Use case Banca · Arabellapark · BCE SSM + BaFin MaGo + CSRD

Banca con Decision-Layer - UniCredit Bank GmbH (HVB) en Arabellapark bajo BCE SSM + BaFin MaRisk + CSRD

HVB en Arabellapark bajo BCE SSM + BaFin MaRisk + CSRD. Gobernanza AI-Risk + crédito automatizado bajo RGPD art. 22. Puente Banco de España + CNMV.

Workshop en Grindelberg Todos los 7 casos de uso ←

Capítulo 1 - Cuatro supervisiones, un Decision-Layer

BCE SSM + BaFin MaGo + CSRD + RGPD art. 22 - en una Decision-Chain por decisión bancaria.

UniCredit Bank GmbH (HVB, Arabellastraße 12, 81925 Múnich-Bogenhausen, HVB-Tower) es Significant Institution bajo supervisión BCE SSM directa. Balance como filial muniquesa de UniCredit Group (Milán). Plus BayernLB (Brienner Straße, Múnich-Maxvorstadt) como segunda Significant Institution muniquesa. Plus asset managers (Allianz Global Investors, DWS München, KGAL) bajo supervisión MiFID II + AIFMD. Equivalente español: Santander + BBVA + Caixabank + Sabadell + Bankinter como Significant Institutions afrontan BCE SSM directamente + Banco de España + CNMV - profundidad de dos reguladores similar.

Cuatro mundos de supervisión en paralelo por decisión bancaria: BCE SSM con Joint Supervisory Team (JST) incl. representantes BaFin/Bundesbank, ICAAP/ILAAP, Stress-Tests EBA/BCE, implementación Basilea IV. BaFin MaGo + MaRisk con gobernanza de modelo + obligación de Use-Test (entrada en vigor MaGo 14.10.2025). Reporting ESG CSRD según estándares ESRS desde EF 2024 con componentes AI-Risk para modelización climate-risk. RGPD art. 22 en decisiones automatizadas de crédito/tarjeta. Equivalente español: BCE SSM + Banco de España + CNMV + CSRD vía Real Decreto-ley 5/2023 - arquitectónicamente paralelo a MaRisk + BCE SSM + CSRD; ICAAP/ILAAP/SREP comunes.

Plus regulación adicional: MiFID II + AIFMD para asset managers (AGI, DWS). Obligación BaFin AML para decisiones Anti-Money-Laundering. EU AI Act Anexo III Punto 5(b) para evaluación de solvencia como alto riesgo (clasificación sin cambios, obligaciones vigentes desde 02.08.2026 con aplazamiento al 02.12.2027 acordado provisionalmente por el Digital Omnibus el 7 de mayo de 2026, adopción formal pendiente). Lista de Comprobación IA BayLDA del 24.01.2024 para la capa RGPD. Equivalente español: pre-cumplimiento DORA (Reglamento UE 2022/2554) entrada en vigor 17.01.2025 + IFRS 17 en seguros vinculados (BBVA Seguros + Santander Seguros + Mapfre).

División Decision-Layer típica para decisión bancaria: 45% REGLAS (KYC + AML + match lista de sanctions + elegibilidad + límites regulatorios), 30% IA AUTÓNOMA (credit-scoring, patrones fraud-detection, ESG-scoring, detección de anomalía AML), 25% HUMANO (rechazos con efecto significativo + escalado RGPD art. 22, revisión AML manual en patrones sospechosos, sign-off auditoría de validación de modelo).

Capítulo 2 - Decision-Record para una decisión automatizada de tarjeta de crédito

Cómo una decisión bancaria muniquesa cumple el estándar RGPD art. 22 según el precedente HmbBfDI.

Decision-record anonimizado para una decisión de aprobación de tarjeta de crédito en una Significant Institution muniquesa. Referencia directa al Expediente Hanseático (banco hamburgués 492.000 EUR por arquitectura RGPD art. 22 ausente). La banca muniquesa lo hace de otra forma - con Decision-Layer.

KK-APP-2026-05-17-MUC-INT-0921

Solicitud estándar de tarjeta de crédito · solicitud 17.05.2026 09:21:42 · solicitante 38 años · Múnich-Schwabing

Resultado Aprobada · justificación RGPD art. 15 preparada · audit-trail persistido
  1. 01 REGEL

    Validación de campos obligatorios + KYC

    Campos obligatorios de solicitud completos (nombre, fecha de nacimiento, dirección Múnich-Schwabing, justificación de ingresos 6 meses). Verificación de identidad (VideoIdent). Estado KYC: activo. Regla kyc_kk_v3.2.

    ✓ KYC verificado
  2. 02 REGEL

    Mayoría de edad + residencia UE

    38 años, Múnich-Schwabing (residencia UE). Solicitud estándar, sin caso especial. Regla elig_eu_v1.0.

    ✓ Elegibilidad OK
  3. 03 REGEL

    Comprobación de sanctions (OFAC, UE, BaFin)

    Solicitante mapeado contra listas de sanctions OFAC, UE, BaFin. Match negativo. Regla sanctions_2025-09-12. Para clientes españoles: lista de sanciones del Consejo de Ministros + OFAC + UE vía la misma infraestructura de reglas.

    ✓ Negativo
  4. 04 KI

    Plausibilidad de ingresos (modelo <code>income-est-v2.4</code>)

    Input: nóminas 6 meses, sector, experiencia profesional. Output: plausible en rango 6.500-9.200 EUR neto/mes.

    Confianza 0,94 · umbral 0,85

    ✓ Plausible
  5. 05 REGEL

    Comprobación umbral SCHUFA

    Score SCHUFA 95 (escala 0-100). Umbral para tarjeta estándar: mín. 90. Regla schufa_v4.1. Equivalente español: ASNEF/RAI/CIRBE (Central de Información de Riesgos del Banco de España) con lógica de umbral paralela.

    ✓ OK
  6. 06 KI

    Behavior-Score (modelo <code>behavior-score-v1.7</code>)

    Input: frecuencia de solicitud en todos los bancos (24 meses), comportamiento bancario en el flujo de solicitud. Output: Risk-Indicator 0,42.

    Confianza 0,91 · umbral 0,85

    ✓ Low Risk
  7. 07 REGEL

    Pre-check antidiscriminación (AGG + Lista de Comprobación BayLDA)

    Paridad estadística contra cuota de aprobación del año anterior (género, edad, residencia, nacionalidad). Solicitante (38 años, Múnich-Schwabing, alemán) en corredor de tolerancia. Objetivo de protección Fairness de la Lista de Comprobación IA BayLDA cumplido. Regla agg_baylda_v3.2 (basada en AGG - ley alemana de igualdad; equivalente español: Ley Orgánica 3/2007 + Ley 15/2022 + Real Decreto 901/2020).

    ✓ En corredor
  8. 08 MENSCH

    Aprobación con confidence > 0,85 = Auto-Approval (sin parada humana)

    Todos los confidence scores sobre umbral, Risk-Indicator low, check de bias OK. Ruta Auto-Approval. En cualquier rechazo o confidence < 0,85: humano obligatorio (sign-off de empleado de back-office). En esta solicitud: sin escalado humano. RGPD art. 22 permite auto-decisión cuando está claramente documentada + derecho de impugnación preparado. Equivalente español: AEPD Guía de Profilado (mayo 2022) permite auto-decisión bajo las mismas condiciones más test de transparencia.

    ✓ Auto-Approval
  9. 09 REGEL

    RGPD art. 15 + art. 22 preparación de ruta de impugnación

    Por decision-record se genera automáticamente una justificación con: versiones de modelo usadas, criterios de entrada (anonimizados), confidence scores, ruta de decisión. Ruta de impugnación con plazo (1 mes), escalado a empleado de back-office, derecho a re-evaluación manual. Lección directa del Expediente Hanseático de Hamburgo implementada: ningún rechazo automatizado sin generación de justificación. Regla dsgvo_art22_v1.4.

    ✓ Ruta de impugnación lista
  10. 10 REGEL

    Persistencia audit-trail (BaFin MaGo + BCE SSM + RGPD + EU AI Act)

    Decision-record completo persistido: versiones de modelo, hashes de input, confidence scores, Use-Test logging (requisito MaGo), valores del check de bias, estado RGPD art. 22 auto-decisión. 1-click export para formato BaFin MaGo, vista de inspección BCE JST, vista RGPD del interesado, EU AI Act art. 12 logging. Regla audit_bafin_ecb_v1.4. Para clientes españoles: el mismo export cubre vistas Banco de España SREP + CNMV ESG + AEPD interesado.

    ✓ Audit-trail persistido

Capítulo 3 - Workshop en Munich Urban Colab o en HVB/BayernLB

Engineering desde Hamburgo, workshop en Arabellapark o en Maxvorstadt.

Sede de Engineering Hallerstraße 8 Hamburgo. Workshop muniqués on-site. HVB-Tower (Arabellastraße 12, Bogenhausen) o BayernLB (Brienner Straße, Maxvorstadt) o Munich Urban Colab como terreno neutral. Salas separadas para sesión CRO (workshop Model Risk Manager), briefing Compliance/DPO, sesión BR, demo de preparación BCE JST. Workshop bajo 10.000 EUR. Para grupos con matriz española (Santander, BBVA con filiales alemanas): workshop en español con remote bridge a la sede española en Madrid/Bilbao.

Patrón de workshop bancario: Día 1 = mapeo de stakeholders (CRO + Head of Model Risk Management + Compliance + DPO + BR). Día 2 = demo Decision-Layer con use cases bancarios (aprobación de tarjeta de crédito, credit-scoring, detección AML, patrones fraud, ESG-scoring). Día 3 = integración audit-trail BCE SSM/BaFin MaGo + mock JST Inspection con workflow Use-Test + workflow RGPD art. 22 según la lección del banco hamburgués.

Integración con IT bancario: el Decision-Layer integra con sistemas core-banking: HVB usa el stack UniCredit Group (sistemas internos), BayernLB usa OSPlus de Finanz Informatik (estándar Sparkassen Group). Plus plataformas credit-scoring (FICO, Experian, SCHUFA), tools AML (NICE Actimize, SAS AML, Oracle Financial Crime Compliance), suites de reporting BCE/EBA (AxiomSL, BearingPoint Abacus). El código fuente de los adaptadores va con la entrega de repositorio al banco - sin vendor lock-in. Equivalente español: Santander usa Partenón + Altair + Quasar core-banking; BBVA usa Alnova; Caixabank usa Centric - misma profundidad de integración.

Lección Expediente Hanseático para banca: el caso del banco hamburgués (HmbBfDI 492.000 EUR octubre 2025 por RGPD art. 12, 15, 22) es lectura obligatoria para la banca muniquesa. Enlace: Expediente Hanseático. La banca muniquesa lo hace de otra forma: cada rechazo automatizado con generación RGPD art. 15. Cada decisión IA con audit-trail por ruta de escalado humano-en-el-loop. Equivalente español: AEPD enforcement en rechazos crediticios sigue el mismo patrón - decisiones nombradas más justificación, ningún rechazo automatizado silencioso.

Casos de uso relacionados

Preguntas frecuentes

¿Qué actores bancarios muniqueses aborda este spoke?
El actor central es UniCredit Bank GmbH (HVB, HVB-Tower en Arabellastraße 12, Bogenhausen), el mayor banco muniqués y parte de UniCredit Group (Milán). A su alrededor están Münchner Bank eG, Stadtsparkasse München y la Bayerische Landesbank (BayernLB, Maxvorstadt), más asset managers como Allianz Global Investors, DWS München y KGAL. Como Significant Institution, HVB está bajo supervisión directa del BCE SSM, con BaFin como autoridad nacional competente y el Bundesbank para política monetaria. En España, el cuadro es equivalente: los bancos Significant Institutions (Santander, BBVA, Caixabank, Sabadell, Bankinter) los supervisa el BCE SSM de forma directa, con el Banco de España y la CNMV como reguladores nacionales, ICAAP/ILAAP/SREP comunes, reporting ESG bajo CSRD y preparación para DORA.
¿Qué es el BCE SSM y cómo se aplica a HVB?
El Single Supervisory Mechanism (SSM) es la supervisión bancaria que el BCE ejerce sobre las Significant Institutions (balance superior a 30.000 M EUR o Top-3 nacional), categoría en la que entra UniCredit Bank GmbH. La lleva un Joint Supervisory Team (JST) con representantes de BaFin y del Bundesbank, y cubre desde el ICAAP/ILAAP y los stress-tests hasta la implementación de Basilea IV y la gobernanza de los modelos AI-Risk. El audit-trail del Decision-Layer sostiene las inspecciones del JST con registros documentados de validación de modelo, Use-Test y backtesting. Santander, BBVA y Caixabank afrontan el SREP del BCE SSM de forma directa: misma arquitectura y mismo regulador supranacional.
¿Cómo se cubre BaFin MaGo + MaRisk en banca con el Decision-Layer?
MaRisk y el nuevo MaGo ('Principio de Prudencia Empresarial', consulta del 13.12.2024, en vigor el 14.10.2025) endurecen la gobernanza de modelo y la obligación de Use-Test: exigen un proceso documentado de validación, backtesting, Use-Test y evidencia de governance. Para los modelos AI-Risk (scoring de crédito, AML, detección de fraude), el Decision-Layer genera un audit-trail por decisión con versión de modelo, hash de input y confidence score, y añade las rutas de sign-off de DPO y CRO en las auditorías de validación. En España, el Banco de España exige lo mismo a través de sus circulares de supervisión y riesgos y su guía sobre gobernanza de modelos de IA: misma validación, Use-Test y evidencia de governance.
¿Qué significa el reporting ESG CSRD para un banco muniqués?
La CSRD (Directiva UE 2022/2464) obliga a los grandes bancos a reportar ESG según los estándares ESRS desde el ejercicio 2024 (informe en 2025); HVB lo hace por consolidación dentro de UniCredit Group. El reporting abarca los datos ESG de la cartera de valores, la de crédito, las operaciones propias y la cadena de suministro, además de la EU Taxonomy y el Pillar 3. Cuando intervienen componentes AI-Risk (por ejemplo, modelización de climate-risk para la cartera de crédito), estos son candidatos al Anexo III del EU AI Act, y el Decision-Layer documenta el origen de los datos ESG, los supuestos del modelo y los overrides. En España el marco es paralelo: la Circular CNMV sobre divulgación ESG, el Real Decreto-ley 5/2023 que transpone la CSRD y la guía supervisora del Banco de España sobre riesgos climáticos.
¿Cómo se cubre el RGPD art. 22 en decisiones de crédito automatizadas?
Una decisión de crédito automatizada (crédito al consumo, aprobación de tarjeta) cae bajo el RGPD art. 22 como decisión individual con efecto significativo, lo que obliga a informar al solicitante sobre la lógica, el alcance y su derecho de impugnación. El caso del banco hamburgués de 2025 (HmbBfDI, 492.000 EUR; véase Expediente Hanseático) muestra la consecuencia de no tener esta arquitectura. El patrón Decision-Layer reparte la decisión por tipo de decisor: las REGLAS validan elegibilidad, KYC y sanctions; la IA autónoma puntúa por encima de un umbral de confianza; y el humano es obligatorio si la confianza baja de 0,85 o el rechazo tiene efecto significativo, generándose la justificación del RGPD art. 15 por decision-record. En España rige el mismo esquema bajo la AEPD, su Guía de Profilado y Decisiones Automatizadas (mayo 2022) y la circular del Banco de España sobre modelos internos de riesgo de crédito.

Agendar workshop en Grindelberg

3 días de discovery: Día 1 análisis de procesos, Día 2 mapeo Decision-Layer, Día 3 priorización de casos.

Agendar cita

Discovery workshop bajo EUR 10.000. Precio fijo de piloto tras el workshop.

← Volver a la vista general: AI Agents Hamburgo