Einführung

2019 veröffentlichte die Wolfsberg-Gruppe (die Gruppe) eine Erklärung zur Wirksamkeit ¹ des Monitorings verdächtiger Aktivitäten, in der drei klare Elemente, die sogenannten Wolfsberg-Faktoren, beschrieben werden. Diese sollten von einem Finanzinstitut (FI) umgesetzt und bei der Bewertung der Wirksamkeit berücksichtigt werden. Sie umfassen die:

1. Einhaltung der Gesetze und Vorschriften zur Bekämpfung von Geldwäsche (AML) und Terrorismusfinanzierung (CTF).
2. Bereitstellung äußerst nützlicher Informationen für die zuständigen staatlichen Behörden in bestimmten Schwerpunktbereichen.
3. Festlegung angemessener und risikobasierter Kontrollen, um das Risiko zu mindern, dass ein FI für illegale Aktivitäten genutzt wird.

In nachfolgenden Veröffentlichungen beschrieb die Gruppe, wie FIs die Wirksamkeit ihrer AML/CTF-Programme weiterentwickeln und nachweisen können². Diese stützen sich auf die Erkenntnis der Financial Action Task Force (FATF) in ihrer 2013 überarbeiteten Mutual Evaluation Methodologie, dass sich die Rechtsordnungen nicht nur auf die technische Einhaltung von Gesetzen und Vorschriften fokussieren, sondern aktiv auf die Messung der Wirksamkeit und der Ergebnisse hinarbeiten sollten.

Jedes FI sollte sein Programm für das Management von Risiken der Finanzkriminalität (FCRM) im Einklang mit seinem eigenen Geschäftsmodell entwickeln, das durch seine Größe, seinen Umfang, seine geographische Präsenz, seine Kunden und seine Risikobereitschaft bestimmt wird. Es gibt kein FCRM-Einheitsprogramm, das für alle FI gleichermaßen gilt. Jedes FI sollte entsprechend beaufsichtigt werden.

In diesem Papier soll beschrieben werden, wie die Berücksichtigung der Wolfsberg-Faktoren zu einem effektiveren Ansatz zum Monitoring verdächtiger Aktivitäten (Monitoring for Suspicious Activity - MSA) führen kann. Wir haben uns bewusst dafür entschieden, dies als MSA zu bezeichnen, um ein breiteres, über das herkömmliche Transaktionsmonitoring hinausgehendes Netz zu spannen, da das Kundenverhalten und die Kundenmerkmale in Verbindung mit der Betrachtung von Transaktionen einen breiteren Einblick in potenziell verdächtige Aktivitäten geben können. Das Transaktionsmonitoring ist daher ein Teilbereich der MSA, welches auch Konzepte wie die laufende Erfüllung der Sorgfaltspflichten gegenüber Kunden (Customer Due Diligence, CDD) umfassen kann. Die MSA-spezifische Terminologie wurde in einem Glossar am Ende dieses Dokuments aufgenommen. MSA ist nicht auf Kundenaktivitäten und Verhaltensmerkmale beschränkt, sondern könnte auch Aktivitäten von Mitarbeitern, Lieferanten oder weitere Gegenparteien umfassen, auch wenn sich dieses Dokument auf Kunden fokussiert.

Im Rahmen ihrer FCRM-Programme identifizieren FI potenziell verdächtige Aktivitäten, indem sie Informationen über Kunden und deren Transaktionen sammeln und analysieren, um festzustellen, was verdächtig sein könnte und den zuständigen Behörden gemeldet werden muss. Diese Verfahren wurden vor mehr als zwei Jahrzehnten eingeführt und haben sich zu einem ausgereiften und umfangreichen Risiko- und Kontrollrahmen entwickelt, der eine ständig wachsende Zahl von Verdachtsmeldungen (Suspicious Activity Reports/Suspicious Transaction Reports - SARs/STRs) hervorbringt.

Die Gruppe ist nicht der Ansicht, dass der Wert, der aus dem (ständig zunehmenden) Volumen der Verdachtsmeldungen abgeleitet wird, in angemessenem Verhältnis zu wirksamen Ergebnissen bei der Bekämpfung der Finanzkriminalität beiträgt. Das Konzept der Wirksamkeit wird zwar seit vielen Jahren vom Gesetzgeber, den Regulierungsbehörden, den Aufsichtsbehörden, den Standardsetzern und dem Privatsektor erörtert, doch ist die Gruppe der Ansicht, dass es noch nicht vollständig in den Gesamtrahmen für die Bekämpfung der Finanzkriminalität integriert worden ist, was eine Akzeptanz und Anpassung im öffentlichen und privaten Sektor erfordert.

Um die Wirksamkeit der MSA zu erhöhen, wird in diesem Statement empfohlen, dass die Branche zu einem echten risikobasierten Ansatz übergeht, der sowohl zu einer Abkehr von präskriptiven, regelbasierten Risikomanagementroutinen als auch zu höherwertigen, qualitativeren Ergebnissen führt und damit die Bekämpfung der Finanzkriminalität verbessert.

Die Gruppe ist der Ansicht, dass die Fokussierung auf die Messung der Wirksamkeit, die Ausrichtung auf bestimmte Ergebnisse, die Nutzung neuer Technologien und die Förderung von Innovationen die Schlüsselmerkmale sind, die für eine schrittweise Änderung der Art und Weise erforderlich sind, wie die FIs an MSA-Regelungen herangehen. Diese Aspekte werden zusammen mit mehreren begünstigenden Faktoren zu einem größeren Erfolg bei der Aufdeckung von Finanzkriminalität beitragen.

Zielsetzung und Messung der Wirksamkeit und der Ergebnisse

Die Entwicklung und Umsetzung eines MSA-Programms, bei dem der Nutzen der gewonnenen Informationen im Vordergrund steht, ist ein wichtiger, aber notwendiger Paradigmenwechsel, der es den FI ermöglichen würde, hochwertige Ergebnisse zu produzieren, die für die zuständigen Behörden in klar definierten Schwerpunktbereichen von großem Nutzen wären.

Aktuell konzipieren und implementieren die FI ihre MSA-Programme weitgehend aufgrund der Erwartungen der Aufsichtsbehörden mit dem Ziel, die technische Einhaltung der Vorschriften zu gewährleisten, selbst wenn dies die Fortsetzung unwirksamer Aktivitäten beinhaltet, wie z. B:

• Nachweis der Ausweitung der Abdeckung von Anhaltspunkten und Typologien der Finanzkriminalität über die gesamte Kunden- und Produktpalette, selbst wenn die Daten eines FI zeigen, dass diese im Rahmen der systemischen Überwachung nur zu geringen oder gar keinen Eskalationen führen³.
• Sicherstellung, dass keine historischen SAR/STR "zurückgelassen" werden, was zu ineffektiven und übermäßig alertierenden Indizienmodellen führt.
• Meldung potenziell verdächtiger Aktivitäten in allen Fällen, in denen Anhaltspunkte und Typologien, die potenziell auf Finanzkriminalität hindeuten, alertiert haben und in denen die Legitimität der zugrunde liegenden Transaktionen nicht vollständig überprüft werden konnte. Dies hat dazu geführt, dass die FIs die Schwelle für die Meldung einer Verdachtsmeldung schrittweise herabgesetzt haben. Eine "defensive" SAR/STR-Meldung kann das regulatorische Risiko für ein FI reduzieren, dass sich aus der Nichtmeldung einer SAR/STR ergibt. Diese, wird aber wahrscheinlich keine nützlichen Informationen für die Strafverfolgungsbehörden liefern.

In Übereinstimmung mit diesen Erwartungen messen die FIs derzeit die Wirksamkeit ihrer Transaction Monitoring Programme anhand von Kennzahlen wie der Abdeckung potenziell relevanter Anhaltspunkte und Typologien, des Volumens von aus den Indizienmodellen resultierenden Alerts und Fällen, der Produktivität von Alerts oder des Verhältnisses von Alerts zu Verdachtsmeldungen. Diese Metriken sind nur begrenzt geeignet, die tatsächliche Wirksamkeit des MSA-Programms eines FI zu messen, da sie sich auf die Menge und nicht auf den Nutzen der gelieferten Informationen fokussieren. Insgesamt hat der derzeitige Ansatz zu einem erheblichen Anstieg des Volumens der von den FIs weltweit gemeldeten Verdachtsmeldungen geführt. Es gibt jedoch keine verlässlichen Belege dafür, dass die Zahl, der für die zuständigen Behörden nützlichen Informationen im gleichen Maße gestiegen ist⁴, oder dass die Geldwäsche und die Terrorismusfinanzierung wesentlich zurückgegangen sind⁵.

Die Gruppe ist daher der Ansicht, dass es notwendig ist, neu zu definieren, wie die Wirksamkeit des MSA-Programms eines FI bestimmt und gemessen wird. Dies würde es den FIs ermöglichen, ihre MSA-Bemühungen besser zu priorisieren, was anhand der folgenden drei Punkte veranschaulicht werden soll:

1. Risikobasiertes Monitoring von Kunden, Produkten und Transaktionen, mit einem Fokus auf die wesentlichsten Typologien und tatsächlich manifestierten Risiken. FIs sollten ihre verfügbaren Daten über die Produktivität ihrer Indizienmodelle zur Erkennung verdächtiger Aktivitäten sowie den nachgewiesenen Wert der eingereichten Verdachtsmeldungen berücksichtigen, wenn sie entscheiden, ob sie bestimmte Indizien zum Monitoring potenziell verdächtiger Aktivitäten fortgesetzt oder eingestellt werden sollen⁶. Dies ermöglicht es den FIs, ihre Ressourcen für die Minderung manifestierter Risiken einzusetzen, anstatt theoretische Risiken abzudecken.
2. Entwicklung und Ausbau von Analysekapazitäten zur Ergänzung des risikobasierten Monitorings durch gezielte, zeitnahe Datenanalysen und Untersuchungen im Einklang mit den von den zuständigen staatlichen Behörden festgelegten operativen Prioritäten.
3. Proaktive Durchführung von Übungen zur Risikoidentifizierung für ihr Geschäft (über alle Kunden, Produkte und Transaktionen), um potenzielle Gefährdungen durch unsystematische Risiken⁷, sowie Trends und aufkommende Bedrohungen zu identifizieren.

Um ein risikobasiertes MSA-Programm einzurichten, das sich auf die Bereitstellung äußerst nützlicher Informationen im Einklang mit den drei oben genannten Schwerpunktbereichen fokussiert, müssen die FI die nationalen Prioritäten (unabhängig davon, wie diese kommuniziert werden) im Hinblick auf die Bekämpfung der Finanzkriminalität verstehen und sich daran orientieren. Während einige Länder spezifisch definierte nationale oder supranationale Prioritäten veröffentlichen, stützen sich andere möglicherweise auf allgemeinere Mitteilungen⁸, aus denen die Prioritäten abgeleitet werden können.

Darüber hinaus müssen die FIs den Wert der von ihnen gemeldeten Verdachtsmeldungen kennen, um deren Wirksamkeit wirklich messen zu können. Wie die Gruppe⁹ bereits dargelegt hat, ist der beste Indikator für die Qualität und Nützlichkeit von Verdachtsmeldungen das direkte Feedback der Behörden¹⁰. Ist ein solches Feedback nur begrenzt oder gar nicht verfügbar, sollten die FIs Faktoren wie die Komplexität der Ermittlungen, die Ermittlung von Netzwerkaktivitäten oder die Meldung in bestimmten Schwerpunktbereichen als Indikatoren für die Qualität und damit für den Wert ihrer Verdachtsmeldungen berücksichtigen.

Sobald die FIs den Wert der von ihnen eingereichten Verdachtsmeldungen verstehen und ihre Indizienmodelle entsprechend angepasst haben, sollten sie zusätzliche Messgrößen einführen, um die Wirksamkeit ihrer MSA-Programme besser zu verstehen und zu verbessern, vorbehaltlich lokaler/strengerer aufsichtsrechtlicher Anforderungen. Zu den qualitativen und quantitativen Metriken könnten die folgenden Kennzahlen gehören:

• Bewertung von sog. false-negative Meldungen (auf der Grundlage der Analyse von Verdachtsmeldungen/STR, die aus anderen Quellen als dem Transaktionsmonitoring stammen, wie z. B. interne Verweise von Mitarbeitern aus dem Vertrieb), mit dem Ziel, diese möglicherweise durch automatisiertes MSA wie den Indizienmodellen zu erfassen.
• Vollständigkeit der SAR/STR-Informationen (der Wert einer SAR/STR kann mit zusätzlichen Kontext-gebenden Informationen steigen).

Die Gruppe ermutigt die FIs auch, die Bewertung der Qualität ihrer Verdachtsmeldungen und ihr Verständnis der zugrunde liegenden Kunden, Produkte und Transaktionsströme zu nutzen, um ihre allgemeinen FCRM-Programme zu stärken. Beispielsweise könnte die vollständige Nutzung und das Verständnis der spezifischen Risiken, die den hochwertigen Outputs zugrunde liegen, es den FIs ermöglichen, bestimmte detektivische Kontrollen präventiv durchzuführen und so das Auftreten illegaler Finanzströme zu verhindern¹¹.

Innovation

Traditionelle MSA-Programme sind an einem Punkt angelangt, an dem neue Technologien die Effektivität, die betriebliche Effizienz und die Möglichkeiten zur Einhaltung der regulatorischen Erwartungen erheblich verbessern können. Herkömmliche Anwendungen können sich nur noch schwer an die Risiken des heutigen Finanzdienstleistungssektors anpassen, der grenzüberschreitende Transaktionen rasch ausweitet, das Volumen erhöht und Zahlungen schneller ausführt.

Bei der Umstellung auf eine neue Anwendung können Bedenken auftreten, die aus einer Kombination von Faktoren zusammenhängen, z.B. mit der zunehmenden Komplexität der Technologie, der Verwendung von "Blackbox"-Lösungen mit geringer Erklärbarkeit, der Schulung und dem Verständnis der Vorschriften, der langsamen Akzeptanz durch die Endnutzer und der Abwägung der Investitionskosten gegen die Effektivität.

Moderne Systeme zur Erkennung von Finanzkriminalität erfordern hochentwickelte Anwendungen und die Fähigkeit, sie zu konzipieren, zu entwickeln und zu warten. Um Innovationen in MSA-Programmen zu unterstützen, müssen FIs, Aufsichtsbehörden und Strafverfolgungsbehörden verstehen, dass Innovation eine Reise ist, die mehrere Jahre dauern kann, bevor Vorteile realisiert werden können. Die Investitionen fokussieren sich in erster Linie auf die bei der Erkennung von Finanzkriminalität verwendeten Analyseverfahren. Aber auch in anderen Bereichen gibt es Verbesserungsmöglichkeiten, wie z. B. die Optimierung von Alert und Fallbearbeitungssystemen, die Nutzung externer Datenquellen, die Verbesserung von Kontrollmechanismen und die Entwicklung von Werkzeugen zur Unterstützung explorativer Analysen.

Fokussierung der Aufdeckung auf kristallisierte Risiken

Die in den Leitfäden veröffentlichten Anhaltspunkte und Typologien beruhen entweder auf theoretischen Risikomustern oder sind (aus bestimmten Fällen abgeleitete) allgemeine Aussagen, die sich nicht ohne Weiteres in umsetzbare Maßnahmen umwandeln lassen. Um die Erkennung von Finanzkriminalität zu verbessern, sollten die FIs ihre Systeme vorrangig auf beobachtete oder kristallisierte Risiken fokussieren und verfeinern, während die Abdeckung theoretischer Risiken mittels eines risiko-basierten Ansatzes(RBA) einschließlich explorativer Analysen erfolgen kann.

Im Gegensatz zu herkömmlichen regelbasierten Indizienmodellen, die sich direkt bestimmten Anhaltspunkten und Typologien zuordnen lassen, ist der Einsatz von Modellen des maschinellen Lernens (ML) in dieser Hinsicht eine größere Herausforderung, da diese darauf ausgelegt sind, Vorhersagen über große Datensätze zu treffen, die eine große Bandbreite von Risiken der Finanzkriminalität abdecken. FIs müssen zum Zweck der Erkennung von Finanzkriminalität entwickelte ML-Modelle daher klar dokumentieren und anhand der tatsächliche kristallisierten Aufdeckungsergebnisse analysieren, um aufzuzeigen, wie diese das Risiko der Finanzkriminalität gegenüber den regelbasierten Indizienmodellen weiterhin mindern können.

Die FIs sollten auch in Erwägung ziehen, Informationen aus Alert- und Falluntersuchungen, SAR/STR-Meldungen und anderen nützliche Daten wieder in die MSA-Plattformen zu integrieren, z. B. durch den Einsatz von Technologien zur Extrahierung von Informationen aus Alert- und Fallberichten, um aufkommende Risikomuster zu erkennen. Diese Informationen können dann zur Erkennung künftiger verdächtiger Muster, zur Erhöhung der Risikobewertung verdächtiger Unternehmen und zur Ermittlung bisher unbekannter Beziehungen genutzt werden.

Es ist wichtig, bei der Einführung neuer Systeme die richtigen Erfolgskriterien zu definieren und auszuwählen. Die FIs sollten nach Möglichkeiten suchen, hochwertige Ergebnisse zu definieren und zu priorisieren, die über die Meldung von SARs/STRs hinausgehen, da die Risikoschwelle für eine Meldung von einer Reihe von Faktoren abhängt. So kann es beispielsweise vorkommen, dass ein Risiko erkannt wird, die lokalen Vorschriften oder FIU-Verfahren jedoch keine Meldung erfordern, es sei denn, es werden wesentlich neue Beweise entdeckt.

Ansatz für Daten

Eine erfolgreiche Entwicklung hin zu einem effektiveren MSA-Programm beinhaltet die Einführung von Open-Source-Anwendungen, die es den FIs ermöglichen, die zugrunde liegenden Technologien auszuwählen, die am besten zu ihrem Geschäftsmodell und ihrer Risikobereitschaft passen. Wie Lego-Bausteine ermöglichen es diese Komponenten jedem FI, ein MSA-Programm zusammenzustellen, das auf seine Bedürfnisse und Risiken zugeschnitten ist. Der Einsatz von Cloud-Technologien ist zwar nicht zwingend erforderlich, beschleunigt aber die Ausführung leistungsfähigerer Anwendungen und die skalierbare, kosteneffiziente Datenspeicherung, so dass schneller auf geschäftliche und regulatorische Anforderungen reagiert werden kann.

Die Eingabedaten für MSA-Plattformen sollten nicht nur Transaktionsdaten, statische Kundendaten und interne Referenzlisten umfassen, sondern auch andere dynamische verhaltensbezogene Kundeninformationen, sofern diese in einem angemessenen Verhältnis zum Risiko stehen (z. B. Geräte-ID‘s, IP-Adressen). Bei Verwendung eines RBA können die Eingabedaten auch Daten aus verlässlichen externen, öffentlich zugänglichen Quellen umfassen, einschließlich Informationen über Unternehmensstrukturen, den ultimativen wirtschaftlich Berechtigten (UBO) und Überwachungslisten sowie ergänzende Quellen wie Marktdaten und verifizierte Kundenkonten in sozialen Medien. Schließlich sollten die FIs solide Rahmen für die Datenverwaltung und Qualitätskontrollen einrichten.

Entity Resolution und Graphen-Netzwerke sind zunehmend zu einem wichtigen Bestandteil von MSA-Plattformen geworden, d.h. die Verknüpfung von internen Kunden-, Konto-, Transaktions- und externen Daten, um eine netzwerkbasierte kontextuelle Sicht auf einen Kunden zu ermöglichen. Die FIs sollten in Erwägung ziehen, Risikoprofile für wichtige Einheiten (z. B. Kunden, zugrunde liegende Geschäftspartner, UBOs und andere Einheiten) zu erstellen und dabei sowohl interne als auch externe Daten von verlässlichen Drittanbietern zu nutzen, die über die zu überwachenden Kunden und/oder Schwerpunkteinheiten hinausgehen. Die MSA-Plattform kann erweitert werden, um eine kontextbezogene und umfassende Analyse des Kundenverhaltens zu ermöglichen, was Entscheidungen des Risikomanagements beschleunigen könnte. Bessere Technologie wird es den FIs ermöglichen, eine wirksamere und risikobasierte Identifizierung von Risiken im Bereich der Finanzkriminalität zu beschleunigen.

FIs können eine fortschrittliche und dynamische Segmentierung in Betracht ziehen, um Verhaltensmuster in untergeordneten Segmenten besser zu erkennen, die Leistung und Genauigkeit von Indizienmodellen zu verbessern und False Positive Alerts zu reduzieren. Traditionelle Segmente umfassen in der Regel statische Faktoren wie Kundentyp, Branche, Art des Geschäfts und inhärentes Kundenrisiko. Die Nachteile dieses statischen Segmentierungsansatzes bestehen darin, dass diese Segmente die gemeinsamen Transaktionsaktivitäten zwischen den segmentierten Einheiten nicht konsistent erfassen kann und sich hauptsächlich auf veraltete Informationen oder statische Informationen stützt, die während des Kunden-Onboarding erfasst und während periodischer, ereignisgesteuerter oder kontinuierlicher Überprüfungsprozesse aktualisiert werden. Bessere Lösungen sollten Transaktionen und Aktivitätsmuster überwachen und analysieren und laufend neue, genauere und aussagekräftigere Segmente erstellen. Eine Kombination aus bekannten Attributen und einem dynamischen statistischen Clustering könnte zu einer aussagekräftigeren Segmentierung führen, die Veränderungen in der Kundenaktivität berücksichtigen und die Segmente auf dem neuesten Stand halten kann¹²/ ¹³.

Datenvisualisierung, fortgeschrittene Analytik und Forschung

Die FIs sollten bei der Erfassung der Daten robuste Kontrollen zur Gewährleistung der Belastbarkeit durchführen. Sobald die Daten vorliegen, können sie allen wichtigen beteiligten Funktionsbereichen über einen einheitlichen Selbstbedienungsrahmen zur Verfügung gestellt werden, der visuelle Dashboards mit kollaborativen Workflows umfasst. Der Einsatz visueller Datenanalysetools sollte in Erwägung gezogen werden, um Verbindungen, Muster von Geldtransfers und die beteiligten Stellen aufzuzeigen. Die Verfügbarkeit von Selbstbedienungstools wird eine robustere und schnellere Reaktion auf datenbezogene Prüfungs- und Regulierungsanfragen ermöglichen und den technischen Aufwand für die Bereitstellung von Daten verringern.

Die FIs sollten den Aufbau von Datenumgebungen in Erwägung ziehen, um neue Risikomuster und "What-If"-Szenarien zu erforschen und zu testen, komplexe Untersuchungen durchzuführen und neue Indizien/Szenarien zu evaluieren, um neu auftretende Risiken abzudecken (z. B. sich entwickelnde geopolitische Fragen, pandemische Kredit-/Kreditgarantien, cybergestützter Betrug).

FCRM-Programme sollten aktiv nach neuen Typologien und Mustern forschen und diese testen. Below-the-line-Prüfungen sind eine Methode, um das Testen völlig neuer Challenger-Modelle zu ermöglichen, die sich noch in der Erprobungsphase befinden, um Feedback zu sammeln und die Erkennung zu verbessern. Heutzutage werden bei false-negative Tests nur geringfügige Anpassungen an den aktuellen Modellparametern vorgenommen, indem die Erkennungsschwellen des bestehenden Modells schrittweise gesenkt werden (z. B. um 10 % unter den aktuellen Wert). Es ist unwahrscheinlich, dass geringfügige Änderungen an bestehenden Parametern zu aussagekräftigen Ergebnissen führen, die die Wirksamkeit der Erkennung insgesamt wesentlich erhöhen.

Maschinelles Lernen

Ein neuer Branchentrend im FCRM ist der Einsatz von maschinellem Lernen (ML), um Ineffizienzen zu verringern und die Effektivität zu verbessern. Diese Technologie kann innerhalb der FI entwickelt oder als Dienstleistung angeboten werden. Traditionelle ML-Techniken, wie überwachte oder unüberwachte Algorithmen, sind gut etabliert und werden bereits in einer Vielzahl von Branchen eingesetzt. Während es ein wachsendes Interesse an anderen fortgeschrittenen Bereichen der künstlichen Intelligenz (KI) gibt, wie z.B. generative KI (GenAI) und Large Language Models (LLMs) im FCRM, stecken diese Technologien noch in den Kinderschuhen und ihre Anwendung erfordert mehr Forschung und Validierung und muss mit den KI-Verhaltensgrundsätzen eines FI in Einklang gebracht werden, so dass Verzerrungen und Erklärbarkeit durch Governance verwaltet werden¹⁴.

ML-Algorithmen können als Booster-Modelle zur Ergänzung eines regelbasierten Indizienmodells oder in einigen Fällen als primäres Erkennungsinstrument selbst eingesetzt werden. Neben der Erkennung können ML-Funktionen auch in anderen Bereichen der MSA-Programme eingesetzt werden, z. B. bei der sekundären Namensprüfung zur Verringerung von False Positives oder bei der automatischen Befüllung von Alert- und Fallbearbeitungssystemen mit zusätzlichen Informationen, um die Ermittlungen zu beschleunigen und zu rationalisieren.

Einige ML-Methoden, z. B. das überwachte ML, hängen von der Ermittlung historischer Ergebnisse oder Ziele ab, um das Modell während der Entwicklung zu trainieren. Im Kontext des MSA kann dies historische SARs/STRs umfassen, die aus dem automatisierten Transaktionsmonitoring resultieren; ML-Systeme profitieren jedoch davon, dass sie auf eine Vielzahl von manifestierten Risiken aus verschiedenen Quellen trainiert werden, einschließlich manuell generierter Fälle und Anfragen der Strafverfolgungsbehörden, da diese dem Modell helfen können, neue Risiken vorherzusagen, die in früheren Altsystemen nicht berücksichtigt oder identifiziert wurden. Wenn SAR/STR-Daten einbezogen werden, müssen ML-basierte MSA-Systeme einen Mittelweg finden: möglichst viele bekannte Risiken erfassen (Recall) und gleichzeitig genau sein (Präzision). Der Verzicht auf einige Fälle aus der Vergangenheit kann dazu beitragen, in Zukunft höherwertige Ergebnisse zu produzieren. Das Ziel einer 100 %-igen Auffindbarkeit oder "Keine SAR/STR zurückzulassen" wird wahrscheinlich zu einem ineffektiven System führen.

Neue Risikotypologien lassen sich in eine Reihe von individuellen statistischen Merkmalen zerlegen, die für bestehende oder neue Typologien verwendet werden können. Solche Merkmale werden durch Rückmeldungen während der Tests, durch die Anwendung von Merkmalstechniken und durch die Einbeziehung von Fachleuten verbessert. Eine Möglichkeit für öffentlich-private Partnerschaften (PPP) könnte die Definition und gemeinsame Nutzung eines Standard-Basismerkmalsatzes für jene Merkmale sein, die sich bei der Aufdeckung von Finanzkriminalität als einflussreich erweisen, ohne dass sensible Informationen weitergegeben werden.

Ermöglichende Faktoren

Eine systemische Weiterentwicklung der MSA-Programme kann nur erfolgen, wenn alle Beteiligten ein innovationsförderndes Umfeld schaffen. FIs sollten zwar weiterhin ihre Effektivität verbessern, aber es gibt bestimmte Faktoren, bei denen eine Abhängigkeit zu anderen Parteien im Ökosystem zur Verhinderung von Finanzkriminalität besteht, um den zu fördern. Darüber hinaus haben Gesetze und Vorschriften das größte Potenzial, die FIs in die Lage zu versetzen, sich auf einen RBA zu fokussieren und die Wolfsberg-Faktoren umzusetzen. Alle Beteiligten müssen dem Feedback untereinander Vorrang einräumen und kontinuierlich auf eine Verbesserung des Informationsaustauschs zwischen den nationalen FIUs, den Strafverfolgungsbehörden und den FIs hinwirken. Dies würde auch Innovationen und gezielte, risikobasierte MSA ermöglichen.

Rechtliche und regulatorische Änderungen

Um unnötige Innovationshemmnisse zu beseitigen, sollte die Branche Erklärungen der Aufsichtsbehörden zur Innovation in ihren risikobasierten Ansatz aufnehmen und gleichzeitig überflüssige Anforderungen oder Erwartungen wie Modellrisikomanagement oder "no SAR/STR left behind" straffen. Einige Länder haben sich zwar bemüht, gezielte AML-Leitlinien für das Modellrisiko bereitzustellen¹⁵, aber das Tempo, mit dem die FIs ihre Modell-Governance und ihr Aufsichtskonzept anpassen, um flexibler zu sein, bleibt langsam, weil sie befürchten, mit dem aktuellen regulatorischen Umfeld in Konflikt zu geraten.

Während die Risikobereitschaft für versäumte Meldungen in den letzten Jahren gestiegen ist, wenn die FIs innovative Lösungen entwerfen und entwickeln, sollten die Aufsichtsbehörden die Zusammenarbeit fördern, Konzepte wie die Entwicklung von Sandboxes übernehmen, das Konzept der Parallelverarbeitung bei der Umstellung der Indizienmodelle ablehnen und den Informationsaustausch betonen.

Solange dies nicht der Fall ist, werden die FIs beim Einsatz ihrer Ressourcen und bei der Ermittlung verdächtiger Aktivitäten behindert, da sie sich allzu oft darauf fokussieren, Verstöße gegen die Vorschriften zu vermeiden, anstatt das Risiko der Finanzkriminalität zu ermitteln und zu mindern. Dies ist nicht nur ein Problem der FIs, da die immer größere Menge an Verdachtsmeldungen die Kapazitäten der FIs und der Strafverfolgungsbehörden übersteigen kann, um sie zu analysieren und zu bearbeiten.

Manifestiertes Risiko durch Feedback und Informationsaustausch

Der Erhalt von Erkenntnissen oder Rückmeldungen von nationalen FIUs, direkt von Strafverfolgungsbehörden oder über PPP kann die Fähigkeit der FIs, zu verstehen, ob ihre MSA-Programme wirksam sind, erheblich beeinflussen. Vorausschauende Regelungen zum Datenaustausch können diesen Wissenstransfer in einer Weise erleichtern, die sowohl Einzelpersonen als auch Unternehmen schützt, z. B. durch den Einsatz von Anonymisierungstechnologien. Ein proaktiver Austausch von Erkenntnissen durch die Strafverfolgungsbehörden kann den FIs Klarheit darüber verschaffen, welche Typologien von Kriminellen am häufigsten genutzt werden, welche Netzwerke die FIUs oder die Strafverfolgungsbehörden verfolgen, was es den FIs letztlich ermöglicht, ihre Ressourcen besser auf nationale Prioritäten abzustimmen.

Rückmeldungen über abgeschlossene Ermittlungen, z. B. über bestätigte Aktivitäten oder zusätzliche Klarheit über Typologien, würden den FI die Möglichkeit geben, ihre MSA-Programme zu verfeinern. Ein solches Feedback kann einen positiven Kreislauf in Gang setzen, in dem bessere Ergebnisse der FIs zu besser verwertbaren Erkenntnissen für die zentralen Meldestellen und die Strafverfolgungsbehörden sowie zu erfolgreicheren rechtlichen Maßnahmen gegen illegale Akteure führen, was wiederum das Ausmaß der Finanzkriminalität in der Gesellschaft verringern dürfte. Die Initiierung eines fortschrittlicheren öffentlich-privaten und gerichtsübergreifenden Informationsaustauschs, auch in Form von Pilotprogrammen, würde die Fähigkeit der Branche zur Weiterentwicklung des MSA-Ansatzes erheblich verbessern.

Schlussfolgerung

Nach vielen Jahren, in denen der Schwerpunkt auf der Einhaltung technischer Vorschriften, dem Umgang mit false-negative Fällen und einer stetig wachsenden Zahl von Verdachtsmeldungen/ Strafverfolgungsanzeigen lag, die nicht immer einen Mehrwert für die Bekämpfung der Finanzkriminalität zu erbringen scheinen, ermutigt die Gruppe alle Beteiligten in der gesamten MSA-Prozesskette, proaktiv an der Entwicklung innovativer Techniken und unterstützender Technologien zu arbeiten. Solche Ansätze können FCRM-Programme stärken, indem sie wirksame Fähigkeiten der End-to-End-Risikoerkennung liefern, die den Nutzen der kritischen Risikomanagement-Ressourcen maximieren.

Die bestehenden MSA-Methoden sind ineffizient und ineffektiv, wenn es darum geht, zeitnahe Ergebnisse zu erzielen, die für die Strafverfolgung nützlich sind. Daher ist es an der Zeit, dass die Regierungsbehörden im Rahmen des Meldeverfahrens enger mit den FIs zusammenarbeiten. Die Notwendigkeit eines neuen Ansatzes ergibt sich auch aus dem sich schnell verändernden Bedrohungsumfeld über neue Kommunikations- und Transaktionskanäle.

Ein verbesserter Ansatz in Verbindung mit dem Einsatz neuer Technologien bietet den FIs die Möglichkeit, mit den Strafverfolgungsbehörden und den Aufsichtsbehörden zusammenzuarbeiten, um die Aufdeckungsmöglichkeiten zu verbessern, die nachteiligen Auswirkungen auf die Kunden zu verringern, relevante Regierungsbehörden mehr äußerst nützliche Informationen über Straftaten zu liefern und diese Behörden in die Lage zu versetzen, besser gegen Kriminelle vorzugehen. Die Erhöhung des Anteils der Verdachtsmeldungen, der von den zuständigen Behörden als sehr nützlich eingestuft wird, bietet den Vorteil, dass eine größere Wirkung auf Kriminelle und ihre illegalen Aktivitäten erzielt wird und einen Großteil der Ineffizienz und der Reibungsverluste für die Kunden verringern, die durch Meldungen von geringem Wert entstehen, die von diesen Behörden nur selten oder gar nicht verwendet werden, von ihnen aber möglicherweise analysiert werden müssen. In Anbetracht des zunehmenden Einsatzes von maschinellem Lernen oder anderen technologischen Verbesserungen sollten Regulierungsbehörden und Strafverfolgungsbehörden angemessene Leitlinien für die Implementierung und Validierung dieser Technologien bereitstellen. Darüber hinaus besteht für PPPs die Möglichkeit, einen Standard-Basissatz von Merkmalen zu definieren, die sich in der Vergangenheit als einflussreich bei der Aufdeckung von Finanzkriminalität erwiesen haben, ohne sensible Informationen weiterzugeben.

Die Gruppe ist jedoch der festen Überzeugung, dass die ausdrückliche Konzentration auf die Bereitstellung nützlicherer Informationen für die zuständigen Regierungsstellen und deren Rückmeldung über die bereitgestellten Informationen sich in Form von wirksameren Maßnahmen gegen Kriminelle und ihre illegalen Aktivitäten auszahlen wird.

*Dieses Dokument wurde maschinell übersetzt und von einem Muttersprachler überprüft. Im Falle von Abweichungen zwischen dieser Version und der englischen Version hat die englische Version Vorrang. * 

Glossar

• Above the Line Testing (ATL): Die Parameter werden bewertet, indem sie über die Basislinie hinaus erhöht werden. Auf diese Weise lässt sich der Schwellenwert ermitteln, bei dem die Zahl der false-positive Meldungen zunimmt und die Ermittler möglicherweise mit unverdächtigen Warnungen überfordert werden.
• Genauigkeit: Gesamtanteil der richtigen Vorhersagen über alle Klassen hinweg.
• Künstliche Intelligenz (KI): Die Fähigkeit eines Computers oder eines computergesteuerten Roboters, Aufgaben auszuführen, die gemeinhin mit intelligenten Lebewesen in Verbindung gebracht werden, wie z. B. logisches Denken, Erkennen von Bedeutungen, Verallgemeinerung oder Lernen aus früheren Erfahrungen.
• Below-the-line-Tests (BTL): Bei diesen Tests werden die Schwellenwerte oder Kriterien unter die Basislinie gesenkt. Auf diese Weise lässt sich der Punkt ermitteln, an dem das System möglicherweise falsch-negative Ergebnisse erzeugt und potenziell verdächtige Aktivitäten übersehen werden.
• Bias: Unbeabsichtigte Vorurteile in Daten oder Algorithmen, die zu ungerechten Ergebnissen führen.
• Champion-Challenger: Ermöglicht das Testen verschiedener Ansätze durch den gleichzeitigen Einsatz mehrerer Modelle. Das aktuell eingesetzte Modell, der so genannte Champion, konkurriert mit anderen Modellen, den so genannten Challengern, bei denen es sich um neu trainierte Versionen des Champions oder um völlig neue Modelle handeln kann.
• Klassifizierung: Vorhersage diskreter Kategorien (z. B. betrügerische/legitime Transaktion).
• Manifestiertes Risiko: Realisierte Risikoereignisse, d. h. eingetretene und nicht nur theoretische Risikoereignisse.
• Sorgfaltspflicht gegenüber Kunden: Wie von der FATF in Empfehlung 10 dargelegt (siehe FATF-Empfehlungen)
• Entity Resolution: Die Entitätsauflösung in der Compliance verknüpft Datenfragmente (Personen, Unternehmen, Transaktionen), die sich auf dieselbe reale Entität beziehen, erhöht die Genauigkeit, deckt versteckte Risiken auf und spart Zeit bei der Berichterstattung und bei Untersuchungen.
• Erklärbarkeit und erklärbare KI (XAI): Die Fähigkeit zu verstehen, wie ein Modell zu seinen Vorhersagen kommt. XAI bezieht sich auf die Entwicklung und Verwendung von Modellen des maschinellen Lernens, die für den Menschen verständlich und transparent sind. Viele KI-Systeme, insbesondere solche, die komplexe Algorithmen wie tiefe neuronale Netze verwenden, können als "Black Boxes" betrachtet werden, bei denen die interne Funktionsweise und die Überlegungen hinter ihren Ergebnissen unklar sind.
• False-negative: Eine Instanz, die fälschlicherweise als negativ eingestuft wird.
• False-positive: Eine Instanz, die fälschlicherweise als positiv eingestuft wird.
• Feature Engineering: Umwandlung von Rohdaten in Merkmale, die für maschinelle Lernmodelle geeignet sind.
• Generative KI: Algorithmen, die auf der Grundlage vorhandener Daten neue Inhalte erstellen.
• Graph Scripting: Ein Programmierparadigma, bei dem Skripte mit graphenbasierten Datenstrukturen interagieren. Diese Skripte ermöglichen die Manipulation, Analyse und Visualisierung der Beziehungen und Verflechtungen innerhalb der Graphdaten.
• Jenks-Optimierung: Auch bekannt als die Jenks-Klassifizierungsmethode mit natürlichen Unterbrechungen, eine Technik zur Datenclusterung, die darauf abzielt, die beste Anordnung von Werten in verschiedenen Klassen zu ermitteln.
• Large Language Model: Ein fortschrittliches Computerprogramm, das in der Lage ist, durch Lernen aus riesigen Mengen von Schriftsprachdaten menschenähnlichen Text zu verstehen und zu erzeugen.
• K-Means-Clustering: Unüberwachtes maschinelles Lernverfahren, das Datenpunkte auf der Grundlage ihrer Ähnlichkeit in verschiedene Cluster aufteilt und darauf abzielt, die Varianz innerhalb jedes Clusters zu minimieren, während die Unähnlichkeit zwischen den Clustern maximiert wird.
• Maschinelles Lernen: Ein Teilbereich der künstlichen Intelligenz (AI), der Algorithmen verwendet, die auf Datensätzen trainiert werden, um selbstlernende Modelle zu erstellen, die in der Lage sind, Ergebnisse vorherzusagen und Informationen ohne menschliches Eingreifen zu klassifizieren.
• Modell: Eine Darstellung von Informationen, die aus Daten gelernt wurden und für Vorhersagen verwendet werden können.
• Monitoring zu verdächtige Aktivitäten: Verschiedene Kontrollelemente, die das Risiko eines Kundenverhaltens erkennen.
• Natural Language Processing (NLP): Techniken, mit denen Computer die menschliche Sprache verstehen und verarbeiten können.
• Overfitting: Wenn sich ein Modell die Trainingsdaten zu gut merkt und bei neuen Daten schlecht abschneidet.
• Paralleler Betrieb: Gleichzeitiger Betrieb des bestehenden und des neuen Systems während des Übergangs.
• Präzision: Anteil der positiven Vorhersagen, die tatsächlich positiv sind (True Positive).
• Recall: Anteil der tatsächlich positiven (True Positive) Fälle, die vom Modell richtig erkannt wurden.
• Regression: Vorhersage von kontinuierlichen Werten (z. B. Kreditwürdigkeit).
• Sensitivitätsprüfung: Bewertung der Robustheit der Schlussfolgerungen eines Modells gegenüber Variationen der Eingaben und Annahmen, um das Vertrauen in die Ergebnisse zu gewährleisten und mögliche Einschränkungen zu berücksichtigen. Die Sensitivitätsanalyse hilft bei der Beurteilung der Angemessenheit einer bestimmten Modellspezifikation.
• Überwachtes Lernen: Verwendet markierte Daten, um Algorithmen zu trainieren, die Vorhersagen oder Klassifizierungen vornehmen.
• Transaction Monitoring: Der automatisierte oder manuelle Prozess des Monitoring von Transaktionen nach ihrer Ausführung, um ungewöhnliche Transaktionen zu identifizieren, einschließlich des Monitoring von Einzeltransaktionen und Transaktionsströmen, zur anschließenden Überprüfung und ggf. Meldung an die Behörden.
• True-negative: Eine Instanz, die korrekt als negativ eingestuft wurde.
• True-positive: Eine Instanz, die korrekt als positiv eingestuft wurde.
• Unüberwachtes Lernen: Lernen aus unmarkierten Daten, bei dem das Modell selbständig Muster erkennt.

---

Footnotes

1. Die Wolfsberg-Gruppe - [Erklärung zur Wirksamkeit ](https://db.wolfsberg-group.org/assets/6beba0cc-4bc1-4474-ac9d-5c388ce0ac14/Effectiveness 1 pager Wolfsberg Group 2019 FINAL_Publication.pdf)(2019) ↩

2. Ibid - [Entwicklung eines effektiven AML/CTF-Programms](https://db.wolfsberg-group.org/assets/4ad4dfaa-5bbd-4c44-b842-c372ac146e08/Wolfsberg Effective Financial Crimes Programme.pdf) (2020) und [Erklärung zum Nachweis der Effektivität](https://db.wolfsberg-group.org/assets/b76e0ef2-381b-443f-9901-62cdd7ff27a7/Wolfsberg Group Statement Demonstrating Effectiveness.pdf) (2021) ↩

3. Die Wirksamkeit dieses Ansatzes wird möglicherweise noch dadurch gemindert, dass illegale Nutzer Zugang zu öffentlich zugänglichen Anhaltspunkte- und Typologiepapieren haben und ihre Aktivitäten entsprechend anpassen können, um unentdeckt zu bleiben. ↩

4. So berichtete die deutsche Zentralstelle für Verdachtsanzeigen (Financial Intelligence Unit, FIU) im Jahr 2022, dass von 337.186 Verdachtsmeldungen (Seite 14) nur 15,3 % (51.700) an die Strafverfolgungsbehörden weitergeleitet wurden (Seite 19). Aus den eingegangenen Rückmeldungen ging hervor, dass 95 % der Fälle, die sich aus den weitergeleiteten STRs ergaben, ohne Strafverfolgung eingestellt wurden (Seite 21). ↩

5. Der FATF-Bericht über den Stand der Wirksamkeit und Einhaltung der FATF-Standards stellt fest, dass nur ein kleiner Teil aller Erträge aus Straftaten eingezogen wird und die Verurteilungen wegen Geldwäsche oft nicht den in den einzelnen Ländern ermittelten Hauptrisiken entsprechen. Im Jahr 2016 stellte Europol fest, dass 2,2 % der geschätzten Erträge aus Straftaten vorläufig beschlagnahmt oder eingefroren wurden und 1,1 % der Gewinne aus Straftaten auf EU-Ebene eingezogen wurden. ↩

6. Die FIs sollten regelmäßige Überprüfungen hinsichtlich der eingestellten MSA-Routinen durchführen, um zu bestätigen, dass auch weiterhin kein wesentliches Risiko besteht. ↩

7. Zu diesen Risiken würden auch unentdeckte Großrisiken gehören (z. B. sog. Laundromats, Mirror Trades, Geldkuriernetze). Auf der Grundlage der Erfahrungen mit den in der Vergangenheit aufgedeckten Risiken und den wirtschaftlichen und geopolitischen Faktoren, die dazu geführt haben, sowie den Ergebnissen der jährlichen Risikobewertungen zur Finanzkriminalität sollten die FIs "Stresstests" entwickeln und durchführen, um potenzielle Anomalien zu ermitteln, die bei der laufenden Überwachung der einzelnen Kundenbeziehungen nicht erkennbar sind. ↩

8. Wie zum Beispiel Empfehlungen oder nationale Risikoanalysen. ↩

9. Die Wolfsberg-Gruppe (2021) [Erklärung zum Nachweis der Wirksamkeit](https://db.wolfsberg-group.org/assets/b76e0ef2-381b-443f-9901-62cdd7ff27a7/Wolfsberg Group Statement Demonstrating Effectiveness.pdf) ↩

10. Nationale FIUs könnten den FIs beispielsweise Rückmeldungen darüber geben, ob Verdachtsmeldungen an Strafverfolgungsbehörden weitergeleitet wurden. Die derzeitige Praxis einiger nationaler FIUs, die ein übergreifendes Feedback für die gesamte Branche geben, ist zwar hilfreich, doch liefert dieses Feedback in der Regel nicht das spezifische, strukturierte Feedback, das die FIs benötigen, um ihr Meldeverhalten auf die Bereiche zu fokussieren, die als relevanter / relevant eingestuft werden. ↩

11. So können FI beispielsweise feststellen, dass ihre automatisierte MSA bei der Aufdeckung und Meldung von Transaktionen, an denen in bestimmten Ländern registrierte Briefkastenfirmen beteiligt sind, zu werthaltigen Ergebnissen führt. In solchen Fällen könnte das FI eine Präventivkontrolle einrichten, um die Ausführung solcher Transaktionen zu blockieren, bis sie überprüft und als rechtmäßig eingestuft werden. ↩

12. Zum Beispiel die Anwendung von k-means oder Jenks. ↩

13. Eine weitere Effizienzsteigerung könnte durch die Ermöglichung des Datenaustauschs zwischen der regelmäßigen/ständigen CDD-Überprüfung und der MSA-Kontrolle erreicht werden, d. h. eine eingehende Untersuchung eines Kunden aufgrund einer MSA-Warnung könnte der Grund für die Verschiebung einer regelmäßigen CDD sein, oder eine kürzlich durchgeführte CDD-Überprüfung könnte als Erwägung für die Aufhebung der Priorisierung einer Warnung dienen. ↩

14. The Wolfsberg Group, [Grundsätze für den Einsatz von künstlicher Intelligenz und maschinellem Lernen bei der Einhaltung von Finanzkriminalität](https://db.wolfsberg-group.org/assets/ae8ec2d1-da45-4cef-b6c6-166e2cf17c03/Wolfsberg Principles for Using Artificial Intelligence and Machine Learning in Financial Crime Compliance.pdf) ↩

15. So haben die USA beispielsweise 2021 eine "Interagency Statement on Model Risk Management" veröffentlicht. ↩