Agenda AMLR
Det skrivs mycket om AMLR just nu. Långt ifrån allt är dock lätt att ta till sig, än mindre förstå hur förändringarna kommer att påverka den egna verksamheten. Många upplever en stress över att inte ha kommit tillräckligt långt i arbetet. Samtidigt saknas fortfarande många förtydliganden av regulatoriska tolkningar, inte minst i en svensk kontext.
Vi befinner oss i ett mellanläge: tillräckligt mycket är känt för att börja agera men få saker är tydliga nog för att bygga färdiga lösningar.
Vad går att göra redan nu? Vad bör prioriteras när? Och hur kommer AMLR förändra hur branschen jobbar?
Här delar vi våra analyser och tolkningar om regelverket, om vad som faktiskt spelar roll i praktiken och om hur vi ser på prioriteringar när kraven möter verkligheten.
Vad som finns på denna sida
Frank Penny's takes
Analyser, fördjupningar och reflektioner om AMLR och vad som väntar.
Förstå regelverket – hur allt hänger ihop och hierarkin kring de olika samspelande delarna av regelverket
EU:s nya AML-paket är ett regelverk i flera lager. Att förstå vilket lager som styr vad avgör hur du ska prioritera ditt arbete.
Grunden: FATF och varför reglerna ser ut som de gör
Innan man förstår EU-paketet hjälper det att veta var det kommer ifrån. FATF – Financial Action Task Force – är det globala standardsättande organet för AML/CFT. Organisationens uppdrag är att identifiera hot, sätta internationella standarder och följa upp hur väl länder implementerar dem. Kärnan är de 40 rekommendationerna – en global norm för hur länder bör utforma sina AML/CFT-regelverk, från riskbaserat synsätt och kundkännedom till rapportering och sanktioner.
Det som gör FATF inflytelserikt är inte formell lagstiftningsmakt, utan uppföljningen. Genom ömsesidiga utvärderingar granskas länders regelverk och efterlevnad i detalj. Länder som inte lever upp till standarden riskerar att hamna på FATF:s grå eller svarta lista – med reella konsekvenser för deras finansiella system och internationella relationer.
EU:s AML-regelverk är i grunden baserat på dessa rekommendationer, men vidareutvecklas och harmoniseras inom europeisk lagstiftning med mer långtgående och detaljerade krav. Det förklarar varför reglerna ser ut som de gör – och varför de i grunden inte skiljer sig dramatiskt åt mellan länder.
Det är värt att känna till – inte för att FATF direkt styr din verksamhet, utan för att förstå varför reglerna är konstruerade som de är.
Lagret som faktiskt styr dig
De flesta som börjar sätta sig in i AML-paketet fastnar snabbt i förkortningarna. Det är förståeligt. Men det finns en enklare ingångspunkt: börja med att förstå vem varje rättsakt är skriven för.
AMLR
EU:s förordning – skriven direkt till dig som driver en verksamhet under tillsyn. Gäller utan nationell mellanhand från den dag den träder i kraft. Kärnkraven sitter här: kundkännedom, riskbedömning, kontroller, rapportering.
AMLAR
EU-förordning som inrättar AMLA, fastställer dess mandat, befogenheter och styrning sam ger den direkt tillsyn över vissa högrisk-aktörer och en samordnande roll över nationella tillsynsmyndigheter.
AMLD 6
Direktivet – i första hand skrivet till medlemsstaterna. Reglerar hur länder ska organisera tillsyn, vilka myndigheter som ska ha vilka befogenheter, och hur vissa nationella undantag får utformas. Viktig bakgrund – men sällan din operativa utgångspunkt.
TFR
Transfer of Funds Regulation missas ofta som en del av AML-paketet. Det är en EU-förordning som kräver att uppgifter om avsändare och mottagare följer penning- och kryptotransaktioner för att möjliggöra spårbarhet och motverka penningtvätt och finansiering av terrorism.
RTS & ITS
De tekniska standarderna – fyller ut AMLR, AMLD 6 och AMLAR med detalj. Bindande instruktioner för hur kraven ska uppfyllas i praktiken: vilka uppgifter som krävs, i vilken form, med vilken frekvens. Flera RTS:er och ITS:er är redan ute på konsultation, bland annat inom kundkännedom, riskbedömningar och tillsynsmetodik.
Guidelines
Ickebindande vägledning från EU eller nationella myndigheter som förtydligar hur AMLregler ska tolkas och tillämpas i praktiken, och anger tillsynens förväntningar (ofta riskbaserat). Följer det som ofta talas om som ”comply or explain”.
Nationell lag
Försvinner inte. AMLD 6 kräver fortfarande nationell implementering för vissa delar, och nationella myndigheter som FI har fortsatt tolkningsutrymme inom de ramar EU sätter. Det innebär att verksamheter fortsatt kan komma att behöva förhålla sig nationella tillsynsmyndigheters föreskrifter.
Regelverkshierarkin
Bilden nedan visar hur de olika regelverksnivåerna förhåller sig till varandra i det nya AML-paketet. Utöver nedan finns det också nationell lag och nationella föreskrifter.
Den nya spelaren: AMLA
I EU:s nya AML-ramverk tillkommer inte bara nya regler, utan också en ny myndighet. AMLA – Authority for Anti-Money Laundering and Countering the Financing of Terrorism – är en ny decentraliserad EU-myndighet med uppgift att koordinera nationella tillsynsmyndigheter och säkerställa en konsekvent tillämpning av EU:s regler. AMLA tog upp sin verksamhet den 1 juli 2025, med säte i Frankfurt. Den 31 december 2025 överfördes EBA:s AML/CFT- befogenheter formellt till AMLA – det är nu AMLA, inte EBA, som är den centrala myndigheten för att utveckla och upprätthålla ett harmoniserat regelverk.
Från 2028 kommer AMLA att ha direkt tillsynsansvar över 40 av de mest komplexa och högriskinstitutionerna i EU. För alla andra – inklusive de flesta svenska verksamheter – behåller nationella myndigheter som FI sin tillsynsroll. Men inte utan koordinering.
FI och AMLA – vad förändras i praktiken?
FI:s direkta tillsynsroll kvarstår för de allra flesta svenska aktörer. Det är FI som granskar, FIsom kräver åtgärder, FI som sanktionerar. Men FI:s handlingsutrymme begränsas och formas alltmer av vad som beslutas på EU-nivå:
Gemensam metodik
AMLA och nationella tillsynsmyndigheter kommer för första gången använda en gemensam metodik för att bedöma risker för penningtvätt och terrorismfinansiering. Det innebär att FI:s riskbedömningar och prioriteringar i ökande grad kommer spegla ett europeiskt ramverk – inte enbart svenska traditioner och praxis.
Koordinerat urval
AMLA testar under 2026 metodiken och urvalsprocessen för vilka entiteter som ska stå under direkt EU-tillsyn – i nära samarbete med nationella myndigheter. FI är alltså inte bara åskådare utan en aktiv part i att forma hur systemet kommer fungera.
Regelgivning flyttas uppåt
AMLA och de europeiska tillsynsmyndigheterna skrev i juni 2025 under ett avtal för att göra tillsynen inom EU:s finanssektor mer enhetlig. Det signalerar en tydlig riktning: tolkningar och förväntningar harmoniseras på EU-nivå, och nationella avvikelser blir svårare att motivera.
De flesta svenska verksamheter kommer aldrig att ha AMLA knackandes på dörren direkt – det är fortsatt FI som håller i tillsynen. Men AMLA har tagit över det övergripande ansvaret för regelverket och standardsättningen, vilket betyder att det är AMLA som sätter ribban för vad FI förväntar sig, hur riskbedömningar görs och vilka tolkningar som gäller. Det är indirekt, men det är reellt.
Vad det innebär för dig: Det stora skiftet – och hur du prioriterar
Det som faktiskt förändras
Det är lätt att behandla AMLR som ännu ett regelverk att hålla koll på. Det är fel ingång. Det som förändras är spelplanens geografi. Tidigare har AML-arbete i praktiken styrts av svensk lagstiftning och Finansinspektionens föreskrifter. EU-direktiven har funnits i bakgrunden – tolkade, filtrerade och anpassade nationellt innan de nått verksamheten. Med AMLR försvinner det filtret, och AMLA säkerställer att det inte smyger sig tillbaka. Det innebär att:
Tolkningsutrymmet minskar och harmoniseras på EU-nivå
Nationella särlösningar och praxis får svårare att motiveras
Tillsynen koordineras alltmer mellan länder – inte bara inom dem
Kort sagt: EU har gått från bakgrundsmusik till huvudakt.
Och ja – det kräver ett lite annat sätt att tänka. Det kräver inte nödvändigtvis mer arbete. Men det kräver ett annat sätt att orientera sig.
Vad vi vet påverkas – och vad vi följer noga
Inte alla delar av AMLR är lika tydliga just nu. En del krav är fastställda och går att agera på redan idag. Andra beror på hur tekniska standarder och vägledningar slutligen utformas – och där är bilden fortfarande i rörelse. Följande kommer ett axplock av några av de förändringarna som vi vet kommer förändras och några som vi bevakar kommande RTSer och riktlinjer för att kunna avgöra om det innebär större förändringar.
Det vi vet påverkas:
Kundkännedom (CDD) – AMLR och tillhörande RTS:er ställer betydligt mer detaljerade kravpå vad kundkännedom faktiskt ska innehålla – vilka uppgifter, i vilken form och med vilkenfrekvens. För banker med stora kundvolymer innebär det ett systemkrav, inte bara ettprocesskrav.
Verkligt huvudmannaskap (UBO) – AMLR sänker tröskeln från”mer än 25 procent” till “25 procent eller mer”. En till synes liten skillnad som i praktiken kan kräva genomgång av befintliga kundportföljer. För högriskföretag kan EU-kommissionen dessutom sänka tröskelntill 15 procent. För första gången krävs också att juridiska personer utanför EU med kopplingar till den europeiska marknaden lämnar UBO-uppgifter.
Governance och intern styrning – AMLR signalerar tydligare förväntningar på ansvar och intern styrning. Tydliga krav kopplat till rollerna ”Regelefterlevnadschef” och ”Regelefterlevnadsansvarig” och regelefterlevnadsfunktionen i stort.
Politiskt exponerade personer (PEP) – Definitionen utvidgas och harmoniseras. Detta kommer leda till att fler personer blir klassificerade som PEP och RCA. Den främsta skillnaden är att vissa politiker på regional och lokal nivå nu inkluderas, för områden med minst 50 000 invånare.
Det vi följer noga:
Allmän riskbedömning – Kraven på allmän riskbedömning är ett område att följa noga. AMLA:s gemensamma metodik signalerar en tydligare riktning – men hur mycket som faktiskt förändras beror på hur de tekniska standarderna slutligen utformas.
Transaktionsövervakning och rapportering – ITS:erna kommer specificera format och struktur för rapportering till finansunderrättelseenheter, men de slutliga kraven är ännu inte fastställda. Det är ett område att förbereda sig på snarare än att bygga färdiga lösningar för just nu.
Riskklassificering av kund – i annex III beskrivs flera kundriskfaktorer som bör innebära högre risk enligt artikel 20, men listan är relativt icke-uttömmande och relativt kort. Senare under året förväntas riktlinjen enligt artikel 20.3 komma, innehållande riskvariabler och riskfaktorer som verksamheter ska ta i hänsyn i samband med affärsförbindelse och vid genomförande av enstaka transaktioner.
AMLR är lika mycket ett datakrav som ett regelverkskrav
En sak som ofta kommer som en överraskning: det räcker inte att ha rätt processer på plats. Tidigare gick det ofta att komma undan med en AML-funktion som såg bra ut på papper. AMLR ändrar på det – kravet är att processerna faktiskt fungerar, och att du kan bevisa det. Dokumentation av ambition är inte samma sak som dokumentation av efterlevnad. AMLA:s rapporteringsramverk kräver att ni kan leverera specifik, strukturerad data om er verksamhet – kundvolymer per risksegment, transaktionsmönster, handläggningstider från identifierad misstanke till SAR/STR-rapportering. Inte en gång, utan löpande och på begäran.
För många banker är utmaningen ofta inte att data saknas. Den finns – men den sitter i system som aldrig var byggda för att prata med varandra. Kundkännedomsdokumentation i ett system, transaktionsdata i ett annat, ärendehantering i ett tredje. Att sammanställa en komplett bild tar dagar och är beroende av vem som gör det.
Det är precis det AMLA:s tillsyn är konstruerad för att avslöja.
Frågan ni behöver ställa er är inte om ni har rätt data – det har ni förmodligen. Frågan är om ni kan leverera den konsekvent, snabbt och med dokumenterad kvalitet. Det är en systemfråga och en processfråga, inte bara en compliancefråga.
Det som skiljer organisationer som lyckas från de som kämpar är sällan resurser eller kompetens. Det är vanligtvis att de tidigt valde att förstå sin egen situation istället för att försöka förstå hela regelverket på en gång.
Hur du faktiskt prioriterar – när allt verkar viktigt
Många organisationer vet vid det här laget att AMLR kräver något av dem. Färre vet exakt vad, och ännu färre vet var de ska börja. Det beror inte på bristande ambition.
Det beror på att AMLR är konstruerat som ett ramverk – inte en att-göra-lista. Det ger principerna, men inte ordningen.
Tre frågor hjälper dig att skapa den ordningen:
Vad är er faktiska exponering?
AMLR träffar inte alla lika hårt. En bank med ett avgränsat produkterbjudande och homogen kundstock har en annan riskprofil än en bank med bred privatkundsbas och internationella flöden. Börja med att förstå var era verkliga risker finns – inte vad regelverket i teorin kan kräva av någon.
Det är också här många gör sitt första misstag: de läser AMLR generellt och försöker svara på allt samtidigt, istället för att börja med vad som faktiskt är relevant för just deras verksamhet.
Var är ni idag – på riktigt?
En gapanalys som bara tittar på policys och dokumentation ger en falsk trygghet. Det som avgör om ni är redo är om era system kan leverera rätt data, om era processer faktiskt följs i vardagen, och om det finns tydligt ägarskap för de krav som ska uppfyllas.
Gapet ser ofta annorlunda ut beroende på var man tittar. En organisation kan ha utmärkta policys men sakna teknisk förmåga att genomföra dem. En annan kan ha bra system men oklart vem som äger frågan när det väl händer något.
Vad händer om ni inte prioriterar rätt?
Det är en fråga få ställer sig explicit – men den är avgörande. Prioritering handlar inte bara om vad som är svårast att åtgärda, utan om konsekvenserna om något saknas när AMLR börjar gälla sommaren 2027. Vilka brister skulle innebära störst risk för er verksamhet, era kunder och er regelefterlevnad?
Oavsett var ni befinner er i dag gäller samma grundlogik: börja med er exponering, inte regelverket. Förstå gapet på djupet, inte bara på ytan. Bygg något som håller över tid – inte något som ser bra ut inför en granskning.