FFFS 2017:11 Åtgärder mot penningtvätt och finansiering av terrorism

2 §Ett företag ska kontrollera identiteten hos en fysisk person genom svenskt körkort, svenskt pass eller identitetskort utfärdat av en svensk myndighet eller ett svenskt certifierat identitetskort.

Om en fysisk person saknar svensk identitetshandling, ska företaget kontrollera identiteten mot pass eller en annan identitetshandling. Passet eller identitetshandlingen ska innehålla ett fotografi av personen, uppgift om medborgarskap och vara utfärdat av en myndighet eller en annan behörig utfärdare. En kopia av ett utländskt pass eller en annan utländsk identitetshandling ska bevaras enligt de krav som ställs i 5 kap. 3 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Om en fysisk person helt saknar identitetshandling ska företaget kontrollera identiteten genom andra tillförlitliga dokument och andra kontroller enligt de riskbaserade rutiner företaget ska ha enligt 2 kap. 8 § lagen om åtgärder mot penningtvätt och finansiering av terrorism.

3 §Om en fysisk person företräds av en person som inte är förvaltare eller god man, ska företaget

1. kontrollera företrädarens identitet i enlighet med 2 eller 5 §, och

2. kontrollera företrädarens behörighet att företräda den fysiska personen, och vilka förhållanden behörigheten grundar sig på, genom att åtminstone kontrollera en skriftlig fullmakt, personbevis eller motsvarande.

4 §Om en fysisk person har en förvaltare eller en god man ska företaget åtminstone

1. kontrollera förvaltarens eller den gode mannens identitet enligt 2 eller 5 §, och

2. vid behov kontrollera förordnandet eller motsvarande handling, som ligger till grund för uppdraget som förvaltare eller god man.

5 §Bestämmelser om kontroll av en kunds identitet på distans finns i 3 kap. 7 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Ett företag får, utöver att göra på det sätt som anges i 3 kap. 7 § andra stycket lagen om åtgärder mot penningtvätt och finansiering av terrorism, kontrollera identiteten hos en fysisk person på distans genom att

1. hämta in uppgifter om personens namn, adress, personnummer eller motsvarande,

2. kontrollera uppgifter enligt 1 mot externa register, intyg eller annan motsvarande dokumentation, och

3. kontakta personen genom att skicka en bekräftelse till hans eller hennes folkbokföringsadress eller till en motsvarande tillförlitlig adress, eller se till att personen skickar in en vidimerad kopia av en identitetshandling, eller en annan motsvarande åtgärd.

FFFS (2019:28)

6 §Ett företag ska kontrollera identiteten hos en juridisk person genom registreringsbevis eller motsvarande behörighetshandlingar, eller göra motsvarande kontroll mot externa register.

Företaget ska även kontrollera identiteten hos en företrädare för en juridisk person genom att

1. kontrollera den juridiska personens företrädares identitet enligt 2 §, och

2. säkerställa behörigheten att företräda den juridiska personen och vilka förhållanden behörigheten grundar sig på, genom att kontrollera uppgifterna i 1 mot den juridiska personens registreringsbevis, externa register eller motsvarande.

7 §Ett företag ska kontrollera identiteten hos en juridisk person på distans genom registreringsbevis eller motsvarande behörighetshandlingar, eller göra motsvarande kontroll mot externa register.

Företaget ska även kontakta den juridiska personen genom att skicka en bekräftelse till den juridiska personens registrerade adress eller vidta en motsvarande åtgärd.

Företaget ska dessutom kontrollera identiteten hos en företrädare för en juridisk person på distans genom att

1. identifiera och kontrollera den juridiska personens företrädare enligt 5 §, och

2. kontrollera behörigheten att företräda den juridiska personen och vilka förhållanden behörigheten grundar sig på genom kontroll av uppgifterna i punkten 1 mot den juridiska personens registreringsbevis, externa register eller motsvarande.

8 §Ett företag ska vid kontroll av identiteten av en kunds verkliga huvudman enligt 3 kap. 8 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, skaffa sig tillförlitliga och tillräckliga uppgifter om kundens verkliga huvudman genom att kontrollera uppgifterna mot externa register, relevanta uppgifter från kunden eller andra tillförlitliga uppgifter som företaget tagit del av.

Om kunden är en juridisk person och den verkliga huvudmannen inte går att fastställa enligt 3 kap. 8 § tredje stycket lagen om åtgärder mot penningtvätt och finansiering av terrorism ska företaget kontrollera identiteten hos en styrelseordförande, en verkställande direktör eller motsvarande befattningshavare för den juridiska personen enligt 2 eller 5 §.

9 §När förenklade åtgärder för kundkännedom enligt 3 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism tillämpas för en fysisk person, ska företaget

1. identifiera och kontrollera den fysiska personens identitet genom att

   1. inhämta uppgifter om kundens namn, adress och personnummer eller motsvarande, och

   2. kontrollera dessa uppgifter mot externa register, intyg, annan dokumentation, eller motsvarande, samt

2. i begränsad omfattning genomföra övriga åtgärder enligt 3 kap. 8 och 10–13 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism.

10 §När förenklade åtgärder för kundkännedom enligt 3 kap. 15 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism tillämpas för en juridisk person, ska företaget

1. identifiera och kontrollera identiteten hos den juridiska personens företrädare genom att

   1. inhämta information om företrädarens namn, adress och personnummer eller motsvarande, och

   2. säkerställa företrädarens behörighet och vilka förhållanden behörigheten grundar sig på genom att kontrollera uppgifterna i a mot den juridiska personens registreringsbevis, externa register, eller annan motsvarande handling, identitetshandling för företrädaren enligt 2 §, samt

2. i begränsad omfattning genomföra övriga åtgärder enligt 3 kap. 8 och 10–13 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism.

1 §Ett företags system enligt 4 kap. 7 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska vara elektroniskt eller manuellt.

Företaget ska se till att systemet är utformat så att uppgifterna kan lämnas i ett digitalt, strukturerat och bearbetningsbart format. Företaget ska säkerställa att uppgifterna lämnas genom säkra kanaler eller på annat säkert sätt. Företaget ska även se till att uppgifterna behandlas konfidentiellt.

2 §Ett företag ska bevara handlingar och uppgifter enligt 5 kap. 4 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism i tio år, om

1. handlingarna eller uppgifterna kan tyda på penningtvätt, finansiering av terrorism eller att egendom annars härrör från brottslig handling,

2. omständigheter enligt 1 har rapporterats till Polismyndigheten eller Säkerhetspolisen enligt 4 kap. 3 eller 6 § lagen om åtgärder mot penningtvätt och finansiering av terrorism, och

3. en myndighet har uppmärksammat företaget om att handlingarna eller uppgifterna behöver bevaras under denna tidsperiod.

FFFS (2019:28)

2 §En särskilt utsedd befattningshavare ska

1. göra en allmän riskbedömning enligt 2 kap. 1 och 2 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism,

2. uppdatera den allmänna riskbedömningen enligt 2 kap. 1 och 2 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 1 § dessa föreskrifter,

3. ansvara för att företaget har interna och gemensamma rutiner och riktlinjer enligt 2 kap. 8–12 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 2 § dessa föreskrifter, och

4. uppdatera de interna och gemensamma rutinerna och riktlinjerna enligt 2 kap. 8–12 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 2 § dessa föreskrifter.

Den särskilt utsedda befattningshavaren kan utse en eller flera personer som biträder denne samt delegera befogenheter enligt första stycket till den eller dessa personer.

3 §En särskilt utsedd befattningshavare ska kontrollera och följa upp att de åtgärder, rutiner eller andra förfaranden som företaget beslutar om också genomförs i verksamheten.

4 §En särskilt utsedd befattningshavare ska rapportera till styrelsen eller den verkställande direktören. Om den särskilt utsedde befattningshavaren är företagets verkställande direktör ska rapportering ske till styrelsen.

5 §En centralt funktionsansvarig enligt 6 kap. 2 § första stycket 2 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska

1. övervaka och löpande kontrollera att företaget uppfyller lagen om åtgärder mot penningtvätt och finansiering av terrorism, dessa föreskrifter samt företagets rutiner och riktlinjer,

2. ge råd och stöd till företagets anställda, uppdragstagare och andra personer som på liknande grund deltar i verksamheten om regler som rör penningtvätt och finansiering av terrorism,

3. informera och utbilda berörda personer om regler som rör penningtvätt och finansiering av terrorism,

4. ansvara för att uppgifter lämnas enligt 4 kap. 6 § lagen om åtgärder mot penningtvätt och finansiering av terrorism på det sätt som Polismyndigheten föreskriver,

5. kontrollera och regelbundet bedöma om företagets interna och gemensamma rutiner och riktlinjer för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism, enligt 2 kap. 8–12 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism samt 2 kap. 2 § dessa föreskrifter, är ändamålsenliga och effektiva, och

6. lämna rekommendationer till berörda personer baserade på de iakttagelser som funktionen gjort, och

7. regelbundet och minst årligen upprätta en rapport om företagets arbete mot penningtvätt och finansiering av terrorism.

Den centralt funktionsansvarige kan utse en eller flera personer som biträder denne samt delegera befogenheter enligt första stycket till den eller dessa personer.

FFFS (2024:4)

6 §En centralt funktionsansvarig ska placeras inom företaget och vara oberoende i förhållande till de funktioner och områden den ska övervaka och kontrollera.

Ett företag får uppdra åt någon annan att utföra sådana uppgifter som anges i 5 § första stycket 1–3 och 5–7. Företaget ansvarar dock alltid för de utlagda uppgifterna.

FFFS (2024:4)

7 §En centralt funktionsansvarig ska rapportera till styrelse eller verkställande direktör.

8 §En centralt funktionsansvarig kan utses för flera eller samtliga företag inom en koncern. Detta får dock endast ske om den centralt funktionsansvarige har tillräcklig kompetens och tillräckligt med resurser för att kunna utöva sitt ansvar för samtliga företag inom koncernen som omfattas av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

9 §Bestämmelser om en centralt funktionsansvarigs ansvar för rapporter till Polismyndigheten finns i 6 kap. 2 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

10 §Den oberoende granskningsfunktionen enligt 6 kap. 2 § första stycket 3 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ska

1. granska och regelbundet utvärdera om företagets organisation, styrningsprocesser, it-system, modeller och rutiner och riktlinjer är ändamålsenliga och effektiva,

2. granska och regelbundet utvärdera om företagets interna kontroll är ändamålsenlig och effektiv,

3. granska och regelbundet utvärdera om verksamheten drivs i enlighet med företagets interna rutiner och riktlinjer,

4. granska och regelbundet utvärdera företagets riskhantering utifrån företagets allmänna riskbedömning,

5. granska och regelbundet utvärdera tillförlitligheten och kvaliteten på det arbete som utförs inom företagets övriga kontrollfunktioner,

6. lämna rekommendationer för åtgärder till berörda personer, baserade på de iakttagelser som funktionen gjort, och

7. följa upp att åtgärderna enligt 6 genomförs.

11 §En oberoende granskningsfunktion ska vara direkt underställd företagets styrelse.

12 §En oberoende granskningsfunktion ska vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Med funktionens oberoende avses att funktionens anställda inte får delta i andra funktioners arbete eller i den operativa verksamheten.

13 §Ett företag får uppdra åt någon annan att utföra en oberoende granskningsfunktions arbete. Företaget ansvarar dock alltid för den utlagda verksamheten.

14 §Bestämmelser om ett företags rutiner för modellriskhantering finns i 6 kap. 1 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Rutinerna ska innehålla en beskrivning av den bakomliggande teorin och de antaganden som har lett fram till en modells utformning. Rutinerna ska även beskriva hur de ändringar som utförts av en modell ska dokumenteras.

15 §Ett företag ska ha rutiner för en valideringsprocess av sina modeller som säkerställer att en modell är ändamålsenlig för sitt syfte enligt 6 kap. 1 § andra stycket lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

I valideringsprocessen ska företaget granska att de parametrar och data som används i en modell är korrekta och fullständiga samt att antagandena är lämpliga och relevanta.

16 §Ett företag ska utföra en validering av en modell innan den tas i bruk. Om väsentliga förändringar görs av en modell ska en ny validering genomföras.

17 §Ett företag ska efter varje validering den utför av en modell upprätta en rapport över resultatet av valideringen.

18 §Bestämmelser om ett företags rapporteringssystem för anställda, uppdragstagare och andra personer som på liknande grund deltar i verksamheten finns i 6 kap. 4 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Företaget ska se till att rapporteringssystemet skyddar företagets information från åtkomst av obehöriga, förhindra att informationen förvanskas eller förstörs och säkerställa att informationen är tillgänglig när den behövs.

Företaget ska säkerställa att rapporteringssystemet är utformat så att uppgifter kan lämnas anonymt.

1 §Ett företag ska årligen lämna uppgifter till Finansinspektionen om

1. den verksamhet som företaget bedriver,

2. företagets riskbedömning och rutiner,

3. företagets åtgärder för kundkännedom,

4. företagets övervakning och rapportering enligt 4 kap. lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism,

5. företagets åtgärder för regelefterlevnad, samt

6. företagets utbildning av anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten enligt 2 kap. 14 § lagen om åtgärder mot penningtvätt och finansiering av terrorism.

2 §Ett företag ska till Finansinspektionen lämna uppgifter enligt 1 § digitalt på det sätt som närmare anges på myndighetens webbplats.

3 §Ett företag ska lämna uppgifter enligt 1 § som avser balansdagen den 31 december.

Uppgifterna ska komma in till Finansinspektionen senast den 31 mars.

4 §Uppgifter som avser belopp ska anges i svenska kronor.

Vid omräkning från annan valuta än svenska kronor, ska den valutakurs tillämpas som gäller på balansdagen.

5 §Ett företag ska på Finansinspektionens begäran lämna uppgifter utöver det som anges i 1 §, om det behövs för att myndigheten ska kunna bedöma den risk som kan förknippas med företaget.