डिजिटल बँकिंग आणि AI च्या वापरासाठी रिझर्व्ह बँकेची नवी नियमावली

मुंबई: सध्याच्या डिजिटल युगात बँका आणि वित्तीय संस्थांकडून तंत्रज्ञानाचा वापर झपाट्याने वाढत आहे. कार्यक्षमता वाढवणे, व्यावसायिक प्रक्रियांमध्ये बदल करणे, ग्राहक सेवा सुधारणे आणि सायबर हल्ल्यांपासून संरक्षण मिळवणे यासाठी बँकिंग क्षेत्राकडून वेगवेगळ्या मॉडेल्स आणि अल्गोरिदमचा मोठ्या प्रमाणावर आधार घेतला जात आहे. मात्र, या वाढत्या अवलंबित्वामुळे निर्माण होणारे संभाव्य धोके लक्षात घेऊन रिझर्व्ह बँक ऑफ इंडियाने (RBI) "मॉडेल रिस्क मॅनेजमेंट (MRM) २०२६" अंतर्गत व्यापक आणि कडक नियामक मार्गदर्शक तत्त्वे जारी केली आहेत.

चुकीचे निर्णय, आर्थिक नुकसान, परिचालन खंडित होणे (Operational Disruptions) आणि ग्राहकांचे होणारे नुकसान टाळण्यासाठी वित्तीय संस्थांना आता एका मजबूत चौकटीत काम करावे लागणार आहे.

१. नियम कोणाला लागू होणार? (Applicability and Scope)

रिझर्व्ह बँकेने स्पष्ट केले आहे की, हे नियम सर्व प्रकारच्या नियंत्रित संस्थांना (Regulated Entities - REs) लागू असतील. यामध्ये समाविष्ट आहेत:

• सर्व कमर्शियल बँका, स्मॉल फायनान्स बँका, पेमेंट बँका आणि प्रादेशिक ग्रामीण बँका (RRBs).

• अर्बन आणि रुरल को-ऑपरेटिव्ह बँका.

• सर्व थरांमधील (Base, Middle, Upper, Top Layer) नॉन-बँकिंग वित्तीय कंपन्या (NBFCs).

• EXIM Bank, NABARD, NaBFID, NHB आणि SIDBI यांसारख्या अखिल भारतीय वित्तीय संस्था.

• मालमत्ता पुनर्रचना कंपन्या (ARCs) आणि क्रेडिट इन्फर्मेशन कंपन्या.

विशेष म्हणजे, हे मॉडेल बँकेने स्वतः विकसित केले असो, किंवा कोणत्याही थर्ड-पार्टी सर्व्हिस प्रोव्हाइडरकडून घेतलेले असो, ही मार्गदर्शक तत्त्वे सर्वांना समान रीतीने लागू होतील.

२. काय आहे 'मॉडेल'ची नवी व्याख्या?

रिझर्व्ह बँकेने 'मॉडेल'ची व्याप्ती अधिक स्पष्ट केली आहे. डेटाचा वापर करून सांख्यिकीय, गणितीय किंवा कृत्रिम बुद्धिमत्ता (AI/ML) तंत्रांच्या आधारे व्यावसायिक निर्णय घेणाऱ्या सर्व प्रणाल्यांचा यात समावेश होतो.

उदाहरणासह स्पष्टीकरण: जर एखादी बँक व्याजदर, ग्राहकांचे मार्जिन किंवा क्रेडिट अटी ठरवण्यासाठी साधं एक्सेल स्प्रेडशीट (Spreadsheet) वापरत असेल आणि त्यातील डेटा थेट व्यावसायिक निर्णयांवर परिणाम करत असेल, तर त्यालाही आता 'मॉडेल' मानले जाईल आणि त्यावर हे नियम लागू होतील.

३. त्रिस्तरीय सुरक्षा कवच आणि बोर्डाची जबाबदारी (Governance)

कोणत्याही मॉडेलच्या परिणामांची सर्वस्वी जबाबदारी ही संबंधित वित्तीय संस्थेचीच असेल. यासाठी रिझर्व्ह बँकेने 'थ्री लाइन्स ऑफ डिफेन्स' (Three Lines of Defence) लागू करण्याचे आदेश दिले आहेत:

1. पहिली लाईन: मॉडेल मालक (Model Owners).

2. दुसरी लाईन: स्वतंत्र मॉडेल जोखीम व्यवस्थापन आणि पडताळणी टीम (Validation Function).

3. तिसरी लाईन: अंतर्गत ऑडिट टीम (Internal Audit).

तसेच, वित्तीय संस्थांच्या संचालक मंडळाला (Board) 'मॉडेल रिस्क मॅनेजमेंट फ्रेमवर्क' (MRMF) मंजूर करावे लागेल आणि बोर्डाच्या जोखीम व्यवस्थापन समितीला (RMCB) याचे थेट नियंत्रण करावे लागेल. 'हाय रिस्क' मॉडेल्सच्या तैनातीला थेट RMCB ची मंजुरी आवश्यक असेल.

४. जोखीम-आधारित वर्गीकरण आणि नोंदणी (Model Tiering & Inventory)

बँकांना आपल्या सर्व मॉडेल्सचे त्यांच्या गुंतागुंतीनुसार आणि महत्त्वाच्या आधारे वर्गीकरण (Model Tiering) करावे लागेल आणि त्याचा दरवर्षी आढावा घ्यावा लागेल. प्रत्येक बँकेला सक्रिय, निष्क्रिय आणि वापरातून काढलेल्या सर्व मॉडेल्सची अचूक आणि अद्ययावत नोंदणी (Inventory) ठेवावी लागेल. एखादे मॉडेल वापरातून काढून टाकल्यास (Decommissioning), त्याचा रेकॉर्ड पुढील किमान १० वर्षे जतन करून ठेवावा लागेल.

५. थर्ड-पार्टी मॉडेल्ससाठी कठोर नियम

अनेक बँका बाहेरील कंपन्यांकडून मॉडेल्स भाड्याने घेतात किंवा खरेदी करतात. रिझर्व्ह बँकेने बजावले आहे की, थर्ड-पार्टीने स्वतःचे मॉडेल प्रमाणित केले असले, तरी बँकांना त्याची स्वतंत्र पडताळणी (Independent Validation) करावीच लागेल. करारांमध्ये बँकेला आणि पर्यवेक्षी प्राधिकरणाला ऑडिटचे अधिकार (Audit Rights) असणे बंधनकारक आहे.

६. AI आणि मशीन लर्निंग (AI/ML) मॉडेल्ससाठी विशेष नियम

कृत्रिम बुद्धिमत्ता (AI) आणि मशीन लर्निंगचा वापर करणाऱ्या मॉडेल्ससाठी रिझर्व्ह बँकेने अत्यंत कडक तरतुदी केल्या आहेत:

• पारदर्शकता आणि स्पष्टीकरण (Explainability): मॉडेल्सनी दिलेले निष्कर्ष समजण्याजोगे असले पाहिजेत. जिथे पूर्ण स्पष्टीकरण देणे शक्य नसेल, तिथे कठोर जोखीम नियंत्रणे लागू करावी लागतील.

• भ्रम आणि पूर्वग्रह (Hallucinations & Bias): जनरेटिव्ह एआय (Generative AI) मधील चुकीची माहिती किंवा ग्राहकांमध्ये भेदभाव करणारे पूर्वग्रह (Bias) रोखण्यासाठी बँकांना प्रणाली-पातळीवर नियंत्रणे ठेवावी लागतील आणि 'फेअरनेस असेसमेंट' करावे लागेल.

• मानवी नियंत्रण (Human Oversight): एआय मॉडेल्स पूर्णपणे स्वायत्त राहू शकत नाहीत. त्यांच्यावर मानवी देखरेख (Human-in-the-loop) असणे आवश्यक आहे. आणीबाणीच्या प्रसंगी मॉडेल बंद करण्यासाठी 'किल-स्विच' (Kill-Switch) सारखी व्यवस्था असणे अनिवार्य आहे.

• ग्राहकांसाठी पर्याय: जर ग्राहक एआय सिस्टीमशी (उदा. चॅटबॉट) संवाद साधत असेल, तर त्याला तशी पूर्वकल्पना देणे गरजेचे आहे. तसेच ग्राहकाने मागणी केल्यास त्याला थेट मानवी साहाय्य (Human Assistance) मिळवण्याचा पर्याय देणे बंधनकारक आहे.

रिझर्व्ह बँकेचे हे नवे धोरण भारतीय बँकिंग क्षेत्राला तंत्रज्ञानाच्या आधुनिक युगात सुरक्षित ठेवण्यासाठी उचललेले अत्यंत महत्त्वाचे पाऊल आहे. एआय (AI) आणि अल्गोरिदम जेवढे फायदेशीर आहेत, तेवढेच ते पारदर्शकतेच्या अभावामुळे धोकादायक ठरू शकतात. रिझर्व्ह बँकेने ग्राहकांच्या हक्कांचे आणि संरक्षणाचे महत्त्व अधोरेखित करताना बँकांना स्पष्ट संदेश दिला आहे की - "तंत्रज्ञान प्रगत असू शकते, पण जबाबदारी आणि नियंत्रण शेवटी माणसाचेच (वित्तीय संस्थांचेच) राहील."

सार्वजनिक विचारविनिमयानंतर अंतिम होणारी ही नवीन मार्गदर्शक तत्त्वे ऑक्टोबर २००२ मधील जुन्या क्रेडिट रिस्क मॉडेल्सच्या मार्गदर्शक सूचनांची जागा घेतील. यामुळे येत्या काळात बँकांना आपले तंत्रज्ञान व्यवस्थापन अधिक पारदर्शक आणि उत्तरदायी करावे लागणार आहे.