Tijdens een in juni a.s. georganiseerde conferentie door Tilburg Institute for Law, Technology, and Society (TILT)  van de Tilburgse universiteit, vindt een workshop plaats over het bancaire sleepnet dat onder de nieuwe antiwitwaswetgeving zal worden ingericht.
De workshop heet: ‘AI-gestuurde AML in de EU: ontwerp en operationele keuzes die aan de regelgeving voldoen‘ [1] (alle vertalingen zijn machinevertalingen).

Tijdens de workshop wordt een fictieve casus voorgelegd over de ontwikkeling van het volgende [2]:

De Groep bereidt zich voor op het bouwen en implementeren van een AI-gestuurd risicoscoresysteem voor klanten voor AML/CFT, waarbij de verwerking van persoonsgegevens beperkt blijft tot gegevens die zijn verkregen overeenkomstig hoofdstuk III van de AML-verordening (klantonderzoek). Het systeem wijst elke klant een risiconiveau toe (laag/gemiddeld/hoog), genereert redenen en doet aanbevelingen over de noodzaak van verscherpt klantonderzoek. De uiteindelijke beslissingen worden echter in latere processen door mensen genomen. Het systeem zal intern worden gebouwd, maar zal een basismodel bevatten dat wordt geleverd door een grote aanbieder van AI-modellen. De implementatie is gepland in een private cloud. Het systeem zal worden geïntegreerd met het CRM dat door een derde partij wordt geleverd.

Vervolgens worden de argumenten van verschillende groepen aangeduid, verdeeld over de AVG, de AI Act en de antiwitwasverordening (AMLR). In het kader van de AVG wordt onder meer gesproken over het opnemen van alle persoonsgegevens in ‘group data lake’ [3]:

• Beslissing over de architectuur voor het samenvoegen van gegevens.
– De ene partij pleit voor het centraal samenvoegen van alle persoonsgegevens in een groepsdatameer, aangezien deze EU-brede aanpak de opsporing en de algehele kwaliteit zal verbeteren en dubbele onderzoeken zal verminderen, waardoor de AML-kosten voor de hele groep dalen. Dit kan gevolgen hebben voor de rechtsgrondslag voor de verwerking van persoonsgegevens en de juridische status van bepaalde entiteiten binnen de groep.
– Anderen pleiten ervoor dat persoonsgegevens lokaal moeten blijven, dat het delen tussen entiteiten beperkt moet blijven en dat er een scheiding van tenants op een private cloud voor elk van de dochterondernemingen moet worden ingevoerd. Zij stellen echter dat persoonsgegevens gepseudonimiseerd of geanonimiseerd kunnen worden en naar de moedermaatschappij kunnen worden verzonden om de nauwkeurigheid van het systeem te verbeteren.

Het is een interessante denkoefening inzake de discussie over het bancair sleepnet.

Achtergrond
Het bancaire sleepnet dat momenteel in alle stilte wordt voorbereid zal worden gebaseerd op de Payment Services Regulation (PSR) en op de antiwitwasverordening (AMLR), onder meer op artikel 75 AMLR. Lees over het bancair sleepnet op deze site, het onderwerp komt ook op de site van Human Rights in Finance aan bod.

Noten:

[1] Machinevertaling van: “AI-Driven AML in the EU: compliant design and operational choices.”

[2] Machinevertaling van: “The Group is preparing to build and deploy an AI-driven customer risk scoring system for AML/CFT, processing personal data limited to data obtained pursuant to Chapter III of the AML Regulation (Customer Due Diligence). It assigns each customer a risk tier (low/medium/high), generates reasons, and recommends whether enhanced due diligence is triggered. Ultimate decisions are, however, made in subsequent processes by humans. The system shall be built in-house, but it will embed a foundation model supplied by a large AI model provider. Deployment is planned in a private cloud. The system shall be integrated with the CRM provided by a third party.”

[3] Machinevertaling van: “• Decision on data pooling architecture. – One side argues for central pooling of all personal data in a group data lake, as this EU-wide approach will improve detection and overall quality as well as reduce duplicate investigations, lowering AML costs for the whole group. This may affect the legal basis for personal data processing and the subjective status of particular entities within the Group. – Others argue that personal data should remain local, cross-entity sharing should be limited, and the separation of tenants on a private cloud for each of the subsidiaries should be introduced. They argue, however, that personal data may be pseudonymized or anonymised and sent to the parent company to improve the accuracy of the system.”

Lees op deze site over het bancair sleepnet, Transactiemonitoring Nederland (TMNL), AMLR, artikel 75 AMLR en andere thema’s op het gebied van fraude- en witwasbestrijding.
Het is mooi dat misdaad wordt bestreden maar wel zodanig dat onschuldige mensen geen cybersecurity risico’s lopen of ten onrechte worden lastig gevallen.