Regulacje dotyczące rynku ubezpieczeń i rynków finansowych w Polsce

AI Act (rozporządzenie (UE) 2024/1689) wszedł w życie 1 sierpnia 2024 roku. W 2025 roku zaczęły obowiązywać pierwsze obowiązki: od 2 lutego 2025 roku zakazy dla określonych praktyk oraz wymogi dot. podnoszenia kompetencji w zakresie AI, a od 2 sierpnia 2025 roku – m.in. zasady dla modeli ogólnego przeznaczenia (GPAI), struktury nadzorcze oraz reżim kar. Większość pozostałych przepisów będzie miała zastosowanie od 2 sierpnia 2026 roku, a część wymogów dla modeli GPAI wprowadzonych na rynek przed 2 sierpnia 2025 roku – do 2 sierpnia 2027 roku.

Dla instytucji finansowych istotne jest zmapowanie zastosowań AI pod kątem klasy ryzyka – w szczególności ocena ryzyka jako „wysokiego” dla zastosowań takich jak ocena zdolności kredytowej czy wycena/ustalanie cen w ubezpieczeniach – co implikuje wymogi dot. zarządzania ryzykiem, jakości danych, nadzoru człowieka i dokumentacji. W 2025 roku opublikowano analizy dot. interfejsu AI Act z regulacjami sektorowymi dla usług finansowych.

Rozporządzenie DORA (UE 2022/2554) zaczęło obowiązywać 17 stycznia 2025 roku i obejmuje m.in. banki, zakłady ubezpieczeń oraz kluczowych dostawców ICT (Information and Communications Technology)¹. W 2025 roku domknięto kluczowe elementy ram regulacyjnych – w szczególności poprzez wejście w życie aktu delegowanego dotyczącego podwykonawstwa ICT z lipca 2025 roku – co oznacza, że struktura wymogów DORA stała się kompletna.

W praktyce rok 2025 przyniósł dla ubezpieczycieli i banków znaczący wzrost obowiązków operacyjnych i nadzorczych, ponieważ organy nadzoru uznały egzekwowanie DORA za jeden z priorytetów. W efekcie instytucje finansowe musiały:

• wzmocnić procesy zarządzania ryzykiem ICT, w tym wdrożyć szczegółowe zasady kontrolne i mechanizmy ciągłego monitoringu;
• prowadzić i regularnie aktualizować rejestry outsourcingu i podwykonawstwa ICT, z identyfikacją funkcji krytycznych i istotnych;
• wdrożyć jednolite procesy klasyfikacji i raportowania incydentów ICT, zgodne z metodologią DORA i harmonizacyjne na poziomie UE;
• przygotować się do testów odporności TLPT (Threat-Led Penetration Testing) – które dla wielu podmiotów staną się obowiązkowe w kolejnych latach;
• dostosować umowy z dostawcami ICT tak, by spełniały wymogi dotyczące m.in. podwykonawstwa, praw audytu, raportowania i kontroli ciągłości działania.

Łącznie zmiany z 2025 roku spowodowały, że DORA stała się jednym z najbardziej wymagających obszarów regulacyjnych dla ubezpieczycieli i banków, wymuszając istotną profesjonalizację zarządzania ryzykiem technologicznym, cyberbezpieczeństwem i relacjami z dostawcami ICT.

Data Act (rozporządzenie (UE) 2023/2854) wszedł w życie 12 września 2025 roku. Wprowadził prawo użytkowników do dostępu i udostępniania danych generowanych przez produkty i usługi połączone (IoT), a także mechanizmy ułatwiające zmianę dostawców usług przetwarzania w chmurze. To otworzyło nowe źródła danych (np. telematyka pojazdów) dla ubezpieczeń oraz usług finansowych.

Data Act w sposób istotny zmienił sposób pozyskiwania, przetwarzania i współdzielenia danych przez ubezpieczycieli i banki wpływając na:

• większą dostępność danych IoT dla ubezpieczycieli (w tym danych telematycznych, danych z sensorów, logów pojazdów czy smart-home) umożliwia tworzenie bardziej precyzyjnych modeli ryzyka, dynamiczne taryfikacje oraz rozwój produktów usage-based i parametrycznych. Ubezpieczyciele otrzymują łatwiejszy dostęp nie tylko do surowych danych, ale także do wzbogaconych sygnałów i metadanych, co znacząco usprawnia underwriting i przyspiesza likwidację szkód;
• lepsze wykrywanie nadużyć i wzmocnienie KYC/AML – Data Act zwiększa zakres dostępnych strumieni danych, co ułatwia tworzenie zaawansowanych narzędzi do weryfikacji tożsamości, analizy behawioralnej czy monitoringu transakcyjnego. Dane generowane przez urządzenia mogą wspierać działania antyfraudowe zarówno w bankowości, jak i ubezpieczeniach;
• w przypadku banków – większą presję na interoperacyjność i otwartość usług chmurowych, w tym możliwość łatwego przełączania dostawców (redukcja vendor lock-in).

W efekcie Data Act w 2025 roku stał się jednym z najmocniejszych impulsów do modernizacji infrastruktury danych zarówno w ubezpieczeniach, jak i w bankowości. Otworzył dostęp do nowych źródeł danych, wzmocnił prawa klientów, przyspieszył rozwój modeli opartych na danych oraz wymusił zmiany w obszarze chmury i zarządzania danymi.

W 2025 roku kontynuowano prace nad rozporządzeniem FIDA, które ma stworzyć jednolity europejski ekosystem open finance. Do końca roku oczekiwano finalizacji dokumentu, a rozpoczęcie wdrożenia przewidywano na 2027 roku, z wyraźnym naciskiem na proporcjonalność i ograniczenie kosztów. Zakres regulacji obejmie dane o produktach kredytowych, inwestycyjnych, wybranych ubezpieczeniach oraz dane wykorzystywane w procesach oceny ryzyka klienta, takich jak preferencje inwestycyjne czy testy odpowiedniości.

Po wdrożeniu regulacji ubezpieczyciele zyskają dostęp do szerszego zestawu danych klientów, co umożliwi dokładniejszy underwriting oraz lepsze dopasowanie produktów do indywidualnych potrzeb. Jednocześnie otwiera się możliwość tworzenia hybrydowych produktów opartych na danych zewnętrznych, przy obowiązku udostępniania własnych danych na zasadach interoperacyjności i FRAND. Oznacza to konieczność dostosowania procesów związanych z obsługą zgód oraz ochroną danych wrażliwych, tak aby spełniały nowe wymogi regulacyjne.

Banki staną się jednocześnie kluczowymi dostawcami i odbiorcami danych, co może znacząco wesprzeć rozwój zaawansowanych usług analitycznych i scoringowych. Nowe wymogi interoperacyjności i bezpieczeństwa będą wymagały modernizacji infrastruktury API oraz wzmocnienia nadzoru nad zarządzaniem danymi. Zasada FRAND ograniczy dotychczasową przewagę negocjacyjną największych graczy, wyrównując warunki dostępu do danych i ułatwiając funkcjonowanie mniejszym podmiotom w sektorze.

Pakiet AML/CFT został opublikowany w Dzienniku Urzędowym 19 czerwca 2024 roku; w 2025 roku kontynuowano przygotowania do jego wdrożenia. Nowe, bezpośrednio obowiązujące rozporządzenie AMLR zacznie być stosowane od 10 lipca 2027 roku, natomiast dyrektywa 6AMLD musi zostać transponowana do tego samego dnia. Istotnym elementem reformy jest utworzenie europejskiego urzędu AMLA z siedzibą we Frankfurcie, który od 2028 roku obejmie bezpośrednim nadzorem wybrane podmioty wysokiego ryzyka w UE.

Pakiet AML/CFT wprowadzi jednolite unijne zasady przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, co oznacza dla całego sektora finansowego zaostrzenie wymogów KYC/EDD, konieczność lepszego monitorowania transakcji oraz wyższe standardy jakości danych. Dla ubezpieczycieli oznacza to częstsze aktualizacje danych klientów i doprecyzowanie oceny ryzyka AML, zwłaszcza przy produktach inwestycyjnych. Banki odczują największą presję operacyjną, w tym konieczność przebudowy procesów AML pod jednolity „single rulebook” oraz gotowość do potencjalnego bezpośredniego nadzoru AMLA od 2028 roku. Dla wszystkich instytucji finansowych pakiet oznacza wzrost kosztów operacyjnych, większą liczbę kontroli oraz konieczność wzmocnienia governance i systemów IT odpowiedzialnych za zgodność z AML.

8 stycznia 2025 rok opublikowano dyrektywę 2025/2 zmieniającą Solvency II, którą państwa członkowskie powinny transponować do 30 stycznia 2027 roku. Nowelizacja wzmacnia zasadę proporcjonalności, upraszcza sprawozdawczość, stabilizuje wycenę zobowiązań poprzez zmiany w długoterminowych gwarancjach oraz obniża wymogi kapitałowe m.in. dzięki redukcji marginesu ryzyka. Ułatwi to ubezpieczycielom zwiększać ekspozycję na długoterminowe inwestycje.

Równolegle Komisja Europejska zaproponowała zmiany w rozporządzeniu delegowanym 2015/35 (wejście w życie od 2027 roku), obejmujące nową kalibrację ryzyka spreadu, aktualizację LTG, modyfikacje ryzyka katastroficznego i doprecyzowanie zasad dotyczących grup. Razem zmiany te poprawiają dopasowanie wymogów kapitałowych do realnego profilu ryzyka, zmniejszają konserwatyzm regulacyjny oraz odciążają administracyjnie mniejsze zakłady.

Zmiany w Solvency II – mimo ogólnego trendu obniżania wymogów kapitałowych – będą skutkować wzrostem wymogu kapitałowego dla PZU z tytułu posiadanych pakietów akcji dwóch banków. Kluczowe zmiany polegają na uwzględnieniu wymogów połączonego bufora instytucji kredytowych w kalkulacji wymogu kapitałowego Grupy PZU.

Dyrektywa (UE) 2025/1 ustanawia pierwszy na poziomie UE zharmonizowany system naprawy i uporządkowanej likwidacji ubezpieczycieli i reasekuratorów, wzorowany na logice BRRD stosowanej wobec banków. Obowiązuje od stycznia 2025 roku, a państwa członkowskie mają czas na transpozycję do 29 stycznia 2027 roku, przy pełnym stosowaniu od 30 stycznia 2027 roku.

Zakłady będą musiały przygotowywać plany naprawy, a organy krajowe – plany resolution i struktury operacyjne do ich realizacji. Prace nad standardami technicznymi i wytycznymi, prowadzone przez EIOPA, rozpoczęte w 2025 roku i będą kontynuowane tak aby przygotować sektor do pełnego stosowania ram od 30 stycznia 2027 roku.

16 grudnia 2025 roku instytucje UE sfinalizowały porozumienie w sprawie pakietu Omnibus I, którego celem jest istotne uproszczenie wymogów sprawozdawczości (CSRD) i należytej staranności (CSDDD). Kluczowe zmiany obejmują podniesienie progów wejścia do CSRD do >1 000 pracowników oraz >450 mln euro przychodów netto, zwolnienie holdingów finansowych oraz ograniczenie efektu „trickle‑down” wobec mniejszych podmiotów w łańcuchu wartości. W CSDDD progi zwiększono do 5 000 pracowników i 1,5 mld euro obrotu, co ogranicza obowiązki due diligence jedynie do największych firm. W praktyce pakiet znacząco odciąża sektor finansowy — większość ubezpieczycieli, banków i instytucji finansowych wypada z obowiązkowego zakresu raportowania i due diligence, co redukuje koszty compliance i upraszcza procesy ESG. Ograniczenie „trickle‑down” chroni mniejsze podmioty przed nadmiernymi żądaniami raportowymi, a możliwość konsolidacji obowiązków na poziomie grupy zwiększa proporcjonalność i przewidywalność regulacji, pozwalając skupić zasoby na realnych działaniach zrównoważonego rozwoju.