Max Knape & Albin Eriksson · 10 april 2026

Framtidens kundriskklassificering: Separata bedömningar av risk för PT, TF och sanktioner

En kund klassificeras som hög risk. Men hög risk för vad? Penningtvätt? Terrorfinansiering? Sanktioner? Många av dagens modeller ger helt enkelt inget svar. Kunden har ett enda aggregerat riskvärde, och vad som faktiskt driver risken förblir oklart. Detta leder inte bara till ineffektiva och felriktade åtgärder, utan gör det också allt svårare att möta regulatoriska förväntningar.

Blog
White Paper

Regulatorisk utveckling: Ökade krav på differentiering av risker

Den regulatoriska utvecklingen inom AML/CTF och sanktionsområdet rör sig allt mer konkret mot en ökad differentiering mellan olika typer av risker.

Det är sedan tidigare etablerat att allmänna riskbedömningar på ett tydligt sätt ska bedöma risker avseende penningtvätt och terrorfinansiering, samt att transaktionsövervakningen ska innehålla specifika scenarier för respektive risk. Samtidigt har Finansinspektionen intensifierat sitt fokus på hur verksamhetsutövare identifierar och hanterar just terrorfinansierings- och sanktionsrisker.

Kraven skärps ytterligare framöver. Med den nya EU-förordningen (AMLR) som träder i kraft sommaren 2027 framgår att verksamhetsutövare nu även ska bedöma sanktionsrisker och risken för kringgående av sanktioner inom ramen för allmän riskbedömning. Därtill framgår av EBA:s riktlinjer för sanktioner att kundkännedomsåtgärder också ska utformas med beaktande av just sanktionsrisker.

Hur skiljer sig riskerna åt?

Den regulatoriska utvecklingen mot en ökad separation speglar riskernas faktiska natur. Penningtvätt, terrorfinansiering och sanktionsöverträdelser skiljer sig fundamentalt åt i både syfte och uttryck, och kräver därför helt olika metoder för att upptäckas.


Olika syfte

  • Penningtvätt (Dölja ursprunget): Handlar om att dölja var pengarna kommer ifrån. Brottsvinster tvättas genom komplexa finansiella upplägg för att framstå som legitima.

  • Terrorfinansiering (Dölja ändamålet): Handlar om att dölja vad pengarna ska användas till. Beloppen är ofta små och ursprunget kan vara helt legitimt — det är ändamålet som är brottsligt.

  • Sanktionsöverträdelser (Dölja aktören): Handlar ofta om att dölja vem som är inblandad. Fokus ligger på att kringgå restriktioner genom att maskera kopplingar till specifika personer, företag eller jurisdiktioner.


Olika mönster i data

Skillnaderna i syfte leder generellt sett till fundamentalt olika beteenden i kunddata och transaktioner.

  • PT-risk (Inkonsistens och komplexitet): Identifieras ofta genom avvikelser i kundprofilen. Exempelvis när bransch (SNI-kod), omsättning, transaktionsbeteende och geografisk exponering inte är logiskt förenliga, eller när bolags- och ägarstrukturer framstår som orimligt komplexa.

  • TF-risk (Kontext och syfte): Är i regel mindre kopplad till komplexitet och mer till kundens kontext. Risken uppstår ofta i kombinationen av kundtyp, verksamhet och geografiska kopplingar, exempelvis ideella föreningar med verksamhet eller mottagare i närheten av kända konfliktzoner.

  • Sanktionsrisk (Strukturerade kopplingar): Skiljer sig från ovanstående genom att i mycket högre grad handla om direkta eller indirekta kopplingar i strukturerad kunddata. Det kan röra sig om kopplingar till länder kända för sanktionskringgående, eller listade individer och enheter identifierade genom datapunkter som medborgarskap, verkliga huvudmän, ägarbolag samt adress- och skatteland.


Konsekvensen

Riskerna skiljer sig alltså inte bara i teori, utan de manifesterar sig på olika sätt i praktiken. Ett riskklassificeringsramverk som inte klarar av att fånga och hantera dessa skillnader på ett sofistikerat sätt riskerar således att missa det som faktiskt driver risk för en specifik kund.

Behovet: En differentierad riskklassificeringsmodell

För att kunna vidta proportionerliga och effektiva kundkännedomsåtgärder krävs ett ramverk för riskklassificering som gör det möjligt att särskilja och kvantifiera riskerna för penningtvätt (PT), terrorfinansiering (TF) och sanktioner separat. Oavsett om detta realiseras via separata modeller eller genom annan modulär setup av en övergripande modell, är principen densamma: en kunds riskprofil kan inte reduceras till ett enda aggregerat värde utan att kritisk information går förlorad.

När en kund klassificeras som hög risk måste handläggaren exempelvis kunna besvara frågan: Vad är det som driver risken? Är det penningtvätt? Terrorfinansiering? Sanktioner? Utan denna differentiering riskerar verksamhetsutövaren att vidta fel åtgärder — eller att inte vidta tillräckliga åtgärder där det faktiskt behövs. Trots detta bygger många av dagens traditionella upplägg på det trubbiga antagandet att en specifik riskfaktor utgör en lika hög risk oavsett om den utvärderas utifrån ett PT-, TF-, eller sanktionsperspektiv. Detta tvingar i sin tur fram en aggregering av kundens samlade risk till ett enda ospecifikt värde.


Exempel på varför risker bör separeras:

  • Ett land kan vara hög risk ur ett sanktionsperspektiv (t.ex. p.g.a. risk för kringgående), men endast medelrisk för penningtvätt och terrorfinansiering. Kazakstan, Turkiet, Kina och Indien är vanliga exempel på detta.

  • Vissa bolagsformer, exempelvis ideella föreningar, kan utgöra en hög risk för terrorfinansiering, men sakna förhöjd risk ur ett penningtvätts- eller sanktionsperspektiv.

  • En specifik bransch, exempelvis kasino- och spelverksamhet, kan innebära en hög risk för penningtvätt, men ha lägre risk risk när det gäller terrorfinansiering och sanktioner.


Problemet med traditionella upplägg

I många befintliga system kan dessa riskfaktorer endast tilldelas ett enda gemensamt riskvärde (låg, medel eller hög). När systemet tvingas kompromissa uppstår ofta destruktiva utfall, i form av:

  • Övergeneralisering: Parametern sätts som “hög risk” överallt, vilket leder till att kunder flaggas som högriskkunder oavsett vilken typ av risk det egentligen handlar om.

  • Underrapportering av risk: För att undvika att dränkas i felaktiga högriskkunder sänker man i stället värdet. Exempelvis kan den faktiska risken för sanktionskringgående ignoreras, och länder som Indien och Kina därmed felaktigt få beteckningen “medelrisk”.


Konsekvenserna för verksamheten

Ett riskramverk som inte klarar av att differentiera dessa riskdimensioner kan leda till två allvarliga konsekvenser för verksamheten:

1. Ineffektivitet och fel åtgärder: Till följd av övergeneralisering klassificeras kunder felaktigt som hög risk. Detta urholkar det riskbaserade arbetssättet, skapar ineffektivitet och resulterar i att fel typ av åtgärder vidtas för fel kunder.

2. Verkliga högriskkunder missas: Kunder med reella och verkliga risker (t.ex. sanktionskringgående eller terrorfinansiering) kan felaktigt slinka igenom som låg- eller medelrisk på grund av underrapporteringen, vilket innebär att kritiska åtgärder uteblir helt.

Framtidens riskklassificering: Så differentieras riskerna i praktiken

För att möta framtidens regulatoriska krav krävs systemstöd som ger verksamheter verktyg att själva skapa och konfigurera separata riskberäkningar för penningtvätt (PT), terrorfinansiering (TF) och sanktioner. Det handlar om en flexibel plattform som gör det möjligt för användaren att bygga upp denna differentiering — antingen genom att sätta upp helt fristående modeller eller via en integrerad modell med separata sub-modeller.


Dynamiska riskfaktorer är kärnan

Oavsett systemarkitektur är det helt avgörande att en och samma riskfaktor kan väga olika tungt (tilldelas olika värden) beroende på vilken riskdimension som utvärderas. En parameter - exempelvis ett specifikt land, en viss bolagsform eller en branschkod — måste alltså kunna tilldelas unika värden. Ett specifikt land kan exempelvis utgöra:

  • Hög risk för sanktioner

  • Medelrisk för penningtvätt

  • Låg risk för terrorfinansiering


Användning av separata riskklasser

Genom att separera beräkningarna kan varje kund också tilldelas tre distinkta riskklasser. Rent operativt kan systemet fortfarande använda den högsta av dessa tre för att flagga kunden som högrisk på en övergripande nivå för skärpta kundkännedomsåtgärder (EDD) och därmed styra resursallokeringen.

Den avgörande skillnaden är spårbarheten. Handläggaren kan omedelbart härleda varför kunden klassats som hög risk och direkt se vilken specifik dimension som driver risken. Detta eliminerar onödigt merarbete och säkerställer att exakt rätt typ av åtgärder vidtas.

Denna differentiering skapar också direkt nytta i transaktionsövervakningen. Istället för att förlita sig på en kombinerad och trubbig “allmän risk” (vilket ofta är fallet i dagens system), kan tröskelvärden för specifika terrorfinansieringsscenarier nu kalibreras exakt utifrån kundens faktiska TF-risk.

Sammanfattning

Den regulatoriska utvecklingen pekar tydligt mot ett behov av att i allt större utsträckning differentiera risker för penningtvätt, terrorfinansiering och sanktioner. Trubbiga modeller som aggregerar dessa risker till ett enskilt värde riskerar att bli både ineffektiva och på sikt också bristfälliga ur ett regelefterlevnadsperspektiv.

Genom att implementera modeller som möjliggör separata riskbedömningar kan verksamhetsutövare:

  • förbättra precisionen i sin riskklassificering

  • säkerställa att rätt åtgärder vidtas

  • möta regulatoriska förväntningar

Framtidens riskklassificering handlar därför inte om att mäta “mer risk” — utan om att mäta rätt typ av risk, på rätt sätt.

Stay in the loop

Insights, updates and upcoming events, delivered to your inbox.