Von Jackson Wood, Direktor, Branchenstrategie, Global Trade Intelligence, Descartes Systems Group

Im Zuge der anhaltenden Bemühungen des Office of Foreign Assets Control (OFAC), US-Sanktionen durchzusetzen, wurde die Überprüfung von IP-Adressen als wichtiger Aspekt des Programms zur Einhaltung von Sanktionen in Unternehmen verstärkt berücksichtigt.

Die OFAC hat Organisationen für vermeidbare Sanktionsverstöße bestraft, die auf unzureichende Geolocation-Kontrollen und unvollständige Sorgfaltspflichtüberwachung zurückzuführen sind. Der wachsende Trend spiegelt sich in einer Reihe von OFAC-Durchsetzungsmaßnahmen wider, die in den letzten Jahren durchgeführt wurden.

Unternehmen, die digitale und internetbasierte Lösungen anbieten, wie z.B. Zahlungsanbieter, Softwareunternehmen und FINTECH, sowie Organisationen mit bedeutenden globalen Handelsaktivitäten sind dieser Kategorie von Sanktionsrisiken besonders ausgesetzt.

In diesem Artikel untersuchen wir die jüngste Vollstreckungsmaßnahme gegen einen Zahlungsdienstleister und sehen uns an, welche Schritte unternommen werden können, um die OFAC-Verpflichtung zur Einhaltung von Sanktionen zu erfüllen, die sich auf die Überprüfung von IP-Adressen bezieht.

Key Takeaways

  • Ein wichtiger Risikoindikator: Die jüngste OFAC-Durchsetzungsmaßnahme zeigt, wie wichtig die Überprüfung der Geolokalisierung von IP-Adressen für die Einhaltung von Sanktionen ist. Zu wissen, von wo aus Kunden und andereDritte Transaktionen durchführen, ist für die Einhaltung der standortbezogenen OFAC-Vorschriften unerlässlich.
  • Verschärfte Kontrolle und erhebliche Strafen: Es gab bemerkenswerte Vergleiche im Zusammenhang mit Lücken in der OFAC-Sanktionssuche, die keine IP-Geolokalisierungsinformationen enthalten.
  • Konsistentes IP-Screening ist entscheidend: Für viele Unternehmen, die z.B. wegen Verstößen gegen OFAC-Sanktionen mit einer Geldstrafe belegt wurden, ist eine konsequente und umfassende Überwachung der Kundeninteraktionen erforderlich, um ihre OFAC-Compliance-Verpflichtungen zu erfüllen.
  • Robuste Lösungen verbessern die Compliance: KI-gestützte Lösungen zum Screening von Drittanbietern, wie sie Descartes anbietet, sind in der Lage, Geolocation-Daten genau zu identifizieren und robuste Kontrollen zum Schutz von Unternehmen in Echtzeitzu implementieren.

Verpasste Chancen zur Einhaltung der OFAC-Vorschriften führten zu einer Geldstrafe.

Am 6. November 2023 gab die OFAC einen Vergleich mit einem Zahlungsdienstleister wegen offensichtlicher Verstöße gegen Sanktionen in Bezug auf die Krim, den Iran, Syrien und Kuba bekannt. Der Verstoß erfolgte, als das Finanzdienstleistungsunternehmen, das Prepaid-Belohnungskartenprogramme verwaltet, es ermöglichte, dass Belohnungskarten von Personen eingelöst wurden, die offenbar in sanktionierten Ländern ansässig sind.

Details zum mutmaßlichen Verstoß gegen die Sanktionen

Der Anbieter von Online-Zahlungen bietet Belohnungskartenprogramme für Firmenkunden, gemeinnützige Organisationen und Behörden an. Die Kartenprogramme werden von den Kunden über eine ausstellende Bank selbst finanziert, wobei das Unternehmen Prepaid-Karten an autorisierte Benutzer ausgibt. Um eine Prämienkarte einzulösen, mussten die Benutzer auf die Website des Unternehmens gehen und ihren Namen, ihre Adresse und ihre E-Mail-Adresse angeben. Die Nutzer durften keine Adresse in einem sanktionierten Land angeben und wurden mit den OFAC-Sanktionslisten abgeglichen. Nach der Prüfung und Verifizierung wurden die Gelder von der ausstellenden Bank auf die Prepaid-Karten der Benutzer freigegeben.

Laut OFAC löste der Zahlungsanbieter zwischen März 2020 und Februar 2022 bei 12.378 Gelegenheiten Prepaid-Karten für Nutzer mit Internetprotokoll (IP)-Adressen ein, die mit den sanktionierten Gerichtsbarkeiten von 4 Ländern verbunden sind. Die Einlösungen beliefen sich auf insgesamt 549.134,89 $ für Karteninhaber, die sich offenbar in verbotenen Regionen befanden.

Vor dieser OFAC-Entscheidung gab es einige Compliance-Fehler:

  • Das Unternehmen hat keine angemessenen Sorgfaltsmaßnahmen ergriffen, um genau zu wissen, wer, wo und womit seine Kunden zu tun haben. Das OFAC hat klargestellt, dass Unternehmen für die rechtliche Stellung von Dritten, mit denen sie zusammenarbeiten, verantwortlich sind.
  • Sie verließen sich nur auf die von den Kunden bereitgestellten Informationen, anstatt Software-Tools einzusetzen, die Daten ganzheitlich erfassen und analysieren können, um potenzielle Risiken zu erkennen. Obwohl der Zahlungsanbieter die IP-Adressen und E-Mail-Suffixe der Nutzer kannte, hat er diese Daten nicht in sein Compliance-Programm oder seine Kontrollen aufgenommen.
  • Insgesamt hat das Unternehmen sein Risikoprofil falsch eingeschätzt, was sich in seiner Compliance-Leistung widerspiegelt. Sein Programm zur Einhaltung von Sanktionen und die eingerichteten Kontrollen waren nicht auf die Art des Geschäfts abgestimmt.

Die OFAC-Strafe und die Reaktion der Organisation

OFAC entschied, dass der Zahlungsdienstleister es versäumt hat, bei der Einlösung von digitalen Prepaid-Belohnungskarten für Nutzer aus sanktionierten Gebieten angemessene Vorsicht oder Sorgfalt walten zu lassen. Die Aufsichtsbehörde wandte jedoch nicht die gesetzlich festgelegte Höchststrafe von 4.399.759.685 $ an, da sie feststellte, dass die offensichtlichen Verstöße freiwillig gemeldet wurden und nicht schwerwiegend waren.

Zu den Maßnahmen, die der Zahlungsdienstleister ergriffen hat, um seine Mängel zu beheben, gehören:

  • Durchführung von Echtzeit-Screenings für verweigerte oder eingeschränkte Parteien.
  • Sperrung von E-Mail-Adresssuffixen, die mit sanktionierten Gerichtsbarkeiten verbunden sind.
  • die Durchführung regelmäßiger Audits des Compliance-Programms durch Dritte.

Der Vergleichsbetrag in Höhe von 206.213 $ spiegelt die Berücksichtigung der Schritte wider, die das Unternehmen unternommen hat, um die offensichtlichen Mängel in seinem Programm zu beheben, sowie seine Kooperation bei der OFAC-Untersuchung.

Compliance-Erwägungen für einen besseren Umgang mit OFAC-Sanktionen

Dieser Verstoß gegen Sanktionen gibt einen Einblick in die Erwartungen der OFAC in Bezug auf die Art und Weise, wie Unternehmen die Identität und den Standort ihrer Kunden unter Verwendung standortbezogener Daten wie IP-Adressen und Tools zur Erfassung von Geolocation verifizieren. Die drei wichtigsten Lektionen zur Einhaltung der Vorschriften, die Sie lernen und umsetzen sollten, sind:

  • Umfassende Sorgfaltspflicht: Ein effizientes Screening verweigerter Parteien hängt von Daten ab, die vollständig, genau und zugänglich sind. In dem Fall, den wir gerade untersucht haben, wurden wichtige Daten, die einen Verstoß verhindert hätten, dem Screening-Prozess nicht zugänglich gemacht. Compliance-Software, die sich in Geschäftssysteme wie CRM oder ERP integrieren lässt, die bereits Kunden- und Drittanbieterdaten enthalten, ist ein wirksames Mittel, um dieses Versagen bei der Einhaltung der Vorschriften abzumildern. Im Fall dieses Zahlungsanbieters wird die Suche nach OFAC-Sanktionslisten mit einer integrierten Screening-Lösung direkt in dem Geschäftssystem durchgeführt, das die Transaktionen verwaltet. Eine robuste Lösung verfügt über Tools zur Überprüfung der Geolokalisierung, die die von den Nutzern während der Anmeldephase angegebenen Informationen authentifizieren können und Alarm schlagen, wenn potenziell gesperrte Parteien oder sanktionierte Regionen versuchen, auf die Dienste zuzugreifen.
  • Kontinuierliche Audits und Aktualisierungen der Compliance-Verfahren: Compliance-Programme sollten immer einen risikobasierten Ansatz verfolgen. Auch wenn Unternehmen über Compliance-Richtlinien verfügen, müssen diese regelmäßig überprüft werden, um sicherzustellen, dass sie die Art der Risiken widerspiegeln, die für das Unternehmen gelten. Da sich die OFAC-Vorschriften und Sanktionen ebenso wie die technologische Entwicklung ändern, sollte ein Verfahren zur regelmäßigen Aktualisierung der Compliance-Prozesse und der verwendeten Systeme vorhanden sein. Um Schwachstellen zu erkennen und Fehler wie in diesem Fall zu vermeiden, sollten Unternehmen regelmäßige Schulungen durchführen, sich mit Fachleuten/Verkaufspartnern beraten, die über Erfahrung in ihrem Sektor verfügen, und auch die von der OFAC bereitgestellten Leitlinien zur Anwendung von Informationen zur Geolokalisierung von IP-Adressen bei der Überprüfung von verweigerten Transaktionen anwenden.
  • Konsistentes automatisiertes Screening: Um den OFAC-Compliance-Verpflichtungen, der dynamischen Natur des Sanktionsrisikos und den kreativen Methoden, mit denen eingeschränkte oder abgelehnte Parteien versuchen werden, eingeführte Kontrollen zu umgehen, einen Schritt voraus zu sein, ist eine Sanktionsprüfung in Echtzeit erforderlich.

Wie Descartes Visual Compliance™ bei der Überprüfung von IP-Adressen helfen kann

Wenn Unternehmen mit der sich ständig verändernden und risikobehafteten Compliance-Landschaft Schritt halten wollen, müssen sie Softwarelösungen für die Überprüfung von verweigerten Parteien einsetzen, insbesondere im komplexen Bereich des IP-Adressen-Screenings. Manuelle Verfahren bergen viele Möglichkeiten für menschliche Fehler und sind einfach zu langsam, um mit dem aktuellen Tempo der Compliance-Risiken Schritt zu halten.

Descartes ist ein Anbieter einer branchenführenden Suite von Lösungen für die Sanktionslistenprüfung, das Risikomanagement vonDrittanbietern sowie von Handelsinhalten für führende Geschäftssysteme, die mit minimaler Unterbrechung, manchmal in weniger als einer Stunde, integriert werden können.

Die Lösungen Descartes Visual Compliance und Descartes MK™ Denied Party Screening sind flexibel und modular aufgebaut, so dass Unternehmen die spezifischen und genauen Funktionen und Inhalte auswählen können, die sie für ihre speziellen Compliance-Anforderungen benötigen, und diese später bei Bedarf erweitern können.

Finden Sie heraus, was unsere Kunden über Sanktionslistenprüfung auf G2 sagen – einer Online-Plattform zur Bewertung von Unternehmenssoftware durch Dritte. Außerdem können Sie diesenwichtigen Leitfaden für den Kauf von Screening-Lösungen für die Sanktionslistenprüfunglesen, um eine Lösung zu finden, die Ihren Anforderungen entspricht.