EBA: Der unüberlegte Einsatz von RegTech erhöht Geldwäscherisiken

Zwar weist die EBA auf das grosse Potenzial von RegTech-Lösungen zur Geldwäschebekämpfung hin, hebt in ihrem Bericht aber deutliche Mängel bei der Umsetzung hervor, die zu Schwächen im Geldwäscherei-Dispositiv führen: 60% der wesentlichen AML/CFT-Mängel, die von den zuständigen nationalen Behörden in den Jahren 2023 und 2024 an die EBA gemeldet wurden, beziehen sich auf Probleme im Zusammenhang mit RegTech-Technologien, -Systemen und -Tools. Als Ursachen für die mangelhafte Umsetzung benennt die EBA ein unzureichendes internes Fachwissen, eine mangelhafte Governance und eine ungenügende Überwachung.

Unbeabsichtigte Risiken durch Automatisierung

In ihrem Bericht führt die EBA Outsourcing, eine Automatisierung ohne Überwachung und einen Mangel an internen Kompetenzen als die größten AML/CTF-Risiken im Zusammenhang mit RegTech auf. Bei einer Umfrage der EBA unter den zuständigen nationalen Behörden, identifizieren mehr als die Hälfte der Befragten das Outsourcing von RegTech als erhebliches Risiko (Drittparteirisiken) und weisen darauf hin, dass Finanzinstitute zum Teil keine ausreichende Überwachung über grössere Outsourcing-Vereinbarungen haben.

Auch die Automatisierung ohne robuste Kontrollen setzt Finanzinstitute erheblichen Risiken aus. In der Umfrage schätzen fast die Hälfte der nationalen Behörden die Risiken einer unzureichend überwachten RegTech-Lösung in der Geldwäschebekämpfung als erheblich ein. Die mangelnde Überprüfung, insbesondere in Schlüsselbereichen wie Onboarding, Due Diligence, Transaktionsüberwachung und Namescreening, kann die Einhaltung von Vorschriften erheblich beeinträchtigen und die Anfälligkeit des Finanzsystems für Geldwäscherei erhöhen.

Ebenfalls fehlt es Finanzinstituten gemäss Einschätzung der Behörden an den erforderlichen internen Kompetenzen, um RegTech-Lösungen effektiv einsetzen zu können. Die starke Abhängigkeit vieler beaufsichtigter Unternehmen von standardisierten Lösungen („Konzentrationsrisiko“) verschärft dieses Problem zusätzlich – insbesondere, wenn Tools nicht an das spezifische Risikoprofil und die Bedürfnisse des Instituts angepasst werden.

RegTech effektiv einsetzen: Der Governance-Imperativ

Die EBA betont, dass Technologie allein keine Compliance gewährleistet: Eine risikobasierte Überwachung, effektive Kontrollen, Transparenz und Erklärbarkeit von RegTech-Systemen sind unerlässlich für einen wirksamen Einsatz neuer Technologien in der Geldwäschebekämpfung. Institute, die einem „Set and Forget“-Ansatz folgen und RegTech-Lösungen nicht an die institutsspezifischen Anforderungen anpassen, riskieren, ihr Geldwäscherei-Dispositiv mit RegTech zu schwächen, statt zu stärken.

KI: Die Aufholjagd hat begonnen

Gleichzeitig verändert KI die Spielregeln. Die EBA weist in ihrem Bericht auf die zunehmende Verwendung von KI-Technologien für betrügerische Kontoeröffnungen oder Kontoübernahmen hin. Kriminelle Netzwerke nutzen KI, um ihre Finanzgeschäfte zu automatisieren, Geldquellen zu verschleiern und risikobehaftete Transaktionen schwerer aufdeckbar zu machen. Der Bericht führt Fälle auf, in denen Kriminelle Standardkontrollen zur Online-Kundenidentifizierung umgehen, indem sie sich für eine andere Person ausgeben, dabei gefälschte Ausweise verwenden oder „Money Mules“ nutzen, bei denen legitime Kunden durch KI und Deepfake-Technologien getäuscht werden und ihre Konten Kriminellen für Geldwäschezwecke zur Verfügung stellen.

Um sich gegen solche Angriffe zu verteidigen, benötigen Banken gleichwertige Technologien. Wie unsere Studie „KI im Compliance“² jedoch gezeigt hat, stehen Banken vor grossen Herausforderungen, wenn es darum geht, KI-Technologien zu verstehen und qualifiziertes Personal für die Entwicklung, Integration und effektive Überwachung zu finden.

Wie Synpulse bei der Implementierung von RegTech unterstützt

Mit fast 30 Jahren Erfahrung in der Beratung von Finanzinstituten zu neuen Technologien verstehen wir die Herausforderungen, denen Banken bei der Implementierung von RegTech und der Schaffung von Mehrwert für Kunden, Mitarbeiter und Aktionäre gegenüberstehen.

Wir unterstützen unsere Kunden bei der:

• Bewertung und Auswahl geeigneter RegTech-Lösungen im Hinblick auf das institutsspezifische Risikoumfeld, Geschäftsmodell und die Compliance-Anforderungen

• Eigenen Entwicklung oder der Anpassung und Integration von externen RegTech-Lösungen (einschließlich KI-gestützter Systeme) in den Kontrollrahmen (hier: Geldwäscherei-Dispositiv) und die IT-Architektur des Unternehmens

• Der Entwicklung von internem Fachwissen durch maßgeschneiderte Schulungen und Change Management
• Sicherstellung robuster Governance-Standards und einer effektiven Überwachung der Technologie – und bei externen RegTech-Lösungen der Outsourcing-Partner – zur Erfüllung von Audit- und regulatorischen Anforderungen

Im Fokus: Praxisleitfaden zu KI-Governance und Risikomanagement

Der Praxisleitfaden zu KI-Governance und Risikomanagement³ zeigt BestPractices und praktische Tipps für den Einsatz von RegTech- und KI-Lösungen in Compliance-Prozessen auf. Zu den wichtigsten Elementen gehören:

• Eine KI-Strategie, die den erwarteten Nutzen, die Kosten und die Risiken abwägt sowie strategische Ziele und das KI-Betriebsmodell definiert

• Eine Risikobewertung und -toleranz als Grundlage für die Festlegung von Massnahmen im KI-Risikomanagement

• Eine klar definierte Risikoverantwortung, Transparenz und Erklärbarkeit bei algorithmischen Entscheidungen

• Eine regelmäßige Überprüfung der Wirksamkeit von KI/RegTech-Lösungen, Kontrollen und Risikominderungsstrategien mit Schwerpunkt in den Bereichen Modell-, Daten-, Cyber- und Drittparteien-Risikomanagement

Synpulse unterstützt Sie dabei, KI- und RegTech-Lösungen zur effektiven Risikominderung – z.B. von Geldwäschereirisiken – einzuführen und dabei neue, unerkannte Risiken zu vermeiden.

^{1 Opinion and Report on ML TF risks.pdf}

^{2 Wegweisende Studie über KI in Compliance}

^{3 go.synpulse.com/STUDIE-TEIL-2-Praxisleitfaden-DE-Digital}