Publicerad 2025-01-25
10 min LÄSNING
Finansinspektionen (FI) började i april 2022 sin utredning om hur Klarna har följt vissa centrala bestämmelser i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, och handläggningstiden varade i två och ett halvt år. Undersökningsperioden var 1 april 2021 - 31 mars 2022. Nu i december 2024 kom FI slutligen fram till att Klarnas allmänna riskbedömning (norska: den virksomhetsinnrettede risikovurderingen), som utgör grunden för AML-arbetet, hade betydande brister. Den beskrev produkternas egenskaper på en övergripande nivå men saknade helt analyser av hur dessa produkter kunde utnyttjas för penningtvätt eller terrorfinansiering (PT/FT). FI fann även att Klarna inte hade rutiner för samtliga situationer där kundkännedomsåtgärder ska vidtas, inklusive för konsumenter som använder deras fakturatjänst – en tjänst som utgjorde 35% av bolagets intäkter.
I det här blogginlägget går jag igenom FIs nyligen släppta rapport om Klarnas AML-arbete.
För att få en överblick över FIs resonemang kan vi börja med att se på hur de disponerar sin rapport. FI inleder med en generell bakgrund till ärendet och allmän bakgrund kring penningtvättsregelverket. I och med att FI har en riskbaserad tillämpning, saknar vi i beslutet dock vägledning och en helhetsbild över Klarnas AML-ramverk i stort, inklusive interna kontroller, rapportering och utbildning. FIs snäva fokus framgår tydligt av strukturen nedan, deras rapport fokuserar uteslutande på “allmän riskbedömning” och “kundkännedomsåtgärder”.
1. Bakgrund
2. Allmänt om penningtvättsregelverket
3. FIs iakttagelser och bedömningar
Allmän riskbedömning
Kundkännedomsåtgärder
4. Överväganden om ingripande
Min genomgång av FIs rapport följer deras struktur.
Klarna är idag en bank, men de startade år 2005 med att erbjuda sina kunder faktura – ett “köp nu och betala senare”-koncept. Klarna fick sin banklicens år 2017.1 Det framgår av rapporten att fakturatjänsten i dag kallas för Klarna Checkout – en kassalösning där kunder kan välja mellan att betala direkt, genom faktura eller genom avbetalning. Av Klarnas allmänna riskbedömning framgår att alternativet “betala senare” ingår i kategorin faktura, som utgjorde cirka 35% av Klarnas intäkter från konsumenter år 2021.
Syftet med penningtvättsregelverket är att förebygga och motverka penningtvätt och terrorfinansiering. I beslutet betonar FI vikten av att verksamhetsutövare förstår och hanterar de risker de är exponerade för – risker som i förlängningen kan skada både företag och samhälle.
Regelverket bygger på ett riskbaserat förhållningssätt, vilket innebär att åtgärder ska anpassas till de specifika risker verksamheten är exponerad för. FI arbetar också riskbaserat och fokuserade i den här granskningen på två nyckelområden: den allmänna riskbedömningen samt rutiner och riktlinjer för kundkännedom, och begränsade sig till produkten faktura.
Riskbedömningen fungerar som ett nav som kopplar samman alla delar av AML-arbetet – från interna rutiner och riktlinjer till övervakning av transaktioner och rapportering av misstänkta aktiviteter. Om riskbedömningen brister, påverkar det verksamhetens förmåga att motverka penningtvätt och terrorfinansiering i grunden.
Klarnas allmänna riskbedömning verkar följa en vanlig struktur: riskbedömningen innehåller inneboende riskpoäng (eng. inherent risk), riskminskande kontroller och så en slutlig (residual) riskpoäng. FI skriver att Klarnas riskbedömning beskriver tjänster och produkter på ett övergripande sätt, men saknar helt bedömningar på vilket sätt produkterna och tjänsternas egenskaper är sårbara mot PT/FT. Banken konstaterar i sin riskbedömning att residualrisken för PT/FT är låg och därför behöver inte banken vidta alla åtgärder som FI gör gällande. Men FI betonar att åtgärderna ska vara i proportion till riskerna. Det betyder inte att åtgärder kan avfärdas bara för att man konstaterar att det är låg risk för PT/FT. Alla lagens åtgärder ska tillämpas. Detta är en viktig påminnelse för flera aktörer där ute. FI bemöter Klarnas invändningar om det riskbaserade förhållningssättet och bankens skyldigheter i flera avsnitt i beslutet, som till exempel avsnitten om distributionskanaler och kundkännedomsåtgärder.
FI konstaterar vidare att Klarna beskriver generella risker, med information från den nationella riskbedömningen, som nya betalningsmetoder och brist på fysisk kundkontakt, men beskriver inte hur tillvägagångssätten är relevanta för Klarnas verksamhet, till sina produkter och tjänster. Ett annat exempel FI uppger är kontanter som också anges men som saknar relevans för många av de produkter/tjänster som Klarna tillhandahåller. Vidare förklarar inte banken hur fakturatjänsten kan utnyttjas för penningtvätt eller finansiering av terrorism, som nämnt tidigare står för en ganska stor del av bankens intäkt.
Det här är nog ett vanligt misstag som många verksamhetsutövare gör. Verksamhetsutövaren refererar till polisens nationella riskbedömning av PT/FT, anger till exempel att ny teknologi och nya betalningsmetoder kan vara förknippade med högre risk och beskriver sedan några av deras produkter och tjänster, kanske till och med att deras tjänster bygger på att det inte sker någon fysisk kontakt med kunderna. Men de saknar att koppla hur bristen på fysisk kontakt faktiskt påverkar risken för PT/FT.
När det gäller riskbedömningen för terrorfinansiering, som är uppbyggd på samma sätt som för PT, angav banken att ideella föreningar och välgörenhetsorganisationer kan utnyttjas för TF. Men Klarna gör samma misstag här och misslyckas med att koppla risken till sina kunder och förklarar inte varför denna information är relevant.
Verksamhetsutövare måste göra djupare analyser av den egna verksamheten och koppla risker och sårbarheter till de egna produkterna och tjänsterna!
En annan lärdom från beslutet är vikten av att ha tydliga och heltäckande rutiner för kundkännedom. Klarna delar in sina kunder i två kategorier: de som ska genomgå kundkännedomsåtgärder och de som inte ska göra det. Problemet är att de kriterier som används för denna indelning, som antalet transaktioner eller deras totala värde, inte fångar upp alla situationer där kundkännedomsåtgärder krävs enligt lagen. Detta innebär att Klarna saknar rutiner för att hantera en stor grupp av sina kunder, vilket i sin tur försvårar deras förmåga att identifiera och motverka risker.
Dessutom visar beslutet hur viktigt det är att använda sin egen data för att identifiera sårbarheter. Klarna skickade in 61 misstankerapporter till polisen under 2021, men gjorde ingen analys av dessa rapporter för att dra slutsatser om hur deras produkter eller tjänster kunde utnyttjas för penningtvätt. Utan en sådan analys blir riskbedömningen snabbt irrelevant, eftersom den inte baseras på de verkliga riskerna verksamheten står inför. (Här undrar jag om det kan vara så att AML-analytikerna som sitter i fronten känner verksamheten och dess sårbarheter bättre än de som sitter med riskbedömningen. Dock är de sällan med i arbetet med att bygga upp AML-ramverket och det ska väl ändå vara så att det är AML-analytikerna som ska få relevant och dagsaktuell utbildning för att faktiskt kunna detektera och rapportera misstankar om PT/TF?)
Modellen för kundkännedom
FI konstaterar att modellen som Klarna använder är en automatiserad och standardiserad modell för att avgöra i vilka situationer som kundkännedomsåtgärder ska vidtas. Som nämnt ovan bygger modellen på kriterier som antalet transaktioner, transaktionernas totala värde och hur ofta kunden använder specifika tjänster, och FI menar att det är ett problem att dessa kriterier inte fångade upp alla situationer där kundkännedomsåtgärder enligt lagen krävs. FI bedömer att Klarnas modell är bristfällig och att banken dessutom saknar en tydlig rutin för modellriskhantering.
Din kund eller kundens kund?
Många regler i penningtvättslagen, däribland de om kundkännedom, ska endast tillämpas i förhållande till den som är kund. FI påminner om “att en kund samtidigt är kund till en annan verksamhetsutövare som på ett eller annat sätt deltar i en och samma transaktion, utesluter inte att kunden är att anse som kund även hos den första verksamhetsutövaren”. Hela det kapitlet är intressant läsning för de som har svårt att definiera om någon ska anses vara en kund och jag anser att FI ger ganska bra vägledning kring hur man bör göra sin bedömning.
För Klarna uppstod detta problem eftersom banken, genom sina faktureringstjänster, ansåg att konsumenterna var handlarens kunder och därmed inte föll inom bankens direkta skyldighet att vidta kundkännedomsåtgärder. FI konstaterar däremot att konsumenterna, genom att registrera sig och ingå avtal med Klarna för att kunna använda deras tjänster, också är att betrakta som Klarnas kunder enligt penningtvättslagen.
Sanktionsavgiften på 500 miljoner SEK gör banken till den näst mest bötfällda banken under 2024, efter amerikanska TD Bank2 som fick böta 3 miljarder USD.
Sanktionsavgiftens storlek baseras på Klarnas koncernomsättning för 2023, som uppgick till 24,64 miljarder SEK, och anses reflektera Klarnas position som en internationell aktör med omfattande verksamhet. Enligt regelverket kunde det högsta möjliga bötesbeloppet uppgå till 2,46 miljarder SEK, motsvarande 10% av omsättningen. Det faktiska bötesbeloppet på 500 miljoner SEK motsvarar cirka 20% av detta tak. Klarna överklagade inte beslutet.3
Som jämförelse kan nämnas DNB, som 2021 fick böta 400 miljoner NOK för brister i sin hantering mot PT/FT. Detta motsvarade 0,7% av deras globala omsättning, vilket ansågs vara lågt i jämförelse med andra banker som tidigare fått böter.
Jag anser att sanktionen är en tydlig signal till marknaden att brister i grundläggande riskbedömningar och kundkännedom inte tolereras. Alltför många tillsynsrapporter och sanktionsbeslut, inte bara i Skandinavien men i världen, visar att verksamhetsutövare har svårt att få till det grundläggande AML-arbetet. Är det ett tecken på kompetensbrist, systemfel, eller en missbedömning av lagkravens omfattning? Om vi liknar AML-arbetet vid att bygga ett hus, är riskbedömningen grunden. Och ingen vill bygga sitt hus på en ostadig grund.
Beslutet lyfter fram flera viktiga lärdomar som alla verksamhetsutövare bör ta till sig:
Bygg en stabil grund: Den allmänna riskbedömningen är hjärtat i AML-arbetet. Om den inte är robust (framför allt dokumenterad!), påverkas även rutiner, riktlinjer och möjligheten för (att bevisa) effektivt motverkande av penningtvätt och finansiering av terrorism. Kan vi tolka det så att även om du visar att verksamheten har identifierat och rapporterat misstanke om PT/TF, men inte har dokumenterat sårbarheterna i riskbedömningen, så är överträdelsen mot lagkraven så pass allvarlig att du inte kan argumentera för att du har efterlevt lagens syfte? Det kan vara värt att påminna om att kontinuerligt uppdatera och förbättra riskbedömningen i takt med att verksamheten, regelverket och hotbilden förändras. Att hävda att FI inte har kommit med konkreta metoder för att utföra riskbedömningar utesluter inte ansvaret att använda rimliga och väl underbyggda riskhanteringsmetoder. Det ligger på verksamhetsutövaren att skapa en riskbedömning som är anpassad och i proportion till den egna verksamhetens specifika förutsättningar och sårbarheter. Självklart hade det varit bra med vägledning från FI, och det är mycket efterlängtat, men man måste ändå se det som en möjlighet att visa att man tar ansvar för att utveckla ett verksamhetsspecifikt och hållbart AML-ramverk.
Känn din verksamhet: En riskbedömning måste kopplas till företagets verklighet. Att bara referera till nationella riskbedömningar eller branschstandarder räcker inte. Analysera och beskriv hur dina produkter och tjänster kan användas för PT/FT och vilka riskreducerande åtgärder som finns på plats.
Använd egen data och statistik: Verksamhetsutövare måste dra nytta av sin egen statistik och erfarenhet. Det handlar om att identifiera specifika sårbarheter och anpassa åtgärderna därefter.
Se till att allt hänger ihop: Regelverket består av samverkande delar. Riskbedömningen ligger till grund för rutiner och riktlinjer, som i sin tur styr hur åtgärder för kundkännedom och transaktionsövervakning ska genomföras. När dessa delar inte är sammanlänkade blir arbetet splittrat och ineffektivt.