Nya penningtvättsregler för finansiella företag

Den 1 augusti 2015 trädde ett antal ändringar i lagen (2009:62) om penningtvätt och finansiering av terrorism (PTL) ikraft. De nya reglerna är baserade på uppdaterade rekommendationer från FATF (Financial Action Task Force) som kom 2012. Antalet ändringar i penningtvättsregelverket är begränsade, men får ändå relativt stora konsekvenser för verksamhetsutövare.

Finansinspektionen (FI) har beslutat om ändringar i Finansinspektionens föreskrifter och allmänna råd (FFFS 2009:1) om åtgärder mot penningtvätt och finansiering av terrorism (Föreskrifterna) med anledning av de nya lagbestämmelserna. Reglerna träffar som tidigare bolag som står under FI:s tillsyn.

Ändringarna i Föreskrifterna har genomförts i två steg. I första steget togs regler i Föreskrifterna, som numera finns i PTL, bort. Det skedde den 1 augusti i år för att undvika överlappning mellan Föreskrifterna och PTL. Därefter har vissa nya regler införts som främst är hänförliga till företagens riskbedömning och hantering av personer i politiskt utsatt ställning (PEP). Dessa nya regler träder ikraft idag, den 1 december 2015, och sammanfattas. Även de ”nya” PTL reglerna berörs till viss del.

Riskbedömning och rutiner för riskbedömningen
Företagen ska kartlägga och bedöma riskerna för penningtvätt och finansiering av terrorism i den egna verksamheten. Denna riskbedömning ska hållas uppdaterad. Enkelt uttryckt innebär detta att företaget ska ha analyserat och förstått vilka risker som det utsätts för.

FI inför även regler där det framgår hur riskbedömningen ska göras. Den ska göras utifrån företagets verksamhet, omfattning och komplexitet. Analysen ska utgå från kunderna, produkterna, tjänsterna, och andra faktorer såsom distributionskanaler och geografiska områden. Uppräkningen i föreskrifterna är delvis exemplifierande. Kunder, produkter och tjänster ska alltid finnas med i riskbedömningen, medan andra faktorer, såsom distributionskanaler och geografiska områden, är exempel på sådant som också ska inkluderas i bedömningen, om de är relevanta. Det kan även finnas andra områden som blir relevanta för det specifika företaget.

Genom de nya reglerna i Föreskrifterna förtydligas också att företaget ska ha rutiner för hur det gör riskbedömningen. Rutinerna ska utvärderas åtminstone årligen och uppdateras när det behövs.

Större krets PEP:ar blir föremål för skärpta åtgärder
Reglerna om PEP:ar ändras också, dels beträffande definitionen, dels i fråga om vilka PEP:ar som ska bli föremål för skärpta åtgärder. Definitionen av PEP omfattar numera personer som har, eller de senaste 18 månaderna har haft, en viktig offentlig funktion i en stat eller i ledningen i en internationell organisation, oavsett om personen ifråga är bosatt utomlands eller inte. Den tidigare definitionen, som fanns i Föreskrifterna, har ändrats och flyttats till PTL. Den nya definitionen omfattar inte längre närstående eller kända medarbetare (även om reglerna om skärpta åtgärder enligt särskilda stadganden ska omfatta dem med). I praktiken innebär detta att skärpta åtgärder för att uppnå kundkännedom ska vidtas exempelvis avseende samtliga riksdagsledamöter och deras familjemedlemmar och kända medarbetare.

Med ”skärpta åtgärder” i förhållande till PEP:ar avses sedan tidigare bl.a. att ta reda på var kundens pengar kommer ifrån, att ha skärpt fortlöpande uppföljning av affärsförbindelsen och att inhämta godkännande från behörig beslutsfattare hos inom företaget innan en transaktion genomförs.

Företagen ska vidta åtgärder för att avgöra om kunden eller dess verklige huvudman är en PEP enligt PTL. FI har i Föreskrifterna utvecklat vad detta innebär på så sätt att företagen ska inhämta tillförlitliga uppgifter om en kund eller dess företrädare är PEP. Enligt Föreskrifterna kan uppgifterna inhämtas antingen från kunden själv, från en extern källa eller på annat sätt. Vad gäller externa källor noteras i propositionen till PTL (prop 2014/15: 80, s. 24) att även om verksamhetsutövaren inte bör förlita sig helt på externa källor, så kan sådana källor ändå ge användbar information, inte minst för att verifiera eller komplettera erhållen information. Det är i detta sammanhang av intresse att notera att FI inte gör samma kvalificering av hur information från externa källor bör användas utan anger externa källor och kunden som alternativa sätt att inhämta information. Mot bakgrund av uttalandet i propositionen är det vår uppfattning att det kan vara förenat med viss risk att förlita sig enbart på externa källor för att utröna om kunden eller en verklig huvudman är PEP.

Behandling av personuppgifter
Det har också införts nya regler i PTL om behandling av personuppgifter. Dessa innebär att känsliga uppgifter endast får behandlas om det är nödvändigt för att bedöma om en person är en PEP, eller för att uppfylla kraven på att bevara uppgifter om kundkännedom och om granskning och analys av transaktioner, samt slutligen för att uppfylla granskningsskyldigheten. Utöver de specifika regler som finns i PTL är personuppgiftslagen (1998:204) tillämplig.

Kontroller gjorda av utomstående
Tidigare har företagen kunnat förlita sig på uppgifter som exempelvis en bank har inhämtat. Detta är fortfarande möjligt, men nu behöver verksamhetsutövaren också faktiskt ta del av de uppgifter om kunden som den utomstående har inhämtat. Det räcker alltså inte som tidigare att konstatera att någon har inhämtat uppgifter och fastställa att det går att få ta del av dessa utan dröjsmål.

FI:s regler om grundläggande åtgärder
FI inför även ett krav på att vidta vissa åtgärder för kundkontroll för de kunder som undantas från grundläggande åtgärder enligt PTL (exempelvis svenska myndigheter och börsföretag). Uppgifter som ska inhämtas är namn, personnummer eller motsvarande (exempelvis organisationsnummer) och adress som även ska kontrolleras mot externa register.

Dokumentation
Företagen får nu även ett mer omfattande krav på sig att dokumentera och bevara uppgifter om granskning och analys av transaktioner som har gjorts, och som har medfört misstanke för att pengar tvättas eller att terrorism finansieras. Uppgifterna ska bevaras i fem år.