FI: Krypto och internationella betalningar – största penningtvättsriskerna 2026

Finansinspektionen publicerar för tredje året i rad sin rapport om prioriterade risker för penningtvätt och terrorismfinansiering. Banker, internationella betaltjänster och kryptohandel står högst på myndighetens lista – och risknivån bedöms ligga högre nu än för fem år sedan.

Rapporten i korthet

Den 24 juni 2026 lanserade FI rapporten "Prioriterade risker inom penningtvätt, finansiering av terrorism och internationella sanktioner" (FI, 24 juni 2026). Rapporten riktar sig till finansiella företag som är skyldiga att förebygga och motverka ekonomisk brottslighet enligt penningtvättslagen.

Tre sektorer lyfts fram som särskilt sårbara:

• Banksektorn – traditionellt största exponeringen, systematiska penningtvättsupplägg.
• Internationella betalningstjänster – gränsöverskridande transaktioner skapar blindfläckar för tillsynen.
• Kryptotillgångar – växande handelsvolym och nya digitala instrument försvårar spårning.

Samordningsfunktionen mot penningtvätt och finansiering av terrorism publicerade i juni 2026 en nationell riskbedömning som bekräftar FI:s bild: den övergripande risknivån i den finansiella sektorn bedöms som högre nu än för fem år sedan. Den främsta drivkraften är ökade hot från organiserad brottslighet (Samordningsfunktionen mot penningtvätt och finansiering av terrorism, juni 2026).

Digitalisering skapar nya angreppsvinklar

Det som är nytt i årets rapport är betonandet av digitaliseringens dubbla effekt. Samma tekniker som möjliggör snabbare betalningar och bättre kundserviser ökar också kriminalens verktygslåda.

Halszka Onoszko, avdelningschef för penningtvättstillsyn på FI, sammanfattar myndighetens förväntningar:

"Digitalisering och innovation har skapat många möjligheter, men har också gett kriminella nya verktyg för att tvätta pengar och begå andra brott. Vi förväntar oss att finansiella företag fortsätter att fokusera på de risker som kan uppstå med de här tjänsterna, och arbetar för att motverka dem." (FI, 24 juni 2026)

Detta är en tydlig signal till svenska betalningsföretag. En Betalningslagen-licens – oavsett om det gäller ett betalningsinstitut (PI) eller e-pengainstitut (EMI) – innebär inte bara krav på kapitalkrav och rapportering till Riksbanken. Det ställer också förväntningar på AML-system som håller jämna steg med produktnyheterna.

Det som är intressant är gapet mellan teknik och tillsyn. Betalningsföretag lanserar realtidsbetalningar, open-banking-API:er och krypto-relaterade tjänster i en snabb takt. Tillsynsmyndigheternas resurser och metoder hinner inte alltid ikapp. Resultatet: företag som måste navigera i ett gråzone där reglerna finns men tolkningen är otydlig.

Internationella sanktioner – ett ökat fokus

Rapporten lyfter också fram risker kopplade till efterlevnad av internationella sanktioner. FI ser en fortgående sårbarhet i den finansiella sektorns förmåga att identifiera och stoppa transaktioner som kringgår sanktionsregler.

Bildens klarhet varierar beroende på sektorn. Stora banker har dedikerade compliance-team med miljardbelopp att investera i screening-verktyg. Ett mindre betalningsföretag med 20 anställda och internationella kunder har sällan samma resurser. Det är här FI:s tillsyn sannolikt blir skarpare – myndigheten förväntar sig att alla licenshavare oavsett storlek levererar.

Myndigheten pekar också på att företag kan utnyttjas som brottsverktyg och att så kallade interna möjliggörare inom den finansiella sektorn agerar i kriminella nätverk. Båda fenomenen komplicerar compliance och kräver att företag ser bortom ytlig kundidentifiering.

Överlappande reglering: PSD3/PSR och AML

Samtidigt som PSD3/PSR närmar sig formellt antagande i EU (EU Council, april 2026) kommer nya krav på tredjepartsleverantörers ansvar för sina system att överlappa med FI:s penningtvättskrav. Det skapar ett dubbelkrav som många medelstora aktörer ännu inte har infrastruktur för.

PSD3 inför bland annat förstärkta API-prestationskrav och striktare krav på strong customer authentication (SCA) för open banking. Samtidigt kräver AML-regleringen att samma API:er inkluderar robust kundverifiering. Det betyder att tekniker som bygger betalnings-API:er måste samarbeta med compliance-team – något som historiskt sällan varit en naturlig koppling.

För svenska aktörer som Trustly, Zimpler och Klarna berörs betalningsflödena på flera fronter. Bland andra Klarna som hanterar allt från kreditbetalningar till företagskonter behöver säkerställa att deras system tål både PSD3:s tekniska krav och FI:s penningtvättsförväntningar.

Krypto och MiCA – en tidbomb för icke-konformerande aktörer

ESMA har parallellt uppmanat kryptobolag utan MiCA-tillstånd att lämna EU-marknaden (ESMA, juni 2026). För svenska fintech-bolag som erbjuder krypto-relaterade tjänster blir läget allt mer precaröst – utan MiCA-konformitet riskeras licens och marknadsåtkomst.

För betalningsbranschen i stort betyder det att gränsen mellan traditionell betalningsverksamhet och kryptotjänster suddas ut. Ett betalningsinstitut som börjar erbjuda kryptobetalningar eller stablecoin-tjänster hamnar automatiskt i MiCA:s maktområde – och i FI:s penningtvättsfokus.

Slutsats

FI rapporten bekräftar ett mönster: penningtvättsriskerna ökar, digitaliseringen gör det svårare att hålla efter, och tillsynsmyndigheterna skruvar upp kraven. För svenska betalningsföretag handlar det inte längre om att välja mellan innovation och compliance – det handlar om att bygga compliance in i innovationen från dag ett.

Rapporten finns att läsa i sin helhet på fi.se.