Die FINMA veröffentlicht kein KI-Regelwerk. Was sie veröffentlicht, sind Erwartungen — zu Datenhaltung, Modellrisiken, Outsourcing und der dokumentierten Verantwortlichkeit für jede Entscheidung, die ein Institut trifft. KI-Systeme erben all das.
In der Praxis bedeutet das dreierlei. Erstens: Die Daten, die das Modell berührt, bleiben in der Umgebung des Instituts, auf Infrastruktur mit Datenhaltung in der Schweiz. Zweitens: Jeder Schritt eines Modells, der einen regulierten Prozess beeinflusst, muss nachträglich rekonstruierbar sein. Drittens: Der Mensch, der den Output abzeichnet, ist für den Output verantwortlich — und braucht die Werkzeuge, ihn auch wirklich zu verstehen.
Die meisten Standard-KI-Produkte scheitern an einem dieser Tests am ersten Tag. Sie leiten Prompts über einen US-Endpunkt, sie führen kein auditfähiges Entscheidungslog oder sie verbergen genug der Logik, dass die Freigabe zur reinen Formsache wird.
Unser Default ist, die KI-Schicht so zu bauen, wie wir die Reporting-Schicht bauen: in Ihrer Umgebung, mit Logging- und Review-Hooks, die der Compliance-Officer tatsächlich nutzen kann. Das ist keine Marketing-Position. Es ist die einzige Konfiguration, die ein internes Audit übersteht.