Zum Hauptinhalt springen

ML/TF-Risiken im Finanzsektor: EBA-Bericht 2025 mit Praxisempfehlungen für Institute

Die Europäische Bankenaufsichtsbehörde (EBA) ist nach Artikel 6 Absatz 5 der Richtlinie (EU) 2015/849 verpflichtet, alle zwei Jahre eine umfassende Stellungnahme zu den Risiken der Geldwäsche (Money Laundering – ML) und Terrorismusfinanzierung (Terrorist Financing – TF) im europäischen Finanzsektor vorzulegen. Mit dieser Befugnis sorgt sie dafür, dass die relevanten Mitgesetzgeber und Aufsichtsbehörden auf eine einheitliche, faktenbasierte Informationsgrundlage zurückgreifen können, wenn es um die Weiterentwicklung des europäischen AML/CFT-Regulierungsrahmens geht.

In der aktuellen Stellungnahme, die auf Daten von Januar 2022 bis Dezember 2024 beruht und Beiträge aus 52 AML/CFT-Aufsichtsbehörden beinhaltet, zieht die EBA ein kritisches Fazit: 

Der Finanzsektor ist mit einer zunehmend dynamischen und komplexen Risikolandschaft konfrontiert. Neue Technologien, Krypto-Vermögenswerte, FinTech-Innovationen und geopolitische Unsicherheiten haben massive Auswirkungen auf die Verwundbarkeit der Institute.

Gleichzeitig betont die EBA, dass Fortschritte erzielt wurden – insbesondere bei der Reduzierung ungerechtfertigter Risikominderungen und bei der Förderung stärkerer Aufsichtsstrukturen. Doch du erfährst beim Lesen schnell: Der Druck auf die Finanzbranche wird nicht nachlassen.

EBA AML/CFT-Analyse 2025

Übersichtstabelle zu ML/TF-Risiken im EU-Finanzsektor

Bereich / Risiko Zentrale Schwachstellen Aufsichtliche Erkenntnisse / Maßnahmen Handlungsempfehlungen für Institute
FinTech – Vorrang von Wachstum vor Compliance
– Fehlendes AML/CFT-Know-how
– Schwache Governance
– Unzureichende KYC-Kontrollen		 70% der Aufsichtsbehörden sehen hohe Risiken; FinTech-Risiken können auf Banken übergreifen Vor Kooperationen AML-Strukturen prüfen; Governance verbessern; Priorisierung von Compliance etablieren
RegTech – Unsachgemäßer Einsatz
– Standardlösungen statt maßgeschneiderter Systeme
– Abhängigkeit von wenigen Anbietern		 Über Hälfte der EuReCA-Meldungen zeigt Verstöße durch fehlerhaften RegTech-Einsatz RegTech-Lösungen sorgfältig anpassen; Fachwissen schulen; Multi-Provider-Strategien aufbauen
Krypto-Assets (CASPs) – Fehlende AML-Systeme
– Lückenhafte Governance
– Umgehung von Zulassungsverfahren
– Fragwürdige Management-Integrität		 Zahl der CASPs stieg 2,5-fach; viele ohne wirksame Kontrollen; MiCA-Regulierung in Umsetzung Strenge Due Diligence vor Kooperation; Übergangszeit besonders risikoorientiert begleiten; Transparenz fordern
KI-getriebener Betrug – Automatisierte Geldwäsche
– Deepfakes und gefälschte Dokumente
– Simulation legitimer Aktivitäten		 Zunehmende KI-basierte Angriffe, Institute überlastet Echtzeit-Überwachung implementieren; Mitarbeiterschulungen erweitern; verantwortlicher KI-Einsatz mit Governance
Restriktive Maßnahmen / Sanktionen – Screening-Defizite bei SEPA-Sofort
– Sektorale Sanktionen schwer integrierbar
– Fragmentierte Karteninfrastruktur		 Aufsicht legt höhere Anforderungen an Screening-Qualität; neue EU-Standards treten Ende 2025 in Kraft Screening-Systeme nachrüsten; klare Policies implementieren; vorbereiten auf EBA-Leitlinien zu Sanktionen
Positive Entwicklungen – Rückgang von Steuerdelikten
– Weniger ungerechtfertigte Risikominderung
– Mehr thematische Inspektionen		 80% der Behörden bestätigen Verbesserungen; insbesondere bei klassischen Banken Engagement aufrechterhalten; Fokus auf verbleibende Hochrisikobereiche (Krypto, Zahlungsinstitute)
Gesamtbewertung – Uneinheitliche Qualität der AML-Systeme
– Regulierungsfragmentierung
– Wachsende Risiken durch neue Technologien		 AMLA-Aufbau und EU-weite Harmonisierung; verstärkte thematische Prüfungen Einheitlicher risikobasierter Ansatz; smarte Technologie-Integration; enge Zusammenarbeit mit Aufsicht

Allgemeine Risikolandschaft

Die EBA macht deutlich, dass seit der letzten Stellungnahme (2023) die Risiken für Geldwäsche und Terrorismusfinanzierung erheblich zugenommen haben. Haupttreiber sind:

  • Die Digitalisierung von Finanzservices und der Aufstieg von FinTechs

  • Der wachsende Einsatz von Kryptowährungen

  • RegTech-Lösungen mit Qualitätsproblemen

  • Betrugsmethoden, die durch KI befeuert werden

  • Immer komplexere Sanktionsregimes

Während die Geschwindigkeit von Innovationen zunimmt, gelingt es vielen Instituten nicht, die regulatorischen und organisatorischen Abwehrmechanismen im gleichen Tempo zu verbessern. Dadurch entstehen neue Angriffsflächen.

FinTech: Innovation mit Schattenseiten

Du hast sicher schon gesehen, wie stark die FinTech-Branche wächst und wie sie dein Nutzererlebnis beim Banking verbessert. Schnelligkeit, niedrigere Kosten und vereinfachte Onboarding-Prozesse sind zentrale Vorteile.

Aber die Kehrseite: Laut EBA schätzen 70% der AML/CFT-Aufsichtsbehörden den Sektor als hochriskant ein. Viele junge Unternehmen priorisieren Wachstum und Kundengewinnung statt Compliance. Häufig fehlt es an:

  • Know-how im Bereich AML/CFT

  • Soliden Governance-Strukturen

  • Umfassender Kundensorgfaltspflicht (KYC)

  • Wirksamer Kontrolle von Outsourcing-Prozessen

Die EBA unterstreicht in ihrer Analyse, dass diese Defizite nicht nur FinTechs selbst betreffen. Sobald Banken oder andere traditionelle Institute FinTechs übernehmen, breiten sich diese Schwachstellen auf das breitere Finanzsystem aus – ein systemisches Risiko also.

RegTech: Große Chance, aber missbrauchsanfällig

RegTech-Lösungen gelten oft als „Retter“ in der Compliance: Automatisiertes Monitoring, Mustererkennung, Big-Data-Analysen und effiziente Screening-Prozesse. Doch die praktische Umsetzung bleibt problematisch.

Die EuReCA-Datenbank der EBA zeigt: Über die Hälfte der gemeldeten schweren Compliance-Verstöße hängt mit einer unzureichenden oder falschen Nutzung von RegTech-Tools zusammen. Häufige Probleme sind:

  • Unzureichendes Fachverständnis im Institut

  • Standardlösungen, die nicht auf spezifische Risiken zugeschnitten sind

  • Überlastung durch zentrale Anbieter, die nicht flexibel genug reagieren können

Wenn du dir vorstellst, ein Institut setzt eine Software zum Kunden-Screening falsch ein, entstehen massive Identifikationslücken. Die Bedrohung wird nicht reduziert, sondern vergrößert. Darum fordert die EBA: Aufsicht und Institute sollen Best Practices für RegTech identifizieren und deren kontrollierten, verantwortungsbewussten Einsatz fördern.

Kryptowerte: Risiken im Übergang zum MiCA-Regime

Krypto-Asset-Dienstleister (CASPs) haben zwischen 2022 und 2024 in der EU um das 2,5-Fache zugenommen. Gleichzeitig hat die Missbrauchsquote – Stichwort Geldwäsche, Terrorismusfinanzierung, Umgehung von Sanktionen – deutlich zugenommen.

Typische Schwachpunkte:

  • Fehlen robuster AML-Systeme

  • Unzureichende Governance-Strukturen

  • Zweifel an Management-Integrität

  • Umgehungsversuche bei der Zulassung und Registrierung

Das Problem ist auch ein regulatorisches Timing-Thema: Das neue EU-Regelwerk für Kryptowerte (MiCA) ist in Umsetzung, aber die Aufsichtslücken sind während des Übergangs groß. Die EBA fordert deshalb, dass die zuständigen Behörden ihre Koordinierung bei der Aufsicht verbessern und klare Verfahren zur Durchsetzung anwenden.

Für dich als Beobachter des Marktes bedeutet das: Bis MiCA vollständig greift, bleibt die Krypto-Branche einer der riskantesten Sektoren.

KI und Betrug: Eskalierende Bedrohungen

Ein weiterer Kernpunkt: Betrug und Cyberkriminalität, verstärkt durch künstliche Intelligenz. Kriminelle haben KI als Werkzeug entdeckt, um Transaktionen zu verschleiern und Sicherheitskontrollen zu unterlaufen. Typische Methoden sind:

  • Automatisierung von Geldwäscheketten

  • Deepfake-Technologien, um Kundenidentitäten zu fälschen

  • Erstellung perfekt gefälschter Dokumente

  • KI-gestützte Simulation legitimer Geschäftsvorfälle

Eine wachsende Zahl von Angriffen übersteigt die defensive Kapazität vieler Institute. Nur durch Echtzeit-Überwachung, kontinuierliche Mitarbeiterschulungen und robuste Governance-Strukturen können Banken dagegenhalten.

Hier betont die EBA, dass Technologie einerseits eine Bedrohung ist, andererseits aber auch die Lösung darstellen kann – vorausgesetzt, sie wird verantwortungsvoll und zielgerichtet genutzt.

Restriktive Maßnahmen und Sanktionen

Die rasche Abfolge neuer EU-Sanktionspakete, insbesondere aufgrund geopolitischer Spannungen (Russland, Iran, Nordkorea), stellt Institute vor enorme Herausforderungen. Klassische Screening-Systeme kommen an ihre Grenzen.

Besonders kritisch sind:

  • Sofortüberweisungen im SEPA-Raum, bei denen praktisch keine Zeit für effektives Screening bleibt

  • Sektorale Sanktionen, die schwer in bestehende Systeme einzubinden sind

  • Defizite in der Karteninfrastruktur, die fragmentierte Informationen verarbeiten muss

Die EBA kündigt an, dass ab Ende 2025 erstmals gemeinsame europäische Standards zur Umsetzung von Finanzsanktionen gelten werden. Diese Leitlinien sollen für Konsistenz sorgen. Allerdings bleibt es für Institute bis dahin ein Risikofeld, das hohe Priorität genießt.

Positive Entwicklungen

Es gibt auch Lichtblicke:

  • Steuerdelikte und ungerechtfertigte Risikominderung sind rückläufig.

  • 80% der Aufsichtsbehörden berichten, dass risk avoidance nicht mehr das zentrale Problem ist.

  • Die Zahl gezielter Inspektionen und thematischer Prüfungen steigt stetig.

  • Kreditinstitute und traditionelle Banken haben bei ihren AML-Kontrollen sichtbare Fortschritte gemacht.

Das bedeutet: Regulierung und Aufsicht wirken – zumindest in den klassischen Finanzsektoren. Die Schwachstellen liegen heute primär bei FinTechs, Kryptodienstleistern und teilweise im Zahlungsverkehr.

Gesamtbewertung der EBA

Die EBA fasst die Situation so zusammen:

  • Das Bewusstsein für ML/TF-Risiken ist in der EU gestiegen.

  • Dennoch bleibt die Qualität der AML/CFT-Systeme sehr uneinheitlich.

  • Ein klarer, harmonisierter EU-Rahmen ist zwingend erforderlich.

  • Die neue europäische Anti-Geldwäsche-Behörde (AMLA), die 2026 in Frankfurt operativ starten soll, wird hierbei zur Schlüsselrolle.

Für dich als Compliance- oder Risikomanager bedeutet das: Die Umsetzung der neuen Regelwerke (AMLR, AMLD6, MiCA, DORA) und eine einheitliche Exekutivaufsicht werden in den kommenden Jahren deinen Arbeitsalltag prägen.

Praxisempfehlungen für Institute

Damit du Risiken wirksam adressieren kannst, solltest du folgende Punkte priorisieren:

  • FinTech-Kooperationen prüfen: Vor Partnerschaften oder Übernahmen die AML-Governance des Partners intensiv bewerten.

  • RegTech verantwortungsvoll einsetzen: Keine Standardlösung ohne Anpassung an dein spezifisches Risikoprofil akzeptieren.

  • Krypto-Engagements kritisch betrachten: Bis MiCA flächendeckend umgesetzt ist, bleibt erhöhte Vorsicht und Due Diligence Pflicht.

  • KI nutzen – aber sicher: Investiere in technische Abwehrmaßnahmen und Awareness-Programme, um nicht Opfer KI-basierter Betrugsszenarien zu werden.

  • Sanktionskonformität stärken: Screening-Systeme für Sofortüberweisungen und Sektoralsanktionen nachrüsten, bevor 2025 die EBA-Leitlinien verbindlich werden.

Praxisfälle zu ML/TF-Risiken im EU-Finanzsektor

Praxisfall Beschreibung Relevantes Risiko Lehre für Institute
FinTech-Onboarding Ein FinTech priorisiert Kundenzuwachs und vernachlässigt KYC-Kontrollen. Banken übernehmen diese Schwächen bei Kooperation. Hohe ML/TF-Risiken durch fehlende Governance und Compliance Sorgfältige Due Diligence vor Kooperationen, Governance-Check, klare Compliance-Vorgaben
RegTech-Fehlkonfiguration Ein Institut setzt Standard-RegTech ohne Anpassung ein. Offshore-Transaktionen bleiben unentdeckt. Unzureichendes Transaktionsmonitoring Systeme an Risikoprofil anpassen, Fachwissen schulen, Multi-Provider-Strategie prüfen
Krypto-Asset-Dienstleister Ein CASP wächst stark, zeigt aber schwache Governance und unklare Eigentümerstrukturen. Missbrauch für Geldwäsche und Terrorismusfinanzierung Strenge Due Diligence, Übergangszeit bis MiCA besonders risikoorientiert begleiten
KI-Deepfake beim VideoIdent Gefälschte Identitäten werden durch Deepfakes im Ident-Verfahren eingeschleust. Technologiegestützter Betrug Echtzeit-Überwachung, KI-Erkennungssysteme, Awareness-Trainings
SEPA-Sofort & Sanktionen Eine Sofortüberweisung an ein sanktioniertes Unternehmen passiert ohne rechtzeitiges Screening. Sanktionsumgehung durch Geschwindigkeit von Zahlungen Screening-Systeme aufrüsten, klare Policies implementieren, Vorbereitung auf EU-Standards 2025

Fazit

Die fünfte AML/TF-Stellungnahme der EBA zeigt eine klare Botschaft: Du lebst in einer Zeit, in der Innovation und Regulatorik in ständiger Spannung stehen. Technologien wie FinTech, Krypto und KI eröffnen Chancen, aber sie verschärfen auch die Risiken. Für dich bedeutet das, dass die Balance zwischen Effizienz und Compliance im Zentrum deiner Arbeit steht.

Die EU arbeitet entschlossen daran, mit AMLA, MiCA und neuen Leitlinien einheitliche Spielregeln zu schaffen. Bis diese greifen, liegt die Verantwortung aber bei dir – in deinem Institut, deinem Compliance-Team, deinem Risikomanagement.

Nur durch konsequente Umsetzung des risikobasierten Ansatzes, smarte Nutzung von Technologie und eine enge Zusammenarbeit mit den Aufsichtsbehörden kannst du den wachsenden Anforderungen gerecht werden.

Relevante Quellen mit direktem Bezug zur EBA-Stellungnahme & Publikationen

  • EBA – Opinion and Report on ML/TF risks (PDF) – umfassende Analyse der Geldwäsche- und Terrorfinanzierungsrisiken 2025 Europäische Bankenaufsicht

  • EBA – Startseite / Portal der Behörde (für Überblick, News, institutioneller Kontext) Europäische Bankenaufsicht

FAQ: ML/TF-Risiken im EU-Finanzsektor

  • Warum gelten FinTechs als besonders risikobehaftet?

    Viele FinTechs priorisieren Wachstum vor Compliance. Oft fehlen AML/CFT-Know-how, Governance-Strukturen und wirksame KYC-Kontrollen. Das kann Risiken auch auf Banken übertragen.

  • Welche Probleme gibt es beim Einsatz von RegTech?

    Häufig werden Standardlösungen unsachgemäß eingesetzt oder nicht auf spezifische Risiken angepasst. Über 50% der EuReCA-Meldungen beziehen sich auf fehlerhafte RegTech-Nutzung.

  • Warum stehen Krypto-Assets im Fokus der EBA?

    CASPs sind stark gewachsen, jedoch oft ohne robuste AML-Systeme. Bis MiCA vollständig umgesetzt ist, bleiben Lücken in der Aufsicht bestehen – dadurch steigt das Missbrauchsrisiko.

  • Wie verändert KI die Bedrohungslage?

    Kriminelle nutzen KI für Deepfakes, gefälschte Dokumente und automatisierte Geldwäsche. Institute müssen Echtzeit-Überwachung, Governance und Awareness-Programme ausbauen.

  • Welche Rolle spielen Sanktionen in der EBA-Stellungnahme?

    Neue EU-Sanktionspakete stellen Banken vor große Herausforderungen. Besonders Sofortzahlungen im SEPA-Raum erfordern leistungsfähige Screening-Systeme und klare Policies.

  • Gibt es auch positive Entwicklungen?

    Ja. Die Zahl ungerechtfertigter Risikominderungen ist gesunken, thematische Inspektionen haben zugenommen, und klassische Banken zeigen deutliche Fortschritte bei AML-Kontrollen.

  • Was bedeutet das für Finanzinstitute konkret?

    Institute sollten FinTech-Kooperationen sorgfältig prüfen, RegTech verantwortungsvoll einsetzen, Krypto-Engagements kritisch bewerten, KI-gestützte Betrugsszenarien abwehren und ihre Sanktionssysteme nachrüsten.