Vad innebär AMLR Artikel 75 för leverantörer av kryptotillgångstjänster (CASPs)?

Av Reqport7 min läsning
Abstract illustration of financial institutions connected to each other inside a defined boundary, representing information sharing within an approved partnership under AMLR Article 75.

Leverantörer av kryptotillgångstjänster (CASP) omfattas redan i dag av EU:s regelverk mot penningtvätt. Från och med den 10 juli 2027 gäller EU:s nya penningtvättsförordning, förordning (EU) 2024/1624, känd som AMLR. En del av den, Artikel 75, låter verksamhetsutövare dela information med varandra för att bekämpa penningtvätt. För en CASP öppnar det en ny väg att samarbeta med andra institut, men bara inom ett godkänt partnerskap och under strikta villkor.

Vad är AMLR Artikel 75?

Artikel 75 i AMLR skapar en rättslig ram för det som kallas partnerskap för informationsdelning. Inom ett sådant partnerskap får verksamhetsutövare utbyta information med varandra där det är strikt nödvändigt för att uppfylla sina skyldigheter mot penningtvätt och finansiering av terrorism, särskilt kundkännedom enligt Kapitel III i AMLR och rapportering av misstankar enligt Artikel 69.

Tanken är en samlad lägesbild. Ett enskilt företag ser bara sin egen del av en kunds aktivitet. Ett nätverk av företag som delar inom tydliga regler kan upptäcka penningtvättsmönster som ingen enskild medlem ser på egen hand. Förordningen kombinerar den ambitionen med skydd för integritet och dataskydd.

Omfattas leverantörer av kryptotillgångstjänster?

Ja, och de bär faktiskt skyldigheter mot penningtvätt redan i dag. CASP:er omfattas av samma grundläggande krav och tillsyn som kredit- och finansinstitut. The Travel Rule, under förordningen om uppgifter som ska åtfölja överföringar (förordning (EU) 2023/1113), har gällt för kryptoöverföringar sedan den 30 december 2024. En CASP som läser det här uppfyller alltså med stor sannolikhet redan kundkännedom, rapportering av misstänkta transaktioner till Finanspolisen och the Travel Rule i dag.

Det som ändras den 10 juli 2027 är att CASP:er blir verksamhetsutövare specifikt under AMLR, det nya gemensamma regelverk som ersätter de splittrade nationella reglerna. Artikel 75 är en del av det regelverket. Eftersom dess partnerskap är öppna för verksamhetsutövare kan en CASP delta när AMLR väl gäller den. Partnerskap kan också omfatta finansunderrättelseenheter och behöriga myndigheter där det är relevant, men att ta in en myndighet i ett partnerskap ger den inga befogenheter att dela information som den inte redan har.

Vad får delas, och vad får inte delas?

Mindre än många företag tror. Delning är tillåten endast där det är strikt nödvändigt för kundkännedom och skyldigheterna kring misstänkta transaktioner ovan, och den är inriktad på högrisksituationer, inte rutinmässig delning om vanliga kunder.

I praktiken får medlemmar dela information om kunder som är kopplade till en högre risk för penningtvätt eller finansiering av terrorism, som faller inom särskilda högrisksituationer som anges i AMLR, eller där företaget behöver mer information för att avgöra om en högre risk föreligger. Information om lågriskkunder är inte fritt delbar.

Två gränser är särskilt viktiga. För det första finns en mur runt informationen: uppgifter som erhållits genom ett partnerskap får i princip inte föras vidare utanför det partnerskapet. För det andra måste partnerskapet skydda det de hanterar med tekniska och organisatoriska åtgärder, inklusive pseudonymisering, så att kunddata inte exponeras bredare än ändamålet kräver.

Vad måste en CASP göra för att delta?

Att delta är frivilligt, sker inte automatiskt och kan inte göras i tysthet mellan företag. Innan någon delning börjar måste en CASP som vill delta anmäla det till sin tillsynsmyndighet, i Sverige Finansinspektionen. Tillsynsmyndigheten kontrollerar, i samråd med dataskyddsmyndigheten och där det är relevant med FIPO, att partnerskapet har korrekta mekanismer för regelefterlevnad på plats och att en konsekvensbedömning avseende dataskydd har gjorts. Först efter den granskningen får partnerskapets verksamhet börja.

Det finns internt förarbete också. Enligt Artikel 9 i AMLR måste en deltagare, i sina egna interna riktlinjer och rutiner och innan den går med, ange hur den ska dela information, vilka gränser som gäller och vem som ansvarar för vad. Och ansvaret för efterlevnaden ligger kvar hos varje deltagare. Partnerskapet tar inte över den rättsliga risk som ligger hos det enskilda företaget.

Hur förhåller sig Artikel 75 till the Travel Rule och rapportering till Finanspolisen?

En CASP delar redan information på flera sätt, och Artikel 75 lägger till ett lager som de befintliga inte täcker.

The Travel Rule, under förordningen om uppgifter som ska åtfölja överföringar, fäster avsändar- och mottagaruppgifter vid varje kryptoöverföring. Den är transaktionsbunden och automatisk. Rapportering av misstankar till Finanspolisen går i en riktning, från CASP:en till en myndighet, när något ser misstänkt ut.

Ingen av dem låter dock institut bygga en gemensam riskbild sinsemellan. The Travel Rule flyttar data tillsammans med en transaktion; rapporteringen flyttar den till staten. Artikel 75 är den första EU-gemensamma ramen som låter verksamhetsutövare utbyta riskinformation med varandra, inom ett godkänt partnerskap, för att se mönster som inget enskilt företag ser ensamt. Den fyller luckan som de andra två lämnar öppen.

Hur ser det ut i Sverige?

Sverige har redan praktisk erfarenhet av den här modellen. Sedan 2020 finns SAMLIT (Swedish Anti-Money Laundering Intelligence Task Force), ett samarbete mellan Polismyndigheten och de fem största bankerna, med syftet att förbättra förmågan att identifiera och bekämpa penningtvätt genom ökad informationsdelning. Den rättsliga grunden där har varit institutens skyldighet enligt penningtvättslagen att på begäran lämna uppgifter till Polismyndigheten.

Två saker är värda att notera. SAMLIT är offentlig-privat och bankfokuserat, så CASP:er har hittills stått utanför, och samarbetet har enligt både polis och banker hämmats av sekretessregler, vilket ledde till lagstiftning för att underlätta utbytet. Artikel 75 bygger en bredare, EU-gemensam ram för en besläktad idé, men där tyngdpunkten ligger på delning mellan verksamhetsutövare. För en svensk CASP är poängen att konceptet inte är främmande här, men att vägen in i den här typen av samarbete är ny.

Vad är ännu inte fastställt?

En hel del. Artikel 75 sätter ramen, men mycket av det operativa skrivs fortfarande, och en CASP som planerar utifrån den bör behandla den nuvarande bilden som preliminär.

Artikel 75 innehåller inget eget mandat för dedikerade tekniska standarder för partnerskap. I stället väntas det praktiska detaljerna komma främst genom vägledning från EU:s penningtvättsmyndighet (Amla) och genom de workshops myndigheten håller med den privata sektorn under 2026, snarare än genom partnerskapsspecifika regler. De bredare AML-standarder som Amla faktiskt har ute på konsultation, om kundkännedom och koncernövergripande krav, är inte partnerskapsspecifika. En CASP bör alltså vänta sig att detaljerna stabiliseras gradvis genom vägledning, inte att de står fullt utskrivna i dag.

Gränserna för delning inom en koncern är öppet omdebatterade. Det är ännu inte klart om information som erhållits genom ett partnerskap får delas vidare inom en deltagares egen koncern, och Europeiska bankmyndighetens (EBA) råd har hittills lämnat detta olöst. För en CASP som ingår i en större koncernstruktur är det en levande och betydelsefull fråga.

Och ramen är oprövad. Artikel 75 tillämpas först den 10 juli 2027, inget partnerskap har ännu godkänts, och hur tillsynsmyndigheterna kommer att tolka och godkänna dem i praktiken är okänt. Mycket beror på hur villiga tillsynsmyndigheterna visar sig vara att stödja partnerskap över huvud taget.

När gäller den, och vad bör CASP:er göra nu?

Artikel 75 tillämpas från den 10 juli 2027, samma datum som AMLR börjar gälla. Men förberedelsen är en uppgift för 2026. Den styrning, de avtal och det dataskyddsarbete ett partnerskap kräver kan inte byggas över en natt, och under 2026 håller Amla workshops med den privata sektorn för att hjälpa partnerskapen att komma på plats.

För en CASP är de rimliga stegen nu att avgöra om deltagande i ett partnerskap passar dess riskbild, att kartlägga vilken kundinformation den har och var, att förbereda de interna riktlinjer Artikel 9 kommer att kräva, och att vara redo för de dataskydds- och tillsynskontroller som kommer innan någon delning får börja.

Det rättsliga ramverket anger vad som är tillåtet. Den svårare delen är operativ: att dela rätt information, med rätt skydd, och att hålla en tydlig dokumentation av vad som delats, med vem och varför.

---

Reqport ersätter manuella, overifierade arbetsflöden för att hantera myndighetsförfrågningar. Det är en specialbyggd portal där varje förfrågan verifieras, struktureras och hanteras med full spårbarhet och automatiserade arbetsflöden. [Kontakta oss]

---

Den här artikeln är i informationssyfte och utgör inte juridisk rådgivning. Reglerna och deras tekniska standarder är fortfarande under utveckling. För hur de tillämpas i ert specifika fall, rådgör med juridiskt ombud.

Reqport

Reqport

Reqport är en plattform för att hantera förfrågningar från Polisen och andra myndigheter.

LinkedIn

Relaterade artiklar

Vad är e-bevisförordningen?
Regulatorisk

Vad är e-bevisförordningen?

EU:s e-bevisförordning låter myndigheter begära användardata över gränserna från 18 augusti 2026. Vad den kräver, vilka som omfattas och hur du förbereder dig.