KRÖNIKA – Louise Brown, antikorruptionsexpert på FCG
Kriser har åtminstone den fördelen, att de tvingar oss att tänka. Men samtidigt råder det inget tvivel om, att man inte bör vänta tills man är i en kris för att ta fram en krisplan.
”Vi måste komma överens om att det är ett problem och vad det är. Sen kan vi byta kurs och ånga på. Vi är bra på att samarbeta i Sverige.”
Förra veckan medverkade Hans Brun, strategisk rådgivare vid Bedrägericentrum/NOA vid ett möte med flertalet finansiella bolag på temat finansiell brottslighet. Med försiktig positivism och förtröstan kommunicerade han om hur den aktuella utvecklingen kan stävjas.
Kort dessförinnan ställer Hans Brun retoriskt frågan: ”Vishing genererade brottsvinster på 100 miljoner kronor bara i augusti månad. Visa mig den startup som ger en sådan vinst? Den vill jag investera i!”
Sensmoralen är att det ekonomiska kapitalet i den kriminella ekonomin har nu växt sig så starkt att vi uppnått en brytpunkt där det riskerar att väga tyngre än motståndet. I samband med rapporteringen om hur kriminella gäng tvättar pengar genom Spotify sade polisen att tillgången till sådana summor [kriminellt kapital] som det handlar om är direkt systemhotande, eftersom du kan muta i princip vem som helst på olika nivåer i samhället.
Parallellt växer våldskapitalet. Hot och utpressning utgör grunden i otillåten påverkan enligt rapporten Myndighetsgemensam lägesbild – Organiserad brottslighet 2023, följt av korruption och infiltrering, där ”användandet av korruption och utnyttjandet av legala bolagsstrukturer är nyckelfaktorer för den organiserade brottsligheten och förekommer i alltifrån småskaliga mutbrott till avancerade ekonomiska brottsupplägg”.
Ett tredje kapital är tilliten. I Sverige råder en mycket stor tillit i samhället. Det är internationellt sett unikt. Eroderas tilliten ökar utrymmet för det kriminella kapitalet och med det våldskapitalet. Det är när det upplevs finnas en mer rationell anledning att tjäna sina pengar i den kriminella ekonomin än i den legala som det blir riktigt farligt. Förklaringsmodellen där är att man inte har tillit till samhället och därför satsar på att se om sitt eget hus rent krasst i termer av pengar i handen, dock från fel källa.
För övrigt, 100 miljoner är dock relativt sett inte mycket i sammanhanget, givet siffror om 7 miljarder kronor (förlusten av försäkringsbedrägerier per år), 91 miljarder (värdet av svarta löner) och 15 miljarder (välfärdsbrottslighetens kostnader per år).
På temat företag som brottsverktyg, uppger Ekobrottsmyndigheten (EBM) att 80 procent av organiserad brottslighet använder sig av bolag, där aktiebolag är den vanligaste formen, men också utländska bolag eller svenska bolag med utländska företrädare. Vidare, används 70 procent av bolagen av organiserad brottslighet för att tvätta pengar enligt EBM.
Enligt en global rapport, sker bedrägerier i den finansiella sektorn till 29 procent på grund av bristande kundkännedom. Av alla bolag som finns i Sverige är det cirka 80,000, eller 7 procent, där uppgifter om verklig huvudman saknas.
Bristen på kontinuerlig omvärldsbevakning är en sårbarhet enligt ovan nämnda myndighetsgemensamma rapport. Riskbedömning är ofta en svaghet oavsett bransch, enligt flera andra rapporter och praxis.
Ovanstående tirad syftar till att illustrera den brytpunkt, eller ”tipping-point” som vi av allt att döma närmar oss just nu. Vi är överens om den och jag kommer inte att ge mig in i ”vi-såg-det-komma-diskussionen”.
Det mer intressanta är ju vändpunkten, och det finns goda nyheter. Fokus på företag som brottsverktyg ökar, hos flera myndigheter inklusive i finansinspektionens aktuella tillsyn. Integritetsskyddsmyndigheten har nyligen tagit fram ett förslag till nya föreskrifter som ska göra det enklare för företag att hantera personuppgifter om lagöverträdelser för att kunna kontrollera bland annat sina kunder mot olika sanktionslistor.
Kortfattat, gäller att 6 § i föreskriften tar sikte på är att screening mot vissa publika sanktionslistor från och med 1 mars 2024 inte kräver tillstånd från IMY, förutsatt att screening sker mot en i 6 § andra stycket avgränsad personkrets. Registerutdrag från belastningsregistret till exempel omfattas inte av 6 § föreskriften. Verksamhetsutövaren ska i övrigt efterleva GDPR, till exempel kravet på rättslig grund och nödvändighet. Det betyder alltså inte att det är per definition ”fritt blås” och att en verksamhetsutövare alltid får genomföra screening. Det är fortsatt upp till verksamhetsutövaren att kunna visa på nödvändighet med screening mot bakgrund av den allmänna riskbedömningen.
Man kan just nu få uppfattningen att många intressenter till synes nu går från noll till hundra över natt. Från att allmän riskbedömning och due diligence gått på försiktig sparlåga till att kundansvariga, upphandlare och andra nyckelfunktioner formligen skriker efter både information och verktyg. Från att prata om att ’få ta del av förmågehöjande aktiviteter’ (utbildning), till att sätta konkreta processer och rutiner på plats med tydligt ansvar och uppföljning.
Ur kris föds nya möjligheter, och i ett kritiskt läge har man inte utrymme för ineffektivitet. Låt oss växla in de negativa brytpunkter som vi nu ser, till effektiva vändpunkter där vi går från ”check-box compliance” till ett mer systematiskt och riskbaserat sätt att tackla rådande utmaningar och driva förändring. Där vi går från ”känn din kund” till att faktiskt ”förstå din kund” (eller motsvarande för om det handlar om leverantörer), men också förstå de konsekvenser vi har att vänta om verkningsfulla åtgärder uteblir.
Låt oss bli riktigt heligt förbannade. Jag tror det behövs, så kommer vändpunkten.
