AMLR höjer kraven på banker – från rimliga bedömningar till bevisbar risk
I går
Den ökande komplexiteten i finansiella flöden driver fram ett nytt europeiskt regelverk för penningtvättsbekämpning. Med EU:s nya AML-förordning (AMLR), som träder i kraft i juli 2027, och det uppdaterade direktivet AMLD6, skärps kraven på hur banker identifierar, bedömer och hanterar risker kopplade till penningtvätt och finansiering av terrorism.
För bankerna innebär detta inte bara nya regler, utan ett grundläggande skifte i synen på risk, ansvar och bevisföring. Vad innebär förändringen i praktiken – operativt, organisatoriskt och i styrelserummet och varför bör anpassningen påbörjas redan nu?
En riskmiljö som har blivit snabbare, större och svårare att överblicka
Dagens riskbild för bankers penningtvättsarbete präglas av tre faktorer: omfattning, tempo och sofistikering. Transaktionsvolymerna ökar, affärsmodellerna blir mer komplexa och allt fler flöden passerar flera jurisdiktioner på kort tid. Samtidigt använder brottslingar just volym, hastighet och strukturell komplexitet för att dölja mönster och försvåra analys.
Riskbilden förstärks ytterligare av bristande insyn i ägarstrukturer, företagskopplingar och verkligt huvudmannaskap. När information inte är tillförlitligt verifierbar blir processen både mer tidskrävande och mer sårbar.
”Ett av de mest riskfyllda områdena historiskt har varit bristen på verifierbar information om ägarstrukturer. När man inte kan kontrollera uppgifterna på ett tillförlitligt sätt ökar risken för både felbedömningar och avsiktlig vilseledning,” säger Teemu Kettula, Nordic Compliance Stream Lead på Enento Group.
Mot denna bakgrund ser tillsynsmyndigheter som EBA, FATF och den nya EU-myndigheten AMLA komplexa produkter och stora transaktionsvolymer som tydliga riskförstärkare – särskilt i miljöer där kontroller är fragmenterade, alltför regelbaserade eller svagt integrerade.
Ett regelverk format av riskerna
Det är denna förändrade riskmiljö som ligger till grund för EU:s reform av AML-regelverket. I dag bygger bankers skyldigheter i huvudsak på direktiv som införs och tolkas nationellt, vilket har lett till olika krav, datamodeller och tillsynspraxis inom EU; med höga integrationskostnader som följd, särskilt för banker med gränsöverskridande verksamhet.
”Tidigare har direktiven lämnat stort utrymme för lokala tolkningar. Med AMLR minskar tolkningsutrymmet kraftigt eftersom förordningen blir direkt tillämplig i hela EU,” förklarar Teemu Kettula.
Från juli 2027 etableras ett mer harmoniserat ramverk där AMLR anger gemensamma och mer detaljerade krav på bland annat:
- Kundkännedom (KYC)
- Metoder för identifiering och verifiering av fysiska personer och företag
- Skärpta metoder för identifiering och verifiering av verkliga ägare
- Identifiering och hantering av komplexa ägarstrukturer
Regelverket sänker tröskelvärden, inför fasta uppdateringsintervall och tydliggör när förstärkt kundkännedom krävs. Samtidigt blir kraven mer föreskrivande och mindre förhandlingsbara i tillsynssammanhang.
Från rimliga antaganden till verifierbar riskbedömning
En av de mest genomgripande förändringarna med AMLR är kravet på hur riskbedömningar ska utformas och motiveras. Det räcker inte längre att klassificera risker som ”rimliga” baserat på erfarenhet eller lokal marknadskännedom. Riskmodeller måste vara datastödda, strukturerade och möjliga att återskapa av en extern granskare.
”Det räcker inte att luta sig mot ett officiellt register och anta att informationen stämmer. Bankerna måste kunna visa vilket arbete som har gjorts, vilka källor som har använts och hur uppgifterna har analyserats och verifierats,” säger Teemu Kettula.
I praktiken innebär detta att riskbedömningar inte längre kan fungera som interna arbetsdokument. De blir tillsynsunderlag som måste visa:
- Vilka riskfaktorer som har identifierats
- Hur de har viktats
- Vilka kontroller som har genomförts
- Varför den kvarstående risken bedöms vara acceptabel
Ett tydligare, personligare och mer spårbart ledningsansvar
Med AMLR och AMLD6 flyttas ansvaret för penningtvättsrisker ännu tydligare upp till styrelse och högsta ledning. Att formellt godkänna policyer eller förlita sig på compliancefunktionens arbete är inte längre nog. Ledningen förväntas aktivt förstå, ifrågasätta och fatta informerade beslut om riskaptit, kontrollmiljö och riskklassificering.
”Ansvaret hamnar allt högre upp i organisationen. Styrelse och ledning behöver kunna känna sig trygga i att bedömningar och kontroller verkligen håller – eftersom konsekvenserna annars kan bli personliga,” konstaterar Teemu Kettula.
Beslut ska dokumenteras, avvikelser motiveras och resonemangen ska vara möjliga att följa i efterhand. Informella bedömningar och passivt godkännande accepteras i allt mindre utsträckning vid tillsyn.
När interna resurser inte längre räcker till
Samtidigt blir det allt svårare för banker att uppfylla de nya kraven med enbart interna resurser. AMLR höjer ribban för datakvalitet, metodik, teknik och styrning till en nivå som även resursstarka institutioner har svårt att helt bygga och förvalta själva.
”Jag tror inte att lösningen är att anställa fler analytiker. Utmaningen är snarare att arbeta smartare och ta hjälp av specialiserade aktörer som redan har data, modeller och strukturer på plats,” säger Teemu Kettula.
Inte minst eftersom AMLR och AMLD6 tydliggör att banker och andra så kallade obliged entities får dela relevant AML-information, såsom KYC-uppgifter och riskindikationer, i brottsförebyggande syfte, så länge delningen är proportionerlig, spårbar och förenlig med GDPR och endast används för att upptäcka och förhindra penningtvätt och terrorismfinansiering.
AML-efterlevnad blir därmed i ökande grad en fråga om tillgång till tillförlitliga datakällor, skalbara analysstöd och gemensamma standarder – inte enbart om intern kapacitet.
Varför anpassningen bör börja nu
Även om AMLR träder i kraft först 2027 kräver förordningen förändringar som tar tid att genomföra. Nya arbetssätt, nya tekniska lösningar och en gemensam förståelse i organisationen kan inte etableras i sista stund.
”Det här är en omfattande förändring. Bara att skapa en gemensam bild av vad som faktiskt förändras kan ta flera månader. Väntar man för länge, riskerar man att hamna på efterkälken,” säger Teemu Kettula.
Banker som påbörjar arbetet tidigt har bättre förutsättningar att gå från formell efterlevnad till verklig operativ motståndskraft när tillsynen skärps.
Hur UC kan stötta banker i AMLR-omställningen
Mot bakgrund av ökade krav på verifierbarhet, dokumentation och en risklogik som tål tillsyn hjälper UC banker att omsätta AMLR och AMLD6 till ett praktiskt, granskningsbart AML-arbete. Genom att kombinera tillförlitliga datakällor med strukturerade arbetsmetoder kan UC stödja banker i att:
- Stärka riskbedömningar
- Effektivisera KYC-processer
- Säkerställa revisionsklar dokumentation
- Fungera som en extern referenspunkt i ett mer harmoniserat europeiskt AML-landskap
Se när vår expert Peter Stier berättar mer om detta i denna video.
Sammanfattning och nästa steg
EU:s nya AML-regelverk ställer högre krav på transparens, datakvalitet och ledningsansvar än tidigare. Med AMLR lämnar banker lokala tolkningar och rimlighetsantaganden till förmån för harmoniserade, verifierbara riskmodeller som måste hålla för extern granskning inom hela EU.
För att lyckas krävs rätt data, tydliga strukturer och rätt stöd, och de banker som påbörjar anpassningen redan nu står betydligt starkare när tillsynen intensifieras.
Vill du veta mer om hur AMLR påverkar just din verksamhet? Besök vår AML-hub eller kontakta våra experter direkt.
%20--%3e%3csvg%20version='1.1'%20id='Lager_2_1_'%20xmlns='http://www.w3.org/2000/svg'%20xmlns:xlink='http://www.w3.org/1999/xlink'%20x='0px'%20y='0px'%20viewBox='0%200%20290%20122'%20style='enable-background:new%200%200%20290%20122;'%20xml:space='preserve'%3e%3cstyle%20type='text/css'%3e%20.st0{fill:%23FFFFFF;}%20%3c/style%3e%3cg%3e%3cg%3e%3cg%3e%3cpath%20class='st0'%20d='M86.78,16.82c-18.95-18.95-49.68-18.96-68.65,0C-0.82,35.77-0.82,66.51,18.14,85.46%20c9.46,9.46,21.87,14.2,34.28,14.21v20.14l34.07-34.07c0.09-0.09,0.19-0.19,0.29-0.28C105.74,66.5,105.73,35.77,86.78,16.82z%20M73.64,75.22c-11.99,10.59-30.37,10.59-42.37,0c-14-12.36-14.5-33.76-1.49-46.76c12.53-12.53,32.84-12.53,45.36,0%20C88.14,41.46,87.64,62.85,73.64,75.22z'/%3e%3cpath%20class='st0'%20d='M40.6,40.16c-5.66,6.1-5.66,15.83-0.01,21.94c6.26,6.77,16.83,6.92,23.29,0.46c6.31-6.31,6.31-16.54,0-22.84%20C57.42,33.25,46.87,33.4,40.6,40.16z'/%3e%3c/g%3e%3c/g%3e%3cg%3e%3cg%3e%3cg%3e%3cpath%20class='st0'%20d='M127.57,19.77c-4.88,0-8.85,3.97-8.85,8.85v35.35c0,21.79,16.25,36.44,40.42,36.44%20c24.27,0,40.58-14.64,40.58-36.44V28.62c0-4.88-3.97-8.85-8.85-8.85h-0.16c-4.88,0-8.85,3.97-8.85,8.85v33.61%20c0,13.47-8.07,20.89-22.72,20.89c-14.66,0-22.73-7.42-22.73-20.89V28.62C136.41,23.74,132.45,19.77,127.57,19.77z'/%3e%3cpath%20class='st0'%20d='M276.24,19.77h-32.49c-21.89,0-36.61,16.17-36.61,40.24c0,24.16,14.71,40.4,36.61,40.4h32.49%20c4.85,0,8.8-3.95,8.8-8.8v-0.16c0-4.85-3.95-8.8-8.8-8.8H245.5c-13.53,0-20.98-8.04-20.98-22.63s7.45-22.63,20.98-22.63h30.74%20c4.85,0,8.8-3.95,8.8-8.8S281.09,19.77,276.24,19.77z'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)