Die FINMA hat 19 Banken befragt und dokumentiert, was viele Aufsichtsräte nicht hören wollen: Fast die Hälfte hat keine dedizierte Digital-Fraud-Policy, ein Drittel keinen standardisierten Incident-Response-Plan, und die Verdachtsmeldungsraten klaffen um den Faktor 10 auseinander. Das ist keine Empfehlung – es ist eher die Prüf-Baseline für die kommenden Aufsichtszyklen.
Was die Mitteilung enthält – und was sie wirklich bedeutet
Am 9. April 2026 hat die FINMA ihre Aufsichtsmitteilung M-02/2026 «Digitale Betrugsrisiken» veröffentlicht. Die Guidance richtet sich an Banken und Personen nach Artikel 1b des Bankengesetzes – eine Kategorie, die auch Wertpapierhäuser und in der Schweiz lizenzierte Online-Broker umfasst. Der unmittelbare Anlass: eine Ende 2025 durchgeführte Befragung von 19 Banken über verschiedene Aufsichtskategorien hinweg.
Die verbreitete Lesart in Compliance-Abteilungen lautet: «Keine neuen Regeln, also kein Handlungsbedarf.» Das ist eine gefährliche Fehleinschätzung. Die FINMA führt mit dieser Mitteilung keine neuen formellen Vorschriften ein – aber sie formalisiert Aufsichtserwartungen, die ab jetzt als Messlatte gelten. Wer sich bei der nächsten prudentiellen Prüfung oder im Aufsichtsgespräch auf den Standpunkt stellt, das sei unverbindliches Papier, wird feststellen, dass die Prüfer das anders sehen. Die Mitteilung etabliert eine Baseline. Und Baselines haben die Eigenschaft, dass man unter ihnen nicht durchrutschen kann, ohne Konsequenzen zu tragen.
Die Asymmetrie zwischen der Wahrnehmung («Guidance, kein Rundschreiben, also weich») und der aufsichtlichen Realität («dokumentierte Erwartung, gegen die geprüft wird») ist der Kern dessen, was Entscheider in der Schweizer Bankenwelt verstehen müssen.
Die Zahlen: Befunde aus 19 Instituten
Die FINMA hat die 19 befragten Banken nicht namentlich genannt und die genaue Zusammensetzung nach Aufsichtskategorien nicht publiziert. Die Befunde sind trotzdem scharf genug, um als Branchenspiegel zu dienen.
Von den 19 Instituten hatten 8 – das sind 42 Prozent – keine dedizierte Policy für digitalen Betrug. Drei Institute verfügten über kein Steuerungskomitee für digitale Betrugsrisiken. Sieben Institute, also mehr als ein Drittel, hatten keinen standardisierten Reaktionsplan für Betrugsvorfälle. Rund ein Viertel betrieb kein systematisches Horizon Scanning, also keinen formalisierten Prozess zur Identifikation aufkommender Betrugsszenarien wie KI-gestützter Deepfake-Angriffe oder Social-Engineering-Varianten.
Die vielleicht brisanteste Zahl betrifft die Verdachtsmeldungen an die Meldestelle für Geldwäscherei (MROS): Die SAR-Raten für Online-Betrug, Identitätsdiebstahl und Money Mules variierten zwischen den befragten Instituten um den Faktor 10. Der Anteil intern eskalierter Fälle, die zu einer formellen MROS-Meldung führten, reichte von 12 bis 78 Prozent. Diese Spanne ist nicht mit unterschiedlichen Geschäftsmodellen erklärbar. Sie zeigt, dass einige Institute systematisch unter-melden – entweder wegen unzureichender Erkennungsmechanismen oder wegen zu hoher Eskalationsschwellen.
Zusätzlich stellte die FINMA fest, dass KYC-Informationen bei den befragten Instituten «generell eher begrenzt» waren und die meisten diese Daten nicht in ihre Transaktionsüberwachungssysteme einspeisten. Die Überwachungsschwellen für Privatkundentransaktionen lagen bei den meisten Instituten bei CHF 100’000 oder CHF 200’000 – Niveaus, die der Regulator als problematisch einstufte, weil Betrugstransaktionen typischerweise weit darunter liegen.
Regulatorische Einordnung: Kein isoliertes Papier
Die M-02/2026 steht nicht allein. Sie ist der nächste Baustein in einer Aufsichtslinie, die die FINMA seit 2023 konsequent aufbaut.
Das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken», seit dem 1. Januar 2024 in Kraft, bildet den übergeordneten Rahmen. Es verlangt von Banken ein umfassendes Management operationeller Risiken, einschliesslich IKT- und Cyber-Risiken, kritischer Daten und BCM. Die M-02/2026 erweitert diesen Rahmen explizit auf digital ermöglichten Betrug. Wer sein Operational-Risk-Framework nach RS 2023/1 aufgebaut hat, ohne Fraud-Risiken als eigene Kategorie zu berücksichtigen, hat eine Lücke.
Im Juni 2024 hatte die FINMA mit den Aufsichtsmitteilungen AM 03/2024 und AM 04/2024 bereits den Fokus auf Cyber-Risiken geschärft. Die M-02/2026 setzt diese Linie fort, verschiebt den Schwerpunkt aber von Angriffen auf Institute hin zu Betrug an und durch Kunden. Die Logik dahinter ist aufsichtsökonomisch: Nachdem die technische Angriffsabwehr an Reife gewonnen hat, rücken die Prozesse an der Schnittstelle zum Kunden in den Fokus – dort, wo Betrüger heute die grösseren Hebel finden. Der Regulator verlangt, dass Transaktionsüberwachung, Money-Mule-Erkennung und das Handling verdächtiger Aktivitäten Teil desselben übergreifenden Rahmens sind wie die Betrugsprävention – nicht fragmentierte Einzeltools in verschiedenen Abteilungen.
Parallel dazu läuft die Revision des FINMA-Rundschreibens 2016/7 zur Video- und Online-Identifizierung. Die Konsultation endete am 27. Februar 2026. Die Revision adressiert direkt die Frage, wie digitales Onboarding sicher gestaltet werden kann – ein Kernproblem der M-02/2026, die das Money-Mule-Muster beschreibt: Personen eröffnen mit korrekten Dokumenten ein Bankkonto, durchlaufen alle Due-Diligence-Schritte sauber und übergeben dann den Kontozugang an kriminelle Dritte. Der Betrug findet nach dem Onboarding statt, was Standard-KYC allein nicht erkennen kann.
Ab Sommer 2026 kommt mit der staatlichen E-ID (swiyu) ein weiteres Element hinzu, das die Identifikationslandschaft verändern wird. Banken, die jetzt ihre digitalen Onboarding-Prozesse überarbeiten, sollten die E-ID-Integration von Anfang an mitdenken.
Was Banken jetzt tun müssen
Die Handlungsfelder lassen sich in drei Dringlichkeitsstufen gliedern. Die Reihenfolge ist nicht verhandelbar – sie folgt der Logik, dass die FINMA zuerst nach den Grundlagen fragt.
Sofort: Governance-Grundlagen schaffen. 42 Prozent ohne Digital-Fraud-Policy bedeutet, dass fast jede zweite Bank bei einer Prüfung kein Dokument vorlegen kann, das den Umgang mit digitalem Betrug regelt. Eine solche Policy muss Verantwortlichkeiten definieren, Risikokategorien benennen, Eskalationswege festlegen und vom Verwaltungsrat oder der Geschäftsleitung genehmigt sein. Wer noch kein Steuerungskomitee für digitale Betrugsrisiken hat, muss eines einrichten – analog zu den Cyber-Committees, die nach RS 2023/1 Standard sein sollten. Die drei Institute ohne ein solches Komitee sind in der nächsten Aufsichtsprüfung exponiert.
Sofort: Incident-Response-Pläne für Betrug standardisieren. Sieben von 19 Banken ohne standardisierten Reaktionsplan ist ein Befund, der bei Prüfern Fragen auslöst. Ein Fraud-Response-Plan ist nicht dasselbe wie ein Cyber-Incident-Response-Plan. Er muss spezifisch adressieren: Erkennung eines Betrugsfalls, sofortige Sperrung betroffener Konten, Beweissicherung für Strafverfolgung, Meldung an MROS, Kundenkommunikation und – falls relevant – Meldung an das BACS nach ISG bei schwerwiegenden Cybervorfällen. Banken, die bereits ein Cyber-Playbook haben, können darauf aufbauen, müssen aber die Fraud-spezifischen Schritte ergänzen.
Kurzfristig: KYC-Daten in die Transaktionsüberwachung integrieren und Schwellenwerte senken. Die FINMA hat klargemacht, dass Überwachungsschwellen von CHF 100’000 oder CHF 200’000 für Retail-Kunden zu hoch angesetzt sind, um typische Betrugsmuster zu erkennen. Wer seine Transaktionsüberwachung nicht mit KYC-Daten anreichert, verliert den Kontext, der verdächtige Muster sichtbar macht. Das erfordert technische Integrationsarbeit zwischen CRM-, Onboarding- und Transaction-Monitoring-Systemen – kein triviales Projekt, aber eines mit klarem Aufsichts-Mandat.
Kurzfristig: MROS-Meldequote analysieren und Eskalationsprozesse kalibrieren. Eine Konversionsrate von 12 Prozent zwischen internen Verdachtsfällen und formellen MROS-Meldungen lässt sich kaum mit konservativem Risikomanagement rechtfertigen. Banken sollten ihre eigene Rate kennen, sie mit der Branchenspanne vergleichen und die Schwellen für die Eskalation von der Erstlinie an Compliance überprüfen. Wenn die internen Filter zu streng eingestellt sind, gelangen meldepflichtige Fälle nie zur zuständigen Stelle.
Mittelfristig: Horizon Scanning formalisieren und Post-Onboarding-Monitoring stärken. Die FINMA erwartet, dass Institute neue Betrugsszenarien systematisch identifizieren – insbesondere KI-gestützte Angriffe, Deepfake-basierte Identitätstäuschung und neue Social-Engineering-Varianten. Das verlangt einen formalisierten Prozess mit definierten Quellen, Verantwortlichkeiten und Reporting-Rhythmus. Für das Money-Mule-Problem braucht es Behavioral Analytics, die verdächtige Kontozugriffsmuster nach dem Onboarding erkennen – Standortwechsel, Gerätewechsel, atypische Transaktionsmuster in den ersten Wochen nach Kontoeröffnung.
Stolperfallen und Fehleinschätzungen
«Wir waren nicht unter den 19 – betrifft uns nicht.» Falsch. Die FINMA hat die Befunde bewusst nicht auf die 19 befragten Institute beschränkt. Die Guidance richtet sich an alle Banken und Personen nach Artikel 1b BankG. Wer digitales Onboarding oder Online-Transaktionen anbietet, ist adressiert – unabhängig davon, ob eine Umfrageeinladung im Postfach lag.
«Keine Fristen, also kein Zeitdruck.» Die Guidance enthält keine expliziten Umsetzungsfristen. Das bedeutet nicht, dass Zeit vorhanden ist. Es bedeutet, dass die FINMA erwartet, dass Banken von sich aus handeln. Im nächsten Aufsichtszyklus – und der nächste Prüfplan wird bereits vorbereitet – werden die Findings als Referenz dienen. Wer dann noch keine Massnahmen vorweisen kann, dem wird die Aufsicht keinen Fristenmangel als Entschuldigung abkaufen.
«Das ist ein Compliance-Thema.» Die M-02/2026 verlangt explizit institutsweite Kontrollen statt fragmentierter Einzeltools. Wenn Fraud-Erkennung in der Compliance-Abteilung sitzt, Transaktionsüberwachung in Operations und Cyber-Incident-Response in der IT, fehlt der gemeinsame Rahmen. Die FINMA erwartet, dass diese Stränge zusammengeführt werden – organisatorisch und technisch.
«Unsere bestehende AML-Infrastruktur deckt das ab.» Die Befunde sprechen dagegen. Die Tatsache, dass KYC-Daten bei den meisten Instituten nicht in die Transaktionsüberwachung fliessen und die Schwellenwerte für Betrugsszenarien zu hoch liegen, zeigt, dass bestehende AML-Systeme nicht auf digitalen Betrug ausgerichtet sind. AML und Fraud Prevention überlappen, aber sie sind nicht identisch.
Fazit: Die Aufsicht misst ab jetzt anders
Die FINMA M-02/2026 ist kein Rundschreiben und kein Enforcement-Instrument. Sie ist etwas Wirksameres: eine dokumentierte Erwartungshaltung mit konkreten Zahlen, die zeigen, wo die Branche steht – und wo sie stehen sollte. Der Schweizer Bankingombudsmann meldete Betrug als häufigsten Grund für Anfragen im Jahr 2024. Global ist digitaler Betrug laut dem EY/IIF Global Bank Risk Management Survey auf 59 Prozent als Risiko-Nennung gestiegen, von 23 Prozent im Vorjahr.
Die FINMA hat mit der M-02/2026 klargemacht, dass Banken im Fall einer «Häufung von Betrugsfällen» die Wirksamkeit ihrer bestehenden Massnahmen «unverzüglich überprüfen und, falls notwendig, durch zusätzliche Massnahmen ergänzen» müssen. Das ist keine Empfehlung. Das ist eine Erwartung, die bei Nichterfüllung in Aufsichtsgesprächen, Prüfberichten und im Ernstfall in formellen Massnahmen münden wird.
Wer die M-02/2026 als Compliance-Housekeeping abtut, verkennt die Dynamik. Wer sie als das liest, was sie ist – eine Prüf-Baseline für die kommenden Jahre – und entsprechend handelt, schafft sich einen Vorsprung, der im nächsten Aufsichtsgespräch zählt.
