Dessa föreskrifter upphör att gälla den 1 juli 2024 enligt 01FS 2024:20.
1 kap. Tillämpningsområde och definitioner
1 §Dessa föreskrifter ska tillämpas av fysiska och juridiska personer som driver sådan verksamhet som anges i 1 kap. 2 § första stycket 16, 17, 19, 20 och 22–24 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
I föreskrifterna benämns dessa fysiska och juridiska personer som verksamhetsutövare.
2 §I dessa föreskrifter används de definitioner som anges i 1 kap. 6–10 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
2 kap. Riskbedömning och rutiner
Den allmänna riskbedömningen
1 §Bestämmelser om innehållet i och omfattningen av verksamhetsutövarens allmänna riskbedömning finns i 2 kap. 1 och 2 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
2 §Verksamhetsutövaren ska utvärdera den allmänna riskbedömningen regelbundet, minst en gång per år, och uppdatera den vid behov.
Den allmänna riskbedömningen ska alltid utvärderas innan verksamhetsutövaren
erbjuder nya eller väsentligt förändrade produkter eller tjänster,
riktar sig till nya marknader, eller
gör andra förändringar som är relevanta för verksamheten.
Verksamhetsutövaren ska dokumentera datumet för utvärderingen av den allmänna riskbedömningen.
Riskbedömning av kunder
3 §Bestämmelser om verksamhetsutövarens riskbedömning av kunder (kundens riskprofil) finns i 2 kap. 3 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Omständigheter som kan tyda på att kundrelationen innebär en låg respektive hög risk för penningtvätt eller finansiering av terrorism finns i 2 kap. 4 och 5 §§ samma lag.
Rutiner
4 §Bestämmelser om vad verksamhetsutövarens rutiner och riktlinjer ska omfatta finns i 2 kap. 8–10, 13 och 15 §§ samt 6 kap. 1 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Verksamhetsutövarens rutiner och riktlinjer ska därutöver omfatta det som anges om
identifiering och kontroll, verklig huvudman samt förenklade och skärpta åtgärder i 3 kap. dessa föreskrifter,
system för uppgiftslämning enligt 4 kap. dessa föreskrifter,
bevarande av handlingar och uppgifter enligt 5 kap. dessa föreskrifter, samt rutiner och funktioner för intern kontroll i 6 kap. dessa föreskrifter.
5 §Verksamhetsutövare med anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten ska, utöver vad som anges i 2 kap. 4 § dessa föreskrifter, även ha rutiner och riktlinjer avseende
lämplighetsprövning av anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten enligt 2 kap. 7 § dessa föreskrifter, och
skydd för anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten från hot eller fientliga åtgärder enligt 2 kap. 10 § dessa föreskrifter.
6 §Verksamhetsutövaren ska utvärdera sina rutiner och riktlinjer regelbundet, minst en gång per år, och uppdatera dem vid behov.
Verksamhetsutövaren ska dokumentera datumet för utvärderingen av rutinerna och riktlinjerna.
Lämplighetsprövning
7 §Bestämmelser om verksamhetsutövarens rutiner för lämplighetsprövning av anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten finns i 2 kap. 13 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Verksamhetsutövarens rutiner och riktlinjer ska säkerställa att kontrollen av lämpligheten är proportionerlig i förhållande till personens arbetsuppgifter och funktion samt den allmänna riskbedömningen av verksamheten.
Utbildning och information
8 §Bestämmelser om verksamhetsutövares utbildning av och information till anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten finns i 2 kap. 14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Utbildningen och informationen ska utformas utifrån de risker som verksamhetsutövaren har identifierat i sin allmänna riskbedömning. När den allmänna riskbedömningen uppdateras ska utbildningen anpassas därefter. Utbildningens innehåll och frekvens ska också anpassas utifrån de anställdas och uppdragstagarnas arbetsuppgifter och funktioner.
9 §Verksamhetsutövaren ska dokumentera utbildningar som genomförts i enlighet med 2 kap. 14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Av dokumentationen ska det framgå vad utbildningen innehåller, namnen på deltagarna samt datumet för utbildningen.
Skydd mot hot, hämnd eller andra fientliga åtgärder
10 §Bestämmelser om verksamhetsutövarens rutiner och åtgärder för att skydda anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten mot hot, hämnd eller andra fientliga åtgärder finns i 2 kap. 15 § första stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Verksamhetsutövaren ska använda slutsatserna från sin hantering av hot, hämnd och andra fientliga åtgärder som inträffat i verksamheten för att vidta nödvändiga åtgärder i det enskilda fallet samt vid behov uppdatera sin allmänna riskbedömning samt rutiner och riktlinjer.
3 kap. Åtgärder för kundkännedom
1 §Bestämmelser om identifiering och kontroll, verklig huvudman samt förenklade och skärpta åtgärder för kundkännedom finns i 3 kap. 7 och 8 samt 15–17 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Identifiering av fysiska personer
2 §Verksamhetsutövaren ska identifiera fysiska personer genom att efterfråga personens namn, personnummer, samordningsnummer eller motsvarande nummer samt adress.
Kontroll av närvarande fysiska personer
3 §Verksamhetsutövaren ska kontrollera identiteten hos närvarande fysiska personer genom kontroll av
tillförlitlig elektronisk legitimation, eller
personens pass, körkort eller annan identitetshandling som utvisar ett fotografi av den fysiska personen och är utfärdat av myndighet eller annan behörig och tillförlitlig utfärdare, eller
andra dokument och uppgifter från oberoende och tillförlitliga källor. Om det uppstår svårigheter att bedöma om en källa är tillförlitlig och oberoende ska flera källor användas.
Verksamhetsutövaren ska dokumentera kontrollåtgärden enligt första stycket 1 genom att bevara en kopia av bekräftelsen på den elektroniska legitimationen. Verksamhetsutövaren ska dokumentera kontrollåtgärden enligt första stycket 2 genom att anteckna identitetshandlingens nummer och giltighetstid eller genom att bevara en kopia av identitetshandlingen. Verksamhetsutövaren ska dokumentera kontrollåtgärden enligt första stycket 3 genom att bevara en kopia av de dokument och uppgifter som legat till grund för kontrollen.
Av dokumentationen enligt andra stycket ska det framgå när kontrollen av kundens identitet har utförts.
Kontroll av fysiska personer på distans
4 §Verksamhetsutövaren ska kontrollera identiteten hos fysiska personer på distans genom kontroll av
tillförlitlig elektronisk legitimation, eller
personens namn och personnummer, samordningsnummer eller motsvarande nummer samt adress mot externa register, intyg eller andra oberoende och tillförlitliga källor samt genom att därefter
skicka en bekräftelse till kundens folkbokföringsadress eller motsvarande tillförlitliga adress, eller
inhämta en vidimerad kopia på en identitetshandling från kunden. Av vidimeringen ska det framgå att en annan person än kunden intygat med namnteckning, namnförtydligande och kontaktuppgifter att kopian överensstämmer med originalet.
Verksamhetsutövaren ska dokumentera kontrollåtgärden enligt första stycket 1 genom att bevara en kopia av bekräftelsen på den elektroniska legitimationen. Verksamhetsutövaren ska dokumentera kontrollåtgärderna enligt första stycket 2 genom att bevara en kopia av de dokument och uppgifter som legat till grund för kontrollen samt en kopia av bekräftelsebrevet eller den vidimerade kopian på identitetshandlingen.
Av dokumentationen enligt andra stycket ska det framgå när kontrollen av kundens identitet har utförts.
Kontroll av företrädare för fysiska personer
5 §Om en kund företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera företrädarens identitet samt dokumentera kontrollen i enlighet med 3 kap. 3 eller 4 § dessa föreskrifter.
Verksamhetsutövaren ska kontrollera personens behörighet att företräda kunden genom kontroll av fullmakt, förordnande eller annan motsvarande behörighetshandling.
Verksamhetsutövaren ska dokumentera behörighetskontrollen genom att bevara en kopia av den granskade handlingen. Av dokumentationen ska framgå när kontrollen av företrädarens behörighet har utförts.
Identifiering av juridiska personer
6 §Verksamhetsutövaren ska identifiera juridiska personer genom att inhämta uppgifter om företagets namn och organisationsnummer, registrerad adress samt företrädare.
Kontroll av juridiska personer och deras företrädare
7 §Verksamhetsutövaren ska kontrollera uppgifterna om den juridiska personen och dess företrädares behörighet genom kontroll av registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor.
Verksamhetsutövaren ska kontrollera identiteten på den juridiska personens företrädare i enlighet med 3 kap. 3 eller 4 § dessa föreskrifter.
Verksamhetsutövaren ska dokumentera åtgärderna genom att bevara en kopia av de kontrollerade handlingarna. Av dokumentationen ska framgå när kontrollen av den juridiska personen och dess företrädare har utförts.
Allmänna råd
Registreringsbevis eller motsvarande registerutdrag bör inte vara äldre än en vecka när verksamhetsutövaren utför kontrollen. Om ett utdrag hämtas från en webbplats som tillhandahåller information om juridiska personer, bör det framgå att uppgifterna på webbplatsen är hämtade från Bolagsverkets näringslivsregister eller ett motsvarande register från en annan nations myndighet.
Verksamhetsutövaren bör som utgångspunkt kunna begränsa identitetskontrollen enligt 3 kap. 7 § andra stycket till den fysiska person som företräder den juridiska personen gentemot verksamhetsutövaren. Detta under förutsättning att den eller de personer som är företrädare har firmateckningsrätt eller motsvarande behörighet att företräda den juridiska personen. Fler kontroller kan behöva göras om verksamhetsutövaren bedömer att kundrelationen är förknippad med hög risk.
Verklig huvudman
8 §Bestämmelser om verklig huvudman finns i 3 kap. 8 och 9 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism och 1 kap. 3–7 §§ lagen (2017:631) om registrering av verkliga huvudmän.
Allmänna råd
En kontroll av uppgifterna i Bolagsverkets register över verkliga huvudmän enligt lagen (2017:631) om registrering av verkliga huvudmän utesluter inte att ytterligare kontroller kan behöva göras i det enskilda fallet.
När verksamhetsutövaren utser alternativ verklig huvudman enligt 3 kap. 8 § tredje stycket samma lag är det tillräckligt att en person utses. Uppgifter om alternativ verklig huvudman finns inte i Bolagsverkets register över verkliga huvudmän.
9 §Verksamhetsutövaren ska kontrollera identiteten hos den verkliga huvudmannen genom kontroll av identitetshandling, registerutdrag, intyg eller andra uppgifter från oberoende och tillförlitliga källor i enlighet med 3 kap. 3 eller 4 § dessa föreskrifter.
Verksamhetsutövaren ska dokumentera åtgärderna genom att bevara kopior av de granskade handlingarna. Av dokumentationen ska framgå när kontrollen har utförts.
Förenklade kundkännedomsåtgärder
10 §Bestämmelser om förenklade åtgärder för kundkännedom finns i 3 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Allmänna råd
Med hänsyn till risken i den enskilda kundrelationen och övriga omständigheter kan förenklade åtgärder bland annat avse
kontroll av kundens identitet kan göras efter att en affärsförbindelse har upprättats,
affärsförbindelsens syfte och art kan presumeras under förutsättning att verksamhetens tjänster eller produkter är likartade och att verksamhetsutövaren inom rimlig tid kan konstatera att kunden agerar på det sätt som presumerats,
minskad frekvens för uppdatering av kundkännedomsinformation, exempelvis så att informationen endast behöver uppdateras om nya omständigheter inträffar, eller
minskad frekvens och intensitet för granskning av transaktioner, exempelvis så att granskning endast behöver göras vid transaktioner över vissa beloppsgränser.
Skärpta kundkännedomsåtgärder
11 §Bestämmelser om skärpta åtgärder för kundkännedom finns i 3 kap. 16 och 17 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Bevarande av dokumentationen
12 §Verksamhetsutövarens dokumentation av de vidtagna kontrollåtgärderna enligt detta kapitel ska bevaras i enlighet med 5 kap. 1 och 2 §§ dessa föreskrifter.
4 kap. System för uppgiftslämning
1 §Bestämmelser om uppgiftslämning till Polismyndigheten eller Säkerhetspolisen och system för uppgiftslämningen finns i 4 kap. 6 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Systemet för uppgiftslämning ska vara strukturerat och sökbart. Det kan vara antingen elektroniskt eller manuellt under förutsättning att det är möjligt för verksamhetsutövaren att behandla och lämna uppgifterna på det sätt som Polismyndigheten eller Säkerhetspolisen anvisar.
5 kap. Bevarande av handlingar och uppgifter
1 §Verksamhetsutövaren ska på ett betryggande sätt bevara de handlingar och uppgifter som anges i 5 kap. 3 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Handlingarna och uppgifterna ska i enlighet med 5 kap. 3 § samma lag sparas i fem år. Tiden räknas från det att åtgärden eller transaktionen utfördes eller, i de fall då en affärsförbindelse har etablerats, från det att affärsförbindelsen upphörde.
Handlingarna ska vara ordnade antingen elektroniskt eller i pappersform så att de är lättåtkomliga och sökbara.
2 §Efter en förfrågan från Polismyndigheten eller annan behörig myndighet, ska verksamhetsutövaren bevara uppgifter och handlingar under en längre period än fem år. Tiden för det förlängda bevarandet ska anpassas utifrån den tid som myndigheten behöver för att förebygga, upptäcka eller utreda penningtvätt eller finansiering av terrorism. Den sammanlagda tiden som handlingarna och uppgifterna bevaras får inte överstiga tio år.
6 kap. Intern kontroll
1 §Bestämmelser om verksamhetsutövarens rutiner och riktlinjer samt funktioner för intern kontroll finns i 6 kap. 1 och 2 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
2 §Av 6 kap. 2 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism framgår det att verksamhetsutövaren ska utse funktioner för intern kontroll när det är motiverat med hänsyn till verksamhetens storlek och art.
Vid bedömningen av vad som avses med verksamhetens storlek och art ska verksamhetsutövaren bland annat ta hänsyn till
verksamhetens omsättning,
antalet anställda,
antalet verksamhetsställen,
den verksamhet som bedrivs,
de produkter och tjänster som erbjuds,
verksamhetens komplexitet, och
verksamhetsutövarens allmänna riskbedömning.
Av verksamhetsutövarens rutiner och riktlinjer för intern kontroll ska det framgå när funktioner enligt 6 kap. 2 § lagen om åtgärder mot penningtvätt och finansiering av terrorism har utsetts. Det ska också framgå av rutinerna och riktlinjerna vem som innehar respektive funktion.
3 §När det inte är motiverat att utse funktioner enligt 6 kap. 2 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, ska verksamhetsutövaren genom sina rutiner och riktlinjer säkerställa att det finns en funktion för regelefterlevnad som ansvarar för
att verksamhetsutövarens skyldigheter enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism och dessa föreskrifter genomförs och verkställs i verksamheten, och
verksamhetsutövarens rapporter till Polismyndigheten om misstänkt penningtvätt eller finansiering av terrorism enligt 4 kap. 3 § samma lag.
Av verksamhetsutövarens rutiner och riktlinjer för intern kontroll ska det framgå om funktionen enligt första stycket har utsetts. Det ska också framgå av rutinerna och riktlinjerna vem som innehar funktionen.
Ikraftträdande- och övergångsbestämmelser
2021:36
Dessa föreskrifter träder i kraft den 1 januari 2022.
Genom dessa föreskrifter upphävs Länsstyrelsen i Stockholms läns föreskrifter och allmänna råd (01FS 2019:53) om åtgärder mot penningtvätt och finansiering av terrorism.
De äldre föreskrifterna gäller dock fortfarande i fråga om överträdelser som inträffat före ikraftträdandet.
2024:20
Dessa föreskrifter träder i kraft den 1 juli 2024.
Genom föreskrifterna upphävs Länsstyrelsen i Stockholm läns föreskrifter och allmänna råd (01FS 2021:36) om åtgärder mot penningtvätt och finansiering av terrorism.
För överträdelser som har inträffat före den 1 juli 2024 gäller dock fortfarande Länsstyrelsen i Stockholm läns upphävda föreskrifter och allmänna råd (01FS 2021:36) om åtgärder mot penningtvätt och finansiering av terrorism.