7 Legitimasjonskontroll, registrering og oppbevaring av opplysninger mv.
7.1 Legitimasjonskontroll mv.
7.1.1 Gjeldende rett
Plikten til å kreve legitimasjon er fastsatt i finansvl. § 2-17 første ledd. Legitimasjonsreglene avløste bl.a. forskrift om legitimasjon av innskuddskonto i forretnings- og sparebanker fastsatt av Bankinspeksjonen 21. november 1975 med hjemmel i lov 24. mai 1961 nr. 1 om sparebanker § 22 tredje ledd og lov av 24. mai 1961 nr. 2 om forretningsbanker § 20 tredje ledd, jf. Ot. prp. nr. 85 (1991-92).
Institusjonene skal etter finansvl. § 2-17 første ledd kreve «skriftlig legitimasjon av kunder når det etableres et forretningsforhold». Plikten omfatter både institusjonene og deres tjenestemenn. Det er fastsatt nærmere regler i hvitvaskingsforskriften. For det første skal institusjonen kreve gyldig, skriftlig legitimasjon ved etablering av forretningsforhold, herunder ved opprettelse av konto eller depot. Videre skal det kreves slik legitimasjon ved transaksjoner som gjelder 100 000 norske kroner eller mer for kunder som ikke allerede har etablert et forretningsforhold med institusjonen. Endelig skal det uansett beløp kreves legitimasjon dersom det foreligger mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling som etter loven kan medføre høyere straff enn fengsel i 6 måneder.
I hvitvaskingsforskriften § 3 er det fastsatt nærmere krav til legitimasjonsdokumentene, herunder at legitimasjonsdokumentene som hovedregel skal fremlegges i original. I hvitvaskingsforskriften § 4 er det gitt unntak fra plikten til å kreve legitimasjon. Unntakene gjelder bl.a. dersom kunden er en institusjon som er underlagt hvitvaskingsreglene etter forskriften eller tilsvarende regler som oppfyller legitimasjonskravene i Rådsdirektiv 91/308/EØF og underlagt tilsynsordning av EØS-standard.
Institusjonene skal kontrollere legitimasjonsdokumentene, jf. hvitvaskingsforskriften § 5. Kontrollen skal som hovedregel skje ved at kunden møter personlig i institusjonen slik at institusjonen kan forvisse seg om at fotografi og navnetrekk på legitimasjonsdokumentet stemmer overens med kunden. Kravet kan fravikes dersom personlig fremmøte i institusjonen vil være en vesentlig ulempe for kunden og betryggende kontroll likevel kan gjennomføres. Det samme gjelder dersom det av hensyn til etablering av forretningsforholdet eller gjennomføring av transaksjonen ikke vil være praktisk gjennomførbart at personlig fremmøte finner sted. I slike tilfeller kan en institusjon inngå avtale med en annen institusjon som nevnt i forskriften § 1 om at den på vegne av institusjonen som etablerer forretningsforholdet eller gjennomfører transaksjonen skal utføre legitimasjonskontrollen, jf. hvitvaskingsforskriften § 5 fjerde ledd. Institusjonen har i visse tilfeller en plikt til å avvise kunden, jf. hvitvaskingsforskriften § 6.
Etter forskrift 22. mai 1986 nr. 1157 om registrering i Verdipapirsentralen, har kontoførere plikt til å registrere visse opplysninger om kontohavere og på en betryggende måte kontrollere opplysningene. Videre er det gitt enkelte særlige regler om legitimasjonsplikt i forskrift 22. juni 1990 om valutaregulering. Kredittilsynet har gitt enkelte veiledninger i Rundskriv 13/99.
7.1.2 Endringsdirektivet
Det er ikke foretatt endringer i hovedreglene om legitimasjonsplikt. På bakgrunn av at direktivets anvendelsesområde utvides, vil imidlertid flere foretak og personer pålegges slike forpliktelser. Det er fastsatt enkelte særregler for kasinoer i direktivet artikkel 3 nr. 5 og 6.
I direktivet artikkel 3 nr. 11 er det angitt enkelte særregler for foretak som tilbyr finansielle tjenester elektronisk. Slike foretak vil i liten eller ingen utstrekning ha direkte fysisk kontakt med kundene i form av personlig fremmøte i institusjonen. Som følge av dette vil hvitvaskingsrisikoen øke. Aktuelle foretak og personer skal derfor iverksette nødvendige tiltak for å motvirke den økte risiko for hvitvasking av utbytte ved etablering av forretningsforhold eller gjennomføring av transaksjoner med en kunde som ikke møter fysisk for identitetskontroll. Slike tiltak skal sikre at kundens identitet kan fastslås, for eksempel ved å kreve supplerende dokumentasjon eller supplerende tiltak for å kontrollere eller verifisere de innleverte legitimasjonsdokumentene, eller en bekreftende attestering fra en annen institusjon som er omfattet av direktivet, eller ved å kreve at den første betaling i forbindelse med transaksjonen skal foretas via en konto åpnet i kundens navn i en kredittinstitusjon som er omfattet av direktivet.
7.1.3 Arbeidsgruppens forslag
Arbeidsgruppen foreslår i hovedsak å videreføre gjeldende regler om når plikten til å identifisere kunder inntrer. Det foreslås å lovfeste en generell regel om legitimasjonsplikt ved mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling, uavhengig av den straffbare handlingens strafferamme, jf. lovutkastet § 2 og omtale i rapporten punkt 5.1.3.
Arbeidsgruppen foreslår å lovfeste gjeldende hovedregel fastsatt i hvitvaskingsforskriften om at identitetskontrollen skal skje ved kundens personlige fremmøte hos den rapporteringspliktige. Dersom personlig fremmøte er til vesentlig ulempe for kunden kan det gjøres unntak fra kravet, såfremt betryggende identitetskontroll likevel kan finne sted. Arbeidsgruppen legger til grunn at det kan fastsettes nærmer regler om gjennomføring av legitimasjonskontrollen, og eventuelt unntak fra plikten til å gjennomføre legitimasjonskontroll, jf. lovutkastet § 15.
Når det gjelder elektroniske finansielle tjenester, uttaler arbeidsgruppen (rapporten punkt 5.2):
«Ved tilbud om elektroniske finansielle tjenester, vil det ofte være behov for å etablere rutiner for utkontraktering av identitetskontrollen. En forutsetning for slik utkontraktering, er at identitetskontrollen gjennomføres på en forsvarlig måte. Det vises her til hvitvaskingsforskriftens § 5 tredje ledd hvor det fremkommer at «I tilfeller som nevnt i annet ledd kan en institusjon inngå avtale med en annen institusjon som nevnt i § 1 om at den på vegne av institusjonen som etablerer forretningsforholdet eller gjennomfører transaksjonen skal utføre legitimasjonskontrollen ved personlig fremmøte av kunden». Kredittilsynet har således godkjent at flere internettbaserte banker etter nærmere avtale har utkontraktert legitimasjons-kontrollen til Posten Norge AS. Ved utkontraktering av legitimasjonskontrollen har primærforetaket fortsatt ansvaret for at det foretas en forsvarlig identitetskontroll, herunder at det foretas betryggende opplæring av de personer som foretar kunderettede funksjoner, jf. forskriftens § 12. Opplæringsplikten omfatter også trening (oppfølging) av personalet.
Tidspunktet for gjennomføring av legitimasjonskontrollen, er en problemstilling som særlig er aktualisert i forbindelse med internettbaserte bankers virksomhet. Denne problemstillingen er omtalt i FATFs Konsultasjonsdokument s. 37-38. Etter arbeidsgruppens oppfatning er det av hensyn til en forsvarlig legitimasjonskontroll ønskelig at kontrollen finner sted allerede ved etablering av kundeforholdet, og at prosessen eksempelvis ikke kan utsettes til kundens første innbetaling, gjennomføring av transaksjon eller lignende. For å unngå diskusjon om hvilket tidspunkt som skal gjelde bør tidspunktet for identitetskontrollen fremgå direkte av lovteksten, se lovutkastet § 2 første ledd.
Etter arbeidsgruppens vurdering kan departementet i forskrift gi nærmere regler om at rapporteringspliktige skal iverksette nødvendige tiltak for å motvirke den økte risiko for hvitvasking av utbytte i tilfelle hvor kunden ikke personlig møter i foretaket ved etablering av forretningsforholdet.»
Arbeidsgruppen uttaler i rapporten punkt 3.2. at det med rapporteringspliktige bl.a. menes «andre som utfører funksjoner på vegne av nevnte fysiske og juridiske personer (for eksempel ved utkontraktering)».
7.1.4 Høringsinstansenes merknader
Flere høringsinstanser har innvendinger til arbeidsgruppens forslag. Innvendingene knytter seg for det første til tidspunktet for legitimasjonskontroll. Kredittilsynetuttaler bl.a. at det i lovteksten bør vurderes å inntas en klargjøring av når et forretningsforhold anses etablert eller av når legitimasjonskontrollen bør foretas. Når det gjelder banker, viser Kredittilsynet til at tilsynet tidligere har hevdet at kontrollen må gjøres ved opprettelse av konto, som er det første som gjøres ved inngåelse av avtale om kredittkort. Etter Kredittilsynets oppfatning etablerer banken et kundeforhold med kortkunden ved inngåelse av slike avtaler. Kredittilsynet foreslår følgende lovtekst:
«Ved etablering av forretningsforhold, skal rapporteringspliktige kreve gyldig skriftlig legitimasjon av kunden. Kundeforhold skal anses etablert på det tidligste tidspunktet kunden kan gjøre bruk av rapporteringspliktiges tjenester, for eksempel ved opprettelse av konto eller utstedelse av betalingskort.»
Fondsmeglerforbundet mener at det kritiske punkt i kjeden er tidspunktet for kontoåpning, dvs. åpning av enten pengekonto eller VPS-konto. Regelverket bør etter Fondsmeglerforbundets syn derfor knytte bl.a. legitimasjonskontrollen til dette tidspunkt, med forbehold for tilpasning til tekniske løsninger som nevnt ovenfor. Fondsmeglerforbundet mener det er i forbindelse med kontoåpning at det åpnes en «vei» inn i det finansielle systemet for overføring av midler og potensiell hvitvasking.
Videre mener flere høringsinstanser, herunder Kredittilsynet, Finansieringsselskapenes Forening, Nærings- og Handelsdepartementet, Norges Bank, Norges Fondsmeglerforbund, Verdipapirsentralen, Abelia, ZebSign og Telenor at lovutkastet ikke i tilstrekkelig grad følger opp problemer som er forbundet med gjeldende regler om legitimasjonskontroll.
Flere høringsinstanser, bl.a. Nærings- og Handelsdepartementet, Abelia (som er en bransjeorganisasjon innenfor NHO for IKT- og kunnskapsbedrifter) og ZebSign (som er godkjent sertifikatutsteder for kvalifiserte elektroniske sertifikater (eies av Posten og Telenor)), foreslår at legitimasjonskravene må kunne oppfylles uten personlig fremmøte, dersom personer kan legitimere seg elektronisk med et kvalifisert elektronisk sertifikat. Nærings- og Handelsdepartementet uttaler følgende:
«Nærings- og Handelsdepartementet er enig i at en sikker identitetskontroll er avgjørende i de tilfeller som reguleres av bestemmelsen og viktig for å oppnå formålet med loven. Vi ser at personlig fremmøte ved legitimasjonsfremleggelsen vil kunne bidra til dette.
Imidlertid vil vi påpeke at det finnes tekniske løsninger for en elektronisk legitimasjon som etter vår oppfatning vil innebære en like sikker identitetskontroll som bestemmelsen legger opp til. En forutsetning for å akseptere en slik elektronisk legitimasjon må i så fall være at den elektroniske legitimasjonen også må bygge på en legitimasjonskontroll der kunden møter opp fysisk og fremlegger godkjent og gyldig skriftlig legitimasjon. I denne sammenheng viser vi til reglene om elektronisk sertifikat i lov 15. juni 2001 nr. 81 om elektronisk signatur § 4, jf. § 3. Disse oppstiller krav til identifikasjonskontroll, og kontrollen skal sikre at den elektroniske legitimasjonen utleveres til rette vedkommende. Legitimeringen vil kreve fysisk oppmøte, jf. forskrift 15. juni 2001 om krav til utsteder av kvalifiserte sertifikater mv. § 7.
Så langt vi kan se er kravet for å få et kvalifisert elektronisk sertifikat i samsvar med de krav som stilles i lovforslagets § 2. Etter departementets oppfatning kan det derfor stilles spørsmål om ikke innehavere av et kvalifisert elektronisk sertifikat må anses for å oppfylle vilkårene i § 2, når han for å få utstedt sertifikatet har legitimert seg overfor sertifikatutsteder ved fysisk fremmøte.
Lov om elektronisk signatur oppstiller i kapittel III, §§ 10 - 15, krav til utstedere av elektroniske sertifikater. I lovens § 22 vil en sertifikatutsteder som utsteder sertifikater som utgis for å være kvalifiserte, eller som garanterer for slike sertifikater utgitt av en annen, på nærmere vilkår være erstatningsansvarlige for tap hos en fysisk eller juridisk person. I dag er ZebSign AS godkjent som sertifikatutsteder for kvalifiserte elektroniske sertifikater, men i nær fremtid må det antas at også andre, kanskje særlig banker og andre finansinstitusjoner, ønsker å bli godkjent som sertifikatutstedere.
På denne bakgrunnen vil departementet anmode om at bestemmelsen i lovforslagets § 2 endres slik at personer som kan legitimere seg elektronisk med et kvalifisert elektronisk sertifikat oppfyller kravene i § 2 uten å møte frem personlig, når et kvalifisert sertifikat er tatt i bruk.»
ZebSigngir uttrykk for tilsvarende synspunkter som Nærings- og Handelsdepartementet. ZebSign har videre foretatt en vurdering av sikkerhetsegenskapene ved elektronisk legitimasjon og skriftlig legitimasjon, og uttaler om dette:
«I det følgende sammenlikner vi sikkerhetsegenskapene ved elektronisk legitimasjon og skriftlig legitimasjon. Vi benytter begrepet elektronisk legitimasjon synonymt med elektronisk ID og elektronisk sertifikat. Det forutsettes at sertifikatet tilfredsstiller kravene til kvalifisert sertifikat, jf. Lov om elektronisk signatur. Vi benytter begrepet skriftlig dokumentasjon om de skriftlige, originale identifikasjonsdokumentene hvitvaskingsreglene oppstiller krav om.
Reglene om kvalifisert sertifikat oppstiller strenge krav til identifikasjonskontroll. Kontrollen skal sikre at den elektroniske legitimasjonen utleveres til rette vedkommende. Legitimeringen krever at et fysisk oppmøte har skjedd. Disse kravene står ikke tilbake for kravene til sikker identifikasjon slik disse fremkommer i hvitvaskingsreglene. Tilsvarende gjelder for oppbevaring av dokumentasjon i forbindelse med identifikasjonskontrollen.
Reglene om kvalifisert sertifikat forutsetter at sertifikatinnehaver utstyres med mekanismer som på en praktisk måte gjør det mulig for vedkommende å kontrollere at bare vedkommende selv kan benytte sertifikatet. Beskyttelsen skjer ved logiske og fysiske beskyttelsesmekanismer. Eksempel på logisk beskyttelse er passord i ulike former, fast passord, gjerne styrket med engangspassord. Fysisk beskyttelse skjer ved at den elektroniske legitimasjonen beskyttes i smartkort eller lagres sentralt i fysisk beskyttede omgivelser hos en tiltrodd tredjepart. I motsetning til papirlegitimasjon, der brukeren er gitt få effektive muligheter for å beskytte denne.
Sertifikatinnehaveren kan bytte passord. Det settes minimumsregler med hensyn på passordlengde mv. Reglene er tvungne, brukere har ingen mulighet for å omgå dem. Det blir dermed mindre «slitasje» på sikkerheten omkring en elektronisk legitimasjon, sammenliknet med en papirbasert, skriftlig legitimasjon, fordi brukeren har effektive midler til rådighet for å opprettholde sikkerheten knyttet til den elektroniske legitimasjonen.
Dersom en elektronisk legitimasjon sperres, får sperringen umiddelbar effekt - den elektroniske legitimasjonen kan etter sperringen ikke benyttes. Umiddelbar virkning oppnås fordi alle som sjekker elektronisk legitimasjon, er forpliktet til å kontrollere mot sperrelister hver gang den elektroniske legitimasjonen benyttes. Kontrollen skjer mot en bestemt katalog. Katalogen er tilgjengelig hele tiden og à jour med sperringer til enhver tid. Dette i motsetning til skriftlig legitimasjon. Dersom skriftlig, falsk legitimasjon er i omløp, er det nærmest umulig å sikre at den falske legitimasjonen ikke lenger kan misbrukes. Et falsk ID-kort vil bli benyttet inntil en skarpsindig kontrollør fatter mistanke, på et mer eller mindre subjektivt grunnlag.
Terskelen kan være høy for at kontrolløren utfordrer gyldigheten av den skriftlige legitimasjonen. Om den falske legitimasjonen passerer eller ikke, er avhengig av personlige egenskaper mv. hos kontrolløren. Dersom kontrollør A underkjenner legitimasjonen, er det bare for vedkommende å prøve seg igjen hos en annen kontrollør. Dette i motsetning til elektronisk legitimasjon. Dersom det er kjent at den elektroniske legitimasjonen er falsk, blir dette effektivt og umiddelbart kringkastet til enhver som måtte bli forsøkt lurt til å akseptere legitimasjonen.
Sperring av elektronisk legitimasjon er mer effektiv enn noen annen for sperring. Den er mer effektiv enn for eksempel tradisjonelle systemer for tilgang og sperring av tilgang. Dette skyldes at kontrollen av sistnevnte skjer mot distribuerte sperrelister. Distribusjonen tar tid. Listene er ikke alltid tilgjengelige. Ting kan gå galt under distribusjonen. Sperrelistene for elektronisk legitimasjon er sentralt tilgjengelige på Internett. Fra og med det øyeblikk det anmodes om sperring, vil sperringen være tilgjengelig for alle og stanse all videre bruk av den elektroniske legitimasjonen.
Sertifikatene er tilgjengelige for alle i åpen katalog på Internett, slik at alle til enhver tid kan kontrollere hvilke sertifikater som verserer og som bærer vedkommendes navn. Funksjoner som «Find People» og andre oppslagstjenester benyttes for å finne sertifikatene. Et sertifikat som lyder på person A, og som er ukjent for A, kan A sperre med umiddelbar og absolutt virkning. Dette i motsetning til falsk, skriftlig legitimasjon, der det i praksis er umulig å «kalle tilbake» falske legitimasjonspapirer.
I og med at hvert elektronisk sertifikat har et unikt sertifikatserienummer, er det mulig å identifisere transaksjoner mv. som er signert med «falske» sertifikater. Adekvat aksjon kan deretter iverksettes. Dersom skriftlig, falsk legitimasjon har vært benyttet, er det nærmest en umulig oppgave å avdekke alle transaksjoner mv. som er utført med den falske legitimasjonen.
Hvitvaskingsreglene forutsetter at individet skal legitimeres ved et nytt fysisk fremmøte hver gang vedkommende skal etablere et (nytt) kundeforhold i en institusjon som omfattes av reglene. Det vil være rasjonelt for samfunnet og enkeltindividet at legitimasjon basert på et fysisk oppmøte skjer én (1) gang, og at vedkommende deretter legitimerer seg ved å presentere det elektroniske sertifikatet som han/hun fikk utlevert i forbindelse med det fysiske oppmøtet. Senere «elektroniske fremmøter» basert på det elektroniske sertifikatet, er en garanti for at den person som fremgår av sertifikatet, har identifisert seg ved et fysisk fremmøte og ved kontroller som beskrevet i hvitvaskingsreglene.»
ZebSign foreslår at lovforslaget § 2 første ledd får følgende ordlyd:
«Ved etablering av forretningsforhold skal rapporteringspliktige kreve gyldig skriftlig legitimasjon av kunden, eller elektronisk legitimasjon som tilfredsstiller kravene til kvalifisert sertifikat i Lov om elektronisk signatur.»
Videre foreslår ZebSign at lovforslaget § 2 fjerde ledd skal lyde:
«Identitetskontrollen skal skje ved kundens personlige fremmøte hos den rapporteringspliktige, eller ved et elektronisk fremmøte basert på en elektronisk legitimasjon som tilfredsstiller kravene til kvalifisert sertifikat i Lov om elektronisk signatur».»
Abeliagir uttrykk for tilsvarende synspunkter.
Kredittilsynetmener det ved utformingen av en ny lov bør foretas en overordnet vurdering av hvilke krav som skal stilles til legitimasjonskontrollen, samt om samme krav skal gjelde for alle typer virksomheter, eller om det skal gjøres unntak fra det oppstilte kravet for enkelte typer virksomheter, for eksempel bankenes nettbaserte tjenester. Kredittilsynet uttaler bl.a.:
«Det må, etter Kredittilsynets mening, i denne vurderingen både tas høyde for at de aller fleste banker har nettbaserte tjenester, noen baserer sin virksomhet utelukkende på elektronisk kommunikasjon, og at hvitvaskingsdirektivet nå skjerpes. Når banker baserer sin etablering av forretningsforhold til kunder på elektronisk kommunikasjon vil banken ha problemer med å innfri kravet til legitimasjonskontroll ved kundens personlige fremmøte. På den annen side må legitimasjonskontrollen kunne sies å være en svært viktig del av forebyggelsen av hvitvasking, som ikke bør svekkes gjennom den måten bankene velger å organisere sin virksomhet på. Slik Kredittilsynet ser det, vil endringsdirektivets innskjerpelse når det gjelder hvem som skal være underlagt regelverket kunne få mindre omfattende positive effekter enn ønsket, dersom kontrollen blir svekket gjennom at institusjonene i dag tilbyr tjenester hvor det ikke er forutsatt at kunden skal møte personlig. Det må i denne sammenheng påpekes at når en kunde har opprettet et kundeforhold med for eksempel en bank, er kunden «inne» i det finansielle systemet, og har relativt fritt spillerom. Det er derfor svært viktig at finansinstitusjonene vet hvem som slipper inn som kunde. Denne vissheten om hvem som godtas som kunde fås, etter Kredittilsynets mening, lettest gjennom en grundig legitimasjonskontroll.
Slik Kredittilsynet ser det kan en mulig løsning for eksempel være å pålegge virksomhetene å utkontraktere denne kontrollen i slike tilfeller. Lovforslagets hovedregel om kontroll ved personlig fremmøte vil dermed kunne ivaretas gjennom at denne kontrollen foretas av en annen institusjon. Kredittilsynet vil understreke at direktivet er et minimumsdirektiv, og at det i forhold til direktivet ikke er noe i veien for at bankene pålegges dette. På den annen side har man i Sverige gått langt i retning av å godta at bankene ikke har mulighet til å innfri kravet om kontroll ved personlig fremmøte når de tilbyr internettbaserte tjenester. Vi er imidlertid ikke kjent med hvilke endringer som eventuelt må gjøres i Sverige på bakgrunn av direktivet. I vurderingen av hvilke krav som skal legges på institusjonene når de tilbyr tjenester som baseres på elektronisk kommunikasjon, bør det etter Kredittilsynets mening innføres en ordning som ikke er av en slik karakter at konkurransen mellom virksomhetene påvirkes. Kredittilsynet vil i denne sammenheng bemerke at det er lagt til grunn at utenlandske filialer i Norge fullt ut er underlagt norske hvitvaskingsregler, slik at konkurransen ikke forrykkes ved at filialer forholder seg til sitt hjemlands (lempeligere) regler i denne sammenheng.
Dersom situasjonen tilsier at legitimasjonskontrollen kan gjøres på en annen måte enn ved kundens personlige fremmøte hos den rapporteringspliktige, når institusjonene tilbyr internettbaserte tjenester, er Kredittilsynet av den oppfatning at dette bør fremgå eksplisitt av lovteksten. Det vil, etter Kredittilsynets mening være uheldig å gi en lov som inneholder en streng hovedregel, mens det gis relativt vide unntak i forskrift. Loven vil antagelig bli mer informativ dersom også unntakene eller de alternative fremgangsmåtene fremgår av lovteksten.»
Kredittilsynet uttaler videre følgende:
«Etter Kredittilsynets mening er ordningen i Sverige blitt for lempelig, sett i forhold til at den internasjonale lovgivningen går i retning av strengere tiltak mot hvitvasking.
Kredittilsynet er enig med arbeidsgruppen i at hovedregelen om legitimasjonskontroll ved kundens personlige fremmøte hos de rapporteringspliktige bør opprettholdes, og at det bør åpnes for at bankene når de tilbyr internettbaserte tjenester kan ivareta denne kontrollen på annen måte, for eksempel ved utkontraktering av kontrollen til en annen institusjon som er underlagt hvitvaskingsregelverket. Slik Kredittilsynet ser det, bør unntaket fremkomme av loven. Den institusjonen som lettest vil kunne tilby en slik tjeneste, vil antagelig være Posten Norge AS. Kredittilsynet mener imidlertid at det verken i lov eller forskrift bør reguleres hvilken institusjon bankene skal kunne bruke, da dette vil kunne skap en monopolsituasjon som ikke er ønskelig. Det bør imidlertid være et krav at også disse institusjonene er underlagt hvitvaskingsregelverket.»
Kredittilsynet vil foreslå at følgende regel vurderes inntatt i hvitvaskingsloven som § 2 fjerde ledd:
«Identitetskontrollen skal som hovedregel skje ved kundens personlige fremmøte hos den rapporteringspliktige. Dersom den rapporteringspliktige fraviker kravet om personlig fremmøte, eksempelvis ved at finansielle tjenester tilbys elektronisk, skal foretaket iverksette nødvendige tiltak for å motvirke den økte faren for hvitvasking av utbytte. Kongen kan i forskrift fastsette nærmere retningslinjer for dette, herunder retningslinjer om at en annen institusjon underlagt hvitvaskingsregelverket kan eller skal utføre identitetskontrollen på vegne av den primære rapporteringspliktige (utkontraktering). Den primære rapporteringspliktige har i slike tilfeller ansvaret for at legitimasjonskontrollen utøves på forsvarlig måte i samsvar med lov og forskrift.»
Også Verdipapirsentralen mener at utkastets regler om legitimasjonskontroll i for stor grad fokuserer på personlig oppmøte og at dette skal skje ved etablering av kundeforholdet, og uttaler:
«Vi vil i denne sammenheng påpeke at mange av kontoførerne i VPS er foretak lokalisert i Oslo uten noe filialnett, selv om de har kunder over hele landet. For mange av kundene skjer all kundekontakt via telefon eller Internett. Utfordringen for kontoførerne er å finne mekanismer som gjør det mulig å åpne konti på en måte som tilfredsstiller dagens hvitvaskingsregler. Særlig når det er spesielle tidsbegrensede hendelser, som for eksempel emisjoner med stor offentlig interesse, er det viktig å kunne åpne konti for nye kunder innenfor de tidsrammer som emisjonen setter. Det er derfor etter vår mening viktig at reglene mot hvitvasking må være fleksible i forhold til ulike fremgangsmåter for å sikre seg at man kjenner kundens identitet. Dette er særlig viktig med tanke på at det må forventes at den teknologiske utviklingen vil tilveiebringe nye autentiseringsmekanismer.»
Verdipapirsentralen og Norges Fondsmeglerforbund nevner som eksempel den ordningen VPS etablerte i forståelse med Kredittilsynet i forbindelse med statens nedsalg i Telenor ASA. Verdipapirsentralen uttaler:
«Denne ordningen innebar at investor selv meldte inn de nødvendige opplysninger for å etablere en vps-konto over Internett. Det ble på bakgrunn av disse opplysningene opprettet en vps-konto som investor kunne benytte ved tegning i nedsalget. For å sikre at formålet med hvitvaskingsreglene ble oppfylt, ble kontoen sperret for uttak. Sperringen kunne kun oppheves av kontofører etter at det var gjennomført en legitimasjonskontroll i samsvar med hvitvaskingsforskriftens regler.
Grunnen til at denne ordningen kunne aksepteres i den aktuelle saken var at det ble vurdert som et særlig tilfelle der fremmøte gjennomføringen av transaksjonene ikke ville være praktisk gjennomførbar dersom personlig fremmøte skulle finne sted. Unntaksbestemmelsen kunne derfor anvendes. Det er ikke umiddelbart lett å se at en slik ordning som den beskrevne skal måtte begrenses til særlige tilfeller. Dagens regler er på dette området likevel videreført i utkastet. Vi ber om at Finansdepartementet vurderer å endre dette slik at andre mekanismer enn personlig oppmøte kan benyttes også i normalsituasjoner, gitt at hensikten bak identitetskontrollen ivaretas på en betryggende måte.
Vi merker oss for øvrig at det synes forutsatt at legitimasjonskontrollen kan utkontrakteres, men at dette ikke fremgår av lovteksten. Dette er etter vår oppfatning en svakhet.»
Norges Bank viser til at bankene arbeider med et felles identifikasjonsprosjekt kalt «BankID» der alle banker vil benytte den samme identifikasjonsløsningen. Norges Bank viser til at dette betyr at identifikasjonsbeviset blir utstedt ved kontroll av annen godkjent legitimasjon, og avtaleinngåelse om bruk av bankens internettbaserte løsning kan foregå på Internet, uten personlig fremmøte eller skriftlig legitimasjon.
Når det gjelder spørsmålet om hvem som kan utføre identitetskontrollen, uttaler Finansnæringens Hovedorganisasjon (FNH) følgende:
«FNH mener det er meget viktig at det finnes alternative og praktiske muligheter for identitetskontroll, der hvor kunden ikke kan møte i finansinstitusjonen. Etter lovutkastet § 1 første og annet ledd gjelder loven for de der nevnte fysiske og juridiske personer, deres ansatte og «enhver som utfører funksjoner på deres vegne». FNH legger til grunn at dette innebærer en utvidelse av kretsen av rapporteringspliktige ved at også de som utfører aktuelle funksjoner for finansinstitusjonene i utgangspunktet er rapporteringspliktige. Denne utvidelsen kan ikke ses å være nærmere drøftet eller begrunnet i arbeidsgruppens rapport, men etter vår forståelse av ordlyden i utkastet § 2 fjerde ledd, jf § 1, må dette innebære at de som opptrer på vegne av en finansinstitusjon (for eksempel ved inngåelse av en kredittavtale på vegne av et finansieringsselskap) også kan/skal gjennomføre identitetskontroll på vegne av finansinstitusjonen.»
Fondsmeglerforbundethar bl.a. uttalt følgende om kravet til personlig fremmøte:
«Det er vår oppfatning at man bør legge større vekt på en vid betraktning av «kjenn din kunde» spørsmålet slik at de som skal utøve sine kontroll- og rapporteringsplikter får et bredere fokus enn fokus på en legitimasjonskontroll gjennom et møte. Kravet til personlig fremmøte hos den rapporteringspliktige innebærer dessuten at kunden skal møte hos institusjonen, hvilket åpenbart ikke kan være nødvendig. Kontroll kan godt skje ved møte hos kunden eller i andre relasjoner. Vi kan ikke se at det er noen som helst grunn til å gjøre denne legitimasjonskontrollen mer tyngende enn nødvendig. Man bør derfor uansett vurdere å endre begrepsbruken slik at identitetskontrollen som utgangspunkt skal skje ved et møte mellom kunden og den rapporteringspliktige.»
Finansieringsselskapenes Foreninguttaler bl.a. følgende om kontroll av fysiske legitimasjonspapirer:
«En slik kontroll kan i høyden være et utgangspunkt, men er i realiteten helt utilstrekkelig dersom man står overfor en kunde som bevisst ønsker å opptre med falsk identitet. På utlånssiden har man av naturlige grunner måtte utarbeide rutiner som tar hensyn til denne risiko for å sikre seg at utlånte midler er erholdelige. Ulike tiltak er iverksatt, men felles for de alle er at man nøye vurderer kostnadene med tiltakene i forhold til den nytte de gir.»
Finansieringsselskapenes Forening anfører videre at fysisk identitetskontroll i mange tilfeller fremtrer som et svært kostbart tiltak med relativt liten nytteeffekt. Som begrunnelse for dette vises til:
«For det første problemet med forfalskede legitimasjonspapirer. Omfanget av dette er nå så stort at å etablere dette som bærebjelken i identitetskontrollen virker fåfengt. Flere av våre medlemmer aksepterer for eksempel ikke lenger pass alene. Ytterligere kontroll må vanligvis iverksettes, gjerne i form av ulike former for elektronisk avstemming med andre registre umiddelbart etter at kundeforholdet er etablert og senere overvåking slik at man blir sikre på hvem kunden er og hva som er hans formål med kundeforholdet.
Myndighetene har gjort lite for å avhjelpe problemet med forfalskede legitimasjonspapirer. I hovedsak dreier det seg om offentlige utstedte papirer der selve dokumentet er korrekt, men bildet manipulert slik at dokumentet identifiserer en annen enn den korrekte innehaver. Andre ganger er dokumentet i sin helhet korrekt, men kommet på avveie og besitteren har tiltatt seg et utseende som gjør at vedkommende kan «seile under falsk flagg».
Felles i begge tilfelle er at det originale legitimasjonsdokumentet, eller materiale til et slikt dokument, er kommet på avveie. Det er mer sjelden at dokumentet i sin grunnkonstruksjon er falskt. Det er vår oppfatning at som regel vil tapet være meldt/registrert ett eller annet sted. Det vi savner er en sentral registrering av slike innmeldte tap med søkemulighet for virksomheter som er underlagt krav om legitimasjonskontroll.
Inntil et slikt register foreligger, bør tanken om at fysisk legitimasjonskontroll skal ivareta identitetskontrollen, tones ned. Det bør kun være et tiltak der det enkelt kan gjennomføres uten særlige kostnader.
For det andre så fremtrer behovet for legitimasjonskontroll ut i fra lovens formål som særlig relevant på betalingstransaksjoner inn i det finansielle system. En låntaker er selvfølgelig å anse som kunde, men vi stiller spørsmålet om man ut i fra hensynet med regelverket treffer riktig når man i så stor grad konsentrerer seg om identitetskontroll av låntaker. Vår erfaring er at Økokrim i lånetilfelle i særlig grad er opptatt av hvem som tilbakebetaler lånet. Siden finansieringsselskapene ikke har noe etablert filialsystem, vil nedbetalingen av lånet skje gjennom det åpne betalingssystem som styres av bankene. Långiver konstaterer at lånet blir tilbakebetalt og at betalingene kommer gjennom BBS. Hvordan betaler har initiert denne betalingen - om det er kontant innbetaling i en bankekspedisjon eller belastning av bankkonto - vil man bare unntaksvis legge merke til. Tilbakebetaling av lån vil i seg selv ikke bli oppfattet som en mistenkelig transaksjon med mindre vedkommende kommer personlig til finansieringsselskapet og vil betale med kontanter.
Vi mener ikke med dette at man kan la være å forvisse seg om lånekundens identitet, men det foreligger gode grunner til ikke å i verksette tiltak som går utover de krav som settes i EU-dir 2001/97/EF. Dette gjelder særlig i de tilfelle der man ikke har fysisk kontakt med kunden. Krav om personlig fremmøte av en låne- eller kortkunde for kun å kontrollere utseende og navnetrekk mot et medbrakt legitimasjonsdokument, fremstår som et svært ressurskrevende tiltak med begrenset nytteverdi.
Finansieringsselskapenes produkter er spesielt lånerelatert. I svært liten utstrekning tar selskapene i mot innlån fra publikum. Selskapene har intet ordinært filialnett åpent for publikum. Dette gjør det særlig byrdefullt med krav til fysisk oppmøte av kunden.
Det åpnes i lovutkastet § 2 for unntak der det vil foreligge vesentlig ulempe, men etter vår oppfatning er de eksempler som er nevnt som aktuelle unntak på rapportens s. 35 og ikke minst i Kredittilsynets sirkulære 13/99 s. 8, altfor begrensende. Ulempevurderingen synes kun å være knyttet til kundens situasjon. Dette blir for snevert og også ulemper for institusjonen må være relevante. Det tilsier adgang til unntak fra fremmøteplikten i flere tilfelle enn nevnt, såfremt institusjonen på annen måte forvisser seg om kundens identitet.»
Finansieringsselskapenes Forening finner at reglene for hvem som skal utføre legitimasjonskontrollen er uklare i arbeidsgruppens forslag. Det uttales bl.a.:
«Kontrollen må nødvendigvis utføres av ansatte i institusjonen. Dette må institusjonen selv styre. Flere finansieringsselskaper selger sine produkter gjennom et forhandlerledd. Forhandlerne opptrer ved låneetableringen som en agent med finansieringsselskapet som oppdragsgiver. Det er etter gjeldende praksis lagt til grunn at långiver kan delegere legitimasjonskontrollen til forhandler. Vi oppfatter formuleringen i lovutkastet § 1 «Denne loven gjelder for følgende fysiske og juridiske personer, deres ansatte og enhver som utfører funksjoner på deres vegne» slik at den rapporteringspliktige kan gi fullmakt til andre å utføre legitimasjonskontrollen på sine vegne. Tilsvarende vil gjelde ved bruk av Postens tjenester som omtalt i arbeidsgruppens rapport.
Vi blir imidlertid noe forvirret når arbeidsgruppen på s. 37 synes å forutsette at slik utkontraktering av legitimasjonskontrollen kun kan gå til Posten Norge AS etter godkjennelse fra Kredittilsynet. En slik løsning, basert på leveranser fra aksjeselskapet Posten Norge, anser vi som svært lite tilfredsstillende. Dette vil innebære avhengighet av én leverandør og vil være lite robust for de endringer i tjenestespekter som Posten Norge AS måtte gjennomføre. Særlig finansinstitusjoner uten tilgang til et større distribusjonsnett, vil kunne rammes alvorlig av den ulempe dette vil kunne medføre. Disse vil med de regler som foreslås i realiteten ikke ha andre alternativer enn bruk av Postens tjenester.
Det fremstår som uklart hvordan arbeidsgruppen egentlig har tenkt seg dette regulert.»
Når det gjelder elektroniske finansielle tjenester, uttaler Finansieringsselskapenes Forening bl.a.:
«Manglende direkte kontakt med kunden øker hvitvaskingsrisikoen og medfører behov for supplerende tiltak. Tilbys tjenesten elektronisk, reduseres imidlertid risikoen. Elektroniske transaksjoner etablerer så mange spor at de er svært lite egnet for personer som ønsker å skjule sine spor. Hvitvaskingsproblematikken er i særlig grad knyttet til fysiske verdibærere som kontanter, gull, edelstener og lignende der rettighetene utøves av ihendehaveren.
Av St.meld. nr. 41 (1998-99) «Om elektronisk handel og forretningsdrift» fremgår det at:
«Regjeringen har som mål at elektronisk kommunikasjon og bruk av nett som infrastruktur for samhandling skal bli like akseptert, tillitsvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon og dokumentasjon.»
På bakgrunn av myndighetenes arbeid med å tilrettelegge for elektronisk handel og forretningsdrift, er Finansieringsselskapenes Forening overrasket over at problemstillinger knyttet til dette ikke er drøftet grundigere i høringsutkastet. De krav til legitimasjonskontroller som er foreslått vil medføre et effektivt hinder for gjennomføring av identitetskontroll ved hjelp av elektronisk kommunikasjon selv i de tilfeller der dette gir betryggende kontroll. Loven bør ta høyde for at identitetskontroll basert på moderne teknologi kan gjennomføres.
Høringsutkastet innebærer også at det ikke vil være mulig å ta i bruk elektronisk signatur eller lignende for å sikre betryggende verifisering av identitet ved etablering av kundeforhold. Utkastet fremstår på dette område som lite fremtidsrettet og dårlig harmonisert med det arbeid som myndighetene for øvrig har gjort på dette området.
EU-dir 2001/97/EF fremstår i denne sammenheng som langt mer tilpasset moderne teknologi ved at det avveier de ulike hensyn og kommer frem til en løsning som synes praktikabel. Arbeidsgruppens begrunnelse om at det av «hensyn til en forsvarlig legitimasjonskontroll er ønskelig at kontrollen finner sted allerede ved etablering av kundeforholdet, og at prosessen eksempelvis ikke kan utsettes til kundens første innbetaling, gjennomføring av transaksjon eller lignende» fremstår som svært unyansert, lite gjennomtenkt med hensyn til den praktiske virkelighet og i utakt med den internasjonale regelverksutvikling på området. Vi vil derfor sterkt henstille til departementet å benytte den adgang direktivets art. 3 pkt. 9 og 10 gir for å etablere et praktikabelt regelverk.
Vi kan vanskelig å se at det foreligger særnorske forhold som gjør at det for finansinstitusjoner som tilbyr sine tjenester fra norsk forretningssted, er nødvendig med spesielle regler for å oppnå en forsvarlig identitetskontroll. Loven bør ikke på denne måten stenge for alternative måter å sikre at forsvarlig legitimasjonskontroll gjennomføres. Dersom forslaget vedtas vil det innebære et sterkt konkurransehinder i forhold til utenlandske tilbydere samt for nye institusjoner, og dermed svekke konkurransen i markedet for finansielle tjenester.»
Verdipapirfondenes Forening anfører at etablering av nye kundeforhold bør kunne godtas uten legitimasjonskontroll fra forvaltningsselskapets side, dersom pengene er overført fra kundens konto i en norsk bank eller bank i et land som er underlagt hvitvaskingsregler og tilsynsordninger som har en standard som minst er på EØS nivå. Verdipapirfondenes Forening uttaler videre:
«Det vises i den anledning til at det, etter det vi kjenner til, ikke har vært innmeldt saker til Økokrims hvitvaskingsenhet fra forvaltningsselskaper, noe som etter vår oppfatning må tolkes dit hen at hvitvaskingskontrollen allerede er foretatt av kundens bank.
Forvaltningsselskapene bør imidlertid være underlagt krav om legitimasjonskontroll i de tilfeller kundene etablerer nye kundeforhold ved å kjøpe fondsandeler med medbrakte kontanter ved personlig fremmøte, hvis kontooverføringen foretas fra en konto som ikke tilhører kunden eller hvis kjøpet finner sted gjennom en kontotransaksjon fra en bank som ikke er underlagt de overnevnte kravene.
Etter hva vi er kjent med pålegger ikke tilsvarende lov i Danmark forvaltningsselskapene å foreta legitimasjonskontroll dersom det i forbindelse med kundeetableringen blir benyttet en konto i en annen institusjon som allerede har vært underlagt legitimasjonskontroll.»
Verdipapirfondenes Forening anfører subsidiært at det må være tilstrekkelig legitimering av nye kundeforhold i forvaltningsselskaper at kunden legger fram eller oversender ubekreftede kopier av legitimasjonsdokumentene til forvaltningsselskapet.
Også Kredittilsynet bemerker at regelen i hvitvaskingsforskriften § 3 om hvilke personer som kan bekrefte kopi av legitimasjon er vanskelig å praktisere, og uttaler:
«I den gjeldende forskrift om hvitvasking er det i § 3 inntatt hvilke personer som kan bekrefte en kopi av legitimasjon i forbindelse med identitetskontroll. De nevnte instanser er: postfunksjonær, landpostbud, politiet, advokat, statsautorisert eller registrert revisor eller annen institusjon nevnt i forskriftens § 1. Kredittilsynet gjør oppmerksom på at verken Posten Norge AS eller politiet utfører denne typen tjenester. Kredittilsynet er også kjent med at det heller ikke er enkelt å få advokater eller revisorer til å gjøre dette. Ordningen er altså vanskelig å gjennomføre i praksis.»
ØKOKRIM anfører at det er behov for å innføre identitetskontroll og legitimasjonsplikt ved alle kontantinnskudd uavhengig av beløpsgrense og eventuell mistanke. Det uttales:
«Ved etterforskning av økonomiske straffesaker og pengespor er det av stor betydning å ha tilgang til opplysninger om hvem som faktisk var i banken og satt inn et kontantbeløp. I dag kan hvem som helst sette inn et kontantbeløp på en hvilken som helst konto uten å legge igjen «spor» som kan identifisere personen. I flere saker har det resultert i at etterforskningen av pengesporet stopper opp idet man ikke har mulighet til å bringe på det rene hvem som står bank kontantinnskuddet.»
Når det gjelder kontroll ved transaksjoner som gjelder kr 100 000 eller mer, foreslår Kredittilsynet at det tilføyes en henvisning til utenlandsk valuta.
Statistisk sentralbyrå (SSB) og Finansnæringens Hovedorganisasjon (FNH) uttaler at det er ønskelig med registreringsplikt i Enhetsregisteret for foreninger, lag og andre organisasjoner uten økonomisk formål (herunder ideelle organisasjoner). SSB viser til at det uten registreringsplikt for disse vil bli vanskelig å utarbeide en dekkende statistikk for sektoren. FNH viser bl.a. til at en slik registreringsplikt vil løse de problem som bruk av «konstruerte» eller «fiktive» kontonummer innebærer, at det ville skape ryddighet internt i bankene, bidra til bekjempelse av økonomisk kriminalitet og innebære forenkling i forhold til skattemyndighetene.
Den norske Revisorforeninghar vurdert de foreslåtte legitimasjonsreglenes betydning for revisorer, og uttaler bl.a.:
«Det er vanskelig å vite hva legitimasjonsplikten betyr for revisorer når det gjelder plikten til å kreve legitimasjon ved følgende tilfeller:
Ved transaksjoner som gjelder 100 000 NOK eller mer for kunder som ikke allerede har etablert et forretningsforhold med institusjonen
Uansett beløp skal det kreves legitimasjon ved mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling
Bestemmelsene er opprinnelig skrevet for banker og finansforetak og fører i dette tilfelle til et tolkningsproblem. Revisorer er vanligvis ikke involvert i transaksjoner og bestemmelsene vil i utgangspunktet ikke komme til anvendelse for revisor. Så lenge den står der kan det imidlertid oppstå tvil om hvilket anvendelsesområde den skal ha. Vi ber primært om at bestemmelsene ikke gjøres gjeldende for revisorer og sekundært om at det klargjøres hvilket anvendelsesområde den skal ha for revisorer dersom den blir stående.»
Norges Autoriserte Regnskapsføreres Forening (NARF) anfører at arbeidsgruppen går svært langt i å kreve identitetskontroll av forretningspartneren - med de praktiske konsekvenser og merarbeid dette medfører. NARF uttaler videre:
«Det vises f eks her til de mange tilfeller der den rapporteringspliktige opererer i små nærområder, og der kundens identitet som regel både er udiskutabel og kjent på forhånd. I slike situasjoner, det vil si der det ikke er tvil om at kunden er den han utgir seg for å være, kan vi med andre ord ikke se det som nødvendig at det må fremlegges skriftlige legitimasjoner mv. Dersom lovgiver ikke finner det tilrådelig å gi fullstendig unntak i slike tilfeller, bør det etter vår mening i det minste åpnes for begrenset legitimasjonskontroll - som f eks at kontrollen ikke må skje ved personlig fremmøte.»
Finansnæringens Hovedorganisasjon (FNH) mener det bør etableres et felles nasjonalt legitimasjonsregister, hvor stjålne og tapte id-dokumenter registreres. FNH viser til at et slikt register over offentlig utstedte dokumenter finnes bl.a. i Nederland og anfører at dette gir finansinstitusjonene hurtig og nyttig informasjon i kampen mot id-tyveri.
Skattedirektoratet slutter seg til lovutkastet kapittel 2.
7.1.5 Departementets vurderinger
«Kjenn-din-kunde-prinsippet» anses internasjonalt for å være et av de viktigste virkemidler for å hindre at finansielle system misbrukes til hvitvasking av utbytte eller finansiering av terrorisme. Det er av vesentlig betydning at rapporteringspliktige kjenner sine kunder for å kunne oppdage transaksjoner som kan innebære hvitvasking av utbytte fra straffbare handlinger og finansiering av terrorisme.
Et første spørsmål er hva som utløser plikt til å foreta legitimasjonskontroll. Plikten til å foreta legitimasjonskontroll utløses etter gjeldende rett ved etablering av forretningsforhold og ved enkelttransaksjoner som overstiger 100 000 kroner. I samsvar med arbeidsgruppens forslag foreslår departementet i hovedsak å videreføre gjeldende rett på dette punktet.
Et forretningsforhold anses bl.a. etablert ved åpning av konto i en bank, jf. direktivet artikkel 3 første ledd og hvitvaskingsforskriften § 2. Det er videre lagt til grunn at forretningsforhold anses etablert ved for eksempel åpning av konto i et verdipapirregister, tegning av en forsikringspolise, kjøp av fondsandeler og inngåelse av avtale om leie av bankboks. Generelt sett synes legitimasjonsplikten å utløses ved etablering av kundeforhold. Departementet mener det er hensiktsmessig å erstatte begrepet forretningsforhold med kundeforhold.Nærmere regler om når kundeforhold anses etablert vil kunne gis i forskrift. I slik forskrift vil det bl.a. kunne gis regler for nye rapporteringspliktige.
Når det gjelder «forhandlere», viser departementet til at betaling av gjenstander ved transaksjoner på 40 000 kroner eller mer i normaltilfeller ikke vil innebære at det etableres et «kundeforhold» mellom forhandler og kjøper, jf. punkt 5.6.4 ovenfor. Ved transaksjoner på 40 000 kroner eller mer vil det derfor i utgangspunktet ikke foreligge en generell plikt for forhandler til å kreve legitimasjon av kjøper, med mindre forhandleren har mistanke om at transaksjonen har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven § 147 a eller § 147 b, jf. lovforslaget § 5 tredje ledd. Det skal imidlertid i alle tilfelle kreves legitimasjon ved transaksjoner som gjelder 100 000 norske kroner eller mer, jf. lovforslaget § 5 annet ledd. Det vil som nevnt ovenfor kunne gis nærmere regler om dette i forskrift, jf. lovforslaget § 5 femte ledd.
Et neste spørsmål er hvilke legitimasjonsdokumenter som skal fremlegges og hvordan legitimasjonskontrollen skal gjennomføres. Arbeidsgruppen foreslår å videreføre kravet om at kunden skal fremlegge skriftlig gyldig legitimasjon og at legitimasjonskontrollen som hovedregel skal skje ved at kundens personlige fremmøte hos den rapporteringspliktige. Arbeidsgruppen foreslår bl.a. at det kan gjøres unntak fra kravet til personlig fremmøte dersom dette er til vesentlig ulempe for kunden, såfremt betryggende identitetskontroll likevel kan finne sted, jf. lovforslaget § 2. Forslaget er i samsvar med gjeldende rett. Arbeidsgruppen legger til grunn at det i forskrift kan fastsettes eventuelle ytterligere unntak fra plikten til å gjennomføre legitimasjonskontroll, jf. arbeidsgruppens lovutkast § 15.
Flere høringsinstanser har innvendinger til arbeidsgruppens forslag. Blant andre foreslår Nærings- og handelsdepartementet (NHD) at kvalifiserte elektroniske sertifikater bør kunne anerkjennes. NHD uttaler bl.a. at en forutsetning for å akseptere en slik legitimasjon må være at den elektroniske legitimasjonen bygger på en legitimasjonskontroll der kunden møter opp fysisk og fremlegger godkjent og gyldig skriftlig legitimasjon. NHD uttaler at kravene for å få et kvalifisert sertifikat synes å være i samsvar med legitimasjonskravene etter gjeldende hvitvaskingsregler.
Departementet er i utgangspunktet enig i høringsinstansenes innvendinger om at gjeldende regler synes å være upraktiske særlig i forhold til elektroniske finansielle tjenester. Gjeldende regler og arbeidsgruppens forslag om å videreføre disse synes å reise problemer i to retninger. For det første ved forslaget om å videreføre et krav om skriftlig legitimasjon. For det andre ved forslaget om å videreføre som hovedregel et krav om personlig fremmøte. Departementet mener i likhet med høringsinstansene at den nye loven bør ta høyde for teknologisk utvikling. Etter departementets syn må det i en vurdering av å lempe på eller endre kravene til legitimasjonskontroll foretas en avveining av hensynet til en effektiv forebyggelse og bekjempelse av hvitvasking av utbytte og terrorfinansiering, mot den belastning pliktene påfører de rapporteringspliktige og deres ansatte, jf. ovenfor om betydningen av «kjenn-din-kunde-prinsippet».
Etter departementets syn er det mest hensiktsmessig å lovfeste et krav om at kunden skal fremlegge gyldiglegitimasjon ved etableringen av kundeforhold. Som gyldig legitimasjon anses åpenbart skriftlig legitimasjon. Videre bør det vurderes om elektroniske kvalifiserte sertifikater kan anses som gyldig legitimasjon. Det bør bl.a. vurderes om krav til utstedere av slike sertifikater vil gi en betryggende identitetskontroll mht. hensynet til bekjempelse av hvitvasking og terrorfinansiering. Det legges til grunn at det i forskrift kan fastsettes nærmere regler om hva som anses som gyldig legitimasjon. Det vises til lovforslaget § 5 første ledd, jf. siste ledd.
Etter gjeldende regler skal rapporteringspliktige uansett beløp kreve legitimasjon dersom det foreligger mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling som etter loven kan medføre høyere straff enn fengsel i 6 måneder. Bestemmelsen foreslås endret som følge av at strafferammebegrensningen foreslås opphevet, jf. omtale i punkt 6.1.4. Videre foreslår departementet at rapporteringspliktige skal ha en tilsvarende plikt der det foreligger mistanke om at en transaksjon har tilknytning til forhold som rammes av straffeloven § 147 a eller § 147 b. Det vises til lovforslaget § 5 tredje ledd.
Departementet mener at gjeldende hovedregel om identitetskontroll ved kundens personlige fremmøte bør videreføres, jf. lovforslaget § 5 fjerde ledd. Dersom det senere (i forskrift) åpnes for å godta elektroniske kvalifiserte sertifikater som gyldig legitimasjon, bør det imidlertid gjøres unntak fra dette kravet. Det vises i den anledning til at utstedelse av slike sertifikater forutsetter at identifisering skjer ved personlig fremmøte hos sertifikatutsteder. Etter departementets syn bør en i tillegg videreføre gjeldende unntak der personlig oppmøte er til vesentlig ulempe for kunden eller det er praktisk ikke gjennomførbart. Det legges til grunn at nærmere regler kan gis i forskrift.
Verdipapirfondenes Forening anfører at etablering av nye kundeforhold bør kunne godtas uten legitimasjonskontroll fra forvaltningsselskapets side, dersom pengene overføres fra kundens konto i en norsk bank eller bank i et land som er underlagt hvitvaskingsregler og tilsynsordninger som minst er på EØS-nivå. Foreningen viser bl.a. til dansk rett. Departementet slutter seg ikke til forslaget, selv om hvitvaskingsrisikoen åpenbart vil være noe mindre i tilfeller hvor penger overføres fra en institusjon som omfattes av hvitvaskingsregelverket. Etter departementets syn bør det imidlertid i tillegg foretas en kontroll hos forvaltningsselskapet, uavhengig av hvordan pengeoppgjøret skjer. For øvrig antas at de praktiske problemer Verdipapirfondenes Forening peker på, vil kunne reduseres gjennom forslaget om å åpne for at elektroniske sertifikater skal kunne anses som gyldig legitimasjon, jf. lovforslaget § 5 første ledd, jf. femte ledd. Departementet slutter seg heller ikke til Verdipapirfondenes Forening subsidiære uttalelse om at det bør være tilstrekkelig å legge frem en ubekreftet kopi av legitimasjonsdokumentet. Etter departementets vurdering vil kravet om at kopiene skal være bekreftet bidra til å forhindre bruk av falske legitimasjonsdokumenter. Problemer knyttet til hvem som kan bekrefte legitimasjonsdokumenter, kan etter departementets syn vurderes nærmere i forbindelse med utarbeidelse av forskrifter til den nye loven.
Fondsmeglerforbundet har reist spørsmål ved om kravet til at kunden skal møte personlig hos den rapporteringspliktige kan lempes ved at kontrollen av legitimasjonsdokumentene opp mot kunden kan skje for eksempel i et møte mellom partene eller hos kunden. Departementet legger til grunn at kravet om legitimasjonskontroll «hos» den rapporteringspliktige, sikter til hvem som skal foreta kontrollen, og ikke til hvilket lokale dette skal skje i.
Departementet finner ikke at det foreligger tilstrekkelig grunnlag til å lovfeste en generell registreringsplikt for alle juridiske enheter, og slutter seg derfor ikke til forslaget fra Statistisk Sentralbyrå og Finansnæringens Hovedorganisasjon. Det samme gjelder opprettelse av et nasjonalt register for mistede legitimasjonsdokumenter. Dette er vidtrekkende forslag som eventuelt bør utredes nærmere.
Departementet legger for øvrig til grunn at det fastsettes nærmere regler om legitimasjonskontrollen mv. i forskrift, jf. lovforslaget § 5 femte ledd. Det antas også at ytterligere veiledninger kan gis i rundskriv fra Kredittilsynet.
Departementets forslag om at det kan unnlates identitetskontroll dersom det er til «vesentlig ulempe» for kunden med personlig fremmøte eller der fremmøte ikke er praktisk gjennomførbart, forutsetter at betryggende identitetskontroll likevel kan finne sted. De nærmere regler om dette vil gis i forskrift. Departementet understreker imidlertid at det ikke vil utpekes én enkelt institusjon som skal kunne utøve slik identitetskontroll. Departementet understreker for ordens skyld at ansvaret for overholdelse av hvitvaskingsregelverket ikke under noen omstendighet kan settes ut. Dette forblir hos den rapporteringspliktige. Det vises for øvrig til at den som etter regler i forskrift kan foreta slik identitetskontroll på vegne av den rapporteringspliktige, også vil anses å være rapporteringspliktig i forhold til loven, jf. lovforslaget § 4 fjerde ledd. I slike tilfeller påhviler således ansvaret for overholdelse av hvitvaskingsregelverket både den egentlige rapporteringspliktige, og den rapporteringspliktige som foretar identitetskontrollen.
7.2 Plikt til å registrere og oppbevare opplysninger
7.2.1 Gjeldende rett
Etter finansvl. § 2-17 annet ledd skal finansinstitusjoner oppbevare kopi av eller henvisning til de nødvendige dokumenter brukt i forbindelse med legitimasjon som nevnt i første ledd i minst fem år etter at kundeforholdet er opphørt. Det er fastsatt nærmere regler i hvitvaskingsforskriften § 7, herunder krav om at opplysninger som nevnt i § 2, § 3, § 5 skal oppbevares, og krav til hvilken form opplysningene skal oppbevares i. Etter hvitvaskingsforskriften § 2 første ledd første punktum skal institusjonen registrere kundens faste adresse.
7.2.2 Arbeidsgruppens forslag
Arbeidsgruppen foreslår i lovutkastet § 3 at rapporteringspliktige skal registrere følgende opplysninger om kunder:
fullt navn eller firma,
personnummer, organisasjonsnummer, D-nummer eller, dersom kunden ikke har slikt nummer, annen entydig identitetskode,
fast adresse,
referanse til det legitimasjonsdokument eller bevis som har støttet identitetskontrollen, og
annet fastsatt i forskrift gitt av departementet, jf. § 15.
I tillegg skal det ved bruk av kontonummer eller på annen måte registreres en entydig forbindelse mellom kundeforholdet og opplysningene.
Arbeidsgruppen foreslår videre å oppheve alternativet om at det kan oppbevares en henvisning til legitimasjonsdokumentene. Arbeidsgruppen uttaler bl.a. (rapportens punkt 5.1.3):
«Etter det arbeidsgruppen har erfart, oppbevarer de fleste institusjoner kopi av legitimasjonsdokumentene. Slike kopier har vist seg å være av stor betydning for etterretning og etterforskning av straffbare handlinger. Arbeidsgruppen foreslår derfor å ikke videreføre alternativet om å oppbevare henvisning til legitimasjonsdokumentene, jf. lovforslaget § 4.»
7.2.3 Høringsinstansenes merknader
ØKOKRIM og Riksadvokatenstøtter forslaget om å ikke videreføre alternativet som åpner for kun å oppbevare en henvisning til legitimasjonsdokumentet, jf. lovutkastet § 4. ØKOKRIM anfører at det sentrale dokument for finansinstitusjonen i denne forbindelse er det faktiske legitimasjonsdokument som fremvises ved identitetskontrollen. ØKOKRIM mener det er kopi av dette dokumentet og ikke referansen til det som bør oppbevares i 5 år.
Datatilsynet foreslår at det fastsettes en maksimumsgrense for oppbevaring av opplysningene slik det er foreslått i lovforslaget § 8 (ØKOKRIMs plikt til å slette opplysninger).
Kredittilsynet mener det bør vurderes å innta et krav i loven om plikt til å registrere opplysninger om den egentlige eier eller den egentlige kunde, og uttaler om dette bl.a.:
«I Basel-komitéens anbefalinger er det lagt stor vekt på at bankene skal kjenne sine kunder. Dette innebærer ikke bare at de skal kjenne den kunden som tar kontakt med banken, men også den eller de som står bak denne kunden, for eksempel den som egentlig eier de pengene som blir satt på konto i banken. Basel-komitéens anbefalinger har mange formål i tillegg til å motvirke hvitvasking, herunder ivaretakelse av motpartsrisiko.
At bankene skal kjenne til det egentlige eierskapet («beneficial ownership») til transaksjoner/aktivtet, er også et tema i revisjonen av de 40 anbefalingene fra FATF. I høringsbrevet av 30. mai 2002 fra FATF, sendt til norske bransje- og næringsorganisasjoner, er det sagt at institusjonen i prosessen med å få kjennskap til kunden ikke bare skal fastslå identiteten til den direkte kunden, men også til eventuelle eiere eller eventuelle bakmenn. Identiteten skal fastslås i alle ledd. Det vises i denne forbindelse til høringsbrevet, FATF Consultation Paper, side 9, hvor «Customer Due Diligence process» er innrammet.
Kredittilsynet er av den oppfatning at det er sannsynlig at denne innskjerpelsen i FATFs 40 anbefalinger vil bli gjennomført. Det er etter Kredittilsynets oppfatning viktig at norske myndigheter i forbindelse med implementering av endringsdirektivet også tar høyde for endringer i internasjonale standarder som Norge har som målsetting å følge.
Kredittilsynet antar at det bør vurderes om plikt til å registrere opplysninger om den egentlige eier eller den egentlige kunde bør fremgå eksplisitt av hvitvaskingsloven.»
7.2.4 Departementets vurdering
Departementet slutter seg til arbeidsgruppens vurdering og forslag om å oppheve alternativet om at rapporteringspliktige kan oppbevare en henvisning til legitimasjonsdokumentene. Arbeidsgruppens forslag innebærer at rapporteringspliktige skal oppbevare kopi av de nødvendige dokumenter brukt i forbindelse med identifisering av kunden.
Datatilsynet foreslår at det fastsettes en maksimumsgrense for oppbevaringstiden av opplysningene. Etter departements oppfatning kan personvernhensyn tale for at oppbevaringstiden for opplysninger knyttet til identifisering av kunder begrenses. Departementet slutter seg derfor til Datatilsynets forslag, og foreslår å lovfeste at opplysningene skal slettes etter utløpet av femårsperioden. Det synes rimelig at plikten til å slette inntrer noe tid etter at oppbevaringsplikten opphører. Det foreslås derfor at sletteplikten inntrer ett år etter at oppbevaringsplikten opphører.
Kredittilsynet foreslår at det vurderes inntatt i loven et krav om plikt til å registrere opplysninger om den egentlige eier eller den egentlige kunde. Kredittilsynet viser bl.a. til Basel-komiteens anbefalinger og forslag til reviderte FATF-anbefalinger.
I foreliggende forslag til reviderte FATF-anbefalinger heter det i anbefaling nr. 7 bokstav b)
«The measures that financial institutions should be required to undertake are as follows:
(...)
b) Identifying the beneficial owner and take reasonable measures to verify the identity of the beneficial owner such that the financial institution is satisfied that its knows who the beneficial owner is.»
Departementet viser til hvitvaskingsforskriften § 2 siste ledd, der det fremgår at institusjonen skal «søke å bringe på det rene» opplysninger som nevnt i forskriften § 3 dersom institusjonen har grunn til å tro at kunden handler på vegne av en annen. Forskriftsbestemmelsen gjennomfører endringsdirektivet artikkel 3 nr. 7 (tidligere artikkel 3 nr. 5). Rask og effektiv tilgang til relevant informasjon om reelle eiere er en åpenbar fordel i forbindelse med undersøkelser og etterforskning av transaksjoner som har tilknytning til hvitvasking og terrorfinansiering. Etter departementets oppfatning synes gjeldende rett (hvitvaskingsforskriften § 2 siste ledd) å langt på vei tilfredsstille forslaget til revidert FATF-anbefaling. For å klargjøre plikten til å søke å bringe på det rene opplysninger om reell eier, foreslår departementet at bestemmelsen lovfestes, jf. lovforslaget § 6 fjerde ledd. Det foreslås enkelte endringer i ordlyden.
Departementet foreslår at plikten til å oppbevare opplysninger knyttet til hhv. identitetskontrollen og undersøkelses- og rapporteringsplikten fastsettes i en og samme bestemmelse, jf. lovforslaget § 8. Det foreslås at departementet i forskrift kan fastsette nærmere regler om hvilke dokumenter som skal oppbevares og om oppbevaringsmåten, jf. lovforslaget § 8 fjerde ledd.
7.3 Etablering av kontrollrutiner og opplæring av ansatte mv.
7.3.1 Gjeldende rett
Etter finansvl. § 2-17 tredje ledd fjerde punktum plikter enhver finansinstitusjon å etablere kontrollrutiner som sikrer gjennomføring av undersøkelser av mistenkelige transaksjoner mv. Det er fastsatt nærmere regler i hvitvaskingsforskriften § 12. Etter forskriftsbestemmelsens første ledd skal finansinstitusjonen treffe tiltak for å gjøre ansatte kjent med forskriftens bestemmelser. Etter annet ledd skal tiltakene omfatte deltakelse i særlige opplæringsprogram mv.
7.3.2 Arbeidsgruppens forslag
Arbeidsgruppen foreslår i lovutkastet § 11 en videreføring av krav om etablering av kontrollrutiner og opplæring av medarbeidere, jf. omtale i rapporten punkt 4.4. På bakgrunn av at pliktene utvides til å omfatte flere institusjoner og personer, mener arbeidsgruppen det er hensiktsmessig å utarbeide veiledning til hvordan slike interne kontroll- og kommunikasjonsrutiner, interne retningslinjer og opplæring av ansatte mv. skal utarbeides og gjennomføres. Arbeidsgruppen legger til grunn at det kan fastsettes nærmere regler i forskrift, jf. lovutkastet § 18 første ledd nr. 1.
7.3.3 Høringsinstansenes merknader
Finansforbundet støtter utvalgets forslag, og uttaler bl.a.:
«Forbundet støtter utvalgets forslag. Det er svært viktig at det blir stilt konkrete krav til institusjonene med hensyn til hva som kreves av dem i forhold til opplæring av egne ansatte. Dette også sett i lys av straffansvaret som er foreslått videreført i en noe justert form.
Det er viktig at de ansatte blir gjort oppmerksomme på hvilke krav som stilles til dem. Det er viktig at de krav til kontrollrutiner og opplæring mv. som skal gjelde for rapporteringspliktige fremgår så klart som det gjør i lovforslaget, jfr. forslagets § 11. En forskrift vil ytterligere være med på å klargjøre forholdene rundt dette.
Det er forbundets oppfatning at institusjonenes opplæringsrutiner og praksis med hensyn til å fokusere på problemområdet er forskjellige. Regler av etisk karakter blir utformet. Det viser seg imidlertid at man ikke er like flink til aktivt å opprettholde fokus på sitt interne regelverk. Det fremgår av forslagets § 11, at «det skal gjennomføres opplæringsprogrammer og oppfølging for ansatte og andre personer som utfører oppgaver til oppfyllelse av plikter etter loven». Det er etter vår oppfatning viktig med en slik presisering av hvilke krav som stilles til de rapporteringspliktige.»
NARF mener lovutkastet legger opp til et relativt omfattende rutineopplegg, og i for stor detaljeringsgrad. NARF mener de eventuelle «detaljene» kan flyttes til forskrift, og foreslår derfor at de tre siste setningene i lovutkastet § 11 utgår. Videre uttales:
«Når det er sagt vil vi dessuten få bemerke at verken loven eller forskriften bør være for rigide eller detaljerte med hensyn på å bestemme hvordan kontrollrutinene skal innrettes. Det bør derimot gis et visst handlingsrom for den enkelte rapporteringspliktige selv. Det viktigste er etter vår mening å la det være stadfestet i loven at kontrollrutinene må være innrettet på en måte som gjør den rapporteringspliktige i stand til å oppfylle sine plikter i tråd med intensjonene i regelverket.»
7.3.4 Departementets vurdering
Etter departementets oppfatning er etablering av kontrollrutiner og opplæring av ansatte en grunnleggende forutsetning for at reglene om tiltak mot hvitvasking og terrorfinansiering skal gjelde etter sin hensikt. Departementet slutter seg til arbeidsgruppens forslag om å videreføre krav til etablering av kontrollrutiner og opplæring av ansatte mv. Departementet legger i likhet med arbeidsgruppens forslag til grunn at det kan fastsettes nærmere regler i forskrift. Departementet foreslår enkelte justeringer i ordlyden i lovforslaget. Det vises til lovforslag § 13, jf. § 18 nr. 1.
7.4 Legitimasjonskontroll av konti opprettet før 1. januar 1994
7.4.1 Gjeldende rett
Hvitvaskingsreglene i finansvl. § 2-17 ble satt i kraft fra 1. januar 1994. Det ble lagt til grunn at legitimasjonsplikten gjaldt etablering av nye forretningsforhold etter 1. januar 1994.
7.4.2 Arbeidsgruppens forslag
Arbeidsgruppen foreslår at departementet i forskrift kan pålegge institusjonene å gjennomføre en identitetskontroll for forretningsforhold etablert før 1. januar 1994, jf. lovutkastet § 15 første ledd nr. 7. Det uttales bl.a. (punkt 5.1.3):
«Arbeidsgruppen viser til at FATF i Konsultasjonsdokumentet har drøftet dette temaet med forslag til flere valgmuligheter som høringsinstansene skal ta stilling til, herunder forslag om å foreta en slik fullstendig kundegjennomgang (jf. «option 2» på s. 37 i Konsultasjonsdokumentet). Etter arbeidsgruppens vurdering kan slike tiltak i praksis være ressurskrevende og problematisk for institusjonene å gjennomføre. En slik anbefaling fra FATF vil imidlertid kunne utløse krav til en slik prosess. Arbeidsgruppen finner det derfor hensiktsmessig at det lovfestes en hjemmel for å kreve identitetskontroll for samtlige forretningsforhold etablert før 1. januar 1994 hvor det ikke tidligere er foretatt en fullstendig og betryggende identitetskontroll, jf. § 15 første ledd nr. 7.»
7.4.3 Høringsinstansenes merknader
Finansnæringens Hovedorganisasjon (FNH), Sparebankforeningen, Finansieringsselskapenes Forening, går i mot forslaget om å innføre en slik bestemmelse. FNH uttaler bl.a.
«FNH mener at en slik prosess vil være alt for tid - og ressurskrevende i forhold til nytten man oppnår ved det. Det fremgår på side 36 i rapporten at det også etter arbeidsgruppens vurdering «kan slike tiltak i praksis være ressurskrevende og problematisk for institusjonene å gjennomføre.» På bakgrunn av opplysninger fra institusjonene om det totale antall forretningsforhold etablert før 01.01.94, understreker FNH at det dreier seg om betydelige antall. FNH vil anslå at det totale antall konti opprettet før dette tidspunkt i samtlige norske spare- og forretningsbanker, er på over tre millioner.
FNH mener det må være tilstrekkelig at en gjennomfører en løpende undersøkelse av transaksjonene som gjennomføres. Det vises i denne forbindelse til at det er en plikt til å foreta legitimasjonskontroll dersom det foreligger mistanke om at transaksjonen har tilknytning til utbytte av staffbar handling, jf utkastet § 2 tredje ledd som er en videreføring av gjeldende rett.
FNH viser til Kredittilsynets rundskriv nr 28/94 hvor det ble uttalt at det ikke skulle foretas legitimasjonskontroll av forretningsforhold etablert før 01.01.94. I rundskriv nr 28/94 heter det til regler om legitimasjonsplikt:
«Det bemerkes at legitimasjonsplikten gjelder ved etablering av nye forretningsforhold fra og med 1. januar 1994. Det forutsettes ikke etablert ny legitimasjon for tidligere forretningsforhold (etablert før 1.januar 1994). Utenfor legitimasjonsplikten ved opprettelse av kundeforhold faller videre nye forretningsforhold med kunder som har etablert forretningsforhold i institusjonen før 1. januar 1994.»
Forslaget vil på dette punkt innebære en endring i langvarig etablert praksis. FNH vil derfor gå sterkt imot en hjemmel som foreslått om å pålegge institusjonene å gjennomføre en slik etterkontroll, hvor kostnadene vil stå i et klart misforhold til den effekt man kan forvente å oppnå.»
Sparebankforeningen og Finansieringsselskapenes Forening mener at arbeidet med å innhente fullgod legitimasjon for alle eldre kundeforhold ikke kan forsvares i forhold til hva man mener å kunne oppnå ved tiltaket. Sparebankforeningen uttaler bl.a.:
«Det er vanskelig å tallfeste bankenes kundeforhold. I 1998 hadde f eks Fellesdata 3,3 millioner kundeforhold i sine kunderegistre. På innskuddsiden hadde Fellesdata-bankene dengang en markedsandel på 30-35 %, men det er usikkert om dette forholdstallet kan overføres direkte til antall kundeforhold. Vi har heller ikke tall for hvor mange av disse kundeforholdene som var etablert før 01.01.1994, men en må legge til grunn at det gjelder flertallet.
Uten nærmere tallfesting, vil det nærmest være et uoverkommelig arbeid å innkalle alle disse kundene, få framlagt godkjent legitimasjon og kontrollere at legitimasjon og person hører sammen. Det er på det rene at et stort antall kunder, som ikke har noe å skjule, ikke reagerer overhodet på henvendelser fra bankene. Det er et velkjent problem i forbindelse med avtaleendringer, innhenting av samtykker etter personopplysningsloven mv. Vi regner her med å kunne få en svarprosent i størrelsesorden 20 - 25 % dersom kunden har en liten fordel av samtykket (f eks bedre tilpasset informasjon og markedsføring fra banken) og kunden ikke trenger gjøre annet enn å underskrive en erklæring og sende den inn i en vedlagt ferdig frankert konvolutt. Dersom det ikke er noen synbar fordel for kunden å reagere på henvendelsen, vil svarprosenten være så lav som i størrelsesorden 5 % eller lavere. Hvor kunden må oppsøke en filial, for kontroll av legitimasjon, må vi regne med en enda lavere respons. Bankene vil få et betydelig oppfølgningsarbeid om de skal få en akseptabel svarprosent, og 100 % vil være uoppnåelig. Og en kan trygt regne med at de kunder som har noe å skjule, ikke vil være de første til å medvirke her.
Selv om en kanskje vil få avdekket noen uriktige navn på kontohavere, vil arbeidet med identitetskontroll i eldre kundeforhold ikke stå i noe rimelig forhold til hva en kan oppnå. Bankenes ressursbruk med hensyn til hvitvasking bør primært kanaliseres dit det er noe å hente: Undersøkelse og evt rapportering av mistenkelige transaksjoner.
Vi minner også om at det ikke foreligger noen plikt for norske myndigheter til å innføre en slik regel. Det er riktignok et av forslagene i arbeidet med revisjon av FATF»s generelle 40 Recommendations on Money Laundering. Men revisjonsarbeidet pågår fortsatt, og dette punktet er av dem som har møtt motbør i høringsprosessen.
Dersom departementet likevel vil ta en slik hjemmelsbestemmelse med i O.t.proposisjonen, vil det nærmere innhold og avgrensning i bankenes plikter her måtte fastsettes ved forskrift senere. Vi forutsetter at utkast til forskrift blir sendt ut på høring først.»
Også Norges Fondsmeglerforbund er skeptiske til den foreslåtte forskriftshjemmelen, og uttaler bl.a.:
«Når det gjelder problemstillingene i forbindelse med krav til legitimasjonskontroll for forretningsforhold som allerede var etablert før kravene til legitimasjonskontroll trådte i kraft, så er det vår prinsipale oppfatning av man ikke bør være for ambisiøse. Det er dessuten usikkert hvor stort behovet er over tid. Man kan dog tenke seg at institusjonene så langt mulig søker å identitetssjekke også «historiske» konti, dog uten noen særskilte plikter. Tatt i betraktning det totale regime som nå legges i antihvitvaskingsarbeidet tør det være rimelig klart at institusjonen selv vil ha en stor egeninteresse av å nøste opp trådene bakover. Erfaringene med overgangen fra ihendehaverobligasjoner og aksjebrev til registrering i VPS har vel også vist til at man et stykke på vei kan finne eiere/identiteter, men at man aldri når helt til bunns innenfor en kortere tidsfrist.»
7.4.4 Departementets vurdering
Departementet er kjent med at FATF i forbindelse med revisjonen av de 40 anbefalingene ikke vil foreslå en anbefaling om legitimasjonskontroll av forretningsforhold etablert før 1. januar 1994. Departementet finner derfor ikke grunn til å foreslå en hjemmel for å innføre et slikt tiltak.
Det kan imidlertid ikke utelukkes at FATF likevel vil kunne vedta en slik anbefaling på et senere stadium i revisjonsprosessen. Departementet vil eventuelt følge opp dette når et slikt vedtak foreligger.
7.5 Elektroniske overvåkningssystemer
7.5.1 Gjeldende rett
Dette er ikke regulert i gjeldende rett.
7.5.2 Arbeidsgruppens forslag
Arbeidsgruppen foreslår at departementet i forskrift kan fastsette regler om at finansinstitusjonene og verdipapirforetakene plikter å etablere elektroniske overvåkningssystemer for å oppdage mistenkelige transaksjoner i tilknytning til hvitvasking av utbytte, finansiering av terrorhandlinger m.v., jf. lovutkastet § 15 første ledd nr. 9. Arbeidsgruppen uttaler (rapporten punkt 11.3):
«For å muliggjøre oppdagelse av og rapportering av mistenkelige transaksjoner knyttet til hvitvasking av utbytte, terrorfinansiering, er det fra et tilsynsmessig synspunkt hensiktsmessig at finansinstitusjonene etablerer elektroniske overvåkningssystemer. Kredittilsynet har således uttalt at institusjonene bør starte et arbeid med å etablere slike systemer innen 2003. FNH har på vegne av medlemsbedriftene igangsatt et slikt arbeid. Arbeidsgruppen deler også det synspunktet at finansinstitusjonene bør arbeide med å etablere slike elektroniske overvåkningssystemer og foreslår derfor at departementet i forskrift kan pålegge institusjonene en plikt til å etablere slike systemer, se utkast til § 15 første ledd nr. 9.»
7.5.3 Høringsinstansenes merknader
Sparebankforeningen, Finansnæringens Hovedorganisasjon (FNH), Finansforbundet og Finansieringsselskapenes Forening støtter arbeidsgruppens forslag. Sparebankforeningen uttaler bl.a.:
«Finansnæringens Hovedorganisasjon og Sparebankforeningen har allerede utarbeidet kravspesifikasjon for et slikt system, og arbeidet videreføres med sikte på etablering av et slikt system i bankenes/datasentralenes regi. Hvorvidt det er behov for også å gi en forskrift som nevnt, går vi ut fra vil bli gjenstand for nærmere vurdering av Finansdepartementet, Kredittilsynet og Datatilsynet, i samråd med næringsorganisasjonene.»
Finansforbundet mener slike systemer kan bidra i positiv retning med hensyn til de ansattes sikkerhet og uttaler:
«Dersom det er elektroniske systemer som medvirker til å oppdage og rapportere mistenkelige transaksjoner, så vil det ikke være mulig å tilbakeføre en rapportering direkte til en ansatt.»
Flere høringsinstanser, bl.a. Finansnæringens Hovedorganisasjon (FNH), Sparebankforeningen, Finansieringsselskapenes Forening, foreslår at plikten til å etablere elektroniske overvåkningssystem bør gjelde for alle rapporteringspliktige. Sparebankforeningen uttaler om dette:
«Vi kan imidlertid ikke se at forskriftshjemmelen bør begrenses til bare å gjelde finansinstitusjoner og verdipapirforetak. Det er klart at det i dag er disse som har et stort antall automatiserte tjenester, ved nettbank mv, og hvor behovet for elektronisk overvåking er størst. Men dette kan endre seg, og det kan etter forholdene kunne bli behov for automatisert overvåking også i andre bransjer. Det kan kanskje særlig gjelde kontroll mot navnelister etter Taliban-forskriften og tilsvarende regelsett. - Selve hjemmelen bør derfor omfatte alle grupper rapporteringspliktige, og så får departementet til enhver tid vurdere hvilken rekkevidde forskriften rent faktisk skal gis.»
Finansieringsselskapenes Forening bemerker at det er viktig at aktørene er med på utformingen av eventuelle tiltak.
Norges Fondsmeglerforbund foreslår at henvisningen til verdipapirforetak tas ut av lovutkastet. Fondsmeglerforbundet uttaler:
«Dette vil være et temmelig omfattende arbeid og det er overhodet ikke analysert innen bransjen om dette lar seg gjøre på en tilfredsstillende måte og innenfor akseptable kostnadsrammer. Ønsket om en slik mulig regulering fremstår også i et merkelig lys når man ikke oppstiller tilsvarende krav overfor andre sammenlignbare rapporteringspliktige.
Det forhold at FNH, på vegne av sine medlemsbedrifter, arbeider med slike løsninger, innebærer ikke at man automatisk kan videreføre dette på verdipapirforetak. Forholdet til verdipapirforetakene er overhodet ikke berørt i rapportens pkt 11.3. Man kan ikke bare foreslå en regulering, med antatt betydelige økonomiske konsekvenser, uten noen som helst form for utredning. Det må være et minstekrav til et høringsnotat at man vurderer om det er mulig å lage relevante løsninger som faktisk kan fange opp de handlinger man søker å avdekke. Videre må det være et minstekrav at man vurderer om det er hensiktsmessig å kreve slike løsninger hensyntatt oppdagelsesmuligheter i forhold til økonomisk innsats (kostnader). Det må kunne kreves en viss proporsjonalitet. Vi vil derfor, på det sterkeste, anmode om at § 15 nr 9 endres slik at henvisningen til verdipapirforetakene tas ut.»
Datatilsynet mener bestemmelsen om å pålegge etablering av elektroniske overvåkningssystemer for å oppdage mistenkelige transaksjoner bør gis i lovs form.
7.5.4 Departementets vurdering
Departementet slutter seg til arbeidsgruppens forslag om å pålegge finansinstitusjoner en plikt til å etablere elektroniske overvåkningssystemer.
Departementet er enig i Finansforbundets uttalelse om at elektroniske overvåkningssystemer kan redusere risikoen for trusler mv. mot rapporteringspliktige, ved at undersøkelsene anonymiseres. Systemet vil imidlertid forutsette at virksomhetens hvitvaskingsansvarlige vurderer meldingen fra det elektroniske systemet før det eventuelt oversendes en rapport til ØKOKRIM.
Departementet slutter seg ikke til høringsinstansene som tar til orde for at plikten til å etablere elektroniske overvåkningssystemer bør gjelde alle rapporteringspliktige. En forutsetning for et slikt pålegg må være at overvåkningen vil være et effektivt middel for å avdekke mistenkelige transaksjoner knyttet til straffbare handlinger. Etter departementets syn vil slike systemer fortrinnsvis være effektive overvåkningsinstrumenter for virksomheter som utfører transaksjoner i elektroniske system. Videre forutsettes et visst transaksjonsvolum som medfører at det er mer hensiktsmessig å kontrollere transaksjonene elektronisk enn manuelt. Ut i fra disse forutsetningene, mener departementet det er hensiktsmessig å avgrense plikten til å gjelde finansinstitusjoner. Departementet vil imidlertid løpende vurdere om andre virksomheter, herunder verdipapirforetak og forvaltningsselskap for verdipapirfond, bør pålegges å etablere slike systemer.
Når det gjelder innvendingene fra Fondsmeglerforbundet, viser departementet for øvrig til at nærmere regler knyttet vil bli gitt i forskrift. Det forutsettes at et forskriftsutkast blir sendt på høring til berørte instanser og at virksomhetene gis anledning til å uttale seg om forskriftsforslaget. Det forutsettes videre at institusjonene gis en rimelig tid til å innrette seg etter et eventuelt pålegg om å etablere slike systemer.
Datatilsynet mener plikten til å etablere elektroniske overvåkningssystemer bør gis i lovs form. Departementet slutter seg til Datatilsynets uttalelse (referert i punkt 7.5.3 ovenfor), jf. lovforslaget § 15. Det legges imidlertid til grunn at det vil bli fastsatt nærmere regler i forskrift.