Martín Perucca: „Betrug zu verhindern stärkt das Wertversprechen einer Organisation“

Seit mehr als zwei Jahrzehnten widmet sich Martín Perucca der Bekämpfung von Betrug und Geldwäsche. In Argentinien und ganz Lateinamerika gilt er als ausgewiesener Experte – nicht nur wegen seiner langjährigen Erfahrung, sondern auch wegen eines Mantras, das er immer wieder betont: Sicherheit muss selbst zu einem Wertversprechen werden.

„Es ist eine rentable Wette – eine, die sogar den skeptischsten CFO überzeugt“, sagt er. Sein Blick geht weit über reines Regulierungs-Compliance hinaus: Ihm geht es darum, Menschen und Organisationen zu schützen. Und er unterstreicht, dass eine echte Präventionskultur nicht in wenigen Tagen entsteht, sondern über Jahre aufgebaut werden muss. Diese Haltung stellt infrage, wie wir heute über Compliance nachdenken.

Frage: Ihre Laufbahn umfasst Beratung, Lehre und praktische Erfahrung im Finanzsektor. Wie kam es dazu, dass Sie sich auf Betrug und Sicherheit fokussiert haben? Welches Problem treibt Sie heute an?

Antwort: Angefangen habe ich in einem Finanzinstitut in Córdoba, Argentinien, in der Kreditabteilung. Aber schon bald hat mich das Thema Betrug gepackt. Ich habe gemerkt, dass ich ein Talent dafür habe, Betrug aufzudecken – und jedes Mal, wenn ich einen Fall verhindern konnte, hatte ich eine doppelte Zufriedenheit: Ich habe der Organisation geholfen und gleichzeitig eine Person geschützt, deren Identität sonst vielleicht gestohlen worden wäre.

Das war Anfang der 2000er-Jahre, als Dokumentenbetrug noch relativ primitiv war – gefälschte Ausweise mit Aufklebern, sehr simple Methoden. Trotzdem wurde mir klar, dass Prävention nicht nur Verluste für das Unternehmen vermeidet, sondern auch einen Mehrwert für die Gesellschaft schafft. Dieses Sinngefühl begleitet mich bis heute – und es ist meine wichtigste Motivation: Es ist nicht nur ein Job, ich habe das Gefühl, zu einem größeren Ganzen beizutragen.

F: Sie haben Mooy mitgegründet, wo Compliance einer Ihrer Schwerpunkte ist. Wie wichtig ist regulatorische Compliance heute für Unternehmen?

A: Vorschriften gibt es aus gutem Grund – und darüber, ob man sie einhält oder nicht, lässt sich nicht streiten. Organisationen müssen sich anpassen. In der Praxis werde ich aber häufig erst dann gerufen, wenn eine neue Regulierung beschlossen wurde: „Es gibt eine neue Vorschrift – bitte entwickeln Sie eine Betrugspräventionsstrategie.“

In solchen Situationen versuche ich, das Gespräch zu drehen: Compliance ist nicht verhandelbar, aber Betrugsprävention trägt direkt zur Wertpositionierung des Unternehmens bei. Wenn man es so betrachtet, ist Compliance eher eine natürliche Folge einer guten Präventionsstrategie.

F: Wenn Sicherheit zum Kern des Wertversprechens wird – was würden Sie in einem typischen Onboarding- oder Transaktionsprozess ändern?

A: Sicherheit muss von Anfang an Teil der Kundenbeziehung sein – beim Kontoeröffnungsprozess, bei der Produktbeantragung, im gesamten Onboarding. Es braucht eine End-to-End-Strategie, um Identitäten zu identifizieren, zu verifizieren und zu validieren. Kein einzelnes Tool kann alles abdecken.

Am wichtigsten ist ein geschultes Team mit klaren Richtlinien und Prozessen, den richtigen Tools und den notwendigen Befugnissen, um potenziellen Betrug zu steuern und zu verhindern.

Onboarding

• Biometrische Verfahren (Gesicht, Fingerabdruck oder Stimme).
• Negativlisten / Watchlists.
• Plausibilitäts- und Konsistenzchecks der Kundendaten.
• Interne Abgleiche mit bestehenden Kundendatenbanken.
• Validierung gegen offizielle Register und Datenquellen.

Transaktionen

• Orchestrierte technologische Kontrollen, eingebettet in eine risikobasierte Steuerungsstrategie, die Echtzeit-Monitoring und präventive Maßnahmen in einem multikanaligen, multiproduktfähigen Umfeld ermöglicht.

Und noch etwas: Sicherheit ist Aufgabe aller. Vom Vorstand bis zu den Mitarbeitenden in der Filiale kann jeder einen Beitrag leisten. Natürlich braucht es eine klar benannte verantwortliche Funktion, doch eine Präventionskultur wird von oben nach unten aufgebaut.

Um das zu erreichen, braucht es mehrere Bausteine:

• Einen klaren Purpose, der Mitarbeitende mit der Wirkung ihres Handelns verbindet
• Rollenspezifische Schulungen – kein „One-size-fits-all“-Training
• Dedizierte Budgets für Tools und Prozesse
• Einen Ethik- und Verhaltenskodex, der Verantwortlichkeiten und Grenzen definiert
• Eine anonyme, gut kommunizierte und langfristig etablierte Hinweisgeber-Hotline

Und vor allem: Leadership. Kultur entsteht nicht über Nacht; nach meiner Erfahrung braucht es mindestens drei Jahre, bis erste Ergebnisse sichtbar werden. All das muss konsistent umgesetzt werden, immer mit dem Menschen im Mittelpunkt – sowohl Mitarbeitende als auch Kund:innen. Wenn Mitarbeitende verstehen, dass ein Prozess nicht bloße Formalie ist, sondern die Customer Experience und die Reputation der Organisation schützt, steigt ihr Engagement enorm.

F: Manche Unternehmen sehen Compliance noch immer als reines „Checkbox-Thema“. Was kostet diese Haltung?

A: Wer Compliance nur als buchhalterische Ausgabe betrachtet, verspielt die Chance, echten Wert zu schaffen. Wenn sie in die Wertstrategie integriert wird, wird sie zur Investition. In unseren Beratungsprojekten erarbeiten wir deshalb immer einen Business Case: Wie viel Verlust kann vermieden werden, welche Auswirkungen hat das auf Kundenerlebnis und Portfolio? Die Zahlen sind praktisch immer positiv.

Schätzungen der ACFE zufolge verlieren Organisationen rund 5 % ihres Jahresumsatzes durch Betrug – allein das rechtfertigt Investitionen in Prävention. Hinzu kommt, dass sich technologische Lösungen meist in 12–14 Monaten amortisieren. Und dann ist da noch das Thema Reputation: Welches Bild soll die Öffentlichkeit von Ihrer Organisation haben? Wenn ein Produkt mit Betrug in Verbindung gebracht wird, ist der Vertrauensverlust deutlich teurer als jede Präventionsmaßnahme.

Laut KPMG wählen 83 % der Kund:innen ihr Finanzinstitut nach dem Kriterium Sicherheit, und 76 % der Betrugsopfer verlassen ihre Bank. Diese Zahlen zeigen klar, wie direkt sich Sicherheit auf das Geschäft auswirkt.

F: Welche „blinden Flecken“ sehen Sie in gängigen Präventionsmodellen?

A: Der größte blinde Fleck ist die Vernachlässigung interner Betrugsfälle. Viele Organisationen sind überzeugt, dass sie kein internes Betrugsproblem haben – doch wenn wir eine Analyse durchführen, finden wir immer etwas. Ausmaß und Schweregrad sind unterschiedlich, aber interne Betrugsfälle gibt es überall: in Fabriken, Kliniken, Banken. Es gibt einen Spruch: Es gibt zwei Arten von Organisationen – die, die bereits interne Betrugsfälle hatten, und die, die sie noch haben werden.

F: Wie kann ein Unternehmen anfangen, diese blinden Flecken zu beheben?

A: Der erste Schritt ist Anerkennung und Diagnose: Daten anfordern, Kundenbeschwerden auswerten, Verluste analysieren. Wenn man genau hinschaut, findet man fast immer mehr als das, was in den Reports steht.

Anschließend sollte man rund um drei Säulen planen:

1. Technologie – Überwachung von 100 % aller Transaktionen, inklusive strukturierter und unstrukturierter Daten.
2. Sichere Prozesse – mit Augenmaß gestaltet. Ein Produkt, das zu stark „zugeschlossen“ ist, verliert an Nutzbarkeit. Ziel ist nicht Perfektion, sondern ein hohes, praxistaugliches Sicherheitsniveau.
3. Menschen – die Präventionskultur ist die Basis. Fraud-Teams müssen eng mit Cybersecurity, AML und IT verzahnt sein. Je einheitlicher die Strategien, desto wirksamer die Prävention.

Heute sind über 90 % aller Betrugsfälle digital – Silos dürfen da keinen Platz mehr haben. Und etwas ganz Grundlegendes: Hinter jedem Betrug steht ein Mensch. In Gesprächen mit Betroffenen habe ich Angst, Scham und Unsicherheit erlebt. Viele erstatten keine Anzeige, weil sie nicht glauben, dass die Justiz etwas unternimmt. Ihre Erfahrungen erinnern uns daran, dass Betrugsprävention nicht nur Bilanzen schützt, sondern Menschen.

F: Wie lässt sich Compliance mit einer guten User Experience verbinden, ohne zu viel Reibung zu erzeugen?

A: Der Schlüssel ist, Security-, Cybersecurity-, Produkt- und Tech-Teams an einen Tisch zu bringen. Wenn diese Bereiche isoliert arbeiten, entsteht Reibung. Mit echter Zusammenarbeit lässt sich ein Gleichgewicht finden. Und sämtliche Maßnahmen müssen mit dem Purpose der Organisation verknüpft sein.

Wenn ein Finanzinstitut etwa behauptet, sein Zweck sei es, „das Leben der Menschen mit digitalen Produkten einfacher zu machen“, dann unterminiert Betrug genau dieses Versprechen. Nutzt man diesen Purpose als Kompass, findet man Lösungen, die Regelkonformität, Schutz und Nutzerfreundlichkeit vereinen.

F: Wird diese Denkweise Ihrer Meinung nach Branchenstandard – oder wird es immer Ausnahmen geben?

A: Vor einigen Jahren klang das noch idealistisch, heute nicht mehr. In Ländern wie Argentinien und Brasilien arbeiten viele Organisationen sehr bewusst an ihrem Purpose und richten das gesamte Unternehmen darauf aus. Wer das nicht tut, verliert an Wettbewerbsfähigkeit. Ausnahmen wird es immer geben, aber der Trend ist eindeutig: weg von Compliance als Pflichtübung hin zu Prävention als zentralem Wert.

F: Sie haben den risikobasierten Ansatz erwähnt – was bedeutet das konkret?

A: Im Bereich AML ist er längst etabliert, und auch in der Betrugsprävention setzt er sich zunehmend durch – aber er ist mehr als ein Buzzword. Es geht darum, das Geschäftsmodell wirklich zu verstehen, Schwachstellen zu identifizieren, diese in konkrete Risiken zu übersetzen, zu priorisieren und Ressourcen dort zu konzentrieren, wo der Restrisiko-Level am höchsten ist.

Betrug ist dynamisch. Niedrige Risiken kann man nicht einfach ignorieren – sie können jederzeit wieder ansteigen. Man muss alle Risiken im Blick behalten, allerdings mit unterschiedlicher Intensität.

Im Diplomprogramm, das ich gemeinsam mit Mario Ader leite – dem ersten in Lateinamerika, das sich speziell auf Betrugsprävention konzentriert –, fassen wir das Modell in drei Säulen zusammen: verstehen, eingreifen, messen, um zu verbessern. Das sollte das Fundament jeder Strategie sein.

F: Welchen Rat würden Sie jemandem geben, der gerade erst in Compliance oder Betrugsprävention einsteigt?

A: Erstens: Stellen Sie sicher, dass Ihnen dieses Feld wirklich liegt. Es ist kein Job für schwache Nerven. Es kann passieren, dass Sie um vier Uhr morgens wegen eines Risikoereignisses angerufen werden – und Sie müssen bereit sein. Dafür braucht es Purpose und Leidenschaft.

Zweitens: Lernen Sie jeden Tag – mindestens eine Stunde. Ich lerne heute mehr als in meiner Studienzeit.

Drittens: Netzwerken. Seien Sie aktiv auf LinkedIn, nehmen Sie an Webinaren teil, lesen Sie, stellen Sie Fragen.

Viertens: Kooperieren. Betrüger arbeiten häufig äußerst gut zusammen – Finanzinstitute tun das noch zu wenig. Wir müssen enger zusammenrücken.

F: Gibt es echte Zusammenarbeit zwischen Finanzinstituten – oder bleibt es meist bei Ankündigungen?

A: Echte Zusammenarbeit nimmt zu, besonders in Lateinamerika. Es gibt Foren in Argentinien, Brasilien, Ecuador … Das System schließt nach und nach diejenigen aus, die sich nicht beteiligen. Es bleibt viel zu tun, aber die Tendenz ist positiv. Und dafür müssen keine personenbezogenen Daten geteilt werden – es reicht, Typologien, Muster und Angriffsvektoren auszutauschen. Das hilft bereits enorm.

F: Wenn Sie fünf bis zehn Jahre in die Zukunft schauen – welchen kulturellen Wandel wünschen Sie sich für die Finanzbranche?

A: Der wichtigste Wandel ist, Betrugsprävention als Teil des Wertversprechens zu verstehen. Wenn das verinnerlicht ist, ergibt sich vieles andere von selbst.

Auf einer größeren Ebene brauchen wir mehr Dialog zwischen öffentlichem und privatem Sektor. Regulierer fordern manchmal Dinge, die kaum umsetzbar sind – nicht aus böser Absicht, sondern aus mangelndem Verständnis dafür, wie das Finanzsystem funktioniert und wohin es sich entwickelt.

Außerdem brauchen wir schärfere strafrechtliche Regelungen rund um Betrug. Heute wissen viele Kriminelle genau, wie sie ins System hinein- und wieder herauskommen. Die Justiz ist mit schwereren Delikten ausgelastet, und Betrugsfälle bekommen zu wenig Aufmerksamkeit. Das muss sich ändern.