Förtroendekrisen som skakar hela branschen
Omfattande kompetensbrist och ett hämmande regelverk reser nu frågetecken om bankerna har kapacitet att ta upp kampen mot de kriminella nätverken.
Onsdagen den 19 september i fjol kallades affärspress till presskonferens på Tivoli Congress Center i Köpenhamn, värd för presskonferensen var Danske Bank. Den oberoende utredningen av bankens misstänkta penningtvättsaffärer i Estland var nu klar. Spekulationerna hade duggat tätt på förhand och stämningen gick att ta på. Den var inte dejlig.
Spekulationerna hade duggat tätt på förhand och stämningen gick nu att ta på. Och den var inte dejlig.
Beskedet från banken är att 200 miljarder euro, motsvarande 2 100 miljarder kronor, har slussats i misstänkt penningtvätt via bankens filial i Estland mellan 2007 och 2015.
Skandalen är ett faktum.
Bankens vd, Thomas Borgen avgår med omedelbar verkan. Ett flertal utredningar och brottsundersökningar har påbörjats och i februari drog estniska finansinspektionen, Esti Finantsinspektioon, in Danske Banks tillstånd att fortsätta bedriva verksamhet i landet. Exakt vad som har hänt, hur mycket pengar det rör sig om och vilka eventuella straff och böter som väntar Danske Bank återstår ännu att se i vad som bedöms som världens största penningtvättshärva.
Fem månader senare kommer nya uppgifter om penningtvätt, men den här gången från Sverige.
Enligt SVT:s Uppdrag Granskning kan Swedbank ha använts för omfattande penningtvätt. Totalt rör det sig om 50 kunder som alla visar tydliga varningssignaler på penningtvätt och som totalt ska ha slussat minst 40 miljarder kronor mellan Swedbank till Danske Bank i Baltikum mellan 2007 och 2015.
Granskningen visar bland annat på kopplingar mellan Swedbank och Ukrainas ex-president Viktor Yanukovych som misstänks för att systematiskt ha mjölkat ukrainska staten på miljardbelopp. Pengarna ska bland annat ha använts för att finansiera det överdådiga och gulddekorerade presidentpalatset Mezhyhirya där familjen bodde mellan 2002 och 2014 innan Yanukovych flydde till Ryssland.
Efter mycket om och men lovade till slut bankens dåvarande vd, Birgitte Bonnessen, att tillsätta en oberoende utredning av Uppdrag Gransknings material. Utredningen presenterades i slutet av mars, men då merparten av innehållet maskats gavs få svar om bankens förehavanden i Baltikum.
De graverande uppgifterna om misstänkt penningtvätt skakar nu samhället och innebär kanske den djupaste förtroendekrisen någonsin i den nordiska banksektorn.
Exempelvis framgår inte vilka volymer det kan röra sig om eller hur många misstänkta konton som har identifierats. Den mycket sparsmakade utredningen går att jämföra med den om Danske Bank där både volym och antalet misstänkta konton lagts fram.
De graverande uppgifterna om misstänkt penningtvätt skakar nu samhället och innebär kanske den djupaste förtroendekrisen någonsin i den nordiska banksektorn. Problemet är dock betydligt större än så.
Varje år omsätter den kriminella ekonomin som kopplas till penningtvätt runt 5 procent av världens BNP, enligt Finansinspektionen. I Europa rör det sig om runt 1250 miljarder kronor per år, varav runt 85 procent av penningtvätten sker genom det traditionella banksystemet. Samtidigt är det bara en bråkdel som identifieras och stoppas. I Europa endast en hundradel och i USA är siffran ännu lägre, 0,5 procent.
Bankerna utökar resurserna mot penningtvätt
Nordea har investerat 7,5 miljarder kronor de senaste fem åren i riskhantering och regelefterlevnad. Sammanlagt arbetar 1500 anställda på bankens enhet mot penningtvätt. SEB har fördubblat sina resurser de senaste fem åren och är nu runt 800 anställda. Handelsbanken ökade kostnaderna med runt 350 miljoner kronor i fjol för riskhantering och regelefterlevnad och totalt arbetar 740 personer med frågor som rör penningtvätt. Swedbank redovisar inte personalstyrkan på det sättet och detsamma gäller vilka anslag som enheten mot penningtvätt har att röra sig med.
Under ett seminarium i februari arrangerat av SNS Finanspanel deltog den före detta Europolchefen och numera partnern på Deloitte, Rob Wainwright, för att prata om penningtvätt i Europa. Han målar upp en nattsvart bild där europeiska banker och myndigheter förlorar kampen mot smutsiga pengar.
– Det är ett systematiskt misslyckande. 1250 miljarder kronor per år i Europa är en försiktig siffra, jag tror att det kan vara upp emot det dubbla, säger han.
Frågan som hänger kvar efter att krutet lagt sig är enkel men alltjämt komplicerad. Hur kunde det bli så här?
Tillbaka till 2007 då de misstänkta uppläggen i Danske Bank i Estland ska ha påbörjats. Penningtvätt var inte en prioriterad fråga och någon lagstiftning mot penningtvätt fanns knappt. Det är först 2009, i samband med det tredje penningtvättsdirektivet, som intresset börjar ta fart. Därefter skärps regelverken i omgångar men det dröjer fram till mitten av 2017 innan det fjärde penningtvättsdirektivet kommer på plats med hårdare krav på riskhantering och regelefterlevnad. Det håller fortfarande på att implementeras runtom i Europa, men är nu gamla nyheter.
I maj förra året klubbades det femte penningtvättsdirektivet som träder i kraft i inledningen av 2020.
Enligt beräkningar lägger banker i Europa nu runt 830 miljarder kronor per år på att motverka penningtvätt
Ökade regelkrav och tryck från samhället har fått finansbranschen att inse allvaret. Och bankerna gör vad de kan. Enligt beräkningar lägger banker i Europa nu runt 830 miljarder kronor per år på att motverka penningtvätt, ett belopp som går att jämföra med ett mindre afrikanskt lands BNP. Samma tendenser syns bland de svenska bankerna där det har skett en stor attitydförändring de senaste åren. Nordea sticker ut. Banken har investerat 7,5 miljarder kronor sedan 2015 i riskhantering och regelefterlevnad och har 1 500 anställda som enbart arbetar i enheten mot penningtvätt.
Men så har det inte alltid varit. Under 2015 fick Nordea svidande kritik från Finansinspektionen vars utredning kunde avslöja att banken under flera år haft betydande brister i arbetet att motverka penningtvätt och finansiering av terrorism. Efter löften om krafttag gav Finansinspektionen Nordea en varning och en bot på 50 miljoner kronor.
Julie Galbo, riskhanteringschef och del i Nordeas koncernledning, är självkritisk och medger att banken varit för naiv i den interna riskhanteringen.
– Jag tycker det är rimligt att säga att vi tidigare inte gjorde tillräckligt, men sedan 2014–2015 har vi börjat ta frågan på mycket större allvar, säger hon.
– Vi insåg att vi behövde anställa fler, människor med mer kompetens. Jag tror i stort sett alla banker är fullt medvetna om det här i dag och att vi som bransch behöver göra ännu mer.
Martin Nordh, vd på Acuminor som gör riskbedömningar för penningtvätt och finansiering av terrorism, anser samtidigt att bankerna skulle kunna använda sina resurser mycket mer effektivt.
– Banken får väldigt lite valuta för pengarna, det finns definitivt en utvecklingspotential för att skapa effektivare processer. Men då måste man se till att verksamheten är anpassad efter sitt syfte att identifiera och stoppa kriminella. Det kommer inte räcka att kasta mer pengar på problemet, säger han.
Problemet är att bankerna inte är tillräckligt bra på att känna till sina risker. Den stora utmaningen för att öka träffsäkerheten, enligt Nordh, är att rekrytera en mix av tre olika kompetenser.
Bankerna behöver personer med erfarenhet inom polisen, säkerhetstjänsten, brottsbekämpande myndigheter eller praktiskt arbete mot finansiell brottslighet från finansvärlden, som förstår problemet och som är vana att göra strategiska och taktiska analyser av brottslighet.
Bankerna behöver dataanalytiker som enkelt förklarat ska klara av att hämta in rätt data, validera den och gör den begriplig för personerna som ska göra analysen, men även kompetent bankfolk, det vill säga anställda som har god kännedom om bankens verksamhet och produkter.
Klassisk bankkompetens finns det gott om i finansbranschen. Dataanalytiker går oftast att lösa genom konsultuppdrag eller med interna resurser. Den stora bristvaran är polis och underrättelsekompetens. Enligt Martin Nordh kommer den här gruppen vara mycket svår att rekrytera.
– Det finns duktiga människor där ute, men det finns inte närmelsevis så många som det faktiskt skulle behövas för att täcka behovet globalt i branschen, vilket gör att kvaliteten blir lidande. Bankerna tävlar inte bara mot varandra, utan efterfrågan är stor även på andra håll.
Samma problem gäller även på konsultbyråerna dit bankerna vänder sig när de inte lyckas rekrytera rätt kompetens.
– Har banken tur kommer en bra konsult till enheten, men så är inte alltid fallet. Så länge kompetens är en brist kommer bankerna ha svårt att uppnå tillräckligt hög effektivitet för att motverka penningtvätt, säger han.
Så länge kompetens är en brist kommer bankerna ha svårt att uppnå tillräckligt hög effektivitet för att motverka penningtvätt
Julie Galbo håller med om att det är tufft att hitta rätt kompetens inom polis och underrättelseverksamhet.
– Vi har bland annat rekryterat personal på polismyndighetsnivå både i Sverige och i Norden och vi försöker arbeta nära myndigheterna. Men visst, det är en enorm konkurrens om de personer som är riktigt duktiga på det här området och vi tävlar med alla andra, men som tur är finns det bra utbildningssystem i Norden som gör att vi kan hitta kompetent personal och träna upp den över tid, säger hon.
Banken söker också personal med djup teknisk kompetens, särskilt inom AI, och satsar nu på att fortsätta bygga upp kunskapen inom nätverksanalys för att snabbare hitta kriminella och kopplingar till deras nätverk.
Julie Galbo berättar om ett skattebrottsfall där Nordea nyligen kunde hjälpa polisen i ett av de nordiska länderna att identifiera misstänkta terrorister baserat på sin nätverksanalys.
– Om vi kan identifiera nätverket som omger vissa terrorister, så kanske vi även kan hitta de misstänkta, vilket hände i det här specifika fallet, säger hon.
– Självklart är vi väldigt glada om vi kan bidra på det sättet och förse myndigheterna med den specifika analys och information de behöver för att gå vidare.
Mycket tyder på att möjligheten till ökade samarbeten mellan bankerna och mellan banker och myndigheter kommer vara en viktig pusselbit om finansbranschen ska kunna utmana den kriminella ekonomin.
Enligt bedömningar skulle statistiken behöva mångdubblas upp till runt 10–20 procent för att på allvar bli kännbart för de kriminella nätverken.
Problemet är att banksekretessen och lagarna om personuppgiftsskydd ofta sätter käppar i hjulet för sådana åtgärder.
Rob Wainwright är uppenbart frustrerad över det fyrkantiga regelverket.
– När Europol identifierade de 400 största namnen inom penningtvätt kunde vi inte ens dela de uppgifterna med de europeiska bankerna på grund av regelverket.
Det bristfälliga regelverket bidrar också till att skapa en förbudskultur där bankerna är rädda för att göra fel, menar Wainwright.
När Europol identifierade de 400 största namnen inom penningtvätt kunde vi inte ens dela de uppgifterna med de europeiska bankerna på grund av regelverket.
– Regelverket begränsar möjligheterna att dela information över landsgränser och även för en enskild bank att dela kunddata över olika verksamhetsenheter. Så även när regelverket inte hindrar bankerna från att dela information hindrar de sig själva.
Som regelverket är skrivet tvingas bankerna att lägga en väsentlig del av sina resurser på att vara vad man kallar för »compliant«, det vill säga att hela tiden säkerställa att bankens processer och kontroller följer lagen. Den bank som inte efterlever reglerna riskerar stora viten från Finansinspektionen.
I Sverige säger lagen upp till som mest 10 procent av föregående årsomsättning, vilket i Danske Banks fall skulle innebära en bot på 6,7 miljarder kronor.
Skulle det visa sig att affärer gjorts i amerikanska dollar har även amerikanska myndigheter rätt att ge böter, och här finns inget tak på hur hög summan kan bli.
På det råder osäkerhet vilka krav som verkligen gäller. En bank kan efterleva regelverket men ändå utnyttjas för penningtvätt om de kriminella är tillräckligt sofistikerade i sitt tillvägagångssätt, vilket enligt bedömare skulle kunna vara fallet i Swedbank.
Inifrån branschen riktas nu kritik mot Finansinspektionen som inte ger bankerna tillräcklig guidning, vilket försvårar arbetet att anpassa verksamheten efter vad myndigheterna förväntar sig. Problemet är inte specifikt för Sverige, utan har även lyfts upp i flera andra länder.
– Som det fungerar nu får banker inte veta om de är rätt ute innan det är försent. Det här är ett vanligt problem. Bankerna frågar FI hur de ska agera i hanteringen, men myndigheten säger ingenting förrän de kommer på besök för inspektion, säger Martin Nordh.
Finansliv har ställt frågor hur Finansinspektionen arbetar i det praktiska tillsynsarbetet, om samarbetet med branschen, hur myndigheten ser på regelverket och vad som krävs för att banker och tillsynsmyndigheter ska bli mer effektiva för att stoppa finansiell kriminalitet. Finansinspektionen har valt att inte ställa upp i en intervju.
Rob Wainwright menar att lagstiftningen behöver ses över, men även att bankerna behöver ändra taktik och gå ifrån det mekaniska angreppssättet för att öka effektiviteten i brottsbekämpningen. I nuläget arbetar de flesta banker brett och kontrollerar ett stort spann av kundaktiviteten. Det är ett ineffektivt arbetssätt för att identifiera penningtvätt, enligt Wainwright.
– Strategin som används för att identifiera misstänkta terrorister fungerar tvärtemot den för att identifiera penningtvätt, trots att det är två liknande områden. I stället för bred övervakning bör bankerna fokusera på en liten del av befolkningen som banken bedömer kan bli involverade i penningtvätt.
– Tittar man på vad som utreds i enheterna går 90 procent av informationen inte att använda, inom vilken annan del av banken skulle man acceptera det, säger han.
Det här säger regelverket
Det fjärde penningtvättsdirektivet infördes 1 augusti 2017. Lagen bygger på EU-bestämmelser och ställer i korthet hårdare krav på bankernas rutiner att ha en mer grundläggande kännedom om sina kunder och företagen de har affärer med.
I praktiken innebär det att aktörer som omfattas av regelverket måste höja kvaliteten i sina riskbedömningar, lägga mer resurser på att samla in information om risker kopplat till penningtvätt från olika källor och öka förståelsen för vilka specifika risker den egna verksamheten kan vara sårbar för.
Regelverket ställer också krav på företag att rapportera in vem som är verklig huvudman till Bolagsverket. Detta görs för att banker och myndigheter lättare ska kunna kontrollera vilka som står bakom företaget. Den nya lagen kräver också att banker granskar kretsen av närstående till politiskt exponerade personer (exempelvis ministrar, ledande personer inom näringslivet eller liknande) som är kunden i banken. Nästa år kommer EU:s femte penningtvättsdirektiv och det införs i Sverige i januari 2020.
Det är också viktigt att poängtera att det inte bara är bankerna som ska följa reglerna om penningtvätt. Fjärde penningtvättsdirektivet omfattar banker och ett 20-tal andra verksamhetsutövare, däribland revisionsfirmor och advokatbyråer. Risken för stora böter, ett skadat förtroende och ett förlorat banktillstånd tvingar dock bankerna att dra det tyngsta lasset.
– Jag vill påstå att av alla utövare är finansbranschen och spelbolagen de enda som gör något. Tittar man på advokater och revisorer lyfts inte frågan alls, min uppfattning är att det inte pratas om det här närmelsevis i lika hög utsträckning i andra branscher, säger Martin Nordh.
Han hänvisar till Finanspolisens senaste årsrapport. Av den framgår att exempelvis advokatfirmorna rapporterade 0 fall om bristande regelefterlevnad inom penningtvätt.
– Det är ett systemfel. För att göra systemet mer effektivt och robust vore det därför önskvärt från politiker att även fokusera på andra branscher.
På internationell nivå efterfrågas nu en EU-myndighet som arbetar över landsgränser för att se till att bankernas arbete är effektivt och att alla aktörer drar åt samma håll. En annan åtgärd som nu ses över i Sverige är så kallade privata-offentliga partnerskap. Förebilden är brittiska JMLIT (Joint Money Laundering Intelligence Taskforce) där ett antal banker och betaltjänstförmedlare arbetar tillsammans med myndigheter och polis för att utbyta information om specifika fall. En liknande operativ enhet är även under uppbyggnad inom Europol.
I Sverige samarbetar de brottsbekämpande myndigheterna inom något som kallas Samordningsfunktionen mot penningtvätt och finansiering av terrorism. Ambitionen är bankaktörerna ska få en plats runt bordet, men man är inte där än.
Som koncept utgör JMLIT ett nytt sätt att ta sig an penningtvätt och finansiell kriminalitet. Problemet, enligt Martin Nordh, är att JMLIT stänger ute en stor del av branschen.
– De största bankerna och betaltjänstföretagen är inbjudna, men inte alla de andra hundratusentals företagen som också omfattas av regelverken. Det här vet de kriminella om och de hittar nya vägar att runda systemet.
– Hur man ska lösa det är inte helt enkelt. Många tror att JMLIT-modellen kommer lösa alla problem om de kommer till Sverige. Jag tror inte det. Modellen kommer förbättra vissa delar för de största aktörerna, men inte för den lilla sparbanken eller fintechstartupen, säger han.
Det är sannolikt inte sista gången som penningtvätt avslöjas i svenska finanssektorn. Det råder samsyn att uppläggen som avslöjats är gamla synder som med stor sannolikt skulle upptäckas med de resurser bankerna har i dag, men risken är att kriminella hittar nya vägar.
Den digitala utvecklingen bereder vägen för nya användarvänliga produkter och tjänster för kunderna, men de öppnar också upp för nya sätt att runda bankernas kontrollsystem. Så kallade kryptovalutor används till viss del och Martin Nordh tror även att PSD2 kommer skapa en helt ny arena för kriminella.
– Vi har identifierat det som ett möjligt hot och tror att PSD2 kan utnyttjas för ganska storskaliga brottsupplägg. Det gäller även EU-Swishtjänsten SEPA Instant Credit Transfer som jag är helt övertygad kommer utnyttjas av kriminella, säger han.
Det finns en oklarhet i tillämpningen av PSD2 mot det fjärde penningtvättsdirektivet och det krävs mycket för att en storbank ska få utestänga fintechbolag eller andra som vill hämta ut kunddata. Frågan är känslig av konkurrensskäl och kan leda till stora viten för bankerna.
Framåt har politikerna en viktig roll att spela för att så snabbt som möjligt bringa klarhet på EU-nivå vad ambitionen är och hur bankerna ska tolka och tillämpa regelverket.
– De enda som gynnas av att bankerna inte vågar vidta åtgärder på grund av den här osäkerheten och risken att hamna i kollision med EU är de kriminella.