Insikter från FI:s analys av bankers sanktionsscreening - Vanligaste felen, orsakerna bakom och best practice

SannaMari Bölenius
Max Knape
av
SannaMari Bölenius
Max Knape

Sammanfattning

Ämnet sanktionsscreening är högt upp på agendan hos många banker och finansiella institut. Så sent som i november kom publikationer och nyheter på området från både Finansinspektionen (FI) och European Banking Authority (EBA).

FI publicerade i början av månaden en sammanfattande rapport av den analys som myndigheten genomfört av 19 bankers sanktionsscreening kopplat till kunder och transaktioner. Under samma månad utfärdade EBA nya riktlinjer på området som träder i kraft 30 december 2025. Utöver detta har den årliga rapporteringen avseende penningtvätt och terrorfinansiering också uppdaterats med fyra nya frågor direkt kopplade till verksamhetsutövarnas hantering av sanktioner.

Samtidigt som kravbilden inom sanktionsscreening blir allt tydligare och mer komplex, har många verksamhetsutövare systemlösningar som begränsar möjligheterna till anpassning och förändring, vilket gör att branschen står inför stora utmaningar de kommande åren. Ett återkommande problem, särskilt om man bortser från storbankerna, är exempelvis att många leverantörers system saknar möjligheter för användarna att granska, justera och testa inställningar för screening.

Denna artikel sammanfattar FI:s rapport, vilka brister i sanktionsscreeningen som identifierades samt våra erfarenheter av de vanligaste orsakerna till dessa brister. Vidare sammanfattas även nuvarande best practice för modellriskhantering av screeningen.

FI:s genomförda analys av bankers sanktionsscreening

FI har under 2024 genomfört en fördjupad analys av sanktionsscreening avseende kunder och transaktioner hos 19 banker i Sverige, utvalda för att representera sektorn utifrån storlek och inriktning. Med teknisk assistans från en extern part testades bankernas automatiserade screeningsystem i en testmiljö för att bedöma deras träffsäkerhet och effektivitet utifrån aktuella parametrar och inställningar. Alla banker använde system från externa leverantörer, integrerade med deras kundsystem, för att identifiera sanktionerade parter och efterleva regelverket. Utifrån testerna granskade FI två centrala mått för screeningen:

  • Träffsäkerhet: Träffsäkerheten mättes genom att 5 000 namn från FN:s och EU:s sanktionslistor testkördes i varje banks respektive system för att se hur väl de identifierade sanktionerade parter. Testet gjordes i två delar, i den första delen testade systemens basala namnmatchningsförmåga genom att namnen som testkördes var identiska med namnen på FN:s och EU:s sanktionslistor. I den andra delen testkördes manipulerade varianter av de sanktionerade parternas namn för att se hur väl systemen kunde ta hänsyn till varierande stavningar, särskrivningar och andra typer av fel som kan tänkas uppstå i praktiken. Ett ytterligare test gjordes vidare där identifiering av sju sanktionerade bankers BIC-koder testades i transaktionsscreeningen.
  • Effektivitet: Effektiviteten utvärderades genom en mätning av dels antalet larm som genererades per varje träff på de sanktionerade parterna, dels andelen felaktiga larm på 200 icke-sanktionerade personer. Då banker skyndsamt måste utreda alla larm som systemen genererar för att avgöra om det gäller en verklig träff på en sanktionerad part kräver detta resurser – det är således i varje banks intresse att minska antalet onödiga (larm per träff) och felaktiga larm som uppstår.  

Testerna visade att Sverige ligger under det globala genomsnittet när det kommer till sanktionsscreening, både gällande träffsäkerhet och effektivitet. Svenska bankers system för sanktionsscreening är alltså i genomsnitt mindre träffsäkra och mer ineffektiva än sina motparter i andra länder. Resultatet av analysen visade vidare också att det är stora skillnader mellan de externa systemlösningarna som används i Sverige, där vissa presterar bra medan andra har uppenbara och systematiska brister.

Identifierade brister i screeningen

Nedan presenteras de huvudsakliga resultaten från rapporten, samt de problem som identifierades för screeningsystemen.

  1. Undermålig logik vid exakt namnmatchning

Gällande matchning av exakta namn var träffsäkerheten i genomsnitt 96,1% för transaktionsscreeningen, medan den enbart låg på 86,3% för kundscreeningen. I praktiken innebär det senare att systemen missar lite över var tionde sanktionerad person – detta alltså trots att hela namnet uppges exakt som på sanktionslistan. Att många av bankerna alltså hade sämre resultat än detta (under genomsnittet) är givetvis uppseendeväckande då logiken som krävs kan förefalla simpel. I praktiken uppstår dock modellkomplexitet även för exakta namnmatchningar – som att namn förekommer på listorna med flera alias, att listorna inte är uppdaterade, alternativt att de inmatade parametrarna appliceras felaktigt och således sållar bort exakta matchningar.  

  1. Undermålig screeninglogik för manipulerade namn

För transaktionsscreeningen var träffsäkerheten 88,4% medan den för kundscreeningen i genomsnitt låg på 63,9% för manipulerade namn, med stora skillnader mellan systemen. I praktiken innebär manipulerade namn att de sanktionerade personernas namn skrivs på flera olika sätt, exempelvis med eller utan bindestreck, accenttecken, apostrofer, med fonetiska ersättningar eller där namn är ihopsatta eller särskrivna. Variationer som dessa kan exempelvis uppstå till följd av mänsklig faktor där namn oavsiktligt skrivs fel i systemen av handläggare eller kunden själv eller vid translitteration där det kan finnas variationer av hur samma namn stavas olika. Det vanligaste är dock att systemen kräver att kundernas namn skrivs i en specifik struktur som nödvändigtvis inte stämmer överens med hur namnen står på sanktionslistorna. Det är vidare också vanligt att sanktionslistorna i sin tur har olika struktur, vilket ytterligare amplifierar utmaningarna.  

  1. Flera falsklarm per korrekt träff

Bankernas effektivitet varierade också stort, där vissa system genererade många ytterligare larm per korrekt träff. I urvalsgruppen genererades i snitt 7,1 larm per träff för manipulerade namn i kundscreeningen och 5,9 larm per träff för manipulerade namn i transaktionsscreeningen. Givet att samtliga larm alltid behöver utredas är det ett mått på ineffektivitet om fler larm genereras. Ju fler larm som genereras per träff desto högre antal falska positiva genererar systemet. Detta innebär i praktiken att mer resurser krävs för att utreda dessa larm, vilket minskar bankens möjlighet att arbeta effektivt.

Givet de konkreta bristerna som framkom i resultatet av FI:s analys och redogörs för ovan är det viktigt att verksamhetsutövare går till botten med om dessa brister finns hos dem – samt vad orsaken till bristerna i så fall är.

Baserat på våra erfarenheter av utveckling och modellriskhantering av sanktionsscreening utvecklas de absolut vanligaste orsakerna bakom dessa brister nedan.

Vanliga orsaker till brister i sanktionsscreening

Likt resultaten i FI:s analys är vår erfarenhet att många verksamhetsutövare har brister i sina screeningsystem, främst relaterade till träffsäkerhet men ibland även till effektivitet – alternativt en kombination av båda. Dessa brister kan oftast spåras till ett antal återkommande grundproblem.

  1. Bristande datanormalisering

Normalisering av data innebär att namn bearbetas och standardiseras för att förenkla jämförelsen mellan kundens namn och namnen på sanktionslistorna. Om data inte normaliseras på ett konsekvent sätt kan namnmatchningsalgoritmer få svårt att identifiera sanktionslistade individer eller entiteter. Felaktig eller ineffektiv normalisering kan exempelvis bero på:

  • inkonsekvent mappning av förnamn, mellannamn och efternamn
  • bristande eller avsaknad av translitterering från andra alfabet (till exempel kyrilliska eller arabiska alfabet)
  • felaktig hantering av mellanslag och förkortningar
  • felaktig hantering av saknade uppgifter
  • bristande hantering av specialtecken och accentuering
  • bristande standardisering av legala former, till exempel synonymerna Aktiebolag, A.B. och AB.
  1. Otillräckligt sofistikerad namnmatchningsalgoritm

En annan vanlig orsak till brister är att namnmatchningsalgoritmen som används inte är tillräckligt sofistikerad och robust, exempelvis då den inte är utformad för att beakta olika typer av fel i underliggande data. Det kan handla om stavningsvariationer, ändringar i namnstruktur eller medvetet manipulerad information. Vår erfarenhet är att en kombination av flera typer av matchningsalgoritmer som viktas på ett ändamålsenligt sätt, till exempel med hjälp av maskininlärning, ofta ger bäst resultat.

  1. Begränsad användning av parametrar

Namnmatchningsalgoritmen är sällan ensamt en tillräckligt bra metod för att kunna säkerställa korrekt identifiering och jämförelse av namn på personer i banken och namnen på sanktionslistorna. Detta innebär att system som inte beaktar andra relevanta identifieringsparametrar, såsom nationalitet, födelsedatum och/eller adress, riskerar att både missa potentiella träffar och öka risken för falsklarm. Detta eftersom många namn är vanliga och delas av många personer, men också på grund av att namn kan variera beroende på kultur, stavning och translitterering. Genom att inkludera fler parametrar får systemet således möjlighet att dels differentiera mellan individer med identiska eller liknande namn, dels en bättre möjlighet att göra en korrekt identifiering trots att namnmatchningen inte är exakt. Både träffsäkerhet och effektivitet påverkas negativt om dessa parametrar inte används och utnyttjas på ett adekvat sätt, vilket blir särskilt tydligt i den typer av tester som FI genomfört.

  1. Felkalibrerade tröskelvärden

För lågt eller för högt satta tröskelvärden för när systemet ska generera träffar kan också skapa problem. Allt för låga värden leder till ett överflöd av falska larm, medan allt för höga värden kan innebära att träffar på sanktionslistade individer missas. Våra erfarenheter är dessvärre att det inte är ovanligt att tröskelvärden är omedvetna och standardiserade eller helt förutbestämda av systemleverantören – de kan också vara svåra att testa och ändra. Oavsett är felkalibrerade tröskelvärden en mycket vanlig konsekvens av bristande processer inom modellriskhantering av sanktionsscreeningen.

Det första steget för att åtgärda de brister som identifierats är att säkerställa att de kan upptäckas – och helst så tidigt som möjligt. Vid publiceringen av FI:s analys uttalades även en förväntan om att bankerna i skarpt läge ska kunna upptäcka och förhindra samtliga aktiviteter som kan kopplas till sanktionerade parter och att bankerna behöver göra mer för att stärka sina system för sanktionsscreening.  

Det är uppenbart att screeninglösningar är tungt automatiserade och standardiserade processer vars underliggande algoritmer och datahantering kräver regelbunden testning och optimering för att vara effektiva och träffsäkra. Förväntningarna på hur sanktionsscreening i praktiken ska hanteras och stärkas går således att likställa med kraven på modellriskhantering som finns i föreskrifterna om åtgärder mot penningtvätt och finansiering (FFFS 2017:11). Målet med det som ska uppnås är också detsamma: att säkerställa att den valda lösningen är ändamålsenlig och möter verksamhetens behov på ett effektivt sätt.

Modellriskhantering av sanktionsscreening – i praktiken

Att hantera modellrisk inom sanktionsscreening kan vid första anblick tyckas enkelt i teorin, men visar sig ofta vara komplext i praktiken. En grundförutsättning för effektiv modellriskhantering är att kunna påverka inställningar och funktionalitet i screeninglösningen – vilket är en återkommande utmaning.

Många svenska screeninglösningar är dessvärre betydligt mindre utvecklade än sina globala motsvarigheter när det gäller såväl tillgång till information som möjligheten till anpassning. Medan system för transaktionsövervakning och kundriskklassificering inom AML ofta erbjuder viss flexibilitet, är det inom sanktionsscreening fortfarande vanligt att helt sakna insyn och möjlighet att påverka centrala processer som datanormalisering, namnmatchningsalgoritmer, parameteranvändning och tröskelvärden.  

I följande avsnitt utvecklas våra erfarenheter av att hantera de mest centrala aspekterna av modellrisk inom sanktionsscreening och hur vi på Frank Penny arbetar med det i praktiken. I den här kontexten kommer vi främst fokusera på de fyra huvudområden: testning, validering, uppföljning och optimering – dock innefattar modellriskhantering i en bredare kontext även andra aspekter kopplat till exempelvis modellutveckling och styrning.

  1. Testning: Träffsäkerhet och effektivitet

Testning för screening skiljer sig mycket från testning av andra typer av modeller för antipenningtvätt, eftersom det finns ett känt utfall i form av om en person är sanktionerad eller inte.1 Utifrån ett modellriskhanteringsperspektiv underlättar det mycket, då det möjliggör att ganska simpla tester kan ge stort värde i form av insikter. Med fördel genomförs periodisk testning av modellen, där frekvensen bör utgå från modellens komplexitet och verksamhetens sanktionsriskexponering.

Då testningen är en så kritisk del i modellriskhanteringen av en screeningmodell ses den ofta som en naturlig delkomponent även i validering och i modelluppföljning. Eftersom sanktionslistorna hela tiden uppdateras och ändras, ses regelbunden testning av modellen ofta som en självständig, egen, del i modellriskhanteringen.  

Regelbundna tester genomförs ofta med samma metodik och omfattning som användes i FI:s analys, vanligtvis med hjälp av extern partner. Detta innebär att en fil med exakta och manipulerade namn på sanktionerade personer körs igenom screeningens testmiljö för att utvärdera systemets träffsäkerhet och effektivitet. Även namn på icke-sanktionerade personer inkluderas i analysen med syfte att få insikter om falsklarm och effektivitet. Resultaten sammanställs i en rapport som visar träffsäkerheten i form av vilka och hur många sanktionerade individer systemet missar, antalet larm per korrekt träff och falsklarm på icke-sanktionerade personer. En rapport sammanställer därefter insikter om systemets svagheter, exempelvis brister i hantering av specifika manipulationer, namn eller alfabet.

En begränsning med denna metod är att den för redan implementerade modeller inte reflekterar det faktiska utfallet i bankens unika kundstock, vilket gör att testet i praktiken regelbundet bör kompletteras med analys av modellens faktiska utfall (se 3. Uppföljning).

  1. Validering: Oberoende kontroll av modellen som helhet och modellriskhanteringen

Validering av en modell för sanktionsscreening bör göras innan den tas i bruk samt vid väsentliga förändringar – dock lever de flesta i en verklighet där en befintlig modell redan är i produktion. Det näst bästa är således att validera den befintliga modellen trots att den redan tagits i bruk. Valideringen bör genomföras med ett oberoende från utveckling och implementation av sanktionsscreeningen i systemet.  

Validering av en screeningmodell innebär en full genomgång av samtliga aspekter av modellen och dess modellriskhantering och delas vanligtvis upp i fyra olika delområden enligt nedan:

Modellens design
Utvärdering av logiken i algoritmen i systemet, filtreringar, tröskelvärdesinställningar och eventuella andra beräkningar avseende huruvida dessa bedöms lämpliga och relevanta för att kunna uppfylla modellens syfte. Detta handlar alltså om att utmana det tankearbete som ligger bakom hur modellen utformats och på vilka grunder.

Modellens data
Utvärdering av kvalitet i den data som skickas till screeningsystemet samt i de listor som används är en central del av arbetet. Detta innebär att säkerställa att alla kunder från källsystemet faktiskt har överförts korrekt till screeningsystemet och att ingen data har gått förlorad. Vidare bör kvaliteten på de parametrar som används i screeningen, såsom namn, födelsedatum, adress och nationalitet, granskas noggrant.

Det är också avgörande att listorna som används i screeningen är aktuella, korrekta och uppdaterade. Dessutom måste formatet på dessa listor och kunddata från CRM-systemet vara kompatibelt med screeninglösningens logik. Felaktigheter som oavsiktligt tillagda kommatecken eller omvänd ordning på för- och efternamn kan annars leda till oönskade konsekvenser och påverka screeningens träffsäkerhet.

Testning och implementation
Utvärdering av huruvida modellen är rätt implementerad i systemet och hur detta säkerställts och säkerställs löpande. Det vill säga – hur det testats att modellen faktiskt fungerar så som det är avsett och larmar, respektive inte larmar, på rätt saker. Om testning har genomförts löpande eller vid utveckling av modellen så går det inom ramen för validering att säkerställa att testningen är tillräcklig. Best practice är dock även att viss oberoende testning också genomförs inom ramen för validering. Sådan testning kan exempelvis inkludera testning med syntetiska data som tidigare beskrivits under avsnittet ”1. Testning: Träffsäkerhet och effektivitet”.

Styrning och kontroll
Utvärdering av samtliga rutiner som omgärdar modellen samt hur dessa följs, avseende områden som: modelldokumentation, roller och ansvar, process för modelluppföljning samt hur förändringar ska genomföras och godkännas etcetera.

  1. Uppföljning: Periodisk utvärdering av modellen

Eftersom validering görs innan implementation och väsentliga förändringar är en annan central del i modellriskhantering att också säkerställa att modellen följs upp regelbundet över tid. Den periodiska utvärderingen av modellen är en kompletterande process till regelbunden testning av modellen och görs således oftast mer sällan än testningen.

Den periodiska utvärderingen kompletterar testningen genom att utöver testning med syntetiska testdata, även innehålla en analys av det faktiska utfallet i bankens unika kundstock. Detta ger en möjlighet att se hur mycket falska positiva träffar som genereras med den data som används i verkligheten – vilket möjliggör optimering utifrån minskning av falska positiva.  

I praktiken går analysen till så att den implementerade screeningens resultat i form av falska positiva undersöks noggrant i syfte att hitta mönster där screeningen konsekvent gör felaktiga antaganden. Det kan exempelvis handla om att lösningen inte i tillräckligt hög utsträckning tar höjd för värden som årtal, kön eller medborgarskap och således generar orimligt många larm på vanligt förekommande namn i bankens kundstock.  

  1. Optimering: Att hitta balansen mellan träffsäkerhet och effektivitet

Det sista steget i modellriskhanteringen är att använda insikterna från testning/validering/uppföljning för att förbättra screeningmodellen. Optimering innebär att justera inställningar, tröskelvärden, filtreringar och annan logik för att förbättra hur modellen presterar.

Som tidigare nämnt är det i många fall begränsat hur mycket modellen går att optimera för de banker som använder sig av leverantörer som har en låg grad av flexibilitet och möjlighet till anpassning, vilket utifrån vår erfarenhet är vanligt på den svenska marknaden. Därför behöver verksamhetsutövare ställa tydliga krav på leverantörer för att möjliggöra anpassningar. För system med högre flexibilitet innebär optimering i praktiken att testa och justera tröskelvärden för att uppnå en balans mellan risktäckning och hanterbar effektivitet.

En svårighet vid optimering är att träffsäkerhet och effektivitet ofta står i konflikt med varandra: förbättring av den ena kan leda till försämring av den andra, vilket ökar modellrisken. Målet är att hitta en balanspunkt där båda aspekterna optimeras. Ett sätt att göra detta är att använda ett sammansatt mått, exempelvis ett medelvärde av träffsäkerhet och effektivitet, som kan vägleda justeringarna.

I praktiken innebär optimeringen att olika tröskelvärden testas, och både det sammansatta måttet och separata värden för träffsäkerhet och effektivitet analyseras. Den optimala lösningen blir den som bäst balanserar risken att missa sanktionerade individer med risken för överflöd av falska positiva och hög arbetsbelastning. Den slutliga optimeringen behöver således anpassas till verksamhetens specifika riskaptit och resurser.

Slutsats

Sammanfattningsvis har sanktionsscreening aldrig varit mer på agendan än nu, med EBA:s nya riktlinjer och Finansinspektionens omfattande granskning som belyser både brister och förväntningar. Årets periodiska rapportering för AML/CFT innehåller också för första gången frågor om resurser, ansvarsfördelning, utbildning och riskbedömning inom sanktionsefterlevnad.

FI:s analys visar att verksamhetsutövare i Sverige i genomsnitt har sämre screeningsystem än sina globala motparter och att systemen skiljer sig betydligt åt. Vissa har betydande brister i sin logik och brister i såväl träffsäkerhet som effektivitet. Fel upptäcktes i logiken där exempelvis sanktionerade namn missades trots att namnet som screenades skrev exakt som på listan, där enkla manipulationer av namnen slank igenom screeningen och där flera larm genererades per träff.

Våra erfarenheter är att dessa fel är mycket vanliga och kan bestå av bristande datanormalisering, otillräckligt sofistikerad namnmatchningsalgoritm, begränsad användning av parametrar eller felkalibrerade tröskelvärden. Dessa fel kan dock enkelt identifieras genom att säkerställa att modellriskhantera sanktionsscreeningen, vilket bäst görs genom processer som inkluderar regelbunden testning, oberoende validering av modellen, periodisk uppföljning och optimering.

Alltjämt medan kraven från Finansinspektionen och EBA förtydligats den senaste månaden, står många verksamhetsutövare inför en problematisk realitet i form av att flertalet dominerande system på marknaden saknar flexibiliteten som krävs för att optimera screeningen till bankens egna unika förutsättningar och riskaptit. Full modellriskhantering av dessa kan således i praktiken innebära att verksamhetsutövare behöver ställa tydliga och hårda krav på sina leverantörer – och vara beredda att överväga alternativa systemlösningar.  

SannaMari Bölenius

SannaMari Bölenius

Senior Manager
sannamari.bolenius@frankpenny.se+46 762 143 611

SannaMari is nothing short of a superstar. She’s a great leader and consultant with unmatched AML expertise. If it was possible to buy stock and bet on a single human being, the whole Frank Penny team would’ve loaded up on SannaMari shares a long time ago.

Max Knape

Max Knape

Director
max.knape@frankpenny.se+46 700 749 759

With a mind that's a mix of a chess grandmaster and a startup guru, Max transforms challenges into opportunities with finesse like no one else. Combined with his passion for arts, Max ensures a touch of creativity is added to every data-driven decision and project he manages.

  • CET
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Read more