Drei Jahrzehnte lang stützte sich die Zahlungsverkehrsindustrie auf eine grundlegende Regel: Know Your Customer. Banken und Zahlungsdienstleister sammelten Ausweisdokumente, verifizierten Adressen, führten Hintergrundchecks durch und legten diese KYC-Datenpunkte in statischen Compliance-Ordnern ab. Nach der Genehmigung durchlief der Kunde das System unter der Annahme, dass die Risikobewertung abgeschlossen war. Diese Annahme ist nun überholt.

Mastercards jüngste Artikulation einer strategischen Verschiebung – von KYC (Know Your Customer) zu KYA (Know Your Activity) – spiegelt eine grundlegende Umstrukturierung der Zahlungsrisiko-Architektur wider. Die These ist einfach: In einer Welt, in der künstliche Intelligenz dutzende Verhaltenssignale in Millisekunden verarbeiten kann, ist die statische Momentaufnahme davon, wer ein Kunde ist, weit weniger relevant als die kontinuierliche Echtzeitbewertung dessen, was er tatsächlich tut.

Dies ist mehr als nur ein semantisches Rebranding. Es stellt eine Verschiebung des Kontrollfokus im Zahlungsverkehrsökosystem dar. Jahrzehntelang fungierte die Compliance-Funktion als Gatekeeper an der Tür – Zutritt genehmigen oder verweigern anhand von Hintergrund und Dokumentation. Die Transaktionsüberwachung kam später als sekundäre Kontrolle hinzu. Im KYA-Modell wird die Transaktionsüberwachung zur primären Kontrollfläche. Jede Millisekunde der Aktivität wird zu Daten; jeder Datenpunkt wird zu einem Eingabesignal für die algorithmische Risikobewertung.

Die Auswirkungen auf die breitere Zahlungsverkehrsinfrastruktur sind tiefgreifend. Kartenausstellungsplattformen, Banking-as-a-Service-Anbieter und Embedded-Finance-Systeme sehen sich nun vor einem technischen und operativen Imperativ: Sie müssen ihre Transaktionsflows mit kontinuierlicher Verhaltensanalytik ausstatten. Statische KYC-Daten – Name, Adresse, Beruf, Erklärung zur Herkunft der Mittel – sind nicht mehr ausreichend als Grundlage für laufende Genehmigungsentscheidungen. Stattdessen müssen Aussteller und Acquirer Echtzeit-Aktivitäts-Feeds in Machine-Learning-Modelle integrieren, die Muster, Anomalien und kontextuelle Verhaltensverschiebungen im Moment erkennen können.

Regulierungsbehörden haben bereits begonnen, diese Erwartung zu signalisieren. Die Orientierungshilfen der Europäischen Bankenaufsicht zu KI und Machine Learning in Finanzdienstleistungen sowie die laufende Überwachung durch die Financial Conduct Authority zu algorithmischen Entscheidungsfindungen spiegeln einen wachsenden Konsens wider, dass statische Compliance-Checks unzureichend sind. Fintechs und traditionelle Banken gleichermaßen sind zwischen konkurrierenden Drücken gefangen: KYC-Dokumentation verschärfen (eine sisyphische Aufgabe im Zeitalter von synthetischen Identitätsbetrug) oder die regulatorische Unvermeidlichkeit der Verhaltensüberwachung als primäre Kontrolle akzeptieren.

Der wirtschaftliche Anreiz wirkt in beide Richtungen. Auf der einen Seite bedeutet schnellere und präzisere Risikenerkennung weniger falsch positive Fälle – zu Unrecht abgelehnte oder blockierte Kunden – und niedrigere Betrugsverluste. Auf der anderen Seite erfordert es erhebliche Kapitalinvestitionen in Dateninfrastruktur, Modelltraining und laufende Validierung. Ein mittelgroßer Zahlungsdienstleister oder Kartenaussteller kann nicht einfach einen Schalter umlegen, um zu KYA zu wechseln. Sie müssen ihre Transaktionsüberwachungs-Stacks von Grund auf neu aufbauen, mehrere Datenquellen integrieren, Nachvollziehbarkeit für Regulierungsprüfungen gewährleisten und das Modell-Drift-Management bewältigen, das unweigerlich algorithmische Entscheidungsfindung im großen Maßstab begleitet.

Für BaaS-Betreiber und Embedded-Finance-Plattformen schafft die KYA-Verschiebung sowohl Chancen als auch Verpflichtungen. Anbieter mit bestehenden Transaktionsintelligenz-Fähigkeiten können Verhaltensanalytik als Wettbewerbsvorteil nutzen. Diejenigen ohne werden unter Druck stehen, zu akquirieren oder Partnerschaften einzugehen. Die fragmentierte Landschaft kleinerer BaaS-Anbieter – bereits belastet durch Proportionalitätsanforderungen unter PSD2 und gleichwertigen Regimen – steht vor der Aussicht auf eine weitere kapitalintensive Infrastrukturmodernisierung.

Das, was Mastercard im Wesentlichen artikuliert, ist, dass die Zukunft der Zahlungsverkehrs-Compliance keine Dokumentenprüfoperation ist, die auf eine Transaktionsverarbeitungs-Engine aufgepfropft wird. Es ist eine integrierte, kontinuierliche Risikobewertungsmaschine, in der jede Transaktion neue Informationen über Kundenverhalten erzeugt und jede Millisekunde Latenz eine potenzielle Lücke in der Erkennung darstellt. Das Kundenprofil verschwindet nicht; es wird zur Baseline. Die Transaktion selbst wird zum primären Signal.

Regulierungsbehörden und Spezialisten für Finanzverbrechen sollten diese Verschiebung begrüßen. KYC, wie es historisch praktiziert wurde, ist retrospektiv – es erfasst, was Kunden über sich selbst bei der Registrierung sagten, und hofft dann, dass die Transaktionsüberwachung erfasst, was sie tatsächlich tun. KYA kehrt diese Logik um: Es macht tatsächliches Verhalten zum Steuersignal und lässt die angegebene Identität des Kunden als Kontext statt Befehl dienen. Für Betrugs- und Geldwäscheerkennung ist dies ein enormer Fortschritt.

Die Frage ist nun die Umsetzung. Können Zahlungsnetze, Kartenaussteller und Prozessoren die Dateninfrastruktur, Modell-Governance und Audit-Trails implementieren, die notwendig sind, um KYA im großen Maßstab betriebsfähig zu machen, ohne ein Panoptikum der Transaktionsüberwachung zu schaffen, das legitime Datenschutzerwartungen untergräbt? Können Regulierer klare Standards dafür festlegen, was nachvollziehbare, überprüfbare Verhaltensrisikobewertung darstellt? Und können kleinere Akteure im Ökosystem – die unabhängigen Fintech-Innovatoren und regionalen Zahlungsdienstleister – sich die Infrastrukturkosten für den Markteintritt in dieses neue Regime leisten?

Die Industrie wird wahrscheinlich nicht auf perfekte Antworten warten. Mastercards öffentliche Erklärung wird als Erlaubnis und als Druck gelesen. Größere Netze verfügen über das Kapital und die Data-Science-Teams, um schnell voranzukommen. Kleinere Betreiber werden sich konsolidieren oder auf Infrastrukturpartner angewiesen sein. Das regulatorische Zeitfenster für KYC als primäres Compliance-Signal schließt sich.

Verfasst von der Codego Press-Redaktion — unabhängiger Banking- und Fintech-Journalismus powered by Codego, europäischer Banking-Infrastruktur-Anbieter seit 2012.

Quellen: PYMNTS — Mastercard Sees Data Moving Payments From KYC to KYA · 1. Mai 2026