Checklista penningtvätt: 5 nyckelområden efter FI:s sanktionsbeslut mot Svea Bank

Se som Markdown
9 minuter läsning • Simon • MOTVERKANDE AV PENNINGTVäTT • 23 december 2025
  1. Rättsliga utgångspunkter i korthet
  2. Sveas brister – typiska fallgropar
  3. Checklista penningtvätt – 5 nyckelområden att säkra
  4. Så kan finansiella företag agera vidare

I december 2025 beslutade Finansinspektionen att ge Svea Bank AB en anmärkning och en sanktionsavgift på 170 miljoner kronor för omfattande brister i arbetet mot penningtvätt och finansiering av terrorism. Överträdelserna gällde bland annat allmän riskbedömning, riskklassificering av kunder, kundkännedom (KYC), skärpta åtgärder för högriskkunder och dokumentation och de analyseras i detta inlägg av en penningtvättsjurist.

Även om beslutet riktar sig mot en specifik bank är slutsatserna direkt relevanta för banker, betalinstitut, finansbolag och andra verksamhetsutövare som omfattas av penningtvättsregelverket. Finansinspektionen betonar särskilt att mindre och medelstora banker inte längre kan räkna med att ”flyga under radarn” – riskerna bedöms numera vara betydande även där, sedan de stora bankerna skärpt sitt arbete för att motverka penningtvätt och hotaktörerna istället vänder sig till mindre banker.

Rättsliga utgångspunkter i korthet

Det svenska penningtvättsregelverket bygger på ett riskbaserat förhållningssätt. Kärnan kan förenklat beskrivas så här:

  • Företaget ska förstå vilka risker för penningtvätt och finansiering av terrorism som finns i verksamheten (allmän riskbedömning).
  • Företaget ska bedöma vilken risk varje kundrelation innebär (kundens riskprofil).
  • Företaget ska ha tillräcklig kundkännedom för att kunna hantera den risk som har identifierat – annars får affärsförbindelsen inte etableras eller fortsätta.
  • Företaget ska vidta skärpta åtgärder för högriskkunder, bland annat genom att förstå kundens ekonomiska bakgrund och medlens ursprung.
  • Företaget ska dokumentera och spara uppgifter så att det går att visa i efterhand vilka bedömningar och kontroller som faktiskt har gjorts.

FI:s beslut mot Svea illustrerar vad som händer när AML-programmet brister och hur bristerna sedan ”smittar” andra delar, exempelvis från en svag allmän riskbedömning till otillräckliga kundriskprofiler och bristande kundkännedom.

Sveas brister – typiska fallgropar

I beslutet konstaterar Finansinspektionen bland annat följande brister hos Svea:

  • Allmän riskbedömning omfattade inte alla produkter – och saknade bedömning av både risker för penningtvätt och terrorfinansiering för flera tjänster.
  • När två bolag slogs ihop dröjde det nästan ett år innan en uppdaterad samlad riskbedömning började gälla för den fusionerade verksamheten.
  • Kundriskmodellen (kundriskprofilen) tog inte hänsyn till samtliga högriskfaktorer som banken själv identifierat.
  • Utredning av verklig huvudman var bristfällig, i många fall gjordes inte ens en sökning i Bolagsverkets register över verkliga huvdmän.
  • Information om affärsförbindelsens syfte och art var ofta alltför generell för att kunna användas för identifiering av avvikelser.
  • Skärpta åtgärder för högriskkunder saknades helt i flera fall, eller genomfördes utan förståelse för kundens ekonomiska situation och medlens ursprung – ibland långt efter att kunden bedömts som högrisk.
  • Dokumentation saknade datum, och kundkännedomsuppgifter var spridda i olika system på ett sätt som försvårade överblick och kontroll.

Mot den bakgrunden följer här en konkret checklista i fem delar, som kan användas internt som stöd för styrelse, ledning, AML-funktion och första linjen.

Checklista penningtvätt – 5 nyckelområden att säkra

Checklistan är framtagen som stöd för internkontroll, egen riskanalys, uppdatering av rutiner eller förberedelse inför FI-tillsyn.

1. Allmän riskbedömning

Svea kritiserades för att inte ha identifierat och dokumenterat risker kopplade till specifika produkter, samt för brister i samband med fusioner:

  • Har vi riskbedömt varje enskild produkt och tjänst vi erbjuder – inklusive sådant som uppfattas som ”standard” eller lågrisk, exempelvis Swish-lösningar, kontokrediter eller betalning via faktura?
  • Har vi bedömt risken för både penningtvätt och finansiering av terrorism för alla produkter? (I Sveas fall saknades bedömningar av terrorfinansiering för flera produkter.)
  • Om vi slår ihop bolag, förvärvar verksamhet eller tar in produkter från annan del av koncernen – gör vi en ny allmän riskbedömning omedelbart, i det mottagande bolaget? Vi kan inte förlita oss enbart på den tidigare riskbedömningen i ett annat bolag.
  • Är alla analyser, inklusive slutsatser från workshops och riskmöten, formellt dokumenterade i eller som bilagor till den allmänna riskbedömningen? Hänvisningar till odokumenterade diskussioner eller lösa anteckningar räcker inte.

2. Riskklassificering av kunder (kundriskprofil)

FI konstaterade att Sveas modell för att riskklassa kunder inte fångade upp alla högriskfaktorer som identifierats i den allmänna riskbedömningen:

  • Tar vår modell för riskklassificering av kunder hänsyn till alla högriskfaktorer som vi själva identifierat i den allmänna riskbedömningen? Exempelvis:
    • kontantintensiva branscher (bygg, restaurang, städ, frisör, spel m.fl.),
    • bolag med nominella företrädare eller komplexa ägarstrukturer.
  • Är det tydligt i modellen vilka faktorer som är högrisk och hur de påverkar kundriskklassen?
  • Har vi validerat modellen (testat att den fungerar som avsett) innan den togs i bruk och när vi gjort större förändringar? Detta följer av Finansinspektionens föreskrifter om penningtvätt.
  • Dokumenterar vi modellens antaganden, begränsningar och vilka data den bygger på – så att vi kan förklara för FI varför en viss kund får en viss riskklass?

3. Kundkännedom (KYC) – verklig huvudman och syfte och art

FI fann brister i hur Svea utredde ägarstrukturer och affärsförbindelsens syfte och art. Här är centrala kontrollfrågor:

Kontroll av verklig huvudman

  • Gör vi alltid en sökning i Bolagsverkets register över verkliga huvudmän och sparar bevis (exempelvis utdrag eller skärmdump) för att kunna visa att sökningen genomförts?
  • Nöjer vi oss inte med att hitta en person – utan utreder vi hela ägarstrukturen så att vi förstår om det finns fler personer som kontrollerar en stor andel om någon äger exempelvis 25 %?
  • Har vi rutiner för att reagera på ovanliga eller komplexa ägarstrukturer, exempelvis kedjor av bolag, utländska ägare eller nominella företrädare?

Affärsförbindelsens syfte och art

  • Ställer vi tillräckligt detaljerade frågor för att förstå hur kunden avser använda kontot, kreditprodukterna eller betaltjänsterna – inte bara ”allmän affärsverksamhet”?
  • Rimlighetsbedömer vi kundens uppgifter mot andra källor, exempelvis årsredovisning och registrerade uppgifter? Exempel:
    • hög angiven omsättning men historiskt ingen omsättning,
    • uppgivna löneutbetalningar men avsaknad av personalkostnader enligt årsredovisningen,
    • c/o-adress till privatperson i kombination med påstått omfattande verksamhet.
  • Dokumenterar vi både de uppgifter kunden lämnar och vår egen bedömning av rimligheten (inte bara ett kryss i ett system)?

4. Skärpta åtgärder för högriskkunder

För kunder med hög risk gjorde Svea ibland enklare kontroller som inte adresserade de finansiella riskerna, exempelvis mediebevakning.

  • När en kund bedöms som högrisk – hämtar vi in uppgifter om kundens ekonomiska bakgrund och medlens ursprung, utöver grundläggande kontroller?
  • Anpassar vi vilka fördjupade åtgärder vi vidtar till den specifika risken i kundrelationen (produkt, bransch, geografi, ägarstruktur m.m.)?
  • Vidtar vi de skärpta åtgärderna omedelbart efter att risken identifierats? FI noterade fall där åtgärderna vidtogs först efter upp till ett år.
  • Säkerställer vi att resultatet av de skärpta åtgärderna faktiskt påverkar vår fortsatta riskbedömning, transaktionsövervakning och eventuella beslut om att begränsa eller avsluta kundrelationen?

5. Dokumentation och ordning

Svea kritiserades för odaterade handlingar och information spridd i olika system, vilket gjorde det svårt att visa när kontroller genomförts och vilken kundkännedom som fanns vid en viss tidpunkt.

  • Är alla centrala AML-handlingar och noteringar daterade – inklusive kontroller av verklig huvudman, PEP/RCA-kontroller, inhämtad information om syfte och art samt beslut om riskklass?
  • Finns kundkännedomsuppgifter samlade på ett sätt som gör dem enkla att ta fram och identifiera vid internkontroll, FI-tillsyn eller brottsutredning?
  • Har vi undvikit att sprida KYC-data över flera system som inte ”pratar” med varandra – eller åtminstone säkerställt att det finns en tydlig ”golden source” för kundkännedom?
  • Har vi rutiner för hur uppgifter ska sparas och gallras i enlighet med penningtvättslagens krav på bevarande?

Så kan finansiella företag agera vidare

Finansinspektionens beslut mot Svea visar att myndigheten ställer höga krav på att alla delar i penningtvättsarbetet hänger ihop – från allmän riskbedömning till konkreta åtgärder i enskilda kundrelationer och ordning i dokumentationen.

Några praktiska nästa steg för banker, finansbolag och fintech-aktörer kan vara att:

  • Göra en riktad genomgång av den allmänna riskbedömningen och säkerställa att den omfattar samtliga produkter, inklusive sådant som uppfattas som standardiserat.
  • Göra en gap-analys mellan riskbedömningen och kundriskmodellen – fångas alla relevanta högriskfaktorer upp i modellen, och med rätt tyngd?
  • Göra stickprov i kundakter med fokus på verklig huvudman, syfte/art och skärpta åtgärder för högriskkunder.
  • Se över struktur, systemstöd och ansvarsfördelning för dokumentation – vem ansvarar för att KYC-uppgifter är kompletta, daterade och möjliga att ta fram?
  • Säkerställa att styrelse och ledning får tillräcklig rapportering om status och brister i penningtvättsarbetet, så att åtgärder kan prioriteras på rätt nivå.

På Morling Consulting hjälper våra AML-jurister företag, banker och fintech-aktörer att analysera penningtvättsrisker, stärka modeller och processer samt utforma dokumentation som håller vid tillsyn – innan brister leder till ingripanden och sanktionsavgifter.

Senaste inlägg

Illustration av processen för efterlevnad av Konsumentkreditlagen 2026 med skärpta krav för kreditgivare, kreditförmedlare och handlare.

15 januari 2026

Ny konsumentkreditlag 2026 – skärpta krav för kreditgivare, kreditförmedlare och handlare
Läs mer
Två jurister granskar ett avtal tillsammans vid ett konferensbord i en ljus, modern miljö som signalerar professionalism, struktur och samarbete.

15 januari 2026

Skriva avtal mellan företag: 8 konkreta tips när du ska skriva på 
Läs mer
Illustrerad jurist i kostym framför skrivbord med cirkulärt AML-flöde, dokumentikoner för riskbedömning, kundkännedom och rapportering för bokföringsbyrå.

14 januari 2026

AML för bokföringsbyråer – praktiska krav och fallgropar
Läs mer