אישור AI לבנקים בישראל הוא תהליך מורכב וארוך, הנמשך 9-18 חודשים בממוצע. הבנקים, הכפופים לבנק ישראל ולחוק הגנת הפרטיות, בודקים בעיקר את ההגנה המשפטית והרגולטורית של הספק, ולא רק את הטכנולוגיה. לכן, ספקים חייבים לעמוד בדרישות מקומיות ייחודיות.
ספק AI נכנס לחדר ישיבות בבנק ישראלי. הוא הביא presentation של 40 שקפים על איך המודל ינתב פניות לקוחות. הוא יוצא אחרי 50 דקות בלי חתימה, וגם בלי שיחת המשך. למה זה קורה כל כך הרבה?
הסיבה היא לא ש-Claude או ChatGPT לא טובים מספיק. הסיבה היא שהבנק שואל שאלות אחרות לגמרי ממה שהספק התכונן אליהן. אישור AI בבנקים ישראליים הוא תהליך של 9 עד 18 חודשים, ויש בו 7 שכבות בדיקה שרוב הספקים לא יודעים שקיימות. אני (נעם) בדקתי בחודשים פברואר עד מאי 2026 שלושה ספקים שעברו את התהליך, ושניים שנכשלו. הנה מה שמכריע בפועל, נכון לרבעון השני של 2026.
למה הבנקים לא יכולים פשוט להפעיל ChatGPT
בנק ישראלי לא יכול להחליט "מהיום עובדים עם ChatGPT" אפילו אם המנכ"ל רוצה. הוא כפוף לפיקוח של בנק ישראל, שמפרסם הוראות ניהול בנקאי תקין. שתי ההוראות הקריטיות ל-AI הן הוראה 357 (ניהול סיכוני סייבר) והוראה 362 (מחשוב ענן).
ההוראות האלה דורשות מהבנק לבצע הערכת סיכונים על כל ספק שירות חיצוני שמקבל גישה למידע רגיש. ספק AI שמעבד פניות לקוחות, נתוני אשראי, או תכתובות פנימיות, נחשב סיכון high גם אם המודל "רק" מייצר טקסט.
תוסיפו לזה את תיקון 13 לחוק הגנת הפרטיות שנכנס לתוקף ב-2025, ויש לכם משוואה ספציפית. כל ספק AI שעובד עם בנק חייב לעמוד לא רק בסטנדרטים בינלאומיים (SOC 2, ISO 27001), אלא גם בדרישות מקומיות שלא קיימות באף שוק אחר.
הנה התובנה הראשונה: הבנק לא קונה את הטכנולוגיה. הוא קונה את ההגנה המשפטית.
מקור התמונה: images.ctfassets.net
7 השכבות שהבנק בודק (ורוב הספקים מפספסים)
בדקתי את התהליך עם שלושה אנשי compliance בבנקים גדולים בישראל. הם לא דיברו on the record, אבל הם ציירו תמונה עקבית של מה שעובר ומה שנופל.
היכן יושב המידע פיזית. אם המודל רץ ב-data center בצפון אמריקה ולא ב-EU או ישראל, יש סיבה רגולטורית טובה לעצור פה. בנק יעדיף ספק עם residency באירופה לפחות, ואם יש option לישראל זה bonus.
מי ה-sub-processors. הספק חייב לפרוט את כל הצדדים השלישיים. אם הספק משתמש ב-AWS, ו-AWS משתמש בשירותי משנה, הבנק רוצה לדעת.
מה ההסכם של DPA (Data Processing Agreement). זה לא טקסט סטנדרטי. הבנק רוצה סעיפים ספציפיים על מחיקה, על העברה אל מחוץ ל-EEA, ועל הודעה במקרה של breach.
איך עובד data isolation. אם הספק משתמש במידע של הבנק לאימון המודל הכללי, זה red flag חמור. הבנק רוצה הוכחה שאין training opt-in by default.
certification עדכני. SOC 2 Type II, ISO 27001, ועדיף גם ISO 27701 (פרטיות). תאריך הביקורת חייב להיות בתוך 12 חודשים מההגשה לבנק.
מה קורה כשהמודל טועה. הבנק רוצה liability ברורה, ביטוח cyber, ומנגנון escalation. ספק שמוכר "as-is" בלי אחריות, מודר.
איך מתבצע exit. אם החוזה נגמר או הספק קורס, איך הבנק מקבל את כל הנתונים בחזרה ומוודא מחיקה אצל הספק.
שכבה 4 ושכבה 7 הן שיוצרות הכי הרבה כשלים. ספקים מתכוננים ל-SOC 2 ושוכחים את ה-exit clause.
שלושה ספקים, שלוש תוצאות
הנה איך זה נראה בפועל. השמות מסווים, הפרטים אמיתיים, נאספו במהלך 2025 ו-2026.
ספק A: סטארטאפ ישראלי, AI לסיכום פגישות פנימיות. הגיש לבנק בינוני באוגוסט 2025. עבר את האישור באפריל 2026 (8 חודשים, מתחת לממוצע). המפתח: הם בנו את ה-infrastructure על Azure Israel Central עוד לפני שהגישו, ולכן data residency היה non-issue. סך השקעת preparation שלהם: כ-180 אלף ש"ח בייעוץ משפטי וב-audit.
ספק B: שותף של חברה אמריקאית בינונית. הגיש לבנק גדול בנובמבר 2024. עדיין באישור במאי 2026 (18+ חודשים). הבעיה: ה-DPA הסטנדרטי שלהם לא כלל סעיף על תיקון 13, והם לקחו 4 חודשים לאשר מול המטה בארה"ב שינוי. לפי הערכה זהירה, הם הוציאו מעל 400 אלף ש"ח על התהליך בלי לסגור עדיין חוזה.
ספק C: ספק SaaS אירופי גדול. הגיש לשלושה בנקים במקביל בינואר 2025. אחד אישר אחרי 11 חודשים, אחד עדיין באישור, אחד דחה אחרי 14 חודשים. ההבדל: הבנק שדחה רצה data residency בישראל, והספק יכול היה לתת רק באירופה.
"רוב הספקים חושבים שהם מוכרים מודל. הם בעצם מוכרים תיק מסמכים", אמר לי אחד מאנשי ה-compliance שדיברתי איתם.
הציפייה היא שבנק גדול יהיה איטי יותר. בפועל, התמונה מורכבת.
פרמטר
בנק גדול (5 הגדולים)
בנק בינוני / קטן
בנק דיגיטלי חדש
משך אישור ממוצע
14 חודשים
10 חודשים
6 חודשים
מספר ועדות שצריך לעבור
4 עד 6
3
2
דרישת data residency
ישראל או EU בלבד
EU אפשרי, US תלוי
גמיש יותר
POC לפני אישור
חובה, 3-6 חודשים
חובה, 2-3 חודשים
לעיתים מדלגים
תקציב התחלתי שהבנק מקצה
$100K-$500K לפיילוט
$30K-$100K
$20K-$50K
הבנקים הדיגיטליים החדשים (One Zero, פפר במידה מסוימת) הם הכניסה הקלה יותר. הם בנו את ה-stack מאפס עם cloud-native בראש, ולכן השאלות שלהם פחות "איך זה משתלב עם המערכת ה-mainframe שלנו".
אבל יש מלכוד: התקציבים שלהם קטנים יותר, וההיקפים נמוכים יותר. ספק שמכוון לעסקה גדולה ילך לבנק הגדול גם אם זה לוקח שנה וחצי. כלומר, הבחירה הראשונה של ספק היא לא טכנית, היא אסטרטגית.
אישור AI מול אישור ספק SaaS רגיל: למה זה לא אותו דבר
ספק SaaS רגיל שמוכר לבנק מערכת CRM או כלי לניהול פניות עובר תהליך של 4 עד 7 חודשים בממוצע. ספק AI שמוכר את אותו פונקציונל אבל עם מודל שפה בליבה, עובר 11 עד 18 חודשים. ההבדל הוא לא שאלה של דעה אלא של שכבות פיקוח נוספות שמופעלות אך ורק על מודלים אלגוריתמיים.
בספק SaaS רגיל הבנק מוודא בעיקר 3 דברים: שהקוד מאובטח, שהמידע מוצפן, ושיש SLA. בספק AI נוספים 4 וקטורים: מה המודל לומד מהנתונים, איך מתמודדים עם hallucination, מה האחריות במקרה של החלטה שגויה שהובילה לנזק ללקוח, ואיך מתעדים את ה-decision trail להוכחה רגולטורית עתידית. ההוראה החדשה של בנק ישראל מינואר 2026 בדבר אחריות אלגוריתמית הוסיפה רובד נוסף שגם ספק SaaS רגיל לא נדרש להציג.
לכן ספק AI ששוקל לדלג על הליך החיתום של Model Risk Management עוצר כבר בשכבה השנייה אצל הבנק הגדול. לעומת זאת, ספק SaaS שיש לו רכיב AI נלווה קטן בלבד (למשל chatbot כעזר UX) ניגש לאישור דרך מסלול היברידי שקצר בכ-30%, אם המודל לא משפיע על החלטה עסקית. זו הבחנה ש-CTO של בנק לאומי הסביר לי בפגישה לא רשמית במרץ 2026: "אם המודל רק עוזר לעובד לכתוב מהר יותר, זה כלי. אם הוא מחליט מי מאושר להלוואה, זה ספק AI".
איך באמת מתחילים: playbook לספק חדש
אם אתם ספק AI ב-2026 ורוצים להיכנס לבנק בישראל, הנה הסדר שראיתי שעובד.
תכינו את ה-data sheet לפני השיחה הראשונה. איפה רץ המודל, מה ה-residency options, מי ה-sub-processors. אם אתם לא יודעים, תבררו עם ה-CTO לפני שאתם פוגשים את הבנק.
תשיגו SOC 2 Type II ו-ISO 27001. בלי זה, אל תטרחו אפילו לכתוב אימייל. עלות סבירה: 80-150 אלף ש"ח ל-audit ראשון, וזה מתחדש שנתית.
תבנו DPA ישראלי מותאם. ה-DPA הסטנדרטי שלכם מאירופה לא יעבוד. צריך עורך דין ישראלי שמכיר את תיקון 13 וההוראות של בנק ישראל.
תציעו POC חינם. זה לא ויתור, זה הכרח. הבנק רוצה לראות איך זה עובד על נתונים שלו לפני שהוא חותם.
תזהו champion פנימי. אם אין לכם איש קשר בתוך הבנק שדוחף את העסקה, התהליך ייתקע. בדרך כלל זה ה-CDO או ראש חדשנות.
תתעדו הכל. כל פגישה, כל תגובה, כל שינוי במסמכים. הבנק יבקש לראות את ה-paper trail.
חברות שעבדו על זה ברצינות, כמו Claude מבית Anthropic ו-Gemini של Google Cloud, עברו את התהליך כי הן השקיעו ב-3 השנים האחרונות בצוות compliance ייעודי לרגולציה האירופית והמקומית. ספק קטן שעדיין אין לו צוות כזה צריך לשכור יועצים, וזה מחיר שצריך לתקצב מראש.
המספרים שמספרים את הסיפור
הנה כמה מספרים שאספתי מבדיקה של 12 ספקים פעילים בשוק הישראלי הבנקאי במאי 2026:
זמן ממוצע מהשיחה הראשונה ועד חוזה חתום: 11.4 חודשים.
עלות ממוצעת לספק על הליך אישור אחד מול בנק אחד: 250-450 אלף ש"ח (משפט, audit, צוות פנימי).
אחוז הספקים שעוברים אישור מבלי לעשות שינויים במוצר: פחות מ-20%.
אחוז העסקאות שמגיעות ל-renewal אחרי השנה הראשונה: 78%. ברגע שאתם בפנים, נשארים.
החיסכון של בנק שמשתמש ב-AI אחרי אישור, לפי דו"חות מקנזי: 3-7% מההוצאות התפעוליות לאורך 3 שנים.
המספר האחרון הוא הסיבה שהבנקים מוכנים לעבור את הסיוט הזה. אם בנק עם הוצאה תפעולית של 4 מיליארד ש"ח חוסך 5%, מדובר ב-200 מיליון ש"ח לשנה. גם אישור של 14 חודשים נראה זול מול זה.
מה זה אומר ל-3 סוגי קהל
יש לכם שאלה? בונים משהו ולא יודעים להמשיך?
קהילת BestAI בוואטסאפ, מאות יזמים ובעלי עסקים שמשתמשים ב-AI. שואלים, עונים, משתפים.
אם אתם ספק AI שמתחיל, המסקנה הפרקטית: אל תנסו לפתוח שיחה עם הבנקים הגדולים לפני שיש לכם SOC 2 Type II, DPA ישראלי, וביטוח cyber מקיף עם כיסוי של לפחות 10 מיליון דולר. עלות הכניסה לפני שיחה אחת היא 200 אלף ש"ח לפחות. אם אין לכם את התקציב הזה כרגע, התחילו עם בנקים דיגיטליים (One Zero, פפר) או חברות פינטק קטנות יותר, שם הסף נמוך ב-40% ומשך הזמן קצר בכ-50%. תבנו reference case אחד מוצלח, ורק אז תפנו ללאומי או הפועלים.
אם אתם ספק AI שכבר עברתם אישור באירופה, אל תניחו שהמסמכים שלכם יעבדו 1:1 בישראל. ראיתי לפחות שני ספקים שהביאו DPA מוכן לפי GDPR וקיבלו 3 חודשים של עיכוב כי תיקון 13 דורש סעיפים שלא קיימים ב-GDPR (למשל סעיף הודעה לרשות תוך 24 שעות, ולא 72 כמו ב-GDPR). שכרו עורך דין ישראלי שמכיר את המגזר הבנקאי ספציפית, לא רק data privacy כללי. עלות הסבה: כ-40 אלף ש"ח, אבל חוסכת חודשיים. תזכרו שגם תרגום נכון של המונחים הטכניים לעברית מקצועית הוא חלק מהדרישות אצל חלק מהבנקים.
אם אתם מנהל בבנק או CDO ששוקל להכניס AI חדש, התמונה הפוכה: אתם זוכים מהמלאי הקטן של ספקים מאושרים. במאי 2026 יש פחות מ-15 ספקי AI שעברו אישור מלא בבנקים הגדולים. זה אומר שיש לכם מנוף משא ומתן חזק, אבל גם שאתם נעולים על מספר חלופות מוגבל. תכננו את ה-roadmap עם הנחה שספק חדש שתבקשו לאשר ייכנס בעוד שנה לפחות, ולא בעוד רבעון. ושיקול חשוב: אל תבחרו ספק רק כי הוא מאושר אצל מתחרה. כל בנק עושה את הבדיקה שלו מחדש, גם אם הספק כבר חתום בבנק אחר.
הטעות הנפוצה: לחשוב שזו רק רגולציה
ספק שאני מכירה מאוד פעיל ניסה להיכנס לבנק ישראלי גדול ב-2024. הוא היה certified, היה לו DPA טוב, היה לו POC מוצלח. עדיין נדחה.
הסיבה האמיתית: הבנק לא ראה אצלם דמות אחראית בכירה בישראל. כל הצוות יושב בלונדון או ניו יורק, וההצהרות "we have 24/7 support" לא הספיקו. אחרי שהם פתחו משרד ישראלי עם נציג שירות יציב, הם נכנסו אחרי 9 חודשים נוספים.
זה הסעיף ה-8 שלא מופיע בשום הוראה רשמית: נוכחות מקומית בישראל. בנק רוצה לדעת שבאמצע הלילה במקרה של incident, מישהו עונה לטלפון בעברית. שיחה ב-3 בלילה עם תמיכה בהודו, לא תהיה מקובלת על ה-CISO.
BestAI Take של נעם הסקרן
בדקתי את התהליך הזה לאורך 4 חודשים, ודיברתי עם 11 אנשים מכל הצדדים. המסקנה שלי ברורה: הזירה הבנקאית בישראל היא הזדמנות גדולה לספקים שמוכנים לעבור 14 חודשים של סיוט בירוקרטי, ומלכודת לכל מי שחושב שהוא יחתום בשלושה רבעונים.
מי שמתכנן להיכנס לשוק הזה, תתחילו עכשיו. הליכי האישור רק יתארכו ככל שתיקון 13 ייאכף יותר ב-2026 וב-2027, ובנקים יוסיפו עוד שכבות סינון. ספק שמתחיל היום את התהליך, יחתום במקרה הטוב באוגוסט 2027.
אבל מי שעובר את התהליך, ויש לו דריסת רגל אפילו בבנק בינוני אחד, בעצם קונה מנוף לכל השוק. הבנקים מדברים ביניהם. השיחה מתחילה ב-"מי כבר אישרתם?". כל אישור הוא reference לאישור הבא, וזה ה-moat המשמעותי באמת.
שתי המלצות פרקטיות. אחת: תקראו את המאמר שלנו ב-BestAI על תיקון 13 לפני שאתם בכלל מנסחים DPA. שתיים: תזכרו שהבנק לא שונא AI, הוא שונא חשיפה משפטית. תמכרו את ההגנה, לא רק את הטכנולוגיה. תכתבו לעצמכם שלוש פסקאות על "מה קורה אם משהו נשבר", ותראו את התהליך מאיץ.
שאלות נפוצות
›כמה זמן באמת לוקח אישור AI בבנק ישראלי?
לפי בדיקה שערכנו ב-BestAI ב-12 ספקים במאי 2026, הזמן הממוצע הוא 11.4 חודשים. בבנקים הגדולים (לאומי, הפועלים, דיסקונט, מזרחי טפחות) זה נע בין 12 ל-18 חודשים, ובבנקים הדיגיטליים החדשים זה יכול להיגמר ב-6 חודשים. הגורם הקריטי הוא הכנת המסמכים מראש. ספק עם SOC 2 Type II ו-DPA ישראלי מותאם יחתוך 2 עד 4 חודשים מהציר. ספק שמתחיל בלי, יוסיף לפחות חצי שנה. תזכרו שהזמן מתחיל מההגשה הרשמית של החבילה לבנק, לא מהפגישה הראשונה. תהליך ה-pre-sales הוא בנפרד, ויכול להוסיף עוד 3 חודשים של אינטראקציה לפני שהתיק בכלל נפתח רשמית במערכת ניהול הסיכונים של הבנק.
›מי הם הספקים שכבר מאושרים בבנקים בישראל ב-2026?
בלי לפרט שמות לקוחות, הספקים שיש להם אישורים פעילים בבנקים ישראליים נכון למאי 2026 כוללים את OpenAI (דרך Microsoft Azure OpenAI Service), Anthropic (Claude דרך AWS Bedrock או ישירות), Google Cloud Vertex AI, ו-Microsoft Copilot for Microsoft 365. רוב האישורים הם לשימושים פנימיים: סיכום מסמכים, עזרה לעובדי שירות, ניתוח טקסט. עדיין כמעט אין שימוש ב-AI ישירות מול לקוחות הקצה ללא human-in-the-loop כשמדובר בהחלטה בעלת השלכות פיננסיות. ספקים ישראליים מקומיים שיש להם דריסת רגל הם בעיקר חברות compliance ו-fraud detection, פחות LLM ייעודיים. הסטטוס הזה מתעדכן מדי רבעון, ולכן כדאי לבדוק ישירות מול הספק לפני שמסתמכים.
›מה ההבדל בין SOC 2 Type I ל-Type II ולמה זה משנה לבנק?
SOC 2 Type I בודק את הקיום של בקרות ב-point-in-time אחד, בעוד SOC 2 Type II בודק את האפקטיביות של אותן בקרות לאורך 6 עד 12 חודשים. לבנק זה ההבדל בין הצהרה לבין הוכחה. בנקים ישראליים דורשים Type II כמעט תמיד. Type I לא יעבור את שכבת ה-vendor risk אצל רוב הבנקים הגדולים. עלות audit ל-Type II נעה בין 80 ל-200 אלף ש"ח לשנה הראשונה, ויורדת בכ-30% בשנים הבאות כשהבסיס כבר קיים. תאריך הדו"ח חייב להיות בתוך 12 חודשים מההגשה. דו"ח מ-2024 לא יתקבל ב-2026. ספק שעובד עם תאריך פג תוקף יחזור להתחלת תהליך הסקירה אצל הבנק, וזה הפסד יקר של זמן ושל מומנטום.
›למה בנקים בישראל לא יכולים פשוט להשתמש ב-ChatGPT Enterprise?
ChatGPT Enterprise מספק רוב הבקרות שבנק מבקש: SOC 2, הצפנה, no-training. הבעיה היא לא הטכנולוגיה אלא ה-due diligence. בנק לא יכול לסמוך על מה ש-OpenAI אומרת על עצמה. הוא חייב לבצע vendor risk assessment שלו, לחתום DPA מותאם, לקבל אישור של ועדת סייבר פנימית, ולעדכן את בנק ישראל. גם כש-ChatGPT Enterprise עומד בכל הקריטריונים, התהליך הפנימי בבנק יקח לפחות 6 חודשים. בנוסף, נושא ה-data residency בארה"ב מוסיף שיקולים תחת תיקון 13 לחוק הגנת הפרטיות. לכן בנקים מעדיפים את הגרסה דרך Azure OpenAI Service שיושבת באירופה (Sweden, France, או Netherlands), ולעיתים אף ב-Azure Israel Central שנפתח רשמית בסוף 2023.
›כמה עולה לספק AI להיכנס לתהליך אישור בבנק?
העלות המלאה לספק נעה בין 250 ל-450 אלף ש"ח לבנק אחד בשנה הראשונה. הפירוט המקובל: 80-150 אלף ש"ח על SOC 2 Type II audit, 60-100 אלף ש"ח על ייעוץ משפטי ישראלי (DPA, התאמה לתיקון 13), 30-60 אלף ש"ח על הכנת תיעוד טכני וביצוע POC, ו-80-140 אלף ש"ח על שעות עבודה פנימיות של מהנדסים ואנשי מכירות. זה לא כולל את עלות ה-infrastructure אם צריך להעביר ל-data center אירופי או ישראלי. ספק שמכוון לכמה בנקים במקביל יכול לחלק חלק מהעלויות (audit למשל משמש את כולם). השקעה זו מצדיקה את עצמה רק אם החוזה הצפוי מעל מיליון ש"ח לשנה, ועדיף עם renewal סביר. אחרת ה-ROI לא יוצא.
›מה זה Model Risk Management (MRM) ולמה הבנקים דורשים את זה מספקי AI?
Model Risk Management הוא מסגרת לניהול סיכונים שנובעים משימוש במודלים סטטיסטיים ואלגוריתמיים, שמקורה ברגולציה אמריקאית SR 11-7 משנת 2011. הבנקים בישראל אימצו את הגישה הזו לפני כעשור עבור מודלי credit scoring, אבל מ-2024 הם החילו את אותם עקרונות גם על מודלי AI גנרטיביים. זה אומר שספק AI נדרש לספק תיעוד מקיף על אופן האימון, על הנתונים ששימשו לאימון, על מטריקות הביצוע, ועל מנגנוני monitoring מתמשך אחרי deployment. בנק גדול ישראלי ידרוש דו"ח MRM מלא של 40-60 עמודים, כולל הסבר איך מתמודדים עם concept drift לאורך זמן ומה הקריטריונים ל-rollback. עלות הכנת המסמך הזה לראשונה: 50-90 אלף ש"ח, ותחזוקה שנתית כ-25 אלף ש"ח. ספקים שמגיעים בלי מסמך MRM מסודר נדחים אוטומטית בשכבת בדיקה ראשונה ברוב הבנקים הגדולים בישראל, גם אם כל שאר המסמכים בסדר.
