Bankenaufsicht Deep Dive
Drei aufgefächerte FINMA-Aufsichtsmitteilungen und ein Inspektionsklemmbrett auf einem dunklen Aufsichtspult in Bern

FINMA-Jahresmedienkonferenz 2026: Wer den Pressetext liest, übersieht den Prüfauftrag

Die FINMA-Jahresmedienkonferenz vom 21. April 2026 bündelt die Aufsichtsmitteilungen 05/2025, 01/2026 und 02/2026 zu einer Prüfungsachse für das laufende Aufsichtsjahr. Was im Bilanzteil nach Rückblick klingt, ist die Anleitung für die nächste Vor-Ort-Kontrolle.

Dr. iur. Servatius von Tatzenberg

Am 21. April 2026 trat die FINMA mit ihrer Jahresmedienkonferenz vor die Mikrofone. Der Geschäftsbericht 2025 liest sich in Teilen wie eine Selbstvergewisserung über erreichte Resilienz. Für die Rechtsabteilung eines beaufsichtigten Instituts ist er etwas anderes: die Tagesordnung für die nächste Vor-Ort-Kontrolle.

Drei Achsen verlassen das Dokument als unmittelbare Prüfungsgegenstände, nicht als programmatische Absichten: operationelle Resilienz nach Aufsichtsmitteilung 05/2025, digitaler Betrug nach 02/2026 und kryptobasierte Aussonderung nach 01/2026. Wer den 21. April als Kommunikationstermin abhakt, übersieht, dass jede dieser drei Aufsichtsmitteilungen einen Stichtag, eine prüfbare Pflicht und einen bereits eingeübten Prüfpfad an die Hand gibt.

Operationelle Resilienz: Der 1. Januar ist nicht «vorbei»

Aufsichtsmitteilung 05/2025 vom 10. November 2025 setzt den Stichtag 1. Januar 2026 für die Umsetzung des Resilienzpakets aus FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken». Vier Bausteine: kritische Funktionen identifizieren, Toleranzgrenzen für Unterbrüche bestimmen, Wirksamkeit testen und Drittparteien einbinden. Die FINMA behandelt diese vier Anforderungen als aufsichtsrechtlich verbindlich; sie sind bei der nächsten Vor-Ort-Kontrolle unmittelbar prüfbar.

Die FINMA hat den Implementationsstand vor dem Stichtag explizit gemessen. Ihre Erhebung erfasste laut AM 05/2025 267 Banken, Effektenhändler, Finanzgruppen und Marktinfrastrukturen mit Stichtag 31. Dezember 2024. Die durchschnittliche Anzahl identifizierter kritischer Funktionen lag bei 3,5. In den Aufsichtskategorien 1 bis 3 hatten 85 % der Institute noch keine Tests durchgeführt. Nur 12 bis 15 % verfügten über einen kohärent zusammengeführten Rahmen aus BCM, ICT, Drittparteimanagement und Krisenorganisation.

Die 113 Bankenprüfungen des Jahres 2025, davon 42 allein bei der UBS, waren keine zufällige Verteilung. Die FINMA hält fest, dass Dienstleister und Outsourcing-Partner bei nahezu der Hälfte der 2025 gemeldeten Cyberangriffe selbst Angriffsziel waren — mit direkten Auswirkungen auf die beaufsichtigten Institute —, und sie hat darauf mit gezielten Vor-Ort-Kontrollen bei diesen Drittparteien reagiert. Wer den Auslagerungsperimeter nach Rundschreiben 2023/1 nur formal aufgesetzt, aber nicht getestet hat, wird auf der nächsten Prüfung dort getroffen, wo die Erhebung zum Risikomonitor 2025 schon im November 2025 Lücken sah.

Die Aufsichtsmitteilung 05/2025 formuliert nicht «erwartet wird»: Sie listet Befunde, die eine Inspektion bei fehlender Umsetzung ausweist — undokumentierte Abhängigkeiten gegenüber dem ICT-Dienstleister, fehlende Tabletop-Übungen unter realistischer Stressdauer, kritische Funktionen ohne Toleranzgrenze in Stunden. Diese Befundkette wurde in den 42 UBS-Prüfungen 2025 systematisch eingesetzt; sie dürfte im laufenden Aufsichtsprogramm der Kategorien 2 und 3 ankommen, sobald die UBS-Prüfrunde abgeschlossen ist.

Eine Lupe schwebt über dem aufgeschlagenen Notizbuch eines FINMA-Inspektors mit drei handschriftlichen Befunden — kritische Funktionen unklar, Tabletop-Test fehlt, Drittparteivertrag ohne Reporting — daneben ein Laptop mit FINMA-Siegel

Betrug ist operationelles Risiko, nicht GwG-Vorlauf

Aufsichtsmitteilung 02/2026 vom 9. April 2026 verortet digitalen Betrug operativ: Art. 12 BankV, nicht Art. 9 GwG — eine Verschiebung, die wir am 19. Mai aufgegriffen haben. Art. 9 GwG verpflichtet zur Meldung bei Geldwäschereiverdacht — reaktiv, an den Kundenverkehr geknüpft. Art. 12 BankV verlangt, dass das Institut operationelle Risiken durch angemessene interne Kontrollen aktiv begrenzt; digitaler Betrug gilt dort als eigenständiger Risikotyp, nicht als GwG-Vortat. Wer Fraud-Indikatoren nur im GwG-Prozess auswertet, hat weder das geforderte operationelle Monitoring noch die vorgesehenen Berichte ans Audit-Komitee.

Kryptoverwahrung: Der Schlüssel zählt, nicht die Buchung

Aufsichtsmitteilung 01/2026 stellt die Aussonderung kryptobasierter Werte auf den operativen Befund ab: Wer hält den privaten Schlüssel, wer kontrolliert die Wallet faktisch. Die Verbindung zur Jahresmedienkonferenz liegt nicht in der Statistik, sondern in der Bewilligungserteilung an die erste DLT-Handelsinfrastruktur des Berichtsjahres. Die FINMA signalisiert: Auch ein neues technisches Setup ändert nichts am alten zivilrechtlichen Anker. Operativ heisst das, dass eine Kundenforderung in der Konkurseröffnung des Instituts nicht nach Art. 37d BankG ausgesondert werden kann, wenn der Dienstleister den privaten Schlüssel kontrolliert — selbst wenn die Buchhaltung aussondert. Die Praxis verlangt eine technische Architektur, die diese Verfügungsmacht beim Institut beweisbar belässt: Multi-Sig-Setups oder Custody-Verträge, die mehr sind als kommerzielle SLAs.

Drei Schritte für die nächsten Tage

Erstens: das eigene Inventar kritischer Funktionen gegen Rundschreiben 2023/1 prüfen, nicht gegen die im Haus etablierte BCM-Praxis. Die Erhebung der FINMA macht deutlich, dass beide auseinanderlaufen. Zweitens: Auslagerungsverträge auf prüfbare Reportingpflichten gegen den Dritten durchsehen, im Blick auf die FINMA-Frage, was Sie selbst über den Zustand des Dienstleisters wissen können. Drittens: das digitale Betrugsdossier aus der GwG-Linie herausziehen und parallel im operationellen Risikobericht ans Audit-Komitee einsteuern.

Was offen bleibt

Offen ist, wie die Botschaft des Bundesrats zur BankG-Revision vom 22. April 2026, die individuelle Verantwortlichkeit der oberen Führung neu fasst, mit dem Operational-Resilience-Regime interagiert. Die FINMA spricht in der Jahresmedienkonferenz von einer Stärkung ihrer Kompetenzen; die parlamentarische Beratung entscheidet, ob daraus ein durchsetzbares Senior-Manager-Regime wird oder eine Erweiterung der bestehenden Organisationsaufsicht. Der nächste parlamentarische Klärungspunkt dürfte die ständerätliche Eintretensdebatte sein.

Die FINMA schloss 2025 insgesamt 55 Enforcementverfahren ab. In der grossen Mehrheit dieser Fälle waren die gesetzlichen Voraussetzungen für eine öffentliche Kommunikation der Verfahrensausgänge nach Art. 22 FINMAG nicht erfüllt — die Prüfagenda ist aktiv, nach aussen aber weitgehend stumm. Wer den Implementationsstand des eigenen Instituts aktiv dokumentiert, ist besser gestellt als derjenige, der auf den nächsten öffentlichen Hinweis wartet.

Wer die drei Stichtage — 1. Januar 2026 (RS 2023/1), AM 02/2026 vom 9. April, AM 01/2026 — als Prüfprogramm liest, ist der Inspektion einen Schritt voraus. Wer sie als Kommunikation abhakt, ist einen Schritt hinter ihr.