av Ronny Gustavsson, Director & co-head of Financial Crime Prevention, Advisense.
En strikt regulatorisk tolkning utan operationell förståelse leder ofta till suboptimala lösningar. Regelverkens intentioner kan missas, och implementeringar riskerar att bli ineffektiva, dyra eller rent av kontraproduktiva.
Frustrationen hördes redan när det fjärde penningtvättsdirektivet trädde i kraft. ”En tsunami av regelverk väller över bankerna”. Fortfarande är det endast någon få procent av penningtvätten som stoppas, samtidigt som mängden falska larm från transaktionsövervakningssystemen som håller manuella resurser upptagna är enorm.
Hur pendeln slår vet vi. Utebliver effekten, i detta fall mot penningtvätt, så skärps kraven och tillsynen ökar. Det regulatoriska landskapet vad gäller penningtvättsförebyggande arbete (Anti-Money Laundering, ”AML”) har genomgått en dramatisk utveckling under de senaste årtiondena. Financial Action Task Force (FATF) rekommendationer, nya EU-direktiv, EBA:s riktlinjer och nationella tillsynsmyndigheters krav, som innebär att banker och andra finansiella institutioner ständigt behöver anpassa sina processer. Där är regulatorisk expertis en grundförutsättning för att kunna tolka och implementera dessa regler. Men, i sig är det en otillräcklig grund. När nästa steg inför kommande förordning ska tas, och med det nya investeringar och organisatoriska omställningar, finns det en fara i att stå fast i ett cyklopiskt fokus på juridiken.
Det som ger faktiska resultat är den praktiska tillämpningen. I engelskan pratar man om ”truisms”, alltså uttalanden som är uppenbart sanna och inte säger något nytt. Såsom, man får vad man betalar för. Sant är också nu att en strikt regulatorisk tolkning utan operationell förståelse inte är lösningen på problemet.
Regelverkens intentioner kan missas, och implementeringar riskerar att bli ineffektiva, eller rent av kontraproduktiva. Bristen på kompetenta och erfarna AML-resurser är också en fråga som behöver nyanseras. Nämligen, vilket slags resurser är det som behövs för att uppnå bättre resultat än vad finansiell sektor och samhället i stort gjort hittills.
Under åren har goda erfarenheter samlats som bekräftar att det mest effektiva sättet att bekämpa penningtvätt är att blanda kompetens. I arbetet krävs förutom regulatorisk expertis framför allt operationell erfarenhet, skicklighet inom riskmodellering och djup teknisk kunskap. Hur man utvecklar och anpassar riskmodeller och lyckas tillämpa en stark teknisk förståelse för systemintegrationer är kanske den mest kritiska faktorn. Att arbeta riskbaserat är en central princip i arbetet mot penningtvätt, och det kräver en förståelse för hur riskmodeller bör byggas och anpassas. Riskmodeller måste utgå från både regulatoriska krav och empiriska data för att vara relevanta och effektiva. Ytterst är också frågan om finansiella institut kan förlika sig med en utveckling med fortsatt ökande kostnader för regelefterlevnad med ytterst låg utväxling antaget, att målet är att stoppa penningtvätt.
Det krävs andra kompetenser för att realisera lagstiftarens intentioner. För att skapa lösningar som fungerar i praktiken behövs djup operationell erfarenhet. En i sig bygger på en god förståelse för verkligenheten och vad man ofta hänvisar till som ”modus operandi”, hur penningtvätten faktiskt går till, och samtidigt hur AML-processer fungerar i vardagen i banker, fintech-bolag och andra finansiella aktörer.
De flesta finansiella aktörer arbetar med komplexa IT-miljöer, där AML-system måste kunna kommunicera smidigt med andra system inom tex kundrelationshantering, transaktioner, depåer, konton, krediter och rapportering. Ett gott exempel är en riskbaserad kundkännedomsprocess (”KYC”), den måste inte bara uppfylla regelverkskrav, utan också vara effektiv och användarvänlig för att minimera friktion för kunder.
Transaktionsövervakning som följer baserad på kundkännedomen måste byggas på insikter om hur verkliga transaktioner ser ut för att kunna identifiera suspekta mönster utan att generera orimligt många falska positiva larm. Återigen, här krävs operationell erfarenhet för att identifiera flaskhalsar och ineffektiva processer, för att skapa lösningar som inte bara efterlever reglerna utan också fungerar smidigt i praktiken. Transaktionsövervakning handlar vidare om att utveckla modeller som kan särskilja mellan verkliga högriskaktiviteter och normala affärstransaktioner.
Problematiken kring falska positiva larm är en annan ’truism’. Det finns olika giv men en samlad bedömning som de flesta finansiella instituten idag kan ena sig om är att 80-90 procent av alla transaktionslarm är falska. Detta medan cirka 1 procent av larmen rapporteras till finanspolisen. Att utreda ett enskilt larm tar cirka 30 minuter, vilket gör bara denna del till en enorm resurskostnad.
För att få till stånd förbättringar krävs djup kunskap om dataanalys och riskmodeller, kombinerat med en förståelse för hur brottslingar faktiskt tvättar pengar. En statisk modell som enbart bygger på traditionella regler är ofta ineffektiv, medan en dynamisk, datadriven modell kan ge en mycket mer träffsäker identifiering av risker. Med det sagt, finns goda chanser att faktiskt minska kostnaderna för transaktionsmonitoreringen om man implementerar algoritmer som utreder de larm som genereras.
För att uppnå detta krävs en teknisk förståelse för API:er, dataintegration och systemarkitektur. Ett generationsskifte krävs för att utveckla mer verklighetsanpassade riskmodeller. Verkligheten idag är ett tekniskt landskap med lappade och lagade systemparker. Samtidigt är AI en central del i ekvationen, där olika applikationer börjar ta form för att ta språnget framåt. Analogt med att företagsledningar 1985 uppmanades att riva pyramiderna, är det idag 2025 silona som måste, om inte raseras, så i alla fall integreras. En ineffektiv integration kan leda till att kritiska processer blir fördröjda, inte får den data som krävs eller att viktig information inte flödar korrekt mellan olika system.
I takt med att hotet från den kriminella ekonomin ökar och uppläggen blir alltmer sofistikerade, kommer de finansiella institut som lyckas kombinera dessa kompetenser att vara bäst rustade att bekämpa penningtvätt. Att behovet för ett nytt förhållningssätt till penningtvättsarbetet också återspeglas i i hur Finansinspektionen utövar sin tillsyn är positivt. Riktningen som kan skönjas blir allt mer framåtlutad med fokus på effekt och effektivitet, där undersökningar görs kring hur och utifrån vilka rationella hänsyn som verksamheter bedriver sitt AML-arbete.
Den nya AML-förordningen som träder ikraft 2027 kan bli den brytpunkt som behövs, för att vi som samhälle ska lyckas stoppa tvätten av hundratals miljarder i kriminella intäkter genom svenska finansiella institut varje år. Den kritiska utmaningen nu är tänka bredare, utöver juridiken.
