prinsip dan dampak, bukan pada jenisnya.
Makalah diskusi awal mengusulkan definisi: "teori dan pengembangan sistem komputer yang mampu melakukan tugas yang sebelumnya memerlukan kecerdasan manusia". Namun definisi ini dinilai terlalu luas sekaligus terlalu sempit. Bisa mencakup teknologi sederhana, namun melewatkan inovasi baru yang belum terpikirkan.
Pendekatan Berbasis Risiko dengan Kriteria Khas UK
Responden sepakat: regulasi AI harus berbasis risiko.1 Tetapi ada perbedaan signifikan dengan pendekatan EU. Jika AI Act Eropa fokus pada dampak terhadap individu, beberapa responden menyarankan UK memasukkan risiko tambahan seperti stabilitas keuangan dan integritas pasar.
Implikasinya? Perusahaan keuangan yang beroperasi lintas Eropa-UK tidak bisa sekadar menggunakan kepatuhan AI Act sebagai "standar tertinggi". Mereka perlu menyesuaikan program kepatuhan dengan persyaratan khusus UK yang mungkin berbeda.
| Aspek Regulasi π | Pendekatan EU | Pendekatan UK yang Diusulkan |
| Fokus Risiko Utama π― | Dampak pada hak individu | Stabilitas keuangan + perlindungan konsumen |
| Basis Hukum βοΈ | Regulasi khusus AI (AI Act) | Prinsip panduan non-statutori |
| Definisi AI π | Teknis dan spesifik | Netral-teknologi, fokus dampak |
| Pengawasan Pihak Ketiga π | Kewajiban pada pengembang AI | Uji tuntas standar untuk lembaga keuangan |
| Tata Kelola ποΈ | Persyaratan struktural ketat | Fleksibel, pengawasan lintas-fungsi |
| Keselarasan Internasional π | Standar regional Eropa | Harmonisasi dengan EU + NIST Framework |
| Implementasi Timeline β° | Bertahap 2024-2027 | Belum ditentukan (konsultasi berlanjut) |
Tata Kelola Lintas-Fungsi dengan Keahlian Memadai
Tata kelola yang baik adalah kunci mengelola risiko AI.1 Namun responden terpecah soal implementasi praktisnya. Sebagian menganggap struktur tata kelola eksisting sudah cukup, sementara yang lain mengusulkan komite pengawasan AI khusus.
Yang disepakati: tim pengawas AI harus memiliki keahlian teknis yang memadai untuk mendeteksi risiko sistemik baru. Contohnya, ketika alat AI berhenti berfungsi, tim harus cepat menilai apakah itu akibat insiden keamanan siber aktif atau sekadar kegagalan teknis biasa. Respons yang tepat sangat bergantung pada diagnosis akurat.
Pengawasan Penyedia Pihak Ketiga
Banyak lembaga keuangan menggunakan alat AI dari vendor eksternal.1 Ini menciptakan tantangan pengawasan karena vendor tersebut sering kali berada di luar yurisdiksi regulator keuangan UK. Responden mengusulkan vendor wajib memberikan informasi tentang pengembangan yang bertanggung jawab dan profil risiko produk mereka.
Solusi yang muncul: standarisasi persyaratan uji tuntas (due diligence) AI yang harus dipenuhi perusahaan sebelum mengadopsi alat pihak ketiga. Tapi bagaimana memaksa vendor global mematuhi standar UK? Pertanyaan ini belum terjawab tuntas dalam dokumen respons.
Keselarasan dengan Hukum Domestik dan Internasional
Responden sangat menekankan pentingnya konsistensi.1 Regulasi AI masa depan harus selaras dengan undang-undang domestik seperti Equality Act 2010 dan peraturan ketahanan operasional yang sudah ada. Mereka juga menginginkan harmonisasi dengan kerangka internasional seperti EU AI Act dan NIST AI Risk Management Framework.
Alasannya pragmatis: perbedaan regulasi lintas yurisdiksi bisa melemahkan daya saing UK. Mengingat FCA dan PRA kini memiliki mandat sekunder untuk mendukung pertumbuhan dan daya saing internasional UK, masukan ini sangat relevan.
GDPR UK: Tantangan Khusus dalam Adopsi AI
Sejumlah responden menunjuk General Data Protection Regulation (GDPR) UK sebagai hambatan spesifik.1 Kompleksitas mencapai kepatuhan GDPR saat mengadopsi AI memang bukan isu baru. Otoritas perlindungan data Prancis (CNIL) bahkan telah menerbitkan lembar fakta untuk membantu perusahaan mencapai kepatuhan GDPR dalam konteks AI.
Otoritas keuangan UK bisa belajar dari sumber daya eksisting semacam itu ketika mengembangkan panduan masa depan. Namun pertanyaannya: apakah panduan saja cukup, atau perlu penyesuaian regulasi yang lebih mendasar?
AI sebagai Ancaman dari Aktor Jahat
Beberapa responden mengingatkan: regulasi tidak boleh hanya fokus pada dampak perusahaan keuangan menggunakan AI, tetapi juga bagaimana aktor jahat memanfaatkan AI untuk menyerang mereka.1 Teknologi AI bisa digunakan untuk penipuan (melalui deepfake), pencucian uang, dan serangan siber (seperti email phishing yang lebih realistis berkat AI generatif).
Meski risiko ini bukan baru sama sekali, akses luas ke alat AI bisa menyebabkan proliferasi serangan. Bank dan lembaga keuangan perlu bersiap dengan langkah-langkah anti-penipuan yang lebih canggih.
Langkah Praktis untuk Perusahaan Keuangan
Meskipun regulasi final belum jelas, perusahaan keuangan bisa mulai mempersiapkan diri.1 Membentuk komite pengawasan lintas-fungsi untuk AI adalah langkah awal yang baik. Komite ini akan mengawasi dan memandu penggunaan alat AI perusahaan, termasuk yang berasal dari vendor.
Selanjutnya, perusahaan bisa mengembangkan kebijakan terkait pengawasan komite tersebut. Ini mencakup: membuat inventaris alat AI yang diakses perusahaan beserta kasus penggunaannya, mengembangkan kerangka penilaian risiko, dan menentukan cara mengidentifikasi serta memitigasi kasus penggunaan AI berisiko tinggi.
Banyak komponen kewajiban tata kelola AI masa depan akan memerlukan peningkatan signifikan dalam anggaran kepatuhan dan sumber daya tambahan. Perusahaan yang bijak mulai mengalokasikan ini dalam perencanaan anggaran mereka. Terutama karena tahun 2024 sudah dekat ketika dokumen respons ini dipublikasikan.
Terakhir, perusahaan perlu mempertimbangkan bagaimana AI memengaruhi ketahanan operasional mereka. Rencana kontinuitas bisnis harus diperbarui untuk mengantisipasi gangguan baru yang disebabkan oleh ketergantungan pada AI untuk fungsi bisnis inti. Bagi perusahaan yang juga diregulasi di EU, ini sangat penting mengingat persyaratan dalam Digital Operational Resilience Act yang mulai berlaku Januari 2025.
Kesimpulan
Respons terhadap konsultasi AI sektor keuangan UK mengungkap preferensi industri yang jelas: regulasi berbasis prinsip dan netral-teknologi, bukan aturan teknis yang kaku. Namun jalan menuju regulasi final masih panjang. Perbedaan pendekatan dengan EU menambah kompleksitas bagi perusahaan multinasional.
Yang pasti, era regulasi AI di sektor keuangan sudah dimulai. Perusahaan yang proaktif membangun kerangka tata kelola AI sejak dini akan berada dalam posisi lebih baik ketika regulasi formal akhirnya diberlakukan. Waktu untuk bertindak adalah sekarang, bukan nanti ketika regulasi sudah di depan mata.
Daftar Pustaka
- Gesser, A. (2023, 31 Oktober). UK Financial Regulators Publish Response to AI Consultation β Seven Takeaways. Debevoise Data Blog. https://www.debevoisedatablog.com/2023/10/31/uk-financial-regulators-publish-response-to-ai-consultation-seven-takeaways/
