3 kap. Kundkännedom

En verksamhetsutövare får inte etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om verksamhetsutövaren inte har tillräcklig kännedom om kunden för att kunna 1. hantera risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen, och 2. övervaka och bedöma kundens aktiviteter och transaktioner enligt 4 kap. 1 och 2 §§. Första stycket gäller inte advokater och advokatbolag, andra oberoende jurister, auktoriserade och godkända revisorer samt skatterådgivare, om affärsförbindelsen syftar till att försvara eller företräda en klient i fråga om ett rättsligt förfarande, inklusive rådgivning för att inleda eller undvika ett rättsligt förfarande, eller till att bedöma klientens rättsliga situation. Lag (2019:608) .

En affärsförbindelse får inte etableras om det finns misstanke om att verksamhetsutövarens produkter eller tjänster kommer att användas för penningtvätt eller finansiering av terrorism.

En verksamhetsutövare får inte utföra en transaktion om det på skälig grund kan misstänkas att den utgör ett led i penningtvätt eller finansiering av terrorism. Om en rapport har lämnats till Polismyndigheten enligt 4 kap. 3 § ska verksamhetsutövaren även beakta den information som Polismyndigheten kan lämna om hanteringen av ärendet. Om det inte är möjligt att låta bli att utföra en misstänkt transaktion, eller om ett avstående från att genomföra transaktionen sannolikt skulle försvåra den vidare utredningen, får transaktionen genomföras.

En verksamhetsutövare ska vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Om verksamhetsutövaren inte har en affärsförbindelse med kunden, ska åtgärder för kundkännedom vidtas 1. vid enstaka transaktioner som uppgår till ett belopp motsvarande 15 000 euro eller mer, 2. vid transaktioner som understiger ett belopp motsvarande 15 000 euro och som verksamhetsutövaren inser eller borde inse har samband med en eller flera andra transaktioner och som tillsammans uppgår till minst detta belopp, och 3. vid utförandet av sådana överföringar av medel eller kryptotillgångar som avses i artikel 3.9 i Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och ändring av direktiv (EU) 2015/849, om överföringen överstiger ett belopp motsvarande 1 000 euro. Lag (2024:1166) .

En verksamhetsutövare som avses i 1 kap. 2 § första stycket 15 ska, utöver vad som följer av 4 § första stycket, vidta åtgärder för kundkännedom 1. vid enstaka transaktioner som avser utbetalning av vinster eller betalning av insatser som uppgår till ett belopp motsvarande 2 000 euro eller mer, och 2. vid transaktioner som understiger ett belopp motsvarande 2 000 euro och som verksamhetsutövaren inser eller borde inse har samband med en eller flera andra transaktioner som tillsammans uppgår till minst detta belopp. Lag (2021:903) .

En verksamhetsutövare som avses i 1 kap. 2 § första stycket 16 ska, i stället för vad som följer av 4 §, vidta åtgärder för kundkännedom 1. vid etableringen av en affärsförbindelse, om det när förbindelsen ingås är sannolikt eller under förbindelsens gång står klart att utbetalt eller mottaget belopp i kontanter inom ramen för affärsförbindelsen uppgår till motsvarande 5 000 euro eller mer, 2. vid enstaka transaktioner där utbetalt eller mottaget belopp i kontanter uppgår till ett belopp motsvarande 5 000 euro eller mer, och 3. vid transaktioner där utbetalt eller mottaget belopp i kontanter understiger ett belopp motsvarande 5 000 euro och som verksamhetsutövaren inser eller borde inse har samband med en eller flera andra transaktioner i kontanter som tillsammans uppgår till minst detta belopp. Lag (2021:903) .

En verksamhetsutövare ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. När första stycket tillämpas får man använda medel för elektronisk identifiering och betrodda tjänster enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Andra säkra identifieringsprocesser på distans eller på elektronisk väg som är reglerade, erkända, godkända eller accepterade av relevanta myndigheter får också användas. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden. Lag (2019:774) .

En verksamhetsutövare ska utreda om kunden har en verklig huvudman. En sådan utredning ska åtminstone avse sökning i registret över verkliga huvudmän enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, en trust eller en liknande juridisk konstruktion, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska verksamhetsutövaren vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Första stycket gäller inte om kunden är ett aktiebolag vars aktier är upptagna till handel på en reglerad marknad i Sverige eller inom EES eller på en motsvarande marknad utanför EES eller ett dotterföretag till ett sådant bolag. Om kunden är en juridisk person och det efter åtgärder enligt första stycket står klart att den juridiska personen inte har en verklig huvudman, ska den person som är styrelseordförande, verkställande direktör eller motsvarande befattningshavare anses vara verklig huvudman. Detsamma gäller om verksamhets- utövaren har anledning att anta att den person som identifierats enligt första stycket inte är den verkliga huvudmannen. (2019:1254).

Bestämmelsen i 8 § tredje stycket gäller inte om - kunden är en stat, en region, en kommun eller motsvarande, och - den risk som kan förknippas med kunden enligt 2 kap. 3 § bedöms som låg. Lag (2019:1254) .

Kontroll av kundens och den verkliga huvudmannens identitet ska slutföras innan en affärsförbindelse etableras eller en enstaka transaktion utförs. Om det är nödvändigt för att inte avbryta verksamhetens normala gång, får identitetskontroll med anledning av en ny affärsförbindelse göras senare än enligt första stycket, dock senast när affärsförbindelsen etableras. Andra stycket får endast tillämpas om risken för penningtvätt eller finansiering av terrorism är låg.

En verksamhetsutövare ska bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person.

En verksamhetsutövare ska kontrollera om kunden är etablerad i ett land utanför EES som av Europeiska kommissionen har identifierats som ett högrisktredjeland.

En verksamhetsutövare ska inhämta information om affärsförbindelsens syfte och art. Informationen ska ligga till grund för en bedömning av 1. vilka aktiviteter och transaktioner som kunden kan förväntas vidta och genomföra inom ramen för affärsförbindelsen, och 2. kundens riskprofil enligt 2 kap. 3 §.

En verksamhetsutövare ska löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden enligt 7, 8 och 10-12 §§ är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. En verksamhetsutövare som är ett rapporteringsskyldigt finansiellt institut ska vidta åtgärder som avses i första stycket även när kontakt måste tas med kunden för att fullgöra skyldigheterna att granska finansiella konton enligt lagen (2015:911) om identifiering av rapporteringspliktiga konton vid automatiskt utbyte av upplysningar om finansiella konton. Lag (2019:774) .

Åtgärder för kontroll, bedömning och utredning enligt 7, 8 och 10-13 §§ ska utföras i den omfattning det behövs med hänsyn till kundens riskprofil och övriga omständigheter.

Om risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som låg, får verksamhetsutövaren tillämpa förenklade åtgärder för kundkännedom. Förenklade åtgärder för kundkännedom innebär att kontroller, bedömningar och utredningar som följer av 7, 8 och 10-13 §§ kan vara av mer begränsad omfattning och vidtas på annat sätt.

Om risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som hög, ska särskilt omfattande kontroller, bedömningar och utredningar enligt 7, 8 och 10-13 §§ göras. Åtgärderna ska i sådant fall kompletteras med de ytterligare åtgärder som krävs för att motverka den höga risken för penningtvätt eller finansiering av terrorism. Sådana åtgärder kan avse inhämtande av ytterligare information om kundens affärsverksamhet eller ekonomiska situation och uppgifter om varifrån kundens ekonomiska medel kommer.

Skärpta åtgärder enligt 16 § ska vidtas vid affärsförbindelser eller enstaka transaktioner när kunden är etablerad i ett land utanför EES som har identifierats som ett högrisktredjeland av Europeiska kommissionen. Sådana åtgärder ska åtminstone avse skärpning av övervakningen av pågående affärsförbindelser och bedömningen av enstaka transaktioner enligt 4 kap. 1 § och omfatta inhämtande av 1. ytterligare information om kunden och den verkliga huvudmannen, 2. ytterligare information om affärsförbindelsens eller den enstaka transaktionens syfte och art, 3. information om kundens och den verkliga huvudmannens ekonomiska situation och varifrån kundens och den verkliga huvudmannens ekonomiska medel kommer, och 4. godkännande från en behörig beslutsfattare att etablera eller upprätthålla en affärsförbindelse. Skärpta åtgärder behöver inte vidtas i förhållande till filialer eller dotterföretag till juridiska personer som är etablerade inom EES, om 1. den juridiska personen omfattas av denna lag eller motsvarande krav enligt utländsk rätt, 2. risken för penningtvätt eller finansiering av terrorism som kan förknippas med kunden inte bedöms som hög vid riskbedömning enligt 2 kap. 3 §, och 3. kunden tillämpar rutiner som fastställts enligt 2 kap. 8 eller 9 § eller motsvarande krav enligt lagstiftningen i det land där kunden finns eller har hemvist. Lag (2019:774) .

När en korrespondentförbindelse som innefattar betalning etableras mellan en verksamhetsutövare som avses i 1 kap. 2 § första stycket 1-13 och ett kreditinstitut eller finansiellt institut från ett land utanför EES, ska verksamhetsutövaren utöver åtgärder enligt 7, 8 och 10-13 §§ åtminstone 1. inhämta tillräckligt med information om motparten för att kunna förstå verksamheten och utifrån offentligt tillgänglig information bedöma motpartens anseende och tillsynens kvalitet, 2. bedöma motpartens kontroller för att förhindra penningtvätt och finansiering av terrorism, 3. dokumentera respektive instituts ansvar att vidta kontrollåtgärder och de åtgärder som det vidtar, 4. inhämta godkännande från en behörig beslutsfattare innan korrespondentförbindelsen ingås, och 5. förvissa sig om att motparten har kontrollerat identiteten på kunder som har direkt tillgång till konton hos kreditinstitutet eller det finansiella institutet och fortlöpande följer upp dessa kunder samt på begäran kan lämna relevanta kunduppgifter. Därutöver ska en leverantör av kryptotillgångstjänster undersöka om motparten har tillstånd eller är registrerad för att driva sin verksamhet. Om en leverantör av kryptotillgångstjänster i enlighet med 1 § första stycket avslutar en korrespondentförbindelse ska beslutet dokumenteras. Lag (2024:1166) .

Vid överföringar av kryptotillgångar till eller från en fristående adress ska en leverantör av kryptotillgångstjänster utöver åtgärder enligt 7, 8 och 10-13 §§ 1. identifiera kundens motpart, kontrollera motpartens identitet och utreda om motparten har en verklig huvudman, 2. inhämta ytterligare information om kryptotillgångarnas ursprung och destination, 3. löpande och vid behov följa upp enstaka transaktioner för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism, eller 4. vidta andra åtgärder för att hantera risken för penningtvätt och finansiering av terrorism. Lag (2024:1166) .

Om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning, ska en verksamhetsutövare utöver åtgärder enligt 7, 8 och 10-12 §§ alltid 1. vidta lämpliga åtgärder för att ta reda på varifrån de tillgångar som hanteras inom ramen för affärsförbindelsen eller den enstaka transaktionen kommer, 2. tillämpa skärpt fortlöpande uppföljning av affärsförbindelsen enligt 13 § och övervaka aktiviteter och transaktioner enligt 4 kap. 1 § i förhöjd omfattning, och 3. inhämta godkännande från behörig beslutsfattare inför beslut om att ingå eller avbryta en affärsförbindelse. Första stycket tillämpas också om kunden är en familjemedlem eller känd medarbetare till en person i politiskt utsatt ställning.

När en person i politiskt utsatt ställning upphör att utöva en offentlig funktion enligt 1 kap. 8 § 5, ska 19 § tillämpas i 18 månader. Därefter ska åtgärder enligt 19 § tillämpas om risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som hög. Om åtgärder enligt 19 § inte längre ska tillämpas på en person som avses i första stycket, ska sådana åtgärder inte heller tillämpas på familjemedlemmar eller kända medarbetare till en person i politiskt utsatt ställning.

Vid tillämpningen av 7, 8 och 12 §§ får en verksamhetsutövare förlita sig på åtgärder som har utförts av en utomstående som anges i 22 §, om verksamhetsutövaren utan dröjsmål 1. får del av de uppgifter som den utomstående har inhämtat, och 2. på begäran kan få del av den dokumentation som ligger till grund för uppgifterna. Verksamhetsutövaren svarar för att de åtgärder för kundkännedom som vidtagits av utomstående är tillräckliga.

Med utomstående enligt 21 § avses 1. fysiska eller juridiska personer med verksamhet som anges i 1 kap. 2 § första stycket 1-3, 5-8 och 10-15 eller motsvarande verksamhet, auktoriserade eller godkända revisorer och advokater som är etablerade inom EES, och 2. fysiska eller juridiska personer med verksamhet som anges i 1 kap. 2 § första stycket 1-3, 5-8 och 10-15 eller motsvarande verksamhet, auktoriserade eller godkända revisorer och advokater som är etablerade utanför EES, om de a) tillämpar bestämmelser om kundkännedom och bevarande av handlingar som motsvarar kraven i denna lag, och b) står under tillsyn över att dessa bestämmelser följs. Lag (2021:903) .

En verksamhetsutövare får inte förlita sig på åtgärder för kundkännedom som vidtagits av en utomstående med hemvist i ett sådant land utanför EES som av Europeiska kommissionen identifierats som ett högrisktredjeland. Första stycket gäller inte om den utomstående är filial eller dotterföretag till en juridisk person som anges i 22 § 1, om filialen eller dotterföretaget tillämpar gemensamma rutiner som fastställts enligt 2 kap. 8 eller 9 § eller motsvarande krav enligt lagstiftningen i det land där kunden finns eller har hemvist.

Kraven i 21-23 §§ ska inte tillämpas vid utkontraktering, agenturförhållanden eller liknande förhållanden där den utomstående tjänsteleverantören, agenten eller motsvarande enligt avtal ska anses ingå i verksamhetsutövaren.

En verksamhetsutövare som tillhandahåller konto som kunden innehar i syfte att förvalta medel som tillhör kundens verkliga huvudman behöver inte vidta de åtgärder för kundkännedom som avses i 8 § i fråga om den verkliga huvudmannen, om kunden 1. är en fysisk eller juridisk person med verksamhet som anges i 1 kap. 2 § första stycket 1-3 och 5-15 eller motsvarande verksamhet, auktoriserad eller godkänd revisor, advokat eller advokatbolag med hemvist inom EES, 2. är en fysisk eller juridisk person med verksamhet som anges i 1 kap. 2 § första stycket 1-3 och 5-15 eller motsvarande verksamhet, auktoriserad eller godkänd revisor, advokat eller advokatbolag med hemvist utanför EES, och a) tillämpar bestämmelser om kundkännedom och bevarande av handlingar som motsvarar kraven i denna lag, och b) står under tillsyn över att dessa bestämmelser följs, eller 3. till följd av föreskrift i lag eller annan författning är skyldig att hålla medel som förvaltas för någon annans räkning avskilda från egna tillgångar och medel. Första stycket får tillämpas endast om den risk som kan förknippas med kunden enligt 2 kap. 3 § bedöms som låg och om verksamhetsutövaren utan dröjsmål på begäran kan få del av uppgift om identiteten hos den för vars räkning kunden förvaltar medlen och den dokumentation som ligger till grund för uppgifterna. Lag (2025:255) .

En verksamhetsutövare som tillhandahåller livförsäkringar eller andra investeringsrelaterade försäkringar ska 1. senast när försäkringsersättning betalas ut identifiera förmånstagaren och förmånstagarens verkliga huvudman och kontrollera identiteten på dessa samt vidta åtgärder för att avgöra om någon av dem är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person, 2. när den får kännedom om att en försäkring har överlåtits identifiera förvärvaren och förvärvarens verkliga huvudman och kontrollera identiteten på dessa samt vidta åtgärder för att avgöra om någon av dem är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person. Lag (2020:51) .

Om en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person har identifierats enligt 26 § 1 och detta medför att risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som hög, ska verksamhetsutövaren 1. inhämta godkännande från behörig beslutsfattare innan försäkringsersättning betalas ut, och 2. tillämpa skärpt fortlöpande uppföljning av affärsförbindelsen enligt 13 § och övervaka aktiviteter och transaktioner enligt 4 kap. 1 § i förhöjd omfattning. Lag (2020:51) .

Kontroller och åtgärder enligt 26 och 27 §§ ska vidtas i den omfattning det behövs med hänsyn till den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §. Om det behövs för att bedöma risken, ska omständigheter hänförliga till förmånstagaren också beaktas.

Om kunden är eller företräder en trust eller liknande juridisk konstruktion och trustens eller den juridiska konstruktionens förmånstagare identifieras på annat sätt än med namn, ska en verksamhetsutövare säkerställa att förmånstagaren kan identifieras senast vid utbetalningstillfället. Förmånstagarens identitet ska kontrolleras senast vid utbetalningen av förmånerna eller när förmånstagaren gör gällande någon annan förvärvad rättighet.

Kontroller och åtgärder enligt 29 § ska vidtas i den omfattning det behövs med hänsyn till den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §. När det behövs för att bedöma risken ska omständigheter hänförliga till förmånstagaren också beaktas.

En verksamhetsutövare får besluta att inte vidta de åtgärder för kundkännedom som avses i 7, 8 och 10-13 §§ i fråga om elektroniska pengar enligt lagen (2011:755) om elektroniska pengar, om 1. betalningsinstrumentet inte kan återuppladdas eller har en månatlig gräns för penningtransaktioner på ett belopp motsvarande högst 150 euro och endast kan användas för betalning i Sverige, 2. det högsta belopp som lagras elektroniskt inte överstiger ett belopp motsvarande 150 euro, 3. betalningsinstrumentet kan användas uteslutande för inköp av varor eller tjänster, 4. betalningsinstrumentet inte kan finansieras med anonyma elektroniska pengar, och 5. kontantinlösen eller kontantuttag av de elektroniska pengarnas penningvärde inte får ske med belopp som överstiger motsvarande 50 euro. Förenklade åtgärder för kundkännedom enligt första stycket får tillämpas endast om 1. utgivaren av elektroniska pengar övervakar affärsförbindelserna och transaktionerna så noga att ovanliga eller misstänkta transaktioner kan upptäckas enligt 4 kap. 1 §, eller 2. en betalningstransaktion som initieras via internet eller genom något annat medel för distanskommunikation avser ett belopp som uppgår till motsvarande högst 50 euro. Lag (2019:774) .

Verksamhetsutövare som avses i 1 kap. 2 § första stycket 1-13 får ta emot betalning med ett anonymt betalningsinstrument som getts ut i ett land utanför EES bara om instrumentet uppfyller kraven i 31 §. Lag (2021:903) .