Sanktionsbeslutet mot Klarna – de fem mest centrala bristerna och deras innebörd

SannaMari Bölenius
Albin Eriksson
av
SannaMari Bölenius
Albin Eriksson

Bakgrund:

Den 11 december 2024 ålade Finansinspektionen Klarna en sanktion på 500 miljoner kronor – ett av de största sanktionsbeloppen hittills i Sverige. I beslutet från Finansinspektionen (FI) identifieras flera allvarliga brister, varav vissa är återkommande från tidigare sanktionsbeslut, medan andra innebär förtydliganden och tolkningar av regelverket i en ny kontext. Denna artikel sammanfattar Frank Pennys iakttagelser och de fem mest centrala bristerna, samt analyserar dessa mot bakgrund av våra erfarenheter från arbete med dessa i praktiken.

Övergripande iakttagelser från sanktionsbeslutet

FI förtydligar definitionen av kritiska begrepp som kund och affärsförbindelse

En av de brister som lyfts i sanktionsbeslutet är att Klarna har brustit i tolkningen av centrala begrepp i Penningtvättslagen i förhållande till sin verksamhet. Detta gäller särskilt definitionerna av kund, affärsförbindelse och situationer som kräver kundkännedom enligt 3 Kap. 4 §. Liknande misstag har tidigare identifierats av Finansinspektionen, exempelvis i sanktionsbesluten mot Trustly och ClearOn 2022, där samma typer av feltolkningar framkom med allvarliga konsekvenser som följd. Det som gör denna brist särskilt allvarlig är att en felaktig tolkning av kund- och affärsförbindelsebegreppen inte bara är ett isolerat problem – den får en kedjeeffekt och leder till ytterligare brister, såsom avsaknad av rutiner, riskbedömningar och kontrollåtgärder.

Förtydligande av modelldefinitionen

Felaktig tillämpning och tolkning av modelldefinitionen är ytterligare en intressant aspekt som Finansinspektionen lyfter fram i sanktionsbeslutet mot Klarna. FI menar att det förfarande som Klarna använt för att avgöra om kunder ska omfattas av KYC-krav ska betraktas som en modell enligt Penningtvättslagen. Även om Finansinspektionen sedan tidigare förtydligat sin ståndpunkt kring modelldefinitionen (läs mer här) är detta första gången som de påtalar brister i modellriskhantering som inte berör kundriskklassificering och transaktionsövervakning i ett sanktionsärende. Det ska dock tilläggas att även sanktionsscreening nyligen varit på agendan i FI:s analys av sanktionsscreening i november (läs mer här).

Applicering av det riskbaserade förhållningssättet

Av beslutet framgår att Klarna har gjort bedömningen att vissa åtgärder inte behöver vidtas eftersom den övergripande residualrisken för verksamheten (risken efter vidtagna kontrollåtgärder) anses vara låg. Till exempel har valet avseende vilka kunder som är föremål för kundkännedomsåtgärder utformats med detta resonemang (det riskbaserade förhållningssättet) som grund. FI påpekar dock att Klarna är skyldig att vidta de åtgärder som föreskrivs i regelverket - oavsett vilka risker som identifieras i verksamheten. Det riskbaserade förhållningssättet påverkar endast omfattningen av åtgärderna, inte huruvida de ska vidtas eller inte.

Utöver Finansinspektionens synpunkter kan det tilläggas att en bedömning i form av låg residualrisk för verksamheten förutsätter att de åtgärder som anges i regelverket först har genomförts och att deras effektivitet har bedömts. Kedjan bör således vara att åtgärder först genomförs och deras effektivitet bedöms - innan residualrisken fastställs.

Klarnas fem centrala brister – analys och insikter

Nedan sammanfattas de fem mest centrala bristerna i Klarnas AML-arbete, samt våra erfarenheter från arbete med dessa i praktiken.

  1. Bristfällig bedömning av produkter och tjänster i den allmänna riskbedömningen

I sanktionsbeslutet framför Finansinspektionen flera synpunkter på Klarnas riskbedömning av produkter och tjänster:

  • Otydliga egenskaper och sårbarheter: Egenskaperna hade beskrivits på en alltför övergripande nivå, utan en konkret bedömning av hur de gör produkterna och tjänsterna sårbara – det vill säga hur de skulle kunna utnyttjas för penningtvätt eller finansiering av terrorism
  • För generella typologier/modus: Det saknades en beskrivning av hur typologierna skulle kunna vara relevanta för just Klarnas verksamhet, som exempelvis i relation till de produkter och tjänster som erbjuds
  • Otillräcklig analys av distributionskanaler: Klarna använde sig bland annat av så kallade "mor-handlare", en distributionskanal där en tredje part hanterar försäljningen. Finansinspektionen konstaterar att risken med denna kanal inte har bedömts i relation till Klarnas produkter och tjänster

Sammanfattningsvis anser Finansinspektionen att Klarnas riskbedömning inte varit tillräckligt konkret eller korrekt för att kunna ligga till grund för bankens rutiner, riktlinjer och övriga åtgärder.

Det är inte första gången som Finansinspektionen identifierar brister i verksamhetsutövares allmänna riskbedömning. Att omvandla regelverkets krav till praktisk handling är dock lättare sagt än gjort – alltför ofta resulterar arbetet i ett omfattande och svåröverskådligt Word-dokument på hundratals sidor, kompletterat med en Excel-bilaga fylld av komplexa formler vars resultat kan vara svåra att motivera.

För att undvika att riskbedömningen blir en teoretisk skrivbordsprodukt utan förankring i den faktiska verksamheten är vår erfarenhet att nyckeln ligger i att utveckla metodiken från långa utmanande kvalitativa bedömningar till tydliga, spårbara och mer kvantitativa bedömningar (där det är möjligt). Det är exempelvis centralt att metoden säkerställer att bedömningarna av inneboende risk i slutändan har beaktat samtliga aspekter. Detta inkluderar hot från rapportering till Finanspolisen, hot från externa källor, interna begränsningar, sårbarheter, produkternas unika egenskaper i relation till kanaler, kunder och geografier, samt konsekvensen om pengar tvättas eller terrorism finansieras.  

  1. Bristfällig identifiering och bedömning av distributionskanaler i den allmänna riskbedömningen

En av Klarnas kundtyper i form av betaltjänstleverantörer (”mor-handlare”) har i sin tur en stock av andra handlare, (”underhandlare”), som erbjuds en teknisk integration av Klarnas betalningsmetoder på sina webbplatser. Klarna ingår avtal med mor-handlarna, som i sin tur ansvarar för att vidta kundkännedomsåtgärder för sina underhandlare.  

Klarna har inte ansett att mor-handlarna är att betrakta som ett led i distributionskanal och har således inte behandlat dem som en sådan i sin allmänna riskbedömning. Finansinspektionen gör dock i sanktionsbeslutet bedömningen att upplägget, kallat ”mor-modellen”, är att betrakta som en distributionskanal. Bedömningen görs med avstamp i förarbetena, där det framgår att en risk med distributionskanaler kan vara en minskad kontroll över produkter eller tjänster om distributionen utförs via en tredje part (prop. 2016/17:173 s. 510).

I och med att Klarna inte har behandlat mor-modellen som en distributionskanal har de heller inte i den allmänna riskbedömningen bedömt hur de åtgärder som vidtas i form av bland annat transaktionsövervakning påverkar risken med distributionskanalen. Sammanfattningsvis har de alltså inte analyserat riskerna förknippat med mor-modellen i tillräcklig omfattning.

Vår erfarenhet är att det ofta är svårt att förstå hur en distributionskanal ska bedömas i praktiken. Exempelvis är det vanligt att metoden inte tar höjd för samtliga aspekter. Med detta avses att en distributionskanal dels ska bedömas ensamt (inklusive inneboende risk, kontroller, residualrisk), dels vara en tydlig del i bedömningen av produktrisk där det är relevant.  

Ett annat vanligt förekommande misstag är att bedömningen av distributionskanaler inte görs på en tillräckligt granulär nivå. Många verksamhetsutövare nöjer sig exempelvis med att bedöma risker kopplade till digital eller fysisk on-boarding, men gör ingen ytterligare distinktion mellan olika typer av digitala eller fysiska distributionskanaler.  

På liknande sätt förekommer det att distribution via tredje part bedöms som en distributionskanal utan att ta hänsyn till de olika risker som kan förekomma beroende på typen av tredjepartsdistribution. I praktiken kan riskerna skilja sig markant mellan exempelvis en affärsmodell där en tredje part enbart förmedlar kunder och en där de även hanterar delar av transaktionsflödena. Det är också vanligt att risker skiljer sig baserat på geografiska faktorer.

Sammanfattningsvis är nyckeln till en välfungerande riskbedömning av distributionskanaler att utgå från den egna verksamheten och göra en noggrann analys av de specifika riskerna kopplade till varje enskild typ av distributionskanal – samt att säkerställa att dessa risker också beaktas i bedömningen av produktrisk.

  1. Bristfällig analys avseende rapportering till Finanspolisen i den allmänna riskbedömningen

I den allmänna riskbedömningen är det viktigt att beakta både interna och externa omständigheter. Den mest centrala interna källan är de rapporter som skickas till Finanspolisen, i vilka det framgår misstankar om penningtvätt och terrorfinansiering som identifierats i verksamheten. Genom att beakta detta säkerställs att verkliga sårbarheter och risker inkluderas (utöver sådana som lyfts av myndigheter och i samhället generellt).  

Även om Klarna hade nämnt antalet rapporter under en utvald tidsperiod i allmänna riskbedömningen påpekar Finansinspektionen att de inte gjort någon närmare analys av dessa misstankerapporter. Bristen är inte ovanlig - samma brist återkom exempelvis även i sanktionsbeslutet till Aros Kapital, där de inte tydligt beaktat rapporteringen i den allmänna riskbedömningen.

I praktiken kan denna analys innebära att verksamheten säkerställer att nya typologier inkorporeras, analyseras och bedöms i den allmänna riskbedömningen, att rapporterna används för att bedöma verksamhetens riskexponering för produkterna och att även nya riskfaktorer för kunder, distributionskanaler och geografier identifieras i rapporterna. För att säkerställa detta är det fördelaktigt om analysen på ett tydligt sätt ingår och beskrivs i själva metodbeskrivningen/rutinen för uppdatering av allmän riskbedömning.

  1. Felaktig tolkning och applicering av begreppen kund, affärsförbindelse och situationer som kräver kundkännedom

I lagen framgår ett antal väsentliga begrepp som styr i vilka fall en verksamhetsutövare behöver ha rutiner och riktlinjer för kundkännedomsåtgärder eller inte. De mest centrala begreppen är definitionen av en kund, definitionen av en affärsförbindelse, samt konkretiserandet av situationer där det inte finns en affärsförbindelse men som ändå kräver kundkännedom enligt 3. Kap 4 §.  

Att landa rätt i dessa definitioner är dessvärre inte helt enkelt – i flertalet tidigare sanktionsbeslut som exempelvis Trustly och ClearOn framgår att felaktiga tolkningar gjorts. I praktiken blir det förödande för helhetsbedömningen eftersom det i många fall medför en rad andra brister som att det saknas rutiner, utförande av kundkännedom och övervakning.  

För Klarnas del hade de delat in sina konsumenter i två kategorier: non-KYC-consumers och KYC-consumers genom en modell som automatiskt delat in konsumenterna i dessa två grupper baserat på tre olika kriterier kopplat till produktval, transaktionsvolym och antalet transaktioner. Kunder som var i gruppen KYC-consumers bedömdes av Klarna ha en affärsförbindelse alternativt uppfylla kriteriet för situationer där det inte finns en affärsförbindelse men det ändå krävs kundkännedom. För den andra gruppen konsumenter behövdes inga kundkännedomsåtgärder och det saknades således rutiner för dessa.

Finansinspektionen anmärker på att modellen inte på ett korrekt sätt klassificerat konsumenter i dessa två grupper och att den felklassificerat kunder som de facto har krav på kundkännedomsåtgärder (eftersom de faller inom definitionen av affärsförbindelse eller situationer som kräver kundkännedom enl. 3. Kap 4 §). I och med detta har Klarna också saknat rutiner och riktlinjer för kundkännedomsåtgärder för de kunder som klassificerats fel.  

Våra erfarenheter från arbete med just definitionen av kund, affärsförbindelse och situationer som kräver kundkännedom är att det ofta finns uttalade, men ibland odokumenterade resonemang kring innebörden av begreppen. Dessa kan vara mer eller mindre välgrundade, men det är inte ovanligt att det saknas tydligt dokumentation av de antaganden och bedömningar som gjorts och, samt att dessa inte omprövats ordentligt i relation till sanktionsbesluten de senaste tre åren. Precis som med det mesta inom AML är det dock viktigt att även detta med jämna mellanrum ifrågasätts, omprövas och uppdateras i ljuset av ny information.    

  1. Bristande hantering av modell för kundkännedomsåtgärder

Det förfarande som använts för att klassificera kunder i KYC-consumers och Non-KYC-consumers har innehållit bedömningar som varit standardiserade och automatiserade, vilket innebär att den enligt Finansinspektionen faller under modelldefinitionen i Penningtvättslagens mening. Då förfarandet inte tidigare betraktats som en modell på Klarna har det dock saknats rutiner för modellriskhantering som syftar till att utvärdera och kvalitetssäkra den.  

Tolkningen från Finansinspektionen är intressant då de för första gången benämner ett förfarande som inte är transaktionsövervakning, kundriskklassificering eller screening i sammanhang avseende modellriskhantering. I praktiken innebär beslutet att det, ifall sorteringsregler appliceras för kundkännedomsåtgärder, finns anledning att ompröva huruvida förfarandet bör klassas som modell och därmed modellriskhanteras och valideras. Som exempel på närliggande förfaranden inom kundkännedom är de regler som används för att avgöra när en kund ska gås igenom manuellt vid uppföljning av KYC (händelsestyrd uppföljning).  

Eftersom denna typ av modeller skiljer sig väsentligt åt från andra vanliga AML-modeller som transaktionsövervakning, kundriskklassificering och screening är det dock viktigt att tydliga anpassningar görs i ramverken och rutinerna som används för att modellriskhantera och validera kundkännedomsmodeller.

Nyckelinsikter

De fem centrala bristerna som analyserats i artikeln ger upphov till fem viktiga lärdomar, som respektive verksamhetsutövare kan ta med sig in i arbetet för 2025:

  • Säkerställ att verksamheten har en bra metod för allmän riskbedömning som tydliggör riskerna och sårbarheterna för respektive produkt och tjänst var för sig
  • Säkerställ att situationer där en tredje part används också betraktas som en distributionskanal i den allmänna riskbedömningen
  • Säkerställ att interna omständigheter som rapportering till Finanspolisen tydligt beaktas och analyseras i den allmänna riskbedömningen och att det är en del av metoden för uppdatering
  • Gå till botten med begreppen kund, affärsförbindelse och situationer där det inte finns en affärsförbindelse men som ändå kräver kundkännedom enligt 3. Kap 4 §. i relation till den egna verksamhetens produkter och tjänster
  • Granska befintliga modeller för kundkännedom i relation till modelldefinitionen – om det är så att åtgärder för kundkännedom innehåller tydliga element av standardisering eller automatisering bör det prövas huruvida de ska betraktas som modeller

SannaMari Bölenius

SannaMari Bölenius

Senior Manager
sannamari.bolenius@frankpenny.se+46 762 143 611

SannaMari is nothing short of a superstar. She’s a great leader and consultant with unmatched AML expertise. If it was possible to buy stock and bet on a single human being, the whole Frank Penny team would’ve loaded up on SannaMari shares a long time ago.

Albin Eriksson

Albin Eriksson

Associate Manager
albin.eriksson@frankpenny.se+46 738 038 999

Albin works as an Associate Manager at Frank Penny. He has extensive experience across all areas of AML and possesses deep knowledge of banks' practical efforts to prevent money laundering and the financing of terrorism. Over the years, Albin has primarily worked with customer due diligence, transaction monitoring, customer risk classification, and general risk assessment.

  • CET
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Read more