Vietnam verschärft KI-Regeln für Banken und E‑Wallets: Was internationale Finanzinstitute jetzt beachten müssen

Überblick über die neuen KI-Vorgaben der State Bank of Vietnam

Die State Bank of Vietnam (SBV) verschärft die Regulierung von Künstlicher Intelligenz im Bankwesen. Grundlage ist ein neuer Entwurf eines Rundschreibens zu Sicherheit, Risikomanagement und Einsatzbedingungen von KI in Bankgeschäften und bei Zahlungsdienstleistern. Dieser Entwurf ergänzt das bestehende Sicherheitsregime für Online‑Banking und soll bereits im März 2026 in Kraft treten. KI-Systeme, die schon im Einsatz sind, erhalten eine Übergangsfrist bis September 2027 zur vollständigen Anpassung.

Adressiert sind:

• Banken und ausländische Bankniederlassungen,

• Intermediäre Zahlungsdienstleister, insbesondere E‑Wallet‑Anbieter,

• weitere Akteure, die KI in banknahen Prozessen und Kundeninteraktionen einsetzen.

Für internationale Institute mit Geschäft in Vietnam oder mit vietnamesischen Kund:innen ist dies ein klarer Hinweis: KI-Transparenz, Governance und Schutz vulnerabler Kundengruppen werden zu verbindlichen Regulierungsanforderungen – nicht nur zu „Best Practices“.

Zentrale inhaltliche Anforderungen

Transparenzpflichten gegenüber Kund:innen

Kreditinstitute und E‑Wallet‑Provider müssen Kund:innen künftig vorab informieren, wenn:

• KI‑gestützte virtuelle Assistenten, Chatbots oder automatisierte Hotlines in der direkten Kommunikation eingesetzt werden,

• KI zur Emotions- oder Verhaltensanalyse (z.B. Stimmungserkennung im Callcenter) genutzt wird,

• KI für biometrische Klassifikation eingesetzt wird, etwa bei Gesichtserkennung oder Sprachbiometrie,

• Inhalte (Bilder, Audio, Video, Text) durch KI generiert oder signifikant verändert wurden.

Praktische Konsequenz:

• Klar erkennbare Hinweise im UI von Apps, Webportalen und Chat‑Oberflächen („Sie sprechen jetzt mit einem KI‑basierten Assistenten“),

• Anpassung von AGB, Datenschutzhinweisen und Einwilligungstexten,

• Schulung von Callcenter und Filialpersonal, wie diese Hinweise einzuordnen und zu erklären sind.

Schutz vulnerabler Kundengruppen

Explizit untersagt wird der Einsatz von KI, um Schwächen bestimmter Kundengruppen auszunutzen, etwa:

• hohes Alter,

• Behinderung oder eingeschränkte Entscheidungsfähigkeit,

• finanzielle Notlagen oder Überschuldung.

Damit verbunden ist ein Marketing- und Vertriebsverbot für:

• gezielt an diese Gruppen gerichtete, hochriskante Produkte (z.B. spekulative Anlagen),

• algorithmisch optimierte „Upselling“-Kampagnen, die solche Verwundbarkeiten identifizieren und ausnutzen.

Für Institute bedeutet das:

• Re‑Design von Targeting‑Modellen im Vertrieb,

• dokumentierte „Fairness‑Prüfungen“ und Ausschlusskriterien in Data‑Science‑Pipelines,

• enge Abstimmung zwischen Compliance, Marketing und Analytics.

Beschwerderecht und menschliche Überprüfung

Kund:innen erhalten das Recht, Entscheidungen anzufechten, die (vollständig oder überwiegend) auf KI-Systemen beruhen. Dazu zählen insbesondere:

• automatisierte Kreditentscheidungen,

• Transaktions- oder Kartenblockierungen durch Fraud‑Engines,

• automatisierte KYC-/Onboarding‑Ablehnungen.

Vorgesehen ist ein Pflichtprozess zur menschlichen Überprüfung:

• Zuweisung an qualifiziertes Fachpersonal,

• Nachvollziehbare Dokumentation, warum eine Entscheidung aufrechterhalten, angepasst oder aufgehoben wurde,

• Fristen und Kommunikationskanäle für Rückmeldungen an Kund:innen.

Für die Praxis:

• Kredit- und Fraud‑Systeme müssen kennzeichnen, welche Entscheidungen KI‑basiert sind,

• Case‑Management‑Systeme brauchen Workflows für „human review“ einschließlich Versionierung der Entscheidungsgrundlagen,

• Reporting an Compliance und interne Revision über Volumen, Ausgang und Muster von Beschwerden.

Governance, Risiko- und Sicherheitsrahmen

Die neuen KI-Regeln fügen sich in Vietnams breitere Verschärfung der Sicherheitsanforderungen ein – etwa die ab dem 1. März 2026 schärferen Vorgaben für Online‑Banking‑Sicherheit und biometrische Verfahren. Daraus lassen sich typische Mindestanforderungen an KI-Governance ableiten:

• Inventarisierung von KI-Systemen: vollständiges Register aller KI‑Modelle in Kreditvergabe, Betrugserkennung, Kundenservice und Backoffice.

• Modellverantwortliche („Model Owner“): klare Verantwortlichkeiten in den Fachbereichen,

• Risiko-Klassifizierung: Einstufung von KI-Systemen nach Geschäftsrelevanz, Kundenauswirkungen und systemischen Risiken,

• Validierung & Monitoring: regelmäßige Tests auf Genauigkeit, Bias, Stabilität und Robustheit gegen Angriffe (z.B. Prompt Injection, Datenmanipulation),

• Dokumentation: nachvollziehbare Beschreibung von Datenquellen, Modellarchitektur, Trainingsmethodik und Limitationen,

• Drittdienstleister-Steuerung: spezielle Anforderungen an Cloud‑ und KI‑Provider, insbesondere bei generativer KI.

Konkrete Use Cases und Anpassungsbedarf

1. Algorithmisches Kredit-Scoring

Ein internationales Institut nutzt in Vietnam ein gruppenweit standardisiertes Machine‑Learning‑Modell zur Bonitätsprüfung. Bisher erfolgt keine explizite Kundeninformation über den KI‑Einsatz.

Implikationen:

• Ergänzung des Kredit‑Antragsprozesses um Hinweise auf KI‑basierte Entscheidungsunterstützung,

• Implementierung eines „Explainability‑Layers“: Mitarbeitende müssen begründet erläutern können, warum ein Antrag abgelehnt wurde (z.B. Score‑Treiber, verwendete Merkmalsgruppen),

• Prozesse für Einsprüche: Nachanalyse durch Kreditexperten, Möglichkeit zur manuellen Übersteuerung.

2. Fraud Detection in Echtzeit-Zahlungen

E‑Wallet‑Anbieter setzen KI‑Modelle ein, um Echtzeittransaktionen zu blocken oder zu verzögern.

Implikationen:

• Kennzeichnung von risikobedingten Sperren als KI‑gestützt in der Kundenkommunikation,

• klare, leicht zugängliche Beschwerdewege in der App (z.B. „Transaktion prüfen lassen“),

• Protokollierung, wann ein Mensch eingegriffen und eine KI-Entscheidung geändert hat.

3. KI‑Chatbots im Kundendienst

Viele Banken in Vietnam verwenden bereits generative KI‑Chatbots für Standardanfragen (Kontostand, Kartenlimits, Konditionen).

Implikationen:

• sichtbare Kennzeichnung des Chatbots als KI,

• Eskalationslogik zu menschlichen Mitarbeitenden bei komplexen oder konfliktträchtigen Themen (z.B. Reklamationen, strittige Gebühren),

• Logging und Audit‑Trails der Konversationen für Compliance‑Reviews.

Strategische Implikationen für globale Banken und Fintechs

Harmonisierung von KI-Richtlinien über Jurisdiktionen hinweg

Die vietnamesischen Vorgaben sind Teil eines globalen Trends hin zu mehr:

• Transparenz (Kundeninformation über KI),

• Schutz grundlegender Rechte (z.B. Recht auf menschliche Überprüfung),

• strenger Governance für Hochrisiko‑KI im Finanzsektor.

Internationale Institute sollten daher:

• ein gruppenweit einheitliches KI‑Policy‑Framework etablieren, das lokale Anforderungen (z.B. Vietnam, EU‑AI‑Regulierung, andere Märkte) über Mindeststandards abdeckt,

• lokale Addenda definieren, in denen zusätzliche Pflichten (z.B. vormals nicht geforderte Kundenhinweise) abgebildet werden,

• zentralisierte Modellbibliotheken aufbauen, um Änderungen effizient auszurollen.

Wettbewerbsvorteil durch „Trust by Design“

Wer frühzeitig in klare, verständliche KI‑Transparenz, stabile Governance‑Strukturen und Schutzkonzepte für vulnerable Gruppen investiert, kann:

• regulatorische Risiken reduzieren,

• Prüfungen durch Aufsicht und interne Revision beschleunigen,

• das Vertrauen von Kund:innen und Geschäftspartnern stärken.

Für viele Häuser lautet die Kernaufgabe der nächsten 12–18 Monate: KI‑Innovationen nicht bremsen, aber in einen belastbaren, prüfbaren und länderübergreifenden Regulierungsrahmen integrieren – Vietnam liefert dafür jetzt einen sehr konkreten Referenzpunkt.

Häufig gestellte Fragen (FAQ)

Was regeln die neuen KI-Vorgaben der State Bank of Vietnam für Banken und E‑Wallets?

Die neuen Vorgaben der State Bank of Vietnam (SBV) legen fest, unter welchen Bedingungen Banken, ausländische Bankniederlassungen und E‑Wallet‑Anbieter KI in ihren Prozessen einsetzen dürfen. Im Fokus stehen Transparenz gegenüber Kund:innen, Schutz vulnerabler Gruppen, Beschwerderechte bei KI‑gestützten Entscheidungen sowie ein strenger Governance- und Sicherheitsrahmen für alle KI-Systeme.

Ab wann gelten die neuen KI-Regeln in Vietnam und welche Übergangsfristen gibt es?

Das neue Rundschreiben der SBV soll im März 2026 in Kraft treten. Für bereits produktiv eingesetzte KI-Systeme gilt eine Übergangsfrist bis September 2027, in der Institute ihre Modelle, Prozesse und Dokumentationen an die neuen Anforderungen anpassen müssen.

Welche Informationspflichten haben Banken gegenüber Kund:innen beim Einsatz von KI?

Institute müssen Kund:innen klar und vorab informieren, wenn KI in der Kommunikation, zur Emotions- oder Verhaltensanalyse, für biometrische Verfahren oder zur Generierung und Veränderung von Inhalten eingesetzt wird. Dies erfordert gut sichtbare Hinweise in Apps und Portalen, angepasste AGB und Datenschutzhinweise sowie geschultes Personal, das den KI-Einsatz erklären kann.

Wie schützt die vietnamesische Regulierung vulnerable Kundengruppen vor KI‑Missbrauch?

Die neuen Regeln untersagen ausdrücklich den Einsatz von KI, um Schwächen bestimmter Kundengruppen wie ältere Menschen, Personen mit Einschränkungen oder Kund:innen in finanzieller Notlage auszunutzen. Insbesondere sind KI‑basierte, gezielt auf diese Gruppen ausgerichtete Hochrisiko‑Produkte und aggressives Upselling verboten, was Anpassungen bei Targeting‑Modellen und Fairness‑Prüfungen erfordert.

Welche Rechte haben Kund:innen gegenüber KI‑basierten Entscheidungen im Bankensektor?

Kund:innen erhalten ein Beschwerde- und Anfechtungsrecht bei Entscheidungen, die vollständig oder weitgehend auf KI beruhen, etwa bei automatisierten Kreditentscheidungen oder Fraud‑bedingten Karten- und Transaktionssperren. Banken müssen dafür Prozesse zur menschlichen Überprüfung, klare Fristen, dokumentierte Entscheidungsbegründungen und geeignete Kommunikationskanäle bereitstellen.

Was unterscheidet die neuen vietnamesischen KI‑Anforderungen von bisherigen „Best Practices“?

Während Transparenz, Governance und Fairness bisher oft als freiwillige „Best Practices“ galten, werden sie in Vietnam nun zu verbindlichen Regulierungsanforderungen mit konkreten Vorgaben und Fristen. Damit verschiebt sich der Fokus von unverbindlichen Leitlinien hin zu prüfbaren Pflichten, die in Policies, Systemarchitekturen, Data‑Science‑Pipelines und Kundenprozessen verankert werden müssen.

Welche Prioritäten sollten internationale Banken und Fintechs mit Vietnam‑Bezug jetzt setzen?

Unternehmen sollten zeitnah eine vollständige Inventarisierung ihrer KI-Systeme in Vietnam vornehmen, Verantwortlichkeiten („Model Owner“) festlegen und Risiko- sowie Governance-Rahmen an die neuen Vorgaben anpassen. Parallel empfiehlt sich ein gruppenweites KI‑Policy‑Framework mit lokalen Addenda, die vietnamesische Spezialanforderungen wie Transparenzhinweise, Schutz vulnerabler Gruppen und Beschwerdeprozesse konkret abbilden.