Fra AMLD til AMLR

En gennemgang af hvidvasklovgivningens udvikling, danske erfaringer og de kommende krav, som virksomheder skal forberede sig på.

Denne artikel giver et historisk perspektiv på hvidvaskområdet og sætter rammen for vores kommende artikelserie om AMLR. Vi gennemgår udviklingen fra de første EU-direktiver til dansk retspraksis og de nyeste ændringer i AML-pakken – herunder konsekvenser ved manglende overholdelse. Formålet er at give et solidt fundament for at forstå fremtidens harmoniserede AML-regler og hvordan de kan implementeres effektivt i praksis.

Fra de tidlige EU-direktiver til den nye AML-pakke: Vi ser på historien, udvalgte danske domme, de nye krav i AML-pakken samt konsekvenserne ved manglende overholdelse af den nye forordning. Denne artikel giver baggrundsviden og perspektiv, som gør det muligt at forstå, hvordan erfaringer fra fortiden kan styrke efterlevelsen af fremtidens AML-krav.

Indledning

Denne artikel er en del af en serie fra Implement Consulting Group, hvor vi dykker ned i konkrete danske sager og domme på hvidvaskområdet og perspektiverer dem til AMLR. Vi vil blandt andet vurdere, om den nye AML-pakke kunne have været med til at forebygge de situationer, vi har set, og samtidig give input til, hvordan virksomheder effektivt kan implementere de nye krav i praksis. Formålet er at tilbyde en mere praksisnær tilgang til AMLR, frem for blot en teoretisk gennemgang af reglerne.

Første artikel fungerer som baggrund og sætter rammen for den kommende artikelserie. Her gennemgår vi historien fra de første EU-hvidvaskdirektiver, udviklingen i dansk retspraksis og udvalgte domme samt de væsentlige ændringer, AMLR bringer med sig. Vi ser også nærmere på den nye RTS under artikel 53(10), som fastlægger kriterier for sanktioner ved manglende overholdelse af AML-pakken og dermed allerede nu giver et indblik i, hvilke konsekvenser virksomheder kan forvente, hvis de ikke overholder reglerne.

Erfaringerne fra fortiden giver et solidt fundament for at forstå den harmoniserede og mere systematiske AML-håndhævelse på tværs af EU og bidrager til at forstå, hvordan de nye krav kan implementeres effektivt i praksis.

Baggrund: Udviklingen fra tidligere direktiver til AMLR og retspraksis på området

For at kunne forstå og effektivt implementere den kommende AML-pakke er det afgørende at have kendskab til udviklingen i EU’s tidligere hvidvaskdirektiver, deres danske implementering samt den konkrete retspraksis på området. Historien viser, hvordan reglerne gradvist er blevet mere omfattende, fra de første direktiver, der primært fokuserede på narkotikarelateret kriminalitet, til de senere direktiver, der indfører en risikobaseret tilgang, krav til ledelsesforankring, gennemsigtighed omkring reelle ejere og håndtering af nye digitale aktiver.

Danske domme og sager mod finansielle virksomheder illustrerer samtidig, hvordan manglende overholdelse af hvidvasklovgivningen kan føre til betydelige konsekvenser, både økonomisk og omdømmemæssigt. Ved at gennemgå både direktivernes udvikling og relevant retspraksis får man derfor ikke blot indsigt i de formelle krav, men også en forståelse af, hvordan reglerne fungerer i praksis, hvilke risici der typisk udløser sanktioner, og hvor virksomheder historisk har haft udfordringer.

Denne baggrundsforståelse er central for, at compliance- og ledelsesfunktioner kan tilpasse interne procedurer og styringsmekanismer, så de både lever op til eksisterende regler og er forberedte på at implementere den nye AML-pakke effektivt. Den giver et solidt fundament for at vurdere, hvilke organisatoriske tiltag og forebyggende indsatser der virker, og hvor nye regler potentielt kan forhindre tidligere typer af overtrædelser.

Udviklingen i lovgivningen

1. hvidvaskdirektiv (1991) – de første fælles EU-regler

EU’s første hvidvaskdirektiv blev vedtaget i 1991 (Direktiv 91/308/EØF)​ (1)​ og markerede starten på den fælleseuropæiske regulering af hvidvaskområdet. Formålet med direktivet var at forhindre, at det finansielle system blev brugt til at skjule udbytte fra kriminalitet, særligt narkotikarelateret kriminalitet. Direktivet indeholdt de grundlæggende elementer, som stadig danner rygraden for AML-arbejdet i dag: krav om kundekendskab, opbevaring af oplysninger og indberetning af mistænkelige transaktioner. I Danmark blev direktivet implementeret i national lovgivning i 1993 ​(2)​ og var det første skridt mod et særskilt AML-regime, som gjorde det muligt at adressere hvidvask som et selvstændigt område og ikke blot som et strafferetligt spørgsmål.

2. hvidvaskdirektiv (2001) – bredere kriminalitet og flere aktører

Det andet hvidvaskdirektiv (2001/97/EF) ​(3)​ udvidede reguleringen til ikke kun at omfatte narkotikarelaterede indtægter, men alle former for alvorlig kriminalitet, der kunne generere penge til hvidvask. Direktivet udvidede også, hvilke typer virksomheder og erhverv der skulle overholde reglerne, herunder advokater, revisorer, ejendomsmæglere og visse handlende. Den danske implementering skete over de efterfølgende år gennem ændringer af hvidvasklovgivningen, og direktivet markerede et vigtigt skift: AML-reguleringen blev nu et bredere samfunds- og erhvervsanliggende og ikke længere kun et bankanliggende.

3. hvidvaskdirektiv (2005) – risikobaseret tilgang

Det tredje hvidvaskdirektiv (2005/60/EF) ​(4)​ tilpassede EU’s regler til de internationale standarder fra FATF og introducerede den risikobaserede tilgang, som blev et grundlæggende princip i AML-arbejdet. Direktivet fokuserede på at differentiere kravene afhængigt af den konkrete risiko for hvidvask og terrorfinansiering – der med dette direktiv blev et selvstændigt fokusområde – hvilket gjorde AML-reglerne mere operationelle og relevante for den enkelte virksomhed. Centrale elementer var blandt andet skærpede kundekendskabsprocedurer, løbende overvågning og særlig opmærksomhed på politisk eksponerede personer (PEP’er). I Danmark blev direktivet implementeret i slutningen af 2000’erne, og det markerede en bevægelse væk fra formalistiske checklister til en mere målrettet og risikobaseret regulering.

4. hvidvaskdirektiv (2015) – governance, risikovurdering og reelle ejere

Det fjerde hvidvaskdirektiv (2015/849) ​(5)​ indførte et markant fokus på virksomhedens egen risikovurdering, governance og interne kontroller. Direktivet stillede krav om, at virksomheder skulle identificere reelle ejere, dokumentere interne procedurer og forankre AML-arbejdet på ledelsesniveau, ligesom skatteforbrydelser blev tilføjet listen over prædikatkriminalitet. I Danmark blev direktivet implementeret gennem den nye hvidvasklov fra 2017 (Lov nr. 651 af 8. juni 2017) ​(6)​. Implementeringen markerede et skift: AML blev ikke længere kun et operationelt kontrolområde, men en ledelsesdisciplin, hvor dokumentation og risikostyring blev centrale elementer. Direktivet lagde dermed fundamentet for en mere moden og systematisk AML-tilgang.

5. hvidvaskdirektiv (2018 – AMLD5) – transparens og digitale aktører

Det femte hvidvaskdirektiv (2018/843) ​(7)​ blev vedtaget som reaktion på både Panama Papers-afsløringerne i 2016 og en række terrorangreb i Europa, som blotlagde huller i den eksisterende regulering. Fokusområder var blandt andet virtuelle valutaer og krypto-udbydere, styrket gennemsigtighed om reelle ejere, adgang til registre og regulering af præbetalte instrumenter. Direktivet krævede desuden, at nationale registre over reelle ejere blev sammenkoblet på tværs af medlemsstater, og de finansielle efterretningsenheders (Hvidvasksekretariatet) adgang til oplysninger blev styrket. I Danmark blev direktivet implementeret via lovændringer (Lov nr. 1563 af 27. december 2019 trådte i kraft 10. januar 2020) ​(8)​. Implementeringen understregede, at AML-arbejdet nu måtte kunne håndtere digitale forretningsmodeller, komplekse ejerstrukturer og nye distributionskanaler. Direktivet viser hvordan AML-reglerne løbende tilpasses teknologisk og finansielt udviklede risici.

Danske domme: Hvad viser retspraksis?

Dansk retspraksis på hvidvaskområdet viser en tydelig udvikling i både håndhævelse og sanktionsniveau over det seneste årti. I perioden fra ca. 2017 til 2026 har en række danske banker modtaget bøder for overtrædelser af hvidvasklovgivningen. Sanktionerne spænder fra mindre administrative bøder i niveauet ca. 5–25 mio. kr. til meget betydelige bøder på flere hundrede millioner kroner og i enkelte tilfælde op til flere milliarder kroner, særligt i sager med systemiske og langvarige kontrolsvigt. Der ses endvidere eksempler på konfiskation af udbytte samt igangværende straffesager med potentielt meget høje bødeniveauer.

Retspraksis viser samtidig, at myndighedernes håndhævelse er risikobaseret og trinvis. Mange konstaterede mangler håndteres indledningsvist gennem tilsynsreaktioner som påbud, påtaler og krav om opfølgning. Bøder anvendes derimod typisk i tilfælde, hvor der er tale om grovere, systemiske eller længerevarende svigt, eller hvor tidligere tilsynsreaktioner ikke i tilstrækkelig grad er efterlevet.

På tværs af sagerne tegner der sig en række gennemgående problemområder. Utilstrækkeligt kundekendskab (KYC) er en central genganger, herunder manglende indhentelse og opdatering af oplysninger om kunders identitet, formål og risikoprofil samt utilstrækkelig forståelse af ejerstrukturer og reelle ejere. Hertil kommer mangler i den løbende overvågning af transaktioner, herunder utilstrækkelige overvågningssystemer, manglende opfølgning på alarmer og svag dokumentation for de foretagne vurderinger.

Derudover peger praksis på væsentlige svagheder i interne kontroller og governance, herunder utilstrækkelig risikostyring, manglende koncernoverblik og svigt i eskalation og håndtering af interne advarsler. Særligt i større og internationalt orienterede organisationer har manglende styring på tværs af enheder vist sig at udgøre en væsentlig risiko.

Endelig ses der gentagne udfordringer i håndteringen af højrisikoområder, herunder korrespondentbankforbindelser, udenlandske kunder og aktiviteter i jurisdiktioner med forhøjet risiko. Disse områder stiller skærpede krav til både kundekendskab og løbende overvågning, som i flere tilfælde ikke er blevet tilstrækkeligt efterlevet.

Samlet set viser retspraksis, at bødeniveauet ikke alene afspejler konkret konstateret hvidvask, men i høj grad også kvaliteten af de etablerede kontrol- og styringsrammer. Selv uden dokumenteret hvidvask kan alvorlige eller gennemgående mangler i AML-setup’et føre til betydelige sanktioner.

Læring fra tidligere direktiver og praksis

Gennemgangen af tidligere hvidvaskdirektiver og dansk retspraksis viser, hvordan AML-reguleringen over tid er blevet mere omfattende, mere detaljeret og mere styringsorienteret. Fra de første krav om kundekendskab og indberetning i 1990’erne til senere fokus på risikobaseret tilgang, ledelsesforankring, dokumentation og reelle ejere afspejler udviklingen en erkendelse af, at hvidvask ikke kan håndteres effektivt med formelle minimumskrav alene.

De danske sager illustrerer samtidig, at manglende overholdelse af AML-reglerne ikke blot er et spørgsmål om enkeltstående fejl, men ofte udspringer af mere grundlæggende svagheder i virksomheders kontrolmiljø, governance og risikostyring. Gennemgående temaer er utilstrækkelige kundekendskabsprocedurer, mangelfuld dokumentation, svag transaktionsovervågning og manglende opfølgning på kendte risici. Det gælder også i sager, hvor der ikke nødvendigvis er konstateret konkret hvidvask i den enkelte sag. Historien viser dermed, at manglende AML-compliance i sig selv kan udløse betydelige konsekvenser.

Dette billede bliver understøttet af Hvidvasksekretariatets nationale risikovurdering ​(9)​, som peger på, at hvidvask fortsat er et betydeligt samfundsproblem i Danmark på trods af et stadig mere omfattende regelsæt. Risikovurderingen anslog, at der i 2022 kunne hvidvaskes for omkring 68 mia. kr. årligt i Danmark.¹ Tallet er forbundet med usikkerhed og bør læses som en størrelsesorden snarere end en præcis opgørelse, men det understreger problemets alvor og omfang. Hvidvask er med andre ord ikke et marginalt complianceproblem, men et område med betydelige økonomiske og samfundsmæssige konsekvenser.

Risikovurderingen peger samtidig på noget helt centralt: Hvidvask er sjældent begrænset til én virksomhed, én transaktion eller én jurisdiktion. Tværtimod er hvidvask ofte grænseoverskridende og involverer bevægelser af midler på tværs af konti, selskaber, ejerskabsstrukturer og lande. Kriminelle aktører tilpasser sig løbende og udnytter de steder, hvor kontrolmiljøet er svagest, eller hvor regler og tilsynspraksis ikke er tilstrækkeligt ensartede. Når pengestrømme og strukturer bevæger sig på tværs af grænser, bliver forskelle i nationale regler og håndhævelse ikke blot et teknisk problem, men en reel sårbarhed.

Det er netop i dette lys, AML-pakken også skal forstås. Behovet for harmonisering handler ikke kun om at skabe mere ensartede regler på papiret, men om at reducere de forskelle mellem medlemsstaterne, som historisk har gjort det muligt at udnytte regulatoriske og operationelle svagheder på tværs af EU. Hvis hvidvask i praksis er grænseoverskridende, giver det også mening, at reguleringen i højere grad bliver det samme.

Erfaringerne fra både tidligere direktiver, dansk praksis og den nationale risikovurdering peger derfor i samme retning: Reglernes eksistens er ikke i sig selv nok. Det afgørende er, om de omsættes til effektive kontroller, operationel risikostyring og tilstrækkelig ledelsesforankring i praksis. Historikken giver dermed ikke blot et tilbageblik, men et vigtigt fundament for at forstå, hvorfor AMLR er mere end endnu et nyt regelsæt, og hvorfor implementeringen bliver afgørende for, om de samme typer af svigt kan forebygges fremadrettet.

^{1) Tallet er baseret på et UNODC-estimat fra 2011 (21), som anslog at hvidvask globalt udgør 2,7% af et lands BNP. Hvidvasksekretariatets tal fra 2022 (9) svarer til Danmarks daværende BNP x 0,027 = 68 mia. kr. Opdateret med 2025-BNP (3.063 mia. kr.) (22) giver samme beregning ca. 83 mia. kr.}

Fra direktiver til forordning: Hvorfor er AMLR noget andet?

En af de mest grundlæggende ændringer fra AMLD til AMLR er selve lovgivningsformen. Tidligere skulle hvidvaskdirektiver implementeres i national lovgivning, hvilket førte til forskelle i regler og praksis mellem medlemsstaterne. Med AMLR er de centrale forpligtelser for virksomheder samlet i én forordning, som gælder direkte og ensartet i hele EU. AMLD6 forbliver et direktiv og regulerer de områder, hvor national tilpasning fortsat er nødvendig, herunder strukturer for tilsyn og hos de finansielle efterretningsenheder (i Danmark Hvidvasksekretariatet) og registre over reelle ejere. Samlet betyder det, at de fleste virksomhedsnære krav nu er harmoniseret på EU-niveau, mens strukturerne for tilsyn og den finansielle efterretning fortsat fastlægges nationalt.

AML-pakken: Regulatorisk indhold

Den nye AML-pakke består af flere centrale lovgivningselementer, som samlet moderniserer og harmoniserer EU’s regler mod hvidvask og terrorfinansiering. Level 1-retsakterne, den primære lovgivning, består af:

• Hvidvaskforordningen (AMLR) ​(10)​
• 6. hvidvaskdirektiv (AMLD6) ​(11)​
• AMLA-forordningen ​(12)​
• Ændringer af pengeoverførselsforordningen ​(13)​

Derudover udarbejdes en række level 2-retsakter: tekniske standarder (RTS), implementeringsstandarder (ITS) og guidelines, som præciserer, hvordan level 1‑kravene skal gennemføres i praksis. Disse dokumenter udarbejdes løbende og sendes i høring for kommentarer fra relevante aktører.

Indtil videre er følgende level 2-retsakter publiceret:

• RTS om kundekendskab (CDD) (artikel 28(1) i AMLR) (draft) ​(14)​
• RTS om kriterier for identifikation af forretningsforhold, lejlighedsvise transaktioner og forbundne transaktioner under artikel 19(9) i AMLR (draft) ​(15)​
• RTS om sanktioner, administrative foranstaltninger og periodiske tvangsbøder under artikel 53(10) i AMLD6 (draft) ​(16)​
• ITS for koordinering i AML/CTF-tilsyn under artikel 15(3) i AMLR ​(17)​
• RTS om vurdering af iboende og residual risikoprofil under artikel 40(2) i AMLD6 ​(18)​
• RTS om risikovurdering med henblik på udvælgelse af kreditinstitutter, finansielle institutter og grupper af kredit- og finansielle institutter til direkte tilsyn (artikel 12(7) AMLR) ​(19)​

AML-pakken finder som helhed anvendelse fra den 10. juli 2027, og både level 1- og level 2-retsakter vil være afgørende for, hvordan virksomheder skal tilpasse interne procedurer og risikostyring frem mod implementeringen.

AML-pakken: Praktisk indhold og krav for virksomheder

Nogle af de væsentligste ændringer med AML-pakken er følgende:

1. Udvidet kundekendskab og dataforpligtelser
   Virksomheder skal indhente flere og mere detaljerede kundedata, herunder oplysninger om kundens fødested, bopæl, nationalitet og ID‑nummer.
   
   Ved kunder, der er juridiske personer, skal virksomheder blandt andet identificere reelle ejere og indhente tilsvarende detaljerede oplysninger om disse personer. Dette går ud over det historiske krav om blot navn og cpr‑nummer/MSISDN‑lignende ID.
   
   Der er skærpede krav til, hvornår kundekendskabsprocedurer (KYC) skal gennemføres, herunder ved lejlighedsvise transaktioner ned til et lavere beløbsniveau, og krav om, at kundedata løbende ajourføres med faste maksimale intervaller baseret på risikoniveau.
   
   
2. Styrket risikovurdering og rapportering
   Virksomheder skal gennemføre en systematisk risikovurdering, der omfatter både iboende risiko og residual risiko (dvs. risiko efter interne kontroltiltag).
   
   Der stilles krav om, at risikovurderingen er veldokumenteret og baseret på en bredere datadækning og flere risikofaktorer end hidtil, hvilket i praksis betyder betydeligt mere detaljeret dataindsamling og løbende opdateringer til myndighederne.
   
   Dette understøttes af AMLA’s udvikling af tekniske standarder og værktøjer til ensartet risikovurdering for både finansielle institutioner og ikke‑finansielle aktører.
   
   
3. Medarbejderkompetence og integritet
   Der er introduceret krav om, at virksomheder aktivt skal sikre, at deres medarbejdere, agenter og distributører har den nødvendige viden, færdigheder og integritet til at håndtere AML‑opgaver.
   
   Det er ikke længere tilstrækkeligt at antage, at medarbejdere kender kravene: virksomheder skal kunne dokumentere træning, kompetencetjek og tilstrækkelig viden om både lovkrav og interne politikker.
   
   
4. Governance, interne kontroller og uafhængig revision
   Der er skærpede krav til virksomhedernes interne styrings- og kontrolmiljø:
   
   1. Skærpet ledelsesansvar for AML/CFT‑styring og governance.
      
   2. Krav om en uafhængig revisionsfunktion, der tester politikker, procedurer og kontroller (eksternt ekspertbidrag kan accepteres, hvis virksomheden ikke selv har uafhængig funktion).
      
   Dette skal sikre, at compliance og risikostyring fungerer i praksis, ikke blot på papiret.
   
   
5. Nye typer forpligtede og transaktionskrav
   Flere typer virksomheder bliver omfattet af AML‑reglerne, herunder aktører, der handler med varer af høj værdi, ædelmetaller og ædelsten, udbydere af crowdfundingtjenester samt professionelle fodboldklubber og -agenter, med visse overgangsordninger.
   
   Der er også krav om rapportering af transaktioner med visse varer (fx motorkøretøjer og luksusvarer) til finansiel efterretning, når de har visse størrelser og formål.
   
   
6. Kontantloft på €10.000
   AMLR indfører et EU-dækkende loft på 10.000 euro for kontantbetalinger i erhvervslivet, uanset om betalingen sker samlet eller som flere sammenhængende transaktioner. Ved kontantbetalinger på 3.000 euro eller derover skal kunden identificeres og verificeres. Danmark har dog allerede et lavere nationalt kontantloft på 15.000 kr., som forbliver i kraft, da medlemsstaterne kan fastsætte strengere grænser.
   
   
7. Outsourcing, informationsudveksling og grænseoverskridende aktiviteter
   Regler om outsourcing til tredjelande er præciseret, så virksomheder kun må outsource, hvis der er passende AML‑kontroller og tilsyn i tredjelandet.
   
   Der er åbnet op for udvidet datasamarbejde og partnerskaber mellem virksomheder og myndigheder for at øge effektiviteten i risikobaseret overvågning og mistænkelighedsanalyse.
   
   Nye underretningskrav gælder også ved grænseoverskridende aktiviteter, herunder forudgående orientering til tilsynsmyndighederne ved etablering i andre medlemsstater.
   
   
8. Sanktioner og sanktionscompliance
   AML‑pakken indfører krav om interne politikker, procedurer og kontroller til at sikre overholdelse af finansielle sanktioner, herunder mandat til at sikre, at virksomheder effektivt undgår transaktioner med sanktionerede personer, virksomheder og jurisdiktioner. Kravene er nærmere beskrevet i guidelines fra EBA ​(20)​.
   
   
9. Ny tilsynsstruktur: AMLA
   En helt ny EU‑myndighed, AMLA – Anti‑Money Laundering Authority – etableres med ansvar for at føre direkte tilsyn med udvalgte højrisiko-finansielle virksomheder og koordinere tilsynet i hele EU. Dette inkluderer udvikling og vedligeholdelse af risikovurderingssystemer og tekniske standarder, som skal understøtte både nationale øvelser og EU‑fælles tilsyn.

Hvilke brancher er omfattet?

Med hvidvaskforordningen bliver flere virksomhedstyper omfattet af reglerne:

• Virksomheder, der handler med ædelmetaller og ædelsten, enten regelmæssigt eller som vigtigste erhvervsmæssige virksomhed
• Virksomheder, der handler med varer af høj værdi, enten regelmæssigt eller som vigtigste erhvervsmæssige virksomhed
• Fodboldagenter og professionelle fodboldklubber
• Udbydere af crowdfundingtjenester og formidlere af crowdfunding

Fodboldagenter og professionelle fodboldklubber vil blive omfattet af reguleringen fra 10. juli 2029. Professionelle fodboldklubber bliver omfattet af reguleringen, når der er tale om transaktioner med en investor, en sponsor, fodboldagenter og andre formidlere og transaktioner med henblik på transfer af en fodboldspiller.

Manglende efterlevelse? Hvad kan vi forvente?

Erfaringerne fra tidligere EU‑direktiver og danske sager viser tydeligt, hvordan mangelfulde kontroller, utilstrækkelig dokumentation og svigt i ledelsesforankring har ført til betydelige bøder og administrative påbud. Disse sager illustrerer både de konkrete risici ved ikke at overholde hvidvasklovgivningen og de udfordringer, virksomheder har haft med at omsætte EU‑direktiver til effektiv praksis.

Med den kommende AML‑pakke og den tilhørende Regulatory Technical Standards (RTS) under artikel 53(10) introduceres en mere harmoniseret og struktureret håndhævelse i hele EU ​(16)​.

RTS’en fastlægger blandt andet:

• Klassificering af overtrædelser, hvor alvor, gentagelse, omfang, ledelsesansvar og økonomisk gevinst afgør sanktionens størrelse. Dette skaber et mere systematisk grundlag for vurdering af overtrædelser, som både nationale tilsynsmyndigheder og virksomheder kan bruge til at vurdere risiko og konsekvens.
  
  
• Kriterier for bøder og administrative foranstaltninger, der sikrer proportionalitet og afskrækkelse. Tilsynsmyndigheder får vejledning i, hvordan de skal vurdere samarbejde fra virksomheden, årsagen til overtrædelsen og hvorvidt der er opnået økonomisk fordel ved manglende overholdelse.
  
  
• Periodiske tvangsbøder, som myndighederne kan pålægge virksomheder, hvis de ikke retter op på konstaterede mangler inden for en given tidsramme. Dette er et klart skift fra tidligere praksis, hvor bøder ofte blev fastsat som engangsbeløb, og det giver myndighederne et redskab til at sikre, at virksomheder efterlever påbud over tid.
  
  
• Inddragelse af ledelsesansvar, så både virksomhedens governance og enkeltpersoners rolle i overtrædelsen kan indgå i vurderingen. Dette understreger, at ansvar ikke længere kun hviler på den juridiske enhed, men også på dem, der har ledelsesansvar.

Sammenlignet med tidligere praksis i Danmark betyder RTS’en, at virksomheder nu skal forvente en mere ensartet og gennemsigtig håndhævelse på tværs af EU, hvor manglende compliance ikke blot medfører bøder, men også kan føre til gentagne økonomiske konsekvenser og krav om dokumenteret forbedring. Det fremhæver nødvendigheden af, at virksomheder ikke alene sikrer formel overholdelse, men også aktivt dokumenterer, at interne kontroller og risikostyring fungerer i praksis.

Denne overgang fra historiske sager til den nye harmoniserede ramme understreger vigtigheden af at implementere AMLR grundigt og rettidigt. Erfaringerne fra fortiden bliver et værdifuldt fundament for at forstå, hvordan fremtidens håndhævelse og sanktioner kan forventes at udspille sig – og hvorfor virksomheder, ledelse og compliance-funktioner må forberede sig på en mere konsekvent og systematisk tilsynspraksis.

Kommer AMLR til at gøre en forskel?

Denne artikel er første del af en serie af artikler om AMLR. I de kommende artikler vil vi undersøge, hvordan AMLR konkret forventes at påvirke virksomheder og finansielle aktører i Danmark. Fokus vil være både på læring fra tidligere sager og på, hvordan de nye krav kan ændre praksis. Artiklerne vil ikke være udtømmende, men tjene som eksempler på centrale temaer og problemstillinger, som AMLR adresserer.

Eksempler på kommende artikler og hypoteser inkluderer:

• Overtrædelser af EU-sanktionsregler
  En gennemgang af eksisterende domme og sager samt perspektivering af de kommende governance-krav under AMLR vedrørende finansielle sanktioner.
  
  Hypotese: Skærpede krav til compliance og dokumentation vil øge ansvarligheden hos virksomheder, der håndterer transaktioner under sanktionsreglerne.
  
  
• Danske Bank-sagen (2022) og nye KYC-krav
  Hvordan kunne de nye AMLR-krav til kundekendskab og risikobaseret overvågning have påvirket håndteringen af Danske Bank-sagen?
  
  Hypotese: Strammere krav til dokumentation og due diligence vil reducere risikoen for lignende omfattende overtrædelser i fremtiden.
  
  
• Insidere og medarbejderintegritet
  Hvordan kan de nye krav om at sikre medarbejderes ærlighed og integritet i AMLR forebygge insider-relaterede hvidvaskrisici?
  
  Hypotese: Tydeligere krav til screening og kontrol af medarbejdere vil mindske risikoen for, at ansatte agerer insidere og hjælper kriminelle.
  

Tilsammen vil disse artikler illustrere både konkrete konsekvenser af manglende overholdelse af AMLR og de præventive mekanismer, som AMLR introducerer.

Samtidig skal vi sørge for at fremhæve, at mange spørgsmål stadig er åbne: Omfanget af risici, grænseoverskridende transaktioner og kompleksiteten i interne kontrolsystemer vil først blive fuldt synlige, når alle level 2-retsakter er udarbejdet og vedtaget.

Formålet med artiklerne er både at give indsigt i konkrete sager og at skabe et grundlag for diskussion af, hvordan virksomheder kan planlægge og styrke deres compliance-strategier i lyset af de nye AMLR-krav.