Ronny Gustavssons inlägg

EU:s nya penningtvättsförordning, AMLR, markerar en historisk förändring. Från och med den juli 2027 gäller förordningen direkt i hela EU. Vi lämnar de många nationella särlösningarna bakom oss. KYC blir i praktiken en levande process där kunder kontinuerligt ska uppdateras. Artikel 20 klargör kärnan där krav ställs på identifikation och verifiering av kund/verklig huvudman, förståelse för affärsrelationens syfte och affärsmönster, kontroller mot riktade finansiella sanktioner och löpande övervakning. Det som tidigare kunde hanteras som “nice to have” blir nu uttryckliga måste-krav. Och med artikel 26 kommer krav på tidsgränser där uppdateringar ska ske löpande med maxintervall på ett år för högriskkunder och fem år för övriga, utöver händelsedrivna uppdateringar när kundens omständigheter förändras eller ny information kommer fram. Det skärper kraven på datakällor, förändringsdetektorer och en tydlig koppling till sanktionsscreening. Transaktionsövervakningen rör sig samtidigt från efterhandsgranskning till ett mer integrerat och nära realtidsnära arbetssätt. Övervakningen ska snabbt fånga transaktioner som kräver fördjupad analys. Poängen är inte att manuellt granska allt, utan att använda system med kontext från KYC, riskklass, beteendemönster, historik och motparter. Det förutsätter att endera TM-modellerna är ordentligt integrerade med alla system så att larmen blir färre, mer relevanta och bättre underbyggda eller så adderar man AI-lösningar för att initialt hantera TM-larmen som genereras i de svårutbytbara TM-systemen. Kravbilden hårdnar också kring verkliga huvudmän. Verifiering mot centrala register ska ske och avvikelser måste hanteras anmälas eller korrigeras inom 14 dagar, vilket kräver inbyggda flöden för registerjämförelser och avvikelserapportering. Hanteringen av finansiella sanktioner flyttar in i KYC och behöver linjeras med ägar- och kontrollspåret inkl 50%-regeln i den operativa screeningmotorn. AMLA ska ta fram bindande tekniska standarder och riktlinjer om bland annat minimiinformation i KYC, godtagbara verifieringskällor, riskvariabler och löpande övervakning. Det är den detaljering som saknats och som möjliggör verklig likformighet över EU. Jag har länge sett hur otydliga regler ofta skapar luckor mellan ambition och praktik men att detta nu till stor del kommer försvinna. Vad är min rekommendation? 1) Gör KYC komplett redan från start och håll kundprofilerna levande med riskbaserade, tidsatta och händelsedrivna uppdateringar. 2) Låt transaktionsövervakningen bli kontextstyrd genom att hantera larmen med hjälp av AI. 3) Säkra datagrunden genom registerkopplingar för verkliga huvudmän, robust sanktionslogik, dokumentation och fungerande retention. De som investerar i datakvalitet, AI och styrning av modeller får ett tydligt försprång utifrån compliance, effektivitet och produktivitet. För mig handlar AMLR därför om en ny lägstanivå för hur modern AML-kontroll ska fungera i praktiken, likvärdigt i hela EU.