הבינה המלאכותית (AI) מתפתחת בקצב מסחרר ומשתלבת יותר ויותר בעסקים בכל מגזרי התעשיה, בחברות פרטיות וציבוריות כאחד. לצד הפוטנציאל הרב של טכנולוגיה זו בשיפור ביצועים וביצירת יתרון תחרותי, היא מציבה אתגרים וסיכונים משמעותיים.
גילוי בארה"ב ובישראל- מגמות עכשוויות
בשנים האחרונות הרחיבו חברות ציבוריות בארה"ב את הגילוי הנוגע ל-AI בדוחותיהן (שימושים, הזדמנויות, סיכונים וניהולם). בעוד שבשנת 2010 רק כ-2% מהחברות הציבוריות האמריקאיות התייחסו לנושאי AI בדוחות השנתיים, בשנת 2023 עלה שיעור זה ליותר מ-20%[1]. כ-27% מחברות דירוג Fortune 500 כוללות כיום בדוחותיהן גילוי ביחס לגורמי סיכון הקשורים ל-AI, בין היתר בעקבות התפתחויות רגולטוריות במדינות שונות ובשל עלייה בשימוש בטכנולוגיה זו.
לעומת זאת, הגילוי בדיווחים של חברות ציבוריות שניירות הערך שלהן רשומים למסחר רק בבורסה בת"א בנוגע ל- AI נותר נמוך מאוד. עם זאת, אנו צופים כי מגמה זו תשתנה בעתיד הנראה לעין, שכן גם חברות אלו ירצו להדגיש את עמידתן בחזית הטכנולוגית.
סיכונים רלוונטיים ל-AI
בעת שקילת הסיכונים עימן החברות עשויות להתמודד ביחס לשילוב AI בעסקיהן, ניתן להצביע על מספר גורמים מרכזיים כפי שבאו לידי ביטוי בדוחות של חברות ציבוריות שניירות הערך שלהן רשומים למסחר בבורסות בארה"ב: (א) סיכוני רגולציה– נובעים מאי ודאות בנוגע לרגולציה חדשה (או היעדרה), דרישות ציות וחשיפה במקרה של אי ציות; (ב) סיכוני סייבר– נובעים מאיומים פוטנציאליים וטכניקות תקיפה מתפתחות שעולות מהשימוש ב-AI וטכנולוגיות מתפתחות אחרות; (ג) סיכוני תפעול– נובעים מכשלים באינטגרציה ותקלות במערכות; (ד) סיכוני תחרות– נובעים מאיומים מצד חברות מתחרות עם טכנולוגיות AI מתקדמות יותר; (ה) סיכונים טכנולוגיים– נובעים מכך שטכנולוגיית ה-AI היא טכנולוגיה חדשה ובמרבית המקרים טרם הוכחה כיעילה בתחומי העיסוק של החברות הרלוונטיות; (ו) סיכונים אתיים– נובעים מחששות לגבי הוגנות, אפליה והשפעה על החברה ו-(ז) סיכוני צד שלישי- נובעים מהסתמכות על מערכות AI המוצעות על ידי ספקי שירותים חיצוניים.
סיכון נוסף שעשוי להיות רלוונטי מתייחס להשפעה על כוח אדם בחברה בעקבות הטמעת מערכות AI וכדומה.
גם בישראל, מומלץ לחברות הציבוריות להיות ערניות לגילוי סיכונים אלו, כולם או חלקם, ככל שהדבר מהותי ורלוונטי להן.
היעדר הנחיות מפורשות; פעולות אקטיביות מצד ה-SEC
בארה"ב ובישראל טרם גובשו הנחיות מפורשות לדיווח מצד הרגולטורים בנוגע ל-AI בדוחות של חברות ציבוריות. בבדיקה בארה"ב נמצא כי החל משנת 2021 ה-SEC בארה"ב העירה על גילויי AI בדוחות של 56 חברות ציבוריות ממגוון תעשיות. הרשויות הרגולטוריות בארה"ב הביעו דאגה מהעלייה בפרסומים שיווקיים (AI Washing)[2] והביעו מחויבות לטפל בנושא. בשנת 2024, ה-SEC נקטה מספר פעולות אכיפה נגד חברות שפרסמו דיווחים מטעים לגבי יכולות ה-AI שלהן. בינואר 2025, ה-SEC הגיעה להסדר עם חברה טכנולוגית ביחס לטענות שהועלו כלפיה לפיה היא הפרה חובות גילוי הנוגעות להיבטים קריטיים של המוצר שלה בו שולבה מערכת AI, כולל אי גילוי שטכנולוגיית ה-AI הפועלת בו הייתה בבעלות ובניהול של צד שלישי, דבר שיצר רושם מטעה שהטכנולוגיה היא קניין של החברה, וזאת בנוסף לטענה שהטכנולוגיה שלה חוסכת לחלוטין את הצורך בהתערבות אנושית בתהליך קבלת ההזמנות כאשר למעשה מרבית ההזמנות של הלקוחות דרשו התערבות אנושית.
בישראל לא נערכה עד כה, למיטב ידיעתנו, ביקורת רוחב בנושא סיכוני AI בתאגידים מדווחים. בדוח הביניים להערות הציבור-בינה מלאכותית בסקטור הפיננסי, שפורסם על ידי הצוות הבין-משרדי לבחינת שימושי בינה מלאכותית (AI) במגזר הפיננסי, בנובמבר 2024, צוינו מספר המלצות בנושא גילוי בסקטור הפיננסי לרבות כי אם תיווצר בישראל תופעת AI Washing יהיה מקום להתמודד איתה באמצעות סל הכלים הרגולטורי הקיים.
גילוי בכפיפות למבחני המהותיות
הגילוי בנוגע ל-AI בדוחות של חברות ציבוריות כפוף למבחני המהותיות הרלוונטיים. חברות נדרשות לבחון אם ה-AI מהווה אספקט מהותי בעסקיהן או בהשפעתו עליהן או צפוי להיות כזה, ומהם הסיכונים הנלווים לכך. בקביעת מהותיות הסיכון, יש לקחת בחשבון, בין היתר, תחולת חקיקה קיימת (לרבות חוק ה-AI האירופי לו עשויה להיות השפעה גם על תאגידים מחוץ לאיחוד האירופי)[3] או בשלבי התהוות על פעילות החברה, עלויות הציות ו/או הסנקציות בגין אי ציות לחקיקה[4].
המלצות לשיפור הגילוי של AI בדוחות
ככל שהדבר מהותי, הגילוי בנוגע ל-AI עשוי להיות רלוונטי לסעיפים ו/או לדוחות שונים לרבות- (א) סעיף סביבה כללית והשפעת גורמים חיצוניים על פעילות התאגיד בדוח התקופתי או בתשקיף; (ב) סעיף מבנה תחום הפעילות ושינויים החלים בו; (ג) סעיף שינויים טכנולוגיים שיש בהם כדי להשפיע מהותית על תחום הפעילות; (ד) סעיף מגבלות ופיקוח על פעילות התאגיד בדוח התקופתי או בתשקיף; (ה) סעיף גורמי הסיכון בדוח התקופתי או בתשקיף; (ו) סעיף הגילוי על אירועים החורגים מעסקי התאגיד הרגילים בדוח התקופתי או בתשקיף; (ז) סעיף אסטרטגיה עסקית או צפי לשנה הקרובה בדוח התקופתי או בתשקיף; (ח) גילוי בדוח הדירקטוריון לגבי השפעת אירועים מהותיים על המצב העסקי או הפעילות; (ט) גילוי בדוח מיידי על אירוע או עניין החורג מעסקי התאגיד הרגילים וכן בדבר אירוע או ענין שיש בהם כדי להשפיע באופן משמעותי על מחיר נייר הערך של התאגיד.
כיצד חברות ציבוריות עשויות לשפר את איכות הגילוי שלהן בנוגע ל-AI?
אנו ממליצים לבצע את הצעדים הבאים[5]:
- התאמת גילוי– הגילוי צריך להיות מותאם אישית לחברה במטרה לספק למשקיעים תמונת מצב שתאפשר להבין את ההשפעה העסקית, האתגרים ופרופיל הסיכון הקשור לשימוש במערכת AI בחברה.
- דיוק ואיזון– הגילוי צריך להיות מדויק, מאוזן ופרופורציונלי למהותיות השימוש.
- הימנעות מגילוי גנרי– חברה אינה נדרשת לתאר סיכוני AI כלליים הקיימים ביחס לכלל החברות, וזאת על מנת למנוע גילויים גנריים (boilerplate) שמהותיות האמור בהם למשקיע שולית או לא קיימת. וכדברי גארי גנסלר, יו"ר ה-SEC עד לאחרונה[6]:
“When disclosing material risks about AI—and a company may face multiple risks, including operational, legal, and competitive—investors benefit from disclosures particularized to the company, not from boilerplate language” - דוגמה לגילוי ספציפי עשויה לכלול, אך אינה מוגבלת, לפרטים הבאים:
- כיצד החברה מגדירה[7] את ה-AI בו היא עושה שימוש ומהו השימוש הנוכחי הספציפי או המיועד של מערכות AI בעסקיה, במידה והשימוש הזה מהותי או צפוי להיות מהותי בעתיד. בהקשר זה יש להבחין בין יכולות AI קיימות לבין תחזיות עתידיות.
בנוסף, בכפוף למהותיות, יש לבחון גילוי האם מערכות ה-AI מפותחות באופן פנימי על ידי החברה או מסופקות על ידי צד שלישי. - ההשפעה הנוכחית או ההשפעה שעשויה להיות לשימוש, לפיתוח או לתלות במערכות AI על עסקי החברה, תוצאות הפעילות והמצב הפיננסי.
- הסיכונים המהותיים, שהשימוש או השימוש המיועד במערכת AI, מציבים בפני החברה וכן ניהול סיכונים, בקרות ונהלים בתחום הממשל התאגידי שאותם קבעה החברה (ככל שקבעה) שנועדו למזער את הסיכונים הללו.
- העובדות והנתונים העיקריים ששימשו בסיס ל"מידע צופה פני עתיד" ביחס לתחזיות AI.
- כל הסכם מהותי הקשור לשימוש במערכות AI.
- רגולציה או מגבלות אחרות ככל שקיימות בשוק בו פועלת החברה ביחס לשימוש במערכות AI.
- כיצד החברה מגדירה[7] את ה-AI בו היא עושה שימוש ומהו השימוש הנוכחי הספציפי או המיועד של מערכות AI בעסקיה, במידה והשימוש הזה מהותי או צפוי להיות מהותי בעתיד. בהקשר זה יש להבחין בין יכולות AI קיימות לבין תחזיות עתידיות.
אנחנו מזמינים אתכם לפנות אלינו לייעוץ נוסף ופרטני המותאם לצורכי החברה שלכם.
הבהרה: האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו אלא לאחר ייעוץ משפטי פרטני.
[1] 'Information in Disclosing Emerging Technologies: Evidence from AI Disclosure' by Yang Cao, Miao Liu, Jiaping Qiu and Ran Zhao
[2] הכוונה בביטוי זה היא למצגים לפיהם מוצרים או שירותים נהנים מפעילותן של מערכות AI, כאשר בפועל מערכות אלה כלל אינן בשימוש או שהשימוש בהן שולי ויתרונותיהן מוגבלים. גילוי שיווקי מטעה מסוג זה אינו ייחודי לפעילות של AI, וניתן היה למצוא אותו גם בעבר ביחס לתופעות אחרות שיצרו עניין בקרב הציבור הרחב (כדוגמת הבלוקצ'יין), שעה שזה אינו יכול באופן מעשי לעמוד על מהימנות הפרסומים, מפאת מורכבות הטכנולוגיה והעדר ידע מספק.
[3] אנו מוצאים לנכון להזכיר שחוק ה-AI האירופי חל על גורמים שונים לרבות כאלה המאוגדים מחוץ לאיחוד האירופי כדוגמת: (א) מפתחים/ספקים providers)) המציעים באיחוד האירופי מערכות AI או מודלים של AI למטרות כלליות (GPAI) גם אם מקום מושבם אינו באיחוד האירופי; (ב) ספקים ומפעילים (deployers) (גופים העושים שימוש ב-AI במסגרת עסקיהם, בין לצרכיהם הפנימיים ובין לצורך מתן שירות ללקוחותיהם) של מערכות AI אשר מקום מושבם מחוץ לאיחוד האירופי, כאשר בפלט המופק על ידי מערכת ה-AI נעשה שימוש בתוך האיחוד האירופי; (ג) מפעילים של מערכות AI אשר מקום מושבם בתוך האיחוד האירופי; (ד) יבואנים ומפיצים של מערכות AI המציעים מערכות AI בשוק האיחוד האירופי; (ה) יצרני מוצרים המציעים בשוק האיחוד האירופי מוצרים המשולבים עם מערכת AI ותחת השם או הסימן המסחרי שלהם.
[4] בחוק ה-AI האירופי נקבעו קנסות משמעותיים בגין אי ציות- לדוגמא, ביחס להפרות הקשורות ב-AI אסור – במקרים מסוימים הקנסות עשויים להגיע לסכום של עד 35 מיליון אירו או 7% מהמחזור השנתי העולמי של החברה המפרה, ובמקרים מסוימים קיימת אפשרות להטלת אחריות אישית.
[5] בעניין זה תמצתנו חלק מההערות של ה-SEC שניתנו עד כה לדיווחים של חברות אמריקאיות וכן הסתייענו בהנחיית גילוי שפורסמה לאחרונה בעניין על ידי רשות ניירות ערך בקנדה (CSA).
[6] https://www.sec.gov/newsroom/speeches-statements/gensler-ai-021324
[7] למיטב ידיעתנו בישראל טרם נקבעה הגדרה מחייבת בדין ל-AI ואין קונצנזוס להגדרה מחייבת עולמית. בהתאם לכך עלול להתעורר חשש שחברות יתייחסו למערכות שונות, כאל מערכות AI, גם אם ספק אם ניתן לראות בהן ככאלה.
ההגדרה בחוק ה-AI האירופי קובעת כי מערכת AI הינה:
“a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”.
