Multa AML do Ikano Bank: As Falhas de DDR Que Todo KYC Deve Corrigir
A Finansinspektionen multou o Ikano Bank em SEK 140M em junho de 2026. Estas quatro falhas de due diligence refletem o que os reguladores europeus já estão a verificar.
A 17 de junho de 2026, a autoridade de supervisão financeira sueca Finansinspektionen emitiu uma advertência formal e uma coima administrativa de SEK 140 milhões — aproximadamente 13 milhões de euros — contra o Ikano Bank AB. A decisão identificou quatro áreas específicas em que o programa de prevenção do branqueamento de capitais do banco havia falhado. Cada constatação é precisa, documentada num aviso de execução público e já está a ser utilizada por outros supervisores como referência para avaliar o que controlos ABC adequados devem produzir.
O Ikano Bank não é uma instituição marginal. Fundado em 1995 por Ingvar Kamprad, criador da IKEA, é um banco licenciado a operar em toda a Europa com produtos de crédito ao consumo, poupança e pagamentos. Não foi apanhado a operar fora das normas. Foi apanhado com um programa ABC que se havia tornado silenciosamente obsoleto enquanto o enquadramento regulatório à sua volta evoluía.
Esta distinção é o que torna este caso merecedor de uma leitura cuidadosa.
As Quatro Infrações
A Finansinspektionen estruturou a sua decisão em torno de quatro deficiências específicas. Não são tecnicismos processuais — descrevem um programa de conformidade que existia no papel mas não funcionava na prática:
| # | Infração | Falha principal |
|---|---|---|
| 1 | Avaliação de risco do produto incompleta | Ausência de análise separada de exposição ao FT para clientes corporativos |
| 2 | Tipologias de BC/FT desatualizadas | Orientações regulatórias atualizadas não integradas nos controlos |
| 3 | Due Diligence Reforçada insuficiente | Finalidade, origem de fundos, património e beneficiários efetivos não recolhidos |
| 4 | Lacuna de inteligência regulatória | Orientações da UIF excluídas da avaliação geral de risco |
Lidas em conjunto, estas quatro infrações descrevem o mesmo problema estrutural: um programa de conformidade corretamente construído em determinado momento e depois deixado à deriva. A documentação existia. Os processos existiam. O que não existia era a disciplina operacional — nem as ferramentas — para os manter atualizados.
Falha 1: Uma Avaliação de Risco Que Não Cobria os Clientes Corporativos
A Finansinspektionen verificou que a avaliação geral de risco do Ikano Bank não incluía uma análise separada e realista de como os seus produtos podiam ser utilizados indevidamente por clientes corporativos para financiamento do terrorismo. A carteira corporativa não havia sido avaliada como uma população distinta com perfis de exposição próprios.
Isto importa porque o direito ABC da UE — tanto nas diretivas atuais como no futuro AMLR — exige que as entidades obrigadas avaliem o risco considerando a distribuição real da sua base de clientes, não uma média presumida. Os clientes corporativos apresentam riscos estruturais distintos dos particulares: estratificação através de sociedades fictícias, uso indevido de fluxos de crédito comercial, cadeias complexas de beneficiários efetivos.
Um quadro ABC que trata uma linha de crédito comercial de 50.000 € a uma PME e uma conta poupança pessoal de 50.000 € como tendo o mesmo nível de risco não satisfaz o padrão de segmentação. A decisão da Finansinspektionen confirma o que vários supervisores têm vindo a assinalar: uma pontuação de risco consolidada única, calculada como média entre segmentos de clientes, não satisfaz a obrigação.
Falha 2: Tipologias de Branqueamento Desatualizadas
O regulador verificou que o Ikano Bank não havia integrado os métodos atualizados de branqueamento de capitais e financiamento do terrorismo publicados pelas autoridades suecas. Os quadros de controlo internos do banco não tinham sido revistos para refletir as novas tipologias identificadas pela unidade de informação financeira nacional e outros organismos de supervisão.
A informação estava disponível. Não foi incorporada.
Esta é uma falha estrutural de conformidade, não um descuido pontual. As autoridades suecas — tal como a AMLA ao nível europeu — publicam regularmente relatórios de tipologias, boletins de risco e avaliações nacionais de ameaças. A obrigação de receber esta informação, analisá-la e traduzi-la em ajustes operacionais dos controlos está explicitamente estabelecida no enquadramento ABC.
A AMLA, que se tornou operacional a 1 de julho de 2025, comprometeu-se a publicar 23 normas técnicas de nível 2 e 3 antes de o AMLR se tornar plenamente aplicável em julho de 2027. Várias dessas normas contêm orientações atualizadas sobre categorização do risco e requisitos de monitorização. Uma entidade obrigada que leia as publicações sem as operacionalizar falhará o mesmo teste que o Ikano Bank falhou.
Ver as diretrizes provisórias de monitorização contínua da AMLA, publicadas duas semanas antes desta ação de execução, para o quadro específico que a AMLA propôs para manter atualizadas as classificações de risco e as informações sobre clientes.
Falha 3: Due Diligence Reforçada Sem a Parte Reforçada
Esta é a infração com as implicações mais diretas para as equipas KYC em toda a Europa.
A Finansinspektionen verificou que o Ikano Bank não havia recolhido a informação necessária para implementar a Due Diligence Reforçada: a finalidade da relação de negócio, a origem dos fundos, a origem do património e os dados sobre beneficiários efetivos. A DDR existia como processo nomeado. Os elementos substantivos que lhe conferem significado estavam ausentes.
A DDR não é uma tarefa de recolha de documentos. É uma investigação — uma tentativa estruturada de compreender não só quem é o cliente, mas por que razão utiliza este produto, de onde provém o seu dinheiro, e quem controla e beneficia em última instância da relação. As Recomendações do GAFI e todas as diretivas da UE baseadas nelas são explícitas sobre o que a DDR exige para clientes de risco mais elevado:
- Finalidade da relação de negócio: O que pretende o cliente alcançar? O padrão de transações corresponde à finalidade declarada?
- Origem dos fundos: De onde provêm os ativos utilizados nesta relação — salário, rendimentos empresariais, venda de imóvel, herança?
- Origem do património: Qual é a proveniência do património global do cliente? É distinta da origem dos fundos e requer análise separada para clientes de elevado valor e empresas.
- Beneficiários efetivos: Para pessoas jurídicas, quem detém ou controla em última instância o cliente? Quem beneficia economicamente da relação?
O Ikano Bank não conseguiu demonstrar a recolha sistemática destes campos. Não é um programa DDR com lacunas — é um programa DDR que não funcionava.
Para compreender o que os reguladores esperam agora de cada campo, e como o AMLR vai padronizar a sua recolha nos 27 Estados-Membros da UE, ver as normas técnicas CDD da AMLA.
Falha 4: Inteligência Regulatória Excluída do Modelo de Risco
A quarta infração está relacionada com a segunda mas tem um âmbito distinto. A Finansinspektionen verificou que as informações das autoridades sobre riscos e métodos de BC/FT não tinham sido incorporadas na avaliação geral de risco do banco. O modelo era autorreferencial: calibrado com os dados históricos próprios do banco e as suposições internas, sem inputs externos.
Isto cria um ponto cego sistemático. A criminalidade financeira evolui mais rapidamente do que as instituições individuais acumulam experiência com novos métodos. As tipologias que os supervisores publicam nas suas avaliações de ameaças refletem frequentemente padrões que precedem em meses o que qualquer instituição pode detetar nos seus próprios dados transacionais.
O Que Esta Multa Sinaliza Sobre a Execução ABC na UE em 2026
A decisão sobre o Ikano Bank faz parte de uma tendência visível. As alterações ao regulamento britânico de branqueamento de capitais, assinadas a 9 de junho, apontam na mesma direção. Vários reguladores da UE emitiram ações de execução no primeiro semestre de 2026 com base na lacuna de efetividade: não se os controlos existem, mas se funcionam.
O modelo de supervisão direta da AMLA, que se aplicará a 40 entidades selecionadas a partir de 2028, assenta precisamente neste quadro avaliativo. O exercício de recolha de dados lançado pela AMLA no início de 2026 foi concebido para identificar que entidades operam com lacunas estruturais do tipo Ikano Bank.
A Finansinspektionen optou por emitir uma advertência formal — o instrumento reservado para deficiência estrutural em vez de erro processual isolado. O Ikano Bank não cometeu um único erro. Operou com um programa que se havia tornado sistemicamente inadequado ao longo do tempo.
A Lacuna de Automatização na DDR
Cada uma das quatro infrações remete para o mesmo problema operacional: a lacuna entre o que um programa de conformidade documenta e o que efetivamente produz.
Os processos DDR manuais degradam-se previsivelmente. Os registos de clientes ficam desatualizados entre ciclos de revisão. As avaliações de risco são redigidas uma vez e só são revistas quando alguém agenda a atualização. As orientações regulatórias sobre tipologias chegam às caixas de correio, são lidas mas não operacionalizadas.
A DDR automatizada aborda isto de forma diferente. A monitorização contínua face a bases de dados de meios adversos, sanções e PEP mantém as classificações de risco dos clientes atualizadas sem aguardar uma revisão periódica. Os fluxos de trabalho baseados em acionadores iniciam a atualização da DDR quando um novo facto é detetado em tempo real — uma alteração no beneficiário efetivo, uma transação anómala, um alerta regulatório.
Os agentes de identidade autónomos da Joinble são construídos em torno deste modelo operacional: os campos DDR são recolhidos no onboarding e atualizados num calendário vinculado à classificação de risco do cliente, não a um calendário partilhado. A inteligência regulatória alimenta continuamente o motor de pontuação de risco.
Para uma visão completa do que um programa KYC moderno deve entregar desde o início, ver o nosso guia KYC para 2026.
FAQ
O que fez exatamente o Ikano Bank de errado no seu programa ABC?
A Finansinspektionen identificou quatro falhas específicas: (1) uma avaliação de risco do produto incompleta que omitiu uma análise separada da exposição ao FT para clientes corporativos; (2) não integração das tipologias de BC/FT atualizadas das autoridades de supervisão suecas; (3) Due Diligence Reforçada inadequada — faltavam finalidade da relação, origem de fundos, origem do património e dados sobre beneficiários efetivos; e (4) não incorporação da inteligência regulatória na avaliação geral de risco. As infrações foram qualificadas de estruturais, não isoladas.
Por que razão a coima foi de SEK 140 milhões especificamente?
A lei ABC sueca permite à Finansinspektionen impor coimas administrativas até 10% do volume de negócios anual. O montante de SEK 140 milhões reflete a base de receitas do Ikano Bank e a gravidade das infrações. Uma advertência formal foi emitida juntamente com a coima — instrumento reservado para casos em que o regulador identifica uma deficiência sistémica.
Como se relaciona esta ação de execução com as diretrizes de 2026 da AMLA?
A AMLA publicou diretrizes provisórias de monitorização contínua a 3 de junho de 2026, duas semanas antes da decisão sobre o Ikano Bank. Essas diretrizes abordam precisamente as falhas identificadas pela Finansinspektionen: com que frequência as informações dos clientes devem ser atualizadas, o que constitui um acionador de atualização obrigatória e como manter as classificações de risco atualizadas.
O que é a Due Diligence Reforçada e quando deve ser aplicada?
A DDR aplica-se a clientes de risco mais elevado — tipicamente pessoas politicamente expostas, clientes de jurisdições de alto risco, relações não presenciais e modelos de negócio com maior exposição a BC/FT. A DDR exige a recolha e verificação da finalidade da relação de negócio, da origem dos fundos, da origem do património e dos beneficiários efetivos. Não é satisfeita pela recolha de alguns campos e pela omissão de outros.
O que devem as equipas de conformidade fazer imediatamente?
Três passos práticos: auditar se a avaliação geral de risco contém análises documentadas e separadas da exposição para cada segmento material de clientes — incluindo o corporativo —; confirmar que o programa tem um processo definido e com prazos para receber e implementar as orientações regulatórias sobre tipologias; e verificar que os registos DDR contêm os quatro campos obrigatórios — finalidade, origem de fundos, origem do património e beneficiários efetivos — para cada cliente de risco mais elevado na carteira.
Artigos relacionados
GENIUS Act KYC: O Que os Emissores de Stablecoin Devem Fazer
A norma proposta pela FinCEN em junho de 2026 obriga emissores de stablecoin a implementar programas KYC de nível bancário. Veja o que muda com o GENIUS Act.
UK AML 2026: Novas Regras Cripto, Vigência 30 de Junho
O Parlamento britânico aprovou 15 reformas AML em 9 de junho. A maioria entra em vigor a 30 de junho. As empresas cripto enfrentam as mudanças mais profundas.
Monitoramento Contínuo AMLA: O Que os Sistemas KYC Devem Fazer
As diretrizes provisórias da AMLA sobre monitoramento contínuo, publicadas em 3 de junho, redefinem as obrigações KYC do artigo 26 do AMLR. Seu checklist de conformidade.