Gå till innehåll
Sök

Lär känna kunderna och riskbedöm dem

För att undvika att din verksamhet utnyttjas för penningtvätt och finansiering av terrorism ska du bedöma riskerna som kan vara förknippade med varje kundrelation och ha en god kundkännedom.

Du ska göra bedömningen med utgångspunkt i din verksamhets allmänna riskbedömning och den information du har om kunden. Genom bedömningen ska du klassificera den risk som kunden kan innebära för din verksamhet och du ska tilldela kunden en så kallad riskprofil.

Vad är kundkännedom?

En viktig del av penningtvättsregelverket är att lära känna sina kunder. Kundkännedomen ska vara tillräcklig för att du som verksamhetsutövare ska kunna hantera riskerna för att din verksamhet utnyttjas för penningtvätt och finansiering av terrorism.

Du behöver ha tillräcklig kunskap om

  • din kund
  • din kunds eventuella verksamhet
  • hur din kund kan komma att använda din verksamhets produkter och tjänster.

Dina åtgärder för att uppnå kundkännedom är en viktig del av ditt riskbaserade arbete och ska utgå ifrån din verksamhets allmänna riskbedömning i kombination med den riskprofil som du tilldelat den enskilda kunden.

Läs mer om hur du gör en allmän riskbedömning på sidan ”Gör en allmän riskbedömning”.

Gör en allmän riskbedömning

En kund är den som du har en avtalsförbindelse med, eller som du är på väg att ingå en avtalsförbindelse med.

Du kan antingen ha en affärsförbindelse eller utföra transaktioner med en kund.

Hur ska jag bedöma kundens riskprofil?

När du bedömer riskerna med en enskild kundrelation är utgångspunkten vad som kommer fram om kunden innan ni genomför en transaktion eller ingår en affärsförbindelse. Det är viktigt att du förstår en affärsförbindelses syfte och art för att du ska kunna identifiera vilka risker som finns med kundrelationen. När du bedömer kundens riskprofil ska du även väga in de riskfaktorer som bland annat är kopplade till kunden, kundens verksamhet och bransch, relevanta distributionskanaler och geografiska förhållanden som du har identifierat i den allmänna riskbedömningen.

Din bedömning av kundens riskprofil styr vilka åtgärder som du behöver göra och med vilken frekvens du utför dem för att uppnå och bibehålla kundkännedom.

Du har en skyldighet att löpande följa upp kundens riskprofil under pågående affärsförbindelser. Om du får information om kunden som påverkar kundens risknivå ska du uppdatera kundens riskprofil därefter.

Varför är kundkännedom viktigt?

Dina kundkännedomsåtgärder ska ge dig en förståelse för vilken risk affärsförbindelsen eller transaktionen kan innebära för din verksamhet och hur du kan hantera den.

Dina åtgärder för kundkännedom kan även i vissa fall hjälpa dig att upptäcka eller få en förklaring till något avvikande eller misstänkt i kundens aktiviteter eller transaktioner. Du kan också uppmärksamma aktiviteter eller transaktioner som, utan att vara avvikande, kan antas ingå som ett led i penningtvätt eller finansiering av terrorism.

Om du etablerar en affärsmässig förbindelse med en kund och förväntar dig att förbindelsen kommer ha en viss varaktighet, så är det en affärsförbindelse.

En affärsförbindelse kan också uppstå genom din och en kunds faktiska agerande gentemot varandra, till exempel genom att en kund återkommande utför enstaka transaktioner över tid. Om det vid din första kontakt med kunden inte står klart för dig om förbindelsen kan förväntas ha en tillräcklig varaktighet måste du löpande bedöma om en affärsförbindelse uppstår genom ditt och din kunds faktiska handlande.

Du kan utföra en eller flera transaktioner med en kund utan att du förväntar dig att kunden kommer att återkomma, och utan att kunden faktiskt återkommer fler gånger. Det är då inte en affärsförbindelse, utan ses som en eller flera enstaka transaktioner.

För att din kund inte ska kunna undvika att lämna uppgifter om sig själv till dig genom att dela upp en större transaktion i flera mindre belopp så finns det särskilda regler för sambandstransaktioner. Om du utför flera transaktioner med en och samma kund, och du inser att transaktionerna har ett samband, så ses det som en sambandstransaktion. Detsamma gäller om du borde ha insett att transaktionerna har ett samband.

Om en kund exempelvis återkommer inom en kort tidsrymd i liknande ärenden kan det ofta handla om en sambandstransaktion. Så kan vara fallet om en kund över tid köper en serie med konstverk, där varje konstverk köps för sig. Ju längre tid det går mellan transaktionerna, desto svårare blir det dock att konstatera att de har ett samband med varandra.

Måste jag ha kundkännedom?

Ja. Du får inte etablera eller fortsätta ha en affärsförbindelse eller utföra enstaka transaktioner utan att ha tillräcklig kännedom om din kund. Kännedomen behöver du för att kunna hantera risken med kundrelationen samt kunna övervaka och bedöma kundens aktiviteter och transaktioner.

Detta gäller dock inte för skatterådgivare och oberoende jurister om affärsförbindelsen syftar till följande:

  • försvara eller företräda en klient i fråga om ett rättsligt förfarande, inklusive rådgivning för att inleda eller undvika ett rättsligt förfarande
  • bedöma klientens rättsliga situation.

Oavsett vilken typ av verksamhet du bedriver får du inte etablera en affärsförbindelse om det finns misstanke om att dina produkter och tjänster kan komma att användas för penningtvätt eller finansiering av terrorism. På samma sätt får du inte utföra en transaktion om du misstänker att den utgör ett led i penningtvätt eller finansiering av terrorism.

Om det inte är möjligt för dig att låta bli att utföra en misstänkt transaktion, eller om en vidare utredningen av misstanken sannolikt skulle försvåras om du avstår, får du ändå utföra transaktionen.

Hur ska jag få kundkännedom?

Du ska genomföra åtgärder genom att till exempel inhämta information, ställa frågor till kunden och göra vissa kontroller, för att säkerställa att du har kännedom om

  • kunden
  • kundens eventuella verksamhet
  • hur kunden kommer att använda din verksamhets produkter och tjänster.

Det finns vissa åtgärder som det är krav på att du alltid ska göra. I vissa fall kan du anpassa hur du genomför åtgärden utifrån din kunds riskprofil.

När ska jag genomföra kundkännedomsåtgärder?

Du ska genomföra kundkännedomsåtgärder innan du ingår en affärsförbindelse med en kund. Därefter måste du följa upp affärsförbindelsen, både löpande och vid behov. Frekvensen för din uppföljning styrs bland annat av den riskprofil du tilldelat din kund.

Du behöver också ha kundkännedom innan du genomför enstaka transaktioner där beloppet uppgår till motsvarande 15 000 euro eller mer. Kravet blir även aktuellt om du inser eller borde inse att det finns ett samband mellan flera transaktioner på lägre belopp som tillsammans uppgår till motsvarande 15 000 euro eller mer (så kallade sambandstransaktioner).

Särskilda regler för kontantvaruhandlare

Om du är en kontantvaruhandlare finns det särskilda regler för när du ska genomföra kundkännedomsåtgärder:

  • Innan du ingår en affärsförbindelse med en kund och det är sannolikt, eller under förbindelsens gång står klart, att de kontanta transaktioner som genomförs uppgår till motsvarande 5 000 euro eller mer.
  • Innan du utför enstaka transaktioner när beloppet i kontanter uppgår till motsvarande 5 000 euro eller mer. Kravet blir också aktuellt om du inser eller borde inse att det finns ett samband mellan flera transaktioner på lägre belopp som tillsammans uppgår till motsvarande 5 000 euro eller mer.

Vad ska jag tänka på innan jag etablerar en affärsförbindelse?

Innan du ingår en affärsförbindelse med en kund behöver du bland annat samla in information om

  • vad kundens eventuella affärsverksamhet går ut på
  • hur kunden kommer att använda dina produkter eller tjänster.

Du behöver alltså hämta in information om affärsförbindelsen syfte och art så att du kan få underlag för att bedöma risken med kundrelationen och hur kunden förväntas agera inom ramen för affärsförbindelsen.

Uppgifterna ska ligga till grund för din bedömning av vilka aktiviteter och transaktioner som du kan förvänta dig att kunden kan vidta och genomföra inom ramen för er affärsförbindelse. En sådan bedömning är nödvändig för att det ska vara möjligt för dig att upptäcka avvikelser från kundens förväntade beteende.

Med hjälp av informationen som du samlar in ska du bland annat kunna upptäcka avvikelser från vad du förväntat dig och eventuella misstänkta aktiviteter och transaktioner.

I vissa fall framgår affärsförbindelsens syfte och art redan vid etableringen av er förbindelse, medan det i andra fall krävs att du gör mer efterforskningar.

Hur mycket information du behöver hämta in i det enskilda fallet beror på risken som kan förknippas med kundrelationen och övriga omständigheter.

Vilka kundkännedomsåtgärder ska jag alltid genomföra?

  • Du ska alltid identifiera kunden och kontrollera kundens identitet. Detta gäller alla kunder, och alltså oavsett riskprofil eller om kunden är en offentlig person eller känd sedan tidigare. Din kontroll av kundens identitet bör ske med sådan omsorg som risken i det enskilda fallet motiverar.
  • Du ska även utreda om kunden har en verklig huvudman och vidta åtgärder för att kontrollera den personens identitet. Läs mer i stycket ”Vad är en verklig huvudman?”.
  • Om kunden har ett ombud ska du identifiera ombudet samt kontrollera ombudets identitet och behörighet att företräda kunden.
  • Du ska ta reda på om kunden är etablerad i ett så kallat högrisktredjeland.
  • Du ska också bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning, alternativt en familjemedlem eller känd medarbetare till en sådan person. Läs mer i stycket Vad är PEP OCH RCA?”.

Hur omfattande dina kontroller, bedömningar och utredningar ska vara avgörs med hänsyn till kundens riskprofil och övriga omständigheter, till exempel om kunden är ett stort eller litet bolag.

Gällande bestämmelser om identifiering, kontroll av identitet samt dokumentation av utförda kontroller, finns i penningtvättslagen och förtydligas i länsstyrelsens föreskrifter. Här finns även länsstyrelsens allmänna råd om identitetskontroll.

Länsstyrelsen i Stockholms läns föreskrifter och allmänna råd om åtgärder mot penningtvätt och finansiering av terrorism

Vad är en verklig huvudman?

Du ska utreda om kunden har en eller flera verkliga huvudmän. En verklig huvudman är en eller flera fysiska personer som ensam eller tillsammans med någon annan ytterst äger eller kontrollerar kunden. Du kan läsa mer om verklig huvudman på Bolagsverkets webbsida.

Om verklig huvudman, Bolagsverket Länk till annan webbplats.

Du ska i din utredning göra en kontroll i Bolagsverkets register över verkliga huvudmän:

Sök verklig huvudman, Bolagsverket Länk till annan webbplats.

Kundens riskprofil samt vad du i övrigt känner till om kunden kan i vissa fall motivera att du utreder ytterligare om det finns en eller flera verkliga huvudmän.

Om kunden är en juridisk person eller en trust (eller en liknande juridisk konstruktion), ska din utredning omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur.

Vad ska jag göra om min utredning visar att kunden inte har en verklig huvudman?

Då ska du utse en så kallad alternativ verklig huvudman. Det ska du även göra om du misstänker att den som du identifierat som verklig huvudman faktiskt inte är den verkliga huvudmannen.

Till alternativ verklig huvudman ska du utse den person som du bedömer har mest kontroll över verksamheten. Det kan vara styrelseordföranden, den verkställande direktören eller en motsvarande befattningshavare.

Du behöver inte utreda verklig huvudman om din kund är

  • ett aktiebolag
  • ett dotterbolag till ett aktiebolag vars aktier är upptagna till handel på en reglerad marknad i Sverige, inom EES eller på en motsvarande marknad utanför EES.
  • en stat, region, kommun eller motsvarande

Du behöver inte heller utreda verklig huvudman om risken med kunden bedöms som låg.

Vad är PEP och RCA?

Du ska bedöma om din kund, kundens verkliga huvudman eller en alternativ verklig huvudman är

  • en person i politiskt utsatt ställning (PEP – Politically Exposed Person) alternativt
  • en familjemedlem eller känd medarbetare till en PEP (RCA – Relatives and Close Associates).

En PEP är en fysisk person som har eller har haft en viktig offentlig funktion i en stat eller en funktion i ledningen av en internationell organisation. Genom sin position och sitt inflytande har personen en ställning som i sig utgör en risk för att utnyttjas för bland annat mutbrott. En RCA kan även den vara utsatt för samma risk.

Exempel på en viktig offentlig funktion är bland annat

  • riksdagsledamot
  • domare i högsta domstol
  • ambassadör
  • hög officer
  • VD eller styrelseledamot i ett statsägt företag
  • styrelseledamot i en internationell organisation.

En familjemedlem till en PEP är

  • en maka, make, registrerad partner eller sambo
  • barn och deras make, maka, registrerad partner eller sambo
  • föräldrar.

En känd medarbetare till en PEP är en person som har en nära affärsförbindelse (genom gemensamt ägande eller bestämmande inflytande i ett företag) eller på annat sätt har en nära förbindelse med en PEP.

Du gör din utredning av PEP och RCA genom att till exempel ställa frågor till kunden och kontrollera svaren med en oberoende källa. Men beroende på risken med kundrelationen behöver du i vissa fall vidta ytterligare åtgärder.

Om din kund är en PEP eller en RCA ska du

  • inhämta godkännande från behörig beslutsfattare innan du beslutar att ingå eller avbryta affärsförbindelsen
  • genomföra särskilda kundkännedomsåtgärder, i den omfattning som är motiverad med hänsyn till risken
  • vidta lämpliga åtgärder för att ta reda på varifrån de tillgångar som kunden hanterar inom ramen för affärsförbindelsen och i eventuella transaktioner kommer och tillämpa skärpt löpande uppföljning samt övervakning av affärsförbindelsen.

Olika kundkännedomsåtgärder för kunder med olika risk

Hur omfattande din informationsinhämtning behöver vara beror på den risk som du bedömt är förknippad med kundrelationen, och övriga omständigheter.

Vad är förenklade kundkännedomsåtgärder och när får jag tillämpa dem?

När det handlar om en kundrelation som är förknippad med en låg risk kan det räcka med att du gör vissa antaganden.

Du får då göra dina kundkännedomsåtgärder på ett enklare sätt, så kallade förenklade åtgärder. Dina kontroller, bedömningar och utredningar kan vara av mer begränsad omfattning och göras på annat sätt. Det kan till exempel handla om att du tillämpar en minskad frekvens för uppdateringen av din kundkännedomsinformation.

För produkter och tjänster som har ett väl definierat och avgränsat användningsområde kan du i många fall basera dina antaganden på hur kunder normalt använder verksamhetens produkter eller tjänster.

För mer information om förenklade kundkännedomsåtgärder, se det allmänna rådet till kapitel 3, paragraf 5 i länsstyrelsens föreskrifter.

Vad är skärpta kundkännedomsåtgärder och när ska jag tillämpa dem?

Beroende på risken med kundrelationen kan du behöva ha en ökad frekvens för att uppdatera din kundkännedom samt en ökad frekvens och intensitet för din granskning av kundens transaktioner.

När en kundrelation är förknippad med en hög risk ska du alltid tillämpa skärpta kundkännedomsåtgärder. Det innebär att du behöver

  • inhämta mer information
  • ställa fler och mer ingående frågor till din kund.
  • göra särskilt omfattande kontroller, bedömningar och utredningar.

Det kan till exempel handla om att hämta in ytterligare information om kunden och den verkliga huvudmannen genom frågor om företrädare och företrädares ekonomi samt information om kundens affärsverksamhet. Dina frågor ska ge dig mer information om risken. Du kan också behöva hämta information från olika tillförlitliga och oberoende källor.

Du ska också alltid tillämpa skärpta kundkännedomsåtgärder om kunden är etablerad i ett så kallat högrisktredjeland. I dessa fall behöver du godkännande från en behörig beslutsfattare innan du etablerar eller upprätthåller en affärsförbindelse.

Om du i samband med transaktioner och affärsförbindelser som inte kräver kundkännedomsåtgärder ändå uppmärksammar avvikelser, misstänkta aktiviteter eller transaktioner ska du även då genomföra skärpta åtgärder för kundkännedom.

För mer information om skärpta kundkännedomsåtgärder, se det allmänna rådet till kapitel 3, paragraf 6 i länsstyrelsens föreskrifter.

Ska jag följa upp mina kundkännedomsåtgärder?

Ja. Du ska följa upp pågående affärsförbindelser löpande och vid behov för att säkerställa att kundkännedomen är aktuell, korrekt och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Uppföljningen tar exempelvis sikte på förnyade kontroller av kundens företrädare och verkliga huvudmän och affärsförbindelsens syfte och art, men även granskning för att upptäcka avvikande transaktioner och aktiviteter som kan utgöra misstänkt penningtvätt eller finansiering av terrorism.

Du ska anpassa på vilket sätt och med vilken frekvens du följer upp dina åtgärder utifrån din kunds riskprofil. Till exempel behöver du följa upp åtgärder för en kund med en hög riskprofil oftare och mer ingående än en kund med en låg riskprofil. Det är sannolikt först när en affärsförbindelse pågått en tid som du kan göra en säker bedömning av kundens riskprofil. Om riskprofilen ändras är du också skyldig att uppdatera din kundkännedom.

Ska jag dokumentera och spara de kundkännedomsåtgärder jag genomfört?

Ja. Allt du gör för att få kundkännedom ska du dokumentera.

Du ska alltså dokumentera och spara allt det du hämtar in, kontrollerar, utreder och bedömer som rör åtgärder för kundkännedom. Du har rätt att behandla personuppgifter i syfte att kunna fullgöra dina skyldigheter enligt penningtvättslagen.

När det gäller identitetskontroll ska åtgärderna dokumenteras på de sätt som framgår av kapitel 3, paragraf 4 i länsstyrelsens föreskrifter. Av din dokumentation ska det framgå när kontrollen har utförts.

Du ska spara dina åtgärder på ett betryggande sätt. Det vill säga de ska vara ordnade elektroniskt eller i pappersform så att de är sökbara samt enkla att identifiera, ta fram och sammanställa.

Skapa rutiner och riktlinjer

Varför ska jag spara min dokumentation av de kundkännedomsåtgärder jag gör?

Du ska snabbt och fullständigt kunna lämna till exempel dokumentation av dina genomförda kundkännedomsåtgärder till Polismyndigheten eller Säkerhetspolisen om de begär det. Du är skyldig att ha ett system som gör att du på detta sätt ska kunna lämna uppgifter om du haft en affärsförbindelse med en viss person under de senaste fem åren, och om den förbindelsens art. Ditt system ska vara strukturerat och sökbart. Det kan vara antingen elektroniskt eller manuellt.

Även länsstyrelsen kan vid en tillsyn begära att få ta del av den dokumentation du har av dina utförda kundkännedomsåtgärder.

Uppgift om på vilket sätt och hur länge du ska spara handlingar och uppgifter för kundkännedom framgår av kapitel 5, paragraf 1–2 i länsstyrelsens föreskrifter.

Får jag använda mig av kundkännedomsåtgärder som en utomstående verksamhetsutövare har genomfört?

Du får bara förlita dig på åtgärder som utförts av utomstående under vissa särskilda förutsättningar:

  1. du får bara förlita dig på de utomstående som särskilt räknas upp i penningtvättslagen
  2. du måste alltid utan dröjsmål kunna få ta del av uppgifterna och dokumentationen som ligger till grund för de åtgärder som den utomstående har utfört.

Du kan läsa mer om vilka krav som gäller för att du ska få förlita dig på åtgärder som vidtagits av utomstående i kapitel 3, paragraferna 21–24 i penningtvättslagen.

Lagen om åtgärder mot penningtvätt och finansiering av terrorism Länk till annan webbplats.

Läs mer

Ytterligare vägledning om elektronisk legitimation finns på Myndigheten för digital förvaltnings webbplats.

E-legitimering, Myndigheten för digital förvaltning (DIGG) Länk till annan webbplats.

En lista över identifierade högrisktredjeländer finns hos Europeiska kommissionen.

Europeiska kommissionens lista över identifierade högrisktredjeländer, EUR-Lex Länk till annan webbplats.

Om du misstänker att din verksamhet utnyttjas för penningtvätt eller finansiering av terrorism ska du rapportera detta till Finanspolisen.

Rapportera på portalen goAML, Finanspolisen Länk till annan webbplats.

Relaterad information

Kontakt

Enheten för företags- och säkerhetstillsyn

E-post till enheten för företags- och säkerhetstillsyn

Telefon 010-223 10 00

Dela sidan:

Landshövding

Cecilia Skingsley

Besöksadress

Regeringsgatan 66

Postadress

Box 22067, 104 22 Stockholm

Telefon

Ring oss på 010-2231000

Skicka e-post till stockholm@lansstyrelsen.se

Organisationsnummer

202100-2247

Följ oss

Följ oss på Facebook
Följ oss på LinkedIn
Följ oss på Instagram
Följ oss på Youtube
Tillbaka till toppen