av

Strax efter semestern den 2 augusti 2017 föreslås det 4:e penningtvättsdirektivet träda i kraft vilket kommer att innebära nya utmaningar för aktörerna på marknaden. I denna artikel tänkte jag belysa några nyheter som detta direktiv föreslås innebära.

Det är nu över 25 år sedan det första penningtvättsdirektivet kom från EU. Den 15 mars 2009 införlivades det 3:e penningtvättsdirektivet i svensk lagstiftning vilket innebar en rejäl skärpning och som säkert många fortfarande kämpar med att uppfylla. Nu kommer det 4:e penningtvättsdirektivet som kommer att bli en ytterligare utmaning för aktörerna att nå upp till.

I denna artikel berör några av de nyheter som man kan finna i det 4:e penningtvättsdirektivet. Jag har valt att göra ett urval av ett par nyheter som direktivet innehåller. Min artikel ska därmed inte ses som en fullständig genomgång.

När man tar del av lagförslaget så inser man snabbt att lagstiftarna inte har varit särskilt fåordiga. Del 1 av propositionen är nämligen på hela 656 sidor och därutöver tillkommer diverse bilagor. En inledande iakttagelse är att lagförslaget är väsentligen omarbetat jämfört med den nuvarande penningtvättslagen (lag 2009:62).

En mängd mindre justeringar har skett i lagförslaget som exempelvis omformuleringar, en mer logisk ordning eller flyttade avsnitt. Lagstiftarna har i detta perspektiv nog haft ambitionen att presentera en bättre strukturerad och mer konsistent lag. Huruvida man lyckats med detta kan det nog finnas skilda uppfattningar om.

En stor del av de mindre justeringar som nämnts ovan förändrar dock inte andemeningen av den kommande lagstiftningen jämfört med nuvarande penningtvättslagstiftning. I den följande texten har jag valt att belysa några exempel där den nya lagen kommer att medföra större förändringar. När verksamhetsutövare nämns i den följande texten så avser detta i lagens mening de som omfattas av lagen.

 

Lagens tillämpningsområde

Som väntat så kommer verksamhetsutövare som tillhandahåller speltjänster och där denna verksamhet bedrivs med tillstånd eller registrering enligt lotterilagen (1994:1000), att omfattas av penningtvättslagstiftningen. Detta var en väntad förändring som varit föremål för diskussion under en längre tid. Idag är det endast kasinospel som omfattas av penningtvättslagstiftningen vilket i realiteten endast berört Kasino Cosmopol.

En annan kategori som också berörs är pantbanker vilka också kommer att omfattas av den kommande penningtvättslagstiftningen.

Idag omfattas även verksamhetsutövare av penningtvättslagstiftningen som bedriver yrkesmässig handel med varor mot kontant betalning med belopp på minst 15 000 euro. Gränsen 15 000 euro har länge ansetts vara väldigt hög då detta motsvarar ca 150 000 SEK. I det nya lagförslaget har gränsen justerats ned till 5 000 euro d.v.s. ca 50 000 SEK.

Utöver att beloppsgränsen har justerats för de som bedriver yrkesmässig handel med varor mot kontant betalning så har också lagen omformulerats till ”om det står klart eller är sannolikt att det i verksamheten eller en del av verksamheten genomförs eller kommer att genomföras transaktioner, enstaka eller sådana som kan antas ha samband, som innebär att utbetalt eller mottaget belopp i kontanter uppgår till motsvarande 5 000 euro”. Konsekvensen av detta är att en betydligt större krets kommer att omfattas av kommande penningtvättslagstiftningen.

Något man kan fundera över är att lagstiftaren skriver att man ska beakta om det är sannolikt att kunden i framtiden kommer att genomföra transaktion som har ett samband och som uppgår till den nya gränsen. Denna skrivning innebär att man ska gissa om framtiden och känns inte helt enkel att utöva.

Även värdetransportörer som tillhandahåller uppräkningstjänster har nämnts som bransch som kommer att omfattas av penningtvättslagstiftningen. Dock om man studerar den kommande penningtvättslagen så återfinns inte dessa under avsnittet lagens tillämpningsområde. Dock verkar det som att dessa sannolikt kommer att omfattas av penningtvättslagstiftningen genom den omarbetade betaltjänstlagstiftningen som ska vara införd 2018 01 08.

 

Definitioner

Kund begreppet är en smula justerat i det nya lagförslaget och man har lagt till skrivningen ”den som trätt in i avtalsförbindelse med verksamhetsutövaren eller står i begrepp att träda i avtalsförbindelse”. Man ska alltså betraktas som kund redan när avsikten är att man ska bli det men ännu inte ingått i en avtalsförbindelse.

Avseende PEP (Politically Exposed Person) så har detta begrepp utökats såtillvida att man nu inkluderar även ledamöter i styrelser för politiska partier. Man har även gjort ett mindre förtydligande att med begreppet känd medarbetare så avses att det är en nära affärsförbindelse (eller annan förbindelse) som avses. Frågan är dock om skrivningen bringat så mycket ljus över frågeställningen.

 

Riskbaserat synsätt och riskbedömning

När det gäller detta område så har det skett väsentliga förändringar i lagförslaget och det framgår tydligt att lagstiftarna lägger ett mycket stort fokus på att man ska tillämpa ett riskbaserat synsätt och att det också måste vara styrande.

Det förstnämnda har nog ingen aktör missat men det andra d.v.s. att det också styr åtgärderna och handlingarna fullt ut kanske inte alla har lyckats med i praktiken. Det man kan konstatera är att om man inte kan påvisa ett fungerande ramverk omkring det riskbaserade synsättet vid en eventuell granskning så riskerar man att råka ganska illa ut.

En nyhet i lagförslaget är att man nu dels ställer krav på en allmän riskbedömning av de produkter och tjänster som marknadsförs och dels en individuell riskbedömning av respektive kund. Den allmänna riskbedömningen syftar till att generellt bedöma hur sårbara de produkter och tjänster är som man erbjuder, för att kunna utnyttjas för penningtvätt eller finansiering av terrorism.

Riskfaktorer som nämns för den allmänna riskbedömningen är geografi, kunder och distributionskanaler. Med geografi avses om man bedriver verksamhet inom eller utanför Sveriges gränser.

I den allmänna riskbedömningen ska även hänsyn tas till verksamhetsutövarens erfarenheter vid rapportering av misstänkta aktiviteter och transaktioner. Därmed betonar man vikten av en erfarenhetsbaserad löpande riskbedömning. Ansvaret ligger därmed på verksamhetsutövaren att finna fler riskfaktorer avseende den allmänna riskbedömningen baserat på dess erfarenheter.

När det gäller riskbedömningen av kunden så ska den dels utgår ifrån den allmänna riskbedömningen och dels från kundens riskprofil. Avseende det sistnämnda så ger lagstiftaren några exempel på riskfaktorer som kan peka på hög risk i sammanhanget:

  • kundens ägarstruktur framstår som ovanlig eller alltför komplicerad för dess verksamhet,
  • kunden bedriver kontantintensiv verksamhet,
  • kunden är en juridisk person som har nominella aktieägare eller andelar utställda på innehavaren,
  • kunden är en juridisk person, en trust eller en liknande juridisk konstruktion som har till syfte att förvalta en viss fysisk persons tillgångar,
  • kunden har hemvist i en stat som saknar effektiva system för bekämpning av penningtvätt eller finansiering av terrorism,
  • kunden har hemvist i en stat med betydande korruption och annan relevant brottslighet,
  • kunden har hemvist i en stat som är föremål för sanktioner, embargon eller liknande åtgärder,
  • kunden har hemvist i en stat som finansierar eller stöder terroristverksamhet eller där terroristorganisationer är verksamma,
  • affärsrelationer eller transaktioner sker på distans, utan användning av metoder som på ett tillförlitligt sätt kan säkerställa kundens identitet, och
  • betalning av varor eller tjänster görs av någon som är okänd eller saknar koppling till kunden

En allmän reflektion är att det kommer finnas en viss gråzon avseende riskfaktorerna och var dessa hör hemma. Ett exempel är att det för kundens riskbedömning anges att det kan vara hög risk om kunden bedriver kontantintensiv verksamhet. Samtidigt så kan det å andra sidan finnas produkter och tjänster utifrån den allmänna riskbedömningen som i större utsträckning är föremål för kontantintensiv verksamhet. Växling av fysisk resevaluta är ett sådant exempel.

En sak att notera under kap. 6, §1 i lagförslaget är att om man använder sig av modeller för riskbedömning, riskklassificering och övervakning så måste man ha rutiner för att utvärdera och kvalitetssäkra dessa modeller. I och med att mer eller mindre alla torde använda sig av modeller för riskbedömningen så blir det nu krav på att utvärdera dessa. Tidsaspekten nämns ej men det torde väl vara lämpligt att göra detta i samband med den årliga utvärderingen av den egna riskbedömningen.

 

Lämplighetsbedömning

En helt ny åtgärd som åläggs verksamhetsutövaren är att denna ska lämplighetspröva sin personal som utför arbetsuppgifter av betydelse för att förhindra att verksamhetens utnyttjas för penningtvätt eller finansiering av terrorism. Detta ansvar omfattar även eventuella uppdragstagare om de utför arbetsuppgifter enligt vad som tidigare nämnts.

Vad för krav som ska inrymmas i en lämplighetsprövning är upp till företaget att bestämma då detta inte framgår i lagförslaget. Här kan man dock tänka sig krav på utbildningsbakgrund, erfarenhet, kontroll på sociala medier samt utdrag från belastningsregister. Många företag genomför redan idag en lämplighetsprövning som dock vanligen är av generellt slag. Dock finns risken att man kan tvingas ompröva personal om man har svårt att kunna påvisa hur detta har skett historiskt. Kravet på lämplighetsbedömningen torde vara något som främst kommer att sysselsätta HR avdelningen.

 

Skydd mot repressalier

En annan nyhet är att det nu framgår av lagförslaget att verksamhetsutövaren är skyldig att tillse att personal och uppdragstagare inte riskerar att utsättas för repressalier i samband med att de utför de skyldigheter som penningtvättslagen stipulerar. Detta innebär att verksamhetsutövarna behöver se över sina rutiner för skydd av personal.

 

Identifiering av verklig huvudman

En intressant nyhet är att om man inte lyckas identifiera en verklig huvudman för en juridisk person så ska man betrakta styrelseordförande, vd eller motsvarande befattningshavare som verklig att huvudman. Konsekvensen är därmed att det inte får saknas en verklig huvudman. Det framgår även att om man har anledning och tro att den som identifierats som verklig huvudman inte är den verkliga huvudmannen så gäller också det som tidigare nämnts.

Man kan naturligtvis diskutera om detta är ett bra sätt att lösa problemet när en verklig huvudman inte kan identifieras. Att fastställa verklig huvudman för juridiska personer är redan idag en utmaning i många fall med tanke på hur komplicerade ägarförhållanden som man kan råka ut för.

 

Lag om registrering av verkliga huvudmän

I det nya penningtvättsdirektivet föreskrivs att man ska inrätta ett register för verklig huvudman på nationell nivå. För Sveriges del så blir det Bolagsverket som får ansvaret för att föra detta register. Därmed föreslås en helt ny lag, ” Lag om registrering av verkliga huvudmän” som riktar sig till de som kommer ha rapporteringsskyldighet avseende verklig huvudman. Denna lag riktar sig därmed inte till verksamhetsutövarna enligt penningtvättslagen.

Dock innehåller detta lagförslag ett klarläggande av “bestämmande inflytande” som är ett ganska luddigt begrepp i nuvarande lagstiftning. Normalt är man verklig huvudman om man har ett ägande/kontroll i den juridiska personen som är mer än 25%. Dock har man även betraktats som verklig huvudman om man haft ett bestämmande inflytande över den juridiska personen på annat sätt än direkt ägande.

I det nya lagförslaget så framgår att bestämmande inflytande nu kallas ”den yttersta kontrollen”. Vidare kan man läsa att en fysisk person antas utöva den yttersta kontrollen över en juridisk person om denna:

äger/kontrollerar mer än 25% av innehavet i den juridiska personen

har rätt att utse eller avsätta mer än hälften av den juridiska personens styrelseledamöter eller motsvarande befattningshavare

på grund av ett avtal med ägare, medlem eller den juridiska personen, föreskrift i bolagsordning, bolagsavtal eller jämförbara handlingar och på så sätt kan utöva kontroll enligt p. 1 eller 2

Som synes så klarnar begreppet den yttersta kontrollen då framför allt punkt 2 och 3 ger ett klarläggande vad som menas.

 

Tystnadsplikt

Det som idag benämns meddelandet förbudet är nu omdöpt i lagförslaget till tystnadsplikt. För den oinvigde kan det nämnas att meddelandeförbudet innebär att man inte får upplysa kunden om att denna utreds för penningtvätt eller har rapporterats vidare till finanspolisen.

Ett problem har varit när man nekat kunder att genomföra en transaktion eller att inleda en affärsförbindelse på grundval av misstanke om penningtvätt eller finansiering av terrorism, eftersom man varit förhindrad att upplysa kunden om orsaken till sitt agerade.

I lagförslaget tycks man uppmärksammat detta problem och lagt till skrivningen ”Som obehörigt röjande avses inte att en kund får kännedom om att en åtgärd enligt första stycket vidtas eller kan komma att vidtas, när ett sådant röjande inte kan undvikas till följd av verksamhetsutövarens skyldighet att avstå från en transaktion, att avstå från att inleda en affärsförbindelse eller att avsluta affärsförbindelse.”.

Ovanstående tillägg välkomnas nog av många i branschen. Den nya skrivningen innebär att man nu får bryta mot tystnadsplikten och röja orsaken till att man nekar en kund att inleda affärsförbindelse eller transaktion.

 

Behandling av personuppgifter

Dagsläget får man spara information och handlingar i max 5 år efter avslutad kundrelation. En nyhet är förändringen som innebär att man kommer få spara handlingar och information längre tid än 5 år efter avslutad affärsrelation. Dock så sätts gränsen till maximalt 10 år. Denna nyhet innebär sannolikt att många kommer att spara informationen längre tid än 5 år.

 

Ny roll för regelefterlevnad

Lagstiftarna vill inrätta en ny roll som ska ansvara för genomförandet av åtgärder för att följa penningtvättslagstiftningen. Kravet på denna roll får verksamhetsutövaren själv avgöra då det utrycks i lagförslaget som ”med hänsyn till verksamhetens storlek och art”. Man får därmed själv bedöma och motivera om man inför denna roll eller avstår. De stora aktörerna lär sannolikt ha svårt ifrån att inte införa denna roll medan man kan anta att de mindre aktörerna kommer att avstå och hänvisa till ”med hänsyn till verksamhetens storlek och art”.

Det man kan konstatera är att det är ganska oklart vad lagstiftarens syfte egentligen är med rollen och hur den är tänkt att verka. Förhoppningsvis kan detta klarna i de kommande allmänna råden och föreskrifterna från Finansinspektionen. I brist på dessa får de som inför rollen själva försöka utforma denna efter bästa förmåga.

 

Whistleblower

Under denna rubrik döljer sig kommande krav på att verksamhetsutövaren måste inrätta system/rutiner för att anställda och uppdragstagare ska kunna rapportera misstänkta överträdelser avseende penningtvättslagstiftningen.

Denna rapportering ska kunna ske anonymt utan att identiteten röjs för anställda eller uppdragstagare. Denna typ av rutiner är redan idag förekommande för många företag, ofta i syfte att öka den interna kontrollen.

 

Konklusion

Sammanfattningsvis kan man konstatera att det kommande 4:e penningtvättsdirektivet blir en ytterligare utmaning för berörda aktörer att nå upp till med många nyheter. Den enskilt största utmaningen enligt författarens uppfattning ligger i det riskbaserade synsättet och riskbedömningen som får stort utrymme i den kommande lagstiftningen.

Det riskbaserade synsättet och riskbedömningen har länge betecknats som ett ”svårt” område. Om man kommer fel inom detta område så riskerar riskklassificeringssystemet bli fel vilket får stora konsekvenser och påverkar exempelvis onboarding processen, skärpta åtgärder, utbildningsprogram etc.

Det finns mycket som tyder på att tillsynsmyndigheten fokuserar på det riskbaserade synsättet och riskbedömningen i sina granskningar. De stora aktörerna är nog redan medvetna om detta och har vidtagit åtgärder för att nå upp till kraven. Dock för medelstora och framför allt mindre aktörer så finns det nog ett mörkertal av aktörer som har brister eller inte når upp till kraven. För dessa kommer det bli en kapplöpning med tiden för att uppnå en fungerande implementation av det riskbaserade synsättet som uppfyller myndigheternas krav.

 

Har du frågor omkring min artikel så är du naturligtvis välkommen att kontakta mig.

Bo Korposoff, Periculo AB