AI-agenten tar feil -hvem betaler regningen?

Autonome AI-agenter er ikke lenger fremtidsmusikk. De analyserer, forhandler, bestiller og fatter beslutninger på vegne av virksomheter verden over. De arbeider raskere enn mennesker, håndterer enorme datamengder – og kan ta feil. 

Ikke fordi noen har programmert dem feil. Ikke fordi noen ønsker å forårsake skade. Feilene oppstår ofte som følge av komplekse samspill mellom data, modeller og instrukser. Resultatet kan være beslutninger som påfører virksomheter betydelige økonomiske tap. 

For forsikringsbransjen er dette utfordrende. AI-risiko utfordrer flere av de tradisjonelle kategoriene forsikringsmarkedet er bygget opp rundt. 

Samtidig beveger markedet seg i to tilsynelatende motstridende retninger. 

Internasjonalt har det de siste årene vokst frem spesialiserte forsikringsprodukter for AI-relatert risiko, herunder dekning knyttet til modellsvikt, personvernproblematikk, immaterialrettslige krav og andre eksponeringer som følger av bruk av kunstig intelligens. 

På den andre siden ser vi at flere etablerte forsikringsgivere arbeider med klausuler som begrenser, presiserer eller ekskluderer dekningen for enkelte AI-relaterte krav. Nye standardiserte AI-eksklusjoner gjør det enklere å redusere eksponeringen under tradisjonelle ansvarsforsikringer. 

Paradokset er åpenbart: Samtidig som nye spesialistprodukter utvikles, kan dekningen under forsikringene de fleste virksomheter allerede har, bli snevrere. 

Mange antar at cyberforsikring løser problemet. Det er ikke nødvendigvis tilfelle. 

Cyberforsikring er i hovedsak utviklet for digitale sikkerhetshendelser, datainnbrudd, personvernbrudd og annen teknologisk svikt. En AI-agent som misforstår et oppdrag, anbefaler en ulønnsom transaksjon eller inngår en dårlig avtale uten at noen angriper står bak, vil ikke nødvendigvis være omfattet av de tradisjonelle cyberdekningene. 

Det betyr ikke at dekning aldri vil foreligge. Eksisterende forsikringer kan i enkelte tilfeller komme til anvendelse. Hvor grensene går for AI-relaterte skader, er imidlertid fortsatt uklart. 

Den mest interessante problemstillingen oppstår imidlertid når skaden kommer utenfra. 

Hva skjer når en AI-agent hos en leverandør eller samarbeidspartner påfører din virksomhet et økonomisk tap? 

Et tap hos virksomhet A kan skyldes en autonom beslutning tatt av et system benyttet av virksomhet B, uten at det er enkelt å fastslå om årsaken ligger i dataene, modellen, instruksjonene eller den konkrete bruken. Det gjør både ansvarsplassering og forsikringsdekning mer komplisert. 

Dette er ikke bare et forsikringsspørsmål. Det er også et styrespørsmål. 

Virksomheter implementerer nå AI i stadig flere forretningskritiske prosesser. Samtidig er det langt fra sikkert at eksisterende forsikringsprogrammer er tilpasset den nye risikoen. For mange styrer og ledelser bør spørsmålet derfor ikke bare være hvordan AI kan skape verdi, men også hvor risikoen havner dersom teknologien eller bruken av teknologien svikter. 

Forsikringsmarkedet har vært gjennom lignende omstillinger før. Cyberforsikring var i sin tid et umodent produkt med få skadedata og uklare grenser. I dag er det et etablert globalt marked. 

AI-forsikring vil trolig følge en lignende utvikling, men det vil ta tid før markedet, rettspraksis og standardvilkår finner sin form. 

I mellomtiden bør virksomheter som tar i bruk AI i forretningskritiske prosesser, ikke legge til grunn at eksisterende forsikringer automatisk dekker de nye risikoene. Styret og ledelsen bør få kartlagt hvilke AI-løsninger som benyttes, hvordan risikoen er fordelt kontraktsmessig, og om virksomhetens forsikringsprogram faktisk er tilpasset teknologien som tas i bruk. 

EU har vedtatt AI Act som trådte trinnvis i kraft for EU-land fra august 2024, og som om noen måneder også vil gjelde i Norge. Dette nye regelverket gir imidlertid ikke noe klart svar på hvem som skal bære de økonomiske konsekvensene når autonome systemer forårsaker tap. Også på dette området må markedet og regelverket forventes å utvikle seg videre. 

Inntil videre kan det være klokt å få gjennomført en juridisk og forsikringsfaglig vurdering av virksomhetens AI-bruk. Den største risikoen kan vise seg å være antakelsen om at noen andre bærer den. 

 Artikkelen ble først publisert i Finansavisen.