Use Case Bankowość · Arabellapark · EBC SSM + BaFin MaGo + CSRD

Bankowość z Decision-Layer - UniCredit Bank GmbH (HVB) w Arabellapark pod EBC SSM + BaFin MaRisk + CSRD

UniCredit Bank GmbH (HVB) w Arabellapark. EBC SSM + BaFin MaRisk + CSRD. Decyzje kredytowe pod RODO art. 22. Mostek KNF dla polskich banków.

Warsztat w Grindelberg Wszystkie 7 use case'ów ←

Rozdział 1 - Cztery nadzory, jeden Decision-Layer

EBC SSM + BaFin MaGo + CSRD + RODO art. 22 - w jednym łańcuchu decyzyjnym na decyzję bankową.

UniCredit Bank GmbH (HVB, Arabellastraße 12, 81925 Monachium-Bogenhausen, HVB-Tower) jest Significant Institution pod bezpośrednim nadzorem EBC SSM. Suma bilansowa jako monachijska spółka córka UniCredit-Group (Mediolan). Plus BayernLB (Brienner Straße, Monachium-Maxvorstadt) jako druga monachijska Significant Institution. Plus Asset-Manager (Allianz Global Investors, DWS München, KGAL) pod nadzorem MiFID II + AIFMD. Polskie banki (PKO BP, Pekao SA, Santander BP) podlegają KNF + EBA Guidelines + (jeśli Significant Institution): ECB SSM bezpośrednio.

Cztery równoległe światy nadzoru na decyzję bankową: EBC SSM z Joint Supervisory Team (JST) wkl. przedstawicielami BaFin/Bundesbank, ICAAP/ILAAP, stress-testy EBA/EBC, implementacja Bazylei IV. BaFin MaGo + MaRisk z governance modeli + obowiązkiem Use-Test (MaGo wejście w życie 14.10.2025). Raportowanie CSRD ESG według standardów ESRS od GJ 2024 z komponentami ryzyka AI dla modelowania Climate-Risk. RODO art. 22 przy zautomatyzowanych decyzjach kredytowych/kart kredytowych. Polski odpowiednik: KNF Rekomendacja Z dla ryzyka modelu + ICAAP/ILAAP/SREP wspólne z BaFin MaRisk + CSRD identyczny harmonogram.

Plus dalsza regulacja: MiFID II + AIFMD dla Asset-Manager (AGI, DWS). BaFin-AML-Pflicht dla decyzji Anti-Money-Laundering. EU AI Act Załącznik III Punkt 5(b) dla oceny zdolności kredytowej jako wysokie ryzyko (obowiązujący termin obowiązków wysokiego ryzyka to 02.08.2026, z wstępnie uzgodnionym przesunięciem na 02.12.2027 - Digital Omnibus, maj 2026, przyjęcie w toku; reżim kar aktywny od 02.08.2026). Lista kontrolna AI BayLDA z 24.01.2024 dla warstwy RODO. Polski odpowiednik: UODO Wytyczne profilowania 2023 + KNF Rekomendacja Z + ustawa o przeciwdziałaniu praniu pieniędzy (AML 2018, transpozycja AMLD V).

Decision-Layer podział typowy dla decyzji bankowej: 45% REGUŁY (KYC + AML + match listy sankcji + Eligibility + limity regulacyjne), 30% AI AUTONOMOUS (Credit-Scoring, wzorce Fraud-Detection, ESG-Scoring, wykrywanie anomalii AML), 25% CZŁOWIEK (odmowy z istotnym wpływem + eskalacja RODO art. 22, manualny review AML przy podejrzanych wzorcach, sign-off audytu walidacji modelu).

Rozdział 2 - Decision-Record dla zautomatyzowanej decyzji o karcie kredytowej

Jak monachijska decyzja bankowa spełnia standard RODO art. 22 według wzoru HmbBfDI.

Zanonimizowany decision-record dla decyzji o zatwierdzeniu karty kredytowej w monachijskiej Significant Institution. Bezpośrednie odniesienie do Hanseatische Akte (hamburski bank 492 000 EUR z powodu braku architektury RODO art. 22). Monachijska bankowość robi to inaczej - z Decision-Layer. Polskie banki (PKO BP, mBank): identyczny wzór pod KNF Rekomendacja Z + UODO Wytyczne profilowania 2023.

KK-APP-2026-05-17-MUC-INT-0921

Standardowy wniosek o kartę kredytową · wniosek 17.05.2026 09:21:42 · wnioskodawca 38 lat · Monachium-Schwabing

Wynik Zatwierdzono · uzasadnienie RODO art. 15 przygotowane · audit-trail spersystowany
  1. 01 REGEL

    Walidacja pól obowiązkowych + KYC

    Pola obowiązkowe wniosku skompletowane (imię, data urodzenia, adres Monachium-Schwabing, dowód dochodu 6 miesięcy). Weryfikacja tożsamości (VideoIdent). Status KYC: aktywny. Reguła kyc_kk_v3.2.

    ✓ KYC zweryfikowane
  2. 02 REGEL

    Pełnoletność + rezydencja UE

    38 lat, Monachium-Schwabing (rezydencja UE). Standardowy wniosek, brak przypadku szczególnego. Reguła elig_eu_v1.0.

    ✓ Eligibility OK
  3. 03 REGEL

    Kontrola sankcji (OFAC, UE, BaFin)

    Wnioskodawcę zmapowano względem list sankcji OFAC, UE, BaFin. Match negatywny. Reguła sanctions_2025-09-12. Polskie banki: dodatkowo lista sankcji MSWiA i lista GIIF (Generalny Inspektor Informacji Finansowej) w ramach tej samej infrastruktury reguł.

    ✓ Negatywny
  4. 04 KI

    Income-Plausibility (model <code>income-est-v2.4</code>)

    Input: rozliczenia płacowe 6 miesięcy, branża, doświadczenie zawodowe. Output: plauzybilne w zakresie 6 500-9 200 EUR netto/miesiąc.

    Confidence 0,94 · próg 0,85

    ✓ Plauzybilne
  5. 05 REGEL

    Sprawdzenie progu SCHUFA

    Wynik SCHUFA 95 (skala 0-100). Próg dla standardowej karty: min 90. Reguła schufa_v4.1. Polski odpowiednik: BIK (Biuro Informacji Kredytowej) Scoring lub KRD (Krajowy Rejestr Długów) z równoległą logiką progu.

    ✓ OK
  6. 06 KI

    Behavior-Score (model <code>behavior-score-v1.7</code>)

    Input: częstotliwość wniosków we wszystkich bankach (24 miesiące), zachowanie bankowe w przepływie wniosku. Output: Risk-Indicator 0,42.

    Confidence 0,91 · próg 0,85

    ✓ Low Risk
  7. 07 REGEL

    Pre-check anty-dyskryminacyjny (AGG + lista kontrolna BayLDA)

    Parytet statystyczny względem zeszłorocznej kwoty zatwierdzeń (płeć, wiek, miejsce zamieszkania, narodowość). Wnioskodawca (38 lat, Monachium-Schwabing, niemiecki) w korytarzu tolerancji. Cel ochrony Fairness listy kontrolnej AI BayLDA spełniony. Reguła agg_baylda_v3.2 (oparta na AGG (niemiecka ustawa o równym traktowaniu); polski odpowiednik: Kodeks pracy art. 18(3a-3e) zakaz dyskryminacji + ustawa o równym traktowaniu z 2010 r. + UODO Wytyczne profilowania 2023 cel Fairness).

    ✓ W korytarzu
  8. 08 MENSCH

    Zatwierdzenie przy confidence > 0,85 = auto-approval (brak stopu człowieka)

    Wszystkie confidence-score powyżej progu, Risk-Indicator low, pre-check bias OK. Ścieżka Auto-Approval. Przy każdej odmowie lub confidence < 0,85: człowiek obowiązkowy (sign-off Sachbearbeitera). Przy tym wniosku: brak eskalacji człowieka. RODO art. 22 zezwala na auto-decyzję jeśli jasno udokumentowana + prawo zaskarżenia przygotowane. Polski odpowiednik: KNF Rekomendacja Z + UODO Wytyczne 2023 - identyczne warunki dla auto-approval.

    ✓ Auto-Approval
  9. 09 REGEL

    Przygotowanie ścieżki zaskarżenia RODO art. 15 + art. 22

    Przy każdym decision-record automatyczne generowanie uzasadnienia z: użyte wersje modelu, kryteria wejścia (zanonimizowane), confidence-score, ścieżka decyzji. Ścieżka zaskarżenia z terminem (1 miesiąc), eskalacją do Sachbearbeitera, prawem do manualnej re-oceny. Lekcja Hamburg-Hanseatische-Akte bezpośrednio wdrożona: brak zautomatyzowanego rejectu bez generowania uzasadnienia. Reguła dsgvo_art22_v1.4.

    ✓ Ścieżka zaskarżenia gotowa
  10. 10 REGEL

    Audit-Trail-Persist (BaFin MaGo + EBC SSM + RODO + EU AI Act)

    Pełny decision-record spersystowany: wersje modelu, input-hashes, confidence-score, logowanie Use-Test (wymaganie MaGo), wartości pre-check bias, status auto-decyzji RODO art. 22. 1-klikowy eksport dla formatu BaFin-MaGo, widoku inspekcji EBC-JST, formatu uzasadnienia RODO, logowania EU AI Act Art. 12. Reguła audit_bafin_ecb_v1.4. Polskie banki Significant Institution: identyczny eksport pokrywa KNF Rekomendacja Z + EBC JST.

    ✓ Audit-trail spersystowany

Rozdział 3 - Warsztat w Munich Urban Colab lub w HVB/BayernLB

Engineering z Hamburga, warsztat w Arabellapark lub w Maxvorstadt.

Engineering Hauptsitz Hallerstraße 8 Hamburg. Warsztat monachijski on-site. HVB-Tower (Arabellastraße 12, Bogenhausen) lub BayernLB (Brienner Straße, Maxvorstadt) lub Munich Urban Colab jako neutralny grunt. Osobne pomieszczenia dla sesji CRO (warsztat Model-Risk-Manager), briefing Compliance/DPO, sesja BR, demo przygotowania EBC-JST. Warsztat poniżej 10 000 EUR. Dla polskich grup bankowych (PKO BP, Pekao SA, Santander BP) z monachijską operacją: sesja executive po polsku przez remote bridge z Warszawy + paralelnie polski Inspektor Ochrony Danych (IOD).

Wzór warsztatu bankowego: Dzień 1 = mapowanie interesariuszy (CRO + Head of Model Risk Management + Compliance + DPO + BR). Dzień 2 = demo Decision-Layer z use case'ami bankowymi (zatwierdzenie karty kredytowej, Credit-Scoring, AML-Detection, wzorce Fraud, ESG-Scoring). Dzień 3 = integracja audit-trail EBC-SSM/BaFin-MaGo + Mock-JST-Inspection z przepływem pracy Use-Test + przepływem pracy RODO art. 22 według lekcji hamburskiego banku.

Integracja z IT bankowym: Decision-Layer integruje się z systemami Core-Banking: HVB używa stosu UniCredit-Group (systemy wewnętrzne), BayernLB używa OSPlus od Finanz Informatik (standard Sparkassen-Gruppe). Plus platformy Credit-Scoring (FICO, Experian, SCHUFA), narzędzia AML (NICE Actimize, SAS AML, Oracle Financial Crime Compliance), pakiety raportowania EBC/EBA (AxiomSL, BearingPoint Abacus). Kod źródłowy adapterów idzie z przekazaniem repozytorium do banku - brak vendor lock-in. Polskie banki: PKO BP używa własnego stosu + Asseco, Pekao SA używa Globe Banking + Sopra Steria - identyczne podejście adapterowe.

Lekcja Hanseatische-Akte dla bankowości: sprawa hamburskiego banku (HmbBfDI 492 000 EUR październik 2025 z powodu RODO art. 12, 15, 22) jest obowiązkową lekturą dla monachijskiej bankowości. Link: Hanseatische Akte. Monachijska bankowość robi to inaczej: każdy zautomatyzowany reject z generowaniem uzasadnienia RODO art. 15. Każda decyzja AI z audit-trail na ścieżce eskalacji człowieka w pętli. Polski odpowiednik: UODO Decyzja Morele.net 2019 (2,8 mln PLN) jako lekcja precedensowa dla polskich banków + prawo do interwencji człowieka (RODO art. 22 ust. 3).

Powiązane use case'y

Często zadawane pytania

Których monachijskich graczy bankowych adresuje ten spoke?
Centralnym graczem jest UniCredit Bank GmbH (HVB, HVB-Tower w Arabellapark), największy monachijski bank i część UniCredit Group; obok niego m.in. BayernLB, Stadtsparkasse München i Münchner Bank eG oraz asset-managerowie tacy jak Allianz Global Investors i DWS München. HVB jako Significant Institution podlega bezpośrednio nadzorowi EBC SSM, z BaFin jako National Competent Authority. Polskie banki (PKO BP, Pekao SA, mBank, Santander BP) podlegają KNF, a najwięksi z nich również bezpośredniemu nadzorowi EBC SSM; KNF Rekomendacja Z (ryzyko modelu) odpowiada tu wymaganiom BaFin MaRisk.
Czym jest EBC SSM i jak wpływa na HVB?
Single Supervisory Mechanism (SSM) to bezpośredni nadzór bankowy EBC nad Significant Institutions (suma bilansowa > 30 mld EUR lub Top-3 w kraju), a UniCredit Bank GmbH do nich należy. Prowadzi go Joint Supervisory Team (JST) z udziałem BaFin i Bundesbanku, obejmując m.in. ICAAP/ILAAP, stress-testy, implementację Bazylei IV oraz governance modeli ryzyka AI. Audit-trail Decision-Layer wspiera inspekcje JST udokumentowaną walidacją modelu, Use-Testem i zapisami backtestingu. Największe polskie banki (PKO BP, Pekao SA, Santander BP) także podlegają bezpośredniemu nadzorowi EBC SSM, a KNF pozostaje National Competent Authority dla mniejszych instytucji.
Jak BaFin MaGo + MaRisk w bankowości są pokrywane przez Decision-Layer?
Decision-Layer pokrywa je przez audit-trail na każdą decyzję modelu plus ścieżki sign-off DPO/CRO przy audytach walidacji. MaRisk (okólnik BaFin) wraz z nową MaGo (wejście w życie 14.10.2025) zaostrzają governance modeli i obowiązek Use-Test, wymagając udokumentowanej walidacji modelu, backtestingu i zapisów governance. Przy modelach ryzyka AI (Credit-Risk-Scoring, AML, Fraud-Detection) każda decyzja niesie wersję modelu, input-hash, confidence-score i logowanie Use-Test. Polskim odpowiednikiem o identycznych wymaganiach architektonicznych są KNF Rekomendacja Z (ryzyko modelu) i Rekomendacja D (ryzyko operacyjne IT).
Co oznacza raportowanie ESG CSRD dla monachijskiego banku?
CSRD (UE 2022/2464) wymaga od dużych banków raportowania ESG według standardów ESRS od roku obrotowego 2024 (raport w 2025), a HVB raportuje przez konsolidację UniCredit Group. W praktyce oznacza to zbieranie danych ESG dla portfela papierów wartościowych, portfela kredytowego, własnych operacji i łańcucha dostaw, obok EU Taxonomy Reporting i Pillar 3. Decision-Layer dokumentuje pozyskiwanie danych ESG, założenia modelu i zapisy override; modele ESG-Scoring (np. Climate-Risk dla portfela kredytowego) to potencjalny kandydat na Załącznik III EU AI Act. Polskie banki podlegają CSRD w identycznym harmonogramie, a wytyczne ESG KNF transponują EBA Guidelines on ESG Risks.
Jak RODO art. 22 jest pokrywany przy zautomatyzowanych decyzjach kredytowych?
Zautomatyzowana decyzja kredytowa (np. kredyt konsumencki, zatwierdzenie karty) podlega RODO art. 22, co rodzi obowiązek poinformowania wnioskodawcy o logice i prawie zaskarżenia; kara dla hamburskiego banku w 2025 (HmbBfDI, 492 000 EUR - patrz Hanseatische Akte) pokazuje konsekwencje braku takiej architektury. Wzorzec Decision-Layer rozdziela kroki: REGUŁY walidują eligibility, KYC i sanctions, AI scoruje z progiem confidence, a CZŁOWIEK jest obowiązkowy przy niskim confidence lub odmowie z istotnym wpływem, z uzasadnieniem RODO art. 15 przy każdym decision-record. Polskim odpowiednikiem są KNF Rekomendacja Z oraz UODO Wytyczne o profilowaniu, które wymagają tej samej architektury - prawa do interwencji człowieka i do wyjaśnienia logiki.

Umów warsztat w Grindelberg

3 dni discovery: Dzień 1 analiza procesów, Dzień 2 mapowanie Decision-Layer, Dzień 3 priorytetyzacja use case'ów.

Umów termin

Discovery workshop poniżej 10.000 EUR. Cena ryczałtowa pilota po warsztacie.

← Wróć do przeglądu: AI Agents Hamburg