This blog post is only available in Swedish

KYC eller inte? Reflektioner kring kundbegreppet och när KYC krävs

I två omdiskuterade beslut från Finansinspektionen har Trustly och Klarna belagts med betydande sanktionsavgifter. Den senaste sanktionsavgiften mot Klarna uppgick till 500 miljoner kronor och är en av de största som utdelats av Finansinspektion.

I båda besluten har Finansinspektionen tagit ställning till/berört frågan om bolagen har haft en skyldighet att genomföra kundkännedomsåtgärder eller inte. I båda fallen har bolagen argumenterat för att en skyldighet inte har funnits för vissa slutanvändare. En central frågeställning har varit vilka användare som ska anses vara kunder ur ett penningtvättsperspektiv - i båda fallen har bolagens tolkning skilt sig från Finansinspektionens.

Mot bakgrund av ovan redogör vi i ett blogginlägg för våra tankar kring centrala begrepp vid analysen om åtgärder för kundkännedom krävs.

Sammanfattning

Det är viktigt att korrekt definiera vem som är en kund i penningtvättsammanhang, en definition som skiljer sig markant från det vardagliga språkbruket. Frågan är särskilt relevant för verksamhetsutövare där fler än två parter är del av en transaktionskedja. För att fastställa vem som ska vara föremål för kundkännedomsåtgärder krävs en tydlig och noggrann tillämpning av gällande regler och lagar.

För att effektivt navigera tillämpliga regelverk rekommenderas verksamhetsutövare att:

  1. Identifiera avtalsförbindelser: En avtalsförbindelse ligger till grund för vem som anses vara en kund enligt penningtvättslagen. Det är avgörande att verksamhetsutövare noggrant bedömer och dokumenterar om och när en avtalsförbindelse uppstår, oavsett om det sker genom skriftliga avtal eller konkludent handlande. Det är kritiskt att differentiera vilka motparter som utgör användare respektive kund enligt penningtvättslagens definition.
  2. Förstå kundens koppling till verksamheten: Alla kundförhållanden omfattas inte per automatik av penningtvättslagen, utan endast de som har en koppling till den tillståndspliktiga verksamheten. Verksamhetsutövaren bör således förstå om och hur kunden nyttjar verksamhetsutövarens verksamhet.
  3. Bedöma affärsförbindelser och transaktioner: Verksamhetsutövare måste kunna skilja på att ha en kund (avtalsförbindelse) och att ha en affärsförbindelse. En avtalsförbindelse kan med regelbunden interaktion eller flera transaktioner över tid utvecklas till en affärsförbindelse som då kräver att kundkännedomsåtgärder vidtas. Vid enstaka transaktioner bör verksamhetsutövaren dels beakta tröskelvärden enligt lag, dels storleken i relation till vad som är normalt inom ramen för den egna verksamheten.
  4. Hantera kundkännedomsåtgärder: Det är viktigt att ha tydliga riktlinjer för när och hur kundkännedomsåtgärder ska genomföras. Detta inkluderar inte bara vid inledandet av en affärsförbindelse och hantering av stora transaktioner, utan också löpande övervakning för att identifiera misstänkta eller avvikande omständigheter som kan indikera penningtvätt eller finansiering av terrorism.

Steg 1 – Kund eller inte: Finns det en avtalsförbindelse?

Vad en kund är ur ett penningtvättsperspektiv skiljer sig ofta från vad vi menar med begreppet i dagligt tal – exempelvis är en investerare i en fond otvivelaktigt en kund ur ett penningtvättsperspektiv. Att man använder ett annat begrepp än just kund har ingen betydelse för om man ska anses vara en kund (se prop. 2008/09:70 s. 183).

Penningtvättslagen definierar en kund som någon "som har trätt eller står i begrepp att träda i avtalsförbindelse" med en verksamhetsutövare. En avtalsförbindelse ska inte sammanblandas med affärsförbindelse – en avtalsförbindelse kan finnas, samtidigt som en affärsförbindelse inte finns (se vidare nedan). I penningtvättslagens definition av en avtalsförbindelse finns även en tidsaspekt som innebär att man kan bli kund innan densamma inleds  - tidsaspekten diskuteras inte vidare i detta blogginlägg.

Grunden för att förstå om någon är en kund är alltså att förstå om en avtalsförbindelse finns. Avtal kan ingås på olika sätt och även om det är vanligast att ett avtal är skriftligt kan en avtalsförbindelse uppstå genom exempelvis konkludent handlande (se SOU 2024:58 s. 614).

Som huvudregel är utgångspunkten att man inte har en skyldighet att utföra åtgärder för kundkännedom på kunders kunder (se prop. 2016/17:173 s. 509) eller när det rör sig om betalningsinitieringstjänster (s.k. PISP)1. Att man är kund hos en verksamhetsutövare utesluter inte att man också kan vara kund hos en annan verksamhetsutövare (se FI dnr 20-20967 s. 12), så bara för att en användare är en kunds kund, utesluter det inte att det att hen även kan vara kund hos verksamhetsutövaren. Även i dessa fall måste man således förstå om en direkt avtalsförbindelse faktiskt föreligger.

Två faktorer som enligt Finansinspektionen generellt indikerar att en avtalsförbindelse föreligger är:

En betaltjänstleverantör som tillhandahåller exempelvis en checkout-lösning och som önskar en struktur där dess slutanvändare inte betraktas som kunder kan däremot inte bara titta på dessa två faktorer utan bör beakta hela strukturen. Även om det inte finns något skriftligt avtal med slutanvändaren kan slutanvändaren komma att betraktas som en kund utifrån principen om att ett avtal kan slutas genom konkludent handlande.

Att en förmögenhetsöverföring sker mellan en användare och en verksamhetsutövare är ytterligare något som indikerar att en avtalsförbindelse finns (jfr prop. 2016/17:173 s. 230). Ett sådant scenario kan exempelvis aktualiseras när en verksamhetsutövare tillhandahåller en checkout-lösning till en e-handlare och en betalning antingen i) går direkt från slutanvändaren till ett konto i verksamhetsutövarens namn och medel senare överförs till e-handlaren, eller ii) en betalning går direkt från slutanvändaren till e-handlarens konto (jfr. FI dnr 20-20967 s. 15).

Vidare bör det noteras att det inte spelar någon roll om ett avtal ingås med verksamhetsutövarens ombud eller direkt med verksamhetsutövaren själv (se FI dnr 20-21809 s. 5), då verksamhetsutövaren svarar fullt och villkorslöst för ombudets handlingar.

Steg 2 – Kund i PTL-verksamheten eller inte?

Bara för att ett kundförhållande föreligger innebär det inte att man per automatik är att betrakta som en kund ur ett penningtvättsperspektiv. Exempelvis kan en bank ingå avtal med en reklambyrå rörande reklamtjänster – i detta fall krävs det inte att banken utför åtgärder för kundkännedom, då reklambyrån inte är en kund ur ett penningtvättsperspektiv.

Detsamma gäller verksamhetsutövare som bedriver blandad verksamhet (jfr prop. 1992/93:207 s. 12 samt prop. 2022/23:124 s. 67). För exempelvis jurist- och advokatbyråer är penningtvättslagen endast tillämplig för de tjänster som särskilt anges i lagen. Advokatsamfundet, som även är tillsynsorgan för advokater i dessa frågor, har publicerat en vägledande kommentar (Vägledning för advokater och advokatbyråer beträffande lagstiftningen om bekämpning av penningtvätt och terroristfinansiering) där just detta diskuteras i mer detalj.

Svenska institutet mot penningtvätt (SIMPT) som inriktar sig mot finansiella företag, förklarar i sin vägledning att lagen är tillämplig på ”avtalsförbindelser som innebär att motparten nyttjar verksamhetsutövarnas verksamhet” (se Vägledning om kundbegreppet), men förtydligar att det kan röra sig såväl om ett scenario där man tar emot ett belopp som när man betalar ut ett belopp. Nyckelfrågan, enligt SIMPT, är således om motparten nyttjar verksamhetsutövarens verksamhet.

Frågan om en kund är en del av den tillstånds-/registreringspliktiga verksamheten aktualiseras exempelvis i fallet med alternativa investeringsfonder (AIF:er) inom private equity, där vi stött på uppfattningen att endast investerarna är att betrakta som kunder ur ett penningtvättsperspektiv. I brist på svensk vägledning i frågan, kan det noteras att brittiska samrådsorganet Joint Money Laundering Streering Group (JMLSG) som tar fram riktlinjer för reglerade brittiska bolag, att i) investerare, ii) investeringar (portföljbolag) samt iii) förvärvare vid avyttringar (exits) alla är att betrakta som kunder ur ett penningtvättsperspektiv (se 'Guidance for the UK financial sector – Part II: Sectoral Guidance', stycke 13.21),

Steg 3 -  KYC eller inte: Affärsförbindelse eller transaktioner över tröskelvärdet?

Det finns inget generellt krav att utföra kundkännedomsåtgärder för samtliga kunder (steg 1) inom den del av verksamheten som står under penningtvättslagen (steg 2). Skyldigheten att utföra åtgärder finns när ett av de kriterier som listas i penningtvättslagen är uppfyllda, vilket antingen är i samband med att en affärsförbindelse etableras, i samband med enstaka transaktioner över tröskelvärden eller när det finns omständigheter som är avvikande eller misstänksamma.

Affärsförbindelse eller inte?

Penningtvättslagen definierar en affärsförbindelse som ”en affärsmässig förbindelse som när den etableras förväntas ha en viss varaktighet”. Normalt finns en affärsförbindelse vid mellanhavanden som grundas på ett avtal, men den kan (liksom för en avtalsförbindelse) uppstå genom konkludent handlande (se prop. 2016/17:173 s.188-189).

En affärsförbindelse behöver inte uppstå vid den första kontakten mellan en kund och en verksamhetsutövare, utan kan över tid utvecklas till en affärsförbindelse. Ett sådant scenario aktualiseras exempelvis när en kund gör regelbundna transaktioner hos en verksamhetsutövare – vid första transaktionen etableras nödvändigtvis inte en affärsförbindelse, men skulle efterföljande transaktioner ske kan detta utvecklas till en affärsförbindelse vid senare tidpunkt. Finansinspektionen anser att en affärsförbindelse åtminstone uppstår när det genomförs tolv transaktioner av samma person under en frekvens av tolv månader, den s.k. 12/12-regeln (se Erfarenheter från penningtvättstillsynen 2016–2017, s. 8). I sanktionsbeslutet mot Klarna framgår det att Klarna anser att en affärsförbindelse med Klarna etablerades först efter 60 transaktioner under en 12-månadersperiod, detta med hänsyn till transaktionernas låga beloppsvärde. Finansinspektionen ansåg att transaktionernas låga värde inte var relevant för bedömningen om en affärsförbindelses finns, och hänvisade till den ovan nämnda 12/12-regeln. I relation till ovan ska det dock noteras att regelverket inte direkt ställer krav på att verksamhetsutövaren vidtar aktiva åtgärder för att undersöka om det finns sambandstransaktioner (jfr prop. 2016/17:173 s. 230 samt s. 234).

Som en bisats, och i kommentar till sanktionsbeslutet mot Klarna, är det värt att notera att om bedömningen huruvida en affärsförbindelse finns sker automatiserat genom internt framtagna regler och scenarier, kan Finansinspektionen betrakta detta som en modell som då kräver modellriskhantering (se FI dnr 22-11505).

Transaktioner över tröskelvärde?

Om det inte finns en affärsförbindelse ska åtgärder för kundkännedom enligt penningtvättslagen genomföras vid följande tillfällen:

  • vid enstaka transaktioner som uppgår till ett belopp motsvarande 15 000 euro
  • vid sambandstransaktioner som tillsammans uppgår till motsvarande 15 000 euro,
  • vid vissa överföringar av medel (genom penningöverföringstjänster) eller kryptotillgångar som uppgår till ett belopp motsvarande 1 000 euro, och
  • vid enstaka transaktioner eller sambandstransaktioner i kontanter som uppgår till ett belopp motsvarande 5 000 euro.

Vad som sagts ovan gäller inte för anordnare av kasinoverksamhet och speltjänster, vilka har en skyldighet att vidta åtgärder för kundkännedom i samband med in- och utbetalningar (eller sambandstransaktioner) som uppgår till motsvarande 2 000 euro.

Vidare finns ett krav att vidta skärpta åtgärder för kundkännedom vid avvikande eller misstänkta transaktioner som understiger gränsbeloppet (se prop. 2016/17:173 s. 291). Finansinspektionen har delat en registrerad valutaväxlares bedömning, där en huvuddel av valutaväxlarens transaktioner varit mellan 2 000 till 3 000 kronor, att skärpta åtgärder för kundkännedom ska vidtas vid transaktioner över 20 000 kronor (se FI dnr 22-23 s. 12). En verksamhetsutövare som utför en stor andel enstaka transaktioner under tröskelvärdet bör således vara uppmärksam på att det är tänkbart att kundkännedomsåtgärder krävs även för vissa transaktioner under tröskelvärdet (men över normaltransaktionen).

Vid sambandstransaktioner ställs krav på att verksamhetsutövaren inser eller borde inse att transaktionerna har ett samband. Det krävs inte att verksamhetsutövaren vidtar aktiva åtgärder för att undersöka om det rör sig om sambandstransaktioner (se prop. 2016/17:173 s.230 samt s. 234). Om däremot de "iakttagbara omständigheterna" (se prop. 2016/17:173 s. 522) tyder på ett samband, ska aktiva åtgärder vidtas för att fastställa sambandet.

  1. I nya AMLR, som en del i 'AML Package' (Förordning (EU) 2024/1624, artikel 19.6d), förtydligas att ansvaret för att utföra kundkännedomsåtgärder i samband med betalningsinitieringstjänster åligger säljföretaget; vissa har argumenterat att det put an end to the discussions gällande Trustly, men vi ser det inte som osannolikt att samma problematik kommer fortsätta framgent och att en analys av de faktiska omständigheterna fortsatt kommer att krävas.
  2. Även om Sveriges och Storbritanniens lagstiftning på penningtvättsområdet post-brexit inte är helt harmoniserad är lagstiftningen relativt lik och bland annat SIMPT refererar ofta till JMLSG.

KnownID tillhandahåller en plattform för hantering av kundkännedom. I plattformen har verksamhetsutövare möjlighet att tydligt definiera om och på vilka grunder kundkännedomsåtgärder vidtas. Kontakta oss så berättar vi mer om hur KYC kan göras enklare.