Customer Due Diligence: Der weltweite Kampf gegen Finanzkriminalität
Wer die Finanznachrichten aus dem Vereinigten Königreich verfolgt, hat möglicherweise einen deutlichen Anstieg der von der Financial Conduct Authority (FCA) verhängten Geldbussen bemerkt. Genauer gesagt wurden Finanzinstitute in den letzten 12 Monaten mit Geldbussen in Höhe von mehr als 137 Millionen GBP belegt. Die Aufsichtsbehörden erhöhen den Druck auf die Banken, strenge Kontrollen zur Bekämpfung der Geldwäsche einzuführen. Wir haben einen Blick auf die Erwartungen der FCA geworfen, auf die Gründe für das häufige Versagen der Banken und auf die Massnahmen, die zur Einhaltung der lokalen Rechtsvorschriften ergriffen werden müssen.
Die aktuelle Situation im Bereich der Geldwäschebekämpfung im Vereinigten Königreich
Vor dem Brexit hatte das Vereinigte Königreich, wie alle EU-Mitgliedstaaten, die Anti-Geldwäsche-Richtlinie (Anti-Money Laundering Directive, AMLD) umgesetzt. Die Richtlinie hat ein klares Ziel: die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung mit einheitlichen Regeln und Vorschriften, die in der gesamten EU sowie im Vereinigte Königreich umgesetzt werden müssen. Bis 2020 hielt sich das Vereinigte Königreich noch an die Bestimmungen der fünften Fassung (5AMLD) der Richtlinie, die u. a. den Kreis der Personen und Unternehmen, die der Verordnung unterliegen, deutlich ausweitete.
Als im Dezember 2020 die sechste Fassung (6AMLD) der Richtlinie in Kraft trat, entschied sich das Vereinigte Königreich für den Ausstieg. Dies lag in erster Linie daran, dass die Behörden der Ansicht waren, das Vereinigte Königreich erfülle viele der in 6AMLD genannten Vorschriften bereits weitgehend. Sie vertraten zudem die Auffassung, dass das Vereinigte Königreich in vielerlei Hinsicht noch einen Schritt weiter ging.
Laut der Financial Action Task Force (FATF), der weltweiten Aufsichtsbehörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, verfügt das Vereinigte Königreich «über ein gut entwickeltes und robustes System zur wirksamen Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Das Land muss jedoch die Aufsicht verstärken und mehr Ressourcen für seine Financial Intelligence Unit bereitstellen.» Diese Kritik an den Kontrollmöglichkeiten rührt von der Sorge her, dass es der Financial Intelligence Unit des Vereinigten Königreichs an «operativer Unabhängigkeit» und an Ressourcen zur Durchführung von Analysen sowie zum Erfassen von Informationen von Meldebehörden mangelt.
Ein kurzer Vergleich mit Deutschland, einem EU-Mitglied und daher an die 6AMLD-Richtlinie gebunden, zeigt jedoch, dass die britische Regierung nicht zu Unrecht der Meinung ist, dass ihre Vorschriften zur Bekämpfung der Geldwäsche bis zu einem gewissen Grad über die Vorgaben von 6AMLD hinausgehen. Obwohl die deutschen Finanzermittlungsstellen die Empfehlungen der FATF in vollem Umfang erfüllen, zeigen die FATF-Bewertungen auch, dass Deutschland die Empfehlungen in zwei wichtigen Bereichen, die in hohem Masse mit Geldwäscherisiken im Zusammenhang stehen, nur teilweise erfüllt: «Gezielte Finanzsanktionen im Zusammenhang mit Terrorismus und Terrorismusfinanzierung» und «Korrespondenzbankgeschäfte». Im Gegensatz dazu hält das Vereinigte Königreich die Vorschriften in diesen Bereichen weitgehend ein beziehungsweise erfüllt sie.
Was bedeutet das für die im Vereinigten Königreich tätigen Banken?
Vergleicht man die Bewertungen der FATF für Deutschland und das Vereinigte Königreich sowie für andere europäische Länder, so erfüllt das Vereinigte Königreich eine grössere Anzahl von Empfehlungen als andere Länder. Das soll nicht heissen, dass nicht einige kritische Infrastrukturbereiche verbessert werden müssen. Dennoch erwartet die im Vereinigten Königreich tätigen Banken ein stark und streng regulierter Raum.
Daher besteht der erste und wichtigste Schritt für im Vereinigten Königreich tätige Banken darin, sich fortlaufend über alle regulatorischen Änderungen im Zusammenhang mit Finanztransaktionen zu informieren. Für Finanzinstitute kann dies besonders schwierig sein, da die Vorschriften sich häufig ändern. Insbesondere die Empfehlungen zur Überwachung des Flusses von virtuellen Währungen und elektronischem Geld entwickeln sich regelmässig weiter.
Das jüngste harte Vorgehen der FCA gegen im Vereinigten Königreich tätige Banken hatte jedoch wenig mit einem mangelnden Verständnis der Aufsichtspflichten zu tun. Im Gegenteil, es war in erster Linie das Ergebnis einer mangelhaften Umsetzung angemessener und in einigen Fällen sogar robuster Praktiken. Was genau ist also schiefgelaufen?
Was haben die im Vereinigten Königreich tätigen Banken falsch gemacht?
Wir möchten diesen Einblick in mangelhafte Kontrollen im Bereich der Geldwäschebekämpfung mit der Feststellung einleiten, dass die genannten Banken zwar erst kürzlich zu Geldstrafen verurteilt wurden, die ihnen zur Last gelegten Verstösse jedoch bereits zwischen 2012 und 2017 begangen wurden. Seither haben diese Banken ihre Verfahren zur Gelwäschebekämpfung erheblich verbessert.
Seit Anfang 2023 hat das Vereinigte Königreich bereits zwei Banken, Al Rayan und GT Bank, wegen Versäumnissen im Zusammenhang mit der Bekämpfung von Geldwäsche und Terrorismusfinanzierung mit Bussgeldern belegt. Die Bank Al Rayan hatte in der Tat die von den Staaten des Golf-Kooperationsrates erlassenen Vorschriften umgesetzt und nicht die von der FCA festgelegten. Daher gab es Schwachstellen in ihren Systemen und Kontrollen zur Aufdeckung verdächtiger Bankaktivitäten.
Dies ist jedoch eher die Ausnahme als die Regel. Sowohl die GT Bank als auch Santander, die 2022 die höchste Geldbusse wegen Fehlern bei der Bekämpfung der Geldwäsche erhielt (107,7 Millionen GBP), wurden für leicht vermeidbare Verstösse bestraft – nämlich für mangelhafte Customer Due Diligence (CDD) und erweiterte Due Diligence (EDD). Die GT Bank versäumte es, die Identifikationsunterlagen ihrer Kunden zu überprüfen und die Echtheit der von den Kunden gemachten Angaben zu verifizieren.
Die Liste der Vorwürfe gegen Santander war etwas länger. Auch dieser Bank wurden unzureichende Verfahren zur Überprüfung der Identität der Kunden (Know-Your-Customer, KYC) vorgeworfen. Neben einer langen Liste weiterer Verstösse fehlte es jedoch auch an einer zentralen Datenbank für die Risikoeinstufung von Kunden, an entsprechend geschultem Personal zur Überwachung der automatischen Erkennungssysteme und an der regelmässigen Überwachung verdächtiger Aktivitäten. Der schwerwiegendste Verstoss gegen die Vorschriften zur Bekämpfung der Geldwäsche bestand in der mangelnden Kommunikation und Überwachung, die dazu führte, dass ein Konto, bei dem bereits verdächtige Aktivitäten festgestellt worden waren, über 1,5 Jahre lang geöffnet blieb. Dieser Fehler ermöglichte die Überweisung von 269 Millionen GBP.
Welche Erwartungen hat die FCA an die Banken im Hinblick auf die Erfüllung ihrer Verpflichtungen zur Bekämpfung der Geldwäsche?
Ein Blick auf die von der FCA in den letzten 12 Monaten verhängten Geldbussen zeigt ein klares Muster der Prioritäten der FCA: CDD und KYC, Risikobewertung, kontinuierliche Überwachung sowie angemessene Schulungen und Ressourcen. Lassen Sie uns nun einen genaueren Blick darauf werfen, was dies bedeutet.
Customer Due Diligence (CDD) ist eines der wichtigsten Verfahren im Rahmen von KYC. Dabei wird sichergestellt, dass die Bank die Identität ihrer Kunden durch eine Reihe von robusten Prüfungen zweifelsfrei festgestellt hat. Diese Prüfungen können eine beliebige Kombination von Verfahren umfassen, wie die Überprüfung von Dokumenten, die Lebenderkennung (Liveness-Check)/die Überprüfung der Biometrie des Gesichts oder den Adressnachweis. Im Hinblick auf Geschäftskunden bedeutet dies auch, dass die Art der Geschäftstätigkeit des Kunden und seine beabsichtigte Nutzung von Bankdienstleistungen klar bekannt sind. Eine Risikobewertung der potenziellen Geldwäscherisiken kann erst durchgeführt werden, nachdem die Identität eines Kunden festgestellt wurde.
Dies ist jedoch nicht der letzte Schritt. Wenn ein Risiko entdeckt wurde, muss das betreffende Konto kontinuierlich überwacht werden. Das bedeutet, dass alle Bankaktivitäten, einschliesslich der Konsistenz der Transaktionen, überwacht werden müssen, damit festgestellt werden kann, ob sie im Einklang mit den Aktivitäten des Unternehmens stehen. Das Ausmass und die Häufigkeit der Überwachung müssen sich nach dem Grad des Risikos richten, und es muss umgehend reagiert werden, um fragwürdige Aktivitäten einzudämmen.
Die Überwachungssysteme müssen Geldwäscherisiken erkennen und bewerten können, je nachdem, wie konsistent die Aktivitäten eines Kontos sind. Das bedeutet, dass die bei der Eröffnung eines Kontos gesammelten Informationen auch erwartete Einzahlungen, Transaktionen und andere Aktivitäten umfassen sollten. Wenn wir uns den Fall Santander noch einmal vor Augen führen, wird deutlich, warum das Fehlen einer umfassenden Datenbank mit einer Auflistung der möglichen Kundenrisiken ein ernsthaftes Hindernis für eine wirksame Überwachung darstellt.
Sollte eine Bank über robuste Verfahren für CDD, Risikobewertung und Überwachung verfügen, jedoch nicht über die angemessenen Ressourcen und Schulungen zur Nutzung der Überwachungssysteme und zur ordnungsgemässen Erfassung und Bewertung der Kunden, bricht das gesamte System zusammen.
Wie können CIAM-Lösungen Banken dabei helfen, ihre Verpflichtungen zur Bekämpfung der Geldwäsche zu erfüllen?
Während des Onboarding-Prozesses, wenn Kunden ein Bankkonto eröffnen, wird eine eindeutige (digitale) Identität erstellt. Zu dieser Identität gehören alle Daten, die der Kunde über sich selbst bereitstellt (Name, Postanschrift, E-Mail-Adresse usw.), sowie alle relevanten gesammelten Daten (z. B. Risikobewertung und KYC-Daten, einschliesslich der Frage, wie der Kunde das Konto und die Bankdienstleistungen nutzen will und welche Arten von Transaktionen zu erwarten sind). An diesem Punkt findet eine strenge Identitätsprüfung statt, die sicherstellt, dass der Kunde derjenige ist, der er vorgibt zu sein. Aus diesen aggregierten Daten ergibt sich letztendlich ein Profil des Kontoinhabers.
Dank dieser Informationen sind die Banken in der Lage, zweifelhafte Transaktionen schnell zu erkennen. Mit Hilfe von Funktionen wie der Geolokalisierung wird beispielsweise ein Warnhinweis ausgelöst, wenn ein Kunde plötzlich von einem neuen Standort aus Geld einzahlt. Doch was passiert dann? Wir haben bereits im Fall von Santander gesehen, dass das blosse Erkennen eines Problems nicht ausreicht.
Starke CIAM-Systeme wie das von Nevis sind mit Schnittstellen zu API-Gateways ausgestattet, die das Abrufen von Kundenautorisierungsinformationen ermöglichen und eine nahtlose Authentifizierung erleichtern. Sollte eine Transaktion einen Warnhinweis auslösen, verlangt das System entweder zusätzliche Prüfungen zur Verifizierung der Identität des Benutzers, oder es verhindert den Abschluss der Transaktion gänzlich. Das CIAM-System von Nevis beseitigt alle potenziellen Störungen und Verzögerungen in diesem Verfahren, indem es Risikoinformationen zum Benutzer an Backend-Anwendungen, einschliesslich Betrugserkennungssysteme, weitergibt.
Am wichtigsten ist jedoch, dass ein CIAM-System sicherstellt, dass dieser Überwachungsprozess kontinuierlich und nicht nur während des Anmeldevorgangs ausgeführt wird. Das CIAM von Nevis überwacht jede einzelne Interaktion (HTTP-Anfrage) und weist ihr eine Risikobewertung zu. Diese kontinuierliche Erkennung von Bedrohungen macht es nahezu unmöglich, dass Konten von böswilligen Akteuren für illegale Transaktionen missbraucht werden.
Zusammengefasst ...
Trotz der exorbitanten Bussgelder und des Reputationsverlusts, die mit unzureichenden Massnahmen zur Bekämpfung der Geldwäsche verbunden sind, besteht die grösste Bedrohung durch Geldwäsche in den negativen Auswirkungen veruntreuter Gelder. Es ist von grösster Wichtigkeit, dass Banken alle verfügbaren und notwendigen Instrumente zur Sicherstellung der Rechtmässigkeit der Herkunft und Zuweisung von Geldern einsetzen und keine illegalen, fragwürdigen und destabilisierenden Praktiken unterstützen, die nicht nur den Bankensektor, sondern auch die Gesellschaft als Ganzes unterminieren.
