Bekämpning av penningtvätt och terrorismfinansiering

Allt Swedbank gör ska präglas av höga etiska standarder där Swedbank och dess medarbetare aktivt bedömer varje transaktion, relation och aktivitet utifrån bankens etiska normer och ställningstaganden. Enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism (2017:630) är Swedbank skyldig att utan dröjsmål anmäla misstanke om penningtvätt eller finansiering av terrorism (anmälan om misstänkt verksamhet, SAR) till Finansiell underrättelseenhet inom Polisen.

Förebyggande arbete för att upptäcka och rapportera misstankar om penningtvätt och finansiering av terrorism har fortsatt högsta prioritet inom Swedbank. Banken har inrättat en enhet för förebyggande av ekonomisk brottslighet (ECP) för att stärka bekämpningen av penningtvätt och finansiell brottslighet.

Så arbetar vi med bekämpning av penningtvätt och terrorismfinansiering

Intelligens och samarbete

För att säkerhetsarbetet ska vara effektivt är tillgång till underrättelser avgörande. Swedbank samarbetar med ett antal offentliga och privata aktörer för att spåra och förstå hot mot finanssektorn. Swedbanks säkerhetsberedskap samarbetar med andra i branschen, förutom polismyndigheter. Swedbank är som bank skyldig att rapportera misstankar om marknadsmissbruk såsom insiderhandel, marknadsmanipulation och olagligt röjande av insiderinformation (enligt EU:s marknadsmissbruksförordning, MAR).

Interna processer

För att förhindra att våra betalningssystem utnyttjas för kriminell verksamhet har Swedbank byggt upp en uppsättning interna regler, processer och stödfunktioner för att säkerställa att vi följer gällande lagar och förordningar inom området. Swedbank har en skyldighet att ha kunskap om sina kunder och förstå var deras pengar kommer ifrån och varför de vill ha en relation med banken, för att bättre upptäcka ovanligt beteende. Swedbank minimerar dessa risker genom Know Your Customer-processen, där system övervakar transaktioner och avstämningar av kunddatabaser mot sanktionslistor.

Intern varningsprocess (visselblåsning)

För Swedbank är det viktigt att oegentligheter inom koncernen upptäcks och åtgärdas snabbt. Av denna anledning har en intern varningsprocess (whistleblowing) etablerats inom koncernen som gör det möjligt för medarbetare att anonymt rapportera misstänkta överträdelser av interna eller externa regler.

Informationssäkerhetsarbete

Swedbank har en central funktion som ansvarar för att samordna och leda informationssäkerhetsarbetet. Den leds av bankens Chief Information Security Officer (CISO) och upprätthåller ett ledningssystem för informationssäkerhet samt funktioner för incidentrespons och proaktiv säkerhetstestning av bankens IT-miljö. Swedbanks CISO rapporterar direkt till Head of Anti-Financial Crime. CISO kan dock, om det är relevant, även rapportera om och eskalera vissa frågor som rör informationssäkerhet direkt till VD:n. Varje affärsområde har även Informationssäkerhetschefer som samordnar säkerhetsarbetet lokalt.

Styrelsens risk- och kapitalkommitté (RCC) övervakar informationssäkerhetsarbetet och genomförandet av informationssäkerhetsstrategin. I detta avseende stödjer RCC styrelsen i sitt arbete med att säkerställa att rutiner finns för att identifiera informationssäkerhetsrisker och att riskerna övervakas och hanteras på ett adekvat sätt. Swedbanks säkerhets- och incidentresponsteam är sedan 2010 certifierad TF-CSIRT Trusted Introducer. Regelbundna externa säkerhetsrevisioner och sårbarhetsbedömningar genomförs.

Utbildning av personal

Swedbank tar en aktiv roll för att förebygga ekonomisk brottslighet, där det förebyggande arbetet huvudsakligen består av olika utbildningar, riktlinjer och material kopplade till arbetet. Alla anställda i Swedbank är skyldiga att delta i årliga utbildningar om bekämpning av penningtvätt och terrorismfinansiering och ytterligare fördjupad utbildning kan genomföras beroende på medarbetarens roll och arbetsuppgifter. Dessutom genomgår alla anställda i Swedbank obligatorisk utbildning om Swedbanks uppförandekod, om dataskydd (GDPR) och om informationssäkerhet (detta gäller även entreprenörer) samt allmän säkerhetsutbildning.