Mit künstlicher Intelligenz gegen den Fake-CEO
Ein Bundesgerichtsurteil im letzten Jahr nimmt Finanzinstitute in die Pflicht, bei ungewöhnlich daherkommenden Zahlungsaufträgen mehr Sorgfalt walten zu lassen. Gegen Haftungsfälle wie diesen können Banken sich schützen. Künstliche Intelligenz, Machine Learning und Automatisierung erkennen Betrugsfälle mittlerweile zuverlässiger als ein Mensch.
Eine Bank wird vom Bundesgericht dazu verurteilt, für den Schaden aufzukommen, den ein Kundenunternehmen durch so genannten «CEO Fraud» erlitt. Bei dieser Betrugsmasche geben sich die Angreifer typischerweise als Geschäftsführer oder ein Mitglied der Geschäftsleitung aus und «beauftragen» Mitarbeitende der Finanzabteilung, Zahlungen auszulösen. Durch erhöhte Dringlichkeit wird Druck auf die Ausführenden aufgesetzt, die ihrerseits die Bank anweisen, auch entgegen vereinbarten Compliance-Regeln die Aufträge auszuführen. Das Gericht hat im vorliegenden Fall die Bank explizit des Fehlverhaltens beschuldigt und sie für den vollen Betrag haftbar gemacht, der auf dem Konto von Kriminellen landete. In der Urteilsbegründung wird festgehalten, dass der Bank Unstimmigkeiten in den Zahlungsanweisungen, etwa Schreibfehler in den Mails, Adressabweichungen oder nichtvertragskonforme Auftragserteilung, hätten auffallen müssen.
Investitionen sind nötig, aber …
Durch dieses Bundesgerichtsurteil geraten Finanzdienstleister unter Druck. Sie müssen in die proaktive Betrugsprüfung investieren, wenn sie Compliance-Verstösse und eine allfällige Haftung ausschliessen wollen. Wird ein Betrugsversuch rechtzeitig erkannt, können suspekte Zahlungen verhindert werden. Einer Anklage und entsprechend auch einem möglichen Schuldspruch kann somit vorgebeugt werden. Experten gehen davon aus, dass die Dunkelziffer von Betrugsfällen wie diesem hoch sein dürfte – vor allem auch durch die während der Corona-Pandemie beschleunigte Digitalisierung. Banken müssen Jahr für Jahr mehr Ressourcen zur Identifikation und Abwehr betrügerischer Attacken bereitstellen. Dazu zwingen sie auch zahlreiche neue Compliance-Vorschriften und Regulatorien. Demgegenüber stehen Margendruck und damit weniger Ressourcen sowie ein Mangel an Fachkräften, die mit ihrer Qualifikation insbesondere an der Schnittstelle zwischen Compliance und IT in der Schweiz rar sind.
Carla Caspar, Leiterin Data Science, Inventx AGBanken müssen Jahr für Jahr mehr Ressourcen zur Identifikation und Abwehr betrügerischer Attacken bereitstellen. Dazu zwingen sie auch zahlreiche neue Compliance-Vorschriften und Regulatorien.
Daher hat bereits seit langem Technologie auf diesem Gebiet Einzug gehalten. Traditionell geht man beim Aufspüren von Compliance-Verstössen regelbasiert vor. Aus strukturierten Daten lassen sich fixe logische Strukturen und spezifische Muster ableiten. Die Regeln funktionieren nach dem Muster-Match-Prinzip oder stellen Zusammenhänge mit bereits bekanntem verdächtigen Verhalten her. Von diesen logischen und weitestgehend statistischen Prüfungen bewegt sich der Trend seit einiger Zeit hin zu Machine Learning, Artificial Intelligence (AI) und Automatisierung.
Künstliche Intelligenz im Vorteil
Die neuen Technologien können vor allem eines: Unmengen an Daten, die im E- und Mobile Banking, via Kartenzahlung oder über alternative Zahlungsdienstleister wie Twint generiert werden, analysieren und korrelieren sowie bei Verdacht in Echtzeit Aktionen auslösen, so dass ein fälschlicherweise ausgelöster Zahlungslauf im Zweifelsfall sogar noch abgebrochen werden kann. Machine-Learning-Algorithmen entdecken in der Datenanalyse Anomalien und analysieren das typische Nutzerverhalten. Intelligenz bedeutet im Kontext von Compliance & Fraud Analytics, dass die Algorithmen den Unterschied zwischen «normal» und «verdächtig» erkennen und lernen, wann wie reagiert werden muss. Diese Reaktion kann durch roboterisierte Prozessautomatisierung (RPA) implementiert werden, so dass sie ohne menschliches Zutun routinemässig und autonom erfolgt. Im vorliegenden Fall hätte das System mit fortgeschrittenen Algorithmen gegen den Compliance-Verstoss «protestieren» können. Es hätte automatisch im Abgleich früherer Aufträge mit denjenigen, die von Kriminellen initiiert worden waren, die Abweichungen identifiziert und die Zahlungen blockiert.
Das Potenzial KI-getriebener Technologie für Fraud Detection ist immens. Der Vorteil des Einsatzes von innovativen Tools und Technologien für den Kampf gegen Geldwäscherei und Betrug liegt auch darin, dass im Datenzeitalter viel ausführlichere Analysen gemacht, mehr Daten geprüft und diffizilere Zusammenhänge erkannt werden können, als ein Mensch in der gleichen Zeit – oder überhaupt – zu bewerkstelligen vermag. Können verhaltensbasierte Algorithmen, so genannte Behavioral Analytics, Betrug anhand von Normabweichungen im Verhalten des Nutzers erkennen, kann das Betrugsrisiko massiv minimiert werden. Dies kann als differenzierendes Wettbewerbsmerkmal für sicherheitssensible Kunden entscheidend sein.
