Bankfokus Nr 2, 2019

Snabb utveckling av penningtvättsregelverket

2009 kom tredje penningtvättsdirektivet - en milstolpe jämfört med tidigare regelverk. Då infördes det riskbaserade förhållningssättet som ställde en helt ny sorts krav på bankerna och de andra verksamhetsutövarna. Sedan dess har regelverket ändrats flera gånger. Kraven som ställs har blivit allt mer detaljerade och komplexa. Här listar Bankföreningens penningtvättsexpert Sara Ekstrand de viktigaste förändringarna.

Den första svenska penningtvättslagen, som genomförde EU:s första penningtvättsdirektiv, trädde i kraft 1993 och innehöll de grundläggande kraven för arbetet mot penningtvätt, vilka finns kvar i den nuvarande penningtvättslagen. 1993 års lag innehöll förbud för bankerna och de andra verksamhetsutövarna att medverka till transaktioner som kan misstänkas utgöra penningtvätt. Identiteten på alla kunder och på den som företräder kunder skulle kontrolleras, och underlagen för kontrollerna sparas tills fem år efter kundförhållandets slut.

 

1993

I 1993 års lag ställdes också krav på att alla omständigheter som kan tyda på penningtvätt ska rapporteras till Polismyndigheten och det fanns ett förbud att röja för utomstående att en granskning genomförts eller att rapportering gjorts till Polismyndigheten. Verksamhetsutövarna skulle ha interna rutiner för att förhindra att verksamheten utnyttjas för penningtvätt. Personalen skulle få regelbunden utbildning och information.

Regelverket från 1993 har därefter utvidgats på olika sätt; dels har kundkännedomskraven och kraven på andra åtgärder ökat, dels har regelverket utvidgats till att omfatta fler typer av verksamhetsutövare.

2009

2009 genomfördes EU:s tredje penningtvättsdirektiv i en ny svensk lag mot penningtvätt som nu också omfattade terrorismfinansiering. Samtliga krav som framgick i den tidigare lagen ingick i den nya, som dessutom byggdes på med ytterligare krav.

Verksamhetsutövaren ska nu uppnå kundkännedom om alla kunder. Kundkännedomsåtgärderna ska anpassas till den risk för penningtvätt och terrorismfinansiering som kunden bedöms medföra, vilket innebär att lagen blev uttryckligen riskbaserad.

När risken inte är låg ska kundkännedomsåtgärderna, förutom identifiering av kunden och kundens företrädare, bestå av att utreda kundens kontroll- och ägarstruktur och kontrollera den verkliga huvudmannens identitet samt inhämta information om affärsförbindelsens syfte och art. Om risken är låg kan förenklade åtgärder för kundkännedom vidtas.

Om risken är hög ska istället skärpta åtgärder vidtas. Om inte omständigheterna i det enskilda fallet indikerar annat ska risken antas vara hög till exempel när affärsförbindelser inleds på distans och när kunden är en person i politiskt utsätt ställning bosatt i utlandet. Risken ska alltid bedömas vara hög för produkter eller transaktioner som underlättar anonymitet.

Om kundkännedom inte uppnås får affärsrelationen inte inledas. Affärsförbindelsen ska löpande följas upp och handlingar, uppgifter och upplysningar om kontrollerna ska hållas aktuella. Anonyma konton förbjuds.

Verksamhetsutövaren ska ha rutiner och vidta åtgärder för att skydda personalen för de hot som kan uppstå i samband med utförandet av lagens krav.

De utökade kundkännedomskraven infördes retroaktivt, vilket innebar att de skulle tillämpas inte bara på nya kunder utan även på befintliga kunder.

2014 infördes regler om dispositionsförbud i 2009 år lag, vilket innebar att en verksamhetsutövare, efter beslut av Polismyndigheten, ska frysa tillgångar under två arbetsdagar i avvaktan på åklagares beslut om penningbeslag.

2015

2015 infördes ytterligare krav i 2009 års lag. Verksamhetsutövaren ska nu kartlägga och bedöma riskerna för penningtvätt och terrorismfinansiering i verksamheten i en dokumenterad riskbedömning. För alla kunder ska det utredas om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning. I så fall ska vissa definierade åtgärder för skärpt kundkännedom vidtas, oavsett var kunden eller den verkliga huvudmannen är bosatt.

Förutom produkter eller transaktioner som kan underlätta anonymitet ska även nya produkter och affärsmetoder samt användningen av ny teknik anses medföra hög risk. Även vid denna lagändring infördes de nya kundkännedomskraven retroaktivt.

2017

Genom 2017 års penningtvättslag utökades kraven ytterligare i enlighet med fjärde penningtvättsdirektivet. Det infördes krav på att en riskbedömning ska göras för varje enskild kund och att kundens riskprofil löpande ska följas upp. Ett antal faktorer som kan indikera hög respektive låg risk specificeras i lagtexten. Krav införs på att verksamhetsutövarna ska ha rutiner för att lämplighetspröva särskilt utpekade personalkategorier.

Om verksamhetsutövaren inte kan upprätthålla tillräcklig kundkännedom för att kunna hantera risken med kunden ska kundförhållandet avslutas. Kundkännedomskraven utvidgades med krav på att kontrollera om kunden är etablerad i ett land utanför EES som av EU-kommissionen identifierats som ett högrisktredjeland. Samtliga kundkännedomskrav ska uppfyllas på alla kunder, men omfattningen av åtgärderna för att uppfylla kraven kan variera beroende på den risk kunden bedöms medföra.

Verksamhetsutövare får nu möjlighet att hantera personuppgifter om lagöverträdelser, något som inte varit möjligt tidigare och som begränsat möjligheterna att arbeta riskbaserat. Lagen uppställer krav på intern kontroll och på inrättade av särskilda funktioner med ansvar för att se till att lagens krav genomförs och att uppföljning sker. Samtidigt infördes ett nationellt register över verkliga huvudmän.

Genom det fjärde penningtvättsdirektivet infördes också krav på riskbedömningar både på nationell nivå och gemenskapsnivå.

2017 publicerade de europeiska tillsynsmyndigheterna riktlinjer om vilka riskfaktorer som ska beaktas och vilka åtgärder som ska vidtas vid förenklade respektive skärpta åtgärder för kund­känne­dom.

Det fjärde penningtvättsdirektivet reviderades redan innan det hade trätt i kraft. Ändringsdirektivet innehåller bland annat krav på nationella centrali­se­rade automatiska mekanismer, till exempel cen­trala bankkontoregister eller centrala elektro­niska datasök­system, för att Finanspolisen snabbt ska kunna få reda på var personer och företag har bankkonton.

Europaparlamentet har i en rapport i mars 2019 ansett att medlemsstaternas implementering av penningtvättsdirektivet inte är tillräckligt bra samt att den nationella tillsynen är för dålig. Parlamentet föreslår därför ett antal ändringar. Bland annat föreslås att direktivet ersätts med förordningar, som har direkt effekt i medlemsländerna. Då skulle man inte behöva vänta den tid det tar att genomföra reglerna i nationella lagstiftningar. Parlamentet vill också att det införs en ”unexplained wealth control mechanism”, det vill säga att personer som kan antas ha anknytning till allvarlig brottslighet ska vara tvungna att redogöra för sina tillgångar och hur de har skaffat sig dem.   

 

Bankfokus NR 2 • JUNI 2 0 1 9