Source: OJ L, 2024/1640, 19.6.2024

Current language: SV

Artikel 40 Riskbaserad tillsyn

Summary What does Article 40 of the Sixth anti-money laundering (AML 6) directive say?

This article establishes the core requirement for supervisors to adopt a risk-based approach to AML/CFT supervision.

It builds directly on Article 37, which sets out the general obligation for Member States to ensure adequate supervision, by detailing how that supervision must be calibrated in practice.

The article requires supervisors to ground their work in a genuine understanding of the money laundering and terrorist financing risks in their jurisdiction, and to let that risk picture drive the frequency and intensity of their supervisory activities.

It also mandates annual supervisory programmes, public activity reporting, and tasks AMLA with developing both technical standards and guidelines to support consistent implementation across Member States.

Important points:

  • Supervisors are required to base the frequency and intensity of on-site, off-site, and thematic supervision on the risk profile of obliged entities, and must draw up annual supervisory programmes accordingly.
  • AMLA is required to develop draft regulatory technical standards by 10 July 2026 setting out benchmarks and a methodology for assessing and classifying the inherent and residual risk profile of obliged entities, and to issue guidelines to supervisors by 10 July 2028.
  • Supervisors are required to prepare a detailed annual activity report, a non-confidential summary of which must be made public, covering the categories of obliged entities supervised, the supervisors' powers and tasks, and an overview of supervisory activities carried out.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Medlemsstaterna ska säkerställa att tillsynsorgan tillämpar en riskbaserad tillsynsmetod. För detta ändamål ska medlemsstaterna säkerställa att de

      1. har en klar uppfattning om riskerna för penningtvätt och finansiering av terrorism i sin medlemsstat,

      2. bedömer all relevant information om de specifika nationella och internationella risker som är kopplade till de ansvariga enheternas kunder, produkter och tjänster,

      3. baserar den interna, externa och tematiska tillsynens frekvens och intensitet på de ansvariga enheternas riskprofil och på risker för penningtvätt och finansiering av terrorism i den medlemsstaten.

    2. Vid tillämpningen av första stycket c i denna punkt ska tillsynsorgan upprätta årliga övervakningsprogram, där hänsyn ska tas till de tidsramar och resurser som krävs för att reagera snabbt i händelse av objektiva och betydande indikationer på överträdelser av förordningarna (EU) 2024/1624 och (EU) 2023/1113.

    1. Senast den 10 juli 2026 ska Amla utarbeta förslag till tekniska standarder för tillsyn och lägga fram dessa för kommissionen för antagande. Dessa förslag till tekniska standarder för tillsyn ska fastställa riktmärkena och en metod för att bedöma och klassificera den inneboende och kvarstående riskprofilen för ansvariga enheter, samt med vilken frekvens sådana riskprofiler ska ses över. Frekvensen ska ta hänsyn till alla större händelser eller förändringar i den ansvariga enhetens ledning och drift, samt verksamhetens art och storlek.

    2. Kommissionen ges befogenhet att komplettera detta direktiv genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 49–52 i förordning (EU) 2024/1620.

    1. Senast den 10 juli 2028 ska Amla utfärda riktlinjer åt tillsynsorganen om följande:

      1. De utmärkande dragen för en riskbaserad tillsynsmetod.

      2. De åtgärder som ska vidtas inom tillsynsorganen för att säkerställa adekvat och effektiv tillsyn, inbegripet utbildning av deras personal.

      3. Vilka åtgärder som ska vidtas vid tillsyn som grundar sig på en riskkänslighetsanalyser.

    2. I tillämpliga fall ska de riktlinjer som avses i första stycket beakta resultaten av de bedömningar som utförts enligt artiklarna 30 och 35 i förordning (EU) 2024/1620.

    1. Medlemsstaterna ska säkerställa att tillsynsorganen beaktar den ansvariga enhetens manöverutrymme och adekvat granskar de underliggande riskbedömningarna, samt ändamålsenligheten i dess interna riktlinjer, förfaranden och kontroller.

    1. Medlemsstaterna ska säkerställa att tillsynsorgan utarbetar en detaljerad årlig verksamhetsrapport och att en sammanfattning av rapporten offentliggörs. Sammanfattningen får inte innehålla konfidentiella uppgifter och ska innehålla följande:

      1. De kategorier av ansvariga enheter som står under tillsyn och antalet ansvariga enheter per kategori.

      2. En beskrivning av de befogenheter som tillsynsorganen anförtrotts och de uppdrag som de tilldelats och i förekommande fall de mekanismer som avses i artikel 37.4 i vilka de deltar och, för det ledande tillsynsorganet, en sammanfattning av den samordningsverksamhet som bedrivits.

      3. En översikt över den tillsynsverksamhet som bedrivits.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod