EBA-Stellungnahme 2025: Zunehmende ML/TF-Risiken im europäischen Finanzsektor

In der aktuellen Stellungnahme, die auf Daten von Januar 2022 bis Dezember 2024 beruht und Beiträge aus 52 AML/CFT-Aufsichtsbehörden beinhaltet, zieht die EBA ein kritisches Fazit: Der Finanzsektor ist mit einer zunehmend dynamischen und komplexen Risikolandschaft konfrontiert. Neue Technologien, Krypto-Vermögenswerte, FinTech-Innovationen und geopolitische Unsicherheiten haben massive Auswirkungen auf die Verwundbarkeit der Institute.

Gleichzeitig betont die EBA, dass Fortschritte erzielt wurden – insbesondere bei der Reduzierung ungerechtfertigter Risikominderungen und bei der Förderung stärkerer Aufsichtsstrukturen. Doch du erfährst beim Lesen schnell: Der Druck auf die Finanzbranche wird nicht nachlassen.

Allgemeine Risikolandschaft

Die EBA macht deutlich, dass seit der letzten Stellungnahme (2023) die Risiken für Geldwäsche und Terrorismusfinanzierung erheblich zugenommen haben. Haupttreiber sind:

• Die Digitalisierung von Finanzservices und der Aufstieg von FinTechs
• Der wachsende Einsatz von Kryptowährungen
• RegTech-Lösungen mit Qualitätsproblemen
• Betrugsmethoden, die durch KI befeuert werden
• Immer komplexere Sanktionsregimes

Während die Geschwindigkeit von Innovationen zunimmt, gelingt es vielen Instituten nicht, die regulatorischen und organisatorischen Abwehrmechanismen im gleichen Tempo zu verbessern. Dadurch entstehen neue Angriffsflächen.

FinTech: Innovation mit Schattenseiten

Du hast sicher schon gesehen, wie stark die FinTech-Branche wächst und wie sie dein Nutzererlebnis beim Banking verbessert. Schnelligkeit, niedrigere Kosten und vereinfachte Onboarding-Prozesse sind zentrale Vorteile.

Aber die Kehrseite: Laut EBA schätzen 70% der AML/CFT-Aufsichtsbehörden den Sektor als hochriskant ein. Viele junge Unternehmen priorisieren Wachstum und Kundengewinnung statt Compliance. Häufig fehlt es an:

• Know-how im Bereich AML/CFT
• Soliden Governance-Strukturen
• Umfassender Kundensorgfaltspflicht (KYC)
• Wirksamer Kontrolle von Outsourcing-Prozessen

Die EBA unterstreicht in ihrer Analyse, dass diese Defizite nicht nur FinTechs selbst betreffen. Sobald Banken oder andere traditionelle Institute FinTechs übernehmen, breiten sich diese Schwachstellen auf das breitere Finanzsystem aus – ein systemisches Risiko also.

RegTech: Große Chance, aber missbrauchsanfällig

RegTech-Lösungen gelten oft als „Retter“ in der Compliance: Automatisiertes Monitoring, Mustererkennung, Big-Data-Analysen und effiziente Screening-Prozesse. Doch die praktische Umsetzung bleibt problematisch.

Die EuReCA-Datenbank der EBA zeigt: Über die Hälfte der gemeldeten schweren Compliance-Verstöße hängt mit einer unzureichenden oder falschen Nutzung von RegTech-Tools zusammen. Häufige Probleme sind:

• Unzureichendes Fachverständnis im Institut
• Standardlösungen, die nicht auf spezifische Risiken zugeschnitten sind
• Überlastung durch zentrale Anbieter, die nicht flexibel genug reagieren können

Wenn du dir vorstellst, ein Institut setzt eine Software zum Kunden-Screening falsch ein, entstehen massive Identifikationslücken. Die Bedrohung wird nicht reduziert, sondern vergrößert. Darum fordert die EBA: Aufsicht und Institute sollen Best Practices für RegTech identifizieren und deren kontrollierten, verantwortungsbewussten Einsatz fördern.

Kryptowerte: Risiken im Übergang zum MiCA-Regime

Krypto-Asset-Dienstleister (CASPs) haben zwischen 2022 und 2024 in der EU um das 2,5-Fache zugenommen. Gleichzeitig hat die Missbrauchsquote – Stichwort Geldwäsche, Terrorismusfinanzierung, Umgehung von Sanktionen – deutlich zugenommen.

Typische Schwachpunkte:

• Fehlen robuster AML-Systeme
• Unzureichende Governance-Strukturen
• Zweifel an Management-Integrität
• Umgehungsversuche bei der Zulassung und Registrierung

Das Problem ist auch ein regulatorisches Timing-Thema: Das neue EU-Regelwerk für Kryptowerte (MiCA) ist in Umsetzung, aber die Aufsichtslücken sind während des Übergangs groß. Die EBA fordert deshalb, dass die zuständigen Behörden ihre Koordinierung bei der Aufsicht verbessern und klare Verfahren zur Durchsetzung anwenden.

Für dich als Beobachter des Marktes bedeutet das: Bis MiCA vollständig greift, bleibt die Krypto-Branche einer der riskantesten Sektoren.

KI und Betrug: Eskalierende Bedrohungen

Ein weiterer Kernpunkt: Betrug und Cyberkriminalität, verstärkt durch künstliche Intelligenz. Kriminelle haben KI als Werkzeug entdeckt, um Transaktionen zu verschleiern und Sicherheitskontrollen zu unterlaufen. Typische Methoden sind:

• Automatisierung von Geldwäscheketten
• Deepfake-Technologien, um Kundenidentitäten zu fälschen
• Erstellung perfekt gefälschter Dokumente
• KI-gestützte Simulation legitimer Geschäftsvorfälle

Eine wachsende Zahl von Angriffen übersteigt die defensive Kapazität vieler Institute. Nur durch Echtzeit-Überwachung, kontinuierliche Mitarbeiterschulungen und robuste Governance-Strukturen können Banken dagegenhalten.

Hier betont die EBA, dass Technologie einerseits eine Bedrohung ist, andererseits aber auch die Lösung darstellen kann – vorausgesetzt, sie wird verantwortungsvoll und zielgerichtet genutzt.

Restriktive Maßnahmen und Sanktionen

Die rasche Abfolge neuer EU-Sanktionspakete, insbesondere aufgrund geopolitischer Spannungen (Russland, Iran, Nordkorea), stellt Institute vor enorme Herausforderungen. Klassische Screening-Systeme kommen an ihre Grenzen.

Besonders kritisch sind:

• Sofortüberweisungen im SEPA-Raum, bei denen praktisch keine Zeit für effektives Screening bleibt
• Sektorale Sanktionen, die schwer in bestehende Systeme einzubinden sind
• Defizite in der Karteninfrastruktur, die fragmentierte Informationen verarbeiten muss

Die EBA kündigt an, dass ab Ende 2025 erstmals gemeinsame europäische Standards zur Umsetzung von Finanzsanktionen gelten werden. Diese Leitlinien sollen für Konsistenz sorgen. Allerdings bleibt es für Institute bis dahin ein Risikofeld, das hohe Priorität genießt.

Positive Entwicklungen

Es gibt auch Lichtblicke:

• Steuerdelikte und ungerechtfertigte Risikominderung sind rückläufig.
• 80% der Aufsichtsbehörden berichten, dass risk avoidance nicht mehr das zentrale Problem ist.
• Die Zahl gezielter Inspektionen und thematischer Prüfungen steigt stetig.
• Kreditinstitute und traditionelle Banken haben bei ihren AML-Kontrollen sichtbare Fortschritte gemacht.

Das bedeutet: Regulierung und Aufsicht wirken – zumindest in den klassischen Finanzsektoren. Die Schwachstellen liegen heute primär bei FinTechs, Kryptodienstleistern und teilweise im Zahlungsverkehr.

Gesamtbewertung der EBA

Die EBA fasst die Situation so zusammen:

• Das Bewusstsein für ML/TF-Risiken ist in der EU gestiegen.
• Dennoch bleibt die Qualität der AML/CFT-Systeme sehr uneinheitlich.
• Ein klarer, harmonisierter EU-Rahmen ist zwingend erforderlich.
• Die neue europäische Anti-Geldwäsche-Behörde (AMLA), die 2026 in Frankfurt operativ starten soll, wird hierbei zur Schlüsselrolle.

Für dich als Compliance- oder Risikomanager bedeutet das: Die Umsetzung der neuen Regelwerke (AMLR, AMLD6, MiCA, DORA) und eine einheitliche Exekutivaufsicht werden in den kommenden Jahren deinen Arbeitsalltag prägen.

Praxisempfehlungen für Institute

Damit du Risiken wirksam adressieren kannst, solltest du folgende Punkte priorisieren:

• FinTech-Kooperationen prüfen: Vor Partnerschaften oder Übernahmen die AML-Governance des Partners intensiv bewerten.
• RegTech verantwortungsvoll einsetzen: Keine Standardlösung ohne Anpassung an dein spezifisches Risikoprofil akzeptieren.
• Krypto-Engagements kritisch betrachten: Bis MiCA flächendeckend umgesetzt ist, bleibt erhöhte Vorsicht und Due Diligence Pflicht.
• KI nutzen – aber sicher: Investiere in technische Abwehrmaßnahmen und Awareness-Programme, um nicht Opfer KI-basierter Betrugsszenarien zu werden.
• Sanktionskonformität stärken: Screening-Systeme für Sofortüberweisungen und Sektoralsanktionen nachrüsten, bevor 2025 die EBA-Leitlinien verbindlich werden.

Fazit

Die fünfte AML/TF-Stellungnahme der EBA zeigt eine klare Botschaft: Du lebst in einer Zeit, in der Innovation und Regulatorik in ständiger Spannung stehen. Technologien wie FinTech, Krypto und KI eröffnen Chancen, aber sie verschärfen auch die Risiken. Für dich bedeutet das, dass die Balance zwischen Effizienz und Compliance im Zentrum deiner Arbeit steht.

Die EU arbeitet entschlossen daran, mit AMLA, MiCA und neuen Leitlinien einheitliche Spielregeln zu schaffen. Bis diese greifen, liegt die Verantwortung aber bei dir – in deinem Institut, deinem Compliance-Team, deinem Risikomanagement.

Nur durch konsequente Umsetzung des risikobasierten Ansatzes, smarte Nutzung von Technologie und eine enge Zusammenarbeit mit den Aufsichtsbehörden kannst du den wachsenden Anforderungen gerecht werden.