FMA-Fokus auf KI und Finanzsanktionen

Ausgangslage: KI beschleunigt Finanzsanktionen – Verantwortung bleibt beim Institut

KI-gestützte Systeme finden in Banken zunehmend operative Verwendung – insbesondere dort, wo hohe Transaktionsvolumina, kurze Durchlaufzeiten und erheblicher manueller Prüfaufwand zusammentreffen. Das Finanzsanktionsscreening im Auslandszahlungsverkehr ist ein solcher Bereich: Treffer müssen erkannt, bewertet und nachvollziehbar dokumentiert werden.

Einige Institute setzen dabei auf zugekaufte Lösungen, deren KI-Komponenten Alerts priorisieren und Erstentscheidungen („Stop/Go“) unterstützen. Der Nutzen liegt auf der Hand: schnellere Bearbeitung, konsistentere Entscheidungen und weniger manuelle Last.

Gleichzeitig entsteht ein Steuerungsproblem: Bei zugekauften Modellen sind Trainingsdaten, Feature-Logik, Modellparameter und Entscheidungswege häufig nur begrenzt transparent. Das kann Governance, Validierung und Auditfähigkeit erheblich erschweren – gerade dann, wenn ein Modell faktisch in die Entscheidungskette eingreift.

Österreichischer Aufsichtskontext: Finanzsanktionen bei der FMA gebündelt – KI rückt in den Fokus der Bankenaufsicht

Seit 1. Jänner 2026 ist die FMA in Österreich die zentrale Behörde für die Überwachung und Durchsetzung von Finanzsanktionen. Damit sind Finanzsanktionen gemeinsam mit der Aufsicht über Prävention von Geldwäsche und Terrorismusfinanzierung (AML/CFT) in einem integrierten Aufsichtsansatz gebündelt. Die FMA erwartet von den Beaufsichtigten klare Strategien, Kontrollen und Verfahren zur Vermeidung von Verstößen bzw. Umgehungen. Damit rücken Sanktionsprozesse – inklusive der Frage, wie Entscheidungen zustande kommen und sauber dokumentiert werden – spürbar stärker in den Fokus.1

Parallel dazu setzen OeNB und FMA 2026 einen klaren Schwerpunkt auf künstliche Intelligenz: Sie kündigen an, mit Banken gezielt zu konkreten KI-Anwendungen in Austausch zu treten und darauf aufbauend einen aufsichtlichen Ansatz zu entwickeln.²

Das heißt im Ergebnis: Sanktionsscreening ist kein Routineprozess, sondern ein Bereich, in dem robuste Kontrollen, nachvollziehbare Entscheidungswege und klare Verantwortlichkeiten – auch und gerade bei KI-Unterstützung – besonders zählen.

Europäischer Rahmen: Der EU AI Act als zusätzlicher Treiber

Die österreichische Entwicklung ist nicht isoliert, sondern erfolgt im Einklang mit neuen europäischen Vorgaben. Mit dem EU AI Act (Verordnung (EU) 2024/1689) hat die Europäische Union erstmals einen umfassenden Rechtsrahmen für künstliche Intelligenz geschaffen, der für den Finanzsektor besonders relevant ist. KI-Systeme, eingesetzt in sensiblen Bereichen wie Kreditvergabe, Betrugserkennung oder Geldwäscheprävention , können als Hochrisiko-KI eingestuft werden.³ Für KI-gestütztes Sanktionsscreening, das operative Stop/Go-Entscheidungen vorbereitet oder beeinflusst, ist eine solche Einstufung naheliegend.

Die Anforderungen an Hochrisiko-KI-Systeme sind umfangreich: Der EU AI Act fordert unter anderem ein Risikomanagementsystem über den gesamten Lebenszyklus (Art. 9), eine ausführliche technische Dokumentation (Art. 11), laufende Aufzeichnungspflichten (Art. 12), Transparenz gegenüber Nutzern (Art. 13) sowie menschliche Aufsicht (Art. 14). Anbieter müssen zudem ein Qualitätsmanagementsystem einrichten, das Modellvalidierung, Datenqualität und Cybersicherheit abdeckt.⁴

Entscheidend für Institute: Der EU AI Act schreibt nicht explizit „Referenzmodelle“ vor. Aber seine Anforderungen an Validierung, Monitoring, Erklärbarkeit und Risikomanagement machen ein institutseigenes Vergleichsmodell zu einem der naheliegendsten praktischen Instrumente – gerade bei zugekaufter KI, wo interne Nachvollziehbarkeit sonst kaum vorhanden ist. Die Regeln für Hochrisiko-KI treten ab August 2026 schrittweise in Kraft⁵ – fast zeitgleich mit dem neuen FMA-Sanktionsfokus.

Damit ergibt sich eine doppelte Begründung für Referenzmodelle: die österreichische Aufsichtspraxis einerseits und die europäische Regulierung andererseits. Institute, die jetzt in Transparenz und Governance investieren, adressieren beide Ebenen gleichzeitig.

Was ist ein Referenzmodell – und warum passt es gerade im Finanzsanktionsscreening?

Ein KI-Referenzmodell ist ein institutseigenes Vergleichsmodell, das parallel zur produktiven Screening-Lösung als Benchmark läuft. Es soll die Hersteller-KI nicht ersetzen, sondern prüf- und erklärbar machen – genau dort, wo Stop/Go-Entscheidungen besonders sensibel sind und die Anforderungen an Kontrollen und Nachweisführung steigen.

Der Nutzen eines Referenzmodells lässt sich entlang von fünf Dimensionen beschreiben:

1. Regulatorische Anforderungen erfüllen

Im Sanktionsscreening zählt nicht nur, wie ein Alert entschieden wurde, sondern vor allem warum. Ein Referenzmodell ermöglicht eine unabhängige Dokumentation und Nachweisführung: Welche Kriterien haben zur Einstufung geführt? Wie stabil ist die Entscheidung über die Zeit? Und wie lässt sich das gegenüber internen Kontrollfunktionen und externen Prüfern strukturiert belegen?

2. Governance und Kontrolle stärken

Modell-Updates, Listenänderungen oder Datenanpassungen können die Alert-Entscheidung direkt beeinflussen. Ein Referenzmodell gibt dem Institut Steuerungsfähigkeit zurück – nicht, indem es den Hersteller kontrolliert, sondern indem es eine eigene Kontrollschicht bietet: Welche Parameter wirken besonders stark auf Stop/Go? Wo entstehen Abhängigkeiten? Und wie lassen sich Änderungen gezielt testen, statt nur Output-Abweichungen zu beobachten?

3. Validierung und Vergleichbarkeit sicherstellen

Ein Referenzmodell macht Abweichungen sichtbar: Stimmen die Stop/Go-Entscheidungen der Hersteller-KI und des Referenzmodells im Wesentlichen überein? Wo gibt es systematische Unterschiede, etwa bei bestimmten Ländern, Kundenkonstellationen oder Alert-Typen? So entsteht eine belastbare Basis für Backtesting und Benchmarking: Es kann nachvollziehbar gezeigt werden, ob die produktive Lösung konsistent arbeitet, ob sogenannte „False Positives“ tatsächlich abnehmen und wo nachjustiert werden sollte.

4. Transparenz und Erklärbarkeit erhöhen

Fachbereiche, Compliance, Revision und Management müssen Entscheidungen nachvollziehen können. Ein Referenzmodell macht Explainability konkret nutzbar: Welche Merkmale haben einen Alert in Richtung „Stop“ gedrückt, welche in Richtung „Go“? Dadurch werden Entscheidungen auditierbar und Diskussionen werden anhand von Fakten geführt, statt anhand von Vermutungen über eine „Black Box“.

5. Anpassbarkeit nutzen, Vendor-Lock-in reduzieren

Sanktionsscreening ändert sich laufend: neue Sanktionsregimes, geänderte Listen, veränderte Zahlungsströme, neue Umgehungsmuster. Ein Referenzmodell kann flexibel aktualisiert werden – als Frühwarnsystem und als Testumgebung, um Auswirkungen von Änderungen vorab zu beurteilen. Das Institut wird unabhängiger: Es muss Änderungen nicht ausschließlich aus Hersteller-Release-Notes ableiten, sondern kann sie mit einem eigenen Maßstab testen und dokumentieren.

Empfohlenes Vorgehen: Ein Referenzmodell in fünf Schritten

Das folgende Vorgehen ist bewusst pragmatisch gehalten und lässt sich an Größe, Datenlage und Prozessdesign des jeweiligen Instituts anpassen:

1) Transparenz-Gap bestimmen – Welche Informationen zur Hersteller-KI liegen vor – etwa zu Vorverarbeitung, Feature-Generierung und Update-Mechanismen? Welche Nachweise werden für interne Kontrollen und externe Prüfungen benötigt?

2) Vergleichbarkeit der Daten herstellen – Ein Referenzmodell ist nur dann aussagekräftig, wenn Datenaufbereitung und Feature-Definitionen einen fairen Vergleich ermöglichen. Im Screening-Kontext ist dies oft der entscheidende Schritt für spätere Erklärbarkeit.

3) Benchmark-Modell entwickeln – Das Referenzmodell sollte reproduzierbar, robust und gut dokumentierbar sein. Der Fokus liegt nicht auf maximaler Komplexität, sondern auf einer stabilen Vergleichsbasis, die Plausibilisierung und Monitoring ermöglicht.

4) Erklärbarkeit und Dokumentation „by design“ – Nachvollziehbarkeit von Beginn an einplanen: klare Modellbeschreibung, Einsatz von Explainable AI, Versionierung, Testlogik und definierte Modellgrenzen.

5) Regelbetrieb etablieren – Der Mehrwert entsteht im laufenden Betrieb: regelmäßiger Vergleich zwischen Hersteller-KI und Referenzmodell, Trendanalyse von Abweichungen sowie klare Trigger für zusätzliche Reviews und Anpassungen von Kontrollen.

Fazit: Referenzmodelle als Governance  Hebel für „prüffähige KI“ im österreichischen Finanzscreening

Österreich setzt klare Rahmenbedingungen: Finanzsanktionen sind seit 2026 zentral bei der FMA verankert, mit explizitem Fokus auf Kontrollen und Verfahren. Gleichzeitig wird KI in der Bankenaufsicht als Schwerpunkt geführt. In dieser Lage ist ein institutseigenes Referenzmodell ein pragmatischer Weg, um die Vorteile zugekaufter KI mit der notwendigen Nachweis- und Steuerungsfähigkeit zu verbinden: unabhängig plausibilisieren, Abweichungen erklären, Veränderungen früh erkennen und Entscheidungen revisionssicher dokumentieren.

Wenn Sie sich mit der Frage beschäftigen, wie sich zugekaufte KI-gestützte Anwendungen mit vertretbarem Aufwand absichern und dokumentieren lassen, lohnt ein strukturierter Blick auf den konkreten UseCase: Datenfluss, Entscheidungslogik, Monitoring und Nachweise. Dabei unterstützen wir gern – als Sparring-Partner oder in Form eines schlanken Referenzmodells.

Quellen

1 FMA (30.12.2025): FMA ist ab 1. Jänner 2026 die neue Aufsichtsbehörde zur Überwachung und Durchsetzung von Finanzsanktionen (Pressemitteilung).

2 FMA & OeNB (15.12.2025): Schwerpunkte Bankenaufsicht 2026 – Austausch zu konkreten KIAnwendungen Anwendungen, Entwicklung eines Aufsichtsansatzes (Pressemitteilung FMA).

³ Verordnung (EU) 2024/1689 (EU AI Act), Anhang III: Hochrisiko-KI-Systeme gemäß Artikel 6 Absatz 2. KI-Systeme in den Bereichen Kreditvergabe, Betrugserkennung und Geldwäscheprävention können als Hochrisiko eingestuft werden. Abrufbar unter: artificialintelligenceact.eu.

⁴ Verordnung (EU) 2024/1689 (EU AI Act), Artikel 9 (Risikomanagementsystem), Artikel 11 (Technische Dokumentation), Artikel 12 (Aufzeichnungspflichten), Artikel 13 (Transparenz), Artikel 14 (Menschliche Aufsicht), Artikel 17 (Qualitätsmanagementsystem).

⁵ Europäische Kommission: Umsetzung des KI-Gesetzes – Zeitpläne und nächste Schritte. Die Verpflichtungen für Hochrisiko-KI-Systeme gemäß Anhang III gelten ab dem 2. August 2026. Abrufbar unter: artificialintelligenceact.eu.

‍