Banking & Financial Markets Briefing
Bank-Compliance-Cockpit mit zwei Bildschirmen — Operations und GwG-Fachstelle — beide gespeist aus denselben Betrugsdetektions-Events

Betrug als Vortat: Warum Fraud-KPIs auch ans Compliance-Board gehören

FINMA-Aufsichtsmitteilung 02/2026 verortet digitalen Betrug operativ. Doch Art. 146 StGB ist Vortat zur Geldwäscherei nach Art. 305bis StGB — wer Fraud-KPIs nur an Operations berichtet, lässt eine Reporting-Linie ungenutzt, die Art. 6 GwG voraussetzt.

Dr. iur. Servatius von Tatzenberg

Gestern hat dieses Blatt argumentiert, dass die FINMA-Aufsichtsmitteilung 02/2026 vom 9. April 2026 digitalen Betrug doktrinell im operationellen Risiko verankert — Art. 12 BankV, nicht Art. 9 GwG. Diese Lesart steht. Sie ist aber nur die halbe Geschichte. Die zweite sitzt in der Reporting-Linie zum Compliance-Board, und die Aufsichtsmitteilung öffnet diese Linie nicht — sie setzt sie voraus.

Die Vortat-Verbindung: was folgt und was nicht folgt

Art. 146 StGB — Betrug — ist ein Verbrechen im Sinne von Art. 305bis StGB. Wer Vermögenswerte vereitelt, die aus einem vollendeten Betrug herrühren, macht sich der Geldwäscherei strafbar. Das ist die dogmatische Verbindung. Sie trägt aber nur unter einer Bedingung, die in der operativen Diskussion zu oft übergangen wird: Es müssen Erlöse aus einer vollendeten Vortat vorhanden sein, die durch das Institut geflossen sind oder fliessen.

Nicht jeder Fraud-Event im Betrugsmonitor löst einen Vortaten-Indikator aus. Ein blockierter Phishing-Versuch erzeugt keine verwertbaren Vermögenswerte. Ein zurückgebuchter Zahlungsauftrag hinterlässt keine Mittel, die im Sinne von Art. 305bis StGB aus einer Straftat herrühren. Die AML-Schwelle ist nicht bereits überschritten, wenn ein Angriff versucht, erkannt oder frühzeitig unterbunden wurde.

Die Vortaten-Indikation entsteht dort, wo ein Betrug vollständig durchgeführt wurde und die daraus generierten Mittel durch das Konto des Instituts geflossen sind oder fliessen sollen. Drei operative Kategorien verdienen die schärfste Aufmerksamkeit. Erstens: Kontomissbrauch mit bereits ausgeführten Abbuchungen, bei dem die abgezogenen Mittel weiter transferiert wurden und nicht zurückgebucht werden konnten. Zweitens: vollständig ausgeführte CEO- oder BEC-Fraud-Überweisungen, bei denen die Bank Zahlungsanweisungen auf Grundlage einer Täuschung ausgeführt hat und die Mittel das Konto verlassen haben. Drittens: eingehende Überweisungen von Konten bei Drittinstituten, für die dem Finanzintermediär ein begründeter Hinweis auf einen Betrug beim Absender vorliegt — etwa durch eine Meldung der Korrespondenzbank oder durch Kundeninformation.

In diesen Konstellationen sind Vermögenswerte vorhanden, die aus einem vollendeten Art. 146 StGB-Betrug herrühren können. Die Sonderabklärungspflicht nach Art. 6 Abs. 2 GwG ist dem Grunde nach einschlägig: Der Finanzintermediär muss abklären, ob ein begründeter Verdacht besteht, dass die involvierten Vermögenswerte aus einem Verbrechen herrühren. Die Ergebnisse dieser Abklärung entscheiden, ob eine Meldung nach Art. 9 GwG an die MROS erstattet werden muss.

Wie gross der Anteil erlösgenerierender Events am Gesamtvolumen der Detektionen ist, hängt vom Institutsprofil ab. Für Banken mit aktivem Zahlungsverkehr und E-Banking ist er nicht unbedeutend. Die Herausforderung ist nicht der Umfang, sondern die Zuordnung: Welche Events fallen in diese Kategorie, und welches Team ist für diese Qualifikation zuständig?

Die organisatorische Lücke nach Art. 8 GwG

Art. 8 GwG verlangt, dass der Finanzintermediär die organisatorischen Massnahmen trifft, die zur Einhaltung seiner GwG-Pflichten erforderlich sind. Für Institute, die ein Betrugsmonitoring betreiben, ergibt sich daraus ein konkreter Inhalt: Wenn der Fraud-Monitor Ereignisse erfasst, aus denen eine Sonderabklärungspflicht nach Art. 6 Abs. 2 GwG entstehen kann, muss ein definierter Eskalationsweg von der Betrugserkennungseinheit zur GwG-Fachstelle vorhanden sein. Fehlt dieser Weg, fehlt die organisatorische Massnahme, die Art. 8 GwG fordert.

Die operationelle Risikoabteilung, die den Fraud-Monitor betreibt, ist auf diese Qualifikation nicht ausgelegt. Sie steuert Detektionsquoten, Falsch-Positiv-Raten und Schadensvolumina — das ist ihr Mandat. Die Frage, ob ein ausgeführter Abbuchungsbetrag aus einem vollendeten Betrug herrührt und ob deshalb eine Sonderabklärung nach Art. 6 Abs. 2 GwG anzustossen ist, gehört in die GwG-Fachstelle. Ohne strukturierten Datentransfer sieht die Fachstelle den relevanten Event nicht.

Das ist die organisatorische Lücke, die Art. 8 GwG schliessen soll: zwei Einheiten, die dasselbe Ereignis aus unterschiedlichen Blickwinkeln bearbeiten könnten, ohne systematische Verbindung. Eine Bank, die erlösgenerierende Betrugsmuster operativ erfasst, sie im AML-Monitoring aber nicht spiegelt, kann ihre Abklärungspflicht nach Art. 6 Abs. 2 GwG für diese Events faktisch nicht erfüllen. Die GwG-Fachstelle kann nur abklären, was sie sieht.

Die Aufteilung der Berichterstattung

Für die nächste Sitzung des Audit Committee bedeutet das eine Anpassung der Reporting-Architektur. Keine zwei parallelen Statistiken — eine kategorisierte Auswertung desselben Datensatzes.

Die erste Berichtslinie geht an Operations: Detektionsquote, Falsch-Positiv-Rate, Schadensvolumen. Das ist die Steuerungslogik des Betrugsmonitors und bleibt unverändert.

Die zweite Berichtslinie läuft an die GwG-Fachstelle und ans Compliance-Board: dieselben Detektions-Events, kategorisiert nach AML-Konsequenz. Drei Klassen sollten ausgewiesen werden: Events, die zur Meldung nach Art. 9 GwG eskaliert wurden; Events, bei denen eine Sonderabklärung nach Art. 6 Abs. 2 GwG eingeleitet, aber keine Meldung erstattet wurde; Events, die ohne AML-Konsequenz geschlossen wurden, weil kein vollendeter erlösgenerierender Betrug vorlag. Diese Kategorisierung ist der dokumentierte Nachweis, dass das Betrugsmonitoring GwG-konform eingebettet ist.

Der Mehraufwand ist gering, wenn die Kategorisierung im Monitoring-System hinterlegt ist. Für Institute, die die Aufteilung der Berichterstattung noch nicht eingebaut haben, ist die nächste Systemanpassung der sinnvolle Zeitpunkt.

Prüfungsmassstab und offene Frage

FINMA-Aufsichtsmitteilung 02/2026 hat die Betrugsabwehr ins operationelle Risikomanagement nach Art. 12 BankV eingeordnet. Das ändert nichts daran, dass die GwG-Implikationen dort anfangen, wo ein Betrug gelingt — nicht dort, wo er erkannt wird. In einer FINMA-Onsite-Prüfung, die Art. 8 GwG-Compliance beurteilt, ist die Frage nach dem Datentransfer vom Betrugsmonitoring zur GwG-Fachstelle keine Spezialität. Sie ist der logische nächste Schritt nach der Überprüfung des Transaktionsmonitorings selbst.

Die offene Frage ist, ob die FINMA die Verbindung zwischen operationellem Risikomanagement und GwG-Compliance in einer künftigen Guidance ausdrücklich adressiert — oder ob sie es, wie in der Aufsichtsmitteilung 02/2026, der internen Umsetzung der Institute überlässt. Ohne die zweite Berichtslinie kann das Compliance-Board heute nicht belegen, dass diese Umsetzung stattgefunden hat.