EU:s nya AML-paket är en välkommen och nödvändig utveckling i kampen mot penningtvätt och finansiering av terrorism. AML-förordningens högre krav på kundkännedom och snabbare hantering av misstankar kommer att bidra till ett mer effektivt förhindrade av finansiell brottslighet. För att lyckas krävs det dock att företag investerar i rätt teknik, utbildar sin personal och har en proaktiv inställning till riskhantering. Med en tydlig AML-strategi, ändamålsenliga förberedelser och IT-verktyg kan företag inte bara uppfylla kraven utan även skapa konkurrensfördelar. Därför är AML-förordningen kritisk för samhället och en nyckel för att stärka förtroendet och transparensen för den finansiella branschen i stort, säger Ronny Gustavsson.
I senaste numret av ComplianceNytt listades ”AML” (Anti-Money Laundering) som ett av de hetaste områdena inom compliance för året 2025. AML-förordningen som träder i kraft i juli 2027 ligger just nu på de allra flestas bord i den finansiella sektorn. Samtidigt finns det när man läser mellan raderna en tendens till ’AML-trötthet’ efter många års regulatoriska förändringar. Det finns finansiella institut som fortfarande arbetar med att så att säga komma i kapp, och ett viktigt råd i och med den nya förordningen är att inte ta med sig gamla regelefterlevnadsbrister in i det kommande implementeringsarbetet.
Som utgångspunkt, men också för att väcka de eventuellt compliance-trötta, är det oerhört viktigt att sätta AML-förordningen i en kontext. Myndighets- och forskningsrapporterna om utvecklingen av den kriminella ekonomin duggar tätt. Det finns ett enormt behov för finansiella bolag att förstå vad som sker inom den globala organiserade brottsligheten och vad det innebär för arbetet mot penningtvätt men också finansiell brottslighet i vidare mening, inklusive bedrägerier och korruption.
En klarare syn på anledningen
Vi är på väg mot en tsunami, men det är inte en regelverkstsunami som bekant myntats av en svensk bank-vd. Det är en tsunami i form av den femte vågens organiserade brottslighet på global nivå som pekar rakt mot en kriminell guldålder, enligt de rapporter som extrapolerat den utveckling som vi ser nu och framåt i tiden mot år 2040. Utvecklingen rör sig redan exponentiellt från cyberbrott mot ytterligare skalbarhet med hjälp av AI. Open payments, snabbare transaktioner, krypto, big data och molntjänster innebär nya sårbarheter och sporrar dynamiska samarbeten mellan kriminella nätverk, nya svarta marknader för högteknologisk brottslighet som tjänst (high-tech crime as a service).
Samtidigt pågår ett slags konsolidering av den organiserade brottsligheten som tar form genom hypersammankopplade kriminella supernav i Dubai och Marbella. Därifrån styrs och bedrivs brottsligheten i hybridform, det vill säga både på distans och digitalt (bedrägerier, cyberbrott, utpressning mm), och i form av fysisk handel med t.ex. narkotika och vapen. Utifrån ett svenskt perspektiv är detta ingen nyhet. Svenska kriminella gäng är redan en integrerad del av den infrastrukturen. I sammanhanget är det viktigt att vara varse om att Sverige nu ligger på plats 24 av 44 länder i Europa enligt Organised Crime Index, med en negativ utveckling sett i ’criminality score’. Positivt är att vår motståndskraft bedöms som god, med en viss negativ rörelse där vi nu befinner oss på plats 13 av 44. Det är denna realitet som torde vara utgångspunkten i alla resonemang om AML-compliance som behöver föras, nämligen förmågan att strypa penningtvätten för att stoppa brottsligheten. Det är dramatiska verb för en dramatisk realitet.
Den europeiska unionen har tagit ett betydande steg framåt i kampen mot penningtvätt och finansiering av terrorism genom att introducera sitt nya AML-paket (Anti-Money Laundering). Paketet består av en ny förordning som blir direkt tillämplig i hela EU, etableringen av en europeisk tillsynsmyndighet och en harmonisering av grundläggande delar inom AML, såsom KYC (Know Your Customer)-inhämtning. Denna utveckling kommer att gynna finansiella företag som verkar över nationsgränser inom EU och samtidigt skärpa kraven på kundkännedom och reaktionsförmåga vid misstanke om penningtvätt.
Enhetliga Regler och Fördelar för Finansiella Företag
Ett av de främsta målen med det nya AML-paketet är att minska den fragmenterade tillsynen inom EU. Genom att harmonisera reglerna för grundläggande AML-processer såsom KYC och transaktionsmonitorering, behöver finansiella företag inte längre navigera genom olika nationella tolkningar av EU-direktiv. I framtiden får företag som verkar i flera länder i EU därför en mer förutsägbar efterlevnadsmiljö och därmed en minskad administrativ börda.
En gemensam europeisk tillsynsmyndighet kommer också att erbjuda tydligare vägledning och skapa en jämnare spelplan för marknadens aktörer, vilket kommer kunna minska risken för snedvriden konkurrens och bidra till att säkerställa att höga standarder efterlevs över hela unionen. För finansiella aktörer innebär det nya regelverket att de kan implementera en mer enhetlig och skalbar AML-strategi.
AML-förordningen kommer innebära skärpta åtgärder på kundkännedom och förändrade krav på utredning av verklig huvudman. Därtill inkluderas internationella sanktioner vilket blir en tydlig central del i AML/CTF-arbetet. Ytterligare minimi-tillfällen då fördjupad kundkännedom (EDD) måste tillämpas, särskilda högriskscenarion för TM kommer behövas, och det tillkommer vidare att kunder med tillgångar över 50M EUR ska särbehandlas. Vidare ges medlemsstaterna, AMLA och kommissionen framöver mandat att definiera fler högrisksektorer.
De ökade kraven på kundkännedom bedöms vara en av de mest betydande förändringarna i det nya AML-paketet. Finansiella företag kommer att behöva samla in mer detaljerad information om sina kunder och vara beredda att uppdatera denna information på löpande basis. Detta sker redan idag men kraven blir mer detaljerade. Det handlar inte bara om att ha rätt information från början, utan även om att övervaka förändringar i kundens beteende och affärsförbindelser. Regelverket ställer också högre krav på skyndsamhet vid misstanke om penningtvätt. Företag måste kunna identifiera och rapportera misstänkta transaktioner i realtid eller nära nog, vilket förutsätter effektivare interna processer och högre krav på tekniska lösningar.
En ytterligare viktig nyhet att ta fasta vid är att även att oförmåga att utföra KYC kan utgöra grund för rapportering. Prioritering av larm kommer tillåtas uttryckligen utifrån ett antal datapunkter, vilket är värt att beakta också som en effektiviseringspotential givet långt pågående problematik med falska positiva larm. En tidsfrist för rapportering etableras också i och med förordningen, där regeln blir fem arbetsdagar i normalfallet men i brådskande ärenden kan det sänkas till 24h av FIU. I praktiken kommer det innebära krav på någon form av jourarbete.
Bredare kompetenser utöver juridiken behövs
Erfarenheten visar att en strikt regulatorisk tolkning utan operationell förståelse ofta leder till suboptimala lösningar. Regelverkens intentioner kan missas, och implementeringar riskerar att bli ineffektiva, dyra eller rent av kontraproduktiva. Det är också tydligt att verksamheter idag i vissa fall fortfarande har utmaningar med befintliga regelverkskrav, och därmed kommer att ta med sig sina regelefterlevnadsbrister in i kommande implementeringsarbete.
Den ökade komplexiteten i både regelverket och brottslingarnas metoder kräver att finansiella företag utvecklar en djupare förståelse för modus operandi för penningtvätt. Kriminella nätverk använder allt mer sofistikerade metoder för att dölja sina spår, vilket gör att AML-funktioner måste hålla sig uppdaterade om nya trender och risker. Enligt AML-förordningen kommer också en något utökad lista över källor (SNRA, NRA, sektorsspecifika RA samt “relevant information från internationella normgivare samt kommissionen eller AMLA) samt tillägg att kundbasen ska ingå i bedömningen.
Utvecklingen pekar som ovan kort beskrivet bara åt ett håll, vilket gör det än mer kritiskt att med hjälp av mer och bättre data, skala upp kapaciteten att uppnå nödvändig fördjupad kundkännedom, uppbackat av klusteranalyser som kan knäcka den alltmer tech-drivna och uppskalade brottslighet som vi står inför.
Ökade krav kommer driva på behovet att automatisera
I det fortsatta arbetet framåt, är en bredare kompetens avgörande och förutsätter en mer proaktiv inställning till utbildning inom AML-området. Företag måste se till att deras anställda inte bara förstår de nya reglerna, utan även vet hur de ska tillämpas i praktiken och vilka riskindikatorer de ska vara uppmärksamma på. Den ökade detaljregleringen genom AML-förordningen innebär ofrånkomligen att företag kommer behöva hantera större mängder data, ha större analyskapacitet och en snabbare rapportering. Det betyder vidare en rörligare och mer anpassningsbar riskklassificering.
Dessa förändringar bör ses i ljuset av potentialen att automatisera olika processer. Bankernas AML-avdelningar har växt exponentiellt på senare år, och det råder brist på erfarna och kompetenta resurser på marknaden. Det är orimligt att anta att compliance-avdelningar kan fortsätta att växa i termer av antal anställda på samma sätt som under senare år.
De ökade kraven kommer kräva nya arbetssätt. De flesta finansiella aktörer arbetar med komplexa IT-miljöer, där AML-system måste kunna kommunicera smidigt med andra system inom tex CRM, transaktioner, depåer, konton, krediter och rapportering. För att uppnå detta krävs en teknisk förståelse för API:er, dataintegration och systemarkitektur. En ineffektiv integration kan leda till att kritiska AML-processer blir fördröjda, inte får de data-uppgifter som krävs eller att viktig information inte flödar korrekt mellan de olika systemen.
För att kunna lyckas med implementeringen av AML-förordningen, behöver finansiella institut kombinera kunskap om tekniska processflöden med operationell och regulatorisk expertis och bygga system som inte bara är kompatibla med regelverket, utan som också möjliggör automatiserad övervakning och analys av transaktionsdata. AI och maskininlärning erbjuder stora möjligheter att identifiera avvikande mönster i realtid. Automatiserade verktyg för KYC-inhämtning och riskbedömning kommer att spela en viktig roll för att säkerställa regelefterlevnad och effektivt motverka penningtvätt.
Att ha tillgång till korrekta och uppdaterade data möjliggör inte bara bättre övervakning utan ger även företagen en möjlighet att agera snabbt vid misstänkta transaktioner. Systemintegration och ytterst datakvalitet kommer i nästa steg vara kritiska faktorer. Därför kan AML-förordningen bli den trigger som behövs för att jobba smartare inom AML.
