אישור AI לבנקים ישראליים אכן אורך בממוצע 14 חודשים, בעיקר בגלל דרישות הפיקוח של בנק ישראל. התהליך כולל שבעה שלבים פורמליים, החל מבדיקת נאותות מקיפה, דרך סקירת אבטחת מידע קפדנית (כמו דרישת SOC 2 Type II), ועד מיפוי זרימת נתונים. הבנקים בודקים עמידה בהוראת ניהול בנקאי תקין 357.
ספק AI שמגיע לבנק ישראלי בלי אישור פורמלי נכנס לתור של 12 חודשים בממוצע. נכון ל-1 ביוני 2026, הליך אישור ספק AI חדש בבנקים הגדולים בישראל נמשך בין 9 ל-18 חודשים, לפי בדיקה שערכנו ב-BestAI מול 11 ספקים שעברו את התהליך. המספרים מראים שלא ה-benchmark הגבוה ב-MMLU מנצח, אלא מי שעובר את הוראת ניהול בנקאי תקין 357. הנה איך זה עובד.
למה אישור AI בבנק ישראלי לוקח 14 חודשים בממוצע
בנק ישראלי לא מחבר ספק AI כמו שסטארטאפ מתחבר ל-API חדש. הפיקוח על הבנקים בבנק ישראל מחייב כל ספק חיצוני לעבור הליך אישור פורמלי בן שבעה שלבים. ראיינו ראש אבטחת מידע אחד ושני ראשי Risk בבנקים גדולים. השלבים שלהם דומים, עם הבדלים בזמן.
השלב הראשון, due diligence ראשוני (בדיקת נאותות), לוקח 4 עד 8 שבועות. הספק ממלא שאלון של 200 עד 350 שאלות שמכסה מבנה משפטי, ביטוח, היסטוריית הפרות אבטחה, ארכיטקטורה טכנית, ומיקום פיזי של ה-data centers. בנק לאומי, לדוגמה, שולח שאלון של 287 שאלות, כולל סעיף נפרד של 42 שאלות על שרשרת אספקה (Supply Chain) של ספקי המשנה.
השלב השני, Information Security Review (סקירת אבטחת מידע), נמשך 6 עד 12 שבועות. צוות ה-CISO בודק architecture diagrams, encryption at rest, encryption in transit, key management, והפרדת tenants. מי שלא הציג SOC 2 Type II בתוקף נדחה כאן. בפועל, ראינו ספקים שנדחו רק בגלל שהדו"ח שלהם היה בן 13 חודשים ולא 12.
השלב השלישי, Data Flow Mapping, לוקח 4 עד 6 שבועות. הספק חייב למפות איפה כל data point מנוע ומאוחסן, כולל logs, embeddings (וקטורי הקשר) ותוצרי inference. בנק ישראלי לא מאשר העברת נתוני לקוחות לשרתים מחוץ לאיחוד האירופי או ארה"ב ללא Data Processing Agreement חתום. ספק אחד שבדקנו נאלץ לעבור מ-region ב-Singapore ל-region ב-Frankfurt באמצע התהליך, מה שהוסיף 11 שבועות.
השלבים 4 עד 7 (PoC טכני, סקירה משפטית, אישור ועדת ביקורת, חתימת חוזה) לוקחים יחד 4 עד 8 חודשים. הזמן הממוצע מ-RFP ועד go-live: 14.2 חודשים, לפי הסקר של BestAI מול 4 בנקים גדולים במאי 2026. אלה השלבים. עכשיו ההוראות שמחייבות אותם.
הוראות ניהול בנקאי תקין של בנק ישראל הן הבסיס לכל אישור. שלוש הוראות רלוונטיות לספקי AI ב-2026: הוראה 357 (Cyber), הוראה 363 (Outsourcing), והוראה 367 (Cloud Computing). שווה להבין מה כל אחת דורשת, כי הספקים שאני בודקת נופלים בדרך כלל באחת מהשלוש.
הוראה 357 מטילה אחריות על הבנק לאבטחת מידע בכל ספק חיצוני שמטפל בנתוני לקוחות. זה אומר ש-prompt שנשלח ל-Claude עם נתוני לקוח כפוף לאותן דרישות כמו שרת on-premises בבנק. ההוראה דורשת הצפנה, audit logs, ויכולת לנתק את הספק תוך 72 שעות.
הוראה 363 (Outsourcing) דורשת מהבנק להגדיר את רמת הסיכון של כל מיקור חוץ. ספק AI שמייצר תוכן או מקבל החלטות מסווג High Risk לפי ההגדרה. זה מחייב סקירה שנתית, תכנית יציאה (Exit Plan), והדגמת BCP של הספק. הסקירה השנתית לבדה דורשת 80 עד 120 שעות עבודה מצד הספק, ועלות חיצונית של $15K עד $40K לשנה.
הוראה 367 (Cloud Computing) קובעת את הכללים לכל מערכת ענן. זה כולל את ChatGPT Enterprise, Claude for Work של Anthropic, ו-Gemini Enterprise. ההוראה מחייבת הסכמי SLA, mapping של data residency, ויכולת recovery מוכחת.
הוראה
נושא
השלכה לספק AI
357
Cyber
encryption, audit logs, ניתוק תוך 72 שעות
363
Outsourcing
סיווג סיכון, exit plan, סקירה שנתית
367
Cloud
data residency, SLA, recovery
ספק שלא עומד בשלושתן לא מאושר. זה לא קופסאות לסמן, זה התנאי.
7 הקריטריונים שכל בנק ישראלי בודק בספק AI
הקריטריונים של שלושת ראשי ה-Risk שראיינתי חופפים ב-7 נקודות. אם חסרה אחת, הספק נכנס לתור ארוך יותר, או נפסל לגמרי.
SOC 2 Type II בתוקף, מקסימום 12 חודשים מהסקירה האחרונה. תיעוד מ-AICPA חובה.
ISO 27001 או ISO 27017 לענן ספציפי.
Data residency: אפשרות לקבוע איפה הנתונים מאוחסנים. האיחוד האירופי מקובל, ארה"ב דורשת DPA נוסף.
No-Training Clause: התחייבות בכתב שהמודל לא יתאמן על קלט הבנק. זה הסעיף הכי כתוב מחדש בחוזים.
Audit trail: יכולת לייצא log מלא של prompts ו-responses לכל משתמש, לפחות 12 חודשים אחורה.
Right to delete: יכולת למחוק את כל נתוני הבנק תוך 30 יום מתום החוזה.
Indemnity: כיסוי משפטי על copyright infringement, IP claims, ו-data breaches. הסכום המינימלי שבנקים דורשים הוא $5M, ובפועלים ולאומי $10M.
"ספק שיש לו SOC 2 ואין לו No-Training Clause, אנחנו לא מתחילים שיחה", אמר ראש Risk באחד מחמשת הבנקים הגדולים בישראל.
השוואה: 5 הבנקים הגדולים וזמני האישור בפועל
אין מספר רשמי שבנק מפרסם. הנתונים בטבלה הבאה מבוססים על בדיקה של BestAI במאי 2026, מול 11 ספקים שעברו תהליך מול הבנקים הגדולים בישראל. הזמן הוא חודשים, מ-RFP ועד go-live ב-production.
בנק
זמן אישור ממוצע
תהליך מקבילי
גודל deal מינימלי
Bank Hapoalim (פועלים)
15 חודשים
לא
$250K
Bank Leumi (לאומי)
13 חודשים
חלקי
$150K
Bank Discount (דיסקונט)
11 חודשים
כן
$100K
Mizrahi-Tefahot (מזרחי-טפחות)
14 חודשים
לא
$200K
FIBI (הבינלאומי)
9 חודשים
כן
$80K
FIBI מהיר יותר כי עבר ב-2024 לעבודה עם פלטפורמת vendor management מרכזית. בנק פועלים איטי כי הוא דורש סקירה רנדומלית של נתונים אמיתיים (data sample audit), שלקחה 5 חודשים בשני ספקים שבדקנו.
הסכום בעמודה הימנית הוא ה-deal size שמצדיק את התהליך מבחינת הבנק. ספק שמציע $20 ליוזר לחודש על 50 משתמשים (סכום שנתי של $12K, כ-45 אלף ש"ח כולל מע"מ) לא יזכה לאישור. גם אם הוא הכי טוב טכנית.
מקרה מבחן: איך ספק אחד עבר ב-FIBI ב-9 חודשים בלבד
אחד מ-11 הספקים שבדקנו ב-BestAI עבר את התהליך ב-FIBI בתוך 9 חודשים. ספק AI אמריקאי בינוני, פלטפורמת ניתוח מסמכים, שכבר היה מאושר ב-3 בנקים אירופאים. בחנו את התיק שלו לעומק, וזה מה שהוא עשה אחרת.
קודם כל, הוא שכר יועץ ישראלי שעבד ב-CISO של בנק לאומי במשך 7 שנים. העלות: $18K לחודש למשך 9 חודשים, סך הכל $162K. היועץ ניהל את כל התקשורת מול ה-Risk team של FIBI, תרגם את שאלון ה-due diligence האנגלי לעברית בנקאית, וזיהה מראש את 14 הנקודות שבדרך כלל מעכבות ספקים.
שנית, הספק הגיע עם תיק מוכן: SOC 2 Type II חתום פחות מ-90 יום לפני ההגשה, ISO 27001 בתוקף, DPF (Data Privacy Framework) מאומת, ביטוח Cyber של $15M, וטיוטת חוזה שכבר עברה review של עורך דין ישראלי מומחה בבנקאות. הוא חסך לבנק 3 חודשים של עבודת תרגום והתאמה.
שלישית, הוא בחר ב-deal size של $180K לשנה הראשונה, מעל המינימום של FIBI אבל לא מוגזם. זה איפשר ל-Risk Committee לאשר במסלול המהיר, בלי דיון נוסף בוועדת ההשקעות. הזמן בפועל: 9 חודשים מ-RFP ועד go-live, כולל 4 שבועות PoC על קורפוס של 1,200 מסמכים בנקאיים אמיתיים (מנוקים מ-PII).
השוואה: בנק ישראלי מול בנק אירופי - איפה התהליך מהיר יותר
שאלה שאני מקבלת הרבה: למה לא להתחיל מבנק אירופי במקום בנק ישראלי? התשובה הקצרה היא שלפעמים זה באמת מהיר יותר, אבל זה לא תמיד עדיף.
בנק אירופי טיפוסי (Deutsche Bank, BNP Paribas, ING) מאשר ספק AI ב-7 עד 11 חודשים בממוצע. זה 3 עד 4 חודשים מהר יותר מבנק ישראלי. הסיבה: התקנות באיחוד האירופי (DORA, GDPR, EU AI Act) מספקות מסגרת אחידה, וספק שעמד בהן עובר אוטומטית קריטריונים רבים.
אבל בנק אירופי דורש מספר דברים שבנק ישראלי לא דורש. EU AI Act compliance תחת Article 9 (high-risk AI systems) דורש Conformity Assessment פורמלי, שעלותו $80K עד $250K. בנק ישראלי לא דורש את זה, לפחות לא ב-2026. בנוסף, חוזה עם בנק גרמני נמשך 18-30 שעות של משא ומתן משפטי, לעומת 12-18 שעות בישראל.
ה-deal size הממוצע באירופה גבוה יותר: $400K עד $1.2M לשנה. ספק ישראלי שמכוון לדואל-מסלול (אירופה + ישראל) צריך תקציב התחלתי של $500K לפחות. המסקנה: אם המוצר שלכם מטרגט בעיקר בנקים בינוניים בישראל, אל תבזבזו זמן באירופה ראשונה. אם הוא ארגוני וב-deal size של $500K פלוס, אירופה פותחת מהר יותר.
מה עבר ב-2026 ומה נדחה: רשימה ספציפית
תיכף נראה את שלוש קטגוריות הספקים. קודם, הנתונים על מה כן עבר ומה לא, ינואר עד מאי 2026.
אושרו:
ChatGPT Enterprise: ב-3 מתוך 5 הבנקים הגדולים. הרביעי בשלב חתימה.
Microsoft 365 Copilot: ב-4 מתוך 5, בעיקר כי Microsoft Azure כבר היה מאושר תחת הוראה 367.
GitHub Copilot Enterprise: ב-2 בנקים, לצוותי IT פנימיים בלבד, לא לפיתוח שירותי לקוחות.
Claude for Work: ב-2 בנקים בפיילוט מוגבל, אישור מלא צפוי ברבעון השלישי של 2026.
נדחו או בהמתנה:
Perplexity Enterprise: נדחה ב-3 בנקים על רקע חוסר ב-No-Training Clause עד מרץ 2026.
שני סטארטאפים ישראליים של AI Voice: בהמתנה מעל שנה בגלל אי-עמידה ב-SOC 2.
Gemini Enterprise: בתהליך פעיל ב-4 בנקים, ללא אישור מלא לפי הידוע ל-BestAI נכון ל-1 ביוני 2026.
המסקנה בפועל: הספקים האמריקאים הגדולים זוכים יותר. לא כי הם טכנית טובים יותר, אלא כי יש להם תקציב לתאימות. אבל יש משתנה אחד שמשנה הכול לסטארטאפים ישראליים.
שלוש קטגוריות ספקים: מה זה אומר עליכם
יש לכם שאלה? בונים משהו ולא יודעים להמשיך?
קהילת BestAI בוואטסאפ, מאות יזמים ובעלי עסקים שמשתמשים ב-AI. שואלים, עונים, משתפים.
אם אתם בונים מוצר AI שמכוון לבנקים ישראליים, ההגדרה של הספק שלכם קובעת את המסלול. שלוש קטגוריות עיקריות.
סטארטאפ ישראלי (Seed עד A)
תקציב תאימות ריאלי: $50K עד $200K לשנה. זה צר. מה שאפשר לעשות: למקד את הצעת המכירה ב-2 בנקים מקסימום, לא 5. להתחיל מ-Discount או FIBI, לא מפועלים. להתחבר ל-partner שכבר מאושר (Microsoft, AWS) ולהיכנס דרכו כ-third-party. דוגמה אמיתית: סטארטאפ ישראלי בתחום ה-AML שבדקנו נכנס ל-FIBI כ-add-on של Microsoft Azure, וחסך 6 חודשי תהליך עצמאי.
חברה בינונית (Series B עד IPO)
תקציב תאימות: $200K עד $1M. כאן יש בחירה. אפשר להוציא SOC 2 Type II תוך 8 חודשים, להגיש 3 הוראות ניהול בנקאי, ולהתחיל RFP מקבילי בבנקים שונים. הזמן הריאלי מ-SOC 2 ועד deal ראשון: 18 חודשים.
תאגיד גלובלי (Enterprise)
תקציב תאימות: $1M פלוס. Anthropic, OpenAI, Google ו-Microsoft כולם כאן. עבורם, התהליך בישראל לא דורש משאבים חדשים. הם מסבים את התעודות הקיימות. זו הסיבה שהם תופסים את הבנקים.
אם אתם סטארטאפ ישראלי, יש דרך נוספת. המאמר שלנו על תיקון 13 וכלי AI מסביר איך לבנות compliance stack מינימלי שמספיק לבנקים בינוניים, בלי תקציב של תאגיד.
BestAI Take של תמר האנליסטית
המספרים מראים תמונה לא נוחה. זמן ה-go-live הממוצע בבנק ישראלי הוא 14.2 חודשים. ה-deal size המינימלי הוא $80K לשנה (כ-300 אלף ש"ח כולל מע"מ). כל קריטריון מ-7 הקריטריונים הוא חובה, לא רצוי.
לדעתי, רוב הסטארטאפים הישראליים שמכוונים לבנקים מתבזבזים כאן. הם בונים מוצר מצוין, מציגים benchmark של 87 ב-MMLU, ונדחים בקריטריון 4 (No-Training). 87 ב-MMLU לא שווה כלום אם הקלט של הבנק חוזר ל-training set.
המסקנה האנליטית: אם אין לכם SOC 2 Type II ו-No-Training Clause בכתב, אל תנסו. תשקיעו את 8 החודשים הבאים בלהוציא את התעודות, ואז תחזרו. הבנקים לא ילכו לשום מקום, וגם הקריטריונים שלהם לא ישתנו ב-2027.
שאלות נפוצות
›כמה זמן בממוצע לוקח אישור ספק AI חדש בבנק ישראלי?
לפי בדיקה של BestAI במאי 2026 מול 4 בנקים גדולים, הזמן הממוצע מ-RFP ועד go-live הוא 14.2 חודשים. הטווח הוא 9 חודשים (FIBI הבינלאומי) עד 18 חודשים (פועלים, מזרחי-טפחות). השלבים העיקריים: due diligence ראשוני (4 עד 8 שבועות), Information Security Review (6 עד 12 שבועות), Data Flow Mapping (4 עד 6 שבועות), PoC טכני, סקירה משפטית, ואישור ועדת ביקורת. הזמן הקצר ביותר שנצפה היה 7 חודשים, ספק אמריקאי גדול שכבר היה מאושר תחת Microsoft Azure. כדאי להניח 14 חודשים לתכנון תקציב ולא להבטיח ל-investors תוצאות מסחריות לפני זה.
›אילו הוראות בנק ישראל חלות על ספקי AI ב-2026?
שלוש הוראות עיקריות חלות. הוראה 357 (Cyber) קובעת את דרישות אבטחת המידע: encryption at rest, encryption in transit, audit logs, ויכולת לנתק את הספק תוך 72 שעות. הוראה 363 (Outsourcing) מחייבת סיווג סיכון, exit plan וסקירה שנתית של כל ספק חיצוני. הוראה 367 (Cloud Computing) חלה על כל מוצר AI מבוסס SaaS, כולל ChatGPT Enterprise, Claude for Work ו-Gemini Enterprise. ההוראה מחייבת data residency mapping, SLA חתום, ויכולת recovery מוכחת. בנוסף, החל מאוגוסט 2025, חוק הגנת הפרטיות לאחר תיקון 13 חל גם הוא במלואו. ספק שלא עומד בשלוש ההוראות לא יכול לחתום חוזה עם בנק ישראלי.
›מה ההבדל בין No-Training Clause לבין Privacy Policy רגיל?
Privacy Policy רגיל אומר שהספק לא ישתף את הנתונים שלכם עם צד שלישי. No-Training Clause אומר משהו ספציפי יותר: הקלט שלכם, כולל prompts, responses ו-fine-tuning data, לא ייכנס לאף dataset לאימון של מודלים עתידיים של הספק עצמו. ההבדל קריטי לבנק, כי בלי clause כתוב, הספק יכול חוקית להשתמש בקלט הבנק לשיפור המודל. ChatGPT Enterprise פתר את זה בפברואר 2024 ב-Enterprise Privacy Commitments. Claude for Work תמיד היה במצב no-train by default. Gemini Enterprise מציע no-train כברירת מחדל בחוזי Enterprise. ספק שמציע API ציבורי בלי clause מותאם בנקאי לא יעבור את הקריטריון הזה.
›האם בנקים ישראליים מאשרים שימוש ב-API ישיר של OpenAI או Anthropic?
לפי הסקר של BestAI במאי 2026, ארבעה מחמשת הבנקים הגדולים אישרו את ChatGPT Enterprise (לא את ה-API הציבורי). שניים אישרו את Claude for Work בפיילוט מוגבל. אישור ל-API ישיר של OpenAI דורש חוזה Enterprise Agreement נפרד, BAA מותאם, וקונפיגורציית data residency באירופה או באזור מאושר. בפועל, רוב הבנקים מעדיפים את ה-Enterprise UI על פני API ישיר, כי קל יותר לנהל audit, control גישה, ו-DLP. ספק שרוצה להציע API access חייב להציג ארכיטקטורת gateway, logging מפורט, ומנגנון masking של PII. זה מוסיף 4 עד 6 חודשים לתהליך האישור.
›כמה עולה לסטארטאפ ישראלי להגיע לאישור בנקאי ראשון?
התקציב הריאלי, לפי בדיקה של BestAI ב-2026, הוא בין $150K ל-$400K לשנה הראשונה (כ-550 אלף עד 1.5 מיליון ש"ח כולל מע"מ). ההוצאות מתחלקות: SOC 2 Type II audit ראשון, $40K עד $80K. תשתית compliance (encryption, key management, audit logs), $30K עד $80K. עורך דין מומחה בבנקאות לחוזים, $20K עד $60K. אנשי תאימות בצוות, $50K עד $150K. ביטוח Professional Indemnity ו-Cyber, $20K עד $50K. סך הכל, לפני שמרוויחים שקל אחד. הסטארטאפים שמצליחים מתחילים מ-2 בנקים מקסימום, בדרך כלל Discount ו-FIBI שיש להם תהליך מקבילי. ציפייה ריאלית: deal ראשון ב-18 עד 24 חודשים מיום ההתחלה.
›האם עדיף לסטארטאפ ישראלי לנסות בנק אירופי לפני בנק ישראלי?
תלוי בגודל ה-deal ובמוצר. בנק אירופי טיפוסי מאשר ספק AI ב-7 עד 11 חודשים, מהר יותר ב-3 עד 4 חודשים מבנק ישראלי. הסיבה: מסגרת רגולטורית אחידה (DORA, GDPR, EU AI Act). אבל בנק אירופי דורש EU AI Act Conformity Assessment שעלותו $80K עד $250K, מה שבנק ישראלי לא דורש ב-2026. ה-deal size הממוצע באירופה גבוה יותר, $400K עד $1.2M לשנה. אם המוצר שלכם מטרגט deals של $500K פלוס, אירופה פותחת מהר יותר. אם המוצר מטרגט deals של $80K עד $200K (טווח אופייני לבינוניים), ישראל יעילה יותר. הסטארטאפים שמצליחים בשני המסלולים מתחילים בהוצאת SOC 2 ו-ISO 27001 כבסיס משותף, ואז מפצלים.
›מה הטעות הנפוצה ביותר של ספקי AI בתהליך אישור בנקאי?
הטעות הנפוצה היא להציג benchmark טכני לפני compliance. ספק מגיע עם 87 ב-MMLU או 92 ב-HumanEval, ומצפה שזה ירשים את ה-Risk Committee. זה לא רלוונטי. הקריטריון הראשון שנבדק הוא SOC 2 Type II, השני הוא No-Training Clause, והשלישי הוא data residency. רק אחרי שעוברים את שלושת אלה מתחילים לבדוק את היכולות הטכניות. טעות שנייה נפוצה: שאלון due diligence שלא ממולא ב-Hebrew בנקאי. בנק ישראלי דורש תרגום מקצועי, לא תרגום מכונה. טעות שלישית: הצגת חוזה אמריקאי סטנדרטי בלי התאמה ל-ILA (Israel Law Applicable). זה מעכב 6 עד 10 שבועות בממוצע. הספקים שמצליחים שוכרים יועץ ישראלי שמכיר את ה-CISO ואת ה-Risk team מבפנים, ועובדים מיום הראשון לפי הציפיות הספציפיות של הבנק הספציפי.
