Ingen varning men 500 MSEK i böter
En ledande svensk bank inom betalningslösningar för e-handel, inklusive fakturabetalningar och avbetalningstjänster, har nyligen fått ett omfattande bötesbelopp på 500 miljoner svenska kronor från Finansinspektionen. Detta skedde efter en granskning av bankens efterlevnad av penningtvättslagen (lag 2017:630 om åtgärder mot penningtvätt och finansiering av terrorism) under perioden april 2021 till mars 2022. Trots det omfattande bötesbeloppet ledde granskningen endast till en anmärkning – inte en varning eller återkallelse av företagets tillstånd. Men vad kom Finansinspektionen egentligen fram till?
Brister i riskbedömningen
Enligt penningtvättslagen (2 kap. 1 §) ska verksamhetsutövare genomföra en allmän riskbedömning för att identifiera hur deras produkter och tjänster kan utnyttjas för penningtvätt eller finansiering av terrorism. Denna riskbedömning ska ligga till grund för rutiner, riktlinjer och åtgärder för att minska riskerna. Finansinspektionen konstaterade att bankens riskbedömning uppvisade flera allvarliga brister:
2. Övergripande och allmänna bedömningar
Banken beskriver i sin riskbedömning olika riskpoäng för sina produkter och tjänster, men en detaljerad analys av hur dessa produkter faktiskt kan utnyttjas för penningtvätt saknas. Arbetet stoppades så att säga halvvägs, innan analysen av de praktiska riskerna för penningtvätt genom bankens kanaler och distributionsnätverk hade genomförts.
Exempelvis påpekade Finansinspektionen att produkter som erbjuds utan fysisk kontakt med kunder (vilket gäller större delen av bankens verksamhet) saknade en specifik bedömning av hur detta påverkar risken för brottsligt utnyttjande. Finansinspektionen underströk att en sådan analys är avgörande för att säkerställa regelefterlevnad.
3. Otillräckliga kopplingar till typologier och sårbarheter
Riskbedömningen innehåller ett avsnitt om typologier för penningtvätt, baserat på information från bland annat nationella myndigheter. Finansinspektionen noterade dock att bankens beskrivningar av dessa typologier inte kopplas till hur just deras specifika produkter och tjänster kan påverkas av dessa risker.
4. Distributionskanaler och "mor-modellen"
Banken använder sig av en distributionsmodell där tredjepartsleverantörer, så kallade merchant of record (mor-handlare), distribuerar bankens produkter och tjänster. Detta innebär att produkter tillhandahålls via underleverantörer som i sin tur använder bankens infrastruktur. Finansinspektionen anser att denna modell medför högre risker, särskilt eftersom medel kan hanteras av kunder som banken inte har verifierat.
Finansinspektionen påpekade att bankens riskbedömning saknar en analys av hur denna distributionsmodell ökar riskerna för penningtvätt. Dessutom påpekas att ansvaret för att känna till kunderna inte kan flyttas till underleverantörer – det är fortfarande huvudleverantörens ansvar.
5. Bristande analys av misstankerapportering
Under en fyramånadersperiod skickade banken 61 misstankerapporter till Polismyndigheten. Trots detta hade banken inte tagit hänsyn till de lärdomar som framkom från dessa rapporter i sin riskbedömning. Enligt 2 kap. 1 § penningtvättslagen är det ett krav att använda sådan information för att uppdatera riskbedömningen.
6. Verksamhetsanpassning
Finansinspektionens analys visar att bankens riskbedömning saknar tillräcklig anpassning till verksamhetens verkliga förhållanden. En riskbedömning ska inte bara beskriva övergripande risknivåer, utan också analysera och förklara hur de specifika produkter och tjänsterna kan utnyttjas för brott. Avsaknaden av denna typ av verksamhetsspecifika insikter försvagar bankens förmåga att motverka penningtvätt och finansiering av terrorism.
Sammanfattning
Detaljerade analyser saknas: Riskbedömningen beskriver inte hur bankens produkter och tjänster kan utnyttjas för brott, vilket är ett lagkrav.
Typologier kopplas inte till verksamheten: Riskbedömningen saknar kopplingar mellan typologiska exempel och de risker som är specifika för bankens produkter och tjänster.
Distributionskanaler innebär högre risker: Distributionsmodellen med "mor-handlare" ökar risken för brottsligt utnyttjande, och denna risk har inte analyserats tillräckligt.
Bristande utnyttjande av misstankerapporter: Informationen från bankens egna misstankerapporter har inte integrerats i riskbedömningen.
Detta beslut understryker vikten av att skapa riskbedömningar som är detaljerade, verksamhetsspecifika och baserade på faktiska sårbarheter.
Relevant lagstiftning
2 kap. 1 § Penningtvättslagen: Kräver att verksamhetsutövare identifierar, förstår och bedömer riskerna för att deras produkter eller tjänster kan utnyttjas för penningtvätt och finansiering av terrorism. Dessa riskbedömningar ska ligga till grund för rutiner och riktlinjer.
2 kap. 2 § Penningtvättslagen: Riskbedömningen ska vara proportionerlig till verksamhetens storlek och risknivå samt utformas så att den stöder företagets åtgärder mot penningtvätt och terrorismfinansiering.
3 kap. 4 § Penningtvättslagen: Åtgärder för kundkännedom ska vidtas när en affärsförbindelse inleds eller vid transaktioner som kan vara relaterade till penningtvätt.
Relaterad läsning:
Testa en kortversion av e-learning inom penningtvätt och finansiering av terrorism