Neobank en Digitale Bank KYC/AML Compliance: Complete Gids 2026
KYC- en AML-verplichtingen voor neobanken en digitale banken in 2026: Wwft, AMLD6, AMLR, DNB-toezicht, onboarding-eisen en transactiemonitoring. Praktische nalevingsgids voor fintech-instellingen.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokNeobanken en digitale banken zijn volledig vergunningplichtige kredietinstellingen of betaalinstellingen, onderworpen aan dezelfde KYC- en AML-verplichtingen als traditionele banken. In Nederland betekent dit naleving van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), toezicht door De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM), en voorbereiding op de rechtstreeks toepasselijke AMLR (Verordening (EU) 2024/1624) die per 10 juli 2027 van kracht wordt. Het volledig digitale bedrijfsmodel van neobanken stelt bijzondere eisen aan digitale onboarding, liveness detection en doorlopende transactiemonitoring.
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch, financieel of regelgevend advies. De regelgevende verwijzingen zijn actueel op de publicatiedatum. Raadpleeg een gekwalificeerde professional voor begeleiding die is afgestemd op uw specifieke situatie.
Regulatorisch kader voor neobanken in Nederland
Neobanken vallen onder exact dezelfde Wwft-verplichtingen als traditionele banken. Een digitale vergunning of een volledig app-gebaseerde dienstverlening verandert niets aan de wettelijke kwalificatie als meldingsplichtige instelling.
Toepasselijke wetgeving en toezichthouders
In Nederland rust het AML/KYC-kader op drie pijlers:
Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) is de nationale implementatie van de AMLD4 en AMLD5. De wet verplicht kredietinstellingen, betaalinstellingen en elektronischgeldinstellingen tot cliëntenonderzoek (CDD), doorlopende monitoring en melding van ongebruikelijke transacties aan de Financial Intelligence Unit Nederland (FIU-Nederland). DNB ziet toe op de prudentiële naleving; AFM houdt toezicht op gedragsaspecten zoals transparantie en marktintegriteit.
AMLR (Verordening (EU) 2024/1624) wordt per 10 juli 2027 rechtstreeks toepasselijk in alle EU-lidstaten zonder nationale omzetting. De AMLR harmoniseert CDD-triggers, introduceertnew gestandaardiseerde verificatiemethoden en verlaagt de transactiedrempel voor crypto-activa naar € 1.000. Neobanken die actief zijn over meerdere EU-markten profiteren van één uniform kader, maar worden ook geconfronteerd met strengere minimumnormen dan sommige nationale regels tot dusver vereisten.
AMLD6 (Richtlijn (EU) 2024/1640) heeft een implementatietermijn van 10 juli 2027 voor de Nederlandse wetgever. De richtlijn vereist aanpassing van de Wwft op onder meer UBO-drempels, sanctieregimes en de reikwijdte van meldingsplichtige instellingen.
AMLA (Autoriteit voor bestrijding van witwassen, Verordening (EU) 2024/1620) start directe supervisie over 40 grensoverschrijdende instellingen met hoog risico per 1 januari 2028. Neobanken met activiteiten in meerdere EU-lidstaten dienen te beoordelen of zij in deze categorie vallen.
EBA-richtsnoeren voor digitaal onboarding
De EBA/GL/2021/21 richtsnoeren voor cliëntenonderzoek (geüpdateerd oktober 2023) bevatten expliciete vereisten voor digitaal onboarding zonder menselijke agent. Liveness detection is vereist bij elk volledig digitaal onboardingproces waarbij geen menselijke agent de klant in persoon verifieert. Dit is geen vrijblijvende aanbeveling maar een toezichtsverwachting die DNB hanteert bij haar inspectiewerk.
| Verificatiemethode | Toelaatbaar voor Wwft | Liveness detection vereist | Opmerkingen |
|---|---|---|---|
| In-persoon verificatie bij kantoor | Ja | Nee | Zeldzaam bij neobanken |
| Videocall met agent (live) | Ja | Nee (live contact) | Acceptabel onder Wwft artikel 4 |
| Volledig automatisch (zonder agent) | Ja, mits EBA/GL/2021/21 | Ja, verplicht | Standaard bij neobanken |
| NFC-chip verificatie (ePassport) | Ja | Combineerbaar | Sterkste technische zekerheid |
| DigiD-verificatie | Ja (voor Nederlandse ingezetenen) | Afhankelijk van zekerheidsniveau | Niveau Substantieel of Hoog vereist |
KYC-vereisten voor digitaal onboarding
Digitale onboarding bij neobanken moet dezelfde verificatiezekerheid bieden als fysieke onboarding. De EBA-richtsnoeren stellen dat het risico van het niet persoonlijk aanwezig zijn van de klant moet worden gecompenseerd door bijkomende technische maatregelen.
Identiteitsverificatie: wat is vereist
Een volledige KYC-procedure voor een particuliere klant bij een Nederlandse neobank omvat minimaal:
Documentverificatie. Het identiteitsdocument (paspoort, Nederlandse identiteitskaart of rijbewijs) moet worden geverifieerd op echtheid. Visuele controle via een geüploade foto is onvoldoende voor volledig geautomatiseerde onboarding. De verificatie moet uitlopen op een oordeel over de authenticiteit van het document op basis van structurele kenmerken, beveiligingselementen en metadata-analyse.
Biometrische verificatie met liveness detection. De live selfie of video van de klant wordt vergeleken met de foto in het identiteitsdocument. Liveness detection voorkomt dat een aanvaller een foto of deepfake gebruikt. Zonder liveness detection voldoet het proces niet aan de EBA/GL/2021/21-vereisten voor geautomatiseerde onboarding.
Screeningcontroles. Elke nieuwe klant wordt gecontroleerd tegen sanctielijsten (EU, VN, OFAC), PEP-registers en adverse media. DNB verwacht dat deze controles worden uitgevoerd op het moment van onboarding én doorlopend gedurende de gehele klantrelatie.
Risicoklassificatie. Op basis van de gecombineerde informatie wordt een risicoclassificatie vastgesteld (laag, standaard, hoog). Deze classificatie bepaalt het niveau van cliëntenonderzoek en de frequentie van herbeoordelingen.
CheckFile ondersteunt verificatie van meer dan 3.200 documenttypen in 32 jurisdicties via meerlaagse analyse (structureel, metadata, cross-documentconsistentie). Dit dekt het documentbereik dat neobanken nodig hebben voor grensoverschrijdende klantenbestanden.
UBO-verificatie voor zakelijke klanten
Voor zakelijke klanten gelden aanvullende verplichtingen. Artikel 3, lid 2, van de Wwft verplicht tot identificatie van de uiteindelijk belanghebbende (UBO): de natuurlijke persoon die direct of indirect meer dan 25% van de aandelen, stemrechten of eigendomsbelang houdt, of op andere wijze feitelijke zeggenschap uitoefent. Het UBO-register bij de Kamer van Koophandel (KvK) is de primaire bron. Wanneer registergegevens en door de klant verstrekte informatie niet overeenkomen, moet de discrepantie worden onderzocht en gedocumenteerd.
Onder de AMLR (per 10 juli 2027) daalt de UBO-drempel van 25% naar 15% voor entiteiten met verhoogd risico. Neobanken die nu al hun UBO-verificatieprocedures bouwen, doen er verstandig aan dit aankomende vereiste in de architectuur van hun systemen mee te nemen.
Verscherpt cliëntenonderzoek (EDD) bij digitale kanalen
Bepaalde klantcategorieën vereisen een verscherpt cliëntenonderzoek (Enhanced Due Diligence, EDD), ongeacht het digitale karakter van de dienstverlening:
- Politiek prominente personen (PEP's) en hun familieleden en naaste geassocieerden
- Klanten afkomstig uit of transacties naar hoog-risicolanden (FATF-lijst)
- Zakelijke klanten met complexe of ondoorzichtige eigendomsstructuren
- Klanten waarbij de aanvankelijke verificatie vragen oproept over de herkomst van middelen
EDD vereist goedkeuring van het senior management voor het aangaan van de klantrelatie, vastlegging van de herkomst van vermogen en middelen, en een intensievere doorlopende monitoring.
AML-verplichtingen: transactiemonitoring en melden van verdachte transacties
Neobanken moeten beschikken over een doorlopend transactiemonitoringsysteem dat afwijkend gedrag detecteert ten opzichte van het verwachte klantprofiel. Dit is een kernverplichting onder de Wwft en wordt expliciet uitgebreid onder de AMLR.
Transactiemonitoringvereisten
Effectieve transactiemonitoring bij neobanken omvat:
Gedragsgebaseerde detectie. Transacties worden geëvalueerd ten opzichte van het gebruikspatroon van de individuele klant (onboardingprofiel, transactiehistorie, sectorcategorie). Afwijkingen boven vastgestelde drempels genereren alertsmeldingen voor nader onderzoek.
Scenariogebaseerde regels. Naast gedragsanalyse zijn er vaste scenarios die ongeacht het klantprofiel een melding genereren: plotselinge grote stortingen, snelle doorstroom van gelden (layering), frequente internationale overschrijvingen naar hoog-risicogebieden, of gebruik van meerdere rekeningen voor gesplitste transacties (structuring).
Doorlopende screening. Sanctiescreening vindt niet alleen plaats bij onboarding maar ook bij elke transactie. De EU-sanctieverordeningen vereisen real-time screening van tegenpartijen bij betalingsverwerking.
Melding van ongebruikelijke transacties aan FIU-Nederland
Artikel 16 van de Wwft verplicht meldingsplichtige instellingen tot het onverwijld melden van ongebruikelijke transacties aan FIU-Nederland. Een neobank moet:
- Interne procedures hebben voor het escaleren van alerts naar een daarvoor opgeleide compliance-medewerker
- Beslissingen over het al dan niet melden vastleggen, ongeacht de uitkomst
- Meldingen doen via het gestandaardiseerde goMELD-portaal van FIU-Nederland
- Geheimhoudingsplicht in acht nemen: de klant mag niet worden geïnformeerd dat een melding is gedaan (tipping-off verbod)
De meldplicht is objectief: bij twijfel wordt gemeld. Het is nadrukkelijk niet de taak van de instelling om vast te stellen of er daadwerkelijk sprake is van witwassen.
De Travel Rule voor betalingsinstellingen
Neobanken die betalingsdiensten aanbieden zijn gebonden aan de Travel Rule onder Verordening (EU) 2015/847 (gewijzigd door Verordening (EU) 2023/1113). Bij elke overboeking van meer dan € 1.000 moeten betalingsgegevens van de opdrachtgever worden doorgegeven aan de ontvangende betalingsdienstaanbieder. Voor crypto-activa geldt de Travel Rule per MiCA en de bijbehorende uitvoeringsverordening voor alle transacties ongeacht de drempel.
Verdiep u in het onderwerp
Ontdek onze praktische gidsen en bronnen over documentcompliance.
Gidsen bekijkenVeelvoorkomende nalevingsfouten en boetes
Onvoldoende KYC/AML-naleving bij neobanken heeft geleid tot significante toezichtsmaatregelen. De sector is niet vrijgesteld van handhaving vanwege innovatief karakter of technologische benadering.
Bekende handhavingszaken
N26 (BaFin, 2021). BaFin legde N26 een boete op van €4,25 miljoen wegens tekortkomingen in de AML-procedures en beperkte de groei tot 50.000 nieuwe klanten per maand. De toezichthouder constateerde dat de transactiemonitoringsystemen niet waren gecalibreerd op het daadwerkelijke risicoprofiel van de klantenportefeuille en dat de meldingen aan de FIU onvolledig en te laat waren.
Starling Bank (FCA, oktober 2024). De Britse toezichthouder FCA legde Starling Bank een boete op van £29 miljoen wegens ernstige tekortkomingen in de financiëlecrimecontroles. FCA stelde vast dat Starling doorlopend nieuwe klanten had geaccepteerd ondanks geconstateerde zwakheden in het KYC-systeem, en dat het transactiemonitoringsraamwerk niet was meegegroeid met de omvang van de klantenportefeuille.
| Instelling | Toezichthouder | Jaar | Sanctie | Kern van de overtreding |
|---|---|---|---|---|
| N26 | BaFin (DE) | 2021 | €4,25 mln + groeibeperking | Ontoereikende transactiemonitoring, te late FIU-meldingen |
| Starling Bank | FCA (VK) | 2024 | £29 mln | Systeemische KYC-tekortkomingen bij snelle groei |
| Monzo | FCA (VK) | 2024 | Onderzoek | Onboarding van hoog-risicoklanten zonder adequate EDD |
Meest voorkomende nalevingsfouten bij neobanken
Onvoldoende liveness detection. Verificatieprocessen die geen onderscheid maken tussen een levende persoon en een foto of deepfake voldoen niet aan de EBA-richtsnoeren en stellen de instelling bloot aan synthetische identiteitsfraude.
Niet-geschikte risicoclassificatie bij snelle groei. Neobanken die snel opschalen passen hun risicomodellen vaak niet aan op het veranderende klantprofiel. Het gevolg is een systematisch te laag ingeschat risico voor klantcategorieën die in werkelijkheid verhoogd toezicht vereisen.
Onvolledige documentatie van de beslissingslogica. DNB en AFM verwachten dat elke compliance-beslissing traceerbaar is vastgelegd: waarom is een klant als laag risico geclassificeerd? Waarom is een bepaalde transactiealert gesloten zonder melding? Ontbrekende of onvoldoende gedocumenteerde beslissingen zijn op zichzelf een overtreding van de Wwft.
Te smalle monitoringscenario's. Transactiemonitoringregels die uitsluitend drempeloverschrijdingen bewaken en geen gedragspatronen analyseren, detecteren geen geraffineerde witwasmethoden zoals layering via meerdere kleine transacties.
Opbouwen van een robuust compliance-programma
Een robuust KYC/AML-compliance-programma voor een neobank steunt op vijf pijlers: governance, risicoanalyse, cliëntenonderzoek, transactiemonitoring en training. Toezichthouders beoordelen niet alleen of de procedures op papier aanwezig zijn, maar of ze effectief worden uitgevoerd.
Governance en interne organisatie
Elke meldingsplichtige instelling moet beschikken over een aangewezen compliance officer (in de Wwft: de persoon belast met de naleving) op voldoende hoog niveau in de organisatie. Bij neobanken met een matrix-organisatiestructuur moet duidelijk zijn welke functionaris eindverantwoordelijkheid draagt voor AML-naleving in elke jurisdictie waar de instelling actief is. DNB verwacht dat de compliance officer directe rapportagelijn heeft naar het bestuur en onafhankelijk kan opereren van commerciële teams.
Het DNB open boek toezicht biedt uitgebreide guidance over de minimale organisatorische vereisten voor meldingsplichtige instellingen.
Risicoanalyse en risicoclassificatiesysteem
De risicogebaseerde benadering vereist een gedocumenteerde instelling-brede risicoanalyse (IBRA) die minimaal jaarlijks wordt geactualiseerd. De IBRA identificeert welke klantcategorieën, producten, distributiekanalen en geografische markten de hoogste AML/CFT-risico's opleveren. Op basis hiervan worden de CDD-procedures, monitoringsdrempels en EDD-triggers gekalibreerd.
Voor neobanken zijn twee risicofactoren bijzonder relevant:
- Het volledig digitale onboardingkanaal (verhoogd risico op synthetische identiteiten en documentfraude)
- De internationale klantenportefeuille (verhoogd risico op grensoverschrijdende geldbewegingen naar hoog-risicogebieden)
Technische infrastructuur voor compliance
De AFM-leidraad KYC-automatisering en de DNB-toezichtsverwachtingen maken duidelijk dat manuele processen bij de schaal van neobanken onvoldoende zijn. De technische infrastructuur moet minimaal omvatten:
- Geautomatiseerde documentverificatie met een duidelijke audittrail per klant
- Liveness detection geïntegreerd in de onboardingflow
- Real-time sanctiescreening gekoppeld aan betalingsverwerking
- Transactiemonitoringsysteem met scenariobeheer en alertworkflow
- Veilige documentbewaring voor minimaal vijf jaar (Wwft artikel 34)
CheckFile's oplossing voor bancaire KYC biedt meerlaagse documentanalyse (structureel, metadata, cross-documentconsistentie) die de audittrail genereert die Wwft en AMLR vereisen.
Voorbereiding op AMLR 2027
Neobanken die nu hun compliance-programma bouwen of vernieuwen, moeten rekening houden met de AMLR-vereisten die per 10 juli 2027 van kracht worden. De meest impactvolle wijzigingen ten opzichte van de huidige Wwft zijn:
- Verlaging van de UBO-drempel van 25% naar 15% (en 5% bij intransparante structuren)
- Geharmoniseerde CDD-triggers over alle EU-lidstaten (relevant voor neobanken met een EU-paspoort)
- Verplichte biometrische verificatie bij alle geautomatiseerde onboarding
- Uitbreiding van de screeningverplichtingen naar crypto-activa-transacties boven € 1.000
Zie ook onze uitgebreide AML-compliancegids en de AMLD6-compliancegids voor meldingsplichtige instellingen voor een volledig beeld van het aankomende regelgevingskader.
Periodieke herziening en testen
Een compliance-programma dat bij implementatie adequaat was, kan onvoldoende worden naarmate het klantenbestand groeit, nieuwe producten worden gelanceerd of het risicoclimaat verandert. DNB verwacht dat neobanken hun compliance-programma periodiek onafhankelijk laten toetsen. Dit kan de vorm aannemen van een interne auditreview, een compliance monitoring-programma of een externe assessment.
Bekijk ook de beveiligingspagina van CheckFile voor meer informatie over hoe documentverificatie bijdraagt aan een auditeerbaar compliance-dossier.
Veelgestelde vragen
Zijn neobanken wettelijk verplicht tot KYC en AML-naleving in Nederland?
Ja. Neobanken die in Nederland opereren als kredietinstelling, betaalinstelling of elektronischgeldinstelling zijn meldingsplichtige instellingen in de zin van artikel 1a van de Wwft. Zij zijn volledig onderworpen aan alle Wwft-verplichtingen: cliëntenonderzoek, doorlopende monitoring, meldplicht bij ongebruikelijke transacties en documentbewaarplicht. Het digitale of app-gebaseerde bedrijfsmodel verandert niets aan deze kwalificatie. DNB houdt toezicht op naleving; AFM bewaakt gedragsaspecten. Een neobank met een bankvergunning of betaalinstellingsvergunning is ten aanzien van AML/KYC behandeld als elke andere vergelijkbare instelling.
Wat zijn de specifieke vereisten voor liveness detection bij digitale onboarding?
De EBA/GL/2021/21-richtsnoeren (geüpdateerd oktober 2023) stellen dat bij volledig geautomatiseerde onboarding zonder menselijke agent liveness detection verplicht is. Dit houdt in dat het verificatiesysteem moet aantonen dat de persoon die het document presenteert een levende persoon is en niet een foto, video of deepfake. De technische implementatie kan variëren (passieve liveness detection, actieve challenges, 3D-diepteanalyse), maar het resulterende zekerheidsn iveau moet vergelijkbaar zijn met wat een getrainde menselijke agent zou bereiken bij fysieke verificatie. DNB beoordeelt liveness detection als onderdeel van haar Wwft-inspectiewerk bij neobanken.
Wat zijn de gevolgen van onvoldoende AML-naleving voor een neobank?
De Wwft kent bestuurlijke boetes tot €4 miljoen per overtreding of, indien hoger, 10% van de jaaromzet van de betrokken instelling. Ernstige en stelselmatige overtredingen kunnen leiden tot publicatie van de maatregel (naming and shaming), beperking van de bedrijfsvoering (vergelijkbaar met de BaFin-groeibeperking bij N26) of intrekking van de vergunning. Naast de bestuurlijke handhaving bestaat ook strafrechtelijke aansprakelijkheid voor bestuurders en compliance officers. Onder de AMLD6 stijgen de maximale boetes naar €10 miljoen of 10% van de totale jaarlijkse omzet.
Hoe verschilt KYC bij neobanken van traditionele banken?
De wettelijke verplichtingen zijn identiek: neobanken zijn dezelfde meldingsplichtige instellingen als traditionele banken. Het verschil zit in de uitvoering. Neobanken voeren vrijwel al hun onboarding volledig digitaal en op afstand uit, waardoor zij afhankelijk zijn van geautomatiseerde documentverificatie en liveness detection in plaats van persoonlijk contact. Dit brengt specifieke technische risico's mee (deepfakes, synthetische identiteiten, documentmanipulatie) die traditionele banken bij balie-onboarding minder vaak tegenkomen. De EBA-richtsnoeren adresseren dit door voor geautomatiseerde onboarding expliciete aanvullende technische maatregelen te vereisen.
Wat moet een neobank documenteren voor de jaarlijkse DNB-toetsing?
DNB verwacht dat een neobank bij een toetsing of inspectie kan aantonen: (1) een actuele en gedocumenteerde instelling-brede risicoanalyse, (2) gedocumenteerde CDD-procedures voor alle klantcategorieën, (3) individuele klantenonderzoeksdossiers met verificatiebewijzen en risicoclassificatie, (4) een overzicht van gedane UTR-meldingen aan FIU-Nederland, (5) logs van transactiemonitoring-alerts inclusief beslissingen over opvolging, en (6) bewijs van periodieke training van medewerkers in AML-bewustzijn. Ontbrekende of onvoldoende gedocumenteerde elementen worden door DNB aangemerkt als tekortkomingen, ook als de onderliggende processen feitelijk wel zijn uitgevoerd.
Wat verandert er voor neobanken onder de AMLR per 10 juli 2027?
De AMLR (Verordening (EU) 2024/1624) wordt per 10 juli 2027 rechtstreeks toepasselijk. Voor neobanken zijn de meest relevante wijzigingen: (1) de UBO-drempel daalt van 25% naar 15% (en 5% bij intransparante structuren), (2) biometrische verificatie bij geautomatiseerd onboarding wordt EU-breed verplicht gesteld, (3) CDD-triggers worden geharmoniseerd over alle lidstaten, wat voordelen biedt voor neobanken met een Europees paspoort, en (4) de drempel voor verplichte screening bij crypto-activa-transacties wordt gesteld op €1.000 ongeacht het transactietype. Neobanken dienen hun technische systemen, risicomodellen en CDD-procedures vóór die datum te hebben bijgewerkt.
Volgende stappen: uw compliance-programma evalueren
De AMLR-deadline van 10 juli 2027 en de toenemende toezichtsdruk van DNB en AFM vragen om een gestructureerde aanpak van KYC/AML-compliance bij neobanken. De fouten die N26 en Starling Bank kostbaar werden, zijn in essentie dezelfde fouten: ontoereikende technische infrastructuur die niet is meegegroeid met de schaal van de klantenportefeuille.
CheckFile biedt een KYC-platform voor banken en neobanken met meerlaagse documentverificatie (structureel, metadata, cross-documentconsistentie) voor meer dan 3.200 documenttypen in 32 jurisdicties. Elke verificatiestap wordt gelogd en is traceerbaar, zodat u de audittrail kunt overleggen die DNB en AFM verwachten.
Bekijk onze tarieven of vraag een demo aan om te beoordelen waar uw huidige KYC-processen staan ten opzichte van de 2027-vereisten.
Verder lezen: Voor het volledige overzicht van het aankomende AML-kader, zie onze gids anti-money laundering compliance en de AMLD6-compliancegids voor meldingsplichtige instellingen. Voor documentaire compliance in bredere zin, zie de complete gids documentaire compliance.
Blijf op de hoogte
Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.