11. Juni 2021 / Erschienen in Compliance Praxis 3/2021, S. 42
Nach wie vor stecken Künstliche Intelligenz (KI) oder Artificial Intelligence (AI) in den Kinderschuhen. Praktische Anwendungen sind noch selten, während Forschung und Entwicklung auf Hochtouren laufen. Auch im Compliance-Management wird versucht, durch KI-Anwendungen Prozesse sinnvoll zu automatisieren.
Das 36. Compliance Netzwerktreffen am 9. Juni 2021 widmete sich solchen praktischen Einsatzmöglichkeiten von KI und den nicht unerheblichen Schwierigkeiten, die (noch) damit einhergehen. Paul Kampusch, Director Content Management bei LexisNexis, begrüßte rund 100 Teilnehmer zu diesem zweiten Netzwerktreffen des Jahres 2021.
Konzipiert hatte die Veranstaltung Netzwerkpartner targens. Der deutsche IT-Dienstleister entwickelt selbst bereits „intelligente“ Prüfprogramme für die Finanzbranche. Matthias Denning, Leiter des targens-Büros in Wien, lud drei Behördenvertreter zur Diskussion ein: Bernhard Böhm ist bei der österreichischen Finanzmarktaufsichtsbehörde (FMA) in der Abteilung Prävention von Geldwäscherei und Terrorismusfinanzierung tätig, Dieter Petracs beschäftigt sich im Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) ebenfalls mit diesen Themen und Antoine Karam leitet für das United Nations Office on Drugs and Crime (UNODC) IT-Projekte zur Entwicklung einschlägiger Softwareprogramme.
Einleitend skizzierte Julia Staerk von targens potenzielle Vorteile von KI-Anwendungen in der Compliance, wie die schnellere Fallbearbeitung, die Entlastung von monotoner Arbeit, Kosteneinsparungen oder die Reduktion falsch positiver Warnhinweise, sogenannter „Alerts“. Als Problemfelder nannte sie die mangelnde Transparenz von KI-Entscheidungen, da bei neuronalen Netzen zwar Input und Output sichtbar sind, nicht jedoch der Entscheidungsfindungsprozess, der „hidden layer“, dazwischen. Die Letztentscheidung müsse ohnehin immer beim Menschen bleiben, was auch die EU so vorgibt.
Transparenz von KI-Prozessen wird nicht nur von der Gesellschaft eingefordert, sondern ist vor allem auch für die Aufsichtsbehörden ein Muss. „Wir werden im Wochenrhythmus eingeladen, Systeme anzusehen. Die FMA nimmt aber kein System ab“, stellte Bernhard Böhm klar. Die Aufsicht müsse „technologieneutral“ agieren. Sandbox-Verfahren zur Verbesserung von Programmen werden von der FMA daher nur bis zu einem bestimmten Punkt begleitet. Zudem sehe die FMA IT-Tools nur als ein Element unter vielen Elementen eines Gesamtplans an Maßnahmen, so Böhm. Ein IT-System kann für ein bestimmtes Unternehmen passend sein, für ein anderes nicht. Vorteile von Automatisierung sieht der FMA-Vertreter dennoch, vor allem in der Bearbeitung von „Alerts“: „Die Bearbeiter sollen sich um die Fälle kümmern, die relevant sind, und nicht um die false positives, die aufgrund von starren Systemen auftauchen.“ Dass manche Systeme Entscheidungen in einer „Blackbox“ treffen, hält Böhm nicht zwingend für problematisch, solange die Parameter für den erfolgreichen Einsatz definiert werden: „Ich nutze ein Auto auch, obwohl ich es nicht bis in den letzten Winkel verstehe.“
Dieter Petracs gab einen Einblick in die schwer zu fassende Welt der Terrorismusfinanzierung, deren Bekämpfung von der internationalen Gemeinschaft erst seit 9/11 energischer in Angriff genommen wird. Obwohl oft synonym verwendet unterscheiden sich Terrorismusfinanzierung und Geldwäsche in etlichen Punkten, so Petracs. Finanzmittel für Terrorismus können auch aus legalen Quellen wie Spenden, staatlichen Zuwendungen oder normaler Geschäftstätigkeit stammen, während Geldwäsche einer kriminellen Vortat bedarf. Auch die Motive und Methoden differieren: Geldwäsche wird aus Profitgier betrieben, Terrorismus aus ideologischen Gründen, Geldwäsche operiert mit Platzierung und Umschichtung, während sich die Geldbeschaffung im Vorfeld von Anschlägen „außergewöhnlich gewöhnlich“ darstelle.
Auch das Täterprofil wandelt sich ständig, führte Petracs aus. Die Finanzierung großer, hierarchisch strukturierter Gruppen erfordert zwar hohe Summen für Werbung, Training, Waffen, Infrastruktur. Die gegenwärtig größte Bedrohung geht jedoch von Einzelkämpfern aus, die kein klar definierbares Täterprofil aufweisen. Vor Kurzem sei eine Studie abgeschlossen worden, die 106 Terrorakte zwischen 2015 und Ende 2020 analysiert, unter anderem den Anschlag von Wien. Sie soll laut Petracs die nach wie vor dominante Annahme widerlegen, dass es für die vorzeitige Entdeckung von Einzeltätern kaum einen Hebel gibt.
Auch die FATF (Financial Action Task Force on Money Laundering) setzt unter der aktuellen Führung Deutschlands auf neue Technologien wie Täterpooling und intelligente Datenanalysen, um Terroristen erfolgreicher aufzuspüren. Vor dem Hintergrund, dass von Finanzinstitutionen jährlich 54 Mrd. US-Dollar für Transaktionsmonitoring aufgewendet werden, jedoch 90% der gemeldeten Fälle keinen Wert für die Strafverfolger haben, eine lohnende Aufgabe. Petracs plädierte dafür, den regelbasierten Ansatz bei der Bekämpfung von Terrorfinanzierung durch einen verhaltensbezogenen Ansatz zu erweitern: „KI kann, richtig eingesetzt, aus vergangenen Verhaltensmuster künftiges Verhalten prognostizieren. Der kontextuelle Zusammenhang ist dabei der wesentliche Faktor und technische Lösungen können dabei helfen, den Kontext zu verstehen.“
Antoine Karam berichtete im Anschluss über das Anti-Geldwäsche-System goAML des UNODC. Diese voll integrierte Softwarelösung wurde speziell für den Einsatz durch Financial Intelligence Units (FIUs) in den UN-Mitgliedstaaten entwickelt und wird bis Ende des laufenden Jahres in 60 Ländern weltweit im Einsatz sein. In Europa beteiligen sich bis dato 18 Staaten, darunter auch Österreich. Trotz vielfach erfolgreicher Anwendung stößt das System noch an Grenzen: In der praktischen Anwendung bereiten etwa lückenhafte Datensätze oder „schmutzige“ Daten Probleme. Auch die mangelhafte Interoperabilität der nationalen Systeme bremst den Erfolg. Vor allem aber fehlt die Bereitschaft von Staaten, Datensammlungen für andere Staaten freizugeben, um einen einheitlichen Datenpool zu schaffen. Hier wird Datenschutz und staatlicher Souveränität nach wie vor Priorität eingeräumt.
Zum Abschluss der fachlich sehr dichten Veranstaltung stellte Ines Planner von targens noch einige in Entwicklung befindliche Tools des IT-Spezialisten vor, allen voran Smaragd IAC (Intelligence Alert Classifier), der die Prüfung von Warnmeldungen bei Finanztransaktionen künftig mit Hilfe von KI erheblich effizienter gestalten wird.
Zusammenfassend stellte Matthias Denning fest: „KI in der Compliance ist kein Buzzword, sondern der nächste logische Schritt, nachdem regelbasierte Verfahren aufgrund der wachsenden Komplexität an ihre Grenzen stoßen.“
Autoren
Mag. Klaus Putzer
Mag. Klaus Putzer war von 2010 bis 2023 Redakteur bzw. Chefredakteur der Compliance Praxis. Zuvor war er in mehreren Verlagen als leitender Redakteur im Magazinbereich tätig bzw. arbeitete als frei...