Hvidvaskreglerne gennemgår markante ændringer. Det kræver et robust complianceprogram at kunne identificere, planlægge og gennemføre de ændrede og nye krav, som bliver pålagt enheder, der er forpligtede under hvidvaskloven.

Vi har talt med Peter Niemann, Compliance- og risikochef hos Poul Schmith/Kammeradvokaten og Kristine Karoline Sorken, advokat og Compliance Specialist hos Lex-Ally Advokatkontor, som har delt nogle af de mest essentielle ændringer, organisationer bør kende.

Vi ser ind i en fremtid med en lovændring, der har indvirkning på virksomhedernes rammeværker og med det lidt længere lys tændt ser vi ind i en komplet ændring af regellandskabet fra juli 2027. Til juli 2027 erstatter AMLR-forordningen hvidvaskloven og Finanstilsynets vejledning om forebyggelse af hvidvask og terrorfinansiering. Hvidvaskreguleringen bliver dermed i højere grad EU‑styret og direkte anvendelig, mens de nationale regler får karakter af supplerende og gennemførende bestemmelser. Det ændrer bl.a. balancen mellem Finanstilsynets og de øvrige nationale tilsynsmyndigheders vejledninger og de standarder, der fastlægges af den nye EU‑myndighed; AMLA.

Opdatering af rammeværk

I dag gælder efter hvidvasklovens §§ 7 og 8, at forpligtede enheder skal have en intern risikovurdering, der skitserer den iboende risiko for, at enheden kan blive misbrugt til hvidvask og terrorfinansiering. Med baggrund i risikoprofilen skal forpligtede enheder i politikker fastsætte en strategi for forebyggelse af hvidvask og terrorfinansiering. Strategien skal derefter udmøntes i forretningsgange, som skal implementeres på organisationsniveau. Det er virkeligheden, som vi kender den i dag.

I februar 2026 blev der fremsat lovforslag, som foregriber implementering af nogle af de ændringer, der introduceres med AMLR-forordningen.

Baggrunden for lovforslaget er et ønske om at styrke Danmarks efterlevelse af FATF’s anbefalinger om bekæmpelse af hvidvask, terrorfinansiering og proliferationsfinansiering.

I korte træk skal den iboende risikovurdering opdateres under hensyntagen til virksomhedens størrelse. Den skal fremover også omfatte risikoen for, at regler om proliferationsfinansiering og finansielle sanktioner brydes, ikke implementeres korrekt eller omgås. Herudover skal risikovurderingen omfatte overholdelsen af § 34 a, stk. 3.

Ved finansiering af proliferation forstås levering af midler eller finansielle tjenesteydelser til fremstilling, erhvervelse, besiddelse, udvikling, eksport, omladning, transport, overførsel eller brug af nukleare, kemiske eller biologiske våben, som anvendes til ikke-legitime formål, der er i strid med national lovgivning eller internationale forpligtelser.

Lovforslaget stiller også forslag om, at virksomheder, og andre aktører omfattet af hvidvaskloven, skal sikre, at dennes politikker, forretningsgange og kontroller testes af en uafhængig revisions funktion. Hvis der ikke findes en uafhængig revisionsfunktion, kan testen udføres af en ekstern ekspert.

AMLR-forordningen bringer herudover ændringer til rammeværk og organisering i forpligtede enheder med sig, idet en række risikovariabler udvides på virksomhedsniveau.

I tillæg kommer det til at gælde for en række virksomheder, at de skal udpege et medlem af ledelsen, som skal have ansvaret for:

• at sikre overensstemmelse med forordningen, hvilket bl.a. betyder, at den forpligtede enheds interne politikker, procedurer og kontroller er i overensstemmelse med den forpligtede enheds risikoeksponering, og at de gennemføres.

• at der afsættes tilstrækkelige menneskelige og materielle ressourcer til dette formål.

• at indhente oplysninger om betydelige eller væsentlige svagheder i sådanne politikker, procedurer og kontroller.

• at den forpligtede enhed har en compliance medarbejder, ansvaret for politikker, procedurer og kontroller i den daglige drift af den forpligtede enheds krav for bekæmpelse af hvidvask af penge og finansiering af terrorisme.
  
  

Kend din kunde

Endnu et centralt afsnit i hvidvaskloven indeholder i dag krav til kundekendskabsprocedurer. De skal gennemføres, når en forpligtet enhed etablerer en forretningsforbindelse, når en kundes relevante omstændigheder ændrer sig, samt i øvrigt på passende tidspunkter. Kravene gælder også ved enkeltstående transaktioner over visse beløbsgrænser.

• Kundekendskabsprocedurer omfatter i korte træk:

• Kundens ID, som skal være kontrolleret ved en pålidelig og uafhængig kilde.

• Identifikation af reelle ejere og indsamling af deres ID, som er kontrolleret ved en pålidelig og uafhængig kilde.

• Vurdering af forretningsforbindelsens formål og beskaffenhed.

• Løbende overvågning af en etableret forretningsforbindelse.
  
  

I tillæg kan der optræde elementer på klient- og sagsniveau, som skal håndteres. Det kan f.eks. være at kunden har status af politisk eksponeret person, at kunden er repræsenteret af en advokat eller en fuldmagtshaver. Dertil kan der i risikovurderingen af klient, sag, geografisk afgrænsning og leveringskanal, være markører for høj risiko, som giver anledning til skærpet kundekendskabsprocedure. I modsat retning kan markører for lav risiko pege på, at den forpligtede enhed kan anvende en lempet kundekendskabsprocedure.

”AMLR-forordningen viderefører hensyn bag kravene til at forpligtede enheder skal kende sine kunder for at forebygge, at de misbruges til hvidvask og terrorfinansiering. Samtidig lægges et øget fokus på kravene, som vi kender fra den gældende hvidvasklov,” fortæller Peter og Kristine.

Et par nedslag i de centrale ændringer, som introduceres med AMLR-forordningen er:

• udvidelse og præcisering af, hvem der er de reelle ejere af et selskab eller juridiske arrangementer

• udvidelse af PEP-begrebet til også at omfatte søskende. AMLA skal udstede retningslinjer om vurdering af det risikoniveau, der er forbundet med en bestemt kategori af politisk eksponerede personer, deres familiemedlemmer eller personer, der er kendt som nære samarbejdspartnere.

• Obligatorisk gennemførsel af skærpede kundekendskabsprocedurer i specifikke situationer.

• Præcisering af krav om at føre fortegnelser over de tiltag, der er taget for at opfylde kravet om at anvende kundekendskabsprocedurer.
  
  

Øvrige compliancekrav i dag og i fremtiden

I de gældende regler findes regler om screening af medarbejdere, som også udvides med AMLR-forordningen, idet reglerne ændres, så medarbejdere skal gennemgå en vurdering, der skal godkendes af compliancemedarbejderen.

Reglerne om interne indberetningskanaler videreføres i samme form som i den gældende hvidvasklov. Også kontroller består som et centralt element i compliancearbejdet og skal fortsat være med til at sikre, at virksomhedens complianceprogram fungerer i praksis.

Undersøgelsespligt og underretningspligt

I dag findes en pligt til at undersøge transaktioner og aktiviteter, som opfylder visse kriterier. Det kan f.eks. være at en transaktion er usædvanlig stor eller kompleks eller at aktiviteter ikke følger saglige og legitime formål. Hvis en formodning eller mistanke ikke kan afkræftes, aktiveres underretningspligten.

Da underretninger udgør et centralt fundament i efterforskning af økonomisk kriminalitet og hvidvask og terrorfinansiering, videreføres disse regler i det væsentligste med AMLR-forordningen.

For advokater kommer AMLR oven i en i forvejen kompliceret balance mellem underretningspligt og den advokatetiske tavshedspligt. De særlige undtagelser i forhold til fastlæggelse af klientens retsstilling og førelse af retssager videreføres, men den generelle forventning om effektive underretninger skærpes. Det stiller endnu større krav til klare interne forretningsgange og til, at advokatvirksomheder kan dokumentere både, hvornår en sag er omfattet af hvidvasklovens anvendelsesområde, og hvordan man har håndteret mistanke i gråzonen mellem tavshed og underretning.

Nye krav til ledelse og compliance

I Danmark, som resten af EU, ser forpligtede enheder ind i flere og bredere krav til forebyggelse af hvidvask, terrorfinansiering og profilerationsfinansiering.

Et robust complianceprogram med tilstrækkelige ressourcer både i form af data, systemer og specialiserede medarbejdere bliver en nødvendighed for forpligtede enheder.

For mange vil det også kræve en tydelig prioritering i ledelsen af, hvilke kunder, produkter og markeder man overhovedet ønsker at betjene, og hvor man må sige ”nej” af hensyn til risikoappetit og ressourceforbrug.

Peter og Kristine underviser på en række kurser hos JUC, hvor de gennemgår eksisterende og nye regler og giver et bud på, hvordan et robust complianceprogram, der kan rumme alle kravene, mest effektivt bygges og vedligeholdes.

Advokat Peter Niemann Thøgersen er Compliance- og risikochef hos Poul Schmith Kammeradvokaten og er ansvarlig for den interne compliance- og risikostyringsfunktion hos Poul Schmith/Kammeradvokaten. Han arbejder forretningsorienteret og strategisk med firmaets overholdelse af gældende regulering indenfor bl.a. anti-hvidvask, anti-korruption, habilitet- og interessekonflikter, GDPR og øvrig regulering af advokatbranchen samt med operationel risikostyring og implementering af governance-programmer.

Advokat Kristine Caroline Sorken er ejer af Lex-Ally Advokatkontor, som er specialiseret i opbygning og vedligehold af complianceprogrammer til efterlevelse af krav inden for GDPR, advokatetik, hvidvaskloven, markedsmisbrugsforordningen. Hun arbejder med strategi for organisering og implementering i praktisk anvendelige løsninger.