Die FINMA Aufsichtsmitteilung 02/2026 und ihre Auswirkungen auf die Dienstleistungen und Produkte der Banken
Die Möglichkeiten der Künstlichen Intelligenz macht es Betrügern immer einfacher, ihre sogenannten Fraud-Stories immer besser zu tarnen. Insbesondere im Finanzbereich hat die Anzahl der Opfer von Betrug und Phishing markant zugenommen. Im April 2026 hat die Schweizerische Finanzmarktaufsicht (FINMA) zu dem Thema eine Aufsichtsmitteilung veröffentlicht. Was diese Mitteilung für die Bankprodukte und Dienstleistungen einer Bank bedeutet, das haben My Chau Bachelard und Dr. Martin Hess von der Zürcher Kanzlei Künzi Hess MacNab sowie Catherine Walter und Dennis Flad von t’charta an einem Webinar am 30. April 2026 diskutiert.
Die Mitteilung ist rechtlich nicht verpflichtend, aber…
Die FINMA-Aufsichtsmitteilung 02/2026 ist keine formelle Rechtsquelle. Sie ist weder Gesetz noch Verordnung noch Rundschreiben und schafft deshalb keine neuen materiellen Pflichten. Ihre praktische Bedeutung ist dennoch gross, weil sie offenlegt, wie die FINMA bestehende Organisations-, Compliance- und Risikomanagementpflichten im Umgang mit digitalen Betrugsrisiken versteht.
Im Webinar wurde dies als „Soft Law mit harter Wirkung“ eingeordnet. Institute verletzen nicht die Mitteilung als solche, riskieren aber aufsichtsrechtliche Feststellungen, Nachbesserungspflichten oder Enforcement-Massnahmen, wenn sie die darin formulierte Erwartungshaltung nicht in ein tragfähiges Fraud-Management überführen.
Rechtlich verbindlich bleiben insbesondere das Bankengesetz, die Bankenverordnung, das Geldwäschereigesetz sowie die Vorgaben zu operationellen Risiken. Die Mitteilung konkretisiert damit vor allem, dass digitale Betrugsrisiken als wesentliche operationelle Risiken systematisch erkannt, bewertet, gesteuert und überwacht werden müssen.
Die Regulation verschärft sich – zumindest international
My Chau Bachelard und Martin Hess betonten, dass digitale Betrugsrisiken regulatorisch fragmentiert geregelt sind. Relevant sind nicht nur aufsichtsrechtliche Normen, sondern auch zivilrechtliche Sorgfaltspflichten, Datenschutz, Cybersecurity und Geldwäschereivorgaben.
Für den Zahlungsverkehr gibt es in der Schweiz zwar kein einheitliches Zahlungsverkehrsgesetz, die Sorgfaltspflichten der Institute bestehen aber dennoch klar. Besonders hervorzuheben in diesem Zusammenhang ist Art. 398 des Schweizerischen Obligationenrechts: Das Finanzinstitut schuldet die getreue und sorgfältige Ausführung des Auftrags. Fraud-Fälle sind deshalb nicht nur ein Aufsichtsthema, sondern können auch direkte Haftungsfolgen gegenüber Kundinnen und Kunden auslösen.
Neue digitale Zahlmittel und Zahlungsformen, sowie die internationalen Entwicklungen, insbesondere die kommende Payment Service Directive 3 (PSD 3) oder das britische Authorized Push Payment Fraud Reimbursement Scheme, welches seit Dezember 2025 in Kraft ist, erhöhen nach Einschätzung von My Chau und Martin eher die Verantwortung der Institute als dass sie diese reduzieren. Die britische Regulation sieht vor, dass die Institute Kunden, welche Opfer von Betrug (Scam) wurden, der zu einer autorisierten Überweisung führte (Authorized Push Payment), für den Schaden bis zu GBP 85'000.- entschädigen müssen. Die PSD3 sieht eine ähnliche Regelung vor, wenn auch nur für Betrugsmuster, bei welchen sich der Betrüger als falscher Bankmitarbeiter ausgegeben hat.
Fünf Handlungsfelder bei Bankprodukten
Aus Sicht von t’charta ist Fraud Management nicht bloss als Backend-Kontrolle, sondern als Dienstleistung für Kundinnen und Kunden zu verstehen. Der Schutz von Kundengeldern wurde ausdrücklich als Urfunktion einer Bank beschrieben, die im digitalen Raum sichtbar und wirksam organisiert werden muss.
Catherine Walter zeigte in ihrer Präsentation auf, dass aus der Aufsichtsmitteilung die FINMA beim Fraud Management für Bankprodukte fünf Handlungsfelder hervorhebt:
· Führungsinstrumente und Strukturen,
· Detektion und Reaktionsfähigkeit,
· Prozesse und Verantwortlichkeiten,
· Kommunikation und Ausbildung, sowie
· Onboarding und Geldwäscherei.
Insbesondere bei der Detektion und Reaktionsfähigkeit sieht Catherine eine stärkere Verschiebung: Das Fraud Management kommt näher an die Kundenschnittstelle und wird direkt in die Kundeninteraktion integriert. Beispiele hierfür sind etwa die Echtzeit-Anomalieerkennung, Warnhinweise im Zahlungsprozess, Abfragen zum Zahlungszweck, zusätzliche Zwei-Faktoren-Bestätigungen bei auffälligen Transaktionen oder Telefonaten mit der Bank, bis hin zu bewusst eingebauten Verzögerungen von Transaktionen im Sinne einer Cool-down-Periode. All diese Änderungen lassen sich nicht umsetzen, wenn man den Kunden nicht aktiv über die Notwendigkeit von Fraud Management informiert. Auf der anderen Seite wecken solche Änderungen im Prozess auch Erwartungshaltungen der Konsumenten: Die Bank schützt einen. Deshalb muss Fraud Management wie ein Produkt bzw. eine Dienstleistung gedacht werden.
Zentrale Anforderungen an Institute
Nach der Einordnung im Webinar erwartet die FINMA eine dokumentierte Risikoanalyse, klare Zuständigkeiten, definierte Eskalations- und Reaktionsprozesse, wirksame Detektionsmechanismen sowie eine regelmässige Wirksamkeitsprüfung der Kontrollen.
Entscheidend ist dabei die Nachweisbarkeit. Die FINMA fragt nicht nur, ob Kontrollen bestehen, sondern ob deren Funktionieren gegenüber Revision, Prüfgesellschaft und Aufsicht belegt werden kann.
Die Referierenden betonten, dass viele Institute weniger an fehlenden Einzelmassnahmen scheitern als an fragmentierten Silos zwischen Legal, Compliance, IT, Operations, Cybersecurity und Fraud Prevention. Gerade diese mangelnde Orchestrierung wurde als zentrale praktische Schwachstelle beschrieben.
Digitales Onboarding neu denken
Besonders kritisch wurde das Onboarding eingeordnet. Eine reine Video-Identifikation reicht nach der präsentierten Sichtweise nicht aus; erforderlich sind zusätzliche Ex-ante- und Ex-post-Kontrollen wie Fragen zum Kontozweck, externe Datenabfragen, risikobasierte Einschränkungen und ein engmaschiges Monitoring neuer Kundenbeziehungen.
Auch Kommunikation und Ausbildung gewinnen stark an Bedeutung. Weil es zahlreiche Betrugskategorien und viele konkrete Fallmuster gibt, braucht es einen mehrstufigen Kommunikationsansatz mit Mitarbeiterschulungen, Frühwarnsystemen und gezielter Sensibilisierung von Kundinnen und Kunden in vulnerablen Lebensphasen oder Nutzungssituationen.
Zusammenfassend ist die FINMA-Aufsichtsmitteilung als Handlungsauftrag zu verstehen, Fraud Management institutweit zu professionalisieren, näher an Front- und Kundenprozesse zu bringen und als integriertes Leistungs- und Betriebsmodell aufzubauen.