1 kap. Tillämpningsområde och definitioner

1 §Dessa föreskrifter innehåller bestämmelser om de åtgärder som ett företag ska vidta för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism. Föreskrifterna omfattar bland annat hantering av frågor om riskbedömning och rutiner, åtgärder för identitetskontroll, övervakning och rapportering samt regelefterlevnad.

2 §Föreskrifterna gäller för

  1. fysiska och juridiska personer som driver sådan verksamhet som anges i 1 kap. 2 § 1–13 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, samt

  2. filialer i Sverige till utländska juridiska personer med huvudkontor i utlandet som driver sådan verksamhet som anges i 1 kap. 2 § 1–8 och 10–12 samma lag.

Bestämmelser som gäller för juridiska personers styrelse eller verkställande direktör, ska tillämpas på motsvarande sätt i fråga om behöriga företrädare i de associationsformer där styrelse eller verkställande direktör inte förekommer.

FFFS (2021:37)

3 §I dessa föreskrifter används samma definitioner som i 1 kap. 610 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Därutöver används följande definitioner:

  1. företag: en fysisk eller juridisk person som utför verksamhet som omfattas av dessa föreskrifter, samt

  2. en särskilt utsedd befattningshavare: en medlem av ledningsgrupp, en verkställande direktör eller en motsvarande befattningshavare enligt 6 kap. 2 § första stycket 1 lagen om åtgärder mot penningtvätt och finansiering av terrorism.

2 kap. Riskbedömning och rutiner

1 §Bestämmelser om ett företags allmänna riskbedömning finns i 2 kap. 1 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Företaget ska regelbundet, minst årligen, utvärdera sin allmänna riskbedömning och när det behövs uppdatera den.

Företaget ska dessutom uppdatera sin allmänna riskbedömning innan det erbjuder nya eller väsentligt förändrade produkter, tjänster, riktar sig till nya marknader eller gör andra förändringar som är relevanta för verksamheten.

2 §Ett företags gemensamma rutiner enligt 2 kap. 9 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, ska omfatta koncernens övergripande rutiner och riktlinjer för att förhindra penningtvätt och finansiering av terrorism i dess filialer och dotterföretag.

3 §Bestämmelser om ett företags rutiner för informationsutbyte finns i 2 kap. 9 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Rutinerna ska omfatta hur information får delas inom koncernen om kundkännedom, konto- och transaktionsinformation och annan relevant information för att förhindra penningtvätt och finansiering av terrorism. Företaget ska regelbundet, minst årligen, utvärdera rutinerna och när det behövs uppdatera dem.

4 §Bestämmelser om ett företags rutiner för lämplighetsprövning finns i 2 kap. 13 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Rutinerna ska säkerställa att anställda, uppdragstagare och andra personer som på liknande grund deltar i verksamheten har kunskap om området penningtvätt och finansiering av terrorism på en nivå som är lämplig med hänsyn till personens uppgifter och funktion. Rutinerna ska dessutom innehålla en beskrivning av hur företaget i övrigt säkerställer att en person är lämplig för de uppgifter den förväntas utföra.

5 §Bestämmelser om ett företags utbildning av anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten finns i 2 kap. 14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Utbildningen ska utformas utifrån de risker som företaget identifierar i sin verksamhet enligt 2 kap. 1 och 2 §§ samma lag.

Företaget ska anpassa utbildningens innehåll och frekvens till den anställdes uppgifter och funktion i frågor som rör åtgärder mot penningtvätt och finansiering av terrorism. Om företagets allmänna riskbedömning uppdateras eller på annat sätt ändras ska utbildningen justeras på lämpligt sätt.

Företaget ska utöver det som anges i 2 kap. 14 § andra stycket lagen om åtgärder mot penningtvätt och finansiering av terrorism löpande informera anställda, uppdragstagare och andra personer som på liknande grund deltar i verksamheten om nya trender, mönster och metoder samt annan information som är relevant för att förhindra penningtvätt och finansiering av terrorism.

6 §Ett företag ska dokumentera den utbildning som det genomför enligt 2 kap. 14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, elektroniskt eller i pappersform.

Av dokumentationen ska följande framgå:

  • utbildningens innehåll,

  • namn på deltagare, samt

  • datum för utbildningen.

7 §Ett företag ska identifiera och analysera vilka hot, hämndåtgärder eller andra fientliga åtgärder som kan uppkomma mot anställda, uppdragstagare och andra personer som på liknande grund deltar i verksamheten.

Företaget ska utreda incidenter och använda kunskapen för att uppdatera de rutiner som det ska ha enligt 2 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Omfattningen av rutinerna ska utgå från företagets allmänna riskbedömning, hotbild, verksamhetens art och liknande omständigheter.

FFFS (2019:28)

3 kap. Åtgärder för att kontrollera identitet

1 §Ett företag ska utöver att identifiera en kund enligt 3 kap. 7 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism också kontrollera identiteten genom att vidta de åtgärder som anges i 2–7 §§.

Fysisk person

2 §Ett företag ska kontrollera identiteten hos en fysisk person genom svenskt körkort, svenskt pass eller identitetskort utfärdat av en svensk myndighet eller ett svenskt certifierat identitetskort.

Om en fysisk person saknar svensk identitetshandling, ska företaget kontrollera identiteten mot pass eller en annan identitetshandling. Passet eller identitetshandlingen ska innehålla ett fotografi av personen, uppgift om medborgarskap och vara utfärdat av en myndighet eller en annan behörig utfärdare. En kopia av ett utländskt pass eller en annan utländsk identitetshandling ska bevaras enligt de krav som ställs i 5 kap. 3 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Om en fysisk person helt saknar identitetshandling ska företaget kontrollera identiteten genom andra tillförlitliga dokument och andra kontroller enligt de riskbaserade rutiner företaget ska ha enligt 2 kap. 8 § lagen om åtgärder mot penningtvätt och finansiering av terrorism.

Företrädare för fysisk person

3 §Om en fysisk person företräds av en person som inte är förvaltare eller god man, ska företaget

  1. kontrollera företrädarens identitet i enlighet med 2 eller 5 §, och

  2. kontrollera företrädarens behörighet att företräda den fysiska personen, och vilka förhållanden behörigheten grundar sig på, genom att åtminstone kontrollera en skriftlig fullmakt, personbevis eller motsvarande.

4 §Om en fysisk person har en förvaltare eller en god man ska företaget åtminstone

  1. kontrollera förvaltarens eller den gode mannens identitet enligt 2 eller 5 §, och

  2. vid behov kontrollera förordnandet eller motsvarande handling, som ligger till grund för uppdraget som förvaltare eller god man.

Fysisk person på distans

5 §Bestämmelser om kontroll av en kunds identitet på distans finns i 3 kap. 7 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Ett företag får, utöver att göra på det sätt som anges i 3 kap. 7 § andra stycket lagen om åtgärder mot penningtvätt och finansiering av terrorism, kontrollera identiteten hos en fysisk person på distans genom att

  1. hämta in uppgifter om personens namn, adress, personnummer eller motsvarande,

  2. kontrollera uppgifter enligt 1 mot externa register, intyg eller annan motsvarande dokumentation, och

  3. kontakta personen genom att skicka en bekräftelse till hans eller hennes folkbokföringsadress eller till en motsvarande tillförlitlig adress, eller se till att personen skickar in en vidimerad kopia av en identitetshandling, eller en annan motsvarande åtgärd.

FFFS (2019:28)

Juridisk person

6 §Ett företag ska kontrollera identiteten hos en juridisk person genom registreringsbevis eller motsvarande behörighetshandlingar, eller göra motsvarande kontroll mot externa register.

Företaget ska även kontrollera identiteten hos en företrädare för en juridisk person genom att

  1. kontrollera den juridiska personens företrädares identitet enligt 2 §, och

  2. säkerställa behörigheten att företräda den juridiska personen och vilka förhållanden behörigheten grundar sig på, genom att kontrollera uppgifterna i 1 mot den juridiska personens registreringsbevis, externa register eller motsvarande.

Juridisk person på distans

7 §Ett företag ska kontrollera identiteten hos en juridisk person på distans genom registreringsbevis eller motsvarande behörighetshandlingar, eller göra motsvarande kontroll mot externa register.

Företaget ska även kontakta den juridiska personen genom att skicka en bekräftelse till den juridiska personens registrerade adress eller vidta en motsvarande åtgärd.

Företaget ska dessutom kontrollera identiteten hos en företrädare för en juridisk person på distans genom att

  1. identifiera och kontrollera den juridiska personens företrädare enligt 5 §, och

  2. kontrollera behörigheten att företräda den juridiska personen och vilka förhållanden behörigheten grundar sig på genom kontroll av uppgifterna i punkten 1 mot den juridiska personens registreringsbevis, externa register eller motsvarande.

Kontroll av verklig huvudmans identitet

8 §Ett företag ska vid kontroll av identiteten av en kunds verkliga huvudman enligt 3 kap. 8 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, skaffa sig tillförlitliga och tillräckliga uppgifter om kundens verkliga huvudman genom att kontrollera uppgifterna mot externa register, relevanta uppgifter från kunden eller andra tillförlitliga uppgifter som företaget tagit del av.

Om kunden är en juridisk person och den verkliga huvudmannen inte går att fastställa enligt 3 kap. 8 § tredje stycket lagen om åtgärder mot penningtvätt och finansiering av terrorism ska företaget kontrollera identiteten hos en styrelseordförande, en verkställande direktör eller motsvarande befattningshavare för den juridiska personen enligt 2 eller 5 §.

Förenklade åtgärder för fysisk person

9 §När förenklade åtgärder för kundkännedom enligt 3 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism tillämpas för en fysisk person, ska företaget

  1. identifiera och kontrollera den fysiska personens identitet genom att

    1. inhämta uppgifter om kundens namn, adress och personnummer eller motsvarande, och

    2. kontrollera dessa uppgifter mot externa register, intyg, annan dokumentation, eller motsvarande, samt

  2. i begränsad omfattning genomföra övriga åtgärder enligt 3 kap. 8 och 1013 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism.

Förenklade åtgärder för juridisk person

10 §När förenklade åtgärder för kundkännedom enligt 3 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism tillämpas för en juridisk person, ska företaget

  1. identifiera och kontrollera identiteten hos den juridiska personens företrädare genom att

    1. inhämta information om företrädarens namn, adress och personnummer eller motsvarande, och

    2. säkerställa företrädarens behörighet och vilka förhållanden behörigheten grundar sig på genom att kontrollera uppgifterna i a mot den juridiska personens registreringsbevis, externa register, eller annan motsvarande handling, identitetshandling för företrädaren enligt 2 §, samt

  2. i begränsad omfattning genomföra övriga åtgärder enligt 3 kap. 8 och 1013 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism.

4 kap. Övervakning och rapportering

System för uppgiftslämning

1 §Ett företags system enligt 4 kap. 7 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska vara elektroniskt eller manuellt.

Företaget ska se till att systemet är utformat så att uppgifterna kan lämnas i ett digitalt, strukturerat och bearbetningsbart format. Företaget ska säkerställa att uppgifterna lämnas genom säkra kanaler eller på annat säkert sätt. Företaget ska även se till att uppgifterna behandlas konfidentiellt.

5 kap. Bevarande av handlingar och uppgifter

1 §Ett företag ska bevara handlingar och uppgifter enligt 5 kap. 3 och 4 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism på ett säkert sätt, elektroniskt eller i pappersform.

Företaget ska se till att handlingarna och uppgifterna är enkla att ta fram och identifiera.

Förutsättningar för förlängt bevarande av handlingar och uppgifter

2 §Ett företag ska bevara handlingar och uppgifter enligt 5 kap. 4 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism i tio år, om

  1. handlingarna eller uppgifterna kan tyda på penningtvätt, finansiering av terrorism eller att egendom annars härrör från brottslig handling,

  2. omständigheter enligt 1 har rapporterats till Polismyndigheten eller Säkerhetspolisen enligt 4 kap. 3 eller 6 § lagen om åtgärder mot penningtvätt och finansiering av terrorism, och

  3. en myndighet har uppmärksammat företaget om att handlingarna eller uppgifterna behöver bevaras under denna tidsperiod.

FFFS (2019:28)

6 kap. Intern kontroll och anmälningar om misstänkta överträdelser

1 §När ett företag bedömer om det behöver inrätta sådana funktioner som anges i 6 kap. 2 § första stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, ska särskild hänsyn tas till

  1. företagets omsättning,

  2. antal anställda,

  3. antal verksamhetsställen,

  4. den verksamhet som bedrivs,

  5. de produkter och tjänster som tillhandahålls,

  6. verksamhetens komplexitet, och

  7. företagets allmänna riskbedömning.

Funktionerna ska utföra de uppgifter som anges i 2–5, 7 och 10 §§.

FFFS (2024:4)

1 a §Ett företag som inte utser en centralt funktionsansvarig enligt 6 kap. 2 § första stycket 2 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, ska säkerställa att det framgår av företagets rutiner och riktlinjer för intern kontroll

  1. vilken befattningshavare som ansvarar för rapporter till Polismyndigheten enligt 4 kap. 3 § lagen om åtgärder mot penningtvätt och finansiering av terrorism, och

  2. hur ansvaret för att fullgöra företagets skyldigheter enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism och dessa föreskrifter i övrigt är fördelat inom företaget.

FFFS (2024:4)

1 b §Ett företag ska säkerställa att det framgår av företagets rutiner och riktlinjer för intern kontroll vilka funktioner som det har inrättat enligt 1 §.

FFFS (2024:4)

Särskilt utsedd befattningshavare

2 §En särskilt utsedd befattningshavare ska

  1. göra en allmän riskbedömning enligt 2 kap. 1 och 2 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism,

  2. uppdatera den allmänna riskbedömningen enligt 2 kap. 1 och 2 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 1 § dessa föreskrifter,

  3. ansvara för att företaget har interna och gemensamma rutiner och riktlinjer enligt 2 kap. 812 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 2 § dessa föreskrifter, och

  4. uppdatera de interna och gemensamma rutinerna och riktlinjerna enligt 2 kap. 812 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 2 § dessa föreskrifter.

Den särskilt utsedda befattningshavaren kan utse en eller flera personer som biträder denne samt delegera befogenheter enligt första stycket till den eller dessa personer.

3 §En särskilt utsedd befattningshavare ska kontrollera och följa upp att de åtgärder, rutiner eller andra förfaranden som företaget beslutar om också genomförs i verksamheten.

4 §En särskilt utsedd befattningshavare ska rapportera till styrelsen eller den verkställande direktören. Om den särskilt utsedde befattningshavaren är företagets verkställande direktör ska rapportering ske till styrelsen.

Centralt funktionsansvarig

5 §En centralt funktionsansvarig enligt 6 kap. 2 § första stycket 2 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska

  1. övervaka och löpande kontrollera att företaget uppfyller lagen om åtgärder mot penningtvätt och finansiering av terrorism, dessa föreskrifter samt företagets rutiner och riktlinjer,

  2. ge råd och stöd till företagets anställda, uppdragstagare och andra personer som på liknande grund deltar i verksamheten om regler som rör penningtvätt och finansiering av terrorism,

  3. informera och utbilda berörda personer om regler som rör penningtvätt och finansiering av terrorism,

  4. ansvara för att uppgifter lämnas enligt 4 kap. 6 § lagen om åtgärder mot penningtvätt och finansiering av terrorism på det sätt som Polismyndigheten föreskriver,

  5. kontrollera och regelbundet bedöma om företagets interna och gemensamma rutiner och riktlinjer för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism, enligt 2 kap. 812 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 2 § dessa föreskrifter, är ändamålsenliga och effektiva, och

  6. lämna rekommendationer till berörda personer baserade på de iakttagelser som funktionen gjort, och

  7. regelbundet och minst årligen upprätta en rapport om företagets arbete mot penningtvätt och finansiering av terrorism.

Den centralt funktionsansvarige kan utse en eller flera personer som biträder denne samt delegera befogenheter enligt första stycket till den eller dessa personer.

FFFS (2024:4)

6 §En centralt funktionsansvarig ska placeras inom företaget och vara oberoende i förhållande till de funktioner och områden den ska övervaka och kontrollera.

Ett företag får uppdra åt någon annan att utföra sådana uppgifter som anges i 5 § första stycket 1–3 och 5–7. Företaget ansvarar dock alltid för de utlagda uppgifterna.

FFFS (2024:4)

7 §En centralt funktionsansvarig ska rapportera till styrelse eller verkställande direktör.

8 §En centralt funktionsansvarig kan utses för flera eller samtliga företag inom en koncern. Detta får dock endast ske om den centralt funktionsansvarige har tillräcklig kompetens och tillräckligt med resurser för att kunna utöva sitt ansvar för samtliga företag inom koncernen som omfattas av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

9 §Bestämmelser om en centralt funktionsansvarigs ansvar för rapporter till Polismyndigheten finns i 6 kap. 2 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Oberoende granskningsfunktion

10 §Den oberoende granskningsfunktionen enligt 6 kap. 2 § första stycket 3 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska

  1. granska och regelbundet utvärdera om företagets organisation, styrningsprocesser, it-system, modeller och rutiner och riktlinjer är ändamålsenliga och effektiva,

  2. granska och regelbundet utvärdera om företagets interna kontroll är ändamålsenlig och effektiv,

  3. granska och regelbundet utvärdera om verksamheten drivs i enlighet med företagets interna rutiner och riktlinjer,

  4. granska och regelbundet utvärdera företagets riskhantering utifrån företagets allmänna riskbedömning,

  5. granska och regelbundet utvärdera tillförlitligheten och kvaliteten på det arbete som utförs inom företagets övriga kontrollfunktioner,

  6. lämna rekommendationer för åtgärder till berörda personer, baserade på de iakttagelser som funktionen gjort, och

  7. följa upp att åtgärderna enligt 6 genomförs.

11 §En oberoende granskningsfunktion ska vara direkt underställd företagets styrelse.

12 §En oberoende granskningsfunktion ska vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Med funktionens oberoende avses att funktionens anställda inte får delta i andra funktioners arbete eller i den operativa verksamheten.

13 §Ett företag får uppdra åt någon annan att utföra en oberoende granskningsfunktions arbete. Företaget ansvarar dock alltid för den utlagda verksamheten.

Rutiner för modellriskhantering

14 §Bestämmelser om ett företags rutiner för modellriskhantering finns i 6 kap. 1 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Rutinerna ska innehålla en beskrivning av den bakomliggande teorin och de antaganden som har lett fram till en modells utformning. Rutinerna ska även beskriva hur de ändringar som utförts av en modell ska dokumenteras.

15 §Ett företag ska ha rutiner för en valideringsprocess av sina modeller som säkerställer att en modell är ändamålsenlig för sitt syfte enligt 6 kap. 1 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

I valideringsprocessen ska företaget granska att de parametrar och data som används i en modell är korrekta och fullständiga samt att antagandena är lämpliga och relevanta.

16 §Ett företag ska utföra en validering av en modell innan den tas i bruk. Om väsentliga förändringar görs av en modell ska en ny validering genomföras.

17 §Ett företag ska efter varje validering den utför av en modell upprätta en rapport över resultatet av valideringen.

Visselblåsningssystemets egenskaper

18 §Bestämmelser om ett företags rapporteringssystem för anställda, uppdragstagare och andra personer som på liknande grund deltar i verksamheten finns i 6 kap. 4 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Företaget ska se till att rapporteringssystemet skyddar företagets information från åtkomst av obehöriga, förhindra att informationen förvanskas eller förstörs och säkerställa att informationen är tillgänglig när den behövs.

Företaget ska säkerställa att rapporteringssystemet är utformat så att uppgifter kan lämnas anonymt.

7 kap. Rapportering av uppgifter till Finansinspektionen

Periodisk rapportering av uppgifter

1 §Ett företag ska årligen lämna uppgifter till Finansinspektionen om

  1. den verksamhet som företaget bedriver,

  2. företagets riskbedömning och rutiner,

  3. företagets åtgärder för kundkännedom,

  4. företagets övervakning och rapportering enligt 4 kap. lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism,

  5. företagets åtgärder för regelefterlevnad, samt

  6. företagets utbildning av anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten enligt 2 kap. 14 § lagen om åtgärder mot penningtvätt och finansiering av terrorism.

2 §Ett företag ska till Finansinspektionen lämna uppgifter enligt 1 § digitalt på det sätt som närmare anges på myndighetens webbplats.

3 §Ett företag ska lämna uppgifter enligt 1 § som avser balansdagen den 31 december.

Uppgifterna ska komma in till Finansinspektionen senast den 31 mars.

4 §Uppgifter som avser belopp ska anges i svenska kronor.

Vid omräkning från annan valuta än svenska kronor, ska den valutakurs tillämpas som gäller på balansdagen.

Begäran om uppgifter

5 §Ett företag ska på Finansinspektionens begäran lämna uppgifter utöver det som anges i 1 §, om det behövs för att myndigheten ska kunna bedöma den risk som kan förknippas med företaget.

Ikraftträdande- och övergångsbestämmelser

2017:11

Dessa föreskrifter träder i kraft den 1 augusti 2017, då Finansinspektionens föreskrifter och allmänna råd (FFFS 2009:1) om åtgärder mot penningtvätt och finansiering av terrorism ska upphöra att gälla.

2019:28

Dessa föreskrifter träder i kraft den 1 januari 2020.

2021:37

Dessa föreskrifter träder i kraft den 1 januari 2022.

2024:4

Dessa föreskrifter träder i kraft den 26 mars 2024.