Utkontraktering enligt AMLR artikel 18

Se som Markdown
6 minuter läsning • Simona Tvärnstedt • MOTVERKANDE AV PENNINGTVäTT • 17 februari 2026
  1. Artikel 18 AMLR – Utkontraktering
  2. Från utkontraktering till praktisk AML-styrning

Vi fortsätter med den sjunde delen i Morling Consultings bloggserie om EU:s AMLR. I det femte blogginlägget behandlades frågor om intern kontroll och styrning kopplat till AML-riskramverket, med fokus på hur effektiva kontrollstrukturer och ansvarsfördelning utgör grunden för en fungerande AML-compliance. För den som vill fördjupa sig i hur styrning, intern kontroll och riskhantering samverkar inom ramen för AMLR rekommenderas att ta del av detta tidigare inlägg.
Mot denna bakgrund bistår Morling Consulting verksamheter med AML-kompetens för finans- och rådgivningssektorn, genom juridiskt kvalificerat stöd i frågor som rör styrning, intern kontroll och efterlevnad av AMLR. I denna del riktas fokus mot utkontraktering av AML-relaterade uppgifter, dess rättsliga ramar samt kopplingen mellan utkontraktering, AML-policys och intern kontroll.

Artikel 18 AMLR – Utkontraktering

AMLR erkänner att ansvariga enheter i praktiken ofta använder externa tjänsteleverantörer för att utföra vissa AML-relaterade uppgifter. Artikel 18 fastslår därför att utkontraktering är tillåten, men endast under strikt reglerade former. Det är tillåtet för ansvariga enheter att utkontraktera uppgifter härrörande från förordningen till tjänsteleverantörer. Däremot krävs det att den ansvariga enheten underrättar tillsynsorganet om utkontrakteringen i förväg, det vill säga innan leverantören utför uppgifterna.

Enligt artikel 18.2 ska tjänsteleverantören, vid utförandet av utkontrakterade uppgifter, betraktas som en del av den ansvariga enheten. Detta gäller även i situationer där tjänsteleverantören, på den ansvariga enhetens vägnar, konsulterar centrala register för att genomföra åtgärder för kundkännedom. Med centrala register avses de register som anges i artikel 10 i direktiv 2024/1640, vilket är centrala register över verkligt huvudmannaskap.

Den grundläggande utgångspunkten är att utkontraktering aldrig får innebära en överföring av ansvar. Den ansvariga enheten förblir fullt ansvarig för AML-compliance och för alla åtgärder, oavsett om det innebär utförande eller underlåtenhet, som är sammankopplade till de uppgifter som har utkontrakterats och som har utförts av en extern part.

Samtidigt ställs höga krav på den ansvariga enhetens insyn i hur tjänsteleverantören arbetar och dess verksamhet. För varje utkontrakterad uppgift ska den ansvariga enheten kunna visa för tillsynsmyndigheten att den förstår hur tjänsteleverantören utför den utkontrakterade uppgiften. Detta skapar ett tydligt samband mellan riskbedömning, AML-policys och beslut om utkontraktering.

Om den ansvariga enheten utkontrakterar uppgifter till en extern part får uppdraget inte utföras på ett sätt som väsentligt försämrar möjligheterna för den ansvariga enhetens förfaranden och riktlinjer att uppfylla kraven enligt förordningen, samt förordning 2023/1113, och för de kontroller som införts för att testa de ansvariga enheternas riktlinjer och förfaranden.

Fortsättningsvis innehåller artikel 18.3 en uttömmande uppräkning av uppgifter som inte får utkontrakteras. Dessa uppgifter är bland annat direkt kopplade till den ansvariga enhetens kärnansvar och strategiska bedömningar. Hit hör bland annat förslaget till och godkännandet av den allmänna riskbedömningen, godkännandet av interna riktlinjer, förfaranden och kontroller samt beslut om kundens riskprofil. Även beslut om att ingå affärsförbindelser eller genomföra enstaka transaktioner samt viss rapportering av misstänkta aktiviteter till Finanspolisen (FIU) är uttryckligen undantagna från möjligheten till utkontraktering.

Innan en uppgift utkontrakterats ska den ansvariga enheten försäkra sig om att tjänsteleverantören är tillräckligt kvalificerad för uppgiften. Därutöver ska den ansvariga enheten säkerställa att tjänsteleverantören, och eventuella underleverantörer, tillämpar den ansvariga enhetens AML-policys och riktlinjer.

Den ansvariga enheten ska fastställa ett skriftligt avtal mellan den ansvariga enheten och tjänsteleverantören som innehåller villkoren för utförandet av uppgifterna. Vidare ska den ansvariga enheten regelbundet kontrollera att tjänsteleverantören faktiskt efterlever dessa krav. Hur ofta kontrollerna ska ske bestäms utifrån hur kritiska de utkontrakterade uppgifterna är.

AMLR betonar i artikel 18.5 att ansvariga enheter ska se till att utkontraktering inte får ske på ett sätt som väsentligt försämrar tillsynsmyndigheternas möjligheter att utöva effektiv tillsyn. Denna bestämmelse innebär att tillsynsmyndigheten alltid ska kunna få insyn i hur AML-relaterade uppgifter utförs i de ansvariga enheterna, även när dessa utförs av externa aktörer.

Särskilt strikta regler gäller vid utkontraktering till tjänsteleverantörer i tredjeländer som identifierats som högriskjurisdiktioner. Huvudregeln är att ansvariga enheter inte får utkontraktera uppgifter som omfattar kraven enligt förordningen till tjänsteleverantörer som är etablerade, eller bosatta, i högriskjurisdiktioner, men det finns dock vissa snäva undantag.

Det kräver att samtliga villkor som uppställs enligt 18.6 är uppfyllda. Villkoren är enligt följande:

  • Den ansvariga enheten endast utkontrakterar uppgifter till en tjänsteleverantör som ingår i samma koncern,
  • Koncernen ska tillämpa riktlinjer och förfaranden för att bekämpa penningtvätt och terrorismfinansiering, samt för åtgärder för kundkännedom och regler om dokumentation. Dessa riktlinjer ska överensstämma med förordningen alternativt med likvärdiga bestämmelser i tredjeländer, samt
  • Genomförandet av kraven som uppställs enligt det förra villkoret om riktlinjer och förfaranden ska, av tillsynsmyndigheten i hemmedlemsstaten, övervakas på koncernnivå.

Artikel 18 får även konsekvenser för den interna AML-funktionen. Även om uppgifter kan utkontrakteras, måste AML-funktionen behålla kontrollen över riskbedömning, policyutveckling och strategiska beslut. I praktiken innebär detta att den ansvariga enheten måste ha tillräcklig kompetens för att bedöma kvaliteten i det arbete som utförs externt.

Från utkontraktering till praktisk AML-styrning

Artikel 18 i AMLR tydliggör att utkontraktering kan vara ett effektivt verktyg för ansvariga enheter – men bara under förutsättning att styrning, kontroll och ansvarsfördelning är tydligt definierade. Utkontraktering är inte ett sätt att minska det egna ansvaret, utan ett sätt att organisera hur uppgifter utförs inom ramen för samma ansvar.

I praktiken innebär detta att varje beslut om utkontraktering behöver knytas tydligt till den ansvariga enhetens övergripande AML-strategi, riskbedömning och interna kontrollmiljö. Innan uppgifter läggs ut på en extern leverantör bör verksamheten säkerställa att:

  • val av leverantör och eventuella underleverantörer är föremål för strukturerad due diligence och löpande uppföljning,
  • avtal om utkontraktering konkretiserar krav på regelefterlevnad, rapportering, dokumentation och insyn,
  • den interna AML-funktionen har kompetens och mandat att granska och ifrågasätta leverantörens arbete, och
  • tillsynsmyndighetens behov av insyn kan tillgodoses även när uppgifter utförs av externa aktörer, inklusive vid utkontraktering inom koncerner eller till tredjeländer.

För att läsa mer om våra tjänster och hur vi kan stödja er verksamhet i AML-arbetet, besök oss på morlings.se.

Serien fortsätter med följande område: AMLR artiklarna 19–20: kundkännedom, riskbedömning och löpande övervakning

Porträtt av Simona Tvärnstedt – författare till inlägget.

Artikel skriven av:

Simona Tvärnstedt

Senaste inlägg

En jurist och en företagsledare sitter och diskuterar juridiska frågor.

11 mars 2026

Juridisk rådgivning vs. juridisk konsult – vad är skillnaden?
Läs mer
Illustration av tredjelandsrisker enligt AMLR med förenklad EU-karta, kontrollsymboler och geografisk triggerpunkt som kopplar EU till tredjeländer för skärpt kundkännedom (KYC).

10 mars 2026

Tredjelandsrisker enligt AMLR: Artiklarna 29–31 och deras betydelse för kundkännedom
Läs mer
Illustration av juridiska experter i ett konsultföretag som strukturerar komplexa affärsjuridiska frågor inom avtal, dataskydd, regulatoriska krav och interna processer.

9 mars 2026

Vi är ett konsultföretag med juridiska experter
Läs mer