4 Digital sårbarhet og operasjonell risiko
4.1 Innledning
Det norske finansielle systemet er blant de mest digitaliserte i verden, og innovasjonstakten innenfor finansielle tjenester er høy. Digitaliseringen gir store fordeler både for finansforetakene, kundene og samfunnet ellers, men innebærer også nye risikoer og sårbarheter. Alvorlig svikt i IKT-systemer kan i verste fall true den finansielle stabiliteten og påvirke samfunnssikkerheten, enten svikten forårsakes av operasjonelle avvik, vinningskriminalitet eller målrettede angrep. Mulighetene som fremveksten av nye betalingssystemer gir, kan også misbrukes av kriminelle for å raskt og fordekt flytte verdier over landegrenser uten kontrollmekanismene som de regulerte finansmarkedene har. Økt digitalisering kan også øke risikoen for at noen faller utenfor, og kan gi opphav til nye metoder for svindel og bedrageri. For regjeringen er det viktig å legge til rette for digitalisering og innovasjon, samtidig som sikkerhet, forbrukervern og hensynet til finansiell stabilitet og kriminalitetsforebygging ivaretas.
I dette kapitlet omtales risikoer ved digital sårbarhet, både i den finansielle infrastrukturen og for den enkelte i form av kriminalitet og svindel, digitalisering og forbrukervern, herunder i markeder for kryptoaktiva, og arbeidet mot hvitvasking og terrorfinansiering.
4.2 Digital sårbarhet
4.2.1 Utviklingstrekk
Den norske finansielle infrastrukturen vurderes jevnt over som robust, sikker og effektiv, se f.eks. Norges Banks rapport Finansiell infrastruktur 2023 og Finanstilsynets Risiko- og sårbarhetsanalyse 2023. Det er samtidig utviklingstrekk som kan bidra til digitale sårbarheter som finansforetakene og myndigheter må være oppmerksomme på.
Større cyberhendelser kan ha store konsekvenser for finansiell infrastruktur, særlig dersom kritiske funksjoner rammes. Tette koblinger i det finansielle systemet øker faren for at enkelthendelser sprer seg og rammer flere aktører og tjenester. De siste årene har endringer i risiko- og trusselbildet, bl.a. som følge av Russlands angrep på Ukraina og økt digital kriminalitet, bidratt til økt oppmerksomhet om faren for systemiske cyberhendelser og viktigheten av digital robusthet og motstandsdyktighet innen finanssektoren.
Totalberedskapskommisjonen la i juni 2023 frem NOU 2023: 17. For finansielle tjenester pekte Kommisjonen bl.a. på viktigheten av å planlegge for de sjeldne krisescenarioene, som at den elektroniske infrastrukturen blir utilgjengelig over lengre tid, og at man må gå over til alternative løsninger. Den anbefalte å klargjøre hensiktsmessig beredskap for forstyrrelser i eller bortfall av betalingssystemene, inkludert kontantberedskap og andre betalingsløsninger. Kommisjonen pekte også på at det er avgjørende å sikre et likt og samtidig regelverk i Europa som gir like krav til bl.a. risikostyring, rapportering, informasjonsutveksling og krav til utkontraktering og oppfølging av tredjeparter. I avsnitt 4.2.3 gis en omtale av pågående arbeid rettet mot å bidra til en robust finansiell infrastruktur. Flere av prosessene er delvis en oppfølging av anbefalinger fra Totalberedskapskommisjonen.
IKT-driften i finanssektoren er i betydelig grad utkontraktert til leverandører, som igjen gjør bruk av én eller flere underleverandører. Det kan bidra til lengre og mer komplekse leverandørkjeder som er sårbare for angrep eller operasjonell svikt. Utviklingen stiller økte krav når finansforetakene inngår avtaler, men også til oppfølging av og kontroll med utkontraktert IKT-virksomhet, herunder bruk av underleverandører. Økt bruk av IKT-tjenesteleverandører kan også gjøre det vanskeligere å håndtere cyberhendelser. Det er viktig at foretakene grundig vurderer risikoen i IKT-virksomheten og ved behov treffer risikoreduserende tiltak.
For det enkelte finansforetak kan det være rasjonelt å minimere antall plattformer og verktøy, for eksempel ved bruk av brede skytjenester som kan redusere behovet for spesialistkompetanse i foretaket. Store tjenesteleverandører kan bidra til å redusere foretakenes kostnader og eksponering for tekniske feil og angrep, og kan også ha mer ressurser og kompetanse til å utvikle robuste løsninger enn f.eks. mindre aktører og finansforetakene selv. Samtidig blir konsentrasjonsrisikoen større dersom mange finansforetak benytter samme tjenesteleverandør for drift av kritiske finansielle tjenester. Enkelte av leverandørene og datasentrene som benyttes av finanssektoren, er sentrale for sektoren som helhet, og leverer også viktige tjenester til andre sektorer. Blant annet Norges Bank har pekt på at det kan være vanskelig for den enkelte sektormyndighet å få oversikt over og følge opp konsentrasjonsrisiko på tvers av sektorer.1
En del av digitaliseringen i finanssektoren skjer gjennom DSOP (digital samhandling offentlig privat), der digitaliseringen av prosesser innen flere områder gir betydelige gevinster både for foretakene og for samfunnet. Samtidig skaper slik digitalisering nye avhengigheter og sårbarheter ved at flere funksjoner i samfunnet blir sammenvevd. Dette innebærer at avhengigheten til velfungerende og stabile tjenester på tvers av sektorer blir stadig viktigere for tjenesteytingen i finansiell sektor.
Boks 4.1 Regelverk og tilsyn
Finansnæringen i Norge er underlagt et omfattende regelverk for håndtering av digitale sårbarheter. Hver aktør har et selvstendig ansvar for å sikre akseptabel risiko i egen virksomhet, og skal innrette sine systemer slik at sannsynligheten for uønskede hendelser er lav, og konsekvenser av slike hendelser begrenses. Dette omfatter bl.a. ansvar for sikre og stabile driftsløsninger, gode reserve- og beredskapsløsninger og en plikt til aktivt å bidra til robust finansiell infrastruktur. Banker og andre foretak skal ha kriseplaner som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av uønskede hendelser. Finanstilsynet fører tilsyn med systemer for kunderettede betalingstjenester og systemer for verdipapiroppgjør. Norges Bank har ansvar for tilsynet med interbanksystemene.
Finanstilsynet legger i sin tilsynsmessige oppfølging vekt på at foretakene utfører grundige risikoanalyser og vurderinger ved ny eller endret utkontraktering. Foretakene er ansvarlige for at utkontraktering av IKT-virksomhet gjøres forsvarlig, og at krav som følger av regelverket etterleves, også der utkontraktering skjer til utlandet. Ved all utkontraktering er det viktig at foretakene har god innkjøps- og oppfølgingskompetanse for å kunne stille krav til leverandøren og forstå leveransene. Finanstilsynet kan iverksette tiltak ved uforsvarlig utkontraktering.
Foretakene i finanssektoren rapporterer alvorlige operasjonelle hendelser (som teknisk svikt) og sikkerhetshendelser (som cyberangrep) til Finanstilsynet. I 2023 ble det rapportert 408 IKT-relaterte hendelser til Finanstilsynet, se figur 4.1. Dette er en økning på ca. 40 pst. fra året før. Til tross for økningen var det få hendelser som rammet tilgangen til betalingstjenestene over lengre tid.
Det ble rapportert 15 sikkerhetshendelser i 2023, som er noe lavere enn året før. Ved flere av hendelsene var årsaken at underleverandører i verdikjeden var angrepet. Seks av de femten hendelsene var såkalte tjenestenektangrep. Noen av hendelsene var alvorlige for foretakene som ble rammet, men ingen sikkerhetshendelser påvirket den finansielle infrastrukturen eller fikk alvorlige konsekvenser for de større finansforetakene.
Digitalisering og teknologisk utvikling øker også handlingsrommet til kriminelle aktører. Finansnæringen legger store ressurser i å beskytte seg selv og sine kunder mot angrep og svindelforsøk, samtidig som kriminelle aktører utvikler sine metoder.
Finansforetakenes rapportering til Finanstilsynet viser at svindel fortsatte å øke også i 2023. Målt som andel av transaksjonsvolum er tapene imidlertid relativt stabile over tid. Sosial manipulering antas å være den mest lukrative metoden for kriminelle. Samtidig forhindrer bankene en stadig større andel av svindelforsøkene. Om lag 70 pst. av svindelforsøkene første halvår 2023 ble avverget.2 Den nye finansavtaleloven, som trådte i kraft 1. januar 2023, skal sikre at forbrukere som blir utsatt for svindel, i enda større grad enn tidligere skjermes mot tap. Dette har også gitt foretakene ytterligere insentiver til å iverksette antisvindeltiltak.
Ifølge Økokrim har antall bedrageriforsøk økt med nesten 60 pst. fra 2013 til 2022. Digitale bedragerier har hatt en sterk vekst de siste årene og er en betydelig trussel i Norge og internasjonalt. Økokrim har derfor etablert en egen enhet for bekjempelse av bedragerier. Formålet med enheten er å identifisere bedragerilovbrudd som rammer innbyggere på tvers av politidistrikt, eller som har internasjonale forgreninger, og få i stand en mer effektiv og strukturert bedrageribekjempelse. Enheten skal bl.a. iverksette forebyggende tiltak i samarbeid med banker og andre i næringslivet. Dette skal også styrke etterforskingen av bedrageri som er organisert og systematisk utført.3
4.2.2 Samarbeid mellom myndigheter og sektoren
Det er et godt samarbeid om IKT-sikkerhet og finansiell infrastruktur i Norge, både innad i finanssektoren og mellom sektoren og myndigheter. Gjennom Nordic Financial CERT (NFCERT), som er etablert av den nordiske finanssektoren, får foretakene som deltar bistand i håndteringen av digitale angrep. Finanstilsynet har kontakt med NFCERT om de fleste sikkerhetshendelser. Ved sikkerhetshendelser hos foretak som ikke er medlem i NFCERT, anbefaler Finanstilsynet foretaket å dele informasjon om sikkerhetshendelser med NFCERT. Gjennom NFCERT er samhandlingen mellom deltakende finansforetak forbedret og forsvarsverkene styrket. Samlet kan finanssektorens forsvarsverk styrkes ytterligere om flere foretak deltar i samhandlingen. Finans Norge er dessuten medlem i Næringslivets sikkerhetsråd (NSR), som legger til rette for samarbeid på tvers av sektorer og bransjer for å kartlegge, forebygge og hindre sikkerhetstrusler. NSR er partner i Nasjonalt cybersikkerhetssenter (NCSC), som er en del av Nasjonal sikkerhetsmyndighet (NSM). NCSC jobber for å beskytte samfunnet mot cyberangrep.
Finanstilsynet er sektorvist responsmiljø (SRM) for håndtering av IKT-sikkerhetshendelser i finansmarkedene, jf. NSMs rammeverk for håndtering av sikkerhetshendelser. Finanstilsynet utøver rollen i samarbeid med NFCERT. NFCERT, Finanstilsynet og Norges Bank er partnere i NCSC, og Finanstilsynet og Norges Bank deltar også i NSMs samarbeidsforum for tilsynsmyndigheter på IKT-sikkerhetsområdet. Også enkelte foretak i finanssektoren er partnere i NCSC.
Beredskapsutvalget for finansiell infrastruktur (BFI) har en viktig rolle i å samordne beredskapstiltak i den norske infrastrukturen. BFI ledes av Finanstilsynet og har medlemmer fra de mest sentrale aktørene i den finansielle infrastrukturen. BFI-møtene er også en arena for Finanstilsynet og Norges Bank til å holde kontakt med aktørene, og i tillegg deltar bl.a. Finansdepartementet, NSM, Nkom og NVE som observatører.4 BFI skal komme frem til og koordinere tiltak for å forebygge og løse kriser og andre situasjoner som kan resultere i store forstyrrelser. BFI har normalt tre faste møter i året, men møtes hyppigere ved behov, som under koronapandemien og i forbindelse med krigen i Ukraina. BFI gjennomfører også årlige beredskapsøvelser. I 2023 ble øvelsen gjennomført som en forøvelse til felles nordisk/baltisk cyberøvelse, der Finanstilsynet deltok sammen med Norges Bank og Finansdepartementet.
Norges Bank og Finanstilsynet har etablert et rammeverk for testing av cybersikkerhet i finansiell sektor, kalt TIBER-NO.5 Dette er en nasjonal tilpasning av TIBER-EU-rammeverket fra Den europeiske sentralbanken (ESB). TIBER-tester ligner reelle angrep, og skal gi innsikt i sårbarheter både for det enkelte foretak og for finansiell stabilitet. Testing etter TIBER-NO er frivillig. Den første norske testen ble gjennomført i 2023, og flere tester pågår, se også omtale i kapittel 6.4.4.
4.2.3 Pågående arbeid
Det foregår en rekke arbeider for å bidra til robust finansiell infrastruktur også fremover.
Regjeringen nedsatte 26. mai 2023 et utvalg som skal se på trygge og enkle betalinger for alle. Utvalget skal som del av sitt mandat bl.a. vurdere kontanters betydning for beredskap, om det er behov for tiltak for å sikre kontantenes rolle som beredskapsløsning, ansvarsfordeling ved ulike grader av svikt i betalingsinfrastrukturen og behovet for tiltak for å redusere sannsynligheten for eller styrke beredskapen for forstyrrelser i betalingssystemet. Utvalget har frist 15. november 2024.
Finansdepartementet fastsatte 14. november 2023 etter forslag fra Norges Bank mandat for en arbeidsgruppe som skal vurdere beredskapen i de elektroniske betalingssystemene. Arbeidsgruppen skal bl.a. kartlegge det elektroniske betalingssystemet og utrede behov for tiltak som kan gi økt trygghet for at betalinger kan gjennomføres elektronisk i relevante scenarioer, både innenfor den eksisterende betalingsinfrastrukturen og i form av uavhengige betalingsløsninger. Arbeidsgruppen skal også vurdere hvilken funksjonalitet, kapasitet og motstandsdyktighet beredskapen for det elektroniske betalingssystemet bør ha, og hva som er nødvendig av tiltak og utvikling for at beredskapsløsningene skal kunne fungere også i ekstraordinære krisesituasjoner. Arbeidet har flere delfrister, og skal være endelig ferdigstilt innen utgangen av september 2024.
Finansdepartementet har hatt på høring utkast til norsk gjennomføring av EU-regelverk om digital operasjonell motstandsdyktighet i finanssektoren (DORA). Målet med regelverket er å sikre at alle deltakere i det finansielle systemet har nødvendige tiltak på plass for å håndtere cyberangrep og andre risikoer, og stiller bl.a. krav om tilsyn med sentrale IKT-tjenesteleverandører og rapportering av alvorlige IKT-hendelser. DORA vil gi mer omfattende og detaljerte krav til sikkerhet og beredskap samt håndtering av risiko forbundet med bruk av tjenester fra IKT-leverandører. Regelverket legger også opp til mer omfattende samarbeid på tvers av landegrensene. Departementet arbeider med oppfølging av høringen, med sikte på å legge frem en proposisjon for Stortinget i løpet av andre halvår 2024. I EU skal regelverket gjelde fra 17. januar 2025. Ved gjennomføring av DORA vil Finanstilsynet vurdere hvordan tettere samhandling bl.a. med NSM om cybersikkerhet og cyberhendelser bør etableres.
Det europeiske systemrisikorådet (ESRB) har anbefalt de felleseuropeiske tilsynsmyndighetene, ESB og nasjonale myndigheter å opprette et rammeverk for koordinering ved systemiske cyberhendelser («pan-European systemic cyber incident coordination framework», EU-SCICF). Målet er å legge til rette for rask kommunikasjon og koordinering mellom tilsyn og andre relevante myndigheter for å unngå koordineringssvikt. Rammeverket vil bli utviklet som en del av innføringen av DORA. Finanstilsynet er meldt inn som kontaktpunkt for Norge og deltar i arbeidet. I påvente av at EU-SCICF skal bli operativt, har ESRB ved ESCG (den europeiske systemiske cybergruppen) etablert et midlertidig rammeverk for informering om cyberhendelser («cyber incident information exchange system», CIIES). Norges Bank og Finanstilsynet samarbeider dessuten om å utvikle et rammeverk og prosess for vurdering av systemisk IKT-risiko for norsk finansiell sektor.
Sikkerhetsloven skal bidra til å trygge nasjonale sikkerhetsinteresser gjennom å ivareta grunnleggende nasjonale funksjoner (GNF). Finansdepartementet har definert tre GNF-er i egen sektor, herunder «Sikre samfunnets evne til å formidle finansielle tjenester». Departementet har utpekt skjermingsverdige objekter og infrastruktur som understøtter denne GNF-en, og arbeider sammen med Finanstilsynet og Norges Bank med å identifisere ytterligere skjermingsverdige verdier i sektoren.
Innsats på tvers av sektorer vil også ha betydning for sikkerhet og beredskap i den finansielle infrastrukturen. Regjeringen la 10. april 2024 frem forslag til ny ekomlov, som bl.a. omfatter krav om forsvarlig sikkerhet og beredskap for datasentertjenester og registreringsplikt for datasenteraktører, og ønsker i tillegg å kartlegge hvilke datasentre som leverer tjenester av betydning for kritiske samfunnsfunksjoner.6 Regjeringen satte i januar 2024 ned et ekspertutvalg for nasjonal kontroll med digital infrastruktur. Utvalget skal gi konkrete forslag til hvordan staten kan ivareta nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur, som mobil- og bredbåndsnett og datasentre. Norges Bank er blant aktørene som er representert i utvalget, som skal avgi sin utredning til Digitaliserings- og forvaltningsdepartementet i februar 2025.
4.3 Digitalisering og forbrukervern
4.3.1 Digitalt utenforskap
Tilgang til finansielle tjenester og produkter er en forutsetning for å kunne delta økonomisk og sosialt i samfunnet. Digitaliseringen i finansmarkedene har gjort finansielle tjenester mer effektive og tilgjengelige, og de fleste betalingene i Norge i dag skjer med elektroniske betalingskort, mobilbetaling og nettbank. Samtidig er det noen kunder som av ulike årsaker faller utenfor og ikke kan eller vil benytte seg av digitale løsninger. Det kan skyldes mangel på digital kompetanse eller at de av ulike grunner ikke kan identifisere seg elektronisk.
Statistisk sentralbyrå gjennomførte i 2023 en undersøkelse av bruk av IKT i husholdningene. De fant at 5,3 pst. av befolkningen i aldersgruppen 16 til 79 år ikke har bedt om å få offisielle dokumenter, ytelser og krav via myndigheters nettside eller app, selv om de har hatt behov for det. Samtidig svarte kun 1,6 pst. at de ikke bruker elektronisk ID. Blant årsakene som oppgis for å ikke ha benyttet offentlige nettjenester, er at det er vanskelig å bruke tjenesten, eller at de er bekymret for personvern og sikkerhet.7
Ettersom en så stor del av finansielle tjenester gjennomføres digitalt, kan de som mangler teknologisk kompetanse, stå i fare for å ikke lenger selv kunne utføre grunnleggende oppgaver, som f.eks. å betale regninger. Forbrukerrådet publiserte i 2023 en undersøkelse om utenforskap i forbrukermarkeder hvor 43 pst. svarte at de regelmessig må hjelpe familie eller bekjente med å bestille varer og tjenester eller foreta elektronisk oppgjør. Manglende digital kompetanse kan også gjøre disse kundene mer sårbare for svindel og bedrageri, se kapittel 4.2.1.
4.3.2 Arbeid for å sikre finansiell inkludering
Regjeringen er opptatt av å legge til rette for at flest mulig skal kunne dra nytte av mulighetene digitalisering gir, og jobber med flere tiltak som skal bidra til inkludering og teknologisk kompetanse i befolkningen. Kommunal- og distriktsdepartementet la i juni 2023 frem en handlingsplan for økt inkludering i et digitalt samfunn. For å få tilgang til det digitale samfunnet er det avgjørende å ha tilgang til elektronisk ID (eID), og regjeringen la i 2023 frem en nasjonal strategi for eID i offentlig sektor. Målet med strategien er å sørge for at alle kan få tilgang på en sikker og brukervennlig digital identitet.
Finansforetakene har et ansvar for å legge til rette for finansiell inkludering, både for de som kan og ønsker å bruke digitale tjenester, og de som har utfordringer med det. Blant annet kan ikke bankene uten saklig grunn avslå å yte betalingstjenester på vanlige vilkår. Bestemmelsen om dette i finansavtaleloven gjennomfører reglene i EUs betalingskontodirektiv om forbrukeres rett til betalingskonto med grunnleggende funksjoner, det vil si bl.a. betalingskonto, betalingskort, nettbank og innskudd og uttak av kontanter.
Finans Norge har utviklet en bransjenorm for finansiell inkludering. Normen har retningslinjer for hvordan bankene skal møte ikke-digitale kunder, og skal bidra til at alle har tilgang til banktjenester, også de som ikke klarer å benytte f.eks. nettbank. I dag er det også en del som ikke får tilgang til banktjenester og BankID fordi de mangler identifikasjon, som bl.a. kreves av regelverket for antihvitvasking. Finans Norge jobber, i samarbeid med bankene, med å lage en veileder for hvordan en kan følge regelverket for antihvitvasking samtidig som flere får tilgang på banktjenester. Det er viktig at næringen er bevisst sitt ansvar når det kommer til finansiell inkludering.
Reglene i dagens finansavtalelov er blitt oppfattet som uklare når det gjelder i hvilke betalingssituasjoner forbrukere har rett til å betale med kontanter. Justis- og beredskapsdepartementet har derfor i Prop. 55 L (2023–2024) foreslått å styrke forbrukerens rett til å betale med kontanter. Etter forslaget vil en forbruker ha rett til å betale med kontanter i alle salgslokaler der næringsdrivende selger varer eller tjenester, forutsatt at selgeren tar imot betaling for varen eller tjenesten i dette lokalet. Det foreslås unntak for salg av varer fra automater, salg i ubetjente salgslokaler og salg i lokaler som bare en begrenset krets av personer har tilgang til. Videre foreslås det en beløpsgrense på 20 000 kroner. Det foreslås også forskriftshjemler slik at det kan gis særlige regler for persontransporttjenester.
Boks 4.2 Advarsel fra ESMA om investeringsanbefalinger på sosiale medier
De siste årene har sosiale medier i økende grad blitt brukt for å omtale investeringsmuligheter, noe som har økt behovet for at privatpersoner grundig vurderer avkastning og risiko ved investeringer. Den europeiske verdipapir- og markedstilsynsmyndigheten (ESMA) publiserte i februar 2024 et dokument til personer som publiserer investeringsanbefalinger, hvor de minner om viktigheten av åpenhet og nøyaktighet.1 ESMA advarer også om risikoen for markedsmanipulasjon. Finanstilsynet har videreformidlet ESMAs advarsel, og har lagt ut utfyllende informasjon om regelverket på tilsynets nettsider. Alle som gir investeringsanbefalinger, må følge regler for investeringsanbefalinger i markedsmisbruksforordningen (MAR), som er gjennomført i verdipapirhandelloven og -forskriften. Sentralt i regelverket er at identiteten til den som utarbeider investeringsanbefalinger må oppgis, eventuelle interessekonflikter må tydelig angis og anbefalingen må skille klart mellom fakta og forfatterens egne vurderinger. Reglene gjelder uavhengig av om investeringsanbefalingen gis over sosiale medier, av en såkalt «finfluenser», eller av en profesjonell investeringsrådgiver. Det gjelder tilleggskrav for «eksperter». Som «ekspert» regnes personer som enten selv oppgir at de har finansiell ekspertise eller erfaring, eller legger frem anbefalingen på en slik måte at andre personer har grunn til å tro at vedkommende har finansiell ekspertise eller erfaring. Altså kan også ikke-profesjonelle privatpersoner bli regnet som «eksperter». Finanstilsynet fører tilsyn med etterlevelsen av reglene om investeringsanbefalinger og er opptatt av å øke bevisstheten rundt kravene som stilles til investeringsanbefalinger.
1 Se nyhet fra ESMA, «Requirements when posting investment recommendations on social media», 6. februar 2024.
4.3.3 Forbrukervern i markedet for kryptoverdier
Siden Bitcoin ble lansert i 2009, har markedet for kryptoaktiva og andre virtuelle eiendeler vokst kraftig. Markedet består i dag av et stort antall kryptovalutaer og andre typer eiendeler som har til felles at de er basert på blokkjedeteknologi. Fremvekst av kryptovaluta og andre former for desentralisert finans kan potensielt bidra til en mer effektiv finanssektor og til finansiell innovasjon, men er også forbundet med risiko. Kryptoaktiva reiser bl.a. problemstillinger rundt forbruker- og investorbeskyttelse, i tillegg til hvitvasking, terrorfinansiering og sanksjonsomgåelse.
Utviklingen av internasjonale handelsplattformer for kryptoaktiva og ulike betalings- og investeringsapplikasjoner rettet mot massemarkedet har gjort det enklere for ikke-profesjonelle investorer å handle i kryptoaktiva de siste årene. Samtidig har prisene i markedet vært preget av høy volatilitet. Det har skjedd en rekke tilfeller av investeringsbedrageri knyttet til kryptovaluta. Økokrim mottar jevnlig henvendelser fra personer som er utsatt for investeringsbedrageri via fiktive investeringsplattformer som tilbyr kryptovaluta.8 De europeiske finanstilsynsmyndighetene har tidligere publisert advarsler om risikofylte og spekulative kryptovalutaer, og herunder pekt på at forbrukere som investerer i kryptovaluta, står overfor en reell risiko for å tape investeringen, bør være årvåkne for risiko for villedende markedsføring, inkludert via sosiale medier og influensere, og bør være særlig var for løfter om rask eller høy avkastning, særlig dersom løftene fremstår som for gode til å være sanne.9
I dag reguleres bare tilbydere av vekslings- eller oppbevaringstjenester for kryptovaluta. Slike tjenestetilbydere har vært underlagt registreringsplikt hos Finanstilsynet siden oktober 2018. Per 31. januar 2024 har Finanstilsynet registrert ti foretak som utøver én eller begge av disse tjenestene. Utstedere av kryptovaluta, og de som tilbyr andre tjenester knyttet til kryptovaluta enn vekslings- og oppbevaringstjenester, er ikke særskilt regulert i dag.
Omfanget av tilbydere som aktivt retter seg mot, eller opererer i, det norske markedet uten å være registrert hos Finanstilsynet er usikkert. Flere kilder, herunder Økokrim, peker imidlertid på at mange nordmenn regelmessig benytter utenlandske tjenestetilbydere. Analyseselskapet K33 Research har i samarbeid med konsulentselskapet EY anslått at 345 000 nordmenn eide kryptovaluta i mars 2023, en nedgang på ca. 75 000 fra året før.10 Tallene må anses som usikre. Ifølge Skatteetaten rapporterte 42 781 personer at de eide kryptovaluta i skattemeldingen for 2021, mot 15 251 for 2020.11 Skatteetaten har videre identifisert rundt 180 000 nordmenn som eide kryptovaluta i 2021, men anslår at det faktiske tallet er betydelig høyere.
Regjeringen har nylig fremmet forslag til ny ekomlov for Stortinget der det blir stilt nye sikkerhetskrav og innført registeringsplikt for datasenter. Dette vil gjøre det mulig å føre bedre tilsyn med datasenternæringen. Datasenter der det utvinnes kryptovaluta, vil bli omfattet av de nye kravene.
I EU er det vedtatt et nytt regelverk for kryptoaktivamarkeder («Markets in Crypto-Assets», MiCA). Formålet med MiCA er bl.a. å skape en harmonisert regulering av kryptoaktiva innenfor hele EU, gi større rettssikkerhet for forbrukere og investorer, fremme innovasjon, sikre markedets integritet og finansiell stabilitet, forebygge kriminalitet og markedsmanipulasjon, samt redusere karbonavtrykket til kryptoaktiva. Med MiCA søker en å dekke alle de kryptoaktiva som ikke anses som finansielle instrumenter, og som derfor faller utenfor eksisterende lovgivning. Deler av MiCA skal gjelde i EU fra 30. juni 2024. Dette er den delen av regelverket som berører såkalte eiendelsbaserte tokens og e-pengetokens, altså «stablecoins». Øvrige regler i MiCA skal gjelde fra 30. desember 2024. MiCA inneholder overgangsbestemmelser, og det kan derfor ta tid før alle regler om investorbeskyttelse gjelder fullt ut. Finanstilsynet har utredet norsk gjennomføring av regelverket, og Finansdepartementet har sendt tilsynets utredning på høring med frist 1. juni 2024.
4.4 Antihvitvasking og terrorfinansiering
4.4.1 Finansforetakenes ansvar og risiko
Hvitvasking er handlinger som bidrar til å få utbytte fra straffbare handlinger, som skatteunndragelse, narkotikakriminalitet, bedrageri og annen økonomisk kriminalitet, til å fremstå som lovlig utbytte. Terrorfinansiering er økonomisk støtte til, eller innsamling av penger på vegne av, personer eller grupper som begår eller har til hensikt å begå terrorhandlinger. Finansforetakene har en viktig rolle i å avdekke og stanse hvitvasking av midler som stammer fra kriminalitet. Gjennom innsatsen mot hvitvasking og terrorfinansiering reduseres insentivene og mulighetene for kriminelle til å misbruke legitime aktører til illegitime formål.
Ved mangelfull innsats kan transaksjoner fra Norge bli møtt med mistenksomhet, og tilliten til det norske finanssystemet som helhet kan svekkes. For finansforetak kan mangelfull etterlevelse av hvitvaskingsloven føre til store bøter, tap av omdømme og i ytterste fall tap av konsesjon. Det er flere eksempler på at banker, også i Norge, har fått store bøter på grunn av manglende etterlevelse av antihvitvaskingsregler.
Hvitvaskingsloven er det sentrale regelverket i Norge for å forebygge og avdekke at finansmarkedsaktører misbrukes til hvitvasking mv. Hvitvaskingsloven angir hvilket ansvar rapporteringspliktige har i forbindelse med tiltak mot hvitvasking og terrorfinansiering. Foretakene er pålagt å ha en risikobasert tilnærming, med risikovurdering og rutiner som sikrer at de håndterer risikoen og oppfyller sine plikter. De skal gjennomføre risikobaserte kundetiltak, gjøre undersøkelser og eventuelt også rapportere ved indikasjoner på mistanke om hvitvasking eller terrorfinansiering. Videre skal de sørge for opplæring og en forsvarlig internkontroll.
Per 1. januar 2023 var i underkant av 30 000 personer og foretak underlagt tilsyn av Finanstilsynet på antihvitvaskings- og -terrorfinansieringsområdet. Dette inkluderer også aktører i ikke-finansiell sektor, slik som eiendomsmeglere, regnskapsførere og revisorer. Finanstilsynet vurderer at det er betydelig risiko for at hvitvaskingsregelverket ikke etterleves godt nok, og at det kan ha betydning for hele finanssektoren. I boks 4.3 fremgår Finanstilsynets vurdering av hvilke typer foretak som står overfor høyest risiko for å bli misbrukt til hvitvasking og terrorfinansiering.
Boks 4.3 Finanstilsynets risikovurdering for hvitvasking og terrorfinansiering
I rapporten Risikovurdering 2023 Hvitvasking og terrorfinansiering gir Finanstilsynet en vurdering av hvilken hvitvaskingsrisiko ulike typer av foretak under tilsyn står overfor.
Bankene anses å ha høy risiko for å bli misbrukt til hvitvasking som følge av tjeneste- og produkttilbudet, antallet kunder, tilgjengelighet, eksponeringen mot risikobransjer, kriminalitetsformer og hvitvaskingsmodus. Banker er attraktive å bruke i både plasserings-, tildekkings- og integreringsfasene av en hvitvaskingsprosess. Banker med internasjonal tilstedeværelse, eller som tilbyr internasjonal betalingsformidling eller «private banking»-tjenester, og som har stor eksponering mot utsatte sektorer og bransjer, vurderes å være særlig utsatt for hvitvasking. Finanstilsynet erfarer en gradvis bedring i etterlevelsen av regelverket i norske banker, men vurderer at det fortsatt er svakheter og at det tar lang tid å etablere en god etterlevelse.
Risikoen for at enkelte typer betalingsforetak misbrukes til hvitvaskingsformål anses å være høy. Det er stor variasjon i egenskapene til betalingsforetak i Norge. Risikoen anses å være vesentlig høyere for foretak og agenter som driver pengeoverføringstjenester enn for betalingsforetak som driver andre tjenester. På samme måte har finansieringsforetakene en rekke ulike forretningsmodeller, og derfor ulik risiko og sårbarhet for hvitvasking. Finanstilsynet anser at risikoen for hvitvasking er høy blant foretakene som driver valutavirksomhet. Risikoen forbundet med andre tjenester som tilbys av finansieringsforetak, anses å være moderat.
Risikoen knyttet til vekslings- og oppbevaringstjenester av virtuelle valutaer anses som høy, både på bakgrunn av tjenestenes høye iboende risiko og erfaringer Finanstilsynet har opparbeidet seg om svakheter i etterlevelsen i sektoren.
Det antas at den generelle risikoen for hvitvasking gjennom låneformidlingsvirksomhet er betydelig. Det vurderes å være særskilt risiko ved formidling av lån til eiendomsutvikling og til kjøp av fast eiendom.
For øvrig vurderer Finanstilsynet at det er lav risiko for boligkredittforetak, moderat risiko for øvrige kredittforetak og moderat risiko knyttet til forsikringsforetak og forsikringsformidlingsforetak. Det samme gjelder verdipapirforetak, forvaltere av alternative investeringsfond (AIF) og forvaltningsselskaper for verdipapirfond. Erfaringsmessig har også disse sektorene utfordringer med etterlevelse av hvitvaskingsregelverket. Det kan gjøre dem sårbare for å bli utnyttet til hvitvasking, til tross for en lavere iboende risiko.
Terrorfinansiering er et antatt mindre kriminalitetsområde enn hvitvasking, både hva angår antall etterforskninger, straffesaker, domfellelser og aktuelle pengesummer. Finanstilsynet anser at det er høy risiko for at banker misbrukes til terrorfinansieringsformål. Videre er det betydelig eller høy risiko for at følgende produkter og tjenester misbrukes til terrorfinansieringsformål: valutaveksling, e-penger, pengeoverføring via betalingsforetak og agenter for utenlandske betalingsforetak, betalingstjenester, fast eiendom, forsikring, virtuell valuta og revisorer og regnskapsførere.
Kilde: Finanstilsynet.
Digitalisering og ny teknologi representerer både muligheter og potensielle utfordringer for rapporteringspliktige. Teknologi kan bistå i rapporteringspliktiges utførelse av plikter etter hvitvaskingsregelverket, slik at disse kan utføres raskere og mer effektivt. Samtidig kan teknologi skape nye trusler og sårbarheter. I Finanstilsynets risikovurdering fra mai 2023 er det pekt på at den norske økonomien er mer digitalisert enn mange andre økonomier, og at digitalisering og teknologisk utvikling har økt handlingsrommet til kriminelle aktører. Den nye bedragerienheten som etableres i Økokrim, skal bidra til å forebygge og bekjempe digitale bedragerier.
4.4.2 Myndigheter og internasjonalt samarbeid
Norske myndigheter jobber bredt for å forebygge, avdekke og bekjempe hvitvasking, terrorfinansiering og tilknyttet kriminalitet. Finansdepartementet har ansvar for antihvitvaskingsregelverket, mens Utenriksdepartementet har ansvar for å iverksette internasjonale finansielle sanksjoner vedtatt av bl.a. FNs sikkerhetsråd. Justis- og beredskapsdepartementet har ansvar for rettergangsregelverket og politi- og påtalemyndigheten. Nærings- og fiskeridepartementet har ansvar for selskapsretten og regler for registrering av selskapsinformasjon, som er vesentlig for å begrense misbruk av selskaper til ulike illegitime formål.
Finanstilsynet har de siste årene trappet opp innsatsen på hvitvaskingsområdet. Tilsynsaktiviteten har bl.a. resultert i tilbakekall av tillatelser, pålegg om stans av virksomhet og pålegg om retting, og Finanstilsynet har ilagt betydelige overtredelsesgebyr. Tilsynserfaringer viser at de rapporteringspliktige har økt innsatsen mot hvitvasking og terrorfinansiering. Samtidig fortsetter etterlevelsen å være mangelfull i mange tilfeller. Finanstilsynet har på flere tilsynsområder pekt på manglende risikoforståelse, for liten kapasitet til å følge opp risikoer, og mangelfulle rutiner. Etterlevelse av hvitvaskingsregelverket er blant særlig prioriterte tilsynsområder for Finanstilsynet i strategiperioden 2023–2026.
Finanstilsynet deltar i flere samarbeid for å bekjempe hvitvasking og terrorfinansiering, bl.a. i Kontaktforum for bekjempelse av hvitvasking og terrorfinansiering, der flere etater møtes for å sikre en koordinert innsats. Også Finansdepartementet deltar i Kontaktforum. Finanstilsynet deltar videre som observatør i styringsgruppen for offentlig-privat samarbeid mot hvitvasking og terrorfinansiering (OPS-AT), etablert av Finans Norge i 2021, der også Skatteetaten, NAV, Økokrim og PST deltar. I tillegg samarbeider Finanstilsynet i flere enkeltsaker med andre offentlige myndigheter, særlig Økokrim, flere politidistrikt, Tolletaten, Kripos og Skatteetaten.
Enheten for finansiell etterretning (EFE) i Økokrim mottar rapporter om mistenkelige forhold fra rapporteringspliktige som er underlagt hvitvaskingsregelverket. EFE behandler og bearbeider informasjon i meldingene for videreformidling til politiet, forvaltningsorganer med kontrolloppgaver og andre lands kontrollorganer.
Den internasjonale standardsetteren Financial Action Task Force (FATF) er en sentral premissleverandør for det internasjonale arbeidet for å bekjempe hvitvasking og terrorfinansiering og finansiering av spredning av masseødeleggelsesvåpen. Dette er en samarbeidsgruppe med 40 medlemmer, herunder Norge. I tillegg deltar mange land og organisasjoner som observatører. FATF gjennomfører bl.a. landevalueringer og produserer detaljerte rapporter om landenes etterlevelse av standardene. Den foreløpig siste oppfølgingsrapporten om Norge gjelder såkalt teknisk implementering av standardene og ble publisert i februar 2023. EUs hvitvaskingsregelverk gjennomfører FATF-standardene i EU-retten. FATFs standarder er på selvstendig grunnlag politisk bindende for Norge, men indirekte blir de også folkerettslig bindende gjennom EU-rettsakter som tas inn i EØS-avtalen.
Regjeringen vil trappe opp kampen mot økonomisk kriminalitet. I statsbudsjettet for 2024 er 50 mill. kroner av den økte bevilgningen til politiet satt av til økonomisk kriminalitet, bl.a. til Økokrims bedragerienhet nevnt over. Regjeringen la 22. mars 2024 frem Meld. St. 15 (2023–2024) Felles verdier – felles ansvar. Stortingsmeldingen legger grunnlaget for en styrket innsats når det gjelder forebygging og bekjempelse av økonomisk kriminalitet. Viktige formål med stortingsmeldingen er å bedre myndighetenes måloppnåelse på dette feltet, innskrenke mulighetsrommet for de kriminelle, og å utnytte de samlede ressursene i samfunnet bedre for å sikre en mer effektiv bekjempelse av økonomisk kriminalitet. For regjeringen er det et grunnleggende utgangspunkt at kriminalitet ikke skal lønne seg, og en mer effektiv bekjempelse av økonomisk kriminalitet er nødvendig for å sikre tilliten og tryggheten i samfunnet.
4.4.3 Regelverksutvikling
Ny hvitvaskingslov og hvitvaskingsforskrift ble vedtatt i 2018 og er siden blitt endret flere ganger. Behovet for endringer utløses bl.a. av nye EØS-rettslige krav, i tillegg til forventninger som uttrykkes gjennom arbeidet i FATF. Hvitvaskingsregelverket bygger på et prinsipp om risikobasert tilnærming, slik at regelverket utvikles i takt med at nye trusler og sårbarheter identifiseres. I Prop. 74 LS (2023–2024) er det bl.a. foreslått å utvide hvitvaskingsloven slik at den gjelder for kunsthandlere og de som tilbyr særlige oppbevaringstjenester for kunst. I tillegg foreslås regelendringer for å etablere registeret over reelle rettighetshavere.
Også fremover vil det komme reformer på hvitvaskingsområdet. Spesielt viktig er den nye pakken med antihvitvaskingsregelverk i EU.
EUs antihvitvaskingspakke
EU-kommisjonen presenterte 20. juli 2021 en pakke bestående av fire regelverksforslag med formål å styrke EUs regler og innsats mot hvitvasking og terrorfinansiering. Regelverkspakken består av følgende fire forslag til nye rettsakter:
En forordning om å opprette en ny, felleseuropeisk tilsynsmyndighet for bekjempelse av hvitvasking og terrorfinansiering (AMLA)
En forordning om tiltak for å hindre at finanssystemet brukes til hvitvasking eller terrorfinansiering (AMLR)
Et direktiv om ordninger som medlemsstatene skal innføre for å hindre at finanssystemet brukes til hvitvasking eller terrorfinansiering, og om oppheving av direktiv (EU) 2015/849 (AMLD)
En forordning om opplysninger som skal følge pengeoverføringer og visse kryptoaktiva (omarbeiding) (TFR II)
Sistnevnte forordning ble vedtatt i mai 2023 sammen med forordningen om markeder for kryptoaktiva (MiCA), se punkt 4.3.3. I desember 2023 og januar 2024 ble det publisert pressemeldinger fra EU-rådet og Europaparlamentet om at det var oppnådd enighet om de øvrige rettsaktene, som er forventet å bli formelt vedtatt i løpet av april 2024.
Kjernen i pakken er opprettelsen av AMLA, som det opplyses om at etter hvert skal ha om lag 400 ansatte. AMLA skal bidra til mer enhetlig tilsyn med etterlevelse av hvitvaskingsregelverket i EU/EØS og styrke samarbeidet mellom medlemslandenes finansielle etterretningsenheter (FIU-er). AMLA skal videre generelt bidra til samordning mellom nasjonale myndigheter. Som ledd i dette skal AMLA bl.a. utarbeide anbefalinger og retningslinjer, og ta initiativ til gjennomføring av felles analyser. Myndigheten skal også forberede utkast til nærmere, detaljerte regler som det legges opp til i de øvrige regelverkene. AMLA skal dessuten føre direkte tilsyn med utvalgte aktører i privat sektor.
En rekke bestemmelser som i dag er vedtatt i direktivs form, videreføres i den nye antihvitvaskingsforordningen (AMLR) for å sikre rettsharmoni i EUs medlemsland. Det innebærer at forordningen i all hovedsak vil erstatte de antihvitvaskingsreglene som gjelder i EUs medlemsland i dag. I forordningen standardiseres dermed bl.a. reglene som gjelder kundetiltak og identifisering av reelle rettighetshavere. Videre innføres et forbud mot kontantbetalinger på over 10 000 euro, med muligheter for landene til å sette lavere grenser. Regelverket inneholder særlige krav om å gjennomføre kundetiltak ved transaksjoner i kontanter på mellom 3 000 og 10 000 euro. I tillegg innføres det obligatorisk rapportering av alle transaksjoner for særlig verdifulle biler, båter og fly. Regelverket utvides til bl.a. fotballklubber og fotballagenter, samt all form for folkefinansiering, herunder donasjonsbasert folkefinansiering.
Det nye antihvitvaskingsdirektivet (AMLD) vil erstatte EUs fjerde hvitvaskingsdirektiv, i tillegg til at det innføres nye bestemmelser som har til hensikt å styrke medlemslandenes tilsynsmyndigheter på antihvitvaskingsområdet og FIU-er. Endringene omfatter både hvordan de nasjonale institusjonene organiseres og hvordan de skal bidra til bedre samhandling og samarbeid med andre lands myndigheter. Blant annet klargjøres ansvarsfordelingen mellom hjemstats- og vertsstatsmyndigheter. Finansielle sanksjoner, som sanksjoner vedtatt av FNs sikkerhetsråd og EUs restriktive tiltak, får for øvrig en tydelig plass i alle rettsaktene.
Antihvitvaskingspakken er et uttrykk for EUs ambisjoner i arbeidet med å forebygge og bekjempe hvitvasking, terrorfinansiering og tilknyttet kriminalitet, samt styrke implementeringen av finansielle sanksjoner. Norske myndigheter er i gang med å se på innholdet i antihvitvaskingspakken. Gjennomføringen av rettsaktene i pakken kan kreve relativt omfattende endringer både for nasjonale myndigheter og private aktører. Særlig antas etableringen av den nye tilsynsmyndigheten AMLA å kunne ha betydning.
Regjeringen er opptatt av at kampen mot økonomisk kriminalitet styrkes. Det er en fordel også for Norge at EUs innsats mot hvitvasking, terrorfinansiering og tilknyttet kriminalitet skjerpes, særlig med tanke på at denne kriminaliteten i stor grad er grensekryssende.
Fotnoter
Se f.eks. Norges Banks høringssvar til Kommunal- og distriktsdepartementets forslag til ny regulering av datasentre i Norge.
Se Finanstilsynets rapport «Rapport om svindel og svindelstatistikk 1. halvår 2023».
Se Økokrims rapport «Bedrageri – et samfunnsproblem», publisert 14. juni 2023.
Nasjonal kommunikasjonsmyndighet (Nkom) og Norges vassdrags- og energidirektorat (NVE).
«TIBER» står for «Threat Intelligence-based Ethical Red-Teaming».
Jf. Meld. St. 9 (2022–2023) Nasjonal kontroll og digital motstandskraft for å ivareta digital sikkerhet (Justis- og beredskapsdepartementet).
5,3 pst. av befolkningen har utfordringer ved bruk av digitale tjenester. Kilde: Statistisk sentralbyrå.
Se «Investeringsbedrageri knyttet til kryptovaluta» på Økokrims nettsider.
Se advarsel publisert på ESMAs nettsider: «EU financial regulators warn consumers on the risks of crypto assets», 17. mars 2022.
Se undersøkelsen «Norwegian Crypto Adaption Survery 2023» gjennomført av EY og K33 Reserach.
Se pressemelding fra Skatteetaten, «Forventer at kryptovaluta for milliarder rapporteres i skattemeldingen», 14. april 2023