1 kap. Tillämpningsområde och definitioner

1 §Dessa föreskrifter ska tillämpas av fysiska och juridiska personer som driver sådan verksamhet som anges i 1 kap. 2 § första stycket 16, 17, 19, 20 och 22–24 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

I föreskrifterna benämns dessa fysiska och juridiska personer som verksamhetsutövare.

2 §I dessa föreskrifter används de definitioner som anges i 1 kap. 610 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

2 kap. Riskbedömning och rutiner

Den allmänna riskbedömningen

1 §Bestämmelser om innehållet i och omfattningen av verksamhetsutövarens allmänna riskbedömning finns i 2 kap. 1 och 2 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Verksamhetsutövarens allmänna riskbedömning ska enligt 2 kap. 2 § samma lag vara dokumenterad.

2 §Verksamhetsutövaren ska i den allmänna riskbedömningen göra följande:

  • Identifiera de produkter och tjänster som tillhandahålls i verksamheten.

  • Identifiera och analysera de hot som är relevanta för de produkter och tjänster som tillhandahålls i verksamheten. Vid denna bedömning ska verksamhetsutövaren särskilt ta hänsyn till uppgifter som kommer fram vid verksamhetsutövarens rapportering av misstänkta aktiviteter och transaktioner. Verksamhetsutövaren ska också särskilt ta hänsyn till information om tillvägagångssätt för penningtvätt och finansiering av terrorism och andra relevanta uppgifter som myndigheter lämnar.

  • Identifiera och analysera de sårbarheter som kan innebära att de produkter och tjänster som tillhandahålls i verksamheten utnyttjas för penningtvätt eller finansiering av terrorism. Vid denna bedömning ska verksamhetsutövaren särskilt beakta vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som föreligger. Verksamhetsutövaren ska även beakta andra relevanta verksamhetsspecifika omständigheter som kan innebära en sårbarhet för att verksamhetens produkter och tjänster utnyttjas för penningtvätt eller finansiering av terrorism.

  • Värdera riskerna som är förenade med de bedömda hoten och sårbarheterna. Verksamhetsutövaren ska motivera angivna risknivåer.

3 §Verksamhetsutövaren ska utvärdera den allmänna riskbedömningen regelbundet, minst en gång per år, och uppdatera den vid behov.

Den allmänna riskbedömningen ska alltid utvärderas innan verksamhetsutövaren

  1. erbjuder nya eller väsentligt förändrade produkter eller tjänster,

  2. riktar sig till nya marknader, eller

  3. gör andra förändringar som är relevanta för verksamheten.

Verksamhetsutövaren ska dokumentera datum för utvärdering och eventuell uppdatering av den allmänna riskbedömningen. Datum för utvärdering och eventuell uppdatering ska framgå av den allmänna riskbedömningen.

Riskbedömning av kunder

4 §Bestämmelser om verksamhetsutövarens riskbedömning av kunder (kundens riskprofil) finns i 2 kap. 3 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. I 2 kap. 4 och 5 §§ samma lag finns exempel på omständigheter som kan tyda på att kundrelationen innebär en låg respektive hög risk för penningtvätt eller finansiering av terrorism.

Rutiner och riktlinjer

5 §Bestämmelser om vad verksamhetsutövarens rutiner och riktlinjer ska omfatta finns i 2 kap. 810, 13 och 15 §§ samt 6 kap. 1 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Verksamhetsutövarens rutiner och riktlinjer ska därutöver omfatta det som anges om

  1. identifiering och kontroll, verklig huvudman samt förenklade och skärpta åtgärder enligt 3 kap. dessa föreskrifter,

  2. system för uppgiftslämning enligt 4 kap. dessa föreskrifter,

  3. bevarande av handlingar och uppgifter enligt 5 kap. dessa föreskrifter, och

  4. rutiner och funktioner för intern kontroll enligt 6 kap. dessa föreskrifter.

6 §Verksamhetsutövare med anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten ska, utöver vad som anges i 2 kap. 5 § dessa föreskrifter, även ha rutiner och riktlinjer avseende

  1. lämplighetsprövningen av anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten enligt 2 kap. 9 § dessa föreskrifter, och

  2. skydd för anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten från hot eller fientliga åtgärder enligt 2 kap. 12 § dessa föreskrifter.

7 §Verksamhetsutövarens rutiner och riktlinjer ska genom detaljerade handlingsregler beskriva vilka åtgärder som ska vidtas i olika situationer och hur dessa åtgärder ska vidtas. Verksamhetsutövarens rutiner och riktlinjer ska i relevanta delar vara anpassade efter riskerna för penningtvätt och finansiering av terrorism i verksamheten, verksamhetens storlek och art samt den situation där de ska användas.

8 §Verksamhetsutövaren ska utvärdera sina rutiner och riktlinjer regelbundet, minst en gång per år, och uppdatera dem vid behov.

Verksamhetsutövarens rutiner och riktlinjer för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter ska enligt 2 kap. 8 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism vara dokumenterade.

Verksamhetsutövaren ska dokumentera datum för utvärdering och eventuell uppdatering av de dokumenterade rutinerna och riktlinjerna. Datum för utvärdering och eventuell uppdatering ska framgå av de dokumenterade rutinerna och riktlinjerna.

Lämplighetsprövning

9 §Bestämmelser om verksamhetsutövarens rutiner för lämplighetsprövning av anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten finns i 2 kap. 13 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Verksamhetsutövarens rutiner och riktlinjer ska säkerställa att kontrollen av lämpligheten är proportionerlig i förhållande till personens arbetsuppgifter och funktion samt den allmänna riskbedömningen av verksamheten.

Utbildning och information

10 §Bestämmelser om en verksamhetsutövares utbildning av och information till anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten finns i 2 kap. 14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Utbildningen och informationen ska utformas utifrån de risker som verksamhetsutövaren har identifierat i sin allmänna riskbedömning. När den allmänna riskbedömningen uppdateras ska utbildningen anpassas därefter. Utbildningens innehåll och frekvens ska också anpassas utifrån de anställdas och uppdragstagarnas arbetsuppgifter och funktioner.

11 §Verksamhetsutövaren ska dokumentera utbildningar som genomförts i enlighet med 2 kap. 14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Av dokumentationen ska det framgå vad utbildningen innehåller, namnen på deltagarna samt datumet för utbildningen.

Skydd mot hot, hämnd eller andra fientliga åtgärder

12 §Bestämmelser om verksamhetsutövarens rutiner och åtgärder för att skydda anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten mot hot, hämnd eller andra fientliga åtgärder finns i 2 kap. 15 § första stycket samt 6 kap. 4 a § första stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Verksamhetsutövaren ska använda slutsatserna från sin hantering av hot, hämnd eller andra fientliga åtgärder som inträffat i verksamheten för att vidta nödvändiga åtgärder i det enskilda fallet samt vid behov uppdatera sin allmänna riskbedömning samt rutiner och riktlinjer.

3 kap. Åtgärder för kundkännedom

1 §Bestämmelser om identifiering och kontroll finns i 3 kap. 7 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Verksamhetsutövaren ska genomföra identifiering på det sätt som anges i 3 kap. 3 § dessa föreskrifter. Verksamhetsutövaren ska genomföra kontroll av identitet på det sätt som anges i 3 kap. 4 § dessa föreskrifter.

2 §Bestämmelser om vad som avses med verklig huvudman finns i 1 kap. 3–7 §§ lagen (2017:631) om registrering av verkliga huvudmän. Bestämmelser om utredning av verklig huvudman finns i 3 kap. 8 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Bestämmelser om kontroll av den verkliga huvudmannens identitet finns i 3 kap. 9 § samma lag.

Verksamhetsutövaren ska kontrollera den verkliga huvudmannens identitet på det sätt som anges i 3 kap. 4 § dessa föreskrifter.

Allmänna råd

När verksamhetsutövaren utser alternativ verklig huvudman enligt 3 kap. 8 § tredje stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism är det tillräckligt att en person utses. Uppgifter om alternativ verklig huvudman finns inte i Bolagsverkets register över verkliga huvudmän.

Identifiering av kunden

3 §Verksamhetsutövaren ska identifiera en kund som är en fysisk person genom att begära uppgifter om personens namn, personnummer, samordningsnummer eller motsvarande nummer samt adress.

Verksamhetsutövaren ska identifiera en kund som är en juridisk person genom att begära uppgifter om den juridiska personens namn och organisationsnummer, registrerad adress samt företrädare.

Om kunden företräds av ett ombud eller motsvarande, ska verksamhetsutövaren också identifiera den personen i enlighet med första stycket.

Kontroll av kundens identitet

4 §Verksamhetsutövaren ska kontrollera identiteten hos en kund som är en fysisk person samt företrädare för en kund som är en juridisk person. Om kunden företräds av ett ombud eller motsvarande, ska verksamhetsutövaren också kontrollera ombudets identitet och behörighet att företräda kunden.

Kontrollåtgärderna ska utföras och dokumenteras på det sätt som anges i nedanstående tabell. Av dokumentationen ska det även framgå när kontrollen har utförts. Identitetskontroll ska genomföras även om kunden är en offentlig person eller känd sedan tidigare.

Kontrollåtgärderna ska utföras i enlighet med nedanstående tabell, oavsett kundens risknivå.

Vem kontrolleras

Vad kontrolleras

Dokumentation av kontrollen

Fysisk person

  1. Pass, körkort eller annan identitetshandling som utvisar ett fotografi av den fysiska personen och är utfärdat av myndighet eller annan behörig och tillförlitlig utfärdare,

  2. tillförlitlig elektronisk legitimation, eller

  3. andra dokument och uppgifter från oberoende och tillförlitliga källor. Om det uppstår svårigheter att bedöma om en källa är tillförlitlig och oberoende ska flera källor användas.

  1. Anteckna identitetshandlingens nummer och giltighetstid eller bevara en kopia av identitetshandlingen.

  2. Bevara en kopia av bekräftelsen på den elektroniska legitimationen.

  3. Bevara en kopia av de dokument och uppgifter som legat till grund för kontrollen.

Fysisk person på distans

  1. Tillförlitlig elektronisk legitimation, eller

  2. personens namn och personnummer, samordningsnummer eller motsvarande nummer samt adress mot externa register, intyg eller andra oberoende och tillförlitliga källor samt därefter

    1. skicka en bekräftelse till kundens folkbokföringsadress eller motsvarande tillförlitliga adress, eller

    2. inhämta en vidimerad kopia på en identitetshandling från kunden. Av vidimeringen ska det framgå att en annan person än kunden intygat med namnteckning, namnförtydligande och kontaktuppgifter att kopian överensstämmer med originalet.

  1. Bevara en kopia av bekräftelsen på den elektroniska legitimationen.

  2. Bevara en kopia av de dokument och uppgifter som legat till grund för kontrollen samt en kopia av bekräftelsebrevet eller den vidimerade kopian på identitetshandlingen.

Företrädare, ombud eller motsvarande

  1. Se identitetskontroll för fysisk person eller fysisk person på distans, och

  2. fullmakt, förordnande eller motsvarande behörighetshandling.

  1. Se dokumentationskrav för fysisk person eller fysisk person på distans, och

  2. bevara en kopia av fullmakt, förordnande eller motsvarande behörighetshandling.

Juridisk person

Registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor.

Bevara en kopia av de kontrollerade handlingarna.

Verklig huvudman

Se identitetskontroll för fysisk person eller fysisk person på distans.

Se dokumentationskrav för fysisk person eller fysisk person på distans.

Allmänna råd

Kontroll av identitet enligt ovan bör ske med sådan omsorg som risken i det enskilda fallet motiverar.

Vid identitetskontroll av en juridisk person bör registreringsbevis eller motsvarande registerutdrag inte vara äldre än en vecka när veksamhetsutövaren utför kontrollen. Om ett utdrag hämtas från en webbplats eller ett webbaserat verktyg som tillhandahåller information om juridiska personer, bör det framgå att uppgifterna är hämtade från Bolagsverkets näringslivsregister eller ett motsvarande register från en annan nations myndighet.

Vid identitetskontroll av företrädare för en juridisk person bör verksamhetsutövaren som utgångspunkt kunna begränsa identitetskontrollen till den fysiska person som företräder den juridiska personen gentemot verksamhetsutövaren. Detta under förutsättning att den eller de personer som är företrädare har firmateckningsrätt eller motsvarande behörighet att företräda den juridiska personen. Fler kontroller kan behöva göras om verksamhetsutövaren bedömer att kundrelationen är förknippad med en förhöjd risk.

Vid identitetskontroll av en verklig huvudman utesluter inte en kontroll av uppgifterna i Bolagsverkets register över verkliga huvudmän enligt lagen (2017:631) om registrering av verkliga huvudmän att ytterligare kontroller kan behöva göras i det enskilda fallet.

Förenklade kundkännedomsåtgärder

5 §Bestämmelser om förenklade åtgärder för kundkännedom finns i 3 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Allmänna råd

Med hänsyn till risken i den enskilda kundrelationen och övriga omständigheter kan förenklade åtgärder bland annat avse

  1. att kontroll av kundens identitet kan göras efter att en affärsförbindelse har upprättats,

  2. att affärsförbindelsens syfte och art kan presumeras under förutsättning att verksamhetens tjänster eller produkter är likartade och att verksamhetsutövaren inom rimlig tid kan konstatera att kunden agerar på det sätt som presumerats,

  3. minskad frekvens för uppdatering av kundkännedomsinformation, exempelvis så att informationen endast behöver uppdateras om nya omständigheter inträffar, eller

  4. minskad frekvens och intensitet för granskning av transaktioner, exempelvis så att granskning endast behöver göras vid transaktioner över vissa beloppsgränser.

Skärpta kundkännedomsåtgärder

6 §Bestämmelser om skärpta åtgärder för kundkännedom finns i 3 kap. 16 och 17 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Allmänna råd

Utöver vad som framgår av tabellen i 3 kap. 4 § dessa föreskrifter samt med hänsyn till vad som framgår av 3 kap. 16 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism och risken i den enskilda kundrelationen och övriga omständigheter kan skärpta åtgärder bland annat avse

  1. fördjupad kontroll av kundens identitet, affärsverksamhet, ekonomiska situation och ekonomiska medel genom inhämtning av information om kunden och kundens historik från flera tillförlitliga och oberoende källor,

  2. att inhämta ytterligare information om affärsförbindelsens eller den enstaka transaktionens avsedda syfte och art, genom att ställa fler frågor till kunden och kontrollera svaren,

  3. ökad frekvens för uppdatering av kundkännedomsinformation, exempelvis så att informationen uppdateras flera gånger under ett år, eller

  4. ökad frekvens och intensitet för granskning av transaktioner, exempelvis så att granskning behöver göras oavsett belopp på transaktionen.

För kunder som är etablerade i ett land som har identifierats som ett högrisktredjeland av Europeiska kommissionen, finns ytterligare krav på skärpta åtgärder i 3 kap. 17 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Bevarande av dokumentationen

7 §Verksamhetsutövarens dokumentation av de vidtagna kontrollåtgärderna enligt detta kapitel ska bevaras i enlighet med 5 kap. 1 och 2 §§ dessa föreskrifter.

4 kap. System för uppgiftslämning

1 §Bestämmelser om uppgiftslämning till Polismyndigheten eller Säkerhetspolisen och system för uppgiftslämningen finns i 4 kap. 6 och 7 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Systemet för uppgiftslämning ska vara strukturerat och sökbart. Det kan vara antingen elektroniskt eller manuellt under förutsättning att det är möjligt för verksamhetsutövaren att behandla och lämna uppgifterna på det sätt som Polismyndigheten eller Säkerhetspolisen anvisar.

5 kap. Bevarande av handlingar och uppgifter

1 §Verksamhetsutövaren ska på ett betryggande sätt bevara de handlingar och uppgifter som anges i 5 kap. 3 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Handlingarna och uppgifterna ska i enlighet med 5 kap. 3 § samma lag bevaras i fem år. Tiden räknas från det att åtgärden eller transaktionen utfördes eller, i de fall då en affärsförbindelse har etablerats, från det att affärsförbindelsen upphörde.

Handlingarna och uppgifterna ska vara ordnade elektroniskt eller i pappersform så att de är sökbara samt enkla att identifiera, ta fram och sammanställa.

2 §Efter en förfrågan från Polismyndigheten eller annan behörig myndighet, ska verksamhetsutövaren bevara uppgifter och handlingar under en längre period än fem år. Tiden för det förlängda bevarandet ska anpassas utifrån den tid som myndigheten behöver för att förebygga, upptäcka eller utreda penningtvätt eller finansiering av terrorism. Den sammanlagda tiden som handlingarna och uppgifterna bevaras får inte överstiga tio år.

6 kap. Intern kontroll

1 §Bestämmelser om verksamhetsutövarens rutiner och riktlinjer samt funktioner för intern kontroll finns i 6 kap. 1 och 2 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

2 §Verksamhetsutövarens rutiner och riktlinjer för intern kontroll ska innehålla en beskrivning av vilka åtgärder verksamhetsutövaren ska vidta för att kunna upptäcka och korrigera brister i verksamheten.

3 §Av 6 kap. 2 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism framgår det att verksamhetsutövaren ska utse funktioner för intern kontroll när det är motiverat med hänsyn till verksamhetens storlek och art.

När en verksamhetsutövare bedömer om det behöver inrättas funktioner enligt första stycket ska verksamhetsutövaren bland annat ta hänsyn till följande omständigheter som avser verksamhetens storlek och art:

  1. Verksamhetens omsättning.

  2. Antalet anställda.

  3. Antalet verksamhetsställen.

  4. Den verksamhet som bedrivs.

  5. De produkter och tjänster som erbjuds.

  6. Verksamhetens komplexitet.

  7. Verksamhetsutövarens allmänna riskbedömning.

Av verksamhetsutövarens rutiner och riktlinjer för intern kontroll ska det framgå om funktioner enligt första stycket har utsetts. Det ska också framgå av rutinerna och riktlinjerna vem som innehar respektive funktion.

4 §När det inte är motiverat att utse funktioner enligt 6 kap. 2 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, ska verksamhetsutövaren genom sina rutiner och riktlinjer säkerställa att det finns en funktion för regelefterlevnad som ansvarar för

  1. att verksamhetsutövarens skyldigheter enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism och dessa föreskrifter genomförs och verkställs i verksamheten, och

  2. verksamhetsutövarens rapporter till Polismyndigheten om misstänkt penningtvätt eller finansiering av terrorism enligt 4 kap. 3 § samma lag.

Av verksamhetsutövarens rutiner och riktlinjer för intern kontroll ska det framgå om funktionen enligt första stycket har utsetts. Det ska också framgå av rutinerna och riktlinjerna vem som innehar funktionen.

7 kap. Rapportering av uppgifter

1 §En verksamhetsutövare ska periodiskt eller på begäran lämna uppgifter om sin verksamhet, sina kunder och andra förhållanden som är nödvändiga för att länsstyrelsen ska kunna bedöma den risk som kan förknippas med de verksamhetsutövare som står under tillsyn.

2 §Uppgifter enligt 7 kap. 1 § dessa föreskrifter kan avse

  1. den verksamhet som verksamhetsutövaren bedriver,

  2. verksamhetens kunder,

  3. verksamhetsutövarens riskbedömningar och rutiner, eller

  4. övriga åtgärder mot penningtvätt och finansiering av terrorism.

3 §När en verksamhetsutövare ska lämna uppgifter enligt 7 kap. 1 § dessa föreskrifter ska detta ske digitalt eller på det sätt som länsstyrelsen meddelar.

Ikraftträdande- och övergångsbestämmelser

2024:20

  1. Dessa föreskrifter träder i kraft den 1 juli 2024.

  2. Genom föreskrifterna upphävs Länsstyrelsen i Stockholm läns föreskrifter och allmänna råd (01FS 2021:36) om åtgärder mot penningtvätt och finansiering av terrorism.

  3. För överträdelser som har inträffat före den 1 juli 2024 gäller dock fortfarande Länsstyrelsen i Stockholm läns upphävda föreskrifter och allmänna råd (01FS 2021:36) om åtgärder mot penningtvätt och finansiering av terrorism.