Banken- und E-Commerce-Sektor: Bei einer von 50 Transaktionen Betrüger am Werk

Wie KYC intelligenter und sicherer gelingt
04.06.2020

Das KYC-Prinzip (Know Your Customer) verpflichtet Finanzinstitute neben der Identitätsfeststellung auch zu einer umfassenden Risikoanalyse für Neu- und Bestandskunden. Seit 2020 gelten verschärfte Prüfungs- und Meldepflichten, um Geldwäsche oder Terrorfinanzierung aufzudecken. Wie können Unternehmen Strafen wegen möglicher Verstöße gegen KYC entgehen und die Aufgabe mit einer technischen Lösung in einem Bruchteil der Zeit bewältigen?

KYC erfordert eine eindeutige Identifizierung und Überprüfung von Neukunden sowie eine regelmäßige Folgeanalyse bei Bestandskunden und eine Dokumentation dieser Risikobewertungen. Die zur KYC-Analyse verpflichteten Unternehmen sind damit Teil der Präventionsstrategie ihrer Behörden, um Geldwäsche und Terrorfinanzierung frühzeitig zu erkennen und zu verhindern. Finanzinstitute müssen alle Informationsquellen weltweit auswerten, wenn sie ihrer Sorgfaltspflicht nachkommen wollen. Inzwischen geht der Kreis der Verpflichteten weit über den Finanzsektor hinaus. Auch Digitalplattformen, Immobilien- und Kunst- sowie Güterhändler müssen bei hohen Barzahlungen künftig KYC-Prüfungen durchführen. 

Transparenzregister in Deutschland

Bereits zur Verfügung stehen externe KYC-Datenbanken wie etwa World-Check, Thomson Reuters oder das KYC-Register der SWIFT-Genossenschaft. Hinzu kommen Watch- und Sanktionslisten der Regierungen, PEP-Listen (politisch exponierte Persönlichkeiten), Firmen-, Presse- und Urteilsdatenbanken der nationalen und internationalen Strafverfolgungsbehörden sowie Auskunfteien. Zu den weltweit bedeutendsten Listen gehören die des US Office of Foreign Assets Control (OFAC), der britischen Finanzverwaltung (UK HM Treasury), der EU sowie der UN. In Deutschland gelten seit 2017 neue Transparenzpflichten zur Offenlegung der wirtschaftlich Berechtigten von Unternehmen und Vereinigungen. Ein umfassendes nationales KYC-Register soll ebenso wie in der Schweiz aufgebaut werden.

Für das Onboarding eines Neukunden sowie die regelmäßig zu erfolgende Due Diligence-Nachprüfung von Bestandskunden und ihrer Zahlungsströme bedeutet dies, dass jedes Mal zahlreiche interne und externe Datenquellen auszuwerten sind, die jeweils aus mehreren Millionen Datensätzen bestehen. Eine Auswertung der internen Datenquellen mit den verfügbaren Suchfunktionen relationaler Datenbanken mag noch schnell gelingen, aber eine umfassende Prüfung auch externer Quelle geht zu einem wirtschaftlich vertretbaren Aufwand nur mit einer IT-Lösung.

Namematching mit ListSearch Compliance Server

Im Zentrum solcher IT-basierter KYC-Analysetools steht das Namematching. Um bei einer Risikoanalyse die gesuchte Person aus einer Vielzahl von Datenquellen zu finden, kommen wie bei einer Suchmaschine für den Identifikationsprozess komplexe Algorithmen für semantische, linguistische und phonetische Analysen zum Einsatz, um Datenbankinhalte zunächst zu erfassen und zu indexieren. Entgegen den Funktionen von Datenbanken, die weitgehend nur mit strukturierten Informationen umgehen können, sind intelligente Suchlösungen in der Lage, über standardisierte Schnittstellen sämtliche digital vorhandenen Informationen und Daten aufzubereiten und zu indexieren. Ihr Fokus liegt auf der Anbindung sämtlicher im Unternehmen vorhandener digitaler Datenquellen wie etwa File-Systeme oder Sprach- und Video-Dateien. Hinzu kommen bei KYC zusätzlich viele Millionen externe strukturierte und oft unstrukturierte Daten, die vor der Auswertung ebenso aufzubereiten und zu indexieren sind. Bei diesen externen Quellen ist schon die hohe Frequenz von Aktualisierungen eine zusätzliche Herausforderung.

Es gibt Lösungen, mit denen man in der Lage ist, über Konnektoren unterschiedliche Typen von Datenquellen einzubinden, auszuwerten und zu indexieren. Damit Kunden ihre eigenen sensiblen Kundendaten nicht aus der Hand geben müssen, laufen diese stationär auf eigenen Servern. Externe Datenquellen werden dafür einmal eingelesen und Aktualisierungen je nach Bedarf täglich nachgeladen. Konnektoren haben die Aufgabe, beliebige Datenbanken, Filesystemquellen (World-Check, Thomson Reuters, SWIFT), aber auch Webinhalte (Presse, PEP- und Listen wie OFAC) zu erschließen. Für die Datenquellen beherrschen bestimmte Konnektoren zudem die automatische Indexierung von Datenänderungen.

Schlüsselfunktionen im Indexer

Der Indexer bildet das Kernstück der Suchfunktionen und ist für den Erfolg des Systems sowie dessen Fähigkeit, die richtigen Matches zu identifizieren und automatisch Alarm zu schlagen bei einem Treffer, verantwortlich. Der Indexer hat die Aufgabe, die Daten intern so zu strukturieren, dass selbst in extrem großen Datenmengen Resultate innerhalb von Sekunden zur Verfügung stehen. Basierend auf diesem Index ist es auch möglich, den Nutzer automatisch über neue Inhalte, die die vordefinierten Kriterien erfüllen, zu informieren. Einige Lösungen stellen neben einer einfachen Abfragesprache wie bei Google weitere Abfrageoptionen bereit.

Das Namematching Framework kann im Einzelfall verschiedene Fragetechniken beherrschen und stellt sie in einem gezielten Workflow zu sogenannten Suchkaskaden zusammen, um diverse Aspekte der Namenssuche abzudecken. Der Benutzer muss sich dabei aber nicht um die Formulierung von komplexen Fragen kümmern, sondern kann lediglich die zu suchenden Kriterien eingeben. Den Rest arbeiten manche Lösungen vollautomatisch ab. Für den Nutzer ist die Ergebnisausgabe so aufbereitet, dass er sich nur noch um die Bewertung der als potenziell relevant erkannten Treffer befassen muss.

Return on Invest in kürzester Zeit

Mit einer intuitiven Bedienung spielen intelligente KYC-Lösungen ihre wirtschaftlichen Vorteile aus. Schon für Nutzer mit wenigen Überprüfungen am Tag rechnet es sich in kürzester Zeit, wenn man den manuellen Aufwand mit einer automatisierten KYC-Lösung vergleicht. Die Namen eines Neukunden und seines Unternehmens sind typischerweise in zwei bis drei internen Datenbanken von Hand zu durchsuchen. Anschließend sind Sanktionslisten in Dokumenten oder Online manuell zu durchforsten. Jedes System verfügt über unterschiedliche Logins und Suchsyntax. Zusätzlich sind für eine korrekte Prüfung minimale Suchvariationen durchzuführen.Dabei erlauben viele Datenbanken nicht einmal eine Suche mit Platzhalter und beherrschen erst recht keine komplexeren Fragestellungen oder Suchkaskaden. Selbst erfahrene Compliance-Mitarbeiter brauchen also für jeden Kunden mindestens fünf Minuten. Dieser Aufwand ist auch regelmäßig mit Bestandskunden fällig. Bereits bei Banken mittlerer Größe können mit bis zu 70.000 Neu- und Bestandkunden pro Jahr im Ergebnis schnell drei bis vier Vollzeitstellen zusammenkommen, die sich über automatisiertes KYC substituieren lassen.

Fazit

Angesicht der Geldwäschegesetze der einzelnen Nationen und der verschärften Strafen, die bei der Begünstigung von Geldwäsche oder Terrorfinanzierung fällig werden, ist ein automatisiertes KYC-System der vernünftige Weg für Unternehmen. Wer seine KYC-Prüfungen nicht auf dem aktuellen technischen Stand organisiert, läuft schnell Gefahr, eine hohe Strafe zu zahlen.

Autor: Peter Angehrn, Chief Technology Officer, DTI Schweiz AG.

Bildquelle: Photo by Markus Winkler on Unsplash


[zurück]