Kundkännedomsreglerna som ett effektivt redskap mot penningtvätt 38

5.2.1 Gynnar de internationella satsningarna reglernas effektivitet?

Den internationella utvecklingen på området för penningtvätt har varit avgörande för samordningen av arbetet mellan länder, vilket är en förutsättning med tanke på problematikens gränsöverskridande karaktär. Det kommer emellertid riktlinjer och standarder från flera håll, på såväl internationell som nationell nivå. Exempelvis har de europeiska tillsynsmyndigheterna, EBA, EIOPA och ESMA, mandat att ta fram riktlinjer och vägledning av olika slag gällande penningtvätt. Även andra samarbetsorgan, standardsättare och privata organisationer inom det finansiella området arbetar för att ta fram vägledningsdokument. Detta är i grunden positivt men spridningen av dokument torde kunna påverka reglernas effektivitet negativt. Riktlinjerna och den praktiska vägledningen är till för att hjälpa

tillämparna men kan tänkas få en motsatt effekt, dels ifall de blir för många till antalet, dels med risk för att de inte är helt överensstämmande.

Därtill måste hänsyn tas till andra samverkande regelverk, såsom dataskyddsförordningen. Det krävs att det är koherens mellan systemen, i annat fall ökar risken för regelkonflikter ytterligare. Dessutom kan en inkorrekt regelefterlevnad av såväl penningtvättslagstiftningen som dataskyddsförordningen leda till stora sanktioner.

5.2.2 Gynnar det riskbaserade förhållningssättet regelverkets effektivitet?

Genom att tillämpa det riskbaserade förhållningssättet förväntas bankerna identifiera, analysera och hantera riskerna i den egna verksamheten. Därigenom kan sedan resurserna allokeras och mer långtgående åtgärder vidtas inom områden, och avseende kunder, med förhöjd risk för penningtvätt. Det riskbaserade förhållningssättet har varit den övergripande metoden för att bedöma och hantera riskerna för penningtvätt sedan början av 2000-talet. Såväl FATF:s reviderade rekommendationer från år 2012 som fjärde penningtvättsdirektivet, och därigenom även det svenska förslaget till en ny penningtvättslag, har en ökad betoning på förhållningssättets centrala betydelse och dess syfte att effektivisera resursanvändningen. Förhållningssättet torde vara en nödvändighet, och utgöra ett verkningsfullt system i kampen mot penningtvätt. Det möjliggör även för olika branscher att efterleva penningtvättsreglerna på ett, för verksamheten, dynamiskt sätt. Det gynnar även resursanvändningen och stärker åtgärdernas kvalitet. De nya kraven på tillämpning av förhållningssättet, vilket ska användas genomgående i verksamheten, torde dock medföra att bankerna måste höja kvaliteten samt öka bredden och djupet på sina riskbedömningar. Det är även en förutsättning att riskbedömningarna blir korrekta för att bankerna ska kunna motivera omfattningen av de personuppgifter som samlas in.

De åtgärder för kundkännedom som bankerna vidtar ska vara anpassade efter de risker som föreligger i den enskilda verksamheten och i det specifika fallet. De förändringar som följer av de nya reglerna kommer att kräva att bankerna gör riskbedömningar i större omfattning och av mer branschspecifik karaktär. Detta torde kräva inhämtning av information från fler relevanta källor om penningtvätt och ett tydligare beaktande av riskfaktorer i den egna branschen. Även den tekniska utvecklingen leder till nya utmaningar avseende riskbedömningar, eftersom det måste avgöras hur användningen av olika former av

elektronisk kommunikation kan öka risken för att kunden utnyttjar banken i syfte att tvätta pengar. Utvecklingen går dessutom snabbt framåt, vilket kräver en ständig uppmärksamhet för att upptäcka nya sätt och metoder som kan användas för penningtvätt. Det är först när banken har kartlagt vilka risker som föreligger i verksamheten, däribland risker avseende elektroniska hjälpmedel, som rätt omfattning av åtgärder för att uppnå kundkännedom kan vidtas. För att bekämpa penningtvätt krävs riskspecifika åtgärder, vilket talar för att det riskbaserade förhållningssättet ska genomsyra även kundkännedomsreglerna. Genom att identifiera kundgrupper, produkter, tjänster och andra faktorer, vilka kan anses utgöra högre risk och därav kräva mer omfattande åtgärder, kan resursanvändningen effektiviseras. Därmed kan det riskbaserade förhållningssättet, utifrån ett rättsekonomiskt perspektiv, anses bidra till att en högre nivå av ekonomisk effektivitet kan uppnås.

Vid hög risk ska skärpta åtgärder vidtas, vilka ska vara av mer omfattande karaktär. Det saknas dock närmare vägledning i vad som ska anses utgöra skärpta åtgärder, och därmed ter det sig osäkert vilka åtgärder som ska anses tillräckliga för att motsvara det tänkta kravet i regelverket. Detta skapar även en osäkerhet i relation till reglerna om personuppgifter. Bankerna måste göra en bedömning av vilken risk kunden anses utgöra för att därefter veta vilken omfattning av uppgifter de förväntas samla in. De uppgifter som samlas in måste dessutom vara motiverade och omfattningen måste motsvara den faktiska risken för penningtvätt.

Vidare krävs en metod för riskavvägning av de faktorer som identifieras vid bedömningen. Avsaknaden av en generell metod för riskbedömningar har såväl fördelar som nackdelar. Penningtvättsreglerna riktar sig till en vid krets av verksamhetsutövare inom olika branscher, varför olika slags riskmodeller och riskklassificeringssystem är en förutsättning. Svårigheten torde dock ligga i att ta fram lämpliga modeller och system, vilka kan användas för att genomföra en sådan riskbedömning som motsvarar lagstiftningens krav. Det är trots allt denna bedömning som ligger till grund för vilken risknivå en kund åsätts och därmed även vilka åtgärder för kundkännedom som vidtas. Det riskbaserade förhållningssättets dynamiska karaktär innebär att ett stort individuellt ansvar åläggs bankerna. Dessa har att arbeta fram metoder för att, i ett första steg, identifiera verksamhetsövergripande risker, för att sedan, i ett andra steg, utföra riskbedömningar för att avgöra hur och i vilken omfattning kundkännedom ska uppnås. Riskbedömningarna bygger således på varandra och eftersom det riskbaserade förhållningssättet ska genomsyra hela verksamheten är kvaliteten av

kundkännedomsåtgärderna beroende av kvalitativa riskbedömningar. Om bankerna inte lyckas implementera fullvärdiga metoder för verksamhetsövergripande riskbedömningar kommer det även att påverka kundkännedomsåtgärderna som vidtas längre ner i verksamheten. Detta leder i sin tur till att effektiviteten av reglerna blir lidande. Bankerna måste lägga ner stora resurser på att implementera korrekta och välfungerande metoder, vilket innebär stora kostnader. Lyckas de inte med detta kan det leda till ytterligare kostnader, exempelvis i form av sanktioner, och därmed ekonomisk ineffektivitet.

För att genomföra en riskbedömning som kan ligga till grund för en effektiv allokering av resurser, torde det även ställas krav på en relativt hög kunskap hos ledande befattningshavare. Ur en effektivitets- och kostnadssynpunkt bör även belysas att svårigheter med tolkning och tillämpning troligtvis leder till att banker, i större omfattning, behöver anlita extern hjälp för att implementera penningtvättsregelverket i verksamheten. Penningtvättsreglerna ska tillämpas genomgående, och att dessa införs ända ner i kedjan, i mötet mellan anställd och kund, är av stor vikt. Det är i mötet med kunden som reglerna konkretiseras och kännedom om kunden inhämtas, varför kunskap hos de anställda är en förutsättning för en effektiv tillämpning. Således måste arbetet med att implementera reglerna ske på flera nivåer för att banken i sin helhet ska bli kompatibel med regelverket. Med tanke på omfattningen av penningtvättsdirektivet och de nya krav som följer, kommer det krävas anpassningar av exempelvis interna system, rutiner, arbetsordningar och utbildningar. Därtill bör bankerna redan nu ta hänsyn till dataskyddsförordningen och de nya reglerna om personuppgifter. Det är kort om tid för bankerna att implementera och genomföra alla anpassningar, vilket kan leda till en bristfällig implementering. Detta kan i sin tur påverka arbetet mot penningtvätt negativt.

Det riskbaserade förhållningssättet, såsom det genomsyrar direktivet och det svenska förslaget till en ny penningtvättslag, synes leda till en ökad osäkerhet vid tillämpningen av reglerna. Bankerna förutsätts göra egna utredningar och bedömningar utifrån förhållningssättet även i de fall där det finns lättnader och hjälpmedel. Exempelvis tillåter inte regelverket att banken enbart utgår ifrån de uppgifter om den verkliga huvudmannen som kommer kunna hämtas från det centrala registret, utan banken förutsätts fortfarande undersöka ägar- och kontrollstrukturen för att göra en egen bedömning.177 De har således själva det yttersta                                                                                                                

ansvaret för att de innehar korrekt information. Detsamma gäller vad avser möjligheten att tillämpa förenklade åtgärder för kundkännedom vid låg risk. Banken måste först göra en utredning för att avgöra huruvida omständigheterna i det enskilda fallet de facto pekar på att det föreligger låg risk, för att därefter få utföra kundkännedomsprocessen i mindre omfattning. Därtill krävs kontinuerlig bevakning av kundens aktiviteter för att eventuella avvikelser ska kunna upptäckas. Det riskbaserade förhållningssättet syftar till att effektivisera resursanvändningen men om bankerna fortfarande måste göra riskbedömningar i fall där det finns lättnader, talar detta för att en del av effektiviteten förtas.

Nordea och Handelsbanken är två svenska storbanker, vilka torde ha tillgång till såväl resurser som kompetens att ta fram interna rutiner, system, arbetsordningar, utbildningar etc. för att införa penningtvättsregelverket i verksamheten. Trots detta har bankerna haft omfattande brister av allvarlig karaktär, vilka till stor del har handlat om undermåliga riskbedömningar. Detta har lett till att bankerna inte har haft den kännedom om sina kunder som krävts för att korrekta åtgärder ska kunna vidtas utifrån den risk som kunden utgör.178 Detta talar delvis för att det finns svagheter i penningtvättsregelverkets utformning. Även om lagen innehållsmässigt är tillfredsställande, är den föga effektiv om inte bankerna vet hur de ska gå tillväga för att leva upp till lagens bestämmelser. Utredningen föreslår att det riskbaserade förhållningssättet tydliggörs i den nya lagen, vilket i sig är välkomnat och nödvändigt. Dock torde det fortfarande finnas alltför stora oklarheter gällande vad det innebär mer konkret för att en praktisk tillämpning ska vara möjlig.

Anledningen till att Nordea och Handelsbanken har haft stora brister i regelefterlevnaden beror troligtvis även på andra orsaker. Bankerna drivs av ekonomiskt och affärsmässigt intresse, varför reglerna om åtgärder mot penningtvätt kan ses som ett nödvändigt ont, vilka kräver såväl tid som resurser för implementering och korrekt efterlevnad. Arbetet mot penningtvätt har ökat drastiskt under de senaste åren och därav har även omfattningen på reglerna och kraven på efterlevnad ökat, vilket även har ställt högre krav på bankerna. Dessa snabba förändringar kan innebära svårigheter för bankerna att i tid få den förståelse för reglerna som krävs för att kunna implementera dessa i verksamheten.

5.2.3 Kommer den nya penningtvättslagen underlätta tillämpningen?

Utredningen har ansett det lämpligt med en fullständig översyn av penningtvättslagen för att disponera om och förenkla lagen till förmån för verksamhetsutövarna vid deras tillämpning av reglerna. Den förenklade dispositionen syftar till att underlätta för verksamhetsutövarna att tillgodogöra sig lagens krav. Företrädare från berörda branschorganisationer har framfört kritik för att de har exkluderats från utredningsarbetet. Detta är anmärkningsvärt eftersom verksamhetsutövarna torde kunna bidra med viktig input från en praktisk synvinkel, vilket hade kunnat gynna utredningens arbete vid framtagandet av förslaget. Genom att ta del av de svårigheter som exempelvis bankerna upplever vid tillämpningen av penningtvättsregelverket, hade dessa kunnat tas i beaktning och ökat möjligheterna till ett effektivt regelverk.

Ur en rättssäkerhetsaspekt är det intressant att utredningen, vid ett flertal gånger, hänvisar till att närmare bestämmelser ska regleras i författning av lägre valör. Visserligen fungerar lagstiftningen på det sätt att myndigheter, exempelvis FI, utfärdar föreskrifter, vilka ska vara mer detaljerade och underlätta tillämpningen. Genom att använda sig av föreskrifter kan anpassningar efter förändrade och nya risker för penningtvätt lättare genomföras. Detta bör dock vägas mot strävan efter ett förutsebart regelverk, utifrån vilket bankerna kan anpassa sina rutiner på ett långsiktigt plan. Eftersom föreskrifter kan komma att ändras mer frekvent kan det leda till en ökad osäkerhet för bankerna när de ska efterleva reglerna. Därtill är det även av intresse att utredningen väljer att delegera central lagstiftning i en sådan vid omfattning. Det torde finnas en gräns för hur stor roll myndigheterna bör ges vid implementeringen av direktiv och vid skapandet av ny lagstiftning.

Det har uppmärksammats, exempelvis i samband med de nationella riskbedömningar om penningtvätt, att de verksamheter som har att tillämpa penningtvättsregelverket upplever stora svårigheter med att förstå vad som krävs av dem rent konkret. FI har tagit fram riktlinjer vilka ska ge företagen konkret vägledning. Genom samarbetet SIMPT ämnar även branschorganisationerna ta fram praktisk vägledning, vilket torde vara ytterligare ett tecken på att det finns behov bland verksamhetsutövarna att få hjälp att förstå och tillämpa regelverket på ett korrekt och effektivt sätt. Med tanke på detta kan regelverket i viss mån anses ineffektivt, eftersom det kräver att bland annat myndigheter och branschorganisationer utfärdar kompletterande dokument och riktlinjer i stor omfattning för att verksamhetsutövarna ska förstå vad som krävs av dem för att leva upp till kraven i lagen. Detta torde vara resurskrävande och inverka negativt på strävan efter ekonomisk effektivitet. Därtill är det en

källa till osäkerhet, eftersom bankerna tvingas förhålla sig till ett flertal olika regler och vägledningsdokument.

5.3 Vad innebär systemkonflikten mellan kundkännedomsreglerna och reglerna om personuppgifter i dataskyddsförordningen?

Personuppgiftsbehandling har en nära koppling till reglerna om åtgärder mot penningtvätt, särskilt vad avser kundkännedomsprocessen. Såväl fjärde penningtvättsdirektivet som dataskyddsförordningen är omfattande regelverk som kommer innebära nya nationella lagstiftningar för verksamhetsutövare att anpassa sig till.

Till följd av globaliseringen och den ökade digitalisering ökar behovet av skydd för den personliga integriteten. Därtill krävs, delvis av samma anledning, ytterligare åtgärder för att förhindra penningtvätt. I detta stadie, innan regelverken har implementerats och det står klart hur reglerna kommer att se ut, torde det vara svårt för bankerna att veta hur de ska förhålla sig och anpassa sina verksamheter till de kommande lagändringarna. Även efter att regelverken har implementerats och trätt ikraft lär många frågetecken kvarstå. Den kanske mest centrala frågan är hur avvägningen mellan regelverkens motstående intressen kommer att kunna genomföras på ett systemkonformt sätt.

I och med dataskyddsförordningens ikraftträdande kommer det ställas högre krav på den information som lämnas till den registrerade.179 Bankerna kommer att få en utökad skyldighet att lämna information till sina kunder, exempelvis avseende på vilken rättslig grund informationen samlas in. Detta kan skapa problem i de fall banken samlar in information med stöd av intresseavvägning som tillåtlighetsgrund. Särskilt med tanke på att kundkännedomsnivån, och därmed även omfattningen av den information som inhämtas om kunden, är baserad på riskbedömningar. Det torde krävas att bankens riskbedömningar i grunden är korrekta för att det ska vara motiverat att vidta skärpta åtgärder, vilket i sin tur innebär att personuppgifter tillåts samlas in i större utsträckning.

Det finns även anledning att koppla detta till innebörden av skärpta åtgärder, vilket är något oklart i dagens lagstiftning, och som inte verkar bli mycket klarare utifrån utredningens förslag. Det har tidigare i kapitlet diskuterats huruvida bankerna kan känna sig trygga i att de                                                                                                                

åtgärder som vidtas, i samband med att det anses föreligga en hög risk för penningtvätt, kan anses tillräckliga. Detta torde kunna försvåra bankernas arbete ytterligare när det kommer till insamlingen av uppgifter, särskilt i de fall de stödjer sig på intresseavvägning som tillåtlighetsgrund. Det krävs att en avvägning görs för att bedöma huruvida bankens intresse av att samla in uppgifterna i syfte att kontrollera kunden, till följd av förhöjd risk för penningtvätt, väger tyngre än den enskildes rätt till personlig integritet. Det riskbaserade förhållningssättets dynamiska karaktär och de medföljande oklarheter, vilka bankerna kan uppleva vid tillämpningen, leder därmed sannolikt även till osäkerhet avseende den tillåtna omfattningen av personuppgiftsinsamling. Det är framförallt ur denna aspekt som regelverkens oförenlighet kan diskuteras. Fjärde penningtvättsdirektivets skärpta krav på kundkännedom är inte konform med dataskyddsförordningens krav på hög personlig integritet och en så liten omfattning av personuppgiftsinsamling som möjligt. Även om några konkreta oförenligheter inte kan utpekas i dagens läge, torde osäkerheten ligga i balansgången mellan respektive regelverks krav. Å ena sidan ska tillräckligt mycket uppgifter samlas in i förhållande till vad som krävs, utifrån den risk som anses föreligga, å andra sidan får inte mer uppgifter samlas in än vad som är tillåtet enligt dataskyddsförordningen och personuppgiftslagen.

Av dataskyddsförordningen följer ett ökat krav på bankerna att dokumentera hur de hanterar sina kunders personuppgifter. Såväl Nordea som Handelsbanken hade brister i sin dokumentation vid FI:s bedömning av bolagens efterlevnad av penningtvättsreglerna. De nya kraven lär öka bankernas behov av effektiva interna system och databaser för hantering av personuppgifter. Eftersom Datainspektionen kommer kunna utföra granskningar och, vid brister i dokumentationen, döma ut höga administrativa sanktionsavgifter, torde det vara av ännu större vikt att bankerna ser över dagens system och anpassar dessa till de nya kraven. Detta är emellertid såväl tids- som resurskrävande. En av de större utmaningarna för bankerna torde även vara att inrätta system i verksamheten som tillgodoser såväl penningtvättsregelverkets krav på dokumentering och hantering i samband med insamling av information för kundkännedom, som dataskyddsförordningens krav på säker personuppgiftsbehandling.

I förslaget till den nya penningtvättslagen framgår att samkörningsförbudet föreslås luckras upp, vilket skulle underlätta för koncerner att dela information genom att de tillåts samköra

sina register med personuppgifter. 180 Detta torde öka effektiviteten vad avser informationsinsamling och således även, på ett resurseffektivt sätt, hjälpa bankerna att leva upp till kraven på kundkännedom. Vid samkörning av register torde det dock krävas ytterligare åtgärder för att säkerställa att de system som inrättas har hög säkerhet och är utformade utifrån PbD, för att leva upp till kraven på integritetsskydd.

De nya lagarna kommer att ställa höga krav på bankernas datasystem ur flera aspekter, vilket adderar ett extra lager av komplexitet. Bankerna måste implementera datasystem som gör det möjligt för dem att efterleva båda regelverken, hantera data och samtidigt få verksamheten att fungera genom att skapa en effektiv affärsprocess. Som tidigare nämnts drivs bankerna av affärsmässiga motiv och därmed krävs att de kan hitta ett sätt att bli kompatibel med båda regelverken utan att det påverkar verksamheten och kundupplevelsen. De skärpta kraven på kundkännedom kommer innebära att fler frågor måste ställas till kunderna, samtidigt som kunderna ska erhålla ett stärkt skydd för sina personuppgifter. De kunder som inte har något att dölja kommer troligtvis känna att de får en sämre kundupplevelse samtidigt som de får bära kostnaden för bankens åtgärder för att leva upp till kraven i regelverken. Risken finns att bankens affärsmässiga intresse kommer överväga intresset av att implementera fullvärdiga och kostnadskrävande rutiner för kundkännedom och personuppgiftsbehandling.

Dataskyddsförordningen har en även en starkare betoning på att företag endast får samla in uppgifter som de har ett legitimt intresse av. 181 Bankerna ansvarar för att de riskklassificeringar som har åsatts kunderna motsvarar den faktiska risken för att de kan