NOU 2016: 27

Ny lovgivning om tiltak mot hvitvasking og terrorfinansiering II — Andre delutredning

Til innholdsfortegnelse

11 Forordning (EU) 2015/847 om opplysninger som skal følge en betaling i betalingskjeden

11.1 Gjennomføring av forordning (EU) 2015/847

Gjeldende hvitvaskingslov § 32 gir departementet hjemmel til å fastsette regler om hvilke opplysninger om avsender som skal følge en transaksjon i betalingskjeden, samt regler om betalingsformidleres opplysnings- og kontrollplikter i forbindelse med slike transaksjoner. Hvitvaskingsforskriften § 20 er fastsatt med hjemmel i hvitvaskingsloven § 32, og bestemmer at forordning (EF) nr. 1781/2006 gjelder som forskrift.

Europaparlaments- og rådsforordning (EU) 2015/847 ble vedtatt samtidig som fjerde hvitvaskingsdirektiv, 20. mai 2015. Forordningen gir regler om informasjon som skal følge betalinger i betalingskjeden. Den avløser forordning (EF) nr. 1781/2006. Forordningen er ikke inntatt i EØS-avtalen enda, men er EØS-relevant. Forordninger inntatt i EØS-avtalen skal gjennomføres i norsk rett «som sådan», se EØS-avtalen artikkel 7 bokstav a. Forordningen må dermed inntas i norsk rett ved inkorporasjon. Ved gjennomføringen i norsk rett kan det ikke foretas tilpasninger eller omformuleringer av teksten utover det forordningen selv gir hjemmel til.

Formålet med forordningen er å forhindre at finanssektoren misbrukes av kriminelle til å hvitvaske penger og finansiere terrorisme. Forordningen gir derfor regler om hvilken informasjon om betaler og betalingsmottaker som skal følge pengeoverføringer gjennom betalingskjeden. Dette gjør det mulig å spore betalinger i større grad enn i dag, siden forordning (EF) nr. 1781/2006 ikke stiller krav om at informasjon om betalingsmottaker skal følge betalinger. Forordning (EU) 2015/847 innebærer at FATFs anbefaling 16 om «wire transfers» gjennomføres felles på EU-nivå. I forordningens fortale fremheves betydningen av den frie kapitalflyten innenfor EU som begrunnelse for forordningens felles regler om informasjon som skal følge betalinger, se avsnitt 2.

Forordningen gir regler om hvilken informasjon om betaler og betalingsmottaker som skal følge elektroniske betalinger i betalingskjeden. Forordningen fastsetter kriterier for når det skal kreves at informasjonen innhentes og følger betalingen, herunder en terskelverdi. Videre fastsettes krav til betalingstjenestetilbyderes opptreden der det mangler informasjon. Reglene er ulike for betalinger som utelukkende involverer betalingstjenestetilbydere fra land innenfor EU (EØS), og betalinger som også involverer tjenestetilbydere fra tredjeland.

Utvalget foreslår at departementet gis en forskriftshjemmel for å gjennomføre forordningen i forskrift, se lovforslaget § 60. Hjemmelen bygger på gjeldende hvitvaskingslov § 32, men er noe omformulert for å reflektere forordningens nye regler sammenlignet med forordning (EF) nr. 1781/2006. Utvalget har i tillegg foreslått enkelte regler som forutsettes i forordningen, se punkt 8.4.5.2 og 10.5.4.6 om henholdsvis varsling og sanksjonering av brudd på forordningens regler.

11.2 Nærmere om forordningens innhold

11.2.1 Anvendelsesområde

Forordningen gjelder alle pengeoverføringer («transfer of funds») som sendes eller mottas av en betalingstjenesteyter eller yter av mellomliggende betalingstjenester, som er etablert i EU (EØS), se artikkel 1.

Forordningen skal ikke gjelde for tjenester som nevnt i første betalingstjenestedirektiv (direktiv 2007/64/EF) artikkel 3 bokstav a til m og o.

Forordningen gjelder heller ikke ved pengeoverføringer som skjer ved bruk av et betalingskort, et e-pengeinstrument, en mobiltelefon eller annet forhånds- eller etterhåndsbetalt digitalt utstyr eller it-utstyr, forutsatt at visse vilkår er oppfylt for å sikre sporbarhet. Forordningen gjør også unntak for tilfeller der betaleren gjør uttak fra egen konto i kontanter, pengeoverføringen er betaling til offentlig myndighet for skatt, avgift eller lignende innad i en medlemsstat, og der både betaler og betalingsmottaker er betalingstjenesteytere som opptrer på egne vegne.

Medlemsstatene kan velge ikke å gi forordningen anvendelse på pengeoverføringer innad på eget territorium til en betalingsmottakers konto når kontoen kun kan brukes til betaling for levering av varer eller tjenester, forutsatt at tre vilkår er oppfylt: Betalingsmottakerens betalingstjenesteyter er underlagt fjerde hvitvaskingsdirektiv (direktiv (EU) 2015/849), betalingstjenesteyteren kan spore overføringen ved hjelp av en unik transaksjonsidentifikator, gjennom betalingsmottakeren, til personen som inngikk avtale med betalingsmottakeren om levering av varer eller tjenester, og overføringen ikke overstiger 1 000 euro.

11.2.2 Enkelte definisjoner

Betalingstjenesteyter («payment service provider») er definert ved henvisning til direktiv 2007/64/EF artikkel 1 nr. 1 og artikkel 26, og direktiv 2009/110/EF artikkel 9, se forordningen artikkel 3 nr. 5. Utvalget legger til grunn at avgrensningen av betalingstjenesteyter er sammenfallende med hvem som kan tilby betalingstjenester etter finansforetaksloven § 2-3. Finansforetaksloven § 2-3 gjennomfører den offentligrettslige delen av direktiv 2007/64/EF og direktiv 2009/110/EF.

En yter av mellomliggende betalingstjenester («intermediary payment service provider») er en betalingstjenesteyter som verken er betalers eller betalingsmottakers betalingstjenesteyter. Vedkommende mottar og formidler en pengeoverføring på vegne av betalers eller betalingsmottakers betalingstjenesteyter, eller på vegne av en annen yter av mellomliggende betalingstjenester, se artikkel 3 nr. 6.

Pengeoverføring («transfer of funds») er enhver transaksjon som i alle fall delvis er utført elektronisk på vegne av en betaler gjennom en betalingstjenesteyter, med hensikt å stille midler tilgjengelig for en betalingsmottaker gjennom en betalingstjenesteyter, uavhengig av om betaler og betalingsmottaker er samme person, og uavhengig av om betalingstjenesteyteren til betaler og betalingsmottaker er den samme, se artikkel 3 nr. 9.

11.2.3 Forpliktelser som påligger betalers betalingstjenesteyter

Forordningen angir regler om hvilken informasjon som skal følge pengeoverføringer i betalingskjeden, se artikkel 4 til 6. Plikten påhviler betalerens betalingstjenesteyter. Forordningen skiller mellom overføringer der alle involverte betalingstjenesteytere er etablert i EU (EØS) og andre overføringer.

Hovedregelen etter artikkel 4 nr. 1 er at betalerens betalingstjenesteyter skal sikre at følgende opplysninger om betaleren sendes med pengeoverføringen: navn, kontonummer og adresse, offisielle personlige dokumentnummer, kundenummer eller fødselsdato og -sted. Betalingstjenesteyteren skal også sikre at opplysninger om betalingsmottakerens navn og kontonummer følger pengeoverføringen, se nr. 2.

I tilfeller der overføringen ikke er gjort enten fra eller til en konto, skal betalerens betalingstjenesteyter i stedet sikre at det følger en unik transaksjonsidentifikator med pengeoverføringen.

Opplysningene nevnt i artikkel 4 nr. 1 skal kontrolleres av betalingstjenesteyteren på grunnlag av dokumenter, informasjon eller opplysninger innhentet fra en uavhengig og pålitelig kilde før midlene overføres. Kontroll etter regler som gjennomfører fjerde hvitvaskingsdirektiv artikkel 13 er tilstrekkelig, forutsatt at de kontrollerte opplysningene er lagret i samsvar med hvitvaskingsdirektivet.

Dersom alle involverte betalingstjenesteytere er etablert i EU (EØS), skal opplysningene som sendes med pengeoverføringen minst omfatte betalers og betalingsmottakers kontonumre, eventuelt en unik transaksjonsidentifikator, se artikkel 5 nr. 1. Uavhengig av nr. 1, skal betalingstjenesteyteren etter artikkel 5 nr. 2 etter anmodning gjøre tilgjengelig visse opplysninger for betalingsmottakerens betalingstjenesteyter eller en yter av mellomliggende betalingstjenester. Dersom pengeoverføringen overstiger 1 000 euro, uavhengig av om det er én eller flere transaksjoner som synes å ha sammenheng med hverandre, skal opplysningene som fremgår av artikkel 4, jf. ovenfor, gjøres tilgjengelige, se artikkel 5 nr. 2 bokstav a. Dersom pengeoverføringen er under 1 000 euro, skal betalerens og betalingsmottakerens navn og kontonumre gjøres tilgjengelige, eventuelt den unike transaksjonsidentifikatoren, se bokstav b. Opplysningene skal gjøres tilgjengelige innen tre arbeidsdager.

Ved overføringer som faller inn under artikkel 5 nr. 2 bokstav b, behøver ikke betalingstjenesteyteren å kontrollere opplysningene om betaleren om ikke betalingstjenesteyteren enten mottok midlene fra betaleren i kontanter eller ved anonyme, elektroniske penger, eller betalingstjenesteyteren har rimelig grunn («reasonable grounds») til å mistenke hvitvasking eller terrorfinansiering.

Forordningen gir egne regler om pengeoverføringer til stater utenfor EU (EØS), se artikkel 6. I artikkel 6 nr. 1 er det gitt en særregel om tilfeller der flere pengeoverføringer fra én enkelt betaler sendes samlet («batch file transfer»). I slike tilfeller gjelder kravet om at opplysningene om betaleren skal følge med overføringene den samlede overføringen, ikke den enkelte pengeoverføring.

I utgangspunktet gjelder reglene i artikkel 4 uavhengig av beløpsgrenser. I artikkel 6 nr. 2 er det gitt et unntak for pengeoverføringer under 1 000 euro til betalingstjenestetilbydere fra utenfor EU (EØS). I slike tilfeller er det tilstrekkelig at overføringen inneholder opplysninger om betaler og betalingsmottakers navn og kontonummer, eventuelt unik transaksjonsidentifikator. Det gjøres også unntak fra kravet om kontroll av opplysninger om betaler etter artikkel 4 nr. 4, forutsatt at midlene som skal overføres ikke er mottatt i kontanter eller som anonyme elektroniske penger, eller at det foreligger rimelig grunn («reasonable grounds») til mistanke om hvitvasking eller terrorfinansiering.

11.2.4 Forpliktelser for betalingsmottakers betalingstjenesteyter

Forordningen gir regler om hvilke plikter som påhviler betalingstjenesteytere for mottakere av pengeoverføringer, se artikkel 7 til 9.

Betalingstjenesteyteren skal implementere effektive prosedyrer for å avdekke om feltene for opplysninger om betaler og betalingsmottaker er fylt inn på korrekt måte i henhold til overførings- eller oppgjørssystemet betalingstjenesteyteren bruker, se artikkel 7 nr. 1.

Videre skal betalingstjenesteyteren etablere effektive prosedyrer, enten ved etterhåndskontroll («ex-post monitoring») eller samtidsovervåking («real-time monitoring»), for å avdekke om opplysningene knyttet til de ulike typene overføringer etter artikkel 4, 5 og 6 mangler, se artikkel 7 nr. 2.

Dersom pengeoverføringen overstiger 1 000 euro, skal betalingstjenesteyteren kontrollere opplysningene om betalingsmottakeren. Betalingstjenestyterens kontroll skal basere seg på dokumenter, opplysninger eller informasjon innhentet fra en uavhengig og pålitelig kilde, se artikkel 7 nr. 3. Hvilke opplysninger som skal kontrolleres, varierer med typen overføring, jf. artikkel 7 nr. 2 med videre henvisninger.

Dersom overføringen ikke overstiger 1 000 euro, trenger ikke opplysningene om betalingsmottakeren kontrolleres, såfremt ikke utbetalingen av midlene skjer i kontanter eller anonyme elektroniske penger, eller det foreligger rimelig grunn («reasonable grounds») til mistanke om hvitvasking eller terrorfinansiering, se artikkel 7 nr. 4.

Kontroll etter nr. 3 og 4 anses å foreligge ved verifikasjon i samsvar med hvitvaskingsdirektivet artikkel 13 og kontrollerte opplysninger er lagret i samsvar med hvitvaskingsdirektivet artikkel 40, se artikkel 7 nr. 5.

Forordningen gir også regler om betalingstjenesteyterens opptreden ved avdekking av at pengeoverføringer mangler nødvendige opplysninger.

Artikkel 8 nr. 1 første og annet ledd krever at betalingsmottakerens betalingstjenesteyter etablerer risikobaserte prosedyrer for å avgjøre om en pengeoverføring skal utføres, avvises eller suspenderes når nødvendige opplysninger mangler. Betalingsmottakerens betalingstjenesteyter skal dessuten etablere rutiner for passende oppfølgende opptreden. Betalingstjenesteyteren skal velge mellom å avvise overføringen eller å be om ytterligere opplysninger fra betalerens betalingstjenesteyter enten før eller etter at midlene krediteres betalingsmottakeren. Valget skal gjøres etter en risikovurdering («on a risk-sensitive basis»).

Dersom en betalingstjenesteyter for betaler gjentatte ganger ikke overholder kravene til oversendelse av opplysninger om betaler eller betalingsmottaker, skal betalingsmottakerens betalingstjenesteyter foreta tiltak, se artikkel 8 nr. 2. Tiltakene kan i begynnelsen gå ut på å gi advarsler og sette tidsfrister, men kan etter hvert gå ut på å avvise alle fremtidige overføringer fra betalingstjenesteyteren, eller å begrense eller avslutte forretningsforholdet. I tillegg skal betalingsmottakerens betalingstjenesteyter varsle tilsynsmyndigheten om den manglende overholdelsen av regelverket og hvilke tiltak som er iverksatt.

Betalingsmottakerens betalingstjenesteyter skal ta i betraktning manglende eller ufullstendige opplysninger om betaler eller betalingsmottaker ved vurderingen av om det foreligger en mistenkelig transaksjon som skal rapporteres etter hvitvaskingsdirektivet, se artikkel 9.

11.2.5 Forpliktelser for ytere av mellomliggende betalingstjenester

Forordningen angir plikter for ytere av mellomliggende betalingstjenester i artikkel 10 til 13.

For det første skal yter av mellomliggende betalingstjenester sikre at alle opplysninger om betaler og betalingsmottaker som mottas med en pengeoverføring, bevares med overføringen («is retained with the transfer»), se artikkel 10.

Artikkel 11 og 12 tilsvarer henholdsvis artikkel 7 nr. 1 og 2 og artikkel 8 om avdekking av manglende nødvendige opplysninger, og betalingstjenesteyterens opptreden i slike tilfeller. Ordlyden er likelydende, med unntak av at pliktsubjektet er yter av mellomliggende betalingstjenester, i stedet for betalingsmottakers betalingstjenesteyter. Utvalget viser til omtalen av artikkel 7 og 8 under punkt 11.2.4.

På samme måte tilsvarer artikkel 13 om yter av mellomliggende betalingstjenester artikkel 9 om betalingsmottakers betalingstjenesteyter. Også yteren av mellomliggende betalingstjenester pålegges å ta i betraktning manglende nødvendige opplysninger ved en pengeoverføring ved vurderingen av om det foreligger en mistenkelig transaksjon som skal rapporteres etter hvitvaskingsdirektivet.

11.2.6 Felles regler om behandling av personopplysninger og andre opplysninger

Betalingstjenesteytere skal gi opplysninger omhandlet i forordningen bare til myndigheter som har til oppgave å forebygge og avdekke hvitvasking og terrorfinansiering, se artikkel 14. Anmodninger skal besvares uten opphold og fullt ut. Anmodningen skal besvares i overensstemmelse med fremgangsmåter etter nasjonal rett, eventuelt gjennom et sentralt kontaktpunkt utpekt i medhold av hvitvaskingsdirektivet.

Behandlingen av personopplysninger etter forordningen er underlagt reglene i personverndirektivet (direktiv 95/46/EF), se artikkel 15 nr. 1. Behandlingen av personopplysninger av betalingstjenesteytere med grunnlag i forordningen skal bare skje med formål om å avdekke og forebygge hvitvasking og terrorfinansiering. Opplysningene kan ikke bli ytterligere behandlet på en måte som er uforenlig med dette formålet. Behandling av personopplysninger med grunnlag i forordningen for kommersielle formål er forbudt, se artikkel 15 nr. 2.

Nye kunder skal få informasjon som regulert i personverndirektivet artikkel 10 før inngåelse av kundeforhold eller utføring av en enkeltstående transaksjon. Informasjonen skal omfatte generell omtale av betalingstjenesteyterens forpliktelser etter forordningen, se artikkel 15 nr. 3.

Betalingstjenesteyterne skal sikre at opplysningenes konfidensialitet respekteres, se nr. 4.

Opplysninger om betaler og betalingsmottaker skal ikke holdes lagret («retained») lenger enn strengt nødvendig («strictly necessary»). Betalingstjenesteyteren for både betaler og betalingsmottaker skal lagre opplysningene omhandlet i artikkel 4 til 7 i fem år, se artikkel 16 nr. 1.

Ved utløpet av lagringstiden skal betalingstjenesteyteren sikre at personopplysninger slettes om ikke nasjonal rett bestemmer noe annet, se nr. 2. Nasjonal rett må gi regler om hvilke omstendigheter som gjør at betalingstjenesteytere skal eller kan lagre opplysningene i lengre tid. Medlemsstatene skal bare tillate eller pålegge lagring av opplysningene utover fem år etter en grundig vurdering av proporsjonaliteten og nødvendigheten av slik lagring, og medlemsstaten anser det begrunnet for å avdekke, forebygge eller etterforske hvitvasking eller terrorfinansiering. Ytterligere lagring skal ikke overstige fem år.

Artikkel 16 nr. 3 gir overgangsregler om lagring av personopplysninger.

11.2.7 Sanksjoner og andre forvaltningstiltak

Medlemsstatene skal gi regler for administrative sanksjoner eller andre forvaltningstiltak for brudd på reglene i forordningen. Medlemsstaten kan i stedet velge å straffe overtredelser av reglene, se artikkel 17 nr. 1 første og annet ledd.

Medlemsstaten skal sikre at der sanksjoner kan ilegges betalingstjenesteyteren skal også medlemmer av det styrende organet («the management body») i foretaket, og andre fysiske personer som etter nasjonal rett kan holdes ansvarlig, kunne ilegges sanksjoner eller andre forvaltningstiltak, se nr. 2. I nr. 5 er det gitt regler om når betalingstjenesteytere som er juridiske personer skal kunne holdes ansvarlig for brudd på reglene fysiske personer har gjort til fordel for den juridiske personen. Nr. 6 bestemmer videre at juridiske personer også skal kunne holdes ansvarlig for brudd der det er manglende tilsyn eller kontroll fra personer nevnt i nr. 5 som har gjort regelbruddet mulig for personer under den juridiske personens myndighet.

Europakommisjonen og felleskomiteen for ESA-ene skal varsles om reglene medlemsstatene implementerer. Det samme gjelder senere endringer, se artikkel 17 nr. 3.

Relevante myndigheter skal, i samsvar med hvitvaskingsdirektivet artikkel 58 nr. 4, ha nødvendig tilsyns- og etterforskningskompetanse for å utføre sine oppgaver. Ved grensekryssende virksomhet skal tilsynsmyndighetene samarbeide over landegrensene. Relevante myndigheter skal ilegge sanksjonene direkte, i samarbeid med andre myndigheter, ved delegasjon til underliggende organer eller gjennom dømmende myndigheter, se artikkel 17 nr. 7.

Artikkel 18 gir regler om hvilke sanksjoner og andre forvaltningstiltak som skal være tilgjengelige for tilsynsmyndigheter, og for hvilke overtredelser disse kan ilegges. Sanksjonsmulighetene skal i alle fall omfatte dem som nevnes i hvitvaskingsdirektivet artikkel 59 nr. 2 og 3. Bruddene som skal kunne sanksjoneres omfatter:

  • betalingstjenesteyter unnlater gjentatt eller systematisk å sende nødvendige opplysninger i samsvar med artikkel 4 til 6.

  • betalingstjenesteyter unnlater grovt, gjentatt eller systematisk å oppbevare registre i strid med artikkel 16.

  • manglende implementering av effektive, risikobaserte rutiner i tråd med artikkel 8 eller 12.

  • yter av mellomliggende betalingstjenester sin grove overtredelse av artikkel 11 eller 12.

Sanksjoner og andre forvaltningstiltak skal publiseres i samsvar med hvitvaskingsdirektivet artikkel 60 nr. 1, 2 og 3, se forordningen artikkel 19. Publiseringen skal skje uten ugrunnet opphold. Publiseringen skal omfatte arten og omfanget av regelbruddet og den ansvarliges identitet, om dette er nødvendig og proporsjonalt etter en vurdering i det enkelte tilfellet.

Ved ileggelsen av sanksjoner eller andre forvaltningstiltak skal relevante myndigheter ta i betraktning alle relevante omstendigheter, inkludert omstendighetene nevnt i hvitvaskingsdirektivet artikkel 60 nr. 4, se forordningen artikkel 20 nr. 1. Etter nr. 2 gjelder plikten til å informere ESA-ene om ilagte sanksjoner etter hvitvaskingsdirektivet artikkel 62 også for ilagte sanksjoner etter forordningen.

Medlemsstatene skal etablere mekanismer for å oppfordre til varsling av brudd på forordningen til relevante myndigheter, se artikkel 21 nr. 1. Mekanismene skal i alle fall omfatte elementene nevnt i hvitvaskingsdirektivet artikkel 61 nr. 2.

Betalingstjenesteytere skal på sin side etablere interne rutiner for ansattes interne varsling om brudd på forordningens regler. Varslingen skal kunne skje på en sikker, uavhengig og anonym måte. Kravet til etablering av varslingsrutiner skal være proporsjonalt med arten og størrelsen på betalingstjenesteyterens virksomhet.

Forordningen stiller generelle krav til relevante myndigheters tilsyn i artikkel 22.

11.2.8 Avsluttende bestemmelser

Forordningen inneholder regler som gir Europakommisjonen adgang til å gi medlemsstater tillatelse til å inngå avtaler med stater utenfor EU (EØS) som innebærer unntak fra forordningens regler, se artikkel 24. Det gis også saksbehandlingsregler for anmodninger fra medlemsstatene om slik tillatelse.

ESA-ene skal gi retningslinjer rettet mot relevante myndigheter og betalingstjenestetilbydere innen 26. juni 2017 om gjennomføring av forordningen, særlig artikkel 7, 8, 11 og 12, se artikkel 25.

Forordningen skal anvendes fra 26. juni 2017.

Til forsiden