Norsk finanssektor har tatt i bruk kunstig intelligens i hele verdikjeden — fra svindeldeteksjon og hvitvaskingsbekjempelse til kredittvurdering, kundeservice og risikostyring. Men der teknologien modnes raskt, skjerpes også de regulatoriske kravene: i løpet av kort tid har både DORA og KI-forordningen endret rammene for hva bankene kan, og må, gjøre.
Aktører og tilsyn
Finanstilsynet er det sentrale tilsynsorganet for norsk finanssektor og har tatt en aktiv rolle i KI-spørsmål. Tilsynet driver en regulatorisk sandkasse for fintech, der blant annet SpareBank 1 SR-Bank i 2020 testet en KI-drevet digital pensjonsrådgiver sammen med Boost.ai og FinAut. Sandkassen avklarte at eksisterende regelverk er teknologinøytralt og ikke hindrer KI-baserte rådgivningsløsninger. I 2025 gjennomførte Finanstilsynet en ny sandkasse med fokus på datadeling mellom finansforetak for å bekjempe økonomisk kriminalitet.
Finans Norge, bransjens hovedorganisasjon, koordinerer industriens tilnærming til KI. Organisasjonen utgir årlige statusrapporter om svindel, tilbyr kompetansekurs i maskinlæring for bank og finans, og kom i april 2026 med konkrete råd til medlemmene om å møte ny KI-utvikling — særlig kortere tidsvindu for sikkerhetsoppdateringer, styrket leverandørdialog og oppdaterte beredskapsplaner.
Norges Bank følger utviklingen tett gjennom sine rapporter om finansiell stabilitet, og peker på cyberangrep som den fremste systemrisikoen for norsk finansiell stabilitet. Banken fremhever at KI-aktiverte trusselaktører kan automatisere og akselerere utnyttelsen av tekniske sårbarheter i kritisk infrastruktur.
Slik brukes KI i norsk finans
Bruken er mest moden der oppgavene er datatunge og mønsterdrevne. De viktigste områdene i dag:
Svindel og hvitvasking (AML)
DNB bruker maskinlæringsmodeller trent på historiske saker for å oppdage mistenkelige transaksjonsmønstre, og atferdsanalyse for å avdekke identitetstyveri. I 2024 blokkerte norske banker svindelforsøk for 1,341 milliarder kroner bare i første halvår. Finanstilsynets ROS 2025 anslår at KI nå står bak 42,5 prosent av oppdagede svindelforsøk — blant annet gjennom deepfake-teknologi brukt til identitetssvindel.
Kredittvurdering og prising
Maskinlæring brukes til å vurdere lånerisiko og fastsette renter og vilkår. KI-forordningen klassifiserer systemer for kredittvurdering og vurdering av vilkår for livs- og helseforsikring som høyrisiko — med krav om risikovurdering, menneskelig tilsyn og forklarbarhet for hvert enkelt vedtak.
Kundeservice og digital rådgivning
DNB har automatisert rundt 20 prosent av kundeservicehenvendelsene med KI-chatboter, og SpareBank 1-bankene er kåret til å ha den beste chatboten i norsk bankbransje. Finanstilsynets sandkasseprosjekt viste at KI-basert digital pensjonsrådgiving er mulig innenfor gjeldende regelverk.
Forsikring og cybersikkerhet
I forsikring brukes KI til prissetting, skadevurdering og avdekking av svindel — og den europeiske tilsynsmyndigheten EIOPA hadde i 2025 en høring om styring og kontroll ved KI i forsikring. På cybersiden brukes KI både offensivt av trusselaktører og defensivt av foretakene; Finanstilsynets ROS 2026 fremhever at KI muliggjør raskere og mer automatisert utnyttelse av sårbarheter, noe DORAs krav til testing skal motvirke.
KI-verktøy er ikke utformet for å gi investeringsråd, opererer utenfor finansiell regulering og gir ingen forbrukerbeskyttelse.
Regulering: KI-forordningen, DORA og GDPR
KI-forordningen (EU AI Act) klassifiserer flere finansielle KI-systemer som høyrisiko — særlig kredittvurdering og forsikringsvilkår — med krav om sporbarhet, forklarbarhet og menneskelig tilsyn. Regjeringen sendte norsk gjennomføringslov på høring 30. juni 2025 (frist 30. september 2025). Nkom er koordinerende tilsynsmyndighet, med Finanstilsynet som sektortilsyn.
DORA erstatter de tidligere norske IKT-forskriftene for finanssektoren og gjelder de fleste foretak under Finanstilsynets tilsyn. GDPR gjelder i tillegg fullt ut når KI behandler personopplysninger; KI-forordningens høyrisikovurderinger (FRIA) og GDPRs personvernkonsekvensutredninger (DPIA) overlapper delvis, og Datatilsynet har veiledet om hvordan kravene kan oppfylles samlet. I tillegg krever hvitvaskingsregelverket at foretak kan redegjøre for grunnlaget når et KI-system flagger en transaksjon.
Utfordringer og risikoer
Finanstilsynets ROS 2025 peker på fire kategorier av KI-relaterte risikoer som finansforetak må håndtere:
- Algoritmefeil og skjeve treningsdata kan føre til uriktige kreditt- eller investeringsbeslutninger. Foretak må teste for bias før systemer settes i produksjon.
- Forklarbarhet og rettssikkerhet: foretak er pålagt å forklare enkeltvedtak, men komplekse «black box»-modeller gjør innsyn vanskelig.
- KI som angrepsverktøy: deepfake sto bak 42,5 prosent av oppdagede svindelforsøk i 2025, og trusselaktører utnytter sårbarheter raskere.
- Tredjeparts IKT-avhengighet: avhengigheten av få globale KI- og skyleverandører gir konsentrasjonsrisiko som DORA søker å demme opp for.
Finanstilsynet advarer spesielt mot at generelle KI-verktøy ikke er utformet for å gi investeringsråd, at markedsutviklingen er uforutsigbar, og at brukere av uregulerte KI-tjenester mangler den forbrukerbeskyttelsen som gjelder hos regulerte rådgivere.
