5 Kundetiltak og løpende oppfølging
5.1 Innledning. Terminologi
Fjerde hvitvaskingsdirektiv kapittel II gir regler om tiltak som skal gjøres overfor kunder. Direktivets regler bygger på FATFs reviderte anbefalinger fra 2012 og utvider virkeområdet for når det skal iverksettes tiltak og hvilke tiltak som skal iverksettes, sammenlignet med tredje hvitvaskingsdirektiv. I dag gir hvitvaskingsloven kapittel 2 regler om kundekontroll og løpende oppfølging. Kundekontroll og løpende oppfølging tilsvarer hvitvaskingsdirektivenes «customer due diligence». «Customer due diligence» er også kjent som «know your customer procedures» (KYC). Det sentrale er at rapporteringspliktige skal kjenne sine kunder. Ved å kjenne kundenes identitet og formålet med kundeforholdet, blir rapporteringspliktige i stand til både å oppdage om kundeforholdet misbrukes av andre enn kunden, og om kundeforholdet misbrukes til andre formål enn det kunden oppga i forbindelse med inngåelsen av kundeforholdet. Det er her en sammenheng med undersøkelses- og rapporteringsplikten.
Fjerde hvitvaskingsdirektiv viderefører tredelingen mellom alminnelige kundetiltak, forenklede kundetiltak og forsterkede kundetiltak. Inndelingen gjenspeiler den risikobaserte tilnærmingen, jf. kapittel 4. I tilfeller med lavere risiko kan rapporteringspliktige benytte forenklede kundetiltak, mens der det er identifisert høyere risiko for hvitvasking eller terrorfinansiering, må rapporteringspliktige benytte forsterkede kundetiltak. Direktivet gir enkelte regler om når forsterkede kundetiltak skal benyttes. Det er derimot opp til medlemsstatene å tillate forenklede kundetiltak i tilfeller der det er lavere risiko for hvitvasking og terrorfinansiering.
Kapittelet gir også regler om risikobasert tilnærming, når det er krav om gjennomføring av kundetiltak, tidspunktet for når kundetiltak skal være gjennomført og følgene av at kundetiltak ikke er gjennomført som påkrevd. Adgangen til å legge til grunn handlinger utført av andre, herunder utkontraktering, foreslås også regulert i kapittelet om kundetiltak og løpende oppfølging. Departementet foreslår en noe annen rekkefølge på bestemmelsene i utvalgets utkast. Departementet viser til lovforslaget, som også gjenspeiles i fremstillingen nedenfor.
Hvitvaskingslovutvalget har foreslått å endre terminologi fra «kundekontroll» til «kundetiltak». Utvalget viser til at termen «kundekontroll» i for stor grad kan lede tanken mot kontroll av kundens identitet, slik at de øvrige tiltakene som er del av «customer due diligence», kommer i bakgrunnen. Ingen av høringsinstansene har hatt innsigelser mot den terminologiske endringen. Departementet er enig med utvalget i at «kundekontroll» kan innebære en større vektlegging av identitetskontroll enn det som er ønskelig. På denne bakgrunn foreslår departementet at «kundekontroll» byttes ut med «kundetiltak». Departementet understreker at løpende oppfølging fortsatt behandles separat fra kundetiltakene, selv om «customer due diligence» i direktivet omfatter både kundetiltak og løpende oppfølging.
5.2 Plikt til å gjennomføre kundetiltak
5.2.1 Gjeldende rett
Hvitvaskingsloven § 6 bestemmer at rapporteringspliktig skal gjennomføre kundekontroll ved etablering av kundeforhold, ved transaksjon som gjelder 100 000 kroner eller mer (dersom kunden ikke har et kundeforhold til rapporteringspliktig), dersom det er mistanke om hvitvasking eller terrorfinansiering eller der det er tvil om tidligere innhentede opplysninger om kunden er korrekte eller tilstrekkelige.
I hvitvaskingsforskriften §§ 2 og 3 er det presisert når det skal gjennomføres kundekontroll. Generelt anses et kundeforhold etablert når kunden kan bruke den rapporteringspliktiges tjenester, eksempelvis ved opprettelse av konto eller utstedelse av betalingskort, se § 2 første ledd. I annet til femte ledd er det gitt særlige regler for når revisorer, regnskapsførere, eiendomsmeglere og advokater anses for å ha etablert kundeforhold. I hvitvaskingsforskriften § 3 er det presisert når forhandlere av gjenstander skal gjennomføre kundekontroll.
5.2.2 EØS-rett
Fjerde hvitvaskingsdirektiv artikkel 11 lyder som følger:
«Medlemsstatene skal sikre at ansvarlige enheter iverksetter kundekontrolltiltak under følgende omstendigheter:
a) når en forretningsforbindelse inngås,
b) ved gjennomføring av en enkeltstående transaksjon som
i) beløper seg til minst 15 000 euro, uten hensyn til om transaksjonen utføres i en enkel operasjon eller i flere operasjoner som synes å være forbundet med hverandre, eller
ii) utgjør en pengeoverføring i henhold til artikkel 3 nr. 9 i europaparlaments- og rådsforordning (EU) 2015/847 som overstiger 1 000 euro,
c) når det gjelder personer som handler med varer, ved gjennomføring av enkeltstående transaksjoner for minst 10 000 euro i kontanter, uten hensyn til om transaksjonen utføres i en enkel operasjon eller i flere operasjoner som synes å være forbundet med hverandre,
d) når det gjelder ytere av spilltjenester, ved utbetaling av gevinster, innbetaling av innsats eller begge deler, ved gjennomføring av transaksjoner for minst 2 000 euro, uten hensyn til om transaksjonen utføres i en enkel operasjon eller i flere operasjoner som synes å være forbundet med hverandre,
e) når det foreligger mistanke om hvitvasking av penger eller finansiering av terrorisme, uten hensyn til eventuelle unntak, dispensasjoner eller terskler,
f) når det foreligger tvil om troverdigheten eller tilstrekkeligheten ved kundeidentifikasjonsopplysninger som er innhentet tidligere.»
I artikkel 12 er det åpnet for å gjøre unntak fra kravene til gjennomføring av kundetiltak for elektroniske penger underlagt visse bruks- og beløpsbegrensninger. Unntaket gjelder ikke gjennomføring av løpende oppfølging. For å gjøre unntak må det være gjennomført en risikovurdering som gir grunnlag for å gjøre unntak. Unntaket skal uansett ikke gjelde i tilfeller der de elektroniske pengene tas ut i minst 100 euro i kontanter, se artikkel 12 nr. 2.
5.2.3 FATFs anbefalinger
Utvalget redegjør i NOU 2016: 27 punkt 5.5.3 for når det er plikt til å gjennomføre kundetiltak etter FATFs anbefalinger:
«FATF anbefaling 10 pålegger gjennomføring av kundetiltak i fem ulike situasjoner.
Dette omfatter etablering av kundeforhold, mistanke om hvitvasking eller terrorfinansiering, tvil om tidligere innhentet informasjon er korrekt eller tilstrekkelig og transaksjoner over visse beløpsgrenser med kunder den rapporteringspliktige ikke har et etablert kundeforhold til. Beløpsgrensen er satt til 15 000 euro/dollar, men for transaksjoner som er «wire transfers» omfattet av «interpretive note» til anbefaling 16, er grensen satt til maksimum 1 000 euro/dollar.
I «interpretive note» til anbefaling 10 punkt 2 og 3 gjøres det unntak fra kravet om gjennomføring av kundetiltak. Dersom den rapporteringspliktige får mistanke om at det foreligger hvitvasking eller terrorfinansiering, skal den sende en rapport til den finansielle etterretningsenheten («financial intelligence unit» – FIU), se anbefaling 20. Det skal være forbudt å avsløre at det sendes en slik melding, se anbefaling 21. «Interpretive note» til anbefaling 10 påpeker at det også er risiko for at kundetiltakene avslører for kunden at det vil bli sendt en rapport. Ut fra dette åpnes det for at den rapporteringspliktige kan unnlate å gjennomføre kundetiltak, og i stedet sende en rapport. Etter utvalgets oppfatning innebærer dette at etablering av kundeforhold eller utføring av transaksjon likevel kan skje, til tross for at det ikke er gjennomført kundetiltak.»
5.2.4 Utvalgets forslag
Hvitvaskingslovutvalget drøfter regulering av plikten til å gjennomføre kundetiltak i NOU 2016: 27 punkt 5.5. Utvalget foreslår endringer i gjeldende rett som er nødvendige som følge av fjerde hvitvaskingsdirektiv og FATFs anbefalinger.
For det første foreslår utvalget at det skal gjennomføres kundetiltak når relevant rapporteringspliktig gjennomfører en «transfer of funds» som definert i forordning (EU) 2015/847 artikkel 3 nr. 9. Definisjonen omfatter enhver transaksjon som helt eller delvis gjennomføres elektronisk, uavhengig av om betaler og betalingsmottaker er den samme og uavhengig av om betalingstjenestetilbyderen er den samme for både betaler og betalingsmottaker. Lovteknisk foreslår utvalget å henvise til finansavtaleloven § 11, se lovutkastet § 15 første ledd bokstav b nr. 2. I stedet for å angi beløpsgrensen i euro, foreslår utvalget en grense på 8 000 kroner med følgende begrunnelse:
«Ved fastsettelsen av beløpsgrensen i norske kroner må det tas hensyn til fremtidige kurssvingninger. Dette tilsier at beløpsgrensen settes ut fra en lav eurokurs i forhold til norske kroner, slik at norsk rett kan forventes å være i samsvar med direktivets krav. På den annen side vil det innebære at flere transaksjoner omfattes av reglene enn det direktivet krever, med de belastninger det får for kundene og næringslivet.
Alternativt kan beløpsgrensen i norsk lov være fastsatt i euro. Dette vil imidlertid skape tungvinte situasjoner ved både tilsyn med de rapporteringspliktige og for den rapporteringspliktige selv. Utvalget foreslår derfor at beløpsgrensen fastsettes i norske kroner, og at den settes til 8 000 kroner for å ta høyde for fremtidige kurssvingninger, se forslaget til § 15 første ledd bokstav b nr. 2.»
For det andre foreslår utvalget at beløpsgrensen for når tilbydere av spilltjenester skal gjennomføre kundetiltak (forutsatt at det ikke er et etablert kundeforhold) settes til 16 000 kroner. Begrunnelsen er den samme som for betalingstjenesten ovenfor.
For det tredje foreslår utvalget at departementet gis hjemmel til å gjøre unntak fra kravene til gjennomføring av kundetiltak for elektroniske penger underlagt bruks- og beløpsbegrensninger i samsvar med fjerde hvitvaskingsdirektiv artikkel 12.
I tillegg foreslår utvalget å flytte regelen om at det skal gjennomføres kundetiltak når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige, til bestemmelsen om løpende oppfølging, se utkastet til § 19 annet ledd.
På bakgrunn av FATF-rapporten og FATFs «interpretive note» til anbefaling 10 drøfter utvalget om det skal innføres unntak fra kravet om gjennomføring av kundetiltak i tilfeller der det er risiko for at kundetiltakene avslører for kunden at det vil sendes en rapport til Økokrim. I så fall skal det likevel være tillatt å etablere kundeforholdet eller gjennomføre transaksjonen. Utvalget foreslår ikke en tilsvarende unntaksregel, og viser både til at direktivet ikke inneholder en tilsvarende unntaksregel, og til at dette i så fall kan bidra til at rapporteringspliktige medvirker til hvitvasking eller terrorfinansiering, snarere enn å forhindre det.
5.2.5 Høringsinstansenes syn
Electronic Money Association (EMA) mener det bør innføres unntak fra kravet om kundetiltak for utstedelse av elektroniske penger, slik fjerde hvitvaskingsdirektiv artikkel 12 åpner for. EMA viser til at ca. 93 prosent av e-penger utstedt under tredje hvitvaskingsdirektiv har vært unntatt krav om kundetiltak. Uten et tilsvarende unntak vil kostnadene for utstedelse av e-penger fremstå som en barriere gitt de små marginene i e-pengeindustrien.
Norsk Rikstoto (Rikstoto) understreker at definisjonen av når et kundeforhold etableres, er av sentral betydning for de rapporteringspliktige. Rikstoto ønsker en spesifikk definisjon for når det er etablert kundeforhold i spillbransjen, herunder en avklaring om alle registrerte spill medfører at det anses etablert et kundeforhold. Det vises også til at direktivets regler om når det er plikt til å gjennomføre kundetiltak for tilbydere av spilltjenester, antyder at ikke ethvert leilighetsvise spill skal innebære at det etableres et kundeforhold.
Virke Inkasso påpeker at inkassoforetakenes kunder er kreditor, ikke debitor. Virke Inkasso mener det må lovfestes eller fastsettes i forskrift dersom inkassoforetak skal ha plikt til å gjennomføre tiltak overfor skyldner.
5.2.6 Departementets vurdering
Departementet foreslår en bestemmelse om hvilke situasjoner som utløser plikt til å gjennomføre kundetiltak, jf. lovforslaget § 10. Departementet slutter seg til utvalgets vurderinger, men foreslår på bakgrunn av høringen en utvidelse av forskriftshjemmelen i lovforslaget § 10 tredje ledd.
Departementet foreslår å videreføre hjemmelen til å gi nærmere regler om når kundeforhold skal anses etablert. Departementet foreslår i tillegg at forskriftshjemmelen utvides til å omfatte presiseringer av når tilbydere av spilltjenester skal gjennomføre kundetiltak. Presiseringene kan knyttes til terskelverdien av innskuddet eller gevinsten i spillet. Dermed kan det også avklares nærmere hvilket forhold det er mellom de ulike bestemmelsene. Departementet viser til høringsuttalelsen fra Norsk Rikstoto, omtalt ovenfor.
På bakgrunn av at departementet ikke foreslår at inkassovirksomheter underlegges hvitvaskingsloven, jf. punkt 3.4.7, er det ikke grunn til å gå nærmere inn på høringssvaret fra Virke Inkasso.
5.3 Tidspunktet for kundetiltak
5.3.1 Gjeldende rett
Hvitvaskingsloven § 9 første ledd bestemmer at kundekontroll skal gjennomføres før etablering av kundeforhold eller utføring av transaksjon.
I annet ledd åpnes det for tre unntak knyttet til tidspunktet for bekreftelse av identitet. For det første kan bekreftelse av kundens og reell rettighetshavers identitet utføres under etablering av kundeforhold dersom det er nødvendig for ikke å hindre den alminnelige forretningsdriften, samtidig som det er liten risiko for hvitvasking eller terrorfinansiering, se annet ledd nr. 1. For det annet kan bekreftelse av identiteten til den begunstigede etter livsforsikringspolise foretas senest ved utbetalingstidspunktet eller tidspunktet den begunstigede utøver sine rettigheter etter polisen, se nr. 2. For det tredje kan bekreftelse av identiteten til kunde og reell rettighetshaver utsettes til etter åpning av bankkonto, forutsatt at kontoen ikke kan benyttes til transaksjoner av kunden eller på kundens vegne før bekreftelse av identiteten er utført, se nr. 3.
5.3.2 EØS-rett
Hvitvaskingslovutvalget beskriver reglene i fjerde hvitvaskingsdirektiv på følgende måte i NOU 2016: 27 punkt 5.6.2:
«Fjerde hvitvaskingsdirektiv artikkel 14 gir regler om blant annet tidspunktet for kundetiltak. Hovedregelen er at bekreftelse av identiteten til kunden og reelle rettighetshavere skal skje før etablering av kundeforhold eller utføring av transaksjon, se artikkel 14 nr. 1. Direktivet sier ikke noe eksplisitt om tidspunktet for vurdering av kundeforholdets formål og tilsiktede art.
Direktivet gir tre unntak fra denne hovedregelen. For det første gir artikkel 14 nr. 2 adgang til å bekrefte kundens og reell rettighetshavers identitet under etablering av kundeforhold, dersom dette er nødvendig for ikke å forstyrre den alminnelige forretningsdriften. Det må samtidig være liten risiko for hvitvasking og terrorfinansiering. Direktivet presiserer at bekreftelsen av identiten [sic] skal fullføres så snart som mulig etter første kontakt med kunden.
For det annet er det bestemt at det kan åpnes konti hos kreditt- eller finansinstitusjoner, herunder konti for transaksjoner av overførbare verdipapirer, jf. artikkel 14 nr. 3. Forutsetningen er at det er foranstaltninger på plass for å sikre at kontoen ikke kan brukes før identiteten til kunden og reelle rettighetshavere er bekreftet, jf. artikkel 13 nr. 1 bokstav a og b. Til sammenligning åpnet tredje hvitvaskingsdirektiv bare for åpning av bankkonti på denne måten.
For det tredje er det i artikkel 13 nr. 5 annet ledd bestemt at bekreftelse av den begunstigedes identitet skal gjøres først ved utbetalingen. Dersom forsikringen helt eller delvis overdras til en tredjeperson, skal rapporteringspliktige, dersom de blir klar over overdragelsen, identifisere nye reelle rettighetshavere til forsikringsutbetalingen.»
5.3.3 FATFs anbefalinger
Anbefaling 10 lyder som følger om når kundetiltak skal gjennomføres:
«Financial institutions should be required to verify the identity of the customer and beneficial owner before or during the course of establishing a business relationship or conducting transactions for occasional customers. Countries may permit financial institutions to complete the verification as soon as reasonably practicable following the establishment of the relationship, where the money laundering and terrorist financing risks are effectively managed and where this is essential not to interrupt the normal conduct of business.»
I forklarende note til anbefaling 10 er det gitt særskilte anbefalinger knyttet til livsforsikringsavtaler og utdypninger av når det er rimelig å tillate at bekreftelse av identitet gjøres etter etablering av et kundeforhold.
5.3.4 Utvalgets forslag
Utvalget tar i NOU 2016: 27 punkt 5.6.4 utgangspunkt i at gjeldende hvitvaskingslov i all hovedsak gjennomfører fjerde hvitvaskingsdirektiv artikkel 14. Utvalget foreslår derfor at gjeldende regler videreføres, se utkastet til § 16. Utvalget drøfter to spørsmål særskilt.
På bakgrunn av at fjerde hvitvaskingsdirektiv utvider unntaksmulighetene for utsettelse av identitetskontroll til andre konti enn bankkonti, samt hensynet til norske foretaks konkurransesituasjon, foreslår utvalget en tilsvarende unntaksmulighet i hvitvaskingsloven. Utvalget understreker samtidig at foretakene må sikre at kontoen ikke kan benyttes før identitetskontroll er utført.
I punkt 5.6.4 drøfter utvalget også når informasjon om kundeforholdets formål og tilsiktede art skal innhentes:
«Som det fremgår av gjennomgangen ovenfor, er det en forskjell mellom norsk rett på den ene siden og FATFs anbefalinger og EU-direktivet på den andre siden når det gjelder tidspunktet for når kundeforholdets formål og tilsiktede art skal vurderes. I norsk rett har regelen vært at alle kundetiltakene skal gjennomføres før etablering av kundeforhold eller utføring av transaksjon, se punkt 5.6.1. Direktivet og anbefalingene krever at bekreftelse av identiteten til kunden og reelle rettighetshavere er gjennomført før kundeforholdet etableres eller transaksjonen utføres, se punkt 5.6.2 og 5.6.3. Verken anbefalingene eller direktivet sier noe om tidspunktet for vurderingen av kundeforholdets formål og tilsiktede art. I forarbeidene til hvitvaskingsloven ble avgjørelsen om å la alle kundetiltakene omfattes av regelen forklart med at opplysninger om kundeforholdets formål og tilsiktede art har betydning for risikovurderingen den rapporteringpsliktige [sic] må gjøre.[fotnote] Utvalget slutter seg til dette og foreslår at gjeldende regel videreføres. Det vises til lovforslaget § 16.»
5.3.5 Høringsinstansenes syn
Ingen høringsinstanser har hatt merknader til utvalgets forslag om tidspunktet for gjennomføring av kundetiltak.
5.3.6 Departementets vurdering
Departementet slutter seg til utvalgets vurderinger og foreslår en særskilt bestemmelse om tidspunktet for gjennomføring av kundetiltak, se lovforslaget § 11.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 14 og FATFs anbefaling 10.
5.4 Kundetiltak
5.4.1 Gjeldende rett
Hvitvaskingsloven §§ 7 og 8 gir regler om gjennomføring av kundekontroll og registrering av opplysninger. Kundekontroll og løpende oppfølging skal gjennomføres basert på en risikovurdering, se § 5 første ledd. Risikovurderingen skal gjennomføres ut fra type kunde, kundeforhold, produkt eller transaksjon. Rapporteringspliktige må kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko, se § 5 annet ledd.
Etter § 7 første ledd skal kundekontroll omfatte registrering av opplysninger som nevnt i § 8, bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon, bekreftelse av identiteten til reelle rettighetshavere på grunnlag av egnede tiltak og innhenting av opplysninger om kundeforholdets formål og tilsiktede art.
Hvis kunden er en juridisk person, skal identiteten den som handler på vegne av den juridiske personen, bekreftes på grunnlag av gyldig legitimasjon, se § 7 annet ledd. I tillegg skal det dokumenteres at vedkommende kan opptre på vegne av den juridiske personen.
Tredje ledd gjelder tilfeller der andre enn kunden kan disponere en konto eller et depot, eller er gitt rett til å gjennomføre en transaksjon. I så fall skal vedkommendes identitet bekreftes på grunnlag av gyldig legitimasjon.
I tilfeller der fysiske personer sin identitet skal bekreftes uten personlig oppmøte, skal det i tillegg til gyldig legitimasjon fremlegges ytterligere dokumentasjon som bekrefter vedkommendes identitet, se fjerde ledd.
§ 7 femte ledd gjør unntak fra kravet til fremleggelse av gyldig legitimasjon ved bekreftelse av fysisk persons identitet i tilfeller der rapporteringspliktig er sikker på den fysiske personens identitet.
I medhold av § 7 sjette ledd er det gitt enkelte nærmere regler om gjennomføring av kundekontroll i hvitvaskingsforskriften.
Hvitvaskingsforskriften §§ 5 til 7 gir regler om hva som er gyldig legitimasjon for fysiske og juridiske personer. For fysiske personer er hovedregelen at gyldig legitimasjon er original av dokumenter som er utstedt av offentlig myndighet, eller av annet organ med betryggende kontrollrutiner for dokumentutstedelse, at dokumentene har et tilfredsstillende sikkerhetsnivå og inneholder fullt navn, navnetrekk, fotografi og fødselsnummer eller D-nummer, se § 5 første ledd. Kravet om navnetrekk gjelder ikke pass, se fjerde ledd. Har ikke personen fødselsnummer eller D-nummer, må legitimasjonsdokumentet i stedet inneholde fødselsdato, fødested, kjønn og statsborgerskap, se annet ledd. I tredje ledd er det bestemt at dersom identitet bekreftes uten personlig fremmøte, kan identiteten bekreftes med bekreftet kopi av gyldig legitimasjon. Fysiske personer kan også bekrefte identiteten sin ved hjelp av elektronisk legitimasjon, se hvitvaskingsforskriften § 6.
Gyldig legitimasjon for juridiske personer omfatter bl.a. firmaattest fra Foretaksregisteret, utskrift fra Enhetsregisteret og utskrift fra annet offentlig register. Hvilke krav som stilles, avhenger av hvor den juridiske personen er registrert. For juridiske personer som ikke er registrert i offentlig register, stilles det krav om dokumentasjon for at den juridiske personen eksisterer. I tillegg må det gis en skriftlig erklæring fra den juridiske personens kontaktperson som bekrefter at opplysningene er riktige.
Opplysningene som skal registreres i medhold av § 8, omfatter navn, fødselsnummer, organisasjonsnummer, D-nummer eller annen entydig identitetskode, fast adresse og referanse til legitimasjonen som er brukt for å bekrefte kundens identitet.
Hvitvaskingsloven § 15 krever at rapporteringspliktige har egnede kontrolltiltak for å fastslå om kunden er politisk eksponert person.
I hvitvaskingsforskriften § 2 fjerde ledd er det bestemt at eiendomsmeglere ved salgsoppdrag skal kreve at kjøper fremlegges gyldig legitimasjon før oppgjør.
5.4.2 EØS-rett
Hvitvaskingslovutvalget omtaler reglene om alminnelige kundetiltak i fjerde hvitvaskingsdirektiv i NOU 2016: 27 punkt 5.2.2:
«Fjerde hvitvaskingsdirektiv artikkel 13 nr. 1 første ledd bestemmer hva alminnelige kundetiltak («customer due diligence») omfatter. Tiltakene som kreves er identifisering og verifisering av identiteten til kunden og reelle rettighetshavere. Den rapporteringspliktige skal også ha en forståelse av juridiske personers eierskaps- og kontrollstruktur. Videre omfatter kundetiltakene å vurdere og, eventuelt, innhente informasjon om kundeforholdets formål og tilsiktede art.
Etter direktivet omfatter «customer due diligence measures» også løpende oppfølging av kundeforhold. Dette innebærer å overvåke kundens transaksjoner for å påse at disse er i samsvar med den rapporteringspliktiges kunnskap om kunden.
Annet ledd bestemmer at der en person pretenderer å opptre på vegne av kunden, skal rapporteringspliktige verifisere at personen har rett til det og identifisere og bekrefte identiteten til denne personen.
Etter artikkel 13 nr. 2 åpnes det for risikobasert tilnærming til bruken av kundetiltak. Alle kundetiltakene nevnt ovenfor må gjennomføres. De rapporteringspliktige kan selv avgjøre omfanget av dem. Momentene til risikovurderingen er gitt i anneks I, se artikkel 13 nr. 3. Dette er et minimumskrav, slik at rapporteringspliktige kan legge vekt på også andre momenter. Anneks I viser til formålet med kontoen eller kundeforholdet, størrelsen på kundens innskudd eller transaksjoner og regelmessigheten eller lengden på kundeforholdet.
Rapporteringspliktige må dokumentere at kundetiltakene som er gjennomført, er tilpasset risikoen for hvitvasking og terrorfinansiering som er identifisert, se artikkel 13 nr. 4. Regelen må ses i lys av artikkel 8, som krever at medlemsstatene pålegger rapporteringspliktige å utarbeide risikovurderinger.
Etter artikkel 20 bokstav a skal rapporteringspliktige ha risikobaserte systemer for å avgjøre om kunden eller reell rettighetshaver er politisk eksponert person.
I artikkel 13 nr. 5 stilles det utvidede krav til kundetiltak overfor begunstigede etter livs- og annen investeringsforbundet forsikring, sammenlignet med tredje hvitvaskingsdirektiv. Disse kravene gjelder ved siden av kravene om identifikasjon og bekreftelse av identiteten til kunden og reell rettighetshaver.
Når det gjelder begunstigede i truster og tilsvarende juridiske arrangementer, skal rapporteringspliktige innhente informasjon for å kunne identifisere den begunstigede enten ved utbetaling fra trusten eller når den begunstigede kan gjøre gjeldende sine rettigheter, se artikkel 13 nr. 6.»
5.4.3 FATFs anbefalinger
FATF-anbefaling 10 sin del om kundetiltak («customer due diligence measures» – CDD) lyder som følger:
«The CDD measures to be taken are as follows:
(a) Identifying the customer and verifying that customer’s identity using reliable, independent source documents, data or information.
(b) Identifying the beneficial owner, and taking reasonable measures to verify the identity of the beneficial owner, such that the financial institution is satisfied that it knows who the beneficial owner is. For legal persons and arrangements this should include financial institutions understanding the ownership and control structure of the customer.
(c) Understanding and, as appropriate, obtaining information on the purpose and intended nature of the business relationship.
(d) Conducting ongoing due diligence on the business relationship and scrutiny of transactions undertaken throughout the course of that relationship to ensure that the transactions being conducted are consistent with the institution’s knowledge of the customer, their business and risk profile, including, where necessary, the source of funds.»
I forklarende til anbefaling 10 presiseres kravene til gjennomføring av kundetiltak. Bl.a. utdyper punkt 5 kravene til kundetiltak overfor juridiske personer og arrangementer. Forklarende note til anbefaling 10 punkt 6 og 7 gjelder livs- og investeringsforsikringspoliser. Her kreves det at navnet på begunstigede blir registrert så raskt det er mulig å identifisere hvem som er begunstiget. Er det en gruppe som er begunstiget, skal det innhentes tilstrekkelig informasjon til at den rapporteringspliktige vet hvem som er begunstiget ved en senere utbetaling. Punkt 8 anbefaler rapporteringspliktige å inkludere begunstigede etter livsforsikringspoliser som en risikofaktor ved vurderingen av om forsterkede kundetiltak skal brukes.
I forklarende note til anbefaling 22 står følgende om eiendomsmeglere:
«Real estate agents should comply with the requirements of Recommendation 10 with respect to both the purchasers and vendors of the property.»
5.4.4 Utvalgets forslag
5.4.4.1 Generelt om bestemmelsen om kundetiltak
Utvalget foreslår en samlet bestemmelse i hvitvaskingsloven § 9 om gjennomføring av alminnelige kundetiltak, som skal erstatte gjeldende hvitvaskingslov §§ 7 og 8. Utvalgets flertall, medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, foreslår at kundetiltak skal bestå i klarlegging av kundens og reell rettighetshavers identitet og kundeforholdets eller transaksjonens formål og tilsiktede art, se utkastet til § 9 første ledd. Utvalgets mindretall, medlemmet Sigurdsen, er ikke enig i at klarlegging av transaksjonens formål og tilsiktede art omfattes av kundetiltakene.
Klarlegging av identitet omfatter innhenting og bekreftelse av opplysninger, og utvalget foreslår at innhenting og bekreftelse av opplysninger reguleres i separate ledd for henholdsvis fysiske og juridiske personer.
Registrering av opplysninger om kundene foreslås regulert gjennom henvisninger fra reglene om registrering av opplysninger til bestemmelsene om kundetiltak.
5.4.4.2 Innhenting og bekreftelse av opplysninger om fysiske personer
Utvalget foreslår to ledd om henholdsvis innhenting og bekreftelse av opplysninger om fysiske personer, herunder opplysninger om reelle rettighetshavere og fullmaktshavere. Utvalget understreker at forskjellen på en reell rettighetshaver bak fysisk person og fullmaktshaver, er at reell rettighetshaver opptrer i eget navn på vegne av andre, mens fullmaktshaver opptrer i en annens navn på dennes vegne.
Utgangspunktet i utvalgets utkast er at bekreftelse av opplysninger skjer ved personlig oppmøte med gyldig legitimasjon. For tilfeller der identitet skal bekreftes uten personlig oppmøte, uttaler utvalget følgende i NOU 2016: 27 punkt 5.2.4.3:
«Når kundeforhold etableres uten personlig oppmøte, følger det av hvitvaskingsloven § 7 fjerde ledd at det skal fremlegges ytterligere dokumentasjon som bekrefter kundens identitet. Denne bestemmelsen foreslås videreført i lovforslaget § 9 tredje ledd. Slik utvalget ser det, er det ikke hensiktsmessig med en nærmere lovregulering av hva som ligger i «ytterligere dokumentasjon».
Forskriftsbestemmelsen i gjeldende § 5 tredje ledd om krav til «bekreftet kopi» foreslås ikke videreført, blant annet fordi ingen offentlige myndigheter i dag har uttrykkelig plikt til å bekrefte kopier. En kopi, enten elektronisk eller på papir, av legitimasjonsdokumentet som gir tilstrekkelig sikkerhet for at kopien er reell vil, slik utvalget ser det, være ett tiltak som i de aller fleste tilfeller er nødvendig. Den rapporteringspliktige må vurdere riktigheten av kopien i hvert enkelt tilfelle, og hva som kreves for å bekrefte riktigheten. Det vil ut fra risikovurderinger i mange tilfeller være grunn til å gjøre mer enn å innhente kopi av gyldig legitimasjon. I Finanstilsynets gjeldende rundskriv er flere eksempler på «ytterligere dokumentasjon» nevnt, bl.a. krav om fremleggelse av selvangivelse, lønnsslipp eller bekreftelse på utbetaling av trygd. [fotnote] Utvalget mener dette er relevante eksempler på «ytterligere dokumentasjon». Andre eksempler er kopi av regninger for f.eks. strøm, kommunale avgifter eller TV-lisens personen har mottatt, som opplyser om personens navn og adresse. Utvalget er kjent med at denne type dokumentasjon ofte benyttes som tilleggsinformasjon av banker i England. Den elektroniske utviklingen kan også medføre at tiltak der kunden «møter» via videolink kan være aktuelt. Utvalget anser at et slikt tiltak kan gi en tilleggssikkerhet. Etter det utvalget er kjent med, er denne formen for gjennomføring av kundetiltak tatt i bruk i Tyskland. Det sentrale er at det innhentes dokumentasjon som gir en sikkerhet for at kunden er den vedkommende gir seg ut for å være. Nærmere om hva som ligger i «ytterligere dokumentasjon» i ulike situasjoner vil bero bl.a. på en risikovurdering. Utvalget antar at det kan være aktuelt å gi flere eksempler på tiltak i rundskriv eller veiledning til regelverket.»
Når det gjelder bekreftelse av fullmaktsforhold, fullmaktshavers identitet og reell rettighetshavers identitet, uttaler utvalget følgende i NOU 2016: 27 punkt 5.2.4.3:
«Fullmaktsforhold for fysiske personer bekreftes ved fremleggelse av skriftlig dokumentasjon. Fullmakthavers identitet må bekreftes på samme måte som for kunden. Eksempelvis vil oppnevnelse som verge være dokumentasjon på fullmaktsforhold. På samme måte som direktivet foreslår utvalget at reell rettighetshavers identitet bekreftes på grunnlag av egnede tiltak. Hva som ligger i dette vil variere bl.a. ut fra risiko. Bekreftelse av identiteten på samme måte som for kunden vil i alle tilfeller være tilstrekkelig, men vil ikke alltid være nødvendig for å oppfylle forpliktelsen til å vite hvem reell rettighetshaver er.»
Utvalget foreslår at hva som er gyldig legitimasjon, kan reguleres i forskrift, se utkastet til § 9 niende ledd. Utvalget uttaler følgende om reguleringen av gyldig legitimasjon i hvitvaskingsregelverket:
«Hvitvaskingsregelverket regulerer uttrykkelig hvilke krav som stilles til et dokument for at det skal anses som gyldig legitimasjon. I praksis vises det ofte til dette regelverket også i andre sammenhenger. Det er klart at kravene som stilles i hvitvaskingsloven og -forskriften ikke kan regulere kravene til gyldig legitimasjon helt generelt. Hvitvaskingsregelverket er begrenset til å regulere hva som er gyldig legitimasjon for bekreftelse av en kundes, fullmakthavers eller reell rettighetshavers identitet for å gjennomføre kundetiltak. For det første er innhenting og bekreftelse av slike opplysninger bare ett av flere tiltak som ledd i å oppfylle «kjenn-din-kunde»-prinsippet. For det andre har rapporteringspliktige både rett og plikt til å innhente informasjon om identiteten og (i varierende grad) bekrefte opplysningene ut fra en risikobasert tilnærming. En detaljert regulering av krav til gyldig legitimasjon vil dermed være i strid med direktivets, FATFs og lovens bærende prinsipp om en risikobasert tilnærming. Det understrekes at prinsippet om risikobaserte tiltak er styrket i det fjerde hvitvaskingsdirektivet sammenlignet med tidligere direktiv. I andre situasjoner, utenfor hvitvaskingsregelverkets område, kan det være nødvendig å stille andre krav til sikkerhet for at dokumentet som brukes som «gyldig legitimasjon» gir en bekreftelse på at en person er den vedkommende gir seg ut for å være.»
Utvalget foreslår videreføring av de generelle kravene i hvitvaskingsforskriften § 5 for å anse noe som gyldig legitimasjon, i tillegg til pass, se utkastet til hvitvaskingsforskrift § 1. Gyldig legitimasjon er derfor foreslått å være dokumenter utstedt av offentlig myndighet eller annet organ med betryggende kontrollrutiner for dokumentutstedelse, og som inneholder fullt navn, navnetrekk, fotografi og fødselsnummer eller D-nummer (eventuelt fødselsdato, fødested, kjønn og statsborgerskap).
Utvalget påpeker at reglene om gyldig legitimasjon har betydning for kontraheringsplikten etter finansavtaleloven, og uttaler i denne sammenheng følgende i NOU 2016: 27 punkt 5.2.4.3:
«I praksis er det aktører som velger bare å tillate pass som gyldig legitimasjon. Dette står i et spenningsforhold til kontraheringsplikten i finansavtaleloven § 14, som krever «saklig grunn» for å avvise kunder når det gjelder avtaler om innskudd og betalingstjenester. En slik «overoppfyllelse» av hvitvaskingsregelverket vil dermed kunne komme i konflikt med andre forpliktelser rapporteringspliktige har. Utvalget påpeker at hvitvaskingsregelverket ikke er absolutt i den forstand at alle banktjenester skal nektes i alle tilfeller. Det er åpnet for bruk av forenklede kundetiltak ved begrensede banktjenester, se fjerde hvitvaskingsdirektiv anneks II punkt 2 bokstav d og forslaget til hvitvaskingsforskrift § 2 annet ledd bokstav b nr. 4. Dersom det er ønskelig å tydeliggjøre at det er et visst spillerom for hva som er å anse som gyldig legitimasjon i ulike sammenhenger, anser utvalget at det er hensiktsmessig at dette behandles i rundskriv eller veiledning til regelverket.»
Utvalget foreslår for øvrig å videreføre adgangen til å bekrefte identiteten til fysiske personer ved elektronisk identifikasjon, se utkast til hvitvaskingsforskrift § 1 fjerde ledd.
5.4.4.3 Innhenting og bekreftelse av opplysninger om juridiske personer
Utvalget foreslår, på samme måte som for fysiske personer, særskilte ledd for henholdsvis innhenting og bekreftelse av opplysninger om juridiske personer. Reglene skal gjelde tilsvarende for juridiske arrangementer så langt de passer. Dette omfatter f.eks. «truster». Utvalgets vurderinger fremgår av NOU 2016: 27 punkt 5.2.4.4 og 5.2.4.5.
Utvalget foreslår å videreføre reglene om hvilke opplysninger som skal innhentes om juridiske personer, slik at det skal innhentes opplysninger om foretaksnavn, organisasjonsform, organisasjonsnummer og adresse. Videre må det innhentes opplysninger om representasjonsforhold og reelle rettighetshavere. I tillegg skal det presiseres at opplysninger om den juridiske personens eierskaps- og kontrollstruktur skal innhentes, se utkast til § 9 fjerde ledd.
I spørsmålet om bekreftelse av opplysninger om juridiske personer har utvalget delt seg i et flertall og et mindretall. Flertallet, medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, foreslår at opplysninger om foretaksnavn, organisasjonsform, organisasjonsnummer og adresse bekreftes ved utskrift fra offentlig register, herunder ved bruk av «skjermdump». Det skilles ikke mellom norsk og utenlandsk register. Utvalgsmedlem Sigurdsen foreslår at det er tilstrekkelig at det er gjennomført et oppslag mot offentlig register for å bekrefte opplysningene.
Utvalget vurderer også om det generelt skal innføres en registreringsplikt i Foretaksregisteret, Enhetsregisteret eller tilsvarende for å kunne opprette kundeforhold med rapporteringspliktige. I praksis er spørsmålet om det skal gis regler om gyldig legitimasjon for juridiske personer som ikke er registrert i offentlig register. Om dette uttaler et samlet utvalg i NOU 2016: 27 punkt 5.2.4.5 følgende:
«De aller fleste norske foretak og selskaper har en registreringsplikt i Foretaksregisteret.[fotnote] Utenlandske foretak som driver næringsvirksomhet her i landet eller på norsk kontinentalsokkel skal også registreres her, se foretaksregisterloven § 2-1 annet ledd. Dersom en virksomhet er registreringspliktig i ett av de store statlige registrene (eksempelvis Foretaksregisteret, Merverdiavgiftsregisteret eller Aa-registeret), må virksomheten også registreres i Enhetsregisteret.
Alle juridiske personer vil dessuten ha mulighet til registrering i Enhetsregisteret. For å kunne registreres i Enhetsregisteret må enheten være å anse som en registreringsenhet etter enhetsregisterloven[fotnote] § 4. Bestemmelsen innebærer en registreringsplikt i Enhetsregisteret når enheten registreres i et av de tilknyttede registrene. Enhetstyper som nevnt i enhetsregisterloven § 4 første ledd som ikke har registreringsplikt, har rett til registrering i Enhetsregisteret. Dette følger av enhetsregisterloven § 12 annet ledd og enhetsregisterforskriften[fotnote] § 8 første ledd. Reglene innebærer at alle juridiske personer har en rett til å registreres i Enhetsregisteret, jf. enhetsregisterforskriften § 8 første ledd og enhetsregisterloven § 4 første ledd bokstav b. Registrering i Enhetsregisteret er kostnadsfritt.
Enkelte foreninger, lag eller sammenslutninger vil ikke ha registreringsplikt, men vil likevel ha mulighet til å registrere seg i Enhetsregisteret. Det er et vilkår at de er en juridisk person (…)
Registrering gir objektivt konstaterbare opplysninger om juridiske personer. Det er kostnadsfritt å registreres og være registrert. Alle juridiske personer kan registreres i Enhetsregisteret. Ut fra dette mener utvalget at det er naturlig at innhentede opplysninger om juridisk person bekreftes ved utskrift fra offentlig register, og at det ikke åpnes for unntak fra et slikt minstekrav. Utvalget foreslår dermed registreringsplikt for juridiske personer for å kunne opprette kundeforhold med, og få transaksjoner utført av, rapporteringspliktige.»
Identiteten til fysiske personer som opptrer på vegne av juridiske personer, skal bekreftes på samme måte som utvalget ellers foreslår at fysiske personers identitet skal bekreftes. Representasjonsforholdet må også bekreftes, og utvalget nevner stillingsfullmakt og registrerte representasjonsforhold som eksempler på mulige måter å få bekreftet dette på.
Identiteten til reelle rettighetshavere skal bekreftes ved egnede tiltak, og det samme gjelder opplysninger om eierskaps- og kontrollstrukturen i den juridiske personen. Når det gjelder reelle rettighetshavere, viser utvalget til at fjerde hvitvaskingsdirektivs definisjon av reell rettighetshaver inneholder en form for unntak fra definisjonen i tilfeller der det ikke er mulig å klarlegge hvem som er reell rettighetshaver (se punkt 3.3.2.4). Dersom det samtidig ikke er risiko for hvitvasking og terrorfinansiering, kan opplysninger om personer som innehar ledende stillinger i stedet innhentes. Utvalget foreslår at denne unntaksregelen fremgår av bestemmelsen om alminnelige kundetiltak og leddet om bekreftelse av opplysninger om juridiske personer, fremfor å reguleres i definisjonen av reell rettighetshaver. Utvalget foreslår at «ledende stillinger» forstås som styre og daglig leder, eller personer i tilsvarende posisjoner i juridiske personer uten disse selskapsorganene. Om identifiseringen av reell rettighetshaver uttaler utvalget følgende i NOU 2016: 27 punkt 5.2.4.5:
«Rapporteringspliktig må ha «exhausted all possible means» før denne unntaksadgangen kan benyttes. Dette er altså en snever unntaksregel. Rapporteringspliktig kan ikke nøye seg med å undersøke registeret over reelle rettighetshavere, se fjerde hvitvaskingsdirektiv artikkel 30 nr. 8 og nærmere omtale i kapittel 12.»
5.4.4.4 Systemer for å identifisere politisk eksponerte personer (PEP-er)
Utvalget foreslår å videreføre plikten til å avgjøre om kunden er PEP. I tillegg utvides regelens virkeområde til også å omfatte reelle rettighetshavere, i samsvar med fjerde hvitvaskingsdirektiv artikkel 20 bokstav a og merknader i FATF-rapporten av 2014. Videre foreslår utvalget at plikten til å identifisere PEP-er flyttes fra reglene om forsterkede kundekontrolltiltak, se gjeldende hvitvaskingslov § 15, til den generelle regelen om alminnelige kundetiltak. Utvalget viser til at «[f]ormålet er å tydeliggjøre at det er en generell forpliktelse ved gjennomføring av kundetiltak å avklare om kunden eller reell rettighetshaver er PEP». Videre uttaler utvalget følgende om systemer for å identifisere PEP-er i NOU 2016: 27 punkt 5.2.4.6:
«Et minstekrav til systemer for å identifisere PEP-er er at rapporteringspliktig rutinemessig spør kunden om vedkommende innehar eller har innehatt en posisjon som omfattes av PEP-definisjonen. Ofte bør rapporteringspliktig etablere ytterligere tiltak for å identifisere PEP-er.
Utvalget bemerker at det per i dag ikke finnes lister over PEP-er utarbeidet av offentlige myndigheter. Det er mulig å kjøpe lister på det kommersielle markedet. All den tid myndighetene ikke utarbeider autoritative lister over PEP-er, bør det ikke oppstilles krav om at rapporteringspliktige abonnerer på lister utarbeidet av kommersielle aktører. Tatt i betraktning det store antallet PEP-er verden over, stadige justeringer av hvem som er å regne som PEP samt mulige ulikheter mellom stater om hvem som er PEP, vil listene ha meget begrenset positiv og negativ troverdighet.»
5.4.4.5 Særlige krav ved forsikringsavtaler og for eiendomsmeglere
Utvalget foreslår et særskilt ledd om livsforsikringsavtaler i utkastet til § 9 om alminnelige kundetiltak. Forslaget om en særlig bestemmelse er begrunnet i utvalget ikke anser begunstigede etter livsforsikringsavtaler som «kunder». Tiltakene gjelder identifisering av begunstiget etter avtalen og bekreftelse av identiteten enten ved utbetaling eller når begunstiget gjør gjeldende sine rettigheter. Begunstigedes reelle rettighetshavere må også identifiseres og identiteten bekreftes i samsvar med utkastet til § 9 annet og tredje ledd.
5.4.4.6 Klarlegging av kundeforholdets eller transaksjonens formål og tilsiktede art
Utvalget som helhet foreslår at kundetiltak skal omfatte klarlegging av kundeforholdets formål og tilsiktede art. Utvalget understreker at «klarlegging av kundeforholdets formål og tilsiktede art vil være helt avgjørende og utgangspunktet for den rapporteringspliktiges løpende oppfølging», se NOU 2016: 27 punkt 5.2.4.9.
Utvalget har delt seg i to i spørsmålet om kundetiltakene også skal omfatte klarlegging av transaksjonens formål og tilsiktede art.
Utvalgets flertall, medlemmene medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, foreslår at kundetiltak også skal omfatte klarlegging av transaksjonens formål og tilsiktede art. Flertallet uttaler følgende i NOU 2016: 27 punkt 5.2.4.9:
«Det fremgår ikke uttrykkelig av ordlyden i direktivet at rapporteringspliktig skal klarlegge transaksjonens formål og tilsiktede art, men etter flertallets oppfatning følger dette av direktivets formål og system. Direktivet artikkel 18 nr. 2 om undersøkelse av komplekse transaksjoner og artikkel 33 om rapporteringsplikt forutsetter at alle rapporteringspliktige klarlegger transaksjoners formål. Et eksempel på at det vil være nødvendig å klarlegge en transaksjons formål og tilsiktede art er ved betalingsoverføring til visse land.
Det vil være forskjellig i hvilken grad det er nødvendig å klarlegge transaksjonens formål og tilsiktede art. Dette avhenger av en risikobasert tilnærming. Ved kjøp av varer vil formålet ofte gi seg selv på bakgrunn av varen som handles. Ved betalingsformidling er det essensielt som ledd i å gjennomføre kundetiltak at rapporteringspliktig klarlegger transaksjonens formål og tilsiktede art.
Flertallet foreslår ikke at loven nærmere regulerer hva som kreves for å klarlegge kundeforholdets eller transaksjonens formål og tilsiktede art. På samme måte som for klarlegging av identitet, innebærer klarlegging av kundeforholdets eller transaksjonens formål og tilsiktede art en innhenting av opplysninger og bekreftelse av disse opplysningene. Hva som kreves avhenger av en risikobasert tilnærming, jf. lovforslaget § 5.
Eksempler på opplysninger rapporteringspliktig kan innhente for å klarlegge kundeforholdets eller transaksjonens formål og tilsiktede art er opplysninger om hensikten eller bakgrunnen for kundeforholdet eller transaksjonen, midlenes opprinnelse, hvem kunden skal handle med og forventet transaksjonsmønster, herunder typer transaksjoner, transaksjonshyppighet og -størrelse.
Som nevnt må rapporteringspliktig vurdere informasjonen om kundeforholdet eller transaksjonens formål og tilsiktede art. Det vil avhenge av en risikobasert tilnærming i hvilken grad opplysninger innhentet fra kunden bør bekreftes.»
Mindretallet, medlemmet Sigurdsen, er ikke enig i at kundetiltak også skal omfatte klarlegging av transaksjonens formål og tilsiktede art, og uttalte følgende i NOU 2016: 27 punkt 5.2.4.9:
«Dette medlem forstår ikke artikkel 13 nr. 1 bokstav c slik at den omfatter transaksjoner, i motsetning til artikkel 13 nr. 1 annet ledd. Det er naturlig at de faller utenfor, siden rapporteringspliktige normalt vil ha dårligere forutsetninger for å vurdere formål og tilsiktet art ved transaksjoner, som er sporadiske, enn ved kundeforhold, som er løpende.
Transaksjoner vil uansett være omfattet av den undersøkelsesplikten som er foreslått i § 20, med tilhørende rapporteringsplikt, se nærmere dette medlems merknad i punkt 6.5.2.2.1.»
5.4.5 Høringsinstansenes syn
Brønnøysundregistrene påpeker at opplysninger som skal bekreftes om juridiske personer, jf. lovutkastet § 9 femte ledd, i dag er tilgjengelig i sanntid ved oppslag i Brønnøysundregistrene. I tillegg distribueres dataene til en rekke private og offentlige aktører. Brønnøysundregistrene mener derfor det bør være plikt til å kontrollere kundeopplysningene opp mot de opplysningene som er registrert i registeret på kontrolltidspunktet.
Eiendom Norge påpeker at regelen om når kundeforhold anses etablert i forbindelse med eiendomsmegling i gjeldende hvitvaskingsforskrift § 2, ikke er inntatt i utvalgets utkast. I utkastet reguleres kun tidspunktet for hva eiendomsmegler skal gjøre overfor kjøper i forbindelse med eiendomssalget. Eiendom Norge mener at tilsvarende bestemmelse for andre kundeforhold bør reguleres. I tillegg mener Eiendom Norge at det bør presiseres om reglene begrenses til å gjelde for bolighandler, noe Eiendom Norge mener er fornuftig.
Finans Norge mener det er uklart hva som menes med «handler på vegne av» i lovutkastet § 9 annet og fjerde ledd, som skal erstatte gjelde hvitvaskingslov § 7 annet og tredje ledd. Finans Norge påpeker at eventuelle endringer i hvem som skal identifiseres og legitimeres bør fremgå klart. Videre mener Finans Norge det er uklart hvordan «fullmaktshavers» i lovutkastet § 9 tredje ledd og «representerer» i utkastet § 9 femte ledd skal forstås. Finans Norge mener det bør fremgå klart om det er ment å regulere det samme eller ikke.
Finans Norge mener at departementet bør vurdere å klargjøre lovutkastet § 9 femte ledd om tilfeller der det ikke er mulig å klarlegge hvem som er reell rettighetshaver. Det vises til at uttrykket f.eks. kan henvise til en situasjon der det ikke finnes reelle rettighetshavere, men også tilfeller der reelle rettighetshavere ikke lar seg identifisere.
Finans Norge mener tilsvarende løsning som følger av lovutkastet § 9 syvende ledd om tidspunktet for kundetiltak overfor begunstigede, bør gjelde for ansatte under kollektive forsikringer og automatisk medforsikrede etter forsikringsavtaleloven § 71. Finans Norge mener det vil være urimelig byrdefullt om kundetiltak skal gjennomføres for så mange personer ved inngåelse av forsikringsforholdet eller opprettelse av kundeforholdet.
Finansieringsselskapenes Forening (Finfo) støtter mindretallets forslag om at oppslag i offentlig register er tilstrekkelig for å kontrollere opplysninger om juridiske personer. Finfo mener det er et skritt i feil retning å kreve utskrift eller firmaattest og lagring av dette når oppdaterte opplysninger er tilgjengelig på internett.
Frivillighet Norge understreker at det er prinsipielt viktig at man ikke innfører obligatorisk registrering av frivillige organisasjoner og deres styremedlemmer, men at dette knyttes til økonomisk aktivitet. Frivillighet Norge mener dette er en sikkerhetsventil for samfunnet.
Lotteri- og stiftelsestilsynet ber departementet være oppmerksom på problemstillingen knyttet til opprettelse av stiftelser og krav om organisasjonsnummer for å opprette bankkonto, og ber om veiledning i forarbeidene til hvordan stiftelsene og bankene skal opptre. I praksis har stiftelser/revisorer opplevd å få problemer med å oppfylle kravet om at grunnkapitalen skal være stilt til stiftelsens disposisjon for å oppfylle stiftelsesloven § 12 første ledd bokstav c.
Nasjonal Kommunikasjonsmyndighet (Nkom) påpeker at det foreløpig ikke er avklart om selvdeklareringsordningen for elektronisk signatur videreføres, og Nkom foreslår i stedet at hvitvaskingsloven viser til den nye loven om elektroniske tillitstjenester som Nærings- og fiskeridepartementet arbeider med. Hvitvaskingsloven kan i så fall referere til bruken av avansert elektronisk signatur, som er understøttet av et kvalifisert sertifikat.
Næringslivets Hovedorganisasjon (NHO) har bemerkninger til flere punkter i lovutkastet. NHO foreslår at rapporteringspliktige skal gjennomføres «rimelige tiltak» for å forstå eierskaps- og kontrollstrukturen i juridiske personer, fremfor å innhente «nødvendige» opplysninger, se lovutkastet § 9 fjerde ledd tredje punktum. Videre støtter ikke NHO flertallets forslag om å kreve utskrift fra offentlig register for å bekrefte opplysninger om juridiske personer. Opplysninger er offentlig og elektronisk tilgjengelig, og krav om utskrift vil derfor medføre unødvendig merarbeid.
NHO støtter mindretallets forslag om at kundetiltak ikke skal omfatte klarlegging av transaksjoners formål og tilsiktede art. NHO viser til at verken direktivets ordlyd, tidligere direktiv, gjeldende hvitvaskingslov og dens forarbeider, svensk lovforslag eller dansk lovforslag støtter utvalgsflertallets forståelse av fjerde hvitvaskingsdirektiv. NHO mener flertallets forståelse av direktivet, under henvisning til direktivets formål og system, vil bli mer tyngende for rapporteringspliktige. NHO påpeker at rapporteringspliktige som ikke etablerer kundeforhold ikke nødvendigvis vil ha tilstrekkelige forutsetninger til å vurdere transaksjoners formål og tilsiktede art. NHO viser også til at avdekkings-/undersøkelsesplikten i lovutkastet § 20 vil gjelde, slik at det er uklart hvorfor flertallet mener det er nødvendig at kundetiltakene skal omfatte transaksjoners formål og tilsiktede art.
Norsk Tipping AS (Norsk Tipping) mener det ikke kan stilles krav om aktive tiltak fra rapporteringspliktig i tilfeller der formålet med kundeforholdet eller transaksjonen er selvforklarende eller rapporteringspliktige kan gjøre seg opp en mening om dette på annen måte. Det avgjørende bør være at rapporteringspliktig har en forsvarlig vurdering av formålet og arten av kundeforholdet eller transaksjonen.
Norsk Tipping er enig med utvalget i at det er i strid med en risikobasert tilnærming å innføre krav om pass eller andre offentlig utstedte legitimasjonsdokument, f.eks. nasjonalt ID-kort, ved legitimasjon ved fysisk oppmøte. Norsk Tipping mener imidlertid det er vanskelig å se hvilke andre dokumenter enn pass, nasjonalt ID-kort, sertifikat og bankkort med bilde som kan oppfylle kravet i utkastet til hvitvaskingsforskrift § 1. Norsk Tipping viser videre til at bankkort med bilde skal fases ut, og at nasjonale ID-kort ikke skal innføres før tidligst 1. april 2018. Uten sertifikat mener Norsk Tipping det er uklart om det er andre godkjente alternativer til pass som legitimasjon. Norsk Tipping påpeker at krav om pass kan innebære en så høy barriere for å bli kunde at personer faller utenfor det offentlig kontrollerte tilbudet av spilltjenester.
Når det gjelder politisk eksponerte personer, bemerker Norsk Tipping at selskapet ikke kan se at utvalget har drøftet hvordan rapporteringspliktige skal oppfylle kravet til å ha systemer for å identifisere politisk eksponerte personer. Norsk Tipping synes det er uklart hvordan dette skal gjøres i praksis. Dersom det ikke er anledning til å lempe på kravet til identifisering basert på en risikovurdering, mener Norsk Tipping at myndighetene må legge til rette for at rapporteringspliktiges settes i stand til å foreta identifisering av politisk eksponerte personer, deres familiemedlemmer og kjente medarbeidere. Norsk Tipping mener det er behov for en form for offentlig godkjent liste over personkretsen som skal omfattes av reglene, slik at rapporteringspliktige jevnlig kan «vaske» sine kunderegistre mot listen. Dette vil legge til rette for en forsvarlig og kostnadseffektiv oppfyllelse av rapporteringspliktiges forpliktelser. Etter Norsk Tippings syn kan ikke den enkelte rapporteringspliktig forventes å opprette og oppdatere en slik liste.
Den norske Revisorforening (Revisorforeningen) mener at oppslag i registeret over reelle rettighetshavere må anses som et egnet tiltak for å identifisere reell rettighetshaver, jf. lovutkastet § 9 femte ledd, med forbehold for tilfeller der rapporteringspliktig har grunn til å tro at registerets opplysninger er feil. Revisorforeningen påpeker at denne funksjonen må være et viktig formål med registeret.
Verdipapirfondenes forening støtter mindretallets forslag om at rapporteringspliktige kan kontrollere opplysninger om juridiske personer ved oppslag i offentlig register, fremfor å kreve utskrift eller firmaattest. Lagring av utskrift eller firmaattest vil være overflødig.
Virke Inkasso mener det må klargjøres i lov eller forskrift hvilke tiltak inkassoforetak skal gjennomføre overfor skyldnere, forutsatt at inkassobransjen underlegges hvitvaskingsregelverket.
Økonomiforbundet støtter mindretallets forslag om at rapporteringspliktige kan kontrollere opplysninger om juridiske personer ved oppslag i elektronisk register, enten i Foretaksregisteret, eller i tilsvarende utenlandsk register.
5.4.6 Departementets vurdering
5.4.6.1 Generelt om bestemmelsene om kundetiltak
Departementet foreslår at reglene om alminnelige kundetiltak fordeles over flere paragrafer. Hver enkelt paragraf gis et mer begrenset innhold, noe som etter departementets vurdering er hensiktsmessig for å lette tilgjengeligheten til lovbestemmelsene. Departementet foreslår derfor at det gis en paragraf om kundetiltak overfor fysiske personer, én for juridiske personer, en særskilt bestemmelse om identifisering av reell rettighetshaver, samt en bestemmelse om særlige spørsmål knyttet til eiendomsmeglerforetak og livsforsikring.
I de enkelte bestemmelsene om fysiske og juridiske personer angis alle delene av gjennomføringen av kundetiltak – identifisering og bekreftelse av identiteten til kunden og reell rettighetshaver, samt innhenting og vurdering av nødvendige opplysninger om kundeforholdets formål eller tilsiktede art. Bestemmelsene henviser videre uttrykkelig til at politisk eksponerte personer må kunne identifiseres.
De konkrete kravene til hva som skal gjennomføres som kundetiltak, er i all hovedsak videreføring av gjeldende regler om kundekontroll i hvitvaskingsloven. Departementet viser til omtalen nedenfor.
5.4.6.2 Innhenting og bekreftelse av opplysninger om fysiske personer
Departementet foreslår en særskilt bestemmelse om kundetiltak når kunden er fysisk person, se lovforslaget § 12. I bestemmelsen samles regler om innhenting og bekreftelse av opplysninger om kunden og reell rettighetshaver, rapporteringspliktiges plikt til å ha systemer for å avgjøre om kunden eller reell rettighetshaver er en politisk eksponert person mv., samt krav om å innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art. For omtalen av kravene om å innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art, vises det til punkt 5.4.6.7.
Departementet slutter seg til utvalgets vurderinger om reglene om alminnelige kundetiltak for fysiske personer, herunder vurderingen av å flytte deler av reglene i hvitvaskingsforskriften til loven. Som det fremgår av punkt 5.4.6.1, har departementet gjort endringer i lovforslaget sammenlignet med utvalgets utkast.
Departementet foreslår at det gis uttrykkelige regler om gjennomføring av kundetiltak overfor personer som er gitt rett til å disponere over kundens konto, se lovforslaget § 12 første og annet ledd. Dette er en videreføring av hvitvaskingsloven § 7 tredje ledd. Departementet presiserer at lovforslaget ikke er ment å stille andre krav til identifisering og bekreftelse av identiteten til personer med slik disposisjonsrett.
Departementet bemerker at også andre personer som handler på vegne av kunden, skal identifiseres og deres identitet bekreftes. Finans Norge har bedt om en avklaring av om den nye terminologien er ment å utvide kretsen av personer som skal identifiseres og deres identitet bekreftes. Departementet viser til at utvalgets forslag bygger på fjerde hvitvaskingsdirektiv artikkel 13 nr. 1 annet ledd, som også gjelder personer som påstår å handle på kundens vegne. Samme krav finnes i FATFs anbefalinger, se forklarende note punkt 4 til anbefaling 10. Departementet påpeker at ordlyden «er gitt disposisjonsrett over en konto eller et depot, eller er gitt rett til å gjennomføre transaksjonen», jf. hvitvaskingsloven § 7 tredje ledd, ikke nødvendigvis omfatter alle tilfeller der en person handler på vegne av en annen. Lovforslaget, som foruten å presisere at tilfellene med disposisjonsrett fortsatt skal dekkes, jf. ovenfor om gjeldende hvitvaskingslov § 7, bygger på utvalgets utkast og er ment å avskjære tvil på dette punktet.
Departementet har på bakgrunn av høringen enkelte bemerkninger til hva som skal utgjøre gyldig legitimasjon. Departementet understreker at dette ikke foreslås definert i hvitvaskingsloven selv, men at det kan gis forskrift for å utdype kravet til gyldig legitimasjon. Departementet tar sikte på å fastsette forskrift om dette i forbindelse med ikrafttredelsen av loven.
I høringen har Nasjonal kommunikasjonsmyndighet påpekt at ordningen med selvdeklarasjonsordning for elektronisk signatur kan bli avviklet. Departementet vil påse at hvitvaskingsforskriften holdes oppdatert på dette punktet.
Norsk Tipping er enig med utvalget i at det er i strid med en risikobasert tilnærming å stille krav om pass eller nasjonalt ID-kort ved gjennomføring av kundetiltak, se også utvalgets uttalelser gjengitt i punkt 5.4.4.2. Norsk Tipping har imidlertid problemer med å se hvilke andre dokumenter enn pass, nasjonalt ID-kort, sertifikat og bankkort med bilde som kan oppfylle kravet i utkastet til hvitvaskingsforskrift § 1. Selskapet frykter at det kan bli en så høy barriere for kunder at de faller utenfor det offentlig kontrollerte spilltilbudet.
Departementet slutter seg til utvalgets vurderinger når det gjelder krav om at rapporteringspliktige skal ha en risikobasert tilnærming til bekreftelse av identiteten til de relevante fysiske personene (kunde, reell rettighetshaver mv.), men presiserer at kravet om gyldig legitimasjon gjelder uansett. Departementet presiserer at kravet om gyldig legitimasjon først oppstår når det er krav om gjennomføring av kundetiltak. Dette er igjen avhengig av en vurdering av om det inngås et kundeforhold eller om det gjennomføres en transaksjon over de relevante terskelverdiene, se lovforslaget § 10. Se nærmere om dette i punkt 5.2.6.
Lovforslaget gjennomfører fjerde hvitvaskingsdirektiv artikkel 13 og deler av artikkel 20 og FATF-anbefaling 10 og deler av FATF-anbefaling 12 og 22.
5.4.6.3 Innhenting og bekreftelse av opplysninger om kunder som ikke er fysiske personer
Departementet foreslår at reglene om kundetiltak når kunden ikke er en fysisk person gis i en særskilt bestemmelse, se lovforslaget § 13.
Departementet slutter seg i hovedsak til utvalgets vurderinger om reglene om alminnelige kundetiltak for juridiske personer, juridiske arrangementer og andre sammenslutninger, herunder flyttingen av deler av reglene i hvitvaskingsforskriften til loven. Departementet presiserer at lovforslaget i all hovedsak er en videreføring av gjeldende rett, oppdatert på de punktene der fjerde hvitvaskingsdirektiv stiller tydeligere krav eller FATFs anbefalinger og evalueringsrapport tilsier behov for endringer av norsk rett.
På bakgrunn av høringen har departementet enkelte nærmere bemerkninger.
I spørsmålet om bekreftelse av opplysninger om juridisk person, delte utvalget seg i et flertall og et mindretall, se punkt 5.4.4.3. Flere høringsinstanser støtter mindretallets forslag om at opplysninger om en juridisk person skal kunne kontrolleres ved oppslag mot offentlig register, snarere enn å kreve fremlagt utskrift av offentlig register, herunder elektronisk «utskrift» i form av skjermbilde, eller firmaattest.
Departementet antar at offentlige registre i utgangspunktet vil tilfredsstille kravene i fjerde hvitvaskingsdirektiv til «dokumenter, data eller opplysninger innhentet fra en pålitelig og uavhengig kilde», jf. artikkel 13 nr. 1 bokstav a. Samtidig vil påliteligheten av offentlige registre variere mellom land, slik at det ikke nødvendigvis er i samsvar med en risikobasert tilnærming å bekrefte opplysninger om en utenlandsk juridisk person ved bruk av et utenlandsk foretaksregister. Departementet foreslår derfor at oppslag mot offentlig register kan utgjøre en bekreftelse på opplysninger om juridisk person, men vil understreke at dette bare kan skje etter en vurdering av risikoen for hvitvasking og terrorfinansiering, herunder risikoen for at registeret ikke er pålitelig. Rapporteringspliktige kan ikke ukritisk legge til grunn oppslag mot offentlig register som det eneste tiltaket for å bekrefte opplysninger om juridisk person.
Departementet understreker at kravene om lagring av opplysninger innhentet i forbindelse med gjennomføring av kundetiltak, medfører at det uansett må registreres opplysninger som sikrer notoritet om oppslaget mot registeret og eventuelle andre tiltak som er gjennomført.
Lotteri- og stiftelsestilsynet har bedt departementet være oppmerksom på problemstillingen knyttet til å stille krav om organisasjonsnummer for å opprette bankkonto i forbindelse med opprettelse av stiftelser.
Frivillighet Norge synes på sin side å anføre at det ikke bør innføres obligatorisk registreringsplikt for foreninger som ikke driver økonomisk virksomhet.
Departementet viser til at det i gjeldende hvitvaskingsforskrift § 7 er gitt regler om gyldig legitimasjon for juridiske personer som ikke er registret i offentlig register. Utvalget har ikke foreslått en lignende unntaksadgang.
Departementet anser det nødvendig å gi særlige regler for tilfeller der juridiske personer er under opprettelse. Tilsvarende problemstilling gjør seg gjeldende for utenlandske juridiske personer fra land som ikke nødvendigvis har tilstrekkelig pålitelige og offentlig tilgjengelige foretaksregistre, samt i tilfeller der kunden er utenlandsk trust eller lignende juridisk arrangement. Etter departementets vurdering bør slike presiseringer reguleres i forskrift, og viser til forskriftshjemmelen i lovforslaget § 13 sjette ledd.
Departementet foreslår i tråd med utvalgets forslag at foreninger og lignende sammenslutninger skal registreres i offentlig register for å kunne inngå kundeforhold i foreningens navn. Departementet viser til at en slik registreringsplikt fremstår som lite byrdefullt for foreninger med en aktivitet av en størrelse som tilsier et behov for eksempelvis egen bankkonto. Hensynet til å bekjempe terrorfinansiering tilsier dessuten særlig at foreninger med behov for egen bankkonto registreres på en slik måte at grunnleggende opplysninger er enkelt tilgjengelige. Departementet er videre kjent med at en rekke banker allerede i dag stiller krav om registrering i offentlig register.
Flere høringsinstanser har hatt bemerkninger til utvalgets utkast til regler om reelle rettighetshavere og innhenting og bekreftelse av opplysninger om juridiske personers eierskaps- og kontrollstruktur.
På bakgrunn av NHOs høringsinnspill om rapporteringspliktiges forståelse av eierskaps- og kontrollstrukturen i juridiske personer, foreslår departementet en noe annen ordlyd enn utvalget. Departementet foreslår at henvisningen til innhenting av opplysninger om eierskaps- og kontrollstrukturen fjernes, og at rapporteringspliktige skal gjennomføre «egnede tiltak» for å forstå eierskaps- og kontrollstrukturen i den juridiske personen som er kunde, se lovforslaget § 13 første ledd. Departementet viser til at direktivet krever gjennomføring av «reasonable measures». I gjeldende hvitvaskingslov er dette for reelle rettighetshaveres del oversatt til «egnede tiltak», og etter departementets vurdering er det hensiktsmessig med likelydende terminologi. Hva som er «egnede tiltak», skal tilpasses risikoen for hvitvasking og terrorfinansiering, jf. lovutkastet § 9 om risikobasert gjennomføring av kundetiltak.
Departementet foreslår videre at tiltakene skal dokumenteres. Departementet viser til at dette er av betydning ved senere tilsyn, der det bør være mulig for rapporteringspliktige å vise for tilsynsmyndigheten hva som er gjort for å etterleve lovens krav. Tilsynsmyndigheten kan vanskelig vurdere om det er gjennomført «egnede» tiltak dersom tiltakene ikke er dokumenterte og kan etterprøves.
Revisorforeningen og Finans Norge har begge inngitt høringssvar om hva som ligger i å gjennomføre «egnede tiltak» for å identifisere reell rettighetshaver. Når det gjelder Revisorforeningens høringssvar, som gjelder betydningen av registeret over reelle rettighetshavere, presiserer departementet at fjerde hvitvaskingsdirektiv uttrykkelig bestemmer at rapporteringspliktige ikke utelukkende kan bruke registeret ved identifisering av reell rettighetshaver, se fjerde hvitvaskingsdirektiv artikkel 30 nr. 8 og 31 nr. 6. Departementet er enig i at oppslag i registeret er ett av flere tiltak som kan inngå i identifiseringen av reell rettighetshaver, men det kan ikke være det eneste. Departementet presiserer at rapporteringspliktige under enhver omstendighet må gjøre egnede tiltak for å forstå eierskaps- og kontrollstrukturen i kunder som er juridiske personer og juridiske arrangementer, jf. lovforslaget § 13 første ledd. Som et minimum vil dette innebære å innhente opplysninger om det juridiske eierskapet i eksempelvis et aksjeselskap som er kunde, i praksis aksjeeierboken. Departementet viser til at fjerde hvitvaskingsdirektiv artikkel 30 nr. 1 forutsetter at opplysninger om juridisk eierskap innhentes av rapporteringspliktige ved gjennomføring av kundetiltak.
Finans Norge mener det kan være nødvendig å klargjøre når det ikke er mulig å klarlegge hvem som er reell rettighetshaver. Departementet foreslår en noe endret lovtekst. Unntaksregelen skal først komme til anvendelse når alle rimelige tiltak er gjennomført for å identifisere reell rettighetshaver i samsvar med § 14. Departementet viser til at ordlyden i direktivet er at rapporteringspliktig må ha benyttet «alle tenkelige muligheter», jf. artikkel 3 nr. 6 bokstav a punkt ii. Det skal derfor være en høy terskel før rapporteringspliktige kan unnlate å etterspørre informasjon som kan identifisere en reell rettighetshaver. Unntaksregelen gjelder også dersom det er tvil om at identifiserte personer er reell rettighetshaver. Forutsetningen i begge tilfeller er at det ikke er mistanke om hvitvasking eller terrorfinansiering, som eventuelt kan gi grunnlag for å rapportere til Økokrim. Departementet bemerker at også identifisering av reelle rettighetshavere skal skje i samsvar med en risikobasert tilnærming, jf. lovforslaget § 9. Departementet presiserer at samtlige kriterier i § 14 må være tilstrekkelig undersøkt før rapporteringspliktig kan fastslå at det ikke finnes en reell rettighetshaver. Rapporteringspliktig må vurdere, i lys av risikoen tilknyttet kunden, om alle kriteriene skal undersøkes i tilfeller der minst ett av dem allerede er oppfylt. Departementet presiserer at når det gjelder kriteriene om eierskap av eierandeler og kontroll over stemmerettigheter, må alle reelle rettighetshavere identifiseres, eventuelt må det avklares at det ikke er rom for flere reelle rettighetshavere som følge av eierskap eller kontroll over stemmerettigheter. Dette er eksempelvis aktuelt i tilfeller der eierskap eller kontroll over stemmerettigheter er fordelt på direkte og indirekte innehav.
Ved kartleggingen av kriteriene vil det åpenbart være relevant å ta utgangspunkt i dokumentasjonen innhentet som ledd i å forstå eierskaps- og kontrollstrukturen i kunden, jf. lovforslaget § 13 første ledd, herunder eksempelvis aksjonærregister eller lignende fortegnelse over medlemskap og eierskap til eierandeler. Rapporteringspliktige bør også vurdere å benytte seg av åpne kilder som kan gi informasjon om eierskap og kontroll over kunden. Eksempler på slike kilder kan være internettsider som tilgjengeliggjør informasjon fra regnskapsrapporteringen, eller nyhetskilder som kaster lys over eierskaps- og kontrollstrukturen i relevante foretak, slik som aksjonæravtaler. Departementet presiserer at den praktiske identifiseringen av reell rettighetshaver og bekreftelse av identiteten ikke kan overlates i sin helhet til kunden. Det er med andre ord ikke tilstrekkelig å spørre foretaket om hvem reell rettighetshaver er, og så bygge på dette svaret uten egne bekreftelser av opplysningene som gis.
Departementet finner grunn til å presisere at egnede tiltak forutsetter at dersom rapporteringspliktig er i tvil om at en identifisert person faktisk har tilstrekkelig kontroll eller innflytelse, eksempelvis fordi vedkommende fremstår som en stråmann, vil det normalt være nødvendig å gjøre ytterligere undersøkelser. I tillegg kan kundeforhold bare inngås uten identifisering av reell rettighetshaver, eller der det er tvil om at den identifiserte personen er reell rettighetshaver, så lenge det ikke er mistanke om hvitvasking eller terrorfinansiering. Rapporteringspliktig må videre dokumentere hva som er gjort for å avklare hvem som er reell rettighetshaver og grunnen til at den som i utgangspunktet er identifisert som reell rettighetshaver, likevel ikke skal anses som reell rettighetshaver.
Lovforslaget gjennomfører fjerde hvitvaskingsdirektiv artikkel 13 og deler av artikkel 20 og FATF-anbefaling 10 og deler av FATF-anbefaling 12 og 22.
5.4.6.4 Identifisering av reell rettighetshaver når kunden ikke er en fysisk person
5.4.6.4.1 Innledning
Departementet foreslår at reell rettighetshaver defineres i hvitvaskingsloven § 2 bokstav e, se punkt 3.3.7.3. Som det fremgår der, er det etter departementets vurdering mer hensiktsmessig å regulere identifiseringen av reell rettighetshaver som del av gjennomføringen av kundetiltak, snarere enn som del av definisjonen. Departementet viser til at det i høringen er fremhevet at identifisering av reelle rettighetshavere kan være krevende. Departementet viser også til FATFs anbefalinger, se nærmere omtale nedenfor. Departementets forslag innebærer vesentlige endringer sammenlignet med utvalgets utkast.
Departementet finner, på bakgrunn av høringen, grunn til å redegjøre nærmere for definisjonen av «reell rettighetshaver» («beneficial owner»). Definisjonen bygger på FATFs anbefalinger og fjerde hvitvaskingsdirektiv. Definisjonen i FATFs ordliste gjelder den eller de fysiske personen(e) som «ultimately owns or controls a customer» og/eller på hvis vegne en transaksjon gjennomføres. Definisjonen omfatter også «those persons who exercise ultimate effective control» over en juridisk person eller et juridisk arrangement. Definisjonen av reell rettighetshaver må holdes atskilt fra formelt eierskap og formell kontroll. Et grunnleggende element i definisjonen er at reell rettighetshaver må være en fysisk person. Departementet presiserer at det ikke nødvendigvis bare er én reell rettighetshaver bak en kunde.
FATFs anbefaling 10 om kundetiltak («customer due diligence») med forklarende noter stiller krav til identifisering og bekreftelse av identiteten til reell rettighetshaver. Anbefalingene presiserer kun identifiseringen av reell rettighetshaver i kunder som er juridiske personer eller juridiske arrangementer. Anbefalingene presiserer ikke når en reell rettighetshaver skal anses å stå bak en kunde som er fysisk person. Departementet kommer nærmere tilbake til anbefalingenes konkrete krav nedenfor.
5.4.6.4.2 Juridiske personer eller andre sammenslutninger som ikke er stiftelse eller utenlandsk juridisk arrangement
Departementet foreslår at det gis regler om identifisering av reell rettighetshaver i tilfeller der kunden ikke er fysisk person, stiftelse eller utenlandsk juridisk arrangement i § 14 første ledd. Stiftelser og utenlandske juridiske arrangementer skal reguleres særskilt, se nedenfor.
Departementets forslag angir seks ulike situasjoner som gir grunnlag for å anse en person som reell rettighetshaver. I første ledd bokstav a til e er det angitt situasjoner der en fysisk person har direkte kontroll over den juridiske personen eller sammenslutningen, mens det i første ledd annet punktum er angitt når en person indirekte anses å ha tilstrekkelig kontroll over den juridiske personen eller sammenslutningen.
Departementet foreslår at nære familiemedlemmers innehav av aksjer mv. skal regnes samlet. En annen løsning ville kunne legge til rette for omgåelse av reglene, slik at det ikke ble sikret tilstrekkelig åpenhet om kontrollen til en fysisk person fordi eierskapet ble spredt på eksempelvis tre ulike familiemedlemmer. Dette er samme løsning som er valgt i Sverige, der avgrensningen av nære familiemedlemmer er satt til ektefelle, registrert partner, samboer, foreldre, barn og barns ektefelle, registrert partner og samboer. Avgrensningen tilsvarer avgrensningen av «nært familiemedlem» for reglene om politisk eksponerte personer. Etter departementets vurdering bør samme avgrensning legges til grunn i Norge på dette punktet. Avgrensningen av «nært familiemedlem» er kjent fra reglene om identifiseringen av politisk eksponerte personer, og departementet antar at det er hensiktsmessig å benytte samme avgrensning ved identifiseringen av reelle rettighetshavere.
Rapporteringspliktige skal ved identifisering av reell rettighetshaver ta utgangspunkt i fordelingen av eierandeler og stemmerettigheter i den aktuelle kunden. For kunder som ikke har eierandeler, eksempelvis lag, foreninger mv., vil denne delen av identifiseringen av reell rettighetshaver ikke få praktisk betydning. Departementet bemerker at rapporteringspliktige må være oppmerksomme på tilfeller der fordelingen av eierandeler og stemmerettigheter ikke er det samme, eksempelvis fordi aksjer er gitt ulik stemmevekt eller det er inngått aksjonæravtaler om utøvelsen av stemmerettigheter.
Utvalget har foreslått at en terskelverdi på mer enn 25 prosent av eierandelene eller stemmerettighetene i juridisk person, skal være en indikasjon på at man er reell rettighetshaver.
I høringen er det flere høringsinstanser som i tilknytning til utvalgets utkast til regler om register over reelle rettighetshavere, har anført at en terskelverdi for eierskap eller stemmerettigheter på 25 prosent eller mer er for høy. Til dette bemerker departementet for det første at terskelverdien på 25 prosent er den som gjelder i dag, og derfor er godt kjent. For det andre viser departementet til at direktivet benytter samme terskelverdi. For det tredje er 25 prosent terskelverdien FATF-anbefalingene benytter som eksempel på en terskelverdi som kan anses å gi tilstrekkelig kontrollerende eierskapsinteresse. For det fjerde er departementet kjent med at en terskelverdi på 25 prosent er lagt til grunn i bl.a. Italia, Sverige, Danmark, Storbritannia og Finland. Etter departementets vurdering er det hensiktsmessig med en felles tilnærming til identifisering av reelle rettighetshavere, og departementet finner ikke grunn til å foreslå at en lavere terskelverdi skal danne utgangspunktet for vurderingen av hvem som er reell rettighetshaver på det nåværende tidspunktet. Departementet understreker for øvrig at reglene i regnskapsloven om årsregnskapets opplysninger om aksjonærer, vil supplere reglene i hvitvaskingsloven mv. om reelle rettighetshavere. Disse reglene kan også være egnet til å øke tilgjengeligheten til opplysninger om fysiske personer som eier og kontrollerer aksjeselskaper. Departementet bemerker videre at det pågår et arbeid med å øke tilgjengeligheten til opplysninger om registrerte aksjeeiere, noe som videre vil styrke rapporteringspliktiges grunnlag for å bekrefte opplysninger om aksjeeiere mv.
Departementet presiserer at det formelle eierskapet eller stemmerettighetene ikke kan være det eneste rapporteringspliktige vurderer når de skal identifisere reelle rettighetshavere i juridiske personer. I lovforslaget § 14 første ledd bokstav c og d er det angitt to ytterligere kriterier til vurderingen av hvem som er reell rettighetshaver. Bokstav c omfatter kontroll som innebærer rett til å utpeke eller avsette mer enn halvparten av den juridiske personens styremedlemmer. I juridiske personer uten styre, vil kriteriet gjelde utpeking eller avsetting av medlemmer av et organ med tilsvarende ansvar og kompetanse som styret har i aksjeselskaper. Bokstav d omfatter tilfeller der det er inngått avtaler, bestemt i vedtekter osv. at det kan utøves kontroll på samme måte som nevnt i bokstav a til c. Et eksempel kan være avtaler som innebærer at én aksjonær på grunnlag av avtaler med andre aksjonærer kontrollerer flere stemmerettigheter enn eget formelle innehav gir grunnlag for. Bokstav e omfatter tilfeller der rapporteringspliktig på annet grunnlag enn det som er angitt i bokstav a til d, eventuelt i sammenheng med annet punktum, mener det er en fysisk person som utøver kontroll over kunden.
I tillegg til å vurdere om det er en eller flere fysiske personer som direkte innehar en tilstrekkelig eierandel, stemmerettigheter eller rett til å utpeke eller avsette et flertall av styremedlemmene i den juridiske personen, må rapporteringspliktige vurdere om det er en eller flere fysiske personer som indirekte har slik innflytelse. Dette kan også skje i kombinasjon med direkte eierskap eller innehav av stemmerettigheter. På samme måte som ved direkte eierskap mv., må nære familiemedlemmer regnes samlet. Indirekte eierskap eller innehav av stemmerettigheter skal avgjøres på bakgrunn av hvilken innflytelse den fysiske personen har over den eller de juridiske personene som direkte eier eierandelene eller innehar stemmerettighetene i kunden. I Sverige er dette regulert slik at det er tilstrekkelig til å anses som reell rettighetshaver at man selv er reell rettighetshaver i et foretak som tilfredsstiller kriteriene for å være reell rettighetshaver (altså at personen f.eks. eier 25 prosent av et foretak som eier 25 prosent av et foretak). Til sammenligning synes reglene i Storbritannia, hva gjelder registrering i registeret over «persons with significant control», å kreve at eierskap gjennom en kjede av juridiske personer forutsetter enten at flertallet av stemmene kontrolleres eller at personen har rett til å utpeke flertallet av styremedlemmene i hele kjeden frem til foretaket som vurderes.
I høringen har T-Rank AS fremhevet at størrelsen på en eierpost i seg selv ikke nødvendigvis sier mye om innflytelsen en aksjonær mv. vil ha i et foretak, men at innflytelsen også beror på størrelsen på de øvrige eierpostene i foretaket. T-Rank illustrerer hvordan manglende kontroll over majoriteten av stemmerettighetene på et punkt i en eierkjede, ikke forhindrer en fysisk person fra å kunne utøve en stor grad av innflytelse i en juridisk person senere i kjeden. Etter departementets vurdering tilsier det, isolert sett, at den svenske løsningen bør legges til grunn, fordi denne vil sikre størst grad av åpenhet om reelle rettighetshavere. Dette vil innebære at det potensielle antallet fysiske personer som anses som reell rettighetshaver, vil kunne økes for en rekke juridiske personer, avhengig av deres eierskapsstruktur. Etter departementets vurdering er det på tross av dette god grunn til å velge den svenske løsningen, fordi dette i størst grad sikrer at rapporteringspliktige innhenter tilstrekkelige opplysninger om reelle rettighetshavere. Departementet viser til lovforslaget § 14 første ledd annet punktum.
I § 14 annet ledd foreslår departementet at det ikke skal identifiseres reelle rettighetshavere i kunder som er juridisk person med eierandeler opptatt til handel på regulert marked i EØS-stat eller underlagt tilsvarende informasjonsplikt som det som gjelder ved notering på regulert marked i EØS-stat. Det samme gjelder når kunden er selskap hvor et slikt selskap som nevnt foran eier så mange aksjer eller andeler at selskapet representerer majoriteten av stemmene i selskapet. Departementet viser til forklarende note til FATF-anbefaling 10 punkt 5 nest siste ledd. Her fremgår det at det som ledd i gjennomføringen av kundetiltak ikke skal være nødvendig å identifisere og bekrefte identiteten til noen aksjonær eller reell rettighetshaver i slike selskaper som nevnt foran. Fjerde hvitvaskingsdirektiv artikkel 3 punkt 6 bokstav a punkt i inneholder samme unntak i relasjon til definisjonen av reell rettighetshaver. Etter departementets vurdering er det mest hensiktsmessig å regulere dette som et unntak fra plikten til å identifisere reelle rettighetshavere. Departementet presiserer at dette ikke medfører unntak fra plikten til å gjennomføre egnede tiltak for å forstå eierskaps- og kontrollstrukturen i kunden.
Begrunnelsen for å gjøre unntak for selskaper som nevnt over, er blant annet at selskaper med eierandeler opptatt til handel på regulert marked er underlagt reglene om flagging i verdipapirhandelregelverket.
Etter departementets vurdering er det behov for å kunne gi nærmere regler i forskrift om identifisering av reelle rettighetshavere i juridiske personer. Departementet viser særlig til høringen, der det ble fremhevet at ulike eierskapskonstellasjoner kan gi til dels svært ulik innflytelse i en gitt kunde. Departementet viser videre til at bestemmelsen i utgangspunktet gjelder alle juridiske personer, og at praksis kan vise et behov for å tilpasse reglene om identifisering av reelle rettighetshavere til ulike juridiske personer. Departementet viser til lovforslaget § 14 femte ledd.
5.4.6.4.3 Juridiske arrangementer
For juridiske arrangementer følger det av FATFs anbefalinger at for «trusts» skal rapporteringspliktige identifisere følgende personer som reelle rettighetshavere: oppretter («settlor»), forvalter(e) («trustee(s)»), eventuell beskytter («protector, if any»), begunstigede eller klasser av begunstigede («beneficiaries or class of beneficiaries») og enhver annen fysisk person som utøver effektiv kontroll over trusten (herunder gjennom ledd av eierskap og/eller kontroll). I andre juridiske arrangementer skal personer i tilsvarende eller lignende posisjoner som de nevnte for trusts, identifiseres.
Departementet foreslår at angivelsen av hvem som er reell rettighetshaver i juridiske arrangementer, skilles ut i et eget punkt, se lovforslaget § 14 fjerde ledd. Departementet presiserer at stiftelser ikke skal behandles sammen med trusts og lignende juridiske arrangementer, se punkt 5.4.6.4.4.
Departementet foreslår, i samsvar med utvalgets utkast, en bestemmelse om at visse opplistede roller i truster skal anses å være reell rettighetshaver. Personen som besitter posisjonen, må være fysisk person for å kunne være reell rettighetshaver, jf. det grunnleggende kriteriet i definisjonen av reell rettighetshaver. Fjerde hvitvaskingsdirektiv bestemmer ikke uttrykkelig hvem som skal anses som reell rettighetshaver i tilfeller der en juridisk person innehar en av de nevnte posisjonene, eksempelvis foretak som tilbyr virksomhetstjenester. I artikkel 3 nr. 6 bokstav b punkt v er det imidlertid bestemt at enhver annen fysisk person som i siste instans utøver kontroll over trusten gjennom direkte eller indirekte eierskap eller på annen måte, skal være reell rettighetshaver. Departementet foreslår at et tilsvarende kriterium inntas i loven, se lovforslaget § 14 fjerde ledd bokstav e.
Etter departementets vurdering er det hensiktsmessig med en forskriftshjemmel til å kunne utfylle bestemmelsen om identifisering av reelle rettighetshavere i juridiske arrangementer. Departementet viser til at reglene dekker en type juridiske konstruksjoner som ikke nødvendigvis anerkjennes i norsk rett, og at det derfor kan være behov for nærmere avklaringer i forskrift om hvilke juridiske arrangementer som omfattes og hvilke posisjoner som skal dekkes. Forskriften kan videre presisere hvem som anses å ha kontroll over det juridiske arrangementet på annen måte enn ved å besitte de konkrete posisjonene angitt i bokstav a til d, jf. bokstav e. Departementet viser til lovforslaget § 14 femte ledd.
5.4.6.4.4 Særlig om stiftelser
Departementet bemerker at stiftelser er selveiende, og definisjonen av «reell rettighetshaver» passer derfor i utgangspunktet dårlig for stiftelser. Stiftelser er videre underlagt offentlig kontroll som skal sikre at stiftelsen ikke misbrukes til andre formål enn det oppretteren av stiftelsen la til grunn i stiftelsens vedtekter. Fysiske personer har likevel innflytelse på stiftelsens virke og kan nyte godt av stiftelsens utdelinger. Dette gjelder styret, eventuell daglig leder og eventuelle fysiske personer som kan utpeke styrets medlemmer, samt personer som er tilstått særlige rettigheter ved opprettelsen av stiftelsen, eller fysiske personer som uttrykkelig er angitt som mottakere av stiftelsens utdelinger. Departementet foreslår derfor at de nevnte personene skal anses å være reell rettighetshaver i stiftelsen, se lovforslaget § 14 tredje ledd. Dersom det er en juridisk person eller et juridisk arrangement som innehar noen av disse posisjonene, skal eventuelle reelle rettighetshavere i denne juridiske personen eller dette juridiske arrangementet, føres opp som reell rettighetshaver i stiftelsen. Departementet foreslår at dette presiseres i de relevante bestemmelsene, det vil si alle utenom punktet om styremedlemmer og daglig leder, som må være en fysisk person.
Etter departementets vurdering bør bestemmelsen kunne presiseres nærmere i forskrift, på samme måte som for identifiseringen av reell rettighetshaver i juridiske personer og utenlandske trusts og lignende juridiske arrangementer. Departementet viser til at praksis kan avdekke et behov for å gi nærmere kriterier for rapporteringspliktiges identifisering av reelle rettighetshavere, eller at flere personer enn dem som fremgår av bestemmelsen, bør angis som reelle rettighetshavere. Departementet viser til lovforslaget § 14 femte ledd.
5.4.6.5 Systemer for å identifisere politisk eksponerte personer (PEP-er)
Departementet foreslår at kravet om at rapporteringspliktige skal ha systemer for å avgjøre om kunder eller reelle rettighetshavere er politisk eksponerte personer (PEP-er), eventuelt nære familiemedlemmer eller kjente medarbeidere til PEP-er, plasseres i de generelle bestemmelsene om kundetiltak overfor henholdsvis fysiske og juridiske personer, se lovforslaget §§ 12 og 13 fjerde ledd. Departementet viser til utvalgets vurderinger, som departementet slutter seg til. Departementet har imidlertid utvidet lovteksten til å presisere at systemene også skal omfatte identifisering av nære familiemedlemmer og kjente medarbeidere til PEP-er, og at det også skal avdekkes om personer som kan handle på vegne av kunden, er PEP eller nært familiemedlem eller kjent medarbeider av PEP.
Departementet understreker at alle rapporteringspliktige i utgangspunktet må avklare om kunden er PEP, men tidspunktet for når dette skal gjøres er avhengig av når vilkårene i lovforslaget § 10 er oppfylt.
Norsk Tipping mener myndighetene må legge til rette for at rapporteringspliktige settes i stand til å foreta identifisering av PEP-er, nære familiemedlemmer og kjente medarbeidere.
Til dette bemerker departementet for det første at en offentlig PEP-liste uansett ikke vil være tilstrekkelig til å oppfylle rapporteringspliktiges forpliktelser, fordi en norsk liste nødvendigvis ikke vil inneholde andre enn norske PEP-er. PEP-er i andre land og internasjonale organisasjoner må det derfor uansett etableres systemer for å identifisere. Departementet bemerker imidlertid at i endringene til fjerde hvitvaskingsdirektiv som det ble enighet om i EU i desember 2017, pålegges medlemsstaten å utarbeide lister over hvilke nasjonale stillinger og verv som medfører status som politisk eksponert person. Kommisjonen skal med grunnlag i de nasjonale listene utarbeide en felleseuropeisk liste.
For det andre viser departementet til utvalgets vurdering av at et minstekrav til systemet er et standardspørsmål rettet til kundene ved gjennomføring av kundetiltak. Departementet deler utvalgets vurdering av at dette er et hensiktsmessig tiltak i de fleste tilfeller. Om dette er tilstrekkelig, vil variere med risikoen for hvitvasking og terrorfinansiering.
5.4.6.6 Særlige krav ved forsikringsavtaler og for eiendomsmeglere
Departementet foreslår enkelte særskilte regler om gjennomføring av kundetiltak i forbindelse med livsforsikringsavtaler og for eiendomsmeglere, se lovforslaget § 15. Departementet slutter seg til utvalgets vurderinger, men har på bakgrunn av høringen gjort endringer i bestemmelsene om livsforsikringer. Departementet har også flyttet regelen om å identifisere politisk eksponerte personer mv. til paragrafen om livsforsikring, fremfor å regulere dette i bestemmelsen om forsterkede kundetiltak overfor politisk eksponerte personer.
Departementet har videre bemerkninger til reglene for eiendomsmeglere. Finans Norge mener det særskilte tidspunktet for gjennomføring av kundetiltak bør gjelde for ansatte under kollektive forsikringer og automatisk medforsikrede etter forsikringsavtaleloven § 7-1. Etter departementets vurdering er det grunn til å gjøre unntak også i disse situasjonene. Departementet mener imidlertid disse spørsmålene bør løses i forskrift. Departementet foreslår derfor en forskriftshjemmel til å presisere hvilke typer forsikringer som faller inn under de særlige reglene om gjennomføring av kundetiltak overfor den som har krav på utbetaling etter forsikringsavtaler.
Eiendom Norge mener det bør presiseres om reglene for eiendomsmegler er avgrenset til å gjelde for bolighandler. I tillegg mener Eiendom Norge det bør reguleres når kundeforhold anses etablert, slik som i gjeldende hvitvaskingsforskrift § 2. Etter departementets vurdering er det ikke grunn til å avgrense virkeområdet til bestemmelsen om eiendomsmeglere til kun å gjelde bolighandler. En slik avgrensning synes ikke å være gjort i FATFs anbefalinger, se forklarende note til anbefaling 22. Etter forslaget skal derfor alle kundetiltak gjennomføres overfor både oppdragsgiver (kunden) og oppdragsgivers medkontrahent før oppgjør kan finne sted. Når det gjelder spørsmålet om å definere når et kundeforhold anses etablert for eiendomsmeglere, viser departementet til punkt 5.2.6.
5.4.6.7 Kundeforholdets formål og tilsiktede art
Departementet foreslår at kundetiltak skal bestå i, foruten identifisering og bekreftelse av identiteten til kunden og reelle rettighetshaver mv., jf. ovenfor, å innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art, se lovforslaget §§ 12 og 13 femte ledd. Dette er i hovedsak en videreføring av gjeldende hvitvaskingslov § 7 første ledd nr. 4, men lovteksten er noe endret i samsvar med ordlyden i FATFs anbefalinger.
I høringen ga NHO uttrykk for støtte til utvalgets mindretall, som besto av NHOs representant i utvalget. Ingen andre høringsinstanser har uttalt seg om spørsmålet om også transaksjoners formål og tilsiktede art skal vurderes og, eventuelt, innhentes opplysninger om.
Etter departementets vurdering er det ikke grunn til å utvide plikten til å innhente og nødvendig opplysninger om formål og tilsiktet art til transaksjoner. Gjeldende hvitvaskingslov avgrenser plikten til å innhente opplysninger om «kundeforholdets formål og tilsiktede art». Det samme gjør fjerde hvitvaskingsdirektiv artikkel 13 nr. bokstav c og FATFs anbefaling 10. Departementet viser til at alle rapporteringspliktige har undersøkelsesplikt, og at denne utløses når en transaksjon synes å mangle et legitimt formål. Undersøkelsesplikten vil måtte omfatte undersøkelser av en transaksjons bakgrunn og formål for å avklare om midlene har tilknytning til utbytte fra straffbare handlinger eller finansiering av terror, jf. også fjerde hvitvaskingsdirektiv artikkel 18 nr. 2. Departementet antar at en ubetinget plikt til å vurdere og eventuelt måtte innhente opplysninger om relevante transaksjoners formål og tilsiktede art vil innebære et ikke ubetydelig merarbeid. Verken Danmark eller Sverige synes å stille krav om å forstå og eventuelt innhente opplysninger om transaksjoners formål og tilsiktede art. Departementet legger også vekt på at det ikke bør være ulike regler mellom Norge og andre land i Europa på dette punktet.
Norsk Tipping har tatt opp spørsmålet om hvilke krav til plikten til å forstå kundeforholdets formål og tilsiktede art innebærer, se punkt 5.4.5. Det fremgår av departementets lovforslag at det må innhentes og vurderes «nødvendige» opplysninger om kundeforholdets formål og tilsiktede art. Det vil derfor komme an på kundeforholdet når det er «nødvendig» å innhente opplysningene. I en del kundeforhold vil det være selvforklarende hva som er formålet, slik at det ikke vil være «nødvendig» å innhente ytterligere opplysninger. Et mulig eksempel kan være spilltjenester, der det eneste formålet er å satse penger i håp om gevinst. Annerledes er det med en brukskonto i bank, der det er relevant å vurdere om formålet med kontoen eksempelvis er å overføre penger til utlandet eller om kontoen utelukkende skal brukes til å betale regninger for privatpersoner. Departementet understreker at utgangspunktet vil være at opplysninger må innhentes fra kunden om kundeforholdets formål og tilsiktede art.
Departementet understreker at rapporteringspliktige må ha en risikobasert tilnærming til gjennomføring av forpliktelsene, jf. hvitvaskingsloven § 9. Der rapporteringspliktiges risikovurdering av kunden eller kundeforholdet tilsier at det er høyere risiko enn ellers, vil det være grunn til å være mer aktiv overfor kunden enn ellers. Departementet viser for øvrig til følgende eksempler fra NOU 2016: 27 punkt 5.2.4.9, men understreker at det ikke er krav om å innhente alle disse opplysningene i normalsituasjoner:
«[H]ensikten eller bakgrunnen for kundeforholdet (…), midlenes opprinnelse, hvem kunden skal handle med og forventet transaksjonsmønster, herunder typer transaksjoner, transaksjonshyppighet og –størrelse.»
Departementet finner grunn til også å gjengi følgende uttalelse fra utvalget som helhet på samme sted, som departementet slutter seg til:
«Utvalget som helhet understreker at klarlegging av kundeforholdets formål og tilsiktede art vil være helt avgjørende og utgangspunktet for den rapporteringspliktiges løpende oppfølging.»
5.5 Forenklede kundetiltak
5.5.1 Gjeldende rett
Hvitvaskingslovutvalget redegjør slik for gjeldende rett i NOU 2016: 27 punkt 5.3.1:
«Hvitvaskingsloven § 13 og hvitvaskingsforskriften § 10 gir regler om forenklet kundekontroll.
Hvitvaskingsloven § 13 første ledd første punktum inneholder en forskriftshjemmel. Hjemmelen åpner for unntak fra plikten til å foreta kundekontroll etter hvitvaskingsloven § 6 første ledd nr. 1, 2, 4 og annet ledd. Dermed er det kun ved mistanke om hvitvasking eller terrorfinansiering det skal gjennomføres ordinær kundekontroll, dersom forholdet ellers faller inn under en unntaksbestemmelse. Hvitvaskingsloven § 13 første ledd annet punktum bestemmer at rapporteringspliktige må innhente tilstrekkelige opplysninger til å fastslå at forholdet omfattes av unntakene i forskriften, før de gjør unntak fra reglene. Annet ledd avgrenser unntaksbestemmelsen. Her er det bestemt at ved opprettelse av konto skal opplysninger nevnt i § 8 første til tredje ledd likevel registreres. Begrunnelsen er at anonyme konti skal være forbudt.
Hvitvaskingsforskriften § 10 angir unntak fra reglene om kundekontroll. Første ledd inneholder en angivelse av unntak knyttet til hvem kunden eller reell rettighetshaver er. Dette omfatter grovt sett kunder som er spesifikke typer rapporteringspliktige, selskaper med finansielle instrumenter notert på regulert marked, statlige eller kommunale forvaltningsorgan og advokater som forvalter midler for andre. Annet ledd inneholder unntak knyttet til spesifikke produkter. Denne gruppen omfatter særskilte livsforsikringsavtaler, skadeforsikring, pensjonsordninger for ansatte og utstedelse av elektroniske penger på visse vilkår.»
5.5.2 EØS-rett
Fjerde hvitvaskingsdirektiv gir regler om forenklede kundetiltak i artikkel 15 til 17.
Direktivet åpner i artikkel 15 nr. 1 for at medlemsstatene kan la rapporteringspliktige legge til grunn forenklede kundetiltak i tilfeller med lavere risiko for hvitvasking og terrorfinansiering. Dette kan bero på en risikovurdering fra enten medlemsstaten eller den rapporteringspliktige. Rapporteringspliktige må forsikre seg om at et gitt tilfelle representerer en lavere risiko for hvitvasking og terrorfinansiering før forenklede kundetiltak benyttes, se nr. 2. Selv om forenklede kundetiltak kan benyttes, må det uansett gjennomføres tilstrekkelig løpende oppfølging til å oppdage uvanlige eller mistenkelige transaksjoner, se nr. 3.
Anneks II til direktivet angir faktorer som tilsier lavere risiko for hvitvasking og terrorfinansiering. Listene er ikke uttømmende. I henhold til artikkel 16 i direktivet skal medlemsstatene og rapporteringspliktige, når de vurderer risikoen for hvitvasking og terrorfinansiering i relasjon til typen kunder, geografiske områder eller produkter, tjenester, transaksjoner eller distribusjonskanaler, ta i betraktning faktorene nevnt i anneks II.
De europeiske tilsynsbyråene (EBA, ESMA, EIOPA, samlet kalt «ESA-ene») har utarbeidet retningslinjer for når forenklede kundetiltak kan benyttes og hva forenklede kundetiltak kan bestå i.
5.5.3 FATFs anbefalinger
Utvalget redegjør slik for FATFs anbefalinger om forenklede kundetiltak i NOU 2016: 27 punkt 5.3.3:
«Det er åpnet for forenklede kundetiltak i «interpretive note» til anbefaling 10, punkt 16 til 18 og 21.
Statene kan tillate rapporteringspliktige å gjennomføre forenklede kundetiltak etter at den rapporteringspliktige eller staten har gjennomført en risikovurdering. I punkt 17 listes en rekke faktorer opp. Dette omfatter kundefaktorer, produkt-, tjeneste- og transaksjonsfaktorer eller faktorer knyttet til leveringskanaler og geografiske faktorer.
«Interpretive note» punkt 21 gir eksempler på hva forenklede kundetiltak kan være. Tiltakene skal være tilpasset den lavere risikoen. Forutsetningen for å benytte seg av de forenklede tiltakene er at det er fastslått en lavere risiko for hvitvasking eller terrorfinansiering. Det skal ikke være tillatt å bruke disse når det foreligger mistanke om hvitvasking og terrorfinansiering, eller der det foreligger spesifikke situasjoner med høyere risiko.
Eksempler på forenklede tiltak i «interpretive note» punkt 21 er:
Bekreftelse av identiteten til kunden gjennomføres etter etablering av kundeforhold, f.eks. når transaksjonene på kontoen når en viss terskelverdi.
Reduksjon av frekvensen i den løpende identifiseringen av kunden.
Reduksjon i graden av løpende overvåkning og undersøkelse av transaksjoner, basert på en rimelig beløpsgrense.
Ikke innhente spesifikk informasjon eller gjennomføre særskilte tiltak for å vurdere formålet og den tilsiktede arten av kundeforholdet, men i stedet vurdere dette basert på typen transaksjoner som gjennomføres eller kundeforhold som etableres.»
5.5.4 Utvalgets forslag
Utvalget redegjør for forslagene om forenklede kundetiltak i NOU 2016: 27 punkt 4.3.5.
Utvalget forstår fjerde hvitvaskingsdirektiv slik at det innebærer en grunnleggende endring av reguleringen av forenklede kundetiltak – forenklede kundetiltak innebærer ikke lenger unntak fra reglene om gjennomføring av kundetiltak. Videre forstår utvalget direktivet slik at det er opp til medlemsstatene å tillate forenklede kundetiltak.
På denne bakgrunn foreslår utvalget en generell bestemmelse om at rapporteringspliktige skal kunne gjennomføre forenklede kundetiltak i tilfeller med lavere risiko for hvitvasking og terrorfinansiering, se utkastet til § 10 første ledd. Faktorene i fjerde hvitvaskingsdirektiv anneks II, som tilsier lavere risiko for hvitvasking og terrorfinansiering, foreslås inntatt i forskrift til hvitvaskingsloven.
Utvalget foreslår videre at loven angir hva forenklede kundetiltak kan innebære. Forenklede kundetiltak innebærer at det kan stilles lavere krav til bekreftelsen av opplysninger om kundens, reell rettighetshavers og fullmaktshavers identitet, og til klarleggingen av kundeforholdets formål og tilsiktede art. Det kan derimot ikke stilles lempeligere krav til innhentingen av opplysninger.
Siden fjerde hvitvaskingsdirektiv gir regler om utarbeidelse av retningslinjer fra de europeiske tilsynsbyråene (ESA-ene), foreslår utvalget en forskriftshjemmel i utkastet til § 10 fjerde ledd om fastsettelse av spesifikke, forenklede kundetiltak. Utvalget viser til FATFs anbefalinger «interpretive note» til anbefaling 10 punkt 21 som eksempler på forenklede kundetiltak, se punkt 5.5.3.
5.5.5 Høringsinstansenes syn
Norges Kommunerevisorforbund (NKRF) støtter utvalgets forslag om at forenklede kundetiltak kan iverksettes etter en risikovurdering. Forbundet påpeker at avgrensningen av hva som har vært statlig eller kommunalt forvaltningsorgan i praksis har gitt avgrensningsproblemer, og forbundet støtter derfor at også kommunale selskaper nevnes som en indikasjon på kunde som kan innebære lav risiko i utvalgets utkast til hvitvaskingsforskrift § 2 annet ledd bokstav a nr. 2.
Virke Inkasso viser til at inkassoforetak er underlagt inkassolovens regler om inkassators forhold til fordringshaver, en særskilt forskrift om behandling av klientmidler og Finanstilsynets rundskrift om inkassators generelle undersøkelsesplikt. Virke Inkasso mener derfor at dersom inkassoforetak ikke unntas fra alle krav til kundetiltak, bør det være tilstrekkelig med gjennomføring av forenklede kundetiltak eller untak fra flere av bestemmelsene.
5.5.6 Departementets vurdering
Departementet foreslår, i samsvar med fjerde hvitvaskingsdirektiv og utvalgets utkast, at det åpnes for å gjennomføre forenklede kundetiltak i tilfeller der det er lavere risiko for hvitvasking og terrorfinansiering, se lovforslaget § 16. Departementet viser til at forenklede kundetiltak vil kunne være tids-, arbeids- og ressursbesparende i tilfeller der det ikke er påkrevd å gjennomføre alminnelige eller, eventuelt, forsterkede kundetiltak.
Departementet understreker at det er en grunnleggende forskjell mellom forenklede kundetiltak i samsvar med lovforslaget og forenklet kundekontroll etter gjeldende hvitvaskingslov. Etter gjeldende lov innebærer «forenklet kundekontroll» i praksis unntak fra kravet om gjennomføring av kundekontroll. Etter lovforslaget innebærer «forenklede kundetiltak» at kravene til bekreftelse av opplysninger om reell rettighetshavers identitet, eventuell rett til å handle på vegne av kunden og opplysninger om kundeforholdets formål og tilsiktede art, kan lempes. Alle opplysningene må likevel innhentes. Departementet presiserer at lovforslaget, i motsetning til utvalgets utkast, ikke åpner for å lempe på kravene til bekreftelse av identiteten til kunden.
Utvalget har foreslått at en rekke momenter som kan tilsi at det er lav risiko for hvitvasking og terrorfinansiering, angis i forskrift, se utvalgets utkast til ny hvitvaskingsforskrift § 2. Departementet deler utvalgets vurdering av at det er hensiktsmessig å kunne angi slike momenter i forskrift. Etter departementets vurdering er ikke lovregulering egnet for denne typen momenter. Vurderingen av hva som tilsier lav risiko for hvitvasking og terrorfinansiering kan endres over tid, og forskriftsregulering er bedre egnet til å foreta slike fortløpende tilpasninger. Om betydningen av momentene, vil departementet bemerke at ett moment alene i prinsippet kan tilsi at det gjennomføres forenklede kundetiltak, mens flere momenter sammen ikke i seg selv nødvendigvis er tilstrekkelig til å begrunne forenklede kundetiltak. Dette vil etter departementets vurdering bero på helheten i kundeforholdet. Departementet antar at den rapporteringspliktige selv er nærmest til å foreta disse vurderingene, sett i lys av egen, virksomhetsinnrettet risikovurdering, jf. § 7.
Departementet foreslår ikke særlige regler om hva forenklede kundetiltak kan innebære. Departementet bemerker at utvalget i NOU 2016: 27 punkt 5.3.3 har gjengitt det FATF angir som mulige, forenklede kundetiltak i forklarende note punkt 21 til anbefaling 10:
«– Bekreftelse av identiteten til kunden gjennomføres etter etablering av kundeforhold, f.eks. når transaksjonene på kontoen når en viss terskelverdi.
– Reduksjon av frekvensen i den løpende identifiseringen av kunden.
– Reduksjon i graden av løpende overvåkning og undersøkelse av transaksjoner, basert på en rimelig beløpsgrense.
– Ikke innhente spesifikk informasjon eller gjennomføre særskilte tiltak for å vurdere formålet og den tilsiktede arten av kundeforholdet, men i stedet vurdere dette basert på typen transaksjoner som gjennomføres eller kundeforhold som etableres.»
Etter departementets vurdering er alle disse eksemplene relevante også etter norske forhold.
I tillegg bemerker departementet at de europeiske tilsynsbyråene har publisert retningslinjer om forenklede og forsterkede kundetiltak i samsvar med fjerde hvitvaskingsdirektiv artikkel 17 og 18 nr. 4. Retningslinjene skal anvendes fra 28. juni 2018, og retter seg, i samsvar med direktivet, til «credit and financial institutions». Departementet understreker at alle norske foretak som er omfattet av denne avgrensningen, forventes å gjøre seg kjent med retningslinjene, herunder de sektorspesifikke retningslinjene. Retningslinjene gjelder både risikofaktorer og angivelser av mulige forenklede og forsterkede kundetiltak.
Departementets forslag til forskriftshjemmel vil gjøre det mulig å fastsette nærmere regler om hva forenklede kundetiltak skal være, dersom det skulle vise seg å være nødvendig, se lovforslaget § 16 tredje ledd.
På bakgrunn av at departementet ikke foreslår at inkassoforetak underlegges hvitvaskingsloven, se punkt 3.4.7, går ikke departementet nærmere inn på mulighetene for særlig regulering knyttet til inkassovirksomheter, slik Virke Inkasso har fremhevet i høringen.
5.6 Forsterkede kundetiltak
5.6.1 Gjeldende rett
Hvitvaskingsloven § 15 første ledd bestemmer at rapporteringspliktige i situasjoner «som etter sin art» innebærer høy risiko for hvitvasking og terrorfinansiering, skal iverksette andre kontrolltiltak «i tillegg til» de som følger av §§ 5 til 14. I fjerde ledd er departementet gitt hjemmel til å fastsette nærmere regler om hvilke situasjoner som omfattes av første ledd, og hvilke kontrolltiltak som skal anvendes. Det er ikke gitt slike regler.
Annet ledd gjelder politisk eksponerte personer (PEP-er). Rapporteringspliktige må ha egnede kontrolltiltak for å avgjøre om en kunde er PEP. Hvis kunden er PEP, følger det av annet ledd nummer 1 til 3 at det må innhentes samtykke fra overordnet før inngåelse av kundeforholdet, opprinnelsen til formuen og kapitalen som inngår i kundeforholdet, må fastslås, og rapporteringspliktig må føre forsterket løpende oppfølging med kundeforholdet.
I henhold til § 15 fjerde ledd skal rapporteringspliktige «vie særlig oppmerksomhet» til produkter og transaksjoner som fremmer anonymitet. Om nødvendig skal det iverksettes tiltak for å motvirke risikoen for hvitvasking og terrorfinansiering.
Korrespondentbankforbindelser med institusjoner utenfor EØS er regulert i hvitvaskingsloven § 16. Bestemmelsen gjelder for kredittinstitusjoner, og krever for det første at de innhenter tilstrekkelige opplysninger om korrespondentinstitusjonen til å forstå arten av dens virksomhet og fastslå institusjones omdømme. For det andre skal korrespondentinstitusjones kontrolltiltak for å forebygge og bekjempe hvitvasking og terrorifnansiering vurderes. For det tredje krever inngåelse av korrespondentbankforbindelse samtykke fra overordnet, se nr. 3. For det fjerde må institusjonenes ansvar dokumenteres. For det femte må respondentinstitusjonen, i forbindelse med oppgjørskonti, forsikre seg om at korrespondentinstitusjonen har bekreftet identiteten til, og fører løpende oppfølging av, kunder som har direkte adgang til konti hos repspondentinstitusjonen. I tillegg må respondentinstitusjonen forsikre seg om at korrespondentinstitusjonen kan fremlegge relevante opplysninger fra kundekontrollen.
I § 16 annet er det innført forbud mot korrespondentforbindelser med tomme bankselskap og korrespondentforbindelser med kredittinstitusjoner som tillater at sine konti benyttes av tomme bankselskap. Tomt bankselskap er definert i tredje ledd, og omfatter kredittinstitusjoner som er opprettet i stater der de ikke er fysiske til stede med reell ledelse og administrasjon, og som ikke er tilknyttet regulert finanskonsern.
5.6.2 EØS-rett
5.6.2.1 Generelt
Fjerde hvitvaskingsdirektiv artikkel 18 til 24 gir regler om forsterkede kundetiltak («enhanced customer due diligence»).
Artikkel 18 nr. 1 første ledd bestemmer at det blant annet skal gjennomføres forsterkede kundetiltak i tilfeller der medlemsstaten eller rapporteringspliktig har identifisert en høyere risiko for hvitvasking og terrorfinansiering. Det samme gjelder når rapporteringspliktige har å gjøre med fysiske eller juridiske personer etablert i land som er identifisert som høyrisikoland av EU-kommisjonen. Det er gjort unntak for filialer og majoritetseide datterselskaper av rapporteringspliktige etablert i EU/EØS-land, forutsatt at filialene og datterselskapene overholder konsernets rutiner for tiltak mot hvitvasking og terrorfinansiering, se artikkel 18 nr. 1 annet ledd.
EU-kommisjonen fastsatte 14. juli 2016 en liste over høyrisikoland i samsvar med artikkel 9, jf. Kommisjonsforordning (EU) 2016/1675. Listen inneholder elleve land. Landene er de samme som er identifisert som høyrisikoland av FATF. Listen er senere utvidet ved to anledninger, senest i desember 2017, og omfatter nå totalt 15 land.
Når rapporteringspliktige og medlemsstatene skal vurdere risikoen for hvitvasking og terrorfinansiering, skal de ta i betraktning faktorene som tilsier høyere risiko i direktivets anneks III, se artikkel 18 nr. 3. Listene i annekset er ikke uttømmende.
Ved alle komplekse og uvanlig store transaksjoner, og uvanlige mønstre av transaksjoner, som ikke har et tilsynelatende lovlig eller økonomisk formål, skal rapporteringspliktige undersøke bakgrunnen for og formålet til transaksjonen(e), se artikkel 18 nr. 2. Rapporteringspliktige skal særlig forsterke den løpende oppfølgingen av kundeforholdet for å avgjøre om transaksjonene eller aktiviteten er mistenkelig.
5.6.2.2 Politisk eksponerte personer (PEP-er)
Fjerde hvitvaskingsdirektiv artikkel 20 til 23 gjelder kundeforhold eller transaksjoner der kunden eller reell rettighetshaver er PEP. Artikkel 20 lyder som følger:
«Når det gjelder transaksjoner eller forretningsforbindelser med politisk utsatte personer, skal medlemsstatene i tillegg til kundekontrolltiltakene fastsatt i artikkel 13, kreve at ansvarlige enheter
a) har innført hensiktsmessige ordninger for risikohåndtering, herunder risikobaserte framgangsmåter, for å kunne fastslå om kunden eller den reelle rettighetshaveren til kunden er en politisk utsatt person,
b) iverksette følgende tiltak når det gjelder forretningsforbindelser med politisk utsatte personer:
i) innhenter samtykke fra et medlem av den øverste ledelsen til å inngå eller opprettholde forretningsforbindelser med slike personer,
ii) treffer hensiktsmessige tiltak for å bringe på det rene hvor formue og midler som er forbundet med forretningsforbindelser eller transaksjoner med slike personer, stammer fra,
iii) driver løpende skjerpet overvåking av slike forretningsforbindelser.»
Livsforsikring og annen investeringsforsikring er regulert i artikkel 21. Senest ved utbetaling etter avtalen og ved overføring av rettighetene etter avtalen skal forsikringsforetaket avgjøre om den tilgodesette eller reelle rettighetshavere til tilgodesette er PEP-er. Dersom det er identifisert en høyere risiko, skal øverste ledelse informeres før utbetaling, og hele kundeforholdet til forsikringstakeren må underlegges en forsterket kontroll, se artikkel 21 bokstav a og b. Disse tiltakene skal gjennomføres i tillegg til de alminnelige kundetiltakene etter artikkel 13.
Artikkel 23 stiller krav om at tiltakene omtalt ovenfor skal iverksettes også overfor kunder eller reelle rettighetshavere som er familiemedlemmer eller nære medarbeidere til PEP-er.
I artikkel 22 er det bestemt at risikoen som en PEP representerer, skal tas i betraktning ved spørsmålet om å iverksette tiltakene i artikkel 20 og 21, i minst ett år etter at personen trådte ut av vervet eller stillingen som ga vedkommende status som PEP. Dersom den rapporteringspliktige mener PEP-en representerer en risiko også mer enn ett år etter at vervet eller stillingen opphørte, skal tiltakene iverksettes også lenger.
5.6.2.3 Korrespondentforbindelser
Fjerde hvitvaskingsdirektiv artikkel 19 gir regler om korrespondentforbindelser med institusjoner etablert utenfor EU/EØS-området og lyder slik:
«Når det gjelder korrespondentforbindelser over landegrensene med en respondentinstitusjon i en tredjestat, skal medlemsstatene, i tillegg til kundekontrolltiltakene fastsatt i artikkel 13, kreve at deres kredittinstitusjoner og finansinstitusjoner
a) innhenter tilstrekkelige opplysninger om respondentinstitusjonen til at de får full forståelse av hva respondentens virksomhet består i, og ut fra offentlig tilgjengelig informasjon kan vurdere institusjonens omdømme og kvaliteten på tilsynet,
b) vurderer respondentinstitusjonens kontroller for bekjempelse av hvitvasking av penger og finansiering av terrorisme,
c) innhenter samtykke fra et medlem av den øverste ledelsen før nye korrespondentforbindelser inngås,
d) dokumenterer den enkelte institusjons ansvarsområder,
e) når det gjelder oppgjørskontoer, forvisser seg om at respondentinstitusjonen har kontrollert kundens identitet og løpende har utført kundekontrolltiltak med hensyn til kunder som har direkte tilgang til korrespondentinstitusjonens kontoer, og at den på anmodning kan framlegge relevante kundekontrollopplysninger for korrespondentinstitusjonen.»
Artikkel 24 forbyr kreditt- og finansinstitusjoner å inngå eller opprettholde korrespondentforbindelser med tomme bankselskap. Institusjonene må gjennomføre passende tiltak for å sikre at de ikke inngår i eller opprettholder korrespondentforbindelser med institusjoner som lar sine konti bli bruk av tomme bankselskap. Tomme bankselskap er definert i artikkel 3 punkt 17. Definisjonen omfatter kreditt- og finansinstitusjoner og institusjoner som utfører tilsvarende tjenester, som er etablert i en jurisdiksjon der institusjonen ikke har noen fysisk tilstedeværelse som kan ivareta en reell ledelse og forvaltning, og som ikke er tilknyttet et regulert finanskonsern.
5.6.3 FATFs anbefalinger
Utvalget redegjør slik for FATFs anbefalinger om forsterkede kundetiltak i NOU 2016: 27 punkt 5.4.3:
«Forsterkede kundetiltak er fragmentarisk regulert i FATF-anbefalingene, og er dels dekket av anbefaling 10, 12, 13, 15 og 19.
Anbefaling 19 gjelder forholdet til land som er identifisert av FATF som land med høyere risiko for hvitvasking og terrorfinansiering. Anbefalingen krever at rapporteringspliktige pålegges å anvende forsterkede kundetiltak ved kundeforhold og transaksjoner med fysiske og juridiske personer fra slike land. «Interpretive note» til anbefaling 19 viser videre til «interpretive note» til anbefaling 10 punkt 20 når det gjelder hvilke tiltak dette kan omfatte. (…)
«Interpretive note» til anbefaling 10 punkt 20 gjelder også når det ellers skal foretas forsterkede kundetiltak. Forsterkede tiltak skal anvendes der det er identifisert en høyere risiko for hvitvasking og terrorfinansiering. Samme «interpretive note» punkt 15 inneholder en liste med momenter som generelt tilsier en høyere risiko for hvitvasking. Listen er delt inn i momenter knyttet til kunden, produkter og tjenester, og land eller områder.
(…)
«Interpretive note» til anbefaling 10 punkt 20 anbefaler at rapporteringspliktige undersøker bakgrunnen og formålet med alle komplekse, uvanlig store transaksjoner, og uvanlige mønstre av transaksjoner, som ikke har et tilsynelatende økonomisk eller lovlig formål.
Anbefaling 13 gjelder korrespondentinstitusjonforbindelser. Første ledd gir særlige regler om kundetiltak rapporteringspliktige finansinstitusjoner skal gjennomføre i tillegg til de alminnelige kundetiltakene. Den rapporteringspliktige skal for det første innhente informasjon om respondentinstitusjonen. Videre skal rapporteringspliktige vurdere respondentinstitusjonens tiltak mot hvitvasking og terrorfinansiering, og påse at beslutningstakere innhenter godkjenning fra overordnet før institusjonen inngår i nye korrespondentforhold. Rapporteringspliktige skal også ha en klar forståelse av de respektive institusjonenes ansvar. Når det gjelder oppgjørskonti («payable-through accounts»), skal rapporteringspliktige forsikre seg om at respondentinstitusjonen har gjennomført kundetiltak overfor sine kunder, og at den vil utlevere informasjon fra kundetiltakene ved forespørsel fra den rapporteringspliktige. «Interpretive note» til anbefaling 13 annet ledd definerer uttrykket «payable-through accounts». Dette gjelder korrespondentkonti hos den rapporteringspliktige som blir brukt direkte av tredjeparter, som kunder av respondentinstitusjonen, for å gjennomføre forretningstransaksjoner på egne vegne.
Anbefaling 13 annet ledd anbefaler at rapporteringspliktig forbys å inngå eller opprettholde korrespondentforbindelser til tomme bankselskap. Videre skal rapporteringspliktig forsikre seg om at respondentinstitusjoner ikke tillater at deres konti brukes av tomme bankselskap.
Når det gjelder politisk eksponert person (PEP), skiller anbefaling 12 mellom utenlandske, internasjonale og innenlandske PEP-er, se henholdsvis første og annet ledd. Når det gjelder utenlandske PEP-er, skal rapporteringspliktige ha passende systemer for risikohåndtering for å avgjøre om kunder eller reelle rettighetshavere er en PEP. Rapporteringspliktige skal påse at beslutningstakere innhenter godkjenning fra overordnet før kundeforhold inngås eller opprettholdes. I tillegg skal de gjennomføre rimelige undersøkelser for å avgjøre hva som er kilden til formuen og midlene som inngår i kundeforholdet. Det skal føres forsterket, løpende oppfølging av kundeforholdet. Innenlandske og internasjonale PEP-er skal identifiseres, men de forsterkede kundetiltakene nevnt ovenfor skal bare brukes når personen representerer en høyere risiko for hvitvasking og terrorfinansiering.
I «interpretive note» til anbefaling 12 er det gitt særlige anbefalinger om livs- og annen investeringsforsikring. Finansinstitusjoner skal treffe rimelige tiltak for å avgjøre om begunstigede, eventuelt reelle rettighetshavere til begunstigede, er en PEP. Dette skal senest gjøres ved utbetalingen. Dersom det påvises en høyere risiko for hvitvasking eller terrorfinansiering, skal finansinstitusjonen påse at beslutningstakere informerer overordnede om dette før utbetaling gjennomføres, og den skal foreta en særskilt forsterket kontroll («enhanced scrutiny») av hele kundeforholdet med forsikringstakeren.
(…)
Anbefalingene gir en del eksempler på hva forsterkede kundetiltak kan omfatte. Noen av eksemplene er omtalt ovenfor om PEP-er og korrespondentinstitusjoner. Generelle eksempler er gitt i «interpretive note» til anbefaling 10 punkt 20. Innledningsvis fremheves særlig å øke graden og arten av overvåkningen av kundeforholdet, for å kunne oppdage transaksjoner og aktiviteter som synes uvanlige eller mistenkelige. Eksemplene som så listes opp omfatter å
innhente ytterligere informasjon om kunden (f.eks. yrke, formuesforhold, informasjon tilgjengelig i offentlige databaser, internett, osv.), og oppdatere informasjonen om kunden og reelle rettighetshavere oftere enn ellers,
innhente ytterligere informasjon om den tilsiktede arten av kundeforholdet,
innhente informasjon om opphavet til midlene og formuen til kunden,
innhente informasjon om årsakene til planlagte eller gjennomførte transaksjoner,
påse at beslutningstakere innhenter godkjenning fra overordnet nivå for å påbegynne eller fortsette kundeforholdet,
gjennomføre forsterket overvåking av kundeforholdet, ved å øke antallet og hyppigheten av kontroller, og å velge ut mønstre av transaksjoner som krever nærmere undersøkelser, og
kreve at den første betalingen som gjennomføres, blir gjort via en konto i kundens navn med en bank underlagt tilsvarende krav om gjennomføring av kundetiltak (som finansinstitusjonen selv).»
5.6.4 Utvalgets forslag
5.6.4.1 Generelt
Utvalget drøfter i NOU 2016: 27 punkt 5.4.4 hvordan kravene til gjennomføring av forsterkede kundetiltak skal reguleres. Utvalget foreslår at reglene deles i fire paragrafer, der krav om forsterkede kundetiltak overfor PEP-er og ved korrespondentforbindelser skilles ut i særskilte paragrafer.
Utvalget foreslår en generell bestemmelse om forsterkede kundetiltak i § 11. Forslaget stiller krav om bruk av forsterkede kundetiltak når det er høyere risiko for hvitvasking eller terrorfinansiering. Forsterkede kundetiltak skal innebære å iverksette ytterligere tiltak, utover de som følger av bestemmelsen om alminnelige kundetiltak, for å sikre kjennskap om kunden, reell rettighetshaver og kundeforholdets eller transaksjonens formål og tilsiktede art. I utkastet til § 11 tredje ledd er departementet gitt hjemmel til å fastsette nærmere regler om forsterkede kundetiltak. Forskriftshjemmelen skal dekke både hjemmel til å gi nærmere regler om når det skal iverksettes forsterkede kundetiltak, og hjemmel til å gi nærmere regler om hva forsterkede kundetiltak innebærer. Utvalget foreslår at de faktorene som i henhold til fjerde hvitvaskingsdirektiv anneks III tilsier høyere risiko for hvitvasking og terrorfinansiering, tas inn som en forskriftsbestemmelse til § 11 tredje ledd.
Når det gjelder hva som kan være forsterkede kundetiltak, viser utvalget til eksemplene som FATF angir i «interpretive note» til anbefaling 10 punkt 20, jf. ovenfor under punkt 5.6.3.
Utvalget understreker at kundetiltak må gjennomføres etter en risikobasert tilnærming.
5.6.4.2 Politisk eksponerte personer (PEP-er)
Utvalget behandler endringene i definisjonen av PEP i NOU 2016: 27 punkt 2.3.4.6, jf. proposisjonen punkt 3.3.5.6. Utvalget foreslår en særskilt bestemmelse om krav om forsterkede kundetiltak når kunde eller reell rettighetshaver er PEP. Utkastet fra utvalget bygger på fjerde hvitvaskingsdirektiv artikkel 20 til 23 og samlet disse reglene i én bestemmelse, likevel slik at kravet om å identifisere PEP-er er foreslått regulert i utkastet til § 9 om alminnelige kundetiltak, se proposisjonen punkt 5.4.4.4.
Utvalget foreslår å videreføre de konkrete, forsterkede kundetiltakene som i dag følger av hvitvaskingsloven § 15. Kravet om forsterket løpende oppfølging foreslås likevel flyttet til utkastet til § 19 om løpende oppfølging, slik at reglene om løpende oppfølging samles. Utvalget foreslår et eget ledd om forsterkede kundetiltak i forbindelse med forsikringsavtaler, se utkastet til § 12 tredje ledd. Utvalgets forslag innebærer at de forsterkede kundetiltakene i forbindelse med forsikringsavtaler alltid skal gjennomføres når begunstiget er PEP. Om dette uttaler utvalget følgende i NOU 2016: 27 punkt 5.4.4.2:
«I samsvar med direktivet foreslås et eget ledd om forsterkede kundetiltak i forbindelse med forsikringsavtaler, se lovforslaget § 12 tredje ledd. Etter utvalgets oppfatning er det kun praktisk for livsforsikringsforetak. Utvalget har vurdert om tiltakene i artikkel 21 bokstav a og b alltid skal gjennomføres når begunstiget etter forsikringsavtaler er en PEP. Direktivets ordlyd sier at tiltakene skal gjennomføres når det er identifisert «higher risk». Dette synes å være hentet direkte fra «interpretive note» til FATF-anbefaling 12. I anbefaling 12 er det skilt mellom innenlandske og utenlandske PEP-er, og det er bare der det er «higher risk» at man skal underlegge innenlandske PEP-er de kundetiltakene som ellers gjelder for utenlandske PEP-er. Et tilsvarende skille finnes ikke i direktivet. I direktivet er altså utgangspunktet at alle PEP-er, både innenlandske og utenlandske og de i internasjonale organisasjoner, representerer høy risiko. At det oppstilles et slags indre skille innad i høyrisikogruppen i artikkel 21, er ikke i samsvar med systematikken direktivet ellers følger for PEP-er. På denne bakgrunn foreslår utvalget at tiltakene i artikkel 21 gjennomføres ved alle livsforsikringsforhold der den begunstigede, eller reell rettighetshaver til begunstiget, er en PEP.»
Tiltakene som foreslås i tilknytning til livsforsikringsavtaler, er at overordnet må informeres før utbetaling i henhold til avtalen, og at rapporteringspliktig skal gjennomføre en særlig forsterket kontroll med hele kundeforholdet til forsikringstakeren. Utvalget presiser at en forsterket kontroll ikke er det samme som løpende oppfølging, og heller ikke må forveksles med undersøkelsesplikten.
Utvalget foreslår et element av tidsbegrensning i reglene om forsterkede kundetiltak overfor PEP-er. Om dette uttaler utvalget følgende i NOU 2016: 27 punkt 5.4.4.2:
«Direktivet innfører et element av tidsbegrensning overfor PEP-er i artikkel 22. Artikkelen bestemmer at det faktum at en PEP har hatt en stilling som ga vedkommende status som PEP, skal tas i betraktning som en risikofaktor i minst 12 måneder etter at vedkommende trådte ut av stillingen eller vervet. Utvalget har vurdert hvordan dette skal forstås og implementeres i norsk rett. Ordlyden i direktivteksten trekker i retning av at det faktum at kunden har vært i vervet eller stillingen som ga vedkommende status som PEP, skal være en faktor ved vurderingen av om det er høyere risiko for hvitvasking og terrorfinansiering i minst ett år etter at vedkommende trådte ut av stillingen eller vervet.
En annen mulig forståelse av artikkelen, er at tiltakene som artikkel 20 og 21 nevner skal gjennomføres overfor alle PEP-er i minst ett år etter at de trer ut av vervet eller stillingen.
Direktivet krever i alle fall at det gjennomføres «appropriate and risk-sensitive measures until such time as that person is deemed to pose no further risk specific to politically exposed persons». De forsterkede kundetiltakene skal med andre ord avpasses til den risikoen personen til enhver tid anses for å representere som PEP.
Utvalget mener sistnevnte løsning er ønskelig. Rapporteringspliktige skal derfor, i minst ett år etter at PEP-er har avsluttet relevante stillinger og verv, gjennomføre de forsterkede tiltakene omhandlet i artikkel 20 og 21, se lovforslaget § 12 fjerde ledd. Dersom en risikovurdering tilsier det, skal forsterkede tiltak også anvendes også etter denne perioden. Tiltakene skal avpasses den risikoen PEP-en anses for å representere.»
I forbindelse med at familiemedlemmer og nære samarbeidspartnere av PEP-er ikke lenger selv er definert som PEP, foreslår utvalget at reglene omtalt ovenfor gis tilsvarende anvendelse når kunde eller reell rettighetshaver er familiemedlem eller nær samarbeidspartner av PEP, se utkastet til § 12 femte ledd.
5.6.4.3 Korrespondentforbindelser
Utvalget foreslår to bestemmelser om forsterkede kundetiltak ved korrespondentforbindelser, se utkastet §§ 13 og 14. Paragraf 13 gir regler for tiltakene som skal gjennomføres, mens § 14 forbyr korrespondentforbindelser med tomme bankselskap. Begge bestemmelsene viderefører gjeldende rett hva gjelder de tiltakene rapporteringspliktige skal iverksette, men reglenes virkeområde utvides i samsvar med fjerde hvitvaskingsdirektiv. Reglene foreslås derfor å gjelde ikke bare banker, men også andre finansforetak som tilbyr lignende tjenester som banker.
Utvalget drøfter i NOU 2016: 27 punkt 5.4.4.3 særskilt om krav om forsterkede kundetiltak for korrespondentforbindelser skal gjelde også innenfor EU/EØS. FATF kritiserte norske hvitvaskingsregler i evalueringsrapporten fra 2014 på dette punktet, fordi de særskilte kravene om forsterket kundekontroll i hvitvaskingsloven § 15 kun gjelder dersom respondentbanken er etablert utenfor EU/EØS. På bakgrunn av EØS-avtalens regler om ikke-diskriminering i artikkel 4, foreslår ikke utvalget å kreve gjennomføring av forsterkede kundetiltak ved korrespondentforbindelser også innenfor EU/EØS.
Utvalget foreslår at «oppgjørskonti» defineres med utgangspunkt i FATFs «interpretive note» til anbefaling 13 annet ledd. Fjerde hvitvaskingsdirektiv inneholder ikke en definisjon av oppgjørskonto, men termen «payable-through account» er den samme som benyttes av FATF.
5.6.5 Høringsinstansenes syn
Norsk Tipping AS (Norsk Tipping) mener det bør være adgang til å legge til grunn forsterkede kundetiltak utført av tredjepersoner, herunder spørsmålet om formuens opprinnelse, som følge av det store antallet mulige PEP-er. Videre bemerker Norsk Tipping at utredningen ikke har drøftet hvordan rapporteringspliktige skal oppfylle kravet om å gjennomføre forsterkede kundetiltak overfor kjente medarbeidere av PEP-er. Siden det er begrensede muligheter for å gjøre unntak fra direktivet, mener Norsk Tipping det er nødvendig at myndighetene legger til rette for å gjøre rapporteringspliktige i stand til å foreta identifiseringen av kjente medarbeidere. I denne forbindelse påpekes det også at forsterkede kundetiltak etter lovutkastet skal iverksettes når en kundes nære familie blir PEP, kunden blir i nær familie med PEP eller at kunden blir å anse som kjent medarbeider av PEP. Norsk Tipping mener den enkelte rapporteringspliktige ikke kan forventes å kunne opprette og ajourholde en liste over PEP-er for eget bruk, og mener kunderegisteret må kunne «vaskes» mot en offentlig godkjent liste.
De øvrige høringsinstansene har ikke uttalt seg om utvalgets forslag til regulering av forsterkede kundetiltak.
5.6.6 Departementets vurdering
Departementet foreslår at rapporteringspliktige skal gjennomføre forsterkede kundetiltak når det er forhøyet risiko for hvitvasking og terrorfinansiering, når kunde eller reell rettighetshaver er politisk eksponert person (PEP) og når det etableres korrespondentforbindelser i land utenfor EU/EØS-området, se lovforslaget §§ 17, 18 og 19.
Departementet understreker at reglene som foreslås, i all hovedsak er videreføringer av gjeldende rett. Det er likevel gjort enkelte endringer i reglene og relevante definisjoner som får praktisk betydning for rapporteringspliktige. I tillegg foreslår departementet særskilte regler om tilfeller der PEP er tilgodesett etter en livsforsikringsavtale. Departementet viser til utvalgets vurderinger her, som departementet slutter seg til. Departementet finner grunn til å gi enkelte særlige bemerkninger nedenfor.
Rapporteringspliktige skal gjennomføre forsterkede kundetiltak når det er identifisert en høy risiko for hvitvasking og terrorfinansiering, jf. lovforslaget § 17. Utvalget har foreslått at det angis i forskrift hvilke momenter som skal tillegges vekt ved vurderingen av om det foreligger høy risiko for hvitvasking og terrorfinansiering. Departementet deler utvalgets vurdering av at det er ønskelig å kunne tilpasse angivelsen av risikofaktorer til utviklingen. Det er derfor etter departementets vurdering mest hensiktsmessig at hvilke faktorer som skal tilsi at det skal gjennomføres forsterkede kundetiltak, med unntak av tilfeller der PEP-er er involvert eller der det dreier seg om grensekryssende korrespondentforbindelser, fastsettes i forskrift. Departementet foreslår derfor at nærmere regler om forsterkede kundetiltak kan gis i forskrift, jf. lovforslaget § 17 tredje ledd.
Departementet finner grunn til å understreke at denne forskriftshjemmelen gir hjemmel til å fastsette at forsterkede kundetiltak skal iverksettes i tilfeller der kunden er etablert i et høyrisikoland for hvitvasking og terrorfinansiering, jf. fjerde hvitvaskingsdirektiv artikkel 18 nr. 1 og FATF-anbefaling 19. EU-kommisjonen har i samsvar med artikkel 9 utarbeidet en liste over høyrisikoland, jf. Kommisjonsforordning (EU) 2016/1675 av 14. juli 2016. FATF utarbeider også en liste over land som anses å utgjøre en særlig risiko for hvitvasking og terrorfinansiering. EU-kommisjonens liste er basert på FATFs liste, og inneholder derfor de samme landene. Departementet legger opp til å gjennomføre forordningen, og dermed listen over høyrisikoland, i norsk rett ved forskrift. Dette medfører at rapporteringspliktige må gjennomføre forsterkede kundetiltak når de handler med personer eller foretak etablert i land som er oppført på listen.
Hva som vil være forsterkede kundetiltak, utover der loven stiller uttrykkelige krav i forbindelse med PEP-er og korrespondentforbindelser, vil som utgangspunkt komme an på den konkrete identifiserte risikoen i det enkelte tilfellet, i samsvar med en risikobasert tilnærming. Videre vil det være relevant å se hen til det som er bestemt skal gjennomføres som forsterkede kundetiltak i relasjon til PEP-er og korrespondetforbindelser, se lovforslaget §§ 18 og 19. FATFs anbefalinger inneholder en angivelse av mulige forsterkede kundetiltak i forklarende note punkt 20 til anbefaling 10. Disse er gjengitt i NOU 2016: 27 punkt 5.4.3.1 og sitert ovenfor under punkt 5.6.3.
I tillegg bemerker departementet at de europeiske tilsynsbyråene har publisert retningslinjer om forenklede og forsterkede kundetiltak i samsvar med fjerde hvitvaskingsdirektiv artikkel 17 og 18 nr. 4. Retningslinjene skal anvendes fra 28. juni 2018, og retter seg, i samsvar med direktivet, til «kreditt- og finansinstitusjoner». Departementet understreker at alle norske foretak omfattet av denne avgrensningen forventes å gjøre seg kjent med retningslinjene, herunder de sektorspesifikke retningslinjene. Retningslinjene gjelder både risikofaktorer og angivelser av mulige forenklede og forsterkede kundetiltak.
Departementets forslag til forskriftshjemmel vil gjøre det mulig å fastsette nærmere regler om hva forsterkede kundetiltak skal være, dersom det skulle vise seg å være nødvendig, se lovforslaget § 17 tredje ledd. Departementet bemerker at endringene i fjerde hvitvaskingsdirektiv som det ble enighet om i EU i desember 2017, inneholder uttrykkelige krav til hva forsterkede kundetiltak skal omfatte i tilfeller der kundeforholdet eller transaksjonen involverer identifiserte høyrisikoland. Disse endringene kan med lovforslaget gjennomføres i forskrift etter høring mv. på vanlig måte.
Departementet understreker at definisjonen av PEP ikke lenger er tidsbestemt. Dersom en person har eller har hatt en relevant stilling eller et relevant verv, skal vedkommende anses for å være PEP. Dette gjelder også ett år etter at vedkommende trådte ut av den relevante stillingen eller det relevante vervet. Dette følger av både FATFs anbefalinger og fjerde hvitvaskingsdirektiv. Departementet bemerker at fjerde hvitvaskingsdirektiv likevel beholder et element av tidsbegrensning i artikkel 22. Utvalget har foreslått at bestemmelsen gjennomføres slik at det stilles uttrykkelig krav om gjennomføring av de særskilte forsterkede kundetiltakene overfor PEP-er, deres nære familie og kjente medarbeidere i minst ett år etter at vedkommende trer ut av det relevante vervet eller den relevante stillingen. Utvalget påpeker at direktivet også synes å åpne for at enhver bruk av forsterkede kundetiltak etter at PEP-en har gått ut av den relevante posisjonen, skal bero på en risikovurdering.
Departementet bemerker at gjeldende definisjon av PEP i hvitvaskingsloven § 15 tredje ledd er tidsbestemt, og at PEP derfor opphører å være PEP ett år etter at vedkommende trådte ut av den relevante posisjonen. I praksis har det derfor vært krav om forsterket kundekontroll i ett år etter at stillingen eller vervet ble avsluttet. Utvalgets lovutkast ligger tettere opptil gjeldende praksis enn alternativet, som vil være at all bruk av forsterkede kundetiltak etter at personen har trådt ut av stillingen eller vervet, skal være basert på en risikovurdering. I prinsippet vil det da ikke lenger være krav om forsterkede kundetiltak fra og med dagen etter at vedkommende trådte ut av stillingen mv.
Departementet foreslår derfor i § 18 krav til gjennomføring av forsterkede kundetiltak overfor PEP-er i samsvar med utvalgets utkast. Departementet antar at det vil kunne være mindre byrdefullt å bygge ut egne systemer og rutiner mv. til også omfatte forsterkede kundetiltak overfor PEP-er basert på en risikovurdering, utover ett år etter at vedkommende har trådt ut av den relevante posisjonen, enn det det vil være fullt ut å basere iverksettelsen av forsterkede kundetiltak i perioden etter opphør av stillingen eller vervet på risikovurderinger. Departementet bemerker også at forslaget innebærer en større grad av kontinuitet for rapporteringspliktige.
Departementet understreker at det ikke er adgang til å avvise kunder som er PEP-er eller på annen måte utgjør høyere risiko for hvitvasking eller terrorfinansiering. Hvitvaskingslovens utgangspunkt er at den eventuelle økte risikoen skal identifiseres og håndteres.
I høringen har Norsk Tipping bemerket en rekke forhold ved reglene om PEP-er, herunder forholdet til tredjeparter, PEP-ers kjente medarbeidere og nære familie.
Departementet vil kort bemerke at det etter departementets vurdering ikke er adgang etter fjerde hvitvaskingsdirektiv til å legge til grunn kundetiltak utført av tredjeparter utover det som gjelder alminnelige kundetiltak, se artikkel 25 nr. 1, jf. artikkel 13 nr. 1 bokstav a til c.
Rapporteringspliktige må selv avklare om kunden, reell rettighetshaver eller andre som kan disponere over kontoen, er politisk eksponert person eller nært familiemedlem eller kjent medarbeider til politisk eksponert person, se lovforslaget §§ 12 og 13 fjerde ledd. Departementet viser i likhet med utvalget til at et minstekrav til systemer for å identifisere PEP-er er at rapporteringspliktig rutinemessig spør kunden om vedkommende innehar eller har innehatt en posisjon som omfattes av PEP-definisjonen, eventuelt om vedkommende er i nær familie eller er kjent medarbeider til en person som innehar slik posisjon. Det kan også være grunn til at rapporteringspliktige bør gjennomføre ytterligere tiltak for å identifisere PEP-er, i samsvar med en risikobasert tilnærming.
Departementet presiserer at norske myndigheter per i dag ikke utarbeider lister over PEP-er. Lister utarbeidet av norske myndigheter ville uansett ikke være tilstrekkelige, siden Norge bare er ett land blant mange. Rapporteringspliktige vil dermed uansett måtte foreta ytterligere tiltak for å identifisere PEP-er med stillinger mv. i andre land. Departementet viser i likhet med utvalget til at slike lister vil ha begrenset positiv og negativ troverdighet, sett hen til stadige justeringer av hvem som er å regne som PEP, det store antallet PEP verden over samt eventuelle ulikheter mellom stater om hvem som er PEP.
Departementet bemerker at det i EU nå er enighet om at medlemslandene skal utarbeide lister over hvilke nasjonale stillinger og verv som anses å gi status som PEP i det landet. Listene skal konsolideres av EU-kommisjonen, slik at det gis en samlet liste over de stillinger og funksjoner som i EU-landene anses å gi status som PEP. Departementet antar at dette vil harmonisere implementeringen av forpliktelsene på tvers av rapporteringspliktige.
Departementet foreslår ikke uttrykkelige regler om hvor ofte informasjon om kundene må oppdateres, jf. punkt 5.9.6 og lovforslaget § 24. Departementet foreslår at opplysningene skal oppdateres etter en risikobasert tilnærming, og i alle fall i tilfeller der det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige. Ved slik oppdatering av kundeinformasjonen vil det være naturlig å også stille kontrollspørsmål ved om relevante personer har oppnådd posisjon som PEP, eventuelt blitt nært familiemedlem eller kjent medarbeider til PEP.
Når det gjelder forsterkede kundetiltak ved korrespondentforbindelser med relevante utenlandske foretak innenfor EU/EØS-området, finner departementet grunn til å presisere at dersom det er identifisert en høyere risiko for hvitvasking og terrorfinansiering i samsvar med lovforslaget § 15 første ledd, skal det gjennomføres forsterkede kundetiltak også overfor disse foretakene. Den særskilte bestemmelsen om forsterkede kundetiltak ved korrespondentforbindelser til tredjeland, er med andre ord ikke ment uttømmende å regulere når det kan og skal iverksettes forsterkede kundetiltak i forbindelse med korrespondentforbindelser.
Lovforslaget §§ 17, 18, 19 og 20 gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 18 til 24 og deler av FATF-anbefalinger 10, 12, 13 og 19.
5.7 Følger av at kundetiltak ikke kan gjennomføres
5.7.1 Gjeldende rett
Dersom kundekontroll ikke kan gjennomføres, følger det av hvitvaskingsloven § 10 at rapporteringspliktige skal avstå fra å etablere kundeforholdet eller utføre transaksjonen. Dreier det seg om et allerede etablert kundeforhold, skal kundeforholdet avsluttes hvis fortsettelse av kundeforholdet medfører risiko for hvitvasking eller terrorfinansiering.
I annet ledd er det gjort unntak for advokater eller andre som ervervsmessig eller stadig yter selvstendig juridisk bistand, som er i ferd med å fastslå en klients rettsstilling eller bistår klienten i forbindelse med rettergang.
Etter § 34 er regelen om plikt til å avvikle etablerte kundeforhold avgrenset mot kundeforhold etablert før lovens ikrafttredelse.
5.7.2 EØS-rett
Hvitvaskingsdirektivet artikkel 14 nr. 4 første ledd gjelder konsekvensen av at kundetiltak ikke kan gjennomføres. Direktivet viser til artikkel 13 nr. 1 bokstav a til c, som gjelder identitetsbekreftelse for kunde og reell rettighetshaver, samt vurdering og eventuelt innhenting av opplysninger om kundeforholdets formål og tilsiktede art. Rapporteringspliktig skal i så fall nekte å utføre transaksjonen eller etablere kundeforholdet, og skal avslutte etablerte kundeforhold. I tillegg skal rapporteringspliktig vurdere å sende en rapport til FIU-en i samsvar med artikkel 33.
I artikkel 14 nr. 4 annet ledd er det gjort unntak fra første ledd for notarer, andre uavhengige jurister, revisorer, eksterne revisorer og skatterådgivere i den grad de fastslår en klients rettsstilling eller i forbindelse med representasjon i rettergang, herunder spørsmålet om rettergang skal initieres eller unngås.
5.7.3 FATFs anbefalinger
Anbefaling 10 lyder som følger om tilfeller der kundetiltak ikke kan gjennomføres:
«Where the financial institution is unable to comply with the applicable requirements under paragraphs (a) to (d) above (subject to appropriate modification of the extent of the measures on a risk-based approach), it should be required not to open the account, commence business relations or perform the transaction; or should be required to terminate the business relationship; and should consider making a suspicious transactions report in relation to the customer.»
5.7.4 Utvalgets forslag
Utvalget foreslår å videreføre gjeldende regler i hvitvaskingsloven § 10, se utkastet til § 17. Utvalget antar at disse allerede gjennomfører fjerde hvitvaskingsdirektiv, se omtale i NOU 2016: 27 punkt 5.7.4. Utvalget foreslår imidlertid en lovteknisk endring, slik at reglene om avvikling av eksisterende kundeforhold plasseres i bestemmelsen om løpende oppfølging, se utkastet til § 19 femte ledd.
5.7.5 Høringsinstansenes syn
Finans Norge bemerker at det er ønskelig med avklaring av forholdet mellom hvitvaskingsloven, finansavtaleloven og forsikringsavtaleloven. Finans Norge nevner særskilt at utredningen ikke avklarer om avvisningsplikten vil være saklig begrunnet hvis det foreligger mindre mangler ved kundetiltakene. Finansieringsselskapenes Forening, Verdipapirsentralen ASA og Økokrim gir uttrykk for det samme.
5.7.6 Departementets vurdering
Departementet foreslår en bestemmelse om konsekvensene av at kundetiltak ikke kan gjennomføres, se lovforslaget § 21. Forslaget er i hovedsak en videreføring av gjeldende hvitvaskingslov § 10, men på samme måte som utvalget foreslår departementet at konsekvensene av manglende kundetiltak for allerede inngåtte kundeforhold flyttes til bestemmelsen om løpende oppfølging, se lovforslaget § 24 og punkt 5.9.6. I tillegg foreslår departementet å presisere at manglende kundetiltak kan føre til at undersøkelses- og rapporteringsplikten utløses. Bakgrunnen er at det i høringen syntes å kunne være uklart om undersøkelses- og rapporteringsplikten også gjelder ved forsøk på å etablere kundeforhold eller gjennomføre transaksjoner. Forslaget avskjærer mulig tvil om undersøkelses- og rapporteringsplikt kan utløses i tilfeller der kundetiltak ikke kan gjennomføres.
I høringen har flere høringsinstanser etterlyst en avklaring av forholdet mellom hvitvaskingsloven, forsikringsavtaleloven og finansavtaleloven. Spørsmålet som reises, er når avvisning etter hvitvaskingsloven er i samsvar med forsikringsavtaleloven og finansavtaleloven, og når slik avvisning ikke vil være i samsvar med nevnte lover.
Forsikringsavtaleloven §§ 3-10 og 12-12 krever «saklig grunn» for å avvise kunder som ønsker å inngå forsikringsavtaler på vanlige vilkår som ellers tilbys allmennheten. Forsikringsavtaleloven § 12-9 bestemmer at det kreves «særlige grunner» dersom selskapet skal unnlate å fornye en forsikring som ellers automatisk fornyes etter forsikringsavtaleloven. Finansavtaleloven § 14 krever «saklig grunn» for at institusjoner underlagt loven kan avslå å ta imot innskudd eller utføre betalingstjenester på vanlige vilkår.
Departementet understreker at det klare utgangspunktet er at manglende gjennomføring av kundetiltak er «saklig grunn» etter begge regelverk.
Hvitvaskingsdirektivet stiller ikke detaljerte minstekrav til kundetiltakene, annet enn at de skal omfatte stegene redegjort for i punkt 5.4 og foreslått i lovforslaget §§ 12 til 15. Ellers i EU-retten finnes det regler om når finansforetak har plikt til å tilby visse tjenester. Direktiv 2014/92/EU om sammenlignbarhet av kostnader forbundet med betalingskontoer, bytte av betalingskontoer og adgang til å opprette og bruke betalingskontoer med grunnleggende funksjoner, som forberedes gjennomført i norsk rett av Justis- og beredskapsdepartementet, stiller visse krav til når tilbydere av betalingstjenester har plikt til å inngå avtale med forbrukere. Avtalen må gjelde grunnleggende betalingstjenester, noe som er utdypet i artikkel 17. Disse grunnleggende tjenestene omfatter å åpne, bruke og avslutte kontoen, samt tjenester som gjør det mulig å sette inn midler, ta ut kontanter og utføre betalingstransaksjoner. De betalingstransaksjonene som skal kunne utføres, er direktebelastninger (direkte debiteringer), betalingstransaksjoner med betalingskort (debetkort), herunder betalinger over internett, og godskriving av betalingsmottaker (kredittransaksjoner), herunder faste betalingsoppdrag.
Et av de mulige avvisningsgrunnlagene når kunden ønsker å inngå en avtale om grunnleggende tjenester, er hvitvaskingsregelverket, se artikkel 16 nr. 4. Avslaget er kun berettiget dersom forbrukeren ikke etterlever hvitvaskingsregelverket. I fortalen punkt 47 er det presisert at det ikke er tilstrekkelig at prosedyren med å gjennomføre identitetskontroll blir mer tungvint eller kostbar.
Reglene har betydning for hvilke krav som kan stilles til kundetiltak i hvitvaskingsregelverket når det gjelder inngåelse av avtaler om betalingstjenester med forbrukere. Etter departementets vurdering er det her mindre grunn til å gi rapporteringspliktige full frihet til å stille strengere krav knyttet til kundetiltakene, fordi det er særlige hensyn til finansiell inkludering som gjør seg gjeldende. Tilsvarende hensyn gjør seg i varierende grad gjeldende for de øvrige rapporteringspliktige. Ett eksempel er lovpålagt trafikkforsikring.
Departementet foreslår ikke særskilt regulering av hvilke krav som skal stilles til kundetiltak i tilfellene der det skal åpnes en konto med grunnleggende tjenester. Departementet viser til lovforslaget § 12 om regler om gjennomføring av kundetiltak og § 16 om forenklede kundetiltak. Departementet understreker at ett av momentene for om det foreligger en lavere risiko for hvitvasking og terrorfinansiering, er at produktet det dreier seg om er underlagt bruks- og beløpsbegrensninger av hensyn til finansiell inkludering. Etter departements lovforslag innebærer forenklede kundetiltak at det kan stilles lavere krav til innhenting og bekreftelse av opplysninger om reell rettighetshavers identitet samt innhenting og vurdering av nødvendige opplysninger om kundeforholdets formål og tilsiktede art. Sett i sammenheng med minstekravene til hva som utgjør gyldig legitimasjon, slik de i dag fremgår av Finanstilsynets rundskriv til gjeldende hvitvaskingslov, ser ikke departementet grunn til å gi nærmere regler om minstekravene. Departementet understreker at det ikke vil være i samsvar med reglene i finansavtaleloven å stille strengere krav til gyldig legitimasjon enn de som fremgår av Finanstilsynets rundskriv når det tilbys en konto med grunnleggende tjenester som beskrevet over. Det kan heller ikke henvises til at gjennomføringen av kundetiltak som oppfyller minstekravene er mer kostnadskrevende eller byrdefulle enn tjenesteyterens ordinære prosedyrer for å inngå kundeforhold. Departementet bemerker for øvrig at reglene om gyldig legitimasjon ikke utelukkende relaterer seg til norsk legitimasjon. Eksempelvis vil også utenlandsk pass eller identitetskort etter omstendighetene kunne utgjøre gyldig legitimasjon. Det vil ikke være i samsvar med hvitvaskingsloven å kreve utelukkende norsk pass som gyldig legitimasjon. Hvitvaskingslovutvalget har gitt uttrykk for det samme i NOU 2016: 27 punkt 5.2.4.3.
Departementet finner videre grunn til å bemerke følgende om plikten til å avvise kunder som følge av manglende gjennomføring av kundetiltak: Rapporteringspliktige har ikke adgang til på generelt grunnlag å avvise kunder som innebærer høyere risiko for hvitvasking eller terrorfinansiering. Rapporteringspliktige har i stedet plikt til å gjennomføre forsterkede kundetiltak, jf. lovforslaget § 17. Høyrisikokunder kan ikke uten videre avvises. For politisk eksponerte personer er dette sagt uttrykkelig i fjerde hvitvaskingsdirektivs fortale avsnitt 33. En risikobasert tilnærming tilsier at risikoen skal identifiseres og håndteres. Risikoen skal ikke uten god grunn i sin helhet fjernes. I blant annet FATF er det blitt sett med bekymring på såkalt «de-risking». «De-risking» innebærer at kunder som ikke er helt ordinære, utestenges fra de tjenestene rapporteringspliktige tilbyr. «De-risking» er i strid med en risikobasert tilnærming.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 14 og FATFs anbefaling 10.
5.8 Kundetiltak utført av tredjeparter og utkontraktering av kundetiltak
5.8.1 Gjeldende rett
Hvitvaskingsloven §§ 11 og 12 åpner for at rapporteringspliktige kan legge til grunn kundekontroll som allerede er utført av tredjeparter, og utkontraktere gjennomføringen av kundekontroll.
Kretsen av tillatte tredjeparter samsvarer med avgrensningen av rapporteringspliktige, med en del unntak, se § 11 første ledd jf. § 4. Tredjepart kan være finansinstitusjon, verdipapirforetak, forvaltningsselskap for verdipapirfond, forsikringsselskap, foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling, verdipapirregistre, statsautoriserte og registrerte revisorer, autoriserte regnskapsførere, advokater og andre rettshjelpere i situasjoner hvor de er underlagt loven og dermed også tilsyn, eiendomsmeglere og boligbyggelag når det drives eiendomsmegling. De nevnte aktørene kan være utenlandske, forutsatt at vedkommende er underlagt lovpålagt registreringsplikt og regler om kundekontroll, oppbevaring av opplysninger og tilsyn som tilsvarer hvitvaskingslovens regler. Dette gjelder likevel ikke forsikringsformidlingsforetak.
Er kundekontroll utført av utenlandsk tredjepart, kan bekreftelse av identitet være gjennomført på annet grunnlag enn det som i hvitvaskingsloven er definert som gyldig legitimasjon, se § 11 tredje ledd.
Rapporteringspliktige beholder ansvaret for registrering av opplysninger som nevnt i § 8, jf. § 7 første ledd nr. 1, og ansvaret for å oppbevare dokumenter og opplysninger i samsvar med hvitvaskingsloven § 22. Bruk av tredjepart medfører heller ikke unntak fra rapporteringspliktiges ansvar for at kundekontroll er gjennomført i samsvar med hvitvaskingsloven og forskrifter gitt med hjemmel i hvitvaskingsloven, se § 11 annet ledd nr. 2.
Tredjepart er ansvarlig for å gi rapporteringspliktig opplysningene som er samlet inn i kundekontrollen, se § 11 fjerde ledd. Etter anmodning skal tredjepart omgående videresende kopier av identifikasjons- og kontrollopplysninger og annen relevant dokumentasjon om kunden eller reell rettighetshaver til rapporteringspliktig. Slik utlevering og videresendelse medfører ikke brudd på taushetsplikt, forutsatt at kunden informeres om utleveringen.
Adgangen til å utkontraktere gjennomføring av kundekontroll er regulert i § 12. Utkontraktering må bygge på skriftlig avtale, og kan bare skje til rapporteringspliktige, leveringspliktig tilbydere av posttjenester og til andre foretak og personer som utfører tjenester på vegne av eller for rapporteringspliktig når de inngås som ledd i den rapporteringspliktiges distribusjonsapparat, se hvitvaskingsloven § 12 annet ledd og hvitvaskingsforskriften § 9 første ledd. Utkontraktering kan likevel ikke skje til tilbydere av virksomhetstjenester, se hvitvaskingsloven § 12 annet ledd nr. 1. Den utkontrakterende rapporteringspliktige beholder ansvaret for at kundekontroll gjennomføres, og at det utarbeides forsvarlige rutiner i samsvar med hvitvaskingsloven § 23, se § 12 tredje ledd.
På samme måte som for tredjepart, medfører ikke utlevering av nødvendige opplysninger og dokumentasjon fra oppdragstaker til utkontrakterende rapporteringspliktig for rapporteringspliktigs oppfyllelse av hvitvaskingsloven §§ 5 annet ledd, 8 og 22, brudd på oppdragstakers eventuelle taushetsplikt, se § 12 fjerde ledd.
5.8.2 EØS-rett
Hvitvaskingslovutvalget beskriver fjerde hvitvaskingsdirektivs regler om tredjeparter slik i NOU 2016: 27 punkt 5.8.2.1:
«Etter hovedregelen i artikkel 25 kan statene la rapporteringspliktige legge til grunn kundetiltak etter artikkel 13 nr. 1 bokstav a, b og c utført av tredjeparter. Dette omfatter identifisering og bekreftelse av identiteten til kunden og reell rettighetshaver, og vurdering av kundeforholdets formål og tilsiktede art. Rapporteringspliktige kan ikke la tredjepart utføre løpende oppfølging av kundeforholdet. Ansvaret for at kundetiltakene er utført i samsvar med regelverket påhviler i siste instans den rapporteringspliktige selv.
Kretsen av tredjeparter er definert i artikkel 26. Artikkel 26 nr. 2 forbyr rapporteringspliktige å legge til grunn kundetiltak utført av tredjeparter etablert i høyrisikoland («high-risk third countries»), jf. artikkel 9. Medlemsstatene kan imidlertid gjøre unntak for filialer og majoritetseide datterselskap av rapporteringspliktige etablert i EU. Forutsetningen er at filialene og datterselskapene fullt ut overholder interne retningslinjer og rutiner fastsatt på konsernnivå i samsvar med artikkel 45.
Artikkel 26 nr. 1 stiller visse krav som tredjeparter må oppfylle for at kundetiltak utført av dem kan legges til grunn av rapporteringspliktige. Direktivet omtaler rapporteringspliktige, medlemsorganisasjoner, føderasjoner av rapporteringspliktige, andre institusjoner og personer. Disse må fylle vilkårene i bokstav a og b. Bokstav a krever at tredjeparten gjennomfører kundetiltakene og overholder reglene om oppbevaring av opplysninger i samsvar med direktivet. Bokstav b bestemmer at tredjeparten må være underlagt tilsyn med overholdelsen av regelverket i samsvar med direktivets regler om tilsyn i kapittel IV del 2.
Medlemsstatene skal sikre at de rapporteringspliktige innhenter nødvendig informasjon fra tredjepartene om kundetiltakene, se artikkel 27 nr. 1. Artikkel 27 nr. 2 bestemmer at rapporteringspliktige som kunden henvises til, skal ta rimelige steg for å sikre at tredjeparten, umiddelbart etter begjæring, oversender kopier av identifikasjons- og verifikasjonsopplysninger og annen relevant dokumentasjon av kundens eller reell rettighetshavers identitet.
Artikkel 28 åpner for at kompetente myndigheter i henholdsvis hjemstaten, når det gjelder konsernets retningslinjer og rutiner, og vertsstaten, for filialer og datterselskaper, kan anse en rapporteringspliktig for å overholde reglene i artikkel 26 og 27 gjennom konsernregelverk. I så fall må tre vilkår være oppfylt. For det første må tredjeparten som utfører kundetiltakene være del av samme konsern som den rapporteringspliktige. For det annet må konsernet utføre kundetiltak, overholde regler om oppbevaring av opplysninger og konsernregelverk mot hvitvasking og terrorfinansiering i samsvar med direktivet eller tilsvarende regler. For det tredje skal implementeringen av tiltakene nevnt foran (kundetiltak, oppbevaring av opplysninger, overholdelse av konsernregelverk) være underlagt tilsyn på konsernnivå, enten i hjemstaten eller et tredjeland.»
Departementet bemerker at EU-kommisjonen 14. juli 2016 fastsatte en liste over høyrisikoland i samsvar med artikkel 9, se Kommisjonsforordning (EU) 2016/1675. Listen er senest i desember 2017 utvidet, og omfatter nå totalt 15 land.
Fjerde hvitvaskingsdirektiv artikkel 29 omhandler utkontraktering og lyder som følger:
«Dette avsnitt får ikke anvendelse på forbindelser basert på en avtale om utkontraktering eller en agenturavtale der yteren av den utkontrakterte tjenesten eller agenten i henhold til avtale skal betraktes som del av den ansvarlige enhet.»
5.8.3 FATFs anbefalinger
Utvalget redegjør slik for når anbefalingene legger opp til at rapporteringspliktig kan legge til grunn kundetiltak utført av tredjepart i NOU 2016: 27 punkt 5.8.3:
«Anbefaling 17 åpner for at rapporteringspliktige kan legge til grunn kundetiltak utført av tredjeparter til å oppfylle egne plikter etter hvitvaskingsregelverket. Dette omfatter bekreftelse av kundens og reelle rettighetshaveres identitet og vurdering av formålet og den tilsiktede arten av kundeforholdet, men ikke løpende oppfølging.
Det er noen forutsetninger som må være til stede for at rapporteringspliktige skal kunne legge til grunn kundetiltak utført av andre, se anbefalingen annet ledd. Den rapporteringspliktige må uten opphold («immediately») få informasjonen fra kundetiltakene fra tredjeparten, jf. bokstav a. Dessuten må den rapporteringspliktige forsikre seg om at kopier av dokumenter og opplysninger brukt ved kundetiltakene vil bli utlevert fra tredjeparten uten opphold etter anmodning, se bokstav b.
Bokstav c bestemmer at rapporteringspliktige skal forsikre seg om at tredjeparten er underlagt krav om gjennomføring av kundetiltak i samsvar med anbefalingene, og at overholdelsen av gjennomføringen er underlagt tilsyn. Ansvaret for at tredjeparten kan brukes til å gjennomføre kundetiltak legges dermed på den rapporteringspliktige.
Bokstav d gjelder hvilke land tredjeparten kan være etablert i. Her skal rapporteringspliktige ta hensyn til informasjon på landnivå når det gjelder risikoen for hvitvasking og terrorfinansiering.
Tredje ledd i anbefaling 17 gjelder bruk av tredjepart som er del av samme konsern som den rapporteringspliktige. Forutsetningen for at dette skal være tillatt er at tredjeparten overholder krav til kundetiltak og oppbevaring av dokumenter i samsvar med anbefalingene og konsernregelverk om hvitvasking og terrorfinansiering. I tillegg må overholdelsen av disse kravene være underlagt tilsyn på konsernnivå. I så fall kan relevante myndigheter anse vilkårene i bokstav b og c for oppfylt gjennom konsernets regelverk mot hvitvasking og terrorfinansiering og dessuten unnta rapporteringspliktige fra kravet i bokstav d.
(…)
I «interpretive note» til anbefaling 17 er det presisert at anbefalingens virkeområde er avgrenset mot agentforhold og utkontraktering («outsourcing»). Skillet mellom dette og det å legge til grunn tredjeparters kundetiltak, ser ut til å bygge på om kundetiltakene utføres på vegne av («on behalf of») den utkontrakterende rapporteringspliktige, i samsvar med sistnevntes rutiner og under sistnevntes kontroll med implementeringen av rutinene. I tredjepartstilfellene vil derimot tredjeparten normalt ha et etablert kundeforhold til kunden, uavhengig av om kunden skal inngå i et kundeforhold med den rapporteringspliktige.»
5.8.4 Utvalgets forslag
5.8.4.1 Kundetiltak utført av tredjepart
Utvalget foreslår i all hovedsak videreføring av gjeldende rett, men med enkelte tilpasninger, se NOU 2016: 27 punkt 5.8.4.1.
Utvalget foreslår for det første at reglene om kundetiltak utført av tredjeparter ikke skal medføre unntak fra taushetsplikt. Utvalget viser til at reglene om tredjeparter bygger på at kunden kontakter eller blir henvist til en rapporteringspliktig, som så kan benytte kundetiltakene tredjepart allerede har gjennomført. Utvalget påpeker at kunden normalt vil samtykke i utlevering av opplysninger og dokumenter fra tredjeparten til rapporteringspliktig, og dermed gjøre unntak fra taushetsplikt.
Videre har utvalget vurdert om avgrensningene av hvem som kan være tredjepart, skal endres. Utvalget påpeker at de norske avgrensningene av hvem som kan være tredjepart, er strengere enn det som følger av fjerde hvitvaskingsdirektiv. Utvalget legger til grunn at begrunnelsen for avgrensningen dels er en følge av at en del aktører ikke er underlagt tilsyn, og dels praktiske hensyn.
Utvalget foreslår at forvaltere av alternative investeringsfond kan være tredjepart, og viser til at disse er underlagt krav om tillatelse og tilsyn av Finanstilsynet. Utvalget foreslår derimot ikke at tilbydere av virksomhetstjenester, tilbydere av spilltjenester, personer med begrenset rett til å yte betalingstjenester, foretak som driver fysisk pengetransport og inkassovirksomheter kan være tredjepart, men foreslår en forskriftshjemmel for å gjøre det mulig senere å utvide kretsen rapporteringspliktige som kan opptre som tredjeparter, se lovutkastet § 18 sjette ledd.
For øvrig er utvalgets forslag oppdatert i samsvar med terminologien i ny finansforetakslov.
Til gjennomføring av direktivets regler om å nekte bruk av tredjeparter i høyrisikoland, foreslår utvalget at departementet i forskrift kan gjøres unntak fra adgangen til å legge til grunn kundetiltak utført av relevant rapporteringspliktig etablert i utlandet, jf. lovutkastet § 18 sjette ledd. Utvalget påpeker at direktivet åpner for unntak fra forbudet for filialer og datterselskaper av rapporteringspliktige etablert i EU/EØS, og viser til at forskriftshjemmelen gjør det mulig å innta slike unntak fra forbudet mot å benytte tredjepart i høyrisikoland.
Utvalget foreslår i all hovedsak en videreføring av gjeldende regler om henholdsvis rapporteringspliktigs og tredjeparts ansvar. Rapporteringspliktige beholder ansvaret for at tilstrekkelige kundetiltak er utført. På bakgrunn av kritikk i FATF-rapporten, foreslår utvalget at rapporteringspliktige skal forsikre seg om at tredjeparten overholder tilsvarende krav som stilles i hvitvaskingsloven, se lovutkastet § 18 tredje ledd. Utvalget foreslår videre at ansvaret for å sikre at tredjepart oversender nødvendig informasjon og kopier av dokumentasjon brukt ved gjennomføring av kundetiltak, legges på den rapporteringspliktige fremfor tredjepart, se lovutkastet § 18 fjerde ledd. I denne sammenheng viser utvalget til kritikk i FATF-rapporten, der det ble påpekt at norske regler om tredjeparts plikt til å utlevere opplysninger og dokumentasjon ikke ville være håndhevbare overfor utenlandske tredjeparter. Utvalget antar at rapporteringspliktige kan sikre seg dette gjennom avtale med tredjepart.
Utvalget forstår ikke fjerde hvitvaskingsdirektiv artikkel 28 slik at det skal åpnes for at selskaper i konsern kan benytte hverandre som tredjepart, men legger til grunn at dette kan være opp til nasjonale myndigheter, se NOU 2016: 27 punkt 5.8.4.1.4. Utvalget foreslår derfor at tilsynsmyndigheten kan gi forhåndsgodkjenning til konsern som oppfyller vilkårene. Vedtaket skal være underlagt forvaltningens frie skjønn, slik at ingen konsern har krav på forhåndsgodkjenning, se lovutkastet § 18 femte ledd.
5.8.4.2 Utkontraktering av kundetiltak
Om adgangen til å utkontraktere kundetiltak uttaler utvalget følgende i NOU 2016: 27 punkt 5.8.4.2:
«I fjerde hvitvaskingsdirektiv artikkel 29 er det bestemt at reglene om bruk av kundetiltak utført av tredjeparter ikke skal anvendes på utkontraktering eller agentforhold der oppdragstakeren anses som en del av den rapporteringspliktige. Utvalget forstår dette slik at det fastslår at rapporteringspliktige ikke kan utkontraktere seg bort fra ansvaret de pålegges etter direktivet. Utvalget forstår ikke dette slik at det stilles særskilte krav til utkontrakteringsforholdet i form av at foretaket det utkontrakteres til må anses som en del av den rapporteringspliktiges virksomhet. Direktivet tar, etter utvalgets oppfatning, ikke sikte på å gripe inn i rapporteringspliktiges adgang til å utkontraktere utføringen av de oppgaver vedkommende til enhver tid har. Det finnes foretak som spesialiserer seg på å utføre kundetiltak for andre i markedet i dag. Utvalget antar at dette er en bransje som kan bli mer utbredt i takt med at kompleksiteten i regelverket øker.
Utvalget påpeker at det er den rapporteringspliktiges ansvar å overholde gjeldende regelverk. Det er ikke mulig å delegere seg bort fra dette ansvaret. Lovgiver bør ikke legge begrensninger på rapporteringspliktiges muligheter til å organisere gjennomføringen av kundetiltakene på en hensiktsmessig måte. Dersom den rapporteringspliktige som ledd i dette ønsker å utkontraktere gjennomføringen av kundetiltakene, bør ikke loven stå i veien for en slik løsning.
Utvalget mener det er unødvendig med en egen bestemmelse om adgangen til utkontraktering.»
5.8.5 Høringsinstansenes syn
Advokatforeningen merker seg at utvalget ikke foreslår å videreføre gjeldende regler om adgangen til å utkontraktere gjennomføringen av kundetiltak. Advokatforeningen påpeker at lovregulering vil kunne bidra til klar og enhetlig rettsoppfatning, eksempelvis om hvem som kan være oppdragstaker, eventuelle begrensninger i utkontrakteringsadgangen og krav til avtale.
Finans Norge viser til at utvalget ikke foreslår uttrykkelige regler om unntak fra taushetsplikt ved utlevering av opplysninger og dokumenter fra tredjepart til rapporteringspliktig. Finans Norge mener det i flere situasjoner vil være svært upraktisk å kreve samtykke fra kunden til utlevering av opplysninger fra oppdragstaker til rapporteringspliktig, og viser til at mange kundeforhold vil inneholde registrerte personopplysninger for et stort antall fysiske personer. Dette gjelder personer som kan handle på vegne av kunden, reelle rettighetshavere m.fl. Finans Norge mener derfor gjeldende hvitvaskingslov § 11 fjerde ledd om unntak fra taushetsplikt bør videreføres.
Lotteri- og stiftelsestilsynet mener adgangen til å legge til grunn kundetiltak utført av tredjeparter bør utvides til å gjelde Norsk Tipping og Stiftelsen Norsk Rikstoto, og at dette er klart ved ikrafttredelsen av loven. Tilsynet viser til at de nevnte aktørene er underlagt strengt offentlig tilsyn og har lang erfaring med kundetiltak (Norsk Tipping) og underlegges krav om å registrere spill på samme måte som Norsk Tipping (Rikstoto).
Norsk Tipping AS støtter utvalgets forslag om en forskriftshjemmel til å kunne utvide kretsen tredjeparter.
Stiftelsen Norsk Rikstoto (Rikstoto) påpeker at utvalgets lovutkast medfører at Rikstoto ikke vil kunne legge til grunn kundetiltak utført av Norsk Tipping eller utenlandske spilltilbydere. Rikstoto bemerker at dette vil ha store negative ringvirkninger for Rikstoto, som følge av samarbeid mellom spillselskaper om å tilby tjenester på tvers av landegrensene. Rikstoto viser til at regelverket harmoniseres i EØS-området, og mener det ikke er grunn til å nekte Rikstoto å legge til grunn kundetiltak utført av samarbeidende aktører underlagt tilsvarende hvitvaskingsforpliktelser som Rikstoto knyttet til kundetiltak, oppbevaring av opplysninger og tilsyn.
Verdipapirfondenes forening (Vff) støtter utvalgets forslag om å la rapporteringspliktige legge til grunn kundetiltak utført av forvalter av alternative investeringsfond som tredjepart. Vff mener videre at adgangen til å utkontraktere gjennomføringen av kundetiltak fortsatt bør være lovhjemlet, selv om utvalget mener lovforslaget ikke er i veien for utkontraktering. Vff viser til hensynet til brukervennlighet og forutberegnelighet samt at en så viktig rett fremgår klart av loven slik at den ikke kan bortfalle uten lovendring.
5.8.6 Departementets vurdering
Departementet foreslår at det gis særskilte bestemmelser om adgangen å legge til grunn kundetiltak utført av tredjepart og adgangen til å utkontraktere deler av virksomheten, se lovforslaget §§ 22 og 23. Departementet deler i hovedsak utvalgets vurderinger, men har på bakgrunn av høringen og av lovtekniske grunner gjort enkelte endringer i lovforslaget.
Departementets forslag til bestemmelse om adgangen til å legge til grunn kundetiltak utført av tredjepart, er i all hovedsak i samsvar med utvalgets utkast. Departementet foreslår å presisere at rapporteringspliktige umiddelbart må innhente opplysningene fra tredjeparten, og at avtalen skal sikre at rapporteringspliktig uten opphold får oversendt opplysninger og dokumenter fra tredjeparten. Dette er i samsvar med FATF-anbefaling 17.
Etter departementets vurdering åpner ikke fjerde hvitvaskingsdirektiv for å legge til grunn kundetiltak utført av tredjepart utover tilfellene som fjerde hvitvaskingsdirektiv artikkel 25 viser til. Artikkel 25 viser til artikkel 13 nr. 1 bokstav a, b og c, som gjelder identifisering og bekreftelse av identiteten til kunden og reelle rettighetshavere, samt innhenting og vurdering av nødvendige opplysninger om kundeforholdets formål og tilsiktede art. Departementet foreslår derfor at adgangen til å legge til grunn kundetiltak utført av tredjepart avgrenses til kundetiltak som nevnt i lovforslaget § 12 første til tredje ledd og femte ledd, § 13 første til tredje ledd og femte ledd og § 14.
Etter departementets vurdering er det også ønskelig å presisere at adgangen til å legge til grunn kundetiltak utført av tredjepart forutsetter skriftlig avtale mellom rapporteringspliktige. Departementet er enig med utvalget i at det uansett må kreves avtale, se NOU 2016: 27 punkt 5.8.4.1.3, men etter departementets vurdering bør dette fremgå tydelig i lovteksten. Departementet foreslår derfor at det inntas henvisninger til avtale mellom rapporteringspliktig og tredjepart i § 22 første, tredje og fjerde ledd.
Departementet foreslår at det uttrykkelig kan gjøres unntak fra taushetsplikt i tilfeller rapporteringspliktig inngår avtale med tredjepart om å legge til grunn kundetiltak utført av tredjepart. Departementet viser til høringsuttalelsen fra Finans Norge. Som etter gjeldende rett er det et vilkår at kunden informeres om utleveringen.
I høringen har Lotteri- og stiftelsestilsynet, Norsk Tipping og Rikstoto fremhevet behovet for å kunne legge til grunn kundetiltak utført av tredjeparter som er tilbydere av spilltjenester. Departementet vil fastsette forskrift som klargjør spilltilbydere sin adgang til å være tredjepart og til å legge til grunn kundetiltak utført av tredjepart.
For øvrig bemerker departementet, som nevnt i punkt 5.6.6, at EU-kommisjonen i samsvar med artikkel 9 har utarbeidet en liste over høyrisikoland, jf. Kommisjonsforordning (EU) 2016/1675 av 14. juli 2016. Det skal etter fjerde hvitvaskingsdirektiv artikkel 26 ikke være adgang til å legge til grunn kundetiltak utført av rapporteringspliktige etablert i land oppført på denne listen. FATF utarbeider også en liste over land som anses å utgjøre en særlig risiko for hvitvasking og terrorfinansiering. EU-kommisjonens liste er basert på FATFs liste, og inneholder derfor de samme landene. Departementet vil kunne gjennomføre forordningen, og dermed listen over høyrisikoland, i norsk rett ved forskrift. Dette medfører at rapporteringspliktige ikke kan legge til grunn kundetiltak utført av utenlandske rapporteringspliktige etablert i landene som er identifisert som høyrisikoland.
Lovforslaget om adgangen til å legge til grunn kundetiltak av tredjeparter, gjennomfører fjerde hvitvaskingsdirektiv artikkel 25 og 26 og FATFs anbefaling 17.
Etter departementets vurdering er det grunn til å gi nærmere regler om adgangen til å utkontraktere gjennomføring av kundetiltak i hvitvaskingsloven. Departementet viser til at både FATFs anbefalinger og fjerde hvitvaskingsdirektiv synes å stille krav til karakteren av utkontrakteringen. I tillegg er det i høringen etterlyst lovregulering av adgangen til å utkontraktere.
Departementet viser til at FATFs anbefalinger om adgangen til å legge til grunn kundetiltak fra tredjeparter, avgrenser mot såkalte «outsourcing or agency relationships». I forklarende note til anbefaling 17 er følgende beskrivelse av avgrensningen gitt:
«(…)This can be contrasted with an outsourcing/agency scenario, in which the outsourced entity applies the CDD measures on behalf of the delegating financial institution, in accordance with its procedures, and is subject to the delegating financial institution’s control of the effective implementation of those procedures by the outsourced entity.»
Fjerde hvitvaskingsdirektiv artikkel 29 lyder slik:
«Dette avsnitt får ikke anvendelse på forbindelser basert på en avtale om utkontraktering eller en agenturavtale der yteren av den utkontrakterte tjenesten eller agenten i henhold til avtale skal betraktes som del av den ansvarlige enhet.»
I Danmark er utkontraktering regulert særskilt. Her stilles det som vilkår at oppdragstakeren har den nødvendige evne og kapasitet til å ivareta oppgaven på en tilfredsstillende måte, samt har de nødvendige tillatelser til å påta seg oppgaven. I tillegg må den rapporteringspliktige føre løpende kontroll med at leverandøren utfører oppgavene i samsvar med kravene, og på denne bakgrunn løpende vurdere forsvarligheten av utkontrakteringsavtalen. Utkontrakteringsadgangen er avgrenset mot utpeking av en hvitvaskingsansvarlig, og det er i tillegg bestemt at den utkontrakterende rapporteringspliktige uansett beholder ansvaret for etterlevelse av forpliktelsene i loven.
I Sverige er det gitt en bestemmelse som er tilnærmet identisk med fjerde hvitvaskingsdirektiv artikkel 29.
Departementet presiserer at både FATFs anbefalinger og fjerde hvitvaskingsdirektiv har som utgangspunktet at alt som skal utføres av en annen enn rapporteringspliktig selv, må følge reglene om tredjeparter. Etter departementets vurdering er det derfor nødvendig med klarere rammer for hva som skal anses som utkontraktering som ikke må følge reglene om tredjeparter. Departementet foreslår derfor at det gis en bestemmelse om at reglene om tredjeparter ikke kommer til anvendelses på utkontrakteringsforhold der oppdragstakeren anses å være en del av den rapporteringspliktige. Departementet foreslår at det uttrykkelig reguleres nærmere krav til utkontrakteringen, herunder krav om skriftlig avtale, løpende kontroll og evaluering, samt muligheten for å føre tilsyn. Departementet viser til lovforslaget § 23.
Departementet finner grunn til å presisere at det er forskjell på å utkontraktere virksomheten og å innhente eksempelvis informasjonstjenester fra en tilbyder. Dette kan dreie seg om såkalte «PEP-lister» e.l.
Lovforslaget gjennomfører fjerde hvitvaskingsdirektiv artikkel 29 og deler av FATF-anbefaling 17.
5.9 Løpende oppfølging
5.9.1 Gjeldende rett
Hvitvaskingslovutvalget beskriver gjeldende regler om løpende oppfølging i NOU 2016: 27 punkt 5.9.1 på følgende måte:
«Hvitvaskingsloven § 14 pålegger rapporteringspliktige å følge opp eksisterende kundeforhold. Den løpende oppfølgingen skal omfatte overvåking av transaksjonene kunden utfører for å sikre at disse er i samsvar med den rapporteringspliktiges kunnskap om kunden og dennes virksomhet. De rapporteringspliktige plikter også å oppdatere dokumentasjon og opplysninger om kunder, se § 14 annet punktum.
Bestemmelsen må leses på bakgrunn av § 5, som gjelder risikobasert kundekontroll og løpende oppfølging. Løpende oppfølging skal foretas på «grunnlag av en vurdering av risiko» for hvitvasking og terrorfinansiering.»
5.9.2 EØS-rett
Hvitvaskingslovutvalget beskriver i NOU 2016: 27 punkt 5.9.2 fjerde hvitvaskingsdirektivs regler om løpende oppfølging på følgende måte:
«Kravet om løpende oppfølging av kundeforhold er et «due diligence measure» i fjerde hvitvaskingsdirektiv, jf. artikkel 13 nr. 1 bokstav d om «ongoing monitoring». Dette skal inkludere undersøkelse av transaksjoner for å sikre at disse er i samsvar med den rapporteringspliktiges kunnskap om kunden og kundens forretnings- og risikoprofil. Dette inkluderer undersøkelse av kilden til midlene som inngår i kundeforholdet eller transaksjonen, og å sørge for at dokumenter, opplysninger og informasjon holdes oppdatert.
Dessuten vil løpende oppfølging omfatte å gjennomføre kundetiltak overfor eksisterende kunder. Artikkel 14 nr. 5 pålegger statene å sikre at rapporteringspliktige gjennomfører kundetiltak overfor eksisterende kunder. Dette skal skje «at appropriate times» på en «risk-sensitive basis», herunder når «relevant circumstances of a customer change». Med unntak av den sistnevnte situasjonen tilsvarer denne regelen tredje hvitvaskingsdirektiv artikkel 9 nr. 5.
Direktivet gir egne regler for både forenklede og forsterkede kundetiltak, herunder for den løpende oppfølgingen.
I artikkel 15 nr. 3 om forenklede kundetiltak fremgår det at rapporteringspliktige skal gjennomføre «sufficient monitoring» av transaksjoner og kundeforhold til å kunne oppdage uvanlige eller mistenkelige transaksjoner.
Artikkel 20 gjelder forsterkede kundetiltak overfor politisk eksponerte personer. I artikkel 20 bokstav b punkt iii er det eksplisitt krav om «enhanced, ongoing monitoring of those business relationships». Det er ikke presisert nærmere hva dette skal eller kan innebære. Siden overvåkingen av kundeforholdet skal være «enhanced», vil det i alle fall omfatte de tiltakene som omfattes av den alminnelige regelen om løpende oppfølging i artikkel 13 nr. 1 bokstav d.
En særskilt løpende oppfølging skal også gjennomføres i tilfeller som faller inn under artikkel 18 nr. 2, dvs. ved transaksjoner som er komplekse eller uvanlig store, uten å ha et tilsynelatende lovlig eller økonomisk formål. Rapporteringspliktige skal undersøke, så langt det er mulig, bakgrunnen for og formålet med disse transaksjonene, herunder «increase the degree and nature of monitoring of the business relationship».»
5.9.3 FATFs anbefalinger
Utvalget redegjør slik for kravene om løpende oppfølging i NOU 2016: 27 punkt 5.9.3:
«Anbefaling 10 fjerde ledd bokstav d gjelder løpende oppfølging. Oppfølgingen er å regne som en del av kundetiltakene. Den løpende oppfølgingen skal omfatte undersøkelse av transaksjoner som gjennomføres i tilknytning til kundeforholdet, slik at rapporteringspliktige kan forsikre seg om at transaksjonene er i samsvar med det den rapporteringspliktige vet om sin kunde, dennes forretninger og risikoprofil, herunder, om nødvendig, kilden til midlene.
«Interpretive note» til anbefaling 10 punkt 13 pålegger gjennomføring av kundetiltak også overfor eksisterende kunder. Denne typen oppfølging eller kontroll med kunden skal foretas på passende tidspunkter på bakgrunn av risiko og «materiality». Det skal tas hensyn til om og når det tidligere er gjennomført kundetiltak og om informasjonen fra disse er tilstrekkelig.
«Interpretive note» til anbefaling 10 punkt 10 presiserer anbefalingen når det gjelder løpende oppfølging. Denne bestemmer at de rapporteringspliktige ikke må gjennomføre kundetiltak ved hver eneste transaksjon kunden gjennomfører. Den rapporteringspliktige kan legge til grunn de tiltakene den har gjennomført tidligere, forutsatt at det ikke er i tvil om den informasjonen som er innhentet, er riktig. Eksempler på tilfeller der det kan være tvil, er der det er mistanke om hvitvasking eller terrorfinansiering, eller der det er en vesentlig endring i bruken av kundens konto som ikke er i samsvar med kundeprofilen.»
5.9.4 Utvalgets forslag
Utvalget foreslår en samlet bestemmelse om løpende oppfølging i lovutkastet § 19, som også omfatter regler om politisk eksponerte personer, forsikringsavtaler og følgen av at kundetiltak overfor eksisterende kunder ikke kan gjennomføres. Utvalget beskriver formålet med den løpende oppfølgingen slik i NOU 2016: 27 punkt 5.9.4.1:
«Alle rapporteringspliktige skal følge opp sine kundeforhold. Dette innebærer at rapporteringspliktige må følge med på kundens aktivitet. Formålet med oppfølgingen er særlig å oppdage avvikende atferd fra kunden. Avvik fra forventet atferd fra kunden kan vekke mistanke om hvitvasking eller terrorfinansiering, noe som utløser undersøkelsesplikt, jf. forslaget til § 20. Det er derfor av avgjørende betydning at den løpende oppfølgingen gjennomføres på en adekvat måte.
Hva som innebærer et avvik, må vurderes opp mot kunnskapen rapporteringspliktige allerede har om kunden. Informasjon om kunden vil som oftest stamme fra gjennomførte kundetiltak, herunder informasjon om kundens virksomhet og risikoprofil og kundeforholdets formål og tilsiktede art. Dette illustrerer betydningen av at rapporteringspliktige gjennomfører risikobaserte kundetiltak. Det gjør den rapporteringspliktige i stand til å tilpasse den løpende oppfølgingen til kundens risikoprofil. Dette kan være kostnadseffektivt for den rapporteringspliktige, som dermed ikke må bruke ressurser på å følge opp alle kunder like intensivt.»
Utvalget foreslår en særskilt plikt til å gjennomføre kundetiltak overfor eksisterende kunder, og viser til FATFs kritikk av norsk rett på dette punktet og fjerde hvitvaskingsdirektiv artikkel 14 nr. 5. Utvalget presiserer at lovutkastet § 19 annet ledd gjelder plikt til å gjennomføre kundetiltak overfor alle eksisterende kunder, uavhengig av når kundeforholdet ble inngått.
Spørsmålet om avvikling av eksisterende kundeforhold har utvalget behandlet særskilt i NOU 2016: 27 punkt 5.9.4.5. I FATF-rapporten ble det reist kritikk mot norsk rett på dette punktet, siden hvitvaskingsloven § 10 stiller krav om at det foreligger risiko for hvitvasking og terrorfinansiering for at eksisterende kundeforhold skal kunne avvikles. Utvalget vurderer det også slik at fjerde hvitvaskingsdirektiv ikke åpner for et slikt tilleggsvilkår til manglende gjennomføring av kundetiltak som begrunnelse for å avvikle kundeforhold. Om hva som kan begrunne plikt til å avslutte kundeforholdet, sier utvalget følgende:
«Det må kreves at det er forhold på kundens side som medfører at kundetiltakene ikke gjennomføres, f.eks. at kunden ikke kan presentere gyldig legitimasjon eller nekter å bidra med opplysninger som kan belyse et selskap sin eierskapsstruktur og reelle rettighetshavere. Forutsetningen er at den rapporteringspliktige bruker de nødvendige ressurser for å bekrefte reelle rettighetshaveres identitet og klarlegge formålet og den tilsiktede arten av kundeforholdet.»
Utvalget påpeker at nye krav om å avvikle eksisterende kundeforhold på bakgrunn av nye regler om kundetiltak kan innebære et element av tilbakevirkning som har en side til Grunnloven § 97. Etter gjennomgang av høyesterettspraksis og en vurdering av de interesser som skal vernes av Grunnloven § 97 på den ene siden, og de samfunnsmessige hensynene som tilsier regulering på den andre siden, konkluderer utvalget med at det ikke er nødvendig med særskilte overgangsregler.
5.9.5 Høringsinstansenes syn
Finans Norge bemerker at det er ønskelig med avklaring av forholdet mellom hvitvaskingsloven, finansavtaleloven og forsikringsavtaleloven. Finans Norge nevner særskilt at utredningen ikke avklarer om avvisningsplikten vil være saklig begrunnet hvis det foreligger mindre mangler ved kundetiltakene. Finansieringsselskapenes Forening, Verdipapirsentralen ASA og Økokrim gir uttrykk for det samme.
5.9.6 Departementets vurdering
Departementet foreslår en bestemmelse om løpende oppfølging avslutningsvis i kapittelet om kundetiltak og løpende oppfølging, se lovforslaget § 24. Departementet slutter seg til utvalgets vurderinger, herunder vurderingen av grunnlovmessigheten av å innføre krav om avslutning av konto uavhengig av når kontoen ble opprettet. På samme måte som ved avvisning av kunder som følge av at kundetiltak ikke kan gjennomføres, foreslår departementet at rapporteringspliktige skal vurdere om det er grunnlag for nærmere undersøkelser og rapportering når manglende gjennomføring av kundetiltak fører til at kundeforholdet skal avvikles. Departementet viser til lovforslaget § 24 fjerde ledd.
For departementets vurdering av forholdet mellom hvitvaskingsloven og kontraktslovene på finansmarkedsområdet, som en rekke høringsinstanser har tatt opp, vises det til punkt 5.7.6.