Transaktionsövervakning för detektion av penningtvätt och finansiering av terrorism

STOCKHOLM SVERIGE 2020 ,

Transaktionsövervakning för detektion av penningtvätt och finansiering av terrorism

Monitoring transactions to detect money laundering and financing of terrorism

ALEXANDER EVERT RONNIE EBRIN

KTH

SKOLAN FÖR KEMI, BIOTEKNOLOGI OCH HÄLSA

Transaktionsövervakning för de- tektion av penningtvätt och finan- siering av terrorism

Monitoring transactions to detect money laundering and financing of terrorism

Alexander Evert Ronnie Ebrin

Examensarbete inom Datateknik,

Grundnivå, 15 hp

Handledare på KTH: Anders Lindström Examinator: Ibrahim Orhan

TRITA-CBH-GRU-2020:055 KTH

Skolan för kemi, bioteknologi och hälsa

141 52 Huddinge, Sverige

Den organiserade brottsligheten och dess behov av att tvätta pengar från denna verksamhet växer i världen. Ett stort ansvar att arbeta mot penning- tvätt och terrorfinansiering ligger på de finansiella institutionerna, och en stor del i detta arbete består av transaktionsövervakning. Syftet med denna övervakning är att upptäcka avvikande transaktionsbeteende hos kunderna som kan tyda på penningtvätt.

Denna rapport undersöker vad svensk lag kräver av en nystartad finansiell institution vad det gäller just transaktionsövervakning, för att sedan utveckla en automatiserad modell som uppfyller dessa krav. Då Finansinspektionen kräver att kundens transaktioner ska kontrolleras i syfte att hitta avvikelser från det förväntade beteendet, utvecklades en modell som tar hänsyn till transaktionshistoriken. Modellen bygger på en binärt Bayesianskt nätverk baserat på ett antal regler definierade efter kända transaktionsmönster för penningtvätt.

Den utvecklade modellen visade sig efter validering, med en manuellt utvär- derad uppsättning transaktioner, kunna hitta ca 90% av planterade penning- tvättsfall. Dessutom hittades ytterligare potentiella fall av penningtvätt.

Nyckelord

Penningtvätt, Terrorfinansiering, AML, CFT, Transaktionsövervakning, Bayesianskt nätverk

The organized crime and its need to launder money is growing all over the world. A great responsibility to work with anti money laundering and coun- ter terrorism financing lies on the financial institutions, and a big part of that work is transaction monitoring. The purpose of monitoring is to detect devi- ant transaction behavior that could indicate money laundering among cus- tomers.

This thesis aimed to investigate what the Swedish law demand of a newly founded financial institution regarding the monitoring of transactions, and later on develop an automated model to meet those demands. Sweden’s fi- nancial supervisory authority demands a customer's transactions should be monitored to find deviations from the expected behavior. Due to this de- mand the model developed takes customers’ transactional history in account.

The model makes use of a binary Bayesian network based on a number of rules defined by well known money laundering transaction patterns.

Through validation, against a manually evaluated transaction set, the devel- oped model managed to find a number of potential cases of money launder- ing. On top of that around 90% of the planted known money laundering cases were found.

Keywords

Money laundering, terror financing, AML, CFT, transaction monitoring, Bayesian network

1 Inledning _____________________________________________________________ 1 1.1 Problemformulering ______________________________________________________ 1 1.2 Målsättning _____________________________________________________________ 1 1.3 Avgränsningar ___________________________________________________________ 2 2 Teori ________________________________________________________________ 3

2.1 Bakgrund _______________________________________________________________ 3 2.1.1 Penningtvätt och terrorfinansiering ______________________________________________ 3 2.1.2 Lagar ______________________________________________________________________ 4 2.1.3 Finansinspektionens penningtvättsföreskrifter _____________________________________ 5 2.2 Metoder för transaktionsövervakning ________________________________________ 6 2.2.1 Regelbaserade system ________________________________________________________ 7 2.2.2 Maskininläring ______________________________________________________________ 12

3 Metod ______________________________________________________________ 15 3.1 Val av metod ___________________________________________________________ 15

3.1.1 Kravbild ___________________________________________________________________ 15 3.1.2 Metod för transaktionsövervakning _____________________________________________ 16 3.1.3 Data för validering __________________________________________________________ 16 3.1.4 Regler och transaktionsmönster ________________________________________________ 17 3.1.5 Modellarkitektur ____________________________________________________________ 18 3.1.6 Metod för validering _________________________________________________________ 19

4 Resultat _____________________________________________________________ 21 4.1 Totalsökning av variabelvärden ____________________________________________ 21 4.2 Validering ______________________________________________________________ 21 4.2.1 Resultat totalsökning ________________________________________________________ 21 4.2.2 AML-expertens resultat ______________________________________________________ 23

5 Analys och diskussion __________________________________________________ 25 5.1 Resultatanalys __________________________________________________________ 25

5.1.1 Felkällor ___________________________________________________________________ 25 5.2 Diskussion _____________________________________________________________ 27 5.2.1 Sociala, ekonomiska och miljömässiga aspekter _______________________________________ 27

6 Slutsatser ___________________________________________________________ 29 6.1 Framtida arbeten _______________________________________________________ 29 Källförteckning ___________________________________________________________ 31

1 | INLEDNING

1 Inledning

I följande inledande kapitel presenteras denna rapports problemformule- ring, målsättning och avgränsning.

1.1 Problemformulering

I takt med att den organiserade brottsligheten i världen växer, ökar också be- hovet av att integrera pengarna, genererade från till exempel drog-, männi- sko- och vapenhandel, in i samhällsekonomin. Detta gör att applikationer inom finansteknologi (fintech) riskerar att bli utnyttjade för penningtvätt och finansiering av terrorism. Utbudet av fintech-applikationer ökar hela ti- den, och dessa applikationer behöver hantera frågor kring penningtvätt och finansiering av terrorism. Enligt Finansinspektionen och svensk lag krävs det av en nystartad finansiell institution att ett kontinuerligt arbete utförs för att motverka penningtvätt och finansiering av terrorism. Arbetet mot pen- ningtvätt och finansiering av terrorism benämns nedan som AML (Anti Mo- ney Laundering) och CFT (Combating the Financing of Terrorism).

Etablerade, mer resursstarka, företag kan ha möjligheten att ta in extern ex- pertis inom AML och CFT, i form av olika färdiga lösningar för upptäckt av fall av penningtvätt och finansiering av terrorism genom transaktionsöver- vakning. Förutsatt att en nystartad finansiell institution till en början är för- hållandevis resurssvag så är extern expertis inte alltid ett alternativ, utan en begränsad manuell övervakning kan vara den enda lösningen. Dessutom är ofta de externa tjänsterna anpassade till större banker och inte mindre fin- tech-bolag. Denna rapport utreder vilka metoder för automatiserad transakt- ionsövervakning som uppfyller lagkraven och hur dessa metoder kan under- lätta arbetet med AML och CFT för en nystartad finansiell institution (NFI).

1.2 Målsättning

Det huvudsakliga målet med detta arbete är att för en NFI utveckla en auto-

matiserad metod för transaktionsövervakning anpassad till svenska finansi-

ella lagar. Utöver detta även undersöka hur en sådan metod effektivt kan bi-

dra inom arbetet med AML och CFT. Inledningsvis utreds vilka krav svensk

lag och Finansinspektionen ställer på en NFI vad gäller arbetet med AML

och CFT, med fokus på transaktionsövervakning. Fortsättningsvis undersöks

vilka metoder för automatiserad transaktionsövervakning som, uppfyller lag-

2 | INLEDNING

kraven, en NFI har möjlighet att implementera. Avslutningsvis byggs en pro- totyp som implementerar den bäst lämpade av de funna metoderna. Prototy- pens syfte är att underlätta en mänsklig agents arbete genom att flagga för transaktionsmönster som behöver granskas närmare av agenten. Dess resul- tat kommer sedan valideras mot en datamängd med planterade redan kända fall av penningtvätt.

1.3 Avgränsningar

De avgränsningar som identifierats i början av detta arbete är som följer:

1. Till följd av ämnet penningtvätts omfattning har i rapporten valts att fo- kusera på ett fåtal förekommande suspekta transaktionsmönster.

2. Syftet med den utvecklade prototypen är inte att upptäcka konstaterade

fall av penningtvätt utan enbart att flagga för transaktionsmönster som

skulle kunna tyda på detta. Ansvaret för slutgiltig bedömning kommer att

ligga på den mänskliga agent som evaluerar ut-datat från prototypen.

3 | TEORI

2 Teori

Detta kapitel ger en förklaring av penningtvätt och dess konsekvenser för samhället men även vad svensk lag och Finansinspektionen säger kring hur en NFI ska jobba med AML och CFT. Vidare presenteras olika metoder för transaktionsövervakning vars syfte är att uppfylla specificerade krav. En fall- studie redovisas även av en av dessa metoder för transaktionsövervakning.

2.1 Bakgrund

2.1.1 Penningtvätt och terrorfinansiering

Penningtvätt är en följd av när olika sorters kriminell verksamhet, såsom il- legal vapenförsäljning och smuggling, genererar pengar vars ursprung behö- ver döljas. För att dessa pengar ska kunna användas utan att den brottsliga verksamheten uppdagas, så behöver pengarna genomgå olika processer i syfte att göra dessa ospårbara för rättsväsendet. Enligt The Financial Task Force (FATF) [1] brukar en sådan penningtvätts-process delas in i tre steg:

1. Placeringssteget - Ofta delas kontanterna in i flera mindre insättningar på ett bankkonto för att undvika onödig uppmärksamhet.

2. Fördelningssteget - Denna fas brukar innebära att pengarna som satts in på kontot nu måste genomgå en rad olika transaktioner mellan konton och banker över hela världen. Detta i syfte att göra pengarnas ursprung svårare att spåra.

3. Integrationssteget - Efter fördelningssteget är pengarna redo att ta plats i den legitima ekonomin och detta kan göras genom att köpa dyra saker såsom hus och bilar.

På ett liknande sätt så finns det även olika strömmar av penningtransakt- ioner som istället leder till terroristfinansiering [2] där slutdestinationen, snarare än källan, avses döljas.

FATF förklarar också att om arbetet mot penningtvätt försummas så kan det

få stora konsekvenser för samhället, då det skulle resultera i att den organi-

serade brottsligheten gavs större ekonomiska resurser. Ökade ekonomiska

resurser för den organiserade brottsligheten skulle i sin tur även leda till ökat

inflytande i samhället via riktade ekonomiska investeringar och mutor till

personer med framstående roller i samhället. Terroristfinansieringens kon-

sekvenser ter sig något tydligare, mer resurser leder till fler terroristaktioner

4 | TEORI

[2]. Fler terroristaktioner resulterar i sin tur till fler dödsfall och i förläng- ningen rädsla och skräck i samhället [3].

2.1.2 Lagar

Det finns i huvudsak två lagar i Sverige som behandlar frågorna kring arbetet mot penningtvätt och finansiering av terrorism [4], dessa lagar är:

1. Lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen)

2. Lag (2014:307) om straff för penningtvättsbrott

I denna rapport utreds bland annat vilka åtgärder som bör vidtas av en NFI men inte hur straffen för penningtvätt är utformade. Lag 1, även kallad pen- ningtvättslagen [5], är den lag som i denna rapport är aktuell. Förutsatt att en NFI är juridisk person som bedriver bank- eller finansieringsrörelse så gäller denna lag enligt 1 kap. §2. I penningtvättslagens 1 kap. 1§, står att dess syfte är “att förhindra att finansiell verksamhet och annan näringsverk- samhet utnyttjas för penningtvätt eller finansiering av terrorism”. För att uppnå detta syfte säger lagen att verksamheter som omfattas av lagen ska jobba med följande områden:

• Riskbedömning och rutiner

• Kundkännedom

• Övervakning och rapportering

• Behandling av personuppgifter

• Intern kontroll och anmälningar om misstänkta överträdelser

Då denna rapport fokuserar på transaktionsövervakning så är det främst det fjärde kapitlet i penningtvättslagen som behandlas, dock innehåller även andra kapitel delar om transaktionsövervakning. Enligt 4 kap §1 ska en verk- samhetsutövare “...övervaka pågående affärsförbindelser och bedöma en- staka transaktioner i syfte att upptäcka aktiviteter och transaktioner som 1.

avviker från vad verksamhetsutövaren har anledning att räkna med uti- från den kännedom om kunden som verksamhetsutövaren har..”. Bedöm- ningen av en transaktion ska alltså ske i förhållande till vilken kundkänne- dom som finns sedan innan. En del som till exempel kan tolkas ingå i kund- kännedomen är kunskapen om en kunds tidigare transaktionsbeteenden och mönster.

5 | TEORI

2.1.3 Finansinspektionens penningtvättsföreskrifter

Finansinspektionen skriver att myndighetens huvuduppgift när det kommer till penning- tvätt och finansiering av

terrorism “...är att utöva tillsyn över att de finansiella företag som omfattas av penningtvätt- slagen följer de regler som finns där för att förhindra att de utnyttjas för penningtvätt.”

[4].

Vidare skriver de att penning- tvättslagen ligger till grund för Finansinspektionens penning-

tvättsföreskrifter som finns till för att komplettera lagen med vad finansföre- tagen i Sverige är skyldiga att göra för att motverka penningtvätt. Penning- tvättsföreskrifterna, se figur 2.1, består av sju delar.

1. Riskbedömning - Till att börja med är företagen skyldiga att utföra en så kallad allmän riskbedömning. Denna går ut på att verksamhetens sår- barhet bedöms utifrån storlek och art.

2. Rutiner - Riskbedömningen ligger sedan till grund för hur verksamheten skapar de rutiner som ska hantera sårbara områden, och även kontinuer- ligt se över och uppdatera rutinerna.

3. Utbildning - Det är även företagets uppgift att se till att personer som arbetar med dessa frågor får utbildning inom området, i syfte kunna följa verksamhetens rutiner.

4. Kundkännedom - När företaget inleder en affärsförbindelse med en kund så måste en riskbedömning göras på kunden. I riskbedömningen in- går att undersöka om kunden är en politiskt utsatt person, har en verklig huvudman eller är etablerad i ett så kallat högrisktredjeland. Åtgärder för kundkännedom måste även upprättas vid enstaka transaktioner om transaktionen eller flera transaktioners värde ackumulerat överstiger 15,000 €.

5. Riskklassificering - I riskklassificeringen ingår både företagets all- männa riskbedömning, men också uppskattning av risk hos specifik

Figur 2.1. Finansinspektionens penningtvättsföre-

skrifter [4]

6 | TEORI

kund. Beroende på hur affärsförbindelsens risk bedöms så anpassas också åtgärderna för kundkännedom. Stor risk resulterar i större åtgärder för kundkännedom.

6. Övervakning - Företaget är skyldigt att övervaka transaktioner i syfte att upptäcka avvikande beteenden som skulle kunna vara en del av pen- ningtvätt och finansiering av terrorism. Övervakningen anpassas efter hur kunden är riskklassificerad, där kunder som klassificerats med hög risk övervakas mer noggrant. Transaktionernas mönster ställs i relation till förväntat beteende utifrån kundens profil.

7. Rapport till Finanspolisen - Upptäcker företaget misstänkta fall av penningtvätt eller finansiering av terrorism så ska dessa fall direkt rap- porteras till Finanspolisen.

Hur och till vilken utsträckning en kunds transaktioner skall övervakas är beroende av kundkännedomen och riskklassificering företaget gjort. Det är tydligt att kundens transaktioner ska övervakas men inte vad som ska letas efter. Vidare ska även kundens transaktioner övervakas i syfte att hitta avvi- kelser utifrån det förväntade beteendet.

2.2 Metoder för transaktionsövervakning

Det finns en stor mängd arbeten och rapporter skrivna inom områdena AML och CFT. AML och CFT är interdisciplinärt och involverar flera olika områ- den, bland annat statistik, informationsvetenskap och expertkunskap. Hu- vudprocessen vid transaktionsövervakning är data mining, även kallat Knowledge Discovery from Data (KDD). Denna process möjliggör att ur be- fintliga data utvinna nya data enligt J.Han m.fl. [6]. För denna informations- utvinning används matematisk statistik för att ta fram sannolikheter för vissa beteenden som skulle kunna indikera att penningtvätt är involverat.

Det finns i huvudsak två olika sätt att hitta anomalier vid transaktionsöver- vakning:

1. Regelbaserade system med fördefinierade regler uppbyggda efter erfaren- heter hos experter och mönster funna med hjälp av matematisk statistik.

2. Maskininlärning som nyttjas för att ta fram nya, för experter möjligen okända, mönster och/eller klassificering/förutsägelse

A.Salehi m.fl:s rapport “Data Mining Techniques for Anti Money Launde-

ring” [7] utreder vilka tekniker inom data mining som kan användas när det

gäller att upptäcka mönster för, och fall av, penningtvätt. Några tekniker som

7 | TEORI

nämns i rapporten är klustring, regelbaserade system och neurala nätverk.

2.2.1 Regelbaserade system

Regelbaserade system tillhör kategorin för klassificering och förutsägelse.

Som namnet, regelbaserade system antyder så bygger dessa metoder på att klassificering sker utifrån ett antal fördefinierade regler översatta till logik.

N.S.Kahn et al. [8] menar att fördelar med regelbaserade system är dels att det inte krävs en stor märkt datamängd för träning (till skillnad från överva- kade maskininlärningsmodeller, se 2.2.2), och dels en god insyn i systemet vilket möjliggör regeluppdateringar och informationsuthämtning. Vidare är en nackdel med dessa system att kännedom om reglerna gör de lättare att kringgå dessa. Det är även svårt att ha kännedom om alla regler som behövs.

Arbetet med AML och CFT genom utveckling av regelbaserade system kan göras med olika tekniker. Ett par av dessa tekniker förklaras nedan.

Binära beslutsregler med kontrolluttryck

Binära beslutsregler med kontrollfrågor (BBK) är en teknik som erbjuder ett enkelt sätt att med hjälp av olika regler, i detta fall transaktionsmönster för penningtvätt, bygga ett system som flaggar för suspekta transaktioner.

Antoni Ligêza förklarar i “An Introduction to Design of Rule-Based Systems”

[9] att en regel är uppbyggd enligt följande: regel: (förutsättningar) → (slut- sats), där förutsättningar agerar som ett filter eller beslutsvillkor. Enligt denna teknik så förses varje regel med ett kontrolluttryck i form av vad som händer om förutsättningarna uppfylls eller inte, vilken regel som är näst på tur att kontrolleras. Denna procedur fortsätter till målet är nått, i detta fall är målet att flagga för om transaktionen är suspekt eller inte. Figur 2.2 visar hur detta skulle kunna se ut inom AML och CFT.

8 | TEORI

Figur 2.2. Flödesschema över exempel på binära beslutsregler med kontrolluttryck inom AML och CFT

Fördelen med ett system av detta slag är att det är förhållandevis simpelt att implementera. Det ger också en tydlig bild över vad som letas efter och går lätt att modifiera. Nackdelen, som med alla regelbaserade system, är att väl- definierade och många regler krävs. Dessutom är systemet lätt att kringgå om reglerna blir kända.

Bayesianskt nätverk

T. Koski och J. Noble [10] förklarar att ett Bayesianskt nätverk (BN) är en

slags statistisk modell som representerar gemensamma sannolikhetsmo-

deller för angivna variabler. I en riktad graf representeras varje variabel av

en nod och varje beroende mellan noderna av de riktade kanterna. Varje va-

riabel (nod) har en betingad sannolikhetstabell skapad utefter alla möjliga

kombinationer av värden från föregående nod i nätverket. Avslutningsvis

förklarar Koski et al. att aktuellt värde på en variabel sprids genom nätverket

i syfte att uppdatera fördelningen av sannolikhet för andra variabler som inte

observerats direkt. Genom sin struktur kan ett BN erbjuda en lättförstådd vi-

9 | TEORI

sualisering för utformningen av mer komplicerade relationer mellan variab- ler. I figur 2.3 visas ett exempel på hur ett enkelt BN kan vara uppbyggt grundat på en märkt datamängd.

Figur 2.3. Ett enkelt Bayesianskt nätverk uppbyggd på given datamängd

Sannolikhetstabellerna för varje nod räknas fram utifrån andelen olika utfall den har i den tillhandahållna data. Till exempel visar datamängden att en av två stora bananer är god, vilket visas på rad två i sannolikhetstabellen för God. Exemplet bygger på en datamängd som är märkt, i detta fall represen- teras märkningen av huruvida en slags frukt av en viss storlek var god eller inte. Ofta är dock den enda data som finns tillgänglig omärkt och ett sådant scenario behandlas i följande fallstudie.

Fallstudie av transaktionsövervakning byggt på ett Bayesianskt nätverk

I “A bayesian approach for suspicious financial activity reporting” [8] visar

N. S. Kahn m.fl. hur ett Bayesianskt nätverk kan användas i samband med

transaktionsövervakning i syfte att beräkna en kundens grad av misstänkt

beteende. N. S. Kahn m.fl. motiverar valet av ett BN som metod, för att hitta

10 | TEORI

misstänkt finansiell aktivitet, med dess egenskaper att kunna ta transakt- ionshistoriken i beaktning. Strukturen bygger på ett BN utifrån en samling fördefinierade regler i detta fall regler framtagna av the State Bank of Paki- stan (SBP). Ett exempel på en sådan regel är regel 1: Transaktioner där till- gångar/pengar tas ut direkt efter att de satts in. Reglernas villkor ligger till grund för att generera en poäng för transaktionen som representerar vilken grad en kunds transaktion är misstänkt. Därefter jämförs kundens transakt- ionshistorik och förutbestämda tröskelvärden med genererad poäng för att bestämma grad av misstänkt beteende. Metoden för beräkning av poäng de- las in i tre faser.

1. Förbehandling av data - Denna första fas är till för att skala bort transaktioner som högst troligt inte ingår i penningtvätt, till exempel ge- nom att sortera bort lägre belopp. Insamlade transaktioner delas sedan in i periodbaserade grupper, i detta fall en period över sju dagar. Variabler som total summa, skillnad och frekvens för insättning och uttag räknas sedan ut från transaktionens grundvariabler. Dessa nya variabler används sedan i konstruktionen av den Bayesianska modellen.

2. Byggande av modell enligt det bayesianska sättet och uträkning av betingad sanningstabell - För de regler från SBP som denna lös- ning bygger på modelleras de utlösande faktorer som varje regel har. Uti- från reglernas utlösande faktorer skapas sedan ett BN. I figur 2.4 illustre- ras hur varje regel-nod är uppbyggd och beroende av de utlösande fak- torerna, de ljusa-gula noderna. De betingade sannolikhetstabellerna som hör till faktor- och regel-noderna beräknas utifrån den data som är till- gänglig. Däremot kan inte sannolikhetstabellen för noden suspekt trans- aktion (ST) räknas ut av den tillgängliga data då ingen märkning finns.

Därför räknas ST-nodens sannolikhetstabell istället ut med hjälp av meto- den Noisy-Or, se Noisy-OR avsnittet nedan.

11 | TEORI

Figur 2.4. En visualisering av det Bayesianska nätverket

3. Beräkning av poäng - I denna tredje fas är det färdiga nätverket redo att användas för Bayesiansk poängberäkning. De sammanräknade variab- lerna för varje intervall (sju dagar) appliceras på variabel-noderna och en uträkning för grad av suspekt transaktion kan göras.

Noisy-OR

Noisy-OR grindar används ofta inom BN:s för att förenkla, eller möjliggöra, uppbyggnaden av en modell när en eller flera noder i nätverket beror på ett flertal föräldranoder. För att beskriva en komplett betingad sannolikhetsta- bell i ett BN med en binär variabel som beror på n binära förälder-variabler krävs specifikation av 2

oberoende parametrar. Antalet parametrar att speci- ficera ökar med andra ord exponentiellt i takt med antalet föräldranoder.

Noisy-OR grindar modellerar dessa förhållanden på så sätt att godtycklig föräldranod triggar barnnodens tillstånd när det gäller noder med binära ut- fall [11].

I Learning Bayesian Network Parameters from Small Data Sets: Applicat-

12 | TEORI

ion of Noisy-OR Gates [12] skriver A. Onísko att Noisy-OR grindar kan un- derlätta modelleringen av Bayesianska nätverk genom att betingade sanno- likhetstabeller för föräldra-noder med saknad, eller begränsad, in-data kan ytterligare kompletteras av kunskap från en expert på området. Exempelvis kan en sådan fråga till en expert vara: Givet att en transaktion med storlek på över 150 000 SEK, hur sannolikt är det att detta indikerar penningtvätt?

Mer information om detta återfinns under avsnitt 3.1.5.

2.2.2 Maskininlärning

Maskininlärning delas huvudsakligen in i två kategorier, oövervakad och övervakad, där en övervakad modell tränas med hjälp av märkt data medan en oövervakad modell inte kräver att datamängden är märkt. Märkt data in- nebär i denna rapports fall att till exempel en transaktion är märkt suspekt eller inte suspekt. Oövervakad maskininlärning hjälper främst att hitta

okända mönster i datat, genom till exempel klustring, snarare än att hitta fall av tidigare kända mönster som tränats på. Det är även möjligt att kombinera dessa kategorier i semi-övervakad maskininlärning, där en märkt mindre delmängd av datat kan hjälpa att märka resten av datat [13]. Då denna rap- port fokuserar på att hitta misstänkta fall av, och inte nya mönster för, pen- ningtvätt och finansiering av terrorism, så är övervakad maskininlärning en aktuell teknik i detta fall.

Övervakad maskininlärning

Övervakad inlärning (Supervised machine learning) är den teknik då maski- nen lär sig av data. Istället för att få en uppsättning klart definierade regler på hur den ska lösa problemet, ges den en mängd data som är märkt med eti- ketter, träningsdata, som den sedan använder för att komma fram till reg- lerna själv [13]. Övervakad inlärning kräver alltså att utdatat är känt på för- hand och modellen maskinen skapar, skapar också reglerna för att kunna klassificera nya data. I sammanhanget transaktionsövervakning är utdatats klasser/etiketter diskreta och modellen kallas då för en classifier, klassifice- rare [13]. Övervakad inlärning kräver ofta en väldigt stor mängd tränings- data. Det är därför viktigt att ha ett en stor mängd märkt data att tillgå. Detta innebär ofta många timmars manuellt arbete av att märka datat med etiket- ter [14].

Två vanliga tekniker, som på senare tid haft väldigt stor framgång, för att

bygga en klassificerare är Neural Networks, neurala nätverk, och Support

Vector Machines, stödvektormaskiner. De senare har visat sig vara väldigt

13 | TEORI

effektiva när det gäller binär klassificering och även när små mängder trä- ningsdata finns att tillgå [13].

Övervakad maskininlärning inom transaktionsmonitorering

I rapporten “Detecting money laundering transactions with machine le- arning” [15] utvecklar, beskriver och validerar M. Jollum m.fl. en övervakad maskininlärningsmodell till för att hitta transaktioner som skulle kunna vara fall av penningtvätt. Författarna menar att många banker fortfarande använ- der regelbaserade system och dessa system bland annat är för simpla och har svårigheter i att hålla reglerna uppdaterade. Rapporten visar att om en mo- dell tränas på enbart tidigare rapporterade transaktioner så kan det ge brist- fälliga resultat, därav föreslås att modellen ska tränas på alla tillgängliga data (beståendes av både lagenliga och tidigare misstänkta transaktioner, men även tidigare rapporterade transaktioner). Denna metod visar sig prestera bäst i jämförelse med modeller tränade på olika kombinationer av data- mängden.

Att implementera kritiska system med hög regulation så som transaktions- monitorering inom en finansiell institution med hjälp av maskininlärning har dock sina nackdelar. S. Regan m.fl. [16] identifierar några av dem; bland annat medföljer en begränsad förståelse av hur dessa system fungerar, ma- skinen finner sambanden och kommer fram till ett regelverk för klassifice- ring. Detta gör det svårt för analytiker att motivera vad som utlöst flagg- ningen och varför kunder skickas för granskning till regulatorer. Även J.

Chaudhury ser denna risk i att använda maskininlärning i en interview med tidningen Risk [17]. I samma artikel påpekar T. Sausen att dennes företag producerar många falska positiva resultat med de traditionella lösningar de har. J. Chaudhury och T. Sausen fortsätter med att påpeka att maskininlär- ning inte är hela lösningen, utan snarare lämpat som ett komplement till de traditionella lösningar som finns idag.

14 | METOD

15 | METOD

3 Metod

Detta kapitel presenterar och motiverar valda metoder för att besvara denna rapports frågeställning. Kapitlet består även av en genomgång av datamäng- den som metoden ska valideras mot och hur denna validering ska utföras.

3.1 Val av metod

Inledningsvis gjordes en litteraturstudie över svenska myndigheters krav på finansiella institutioner när det gäller arbetet mot penningtvätt. Vidare un- dersöktes även det aktuella kunskapsläget kring transaktionsövervakning inom AML/CFT. Till sist utvecklades en prototyp i syfte att validera, och ana- lysera, modellen som valts för transaktionsövervakning.

3.1.1 Kravbild

Finansinspektionens penningtvättsföreskrifter, som är en förlängning av penningtvättslagen, kräver bland annat av finansiella institutioner att en kunds transaktioner ska övervakas i syfte att upptäcka misstänkta händelser.

Exakt hur en transaktion ska övervakas och vilka typer av transaktionsmöns- ter som är suspekta definieras inte. Dock definieras att en kunds transakt- ioner ska övervakas i syfte att hitta avvikelser från det förväntade beteendet hos en specifik NFI-kund, se 2.1.4. För att få en uppfattning om det förvän- tade beteendet tolkar författarna att man, utöver riskklassificering, ska ta hänsyn till kundens transaktionshistorik fortlöpande. Detta är således ett krav på att den metod som skall användas kan hantera. Valet av metod byggs sammanfattningsvis på ett antal krav och förutsättningar, se nedan.

1. Metoden ska kunna bedöma olika om ett transaktionsmönster är miss- tänkt penningtvätt eller finansiering av terrorism.

2. Metoden ska kunna skapa uppfattning om en kunds transaktionshistorik.

3. Metoden ska ha insyn för att skapa underlag för rapport till Finanspoli- sen.

4. Metoden har begränsad märkt datamängd till förfogande.

16 | METOD

3.1.2 Metod för transaktionsövervakning

Med ovan nämnda kravbild som bakgrund föll valet av metod på att utföra transaktionsövervakning med hjälp av ett regelbaserat system. Detta främst då ingen märkt träningsdata krävs och fördefinierade regler ger insyn i vad som bedöms vilket skapar underlag för rapport till Finanspolisen. Utöver detta så skulle transaktionshistoriken tas i beaktande vilket det Bayesianska nätverket (BN) med hjälp av en Noisy-OR kalkylering kan göra. På grund av det valdes BN som metod för transaktionsövervakning och den simplare re- gelbaserade varianten Binära beslutsregler med kontrolluttryck valdes bort.

En alternativ metod vore att utföra övervakningen med hjälp av maskininlär- ning och en tränad modell. Problemet är då främst bristen på märkt trä- ningsdata för modellen, utöver detta så erbjuder en maskininlärd lösning be- gränsad insyn i vad som faktiskt bedömts. Dessutom kan tänkas att experti- sen för att bygga en maskininlärd lösning inte alltid finns tillgänglig hos en NFI.

För att finslipa regler och tröskelvärden kommer experiment och testning med hjälp av den implementerade prototypen att utföras.

3.1.3 Data för validering

För att validera prototypen har en anonymiserad datamängd på ca 40 miljo- ner transaktioner utspridda över tre år erhållits från en svensk finansiell in- stitution. En analytiker på samma finansiella institutioner har sedan manu- ellt försett denna datamängd med ett fåtal användare med ett beteende som skulle kunna tyda på penningtvätt. De planterade penningtvättsfallen består både av fall som rapporterats till Finanspolisen och fall som är värda att be- vaka ytterligare. Prototypen för transaktionsövervakning valideras genom att undersöka till vilken grad den kan upptäcka de planterade fallen av penning- tvätt. I tabell 3.1 presenteras den del av datamängdens struktur som i detta fall är intressant.

Tabell 3.1. Den tillhandahållna datamängdens struktur efter bearbetning

userId sourceType state amount createdAt

"123456789" "Payments::Payment" "charged" 100 "2020-06-02T10:15:00+00:00"

"987654321" "Payments::Withdrawal" "settled" -100 "2020-06-03T11:15:00+00:00"

... ... ... ... ...

17 | METOD

Datamängdens struktur består av fler delar än de ovan presenterade men för denna rapport är de delar som är intressanta userId, sourceType, state, amount och createdAt. Rådatat består både av genomförda transaktioner och transaktionsintentioner som ännu inte genomförts. Att en intention inte lyckas genomföras kan bland annat bero på likviditetsbrist på ursprungskon- tot, vilket kan resultera i att flera intentioner för transaktioner skapas innan transaktionen genomförs. Detta skapar en slags upprepning i datat vilket de fördefinierade reglerna inte är anpassade för, se 3.1.4. På grund av detta kommer endast genomförda transaktioner att analyseras, se kapitel 5 för dis- kussion kring detta. Dessutom kommer datamängden reduceras till 1000 slumpmässigt utvalda användares transaktioner under året 2019, detta i syfte att minska processeringstiden under testning och validering. För att slutligen kunna validera modellen har 11 tidigare flaggade kunder med miss- tänkt transaktionsmönster planterats i mängden.

3.1.4 Regler och transaktionsmönster

Svensk lag och i förlängningen Finansinspektionen specificerar inte exakt vilka transaktionsmönster som är typiska för penningtvätt, se 3.1.1. Däremot så måste åtgärder om kundkännedom vidtas om en eller flera ackumulerade transaktioners summa överstiger 15,000 €, se 2.1.4. Utöver detta kommer utformandet av regler att bygga på tidigare kända transaktionsmönster från bland annat State Bank of Pakistan, se fallstudien i 2.2.1, och vanliga trans- aktionsmönster för placerings-, och fördelnings-steget av penningtvätt i samförstånd med en AML expert. En analys av transaktionsmönster hos da- tamängdens planterade användare ligger även till grund för reglernas ut- formning. Utifrån detta görs antaganden om att någon som försöker tvätta pengar kan komma att gå tillväga på flera olika sätt. Detta kan göras dels ge- nom att slussa lika mycket pengar in och ut från ett konto under en viss pe- riod, och dels genom att försöka dela upp större summor i ett antal mindre för att inte väcka uppmärksamhet. Ett annat tillvägagångssätt antas vara att sätta in en större summa för att inte dröja för länge med att kunna använda pengarna. Därav kommer inledningsvis reglerna att utformas enligt nedan.

Regel 1 - Summa noll

Om summan(insättningar) - summan(uttag) = 0 (± X% av summan(insätt- ningar)) → Flagga

Regel 2 - Flera medelstora insättningar

Om X antal insättningar över beloppet Y → Flagga Regel 3 - Flera medelstora uttag

Om X antal uttag över beloppet Y → Flagga

18 | METOD

Regel 4 - En stor insättning

Om en transaktion överstiger X → Flagga

3.1.5 Modellarkitektur

Med hjälp av de fördefinierade reglerna, se 3.1.4, konstrueras ett Bayesianskt nätverk, en visualisering av nätverkets struktur visas i figur 4.1. När den för- behandlade datat för ett specifikt intervall körs mot nätverket kommer de gula evidensnoderna att anta värden utefter datat. Uppfyller evidensnoder- nas värden de orangea regelnodernas villkor kommer sedan regelnoden bli sann och trigga den röda suspekt transaktion (ST) -noden enligt pilarna för beroendena i figur 4.1.

Figur 3.1. Modellens Bayesianska nätverk

I och med att endast en begränsad mängd data är märkt så kan inte sanno- likhetstabellen för ST-noden beräknas naturligt. På grund av detta kommer sannolikhetstabellen räknas ut med hjälp av en ekvation, se ekvation 1, som bygger på Noisy-OR och dess förmåga att ta tidigare expertkunskaper i beak- tande.

19 | METOD

𝑃(𝑆𝑇 = 𝑆𝑎𝑛𝑛 | Regel 𝑛) = 𝛼 ∗ 1 !"#"$ & '&('$

)*('$' +ä-&.&#"& /ö+ '&('$ 1) 2 + (1 − 𝛼) ∗ 1 !'&-.&# &

2'3 !'&-.&# 2 (1)

α -värdet och ranking av reglerna i ekvation 1 fås från tidigare expertkun- skaper på området, i en NFI:s fall genom den expert som arbetar med AML och CFT frågor. Reglernas rankningsvärden som används i denna rapport har erhållits av en AML-expert på en svensk finansiell institution. Ett högt α -värde ger en större viktning av reglernas ranking.

Medelvärdet av reglernas värde i ST-nodens sannolikhetstabell räknas sedan ut och ger indikation på till vilken grad det körda intervallet med transakt- ioner har ett transaktionsmönster som tyder på penningtvätt. Detta medel- värde kallas en Bayesiansk poäng. För att upptäcka om en användares trans- aktionsmönster skiljer sig från tidigare uppvisat transaktionsmönster så måste en Bayesiansk poäng tas fram för transaktionshistoriken. Exempelvis kan en användares transaktioner över ett år behandlas på så sätt att de första 20 veckornas transaktioner används till att skapa en uppfattning av transakt- ionshistoriken. Medelvärdet av de första 20 veckornas Bayesianska poäng jämförs sedan med varje nästkommande veckas poäng och på så sätt manife- steras ändringar i beteendemönster.

Variabel- och tröskelvärden

För att finna optimala variabel- och tröskelvärden kommer alla rimliga kom- binationer av metodens och reglernas tröskelvärden att testas genom s.k. to- talsökning, en naiv implementation av förslaget att hitta Noisy-OR grindars parametrar ur data [12].

3.1.6 Metod för validering

Validering kommer att ske genom att, i den tillhandahållna datamängden (3.1.3), försöka hitta så många av de planterade suspekta användares trans- aktionsmönster som möjligt, true positives, vilket också minskar antalet penningtvättsfall som inte upptäcks, false negatives. Samtidigt är ambit- ionen att begränsa antalet förmodat falska träffar, false positives. Detta an- tas kunna göras genom att försöka hitta så få ytterligare fall, utöver de plan- terade, som möjligt. Utöver detta kommer resultatet baserat på totalsökning- ens funna värden att jämföras med ett resultat baserat på värden bestämda av tidigare nämnd AML-expert.

För att inte skapa merarbete för en AML-expert på en hypotetisk NFI så är

20 | METOD

det av intresse att begränsa antalet falska träffar, samtidigt kan antalet fall av penningtvätt som inte upptäckts skada företaget och samhället, se 2.1.1. I

“Penningtvätt - En nationell riskbedömning” [18] uppskattas 2.7 % (ca 96

miljarder) av BNP 2012 ha tvättats genom det finansiella systemet, denna

siffra skulle kunna ge en fingervisning av hur stor del av transaktionerna

som kan vara inblandade i penningtvätt.

21 | RESULTAT

4 Resultat

I detta kapitel beskrivs inledningsvis vilka variabler som används och hur värden på dessa variabler sätts genom en totalsökning. De funna optimala variabelvärdena appliceras på modellen och modellens resultat presenteras och valideras. Dessutom jämförs dessa resultat med resultatet av modellen där variabelvärden definierats av AML-expert.

4.1 Totalsökning av variabelvärden

För att justera algoritmens parametrar och tröskelvärden måste en grundin- ställning att utgå ifrån sättas. En grundinställning för dessa variabler skulle kunna antas vara de värden som experten bidrar med. För att undersöka att om det finns någon kombination av värden, inte närliggande expertens, som kan producera ett avsevärt bättre resultat gjordes en totalsökning över kom- binationer. Då variablerna kan anta en oändlig mängd värden begränsades mängden de kan anta för att totalsökningen skulle kunna göras inom arbe- tets tidsram. Modellens 10 olika inställningsbara variabler följer nedan:

1. Andel av data avsatt för att beräkna poäng för träningshistorik.

2. Tröskelvärde för skillnaden mellan poäng för transaktionshistorik och analyserat intervalls poäng.

3. Längd på intervall, antal veckor.

4. Tröskelvärde för regel 1.

5. Beloppets tröskelvärde för regel 2.

6. Antal insättningar för regel 2.

7. Beloppets tröskelvärde för regel 3.

8. Antal uttag för regel 3.

9. Beloppets tröskelvärde för regel 4.

10. Värde för hur reglernas ranking ska viktas, se ekvation 1.

4.2 Validering

4.2.1 Resultat totalsökning

Reglernas framsökta tröskelvärden är optimerade för just den specifika till-

handahållna datamängden och just den specifika nisch av finansiell institut-

ion datamängden kommer ifrån. Detta gör att värdena skulle kunna se an-

norlunda ut för en annan typ av finansiell institution med andra typer av

pengaflöden. En parameter som kan antas vara mer generell, jämfört med

tröskelvärden för regler, för de flesta typer av finansiella institutioner är hur

stort varje tidsmässigt intervall för transaktioner som modellen analyserar åt

22 | RESULTAT

gången. Detta värde visade sig inte påverka slutresultat nämnvärt. Efter test- körning med olika intervall i storleksordningen en till åtta veckor höll sig re- sultatet på liknande nivåer vad gäller antal funna planterade penningtvätts- fall och antal ytterligare funna potentiella penningtvättsfall. Fortsättningsvis skrivs resultat på formen Y (X), där funna planterade penningtvättsfall re- presenteras av Y och ytterligare funna potentiella penningtvättsfall represen- teras av X.

En annan förmodat mer generell parameter är tröskelvärdet för hur stor skillnaden mellan ett analyserat intervalls Bayesianska poäng och transakt- ionshistorikens poäng får vara. Denna parameter visade sig dock påverka slutresultatet något mer då den efter en viss punkt gav betydligt sämre resul- tat, från som bäst 10 (20) till 6 (3) funna fall.

Mer påverkan på slutresultatet hade dock parametern för hur stor del av en NFI:s kunds datamängd som ska avsättas till att skapa en uppfattning om en dennes transaktionshistorik. Nedan visar tabell 4.1 olika resultat utefter hur stor del av datat som avsätts till att analysera en användares transaktionshi- storik. I tabell 4.1 representerar ratio variabel 1 från avsnitt 4.1.

Tabell 4.1. Resultat för olika stor andel data avsatt för att skapa en uppfattning om en användares transaktionshistorik. Talet inom parentes motsvarar ytterligare fall funna.

Ratio 10% 20% 30% 40% 50% 60% 70% 80% 90%

Resultat 10(67) 10 (55) 10 (43) 10 (32) 10 (20) 7 (15) 4 (9) 2 (4) 0 (1)

Sammanfattningsvis kunde flera intressanta resultat uppnås med hjälp av funna värden från genomförd totalsökning över parameter- och tröskelvär- den. Det resultat med flest planterade penningtvättsfall funna, true positives, var det när 10 av 11 hittades samtidigt som ytterligare 20 användare flagga- des för misstänkt transaktionsmönster. Utav dessa ytterligare 20 fall visade sig 11 vara aktuella för vidare granskning, alltså true positives, och 9 kunde avfärdas som false positives av en AML-expert. Bortser en från de planterade fallen betyder det att 45% av de funna fallen kan anses vara false positives i detta resultat.

23 | RESULTAT

Figur 4.1. Diagram över de fem bästa resultaten utifrån funna planterade fall. Resultat 1-5 motsvarar modellens utfall med olika tröskel- och variabelvärden.

Figur 4.1 visar att med olika inställningar av parametrar och tröskelvärden kan den utvecklade modellen hitta olika mängd av de planterade fallen, utef- ter premissen i 3.1.6. Figuren visar de resultat som funnit flest planterade användare samtidigt som lägst antal ytterligare användare funnits. Samban- det är tydligt mellan att ju fler av de planterade fallen modellen hittar, hittas också desto fler ytterligare fall av potentiell pengatvätt. De ytterligare fallen som hittas kan delas upp i två relativt lika stora delar, false positives och true positives, med knapp övervikt för true positives. Fler genererade fall av po- tentiell penningtvätt betyder också mer behandling av och arbete med dessa fall, medan att fler fall som inte hittas kan drabba samhället negativt. Mer om hur en NFI kan se på detta i 5.1 och 5.2.

4.2.2 AML-expertens resultat

Efter att en totalsökning gjorts enligt ovan gjordes även en totalsökning över alla parametrar bortsett från tröskelvärdena för regel 2, 3 och rankning av regler. Rankingen av reglerna läts definieras av en AML-expert utefter erfa- renhet av hur effektiva reglerna i sig är på att indikera fall av penningtvätt.

Denna söknings bästa resultat, enligt premissen i 3.1.6, resulterade i 9 (20)

användare funna. De 9 funna planterade användarna var samma som vid re-

24 | RESULTAT

sultatet baserat på totalsökningen under 4.2.1 och av de 20 ytterligare an- vändarna, var 18 samma som vid föregående resultat. När de två användarna som skiljde från totalsökningen under 4.2.1 lämnades över för manuell ana- lys av AML-expert ansågs båda dessa vara false positives.

Detta betyder för expertens resultat att 55% av de ytterligare funna använ- darna kan anses vara false positives medan motsvarande siffra i resultatet i 4.2.1 var 45%. Både resultatet baserat på totalsökningen och expertens resul- tat gav snarlika resultat om än med en viss förbättring via totalsökningen. De funna optimala värdena för variablerna 1, 2, 3, 4 och 10 var samma, se 4.1. De funna planterade användarna av de båda körningarna var samma. Körningen med expert-värden resulterade dock i en mindre hittad av dessa.

25 | ANALYS OCH DISKUSSION

5 Analys och diskussion

I detta kapitel 5 analyseras i vilken grad rapportens resultat presenterat i ka- pitel 4, uppnår målsättningen i kapitel 1. Ytterligare analys görs kring

huruvida valda metoder i kapitel 3 har bidragit till att uppnå målsättningen.

Vidare förs en diskussion kring hur den utvecklade metoden påverkar sam- hället i stort vad gäller ekonomi, etik och miljö.

5.1 Resultatanalys

Huvudmålet var att hitta en metod för en svensk NFI att hantera den trans- aktionsövervakning som krävs för att enligt svensk lag göra tillräckligt inom arbetet AML och CFT. Den utvecklade modellen har visat sig kunna hitta po- tentiella fall av penningtvätt, och eftersom svensk lag inte helt tydligt säger exakt vilka transaktionsmönster som ska övervakas så tolkar författarna att reglerna uppfyller kraven. Däremot skriver Finansinspektionen att en NFI ska övervaka kunder i syfte att hitta avvikelser från det förväntade beteendet.

Detta har den utvecklade modellen tagit i beaktning genom att analysera en kunds transaktionshistorik och sätta en Bayesiansk poäng. Denna poäng an- vänds sedan som referenspunkt i framtida bedömningar av en kunds trans- aktioner.

Den utvecklade metoden för transaktionsövervakning kunde efter att ha fun- nit optimerade variabelvärden hitta 10 av 11 planterade misstänkta fall av penningtvätt. Utöver dessa 10 hittades även 20 ytterligare användare med ett misstänkt transaktionsmönster. Av de 20 extra fynden visade sig drygt hälf- ten vara ämne för ytterligare granskning, dvs true positives. Om detta är ett bra eller dåligt resultat utifrån merarbete kontra träffsäkerhet är upp till varje enskild NFI att bedöma. Dock var hundraprocentig träffsäkerhet inte detta projekts mål. Att förbättra eller addera ytterligare regler skulle kunna vara ett sätt att förbättra resultatet.

5.1.1 Felkällor

I både totalsökningen samt körningen med experts värden vilka fångade flest

planterade fall, 10 respektive 9, missades samma användare i båda. Detta

skulle kunna tolkas som att en regel för dennes beteende inte inkluderats i

modellen. Utökning av modellen med nya regler är dock relativt simpel att

göra. Regler definieras genom enkla booleanska uttryck på ett intervall av en

kunds transaktioner. Vi anser dock att de regler som definierats i denna rap-

port förmodligen är ett minimum av regler för vad som krävs av en finansiell

institution. Varje finansiell institution måste skriva dessa regler utefter det

domän och de mönster av pengaflöden denna institution har att göra med.

26 | ANALYS OCH DISKUSSION

Avgränsningen att välja ut 1000 slumpmässiga användare i denna rapport gjordes endast för att dra ned processeringstiden. För varje kombination av variabelvärden i algoritmen behöver alla 1000 användare och deras transakt- ioner processeras av modellen. Detta relativt lilla urval av användare kan dock ha påverkat resultatet på så sätt att dessa inte representerar den totala populationens beteenden och mönster.

Mängden märkt data som använts för validering är inte särskilt stor. Detta i syfte att simulera en NFI:s situation där de möjligtvis inte har särskilt många märkta fall att optimera sina regler och variabelvärden mot. I övrigt krävs ingen märkt träningsdata för att få modellen att producera resultat, till skill- nad från övervakad maskininlärning.

Den ratio, som hittats genom totalsökning, för hur stor del av datamängden som bör användas för beräkning av kundens Bayesianska referenspoäng kan vara en felkälla. Den optimala ration för datamängden som används i detta arbete var 50 %. Ett problem är att detta arbete använt sig utav en data- mängd med transaktioner över ett år, något som kanske inte finns att tillgå för en NFI. Det är möjligt att den optimala ration skulle sett annorlunda ut på en mindre datamängd. Ett ytterligare problem med detta skulle kunna vara att fall av penningtvätt inte hittas då de återfinns i datan som avsatts för att skapa referenspoängen.

Prototypen av modellen uppfyller lagkraven på så sätt att den tar hänsyn till kundens transaktionshistorik i syfte att veta om framtida beteende är avvi- kande från det förväntade. En uppenbar brist med att endast jämföra de föl- jande intervallen mot kundens historik är att modellen inte tar hänsyn till om en kund uppvisar ett misstänkt beteende redan från början.

Integrations- och fördelningsstegen inom penningtvätt kan antas försökas fördelas ut över en längre tid för att undvika upptäckt av transaktionsmöns- ter. Resultatet av totalsökningen fann att den optimala intervall-längden hölls till sitt minimum när den applicerades på den datamängd vi analyse- rade. Detta kan tänkas missa just de fall där penningtvätt utförs över en längre tid.

27 | ANALYS OCH DISKUSSION

5.2 Diskussion

Modellens bästa resultat vad gäller antal funna true positives landade slutli- gen på ca 1 % av den totala datamängdens användare. Ett klokt antagande att göra vore dock att den utvecklade modellen förmodligen inte har, eller kom- mer, fånga upp alla aktuella fall av penningtvätt utan att en del fortfarande lyckas genomföras.

Är så fallet så betyder det på det samhälleliga planet att kriminella organi- sationer till stor del kan fortsätta sin verksamhet som kan innefatta männi- sko-, drog-, vapenhandel men även terrorfinansiering. Etiskt sett är detta förkastligt, men hur ska en veta var gränsen går för när ett företag har gjort tillräckligt? Svensk lags krav bör vara ett riktmärke för ett minimum men att ges möjligheter så bör ytterligare arbete med AML och CFT vidtas. Ett sätt att få ner antalet penningtvättsfall som inte fångas upp torde vara att ytterli- gare utveckla och göra modellen mer sofistikerad. Detta kostar i sin tur pengar vilket i detta fall kan vara problematiskt för en NFI med begränsade resurser.

5.2.1 Sociala, ekonomiska och miljömässiga aspekter

Under utvecklandet av modell och skrivande av rapport har författarna stött på ett par olika vägval där det krävts reflektion över etiken i arbetet. Ett så- dant vägval var att välja mellan att analysera transaktioner som godkänts och genomförts, eller intentioner till transaktioner. Valet föll på att analysera de transaktioner som genomförts då dessa ansågs av författarna representera det som kan ligga till grund för domslut. Huruvida en intention, eller ett uppsåt, kan betraktas som beslutsunderlag i en utredning tåls att undersökas vidare. Det kan hända att ytterligare mönster kan upptäckas på det sättet. Ett annat vägval som uppdagades var till vilken grad det i rapporten skulle

kunna presenteras exakta siffror och tröskelvärden. Nackdelen med en totalt transparent rapport bör vara att den i praktiken skulle kunna fungera som en handbok för denne med penningtvättsambitioner. Ambitionen med detta ar- bete är därför ett försök till att bidra med ett ramverk för NFI:er att utgå ifrån snarare än en komplett lösning.

Ur ett socialt perspektiv bör en alltid ha i åtanke att alla lösningar som auto-

matiserar bort mänskligt arbete kan vara bidragande till att människor förlo-

rar arbetstillfällen, å andra sidan skapar det arbete hos de som utvecklar

automatiseringarna. I en perfekt värld går detta jämnt ut. Automatisering-

arna kan i sin tur leda till ett bättre ekonomiskt klimat för företagen på

marknaden.

28 | ANALYS OCH DISKUSSION

Miljömässigt är det viktigt att försöka hålla ned energiförbrukningen av de

implementerade systemen. Detta kan göras genom att analysera effektivite-

ten hos de algoritmer och datastrukturer som används.

29 | SLUTSATSER

6 Slutsatser

Detta arbete har undersökt möjligheter för ett NFI att implementera trans- aktionsövervakning i syfte att minska manuellt arbete för agenter och upp- fylla svensk penningtvättslag inom transaktionsmonitorering. Det har visats att det är möjligt att utan märkt data implementera en modell, baserat på ett Bayesianskt nätverk med binära noder, som hittar fall av misstänkt penning- tvätt. En totalsökning av variabelvärden gjordes för att se hur inställningsar- betet av nätverket kan underlättas. Modellen uppnådde en flaggningsgrad på 90,09% av, i datamängden, planterade tidigare fall. Utöver dessa flaggade modellen för ytterligare fall, ca 2% av den totala datamängden. 55% av dessa bör, enligt en agent på ett svenskt finansiellt institut, undergå ytterligare granskning.

Finansinspektionen kräver att transaktionsmonitorering utförs utefter före- tagets riskanalys för att hitta fall av penningtvätt. Regler kan tillföras till mo- dellen för att anpassas till företagets riskanalys, specifika domän och an- vändningsmönster av dess tjänst. Denna rapport visar att det är möjligt att uppfylla dessa krav, dessutom med goda resultat, genom ett relativt simpelt bayesianskt nätverk.

6.1 Framtida arbeten

Vi förslår att mer forskning bör utföras på hur stor ratio av en kunds data- mängd som avsätts till att skapa dennes Bayesianska referenspoäng.

Vidare föreslår vi att utveckla modellen på så sätt att den tar hänsyn till om en kund redan från början visar ett misstänkt beteende. En möjlig lösning på pro- blemet är att jämföra varje intervalls Bayesianska poäng mot ett tröskelvärde, som tas fram som normalvärdet för ett icke-misstänksamt beteende. Detta normalvärde skulle kunna sättas till snittet, eller medianen, för befolkningens Bayesianska poäng.

På grund av begränsad processorkraft begränsades antalet användare som analyserades till 1011 personer och dess transaktioner över ett år. För att yt- terligare säkerställa resultatet bör en större datamängd analyseras.

För att utveckla anpassade regler till det Bayesianska nätverket föreslås en analys av företagets data genom att utnyttja clustering för att finna mönster.

Egenskaperna i dessa kluster bör sedan kunna användas som indata i de an-

passade reglerna.

30 | SLUTSATSER

31 | KÄLLFÖRTECKNING

Källförteckning

1. The Financial Action Task Force (FATF). Money Laundering [Inter- net]. Paris: FATF; 2019 [citerad 2020-03-18]. Hämtad från:

https://www.fatf-gafi.org/faq/moneylaundering/

2. The Financial Action Task Force (FATF). Terrorist Financing [Inter- net]. Paris: FATF; 2019 [citerad 2020-03-18]. Hämtad från:

https://www.fatf-gafi.org/publications/fatfgeneral/documents/terro- ristfinancing.html

3. Myndigheten för samhällsskydd och beredskap (MSB). Vad är

terrorism? [Internet]. Stockholm: MSB; 2010 [uppdaterad 2015-11-23;

citerad 2020-03-19]. Hämtad från: http://www.sakerhetspoli- tik.se/Hot-och-risker/Terrorism/Vad-ar-terrorism/

4. Finansinspektionen (FI). Penningtvätt [Internet]. Stockholm: FI; 2018 [uppdaterad 2018-11-05; citerad 2020-03-19]. Hämtad från:

https://www.fi.se/sv/bank/penningtvatt/

5. Lag om åtgärder mot penningtvätt och finansiering av terrorism (SFS 2017:630) [Internet]. Stockholm: Finansdepartementet B [citerad 2020-03-20]. Hämtad från: https://www.riksdagen.se/sv/dokument- lagar/dokument/svensk-forfattningssamling/lag-2017630-om-atgar- der-mot-penningtvatt-och_sfs-2017-630

6. Han J, Kamber M, Pei J. Data Mining: Concepts and Techniques. 3 ed.

San Francisco: Elsevier Science & Technology; 2011.

7. Salehi A, Ghazanfari M, Fathian M. Data Mining Techniques for Anti Money Laundering [Internet]. Dehli: International Journal of Applied ENgineering Research; 2017. Volume 12; No. 20. [citerad 2020-03- 26]. Hämtad från: https://www.ripublicat-

ion.com/ijaer17/ijaerv12n20_120.pdf

8. Kahn N S, Larik A S, Rajput Q, Haider S. A Bayesian Approach for Sus- picious Financial Activity Reporting. International Journal of Comput- ers and Applications. 2013; volym 35 (nummer 4): s. 181-87.

9. Ligêza A. An Introduction to Design of Rule-Based Systems. 2 ed. Ber-

lin: Springer; 2006.

32 | KÄLLFÖRTECKNING

10. Koski T, Boble J M. Bayesian networks: An introduction. 1 ed. Stock- holm: John Wiley & Sons Inc; 2009.

11. Pearl J. Probabilistic Reasoning in Intelligent Systems. 2 ed. Kidling- ton: Elsevier Science & Technology; 1997.

12. Onisko A, Druzdzel M J, Wasyluk H. Learning Bayesian Network Pa- rameters from Small Data Sets: Application of Noisy-OR Gates. Inter- national Journal of Approximate Reasoning. 2001; volym 27 (nummer 2).

13. Rebala G, Ravi A, Churiwala S. An Introduction to Machine Learning.

1st ed. Berlin: Springer; 2019.

14. Özuysal M, Baştanlar Y. Introduction to Machine Learning. Yousef M, Allmer J, redaktörer. miRNomics: MicroRNA Biology and Computa- tional Analysis. 1st ed. New Jersey: Humana Press; 2014. s. 128-105.

15. Jullum M, Löland A, Bang Huseby R. Detecting Money Laundering Transactions with Machine Learning. Journal of Money Laundering Control; 2020; volym 23 (nummer 1).

16. Regan S, Adams H, Guiral P, Choudri S. Leveraging Machine Learning within Anti-Money Laundering Transaction Monitoring [Internet].

Dublin: Accenture; 2017 [citerad 2020-03-19]. Hämtad från:

https://www.accenture.com/_acnmedia/PDF-61/Accenture-Levera- ging-Machine-Learning-Anti-Money-Laundering-Transaction-Moni- toring.pdf#zoom=50

17. Wood D. Making machine learning work for AML [Internet]. London:

Risk Magazine; 2019 [citerad 2020-03-19]. Hämtad från:

https://www.risk.net/technology/6538666/making-machine-le- arning-work-for-aml

18. Finansinspektionen. Penningtvätt - En nationell riskbedömning [In- ternet]. Stockholm: Polisen; 2013 [citerad 2020-03-20]. Hämtad från:

https://polisen.se/contentas-

sets/a7aeda235652476b829488438e4aed8f/nationell_riskbe-

domn_penningtv.pdf

www.kth.se