AML a prevence podvodů: na co se zaměřit u poskytovatelů služeb

Marek T.

AML a prevence podvodů: proč jsou dnes „core“ tématem pro bankovní i nebankovní poskytovatele

Anti-Money Laundering (AML) a prevence podvodů již dávno nejsou jen regulatorní povinností; staly se strategickým prvkem řízení rizik a reputace ve finančních i parafinančních službách. Silné AML a antifraud programy ovlivňují schopnost škálovat, náklady na akvizici, schopnost udržet partnerství (banky–fintech–zpracovatelé plateb) a přístup k vypořádacím schématům. Tento článek poskytuje technicko-procesní rámec, na co se zaměřit při hodnocení poskytovatelů a jejich kontrolních mechanismů.

Rámec a princip „risk-based approach“ (RBA)

Moderní AML vychází z přístupu založeného na riziku. Poskytovatel musí:

  • Identifikovat rizika: geografická, produktová, distribuční kanály, typy klientů (retail, MSME, korporát), kryptoměny, hotovost.
  • Vyhodnotit jejich materialitu: pravděpodobnost × dopad (legální, finanční, reputační).
  • Nastavit přiměřené kontroly: aby byly proporcionální – ne „one-size-fits-all“.
  • Průběžně rekalibrovat: alespoň ročně nebo po výrazné změně produktu/trhu.

KYC/KYB a due diligence: od základní po rozšířenou (CDD/EDD)

Jádro AML je spolehlivé ověření klienta:

  • KYC (Know Your Customer): ověření identity fyzických osob (doklad, selfie/biometrie, liveness), adresy (PoA), zdroje příjmu.
  • KYB (Know Your Business): identifikace právnické osoby, ultimate beneficial owners (UBO), struktura vlastnictví, předmět činnosti, registry sankcí a negativní publicity.
  • CDD: standardní úroveň – přiměřená k riziku produktu a jurisdikci.
  • EDD: rozšířené prověření pro PEP, vysoce rizikové země, komplexní struktury, nestandardní toky. Zahrnuje potvrzení zdroje majetku/příjmu, nezávislé reference, detailnější prověrky médií.

Screening: sankce, PEP a negativní publicita

Dobrá praxe zahrnuje screening při onboardingu i průběžný (daily refresh). Hodnoťte:

  • Kvalitu dat: pokrytí OFAC, EU, OSN, UK HMT, lokální seznamy, PEP s rodinnými vazbami (RCA), média (adverse media).
  • De-duplikaci a fuzzy matching: transliterace, aliasy, diakritika, práh podobnosti s auditem shod.
  • Escalation workflow: 4-očný princip, čas odezvy, evidenci odůvodnění (rationales) při „clear/close“.

Ověření identity a biometrie: přesnost, propojení a soukromí

Rozlišujte mezi dokladovou verifikací (MRZ, NFC čip, hologramy), liveness detekcí (aktivní/pasivní) a face-match (1:1 porovnání). Sledujte:

  • Chybovost (FAR/FRR) a metriky v reálných podmínkách (nízké osvětlení, mobilní zařízení starších generací).
  • Odolnost vůči deepfake/replay útokům (challenge–response, detekce textur, anti-spoofing s multimodálním přístupem).
  • Privacy-by-design: lokální zpracování vs. cloud, retenční doby, přístupová práva, a právo na výmaz.

Orchestrace a prevence digitálních podvodů v reálném čase

Silní poskytovatelé kombinují více signálů:

  • Device intelligence: device fingerprint, emulátory, jailbreak/root detekce, geolokační anomálie, velocity.
  • Behaviorální biometrie: rytmus psaní, akcelerometr, dotykové vzory – užitečné při detekci social engineering (APP fraud).
  • 3-D Secure/Strong Customer Authentication (SCA) a risk-based authentication s step-up zásahy.
  • Black/grey listy (telefon, e-mail, IP, účty) s reputačním scoringem a sdílenou inteligencí (consortium data).

Monitoring transakcí: scénáře, pravidla a strojové učení

Efektivní monitoring kombinuje deterministická pravidla (thresholds, velocity, georisk) a modely (anomaly detection, gradient boosting, graph analytics). Důležité vlastnosti:

  • Explainability: SHAP/feature importance pro zdůvodnění alertů.
  • Champion–challenger: paralelní testování nových pravidel/modelů na historických i živých datech.
  • Feedback loop: zpětné označování true/false positive z vyšetřování na trénink modelů.
  • Graph analytika: identifikace mulů, „smurfing“, koluzní sítě (společná zařízení, adresy, IBANy, SIM swap korelace).

Case management a „alert lifecycle“

Sledujte, zda poskytovatel používá integrovaný případový systém s:

  • Prioritizací (risk score, SLA), automatickým enrichmentem (KYC profil, vzory transakcí, geodata),
  • auditním logem, workflow pro vyšetřování (1st/2nd line),
  • automatizovanými výstupy (SAR/STR podání, reporty pro dohled, GDPR-compliant exporty).

KPI a kvalita systému: co požadovat v due diligence

  • Detection lift vs. baseline, precision/recall, poměr false positives (ideálně < 85 % u zralých systémů, závisí na doméně), průměrný time-to-decision.
  • Coverage: procento klientů a transakcí procházejících screeningem/monitoringem; periodicita refreshingu.
  • Operational load: alerty na 1 000 transakcí, případy na analytika/den, SLA uzavírání.
  • Model governance: frekvence re-trainu, drift detekce, backtesting po změnách produktů.

Typologie podvodů a praní špinavých peněz: red flags

  • Account takeover (ATO): změny zařízení, reset hesel, noví beneficiary, vysoká velocity po dlouhém tichu.
  • Authorized Push Payment (APP): náhlé velké převody po interakci s „supportem“, netypické narativy v poznámce.
  • Money mule sítě: více příjmů ze zahraničí, rychlé přeposílání, společné atributy zařízení.
  • Structuring/Smurfing: opakované vklady těsně pod prahy, segmentace do více kanálů.
  • Trade-based ML: nadhodnocené/podhodnocené faktury, kolísání cen, kruhy partnerů bez ekonomického smyslu.

Vendor lock-in, integrace a otevřená architektura

Preferujte řešení s API-first přístupem, standardy (REST/JSON, webhooks), event-driven architekturou a možností plug-in/plug-out datových zdrojů (sankce, PEP, device reputation). Ověřte latenci v online krocích (KYC < 60 s při 95. percentilu).

Bezpečnost a ochrana údajů: minimum, ne bonus

  • Šifrování v klidu i přenosu, segregace tenantů, správa klíčů (HSM/KMS), rotace tajemství.
  • Role-based access control s principem nejmenších oprávnění, SSO/MFA, audity přístupů.
  • Data retention a purpose limitation: retention matrix členěná podle typu dat (KYC, biometrie, transakce).

Model risk management (MRM) a explainability

Při AI/ML vyžadujte:

  • Model cards a dokumentaci datasetů,
  • Bias testing (disparate impact), stresové scénáře,
  • Explainability pro supervised i unsupervised modely,
  • ZRÓ (zero residual ownership) na data: jasné vlastnictví a omezení sekundárního použití.

Outsourcing a třetí strany: governance a dohled

Pokud poskytovatel outsourcuje AML/antifraud (BPO, „managed services“), prověřte:

  • SLA a KPI včetně kvality rozhodnutí (concordance rate při peer review).
  • Školení, etiku a rotaci analytiků, konflikty zájmů.
  • Právo auditu, sub-processory, země zpracování dat a přenosy mimo EHP.

Incident response a krizový management

Silný program má playbook pro ATO/APP/únik dat: detekce, izolace, komunikace klientovi, notifikace dohledu, forenzní analýza, náprava, post-mortem s action items. Měřte mean time to detect/respond/recover.

Regulatorní reporting a spolupráce s autoritami

Poskytovatel musí mít mechanismus na STR/SAR podání, zmrazení prostředků dle sankčních režimů a rychlé odpovědi na lawful requests (standardizované CSV/JSON exporty). Důležitá je segregace povinností mezi obchod, compliance a risk.

Kultura a „tone from the top“

Technologie nestačí bez kultury. Hledejte nezávislou funkci compliance, přímé reportování vedení, rozpočet přiměřený rizikům, pravidelné školení pro front office, produkt a IT, a mechanismus pro whistleblowing.

Checklist otázek při výběru poskytovatele

  • Jaká rizika a typologie jsou pokryty? Jak vypadá jeho risk assessment a periodicita aktualizace?
  • Jaké má metriky (TP/FP, TTD/TTR), latenci a výsledky backtestů?
  • Je screening průběžný, s kvalitními zdroji dat a fuzzy matchingem?
  • graph analytics, behaviorální biometrie, device intelligence a jak je kombinuje?
  • Jaká je explainability modelů a audit trail pro rozhodnutí?
  • Jaká jsou SLA a přístupová práva k auditu, země zpracování dat, subdodavatelé?
  • Je možný fine-tuning pravidel a champion–challenger režim bez zásahu dodavatele?
  • Jaké jsou retence, privacy a security opatření (šifrování, RBAC, MFA)?

Smluvní ustanovení, která chrání poskytovatele i partnera

  • Regulatory change – právo upravit procesy při změně předpisů, bez penalizace za nezbytné úpravy.
  • Liability cap a indemnity za sankce způsobené prokazatelným selháním protistrany.
  • Data processing agreement – účely, retence, přenosy, sub-processory, DPIA při biometrických datech.
  • Exit a portability – export případové historie, modelových pravidel, mapování polí.

Ekonomika AML/antifraud: rovnice hodnot

Silný program snižuje ztráty z podvodů, náklady na kapitál (nižší sankční riziko), zlepšuje autorizaci transakcí (nižší „friction“) a urychluje onboarding. Optimalizace stojí na třech kompromisech: zachycení vs. falešné poplachy, bezpečnost vs. UX, centralizace vs. agilita.

Závěr

Při posuzování AML a prevence podvodů nehledejte „magický box“, ale ekosystém: kvalitní data a biometrie, robustní analytiku (včetně grafových metod), silné procesy případového managementu, transparentní modelovou správu a bezpečnou datovou architekturu. Poskytovatel, který dokáže prokazatelně měřit a zlepšovat své metriky při rozumném provozu a s jasnou kulturou compliance, bude dlouhodobě lepším partnerem než ten, kdo slibuje „0 fraud, 0 friction“. Skutečná hodnota je v risk-based rovnováze a schopnosti rychlé adaptace.

Upozornění

Text je informativní

Súvisiace články

Rezervotvorná pojištění

  • Petra
  • 4. septembra 2023
  • 0

Rezervotvorná pojištění vytváří finanční rezervy na budoucí výplaty pojistných plnění při dožití, úmrtí či důchodu a garantují vyplacení klientovi nebo oprávněné osobě bez ohledu na vznik rizika.