Use-Case · Banking & Fintech

Phishing-Triage als API. Statt 40 Mitarbeitenden im Anti-Fraud-Team.

phishing@my-bank.de bekommt 6.000 Kundenmeldungen pro Tag - viele harmlos, einige echt. Lass den Klassifizierer ran, bevor euer Team auch nur eine Mail aufmacht.

Pilot mit der Aufsicht REST-Spec

„90 % der Meldungen an phishing@ sind echte Phishing-Mails, die wir nur archivieren. 10 % sind falsche Alarme. Wir wollen die 10 % sofort sehen."- Head of Customer Trust, Direktbank

BaFin-Tauglichkeit MaRisk-konformer Audit-Trail, EU-SCC für US-Sub-Verarbeiter, vollständige Lösch-Kaskade auf Anfrage.

Das Problem

6.000 Mails pro Tag, von echten Kunden gemeldet.

Jede einzelne muss klassifiziert werden - entweder als „bekanntes Phishing, archiviert“ oder als „neue Variante, prüfen“. Die meisten Banken machen das von Hand. Das skaliert nicht.

Eure Kunden sind die beste Frühwarnung, die ihr habt. Wenn ein neues Phishing-Template auftaucht, leitet ein wacher Kunde es innerhalb von Stunden an euer phishing@-Postfach weiter. Das Problem ist, was danach passiert.

Ein menschlicher Operator braucht zwei bis fünf Minuten pro Mail. Bei 6.000 Mails am Tag braucht ihr ein Team von 30 bis 40 Personen, das nichts anderes macht. Oder ihr archiviert alles ungeprüft - und verliert die Frühwarnung.

Scampilot klassifiziert pro Mail in unter fünf Sekunden, gruppiert nach Phishing-Template und meldet eurem Team nur die Mails, die neu sind. Aus 6.000 wird 12.

Throughput 2880 req/day Standard, höher per Vertrag. Bulk-Endpoint POST /api/v1/scan/batch in Vorbereitung.

Datenschutz im Postfach Kunden-PII wird vor der Analyse maskiert, falls gewünscht. Konfigurierbar pro API-Token.

Inbound-E-Mail Ihr leitet phishing@ an eine Scampilot-Adresse weiter. Wir antworten pro Mail mit dem Bericht und schicken einen Webhook-Push an euer System.

Workflow

Was bei euch ankommt, was bei uns ankommt.

Eine konkrete Beispiel-Pipeline, von der Weiterleitung bis ins Anti-Fraud-Dashboard.

Kunde leitet weiter

Kundin Bauer sieht eine verdächtige Mail mit Sparkasse-Logo. Sie klickt „Weiterleiten" und schickt sie an phishing@meine-bank.de.

Inbound-E-Mail

Eure Mail-Regel leitet die Mail (inkl. aller Headers) an phishing-triage.x7q3@in.scampilot.de weiter. Wir akzeptieren sie binnen 500 ms.

Analyse + Clustering

Scampilot prüft Inhalte, vergleicht den Signal-Fingerabdruck mit den letzten 24 Stunden. Wenn die Mail einem bekannten Template entspricht, wird sie geclustert. Wenn nicht, eskaliert sie.

Webhook-Push in euer SOC

Pro Bericht ein HTTP-POST an euren Endpoint. Payload enthält Urteil, Confidence, alle Signale, Beweis-Strings, Cluster-ID. Geheimnis als Pfad-Suffix - rotierbar.

Dashboard nur für Neues

Im Anti-Fraud-Tooling seht ihr nur die Cluster, die heute zum ersten Mal aufgetaucht sind. Im Schnitt: 8 bis 15 pro Tag. Plus eine Aggregation der bekannten Templates für eure Statistiken.

Compliance

Verträge, die euer Compliance-Team durchwinkt.

Wir haben den AVV bereits durch zwei deutsche Banken-Rechtsabteilungen geschickt. Wenn es Anpassungen gibt, lassen sich diese als Anhang machen.

Auftragsverarbeitung	Standard-AVV (Art. 28 DSGVO) + EU-SCC für KI-/E-Mail-Anbieter als Sub-Verarbeiter.
Aufbewahrungsfristen	Konfigurierbar pro Tenant: 30 Tage bis 7 Jahre. Lösch-Cascade automatisch.
MaRisk-Audit	Append-only Datenbank-Log, auf Anfrage als signierter Export für die Revisions-Prüfung.
Trennung von Mandanten	Row-Level Security in der Datenbank, ein Token-Bucket pro Tenant. Keine Cross-Mandanten-Sicht möglich.