Praxisbericht: Erkenntnisse aus der Entwicklung eines Schweizer AML-Compliance-Chatbots


Hintergrund

Anfang 2025 befragte Synpulse Banken in der Schweiz und Liechtenstein zu ihrem Einsatz von KI im Compliance. Das Feedback hob Chatbots als einen der wichtigsten Anwendungsfälle hervor. Gespräche mit Kunden und die Analyse von Marktlösungen zeigten, dass die Qualität von am Markt verfügbaren Chatbots sehr unterschiedlich ist. Dies veranlasste uns, das Regulatory Compliance & Risk Team von Synpulse in der Schweiz, die Entwicklung eines eigenen Chatbots zu Schweizer Geldwäschereivorschriften mit dem Ziel zu starten, Einblicke in den Entwicklungsprozess zu gewinnen.

Ansatz

Jeder, der mit Geldwäschereivorschriften vertraut ist, weiß, dass Schweizer (und andere) AML-Regulierungen nicht durchgehend konsistent und umfassend sind – d. h. Regeln sind über Gesetze, Verordnungen, Rundschreiben und Selbstregulierungs- und Guidance-Dokumente verteilt und decken nicht alle Bereiche ab. Aufgrund von Inkonsistenzen, Ungenauigkeiten und Lücken ist die Auslegungspraxis entscheidend. Dies ist Teil der täglichen Compliance-Arbeit. Um dieser Ausgangssituation gerecht zu werden, hat Synpulse den Chatbot in einem mehrstufigen Prozess entwickelt:

  1. Ablage der unterschiedlichen Dokumenttypen in spezifischen Vektordatenbanken zur Unterstützung einer Retrieval Augmented Generation (RAG)
  2. Einsatz eines LLM-Agenten, der Nutzer-Fragen und deren Absicht interpretiert und schärft und die Suche ausreichend lange wiederholt
  3. Umfangreiches Prompt-Engineering und Testing
  4. Keine Integration einer Reinforcement-Learning-Funktionalität, sondern manuelle Berücksichtigung von Feedback


Chatbot development in 6 steps DE2
Abbildung 1: Chatbot-Entwicklung in 6 Schritten

Herausforderungen

Prompt-Engineering

Obwohl der Chatbot nach seiner Ersteinrichtung besser funktionierte als viele andere Lösungen, die wir ausprobieren durften, stellten Inkonsistenzen und Ungenauigkeiten in den Dokumenten eine Herausforderung dar. Der Chatbot dachte sich dann gelegentlich Antworten aus («Halluzination»), lieferte vage Antworten oder übersah wichtige Zusammenhänge und Vorschriften.

Die Entwicklung eines umfangreichen und logisch-klaren Prompts erwies sich als zentral für die Überwindung von Schwachstellen in den Dokumenten. Das Prompt-Engineering führte zuweilen zu unvorhersehbaren Ergebnissen, was die Bedeutung des Testens unterstreicht.

Ungenauigkeiten und Fehler traten bei Fragen zur Dokumentation von wirtschaftlich Berechtigten vs. Kontrollpersonen, Unterscheidung zwischen operativen und Sitzgesellschaften, Ausnahmen (z. B. für bestimmte Kapitalmarkttransaktionen), Identifikation von Unternehmen ohne Rechtspersönlichkeit, Unterscheidung zwischen Meldepflicht und Melderecht und zu erforderlichen Schritten nach der Einreichung einer Verdachtsmeldungen sowie bei Angaben von Zitaten und Quellen auf.

Anmerkung: Wenn hier die Rede von «Inkonsistenzen», «Schwachstellen», «Ungenauigkeiten» und «Lücken» in Dokumenten und Regularien ist, beziehen wir uns auf die Dokumentenqualität aus der Perspektive der Datenverarbeitung durch ein LLM, nicht auf die regulatorische Dokumentenqualität. Da Schweizer Regularien Prinzipien-basiert und risiko-orientiert anzuwenden sind, können diese nicht jeden Aspekt umfassend beschreiben.

Technisches Setup

Eine weitere Herausforderung bestand in der Entwicklung einer Lösung, die sicher, zuverlässig, leistungsfähig und kosteneffizient ist und innerhalb eines Budgets von 1.000 CHF für zwei Monate Betriebskosten für die Infrastruktur liegt. Wir haben dazu eine schlanke, aber performante Infrastruktur aufgebaut, mussten allerdings Kompromisse eingehen. So haben wir beispielsweise keine On-the-Fly-Modellumschaltung zwischen verschiedenen LLM-Anbietern integriert, da dies zusätzliche Entwicklungskosten verursacht hätte.

Leistung und Zuverlässigkeit haben wir sichergestellt, indem wir nach Möglichkeit auf die von AWS (Amazon Web Services) bereitgestellte Infrastruktur und Managed Services abgestellt haben.

Datenschutz

Für Zwecke einer einfachen und schnellen Realisierung haben wir uns für ein Hosting von AWS in Deutschland und Agenten von OpenAI und LangChain in den USA entschieden. Dieser Ansatz war aus Datenschutzüberlegungen nicht optimal: Bei einem breiteren Einsatz des Chatbots in einer Bank wäre eine solche Konfiguration inakzeptabel, da immer das Risiko besteht, dass Mitarbeitende kundenbezogene Daten in den Chatbot eingeben. Eine vollständige Datenverarbeitung in der Schweiz wäre empfehlenswert1.

Ergebnis

Wir haben diesen Chatbot dann 30 Schweizer Banken – hauptsächlich vertreten durch Compliance-Beauftragte und AML-Fachexperten – zum Testen zur Verfügung gestellt und etwa 70 Fragen erhalten. Der Chatbot lieferte eine Fehlerquote von ca. 8%, hauptsächlich bei Fragen zu Trust- und Stiftungsdokumentation und Verdachtsmeldungen. Auch wenn die Fehlerquote angesichts der kurzen Entwicklungszeit gering erscheint, kann bereits eine einzige falsche Antwort im Bereich Compliance ein erhebliches Risiko für die Bank darstellen.

Banken müssen deshalb sicherstellen, dass sie die Kontrolle behalten und sich nicht blind auf Antworten des Chatbots verlassen – eine Voraussetzung, die bei Compliance-relevanten Prozessen unabhängig von der Nutzung eines Chatbots gegeben sein sollte: Wo sich Compliance-Risiken in den Abläufen stellen, wird eine Bank bereits Kontrollen etabliert haben (z.B. Überprüfung durch einen Compliance-Officer). Ein Chatbot kann dann als Hilfsmittel dienen, um Analysen zu beschleunigen oder Nutzer zu relevanten Informationsquellen zu leiten. Eventuell werden Mitarbeitende auch eher schnell einmal eine Compliance-Frage an den Chatbot richten, als selbst zu recherchieren oder sich an die Compliance-Abteilung zu wenden. Trotzdem gilt: Die Einbindung von Chatbots in Compliance-Prozesse sollte mit Schulung und Sensibilisierung von Nutzern einhergehen, um sicherzustellen, dass Mitarbeitende mit den Antworten kritisch umgehen.

Wesentliche Erkenntnisse

  • Ein guter Chatbot, der Compliance-Fragen unterstütz und Analysen beschleunigt, kann mit vernünftigem Aufwand entwickelt werden
  • Der Input der Fachabteilung für das Prompt-Engineering ist unerlässlich, um Ungenauigkeiten und Inkonsistenzen in den zugrundeliegenden Dokumenten zu kompensieren
  • Datenschutz ist von entscheidender Bedeutung – eine produktionsreife Einrichtung für eine Schweizer Bank sollte sicherstellen, dass die Daten innerhalb der Schweiz verarbeitet werden1
  • Kontrolle ist unerlässlich – Chatbots können Compliance-Fachwissen ergänzen, nicht ersetzen

Für einen guten Zweck

Wir haben diese Initiative gemeinsam mit Powercoders durchgeführt, einer Schweizer Organisation, die die Integration von Flüchtlingen und Migranten in den Arbeitsmarkt durch IT- und Business-Schulungen unterstützt. Für jede falsche Antwort des Chatbots haben wir vier Stunden Pro-Bono-Arbeit für die Schulung von Agile Project Management und Java-Programmierung reserviert. Wir haben das Budget auf 80 Stunden aufgerundet und damit unser Engagement für soziale Verantwortung bekräftigt.

Über Synpulse

Synpulse ist eine weltweit tätige Unternehmensberatung und Partnerin für Finanzdienstleister. Wir unterstützen unsere Kunden bei der werthaltigen Nutzung neuer Technologien und begleiten sie dabei von der Strategie bis zur Umsetzung. Mit rund 30 Jahren Erfahrung in der Technologie- und Business-Beratung kombinieren wir regulatorisches und Compliance-Know-how mit Technologie- und Implementierungskompetenzen. Damit helfen wir unseren Kunden, regulatorische Erwartungen zu erfüllen und die Effektivität im Compliance und Risikomanagement zu steigern.

Möchten Sie den Chatbot testen oder mehr darüber erfahren, wie Sie Ihren eigenen Chatbot für Regularien und interne Weisungen einrichten können? Dann wenden Sie sich an unsere KI- und Compliance-Experten, die Ihnen gerne weiterhelfen.

Weitere Infos finden Sie auf unserer Service Site.

1 Jede andere Jurisdiktion mit angemessenen Datenschutzbestimmungen, falls das Schweizer Bankgeheimnis für solche Zwecke aufgehoben wurde.


Unsere Experten