3 Nærmere om innholdet i rettsaktene
På samme måte som FATFs anbefalinger understreker direktivet at det skal foretas en risikobasert tilnærming på hvitvaskingsområdet. Medlemstatene pålegges en plikt til å identifisere, forstå og iverksette tiltak for å motvirke risikoer for hvitvasking og terrorfinansiering. Rapporteringspliktige etter direktivet, herunder både fysiske og juridiske personer, pålegges å identifisere, forstå og iverksette tiltak for å motvirke risikoer for hvitvasking og terrorfinansiering på sine respektive områder, samt å dokumentere og oppdatere sine risikovurderinger overfor kompetente myndigheter, f.eks. tilsynsmyndighet. Tilsynsmyndighetene pålegges en plikt og gis adgang til å bruke sine ressurser på de områder hvor tilsynsmyndighetene mener risikoen er størst for hvitvasking og terrorfinansiering.
Reglene om kundetiltak (tidligere «kundekontroll» – «customer due diligence») er i betydelig grad videreført som før, men utvidet på enkelte punkter.
Direktivet pålegger, som før, at rapporteringspliktige skal gjennomføre forsterkede kundetiltak, såkalt «Enhanced Customer Due Dilligence» (EDD), ved økt identifisert risiko for hvitvasking og terrorfinansiering.
Direktivet tillater imidlertid også at rapporteringspliktige iverksetter forenklede kundetiltak, såkalt «Simplified Customer Due Dilligence» (SDD), når risikoen for hvitvasking og terrorfinansiering anses redusert. Tidspunktet for, og formen på gjennomføringen av forenklede kundetiltak, kan etter direktivet baseres på risikovurderinger foretatt av de rapporteringspliktige. De uttrykkelige unntakene fra kravet til kundetiltak i EUs tredje hvitvaskingsdirektiv for enkelte typer kundeforhold og transaksjoner, er ikke videreført. Det innebærer at en form for kundekontroll må gjennomføres i alle tilfeller der direktivet krever det.
Direktivet inneholder regler om politisk eksponerte personer, såkalte PEPs, som er definert som personer med et høytstående offentlig verv eller stilling nasjonalt eller internasjonalt. PEPs skal alltid underlegges en skjerpet og nærmere angitt kundekontroll. To ting i direktivet er nytt på dette punktet: PEPs-definisjonen knytter seg ikke lenger bare til personer som har eller har hatt stilling eller verv som nevnt det siste året, men i stedet til alle personer som har hatt høytstående offentlig verv eller stilling. I tillegg utvides definisjonen til å omfatte nasjonale verv og stillinger og verv og stillinger i internasjonale organisasjoner, og altså ikke bare verv og stillinger i stater i utlandet.
Direktivet inneholder nye regler om informasjon om reelle rettighetshavere («beneficial owners»). Dette er den eller de fysiske personene som i siste instans eier eller kontrollerer kunden til den rapporteringspliktige, eller som en transaksjon gjennomføres på vegne av. Direktivet krever blant annet at juridiske personer skal ha informasjon om sine reelle rettighetshavere. Direktivet stiller også krav til tilgangen til informasjon om reelle rettighetshavere, herunder at informasjonen skal gjøres tilgjengelig i et sentralt register med tilgang for både myndigheter, rapporteringspliktige og andre med en legitim interesse.
Direktivet stiller krav om et sterkere samarbeid om informasjonsutveksling mellom medlemsstatenes enheter for finansiell etterretning, såkalte Financial Intelligence Units (FIUs), som mottar og analyserer mistenkelige transaksjoner fra rapporteringspliktige og andre myndigheter. Den norske FIU-en, Enheten for finansiell etterretning (EFE), er lagt til Økokrim.
For øvrig inneholder direktivet klarere henvisninger til EUs personvernregelverk enn tidligere direktiv.
Avslutningsvis skal medlemsstatene etter direktivet som hovedregel kunne iverksette administrative sanksjoner eller forvaltningstiltak for grove, gjentatte og systematiske brudd på hovedforpliktelsene i direktivet. De administrative sanksjonene og tiltakene skal omfatte overtredelsesgebyr, ledelseskarantene og lignende reaksjoner fra tilsynsmyndighetenes side.
Kommisjonsforordning (EU) 2016/1675 av 14. juli 2016 om identifisering av tredjestater med høy risiko og strategiske mangler er vedtatt av EU-kommisjonen med hjemmel i fjerde hvitvaskingsdirektiv artikkel 9. Gjennom forordningen stilles det strengere krav til kundetiltak overfor personer og foretak etablert i tredjestatene nevnt i forordningen, samt et forbud for rapporteringspliktige i EU/EØS-området mot å legge til grunn kundetiltak utført av tredjeparter etablert i de nevnte tredjestatene.