Finanzkriminalität 2024: Aufsicht, Erkenntnisse und regulatorische Entwicklungen der CSSF
Die CSSF wendete weiterhin einen risikobasierten Aufsichtsrahmen an, der Off-Site- und On-Site-Maßnahmen kombiniert, um die Einhaltung der Verpflichtungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu überwachen. Im Jahr 2024 sammelte die Behörde quantitative und qualitative Daten durch den jährlichen Fragebogen zur Finanzkriminalität in allen beaufsichtigten Sektoren, implementierte eine API zur Optimierung der Datenerfassung und verarbeitete umfangreiche Prüfungs- und AML/CFT-Berichte von zugelassenen Abschlussprüfern und internen Kontrollfunktionen. Die CSSF legte besonderen Wert auf die Qualität des Name Screenings, die zeitnahe Überprüfung von Warnmeldungen, die Wirksamkeit der Transaktionsüberwachung, die Identifizierung wirtschaftlich Berechtigter und die Dokumentation der Herkunft von Vermögen und Geldern. Die Regulierungsbehörde betonte auch die Notwendigkeit einer klaren Governance ausgelagerter AML/CFT-Aufgaben und robuster Zweitlinienkontrollen. Die Zusammenarbeit mit dem Privatsektor und den Aufsichtskollegien blieb intensiv. Die CSSF organisierte sektorspezifische Konferenzen und Expertenarbeitsgruppen mit Branchenverbänden und der FIU und leitete oder nahm an zahlreichen AML/CFT-Kollegien auf EU-Ebene teil.
On-Site-Inspektionen: Häufige Schwachstellen und thematische Prioritäten
Im Jahr 2024 schloss die On-Site-Inspektionsabteilung 32 AML/CFT-Inspektionen ab, die sich auf Aktivitäten mit höherem Risiko konzentrierten — Private Banking, Handelsfinanzierung, Dienstleistungen für Fonds, PFS, die Domizilierungs- und Transferagenten-Dienstleistungen erbringen, Zahlungs- und E-Geld-Institute sowie VASPs. Wiederkehrende kritische Feststellungen umfassten ineffektives Sanktionslisten-Screening (Häufigkeit, Delta-Screening, unzureichende Fuzzy-Matching-Schwellenwerte), schwache Bearbeitung generierter Warnmeldungen, unvollständige laufende Sorgfaltspflichten und Transaktionsüberwachung, unzureichende Dokumentation der Herkunft von Geldern/Vermögen und Mängel bei der Identifizierung wirtschaftlich Berechtigter in komplexen Strukturen. Inspektionen deckten auch Mängel in Compliance-Überwachungsplänen und bei der Beaufsichtigung ausgelagerter AML/CFT-Aufgaben auf, einschließlich unzureichender vertraglicher Details und Berichterstattung durch Beauftragte.
Die CSSF inspizierte auch innovative oder weitgehend digitale Geschäftsmodelle (Zahlungsdienstleister, E-Geld-Institute, Dienstleister für virtuelle Vermögenswerte) und stellte fest, dass Automatisierung zwar die Kontrollqualität verbessern kann, aber auf qualitativ hochwertigen Kunden- und Transaktionsdaten beruht. Die Regulierungsbehörde forderte Fachleute auf, die Aufsicht über algorithmische und KI-Tools zu behalten und zu dokumentieren, wie solche Tools die Kontrollergebnisse verbessern und falsch negative oder positive Ergebnisse vermeiden. Die Erkennung von Terrorismusfinanzierung und die Notwendigkeit TF-spezifischer Transaktionsüberwachungsregeln wurden als Bereiche gekennzeichnet, die verstärkte Aufmerksamkeit erfordern.
Sektorale Erkenntnisse
Kreditinstitute und Zentralverwahrer (CSDs)
Die Aufsicht der CSSF über Kreditinstitute und CSDs im Jahr 2024 kombinierte detaillierte Off-Site-Analysen mit gezielten On-Site-Inspektionen, die durch Daten aus dem jährlichen Fragebogen zur Finanzkriminalität und umfangreichen Prüfungsberichten gesteuert wurden. Wichtige Aufsichtsschwerpunkte umfassten die Wirksamkeit und Häufigkeit des Sanktionslisten-Screenings, die Qualität der Kundensorgfaltspflicht (einschließlich Dokumentation der Herkunft von Geldern/Vermögen), die Angemessenheit von Transaktionsüberwachungssystemen sowie die interne Governance und Ressourcenausstattung von Compliance-Funktionen. Die Aufsichtstätigkeit führte zu zahlreichen Beobachtungsschreiben und mehreren Verfügungen, wo schwerwiegende Mängel festgestellt wurden; in einem Fall verhängte die CSSF eine finanzielle Sanktion wegen Versäumnissen bei AML/CFT und Governance. Die CSSF intensivierte auch den Dialog mit Banken durch 170 dedizierte AML/CFT-Meetings, Sektorkonferenzen und AML/CFT-Kollegien, um Erwartungen abzustimmen und Abhilfemaßnahmen nachzuverfolgen.
Angesichts der systemischen Rolle und grenzüberschreitenden Präsenz der Banken betonte die CSSF das ordnungsgemäße Management ausgelagerter AML/CFT-Aktivitäten, robuste Zweitlinienkontrollen und die schnelle Bearbeitung sanktionsbezogener Warnmeldungen (einschließlich Delta-Screening und Aktualisierungen nach Listenänderungen). Aufsichtserkenntnisse hoben die Folgen schwacher Datenqualität und Governance hervor: fehlerhafte Kundendatenbanken und hohe Fuzzy-Match-Schwellenwerte erhöhten das Risiko übersehener Treffer, während verzögerte Überprüfungen von Warnmeldungen und unzureichende Dokumentation die Meldung verdächtiger Aktivitäten untergruben. Die CSSF erwartet von Kreditinstituten und CSDs, messbare Abhilfemaßnahmen nachzuweisen, wirksame Optimierung der Transaktionsüberwachung zu belegen und sicherzustellen, dass Compliance-Überwachungspläne ausgeführt, dokumentiert und bei Bedarf eskaliert werden.
Wertpapierfirmen
Wertpapierfirmen unterlagen einem kalibrierten, risikobasierten Aufsichtsprogramm, das ein automatisches ML/TF-Scoring aus dem Fragebogen zur Finanzkriminalität mit Expertenanpassungen kombinierte, die durch On-Site-Erkenntnisse und Prüfungsberichte informiert wurden. Die CSSF konzentrierte sich auf Kundenrisikobewertung, Name Screening, Transaktionsüberwachung und die genaue Identifizierung wirtschaftlich Berechtigter und verlangte von Wertpapierfirmen, angemessene Compliance-Ressourcen und Governance aufrechtzuerhalten. Die aufsichtliche Kontaktaufnahme umfasste Konferenzen und gezielte Meetings; die CSSF erteilte Beobachtungs- und Verfügungsschreiben, wo ML/TF-Risikobewertungen, Screening-Verfahren oder laufende Sorgfaltspflichten unzureichend waren oder nicht mit Gesetzen und CSSF-Leitlinien übereinstimmten.
Die CSSF überwachte auch das Zusammenspiel zwischen Wertpapierdienstleistungen und Fondsservicing- oder Verwahrungsaktivitäten und achtete besonders auf delegierte AML/CFT-Aufgaben sowie die vertraglichen und operativen Kontrollen, die zur Wahrung der aufsichtlichen Übersicht erforderlich sind. Wo Transaktionsüberwachung und Name Screening ausgelagert wurden, prüften Aufseher Berichtsketten und KPI-Flüsse zur Wertpapierfirma. In grenzüberschreitenden Situationen spielte die CSSF eine aktive Rolle in AML/CFT-Kollegien, organisierte und nahm an Austauschen teil, um die Aufsicht über Jurisdiktionen hinweg zu koordinieren und konsistente AML/CFT-Ergebnisse über Gruppenstrukturen hinweg zu gewährleisten.
Spezialisierte PFS
Die Aufsicht über spezialisierte Professionals of the Financial Sector (spezialisierte PFS) im Jahr 2024 betonte Domizilierungs-, Transferagenten-, Trust- und Unternehmensdienstleister-Aktivitäten (TCSP) sowie andere Dienstleistungen, die Einheiten erhöhten ML/TF- und Korruptionsrisiken aussetzen. Die CSSF verlangte von spezialisierten PFS, den jährlichen Fragebogen zur Finanzkriminalität auszufüllen, und überprüfte interne AML/CFT-Berichte und Compliance-Rahmenwerke. Häufige Mängel umfassten unvollständige Kundenakten, unzureichende Überprüfung wirtschaftlich Berechtigter in komplexen oder Nominee-Strukturen, schwache Transaktionsüberwachung für unterkapitalisierte oder stark gehebelte Arrangements und unzureichende Dokumentation der wirtschaftlichen Begründung für Strukturen, die steuerbezogene Vortat-Risiken verschleiern könnten.
Zur Verbesserung der Marktpraxis engagierte sich die CSSF mit spezialisierten PFS durch Arbeitsgruppen, Willkommensbesuche und Sektorkonferenzen und erteilte Beobachtungsschreiben und Bestätigungsschreiben nach Überprüfung von Compliance-Officer-Ernennungen. Die CSSF forderte diese Firmen auf, ihre Compliance-Funktionen zu stärken, delegierte Aufgaben wo relevant zu formalisieren, klare Eskalationswege anzunehmen und sicherzustellen, dass der Compliance-Überwachungsplan mit messbaren Kontrollen und dokumentierter Nachverfolgung umgesetzt wird. Besondere Aufmerksamkeit galt der TF-Exposition gemeinnütziger Kunden, PEP-Screening und der Einhaltung von Sanktionsverpflichtungen angesichts geopolitischer Entwicklungen.
Zahlungsinstitute und E-Geld-Institute
Die CSSF weitete die Aufsicht über Zahlungs- und E-Geld-Institute aus und erkannte die hohe Digitalisierung und das Transaktionsvolumen an, die sowohl Chancen als auch ML/TF-Schwachstellen schaffen. Die Off-Site-Aufsicht stützte sich auf den jährlichen Fragebogen zur Finanzkriminalität, Compliance- und interne Prüfungsberichte und bei Bedarf auf On-Site-Überprüfungen von Onboarding, Zahlungsflussüberwachung, Sanktions-Screening und Travel-Rule-Bereitschaft. Die Aufsichtsarbeit hob die Notwendigkeit rigoroser Kontrollen über Kundendatenqualität, sichere und prüfbare Name-Screening-Prozesse (einschließlich promptem Delta-Screening bei Listenaktualisierungen) und Transaktionsüberwachung hervor, die auf schnelle, oft hochfrequente Retail-Flüsse abgestimmt ist.
Regulierungsbehörden rieten Zahlungs- und E-Geld-Instituten, ihre Zweitlinien-Challengefunktionen zu verstärken und robuste vertragliche Rahmenwerke und KPIs sicherzustellen, wo AML/CFT-Aufgaben an Gruppen- oder Drittanbieter delegiert werden. Die CSSF überwachte auch neue Geschäftsmodelle und Schnittstellen (einschließlich Händler-Onboarding und Marktplatz-Flüsse) und betonte, dass konforme Automatisierung mit Stichprobenprüfungen, Ausnahmebehandlung und zeitnaher Eskalation gepaart werden muss, damit volumenstarke digitale Dienste keine anhaltenden blinden Flecken erzeugen.
Dienstleister für virtuelle Vermögenswerte
Die Aufsicht über Dienstleister für virtuelle Vermögenswerte intensivierte sich, als die CSSF eine registrierungsbasierte Aufsicht entwickelte und sich auf das EU-Regulierungsregime für Krypto-Assets vorbereitete. Das Register wuchs im Jahr 2024 und die Behörde sammelte detaillierte Statistiken zu Verwahrungsbeträgen und Transaktionsvolumen und verzeichnete erhebliche Aktivität bei großen Kryptowährungen. Die Prioritäten der CSSF umfassten die Implementierung der Travel Rule, die Integrität und Vollständigkeit von Kunden- und Transaktionsdaten, Verwahrungskontrollen, Transaktionsüberwachung kalibriert auf krypto-native Typologien und Sanktions-Screening, einschließlich der Handhabung grenzüberschreitender Überweisungen und Korrespondenzvereinbarungen.
Während Automatisierung und Blockchain-native Tools die Rückverfolgbarkeit stärken können, warnte die CSSF, dass jede Automatisierung nur so effektiv ist wie die sie speisenden Daten und die Governance um ihre Nutzung. Registrierte VASPs wurden gebeten, operative Kontrollen über Name Screening, Delta-Screening nach Listenaktualisierungen, Prozesse zum Management unvollständiger Travel-Rule-Daten und dokumentierte Aufsicht über ausgelagerte oder Drittkomponenten nachzuweisen. Die CSSF betonte auch die Bedeutung qualitativ hochwertiger Meldungen verdächtiger Aktivitäten an die FIU und die Zusammenarbeit mit anderen nationalen Behörden zur Bekämpfung grenzüberschreitender illegaler Flüsse.
Organismen für gemeinsame Anlagen (OGA)
Die OGA-Abteilungen (Organismen für gemeinsame Anlagen) der CSSF führten ein umfassendes AML/CFT-Programm fort, das sowohl On-Site- als auch Off-Site-Arbeit abdeckte und sich auf das SRRC (AML/CFT Summary Report RC), CISERO externe AML/CFT-Berichte von réviseurs d’entreprises agréés und den Fragebogen zur Finanzkriminalität stützte. Die Off-Site-Aufsicht produzierte eine hohe Anzahl von Beobachtungsschreiben und sektorweiten Leitlinien, während On-Site-Inspektionen bei alternativen Investmentfondsmanagern sich auf Anleger-Sorgfaltspflicht, Transferagenten-Prozesse, AML/CFT-Delegation, steuerliche Vortaten-Risiken und Proliferationsfinanzierungsexposition auf Asset-Ebene konzentrierten.
Angesichts der Vielfalt von Investmentstrukturen und grenzüberschreitenden Anlegerbasen forderte die CSSF Verwaltungsgesellschaften und Fondsmanager auf, gründliches Anleger-Onboarding, klares Mapping wirtschaftlich Berechtigter und Asset-Ebenen-Risikokontrollen sicherzustellen — insbesondere für Investitionen in Schiffe, Dual-Use-Güter oder Jurisdiktionen mit erhöhten Sanktionen oder Exportkontrollen. Die OGA-Teams weiteten auch das Engagement durch eine öffentlich-private Partnerschaft und Sektorkonferenzen aus, um aufsichtliche Erwartungen zu teilen, Beispiele mangelhafter Praktiken zu geben und konsistente Compliance-Implementierung im gesamten Fonds-Ökosystem zu fördern.
Regulatorische, europäische und internationale Entwicklungen
2024 war ein entscheidendes Jahr für das europäische AML/CFT-Recht, das die AML/CFT betrifft. Das finale EU-Paket — eine neue AML-Behörde (AMLA), eine AML-Verordnung (AMLR), eine überarbeitete AML-Richtlinie (AMLD6) und damit verbundene Maßnahmen — kristallisierte eine Verschiebung hin zu Harmonisierung und stärkerer supranationaler Aufsicht heraus. AMLA wird direkte Aufsicht über ausgewählte Finanzeinheiten und indirekte Aufsicht über nicht-finanzielle Verpflichtete haben; sie wird Untersuchungen, On-Site-Inspektionen und Sanktionen durchführen, wo gerechtfertigt. Die AMLR schreibt verschärfte Kundensorgfaltspflichten, strengere Transparenzpflichten für wirtschaftlich Berechtigte und klarere Auslagerungsgrenzen und Haftung vor. Mitgliedstaaten müssen sich auch darauf vorbereiten, zahlreiche technische Standards, Leitlinien und Durchführungsrechtsakte umzusetzen, die gemeinsam von AMLA, der EBA und der Kommission entworfen wurden; die CSSF hat aktiv an diesen Prozessen teilgenommen und das Engagement der Industrie gefördert.
International prägte die FATF-Arbeit weiterhin Prioritäten: Aktualisierungen zu Standards für virtuelle Vermögenswerte, Leitlinien zu wirtschaftlich Berechtigten bei rechtlichen Arrangements und thematische Überprüfungen (DNFBPs) beeinflussten aufsichtliche Erwartungen. Luxemburgs starke Bewertung in der horizontalen FATF-DNFBP-Überprüfung wurde vermerkt. Die EU und Luxemburg aktualisierten Listen von Hochrisiko- und nicht-kooperierenden Jurisdiktionen und verabschiedeten aufeinanderfolgende gezielte Finanzsanktionen (einschließlich als Reaktion auf den Russland-Ukraine-Konflikt und andere geopolitische Entwicklungen). National verabschiedete Luxemburg legislative und organisatorische Anpassungen, einschließlich der Formalisierung nationaler Koordinierungsgremien und der Herausgabe von CSSF-Rundschreiben und FAQs zur Klarstellung von Sanktions-Screening, Überprüfung wirtschaftlich Berechtigter und SRRC-Berichtspflichten.
Tiefer eintauchen
- CSSF ¦ Jahresbericht 2024 - Überblick über die Aktivitäten und Initiativen der CSSF im Jahr 2024; Kapitel XXI. Finanzkriminalität: Seiten 122-139 ¦ Link