EU-bankerna: Så uppfyller ni AMLR artikel 26:s krav på ständiga KYC till 2027
Europeiska banker måste grundligt bygga om kundövervakningen före 10 juli 2027. Anti-penningtvättsförordningen Regulation (EU) 2024/1624 (AMLR) artikel 26 ersätter statiska periodiska granskningar med kontinuerlig, riskbaserad övervakning. Finansiella institutioner måste nu verifiera högriskkunder årligen och lågriskkunder minst vart femte år, utan undantag. För en medelstor bank med 50 000 kunder innebär det 14 000 obligatoriska granskningar per år - en volym som gör manuella processer ekonomiskt och operativt omöjliga.
Straffen för underlåtenhet är hårda. Stora AML-överträdelser utlöser nu böter som överstiger €200 miljoner, och den nya Anti-Money Laundering Authority (AMLA) kommer att direkt övervaka de största institutionerna från 2027. Lösningen ligger i perpetual KYC (pKYC): automatiserade system som kontinuerligt bevakar kunddata och bara triggar granskningar när väsentliga förändringar sker. Finansiella institutioner som driftsätter pKYC-plattformar rapporterar kostnadsminskningar på 60-70 % samtidigt som efterlevnadsnoggrannheten förbättras. Med mindre än 30 månader kvar att införa kompatibla system finns det inte längre någon tid att vänta.
Vad AMLR artikel 26 faktiskt kräver
Artikel 26 omvandlar "pågående övervakning" till en kvantifierbar, genomförbar arbetsbelastning. Svårigheten för en bank är att detta inte är vaga förväntningar utan hårda, tidsbundna skyldigheter som omedelbart översätts till ärendevolymer och resursbehov.
För en medelstor institution med 50 000 kunder driver artikel 26-reglerna ungefär 14 000 obligatoriska granskningar per år, eftersom högriskkunder måste uppdateras minst årligen och lågriskkunder minst vart femte år enligt AMLR. Det finns ingen flexibilitet per land: samma standard gäller från Tyskland till Grekland.
Förordningen tvingar bankerna att lösa tre problem samtidigt:
Strikta granskningstider utan nationellt svängrum
Den officiella AMLR-texten definierar maximiperioder på ett år för högriskrelationer och fem år för lågriskrelationer. Dessa tak gäller för alla rapporteringsskyldiga, oberoende av storlek eller affärsmodell. All eftersläpning innebär att banken omedelbart överskrider den rättsliga maxgränsen för de aktuella kunderna.Relationstäckande, kontinuerlig övervakning istället för produktsilos
Artikel 26 kräver pågående övervakning av hela affärsrelationen, inklusive transaktioner, för att säkerställa att beteendet förblir i linje med riskprofilen. Bedömningar från organisationer som Accountancy Europe lyfter fram att fragmenterade, produktspecifika KYC-system inte längre är acceptabla: bankerna måste sammanföra konton, lån, kort, betalningar och investeringar i en enhetlig kundvy.Försvarbara bevis för tillsynsmyndigheter och AMLA
Tillsynsmyndigheter kommer att kräva att bankerna visar när varje kund senast granskades, vilka triggers som inträffat därefter och varför den nuvarande riskklassificeringen fortfarande är rimlig. Det kräver tidsstämplade aktivitetsloggar, dataloggspårning och konsekventa beslutsprinciper över tusentals filer - inte utspridda kalkylblad eller isolerade ärendenoter.
Kort sagt tvingar artikel 26 bankerna att industrialisera KYC-granskningar i stor skala, inom fasta tidsramar, över hela relationen och med bevis på begäran. Legacy-metoder med periodisk kontroll var aldrig byggda för den här precisionen och volymen.
Varför manuella processer kommer att misslyckas
När artikel 26-arbetsbelastningen översätts till operationella siffror blir traditionella manuella processer snabbt ohållbara.
En medelstor bank med 50 000 kunder ställs inför cirka 14 000 obligatoriska granskningar varje år. Med konservativa fyra timmar per fil innebär det 56 000 analytikertimmar, motsvarande ungefär 28 heltidspecialister och väl över €3 miljoner i direkta lönekostnader i många europeiska marknader. Analysfirmor som McKinsey visar att manuella granskningskapaciteter skalar nästan linjärt med personalstyrkan, vilket gör modellen ekonomiskt sårbar.
Flera strukturella svagheter uppstår när volymerna stiger:
Kapacitet och deadlines matchar inte
Granskningskalendrar, e-postpåminnelser och kalkylbladsuppföljning kan inte pålitligt leverera tusentals filer före ett- och femårsgränserna. Det räcker med en anställningsstopp eller en tillfällig topp i alertflödet för att köerna skjuter kunderna förbi de regulatoriska maximumgränserna.Kontinuerlig övervakning är inte verkligt kontinuerlig
Manuella team ser vanligtvis en kund bara vid onboarding och sedan vid nästa schemalagda granskning. Om en kund flyttar till en högre riskjurisdiktion, ändrar verkligt ägarskap eller blir politiskt exponerad strax efter en granskning kan förändringen förbli oupptäckt i flera år. FATF:s vägledning om tillsyn betonar att den typen av fördröjning är oförenlig med en riskbaserad ansats.Kvaliteten sjunker vid hög volym
Med tiotusentals timmar som ska bearbetas årligen utsätts analytiker för tryck att tömma köerna snarare än att ifrågasätta data. Det leder till inkonsekvent riskklassificering, bristfällig dokumentation och ojämna upptrappningsbeslut. Tillsynsgranskningar och tematiska inspektioner rapporterar ofta dokumentations- eller motivbrister i majoriteten av granskade ärenden.Kostnaderna äts upp där risken är lägst
Interna och externa bedömningar, inklusive KPMG, indikerar att en stor andel lågriskgranskningar inte identifierar någon väsentlig förändring. Ändå tar varje sådant "ingen förändring"-utfall flera timmar av kvalificerad personal. Budgeten binds alltså upp i att verifiera statiska lågriskfiler istället för att undersöka verkligt högriskutvecklingar.
Detta är designbegränsningar, inte finjusteringsproblem. Inga ytterligare kalkylblad eller manuella kontroller får en kalenderdriven process att bete sig som ett kontinuerligt, riskbaserat övervakningssystem.
Hur automatiserad perpetual KYC löser detta
Automatiserad perpetual KYC (pKYC) är utformad för att möta exakt de smärtpunkter som artikel 26 skapar: fasta granskningsintervall, relationstäckande övervakning och behovet av en granskbar berättelse för varje kund.
Plattformar som Veridaq laddar kontinuerligt interna och externa data, detekterar väsentliga förändringar inom dagar snarare än år och genomdriver automatiskt 1-års- och 5-årsgränserna.
Den grundläggande förskjutningen är från kalenderdrivna uppgifter till händelsestyrda arbetsflöden:
| Artikel 26-utmaning | Manuell följd | Automatiserad pKYC-lösning |
|---|---|---|
| 1 års / 5 års maxgränser för granskning | Risk för eftersläpning och försenade filer | Systemet håller koll på tidsintervaller för varje kund och triggar granskningar innan gränserna överskrids |
| Relationstäckande övervakning | Fragmenterade produktsilos | Alla produkter och viktiga externa källor matar in i en enda, levande riskprofil |
| Bevis på begäran för tillsyn | Svårt att återskapa från mejl och filer | Tidsstämplad revisionskedja av datavärden, beslut och eskaleringar |
Utöver denna strukturella förändring levererar automatiserade pKYC-plattformar vanligtvis tre operativa fördelar som direkt lindrar artikel 26-arbetsbelastningen:
Kontinuerlig, datadriven förändringsdetektion
Istället för att vänta flera år till nästa periodiska granskning övervakar pKYC dagligen sanktionslistor, PEP-databaser, register och nyckelriskindikatorer. Väsentliga förändringar som en ny sanktion eller en ägarandel på över 25 procent kan identifieras inom 24-48 timmar, istället för att dyka upp först vid nästa schemalagda granskning.Riskbaserad allokering av mänsklig insats
Högpåverkande händelser (sanktionsträffar, betydande jurisdiktionsförändringar, negativ publicitet) routas automatiskt till erfarna analytiker med förbättrade verktyg för fördjupad due diligence. Lågpåverkande händelser (små adressändringar, tekniska registeruppdateringar) kan stängas via straight-through processing. Det här minskar vanligtvis antalet manuella granskningar med 40-60 % samtidigt som mänsklig uppmärksamhet fokuseras dit tillsynsmyndigheter förväntar sig det mest.Inbyggd efterlevnad och revisionsspår
Plattformen dokumenterar när varje fil senast granskades, vilka triggers som utvärderades och varför en viss klassificering eller beslut valdes, vilket skapar en oföränderlig historik. Det här stödjer direkt artikel 26-granskningar och minskar tiden för revisionsförberedelser.
Resultatet är en KYC-funktion som kan absorbera de över 14 000 årliga granskningarna, möta de strikta tidsgränserna i AMLR och visa en konsekvent, riskbaserad ansats utan okontrollerad personalökning eller manuellt arbete.
Manuella vs automatiserade KYC: siffrorna
| Dimension | Manuella periodiska granskningar | Automatiserad perpetual KYC |
|---|---|---|
| Utlösare | Fastställda kalenderdatum | Väsentliga förändringar upptäckta via övervakning |
| Datainsamling | Manuellt insamlad av analytiker | Automatisk integration med fler än 10 europeiska källor |
| Förändringsupptäckt | Månader till år | 24-48 timmar |
| Kostnad per granskning | €50-80 (4-6 timmar) | €15-25 (30 min-2 timmar) |
| Konsistens i granskningarna | Variabel (60-70 % felprocent) | 95 % algoritmisk konsekvens |
| Revisionskedja | Sårbar för luckor och manuella fel | Komplett, automatiserad och tidsstämplad |
| Efterlevnadsluckor | Information blir inaktuell mellan granskningar | Aktuell data bibehålls kontinuerligt |
| Skalbarhet | Linjär kostnadsökning | Platt kostnadskurva bortom 100 000 kunder |
Att välja rätt plattform
Inte alla KYC-system är byggda för AMLR. Många äldre plattformar anpassar kontinuerlig övervakning till periodiska granskningar, vilket skapar manuella omvägar och ofullständiga revisionsspår. Vid utvärdering av leverantörer bör ni prioritera:
AMLR-efterlevnadsfunktioner
- Automatisk tillämpning av maximala granskningsperioder på 1 respektive 5 år
- Händelsestyrda arbetsflöden som dirigerar förändringar efter väsentlighet och risk
- Omfattande relationstäckning över samtliga produktlinjer
- Inbyggt revisionsspår som fångar varje datakälla, beslut och tidsstämpel
Europeisk regulatorisk passform
- EU-datarum (Frankfurt/Amsterdam) utan beroenden på icke-EU-moln
- Förkonfigurerat stöd för 6AMLD, MiCA och PSD2-krav
- GDPR-by-design-arkitektur (artiklarna 25, 32, 35)
- Flerspråkigt stöd för kundkommunikation
- Anpassning till Finansinspektionens digitala tillsynsramar och krav på innovationsvänliga lösningar
Operativ effektivitet
- Straight-through processing för lågriskförändringar
- Maskininlärningsbaserad riskpoängsättning (~95 % träffsäkerhet)
- Automatiserad dokumentinsamling och -verifiering
- Implementeringstid på 2-4 veckor (inte 6-12 månader)
Veridaqs plattform uppfyller exempelvis dessa kriterier med EU-endast-datacenter, inbyggda AMLR-arbetsflöden och en 4-veckors implementeringsmodell. Europeiska banker som använder den rapporterar 70 % snabbare granskningar, 95 % riskklassificeringsnoggrannhet och noll böter för pågående övervakning efter implementeringen.
Agera nu eller riskera åtgärder
AMLR artikel 26 ställer upp ett binärt val: automatisera eller misslyckas. Manuella processer kan inte uppfylla obligatoriska granskningsfrekvenser, kontinuerliga övervakningskrav eller AMLA:s granskningsstandarder. Kostnaden för passivitet - €200 miljoner+ böter, missade revisioner och konkurrensnackdel - överstiger vida investeringen på €150 000-€500 000 i automatiserade plattformar.
Banker som implementerar pKYC uppnår 60–70 % kostnadsreducering, 95 % beslutskonsistens och full revisionsberedskap. Med 2027-målet närmar sig fönstret för kontrollerad utplacering snabbt. Institutioner som agerar först uppnår både efterlevnad och frigör resurser för tillväxt och innovation.