logo-artificial-intelligence-consultant
Open menu

Finance & Banking · CASE STUDY

Top-3 Nederlandse retailbank

Een Nederlandse retailbank reduceerde false positives in fraudedetectie met 47% door een RAG-architectuur over het Wwft- en AML-corpus te combineren met een real-time scoringmotor, met behoud van volledige audit-traceability conform de EU AI Act.

Visualisatie van een real-time fraudedetectiepijplijn met retrieval over compliance-documenten

−47%

False positives

verbetering t.o.v. baseline regelmotor

€2,1 mln

Jaarlijkse besparing

1,4 s

Mediaan response tijd

100%

Audit-traceability

alle beslissingen geverifieerd

Technologie-stack

  • Azure OpenAI
  • GPT-4o
  • Pinecone
  • LangChain
  • Python

Uitdaging

De compliance-afdeling van de retailbank verwerkte dagelijks meer dan 180.000 transactie-alerts uit een legacy regelmotor. Door de stapeling van conservatieve detectieregels lag het false-positive-percentage rond 9,2%, wat resulteerde in meer dan 16.000 onterechte klantblokkades per maand. Analisten besteedden gemiddeld 11 minuten per alert aan handmatige verificatie, terwijl de doorlooptijd naar PSD2-deadlines onder druk stond.

Daarnaast bracht de aanstaande EU AI Act extra eisen met zich mee: kredietverlening en fraudedetectie vallen onder Annex III als high-risk-categorie, met verplichtingen rond datakwaliteit, menselijk toezicht, logging en transparantie. De interne wens om generatieve AI in te zetten stuitte op terughoudendheid van de Risk & Compliance-stuurgroep, met name vanwege de GDPR-eisen voor dataminimalisatie en de noodzaak tot reproduceerbare beslissingen.

Aanpak

We ontwierpen een hybride architectuur waarbij de bestaande regelmotor behouden bleef als first-line filter, en een RAG-laag werd toegevoegd voor contextuele beoordeling van twijfelgevallen. Het compliance-corpus — Wwft-richtlijnen, FATF-typologieën, interne AML-procedures en historische SAR-rapportages — werd geïndexeerd in Pinecone met HNSW-indices op basis van Azure OpenAI text-embedding-3-large.

Voor elke verdachte transactie haalt de retrieval-laag de top-12 meest relevante compliance-passages op, waarna GPT-4o via een gestructureerde reasoning-prompt een risicoclassificatie uitvoert. De orchestratie verloopt via LangChain, met expliciete tool-bindings voor klantprofielverrijking, sanctielijst-lookup en transactiehistorie. Elke beslissing wordt voorzien van geciteerde brondocumenten, waardoor analisten en toezichthouders het redeneringsproces kunnen reconstrueren.

Centraal in het ontwerp stond data minimisation: persoonsgegevens worden gepseudonimiseerd voordat ze de embedding-pipeline bereiken, en het LLM-endpoint draait in een private Azure-tenant binnen de EU-regio. Een DPIA conform GDPR Artikel 35 werd uitgevoerd in samenwerking met de Functionaris Gegevensbescherming.

Implementatie

De uitrol verliep in drie fasen over negen maanden. Tijdens de discovery-fase (maand 1-2) inventariseerde het team de bestaande regelinventaris van 1.247 regels, waarvan er 312 historisch verantwoordelijk waren voor 78% van de false positives. Deze regels werden geprioriteerd voor RAG-verrijking.

In de bouwfase (maand 3-6) werd het Pinecone-cluster ingericht met sharding op compliance-domein en een vernieuwingsschema voor regelgevingsupdates. Het LangChain-orchestratielaagje implementeert een vier-staps pipeline: contextverzameling, retrieval, gestructureerde classificatie en evidence-binding. Een evaluatieharnas met 14.000 historisch gelabelde cases werd opgezet om model drift te monitoren via gewogen F1-scores per fraudetypologie.

De productiefase (maand 7-9) omvatte gefaseerde rollout via shadow-mode op alle binnenkomende alerts, gevolgd door A/B-vergelijking met de bestaande regelmotor. Operationele controles volgens ISO 27001 — toegangsbeheer, change management, incident response — werden geïntegreerd in het bestaande ISMS van de bank. Het human-in-the-loop-mechanisme zorgt dat analisten elke high-risk-classificatie expliciet bekrachtigen voordat een transactie wordt geblokkeerd.

Resultaat

Na zes maanden productiegebruik daalde het false-positive-percentage van 9,2% naar 4,9%, een reductie van 47%. De mediane responstijd voor een complete classificatie inclusief retrieval bedroeg 1,4 seconden, ruim binnen de SLA van 3 seconden. De jaarlijkse besparing op operationele kosten, gemeten over verminderde handmatige reviewtijd en gereduceerde klantfrictie, bedroeg €2,1 miljoen.

Belangrijker nog: alle beslissingen zijn voorzien van traceerbare evidence-trails, wat de bank in een goede positie plaatst voor de naderende EU AI Act-conformiteitstoetsing. De toezichthouder beoordeelde de auditbevindingen positief tijdens de halfjaarlijkse review. De architectuur dient inmiddels als referentiepatroon voor twee aanvullende use cases binnen de bank: kredietwaardigheidsbeoordeling voor het MKB en sanctiescreening bij internationale betalingen.

Doorlooptijd

9 maanden

Compliance

  • EU AI Act
  • GDPR
  • ISO 27001

Een vergelijkbare uitdaging?

Plan een verkennend gesprek — wij beoordelen of een soortgelijke aanpak past bij uw context.

Plan gesprek →