Skillcast Compliance Training

Vierundzwanzig Jahre später betreut das Unternehmen etwa 1.500 Kunden, beschäftigt 130 Mitarbeiter und erwirtschaftet einen wiederkehrenden Jahresumsatz von rund 40 Millionen Pfund. Die Compliance-Herausforderung, die es angeht, ist jedoch erheblich komplexer geworden.

Auf dem 14. jährlichen European Compliance and Ethics Institute (ECEI) in Berlin präsentierte Catriona Razic – Mitbegründerin und Chief Commercial Officer von Skillcast – die Sichtweise des Unternehmens auf das, was sie als grundlegende Veränderung im Bereich der Finanzkriminalität bezeichnete. Die Sitzung mit dem Titel „Im Kopf des Betrügers: Was Compliance-Führungskräfte im Jahr 2026 wissen müssen“ stützte sich auf Daten der Europäischen Bankenaufsicht und der Europäischen Zentralbank, um das Ausmaß des Problems zu veranschaulichen.

Betrug im großen Stil

Finanzbetrugsverluste in ganz Europa erreichten im Jahr 2024 4,2 Milliarden Euro, ein Anstieg von 17 Prozent gegenüber dem Vorjahr. Allein der Kreditkartenbetrug machte 2,5 Milliarden Euro dieser Gesamtsumme aus, wobei in mehr als der Hälfte der Fälle eine direkte Manipulation des Opfers vorlag und kein technischer Systemfehler. Deutschland, Italien und Frankreich verzeichneten die höchsten Mengen.

Der Wandel von Angriffen auf Systemebene zu Manipulationen, die auf Menschen abzielen, ist bereits seit einiger Zeit im Gange, aber künstliche Intelligenz hat ihn stark beschleunigt. Mit nur wenigen Sekunden aufgezeichnetem Audio oder Video können Kriminelle nun Deepfakes erstellen, die die Stimme oder das Aussehen eines leitenden Kollegen mit ausreichender Genauigkeit nachbilden, um geschultes Personal zu täuschen.

Große Sprachmodelle generieren grammatisch korrekte Phishing-Nachrichten in jeder EU-Sprache, die so kalibriert sind, dass sie den Ton einer bestimmten Organisation nachahmen. Betrugs-Toolkits – komplett mit Skripten, geleakten Daten und Geldwäschewegen – sind jetzt in kriminellen Netzwerken käuflich erwerbbar, was die Einstiegshürde für Angreifer ohne technisches Fachwissen senkt.

Die Folgen gehen über den direkten finanziellen Verlust hinaus. Europäische Finanzinstitute gaben im Jahr 2024 schätzungsweise 6,5 Milliarden Euro für die Abwehr von KI-gestützten Angriffen aus. Betrug hat sich zum zweitwichtigsten operationellen Risiko für europäische Banken entwickelt und übertrifft damit traditionelle rechtliche und verhaltensbezogene Bedenken. Kunden, die Opfer von Betrügereien werden oder von solchen Fällen lesen, verlieren das Vertrauen in das digitale Banking; einige verlassen Online-Dienste ganz. Opfer berichten häufig von bleibenden psychischen Schäden, darunter Angstzustände und sozialer Rückzug.

Die Regulierung verlagert die Haftung

Die EU-Zahlungsdiensterichtlinie und die dritte Zahlungsdiensterichtlinie – die voraussichtlich 2026 in Kraft treten wird – stellen eine bedeutende Veränderung in Bezug auf die Verantwortlichkeit dar. Im Rahmen des bestehenden Systems haften Institute oft nicht, wenn ein Kunde eine Transaktion autorisiert, selbst wenn diese Autorisierung durch Betrug erlangt wurde. Die neuen Regeln ändern dies.

Zahlungsdienstleister haften für Transaktionen, die von Betrügern initiiert oder geändert wurden. In Fällen von Spoofing – bei denen ein Krimineller einen Bankmitarbeiter imitiert – wird von den Instituten erwartet, die Opfer zu entschädigen, es sei denn, sie können grobe Fahrlässigkeit seitens des Kunden nachweisen. Obligatorische Namensabgleichsprüfungen gelten für alle Überweisungen. Die Institute werden auch verpflichtet sein, menschliche Betrugsunterstützung anzubieten, nicht nur automatisierte Antworten, und es den Kunden zu ermöglichen, ihre eigenen Transaktionslimits festzulegen. Die kommerzielle und reputative Exposition bei Nichteinhaltung ist beträchtlich.

Vom Inhalt zur Kultur

Die Reaktion von Skillcast auf diese Entwicklungen spiegelt wider, wie sich das eigene Geschäftsmodell des Unternehmens entwickelt hat. Es begann als Content-Anbieter – mit der Erstellung von E-Learning-Kursen für regulierte Branchen – und bietet nun eine breitere Plattform, die Schulungen, Verhaltensdaten und Risikoanalysen integriert. Die Bibliothek des Unternehmens umfasst derzeit rund 400 Kurse, darunter eine spezielle EU-Compliance-Bibliothek, die entwickelt wurde, um den gesamteuropäischen Bedürfnissen multinationaler Kunden gerecht zu werden. Kurzmodule von etwa drei Minuten sind so konzipiert, dass sie sich in Arbeitsabläufe einfügen, anstatt sie zu unterbrechen.

Razic merkte an, dass sich das Geld historisch auf Sicherheitssysteme konzentriert hatte und sich dieser Fokus nun auf das Verhalten verlagere. „Es beginnt mit den Menschen“, sagte sie. Kulturelle Probleme innerhalb einer Organisation können sie für Betrüger attraktiver machen. Die Implikation ist, dass Compliance-Schulungen nicht nur eine regulatorische Pflichtübung sind, sondern eine Komponente der betrieblichen Widerstandsfähigkeit.

Das Unternehmen arbeitet mit Kunden auf über 50 verschiedenen Lernplattformen zusammen und beschreibt sich selbst als Anbieter einer ganzheitlichen Sicht auf Compliance-Daten. Etwa die Hälfte seiner Kunden ist in regulierten Branchen tätig; die andere Hälfte umfasst Unternehmen in Sektoren, in denen die Compliance-Verpflichtungen weniger präskriptiv sind, aber Reputations- und Betriebsrisiken weiterhin real sind. Zu den langjährigen Partnerschaften gehört eine 25-jährige Zusammenarbeit mit der UBS sowie die Arbeit mit der UniCredit, für die es Inhalte in 16 Sprachen über mehrere Nationen hinweg verwaltet hat.

Europäische Ambitionen, bedächtiges Tempo

Rund 60 Prozent der Mitarbeiter von Skillcast befinden sich weiterhin im Vereinigten Königreich, 40 Prozent in Europa mit einem Büro in Malta. Das Unternehmen hat keine unmittelbaren Pläne für eine physische Expansion in kontinentale Märkte, verfolgt aber aktiv Partnerschaften – insbesondere in der DACH-Region – als Weg, um von seiner bestehenden Basis aus paneuropäische Organisationen zu bedienen. Razic beschrieb die Strategie als Zusammenarbeit mit „echten Experten“ in jedem Markt, anstatt zu versuchen, schnell lokale Infrastruktur aufzubauen.

Die ECEI Berlin Konferenz, die Compliance-Experten aus ganz Europa und darüber hinaus anzieht, bot einen geeigneten Rahmen für dieses Ziel. Die Veranstaltung findet vom 2. bis 4. März statt; die Schulungssitzung von Skillcast reihte sich in ein breiteres Programm ein, das sich mit regulatorischen Änderungen, Durchsetzungstrends und der Ethik neuer Technologien befasste. Ein weiteres europäisches Event ist für Mai in Frankfurt geplant.

Die Wettbewerbslandschaft, in der Skillcast tätig ist, ist nicht ohne Komplexität. Größere Plattformen, darunter allgemeine Lernmanagementsysteme und spezialisierte Cybersicherheitsanbieter, konkurrieren um dieselben Budgets. Razic erkannte die Herausforderung direkt an: In den Bereichen Content-Bearbeitung, Kundenbetreuung und Skalierbarkeit der Anpassung positioniert sich das Unternehmen als zuverlässiger, spezialisierter Partner und nicht als Plattform für den breiten Markt.

Der breitere Punkt, auf den sie bei ECEI zurückkam, stimmte mit der Gründungslogik des Unternehmens überein: Vorschriften ändern sich, Technologie ändert sich, aber die Notwendigkeit, sicherzustellen, dass Einzelpersonen innerhalb einer Organisation verstehen, was von ihnen erwartet wird – und warum – ändert sich nicht. In einer Umgebung, in der ein gut konstruierter Sprachklon überzeugender sein kann als eine Firewall, war dieser Fall selten einfacher zu argumentieren.

At the 14th annual European Compliance and Ethics Institute (ECEI) in Berlin, Catriona Razic — co-founder and Chief Commercial Officer of Skillcast — presented the company’s perspective on what she described as a fundamental shift in financial crime. The session, titled “Inside the Fraudster’s Mind: What Compliance Leaders Need to Know in 2026,” drew on data from the European Banking Authority and the European Central Bank to frame the scale of the problem.

Fraud at Scale

Financial fraud losses across Europe reached €4.2 billion in 2024, a 17 per cent increase on the previous year. Credit transfer fraud alone accounted for €2.5 billion of that total, with more than half of cases involving direct manipulation of a victim rather than a technical breach of systems. Germany, Italy and France recorded the highest volumes.

The shift from system-level attacks to human-targeted manipulation has been underway for some time, but artificial intelligence has accelerated it sharply. Using a few seconds of recorded audio or video, criminals can now produce deepfakes that replicate the voice or appearance of a senior colleague with sufficient accuracy to deceive trained staff. Large Language Models generate grammatically exact phishing messages in any EU language, calibrated to mimic the tone of a specific organisation. Fraud toolkits — complete with scripts, leaked data and laundering pathways — are now available for purchase on criminal networks, lowering the barrier to entry for attackers who lack technical expertise.

The consequences extend beyond direct financial loss. European financial institutions spent an estimated €6.5 billion on defences against AI-enabled attacks in 2024. Fraud has risen to become the second most significant operational risk for European banks, surpassing traditional legal and conduct concerns. Customers who fall victim to scams, or who read about others doing so, lose confidence in digital banking; some exit online services entirely. Victims frequently report lasting psychological harm, including anxiety and social withdrawal.

Regulation is Shifting Liability

The EU’s Payment Services Regulation and the third Payment Services Directive — expected to become law in 2026 — represent a significant change in where responsibility lies. Under the existing framework, institutions are often not liable when a customer authorises a transaction, even if that authorisation was obtained through deception. The new rules alter this.

Payment Service Providers will bear liability for transactions initiated or altered by fraudsters. In spoofing cases — where a criminal impersonates a bank employee — institutions will be expected to reimburse victims unless they can demonstrate gross negligence on the customer’s part. Mandatory name-matching checks will apply to all credit transfers. Institutions will also be required to offer human fraud support, not merely automated responses, and to enable customers to set their own transaction limits. The commercial and reputational exposure of non-compliance is considerable.

From Content to Culture

Skillcast’s response to these developments reflects how the company’s own model has evolved. It began as a content provider — building e-learning courses for regulated industries — and now offers a broader platform that integrates training, behavioural data and risk analytics. The company’s library currently comprises around 400 courses, including a dedicated EU Compliance Library developed to address the pan-European needs of multinational clients. Short-form modules of approximately three minutes are designed to fit into working patterns rather than disrupt them.

Razic noted that money had historically been concentrated on security systems, and that focus was now shifting toward behaviour. “It starts with people,” she said. “Cultural issues within an organisation can make it more attractive to fraudsters.” The implication is that compliance training is not merely a regulatory checkbox, but a component of operational resilience.

The company works with clients across 50 different learning platforms and describes itself as offering a holistic view of compliance data. Roughly half of its clients operate in regulated industries; the other half includes businesses in sectors where compliance obligations are less prescriptive but where reputational and operational risks remain real. Among its longer-standing relationships is a 25-year partnership with UBS, as well as work with UniCredit, for which it has managed content in 16 languages across multiple jurisdictions.

European Ambitions, Deliberate Pace

Around 60 per cent of Skillcast’s employees remains in the UK, with 40 per cent in Europe with an office in Malta. The company has no immediate plans for physical expansion into continental markets but is actively pursuing partnerships — particularly in the DACH region — as a route to serving pan-European organisations from its existing base. Razic described the strategy as working with “true experts” in each market rather than attempting to build local infrastructure rapidly.

The ECEI Berlin conference, which draws compliance professionals from across Europe and beyond, offered an appropriate context for that ambition. The event runs from 2 to 4 March; Skillcast’s educational session sat alongside a broader programme addressing regulatory change, enforcement trends, and the ethics of emerging technology. A further European event is planned for Frankfurt in May.

The competitive landscape Skillcast operates in is not without complexity. Larger platforms, including general-purpose learning management systems and specialist cyber security providers, compete for the same budgets. Razic acknowledged the challenge directly: content editing, client support and the ability to customise at scale are areas where the company positions itself as a dependable, specialised partner rather than a broad-market platform.

The broader point she returned to at ECEI was consistent with the company’s founding logic: regulation changes, technology changes, but the need to ensure that individuals within an organisation understand what is expected of them — and why — does not. In an environment where a well-constructed voice clone may be more persuasive than a firewall, that case has rarely been easier to make.