ШІ у фінансовому секторі: очікування НБУ та DORA

ШІ у фінансовому секторі: очікування НБУ та DORA — нижче практичний погляд для українського бізнесу.

Очікування регулятора

Для фінансового ринку нагляд за використанням хмар і ШІ здійснює Національний банк України (НБУ). Хмару розглядають як аутсорсинг; НБУ гармонізує правила операційної стійкості з європейською DORA (Постанова Правління НБУ № 143 від 9 грудня 2025) — установи мають довести контроль над даними, безперервність діяльності, стратегію виходу та відповідність захисту даних.

Ризики моделей

Моделі ШІ у фінансах потребують контролю якості, пояснюваності та аудитованості рішень — див. безпеку ШІ.

Резидентність та архітектура

Оскільки osFoundry можна розгорнути у власній інфраструктурі та підключити європейські або open-weight моделі, платформа може працювати у вашому власному акаунті в регіоні ЄС, на українському ґрунті або локально — це шлях до резидентності та суверенітету даних, а не «коробка» з-за кордону. (Чесно: osFoundry має керований регіон ЄС, але НЕ має керованого українського регіону; для даних на території України під українською юрисдикцією шлях — self-host у власній інфраструктурі чи в українського провайдера, або local-first.) Під українською юрисдикцією працюють вітчизняні провайдери — De Novo та GigaCloud (обидва зі статусом VMware Sovereign Cloud) разом із дата-центром «Парковий» заснували Альянс цифрового суверенітету (2025); власну хмару на серверах HPE запустив і Kyivstar. Повний суверенітет дає й self-host у власній інфраструктурі.

Стійкість і суверенітет даних

Після 2022 року Україна законодавчо дозволила розміщувати державні та критичні дані у хмарі за кордоном задля стійкості (Закон «Про хмарні послуги» № 2075-IX та постанови Кабміну № 263 і № 1500) — понад 100 державних реєстрів перенесли до хмари AWS, при цьому державну таємницю та службову інформацію виключили. Це «перевернута» логіка суверенітету: дані виносять із-під ризику обстрілів, але водночас вони потрапляють під чужу юрисдикцію. В Україні фізично немає регіону жодного з гіперскейлерів (AWS, Azure, Google Cloud); найближчі — у Франкфурті, Варшаві та Стокгольмі. Тобто питання суверенітету — не про відстань чи затримку, а про юрисдикцію. Американські закони CLOUD Act (2018) і FISA Section 702 дозволяють вимагати від провайдерів, що контролюються зі США (AWS, Microsoft, Google), видати дані, збережені будь-де у світі, зокрема в регіонах ЄС, — юрисдикція визначається власністю компанії, а не розташуванням сервера. Регіон «у ЄС» забезпечує резидентність даних і відповідність GDPR, але не означає «поза американською юрисдикцією». Де зберігати дані для ШІ — регіон ЄС (власний акаунт), українські провайдери, on-premise або локальний інференс.

Оскільки osFoundry можна розгорнути у власній інфраструктурі та підключити європейські або open-weight моделі, платформа може працювати у вашому власному акаунті в регіоні ЄС, на українському ґрунті або локально — це шлях до резидентності та суверенітету даних, а не «коробка» з-за кордону. (Чесно: osFoundry має керований регіон ЄС, але НЕ має керованого українського регіону; для даних на території України під українською юрисдикцією шлях — self-host у власній інфраструктурі чи в українського провайдера, або local-first.)

Незалежність і чесність

dgm — незалежний інтеграційний партнер (не пов’язаний з osFoundry / OS LLC) і не є юридичним чи податковим радником. dgm поки що не має завершених клієнтських інтеграцій, тому наведені нижче сценарії описані як типові або можливі, а не як реалізовані проєкти.

Це не юридична чи податкова консультація: правила, ставки та терміни часто змінюються — перед рішенням перевірте їх в офіційних джерелах (Уповноважений ВР з прав людини, Мінцифра, НБУ, Держлікслужба, Дія).

Підсумок

Зверніться до dgm, щоб обговорити ваш сценарій і запропоновану архітектуру.