Skip to main content
Signicat Blogg
A professional graphic on a dark purple background featuring a white line-art icon of a document with a green checkmark inside a viewfinder frame. Below the icon, the headline reads: 'AMLR explained: 2027 changes and how to prepare' in mint green and white sans-serif typography.
Gunnar Nordseth

Founder & Digital ID expert

AMLR – nýja reglugerðin gegn peningaþvætti: Hvað þurfa tilkynningarskyldir aðilar að vita fyrir 2027?

Frá og með 10. júlí 2027 mun ný reglugerð Evrópusambandsins um aðgerðir gegn peningaþvætti (AMLR) taka gildi í öllum aðildarríkjum. Í fyrsta sinn munu stofnanir og fyrirtæki starfa samkvæmt samræmdu regluverki í stað þess að þurfa að fylgja mismunandi túlkunum hvers ríkis fyrir sig.

Þessi breyting hefur áhrif á hvernig auðkenni viðskiptavina og fyrirtækja eru sannreynd, hvernig raunverulegir eigendur eru staðfestir og hvernig eftirlit með áhættu fer fram til lengri tíma. Reglugerðin styður einnig við aukna áherslu Evrópu á örugga rafræna auðkenningu sem tengist eIDAS 2, tilkynntum rafrænum skilríkjum, fullgildri traustþjónustu og stafræna auðkennisveski Evrópu (EUDI Wallet).

Þessi grein veitir hagnýta yfirsýn yfir AMLR, útskýrir breytingarnar og útlistar hvernig lögaðilar geta undirbúið sig.

Hvers vegna er verið að innleiða AMLR?

Hingað til hafa reglur ESB um aðgerðir gegn peningaþvætti verðið byggðar á tilskipunum. Þrátt fyrir markmið um samræmda löggjöf hafa aðildarríkin innleitt tilskipanirnar með mismunandi hætti í landsrétt.Með tímanum leiddi þetta til sundurleits regluverks.

Í praxís þýddi þetta að reglur um nýskráningu viðskiptavina (e. onboarding) voru breytilegar eftir löndum, kröfur um gögn voru ólíkar, notkun stafrænna skilríkja var ósamkvæm og nýskráning þvert á landamæri var oft hægvirk og flókin. Eftirlit var sömuleiðis meðhöndlað á ólíkan hátt eftir því hvaða landsyfirvöld áttu í hlut.

AMLR leysir þessa nálgun af hólmi með einni reglugerð sem gildir eins um allt ESB. Markmiðið er að draga úr óvissu, auka samræmi og bæta samvinnu eftirlitsaðila. Hún er einnig hluti af umfangsmeiri aðgerðarpakka ESB gegn peningaþvætti, sem felur meðal annars í sér stofnun nýrrar eftirlitsstofnunar á Evrópuvísu, AMLA.

AMLR á einföldu máli

AMLR skilgreinir samræmdar reglur um hvernig tilkynningarskyldir aðilar eiga að stýra áreiðanleikakönnunum (CDD) um allan Evrópu. Settar eru sameiginlegar kröfur um:

  • Auðkenningu og sannvottun viðskiptavina (KYC)
  • Sannvottun fyrirtækja og á raunverulegum eigendum (KYB og UBO)
  • Sannprófun á tengslum við opinbera stjórnunarstöðu (PEP)
  • Viðvarandi vöktun og áhættumat
  • Skjalavistun, rekjanleika og varðveislu gagna (audit trails)

Frá 10. júlí 2027 munu þessar kröfur gilda eins í öllum aðildarríkjum, og þannig dregið verulega úr þeim mun sem verið hefur á reglum milli landa undir eldri tilskipunum.

Áhrif AMLR á íslenska aðila

Þótt Ísland sé ekki í ESB, fellur AMLR-reglugerðin undir EES-samninginn og eru íslensks stjórnvöld því skuldbundin til að innleiða reglugerðina í íslensk lög.

Hvað þýðir þetta fyrir íslenska tilkynningarskylda aðila?

  1. Samræmd leikskilyrði: Íslensk fjármálafyrirtæki, fasteignasalar og aðrir tilkynningarskyldir aðilar munu starfa eftir sömu stöðlum og kollegar þeirra á meginlandinu. Þetta eykur traust og auðveldar íslenskum fyrirtækjum að sækja inn á erlenda markaði.
  2. Auknar kröfur um stafræna auðkenningu: Ísland er framarlega í notkun rafrænna skilríkja, en AMLR mun formfesta þá kröfu að örugg rafræn auðkenning (samkvæmt eIDAS) sé jafngild, eða jafnvel æskilegri en handvirk skjalaskoðun.
  3. AMLA og eftirlit: Þótt íslensk fyrirtæki heyri áfram undir eftirlit Seðlabanka Íslands, mun nýja Evrópustofnunin AMLA hafa mikil áhrif á hvernig því eftirliti er háttað. Markmiðið er að tryggja að farið sé eftir sömu evrópsku reglubókinni á öllum Norðurlöndunum sem og annars staðar í Evrópu.
  4. Nýijar starfsgreinar undir smásjánni: Umfang reglugerðarinnar mun ná til fleiri starfsgreina en áður. Á Íslandi gæti þetta haft áhrif á söluaðila list- og hönnunarvara, auk þess sem atvinnumannafélög í íþróttum og umboðsmenn leikmanna gætu orðið tilkynningarskyldir aðilar. (Júlí 2029)

Hvað með sektarheimildir?

Með AMLR verða viðurlög við brotum bæði strangari og samræmdari um alla Evrópu. Markmiðið er að tryggja að það „borgi sig aldrei“ að hunsa reglur um peningaþvætti.

  • Hærri hámarkssektir: Fyrir alvarleg eða endurtekin brot geta sektir numið allt að 10% af árlegri veltu samstæðna eða 10 milljónum evra (um 1,5 milljarði ISK), eftir því hvor upphæðin er hærri.
  • Tvöfaldur ávinningur: Ef hægt er að mæla fjárhagslegan ávinning af brotinu, getur sektin numið tvöfaldri þeirri upphæð.
  • Persónuleg ábyrgð: Heimildir til að sekta stjórnendur og lykilstarfsmenn sem bera ábyrgð á brotum verða skýrari.
  • Opinber birting: Nafnleynd verður undantekning, en opinber birting á brotum („name and shame“) er talin ein öflugasta leiðin til að knýja fram breytingar vegna orðsporshættu fyrirtækja.

Athugasemd um tímalínu:

Reynslan sýnir að innleiðing stórra reglugerða í gegnum EES-samninginn getur stundum tekið örlítið lengri tíma en innan ESB. Þótt reglugerðin taki gildi í Evrópu þann 10. júlí 2027, gæti formleg innleiðing á Íslandi dregist um nokkra mánuði, jafnvel ár. Íslensk fyrirtæki ættu samt sem áður að miða undirbúning sinn við mitt ár 2027, sérstaklega þau sem eiga í viðskiptum við evrópskar fjármálastofnanir sem munu krefjast þess að nýjum stöðlum sé fylgt frá fyrsta degi.

Frá tilskipunum til reglugerðar: Hvað breytist árið 2027?

Einfaldasta leiðin til að skilja áhrif AMLR er að bera saman núverandi umhverfi við það sem koma skal.

  • Í dag: Staðlar áreiðanleikakönnunar eru ólíkir milli ríkja. Nýskráningarferli eru oft aðlöguð að hverjum markaði, handvirkt eftirlit með vegabréfum er enn algengt og gæði auðkenningar eru misjöfn eftir löndum.
  • 2027: Fyrirtæki munu starfa samkvæmt einni samræmdri umgjörð. Það verður ríkari áhersla á örugga rafræna auðkenningu, betra gagnsæi um raunverulegt eignarhald og samræmt eftirlit í gegnum AMLA.

Fyrir fyrirtæki sem starfa þvert á landamæri dregur þetta úr rekstrarlegum núningi. Fyrir viðskiptavini þýðir þetta einfaldara og samkvæmara ferli hvar sem þeir eru innan Evrópu.

Aukin áhersla á trausta rafræna auðkenningu

AMLR mælir ekki með einni sértækri tækni, en hún styður beint við innleiðingu eIDAS 2. 
Hér eru þrjú lykilatriði sem vert er að skoða:

  1. Vottuð rafræn skilríki (eIDs): Rafræn skilríki sem uppfylla kröfur um verulegt fullvissustig. Þessi skilríki, þar á meðal þau íslensku, eru viðurkennd til öruggrar nýskráningar viðskiptavina (KYC) þvert á landamæri.
  2. Fullgild traustþjónusta: Kerfi sem styður fullgildar rafrænar undirskriftir (QES) og gerir fyrirtækjum kleift að sannreyna upplýsingar, svo sem aldur eða heimilisfang, með fullgildum vottorðum. Þetta gefur rafrænum gögnum sama lagalega gildi og pappírsskjölum.
  3. Stafrænt auðkennisveski Evrópu (EUDI Wallet): Snjallveski sem gerir einstaklingum kleift að deila vottuðum persónuupplýsingum á öruggan hátt. Þannig má sannreyna auðkenni eða önnur réttindi á stafrænu formi án þess að sýna hefðbundin skilríki eða pappírsskjöl.

Hvaða atvinnugreinar þurfa að bregðast við?

Hingað til hafa aðgerðir gegn peningaþvætti á Íslandi einkum beinst að fjármálafyrirtækjum, en AMLR mun ná til breiðari hóps:

  • Fjármálaþjónusta: Bankar, greiðsluþjónustur, tryggingafélög og nýsköpunarfyrirtæki í fjármálatækni (fintech).
  • Rafmyntaþjónusta: Allir sem sýsla með sýndarfé (CASPs).
  • Lúxusvörur og verðmæti: Seljendur skartgripa, lúxusbíla, listaverka sem og atvinnufélagslið í knattspyrnu og umboðsmenn þeirra.
  • Aðilar utan ESB: Fyrirtæki sem eiga í viðskiptum innan Evrópu, eru með útibú þar eða kaupa þar fasteignir.

Hagnýt skref: Hvernig á að undirbúa sig?

Þótt 2027 virðist langt undan er gott að byrja strax:

  1. Greining á ferlum: Skoðaðu nýskráningarferli þín og finndu hvar handvirk skref eða sérlausnir fyrir hvert land valda töfum.
  2. Uppfærðu tæknina: Metið hvort núverandi auðkenningaraðferðir uppfylli kröfur morgundagsins um rafrænt öryggi.
  3. Sveigjanleiki: Tryggðu að kerfin þín séu nógu sveigjanleg til að aðlagast þegar AMLA gefur út nánari tæknilega staðla.