Skärpta FI-sanktioner, modellriskhantering och nya EBA-riktlinjer för onboarding av kunder på distans

 

Mitt i den snabba utvecklingen av regleringskrav brottas företag med ökande tryck för att uppfylla strikta standarder för bekämpning av penningtvätt (AML). Myndigheterna intensifierar sina granskningar och sanktioner och lämnar inget utrymme åt bekvämlighet.

Samtidigt presenteras nya regler inom AML från den Europeiska Bankmyndigheten (”EBA”).

Ett särskilt fokus har sedan ett par år legat på bland annat bokföringsbranschen, där regelefterlevnaden har varit och fortfarande är erkänt ojämn. Bolag i branschen sanktioneras på löpande band. För övriga typer av bolag gäller att anpassa sig till EBA:s nya regler om onboarding av distanskunder, vilka måste efterlevas från och med den 2 oktober 2023.

Detta blogginlägg belyser de viktigaste utvecklingarna som formar det svenska AML-landskapet och belyser tre viktiga fokusområden:

• Lärdomar från de senaste sanktionerna mot Finansinspektionen och råd om riskmitigering.
• Allmänna brister i riskbedömningen hos bokförings- och revisionsbyråerna.
• Hur man gör sig redo för EBA: s nya regler om onboarding av kunder på distans senast den 2 oktober.

 

Insikter från Finansinspektionens undersökning av Goobit Group: Iakttagelser kring modellriskhantering

I juni 2023 avslutade Finansinspektionen sin utredning av Goobit AB, en av de första kryptovalutabörserna i Sverige. Enligt Finansinspektionen har Goobit haft brister i sitt arbete mot penningtvätt och finansiering av terrorism.

Beslutet innefattar inte några egentligen nya regeltolkningar från myndigheten, men avhandlar brister som är vanligt förekommande i flera branscher. Framför allt avsnittet om ”modellriskhantering” är av intresse i många branscher.

Modellriskhantering i praktiken

Bolag som använder modeller (t.ex. viktade poängsystem för att riskklassificera kunder) ska inrätta rutiner för att hantera riskerna med modellerna. FI påminner om att modellen ska vara vederhäftigt utformad och valideras åtminstone årligen (eller oftare, t.ex. om en ny kundkategori tas in).

Vi rekommenderar våra kunder att analysera huruvida några av de metoder för t.ex. riskklassificering som används utgör modeller i penningtvättsreglernas mening, och vidtar tillhörande åtgärder för att uppfylla regelverkens krav på rutiner.

 

Sanktioner mot bokförings- och revisionsbyråer: hur förstärks den allmänna riskbedömningen?

Framför allt länsstyrelserna upprätthåller en hög takt i tillsynen över bokföringsbyråer. Revisorsinspektionen utövar tillsyn över revisorer. Ett antal sanktioner har meddelats det senaste kvartalet. En återkommande brist hos bolagen, vilket avspeglas i sanktionerna, gäller den allmänna riskbedömningen. Vissa risker utelämnas helt, eller är otillräckligt beskrivna. Med bristfälliga allmänna riskbedömningar blir även de praktiska åtgärderna som regel otillräckliga, eftersom de ska vara ”riskbaserade”.

Myndigheters förväntningar på de allmänna riskbedömningar har höjts väsentligt under de senaste åren, utan att reglerna samtidigt ändrats nämnvärt.

Vårt råd är att göra en översyn av er allmänna riskbedömning. Det förenklar både det praktiska AML-arbetet och minskar risken för sanktioner från myndigheterna.

 

Tillsyn hos valutaväxlare avslöjar compliancebrister

Finansinspektionen har initierat tillsynsärenden mot bland annat fem valutaväxlare. Fyra av dessa har nu valt att själva återkalla sina registreringar under pågående ärenden. Skälet är högst sannolikt (skälen har inte offentliggjorts) att väsentliga regelefterlevnadsbrister iakttagits. Branschen har en hög utsatthet för penningtvätt, samtidigt som bolagen, som ofta har mycket begränsade personalresurser, har svårt att efterleva alla AML-regler på ett tillfredsställande sätt.

 

Nya EBA-regler om onboarding av distanskunder: hur gör man sig redo senast den 2 oktober 2023?

Den Europeiska Bankmyndigheten har presenterat nya regler för hur verksamhetsutövare ska agera vid onboarding av distanskunder.

Reglerna är tillämpliga på följande kategorier: kreditinstitut, försäkringsföretag, fondförvaltare som marknadsför andelar, försäkringsförmedlare, samt ett antal typer av finansiella institut, och filialer till dessa. För en fullständig förteckning, se art. 3.1-3.2 i EU 2015/849, https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32015L0849

Reglerna får inverkan på en rad områden, och kräver uppdatering av följande dokument hos bolagen:

• Onboarding- och KYC-rutiner
• Utbildningsplan
• Allmän riskbedömning
• Outsourcingrutiner
• Operativa risker och tekniska risker
• Kontrollplan för regelefterlevnad
• Rutinbeskrivning för CFA
• Test- och utvärderingsplaner

Kraven är mycket detaljerade och långtgående. Reglerna har flera syften. Dels vill myndigheterna att bolagen själva ska vara säkra på att rätt person onboardas och att bedrägerier undviks, dels ska kunderna skyddas bättre genom förhöjd IT-säkerhet. Dessa centrala regler kompletteras med krav inom interna kontroller, utbildning etc. För bolag som redan använder BankID eller andra godkända avancerade elektroniska signaturer förenklas regelimplementeringen.

Eftersom reglerna kan kräva att nya system införs hos bolagen bör implementeringsprocessen påbörjas snarast. Som nämnts ovan träder reglerna i kraft i Sverige den 2 oktober 2023. EBA:s nya riktlinjer finns tillgängliga på svenska, se länk här.

 

Efterlev de svenska AML-kraven med Penneo KYC

Undertecknad har samarbetat med Penneo i utvecklingen av det legala ramverket för deras KYC-mjukvara, som är anpassat till de svenska AML-kraven.

Penneo KYC är nu tillgängligt i Sverige. Boka en personlig session med våra KYC-experter.

Friskrivningsklausul: Ansvarsfriskrivning: Denna artikel gäller AML-uppdateringar i Sverige. Var medveten om att landsspecifika skillnader finns om du har att göra med AML-efterlevnad i ett annat land än Sverige.