FFFS 2017:11

Finansinspektionens författningssamling

Utgivare: Finansinspektionen, Sverige, www.fi.se

ISSN 1102-7460

1

Finansinspektionens föreskrifter

om åtgärder mot penningtvätt och finansiering av terrorism;

beslutade den 26 juni 2017

Finansinspektionen föreskriver¹ följande med stöd av 18 och 19 §§ förordningen

(2009:92) om åtgärder mot penningtvätt och finansiering av terrorism.

1 kap. Tillämpningsområde och definitioner

1 § Dessa föreskrifter innehåller bestämmelser om de åtgärder som ett företag ska

vidta för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering

av terrorism. Föreskrifterna omfattar bland annat hantering av frågor om risk-

bedömning och rutiner, åtgärder för identitetskontroll, övervakning och rappor-

tering samt regelefterlevnad.

2 § Föreskrifterna gäller för

1. fysiska och juridiska personer som driver sådan verksamhet som anges i

1 kap. 2 § 1–12 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av

terrorism, samt

2. filialer i Sverige till utländska juridiska personer med huvudkontor i utlandet

som driver sådan verksamhet som avses i 1.

Bestämmelser som gäller för juridiska personers styrelse eller verkställande

direktör, ska tillämpas på motsvarande sätt i fråga om behöriga företrädare i de

associationsformer där styrelse eller verkställande direktör inte förekommer.

3 § I dessa föreskrifter används samma definitioner som i 1 kap. 6–10 §§ lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Därutöver används följande definitioner:

1. företag: en fysisk eller juridisk person som utför verksamhet som omfattas av

dessa föreskrifter, samt

2. en särskilt utsedd befattningshavare: en medlem av ledningsgrupp, en verk-

ställande direktör eller en motsvarande befattningshavare enligt 6 kap 2 § första

stycket 1 lagen om åtgärder mot penningtvätt och finansiering av terrorism.

¹ Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder

för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av

terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 64/2012 och

om upphävande av Europaparlamentets och rådets direktiv 2005/6/EG och kommissionens

direktiv 2006/70/EG.

FFFS 2017:11

Utkom från trycket

den 30 juni 2017

FFFS 2017:11

2

2 kap. Riskbedömning och rutiner

1 § Bestämmelser om ett företags allmänna riskbedömning finns i 2 kap. 1 § lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Företaget ska regelbundet, minst årligen, utvärdera sin allmänna riskbedömning

och när det behövs uppdatera den.

Företaget ska dessutom uppdatera sin allmänna riskbedömning innan det erbjuder

nya eller väsentligt förändrade produkter, tjänster, riktar sig till nya marknader eller

gör andra förändringar som är relevanta för verksamheten.

2 § Ett företags gemensamma rutiner enligt 2 kap. 9 § lagen (2017:630) om

åtgärder mot penningtvätt och finansiering av terrorism, ska omfatta koncernens

övergripande rutiner och riktlinjer för att förhindra penningtvätt och finansiering av

terrorism i dess filialer och dotterföretag.

3 § Bestämmelser om ett företags rutiner för informationsutbyte finns i 2 kap. 9 §

andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av

terrorism.

Rutinerna ska omfatta hur information får delas inom koncernen om kund-

kännedom, konto- och transaktionsinformation och annan relevant information för

att förhindra penningtvätt och finansiering av terrorism. Företaget ska regelbundet,

minst årligen, utvärdera rutinerna och när det behövs uppdatera dem.

4 § Bestämmelser om ett företags rutiner för lämplighetsprövning finns i 2 kap.

13 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Rutinerna ska säkerställa att anställda, uppdragstagare och andra personer som på

liknande grund deltar i verksamheten har kunskap om området penningtvätt och

finansiering av terrorism på en nivå som är lämplig med hänsyn till personens

uppgifter och funktion. Rutinerna ska dessutom innehålla en beskrivning av hur

företaget i övrigt säkerställer att en person är lämplig för de uppgifter den förväntas

utföra.

5 § Bestämmelser om ett företags utbildning av anställda, uppdragstagare och

andra som på liknande grund deltar i verksamheten finns i 2 kap. 14 § lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Utbildningen ska utformas utifrån de risker som företaget identifierar i sin verk-

samhet enligt 2 kap.1 och 2 §§ samma lag.

Företaget ska anpassa utbildningens innehåll och frekvens till den anställdes

uppgifter och funktion i frågor som rör åtgärder mot penningtvätt och finansiering

av terrorism. Om företagets allmänna riskbedömning uppdateras eller på annat sätt

ändras ska utbildningen justeras på lämpligt sätt.

Företaget ska utöver det som anges i 2 kap. 14 § andra stycket lagen om åtgärder

mot penningtvätt och finansiering av terrorism löpande informera anställda, upp-

dragstagare och andra personer som på liknande grund deltar i verksamheten om

nya trender, mönster och metoder samt annan information som är relevant för att

förhindra penningtvätt och finansiering av terrorism.

FFFS 2017:11

3

6 § Ett företag ska dokumentera den utbildning som det genomför enligt 2 kap.

14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism,

elektroniskt eller i pappersform.

Av dokumentationen ska följande framgå:

– utbildningens innehåll,

– namn på deltagare, samt

– datum för utbildningen.

7 § Ett företag ska identifiera och analysera vilka hot eller fientliga åtgärder som

kan uppkomma mot anställda, uppdragstagare och andra personer som på liknande

grund deltar i verksamheten.

Företaget ska utreda incidenter och använda denna kunskap för att uppdatera de

rutiner det ska ha enligt 2 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt

och finansiering av terrorism. Omfattningen av rutinerna ska utgå från företagets

allmänna riskbedömning, hotbild, verksamhetens art och liknande omständigheter.

3 kap. Åtgärder för att kontrollera identitet

1 § Ett företag ska utöver att identifiera en kund enligt 3 kap. 7 § lagen (2017:630)

om åtgärder mot penningtvätt och finansiering av terrorism också kontrollera

identiteten genom att vidta de åtgärder som anges i 2–7 §§.

Fysisk person

2 § Ett företag ska kontrollera identiteten hos en fysisk person genom svenskt

körkort, svenskt pass eller identitetskort utfärdat av en svensk myndighet eller ett

svenskt certifierat identitetskort.

Om en fysisk person saknar svensk identitetshandling, ska företaget kontrollera

identiteten mot pass eller en annan identitetshandling. Passet eller identitetshand-

lingen ska innehålla ett fotografi av personen, uppgift om medborgarskap och vara

utfärdat av en myndighet eller en annan behörig utfärdare. En kopia av ett utländskt

pass eller en annan utländsk identitetshandling ska bevaras enligt de krav som ställs

i 5 kap. 3 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av

terrorism.

Om en fysisk person helt saknar identitetshandling ska företaget kontrollera

identiteten genom andra tillförlitliga dokument och andra kontroller enligt de

riskbaserade rutiner företaget ska ha enligt 2 kap. 8 § lagen om åtgärder mot

penningtvätt och finansiering av terrorism.

Företrädare för fysisk person

3 § Om en fysisk person företräds av en person som inte är förvaltare eller god

man, ska företaget

1. kontrollera företrädarens identitet i enlighet med 2 eller 5 §§, och

FFFS 2017:11

4

2. kontrollera företrädarens behörighet att företräda den fysiska personen, och vilka

förhållanden behörigheten grundar sig på, genom att åtminstone kontrollera en

skriftlig fullmakt, personbevis eller motsvarande.

4 § Om en fysisk person har en förvaltare eller en god man ska företaget

åtminstone

1. kontrollera förvaltarens eller den gode mannens identitet enligt 2 eller 5 §, och

2. vid behov kontrollera förordnandet eller motsvarande handling, som ligger till

grund för uppdraget som förvaltare eller god man.

Fysisk person på distans

5 § Ett företag ska kontrollera identiteten hos en fysisk person på distans genom

1. att använda elektronisk legitimation för att skapa en avancerad elektronisk signa-

tur enligt lagen (2016:561) med kompletterande bestämmelser till EU:s förordning

om elektronisk identifiering eller användning av någon annan teknik för elektronisk

identifiering som innebär motsvarande säkerhet, eller

2. att kontrollera den fysiska personens identitet genom att på lämpligt sätt

a) hämta in uppgifter om personens namn, adress, personnummer eller mot-

svarande,

b) kontrollera uppgifter enligt a mot externa register, intyg, eller annan mot-

svarande dokumentation, och

c) kontakta den fysiska personen genom att skicka en bekräftelse till personens

folkbokföringsadress eller motsvarande tillförlitlig adressuppgift, eller se till att

personen skickar in en vidimerad kopia av en identitetshandling, eller en annan

motsvarande åtgärd.

Juridisk person

6 § Ett företag ska kontrollera identiteten hos en juridisk person genom registre-

ringsbevis eller motsvarande behörighetshandlingar, eller göra motsvarande kon-

troll mot externa register.

Företaget ska även kontrollera identiteten hos en företrädare för en juridisk person

genom att

1. kontrollera den juridiska personens företrädares identitet enligt 2 §, och

2. säkerställa behörigheten att företräda den juridiska personen och vilka förhål-

landen behörigheten grundar sig på, genom att kontrollera uppgifterna i 1 mot den

juridiska personens registreringsbevis, externa register eller motsvarande.

Juridisk person på distans

7 § Ett företag ska kontrollera identiteten hos en juridisk person på distans genom

registreringsbevis eller motsvarande behörighetshandlingar, eller göra motsvarande

kontroll mot externa register.

FFFS 2017:11

5

Företaget ska även kontakta den juridiska personen genom att skicka en bekräftelse

till den juridiska personens registrerade adress eller vidta en motsvarande åtgärd.

Företaget ska dessutom kontrollera identiteten hos en företrädare för en juridisk

person på distans genom att

1. identifiera och kontrollera den juridiska personens företrädare enligt 5 §, och

2. kontrollera behörigheten att företräda den juridiska personen och vilka förhål-

landen behörigheten grundar sig på genom kontroll av uppgifterna i punkten 1 mot

den juridiska personens registreringsbevis, externa register eller motsvarande.

Kontroll av verklig huvudmans identitet

8 § Ett företag ska vid kontroll av identiteten av en kunds verkliga huvudman

enligt 3 kap. 8 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering

av terrorism, skaffa sig tillförlitliga och tillräckliga uppgifter om kundens verkliga

huvudman genom att kontrollera uppgifterna mot externa register, relevanta

uppgifter från kunden eller andra tillförlitliga uppgifter som företaget tagit del av.

Om kunden är en juridisk person och den verkliga huvudmannen inte går att

fastställa enligt 3 kap. 8 § tredje stycket lagen om åtgärder mot penningtvätt och

finansiering av terrorism ska, företaget kontrollera identiteten hos en styrelse-

ordförande, en verkställande direktör eller motsvarande befattningshavare för den

verkliga huvudmannen enligt 2 eller 5 §.

Förenklade åtgärder för fysisk person

9 § När förenklade åtgärder för kundkännedom enligt 3 kap. 15 § lagen (2017:630)

om åtgärder mot penningtvätt och finansiering av terrorism tillämpas för en fysisk

person, ska företaget

1. identifiera och kontrollera den fysiska personens identitet genom att

a) inhämta uppgifter om kundens namn, adress och personnummer eller mot-

svarande, och

b) kontrollera dessa uppgifter mot externa register, intyg, annan dokumentation,

eller motsvarande, samt

2. i begränsad omfattning genomföra övriga åtgärder enligt 3 kap. 8 och 10–13 §§

lagen om åtgärder mot penningtvätt och finansiering av terrorism.

Förenklade åtgärder för juridisk person

10 § När förenklade åtgärder för kundkännedom enligt 3 kap. 15 § lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism tillämpas

för en juridisk person, ska företaget

1. identifiera och kontrollera identiteten hos den juridiska personens företrädare

genom att

a) inhämta information om företrädarens namn, adress och personnummer eller

motsvarande, och

FFFS 2017:11

6

b) säkerställa företrädarens behörighet och vilka förhållanden behörigheten grundar

sig på genom att kontrollera uppgifterna i a mot den juridiska personens

registreringsbevis, externa register, eller annan motsvarande handling, identitets-

handling för företrädaren enligt 2§, samt

2. i begränsad omfattning genomföra övriga åtgärder enligt 3 kap. 8 och 10–13 §§

lagen om åtgärder mot penningtvätt och finansiering av terrorism.

4 kap. Övervakning och rapportering

System för uppgiftslämning

1 § Ett företags system enligt 4 kap. 7 § lagen (2017:630) om åtgärder mot

penningtvätt och finansiering av terrorism ska vara elektroniskt eller manuellt.

Företaget ska se till att systemet är utformat så att uppgifterna kan lämnas i ett

digitalt, strukturerat och bearbetningsbart format. Företaget ska säkerställa att

uppgifterna lämnas genom säkra kanaler eller på annat säkert sätt. Företaget ska

även se till att uppgifterna behandlas konfidentiellt.

5 kap. Bevarande av handlingar och uppgifter

1 § Ett företag ska bevara handlingar och uppgifter enligt 5 kap. 3 och 4 §§ lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism på ett säkert

sätt, elektroniskt eller i pappersform.

Företaget ska se till att handlingarna och uppgifterna är enkla att ta fram och

identifiera.

Förutsättningar för förlängt bevarande av handlingar och uppgifter

2 § Ett företag ska bevara handlingar och uppgifter enligt 5 kap. 4 § lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism i tio år, om

1.

handlingarna eller uppgifterna kan tyda på penningtvätt, finansiering av

terrorism eller att egendom annars härrör från brottslig handling,

2. omständigheter enligt 1 har rapporterats till Polismyndigheten enligt 4 kap.

3 eller 6 § lagen om åtgärder mot penningtvätt och finansiering av terrorism, och

3. en myndighet har uppmärksammat företaget om att handlingarna eller upp-

gifterna behöver bevaras under denna tidsperiod.

6 kap. Intern kontroll och anmälningar om misstänkta överträdelser

1 § När ett företag bedömer om det behöver utse de funktioner som anges i 6 kap.

2 § första stycket 1 och 3 lagen (2017:630) om åtgärder mot penningtvätt och

finansiering av terrorism, ska särskild tas hänsyn till

1. företagets omsättning,

2. antal anställda,

FFFS 2017:11

7

3. antal verksamhetsställen,

4. den verksamhet som bedrivs,

5. de produkter och tjänster som tillhandahålls,

6. verksamhetens komplexitet, och

7. företagets allmänna riskbedömning.

Funktionerna ska utföra de uppgifter som anges i 2–4 och 9 §§.

Särskilt utsedd befattningshavare

2 § En särskilt utsedd befattningshavare ska

1. göra en allmän riskbedömning enligt 2 kap.1 och 2 §§ lagen (2017:630) om

åtgärder mot penningtvätt och finansiering av terrorism,

2. uppdatera den allmänna riskbedömningen enligt 2 kap. 1 och 2 §§ lagen om

åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 1 § dessa

föreskrifter,

3. ansvara för att företaget har interna och gemensamma rutiner och riktlinjer

enligt 2 kap. 8–12 §§ lagen om åtgärder mot penningtvätt och finansiering av

terrorism samt 2 kap. 2 § dessa föreskrifter, och

4. uppdatera de interna och gemensamma rutinerna och riktlinjerna enligt 2 kap. 8–

12 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap.

2 § dessa föreskrifter.

Den särskilt utsedda befattningshavaren kan utse en eller flera personer som

biträder denne samt delegera befogenheter enligt första stycket till den eller dessa

personer.

3 § En särskilt utsedd befattningshavare ska kontrollera och följa upp att de

åtgärder, rutiner eller andra förfaranden som företaget beslutar om också genom-

förs i verksamheten.

4 § En särskilt utsedd befattningshavare ska rapportera till styrelsen eller den

verkställande direktören. Om den särskilt utsedde befattningshavaren är företagets

verkställande direktör ska rapportering ske till styrelsen.

Centralt funktionsansvarig

5 § Ett företag ska ha en centralt funktionsansvarig enligt 6 kap. 2 § 2 lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Den centralt funktionsansvarige ska

1. övervaka och löpande kontrollera att företaget uppfyller lagen om åtgärder mot

penningtvätt och finansiering av terrorism, dessa föreskrifter samt företagets rutiner

och riktlinjer,

FFFS 2017:11

8

2. ge råd och stöd till företagets anställda, uppdragstagare och andra personer som

på liknande grund deltar i verksamheten om regler som rör penningtvätt och

finansiering av terrorism,

3. informera och utbilda berörda personer om regler som rör penningtvätt och

finansiering av terrorism,

4. ansvara för att uppgifter lämnas enligt 4 kap. 6 § lagen om åtgärder mot

penningtvätt och finansiering av terrorism på det sätt som Polismyndigheten

föreskriver,

5. kontrollera och regelbundet bedöma om företagets interna och gemensamma

rutiner och riktlinjer för att förhindra att verksamheten utnyttjas för penningtvätt

eller finansiering av terrorism, enligt 2 kap. 8–12 §§ lagen om åtgärder för

penningtvätt och finansiering av terrorism samt 2 kap. 2 § dessa föreskrifter, är

ändamålsenliga och effektiva, och

6. lämna rekommendationer till berörda personer baserade på de iakttagelser som

funktionen gjort.

Den centralt funktionsansvarige kan utse en eller flera personer som biträder denne

samt delegera befogenheter enligt första stycket till den eller dessa personer.

6 § En centralt funktionsansvarig ska placeras inom företaget och vara oberoende i

förhållande till de funktioner och områden den ska övervaka och kontrollera.

7 § En centralt funktionsansvarig ska rapportera till styrelse eller verkställande

direktör.

8 § En centralt funktionsansvarig kan utses för flera eller samtliga företag inom en

koncern. Detta får dock endast ske om den centralt funktionsansvarige har till-

räcklig kompetens och tillräckligt med resurser för att kunna utöva sitt ansvar för

samtliga företag inom koncernen som omfattas av lagen (2017:630) om åtgärder

mot penningtvätt och finansiering av terrorism.

9 § Bestämmelser om en centralt funktionsansvarigs ansvar för rapporter till

Polismyndigheten finns i 6 kap. 2 § andra stycket lagen (2017:630) om åtgärder

mot penningtvätt och finansiering av terrorism.

Oberoende granskningsfunktion

10 § Den oberoende granskningsfunktionen enligt 6 kap. 2 § första stycket 3 lagen

(2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska

1.

granska och regelbundet utvärdera om företagets organisation, styrnings-

processer, it-system, modeller och rutiner och riktlinjer är ändamålsenliga och

effektiva,

2. granska och regelbundet utvärdera om företagets interna kontroll är ändamåls-

enlig och effektiv,

3. granska och regelbundet utvärdera om verksamheten drivs i enlighet med

företagets interna rutiner och riktlinjer,

4. granska och regelbundet utvärdera företagets riskhantering utifrån företagets

allmänna riskbedömning,

FFFS 2017:11

9

5. granska och regelbundet utvärdera tillförlitligheten och kvaliteten på det arbete

som utförs inom företagets övriga kontrollfunktioner,

6. lämna rekommendationer för åtgärder till berörda personer, baserade på de

iakttagelser som funktionen gjort, och

7. följa upp att åtgärderna enligt 6 genomförs.

11 § En oberoende granskningsfunktion ska vara direkt underställd företagets

styrelse.

12 § En oberoende granskningsfunktion ska vara organisatoriskt skild från de

funktioner och områden som den ska övervaka och kontrollera. Med funktionens

oberoende avses att funktionens anställda inte får delta i andra funktioners arbete

eller i den operativa verksamheten.

13 § Ett företag får uppdra åt någon annan att utföra en oberoende gransknings-

funktions arbete. Företaget ansvarar dock alltid för den utlagda verksamheten.

Rutiner för modellriskhantering

14 § Bestämmelser om ett företags rutiner för modellriskhantering finns i 6 kap.

1 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering

av terrorism.

Rutinerna ska innehålla en beskrivning av den bakomliggande teorin och de an-

taganden som har lett fram till en modells utformning. Rutinerna ska även beskriva

hur de ändringar som utförts av en modell ska dokumenteras.

15 § Ett företag ska ha rutiner för en valideringsprocess av sina modeller som

säkerställer att en modell är ändamålsenlig för sitt syfte enligt 6 kap. 1 § andra

stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av

terrorism.

I valideringsprocessen ska företaget granska att de parametrar och data som

används i en modell är korrekta och fullständiga samt att antagandena är lämpliga

och relevanta.

16 § Ett företag ska utföra en validering av en modell innan den tas i bruk. Om

väsentliga förändringar görs av en modell ska en ny validering genomföras.

17 § Ett företag ska efter varje validering den utför av en modell upprätta en

rapport över resultatet av valideringen.

Visselblåsningssystemets egenskaper

18 § Bestämmelser om ett företags rapporteringssystem för anställda, uppdrags-

tagare och andra personer som på liknande grund deltar i verksamheten finns i

6 kap. 4 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av

terrorism.

Företaget ska se till att rapporteringssystemet skyddar företagets information från

åtkomst av obehöriga, förhindra att informationen förvanskas eller förstörs och

säkerställa att informationen är tillgänglig när den behövs.

FFFS 2017:11

10

Företaget ska säkerställa att rapporteringssystemet är utformat så att uppgifter kan

lämnas anonymt.

7 kap. Rapportering av uppgifter till Finansinspektionen

Periodisk rapportering av uppgifter

1 § Ett företag ska årligen lämna uppgifter till Finansinspektionen om

1. den verksamhet som företaget bedriver,

2. företagets riskbedömning och rutiner,

3. företagets åtgärder för kundkännedom,

4. företagets övervakning och rapportering enligt 4 kap. lagen (2017:630) om

åtgärder mot penningtvätt och finansiering av terrorism,

5. företagets åtgärder för regelefterlevnad, samt

6. företagets utbildning av anställda, uppdragstagare och andra som på liknande

grund deltar i verksamheten enligt 2 kap. 14 § lagen om åtgärder mot penningtvätt

och finansiering av terrorism.

2 § Ett företag ska till Finansinspektionen lämna uppgifter enligt 1 § digitalt på det

sätt som närmare anges på myndighetens webbplats.

3 § Ett företag ska lämna uppgifter enligt 1 § som avser balansdagen den

31 december.

Uppgifterna ska komma in till Finansinspektionen senast den 31 mars.

4 § Uppgifter som avser belopp ska anges i svenska kronor.

Vid omräkning från annan valuta än svenska kronor, ska den valutakurs tillämpas

som gäller på balansdagen.

Begäran om uppgifter

5 § Ett företag ska på Finansinspektionens begäran lämna uppgifter utöver det som

anges i 1 §, om det behövs för att myndigheten ska kunna bedöma den risk som

kan förknippas med företaget.

____________

Dessa föreskrifter träder i kraft den 1 augusti 2017, då Finansinspektionens

föreskrifter och allmänna råd (FFFS 2009:1) om åtgärder mot penningtvätt och

finansiering av terrorism ska upphöra att gälla.

FFFS 2017:11

11

ERIK THEDÉEN

Jenny

Stenhammar

Gothnier