Mercato tedesco2026-02-0913 min di lettura

Requisiti KWG per le Banche: Come la Legge Bancaria Tedesca Modella la Conformità

Disponibile anche in:EnglishDeutschFrançaisEspañolNederlands

Indice

  1. 01Introduzione
  2. 02Cos'è il KWG?
  3. 03Requisiti Chiave
  4. 04Relazione con MaRisk, DORA e Altri Quadri
  5. 05Automazione della Conformità con Matproof
  6. 06Roadmap di Implementazione
  7. 07FAQ

Requisiti KWG per le Banche: Come la Legge Bancaria Tedesca Modella la Conformità

Introduzione

Il Kreditwesengesetz (KWG) -- la Legge Bancaria della Germania -- è il testo fondamentale che regola la concessione di licenze, la supervisione e i requisiti organizzativi per le istituzioni creditizie e le istituzioni di servizi finanziari che operano in Germania. Entrato in vigore nel 1961 e modificato più di 60 volte da allora, il KWG definisce chi può svolgere attività bancaria in Germania, quali standard di capitale e organizzativi devono rispettare e come BaFin esercita la sua autorità di supervisione su di esse. Ogni banca che opera in Germania, dalle più grandi banche universali alle istituzioni creditizie fintech specializzate, deve conformarsi al KWG.

Nel 2026, il KWG continua a evolversi insieme agli sviluppi normativi europei. Il Regolamento sui Requisiti di Capitale (CRR III) e la Direttiva sui Requisiti di Capitale (CRD VI), che traspongono le ultime riforme di Basilea III nel diritto dell'UE, hanno introdotto nuovi requisiti di capitale e segnalazione che interagiscono direttamente con le disposizioni del KWG. Allo stesso tempo, il DORA ha sovrapposto requisiti di resilienza digitale al già esistente quadro organizzativo del KWG. Per i team di conformità, la sfida non è solo comprendere il KWG in isolamento, ma capire come si collega a MaRisk, DORA e all'architettura normativa europea più ampia. Questo articolo fornisce quella visione complessiva.

Cos'è il KWG?

Il Kreditwesengesetz è la principale legge di supervisione bancaria della Germania. Stabilisce il quadro giuridico entro il quale BaFin e la Deutsche Bundesbank esercitano l'autorità di supervisione sulle istituzioni creditizie (Kreditinstitute) e le istituzioni di servizi finanziari (Finanzdienstleistungsinstitute). La Legge definisce l'attività bancaria (Bankgeschafte) nella Sezione 1(1) e i servizi finanziari (Finanzdienstleistungen) nella Sezione 1(1a), creando l'ambito di applicazione delle entità soggette ai suoi requisiti.

Ai sensi della Sezione 32 KWG, qualsiasi entità che svolge attività bancaria o fornisce servizi finanziari in Germania richiede una licenza da BaFin. Il processo di concessione della licenza implica la dimostrazione di un capitale iniziale adeguato, una gestione idonea e appropriata, un piano aziendale solido e disposizioni organizzative adeguate. BaFin può imporre condizioni alla licenza e ha l'autorità di revocarla se l'istituzione non soddisfa più i requisiti.

Il KWG conferisce a BaFin ampi poteri di supervisione ai sensi delle Sezioni 6-6c. Questi includono l'autorità di richiedere informazioni e documenti, condurre ispezioni in loco, ordinare la rimozione di dirigenti che non sono idonei e appropriati, limitare le attività commerciali e imporre sanzioni amministrative. Nel contesto del Meccanismo di Supervisione Unico (SSM), le istituzioni significative sono supervisionate direttamente dalla Banca Centrale Europea (BCE), ma BaFin mantiene la responsabilità di supervisione per le istituzioni meno significative e funge da punto di contatto nazionale per la supervisione della BCE.

La Legge è stata sostanzialmente plasmata dalla legislazione europea. Il CRR (Regolamento (UE) n. 575/2013) e la CRD (Direttiva 2013/36/UE), insieme ai loro successori CRR III e CRD VI, sono stati trasposti nel diritto tedesco attraverso modifiche al KWG e regolamenti accompagnatori. Ciò significa che la conformità al KWG per le banche tedesche è inseparabile dalla conformità al più ampio quadro prudenziale europeo.

Requisiti Chiave

Requisiti di Capitale (Sezioni 10-10i KWG / CRR)

La Sezione 10 del KWG stabilisce che le istituzioni creditizie devono avere fondi propri adeguati (Eigenmittel). I requisiti di capitale specifici sono principalmente definiti dal CRR, che prescrive rapporti minimi per il capitale di base comune (CET1), il capitale di primo livello e il capitale totale rispetto agli attivi ponderati per il rischio. Ai sensi delle riforme del CRR III che entreranno in vigore nel 2025, il rapporto CET1 minimo è del 4,5%, il rapporto di primo livello è del 6% e il rapporto di capitale totale è dell'8%, prima dell'aggiunta dei buffer di capitale.

Le Sezioni 10c-10i del KWG implementano il quadro dei buffer di capitale: il buffer di conservazione del capitale (Sezione 10c), il buffer di capitale contraciclico specifico per l'istituzione (Sezione 10d), il buffer di rischio sistemico (Sezione 10e) e i buffer per istituzioni globali e altre istituzioni di importanza sistemica (Sezioni 10f-10g). BaFin stabilisce il tasso del buffer contraciclico, che all'inizio del 2026 è fissato allo 0,75% per le esposizioni tedesche.

Il regime delle grandi esposizioni ai sensi della Sezione 13 KWG (implementando gli Articoli 387-403 del CRR) limita l'esposizione che un'istituzione creditizia può avere a un singolo cliente o a un gruppo di clienti collegati al 25% del capitale ammissibile. Gli obblighi di segnalazione per le grandi esposizioni a BaFin e alla Bundesbank sono obbligatori.

Requisiti Organizzativi (Sezioni 25a-25e KWG)

La Sezione 25a KWG è una delle disposizioni più significative per la conformità quotidiana. Richiede alle istituzioni creditizie di avere una corretta organizzazione aziendale (ordnungsgemaessse Geschaftsorganisation), che deve includere una gestione del rischio adeguata, sistemi di controllo interno, misure di sicurezza appropriate per i sistemi IT e una documentazione adeguata. Questa sezione è la base legale per il circolare MaRisk di BaFin, che specifica i requisiti minimi per la gestione del rischio in dettaglio.

La Sezione 25b KWG regola l'esternalizzazione. Le istituzioni creditizie che esternalizzano attività e processi devono garantire che l'esternalizzazione non comprometta la conduzione ordinata degli affari, la capacità di BaFin di esercitare la supervisione o le capacità di gestione del rischio dell'istituzione. Gli accordi di esternalizzazione materiali devono essere notificati a BaFin e sono soggetti a requisiti contrattuali specifici.

La Sezione 25c KWG definisce i doveri del consiglio di amministrazione (Geschaftsleiter), inclusa la richiesta che tutti i membri siano idonei e appropriati (fachlich geeignet und zuverlassig), che il consiglio debba possedere collettivamente conoscenze ed esperienze adeguate e che l'istituzione debba avere chiare disposizioni di governance.

Obblighi di Segnalazione BaFin (Varie Sezioni KWG)

Le banche tedesche affrontano ampi obblighi di segnalazione ai sensi del KWG. Questi includono:

  • Segnalazione finanziaria (Sezione 25 KWG): Statistiche mensili e trimestrali del bilancio inviate alla Bundesbank.
  • Segnalazione di adeguatezza patrimoniale (Sezione 10 KWG / CRR): Rapporti COREP trimestrali su fondi propri e rapporti di capitale.
  • Grandi esposizioni (Sezione 13 KWG): Segnalazione di esposizioni superiori al 10% del capitale ammissibile.
  • Segnalazione di liquidità (Articoli 411-428 del CRR): Rapporti LCR e NSFR.
  • Notifiche (Sezioni 24-24c KWG): Notifiche obbligatorie per cambiamenti nella gestione, cambiamenti significativi nella partecipazione azionaria, accordi di esternalizzazione e altri eventi materiali.
  • Audit annuale (Sezione 26 KWG): Audit annuale da parte di un revisore esterno, che deve preparare un rapporto (Prufungsbericht) per BaFin riguardante la conformità dell'istituzione ai requisiti del KWG.

Il volume e la frequenza degli obblighi di segnalazione sono aumentati significativamente negli ultimi anni. BaFin e la Bundesbank raccolgono dati attraverso il portale di segnalazione di BaFin (Meldeplattform) e il framework di segnalazione basato su XBRL per i dati prudenziali.

Requisiti di Idoneità e Appropriatezza (Sezioni 25c-25d KWG)

I membri del consiglio di amministrazione devono dimostrare affidabilità (Zuverlassigkeit) e qualifiche professionali (fachliche Eignung) ai sensi della Sezione 25c KWG. BaFin valuta lo stato di idoneità e appropriatezza al momento della nomina e può rivalutarlo in qualsiasi momento durante il mandato del dirigente. Il consiglio di sorveglianza (Verwaltungs- oder Aufsichtsorgan) è soggetto a requisiti simili ai sensi della Sezione 25d KWG, inclusa la idoneità collettiva, l'istituzione di comitati per il rischio, l'audit e la nomina, e i requisiti di indipendenza.

Relazione con MaRisk, DORA e Altri Quadri

La Sezione 25a del KWG fornisce la base statutaria per MaRisk, che è il circolare di supervisione più dettagliato di BaFin per la gestione del rischio nelle banche. MaRisk specifica i requisiti della Sezione 25a in dettaglio granulare attraverso i suoi moduli AT (Allgemeiner Teil -- parte generale) e BT (Besonderer Teil -- parte specifica). Qualsiasi banca che rispetta MaRisk sta adempiendo ai suoi obblighi ai sensi della Sezione 25a del KWG.

La relazione tra KWG e DORA è particolarmente importante nel 2026. L'Articolo 1(2) di DORA stabilisce che si applica alle entità elencate nel suo Articolo 2, che include le istituzioni creditizie come definite nell'Articolo 4(1)(1) del CRR -- le stesse entità regolate dal KWG. I requisiti di gestione del rischio ICT di DORA (Articoli 5-16) creano obblighi che si sovrappongono e in alcuni casi superano i requisiti legati all'IT affrontati in precedenza attraverso BAIT (Bankaufsichtliche Anforderungen an die IT) e MaRisk AT 7.2 (risorse tecniche e organizzative). BaFin ha indicato che il BAIT sarà ritirato quando gli standard tecnici attuativi di DORA entreranno in pieno effetto, ma MaRisk rimane in vigore per i requisiti di gestione del rischio non ICT.

I requisiti di esternalizzazione del KWG ai sensi della Sezione 25b si allineano con l'Articolo 28 di DORA sulla gestione del rischio di terze parti ICT. Tuttavia, DORA introduce requisiti aggiuntivi come il registro dei fornitori di terze parti ICT (Articolo 28(3)) e il quadro di supervisione dei fornitori di terze parti ICT critici (Articoli 31-44) che vanno oltre quanto richiesto dalla Sezione 25b del KWG. Le banche devono conformarsi a entrambi i set di requisiti.

La certificazione ISO 27001 supporta i requisiti di sicurezza IT incorporati nella Sezione 25a del KWG e dettagliati in MaRisk AT 7.2. Sebbene la certificazione ISO 27001 non sia legalmente richiesta, molte banche tedesche perseguono la certificazione per dimostrare la conformità con lo standard "state of the art" (Stand der Technik) menzionato in queste disposizioni.

Automazione della Conformità con Matproof

La conformità al KWG genera requisiti di documentazione continua in tutta la gestione del capitale, la governance organizzativa, l'esternalizzazione e la segnalazione. L'audit annuale ai sensi della Sezione 26 KWG richiede da solo all'istituzione di presentare prove complete di conformità a tutti i requisiti del KWG, e i revisori si aspettano sempre più che queste prove siano sistematiche e tracciabili piuttosto che compilate ad hoc.

Matproof automatizza i processi di raccolta e monitoraggio delle prove che sostengono la conformità organizzativa al KWG. La piattaforma mappa i requisiti della Sezione 25a del KWG -- come specificato attraverso MaRisk -- a controlli specifici e elementi di prova. Monitora continuamente se i controlli richiesti sono in atto: I controlli di accesso e le misure di sicurezza IT sono configurati correttamente? Gli accordi di esternalizzazione sono documentati e monitorati? Le strutture di governance sono mantenute come richiesto?

La mappatura trasversale della piattaforma è particolarmente preziosa per la conformità al KWG a causa dell'ampia sovrapposizione con DORA, MaRisk e ISO 27001. Le prove raccolte per i requisiti di gestione del rischio ICT di DORA soddisfano simultaneamente gli aspetti legati alla tecnologia della Sezione 25a del KWG. La documentazione del quadro di gestione del rischio per la conformità a MaRisk serve anche come prova per l'audit annuale della Sezione 26 del KWG. Questo elimina la frammentazione che si verifica tipicamente quando le banche gestiscono ciascun requisito normativo attraverso processi separati.

Matproof memorizza tutti i dati di conformità in centri dati tedeschi con piena residenza dei dati nell'UE, soddisfacendo le aspettative di sovranità dei dati che BaFin applica alle istituzioni supervisionate. Per le banche soggette ai requisiti di esternalizzazione della Sezione 25b, l'architettura ospitata nell'UE della piattaforma evita la complessità normativa che sorge quando gli strumenti di conformità elaborano dati di supervisione al di fuori dell'UE.

Roadmap di Implementazione

Fase 1 (Settimane 1-3): Mappatura Normativa. Creare una mappa completa di tutti i requisiti KWG applicabili, organizzati per sezione. Identificare quali requisiti sono affrontati attraverso MaRisk, quali attraverso DORA e quali rimangono obblighi autonomi del KWG. Questa mappatura forma la base per tutte le attività di conformità successive.

Fase 2 (Settimane 4-6): Valutazione dei Controlli. Valutare i controlli esistenti rispetto alla mappa normativa. Per ciascun requisito KWG, determinare se esiste un controllo adeguato, se è documentato e se sono raccolte prove della sua efficacia. Concentrarsi in particolare sui requisiti organizzativi della Sezione 25a e sugli accordi di esternalizzazione della Sezione 25b, poiché queste sono le aree più frequentemente citate nei riscontri di BaFin.

Fase 3 (Settimane 7-10): Automazione e Integrazione. Implementare la raccolta automatizzata delle prove per i controlli che possono essere monitorati elettronicamente. Collegare la piattaforma di conformità all'infrastruttura IT, ai sistemi HR e ai repository di documentazione di governance. Configurare avvisi automatici per guasti nei controlli o lacune nella documentazione.

Fase 4 (Settimane 11-14): Preparazione all'Audit. Prepararsi per l'audit annuale della Sezione 26 generando un pacchetto di prove strutturato dalla piattaforma di conformità. Condurre una revisione interna per identificare eventuali lacune rimanenti. Informare il revisore esterno sulla struttura delle prove e sull'approccio di monitoraggio automatizzato.

In corso: Conformità Continua. Mantenere il monitoraggio automatizzato e la raccolta delle prove tutto l'anno. Aggiornare la mappa normativa man mano che vengono pubblicate le modifiche al KWG, gli aggiornamenti di MaRisk e gli standard attuativi di DORA. Condurre revisioni interne trimestrali e riferire lo stato di conformità al consiglio di amministrazione come richiesto da MaRisk AT 4.4.2.

FAQ

Come interagisce il KWG con il Regolamento UE sui Requisiti di Capitale (CRR)?

Il KWG e il CRR lavorano insieme come parti complementari del quadro normativo bancario tedesco. Il CRR, in quanto regolamento dell'UE direttamente applicabile, prescrive i requisiti di capitale dettagliati, i rapporti di liquidità e i limiti di grandi esposizioni. Il KWG fornisce il quadro giuridico nazionale per la concessione di licenze, la supervisione, l'applicazione e i requisiti organizzativi che completano il CRR. Dove il CRR concede opzioni o discrezionalità nazionali, queste vengono esercitate attraverso le disposizioni del KWG. Ad esempio, il CRR definisce i calcoli del rapporto di capitale, mentre le Sezioni 10c-10i del KWG implementano il quadro nazionale dei buffer di capitale.

Cosa succede se una banca viola i requisiti del KWG?

BaFin ha a disposizione una serie di strumenti di enforcement. Ai sensi della Sezione 46 KWG, BaFin può emettere istruzioni all'istituzione per ripristinare la conformità, limitare le attività commerciali o vietare distribuzioni agli azionisti. Ai sensi della Sezione 49 KWG, BaFin può imporre sanzioni amministrative fino a 5 milioni di euro per violazione. Nei casi gravi, BaFin può revocare la licenza bancaria ai sensi della Sezione 35 KWG. BaFin può anche richiedere la rimozione di dirigenti che risultano non idonei e appropriati ai sensi della Sezione 36 KWG. Nella pratica, BaFin emette tipicamente riscontri e stabilisce scadenze di rimedio prima di passare a misure di enforcement formali.

MaRisk è legalmente vincolante?

MaRisk è un circolare di BaFin (Rundschreiben), non una legge o un regolamento. Tecnica, rappresenta la prassi amministrativa e l'interpretazione di BaFin della Sezione 25a del KWG. Tuttavia, è trattato come effettivamente vincolante nella pratica. I revisori di BaFin e i revisori esterni della Sezione 26 valutano la conformità rispetto ai requisiti di MaRisk, e il mancato rispetto di essi comporta riscontri di supervisione. I tribunali hanno costantemente sostenuto l'autorità di BaFin di far rispettare i requisiti di MaRisk come specificazione degli obblighi legali ai sensi della Sezione 25a del KWG.

Come si sovrappongono DORA e KWG per i requisiti IT?

Gli Articoli 5-16 di DORA stabiliscono requisiti di gestione del rischio ICT che si sovrappongono sostanzialmente ai requisiti IT affrontati in precedenza attraverso BAIT e MaRisk AT 7.2. BaFin ha indicato che il BAIT sarà ritirato, con DORA che avrà la precedenza per i requisiti legati all'ICT. Tuttavia, il requisito organizzativo generale della Sezione 25a del KWG rimane in vigore, e i requisiti di gestione del rischio non ICT di MaRisk continuano ad applicarsi. Nella pratica, le banche dovrebbero utilizzare DORA come riferimento primario per la gestione del rischio ICT e MaRisk per la gestione del rischio operativo più ampio, con la Sezione 25a del KWG come fondamento statutario generale.

requisiti KWGKreditwesengesetzLegge Bancaria Tedescaregolamentazione bancaria BaFin

Pronto a semplificare la conformità?

Preparati all’audit in settimane, non mesi. Guarda Matproof in azione.

Richiedi una demo