AML-Compliance – zentraler Erfolgsfaktor bei der Einführung von Digital-Asset-Angeboten

Wie können Finanzinstitute das Potenzial digitaler Vermögenswerte voll ausschöpfen, ohne Compliance- und Geldwäscheaspekte zu vernachlässigen? Im Folgenden wird die Notwendigkeit diskutiert, die Compliance- und Geldwäscheprozesse von Finanzinstituten in Bezug auf digitale Vermögenswerte zu erweitern, um den Herausforderungen pseudonymer DLT-Transaktionen zu begegnen.

Digital-Asset-Angebote erfordern erweiterte Compliance- und Geldwäscheprozesse in Finanzinstituten

Der Finanzdienstleistungssektor steht seit jeher an vorderster Front bei der Bekämpfung von Geldwäsche (AML), um Finanzverbrechen in diesem Bereich oder in der Terrorismusfinanzierung zu verhindern. Das verstärkte Aufkommen von digitalen Vermögenswerten (Digital Assets) wie Kryptowährungen oder tokenisierten Vermögenswerten bedingt jedoch eine risikobewusste Ausweitung des bestehenden Abwehrdispositivs der Risikoabteilungen von Finanzinstituten.

Trotz einiger negativer Ereignisse (FTX, Terra Luna etc.) auf dem Kryptomarkt im Jahr 2022 bauen im Hintergrund immer mehr Marktteilnehmer Digital-Asset-Angebote auf (u. a. Kryptobörsen oder etablierte Finanzinstitute). Ungeachtet der steigenden Nachfrage und des enormen Potenzials von DLT und Digital Assets dürfen compliance- und geldwäscherelevante Aspekte nicht vernachlässigt werden.

Pseudonyme DLT-Transaktionen erschweren das Onboarding von Digital Assets

Die Risiken, welche durch eine Einführung von Digital-Asset-Angeboten entstehen können, hängen vor allem mit der Funktionsweise der Distributed-Ledger-Technologie (DLT) und den darüber abgebildeten Transaktionen zusammen. Vermögenswerte werden von pseudonymen Adressen (alphanumerischen Strings) vermittelt, ohne dass direkt ein Rückschluss auf den Sender oder Empfänger einer Transaktion gezogen werden kann. Erst über zusätzliche Analysen sind diese Schlüsse möglich.

Zudem gibt es je nach verwendeter Technologie auch Mittel, um Transaktionen anonym ablaufen zu lassen. So waren in der Vergangenheit gerade Kryptowährungen trotz ihrer transparenten Funktionsweise aufgrund fehlender Rückschlussmöglichkeiten beliebte Mittel für illegale Aktivitäten wie Geldwäsche und Terrorismusfinanzierung.

Geldwäscherelevante Tatbestände entstanden im Jahr 2022 insbesondere durch Asset-Hopping[1] oder Chain-Hopping[2] und sind vorrangig aufgrund von drei Angeboten, die innerhalb des Kryptotradings gewisse Anonymität schaffen, umsetzbar: dezentralisierten Handelsplätzen (DEX), Cross-Chain-Brücken und Coin Swap Services.

Aufgrund der erhöhten Geldwäscherisiken zählen Digital Assets im Compliancekontext zu Hochrisikoassetklassen. Finanzdienstleister, die beabsichtigen, Digital Assets anzubieten, müssen sicherstellen, dass sie ein robustes Abwehrdispositiv aufbauen, welches über ausreichende AML-Maßnahmen verfügt und die Exponierung der verbundenen Risiken minimiert.

Digital-Asset-Compliance als „Moving Target“ im dynamischen regulatorischen Umfeld

Regulatoren rund um den Globus forcieren zunehmend die Einschränkung geldwäsche- und terrorismusfinanzierungsrelevanter Tatbestände im Zusammenhang mit Digital Assets – und nehmen daher Finanzinstitute oder FinTechs mit DLT-Angeboten zusehends in die Pflicht.

Wesentlicher Aspekt bei der Lancierung von Digital-Asset-Angeboten innerhalb der neuen „Markets in Crypto-Assets (MiCA)“-Regulierung ist daher die Einhaltung der regulatorischen Anforderungen im Bereich Geldwäschecompliance – darunter die Verpflichtung, Kunden (Know Your Customer (KYC)) und deren Digital Asset Wallets (Know Your Wallets) zu kennen sowie Transaktionen (Know Your Transaction) zu überwachen.

Abstraktes Rendering als Metapher für MiCAR: Regulatorik für Kryptowerte konkretisiert
MiCAR: Regulatorik für Kryptowerte konkretisiert
Ist die MiCAR ein Paukenschlag für die Kryptobranche? Die EU-Kommission hat am 24.09.2020 ihre Digital-Finance-Strategie veröffentlicht, deren Vorschlag einer Verordnung über Märkte für Kryptowerte (MiCAR) ist.
Weiterlesen »

In einem weltweit dynamischen Umfeld haben es Finanzinstitute derzeit aber mit einem „Moving Target“ zu tun. Nach wie vor haben sich keine globalen regulatorischen Rahmenbedingungen durchgesetzt, sodass aufsichtsrechtliche Arbitragemöglichkeiten und Grauzonen bestehen. Die Implementierung von starken, aber flexiblen AML-Prozessen und -Kontrollen im Digital-Asset-Kontext sollte daher Toppriorität genießen. Westeuropäische Länder wie Deutschland, Liechtenstein und die Schweiz, aber auch die EU insgesamt sind im Bereich AML-Compliance in Bezug auf Digital Assets führend. Kryptoassets sind beispielsweise EU-weit derzeit in der „6th Anti-Money Laundering Directive“ reguliert – Marktakteure müssen das AML‑/CFT-Framework der EU einhalten.

Lizenzierungsverfahren laufen über die nationalen Regulatoren in der EU, entweder als MSB[3], E-Money- oder Wertpapieranbieter. Lizenzierte Kryptoanbieter dürfen unter der anstehenden „Markets in Crypto-Assets Regulation“ ihre Services innerhalb der EU vertreiben (unter Bekanntgabe an die lokale Aufsicht), müssen jedoch entsprechende Policies und Prozesse, welche die Cross-Border-Compliance sicherstellen, aufsetzen. Die Schweiz und Großbritannien haben ähnliche, zunehmend strengere regulatorische Vorschriften.

Für Serviceanbieter im Bereich Digital Assets (VASPs[4]) ist zudem auch die Ausweitung der „Transfer of Funds“-Anforderungen der FATF[5] auf digitale Vermögenswerte besonders relevant. Dabei ist vor allem die sogenannte „Travel Rule“ zu beachten. Die angekündigten Anforderungen sind zwar erst lückenhaft in lokales Recht umgesetzt und auch nicht in jeder Jurisdiktion in gleicher Weise vorgesehen, dennoch stellt die „Travel Rule“ Finanzinstitute vor große operationelle Herausforderungen.

Die Anbieter sind demnach verpflichtet, bei allen Digital-Asset-Transfers zwischen VASPs von über 1.000 EUR resp. 1.000 CHF in der Schweiz Informationen zur/zum Auftraggebenden (Originator/Payer) sowie Zahlungsempfänger/-in (Beneficiary/Payee) festzuhalten und zu übermitteln. Im Kontext von pseudonymen DLT-Transaktionen bedeutet dies, dass Digital-Asset-Anbieter aufwändig kundenidentifizierende Informationen wie Namen und Wallet-Adressen von Auftraggebenden sowie Empfängerinnen und Empfängern von Transfers austauschen müssen. Finanzinstitute mit der Absicht, Digital-Asset-Angebote einzuführen, sind also nicht nur intern gefordert. Vielmehr gilt es auch, gemeinsam mit anderen Marktteilnehmern standardisierte Prozesse und Zusammenarbeitsmodelle zum Austausch der entsprechenden Informationen aufzusetzen.

Erste technische Ansätze dazu lassen sich in Form von sogenannten „Travel Rule“-Protokollen wie TRUST von Coinbase, InterVASP oder auch OpenVASP von SEBA, Sygnum, Lykke und Bitcoin Suisse erkennen. All diese Protokolle zielen auf einen standardisierten Informationsaustausch im Rahmen der Erfüllung der „Travel Rule“-Anforderungen ab. Da sich bei den unterschiedlichen VASPs ob der Fülle an Protokollen trotzdem noch kein Marktstandard durchgesetzt hat, haben sich am Markt zudem auch „Travel Rule“-Protokollaggregatoren wie Notabene oder 21 Analytics positioniert, die mit einer Schnittstelle mehrere Protokolle zusammenfassen und deren Kompatibilität sicherstellen.

AML-Compliance durch Anpassungen im Kundenonboarding und Digital-Asset-Transfer sichern

Digital-Asset-Complianceprozess: Kundenonboarding und Assettransfer Abbildung 1: Digital-Asset-Complianceprozess

Trotz all dieser Herausforderungen können die Risiken im Umgang mit Digital Assets durch die Einführung eines entsprechenden Abwehrdispositivs minimiert werden. Insbesondere die Kundenonboarding- und Transferprozesse gilt es um Digital-Asset-Spezifika zu erweitern (Abbildung 1).

Kundenonboarding

Im ersten Schritt umfassen diese Erweiterungen die Ableitung situationsspezifischer Risikoscorings unter Einbezug von Kunden- und Tokenrisiko. Das Kundenrisiko wird anhand der Vermögensherkunft bestimmt. Bei Digital Assets sind verschiedene Formen der Vermögensentstehung möglich, beispielsweise durch Mining‑/Staking-Aktivitäten, Trading oder durch STO[6]/ICO[7], die unterschiedlichen Geldwäscherisiken unterliegen.

Weitere Faktoren für die Ableitung des Kundenrisikos können entweder durch andere KYC-Regeln oder bankspezifische Regeln definiert werden. Neben dem Einbezug des Kundenrisikos ist die Bestimmung des Tokenrisikos wesentlicher Bestandteil des Risiko-Assessments. Für diesen Prozess gilt es, ein Tokenbewertungsmodell zu entwickeln, welches basierend auf unterschiedlichen Faktoren (z. B. Anzahl involvierter Blockchain-Adressen, Tokenomics, ESG-Faktoren etc.) einen Risk-Score ableitet. Ein solches Modell kann entweder selbst entwickelt oder mit einem darauf spezialisierten Serviceprovider an die eigene Systemlandschaft angepasst werden. Eine Aggregation der Einzelbewertungen (weitere Plausibilisierungschecks möglich) führt zu einem Gesamtscore, anhand dessen die Onboardingentscheidung abgeleitet wird. Alternativ kann das Tokenrisiko auch erst beim effektiven Vermögensübertrag reflektiert werden.

Assettransfer

Auch im Rahmen von Digital-Asset-Transfers sind risikomitigierende Maßnahmen aufzusetzen. Neben der Sicherstellung von Minimalanforderungen wie dem Check, ob AGB für die Digital Assets unterschrieben worden sind, gilt es unter anderem, die involvierten Wallet-Adressen forensisch auf kriminelle Aktivitäten wie Geldwäsche zu untersuchen.

Durch die Anwendung eines forensischen Tools kann ein Finanzinstitut eine Risikoeinschätzung hinsichtlich der Wahrscheinlichkeit eines Exposures zu besagten Aktivitäten erhalten. Zudem kann die Transaktionshistorie einer Gegenpartei detailliert nachvollzogen werden, wodurch beispielsweise auch Versuche von Geldwäsche aufgedeckt werden können. Interessanterweise bildet sich dabei am Markt aktuell ein neuer Standard heraus, wobei auch Transaktionen über mehrere Blockchains hinweg verfolgt werden können.

Finanzinstitute erhalten also die Möglichkeit, risikobewusste Entscheidungen über die Aufnahme von Digital Assets zu treffen. Wird das Risiko für die Bank als akzeptabel eingestuft, erfolgt bei den effektiven Transfers ein letzter Check, welcher die wirtschaftliche Berechtigung einer Blockchain-Adresse bestimmen soll (Private Key Control Procedure). Dieser Schritt ist insofern notwendig, um die Einhaltung der oben erwähnten „Travel Rule“-Anforderungen zu gewährleisten. Das Zielbild für diesen Schritt befindet sich jedoch am Markt aktuell noch in der Entwicklung, und es stehen mehrere technische Lösungsansätze im Raum.

AML-Compliance – Key Takeaways und nächste Schritte

Regulatorische Compliance bleibt eine der größten Herausforderungen bei der Einführung von Digital Assets. Trotzdem kann konstatiert werden, dass die AML-Compliancerisiken im Umgang mit Digital Assets anhand durchdachter Abwehrmaßnahmen mitigiert werden können, sodass Finanzinstituten ein risikobewusster Einstieg in Digital Assets gelingen kann. Eine frühzeitige Berücksichtigung nachfolgender compliancerelevanter Themenblöcke ist aus zeb-Sicht daher erfolgsentscheidend:

  • Tiefgreifende Analyse der Market Best Practices zur Einführung von Digital Assets: Schaffen von Verständnis von Digital-Asset-Risiken und Mitigationsmaßnahmen, Analyse und Integration nach Market-Best-Practice-Implementationsverfahren
  • Ausbau bestehender Wertschöpfungsprozesse: „End-to-end“-Prüfung vorhandener organisatorischer und fachlicher Maßnahmen wie Risikomanagement (inklusive Geldwäscherisikoanalyse), Policy-Management, Prozessdefinitionen und Auslagerungsmanagement und deren Erweiterung um die neuen Aufgabengebiete
  • Ergänzung des Kundenonboarding-Frameworks: Berücksichtigung des Kunden- sowie Aufsetzen der Digital-Asset-Transfers
  • Aufbau von Fähigkeiten hinsichtlich Digital-Asset-Transfers: Entwicklung von Fähigkeiten zur Analyse komplexer Digital-Asset-Transferkonstellationen mit Einsatz forensischer Tools und technischer Lösungen zur Einhaltung der „Travel Rule“-Anforderungen
  • Neues Rollenverständnis der Lines of Defense (LoD): engmaschige Zusammenarbeit (sowohl beim Kundenonboarding als auch im Bereich der forensischen Analysen) als Voraussetzung für effiziente und regulatorisch konforme Prozessabläufe in dynamischem Umfeld

[1] Asset-Hopping bedeutet der kontinuierliche Wechsel zwischen unterschiedlichen Vermögenswerten (z. B. von Aktien zu Kryptoassets).
[2] Chain-Hopping heißt, Assets von einer Blockchain zur nächsten zu transferieren.
[3] Money Services Business.
[4] Virtual Asset Service Providers.
[5] Financial Action Task Force.
[6] Security Token Offering, die Herausgabe von digitalen Vermögenswerten auf einer Blockchain.
[7] Initial Coin Offering, die Kapitalbeschaffung mit Kryptowährungen.

Sprechen Sie uns gerne an!

Julian Schmeing / Autor BankingHub

Julian Schmeing

Partner Office München
Tamara Braun / Autorin BankingHub

Tamara Braun

Senior Managerin Office Wien
Cédric Lüscher / Autor BankingHub

Cédric Lüscher

Manager Office Zürich

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach