Nuvarande lagstiftningsramverk
Regelverket inom penningtvätt har sedan länge haft en stark internationell prägel och är till stor del harmoniserad inom EU. Den primära lagstiftningen i Sverige består av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (”penningtvättslagen”) samt lagen (2014:307) om straff för penningtvättsbrott. Genom penningtvättslagen införlivades EU:s fjärde och femte penningtvättsdirektiv i svensk lagstiftning. Penningtvättslagen är tillämplig på verksamheter inom en rad branscher, bland annat bank och finans, värdepappersrörelser, försäkringsbolag, fastighetsmäklare samt företag verksamma inom spelverksamhet. Lagen ställer krav på att verksamheter fastställer riskprofilen hos sina kunder och affärskontakter genom åtgärder för kundkännedom (s.k. ”KYC – Know-Your-Customer”) såväl innan en affärsrelation inleds som löpande under affärsrelationen. Riskprofilen styr sedan kraven på återkommande aktiviteter för kundkännedom i syfte att upptäcka och förhindra brott mot penningtvättslagen.
Redan idag utgör penningtvättslagens krav på kundkännedom och riskbedömningar en utmaning för många verksamheter som träffas av lagstiftningen. I min roll som bolagsjurist har jag på nära håll sett hur ett stort inflöde av kundinformation utan systemstöd snabbt blir ett problem såväl ur ett resurs- som dataskyddsperspektiv. Trots att det från EU:s håll finns en uttalad förhoppning om minskad regelkomplexitet på sikt, ökar nu den omedelbara regelbördan för omfattade verksamheter och kraven på effektivt och ändamålsenligt systemstöd kommer att öka i takt med att större mängder information ska hämtas in och dokumenteras.
EU:s nya lagstiftningspaket
Den nu gällande penningtvättslagstiftningen baseras på EU-direktiv och medlemsstaterna har därför getts viss frihet vid implementeringen av densamma i nationell rätt. Det har resulterat i nationella skillnader med ojämn tillämpning av regelverket som följd. I och med det nya lagstiftningspaket som träder i kraft under nästa år kommer nu samtliga EU länder att arbeta efter en och samma enhetliga lagstiftning inom penningtvättsområdet, en s.k. ”Single Rulebook”. Paketet innehåller två förordningar och ett direktiv:
- Penningtvättsförordningen (Anti Money Laundering Regulation – AMLR) – Innehåller förändrade, detaljerade och utökade bestämmelser för bekämpande av penningtvätt. Förordningen har direkt effekt inom alla medlemsstater från och med juli 2027.
- Sjätte penningtvättsdirektivet (AMLD6) – Innehåller regler för nationellt arbete och överstatligt samarbete mot penningtvätt. Direktivet måste implementeras i nationell lagstiftning senast i juli 2027.
- AMLA-förordning för grundande av en gemensam EU-myndighet – Gäller sedan 2025 fullt ut och med förordningen grundades en ny myndighet inom EU (Anti Money Laundering Authority – AMLA) med säte i Frankfurt. Myndigheten är direkt tillsynsmyndighet för ett antal finansiella institutioner associerade med särskilt hög risk. Den stöttar även nationella tillsynsmyndigheter i arbetet mot penningtvätt.
I Sverige pågår just nu arbetet med att anpassa svensk lagstiftning till de nya EU reglerna, bland annat genom förslag på en ny penningtvättslag.
Vad betyder de nya reglerna för er?
Fler omfattas
Den nya förordningen utökas till att bland annat omfatta sektorn för kryptotjänsttillgångar, företag som tillhandahåller konsumentkrediter men som inte klassificeras som bank eller annat finansiellt institut (exempelvis e-handelsaktörer som erbjuder ”Köp nu – Betala senare”- lösningar i egen regi samt plattformar som jämför och förmedlar konsumentkrediter) samt gräsrotsfinansieringstjänster (s.k. crowdfunding). Även fotbollsklubbar och spelaragenter omfattas vid vissa typer av transaktioner.
Skärpta krav på kundkännedom
Med penningtvättsförordningen införs enhetliga och betydligt mer detaljerade krav på kundkännedom jämfört med de mer generella krav som uppställs idag. Bland annat införs ett helt nytt, och mycket detaljerat, kapitel med EU-gemensamma bestämmelser avseende identifiering och dokumentation av verkliga huvudmän, exempelvis krav på mer detaljerad kartläggning av ägandestrukturer och ägandeintressen, samt på dokumentation av slutsatserna från sådana kartläggningar. Förordningen ställer även krav på att verksamheter rapporterar in identifierade avvikelser mellan informationen i de nationella registren för verklig huvudman och den information verksamheten tagit fram genom sina egna kontroller.
Utöver detta införs ytterligare regler avseende dokumentation av affärsförhållandet samt den löpande bevakningen av transaktioner och affärskontakter.
Nya tröskelvärden
Det införs också nya sänkta tröskelvärden för när det ska vidtas åtgärder för kundkännedom. För enstaka transaktioner sänks tröskeln för krav på åtgärder för kundkännedom från motsvarande € 15 000 till € 10 000. Förordningen kräver vidare att företag systematiskt screenar kunder mot EU:s sanktionslistor som del av åtgärderna för kundkännedom samt identifierar och kontrollerar huruvida kunder och affärskontakter träffas av riktade finansiella sanktioner.
En annan nyhet är skärpta regler för särskild kundkännedom för kreditinstitut och andra finansiella institut när de inom ramen för en affärsförbindelse hanterar tillgångar med ett värde på minst € 5 miljoner, eller tillhandahåller individanpassade tjänster för en kund som innehar totala tillgångar med ett värde på minst € 50 miljoner.
Exakt vilka krav som ställs på åtgärderna för kundkännedom ska konkretiseras senast den 10 juli 2026 genom riktlinjer publicerade av AMLA.
AI tar en allt viktigare roll
De flesta verksamheter som idag träffas av penningtvättsregelverket använder sannolikt redan idag någon form av systemstöd. Men dessa kommer att behöva utvecklas och stärkas för att möjliggöra en säker och resurseffektiv regelefterlevnad av de nya reglerna. Inte minst kommer användandet av AI att spela en allt viktigare roll framöver, exempelvis vad gäller löpande bevakning och rapportering av avvikelser. I dagens snabba digitala affärsmiljö räcker det ofta inte att vidta åtgärder, till exempel att stänga av kunder och system, efter att en avvikelse identifierats. Transaktioner går blixtsnabbt, inte minst inom kryptovalutaområdet. Åtgärder behöver därför ofta ske i realtid utifrån löpande analys och bedömningar stöttat av AI funktionalitet.
Krav på den interna organisationen – Penningtvättslagen tar utgångspunkt i ett riskbaserat perspektiv när det gäller kraven på hur det interna arbetet mot penningtvätt ska bedrivas och hur den interna organisationen ska vara uppbyggd. Den nya penningtvättsförordningen ställer nu upp konkreta och enhetliga krav på såväl interna styrdokument och arbetssätt som organisation. Bland annat ställs krav på utnämnandet av en regelefterlevnadschef med ansvar för att tillse regelefterlevnad på ledningsgruppsnivå, samt en regelefterlevnadsansvarig med tillräckligt hög ställning i den interna hierarkin för att effektivt kunna ansvara för det dagliga arbetet med regelefterlevnad inom området. Förordningen tillåter att dessa två funktioner innehas av samma person om det kan anses vara motiverat med hänsyn till risknivån i verksamheten.
En ytterligare nyhet är krav på att kompetensen, expertisen samt anseendet, integriteten och omdömet hos de som jobbar aktivt med penningtvättsfrågor i ett företag bedöms och säkerställs, såväl innan personen i fråga påbörjar sina arbetsuppgifter som löpande under arbetets gång.
Slutligen ställer förordningen krav på att en oberoende granskningsfunktion inrättas för att granska det interna ramverket och regelefterlevnaden.
Även avseende de interna kraven väntas mer detaljerade riktlinjer publiceras av AMLA senast den 10 juli 2026.
Hur vi på Forefront kan hjälpa er
Vi på Forefront har unika förutsättningar att hjälpa er såväl med att bedöma huruvida och på vilket sätt det nya lagstiftningspaketet träffar och påverkar er verksamhet som med att utveckla tekniska lösningar för att säkerställa effektiv regelefterlevnad. Tillsammans med våra jurister kan våra utvecklare och experter inom AI hjälpa er att utveckla moderna och effektiva systemstöd, skräddarsydda utifrån just era förutsättningar. Hör gärna av er och berätta om er utmaning.
