L'IA de scoring crédit sous l'EU AI Act

Les établissements de crédit utilisant un scoring IA tiers déclenchent l'Annexe III §5(b) et l'Article 27 FRIA automatiquement par activité. L'omnibus Digital du 7 mai 2026 n'a pas exclu la banque — l'Annexe III §5 contraint le 2 décembre 2027. L'intersection DORA × AI Act s'est durcie : en mai 2026, l'Eurogroupe a publiquement demandé l'accès EU au modèle Mythos retenu par Anthropic afin que les banques EU ne soient pas exposées vs leurs homologues US. Savoir si votre fournisseur GPAI a signé le Code of Practice est désormais une question déployeur, pas une question fournisseur.

• · Indépendant — non affilié à un fournisseur, régulateur ou organisme notifié
• · Article par article : Annexe III §5 + Article 26 §1–§12 + Article 27 FRIA + Article 25 reverse-bascule + DORA Article 28
• · 18 mois de runway : 2 décembre 2027 — confirmé post-Omnibus, non-arbitrable

Calendrier

L'échéance bancaire est le 2 décembre 2027 — pas le 2 août 2026

La plupart des entreprises de l'écosystème IA se concentrent sur le 2 août 2026 (Article 50 transparence). Pour les établissements de crédit et assureurs sous Annexe III §5, l'échéance contraignante post-Digital Omnibus (accord trilogue 7 mai 2026) est le 2 décembre 2027 — obligations haut risque sur les cas d'usage Annexe III haut risque reportées de 16 mois depuis le 2 août 2026 originel.

La banque est attendue dans le périmètre du report Annexe III général au 2 décembre 2027 (l'EP press release du 7 mai 2026 énumère biométrie, infrastructures critiques, éducation, emploi, maintien de l'ordre, frontières/migration ; énumération non-exhaustive — §5 services essentiels couvert par le report général via triangulation Council/IAPP/Modulos, texte consolidé pending). Contrairement aux machineries (qui ont obtenu une suppression du double régime), la banque n'a pas reçu d'exemption sectorielle. ~18 mois de runway réglementaire pour produire un positionnement défendable avant que les obligations contraignantes s'appliquent.

Note sur la certitude : 10 États membres EU (AT, DK, NL, SK, SI, ES, GR, PT, RO, LV) ont formé une minorité de blocage qualifiée contre toute dérégulation supplémentaire. L'échéance du 2 décembre 2027 est durable. Vente sur certitude, pas sur arbitrage.

Sources : Règl. 2024/1689 Annexe III · Communiqué Conseil/Parlement (7 mai 2026) · Couverture Bloomberg de la demande Eurogroupe Mythos (mai 2026) · MLex divergence des positions États membres.

Notre périmètre

Ce que notre évaluation couvre pour l'IA bancaire

Le rapport Sprinkling Act pour un système IA bancaire couvre les six gates de la méthodologie standardisée, avec la spécificité bancaire en couche.

• →G1 — Art. 5 — L'une des 8 pratiques interdites est-elle déclenchée ?
• →G2 — Art. 6(1) — Le système IA est-il un composant de sécurité d'un produit régulé EU ? (rare en banque, mais vérifié)
• →G3 — Art. 6(2) + Annexe III §5 — Classification scoring crédit/assurance — gate central pour la banque
• →G4 — Art. 50 — Un utilisateur final interagit-il avec l'IA sans le savoir ? (divulgation chatbot)
• →G5 — Art. 51/53 — Le système utilise-t-il ou distribue-t-il un modèle GPAI ? (check signature Code of Practice)
• →G6 — Art. 6(3) — L'exception « pas de risque significatif » peut-elle s'appliquer ?

Spécificité bancaire :

• ·Détermination Annexe III §5(b)/(c) avec précédent CJUE SCHUFA appliqué
• ·Mémo scope Article 27 FRIA (obligatoire pour §5 par activité)
• ·Mapping sous-ensemble paragraphes Article 26 §1–§12 (subset actif bancaire)
• ·Check Article 25(1)(b) reverse-bascule sur contrats de fine-tuning
• ·Cross-référence DORA Article 28 tiers ICT pour fournisseurs GPAI
• ·Mapping double régime RGPD Article 22 × AI Act Article 26 §11
• ·Orientation calendrier (2 décembre 2027 post-Digital Omnibus + déclenchement par changement significatif)

Hors périmètre (explicite) :

• ×Validation modèle interne risque crédit (géré par fournisseurs alignés EBA/CRR)
• ×Framework complet DORA ICT risk management (engagement séparé)
• ×Stress-tests ou évaluation adéquation des fonds propres

Chaîne fournisseur GPAI

Où vous vous situez dans la chaîne cyber GPAI

Les obligations Article 55 GPAI risque systémique entrent en vigueur le 2 août 2026. Savoir si votre fournisseur GPAI a signé le Code of Practice et participe aux coalitions cyber est désormais une question de due diligence déployeur. L'Eurogroupe a publiquement demandé l'accès EU au modèle Mythos retenu par Anthropic en mai 2026 (Bloomberg) pour que les banques EU ne soient pas exposées versus leurs homologues US — DORA × AI Act × Article 55 est désormais politiquement actif au plus haut niveau.

Project Glasswing — 12 partenaires de lancement + 40 organisations d'infrastructure critique

La coalition Anthropic pour le patching de vulnérabilités inclut des partenaires nommés dans toute la stack cyber :

• ·Cloud / hyperscale : AWS, Google, Microsoft
• ·Hardware / silicon : NVIDIA, Broadcom, Apple
• ·Networking / sécurité : Cisco, Palo Alto Networks, CrowdStrike
• ·Open source : Linux Foundation
• ·Services financiers : JPMorganChase
• ·Foundation : Anthropic

Si votre fournisseur GPAI est sur le Code of Practice (Anthropic + OpenAI signataires juillet 2025) et Glasswing-aware, votre due diligence Article 26 downstream a une couverture institutionnelle. S'il ne l'est pas — ou s'il sort des modèles comparables avec moins de restrictions (OpenAI a annoncé GPT-5.4-Cyber en avril 2026 avec un programme à paliers « Trusted Access for Cyber ») — votre documentation cyber-résilience déployeur a un trou que DORA Article 28 peut vous forcer à combler.

Sources : AI Act Article 55 + Recital 110 · Règl. (UE) 2022/2554 DORA Article 28 · Annonce Anthropic Project Glasswing · Couverture Bloomberg de la demande Eurogroupe Mythos (mai 2026) · Évaluation UK AISI Mythos (simulation 32-étapes attaque réseau d'entreprise complétée autonomement).