Skip to content
Home

7. April 2026 | 6 min

11 Millionen Euro Strafe für Revolut: Warum der Fall ein Weckruf für GRC ist

Der Fall Revolut zeigt eindrücklich, wie schnell operative Entscheidungen zu regulatorischen Risiken werden können. Die italienische Wettbewerbsbehörde hat das Fintech mit über 11 Millionen Euro bestraft – nicht wegen eines einzelnen Verstosses, sondern wegen einer Kombination aus unklarer Kommunikation, mangelhafter Transparenz und problematischen Prozessen im Umgang mit Kunden.

Im Kern geht es um eine einfache, aber für GRC entscheidende Frage:
Was Unternehmen ihren Kunden versprechen – und was tatsächlich passiert.

Genau hier entstehen die grössten Risiken.

Das wichtigste in Kürze

  • Revolut wurde mit über 11 Millionen Euro wegen mehrerer Verstösse sanktioniert.
  • Zentrale Themen waren irreführende Investmentdarstellung, unklare Kosten und aggressive Account-Sperrungen.
  • Kunden wurden nicht ausreichend über Risiken, Einschränkungen und Prozesse informiert.
  • Der Fall zeigt typische GRC-Schwachstellen in schnell skalierenden digitalen Geschäftsmodellen.
  • Transparenz, Governance und saubere Prozesse sind zentrale regulatorische Erwartungen.
  • GRC betrifft nicht nur Regeln, sondern auch Produktdesign, Kommunikation und operative Umsetzung.

Was konkret passiert ist

Die italienische Aufsichtsbehörde stellte mehrere Probleme fest, die sich über verschiedene Bereiche des Geschäftsmodells erstreckten.

Ein zentraler Punkt war die Darstellung von Investmentprodukten. Revolut bewarb bestimmte Angebote als „kommissionsfrei“, ohne dabei von Anfang an klar zu machen, welche zusätzlichen Kosten, Einschränkungen oder Unterschiede tatsächlich bestehen. Besonders kritisch wurde bewertet, dass sogenannte Bruchstücke von Aktien andere Eigenschaften haben als klassische Aktien – etwa in Bezug auf Rechte oder Übertragbarkeit – und diese Unterschiede nicht ausreichend kommuniziert wurden.

Ein zweiter grosser Kritikpunkt war der Umgang mit Kontosperrungen. Kunden berichteten, dass Konten eingeschränkt oder blockiert wurden, ohne ausreichende Vorabinformation oder klare Erklärung der Gründe. In einigen Fällen hatten Nutzer über längere Zeit keinen Zugriff auf ihre Gelder. (en.agcm.it)

Ein dritter Aspekt betraf fehlende Transparenz bei operativen Details, etwa bei der Umstellung auf lokale Bankkonten. Kunden wussten nicht klar, wann und unter welchen Bedingungen sie beispielsweise eine nationale Kontonummer erhalten würden.

Das Entscheidende: Es ging nicht um einen technischen Fehler, sondern um systemische Defizite in Kommunikation, Prozessen und Governance.

Warum dieser Fall aus GRC-Sicht so relevant ist

Der Revolut-Fall ist kein Einzelfall. Er steht exemplarisch für strukturelle Herausforderungen moderner, digitaler Geschäftsmodelle.

1. Produktversprechen vs Realität

Viele digitale Plattformen arbeiten mit einfachen, attraktiven Botschaften wie „kostenlos“, „sofort verfügbar“ oder „einfach“. Das Problem entsteht, wenn diese Versprechen nicht vollständig oder nicht verständlich erklärt werden.

Aus GRC-Sicht bedeutet das:
Produktdesign und Kommunikation sind Teil der Compliance.

Wenn Kunden ein Produkt nicht richtig verstehen, entsteht nicht nur ein Reputationsrisiko, sondern ein regulatorisches Problem.

2. Operations sind Teil der Compliance

Ein besonders kritischer Punkt ist der Umgang mit Kontosperrungen.

Aus regulatorischer Sicht ist es legitim, Konten einzuschränken – etwa aus Gründen der Geldwäscheprävention oder Sicherheit. Entscheidend ist jedoch, wie dieser Prozess gestaltet ist:

  • Gibt es klare Regeln?
  • Werden Kunden informiert?
  • Können sie reagieren?
  • Gibt es Support und Eskalationsmöglichkeiten?

Wenn diese Prozesse nicht sauber definiert sind, wird aus einer Sicherheitsmassnahme schnell ein Compliance-Verstoss.

3. Skalierung ohne Governance

Viele Fintechs wachsen extrem schnell. Neue Produkte, neue Märkte, neue Kunden.

Was dabei oft nicht im gleichen Tempo wächst, ist die Governance-Struktur.

Der Revolut-Fall zeigt genau dieses Muster:

  • Komplexe Produkte ohne ausreichende Erklärung
  • Operative Prozesse ohne klare Kommunikation
  • Unterschied zwischen interner Logik und externer Wahrnehmung

GRC muss hier als Stabilitätsanker wirken – nicht als nachgelagerte Kontrollfunktion.

Die eigentlichen GRC-Probleme hinter dem Fall

Wenn man den Fall strukturiert betrachtet, lassen sich mehrere typische GRC-Schwachstellen erkennen.

Fehlende Transparenz in der Customer Journey

Informationen müssen nicht nur vorhanden sein, sondern zur richtigen Zeit, im richtigen Kontext und verständlich bereitgestellt werden.

Gerade im digitalen Umfeld reicht es nicht, Informationen irgendwo in Dokumenten zu verstecken.

Unklare Verantwortlichkeiten

Wer ist verantwortlich für:

  • Produktkommunikation
  • Kundentransparenz
  • operative Prozesse
  • Eskalationsmechanismen

Wenn diese Verantwortlichkeiten nicht klar geregelt sind, entstehen Lücken.

Fragmentierte Prozesse

Oft sind Produktentwicklung, Compliance, Legal und Operations nicht ausreichend integriert.

Das führt dazu, dass:

  • Produkte entwickelt werden, ohne alle regulatorischen Aspekte zu berücksichtigen
  • Prozesse entstehen, die aus operativer Sicht sinnvoll sind, aber regulatorisch problematisch

Fehlende End-to-End-Sicht

GRC wird häufig in Silos gedacht.

Der Kunde erlebt jedoch immer den gesamten Prozess – von der Registrierung über die Nutzung bis zur möglichen Einschränkung.

Wenn diese End-to-End-Sicht fehlt, entstehen genau die Probleme, die im Revolut-Fall sichtbar wurden.

Was Unternehmen daraus lernen müssen

Der wichtigste Punkt:
GRC beginnt nicht bei der Kontrolle, sondern beim Design.

Unternehmen sollten mehrere Prinzipien berücksichtigen:

Erstens: Transparenz by Design
Produkte müssen so gestaltet sein, dass Kunden sie verstehen – inklusive Risiken, Einschränkungen und Kosten.

Zweitens: Process Governance
Kritische Prozesse wie Kontosperrungen oder Transaktionsprüfungen müssen klar definiert, dokumentiert und kommuniziert sein.

Drittens: Integration von GRC in Produktentwicklung
Compliance darf kein nachgelagerter Check sein, sondern muss von Anfang an Teil der Entwicklung sein.

Viertens: Customer Impact als Risikoindikator
Wenn Prozesse zu Frustration, Unsicherheit oder fehlender Kontrolle bei Kunden führen, ist das oft ein Frühindikator für regulatorische Risiken.

Fünftens: Skalierbare Governance-Strukturen
Wachstum ohne Governance führt zwangsläufig zu Problemen.

Fazit

Der Revolut-Fall ist mehr als nur eine einzelne Strafe. Er zeigt, wie sich GRC-Risiken in modernen digitalen Geschäftsmodellen entwickeln.

Nicht fehlende Regeln sind das Problem, sondern fehlende Integration.

Unternehmen müssen verstehen, dass:

  • Kommunikation ein Compliance-Thema ist
  • Prozesse ein Compliance-Thema sind
  • Produktdesign ein Compliance-Thema ist

GRC ist damit kein Kontrollsystem am Ende, sondern ein integraler Bestandteil des gesamten Geschäftsmodells.

Wer das nicht versteht, wird früher oder später regulatorisch korrigiert.

FAQ

Warum wurde Revolut bestraft?
Wegen irreführender Kommunikation zu Investmentprodukten, unklarer Kostenstruktur, problematischer Kontosperrungen und fehlender Transparenz gegenüber Kunden.

War das ein technisches Problem?
Nein. Es handelte sich primär um ein Governance- und Prozessproblem.

Was ist die wichtigste GRC-Lehre aus dem Fall?
Dass Compliance nicht nur Regeln betrifft, sondern auch Produktdesign, Kommunikation und operative Abläufe.

Warum sind Kontosperrungen ein Risiko?
Weil sie direkt den Zugang zu Geld betreffen und daher besonders hohe Anforderungen an Transparenz und Fairness bestehen.

Was sollten Unternehmen konkret ändern?
Sie sollten GRC früh in Produktentwicklung integrieren, klare Prozesse definieren, Transparenz erhöhen und Governance-Strukturen skalierbar aufbauen.

Share

Related posts

Bankenfusionen in der EU: Wie GRC den Kurs bestimmt
21 Juli 2025 | 3 min

Bankenfusionen in der EU: Wie GRC den Kurs bestimmt

 Die Europäische Union verstärkt aktuell den Druck auf ihre Mitgliedsstaaten, grenzüberschreitende Bankenfusionen nicht länger politisch zu blockieren. Ziel ist ein stärker integrierter europäischer Bankensektor, der international wettbewerbsfähig bleibt und systemische Risiken besser abfedert. Die Debatte um geplante Fusionen in Spanien, Italien und potenziell auch Deutschland bringt dabei zentrale Fragestellungen aus dem GRC-Kontext auf den Tisch:<a href="https://zazoon.com/de/bankenfusionen-in-der-eu-wie-grc-den-kurs-bestimmt/">Continue reading <span class="sr-only">"Bankenfusionen in der EU: Wie GRC den Kurs bestimmt"</span></a>
Read more
Operational Resilience: Wie Unternehmen über Business Continuity hinausdenken müssen
17 Juni 2025 | 3 min

Operational Resilience: Wie Unternehmen über Business Continuity hinausdenken müssen

 Die Anforderungen an Unternehmen, ihre Widerstandsfähigkeit gegen Störungen sicherzustellen, wachsen rapide. Klassische Business-Continuity-Konzepte reichen im Jahr 2025 nicht mehr aus, um den vielfältigen regulatorischen und operativen Risiken gerecht zu werden. Der Begriff Operational Resilience rückt ins Zentrum moderner GRC-Strategien. Doch was bedeutet er genau? Und wie kann ein GRC-System helfen, die Resilienz eines Unternehmens systematisch<a href="https://zazoon.com/de/operational-resilience-wie-unternehmen-ueber-business-continuity-hinausdenken-muessen/">Continue reading <span class="sr-only">"Operational Resilience: Wie Unternehmen über Business Continuity hinausdenken müssen"</span></a>
Read more
Regulation Overload 2026: Wie Unternehmen NIS2, AI Act und DORA gleichzeitig bewältigen
24 März 2026 | 10 min

Regulation Overload 2026: Wie Unternehmen NIS2, AI Act und DORA gleichzeitig bewältigen

 Im März 2026 ist „Regulation Overload“ keine Zuspitzung mehr, sondern operative Realität. NIS2 hätte bis zum 17. Oktober 2024 in nationales Recht überführt werden müssen, DORA gilt seit dem 17. Januar 2025 unmittelbar für den Finanzsektor, und beim AI Act gelten seit Februar 2025 bereits erste Pflichten, während der nächste grosse Umsetzungsblock im August 2026<a href="https://zazoon.com/de/regulation-overload-2026-wie-unternehmen-nis2-ai-act-und-dora-gleichzeitig-bewaeltigen/">Continue reading <span class="sr-only">"Regulation Overload 2026: Wie Unternehmen NIS2, AI Act und DORA gleichzeitig bewältigen"</span></a>
Read more