Mercato tedesco2026-02-0914 min di lettura

Requisiti MaRisk nel 2026: Requisiti Minimi per la Gestione del Rischio

Disponibile anche in:EnglishDeutschFrançaisEspañolNederlands

Indice

  1. 01Introduzione
  2. 02Cos'è il MaRisk?
  3. 03Requisiti Chiave
  4. 04Relazione con DORA e Altri Quadri Normativi
  5. 05Automazione della Conformità con Matproof
  6. 06Roadmap di Implementazione
  7. 07FAQ

Requisiti MaRisk nel 2026: Requisiti Minimi per la Gestione del Rischio

Introduzione

Il MaRisk di BaFin -- Mindestanforderungen an das Risikomanagement -- è il documento di supervisione più influente che modella il modo in cui le banche tedesche gestiscono il rischio. Pubblicato per la prima volta nel 2005 e aggiornato attraverso sette revisioni principali (l'ultima è la 7a modifica di MaRisk nel 2023), questo circolare definisce i requisiti minimi per la gestione del rischio presso le istituzioni di credito e le istituzioni di servizi finanziari ai sensi della Sezione 25a del KWG. Ogni banca che opera in Germania, indipendentemente dalle dimensioni o dalla complessità, deve dimostrare la conformità al MaRisk. È lo standard secondo il quale gli auditor di BaFin, gli esaminatori della Bundesbank e gli auditor esterni della Sezione 26 del KWG valutano l'adeguatezza del framework di gestione del rischio di una banca.

Nel 2026, il MaRisk occupa una posizione unica nel panorama normativo tedesco. Il DORA ha introdotto requisiti a livello UE per la gestione del rischio ICT che si sovrappongono parzialmente e in alcune aree superano i moduli tecnologici del MaRisk e delle sue circolari companion (BAIT, ZAIT, VAIT). BaFin ha confermato che il BAIT sarà ritirato e che gli standard tecnici attuativi del DORA avranno la precedenza per i requisiti specifici ICT. Tuttavia, il MaRisk stesso rimane pienamente in vigore per tutti i requisiti di gestione del rischio non ICT, e il suo quadro organizzativo generale continua a fornire la base strutturale entro la quale operano i requisiti ICT del DORA. Comprendere cosa richiede il MaRisk nel 2026 -- e cosa non copre più perché il DORA ha preso il sopravvento -- è essenziale per ogni team di conformità in una banca tedesca.

Cos'è il MaRisk?

Il MaRisk è una circolare di BaFin (Rundschreiben) che specifica i requisiti della Sezione 25a del KWG riguardo alla corretta organizzazione aziendale delle istituzioni di credito. Sebbene tecnicamente sia un'interpretazione amministrativa piuttosto che una legge, il MaRisk è trattato come vincolante nella pratica di supervisione. Gli auditor di BaFin valutano la conformità rispetto al MaRisk durante le ispezioni di routine e speciali, e gli auditor esterni valutano la conformità al MaRisk come parte dell'audit annuale ai sensi della Sezione 26 del KWG.

Il MaRisk è strutturato in due parti principali:

AT (Allgemeiner Teil -- Parte Generale): Stabilisce il quadro generale per la gestione del rischio, inclusi governance, strategia, propensione al rischio, struttura organizzativa e requisiti generali per processi, sistemi IT e documentazione.

BT (Besonderer Teil -- Parte Specifica): Contiene requisiti dettagliati per specifici tipi di rischio e funzioni aziendali, organizzati in BTO (Besonderer Teil Organisation -- requisiti organizzativi) e BTR (Besonderer Teil Risikosteuerung und -controlling -- requisiti di gestione e controllo del rischio).

La 7a modifica del MaRisk (novembre 2023) ha incorporato diversi cambiamenti significativi: requisiti migliorati per la gestione del rischio ESG (Ambientale, Sociale e di Governance), aspettative aggiornate per l'aggregazione dei dati e la reportistica sui rischi (allineate con il BCBS 239), requisiti di esternalizzazione rafforzati e aggiustamenti per riflettere il nuovo quadro del DORA. Questi cambiamenti riflettono le aspettative in evoluzione sia di BaFin che del Meccanismo di Supervisione Unico della BCE.

Il MaRisk si applica a tutte le istituzioni di credito e alle istituzioni di servizi finanziari in Germania secondo il principio di proporzionalità (Proportionalitatsprinzip). Ciò significa che l'implementazione specifica di ciascun requisito può variare in base alle dimensioni, complessità, profilo di rischio e modello di business dell'istituzione. Una grande banca universale implementerà il MaRisk in modo diverso rispetto a una piccola istituzione di credito specializzata, ma entrambe devono affrontare il contenuto di ogni requisito.

Requisiti Chiave

AT -- Requisiti Generali

AT 1 -- Osservazione Preliminare e Ambito (Vorbemerkung): Stabilisce l'ambito del MaRisk e il principio di proporzionalità. Tutti i requisiti devono essere implementati in modo appropriato alla natura, scala, complessità e profilo di rischio dell'istituzione.

AT 2 -- Responsabilità Complessiva della Direzione (Gesamtverantwortung der Geschaftsleitung): Il consiglio di gestione (Geschaftsleitung) ha la responsabilità complessiva per la gestione del rischio. Deve definire una strategia aziendale coerente e una strategia di rischio consistente derivata da essa. Il consiglio di gestione deve comprendere il profilo di rischio dell'istituzione e garantire che il framework di gestione del rischio sia adeguato.

AT 3 -- Gestione del Rischio (Risikomanagement): Richiede un framework di gestione del rischio completo che copra tutti i rischi materiali. Il framework deve includere processi di identificazione, misurazione, aggregazione, monitoraggio e reportistica dei rischi. Il processo di valutazione dell'adeguatezza del capitale interno (ICAAP) deve dimostrare che l'istituzione detiene capitale adeguato per il suo profilo di rischio. L'AT 3 affronta anche la cultura del rischio e l'aspettativa che la consapevolezza del rischio sia integrata in tutta l'organizzazione.

AT 4 -- Struttura Organizzativa e Operativa (Aufbau- und Ablauforganisation):

  • AT 4.1 -- Linee Guida Organizzative: Richiede strutture organizzative chiare con responsabilità e competenze definite. Si prevede il modello delle "tre linee di difesa": le linee di business come prima linea, gestione del rischio e conformità come seconda linea, e audit interno come terza linea.

  • AT 4.2 -- Funzione di Gestione del Rischio e Controllo: È obbligatoria una funzione di controllo del rischio indipendente. Deve avere accesso diretto al consiglio di gestione e non deve essere subordinata alla gestione della linea di business.

  • AT 4.3 -- Audit Interno (Interne Revision): La funzione di audit interno deve essere indipendente, adeguatamente dotata di risorse e coprire tutte le attività e i processi. Deve condurre una pianificazione degli audit basata sul rischio e riferire direttamente all'intero consiglio di gestione.

  • AT 4.4 -- Funzioni Speciali: Include requisiti per la funzione di conformità (AT 4.4.2), che deve essere indipendente e avere risorse adeguate, e la funzione di protezione dei dati.

AT 5 -- Quadro di Propensione al Rischio (Risikoappetit): Introdotto in modo più prominente nella 7a modifica, richiede alle istituzioni di definire la propria propensione al rischio in termini quantitativi e qualitativi, approvata dal consiglio di gestione e monitorata su base continua.

AT 7 -- Risorse (Ressourcen):

  • AT 7.1 -- Personale: Personale adeguato sia in quantità che in qualità per tutte le funzioni di gestione del rischio.
  • AT 7.2 -- Risorse Tecniche e Organizzative: Questo è il modulo più direttamente influenzato dal DORA. Storicamente copriva la sicurezza IT, l'integrità dei dati, la pianificazione delle emergenze e la gestione del rischio IT. Con il DORA ora in vigore, BaFin ha indicato che i requisiti specifici IT dell'AT 7.2 saranno interpretati attraverso la lente degli Articoli 5-16 del DORA, e il BAIT (che specificava ulteriormente l'AT 7.2) sarà ritirato.
  • AT 7.3 -- Pianificazione delle Emergenze: Richiede la gestione della continuità aziendale, inclusa l'analisi dell'impatto aziendale, piani di continuità e test regolari. Questo modulo interagisce con i requisiti di test di resilienza del DORA ai sensi degli Articoli 24-27.

AT 9 -- Esternalizzazione (Auslagerungen): Requisiti completi per la gestione del rischio di esternalizzazione, inclusa la valutazione del rischio prima dell'esternalizzazione, requisiti contrattuali, monitoraggio continuo e strategie di uscita. La 7a modifica ha rafforzato questi requisiti e li ha allineati con le linee guida di esternalizzazione dell'EBA. L'Articolo 28 del DORA aggiunge ulteriori requisiti per i fornitori terzi ICT che integrano l'AT 9.

BTO -- Requisiti Organizzativi

BTO 1 -- Attività di Credito (Kreditgeschaft): Requisiti dettagliati per l'organizzazione delle attività di credito, inclusa la separazione tra front office e back office (Markt und Marktfolge), processi di approvazione del credito, monitoraggio del credito e gestione dei prestiti problematici. Questo è uno dei moduli più dettagliati del MaRisk.

BTO 2 -- Attività di Trading (Handelsgeschaft): Requisiti per le attività di trading, inclusa la separazione tra front office, back office e controllo del rischio, valutazione mark-to-market e limiti di trading.

BTR -- Gestione del Rischio e Controllo

BTR 1 -- Rischio di Controparte e di Credito (Adressenausfallrisiken): Requisiti per l'identificazione, la misurazione e il monitoraggio del rischio di credito, inclusa la gestione del portafoglio, il rischio di concentrazione e il rischio paese.

BTR 2 -- Rischio di Prezzo di Mercato (Marktpreisrisiken): Requisiti per la gestione del rischio di mercato, inclusi modelli VaR, stress testing e sistemi di limiti.

BTR 3 -- Rischio di Liquidità (Liquiditatsrisiken): Requisiti per la gestione del rischio di liquidità, inclusi piani di finanziamento, buffer di liquidità e stress testing su diversi orizzonti temporali.

BTR 4 -- Rischio Operativo (Operationelle Risiken): Requisiti per identificare, valutare e gestire i rischi operativi, inclusa la raccolta di dati sulle perdite, l'analisi degli scenari e gli indicatori di rischio.

Relazione con DORA e Altri Quadri Normativi

L'interazione tra MaRisk e DORA è lo sviluppo normativo più significativo per le banche tedesche nel 2026. Il principio chiave è che il DORA ha la precedenza per i requisiti relativi all'ICT mentre il MaRisk rimane autorevole per tutti gli altri requisiti di gestione del rischio.

In particolare:

  • AT 7.2 (Risorse Tecniche e Organizzative) e BAIT sono superati dagli Articoli 5-16 del DORA (quadro di gestione del rischio ICT), Articoli 17-23 (reporting degli incidenti ICT) e Articoli 24-27 (test di resilienza operativa digitale).
  • AT 7.3 (Pianificazione delle Emergenze) si sovrappone ai requisiti di test di resilienza del DORA ma mantiene rilevanza per scenari di continuità aziendale non ICT.
  • AT 9 (Esternalizzazione) è integrato dall'Articolo 28 del DORA (gestione del rischio di terzi ICT) per l'esternalizzazione tecnologica, ma rimane il framework principale per l'esternalizzazione non ICT.
  • BTR 4 (Rischio Operativo) continua ad applicarsi a tutti i rischi operativi, con il DORA che fornisce ulteriore specificità per i rischi operativi relativi all'ICT.

Le circolari companion BAIT (Bankaufsichtliche Anforderungen an die IT), ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) e VAIT (Versicherungsaufsichtliche Anforderungen an die IT) -- collettivamente denominate xAIT -- saranno ritirate man mano che gli standard tecnici attuativi e normativi del DORA entreranno in pieno effetto. Questo semplifica il panorama normativo in alcuni modi, ma richiede alle banche di rimappare i loro controlli di conformità dalla struttura xAIT familiare al quadro del DORA.

La ISO 27001 rimane un approccio riconosciuto per dimostrare lo "stato dell'arte" della sicurezza IT a cui sia il MaRisk che il DORA fanno riferimento. Un ISMS certificato ISO 27001 fornisce una base strutturata per soddisfare i requisiti tecnici di entrambi i quadri.

I requisiti CRR/CRD per l'adeguatezza del capitale e la gestione del rischio operano insieme al MaRisk. Il MaRisk specifica come il framework di gestione del rischio dovrebbe essere organizzato e operato, mentre il CRR/CRD prescrivono i requisiti quantitativi di capitale e liquidità. Insieme, formano il completo quadro prudenziale per le banche tedesche.

Automazione della Conformità con Matproof

La conformità al MaRisk riguarda fondamentalmente la dimostrazione che i processi di gestione del rischio non sono solo progettati, ma funzionano effettivamente in modo efficace. L'audit annuale ai sensi della Sezione 26 del KWG, le regolari ispezioni di BaFin e le ispezioni della Bundesbank richiedono tutte evidenze che i requisiti del MaRisk siano soddisfatti su base continua -- non solo in un determinato momento.

Matproof automatizza la raccolta delle evidenze che rende possibile questa dimostrazione continua. La piattaforma mappa i moduli MaRisk a controlli specifici e elementi di evidenza nelle sezioni AT e BT. Per i requisiti organizzativi dell'AT 4.1, raccoglie evidenze delle definizioni di ruolo, dei controlli di accesso e della segregazione dei compiti. Per l'AT 7.2/DORA, monitora i controlli di sicurezza IT, le procedure di backup e la disponibilità del sistema. Per l'esternalizzazione dell'AT 9, tiene traccia della documentazione di esternalizzazione, della conformità SLA e delle valutazioni del rischio dei fornitori.

La capacità della piattaforma di operare attraverso diversi quadri è particolarmente preziosa data la transizione MaRisk-DORA. Matproof mantiene mappature tra il MaRisk AT 7.2, i requisiti BAIT precedenti e gli articoli corrispondenti del DORA. Man mano che le banche transitano dalla struttura xAIT al DORA, la piattaforma garantisce che le evidenze raccolte sotto la vecchia struttura siano correttamente mappate ai nuovi requisiti, evitando lacune di conformità durante il periodo di transizione.

Per l'audit annuale della Sezione 26, Matproof genera pacchetti di evidenze strutturate organizzate per modulo MaRisk. Gli auditor ricevono una chiara e tracciabile catena di evidenze per ogni requisito piuttosto che una raccolta di documenti disparati. Questo riduce il tempo di preparazione dell'audit da settimane a giorni e riduce significativamente il rischio di risultati di audit causati da lacune documentali piuttosto che da effettive carenze di controllo.

Tutti i dati di conformità sono archiviati in data center tedeschi con piena residenza dei dati nell'UE, soddisfacendo le aspettative di BaFin per la sovranità dei dati e i requisiti di protezione dei dati che si applicano alle informazioni sensibili sulla gestione del rischio contenute nelle evidenze del MaRisk.

Roadmap di Implementazione

Fase 1 (Settimane 1-4): Mappatura del MaRisk e Analisi delle Lacune. Creare una mappatura completa di tutti i requisiti del MaRisk applicabili alla propria istituzione, tenendo conto del principio di proporzionalità. Per ogni modulo AT e BT, identificare lo stato attuale di conformità e documentare eventuali lacune. Prestare particolare attenzione al confine tra MaRisk e DORA -- determinare quali requisiti sono ora affrontati dal DORA e quali rimangono obblighi puramente del MaRisk.

Fase 2 (Settimane 5-8): Allineamento del Quadro di Controllo. Allineare il proprio quadro di controllo interno con la mappatura del MaRisk. Assicurarsi che ogni requisito del MaRisk abbia almeno un controllo, che ogni controllo abbia evidenze definite e che la raccolta delle evidenze sia automatizzata o abbia un chiaro processo manuale con responsabilità assegnate. Affrontare la transizione dal BAIT al DORA rimappando i controlli IT dalla precedente struttura BAIT alla struttura degli articoli del DORA.

Fase 3 (Settimane 9-12): Implementazione dell'Automazione. Implementare la raccolta automatizzata delle evidenze per i controlli che possono essere monitorati elettronicamente. Collegare la piattaforma di conformità all'infrastruttura IT, ai sistemi HR, ai sistemi di gestione del rischio e ai repository di documentazione di governance. Configurare dashboard che forniscano alla direzione visibilità in tempo reale sullo stato di conformità al MaRisk.

Fase 4 (In Corso): Monitoraggio Continuo e Prontezza per l'Audit. Mantenere la raccolta automatizzata delle evidenze durante tutto l'anno. Condurre revisioni interne trimestrali della conformità al MaRisk. Prepararsi per l'audit annuale della Sezione 26 generando pacchetti di evidenze pre-strutturati dalla piattaforma di conformità. Aggiornare la mappatura del MaRisk ogni volta che BaFin pubblica modifiche circolari o nuove linee guida di supervisione.

FAQ

Il MaRisk sarà sostituito dal DORA?

No. Il DORA sostituisce i componenti specifici ICT del MaRisk (principalmente l'AT 7.2 e la sua specifica dettagliata attraverso il BAIT), ma il MaRisk nel suo insieme rimane pienamente in vigore. I requisiti organizzativi generali (AT 1-6, AT 8-9), tutti i moduli BTO per l'organizzazione delle attività di credito e trading, e tutti i moduli BTR per specifici tipi di rischio continuano ad applicarsi senza cambiamenti. Il MaRisk è il quadro generale per la gestione del rischio; il DORA affronta il sottoinsieme specifico per l'ICT all'interno di quel quadro.

Con quale frequenza viene auditato il MaRisk?

La conformità al MaRisk è valutata annualmente come parte dell'audit esterno ai sensi della Sezione 26 del KWG. Inoltre, BaFin e la Bundesbank conducono ispezioni di supervisione di routine e speciali che includono la valutazione della conformità al MaRisk. La frequenza delle ispezioni speciali dipende dal profilo di rischio dell'istituzione e dalle priorità di supervisione di BaFin. Le istituzioni significative sotto la supervisione diretta della BCE sono soggette a ispezioni in loco coordinate attraverso il quadro SSM, che valutano anche la conformità al MaRisk.

Quali sono le conseguenze della non conformità al MaRisk?

La non conformità al MaRisk comporta risultati di supervisione (Feststellungen) che l'istituzione deve risolvere entro un periodo di tempo specificato da BaFin. La non conformità persistente può sfociare in misure di supervisione formali ai sensi della Sezione 25a(2) del KWG, inclusi divieti sulle attività commerciali, sovrapprezzi di capitale o requisiti per rafforzare il consiglio di gestione. Nei casi gravi, BaFin può imporre sanzioni amministrative ai sensi della Sezione 49 del KWG fino a 5 milioni di EUR per violazione. Gli auditor esterni della Sezione 26 sono tenuti a segnalare le carenze del MaRisk nel loro rapporto di audit, che BaFin esamina e può agire di conseguenza.

Come funziona in pratica il principio di proporzionalità?

Il principio di proporzionalità (Proportionalitatsprinzip) nell'AT 1 del MaRisk significa che l'implementazione specifica di ciascun requisito dovrebbe essere commisurata alla natura, scala, complessità e profilo di rischio dell'istituzione. Una piccola cassa di risparmio (Sparkasse) con operazioni bancarie al dettaglio semplici implementa il MaRisk in modo diverso rispetto a una grande banca universale con attività di trading complesse. Tuttavia, la proporzionalità non significa esenzione: ogni istituzione deve affrontare il contenuto di ogni requisito del MaRisk. BaFin valuta la proporzionalità caso per caso durante le ispezioni di supervisione e si aspetta che le istituzioni documentino le loro motivazioni per come hanno applicato il principio.

requisiti MaRiskMaRisk 2026gestione del rischio BaFinrequisiti minimi gestione del rischio

Pronto a semplificare la conformità?

Preparati all’audit in settimane, non mesi. Guarda Matproof in azione.

Richiedi una demo