I tidigare sanktionsbeslut från FI har området rapportering främst berörts i samband med FI:s bedömningar avseende den allmänna riskbedömningen. Det har då särskilt påpekats att insikter från rapporteringen inte i tillräcklig utsträckning har integrerats i den allmänna riskbedömningen. Däremot har själva rapporteringsprocessen, inklusive hur kundurvalet för rapportering sker och vilka kunder som inte rapporteras, hittills inte varit i fokus för FI:s granskningar och beslut.
I beslutet till Intergiro ägnas dock nästan hälften av det 89 sidor långa dokumentet till just rapportering, vilket säger något om undersökningens omfattning och detaljrikedom. Flertalet krav testas också för första gången i en praktisk kontext – inte minst skyndsamhetskravet och innebörden av ”skälig grund för misstanke”. Dettagör beslutet särskilt relevant att analysera och tolka.
I den här artikeln lyfter vi fyra centrala frågor: Vad innebär “skälig grund för misstanke” i praktiken? Vad innebär skyndsamhetskravet? När gäller skyldigheten att rapportera medel som misstänks komma från brott? Och hur bör man tänka kring de olika rapporteringsformaten?
1. Skälig grund för misstanke – vad innebär det i praktiken?
Rapporteringsskyldighet uppstår när det finns skälig grund för misstanke om att en transaktion eller en aktivitet har koppling till penningtvätt, finansiering av terrorism eller härrör från brott. Förarbetena till lagen klargör att skälig grund för misstanke är ett lågt ställt krav och att det därmed inte krävs någon föregående bevisning eller djupgående analys innan rapporteringsskyldighet kan uppstå. Samtidigt konstaterar FI att detta inte innebär att alla avvikelser eller ovanliga beteenden per automatik ska rapporteras. Verksamhetsutövare behöver först göra en grundläggande bedömning för att undvika slentrianmässig rapportering av transaktioner som verkar misstänkta vid första anblick, men som i själva verket har en naturlig och legitim förklaring.
Även om det därmed finns viss vägledning kring vad som kan anses utgöra skälig grund för misstanke, finns det relativt stort tolkningsutrymme och det har hittills saknats praxis från verkliga fall. I praktiken är det heller inte alltid helt lätt att avgöra när rapporteringsskyldigheten faktiskt inträder, vilket innebär att många verksamhetsutövare utvecklat egna tillvägagångssätt och tolkningar som ligger till grund för rutiner och arbetssätt. Eftersom det är första gången frågan prövats i FI:s beslut, gör den också frågan särskilt relevant och angelägen att fördjupa sig i.
I Intergiros fall återkommer FI gång på gång till att just tröskeln för skälig grund för misstanke har feltolkats eller tillämpats för snävt. Exempelvis lyfter FI att de anser att skälig grund för misstanke förelåg när en annan betaltjänstleverantör begärde återbetalning av medel med hänvisning till ett misstänkt bedrägeri. I ett sådant scenario har alltså rapporteringskravet uppstått, och ingen ytterligare utredning hade behövts. I Intergiros fall var det dessutom fråga om återbetalningskrav uppgående till mycket stora belopp, vilket enligt FI gav ytterligare skäl till att omedelbart göra en grundläggande bedömning för att fastställa om det fanns skälig grund för misstanke. Intergiro hade i stället inväntat ytterligare underlag för att göra en bedömning.
FI:s slutsats är tydlig: rapportering ska ske så snart skälig grund för misstanke uppstår efter att en grundläggande bedömning har gjorts, och får inte skjutas fram tills dess att en fördjupad utredning är slutförd. Det är viktigt att komma ihåg att en misstankerapport är ett underrättelseverktyg för brottsbekämpande myndigheter och inte en brottsanmälan, det bör snarare betraktas som ett tips. Därför krävs varken visshet, bevisning eller en färdig utredning för att rapporteringsskyldighet ska uppstå.
Nedan ger vi våra rekommendationer för hur just bedömningen avseende skälig grund för misstanke och rapporteringsplikten kan hanteras i praktiken:
- Utgå från att skälig grund för misstanke föreligger så snart det finns en objektivt rimlig misstanke, inte bara vaga farhågor – men vänta inte på att allt är bekräftat.
- Identifiera förutsägbara situationer utifrån den egna verksamheten som normalt inte kräver fördjupad granskning utan ska rapporteras direkt – exempelvis återbetalningskrav med tydlig koppling till bedrägerier. Integrera dessa som praktiska exempel i rutiner.
- Etablera tydliga rutiner för vad som ska ske så fort skälig grund för misstanke har identifierats (eskaleringsvägar, beslut, mandat vid frånvaro, utförande av rapport m.fl.). Det är viktigt att dessa steg alltid kan göras snabbt från det att skälig grund identifierats.
- Utbilda verksamheten i vad skälig grund för misstanke innebär och i vilka situationer denna misstankegrund kan uppstå (inte enbart vid larm från övervakningen) – förtydliga att det inte handlar om att vara säker. Säkerställ att alla vet om vilken avdelning som ska informeras.
2. Utredning och rapportering utan dröjsmål – vad gäller?
Ett återkommande tema i FI:s beslut mot Intergiro är tidpunkten för när rapportering till Finanspolisen ska ske. Det finns två situationer att särskilja, men båda omfattas av ett gemensamt krav: skyndsamhet.
Rekommendationer för praktisk tillämpning av skyndsamhetskravet
Nedan följer våra rekommendationer för hur skyndsamhetskravet kan hanteras i praktiken – baserat på våra erfarenheter.
- Sätt en maximal handläggningstid från det att skälig grund för misstanke bedömts föreligga till dess att rapport lämnas.
- Etablera rutiner och systemstöd för att bevaka ärenden där kundåterkoppling uteblir. System bör trigga regelbundna manuella omprövningar: har ny information tillkommit som innebär att skälig grund för misstanke nu föreligger?
- Implementera kontrollpunkter för att identifiera risk i handläggningen av larm (KRI:er). Exempel på sådana är antal ärenden i backlog och den maximala utredningstiden i dagar. Det bör även finnas etablerade eskaleringsvägar när bestämda gränser överskrids.
3. Rapportering när pengar misstänks härröra från brott – vilka andra exempel finns än bedrägerier?
FI konstaterar att Intergiro i flera fall underlåtit att rapportera transaktioner trots att det fanns konkreta uppgifter om att insatta medel kunde kopplas till bedrägerier. Bolaget motiverade detta med att deras kund inte själv begått brottet eller misstänkts för delaktighet, och ansåg därför att någon rapporteringsplikt inte förelåg. FI avfärdar dock dessa resonemang och understryker att Intergiro mot bakgrund av återbetalningskraven hade skälig grund att misstänka att pengarna som sattes in kom från en brottslig handling. En viktig slutsats är således att rapporteringsskyldigheten också omfattar transaktioner där egendom härrör från brottslig handling, oavsett om man misstänker att kunden själv tvättat pengar eller varit delaktig i det.
Vidare understryker FI vikten av att i rapporteringen inkludera samtliga relevanta omständigheter som kan tyda på penningtvätt, terrorismfinansiering eller att pengarna kommer från en brottslig handling. I Intergiros fall skulle de exempelvis även ha rapporterat uppgifterna om att transaktionerna var föremål för återbetalningskrav, samt tidpunkterna för dessa krav.
Även om Intergiro-fallet rörde misstänkta bedrägerier, är det viktigt att komma ihåg att rapporteringsskyldigheten inte är begränsad till en viss brottstyp. Kravet enligt penningtvättslagen utlöses när det finns skälig grund att misstänka att medel härrör från brott – oavsett om det rör sig om bedrägeri, skattebrott, marknadsmissbruk, narkotikahandel eller annan brottslighet.
För att hantera rapportering när medel misstänkts härröra från brott rekommenderar vi att verksamhetsutövare:
- Inkluderar i rutiner att misstanke om brottsligt ursprung – oavsett brottstyp – kan medföra rapporteringsplikt både före och efter att en transaktion genomförts. Involvera gärna anonymiserade exempel från just er verksamhet
- Säkerställer att AML-funktionen har kontaktvägar till andra relevanta funktioner, såsom kundtjänst, anti-bedrägerifunktionen, betalningar, marknadsövervakning och kreditgivning – som ibland är första instans för att identifiera misstanke om att medel härrör från brott.
- Säkerställer att utbildning av verksamheten och AML-funktionen inkluderar exempel på när medel misstänks härröra från brott, vikten av att detta rapporteras till FIPO och behovet av samarbete mellan avdelningar.
4. Rapportering innefattar inte bara transaktioner – hur rapporterar man korrekt?
En av de centrala bristerna i FI:s beslut gäller Intergiros felaktiga användning av rapporteringsformat i goAML-portalen. Att välja rätt rapporttyp i goAML är avgörande för att informationen ska kunna hanteras korrekt av Finanspolisen. Vid misstanke om en faktisk transaktion krävs en STR, för att möjliggöra snabb underrättelseverksamhet eller beslut om exempelvis dispositionsförbud. En SAR är endast avsedd för situationer där misstanken gäller aktiviteter utan identifierbar transaktion, exempelvis en kunds ovillighet att identifiera sig eller att kundens kontaktuppgifter framkommer på flertalet andra kunder.
Trots att Intergiro mottog ett stort antal återbetalningskrav med uppgifter om misstänkta bedrägerier, valde man att rapportera dessa samlat som SAR (Suspicious Activity Report) i stället för individuella STR (Suspicious Transaction Report). FI är tydlig: det rörde sig om misstänkta transaktioner, och därmed skulle varje enskilt fall ha rapporterats som en STR. Att bolaget ansåg det mer effektivt att gruppera rapporteringen saknar betydelse.
En additional information file (AIF) - en form av kompletterande rapport ska endast användas för att komplettera en tidigare inlämnad STR eller SAR, exempelvis när ny information framkommer om en redan rapporterad misstanke. Den får inte ersätta nya rapporter och ska inte användas för att gruppera flera separata misstankar.
Utöver valet av rapport är vår erfarenhet att många verksamheter har mer utvecklade processer och verktyg för att identifiera avvikande transaktioner än för att upptäcka avvikande aktiviteter. För att lyckas identifiera avvikande aktiviteter i praktiken krävs dels en tydlig förståelse för vilka beteenden eller mönster som bör väcka misstanke i den egna verksamheten, dels att man implementerar rutiner för att fånga upp dessa. Ett exempel på en avvikande aktivitet kan exempelvis vara att en kund ställer ut en eller flera fullmakter till personer utan tydlig koppling till sig själv, eller att flera kunder står skrivna på samma adress eller delar kontaktuppgifter. Denna typ av övervakning kräver ofta annan typ av logik och hantering än vanliga övervakningsscenarier.
Nedan sammanfattas våra rekommendationer avseende valet av rapport och behovet att även ha verktyg för att identifiera avvikande aktiviteter:
- Tydliggör i rutiner i vilka situationer STR, SAR och AIF ska användas, inkludera gärna tydliga anonymiserade exempel från just er verksamhet
- Begränsa inte övervakningsarbetet till enbart transaktionsövervakning – säkerställ att det också finns processer för att upptäcka avvikande aktiviteter (exempelvis att flera kunder delar samma kontaktuppgifter)
- Utbilda relevanta funktioner i vad skälig grund för misstanke innebär, vad skillnaderna är mellan rapportformaten, samt vilka eskaleringsvägar som finns i verksamheten från relevanta funktioner.
Sammanfattning
Rapportering till Finanspolisen kan på pappret framstå som en relativt självklar process: identifiera avvikelse, utred om det finns skälig grund för misstanke, rapportera utan dröjsmål och välj rätt rapportformat. I praktiken uppstår dock – precis som inom många andra delar av penningtvättsarbetet – situationer där lagstiftningen lämnar utrymme för tolkning. Det är just här Intergirobeslutet fyller en viktig funktion.
Genom konkreta exempel från faktisk tillsyn bidrar beslutet till att minska osäkerheten i flera avgörande frågor. För att uppfylla rapporteringsskyldigheten blir det tydligt att det krävs att verksamhetsutövare utöver transaktionsövervakning, även har tydliga processer för att upptäcka avvikande aktiviteter och beteenden. För att undvika liknande brister som i Intergiros fall krävs därtill tydliga processer för hur avvikelser identifieras, dokumenteras och kommuniceras – samt en konkret ansvarsfördelning för vem som gör vad, när och hur. Utan sådana rutiner finns en påtaglig risk att viktiga signaler inte fångas upp eller faller mellan stolarna.