Bankaufsicht Deep Dive
Innenraum einer Schweizer Bank, in dem die Betrugsakten vom verlassenen AML-Schreibtisch zum besetzten Organisations-Arbeitsplatz wandern, im Hintergrund die FINMA-Aufsichtsmitteilung 02/2026.

FINMA 02/2026: Die Betrugsabwehr gehört in Art. 12 BankV, nicht in Art. 9 GwG

Die FINMA-Aufsichtsmitteilung 02/2026 vom 9. April 2026 verortet digitalen Betrug im operationellen Risikomanagement nach Art. 12 BankV und FINMA-RS 2023/1 – nicht in der Verdachtsmeldung nach Art. 9 GwG. Wer im nächsten Prüfungszyklus mit MROS-Statistik antritt, beantwortet die falsche Frage.

Dr. iur. Servatius von Tatzenberg

Die FINMA-Aufsichtsmitteilung 02/2026 vom 9. April 2026 verschiebt die Diagnose. Phishing, Authorised Push Payments, Account Takeover, CEO Fraud: Was die Banken bisher als nachgelagertes Geldwäschereiproblem behandelten, verortet die Behörde im operationellen Risikomanagement nach Art. 12 BankV und im totalrevidierten FINMA-RS 2023/1 «Operationelle Risiken und Resilienz – Banken». Wer im nächsten Prüfungszyklus mit der Verdachtsmeldungsstatistik nach Art. 9 GwG antritt, beantwortet die falsche Frage.

Die Mitteilung stützt sich auf eine Umfrage Ende 2025 bei 19 Banken unterschiedlicher Aufsichtskategorien. Acht der befragten Häuser hatten keine eigene Policy zu digitalem Betrug, also 42 Prozent der Stichprobe. Sieben besassen keinen standardisierten Incident-Response-Plan, drei keinen Steuerungsausschuss, rund ein Viertel keinen Prozess zur Antizipation neuer Betrugsmuster. Das sind Verteilungswerte aus einer regulären Aufsichtsstichprobe.

Art. 12 BankV verpflichtet Banken, Risikomanagement und Funktionentrennung in einem Reglement zu verankern und operationelle Risiken zu erfassen, zu begrenzen und zu überwachen. Wenn die Aufsichtsmitteilung 02/2026 ein «geeignetes Risikomanagement» gegen digitale Betrugsrisiken verlangt, knüpft sie an diese Bestimmung an — nicht an Art. 9 GwG, der erst greift, wenn ein Verdacht bereits besteht. Die Aufsichtsmitteilung gilt ausdrücklich für Banken und Personen nach Art. 1b BankG. Fintech-Bewilligungsträger und Zahlungsdienstleister dieser Lizenzklasse sind damit gleichermassen erfasst. Das FINMA-RS 2023/1, in Kraft seit dem 1. Januar 2024, hat den Pflichtenkatalog auf ICT-Risiken, kritische Daten und betriebliche Resilienz ausgedehnt, und die Aufsichtsmitteilung ordnet Phishing, Account Takeover und CEO Fraud nun ausdrücklich diesen Vektoren zu.

Bisher konnte ein Institut die Antwort «wir haben gemeldet» als hinreichend verstehen. Art. 9 Abs. 1 GwG schreibt vor, dass der Finanzintermediär bei begründetem Verdacht auf Geldwäscherei oder eine Vortat der Meldestelle Mitteilung erstattet. Diese Pflicht greift, wenn der Schaden bereits durch das System gelaufen ist. Die Aufsichtsmitteilung verlangt nun, dass die Bank früher ansetzt – bei der digitalen Eröffnung einer Kundenbeziehung, beim Muster eines Account Takeover, beim manipulierten Identitätsdokument. Die Aufsicht fragt nicht mehr «habt ihr gemeldet», sondern «warum habt ihr nicht erkannt».

Die Umfrage liefert die empirische Begründung. Die Quote, mit der interne Betrugsverdächtigungen in formelle MROS-Meldungen umgewandelt werden, schwankte zwischen den Häusern um den Faktor zehn – von 12 auf 78 Prozent. Die meisten Institute arbeiteten mit fixen Transaktionsschwellen zwischen CHF 100’000 und 200’000 für Retailkunden mit tiefer oder normaler Risikoklassifizierung statt mit szenariobasiertem Monitoring. FINMA stellte fest, dass KYC-Informationen bei den befragten Instituten allgemein knapp gehalten und vom Transaktionsmonitoring entkoppelt waren. Diese Streuung dokumentiert Beliebigkeit, und Beliebigkeit erfüllt Art. 12 BankV nicht.

Ein spezifischer Befund unterstreicht die Verschiebung. FINMA beschreibt Fälle, in denen die Eröffnung der Kundenbeziehung mit gültigen Ausweisdokumenten durch eine legitime Person erfolgte, der Zugang anschliessend aber an Dritte übertragen wurde — ohne dass FINMA dabei online eröffnete Konten als generell betrugsgefährdeter eingestuft hätte als persönlich eröffnete. Dieses Muster unterläuft den klassischen KYC-Filter, weil der Filter genau im Augenblick einer formal korrekten Identifikation greift. Manipulierte Videos und KI-generierte Identitätsbelege machen die nachträgliche Forensik aufwendig und verlagern den Erkennungspunkt nach vorn. Das Rundschreiben 2023/1 hatte solche Vektoren unter «ICT-Risiken» adressiert; die Aufsichtsmitteilung explizitiert sie als Betrugsrisiko, das Art. 12 BankV mitabdeckt.

Eine Schweizer Bankenprüferin sitzt an einem Aktentisch und prüft die gedruckte FINMA-Aufsichtsmitteilung 02/2026, daneben aufgeschlagen das FINMA-Rundschreiben 2023/1 und ein Aktenordner mit der Aufschrift «Organisationsreglement Art. 12 BankV»; auf einem Notizzettel die handgeschriebene Zeile «digital fraud = OpRisk, nicht GwG».

FINMA benennt auch den Eskalationspfad: vorübergehende Beschränkungen jener Dienstleistungen, in denen sich Betrugsfälle häufen. Das ist keine neue Befugnis – Art. 31 FINMAG erlaubt die Wiederherstellung des ordnungsgemässen Zustandes seit der Schaffung der Behörde. Neu ist der Anknüpfungspunkt: Die Mitteilung bindet das Werkzeug ausdrücklich an einen organisatorischen Mangel im Sinne von Art. 12 BankV. Wer digitales Onboarding ohne Anti-Fraud-Layer betreibt, riskiert je nach Befund die zeitweilige Einstellung des digitalen Onboardings (vgl. Aufsichtsmitteilung, Abschnitt Massnahmen).

Drei Schritte sind innerhalb einer Woche operationalisierbar. Erstens das Risikoinventar nach Art. 12 BankV daraufhin durchgehen, ob digitaler Betrug als eigene Kategorie geführt wird oder unter «operationelles Risiko, sonstiges» mitläuft. Zweitens die MROS-Konversionsquote pro Kanal und Filiale dokumentieren: Streut sie auffällig, arbeitet das Institut ohne einheitliche Erkennungsmethode. Drittens das Onboarding-Verfahren gegen die im FINMA-Befund beschriebene Konstellation prüfen und einen zweistufigen Verifikationsschritt nach der formalen Kontoeröffnung im Reglement verankern.

Art. 12 BankV und FINMA-RS 2023/1 bilden den Rahmen. Die Aufsichtsmitteilung 02/2026 legt fest, wie FINMA ihn auf digitale Betrugsrisiken anwendet: als wesentliches operationelles Risiko, das vor dem Schadenseintritt gesteuert werden muss. Ob diese Lesart in einer konkreten Aufsichtsmassnahme standhält, wird der Prüfungszyklus 2026 zeigen – die ersten internen Audits nach dem 9. April sind das Material, an dem FINMA ihre Erwartung kalibrieren wird. Bis dahin gilt die einfache Frage: Trägt das Organisationsreglement den Satz «digitaler Betrug ist ein operationelles Risiko nach Art. 12 BankV», oder fehlt er noch.