Use Case Bancos · Arabellapark · ECB SSM + BaFin MaRisk + CSRD

Bancos com Decision-Layer - UniCredit Bank GmbH (HVB) em Arabellapark sob ECB SSM + BaFin MaRisk + CSRD

UniCredit Bank GmbH (HVB) Arabellapark. ECB SSM + BaFin MaRisk + CSRD. Credit-scoring sob LGPD art. 20. Ponte BACEN para Itaú + Bradesco.

Workshop no Grindelberg Todos os 7 casos de uso ←

Capítulo 1 - Quatro regimes de supervisão, um Decision-Layer

ECB SSM + BaFin MaGo + CSRD + LGPD art. 20 - em uma cadeia decisória por decisão bancária.

UniCredit Bank GmbH (HVB, Arabellastraße 12, 81925 München-Bogenhausen, HVB-Tower) é Significant Institution sob supervisão ECB SSM direta. Balanço como subsidiária muniquesa do UniCredit Group (Milão). Plus BayernLB (Brienner Straße, München-Maxvorstadt) como segunda Significant Institution muniquesa. Plus asset managers (Allianz Global Investors, DWS München, KGAL) sob supervisão MiFID II + AIFMD. Equivalente brasileiro: bancos brasileiros maiores (Itaú Unibanco, Banco do Brasil, Bradesco, Santander Brasil, BTG Pactual, Caixa Econômica) supervisionados por BACEN (Banco Central do Brasil) + CVM + Susep - mesma profundidade dual-regulador (supervisão prudencial + supervisão de mercado).

Quatro mundos de supervisão paralelos por decisão bancária: ECB SSM com Joint Supervisory Team (JST) incluindo representantes BaFin/Bundesbank, ICAAP/ILAAP, EBA-/ECB-stress-tests, implementação Basel IV. BaFin MaGo + MaRisk com governança de modelo + obrigação Use-Test (MaGo entrada em vigor 14.10.2025). CSRD-ESG-Reporting segundo padrões ESRS a partir do EF 2024 com componentes de risco IA para Climate-Risk-Modellierung. LGPD art. 20 / DSGVO Art. 22 em decisões de crédito/cartão automatizadas. Equivalente brasileiro: Resolução BACEN 4.557/2017 (gestão de riscos) equivalente paralela a BaFin MaRisk; ICAAP/ILAAP/SREP de Basel III + LGPD art. 20 para credit-scoring + ANPD CTS-AI 2024 - arquiteturalmente paralelo a MaRisk + ECB SSM + CSRD.

Plus regulação adicional: MiFID II + AIFMD para asset managers (AGI, DWS). Obrigação BaFin-AML para decisões Anti-Money-Laundering. EU AI Act Anexo III Ponto 5(b) para avaliação de credibilidade como alto risco (pela legislação vigente exigíveis a partir de 02.08.2026, com adiamento para 02.12.2027 acordado provisoriamente via Digital Omnibus (maio de 2026, adoção formal ainda pendente); regime sancionatório ativo desde 02.08.2026). Lista de Verificação IA BayLDA de 24.01.2024 para a camada LGPD. Equivalente brasileiro: CVM Instrução nº 555 + Lei nº 6.385/1976 para asset managers brasileiros; Lei nº 9.613/1998 + Resolução BACEN nº 4.595/2017 (AML brasileiro) + COAF (Conselho de Controle de Atividades Financeiras); LGPD art. 20 + ANPD CTS-AI 2024 para credit-scoring.

Divisão Decision-Layer típica para decisão bancária: 45% REGRAS (KYC + AML + match de lista de sanções + elegibilidade + limites regulatórios), 30% IA AUTÔNOMA (credit-scoring, fraud-detection-patterns, ESG-scoring, AML-anomalie-erkennung), 25% HUMANO (rejeições com efeito significativo + escalação LGPD art. 20 / DSGVO Art. 22, AML-review manual em padrões suspeitos, sign-off auditoria de validação de modelo).

Capítulo 2 - Decision-Record para uma decisão automatizada de cartão de crédito

Como uma decisão bancária muniquesa atende ao padrão LGPD art. 20 / DSGVO Art. 22 conforme precedente HmbBfDI.

Decision-record anonimizado para uma decisão de aprovação de cartão de crédito em Significant Institution muniquesa. Referência direta ao Dossiê Hanseático (banco hamburguês EUR 492.000 por arquitetura DSGVO Art. 22 ausente). Bancos muniqueses fazem diferente - com Decision-Layer.

KK-APP-2026-05-17-MUC-INT-0921

Pedido cartão de crédito padrão · pedido 17.05.2026 09:21:42 · solicitante 38 anos · München-Schwabing

Resultado Aprovado · justificativa LGPD art. 20 preparada · audit-trail persistido
  1. 01 REGEL

    Validação de campo obrigatório + KYC

    Campos obrigatórios do pedido completos (nome, data de nascimento, endereço München-Schwabing, comprovante de renda 6 meses). Verificação de identidade (VideoIdent). Status KYC: ativo. Regra kyc_kk_v3.2.

    ✓ KYC verificado
  2. 02 REGEL

    Maioridade + EU-Residência

    38 anos, München-Schwabing (EU-residência). Pedido padrão, sem caso especial. Regra elig_eu_v1.0.

    ✓ Eligibility OK
  3. 03 REGEL

    Verificação de sanções (OFAC, EU, BaFin)

    Solicitante mapeado contra listas de sanções OFAC, EU, BaFin. Match negativo. Regra sanctions_2025-09-12. Clientes brasileiros: lista COAF (Conselho de Controle de Atividades Financeiras) brasileiro aplica-se via mesma infraestrutura de regra.

    ✓ Negativo
  4. 04 KI

    Plausibilidade de renda (modelo <code>income-est-v2.4</code>)

    Input: holerites 6 meses, setor, experiência profissional. Output: plausível na faixa 6.500-9.200 EUR líquidos/mês.

    Confidence 0,94 · limite 0,85

    ✓ Plausível
  5. 05 REGEL

    Verificação de limiar SCHUFA

    Score SCHUFA 95 (escala 0-100). Limiar para cartão padrão: mín. 90. Regra schufa_v4.1. Equivalente brasileiro: Score Serasa / SPC Brasil / Quod com lógica de limiar paralela; Cadastro Positivo regulado por Lei nº 12.414/2011 + Lei Complementar nº 166/2019.

    ✓ OK
  6. 06 KI

    Behavior-Score (modelo <code>behavior-score-v1.7</code>)

    Input: frequência de pedidos sobre todos os bancos (24 meses), comportamento bancário no fluxo de pedido. Output: Risk-Indicator 0,42.

    Confidence 0,91 · limite 0,85

    ✓ Low Risk
  7. 07 REGEL

    Pré-check antidiscriminação (AGG + Lista de Verificação BayLDA)

    Paridade estatística contra cota de aprovação do ano anterior (gênero, idade, residência, nacionalidade). Solicitante (38 anos, München-Schwabing, alemão) no corredor de tolerância. Objetivo de proteção Fairness da Lista de Verificação IA BayLDA satisfeito. Regra agg_baylda_v3.2 (baseada em AGG (lei alemã de igualdade); equivalente brasileiro: CLT Art. 5 + 461 igualdade salarial + Lei nº 12.288/2010 Estatuto da Igualdade Racial + Lei nº 13.146/2015 Estatuto da Pessoa com Deficiência + ANPD CTS-AI 2024 sobre vieses).

    ✓ No corredor
  8. 08 MENSCH

    Aprovação em confidence > 0,85 = auto-aprovação (sem parada humana)

    Todos os confidence-scores acima do limiar, Risk-Indicator low, pré-check de bias OK. Caminho de auto-aprovação. Em qualquer rejeição ou confidence < 0,85: humano obrigatório (sign-off do operador). Neste pedido: sem escalação humana. LGPD art. 20 / DSGVO Art. 22 permitem auto-decisão quando claramente documentada + direito de impugnação preparado.

    ✓ Auto-aprovação
  9. 09 REGEL

    Preparação caminho de impugnação LGPD art. 20

    Por decision-record geração automatizada de justificativa com: versões de modelo usadas, critérios de input (anonimizados), confidence-scores, caminho de decisão. Caminho de impugnação com prazo (1 mês), escalação ao operador, direito a re-avaliação manual. Lição do Dossiê Hanseático de Hamburgo implementada diretamente: nenhuma rejeição automatizada sem geração de justificativa. Regra lgpd_art20_v1.4.

    ✓ Caminho de impugnação pronto
  10. 10 REGEL

    Audit-Trail-Persist (BaFin MaGo + ECB SSM + LGPD + EU AI Act)

    Decision-record completo persistido: versões de modelo, input-hashes, confidence-scores, Use-Test-Logging (requisito MaGo), valores de pré-check de bias, status auto-decisão LGPD art. 20 / DSGVO Art. 22. Exportação 1-clique para formato BaFin-MaGo, visão ECB-JST-Inspection, formato de informação LGPD/DSGVO, EU AI Act Art. 12 Logging. Regra audit_bafin_ecb_v1.4. Clientes brasileiros: mesma exportação cobre auditoria BACEN Resolução 4.557/2017 + ANPD CTS-AI 2024.

    ✓ Audit-trail persistido

Capítulo 3 - Workshop no Munich Urban Colab ou em HVB/BayernLB

Engineering de Hamburgo, workshop em Arabellapark ou Maxvorstadt.

Engineering sede Hallerstraße 8 Hamburgo. Workshop muniquês on-site. HVB-Tower (Arabellastraße 12, Bogenhausen) ou BayernLB (Brienner Straße, Maxvorstadt) ou Munich Urban Colab como terreno neutro. Salas separadas para sessão CRO (workshop Model-Risk-Manager), briefing Compliance/DPO, sessão comissão de empresa, demo de preparação ECB-JST. Workshop abaixo de EUR 10.000. Para multilatinas brasileiras com filial bancária em Munique ou Frankfurt (Itaú BBA International, Bradesco BBI, BTG Pactual Europe): workshop em português via remote bridge de São Paulo/Rio + paralelamente Encarregado pelo Tratamento de Dados (DPO) brasileiro e Compliance Officer da matriz brasileira.

Padrão de workshop bancário: Dia 1 = mapeamento de stakeholders (CRO + Head of Model Risk Management + Compliance + DPO + comissão de empresa). Dia 2 = demo Decision-Layer com use cases bancários (aprovação cartão de crédito, credit-scoring, AML-detection, fraud-patterns, ESG-scoring). Dia 3 = integração audit-trail ECB-SSM/BaFin-MaGo + mock-JST-inspection com workflow Use-Test + workflow LGPD art. 20 / DSGVO Art. 22 conforme lição banco hamburguês.

Integração com IT bancário: Decision-Layer integra-se com sistemas core-banking: HVB usa stack UniCredit Group (sistemas internos), BayernLB usa OSPlus de Finanz Informatik (padrão Sparkassen-Gruppe). Plus plataformas credit-scoring (FICO, Experian, SCHUFA), ferramentas AML (NICE Actimize, SAS AML, Oracle Financial Crime Compliance), suítes ECB-/EBA-Reporting (AxiomSL, BearingPoint Abacus). Código-fonte dos adaptadores vai com handover do repositório para o banco - sem vendor lock-in. Equivalente brasileiro: bancos brasileiros usam core-banking SAP for Banking (Itaú, Bradesco), Topaz Banco (Banco do Brasil), Diebold Nixdorf (Caixa); plataformas credit-scoring Serasa Experian Brasil + Boa Vista SCPC + Quod; AML SAS Brasil + NICE Actimize Brasil + tecnologia da Receita Federal.

Lição do Dossiê Hanseático para bancos: o caso do banco hamburguês (HmbBfDI EUR 492.000 outubro 2025 por DSGVO Art. 12, 15, 22) é leitura obrigatória para bancos muniqueses. Link: Dossiê Hanseático. Bancos muniqueses fazem diferente: cada rejeição automatizada com geração de justificativa LGPD art. 20 / DSGVO Art. 15. Cada decisão IA com audit-trail por caminho de escalação humano-no-loop. Equivalente brasileiro: ANPD pode aplicar enforcement em rejeições de crédito automatizadas sob LGPD art. 20 + Lei nº 12.414/2011 (Cadastro Positivo) - mesmo padrão, regulador nomeado.

Casos de uso relacionados

Perguntas frequentes

Quais players bancários muniqueses este spoke endereça?
O foco é o cluster bancário de Munique, com o UniCredit Bank GmbH (HVB, parte do UniCredit Group de Milão) no centro. Em torno dele estão a BayernLB, a Stadtsparkasse München e a Münchner Bank eG, além de asset managers como Allianz Global Investors, DWS München e KGAL. Para o UniCredit Bank GmbH, como Significant Institution, valem três níveis de supervisão: ECB SSM direto, BaFin como autoridade nacional e Bundesbank na política monetária. No Brasil, os grandes bancos (Itaú Unibanco, Banco do Brasil, Bradesco, Santander Brasil, BTG Pactual, Caixa) ficam sob BACEN, CVM e Susep, com a Resolução BACEN 4.557/2017 (gestão de riscos) cumprindo papel paralelo ao MaRisk da BaFin.
O que é ECB SSM e como se aplica ao HVB?
O Single Supervisory Mechanism (SSM) é a supervisão bancária da UE exercida pelo BCE sobre Significant Institutions (balanço acima de EUR 30 bi ou top-3 do país), categoria em que o UniCredit Bank GmbH se enquadra. Na prática, um Joint Supervisory Team (JST) com representantes da BaFin e do Bundesbank conduz a supervisão, que cobre ICAAP/ILAAP, stress-tests (EBA e ECB), MREL/TLAC, a implementação de Basel IV e a governança dos modelos de risco em IA. O audit-trail do Decision-Layer dá suporte às inspeções do ECB-JST com validação de modelo, Use-Test e backtesting documentados. No Brasil, a arquitetura é a mesma sob o BACEN: ICAAP/ILAAP/SREP de Basel III implementados via Resolução BACEN 4.557/2017.
Como BaFin MaRisk + MaGo é coberto em bancos com Decision-Layer?
A MaRisk (Mindestanforderungen an das Risikomanagement, circular da BaFin) e a nova MaGo (em vigor desde 14.10.2025) endurecem a governança de modelo e a obrigação de Use-Test, exigindo processo de validação, backtesting e registros de governança documentados. Para os modelos de risco em IA (credit scoring, Anti-Money-Laundering, Fraud-Detection), o Decision-Layer mantém um audit-trail por decisão, com versão do modelo, input-hash, confidence-score e logging de Use-Test, além dos caminhos de sign-off de DPO e CRO nas auditorias de validação. No Brasil, as Resoluções BACEN 4.557/2017 (gestão de riscos) e CMN 4.943/2021 (modelos internos e Open Finance) exigem a mesma evidência de validação, Use-Test e governança.
O que CSRD-ESG-Reporting significa para um banco muniquês?
A CSRD (Corporate Sustainability Reporting Directive, UE 2022/2464) obriga os bancos maiores a um ESG-Reporting nos padrões ESRS a partir do exercício de 2024 (relatório em 2025); o HVB reporta via consolidação do UniCredit Group. O reporte precisa capturar dados ESG do portfólio de títulos, do portfólio de crédito, das operações próprias e da cadeia de fornecedores, somados ao EU-Taxonomy-Reporting e às Pillar 3 Disclosures. Quando há componentes de IA no ESG-scoring (por exemplo, modelagem de risco climático para o crédito), eles são candidatos a alto risco sob o EU AI Act Anexo III, e o Decision-Layer documenta o sourcing dos dados, as premissas do modelo e os overrides. No Brasil, o equivalente arquitetural reúne a Resolução BACEN 4.945/2021 (risco social, ambiental e climático), a Resolução CVM 59/2021 (relatórios de sustentabilidade) e o capítulo ESG do Novo Mercado da B3.
Como LGPD art. 20 é coberto em decisões automatizadas de crédito?
A decisão automatizada de crédito (crédito ao consumidor, aprovação de cartão) cai sob o Art. 20 da LGPD, equivalente brasileiro ao Art. 22 do GDPR: decisão individual automatizada com efeito significativo, que obriga a informar o solicitante sobre a lógica, o alcance e o direito de impugnação. O caso bancário de Hamburgo em 2025 (multa de EUR 492.000 do HmbBfDI - veja o Dossiê Hanseático) mostra a consequência de não ter essa arquitetura. No Decision-Layer, as REGRAS validam elegibilidade, KYC e sanções, a IA pontua dentro de um limiar de confidence, e o HUMANO é obrigatório em confidence abaixo de 0,85 ou em recusa com efeito significativo, com a justificativa do Art. 20 gerada por decision-record. No Brasil, esse padrão atende o Art. 20 da LGPD, a Resolução CTS-AI 2024 da ANPD sobre credit-scoring e a Resolução CMN 4.943/2021 sobre modelos internos.

Agendar workshop no Grindelberg

3 dias de discovery: Dia 1 análise de processos, Dia 2 mapeamento Decision-Layer, Dia 3 priorização de casos.

Agendar reunião

Discovery workshop abaixo de EUR 10.000. Preço fixo do piloto discutido após o workshop.

← Voltar à visão geral: AI Agents Hamburgo