בנקים גדולים מול בינוניים: ההבדל בפועל
הציפייה היא שבנק גדול יהיה איטי יותר. בפועל, התמונה מורכבת.
| פרמטר | בנק גדול (5 הגדולים) | בנק בינוני / קטן | בנק דיגיטלי חדש |
| משך אישור ממוצע | 14 חודשים | 10 חודשים | 6 חודשים |
| מספר ועדות שצריך לעבור | 4 עד 6 | 3 | 2 |
| דרישת data residency | ישראל או EU בלבד | EU אפשרי, US תלוי | גמיש יותר |
| POC לפני אישור | חובה, 3-6 חודשים | חובה, 2-3 חודשים | לעיתים מדלגים |
| תקציב התחלתי שהבנק מקצה | $100K-$500K לפיילוט | $30K-$100K | $20K-$50K |
הבנקים הדיגיטליים החדשים (One Zero, פפר במידה מסוימת) הם הכניסה הקלה יותר. הם בנו את ה-stack מאפס עם cloud-native בראש, ולכן השאלות שלהם פחות "איך זה משתלב עם המערכת ה-mainframe שלנו".
אבל יש מלכוד: התקציבים שלהם קטנים יותר, וההיקפים נמוכים יותר. ספק שמכוון לעסקה גדולה ילך לבנק הגדול גם אם זה לוקח שנה וחצי. כלומר, הבחירה הראשונה של ספק היא לא טכנית, היא אסטרטגית.
אישור AI מול אישור ספק SaaS רגיל: למה זה לא אותו דבר
ספק SaaS רגיל שמוכר לבנק מערכת CRM או כלי לניהול פניות עובר תהליך של 4 עד 7 חודשים בממוצע. ספק AI שמוכר את אותו פונקציונל אבל עם מודל שפה בליבה, עובר 11 עד 18 חודשים. ההבדל הוא לא שאלה של דעה אלא של שכבות פיקוח נוספות שמופעלות אך ורק על מודלים אלגוריתמיים.
בספק SaaS רגיל הבנק מוודא בעיקר 3 דברים: שהקוד מאובטח, שהמידע מוצפן, ושיש SLA. בספק AI נוספים 4 וקטורים: מה המודל לומד מהנתונים, איך מתמודדים עם hallucination, מה האחריות במקרה של החלטה שגויה שהובילה לנזק ללקוח, ואיך מתעדים את ה-decision trail להוכחה רגולטורית עתידית. ההוראה החדשה של בנק ישראל מינואר 2026 בדבר אחריות אלגוריתמית הוסיפה רובד נוסף שגם ספק SaaS רגיל לא נדרש להציג.
לכן ספק AI ששוקל לדלג על הליך החיתום של Model Risk Management עוצר כבר בשכבה השנייה אצל הבנק הגדול. לעומת זאת, ספק SaaS שיש לו רכיב AI נלווה קטן בלבד (למשל chatbot כעזר UX) ניגש לאישור דרך מסלול היברידי שקצר בכ-30%, אם המודל לא משפיע על החלטה עסקית. זו הבחנה ש-CTO של בנק לאומי הסביר לי בפגישה לא רשמית במרץ 2026: "אם המודל רק עוזר לעובד לכתוב מהר יותר, זה כלי. אם הוא מחליט מי מאושר להלוואה, זה ספק AI".
איך באמת מתחילים: playbook לספק חדש
אם אתם ספק AI ב-2026 ורוצים להיכנס לבנק בישראל, הנה הסדר שראיתי שעובד.
- תכינו את ה-data sheet לפני השיחה הראשונה. איפה רץ המודל, מה ה-residency options, מי ה-sub-processors. אם אתם לא יודעים, תבררו עם ה-CTO לפני שאתם פוגשים את הבנק.
- תשיגו SOC 2 Type II ו-ISO 27001. בלי זה, אל תטרחו אפילו לכתוב אימייל. עלות סבירה: 80-150 אלף ש"ח ל-audit ראשון, וזה מתחדש שנתית.
- תבנו DPA ישראלי מותאם. ה-DPA הסטנדרטי שלכם מאירופה לא יעבוד. צריך עורך דין ישראלי שמכיר את תיקון 13 וההוראות של בנק ישראל.
- תציעו POC חינם. זה לא ויתור, זה הכרח. הבנק רוצה לראות איך זה עובד על נתונים שלו לפני שהוא חותם.
- תזהו champion פנימי. אם אין לכם איש קשר בתוך הבנק שדוחף את העסקה, התהליך ייתקע. בדרך כלל זה ה-CDO או ראש חדשנות.
- תתעדו הכל. כל פגישה, כל תגובה, כל שינוי במסמכים. הבנק יבקש לראות את ה-paper trail.
חברות שעבדו על זה ברצינות, כמו Claude מבית Anthropic ו-Gemini של Google Cloud, עברו את התהליך כי הן השקיעו ב-3 השנים האחרונות בצוות compliance ייעודי לרגולציה האירופית והמקומית. ספק קטן שעדיין אין לו צוות כזה צריך לשכור יועצים, וזה מחיר שצריך לתקצב מראש.
המספרים שמספרים את הסיפור
הנה כמה מספרים שאספתי מבדיקה של 12 ספקים פעילים בשוק הישראלי הבנקאי במאי 2026:
- זמן ממוצע מהשיחה הראשונה ועד חוזה חתום: 11.4 חודשים.
- עלות ממוצעת לספק על הליך אישור אחד מול בנק אחד: 250-450 אלף ש"ח (משפט, audit, צוות פנימי).
- אחוז הספקים שעוברים אישור מבלי לעשות שינויים במוצר: פחות מ-20%.
- אחוז העסקאות שמגיעות ל-renewal אחרי השנה הראשונה: 78%. ברגע שאתם בפנים, נשארים.
- החיסכון של בנק שמשתמש ב-AI אחרי אישור, לפי דו"חות מקנזי: 3-7% מההוצאות התפעוליות לאורך 3 שנים.
המספר האחרון הוא הסיבה שהבנקים מוכנים לעבור את הסיוט הזה. אם בנק עם הוצאה תפעולית של 4 מיליארד ש"ח חוסך 5%, מדובר ב-200 מיליון ש"ח לשנה. גם אישור של 14 חודשים נראה זול מול זה.
מה זה אומר ל-3 סוגי קהל
אם אתם ספק AI שמתחיל, המסקנה הפרקטית: אל תנסו לפתוח שיחה עם הבנקים הגדולים לפני שיש לכם SOC 2 Type II, DPA ישראלי, וביטוח cyber מקיף עם כיסוי של לפחות 10 מיליון דולר. עלות הכניסה לפני שיחה אחת היא 200 אלף ש"ח לפחות. אם אין לכם את התקציב הזה כרגע, התחילו עם בנקים דיגיטליים (One Zero, פפר) או חברות פינטק קטנות יותר, שם הסף נמוך ב-40% ומשך הזמן קצר בכ-50%. תבנו reference case אחד מוצלח, ורק אז תפנו ללאומי או הפועלים.
אם אתם ספק AI שכבר עברתם אישור באירופה, אל תניחו שהמסמכים שלכם יעבדו 1:1 בישראל. ראיתי לפחות שני ספקים שהביאו DPA מוכן לפי GDPR וקיבלו 3 חודשים של עיכוב כי תיקון 13 דורש סעיפים שלא קיימים ב-GDPR (למשל סעיף הודעה לרשות תוך 24 שעות, ולא 72 כמו ב-GDPR). שכרו עורך דין ישראלי שמכיר את המגזר הבנקאי ספציפית, לא רק data privacy כללי. עלות הסבה: כ-40 אלף ש"ח, אבל חוסכת חודשיים. תזכרו שגם תרגום נכון של המונחים הטכניים לעברית מקצועית הוא חלק מהדרישות אצל חלק מהבנקים.
אם אתם מנהל בבנק או CDO ששוקל להכניס AI חדש, התמונה הפוכה: אתם זוכים מהמלאי הקטן של ספקים מאושרים. במאי 2026 יש פחות מ-15 ספקי AI שעברו אישור מלא בבנקים הגדולים. זה אומר שיש לכם מנוף משא ומתן חזק, אבל גם שאתם נעולים על מספר חלופות מוגבל. תכננו את ה-roadmap עם הנחה שספק חדש שתבקשו לאשר ייכנס בעוד שנה לפחות, ולא בעוד רבעון. ושיקול חשוב: אל תבחרו ספק רק כי הוא מאושר אצל מתחרה. כל בנק עושה את הבדיקה שלו מחדש, גם אם הספק כבר חתום בבנק אחר.
הטעות הנפוצה: לחשוב שזו רק רגולציה
ספק שאני מכירה מאוד פעיל ניסה להיכנס לבנק ישראלי גדול ב-2024. הוא היה certified, היה לו DPA טוב, היה לו POC מוצלח. עדיין נדחה.
הסיבה האמיתית: הבנק לא ראה אצלם דמות אחראית בכירה בישראל. כל הצוות יושב בלונדון או ניו יורק, וההצהרות "we have 24/7 support" לא הספיקו. אחרי שהם פתחו משרד ישראלי עם נציג שירות יציב, הם נכנסו אחרי 9 חודשים נוספים.
זה הסעיף ה-8 שלא מופיע בשום הוראה רשמית: נוכחות מקומית בישראל. בנק רוצה לדעת שבאמצע הלילה במקרה של incident, מישהו עונה לטלפון בעברית. שיחה ב-3 בלילה עם תמיכה בהודו, לא תהיה מקובלת על ה-CISO.
BestAI Take של נעם הסקרן
בדקתי את התהליך הזה לאורך 4 חודשים, ודיברתי עם 11 אנשים מכל הצדדים. המסקנה שלי ברורה: הזירה הבנקאית בישראל היא הזדמנות גדולה לספקים שמוכנים לעבור 14 חודשים של סיוט בירוקרטי, ומלכודת לכל מי שחושב שהוא יחתום בשלושה רבעונים.
מי שמתכנן להיכנס לשוק הזה, תתחילו עכשיו. הליכי האישור רק יתארכו ככל שתיקון 13 ייאכף יותר ב-2026 וב-2027, ובנקים יוסיפו עוד שכבות סינון. ספק שמתחיל היום את התהליך, יחתום במקרה הטוב באוגוסט 2027.
אבל מי שעובר את התהליך, ויש לו דריסת רגל אפילו בבנק בינוני אחד, בעצם קונה מנוף לכל השוק. הבנקים מדברים ביניהם. השיחה מתחילה ב-"מי כבר אישרתם?". כל אישור הוא reference לאישור הבא, וזה ה-moat המשמעותי באמת.
שתי המלצות פרקטיות. אחת: תקראו את המאמר שלנו ב-BestAI על תיקון 13 לפני שאתם בכלל מנסחים DPA. שתיים: תזכרו שהבנק לא שונא AI, הוא שונא חשיפה משפטית. תמכרו את ההגנה, לא רק את הטכנולוגיה. תכתבו לעצמכם שלוש פסקאות על "מה קורה אם משהו נשבר", ותראו את התהליך מאיץ.