Inledning
Till följd av den ökande digitaliseringen av banker och betalningar blir både möjligheterna för och kraven på verksamhetsutövare att förhindra penningtvätt och finansiering av terrorism (AML/CFT) alltmer sofistikerade. Enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism är verksamhetsutövare skyldiga att löpande övervaka pågående affärsförbindelser samt granska och bedöma enstaka transaktioner i syfte att kunna identifiera aktiviteter som kan misstänkas utgöra penningtvätt eller finansiering av terrorism. När antalet transaktioner ökar blir det därmed allt viktigare för verksamhetsutövare att använda ändamålsenliga och riskbaserade övervakningsmodeller för att uppfylla dessa krav. Den stora mängden data som sådana modeller behöver hantera, i kombination med ett mer omfattande och detaljerat regelverk under senare år, har bidragit till att kvantitativa metoder för modellutveckling och validering blivit alltmer relevanta.
Regelverk
På EU-nivå regleras åtgärder mot penningtvätt och finansiering av terrorism i det fjärde penningtvättsdirektivet, (EU) 2015/849, vilket i Sverige implementerats genom lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism samt Finansinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism (FFFS 2017:11).
Regelverken kräver att verksamhetsutövare ska göra en allmän riskbedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism. Denna bedömning ska regelbundet utvärderas och vid behov uppdateras för att säkerställa att den fortsatt speglar verksamhetens faktiska riskexponering. Utifrån den allmänna riskbedömningen är verksamhetsutövare skyldiga att löpande övervaka pågående affärsförbindelser samt granska och bedöma enstaka transaktioner i syfte att identifiera avvikande eller misstänkta aktiviteter. Till följd av det stora antalet kunder och transaktioner som ofta förekommer i verksamheten är det i praktiken nödvändigt att använda automatiserade modeller för denna övervakning.
Krav på modeller
För att en modell för övervakning av pågående affärsförbindelser och transaktioner ska vara ändamålsenlig bör den:
- Omfattas av fastställda rutiner för validering och kvalitetssäkring innan modellen tas i bruk och vid väsentliga förändringar.
- Vara riskbaserad och baseras på verksamhetsutövarens allmänna riskbedömning, så att samtliga identifierade relevanta risker beaktas.
- Ta hänsyn till kundkännedom, inklusive kundens riskprofil.
- Vara utformad för att identifiera avvikande eller misstänkta aktiviteter och transaktioner.
- Beakta kundens historiska transaktionsmönster samt kundens beteende i relation till andra kunder inom samma kundsegment.
- Omfattas av dokumenterade rutiner och riktlinjer för övervakning och hantering av träffar.
- Omfattas av rutiner för modellriskhantering, inklusive ansvarsfördelning och intern kontroll.
- Vara dokumenterad med avseende på bakomliggande antaganden, metodik och eventuella begränsningar.
Validering av modeller
Innan modeller eller andra metoder för riskbedömning, riskklassificering, transaktionsövervakning eller liknande förfaranden tas i bruk, och vid väsentliga förändringar, ska de valideras. Syftet med valideringen är att kvalitetssäkra modellen, säkerställa att den är ändamålsenlig och att den är utformad för att på ett tillfredsställande sätt kunna hantera de risker som identifierats i den allmänna riskbedömningen.
Eftersom övervakningsmodeller ska baseras på och beakta samtliga relevanta risker som identifieras i den allmänna riskbedömningen, behöver dessa även valideras löpande och vid behov uppdateras i takt med att riskbedömningen utvecklas och förändras över tid. Samtidigt ska kraven på övervakning och tillhörande metoder tillämpas i enlighet med proportionalitetsprincipen, vilket innebär att utformning, komplexitet och omfattning ska stå i rimlig proportion till verksamhetsutövarens storlek, art och riskexponering. För verksamhetsutövare med lägre identifierad risk kan enklare lösningar vara tillräckliga, medan verksamheter med stora transaktionsvolymer eller högre riskexponering normalt behöver mer avancerade och resurskrävande lösningar.
Brister i modellvalidering och tillhörande styrning har även uppmärksammats av Finansinspektionen (FI) i deras tillsyn. FI publicerade i februari 2026 sina prioriteringsområden för tillsyn under året, där finansiell brottslighet, inklusive AML/CFT, utgör ett centralt fokusområde. Samtidigt har flera verksamhetsutövare under senare år varit föremål för sanktioner till följd av otillräckliga riskhanteringsrutiner, brister i den löpande övervakningen samt bristande modellvalidering, inom AML/CFT-området. Detta understryker vikten av att övervakningsmodeller inte enbart är ändamålsenligt utformade, utan också regelbundet granskas, dokumenteras och följs upp i praktiken.
Stöd kring AML-modeller
Penningtvättsregelverket reglerar inte uttryckligen vem eller vilken funktion inom verksamhetsutövaren som ska ansvara för valideringen av modeller. Svenska institutet mot penningtvätt (SIMPT) anger i sin vägledning om modellriskhantering (s. 18) att det, i likhet med vad som framhålls i andra branschvägledningar, är god praxis att organisatoriskt separera valideringsansvaret från de funktioner som utvecklar, implementerar eller använder modellen.
Utvecklingen inom penningtvättsområdet går mot alltmer datadrivna och kvantitativa metoder för riskbedömning och transaktionsövervakning. Samtidigt ökar kraven på att dessa modeller är väl dokumenterade och föremål för strukturerad och oberoende validering. För verksamhetsutövare innebär detta ett behov av både teknisk kompetens och djup regulatorisk förståelse. I detta avseende är övervakningsmodeller i grunden lik andra kvantitativa riskmodeller, ett område där NFC har lång erfarenhet av såväl utveckling som validering.
NFC erbjuder helhetslösningar inom riskmodellering och modellvalidering, med särskild expertis inom kvantitativa modeller som hanterar stora datamängder. Vi kan stödja verksamheter genom hela modellens livscykel, från utveckling och implementation till validering, backtesting och anpassning till nya regelverkskrav. Läs mer om våra tjänster inom riskmodellering och modellvalidering eller kontakta oss om ni vill stärka ert arbete med modeller för penningtvättsövervakning eller säkerställa att era lösningar är ändamålsenliga och regulatoriskt robusta.
