Veileder til hvitvaskingsloven

Rundskrivet gjelder for

• Banker
• Kredittforetak
• Finansieringsforetak
• E-pengeforetak
• Låneformidlere
• Foretak som driver valutavirksomhet
• Betalingsforetak og andre som har rett til å yte betalingstjenester
• Agenter for utenlandske betalingsforetak
• Vekslings- og oppbevaringstjenester av virtuell valuta
• Forsikringsforetak
• Forsikringsformidlere
• Verdipapirforetak
• Forvaltningsselskaper for verdipapirfond
• Forvaltere av alternative investeringsfond
• Verdipapirsentraler
• Eksterne kontoførere
• Regnskapsførere
• Revisorer
• Eiendomsmeglere

1 Innledning

Hvitvasking er all befatning med utbytte fra straffbare handlinger. Terrorfinansiering er finansiering av terrorhandlinger, terrororganisasjoner eller individuelle terrorister. Foretak under tilsyn skal forebygge og avdekke forhold med tilknytning til utbytte av straffbare handlinger eller med tilknytning til terrorfinansiering. Nærmere regler om dette følger av hvitvaskingsregelverket. Tiltakene i hvitvaskingsregelverket skal beskytte det finansielle og økonomiske systemet og samfunnet som helhet.

Dette rundskrivet erstatter Finanstilsynets rundskriv 8/2019. Det gir uttrykk for Finanstilsynets tolkning og forvaltningspraksis knyttet til hvitvaskingsregelverket. Rundskrivet gjelder for alle rapporteringspliktige under Finanstilsynets tilsyn.

1.1 Hvitvaskingsloven av 2018

I 2018 trådte den nye hvitvaskingsloven i kraft (lov 1. juni 2018 nr. 23 om tiltak mot hvitvasking og terrorfinansiering). Loven bygger på anbefalingene til Financial Action Task Force (FATF) og EUs fjerde hvitvaskingsdirektiv, og den ga enkelte endringer og presiseringer i forhold til tidligere lovverk. Eksempelvis ble gruppen rapporteringspliktige utvidet, politisk eksponerte personer (PEP) ble utvidet til også å omfatte nasjonale PEP-er, og foretakene kan ilegges overtredelsesgebyr ved manglende etterlevelse av loven. Det er gitt en forskrift til loven, forskrift 14. september 2018 nr. 1324 om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsforskriften). Loven og forskriften trådte i kraft 15. oktober 2018. Dette rundskrivet omfatter også veiledning til etterfølgende endringer av hvitvaskingsloven med forskrift, herunder endringer for å gjennomføre EUs endringsdirektiv, det såkalte femte hvitvaskingsdirektivet (direktiv 2018/843).

1.2 Nyere rapporteringspliktige

1.2.1 Agenter for utenlandske betalingsforetak

Det følger av hvitvaskingsforskriften § 1-2 første ledd at hvitvaskingsloven kapittel 4 om kundetiltak og løpende oppfølging, kapittel 5 om nærmere undersøkelser og rapportering, samt §§ 40 og 52, gjelder for agenter for betalingsforetak fra andre EØS-land (heretter omtalt som «agenter»). Selv om agentene og deres nettverk i Norge ikke er underlagt krav til egen risikovurdering og rutiner, må de likevel dokumentere at de har risikobaserte kundetiltak og løpende oppfølging, jf. hvitvaskingsloven § 9. Agenter kan gis pålegg og tvangsmulkt etter hvitvaskingsloven § 47, og de kan pålegges midlertidig stans av virksomhet i Norge.

Finanstilsynet kan pålegge utenlandske betalingsforetak med agenter i Norge å etablere et sentralt kontaktpunkt, jf. hvitvaskingsforskriften § 7-2. Det sentrale kontaktpunktet skal sikre at virksomheten etterlever norske hvitvaskingsregler, tilrettelegge for samarbeid med myndighetene, samt rapportere mistenkelige forhold til Økokrim. Det sentrale kontaktpunktet skal være lokalisert i Norge og ha gode kunnskaper om norsk språk og hvitvaskingsregelverk.

I enkelte tilfeller har en agent og det prinsipale utenlandske betalingsforetaket («prinsipalen») en avtalt oppgavedeling når det gjelder etterlevelse av hvitvaskingsloven kapittel 4 og 5. Hvitvaskingsforskriften § 1-2 er ikke til hinder for en oppgavedeling mellom prinsipal og agent, men oppgavefordelingen må beskrives tydelig i avtale mellom partene. Eksempelvis har enkelte aktører sentralisert løsninger der prinsipalen håndterer mange av pliktene i hvitvaskingsforskriften kapittel 4 og 5, mens agentene fungerer som en utvidet førstelinjerolle med begrenset autonomi. Hos andre aktører er det motsatte tilfellet, der agentene utfører flere av oppgavene og har større frihet til selv å foreta relevante vurderinger og avgjørelser knyttet til kapittel 4 og 5. 

Prinsipalen er forpliktet til å etterleve vertsstatens hvitvaskingsregelverk, samt ansvar for at deres agenter gjør det samme. Etter hvitvaskingsforskriften § 1-2 har agentene et selvstendig ansvar for at pliktene etter hvitvaskingsloven kapittel 4 og 5 er ivaretatt på en forsvarlig måte. En oppgavefordeling mellom partene der prinsipalen gjennomfører én eller flere oppgaver som er underlagt agenten etter norsk regelverk, fritar ikke agenten fra ansvar.

Agenten vil kunne ilegges pålegg og tvangsmulkt etter hvitvaskingsloven § 47 selv om mangelen skulle være knyttet til utførelse av en oppgave som håndteres av prinsipalen.

1.2.2 Vekslings- og oppbevaringstjenester for virtuell valuta

Virtuell valuta er ifølge hvitvaskingsforskriften § 1-3 definert som «… et digitalt uttrykk for verdi, som ikke er utstedt av en sentralbank eller offentlig myndighet, som ikke nødvendigvis er knyttet til en offisiell valuta, og som ikke har rettslig status som valuta eller penger, men som aksepteres som betalingsmiddel, og som kan overføres, lagres eller handles elektronisk.»

Pliktene etter hvitvaskingsloven gjelder tilbydere av vekslings- og/eller oppbevaringstjenester for virtuell valuta. Disse er rapporteringspliktige etter hvitvaskingsloven, jf. hvitvaskingsforskriften § 1-3, og bare virksomheter som er registrert hos Finanstilsynet, kan tilby slike tjenester.

Registreringsplikten omfatter blant annet tjenester som å

• handle eller veksle en type virtuell valuta til en offisiell valuta, for eksempel Bitcoin og norske kroner, eller omvendt
• veksle mellom ulike typer virtuelle valutaer, for eksempel mellom Bitcoin og Ethereum
• tilrettelegge for handel og vekslinger ved å koble kjøpere og selgere, for eksempel gjennom en plattform
• oppbevare private kryptografiske nøkler på vegne av andre, for å overføre, lagre eller handle virtuell valuta

Alle vekslinger mellom ulike virtuelle valutaer, samt mellom virtuell valuta og offisielle valutaer fra alle land, er omfattet. Dette gjelder uavhengig av betalingsform, altså om det kjøpes/selges virtuell valuta med kredittkort, kontanter, e-penger etc.

Tilbydere av vekslings- og/eller oppbevaringstjenester for virtuell valuta er etter hvitvaskingsforskriften § 1-3 rapporteringspliktige dersom de er: a) foretaksregistrert i Norge, eller b) opererer fra Norge eller c) retter seg mot det norske markedet.

Finanstilsynet anser blant annet tjenestetilbydere som aktivt retter seg mot det norske markedet, eksempelvis ved markedsføring/reklame, har nettsider på norsk eller aktivt tilbyr veksling i norske kroner, som rapporteringspliktige etter norsk regelverk. Tilsvarende vil en tjenestetilbyder som retter seg mot det norske markedet gjennom en form for agentvirksomhet, være rapporteringspliktig etter hvitvaskingsforskriften.

Lojalitetsprogrammer og lignende, som for eksempel bonuspoeng, omfattes som utgangspunkt ikke av definisjonen av virtuell valuta. Oppbevaringsløsninger som ikke lagrer private kryptografiske nøkler, ofte omtalt som «non-custodial wallets», omfattes heller ikke av regelverket.

Tjenestetilbyderne er omfattet av regelverket i kraft av tjenestene de tilbyr, uavhengig av hvordan tjenesten organiseres. Registreringsplikten omfatter derfor også tjenestetilbydere som for eksempel driver uten å være registrert i foretaksregisteret, driver virksomhet over privat konto, driver gjennom plattformer, eller utenlandske tilbydere som retter seg mot det norske markedet. Det er aktiviteten i seg selv som er grunnlaget for registreringsplikten.

Nærmere informasjon om registrering finnes på Finanstilsynets nettsted: https://www.finanstilsynet.no/konsesjon/virtuelle-valutatjenester/

Dersom informasjonen som følger registreringsanmodningen er ufullstendig, vil Finanstilsynet ikke registrere foretaket. Finanstilsynet kan avslå søknader som ikke oppfyller kravene i hvitvaskingsloven med forskrift. Dersom vilkårene for registrering ikke lenger er oppfylt, kan Finanstilsynet tilbakekalle registreringen, jf. hvitvaskingsforskriften § 1-3 syvende ledd.

Tjenestetilbyderne er underlagt hvitvaskingsloven i sin helhet. Hvitvaskingsloven § 10 første ledd bokstav b nr. 2, jf. hvitvaskingsforskriften § 4-1a bokstav b, angir også en lavere terskel for når det må gjennomføres kundetiltak for transaksjoner i virtuell valuta hvor det ikke etableres et kundeforhold, sammenlignet med den generelle regelen. Grensen for når det må gjennomføres kundetiltak for transaksjoner i virtuell valuta, er verdier tilsvarende 8 000 kroner eller mer.

1.2.3 Særlig om nyere betalingstjenester

Ved gjennomføringen av det andre betalingstjenestedirektivet (PSD 2) i norsk rett ble det introdusert to nye betalingstjenester: betalingsfullmakttjenester og kontoinformasjonstjenester. Opplysningsfullmektiger som kun har tillatelse til å yte kontoinformasjonstjenester, er i henhold til finansforetaksforskriften § 2-17 andre ledd unntatt hvitvaskingsloven, og de er dermed ikke rapporteringspliktige. Der hvor denne tjenesten ytes av rapporteringspliktige foretak (eksempelvis banker og betalingsforetak), er imidlertid kontoinformasjonstjenesten også omfattet av hvitvaskingsregelverket, herunder plikt til å gjennomføre kundetiltak og løpende oppfølging av kundeforhold mv.

2 Risikobasert tilnærming, risikovurdering og rutiner

2.1 Risikobasert tilnærming

Etter hvitvaskingsloven § 6 skal rapporteringspliktige etablere tiltak basert på en vurdering av risiko for hvitvasking og terrorfinansiering.

Det er ikke anledning til å fravike regelverket hvis risikoen er vurdert som liten, men ressursinnsatsen kan tilpasses risikoen.

2.2 Risikovurdering

2.2.1 Innledning

Alle rapporteringspliktige må ha en risikovurdering, jf. hvitvaskingsloven § 7. Formålet med risikovurderingen er å kartlegge og beskrive foretakets risiko for hvitvasking og terrorfinansiering. Dette danner grunnlag for rutinene som foretaket må etablere og videreutvikle for å kunne gjennomføre risikobaserte tiltak som er nødvendige for å forebygge hvitvasking og terrorfinansiering. En virksomhetsinnrettet risikovurdering er videre et viktig utgangspunkt for blant annet

• risikoklassifisering av kunder
• gjennomføring av risikobaserte kundetiltak
• gjennomføring av risikobasert løpende oppfølging av kunder og transaksjoner
• identifisering av indikasjoner på hvitvasking eller terrorfinansiering, som utløser undersøkelsesplikt
• å bidra til at vesentlige og relevante forretningsbeslutninger fattes med kunnskap om hvilke følger de har for risikoen forbundet med hvitvasking og terrorfinansiering
• å bidra til at foretakets ressurser blir allokert til de områdene hvor risikoen for hvitvasking og terrorfinansiering er høyest
• identifisering av foretakets sårbarheter, herunder gap i foretakets etterlevelse

Risikovurderingen skal også gi bedre forutsetninger for å inkludere vurderinger av risiko for hvitvasking og terrorfinansiering i grunnlaget for beslutninger om inntreden i nye markeder, utvikling av nye produkter, oppkjøp mv.

Rapporteringspliktige som gjennomfører transaksjoner etter hvitvaskingsloven § 10 første ledd bokstav b, uten å opprette kundeforhold etter samme bestemmelse i bokstav a, må foreta en særskilt risikovurdering av dette.

Risikovurderingen bør ta utgangspunkt i en vurdering av iboende risiko og en vurdering av kvaliteten på foretakets kontroller for å avdekke hvitvasking.

Risikovurderingen må oppdateres jevnlig for å kunne være et praktisk verktøy for rapporteringspliktige. En fornyet vurdering bør gjøres minimum årlig, eller hyppigere når det er behov for dette. Foretakene bør ta aktiv stilling til om eksisterende vurderinger fremdeles bør gjelde. Relevante momenter vil være ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering som tas i bruk av kriminelle, oppdaterte erfaringer fra den rapporteringspliktige selv eller fra eksterne kilder. Når myndigheter og bransjeorganisasjoner publiserer nye risikovurderinger, må rapporteringspliktige vurdere behovet for å revidere sin virksomhetsinnrettede risikovurdering.

2.2.2 Metode, omfang og innretning

Kravet til risikovurderingens omfang vil variere ut fra den rapporteringspliktiges størrelse, risikoeksponering og kompleksitet, jf. hvitvaskingsloven § 7 fjerde ledd. For mindre foretak med et enkelt og oversiktlig produkt- og kundesegment vil kravene til risikovurderingen være proporsjonale med dette ved at flere risikoindikatorer kan behandles mer summarisk. Større foretak, og foretak med produkter, kunder og eksponering mot ulike geografiske områder, forventes å ha mer omfattende risikovurderinger enn mindre foretak. Kravet til virksomhetsinnrettede risikovurderinger innebærer at det i større foretak vanligvis vil måtte utarbeides risikovurderinger for flere forretningsområder. Disse vil igjen kunne variere i omfang og kompleksitet, avhengig av forretningsområdet. For konsern forventes det at de forskjellige konsernselskapene har egne risikovurderinger, samt at konsernspissen har en overordnet risikovurdering, basert på risikovurderingene i hele konsernet. 

Hvitvaskingsloven stiller ikke krav til hvordan risikovurderingen utarbeides. Risikovurderingen bør inneholde en vurdering av iboende risiko (eksponering mot hvitvaskingsrisiko og terrorfinansieringsrisiko), foretakets tiltak og eventuelle svakheter ved disse (sårbarhet) og restrisiko.

Uavhengig av metodikk forventer Finanstilsynet at de rapporteringspliktige baserer seg på både kvalitativ og kvantitativ informasjon for at risikovurderingen skal være tilstrekkelig virksomhetsinnrettet, jf. hvitvaskingsloven § 7.

Foretak kan benytte bransjemaler for risikovurderinger, men må påse at det er foretakets egne vurderinger av den konkrete risikoen som virksomheten er eksponert for, som ligger til grunn for risikovurderingen.

Risikovurderingen må dokumenteres, jf. hvitvaskingsloven § 7 femte ledd. Dokumentet bør inneholde en versjonslogg.

2.2.3 Nærmere om innholdet

Etter hvitvaskingsloven § 7 andre ledd må alle rapporteringspliktige som et minimum ha en risikovurdering som identifiserer og vurderer virksomhetens risiko for hvitvasking og terrorfinansiering med utgangspunkt i følgende:

1. foretakets egen virksomhet, herunder særlig virksomhetens art og omfang
2. virksomhetens produkter, tjenester og kundeforhold
3. type kunder og kundegrupper
4. geografiske forhold

Terrorfinansieringsrisikoen skal alltid vurderes, også der det antas at konklusjonen er at risikoen er lav.

Gjennomføringen av risikovurderinger består av minimum fire komponenter:

a. Foretakets egen virksomhet, herunder særlig virksomhetens art og omfang

Rapporteringspliktige må kjenne sin egen virksomhet. Risikoen for hvitvasking og terrorfinansiering vil variere avhengig av blant annet

• typen rapporteringspliktig
• hvilke produkter, tjenester og transaksjoner som tilbys
• i hvilket omfang og hvilke typer kunder som foretaket har
• hvordan foretaket tilbyr sine tjenester og i hvilket geografisk område

Rapporteringspliktige må identifisere og vurdere hva som er risikodriverne for deres virksomhet. De må også identifisere og vurdere egne sårbarheter, ettersom risikoen vil være høyere for foretak som for eksempel mangler relevant kompetanse, kapasitet eller teknologiske ressurser. Et foretak kan ikke uten videre legge til grunn myndighetenes risikovurdering av rapporteringspliktig sektor ved utarbeidelse av egen risikovurdering. Et foretak kan ha avvikende risiko fordi de har en forretningsmodell, et kundesegment, et produktspekter og tjenester, eller andre egenskaper som øker risikoen for at foretaket utnyttes til hvitvasking eller terrorfinansiering.

b. Virksomhetens produkter, tjenester og kundeforhold

Rapporteringspliktige må også vurdere sine distribusjonskanaler, eksempelvis der den rapporteringspliktige lar foretak som for øvrig ikke har befatning med hvitvaskingsregelverket, distribuere produktene sine og gjennomføre innledende kundetiltak. Et annet eksempel er der foretakene benytter nettbaserte løsninger for kundeopprettelse og kundekontakt. Foretakene må vurdere hvilken risiko den aktuelle løsningen utgjør for foretaket, og særlig der distribusjonskanalen kan lede til mindre grad av kundekjennskap.   

c. Type kunder og kundegrupper

Den rapporteringspliktige må kjenne hvem den forholder seg til og handler med. Dette omfatter kunder, reelle rettighetshavere og de som handler på vegne av kunden, eller som kan disponere kundens konto. Relevante risikoindikatorer vil blant annet være antall kunder, lengden på kundeforholdene, herunder kunde-turnover, kundeforholdenes formål og tilsiktede art, kundenes faktiske bruk av foretakets produkter og tjenester, kundens yrke/profesjon og/eller typen næringsvirksomhet som kunden utøver, og kundens eierskaps- og kontrollstruktur.

d. Geografiske forhold

Den rapporteringspliktige må kjenne hvilken geografisk risiko foretaket er eksponert for. Dette kan eksempelvis påvirkes av hvor den rapporteringspliktige tilbyr og driver sin virksomhet, men også hvor produktene og tjenestene tilbys, og hvor kundene er etablert og driver virksomhet. Geografisk risiko må vurderes både nasjonalt, innen EØS og for land utenfor EØS. Selv om det i Norge ikke er stor variasjon i kriminalitetstruslene forskjellige steder i landet, bør en for eksempel stille spørsmål ved kunder som henvender seg til rapporteringspliktige som i utgangspunktet driver i et geografisk avgrenset område, og der kunden ikke har noen tilknytning til dette.

Den rapporteringspliktige må ha kunnskap om land som er forbundet med høyere risiko, både land som er listeført av EU, jf. hvitvaskingsforskriften § 4-10, men også ikke-listeførte land som utgjør høyere risiko, jf. hvitvaskingsforskriften § 4-9 bokstav c. Dette er eksempelvis land listeført av FATF (Financial Action Task Force) og/eller land som er identifisert med betydelig omfang av korrupsjon eller annen kriminalitet, eller som er gjenstand for internasjonale sanksjoner. Geografisk risiko kan ha sitt grunnlag både i hvor kunden har sitt statsborgerskap, oppholdssted eller foretaksregistrering, men også indirekte faktorer som kundens opprinnelse, eierskap eller hvor kundens midler har sitt opphav eller anvendes. Det at en rapporteringspliktig for eksempel ikke har utenlandske kunder, innebærer ikke nødvendigvis en lav geografisk risikoeksponering dersom noen, eller mange av kundene har eiere, andre reelle rettighetshavere, formue, forretningsforbindelser eller andre tilknytninger til utland med høyere risiko.

2.2.4 Forventninger til kildebruk

Finanstilsynet forventer at de rapporteringspliktige baserer seg på interne og eksterne kilder, og både kvalitativ og kvantitativ informasjon for å identifisere og vurdere iboende risiko og restrisiko.

En sentral informasjonskilde i risikovurderingen vil være kunnskap om og erfaring fra egen virksomhet. Eksempler på relevant informasjon er

• omfanget av bruken av ulike produkter og tjenester
• hvilke distribusjonskanaler som benyttes for å nå kundene
• informasjon om kundene
• antall kunder, lengden på kundeforholdene, kundeforholdenes formål og tilsiktede art
• kundenes yrke/profesjon og/eller bransjetilknytning
• kundenes eierskaps- og kontrollstruktur (reelle rettighetshavere og disponenter)
• geografisk tilknytning og omfanget av utenlandstransaksjoner
• alarmer i transaksjonsovervåkingen, andre indikatorer på mistanke samt undersøkelser og rapportering til Økokrim
• avdekkede sårbarheter i bankens systemer og rutiner

Av eksterne kilder forventer Finanstilsynet at alle rapporteringspliktige som et minimum benytter gjeldende «Nasjonal risikovurdering om hvitvasking og terrorfinansiering» fra Politidirektoratet og Politiets sikkerhetstjeneste (PST) samt Finanstilsynets risikovurdering. Det forventes at den rapporteringspliktige er kjent med egne bransjeorganisasjoners vurderinger av risiko, om slike finnes. Det forventes videre at trussel- og risikovurderinger som er relevante for bestemte typer produkter/tjenester, eksempelvis rapporter fra Økokrim, Kripos, PST og Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES) benyttes i utarbeidelse og oppdatering av risikovurderingen. 

Finanstilsynet forventer at finansforetak og andre store og mellomstore foretak som del av risikovurderingen konsulterer autoritative internasjonale kilder, som for eksempel EU-kommisjonens overnasjonale risikovurdering, den europeiske banktilsynsmyndighetens (EBA) veiledning om risikofaktorer, og relevante FATF-typologier og -rapporter. Avhengig av foretakets geografiske risiko forventes det også at risikovurderingen bygger på relevante internasjonale kilder om hvitvaskings- og terrorfinansieringsrisikoene forbundet med enkeltland, basert på kilder som for eksempel FATF-evalueringer, herunder evalueringsrapporter fra FATFs regionale organisasjoner, relevante nyhetsartikler fra troverdige medier, informasjon fra troverdige indikatorer og lister som Basel AML Index og Verdensbankens Governance Indicators. Finanstilsynet understreker at det også kan være øvrige relevante kilder, og at den rapporteringspliktige bør holde seg oppdatert på slike.

2.2.5 Risikovurderingens forankring

I henhold til hvitvaskingsloven § 8 skal de risikobaserte rutinene fastsettes på øverste nivå hos den rapporteringspliktige. Risikovurderingen er grunnlaget for rutinene og må derfor behandles på samme nivå. Det betyr ikke nødvendigvis at øverste nivå må godkjenne eller vedta risikovurderingen(e) i sin helhet, men at det som et minimum må behandle et overordnet dokument som oppsummerer arbeidet og hovedpunktene i risikovurderingene, slik at dette er kjent med, og har gitt tilslutning til, grunnlaget for de risikobaserte rutinene.

For underliggende risikovurderinger, eksempelvis av bestemte forretningsområder, forventes det at risikovurderingene er godkjent på ledelsesnivået i foretaket som har ansvaret for forretningsområdet.

2.2.6 Særlig om nye produkter, tjenester og ny teknologi

Det foreligger etter hvitvaskingsloven § 7 tredje ledd en eksplisitt plikt for rapporteringspliktige til særskilt å vurdere risikoen for hvitvasking og terrorfinansiering

1. før nye produkter og tjenester tilbys, og
2. før ny teknologi tas i bruk

Dette innebærer at de rapporteringspliktige må vurdere hvordan nye produkter og tjenester kan påvirke risikoen for hvitvasking og terrorfinansiering. Risikoen ved slike er potensielt høyere enn for eksisterende produkter fordi den rapporteringspliktige har manglende erfaring med produktets eller tjenestens sårbarheter. Det er viktig å iverksette risikoreduserende tiltak før produktet eller tjenesten tilbys.

Videre må det gjennomføres risikovurderinger før ny teknologi tas i bruk. Dette gjelder der det gjennomføres endringer i for eksempel dataprogrammer som omfatter helhetlig betjening av kunder, og ikke minst der det tas i bruk nye teknologiske verktøy spesifikt for å løse oppgaver under hvitvaskingsregelverket, herunder risikoklassifiseringsmodell, transaksjonsovervåking mv.

2.3 Rutiner

2.3.1 Krav til foretakets hvitvaskingsrutiner

Rapporteringspliktige virksomheter plikter å ha oppdaterte rutiner for å sikre at virksomheten håndterer identifisert risiko og oppfyller plikter etter bestemmelser gitt i, eller i medhold av, hvitvaskingsloven, jf. hvitvaskingsloven § 8. Hvitvaskingsrutinene skal beskrive hvordan foretaket skal praktisere etterlevelsen av regelverket hos den rapporteringspliktige. Rutinene skal være skriftlige. I konsernforhold skal rutiner fastsettes på konsernnivå,
jf. hvitvaskingsloven § 8 sjette ledd.

Det må være en tydelig sammenheng mellom den rapporteringspliktiges risikovurdering og rutinene. Dette innebærer at rutinene blant annet skal beskrive arbeidsprosesser som har som formål å redusere risiko som er identifisert i foretakets risikovurdering.

Foretakene kan anvende standardiserte rutineverk fra for eksempel bransjeorganisasjoner, men disse må tilpasses den konkrete virksomheten for å sikre at rutinene er risikobaserte for den enkelte virksomhet, og tilpasset dennes produkter, kunder mv.

Rutinene skal holdes oppdaterte. Behovet for oppdatering avhenger av virksomhetens type og omfang. Det vil generelt være nødvendig å revidere rutinene når risikovurderingen er revidert, og ellers ved nye regulatoriske krav, ved utvikling av nye produkter, eller ved andre endringer i risikobildet eller i virksomheten. I alle tilfeller forventes det at det gjøres en vurdering av om det er behov for justeringer i rutineverket minimum årlig.

2.3.2 Rutinenes innhold

Rutinene skal redegjøre for hvordan foretaket og dets ansatte skal gjennomføre tiltakene som er nødvendige for å oppfylle hvitvaskingsregelverket og motvirke de identifiserte risikoene i virksomheten. Dette betyr at foretaket minimum må ha rutiner for hvordan vurdere og håndtere

• risikovurdering, herunder av nye produkter, tjenester og ny teknologi
• forenklede, alminnelige og forsterkede kundetiltak, herunder eventuelle korrespondentforbindelser og håndtering av politisk eksponerte personer
• risikoklassifisering av kunder
• løpende oppfølging, herunder av transaksjoner
• avvikling og avvisning av kundeforhold og transaksjoner
• når og hvordan det skal gjennomføres undersøkelser av mistenkelige forhold, herunder gjennomføring av mistenkelige transaksjoner
• rapportering til Økokrim
• bruk og håndtering av eventuelle støtteverktøy, herunder risikoscoringsmodeller, PEP-lister
• bruk og håndtering av elektronisk overvåkingssystem, herunder sanksjonsscreening, etter hvitvaskingsloven § 38, jf. hvitvaskingsforskriften § 7-3
• håndtering og oppfølging av utkontrakterte oppgaver etter hvitvaskingsloven § 23 og tilfeller der foretaket bygger på kundetiltak etter hvitvaskingsloven § 22
• informasjonsdeling, herunder delingsadgang og avsløringsforbud
• behandling og lagring av opplysninger
• opplæring
• internkontroll
• egnethetsvurderinger av hvitvaskingsansvarlig og etterlevelsesansvarlig etter hvitvaskingsloven § 35
• behandling av personopplysninger

For en rekke rapporteringspliktige vil det i tillegg være nødvendig med rutiner for hvordan vurdere og håndtere andre risikoer og ytterligere lovkrav enn de som er presisert over, eksempelvis for rapporteringspliktige som har korrespondentforbindelser.

2.3.3 Overordnede rutiner vs. operative rutiner

For mange rapporteringspliktige vil det være tilstrekkelig å ha ett rutineverk som beskriver både de overordnede føringene og de mer detaljerte handlingene som skal gjennomføres. Dette rutineverket skal fastsettes av styret i foretaket. Hvis foretaket ikke har et styre, skal rutineverket fastsettes av den øverste ledelsen i virksomheten.

En del rapporteringspliktige vil på grunn av virksomhetens størrelse og kompleksitet måtte utarbeide flere dokumenter for å etterleve kravet om hvitvaskingsrutiner. Dersom den rapporteringspliktige har flere dokumenter som angir hvitvaskingsrutinene, vil overordnede rutiner måtte fastsettes på øverste nivå, det vil si av styret eller tilsvarende nivå i foretak som ikke har styre. I slike tilfeller forventes det at de overordnede rutinene angir hovedføringene for etterlevelsen av hvitvaskingsregelverket. Dokumentet må være egnet som utgangspunkt for å utarbeide operative rutiner (instrukser/retningslinjer) for virksomheten. Operative rutiner som angir i mer detalj hvordan etterlevelsen av regelverket skal gjennomføres, må ha en klar forankring i den overordnede rutinen. Operative rutiner kan fastsettes på øverste nivå i enheten de gjelder for, eksempelvis ved at de fastsettes av en avdelingsledelse når rutinene er avgrenset til å gjelde en bestemt avdeling.

2.4 Risikoklassifisering

For å gjennomføre de korrekte kundetiltakene på den enkelte kunde må alle kunder risikoklassifiseres. For rapporteringspliktige som skal gjennomføre kundetiltak på kundens medkontrahent, herunder eiendomsmeglere, jf. hvitvaskingsloven § 15 tredje ledd, skal også disse risikoklassifiseres.

Risikoklassifiseringen må bygge på virksomhetens risikovurdering og konkrete forhold tilknyttet den enkelte kunde.

Risikoen skal vurderes ut fra blant annet det kunden har oppgitt om kundeforholdets formål og tilsiktede art, mengden kundemidler som skal inngå i kundeforholdet, kundens samlede produkter og tjenester, transaksjoners størrelse og regelmessighet, og varigheten på kundeforholdet. Rapporteringspliktige må vurdere om klassifiseringen av kundene også skal bygge på andre risikofaktorer. Risikoklassifiseringen må ta hensyn til blant annet enkeltstående høyrisikofaktorer, som på selvstendig grunnlag kan resultere i at en kunde klassifiseres som høyrisiko. Risikoklassifiseringen må også ta hensyn til kombinasjonsrisiko, der flere faktorer i fellesskap kan tilsi at en kunde klassifiseres som høyrisiko.

Rapporteringspliktige må påse at kundenes risikoprofiler er oppdaterte, og at endringer av betydning fanges opp, slik at kundene endrer risikokategori ved for eksempel nye risikofaktorer ved kunden, eller ny kunnskap om risikoer for hvitvasking og terrorfinansiering av betydning for kundeforholdet.

Det er anledning til å anvende standardiserte og automatiserte modeller og risikoprofiler for kundemassen. Disse må reflektere virksomhetens risikoer som er identifisert gjennom den virksomhetsinnrettede risikovurderingen. Ved endringer i den virksomhetsinnrettede risikovurderingen må klassifiseringsmodellen gjennomgås for å sikre at den er oppdatert.

Automatiserte risikoklassifiseringsmodeller kan benyttes alene eller i kombinasjon med manuelle vurderinger. Begrensninger i automatiserte risikoklassifiseringsmodeller må være identifisert og dokumentert slik at virksomheten sikrer at risikofaktorer som ikke dekkes, blir ivaretatt gjennom andre tiltak.

De manuelle prosessene for risikoklassifisering av kunder som gjøres alene eller i kombinasjon med automatiske prosesser, må bygge på tilstrekkelig detaljerte rutiner som angir hvilke momenter eller kombinasjoner av momenter som avgjør kundens risikoklasse. Rutinene bør også klart identifisere hvilke typer vurderinger som sendes videre for beslutning hos overordnede.

Uavhengig av hvilke metoder eller prosesser som virksomheten benytter for risikoklassifisering, må virksomheten dokumentere hvorfor en kunde er plassert i en bestemt risikoklasse.

3 Organisering

3.1 Internkontroll

Alle rapporteringspliktige foretak plikter å gjennomføre internkontroll for å påse at lovens krav overholdes, jf. hvitvaskingsloven § 35 første ledd. Dette innebærer at virksomheten må ha kontrollrutiner som er egnet til å avdekke manglende etterlevelse av hvitvaskingsregelverket. Hyppigheten, omfanget og følgene av internkontrollen vil bero på en vurdering av foretakets art og omfang.

Internkontrollen skal gjøre rapporteringspliktige i stand til å avdekke svakheter og identifisere forbedringspotensial ved eget arbeid med tiltak mot hvitvasking og terrorfinansiering. Formålet med å identifisere eventuelle svakheter er at rapporteringspliktige iverksetter nødvendige tiltak for å forhindre at manglende etterlevelse fortsetter, samt gjør endringer i virksomhetens rutiner for å overholde hvitvaskingsloven. Internkontroll er en forutsetning for at rutinene effektivt skal kunne oppdateres av den øverste ledelsen.

Der det for eksempel avdekkes mange, alvorlige eller gjentakende mangler i etterlevelsen, må virksomheten iverksette tiltak både for å avdekke det totale omfanget av manglene og for å forhindre at tilsvarende mangler vedvarer.

3.2 Hvitvaskingsansvarlig

3.2.1 Hvitvaskingsansvarliges ansvar og organisering

Foretakets øverste ansvarlige for etterlevelse av hvitvaskingsregelverket er foretakets øverste ledelse, det vil si styret eller tilsvarende nivå i foretak som ikke har styre.

Det skal utpekes en person i ledelsen som skal ha et særskilt ansvar for å følge opp rutinene, jf. hvitvaskingsloven § 8 femte ledd. Denne rollen er alminnelig omtalt som «hvitvaskingsansvarlig». Hvitvaskingsansvarlig har et særskilt ansvar for at rutinene gjennomføres og etterleves i virksomheten. Hvitvaskingsansvarlig har i tillegg ansvaret for at opplysninger om mistenkelige forhold, blir rapportert til Økokrim.

Virksomhetene har fleksibilitet i hvordan de konkrete pliktene i hvitvaskingsloven skal gjennomføres. Minimumskravet er at hvitvaskingsansvarlig er en leder med tilstrekkelig kunnskap om hvitvaskingsregelverket, samt virksomhetens eksponering mot risiko for hvitvasking og terrorfinansiering. Hvitvaskingsansvarlig må også ha tilstrekkelig erfaring, kompetanse og gjennomføringskraft til å fatte avgjørelser tilknyttet virksomhetens tiltak mot risiko for hvitvasking og terrorfinansiering. Den hvitvaskingsansvarlige skal ha rapporteringslinje direkte til styret og den øverste ledelsen, slik at hvitvaskingsansvarlig kan rapportere direkte i de tilfellene det er nødvendig.

For mindre foretak legger Finanstilsynet til grunn at hvitvaskingsansvarlig må sitte i den øverste ledelsen for at kravene skal kunne oppfylles. Hva som anses som mindre foretak, må ses i sammenheng med andre rapporteringspliktige av samme type. Dersom hvitvaskingsansvarlig ikke er plassert i den øverste ledelsen, må foretaket ha en dokumentert, risikobasert begrunnelse for dette.

Hvitvaskingsansvarlig kan aldri være samme person som etterlevelsesansvarlig, jf. hvitvaskingsloven § 35 andre ledd.

For foretak med krav til uavhengig kontroll (andrelinjeforsvar/compliance) etter annet regelverk, inngår etterlevelsesansvarlig i andrelinjeforsvaret. Små foretak med krav til andrelinjeforsvar/compliance etter annet regelverk, og begrensede ressurser, kan ønske å samle kompetansen i andrelinjen og derfor plassere hvitvaskingsansvarlig her. I slike unntakstilfeller må foretaket ha en dokumentert, risikobasert begrunnelse for dette, med vurderinger av risikoene som kan oppstå ved at andrelinjen følgelig vil kontrollere eget arbeid. 

Hvitvaskingsansvarliges arbeidsoppgaver kan delegeres til andre i foretaket, der dette er hensiktsmessig. Virksomheter som delegerer oppgavene, skal ha tilstrekkelige instrukser og rutiner til å håndtere dette. En eventuell delegering skal omfatte en eller flere navngitte personer eller navngitte stillinger. Det skal ikke kunne oppstå tvil om hvilken person eller stilling en oppgave er delegert til. Oppgaver kan ikke delegeres til personer eller stillinger som har etterlevelses- eller internrevisjonsansvar etter hvitvaskingsloven § 35 andre ledd.

3.2.2 Konsernforhold og filialer

Hvert rapporteringspliktige foretak i et konsern er pliktig til å ha en hvitvaskingsansvarlig. Det er imidlertid som utgangspunkt anledning for et datterforetak å utkontraktere oppgaven som hvitvaskingsansvarlig til morforetaket, slik at det i prinsippet kun er én fungerende hvitvaskingsansvarlig innad i et konsern, med mindre annet regelverk er til hinder for dette. Ved en utkontraktering forutsettes det at hvitvaskingsansvarlig har tilstrekkelig erfaring, kompetanse og gjennomføringskraft på konsernnivå. Det er i alle tilfeller ikke anledning til å utkontraktere rollen som hvitvaskingsansvarlig mellom datterforetak.

Norske foretak med morselskap etablert i et annet EØS-land har et selvstendig ansvar for at norsk hvitvaskingsregelverk følges. Dersom hvitvaskingsansvarlig kun opprettes på konsernnivå, skal det være en eller flere personer med delegerte oppgaver i den norsketablerte delen av virksomheten. Dersom den utenlandske konsernspissen ikke har hvitvaskingsansvarlig med tilsvarende oppgaver som etter norsk lovgivning, skal den norsketablerte delen av virksomheten utpeke en hvitvaskingsansvarlig.

For filialer av utenlandske foretak etablert i et annet EØS-land underlagt hvitvaskingsregelverket er det ikke påkrevd at det er en egen hvitvaskingsansvarlig i den norsketablerte delen av virksomheten. Filialer av utenlandske foretak har imidlertid også et selvstendig ansvar for at den norsketablerte delen av virksomheten følger norsk hvitvaskingsregelverk, og det bør utpekes en eller flere personer med delegerte oppgaver i den norske delen av virksomheten. Dersom det ikke finnes hvitvaskingsansvarlig i foretaket, må det opprettes en hvitvaskingsansvarlig i filialen. Dersom det bare finnes hvitvaskingsansvarlig ved hovedkontoret, vil hjemstatsmyndighetens regler og vurderinger om egnethet gjelde. Dersom det er opprettet en egen hvitvaskingsansvarlig i den norske filialen, utover en person med delegerte oppgaver, må personen egnethetsvurderes etter norsk regelverk.

3.2.3 Utkontraktering av hvitvaskingsansvarlig

Rollen som hvitvaskingsansvarlig kan ikke utkontrakteres utover fra datterforetak til morforetak i konsern, jf. omtalen over.

3.2.4 Hvitvaskingsansvarliges skikkethet

Hvitvaskingsansvarliges skikkethet skal vurderes av den rapporteringspliktige, jf. hvitvaskingsloven § 35 andre ledd bokstav b. For foretak som er omfattet av reglene om egnethetsvurderinger, se Finanstilsynets rundskriv 1/2020, vil hvitvaskingsansvarlig anses som en av foretakets nøkkelfunksjoner. I disse tilfellene må hvitvaskingsansvarlig egnethetsvurderes i tråd med kravene som gjelder for foretakstypen. Endringer i nøkkelpersoner skal rapporteres til Finanstilsynet.

For foretak som ikke er underlagt krav om egnethet av personer i nøkkelfunksjoner, skal minimum hvitvaskingsansvarliges kompetanse, erfaring og personlig skikkethet vurderes.

3.3 Etterlevelsesansvarlig

Hvitvaskingsloven § 35 andre ledd forplikter rapporteringspliktige til å utnevne en etterlevelsesansvarlig dersom virksomhetens art og omfang tilsier det.

Foretaket må konkret vurdere om virksomhetens art og omfang tilsier at det utpekes en etterlevelsesansvarlig. Eksempelvis vil virksomhetstype med en høy iboende risiko for hvitvasking og/eller terrorfinansiering, et komplekst produkt- eller tjenestetilbud og/eller at det er en virksomhet av en viss størrelse, være relevante momenter for om den rapporteringspliktige må utpeke en etterlevelsesansvarlig. 

Finanstilsynet påpeker at alle rapporteringspliktige skal foreta interne kontroller for å sørge for at hvitvaskingsregelverket overholdes.

Foretak som etter § 35 må utpeke en etterlevelsesansvarlig, må opprette en kontrollfunksjon med tilstrekkelig grad av uavhengighet til arbeidet som utføres i virksomheten for øvrig.

Etterlevelsesansvarlig skal sikre at det gjennomføres uavhengige kontroller og vurderinger for å påse at foretaket overholder hvitvaskingsregelverket, og at tiltakene som iverksettes for å avhjelpe eventuelle mangler, er effektive. Foretaket plikter å påse at den etterlevelsesansvarlige har tilstrekkelige ressurser til å gjennomføre oppgavene på en betryggende måte. Etterlevelsesansvarlig bør rapportere til den øverste ledelsen.

Etterlevelsesansvarlig skal ha tilstrekkelig kunnskap om virksomhetens eksponering mot risiko for hvitvasking og terrorfinansiering, samt ha tilstrekkelig erfaring og kompetanse til å ivareta oppgaven. Der det er påkrevd etter § 35 andre ledd bokstav b, skal den rapporteringspliktige foreta skikkethetsvurdering av etterlevelsesansvarlig. For foretak som er omfattet av reglene om egnethetsvurderinger, jf. Finanstilsynets rundskriv 1/2020, vil etterlevelsesansvarlig anses å ha en av foretakets nøkkelfunksjoner. I disse tilfellene må etterlevelsesansvarlig egnethetsvurderes i tråd med kravene som er fastsatt for foretakstypen.

Rollen som etterlevelsesansvarlig kan utkontrakteres til eksterne aktører.

3.4 Internrevisjon

Virksomhetens art og omfang kan tilsi at det må opprettes en uavhengig kontroll med at foretakets rutiner overholdes, jf. hvitvaskingsloven § 35 andre ledd bokstav c.

Dersom foretaket er pålagt internrevisjon gjennom annen lovgivning, eller av annen grunn har opprettet en internrevisjon, skal foretaket sikre at denne også fører uavhengig kontroll etter hvitvaskingsregelverket. Dette betyr at instruksen til internrevisjonen skal inneholde bestemmelser om internrevisjonens sikring av foretakets overholdelse av rutiner, retningslinjer og kontrollmekanismer på hvitvaskings- og terrorfinansieringsområdet.

For banker underlagt krav til internrevisjon, skal styret fastsette en plan for internrevisjonen hvert år, jf. CRR/CRD IV-forskriften § 40 første ledd. Finanstilsynet forventer at revisjoner tilknyttet hvitvaskingsområdet, er omfattet av planverket.

Rollen som internrevisor kan utkontrakteres til eksterne aktører.

4 Kundetiltak

4.1 Plikt til å gjennomføre kundetiltak

4.1.1 Når kundetiltak skal gjennomføres

Plikt til å gjennomføre kundetiltak etter hvitvaskingsloven § 10 oppstår ved a) etablering av kundeforhold, b) gjennomføring av transaksjoner over gitte beløpsgrenser for kunder som den rapporteringspliktige ikke har etablert et kundeforhold til, eller c) når det foreligger mistanke om hvitvasking eller terrorfinansiering.

Kundetiltakene skal som hovedregel gjennomføres før etablering av kundeforholdet, eller før gjennomføring av den enkeltstående transaksjonen, jf. hvitvaskingsloven § 11 første ledd.

Det er anledning til å bekrefte identiteten til kunder og reelle rettighetshavere «under etablering av kundeforholdet», dersom etablering er nødvendig for ikke å hindre den alminnelige forretningsdriften, og det er lav risiko for hvitvasking eller terrorfinansiering. Bekreftelse av identitetene skal skje så raskt som mulig etter etablering av kundeforholdet, jf. hvitvaskingsloven § 11 andre ledd bokstav a. Det understrekes at unntaket kun skal benyttes i særskilte situasjoner. Det er videre anledning til å bekrefte identiteten til begunstigede etter forsikringsavtaler etter avtaleinngåelsen, jf. hvitvaskingsloven § 11 andre ledd bokstav b, forutsatt at bekreftelse av identiteten gjennomføres før utbetalingstidspunktet, eller det tidspunktet den begunstigede utøver sine rettigheter etter avtalen.

Det er også anledning til å bekrefte kundens og de reelle rettighetshavernes identitet etter åpning av en konto hos rapporteringspliktige som nevnt i § 4 første ledd bokstav a, b, h, i, l og n, forutsatt at det sikres at transaksjoner knyttet til kontoen ikke kan utføres av kunden eller på kundens vegne før bekreftelse av identitetene er gjennomført, jf. hvitvaskingsloven § 11 andre ledd bokstav c.

4.1.2 Etablering av kundeforhold

4.1.2.1 Innledning

Et kundeforhold anses etablert når kunden kan benytte den rapporteringspliktiges tjenester, jf. hvitvaskingsloven § 10 første ledd bokstav a. Kundeforhold anses etablert eksempelvis ved

• opprettelse av bankkonto, selv om kontoen bare skal benyttes i et enkeltstående tilfelle og avsluttes etter kort tid
• opprettelse av verdipapirsentralkonto, selv om kontoen bare skal benyttes i et enkeltstående tilfelle og avsluttes etter kort tid
• utstedelse av finansieringsbevis
• utstedelse av betalingskort
• overføring av penger gjennom betalingsforetak
• inngåelse av avtaler, herunder
• forsikringsavtaler
• låneavtaler (Der det er flere låntakere i en avtale, skal det gjennomføres kundetiltak på alle låntakere.)
• corporate-, rådgivningsavtaler mv. for verdipapirforetak
• leasingavtaler
• gjennomføring av enkeltstående transaksjoner på regelmessig basis, eller et fåtall transaksjoner tilknyttet samme avsender eller mottaker, som totalt sett innebærer et høyere beløp enn beløpsgrensene i hvitvaskingsloven § 10 første ledd bokstav b
• yting av eiendomsmeglingstjenester

4.1.2.2 Kundeforhold i flere filialer

Det følger av hvitvaskingsloven § 3 at filialer av utenlandske foretak er rapporteringspliktige i Norge. Der en kunde har kundeforhold i flere filialer i samme konsern i ulike land, er den norske filialen selvstendig rapporteringspliktig, som følge av at det etableres kundeforhold med den norske filialen.

4.1.2.3 Rapporteringspliktige som yter tjenester som ikke reguleres av hvitvaskingsloven

Der rapporteringspliktige tilbyr atskilte tjenester som ikke krever tillatelse fra Finanstilsynet, anses kundeforholdet etablert på det tidspunktet kunden får tilgang til den rapporteringspliktiges tjeneste som krever tillatelse. I de tilfellene der rapporteringspliktige tilbyr en tjeneste som ikke krever tillatelse, og denne tjenesten ikke tilbys sammen med andre tjenester som krever tillatelse, er det normalt ikke etablert et kundeforhold som krever kundetiltak etter hvitvaskingsloven. Dette kan for eksempel være salg av et produkt som ikke har noen tilknytning til den konsesjonspliktige virksomheten, som for eksempel betalingsforetak som også tilbyr teleabonnement eller reisebyråtjenester.

4.1.2.4 Særlig om forvalterregistrering

Forvalterregistrering innebærer at en forvalter (nominee) registreres som eier av et finansielt instrument i stedet for den reelle eieren av instrumentet. Dette kan for eksempel gjøres ved at en kontofører åpner en forvalterkonto i en verdipapirsentral, eller ved at en forvalter registreres i et verdipapirfonds andelseierregister i stedet for den enkelte andelseieren. Forvalter er da å anse som kontoførerens eller forvaltningsselskapets kunde.

Ved forvalterregistrering skal rapporteringspliktige på vanlig måte gjennomføre kundetiltak overfor sin egen kunde. Etter en risikobasert vurdering kan det være behov for å gjennomføre ytterligere tiltak, som å identifisere den reelle eieren. Der det er grunnlag for forsterkede kundetiltak og identifikasjon av eier, bør den rapporteringspliktige innhente informasjon om midlenes og formuens opprinnelse.

I tilfeller der forvalter er kunde av kontofører investor, og det anmodes om at det skal åpnes enkeltkonto i verdipapirsentral for en enkelt underliggende kunde, vil den underliggende kunden regnes som kunde av kontofører investor. Kontofører investor må da gjennomføre kundetiltak mot den underliggende kunden på ordinær måte. Dette er ikke å anse som forvalterregistrering.

4.1.2.5 Corporate finance-oppdrag

Der et verdipapirforetak opptrer som tilrettelegger ved en offentlig emisjon, børsnotering, pliktig tilbud eller lignende, yter verdipapirforetaket en investeringstjeneste etter verdipapirhandelloven til utstederselskapet, og utstederselskapet vil være verdipapirforetakets kunde i hvitvaskingslovens forstand. Der den rapporteringspliktige oppretter en verdipapirkonto for investor, vil investor etablere kundeforhold til kontofører.

4.1.2.6 Lånesyndikater

I et lånesyndikat kan rapporteringspliktige ha ulike roller. Rollen avgjør hvem som anses som kunde i hvitvaskingslovens forstand. Der rapporteringspliktig er tilrettelegger for syndikatet, vil den rapporteringspliktige tilrettelegge en syndikering etter oppdrag fra låntaker ved å strukturere lånet, styre syndikeringsprosessen, koordinere kommunikasjonen mellom låntakeren og långiverne (syndikatbank) i syndikatet mv. Låntaker er da å anse som kunde av tilrettelegger, og tilrettelegger skal gjennomføre kundetiltak av låntaker. Tilrettelegger yter ikke rådgivning til potensielle / andre långivere. Disse er dermed ikke å anse som kunder av tilrettelegger, og det skal ikke gjennomføres kundetiltak av långiverne.

I et lånesyndikat kan en rapporteringspliktig også opptre som agent. Agenten administrerer praktiske forhold rundt lånesyndikatet. Det kan være avtalt ved utkontraktering at agenten er ansvarlig for å gjennomføre kundetiltak på vegne av noen av partene i et syndikat. Eventuelt påligger dette hver enkelt långiver (syndikatbank). Der rapporteringspliktig er långiver/syndikatdeltaker i et lånesyndikat, betaler rapporteringspliktig sin andel av lånet til agenten ved opptrekk av lånet. Agenten kanaliserer deretter det totale lånebeløpet til låntakeren. Ved betjening av lånet mottar långiverne (via agenten) avdrag/renter fra låntakeren. Dersom syndikatdeltaker er rapporteringspliktig etter hvitvaskingsloven, er låntaker å anse som syndikatdeltakers kunde i hvitvaskingslovens forstand. Syndikatdeltaker skal følgelig gjennomføre kundetiltak overfor låntaker. En rapporteringspliktig kan ha flere av de ovennevnte rollene i ett og samme lånesyndikat.

4.1.2.7 Garantirammer til konsernselskaper

I tilfeller der eksempelvis morselskapet er den rapporteringspliktiges kunde, og morselskapets garantiramme kan benyttes til å stille garanti overfor kontraktsmotparten til datterselskap, skal også datterselskapet anses som den rapporteringspliktiges kunde. Årsaken er at datterselskapet gjennom garantirammen benytter seg av den rapporteringspliktiges tjenester i forbindelse med egne kontraktsforpliktelser.

4.1.2.8 Vergemål

Ved vergemål anses vergen for å handle på vegne av kunden. Kunden er den mindreårige, eller vedkommende som det er opprettet vergemål for.

4.1.2.9 Avtaler med flere parter

Der flere personer er part i en kundeavtale, som eksempelvis medinnehaver av konto eller lån, etableres kundeforhold med alle parter som forpliktes etter avtalen. På samme måte anses både leier og utleier å etablere et kundeforhold ved opprettelse av depositumskonto i husleieforhold.

4.1.2.10 Kausjonister og garantister

Kausjonister og garantister anses ikke som kunder, og de omfattes ikke av kravene til kundetiltak ved avtaleinngåelsen. Kundetiltak bør imidlertid gjennomføres ved utbetaling av beløp dekket under kausjon eller garanti, eller tidligere der det foreligger indikasjoner på hvitvasking eller terrorfinansiering. Dersom den rapporteringspliktige finner det hensiktsmessig, kan det avtales at kundetiltak gjennomføres ved etablering av kausjon eller garanti.

4.1.2.11 Betalingsfullmaktstjenester

For betalingsfullmektiger vil kunden i utgangspunktet være den fysiske eller juridiske personen som eier betalingskontoen, og som anmoder om initiering av en betalingsordre fra denne kontoen (betaleren). I de tilfellene betalingsfullmektigen har opprettet et kundeforhold med betalingsmottakeren om betalingsfullmaktstjenester, og ikke med betaleren, og betaleren anvender betalingsfullmektigen til å initiere en enkelttransaksjon til betalingsmottakeren, er betalingsfullmektigens kunde betalingsmottakeren, og ikke betaleren. Betalingsfullmektigen kan imidlertid være forpliktet til å gjennomføre kundetiltak overfor betaleren, dersom hvitvaskingsloven § 10 første ledd bokstav b og c kommer til anvendelse.

4.1.3 Gjennomføring av enkeltstående transaksjoner

Den rapporteringspliktige skal også gjennomføre kundetiltak ved transaksjoner for kunder som det ikke er etablert et kundeforhold til, når transaksjonen utgjør minst 100 000 kroner. Finanstilsynet understreker at beløpene beregnes samlet for transaksjoner som gjennomføres i flere operasjoner, som ser ut til å ha sammenheng med hverandre. Dersom den rapporteringspliktige først oppdager sammenhengen etter at transaksjonene er gjennomført, skal kundetiltakene gjennomføres så snart den rapporteringspliktige blir kjent med at beløpsgrensen er oversteget. Som utgangspunkt skal transaksjonene ses i sammenheng når de overstiger grensen i løpet av en tolvmånedersperiode. For å kunne vurdere om transaksjonene bør ses i sammenheng, er det nødvendig å identifisere kunden. Dette innebærer at det også for enkeltstående transaksjoner må gjennomføres identifikasjonskontroll, med mindre det dreier seg som bagatellmessige beløp.

Loven oppstiller også en grense på 8 000 kroner når transaksjonen utgjør nærmere definerte pengeoverføringer, jf. hvitvaskingsloven § 10 første ledd bokstav b. Det følger av hvitvaskingsforskriften § 4-1a at grensen på 8 000 kroner gjelder for betalingstjenester i finansavtaleloven § 11 første ledd, for transaksjoner i virtuell valuta når verdien er tilsvarende 8 000 kroner eller mer, og transaksjoner som nevnt i forordning om opplysninger som skal følge pengeoverføringer, jf. hvitvaskingsforskriften § 10-1, artikkel 3 nr. 9.

4.1.4 Mistanke om hvitvasking eller terrorfinansiering

Når foretaket skal vurdere om det foreligger mistanke om hvitvasking eller terrorfinansiering etter hvitvaskingsloven § 10 bokstav c, kan dette eksempelvis gjøres ved å vurdere momenter som er oppstilt i hvitvaskingsforskriften §§ 4-9 og 4-10. Lister over indikatorer på mistenkelige forhold gir ytterligere momenter. Plikt til å gjennomføre kundetiltak med bakgrunn i mistanke om hvitvasking og terrorfinansiering vil også innebære en plikt til å foreta nærmere undersøkelser etter hvitvaskingsloven § 25.

4.1.5 Forhåndsbetalte e-pengekort – unntak fra krav om kundetiltak

Det følger av hvitvaskingsforskriften § 4-2 første ledd bokstav b at plikten til å foreta kundetiltak etter hvitvaskingsloven § 10 første ledd bokstav a og b ikke gjelder ved utstedelse av elektroniske penger, forutsatt at det er foretatt en risikovurdering som viser at betalingsinstrumentet har lav risiko, samt at øvrige vilkår i hvitvaskingsforskriften § 4-2 første ledd bokstav b er oppfylt.

4.1.6 Unntak fra visse kundetiltak ved produkter knyttet til offentlige ytelser

Hvitvaskingsforskriften § 4-2 a gjør unntak fra visse kundetiltak ved produkter knyttet til offentlige ytelser, primært utbetalinger fra NAV og Husbanken. Bestemmelsen åpner for unntak fra plikten til å bekrefte disponenters identitet ved gyldig legitimasjon når a) kunden er offentlig myndighet, b) produktet som disponeres er sperret for andre innbetalinger enn overføring av ytelser fra det offentlige og kun kan anvendes for betalinger, pengeoverføring og uttak i Norge, og c) offentlig myndighet har gjennomført tiltak for å bekrefte disponentens identitet og at disponenten ikke har egen bankkonto eller mulighet til å skaffe seg bankkonto.

4.2 Kundeforholdets formål og tilsiktede art

4.2.1 Innledning

Rapporteringspliktige skal innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art for å få tilstrekkelig informasjon til å bedømme risikoen for hvitvasking og terrorfinansiering knyttet til kunden. Rapporteringspliktige må ut fra en risikobasert tilnærming vurdere hvilke opplysninger det er nødvendig å innhente for å forstå kundeforholdets formål og tilsiktede art.

Den rapporteringspliktige må ha tilstrekkelig grunnlag for å bedømme hvordan kunden kan ventes å handle innenfor rammen av kundeforholdet. Forståelsen av kundeforholdets formål og tilsiktede art er avgjørende for å risikoklassifisere kunden. Det er særlig ved avklaringen av formål og tilsiktet art at det kan fremkomme forhold som taler for at det er forhøyet risiko ved kundeforholdet.

Forståelsen av kundeforholdets formål og tilsiktede art er også avgjørende for den løpende oppfølgingen. Ved å vite hvilke aktiviteter og transaksjoner som kunden kan forventes å gjennomføre, skal rapporteringspliktige oppdage avvik fra forventet atferd, herunder uvanlige transaksjoner.

Rapporteringspliktige må registrere innhentede opplysninger om formål og tilsiktet art, og lagre eventuell dokumentasjon som bekrefter opplysningene. Opplysningene må gi en tilstrekkelig grundig beskrivelse av formål og tilsiktet art, herunder midlenes og eventuelt formuens opprinnelse, til at dette fremgår tydelig og kan etterprøves.

4.2.2 Kundeforholdets formål

Kundeforholdets formål gjelder bakgrunnen for at kunden ønsker å opprette det aktuelle kundeforholdet, og hvorfor kunden vil benytte aktuelle produkter eller tjenester, eksempelvis opprette konto til utbetaling av lønn, investering i aksjer eller andre verdipapirer, eller forsikre seg selv eller gjenstander.

I enkelte kundeforhold og i forbindelse med gjennomføring av enkelttransaksjoner vil formålet være avgrenset og klart, slik at det ikke vil være nødvendig å innhente ytterligere opplysninger om dette, eksempelvis ved opprettelse av depositumkonto i en bank, opprettelse av konto i en verdipapirsentral eller kjøp av et forsikringsprodukt. Det vil i slike tilfeller også være tilsvarende strenge rammer for hva kundeforholdet faktisk kan benyttes til. Dersom kunden kjøper ytterligere produkter eller tjenester hos den rapporteringspliktige, må det vurderes om produkt- og tjenestestrukturen gjør at formålet med det opprinnelige produktet eller tjenesten må oppdateres.

For kunder med lav risiko for hvitvasking og terrorfinansiering og som har et regelmessig og forutsigbart transaksjonsmønster, er det tilstrekkelig at formålet med kundeforholdet angis generelt, for eksempel som brukskonto med betalingsformidling, lån og sparing, eller forsikring. Det er ikke krav til en detaljert og finmasket inndeling av disse kundegruppene, for eksempel etter spare- og forsikringsklasser, betalingsmønster, beløpsstørrelse mv.

Dersom formålet ikke er selvforklarende, er det nødvendig å få klarhet i hvorfor kunden ønsker å opprette kundeforholdet, eller ta i bruk en tjeneste eller et produkt. Eksempelvis vil det ved opprettelse av lønnskonto i en bank være relevant å få informasjon om formålet med kontoen kun er å motta lønn og betale regninger, eller om formålet eksempelvis også er å overføre penger til utlandet eller annet.

Rapporteringspliktige må dokumentere kundeforholdets formål uavhengig av om kunden spørres eller ikke, jf. hvitvaskingsloven § 30.

4.2.3 Kundeforholdets tilsiktede art

Kundeforholdets tilsiktede art gjelder karakteren av det spesifikke kundeforholdet, altså hvordan kunden skal bruke tjenestene og produktene. Relevante opplysninger er midlenes og formuens opprinnelse, opplysninger om juridiske personers forretningsmodell og hvordan kunden tenker å anvende midlene som inngår i kundeforholdet. Det er også relevant med opplysninger om hvem kunden skal handle med og forventet transaksjonsmønster, herunder type transaksjoner, transaksjonshyppighet og -størrelse. Det er viktig å finne ut om det skal skje overføringer til eller fra utlandet, og i så fall hvilke land, og om det skal brukes kontanter som betalingsmiddel til drift i juridisk person. Det kan også være relevant å innhente opplysninger om kundens øvrige bank- og forsikringsforbindelser.

For juridiske personer med potensiell høy risiko for hvitvasking eller terrorfinansiering, bør det fremskaffes utdypende opplysninger om næringsvirksomhetens art og omfang. Opplysningene kan blant annet baseres på informasjon fra kunden selv, selskapets nettsider, regnskap og skattemeldingen.

Dersom kunden er en fysisk person med potensiell høy risiko, må den rapporteringspliktige innhente mer informasjon om personen, for eksempel gjennom informasjon fra kunden selv, skattemeldingen og nettsøk mv.

4.2.4 Vurdering og bekreftelse av opplysningene

Omfanget av kontrollen med kundens opplysninger skal tilpasses risikoen for hvitvasking og terrorfinansiering. Rapporteringspliktige må vurdere og ta stilling til den informasjonen kunden oppgir. Det oppgitte formål og tilsiktede art må ses opp mot øvrig informasjon om kunden. Der informasjonen ikke fremstår som plausibel, eller der det er forhold som tilsier høyere risiko tilknyttet kunden, må den rapporteringspliktige kontrollere informasjonen mot andre kilder, eksempelvis offentlige registre.

Ved bruk av offentlige registre og andre informasjonstjenester, må rapporteringspliktige vurdere registrenes og informasjonens troverdighet og notoritet. Informasjonen i norske offentlige registre kan normalt legges til grunn.

Dersom rapporteringspliktige mener informasjonen ikke gir en tilstrekkelig god forståelse av kundeforholdets formål og tilsiktede art, må rapporteringspliktige innhente ytterligere informasjon og utføre ytterligere kundetiltak. Eksempelvis kan det være relevant å be om prospekter og avtaler, og å innhente informasjon fra åpne og eksterne kilder.

Dersom kundeforholdets formål og tilsiktede art ikke kan avklares, må rapporteringspliktige vurdere om kunden må avvises, eller for eksisterende kundeforhold avvikles eller delvis avvikles, jf. hvitvaskingsloven §§ 21 første ledd og 24 fjerde ledd og hvitvaskingsforskriften § 4-13. Dersom informasjonen tilsier at det foreligger forhold som kan indikere hvitvasking eller terrorfinansiering, må den rapporteringspliktige gjøre nærmere undersøkelser og eventuelt rapportere til Økokrim, jf. hvitvaskingsloven §§ 25 og 26. 

4.2.5 Nærmere om midlenes opprinnelse

Kravene til å innhente informasjon om midlenes opprinnelse gjelder de midlene som inngår i kundeforholdet, og som den rapporteringspliktige skal befatte seg med.

Rapporteringspliktige bør innhente informasjon om midlenes opprinnelse i forbindelse med kundetiltak tilknyttet kundeforholdets formål og tilsiktede art. For kundeforhold som har indikasjoner på høy risiko, skal informasjon om midlenes opprinnelse innhentes. En forståelse av midlenes opprinnelse er viktig for risikoklassifiseringen som skal gjøres av kunden, samt i den løpende oppfølgingen for å kontrollere at transaksjoner er i samsvar med innhentede opplysninger om midlenes opprinnelse.

Det å stille spørsmål ved opphavet til kundens midler, er noe annet enn å utføre kundetiltak overfor kundens kunder, som den rapporteringspliktige som utgangspunkt verken har rett eller plikt til.

For kunder med lav og normal risiko kan opplysninger om midlenes opprinnelse angis generelt i et kunderegistreringsskjema e.l. Eksempelvis kan det fremgå at midler som skal inngå i kundeforholdet vil innbefatte «lønn», «arv», «sosiale ytelser», «leieinntekter» e.l. Det forutsetter i slike tilfeller at den rapporteringspliktige har annen kunnskap som tilsier at en slik angivelse er tilstrekkelig, eksempelvis antatt lønnsinntekt, arbeidsgiver mv. 

For kunder som har indikasjoner på høy risiko, må den rapporteringspliktige innhente mer detaljert informasjon basert på en konkret risikobasert vurdering, som ledd i forsterkede kundetiltak. For disse kundene er det ikke tilstrekkelig å få informasjon om eksempelvis hvilken bankforbindelse e.l. pengene blir overført fra. Opplysningene om midlenes opprinnelse må være substansielle og opplyse hvordan disse ble ervervet.

Det kan etter en risikovurdering også være nødvendig å klarlegge formuens opprinnelse, det vil si kundens totale økonomiske situasjon eller kundens formue som sådan, herunder for eksempel oppsparte midler og egenkapital, og ikke bare midlene som i fremtiden skal inngå i kundeforholdet. Eksempler på kilder kan være nærmere opplysninger fra regnskap og skattemelding.

4.2.5.1 Særlig om midler som stammer fra virtuelle eiendeler, herunder virtuell valuta

Etter en risikobasert vurdering kan det i tilfeller være behov for at rapporteringspliktige innhenter og vurderer ytterligere informasjon som er egnet til mer helhetlig å kartlegge opprinnelsen til midler som stammer fra handel eller investeringer i virtuelle eiendeler, herunder virtuell valuta.

Slik kartlegging kan være utfordrende der kunden for eksempel har gjennomført flere vekslinger mellom ulike typer valutaer, eller har gjennomført store mengder handler i et svingende marked. Det kan også i situasjoner være svært krevende å fastslå om midler fra en tredjepart har blitt blandet inn i kundens egne midler.

I slike tilfeller må det innhentes tilstrekkelig informasjon som setter den rapporteringspliktige i stand til å avgjøre om kundens redegjørelser er egnet til å begrunne hvordan disse midlene ble ervervet. For kunder og transaksjoner som utgjør høy risiko, kan det være nødvendig med en grundigere vurdering av midlenes opprinnelse, som eksempelvis innebærer innhenting av informasjon om konkrete handler og mer omfattende kontroll av opplysningene, for eksempel ved hjelp av oppslag på blokkjeder eller i øvrige aktuelle kilder. For kunder og transaksjoner med lavere risiko kan kartleggingen av midlene være av en enklere karakter.

Det forventes ikke at rapporteringspliktige benytter seg av særskilte analyseverktøy for undersøkelse av transaksjoner på blokkjeden som ledd i vurderingen av midlenes opprinnelse.

Etter innhenting og vurdering av opplysninger og dokumentasjon må det på vanlig måte gjøres en vurdering av informasjonens troverdighet. Det må også gjøres en vurdering av om det foreligger forhold som kan indikere hvitvasking eller terrorfinansiering, som videre utløser plikt til nærmere undersøkelser og eventuelt rapportering.

4.2.6 Særlig om kundeforhold med kunder som er rapporteringspliktige

Der en rapporteringspliktig har en annen rapporteringspliktig virksomhet som sin kunde, er prinsippene for innhenting av informasjon om kundeforholdets formål og tilsiktede art fortsatt de samme. Dette innebærer at det ikke er krav til å føre kundetiltak med kundens kunder, men det må gjennomføres tiltak knyttet til kundeforholdets formål og tilsiktede art mv. For kunder med høy risiko er det relevant å innhente mer informasjon om kundens forretningsmodell og kontrolltiltak, herunder for eksempel kundens etterlevelse av hvitvaskingsregelverket, for eksempel risikovurdering, rutineverk og informasjon om kundens kundemasse. Å innhente opplysninger og informasjon om kundens kundemasse skiller seg fra det å gjennomføre kundetiltak mot kundens kunder ved at informasjon og opplysninger mer generelt er egnet til å informere om kunderisikoen.

4.3 Bekreftelse av identitet – fysiske personer

4.3.1 Kunden

Rapporteringspliktige skal som utgangspunkt innhente og bekrefte kundens identitet ved personlig fremmøte og fremvisning av gyldig legitimasjon, jf. hvitvaskingsloven § 12 andre ledd. Kravet om å bekrefte kundens identitet er ufravikelig.

I tilfeller hvor kunden møter personlig hos den rapporteringspliktige, eller hos foretak den rapporteringspliktige utkontrakterer legitimasjonskontrollen til, vil normalt bekreftelsen av kundens identitet skje samtidig med identifisering av kunden.

Dersom bekreftelse av identiteten skjer uten personlig fremmøte, skal det fremlegges ytterligere dokumentasjon eller gjennomføres ytterligere tiltak.

4.3.1.1 Legitimasjon

Hvitvaskingsforskriften § 4-3 regulerer kravene til gyldig legitimasjon for fysiske personer. Gyldig legitimasjon for fysiske personer ved personlig fremmøte er original av dokumenter som

• er utstedt av offentlig myndighet eller av annet organ som har betryggende kontrollrutiner for dokumentutstedelse, og dokumentene har et tilfredsstillende sikkerhetsnivå
• inneholder fullt navn, navnetrekk og fotografi
• fødselsnummer eller D-nummer

For personer uten norsk fødselsnummer eller D-nummer skal legitimasjonsdokumentet i tillegg inneholde fødselsdato, fødested, kjønn og statsborgerskap.

Gyldig legitimasjon for fysiske personer omfatter etter Finanstilsynets oppfatning blant annet

• norsk og utenlandsk pass (ikke nødpass)
• norsk førerkort
• norsk bankkort med bilde
• norsk nasjonalt ID-kort
• nasjonalt ID-kort utstedt av et annet EØS-land (En oversikt over disse fremgår av utlendingsforskriften, vedlegg 4.)
• norsk utlendingspass (grått pass)
• norsk reisebevis for flyktninger (blått pass)
• elektronisk legitimasjon i henhold til hvitvaskingsforskriften § 4-3 fjerde ledd

Det finnes enkelte eksempler på andre legitimasjonsdokumenter som kan oppfylle kravene til legitimasjon, jf. hvitvaskingsforskriften § 4-3. Dersom rapporteringspliktige aksepterer andre legitimasjonsdokumenter enn de som er opplistet ovenfor, må de kjenne typen legitimasjon i tilstrekkelig grad til å kunne kontrollere dokumentets ekthet.

Legitimasjonsdokumentet må være gyldig. Det vil si at det ikke kan være utgått på dato ved fremleggelsen. Ved personlig oppmøte må legitimasjonsdokumentet fremlegges i original.

Den rapporteringspliktige må kontrollere sikkerhetselementene i legitimasjonsdokumentet, herunder at det ikke er forfalsket, ansikts- og bildelikhet og vurdere riktigheten av dokumentets angitte persondata. Ved usikkerhet knyttet til identiteten, kan det være aktuelt å kontrollere identitetsopplysningene mot eksterne kilder som eksempelvis Folkeregisteret, dersom rapporteringspliktige har tilgang til slike registre.

4.3.1.2 Plikt til å bekrefte rett kopi av mottatte legitimasjonsdokumenter

Rapporteringspliktige skal ta kopi av legitimasjonsdokumenter som er fremlagt i original, jf. hvitvaskingsforskriften § 6-2. Den utførende ansatte hos den rapporteringspliktige må bekrefte at kopien av dokumentet er korrekt og at signerende person har foretatt kundetiltaket. Dato for gjennomføringen av kundetiltaket og «Rett kopi bekreftes» skal påføres kopien.

I stedet for signatur og påføring som nevnt over, kan det på annen måte sikres tilsvarende notoritet om bekreftelsen, herunder hvem som har foretatt bekreftelsen og når det er gjort, eksempelvis ved bruk av elektroniske systemer som oppfyller kravet til bekreftelse. Den rapporteringspliktige er ansvarlig for at de alternative fremgangsmåtene oppfyller lovens krav.

4.3.1.3 Særlig om elektronisk legitimasjon

De nærmere bestemmelsene om elektronisk legitimasjon er gitt i hvitvaskingsforskriften § 4-3 fjerde ledd.

Elektronisk legitimasjon som angitt i § 4-3 fjerde ledd, anses likestilt med personlig fremmøte og fremvisning av gyldig legitimasjon i original ved etablering av kundeforhold. Det må imidlertid etter en risikobasert tilnærming vurderes om det er nødvendig å fremlegge ytterligere dokumentasjon.

Dersom en kunde bekrefter sin identitet ved bruk av elektronisk legitimasjon som angitt i § 4-3 fjerde ledd, skal den elektroniske identitetskoden og opplysninger om utstederens identitet lagres i tråd med hvitvaskingsloven kapittel 6.

Utstedelse av elektronisk legitimasjon reguleres ikke av hvitvaskingsregelverket.

4.3.1.4 Bekreftelse av identitet uten personlig fremmøte

Ved bekreftelse av kundens identitet uten dennes personlige fremmøte, skal det fremlegges ytterligere dokumentasjon eller gjennomføres ytterligere tiltak. Hvilke krav som vil stilles til innhenting av ytterligere dokumentasjon, eller gjennomføring av ytterligere tiltak, beror på hvilken risiko kunden kan utgjøre for hvitvasking og terrorfinansiering.

Kopi av legitimasjonsdokument
Det er ikke et krav at kopien er bekreftet av offentlige myndigheter, eller andre som har myndighet til å attestere bekreftede kopier. Rapporteringspliktige må imidlertid lagre en papirbasert eller elektronisk kopi av legitimasjonsdokumentet som gir tilstrekkelig sikkerhet for at kopien er reell. Den rapporteringspliktige må også dokumentere hvem som har vurdert legitimasjonskopiens ekthet, ved påføring av den ansattes signatur samt dato for bekreftelsen.

Den rapporteringspliktige må vurdere riktigheten av informasjonen fra legitimasjonsdokumentet i hvert enkelt tilfelle, og hva som kreves for å bekrefte informasjonen. Dette innebærer at rapporteringspliktige etter en risikobasert vurdering kan akseptere å motta kopi av legitimasjonsdokument elektronisk uten at denne nødvendigvis må leveres hos den rapporteringspliktige eller sendes per post. Rapporteringspliktige må imidlertid foreta en konkret risikobasert vurdering av hva som anses som betryggende i slike tilfeller. Det kan i visse tilfeller være at en slik vurdering tilsier at rapporteringspliktig bør kreve bekreftet kopi.

Lagring av legitimasjonsdokumentet
Den rapporteringspliktige må lagre kopi av gyldig legitimasjonsdokument.

Ytterligere dokumentasjon og tiltak
Følgende ytterligere tiltak, enkeltvis eller i kombinasjon, kan bidra til å avhjelpe den forsterkede risikoen knyttet til fravær av personlig fremmøte:

• innhenting av kundens skattemelding, lønnsslipp, bekreftelse på utbetaling av trygd, stønad, studielån eller andre offentlige ytelser
• bekreftelse på at kundens første betaling er foretatt fra konto i kundens navn hos bank eller kredittforetak etablert i EØS-området, eller jurisdiksjon med tilsvarende regulering og tilsyn
• samtale med kunden på telefon som er registrert på kunden, eller videokommunikasjon med kunden
• kommunikasjon med kunden via postadresse eller digital adresse som er registrert på kunden (Kommunikasjonen bør inneholde kundens signatur som kan sjekkes mot kopien av legitimasjonsdokumentet.)

Opplistingen er ikke uttømmende, og omfanget og arten av tiltakene må bero på en konkret risikobasert vurdering. Kundeopplysningene som innhentes, bør sjekkes mot offentlige registre.

Særskilt om digitale løsninger
Det finnes per i dag ikke annen gyldig elektronisk legitimasjon, som er likestilt med fremvisning av gyldig legitimasjon ved personlig fremmøte, enn legitimasjon som er beskrevet i punkt 4.3.1.1 (elektronisk ID, jf. forskriften § 4-3). Andre elektroniske eller digitale løsninger kan benyttes som et «ytterligere tiltak eller ytterligere dokumentasjon» der bekreftelse av identitet skal skje uten personlig fremmøte. Der digitale løsninger tas i bruk, må risiko ved løsningen vurderes av den rapporteringspliktige, og slike vurderinger må dokumenteres. Den rapporteringspliktige må etablere kontrollmekanismer for å sikre at løsningen fungerer som forutsatt, og vurdere om en slik bruk omfattes av utkontrakteringsbestemmelser. 

Den rapporteringspliktige kan bruke digitale løsninger som for eksempel automatisk henter den pålagte informasjonen fra kundens legitimasjonsdokument og tilrettelegger for oversendelse av dokumentasjon fra legitimasjonsdokumentet til den rapporteringspliktige. Slike løsninger kan bruke biometri fra legitimasjonsdokumentet, og de bør ha funksjonalitet som kontrollerer ektheten og gyldigheten av legitimasjonsdokumentet. 

For heldigitale kundeetableringer som ikke utgjør elektronisk signatur etter hvitvaskingsforskriften § 4-3 fjerde ledd, altså der digitale løsninger alene anvendes for å innhente og bekrefte kundens identitet, og gjennomføre supplerende «ytterligere tiltak», må den tekniske løsningen minimum

• etterleve de generelle kravene til innhenting og lagring av kopi / scanning av legitimasjonsdokumentet 
• gjennomføre «ytterligere tiltak» ved å kontrollere legitimasjonsdokumentet
• kontrollere at det er kunden som initierer kundeetableringen, for eksempel ved biometrisk kontroll eller tilsvarende sikker løsning

Den rapporteringspliktige har et selvstendig ansvar for bruk av tjenesten, herunder å iverksette tiltak for å avdekke forsøk på misbruk av løsningen.

Så lenge den rapporteringspliktige selv gjennomfører vurderingen og bekrefter kundens identitet, innebærer eksempelvis bruk av digitale løsninger som er utviklet av andre enn den rapporteringspliktige, i utgangspunktet ikke utkontraktering, eller at den rapporteringspliktige legger til grunn kundetiltak som er utført av tredjepart etter hvitvaskingsloven § 22. Der rapporteringspliktige overlater bekreftelsen av en kundes identitet til tjenesten eller andre tredjeparter, uten ytterligere vurderinger og kontroller internt, vil dette imidlertid innebære utkontraktering.

4.3.1.5 Tilgang til grunnleggende tjenester og finansiell inkludering

Rapporteringspliktige som er finansforetak, har ansvar for å legge til rette for finansiell inkludering. Disse foretakene har kontraheringsplikt etter finansavtaleloven og forsikringsavtaleloven, og de har plikt til å tilby grunnleggende banktjenester og forsikringsprodukter.

Med grunnleggende banktjenester menes konto, betalingskort uten bilde (debetkort) og tilgang til nettbank. Banktjenestene kan underlegges bruks- og beløpsbegrensninger for å redusere risikoen for hvitvasking og terrorfinansiering. Den rapporteringspliktige må foreta en konkret risikovurdering av om det skal settes en maksimal grense for innskudd og uttak fra konto eller forbys kontantuttak, og om banktjenestene skal begrenses til kun innenlandsoverføringer.

Den rapporteringspliktige må håndtere gjennomføringen av kundetiltak, selv der disse er mer kostnadskrevende eller byrdefulle enn tjenesteyterens ordinære prosedyrer for å inngå kundeforhold. Det at et kundeforhold vil være særlig ressurs- og kostnadskrevende å etablere og løpende følge opp i tråd med hvitvaskingsverket, vil ikke i seg selv være saklig grunn for å avvise kundeforholdet eller avslå betalingstjenesten.

Kunder som innebærer høyere risiko, må håndteres basert på konkrete risikofaktorer. Finansforetak som er underlagt krav til kontraheringsplikt og finansiell inkludering, må påse at det ikke utvikles en diskriminerende praksis basert på flyktningstatus e.l. Kunden må vurderes ut fra den konkrete risikoen for hvitvasking og terrorfinansiering som kunden representerer. 

Finanstilsynet anser at hvitvaskingsregelverket åpner for forenklede kundetiltak i situasjoner hvor et kundeforhold representerer en lav risiko for hvitvasking og terrorfinansiering. I hvitvaskingsforskriften § 4-6 andre ledd nr. 4 er det eksplisitt nevnt at det å tilby grunnleggende finansielle produkter eller tjenester til visse kundegrupper med det formål å fremme finansiell inkludering, kan være en indikasjon på lav risiko.

4.3.1.6 Personer som ikke har gyldig legitimasjon – mindreårige

Ved etablering av kundeforhold for mindreårige som ikke har gyldig legitimasjon, kan fødselsattest benyttes som grunnlag for identifikasjon. Rapporteringspliktige kan også ta utskrift fra Folkeregisteret som grunnlag for å bekrefte barnets identitet. Barnets foresatte, verger og andre som disponerer eller handler på vegne av den mindreårige, skal identifiseres med gyldig legitimasjon. Rapporteringspliktige må i alle tilfeller registrere nødvendige opplysninger om kunden og barnets verge(r). Når personen når myndighetsalder, må vedkommende legitimeres på ordinær måte.

4.3.1.7 Personer som ikke har gyldig legitimasjon – personer under vergemål

Ved etablering av kundeforhold med personer under vergemål som ikke har gyldig legitimasjonsdokument, kan rapporteringspliktige legge til grunn uttalelse fra Statsforvalteren, dersom denne minimum inneholder kundens navn, fødselsnummer eller D-nummer og adresse. Uttalelsen må også inneholde informasjon om hvem som er verge, og om denne forvalter midlene på vegne av personen med hjemmel i vergemålsloven. Informasjonen om vergen må være så utfyllende at banken kan sjekke at det er samsvar mellom Statsforvalterens bekreftelse og den legitimasjonen som vergen skal vise. Bekreftelse fra Statsforvalteren er tilstrekkelig også der personen under vergemål disponerer over midlene.

Statsforvalteren har ingen plikt til å utstede en slik uttalelse. Rapporteringspliktige kan derfor ikke kreve at kunden fremlegger dette. Rapporteringspliktige kan imidlertid legge en slik uttalelse til grunn dersom det fremlegges av kunden.

Den som har vært under vergemål, må legitimere seg hvis vergemålet opphører.

Vergenes identitet må også bekreftes, se punkt 4.3.2.

4.3.1.8 Personer som ikke har gyldig legitimasjon – eldre og svært syke personer

I noen sjeldne tilfeller vil norske statsborgere og personer med permanent opphold, med behov for å inngå kundeforhold, mangle gyldig legitimasjon og være ute av stand til å skaffe seg dette. Det vil typisk være snakk om eldre og/eller svært syke personer som likevel ikke er under vergemål. Disse kundene vil gjerne ha hatt gyldig legitimasjon tidligere, som er utløpt, og med en helsesituasjon som gjør det umulig å fornye disse. Deres behov for å inngå kundeforhold vil typisk være i forbindelse med skifte av dødsbo eller lignende inngåelse av kundeforhold for å sikre at personen mottar verdier de har krav på, og de vil typisk ha kundeforhold hos annen rapporteringspliktig fra tidligere.

Helt unntaksvis vil rapporteringspliktige kunne godta annen dokumentasjon og tiltak for å identifisere og bekrefte identiteten for slike personer. Finanstilsynet mener foretakene i særskilte unntakstilfeller for slike personer må kunne godta annen dokumentasjon og andre tiltak for å identifisere og bekrefte identiteten. Finanstilsynet understreker at det påhviler de rapporteringspliktige et strengt ansvar for å anvende denne adgangen som et særskilt unntak underlagt særlige prosedyrer og dokumentasjon. Den rapporteringspliktige må i så tilfelle innhente

• dokumentasjon på at kundens helse er av en slik art at det er umulig å skaffe gyldig ID. Det er ikke tilstrekkelig med erklæring fra lege om at det vil være ubeleilig å skaffe gyldig ID, da det må være reelt umulig.
• flere kilder som støtter konklusjonen om personens ID, for eksempel en kombinasjon av utgåtte identifikasjonspapirer (pass, førerkort etc.), brev fra offentlige myndigheter om trygd/pensjon/stønader og/eller tiltak, dokumentasjon på annet kundeforhold hos annen rapporteringspliktig, samt oppslag i Folkeregisteret. Så vidt mulig bør representanter for den rapporteringspliktige møte kunden.
• dokumentasjon på behovet for å inngå kundeforholdet. Det må være nødvendig å inngå kundeforholdet for å sikre personens krav på verdier e.l., for eksempel ved at personen er arving til et dødsbo som skiftes, eller behov for å selge egen bolig. Det at personen kan finne det fordelaktig eller beleilig å bytte bankforbindelse eller benytte seg av produktene hos andre foretak, vil aldri møte et slikt nødvendighetskrav.

4.3.1.9 Personer som ikke har gyldig legitimasjon – utenlandske statsborgere

Utenlandske statsborgere eller statsløse som har fått opphold etter utlendingsloven, men som ikke har gyldig legitimasjon
En del utenlandske statsborgere eller statsløse som har fått opphold etter utlendingsloven, har ikke gyldig legitimasjon fra hjemlandet. En del personer i denne gruppen har heller ikke gyldig ID-dokumentasjon fra norske myndigheter, eksempelvis manglende reisedokumenter fra norske myndigheter, eller at de er i prosess med å søke om reisebevis for flyktninger eller utlendingspass.

Finanstilsynet anser at hvitvaskingsregelverket åpner for at det for visse sårbare kundegrupper uten legitimasjon som oppfyller alle kravene i hvitvaskingsforskriften § 4-3, kan være tilstrekkelig at kundens identitet bekreftes ved å innhente oppholdskort og foreta annen nødvendig kontroll av identiteten, eksempelvis undersøke om Utlendingsdirektoratet har utstedt oppholdskortet og/eller innhente

• arbeidskontrakt, der slik finnes
• bekreftelse på rett på offentlige ytelser eller stønadsbekreftelse
• leiekontrakt på bolig, der slik finnes
• kopi av utenlandsk identitetskort, hvis personen har dette
• bekreftelse på kundens identitet fra en nærstående med gyldig legitimasjon

For personer som har søkt om utlendingspass eller reisebevis for flyktninger, kan finansforetak innhente dette som gyldig legitimasjon når det er mottatt.

Finanstilsynet anser at ovennevnte er egnet til å oppfylle kravene til legitimasjon, som gir adgang til grunnleggende bank- og forsikringstjenester. Kunder som innebærer høyere risiko, må håndteres basert på konkrete risikofaktorer. Finansforetak som er underlagt krav til kontraheringsplikt og finansiell inkludering, må påse at det ikke utvikles en diskriminerende praksis basert på flyktningstatus e.l. Hva som anses som grunnleggende banktjenester omtales i punkt 4.3.1.5.

Asylsøkere som ikke har fått avgjort asylsøknaden
Finanstilsynet anser at finansforetak kan gi asylsøkere som ikke har fått avgjort søknaden og som er uten konvensjonell gyldig legitimasjon, adgang til grunnleggende bank- og forsikringstjenester. Finanstilsynet anser ikke dette som brudd på hvitvaskingslovens regler. Hva som anses som grunnleggende banktjenester omtales i punkt 4.3.1.5. Banken skal i slike tilfeller bekrefte kundens identitet ved å innhente asylsøkerbevis og foreta annen nødvendig kontroll av identiteten, som eksempelvis å innhente

• kopi av utenlandsk identitetskort, hvis det finnes
• ansettelseskontrakt for asylsøkere med arbeidstillatelse fra UDI
• bekreftelse på kundens identitet fra en nærstående med gyldig legitimasjon

For begge gruppene nevnt ovenfor er det Finanstilsynets forventning at bankene tilbyr grunnleggende bank- og forsikringstjenester, dersom det ikke foreligger saklig grunn til å avslå. Saklig grunn til å avslå kan kun identifiseres gjennom at bankene foretar en konkret risikovurdering av hver enkelt person som ønsker å bli kunde eller benytte seg av bankens grunnleggende tjenester.

4.3.2 Personer som handler eller disponerer på vegne av kunden

4.3.2.1 Bekreftelse av identitet

Rapporteringspliktige skal bekrefte identiteten til den eller de som faktisk handler på vegne av kunden eller er gitt disposisjonsrett, ved gyldig legitimasjon, jf. hvitvaskingsloven § 12 andre ledd og § 13 andre ledd. Kravet er ufravikelig, med unntak av kundeforhold som skal underlegges forenklede kundetiltak, jf. hvitvaskingsloven § 16 og hvitvaskingsforskriften § 4-7.

Opplysninger om identiteten til personer som handler på vegne av kunden, eller er gitt disposisjonsrett over en konto eller depot, skal bekreftes ved gyldig legitimasjon. Dette gjelder også ved enhver senere endring av disponentforhold.

4.3.2.2 Bekreftelse av retten til å handle på vegne av kunden

Retten til å handle på vegne av kunden skal bekreftes ved skriftlig dokumentasjon, jf. hvitvaskingsloven § 12 andre ledd siste punktum og 13 andre ledd siste punktum.

Skriftlig fullmakt er eksempelvis

• firmaattest som dokumenterer rolle som styremedlem, daglig leder eller signaturberettiget. Bekreftelsen kan gjøres mot offentlige registre eller sendes elektronisk.
• konkret skriftlig fullmakt fra kunden
• vergemålsoppnevning fra Statsforvalteren
• skifteattest mv.

4.4 Bekreftelse av identitet – juridiske personer

4.4.1 Oppslag mot eller utskrift fra register eller firmaattest

Rapporteringspliktige skal innhente og bekrefte identiteten til kunder som er juridiske personer, jf. hvitvaskingsloven § 13. Omfanget og intensiteten av kundetiltaket er imidlertid risikobasert.

Opplysningene som skal innhentes om kunde som er juridisk person, er

1. foretaksnavn
2. organisasjonsform
3. organisasjonsnummeradresse
4. navnet på daglig leder og styremedlemmer, eller personer i tilsvarende stilling

Innhenting av informasjon skal være risikobasert. For å innhente informasjonen kan eksempelvis rapporteringspliktig be kunden om å legge frem firmaattest eller registerutskrift, herunder elektronisk utskrift i form av skjermbilde.

For å bekrefte informasjonen kan rapporteringspliktige verifisere opplysningene ved selv å ta utskrift, skjermbilde eller gjøre oppslag mot offentlig register eller firmaattest.

Både norske og utenlandske offentlige registre kan benyttes.

Gyldig legitimasjon for juridisk person vil i praksis være

• oppslag mot eller utskrift av firmaattest som ikke er eldre enn tre måneder. Dette gjelder foretak som er registrert i Foretaksregisteret. De fleste norske foretak og selskaper som driver næringsvirksomhet i Norge, er registrert her. Det samme gjelder utenlandske foretak som driver næringsvirksomhet i Norge.
• oppslag mot eller utskrift fra Enhetsregisteret som ikke er eldre enn tre måneder. Dette gjelder for enheter som ikke er registrert i Foretaksregisteret, men som har plikt eller rett til å registrere seg i Enhetsregisteret.
• oppslag mot eller utskrift fra andre offentlige registre. Dette gjelder enheter som verken er registrert i Foretaksregisteret eller Enhetsregisteret. I praksis gjelder dette utenlandske foretak som ikke driver næringsvirksomhet i Norge. Rapporteringspliktige må i slike tilfeller kreve oppslag mot eller utskrift fra utenlandsk offentlig register og eventuelt utenlandsk firmaattest.

Rapporteringspliktige kan benytte tjenesteleverandører for å fremskaffe nødvendig informasjon om juridiske personer i forbindelse med kundetiltakene. En forutsetning er at opplysningene er de samme opplysningene som fremkommer av aktuelle registre. Rapporteringspliktige må selv påse at kravene etter hvitvaskingsloven § 13 andre ledd er oppfylt.

Firmaopplysninger bør, uavhengig av lovens frister, være så oppdaterte som mulig. Der kundetiltakene baseres på oppslag i Foretaksregisteret, Enhetsregisteret eller tilsvarende utenlandske registre, skal oppslag gjøres når kundeforholdet etableres. Der kontrollen må baseres på firmaopplysninger som fremlegges av kunden, bør opplysningene ikke være eldre enn én måned.

Rapporteringspliktige må ha en risikobasert tilnærming ved bruk av utenlandske offentlige registre. Den rapporteringspliktige må blant annet vurdere registerets pålitelighet og om registeret er i et land med risiko for hvitvasking eller terrorfinansiering etter hvitvaskingsforskriften §§ 4-9 eller 4-10. Rapporteringspliktige kan ikke legge til grunn oppslag mot offentlig register som det eneste tiltaket for å bekrefte opplysninger om en juridisk person. I noen situasjoner kan det i tillegg være naturlig å kreve bekreftelse av en offentlig instans, advokat eller notarius publicus, der det er vanlig.   

Det må registreres opplysninger som sikrer notoritet om oppslaget og eventuelt andre tiltak som er gjennomført, for å oppfylle kravene til dokumentasjon, jf. hvitvaskingsloven § 30.

4.4.2 Plikt til å bekrefte rett kopi av legitimasjonsdokumenter

Rapporteringspliktige skal ta kopi av legitimasjonsdokumenter som er fremlagt i original, jf. hvitvaskingsloven 13 andre ledd og hvitvaskingsforskriften § 6-2. Den utførende ansatte hos den rapporteringspliktige må bekrefte at kopien av dokumentet er korrekt og at signerende person har foretatt kundetiltaket. Dato for gjennomføringen av kundetiltaket og «Rett kopi bekreftes» skal påføres kopien.

I stedet for signatur og påføring som nevnt over, kan det på annen måte sikres tilsvarende notoritet om bekreftelsen, herunder hvem som har foretatt bekreftelsen, og når den er foretatt.

4.4.3 Krav til organisasjonsnummer og registreringsplikt

Etter hvitvaskingsloven § 13 første ledd bokstav c skal det innhentes og bekreftes organisasjonsnummer til den juridiske personen. Dette gjelder uavhengig av om kunden har norsk eller utenlandsk organisasjonsnummer. Organisasjonsnummer for utenlandskregistrerte enheter inkluderer også registrerings- og registernummer eller tilsvarende, i henhold til fremlagt bekreftelse av opplysningene.  

I hvitvaskingsloven av 2018 ble det innført et krav om at rapporteringspliktige må registrere alle juridiske personer med et organisasjonsnummer, jf. hvitvaskingsloven § 13 første ledd. Juridiske personer som ikke er registrert med et organisasjonsnummer, vil derfor ikke kunne ha kundeforhold i rapporteringspliktige foretak.

4.4.3.1 Enheter og foretak med registreringsrett, men ikke registreringsplikt

De fleste norske foretak og selskaper, samt utenlandske foretak som driver næringsvirksomhet i Norge, har registreringsplikt i det norske Foretaksregisteret. Andre juridiske personer kan ha en plikt eller rett til å registrere seg i Enhetsregisteret. Øvrige juridiske personer som ikke har slik registreringsplikt i Enhetsregisteret, har rett og mulighet til kostnadsfritt å registrere seg i Enhetsregisteret. Dette vil typisk gjelde enkelte lag, foreninger eller sammenslutninger som ikke har registreringsplikt. Rapporteringspliktige må kreve at denne typen enheter registrerer seg i Enhetsregisteret for å kunne inngå kundeforhold i enhetens navn, slik at den rapporteringspliktige kan registrere organisasjonsnummeret til kunden.

4.4.3.2 Selskap under stiftelse

For norske og utenlandske juridiske personer som ennå ikke er registrert i norsk offentlig register, skal rapporteringspliktige innhente dokumentasjon på at den juridiske personen eksisterer. I tillegg skal det innhentes skriftlig erklæring fra den fysiske personen som representerer kunden om at innhentede opplysninger om den juridiske personen er riktige. For juridiske personer som er underlagt frist for registrering i offentlig register, skal rapporteringspliktig gjøre oppslag mot, eller innhente utskrift eller firmaattest fra offentlig register innen fire uker etter registrering eller utløpet av fristen for registrering.

Dersom de angitte kravene til etterfølgende innhenting av legitimasjon ikke etterkommes, skal kundeforholdet avvikles, jf. hvitvaskingsloven § 21 første ledd.

4.4.3.3 Foretak uten organisasjonsnummer

Dersom det unntaksvis foreligger utenlandske juridiske personer som ikke har, eller kan få utenlandsk organisasjonsnummer, vil rapporteringspliktige måtte innhente dokumentasjon for at den juridiske personen eksisterer, samt skriftlig erklæring fra en fysisk person som representerer kunden om at innhentede opplysninger om den juridiske personen er riktige. Den rapporteringspliktige må også innhente gyldig legitimasjon for kontaktpersonen.

Det skal innhentes lignende identifiserende opplysninger som organisasjonsnummer, eksempelvis TIN (Tax Identification Number), LEI (Legal Entity Number) eller annet unikt registreringsnummer. 

4.4.3.4 Styremedlemmer og daglige leder

Etter hvitvaskingsloven § 13 første ledd bokstav e skal det innhentes navnene på styremedlemmer og daglig leder, eller personer i tilsvarende stillinger. Navnene på disse personene må registreres og være søkbare i rapporteringspliktiges systemer. Det er ikke tilstrekkelig å lagre firmaattest eller dokumentasjon på oppslag i registre hvor disse navnene fremkommer. Navn på styremedlemmer og daglig leder skal være oppdatert. 

4.4.4 Fysiske personer som handler på vegne av kunden eller har disposisjonsrett

Opplysninger om fysiske personer som handler på vegne av juridisk person, herunder personer som har disposisjonsrett over konto eller depot, skal innhentes og bekreftes i samsvar med hvitvaskingsloven § 12 første og andre ledd, se nærmere kapittel 4.3.2. Retten til å handle på vegne av den juridiske personen skal bekreftes i samsvar med § 12 andre ledd, se nærmere kapittel 4.3.2.

4.5 Eierskap, kontroll og reelle rettighetshavere

4.5.1 Formål og utgangspunkt

Korrekte opplysninger om hvem som eier og/eller kontrollerer kunder og identiteten til reelle rettighetshavere, er nødvendig for å kunne avdekke om det er kriminelle som skjuler seg bak kunden, f.eks. i en komplisert selskapsstruktur. Opplysningene er også viktige for å avdekke reelle rettighetshavere som er politisk eksponerte personer, samt for å unngå kundeforhold med personer som står på internasjonale sanksjonslister, eller avdekke forhold som av andre grunner har betydning for risikoklassifiseringen av kunden.

Pliktene til å avdekke hvem som er reelle rettighetshavere, omfatter å

1. gjennomføre egnede tiltak for å forstå eierskaps- og kontrollstrukturen hos kunde som ikke er en fysisk person
2. identifisere reelle rettighetshavere
3. bekrefte identiteten til reelle rettighetshavere ved egnede tiltak

4.5.1.1 Forståelse for eierskaps- og kontrollstrukturen i kunden

Rapporteringspliktige må gjennomføre egnede tiltak for å forstå eierskaps- og kontrollstrukturen i kunden, jf. hvitvaskingsloven § 13 første ledd. Lovens krav om å gjennomføre egnede tiltak for å forstå eierskaps- og kontrollstrukturen i kunden gjelder uavhengig av forpliktelsen til å identifisere reelle rettighetshavere etter hvitvaskingsloven § 14, jf. nedenfor.

Hva som er «egnede tiltak» må ses i sammenheng med risikoen for hvitvasking og terrorfinansiering. Som et minimum må kunden opplyse om eier- og kontrollstrukturen, og opplysninger om det juridiske eierskapet skal innhentes. I utgangspunktet vil det være mest aktuelt å etterspørre relevante opplysninger fra kunden. Det beror på en risikovurdering om det er nødvendig å undersøke ytterligere og/eller bekrefte innhentet informasjon mot andre kilder. Eksempler på åpne kilder kan være internettsider som tilgjengeliggjør informasjon fra regnskapsrapporteringen, eller nyhetskilder som kaster lys over eierskaps- og kontrollstrukturen i relevante foretak, slik som aksjonæravtaler.

For et aksjeselskap med lav eller normal risiko vil informasjon fra kunden normalt kunne verifiseres mot aksjeeierboken, eller opplysninger fra offentlige kilder som regnskapsnoter, stiftelsesdokumenter, offentlige selskapsdatabaser mv.

For kunder med høy risiko kan det være relevant å innhente ytterligere opplysninger for å forstå eierskaps- og kontrollstrukturen, som for eksempel informasjon om kundens ledelse, selskapsstruktur, aksjonæravtaler og andre avtaler mellom eierne samt om ulike aksjeklasser. Stiftelsesdokumentene og vedtektene kan også gi relevant informasjon. Videre kan tredjemannsavtaler, herunder pantsettelsesavtaler og kreditoravtaler, være relevante dersom de regulerer innflytelse på kontrollen over virksomheten, for eksempel ved at de omfatter stemmerettigheter. 

4.5.2 Definisjon av reelle rettighetshavere

Hvem som er reell(e) rettighetshaver(e) i kunden, er definert i hvitvaskingsloven § 2 bokstav e: «fysisk person som i siste instans eier eller kontrollerer kunden, eller som en transaksjon eller aktivitet gjennomføres på vegne av».

Definisjonen av reell rettighetshaver må holdes atskilt fra formelt eierskap og formell kontroll. Kun fysiske personer kan være reelle rettighetshavere. Når den rapporteringspliktige skal identifisere hvem som er reelle rettighetshavere, skal den vurdere hvilke fysiske personer som innehar en tilstrekkelig andel av eierandelene eller av kontrollen i selskapet.

4.5.3 Risikobasert tilnærming

Rapporteringspliktige skal ha en risikobasert tilnærming når det gjelder identifisering av reelle rettighetshavere og bekreftelse av identiteten. I de fleste tilfeller er vurderingene nokså enkle ved at reelle rettighetshavere og fysiske personer oppgitt som eiere i offentlige register er de samme, eller ved at eierskapsstrukturen er oversiktlig. Det er særlig ved kompliserte eierskaps- og/eller kontrollstrukturer og forgreninger til land med lav gjennomsiktighet at identifisering og bekreftelse av reelle rettighetshavere kan utgjøre et omfattende og komplisert arbeid.

I kundeforhold identifisert med lav risiko for hvitvasking og terrorfinansiering vil rapporteringspliktige ha anledning til å anvende forenklede kundetiltak, og det er anledning til å lempe på kravet til bekreftelse av identiteten til reelle rettighetshavere. Dette kan for eksempel gjelde kunder som tilhører bransjer forbundet med lav risiko, land forbundet med lav risiko og høy transparens e.l. Motsatt vil det for høyrisikokunder være et krav til bekreftelse av informasjonen mot andre troverdige kilder.

4.5.4 Identifikasjon av reelle rettighetshavere når kunden er en fysisk person

Når kunden er en fysisk person skal det avgjøres om det finnes en reell rettighetshaver i tillegg til kunden, jf. hvitvaskingsloven § 12 tredje ledd. Dersom kunden opptrer på vegne av en annen fysisk person vil sistnevnte anses som reell rettighetshaver. Dersom det er en reell rettighetshaver, skal det innhentes opplysninger som er tilstrekkelige til å vite hvem vedkommende er. Ektefellers felles disposisjonsrett på konto eller foreldres disposisjonsrett på barnas konto i kraft av å være verge, anses ikke som reelle rettighetshavere.

Når det gjelder privatpersoner vil kunden selv i de fleste tilfeller også være reell rettighetshaver. Det er i slike tilfeller ikke nødvendig å registrere kunden som reell rettighetshaver. Hvis det ikke er indikasjoner på at kunden opptrer på vegne av en annen, vil det i utgangspunktet være tilstrekkelig å stille kunden et kontrollspørsmål for å avdekke om kundeforholdet etableres til fordel for en annen, eller om det vil bli benyttet til å utføre transaksjon(er) eller annen aktivitet på vegne av tredjeperson(er).

Rapporteringspliktige må være oppmerksomme på problemstillinger knyttet til bruk av stråmenn. Et eksempel kan være en kunde som oppretter konto i eget navn, men som i realiteten kontrolleres av andre personer, eller hvor voksne barn benytter foreldrenes konto for gjennomføring av egne transaksjoner.

Det skal innhentes opplysninger som er tilstrekkelige til å vite hvem den reelle rettighetshaveren er. Normalt bør den rapporteringspliktige innhente samme informasjon om den reelle rettighetshaveren som den skal innhente om kunden etter hvitvaskingsloven § 12 første ledd. Det avgjørende må imidlertid være at opplysningene som innhentes, er tilstrekkelige til å skille vedkommende person fra andre.

4.5.5 Identifikasjon av reelle rettighetshavere når kunden ikke er en fysisk person

4.5.5.1 Generelt om identifisering av reelle rettighetshavere når kunden ikke er en fysisk person

For kunde som ikke er fysisk person, skal det innhentes opplysninger om reelle rettighetshavere som er identifisert i samsvar med hvitvaskingsloven § 14. Opplysningene skal entydig identifisere den eller de reelle rettighetshaverne, jf. § 13 tredje ledd. Det kan legges til grunn at navn, adresse og fødselsdato normalt vil være tilstrekkelig til å gi en entydig identifikasjon av en reell rettighetshaver, men dette må vurderes konkret ut fra en risikovurdering. Som nevnt ovenfor, må det avgjørende være at opplysningene er tilstrekkelige til å skille vedkommende fra andre.

Fremgangsmåten for å komme frem til reelle rettighetshavere vil være avhengig av kompleksiteten i selskapsstrukturen og hvilke selskapsformer strukturen består av. Det kan være en kjede av fysiske og/eller juridiske personer som leder til de(n) fysisk(e) person(ene) som er reelle rettighetshaver(e).

Identifiseringen av reell rettighetshaver og bekreftelse av identiteten kan ikke overlates i sin helhet til kunden.

For kunder hvor eier- og kontrollstrukturen ikke går utenfor Norge, kan det etter en risikobasert tilnærming være tilstrekkelig å kontrollere opplysningene mottatt fra kunden mot opplysningene i Foretaksregisteret, register over reelle rettighetshavere (se punkt 4.5.6), eller offentlige opplysninger i skattemelding, regnskapsnoter e.l.

4.5.5.2 Identifikasjon av reelle rettighetshavere når kunden er en juridisk person eller sammenslutning

Dersom kunden er en juridisk person eller sammenslutning, angir hvitvaskingsloven § 14 første ledd seks ulike situasjoner som gir grunnlag for å anse en person som reell rettighetshaver. «Juridisk person eller sammenslutning» omfatter i denne sammenheng blant annet stat, kommune, fylkeskommune, selskap (både privateide og offentlig eide), institusjon, samvirke, forening og lag.

I § 14 første ledd bokstav a til e er det angitt situasjoner der en fysisk person har direkte kontroll over den juridiske personen eller sammenslutningen, mens det i § 14 første ledd annet punktum er angitt når en person indirekte anses å ha tilstrekkelig kontroll over den juridiske personen eller sammenslutningen. Ved identifisering av reell rettighetshaver skal man ta utgangspunkt i fordelingen av eierandeler og stemmerettigheter i den aktuelle kunden. Man må være oppmerksom på tilfeller der fordelingen av eierandeler og stemmerettigheter ikke er det samme, eksempelvis fordi aksjer er gitt ulik stemmevekt, eller det er inngått aksjonæravtaler om utøvelsen av stemmerettigheter, jf. b) og d) like nedenfor. Det følger av § 14 første ledd at man må avgjøre om det er fysiske personer, alene eller sammen med nære familiemedlemmer, som

1. eier mer enn 25 prosent av eierandelene i den juridiske personen eller sammenslutningen
2. på grunn av innehav av aksjer, andeler eller medlemskap kontrollerer mer enn 25 prosent av det totale antallet stemmer i den juridiske personen eller sammenslutningen
3. har rett til å utpeke eller avsette mer enn halvparten av den juridiske personens eller sammenslutningens styremedlemmer eller tilsvarende
4. på grunn av avtale med eiere, medlemmer, den juridiske personen eller sammenslutningen, vedtekter eller tilsvarende, kan utøve kontroll i samsvar med bokstav a, b eller c
5. på annen måte utøver kontroll over den juridiske personen eller sammenslutningen

Bokstav b kan blant annet være aktuell dersom en person har stemmerettigheter i kunden utover de som følger av eierandelen, for eksempel hvis det er utstedt ulike aksjeklasser med ulik stemmerett (f.eks. A- og B-aksjer).

Bokstav c omfatter kontroll som innebærer rett til å utpeke eller avsette mer enn halvparten av den juridiske personens styremedlemmer. I juridiske personer uten styre vil kriteriet gjelde utpeking eller avsetting av medlemmer av et organ med tilsvarende ansvar og kompetanse som styret har i aksjeselskaper. Rettigheten kan for eksempel være regulert i aksjonæravtale/ selskapsavtale eller i vedtektene.

Bokstav d omfatter tilfeller der det er inngått avtale, bestemt i vedtektene e.l., om at en person kan utøve kontroll på samme måte som nevnt i bokstav a til c. Et eksempel kan være at én aksjonær på grunnlag av en avtale med en annen aksjonærer kontrollerer flere stemmerettigheter enn eget formelle innehav gir grunnlag for. Et eksempel kan være at A og B, som eier henholdsvis 10 prosent og 30 prosent av aksjene i selskapet, har inngått en aksjonæravtale som gir A kontroll over Bs stemmerettigheter. A skal da registreres som reell rettighetshaver i henhold til bokstav d), jf. bokstav b). Selv om B har gitt fra seg stemmerettighetene, skal vedkommende registreres som reell rettighetshaver i henhold til sin eierandel, jf. bokstav a). Dette innebærer at aksjer som eies av B, men kontrolleres av A, blir «telt med» to ganger.

Bokstav e er en «sekkebestemmelse» som omfatter tilfeller der man på annet grunnlag enn det som er angitt i bokstav a til d, eventuelt sett i sammenheng med indirekte kontroll
(jf. nedenfor), mener at en bestemt fysisk person utøver kontroll over kunden. 

Dersom ingen fysisk person eier eller kontrollerer mer enn 25 prosent av eierandelene eller stemmene, bør den rapporteringspliktige vurdere om en av de fysiske personene med lavere eier- eller kontrollandel, likevel utøver faktisk kontroll. 

Når det gjelder kriteriene om eierskap av eierandeler (jf. bokstav a) og kontroll over stemmerettigheter (jf. bokstav b) må alle reelle rettighetshavere identifiseres, eventuelt må det avklares at det ikke er rom for flere reelle rettighetshavere som følge av eierskap eller kontroll over stemmerettigheter.

Rapporteringspliktig må vurdere, i lys av risikoen tilknyttet kunden, om alle kriteriene skal undersøkes i tilfeller der minst ett av dem allerede er oppfylt. Når det gjelder kriteriene om eierskap av eierandeler og kontroll over stemmerettigheter, må alle reelle rettighetshavere identifiseres, eventuelt må det avklares at det ikke er rom for flere reelle rettighetshavere som følge av eierskap eller kontroll over stemmerettigheter. Dette er eksempelvis aktuelt i tilfeller der eierskap eller kontroll over stemmerettigheter er fordelt på direkte og indirekte innehav.

Nære familiemedlemmer
Nære familiemedlemmers innehav av aksjer mv. skal regnes samlet. Dette innebærer at der flere nære familiemedlemmer for eksempel eier aksjer i kunden, skal eierandelene summeres. Dersom de samlet eier og/eller kontrollerer mer enn 25 prosent av aksjene, skal samtlige registreres som reelle rettighetshavere. På samme måte må nære familiemedlemmer regnes samlet ved indirekte kontroll. 

«Nære familiemedlemmer» er definert i hvitvaskingsloven § 2 bokstav g som foreldre, ektefelle, registrert partner, samboer og barn, samt barns ektefelle, registrert partner eller samboer. Dersom relasjonen er tilstrekkelig nær, men uten at personene er omfattet av lovens definisjon av «nære familiemedlemmer», kan det i konkrete tilfeller være grunn til å vurdere andre relasjoner i sammenheng, jf. § 14 første ledd bokstav e, eksempelvis søsken.

4.5.5.3 Identifikasjon av reelle rettighetshavere ved indirekte kontroll

Rapporteringspliktige må også vurdere om det er reelle rettighetshavere på bakgrunn av indirekte kontroll over kunden, eventuelt i kombinasjon med direkte eierskap og/eller direkte kontroll. Hvitvaskingsloven § 14 første ledd siste punktum regulerer hvem som er å anse som reelle rettighetshavere dersom det utøves kontroll gjennom flere ledd.

Dersom en eller flere fysiske personer gjennom kontroll over en eller flere juridiske personer, stiftelser, utenlandske juridiske arrangementer eller andre sammenslutninger utøver kontroll over en annen juridisk person eller sammenslutning på en måte som angitt i første ledd, skal den eller de fysiske personene anses å utøve kontroll også over den sistnevnte juridiske personen eller sammenslutningen.

«Kontroll» skal forstås slik at en fysisk person skal være å anse som reell rettighetshaver dersom vedkommende eier mer enn 25 prosent av et foretak, som igjen eier mer enn 25 prosent av kunden. En slik tilnærming kan gi et meget stort antall reelle rettighetshavere. Plikten er å avgjøre om det foreligger slik kontroll, noe som innebærer at avgjørelsen er vurderingsstyrt heller enn regelstyrt. Med andre ord kan det, avhengig av omstendighetene og vurdert risiko, være anledning til å gjøre en enklere vurdering i lavrisikosituasjoner, mens eier- og kontrollstrukturer forbundet med faktorer som tilsier høyere risiko (bransje, produkt, geografi), tilsier en grundigere vurdering.

Indirekte kontroll skal avgjøres på bakgrunn av hvilken innflytelse den fysiske personen har over den eller de juridiske personene som direkte eier eierandelene eller innehar stemmerettighetene i kunden. Enhver form for eierskap og kontroll kan være relevant, også en kombinasjon av direkte og indirekte eierskap/kontroll. Hvitvaskingsloven § 14 første ledd bokstav e kan være relevant her.

Eksempel på direkte kontroll:

Person As direkte eierandel på 20 prosent i Kunde AS er ikke tilstrekkelig til at Person A er å anse som reell rettighetshaver på bakgrunn av direkte kontroll, jf. § 14 første ledd a) – e). Person A eier også 60 prosent av AS X og har dermed kontroll over AS X. AS X’ eierandel på 10 prosent i Kunde AS er imidlertid ikke tilstrekkelig til at AS X anses å utøve kontroll over Kunde AS som angitt i § 14 første ledd a) – e). Her må det imidlertid ses på Person As faktiske innflytelse i Kunde AS, jf. § 14 første ledd e).

 

Eksempel på indirekte kontroll:

Eksemplet illustrerer at den rapporteringspliktige må forstå eier- og kontrollstrukturen for å avgjøre hvem som er reelle rettighetshavere. Siden ingen av selskapene X, Y, Z eller W har en eierandel som overstiger 25 prosent i Kunde AS, utøver ingen av selskapene kontroll over Kunde AS på en måte som angitt i § 14 første ledd a) – e). Her viser det seg imidlertid at det er samme person A som eier alle fire selskapene. På den måten kontrollerer Person A 4 x15 prosent = 60 prosent av Kunde AS. Så selv om kravet på indirekte kontroll i § 14 første ledd andre punktum ikke er til stede, ser vi at Person A likevel kontrollerer Kunde AS, jf. § 14 første ledd e). Person A er dermed å anse som reell rettighetshaver.

 

Eksempel på forenklet fondsstruktur:

Eksemplene illustrerer en forenklet og en kompleks fondsstruktur. Ved vurdering av reelle rettighetshavere er det nødvendig å kartlegge de ulike rollene og funksjonene i fondet. Det vil i mange tilfeller ikke forekomme reelle rettighetshavere på grunn av eierskap, men dette må undersøkes og avklares i den enkelte sak.     Rapporteringspliktige må særlig avdekke hvem som er bemyndiget til å beslutte investeringer, gjennomføre vesentlige endringer i strategier, portefølje, funding/kapital mv. Det vil typisk være fondsforvalter/AIF-forvalter og andre som har innflytelse på investeringer i fondet. Investorene vil kunne anses å utgjøre reelle rettighetshavere etter hvitvaskingsloven § 14 første ledd bokstav e.

Eksempel på kompleks fondsstruktur:

 

4.5.5.4 Når det ikke finnes reelle rettighetshavere, eller det er tvil om de identifiserte er reelle rettighetshavere

Hvitvaskingsloven tar som utgangspunkt at en kunde som ikke er en fysisk person, har reelle rettighetshavere og at disse kan identifiseres. Dette vil imidlertid ikke alltid være tilfelle.

Det følger av hvitvaskingsloven § 13 tredje ledd at «[d]ersom rapporteringspliktige etter å ha gjennomført alle rimelige tiltak enten mener det ikke finnes en reell rettighetshaver, eller mener det er tvil om at den eller de personene som er identifisert, er reelle rettighetshavere, kan opplysninger om styret og daglig leder eller tilsvarende innhentes, forutsatt at det ikke er mistanke om hvitvasking eller terrorfinansiering.»

Et eksempel på at det ikke finnes en reell rettighetshaver kan være dersom det er flere aksjonærer hvor ingen eier eller kontrollerer 25 prosent eller mer, og hvor det ikke foreligger avtale eller annet grunnlag som gir noen person rett til å utpeke eller avsette styremedlemmer eller for øvrig utøve kontroll utover det egen eierandel tilsier. For slike tilfeller er det ikke relevant å registrere daglig leder og styremedlemmene som reelle rettighetshavere.

Et annet eksempel kan være tilfeller hvor den rapporteringspliktige, etter å ha gjennomført tiltak for å kartlegge eier- og kontrollstruktur og reelle rettighetshavere, konkluderer med at det er tvil om indentifisert person faktisk er reell rettighetshaver. I slike tilfeller kan daglig leder og styremedlemmene registreres som reelle rettighetshavere.

Dette er en unntaksregel som først kommer til anvendelse når alle rimelige tiltak er gjennomført for å identifisere reell rettighetshaver i samsvar med § 14. Identifisering av reelle rettighetshavere skal skje i samsvar med en risikobasert tilnærming, jf. hvitvaskingsloven § 9. Samtlige kriterier i hvitvaskingsloven § 14 må være tilstrekkelig undersøkt før det kan fastslås at det ikke finnes en reell rettighetshaver.

For sammenslutninger som ikke har styremedlemmer og/eller daglig leder, kan personer i tilsvarende posisjoner registreres. Dette vil for eksempel være aktuelt dersom kunden er en forening. Dersom det er tvil om den identifiserte faktisk er reell rettighetshaver, må forannevnte opplysninger innhentes/registreres også om de(n) som er identifisert som reell(e) rettighetshaver(e).

Kravet til «egnede tiltak» forutsetter at dersom det er tvil om en identifisert person faktisk har tilstrekkelig kontroll eller innflytelse, eksempelvis fordi vedkommende fremstår som en stråmann, vil det normalt være nødvendig å gjøre ytterligere undersøkelser.

Dersom det er tvil om en identifisert person er reell rettighetshaver, kan den rapporteringspliktige komme til at kundetiltaket ikke har latt seg gjennomføre, dersom tvilen er sterk nok. I så fall vil den rapporteringspliktige være forpliktet til å avslå eller avvikle kundeforholdet.

Forutsetningen for å inngå eller opprettholde kundeforhold uten at det blir identifisert noen reell rettighetshaver etter at alle rimelige tiltak er utført, eller der det er tvil om at den identifiserte personen er reell rettighetshaver, er at det ikke foreligger indikasjoner som gir mistanke om hvitvasking eller terrorfinansiering. I tilfelle mistanke, må forholdet rapporteres til Økokrim, jf. hvitvaskingsloven § 26. Normalt vil det i slike tilfeller ikke være aktuelt å etablere eller videreføre kundeforholdet.

4.5.5.5 Unntak for børsnoterte selskaper

Hvitvaskingsloven § 14 andre ledd fastslår at rapporteringspliktige ikke skal identifisere reelle rettighetshavere når kunden er et selskap med eierandeler tatt opp til handel på regulert marked i EØS-stat eller i stat som er underlagt tilsvarende informasjonsplikt som det som gjelder ved notering på regulert marked i EØS-stat i verdipapirlovens forstand. Det samme gjelder når kunden er et majoritetseid datterselskap av et slikt børsnotert foretak. Ved vurderingen av tilsvarende opplysningsplikt i markeder utenfor EØS er det relevant å se til kravene til opplysningsplikt som følger av blant annet markedsmisbruksforordningen (2014/596/EU), transparensdirektivet (2004/109/EF) og prospektdirektivet (2003/71/EF).

Unntaket medfører ikke unntak fra plikten til å gjennomføre egnede tiltak for å forstå eierskaps- og kontrollstrukturen i kunden, jf. punkt 4.5.1.

4.5.5.6 Identifikasjon av reelle rettighetshavere i en stiftelse eller et utenlandsk juridisk arrangement

Hvitvaskingsloven § 14 tredje ledd angir hvem som er å anse som reelle rettighetshavere i stiftelser. Alle fysiske personer som innehar en av de nevnte rollene, i hvitvaskingsloven § 14 tredje ledd, skal registreres.

Hvitvaskingsloven § 14 fjerde ledd angir ulike roller i utenlandske truster og lignende juridiske arrangementer, der innehaverne av rollene skal anses som reelle rettighetshavere. Der rollen fylles av et foretak eller juridisk person, skal dennes reelle rettighetshaver registreres. I «lignende juridiske arrangementer» kan posisjoner/roller avvike fra det som er angitt. Reelle rettighetshavere vil da omfatte de fysiske personene som har lignende posisjoner/roller som beskrevet i tilknytning til truster. Informasjon om hvem som innehar denne typen roller, vil normalt ikke være tilgjengelig i offentlige registre, og rapporteringspliktige må derfor innhente denne på annen måte, eksempelvis ved å etterspørre slik informasjon av kunden, og innhente og vurdere underliggende/interne avtaler.

4.5.5.7 Reelle rettighetshavere – noen eksempler

Norske fond
Det må vurderes hvem som i siste instans, direkte eller indirekte, eier eller kontrollerer fondet. For verdipapirfond (UCITS) vil det være forvaltningsselskapet og dets faktiske ledelse som kontrollerer fondet og ved det er reell rettighetshaver. Informasjon om hvem som innehar disse rollene er tilgjengelig i Finanstilsynets virksomhetsregister.

Tilsvarende vil AIF-forvalter og dets faktiske ledelse være reell rettighetshaver for alternativt investeringsfond (AIF). Det vil typisk også kunne være andre reelle rettighetshavere i et alternativt investeringsfond, blant annet aksjonærer som på grunnlag av avtale har innflytelse på investeringer i fondet. Aksjonærenes innflytelse vil bero på nærmere avtaler som måtte være inngått (fondsvedtekter, aksjonæravtaler mv.).

I tilfeller der det alternative investeringsfondet er organisert som et indre selskap, vil hovedmannen være en reell rettighetshaver. Rapporteringspliktige kan dels innhente informasjon i offentlige registre slik som blant annet Finanstilsynets virksomhetsregister (for informasjon om hvem som er fondets forvalter og faktiske ledere), og vil i tillegg måtte be kunden om en oversikt over eier- og kontrollstrukturen for å få en fullstendig oversikt over hvem som innehar denne typen roller. Det kan etter omstendighetene også være grunn til å be om å få fremlagt underliggende/interne avtaler, som forvaltningsavtaler.

Utenlandske fondsstrukturer, herunder Private Equity fond
Utenlandske fond kan være både rapporteringspliktiges kunder og eiere til selskaper som er kunder (porteføljeselskaper). I tillegg kan også de selskapene som administrerer fondene, være kunder. Noen fond kombinerer tilhørighet i lavskatteland med komplisert selskapsstruktur og manglende åpenhet om både investorer og midlenes opprinnelse (se eksempler under punkt 4.5.5.4). I slike tilfeller vil fondene anses å inneha høy iboende risiko for hvitvasking og terrorfinansiering. Dersom det er utfordrende å forstå eierskaps- og kontrollstrukturen i et fond, vil det ha som konsekvens at det også vil være utfordrende å identifisere eventuelle reelle rettighetshavere

Ved vurdering av hvem som er reell rettighetshaver, bør den rapporteringspliktige blant annet be kunden fremskaffe oversikt over eier- og kontrollstruktur, samt om det finnes reelle rettighetshavere. Det er særlig relevant å avdekke hvilke roller i strukturen som på annen måte utøver kontroll, for eksempel hvem som er bemyndiget til å beslutte investeringer, gjennomføre vesentlige endringer i strategier, portefølje, finansiering, kapitalinnhenting mv. Relevant dokumentasjon for å vurdere reelle rettighetshavere er eksempelvis underliggende fondsavtaler, investoravtaler, vedtekter, instrukser for general partners mv.

Lag og foreninger mv.
For kunder som ikke har eierandeler, eksempelvis lag og foreninger, vil § 14 første ledd bokstav a) om krav til identifisering av eierandeler ikke være relevant. For lag og foreninger vil det i noen tilfeller være riktig å registrere styret og daglig leder som reell rettighetshaver, eventuelt den/de som handler på vegne av laget/foreningen, jf. punkt 4.5.5.4.

Offentlig myndighet mv.
Dersom staten eller kommunen er kunde, eller kunden er heleid av staten eller kommunen, vil det normalt ikke være noen fysisk person som eier eller kontrollerer kunden på en slik måte at vedkommende faller inn under definisjonen av reell rettighetshaver. Det må likevel vurderes i det enkelte tilfelle for å kartlegge eierskaps- og kontrollstrukturen i den enkelte kunde, da de administrative strukturene vil variere fra kommune til kommune, og fra virksomhet til virksomhet.

Ved kundeforhold med en kommune må det foretas en konkret vurdering av hvem som ivaretar den daglige ledelsen. Dette kan være rådmannen, eller den fysiske personen som ivaretar den daglige ledelsen av den delen av kommunen/enheten som inngår avtalen med den rapporteringspliktige.

For offentlig eide virksomheter vil det normalt være riktig å registrere daglig leder i enheten som inngår kundeforholdet med den rapporteringspliktige som reell rettighetshaver. Det er ikke nødvendig å registrere for eksempel medlemmer av et kommunestyre e.l.

4.5.5.8 Tjenestepensjon

Ved en tjenestepensjonsordning vil reelle rettighetshavere være den eller de fysiske personene som i siste instans eier eller kontrollerer kunden. Kunden i et tjenestepensjonsforhold er personen eller foretaket som har tegnet avtale om tjenestepensjon med forsikringsforetaket, og som betaler ordningens premie.

4.5.5.9 Filialer

En filial av et utenlandsk selskap (norskregistrert utenlandsk foretak) er underlagt et utenlandsk foretak. Den rapporteringspliktige skal derfor identifisere reell rettighetshaver til det utenlandske hovedselskapet. Det er for filialer særlig aktuelt å vurdere om personer i filialen utgjør reell rettighetshaver, jf. hvitvaskingsloven § 14 første ledd bokstav d.

4.5.6 Register over reelle rettighetshavere

Det vil bli innført register over reelle rettighetshavere i Norge, som i resten av EØS-landene. Lov om register over reelle rettighetshavere pålegger juridiske personer å registrere informasjon om deres reelle rettighetshavere i registeret. Registeret administreres av Brønnøysundregisteret, men er ikke i kraft ennå. Definisjonen av hvem som skal registreres som reell rettighetshaver i det nye registeret, avviker noe fra hvitvaskingsloven. Ikke alle typer juridiske personer er pålagt å registrere reelle rettighetshavere i registeret. Rapporteringspliktige må derfor være oppmerksomme på at det kan bli stilt krav om at de må gjøre ytterligere undersøkelser, eller registrere ytterligere informasjon enn hva som fremkommer av registeret. Avvik mellom opplysninger i registeret over reelle rettighetshavere og opplysninger gitt av kunden, vil kunne gi grunnlag for ytterligere undersøkelser.

Oppslag i slike norske eller utenlandske registre vil være ett av flere tiltak som kan inngå i identifiseringen av reell rettighetshaver. Dette kan imidlertid ikke være det eneste tiltaket.

Bruk av slike registre skal være risikobasert. For kunder med enkel eier-/kontrollstruktur, og hvor det ikke foreligger andre forhold som tilsier forhøyet risiko, kan opplysninger om reelle rettighetshavere i registeret normalt legges til grunn, forutsatt at det ikke avviker fra kundeopplysninger, eller at det er andre mistenkelige forhold.

Andre land har andre definisjoner av hva som er reell rettighetshaver. Dette innebærer at oppslag i utenlandsk register ikke nødvendigvis vil gi informasjon om alle som møter den norske definisjonen. En risikobasert tilnærming tilsier at det ikke må søkes ytterligere bekreftelser i tilfeller med lav eller normal risiko der en person møter den norske definisjonen, men ikke definisjonen i det landet registeret tilhører. Ved høyere risiko bør det innhentes annen dokumentasjon utover kundeerklæring når personen ikke er å finne i det aktuelle registeret.

For øvrig må rapporteringspliktige i situasjoner med høyere risiko gjøre en kritisk vurdering av kvaliteten og korrektheten av informasjonen i registeret over reelle rettighetshavere. For utenlandske registre er det særlig aktuelt å konsultere evalueringsrapporter fra FATF og/eller andre troverdige kilder.

4.5.7 Bekreftelse av identiteten til reelle rettighetshavere

For en kunde som er fysisk person, skal opplysninger om reell rettighetshavers identitet bekreftes ved egnede tiltak, jf. hvitvaskingsloven § 12 tredje ledd. Dersom kunden ikke er en fysisk person, skal det gjennomføres egnede tiltak for å bekrefte reelle rettighetshaveres identitet, jf. § 13 tredje ledd. Ulik ordlyd her er ikke ment å innebære noen realitetsforskjell.

At det skal iverksettes «egnede tiltak» for å bekrefte en reell rettighetshavers identitet, innebærer at den rapporteringspliktige, ut fra en risikovurdering, kan vurdere om det er tilstrekkelig å bruke opplysninger om reelle rettighetshavere gitt av kunden, og sammenligne disse med opplysningene innhentet fra offentlige selskapsregistre, informasjon i regnskapsnoter, register over reelle rettighetshavere (når det norske registeret er i kraft), et tilsvarende EU/EØS-register over reelle rettighetshavere eller et tilsvarende utenlandsk register.

Det stilles ikke krav om gyldig legitimasjon slik det gjøres ved kontroll av kundens identitet. Det kan normalt legges til grunn personnummer/D-nummer, eventuelt at navn, adresse og fødselsdato vil være tilstrekkelig til å gi en entydig identifikasjon av en reell rettighetshaver, men dette må vurderes konkret ut fra en risikovurdering. Det avgjørende må imidlertid være at opplysningene som innhentes, er tilstrekkelige til å skille vedkommende person fra andre.

Bekreftelse av identiteten kan normalt ikke overlates i sin helhet til kunden. Når det gjelder identifiseringen, er det ikke tilstrekkelig å spørre kunden om hvem reell rettighetshaver er, og så bygge på dette svaret uten egne bekreftelser av opplysningene som gis. Egne bekreftelser kan eksempelvis være i form av bekreftelse av opplysninger hos vedkommende myndigheter eller offentlige registre.

I tilfeller med lav risiko for hvitvasking eller terrorfinansiering kan det være aktuelt å anvende forenklede kundetiltak ved å lempe på kravet til bekreftelsen av identiteten til reelle rettighetshavere. I slike tilfeller kan det være tilstrekkelig å legge til grunn kundens informasjon.

I tilfeller med høy risiko for hvitvasking eller terrorfinansiering kan det likevel være aktuelt å kreve gyldig legitimasjon.

4.5.8 Dokumentasjon

Tiltakene som gjøres for å forstå eierskaps- og kontrollstrukturen i kunden, skal dokumenteres, jf. hvitvaskingsloven § 13 første ledd.

Rapporteringspliktige skal oppbevare dokumentasjon på hvem som er reelle rettighetshavere, herunder dokumentasjon på undersøkelsene som er foretatt for å kartlegge reelle rettighetshavere og resultatet av undersøkelsene. Dokumentasjonskravet gjelder også for tiltakene som er gjennomført for å bekrefte reelle rettighetshaveres identitet. Dette gjelder også om undersøkelsene viser at kunden ikke har reelle rettighetshavere. Tilsvarende må man, om det er tvil om den eller de som er identifisert er reelle rettighetshavere, alltid dokumentere hva som er gjort for å avklare hvem som er reell rettighetshaver. Dersom den som i utgangspunktet er identifisert som reell rettighetshaver likevel ikke skal anses som reell rettighetshaver, må dette begrunnes.

4.6 Forenklede kundetiltak

4.6.1 Innledning

Forenklede kundetiltak kan gjennomføres ved lav risiko for hvitvasking og terrorfinansiering, jf. hvitvaskingsloven § 16 og hvitvaskingsforskriften §§ 4-6 og 4-7. Utgangspunktet for alle kundeforhold er at det gjennomføres alminnelige kundetiltak, men hvis risikoen er lav, kan man gjennomføre forenklede kundetiltak. Det må foreligge konkrete forhold for at et kundeforhold skal anses for å ha lav risiko for hvitvasking og terrorfinansiering. Det kan ikke benyttes forenklede kundetiltak i tilfeller hvor det foreligger mistanke om hvitvasking eller terrorfinansiering.

Forenklede kundetiltak innebærer at rapporteringspliktige, etter en objektiv og konkret vurdering, kan redusere omfanget av kundetiltakene når det gjelder å bekrefte identiteten til reelle rettighetshavere, disponenter og de som har rett til å handle på vegne av kunden, samt innhenting og vurdering av nødvendige opplysninger om kundeforholdets formål og tilsiktede art.

Foretakets virksomhetsrettede risikovurdering gir grunnlaget for vurderingen av når forenklede kundetiltak kan anvendes. Dette betyr at i de tilfeller hvor det gjennom rimelige og dokumenterbare vurderinger fastslås at kundens risiko for terrorfinansiering og hvitvasking er lav, for eksempel fordi det bare tilbys svært begrensede finansielle tjenester til kunden, kan forenklede kundetiltak anvendes.

Den rapporteringspliktige må i tillegg vurdere momentene i hvitvaskingsforskriften § 4-6, som angir momenter som i den konkrete vurderingen av kundeforholdet kan gi en indikasjon på om risikoen for hvitvasking og terrorfinansiering er lav. De rapporteringspliktige må vurdere konkret om risikobildet totalt sett tilsier at kunden kan underlegges forenklede kundetiltak. Det er eksempelvis ikke tilstrekkelig at ett eller flere av momentene i hvitvaskingsforskriften § 4-6 er oppfylt, dersom det er øvrige risikomomenter som tilsier en høyere risiko. I et slikt tilfelle må kunden klassifiseres i en høyere risikoklasse, og relevante kundetiltak etter denne risikoklassen må gjennomføres.

Hvitvaskingsforskriften § 4-7 slår fast at krav til bekreftelse av identiteten til personer som handler på vegne av kunden, eller er gitt disposisjonsrett over en konto eller et depot, kan lempes på når kunden er underlagt forenklede kundetiltak. Opplysningene skal innhentes, men det stilles lempeligere krav til bekreftelse av opplysningene. Etter en konkret vurdering kan bekreftelse av opplysningene helt eller delvis unnlates.

I tråd med hvitvaskingslovens risikobaserte tilnærming bør risikoklassen «lav» være forbeholdt kunder som underlegges forenklede kundetiltak. 

Vurderingen som ligger til grunn for risikoklassifiseringen, må bygge på objektive og relevante forhold, og den må kunne dokumenteres. For den løpende oppfølgingen må vurderingen også baseres på blant annet opplysninger om det aktuelle produktet eller den aktuelle transaksjonstypen, herunder transaksjonsmønster, beløp og kundehistorikk. Man må også se på formål, omfang, regelmessighet og varighet av kundeforholdet.

4.6.2 Eksempler på forenklede kundetiltak

Eksempler på forenklede kundetiltak:

• Det utføres mindre omfattende tiltak for å bekrefte reelle rettighetshaveres identitet. Det vil i praksis si at rapporteringspliktige etter en konkret vurdering kan legge til grunn opplysninger i offentlige registre eller fra kunden uten ytterligere undersøkelser eller bekreftelse. Bekreftelse kan også etter en konkret vurdering unnlates.
• Det gjennomføres mindre omfattende tiltak for å få bekreftet retten (fullmakten) til å handle på vegne av kunden.
• Det lempes på kravene til bekreftelse av identiteten til den som handler på vegne av kunden, eller som er gitt disposisjonsrett. Opplysningene skal uansett innhentes.
• Rapporteringspliktige unnlater ytterligere undersøkelser om kundeforholdets formål og tilsiktede art fordi det fremstår som klart på bakgrunn av begrensningene som følger av tjenestene kunden ønsker. Oppstår det uklarhet rundt forholdet, må imidlertid kunden spørres. 
• Rapporteringspliktige gjennomfører periodisk løpende oppfølging sjeldnere enn for kunder med normal eller høy risiko. Overvåking for å avdekke avvik i transaksjoner og aktiviteter (hendelsesbasert løpende oppfølging) må imidlertid skje kontinuerlig.

Etter en konkret vurdering kan bekreftelse av opplysningene helt eller delvis unnlates.

Finanstilsynet forventer at de aktuelle rapporteringspliktige konsulterer EBAs Risk Factor Guidelines.

4.6.3 Risikomomenter i hvitvaskingsforskriften § 4-6

Hvitvaskingsforskriften § 4-6 angir momenter som kan tilsi at det foreligger lavere risiko ved kunden. Disse momentene kan aldri være eneste risikomoment for å fastslå lav risiko, og de må vurderes i lys av andre eventuelle risikomomenter ved kunden.

4.6.3.1 Risikomomenter knyttet til typen kunde

Hvitvaskingsforskriften § 4-6 andre ledd bokstav a oppstiller momenter knyttet til typen kunde. Ved vurderingen av om det foreligger lav risiko for hvitvasking og terrorfinansiering, kan følgende risikomomenter tilknyttet typen kunde vurderes: 

Selskaper notert på regulert marked som er underlagt informasjonsplikt som sikrer tilstrekkelig kunnskap om reelle rettighetshavere
Et moment som kan indikere lav risiko, er om kunden er et selskap notert på regulert marked som er underlagt informasjonsplikt som sikrer tilstrekkelig kunnskap om reelle rettighetshavere.

I verdipapirhandelloven § 2-7 fjerde ledd defineres «regulert marked» som «et multilateralt system som regelmessig legger til rette for kobling i systemet av flere tredjeparters kjøps- og salgsinteresser i finansielle instrumenter som er tatt opp til handel på markedet, i samsvar med objektive handelsregler fastsatt av markedet selv og kravene fastsatt i  [verdipapirhandelloven] med forskrifter, slik at det kan inngås bindende handel.»

Som ledd i avgjørelsen av om notering på regulert marked kan indikere lav risiko, må den rapporteringspliktige vurdere om kundens notering gjør at den er underlagt informasjonsplikt som eksempelvis sikrer tilstrekkelig kunnskap om reelle rettighetshavere. Vurderingen må begrunnes og dokumenteres. Det må videre vurderes konkret hvilke krav til gjennomføring av kundetiltak noteringen innebærer, sammenholdt med sektorens iboende risiko for hvitvasking og terrorfinansiering.

Som en del av vurderingen av om en handelsplass i EØS-området er å anse som et «regulert marked», kan det tas utgangspunkt i den europeiske verdipapir- og markedstilsynsmyndighetens (ESMA) register over handelsplasser mv.

Det at et selskap er notert på regulert marked, kan ikke alene begrunne at en type foretak anses å ha lav risiko. Som det fremgår av nasjonale- og internasjonale risikovurderinger, kan også kategorier av rapporteringspliktige foretak anses å ha høy iboende risiko for hvitvasking og/eller terrorfinansiering, tross notering på regulert marked. Dersom den rapporteringspliktige er usikker på om vilkårene er oppfylt, kan det ikke gjennomføres forenklede kundetiltak.

Offentlige forvaltningsorganer eller selskaper
Dersom kunden er et offentlig forvaltningsorgan eller offentlig eid selskap, kan dette være et moment som indikerer lav risiko.

Et offentlig forvaltningsorgan defineres i forvaltningsloven som «et hvert organ for stat eller kommune». Norske statlige forvaltningsorganer som treffer eller forbereder statlige forvaltningsvedtak, er blant annet regjeringen, departementer, direktorater, Skatteetaten, statlige nemnder og trygdeforvaltningen. Norske kommunale forvaltningsorganer er blant annet fylkeskommuner, kommuner, kommunestyret, fylkesting samt kommunale og fylkeskommunale nemnder.

Offentlige selskaper omfatter statlige, kommunale og interkommunale selskaper. For selskaper som er delvis eid av det offentlige, må man se på hvilken kontroll det offentlige innehar. Det vil være lavere risiko tilknyttet kunden hvis det offentlige eier mer enn 50 prosent, eller på annen måte har reell kontroll over selskapet.

Om utenlandske forvaltningsorganer og offentligeide selskaper kan regnes som forbundet med lavere risiko, beror på en risikobasert vurdering der det konkrete landets korrupsjonsrisiko står sentralt.

Kunder som er bosatt eller etablert i stater som anses å innebære lavere risiko
Dersom kunden er bosatt eller etablert i en stat som anses å innebære lavere risiko for hvitvasking og terrorfinansiering, kan dette være et moment som indikerer lav risiko.

Stater som anses å innebære lavere risiko, fremkommer av hvitvaskingsforskriften § 4-6 andre ledd bokstav c:

• EØS-stater
• tredjeland som er identifisert som land som har gjennomført tilfredsstillende og effektive tiltak for å bekjempe hvitvasking og terrorfinansiering
• tredjeland som er identifisert som land med lavt nivå av korrupsjon og annen kriminalitet

4.6.3.2 Risikomomenter knyttet til produkt, transaksjon, tjenesteytelse eller leveringskanal

Hvitvaskingsforskriften § 4-6 andre ledd bokstav b oppstiller momenter knyttet til produkt, transaksjon, tjenesteytelse eller leveringskanal som kan indikere lav hvitvaskingsrisiko. Følgende momenter kan tilsi at det foreligger lavere risiko:

• livsforsikring der den årlige premien er lav
• pensjonsforsikringspoliser som ikke har en gjenkjøpsklausul, og som ikke kan brukes til sikkerhetsstillelse
• pensjonsordninger eller lignende ordninger for ansatte, hvis bidragene innbetales som fratrekk i lønn og reglene for ordningen ikke tillater overdragelse av et medlems rettigheter i henhold til ordningen
• begrensede finansielle produkter eller tjenester som gis til visse kundegrupper med det formål å fremme finansiell inkludering
• produkter hvor risikoen for hvitvasking og terrorfinansiering styres av andre faktorer som beløpsgrenser eller gjennomsiktighet med hensyn til eierskap.

Flere av momentene knytter seg til forsikrings- og pensjonsprodukter.

Et annet moment er begrensede finansielle produkter og tjenester som gis til visse kundegrupper med det formål å fremme finansiell inkludering. Begrensede finansielle produkter knytter seg eksempelvis til begrensede banktjenester som bankkonto, bankkort uten bilde (debetkort), samt tilgang til begrensede betalingstjenester. Finansiell inkludering er nærmere omtalt under punkt 4.3.1.5.

Videre peker bestemmelsen på produkter hvor risikoen for hvitvasking og terrorfinansiering styres av andre faktorer som beløpsgrenser eller gjennomsiktighet med hensyn til eierskap. Den rapporteringspliktige må vurdere sine produkter, transaksjoner, tjenesteytelser og leveringskanaler dersom de anser noen av disse til å ha lav risiko. Eksempelvis kan forhåndsbetalte betalingskort med lave månedlige beløpsgrenser være et produkt med lav risiko. 

4.6.3.3 Geografiske risikomomenter

Hvitvaskingsforskriften § 4-6 andre ledd bokstav c oppstiller geografiske risikomomenter som kan indikere lav hvitvaskingsrisiko. Risikomomentene kan eksempelvis være knyttet til kundens tilhørighet, transaksjoner eller eksponering mot land. Følgende land er oppgitt som momenter som kan tilsi lav risiko:

• EØS-stater
• tredjeland som er identifisert som land som har gjennomført tilfredsstillende og effektive tiltak for å bekjempe hvitvasking og terrorfinansiering
• tredjeland som er identifisert som land med lavt nivå av korrupsjon og annen kriminalitet

Lavere geografisk risiko kan aldri være eneste risikomoment for å fastslå lav risiko. Momentet kan imidlertid være et tilleggselement som forsterker vurderingen av at kunden kan underlegges forenklede kundetiltak.

Hvilke stater som inngår i disse kategoriene, kan endre seg over tid, og rapporteringspliktige må vurdere og dokumentere hvilke stater de anser for å utgjøre lavere og høyere risiko. Generelt vil land som har blitt vurdert til å ha gjennomført tilfredsstillende og effektive tiltak for å bekjempe hvitvasking og terrorfinansiering av FATF, anses å oppfylle kravet i andre kulepunkt.

4.7 Kundetiltak i skadeforsikring og livsforsikring

4.7.1 Skadeforsikring – unntak fra krav om kundetiltak

Hvitvaskingsforskriften § 4-2 første ledd bokstav a gir unntak fra plikten til å foreta kundetiltak ved tegning av skadeforsikring. Med skadeforsikring menes produkter som omfattes av konsesjonsklassene i finansforetaksforskriften § 2-12, herunder reiseforsikringspoliser og kredittforsikringspoliser.

Et skadeforsikringsforetak kan gis tillatelse til å tilby enkelte produkter som omfattes av finansforetaksforskriften § 2-11 (livsforsikringsklasser), og et livsforsikringsforetak kan gis tillatelse til å tilby personforsikringer som er klassifisert som skadeforsikring (klasse 1 og 2 i § 2-12). Finanstilsynet legger til grunn at det vil være det konkrete produktet som tilbys, som vil avgjøre om forholdet omfattes av unntaket eller ikke, uavhengig av om det tilbys av et skadeforsikringsforetak eller et livsforsikringsforetak.

Unntaket i hvitvaskingsforskriften § 4-2 gjelder for kundetiltak etter hvitvaskingsloven § 10 første ledd bokstav a og b. Ved mistanke om hvitvasking eller terrorfinansiering etter bokstav c gjelder ikke unntaket.

For å foreta løpende oppfølging av kundeforholdet, som overvåking av transaksjoner etter hvitvaskingsloven § 24 første ledd, og for å vurdere om det foreligger mistanke om hvitvasking eller terrorfinansiering etter hvitvaskingsloven § 10 bokstav c, må foretaket likevel ha en viss kunnskap om kunden. Hvis det ikke er foretatt noen form for kontroll av kunden ved starten av kundeforholdet, vil det være vanskelig å vurdere om det foreligger en mistanke om hvitvasking. Finanstilsynet legger derfor til grunn at det må gjennomføres en viss grad av kundetiltak, selv om forsikringen som tegnes, medfører at det isolert sett foreligger et unntak fra plikten til å gjennomføre kundetiltak. For å kunne kjenne kunden i tilstrekkelig grad anser Finanstilsynet at foretaket minst må gjennomføre kundetiltak som angitt i hvitvaskingsloven § 12 første ledd bokstav a–c og § 13 første ledd, bokstav a–e. Dette medfører eksempelvis at bekreftelse på identitet etter § 12 andre ledd eller § 13 andre ledd i utgangspunktet ikke kreves. For juridiske personer bør den rapporteringspliktige også vite i hvilken bransje kunden driver sin virksomhet. 

Finanstilsynet legger til grunn at reglene om reelle rettighetshavere i hvitvaskingsloven § 14, samt forpliktelsen til å identifisere og gjennomføre forsterkede kundetiltak overfor politisk eksponerte personer omtalt i § 18, er omfattet av unntaket for kundetiltak.

Når foretaket skal vurdere om det foreligger mistanke om hvitvasking eller terrorfinansiering etter hvitvaskingsloven § 10 bokstav c, kan dette eksempelvis gjøres ved å vurdere momenter som er oppstilt i forskriftens §§ 4-9 og 4-10. Indikatorlister kan gi tilsvarende momenter. Eksempelvis kan store premieinnbetalinger som «feilbetalinger», som fører til raske tilbakebetalinger fra forsikringsforetaket, være en indikator som gir grunnlag for mistanke i den løpende oppfølgingen.

Plikt til å gjennomføre kundetiltak med bakgrunn i mistanke om hvitvasking og terrorfinansiering vil også innebære en plikt til å foreta nærmere undersøkelser etter hvitvaskingsloven § 25.

4.7.2 Livsforsikring

Hvitvaskingsforskriften § 4-6 om forenklede kundetiltak angir i andre ledd, bokstav b, nummer 1, at livsforsikring med lav årlig premie er et moment i vurdering av om risikoen for hvitvasking er lav. Finanstilsynet legger til grunn at en årlig premie som ikke overstiger 8 000 kroner, er å anse som lav risiko.

4.8 Forsterkede kundetiltak

4.8.1 Innledning

Dersom det er høy risiko for hvitvasking​ eller terrorfinansiering,​ skal rapporteringspliktige​ gjennomføre forsterkede kundetiltak, jf. hvitvaskingsloven § 17. I disse tilfellene skal de rapporteringspliktige iverksette ytterligere nødvendige tiltak for å sikre kjennskap om kunden, reelle rettighetshavere og kundeforholdets formål og tilsiktede art, utover det som følger av hvitvaskingsloven §§ 12 til 15.

Kravet om å gjennomføre forsterkede kundetiltak gjelder både ved etablering av kundeforholdet og ved løpende oppfølging.

Forsterkede kundetiltak skal gjennomføres for politisk eksponerte personer og mot korrespondentforbindelser utenfor EØS etter reglene i hvitvaskingsloven §§ 18 og 19.

4.8.2 Hvilke tiltak skal gjennomføres?

Kunder som underlegges forsterkede kundetiltak, er ikke en ensartet gruppe. Rapporteringspliktige må håndtere høyrisikokunder ut fra den konkrete arten og risikograden kunden representerer. Hvilke kundetiltak som vil være tilstrekkelige, og etter hvilken hyppighet, må vurderes ut fra den konkrete risikoen.

Grunnlaget for å underlegge en kunde forsterkede tiltak er følgelig førende for hvilke forsterkede tiltak som forventes. Rapporteringspliktige skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risikoen, og tiltakene må derfor være tilpasset de konkrete risikoene som er identifisert. For eksempel vil risikomomenter om mulig terrorfinansiering kreve forsterkede tiltak knyttet til midlenes anvendelse fremfor midlenes opprinnelse.

Et annet eksempel er kunder som vurderes å ha høyere risiko på grunn av risikomomenter ved bruk av stråmenn. I slike tilfeller er det er naturlig å innrette de forsterkede tiltakene mot å kontrollere om det er gitt korrekt informasjon ved kundetiltak. Et ytterligere eksempel er kunder med iboende høy risiko grunnet virksomhet i kontantintensive næringer, noe som bør utløse konkrete tiltak for å avdekke mulig skattekriminalitet. Følgelig vil forsterkede tiltak variere både i type og omfang for forskjellige kunder.

Finanstilsynet forventer i alle tilfeller at den rapporteringspliktige øker graden og arten av overvåkingen av kundeforholdet for å kunne oppdage transaksjoner og aktiviteter som synes uvanlige eller mistenkelige. Andre tiltak den rapporteringspliktige bør iverksette dersom den konkrete risikoen tilsier det, er å

• innhente og vurdere ytterligere informasjon om kunden (f.eks. yrke, formuesforhold, informasjon tilgjengelig i offentlige databaser, på internett osv.), og oppdatere informasjonen om kunden og reelle rettighetshavere oftere enn ellers
• innhente og vurdere ytterligere informasjon om formålet og den tilsiktede arten av kundeforholdet
• innhente og vurdere informasjon om opphavet til midlene og formuen til kunden
• innhente og vurdere informasjon om årsakene til planlagte eller gjennomførte transaksjoner
• påse at beslutningstakere innhenter godkjenning fra overordnet nivå for å påbegynne eller fortsette kundeforholdet
• gjennomføre forsterket overvåking av kundeforholdet ved å øke antallet og hyppigheten av kontroller. Dette kan for eksempel være å ha kortere intervaller for periodisk løpende oppfølging av kundeforholdet, og å velge ut mønstre av transaksjoner som krever nærmere undersøkelser. Rapporteringspliktige underlagt krav til elektroniske overvåkingssystemer, jf. hvitvaskingsloven § 38, forventes å ha egne regler for høyrisikokunder, for eksempel at terskelnivåer settes lavere enn kunder med normal og lav risiko, og/eller tilpassede/kundespesifikke regler
• kreve at den første betalingen som gjennomføres, blir gjort via en konto i kundens navn med en bank underlagt tilsvarende krav om gjennomføring av kundetiltak som den rapporteringspliktige selv

Rapporteringspliktige må ha kunnskap om blant annet kundeforholdets formål og tilsiktede art, herunder midlenes og eventuelt formuens opprinnelse og forventet bruk av kundens ønskede produkter og tjenester. Selv om rapporteringspliktige ikke skal gjennomføre kundetiltak på kundens transaksjonsparter, vil det i noen tilfeller være relevant å be om opplysninger og dokumentasjon om blant annet motparten, relasjonen, formålet/grunnlaget for transaksjonene og midlenes opprinnelse. Dette vil særlig gjelde ved noen typer utenlandstransaksjoner.

Der kunden er en juridisk person er det av særlig betydning å ha kunnskap om blant annet kundens bransje, forretningsmodell, formålet med og arten av virksomheten, og geografiske risikoer, for å kunne avdekke hvitvasking eller terrorfinansiering, eller annen ulovlig virksomhet (for eksempel omgåelse av FNs og EUs sanksjonsregimer). Det er likevel ingen krav om at den rapporteringspliktige må gjennomføre kundetiltak mot sin kundes kunde eller dennes forretningsforbindelser. Særlig når kunden selv er rapporteringspliktig vil det som utgangspunkt kunne legges til grunn at kunden gjennomfører egne kundetiltak i henhold til hvitvaskingsloven, med mindre det er indikasjoner på noe annet. I situasjoner med høyere risiko vil det kunne være aktuelt å forsikre seg mer generelt om at kunden har tilfredsstillende systemer for å sikre god regelverksetterlevelse, herunder kan det være relevant å innhente blant annet risikovurderinger og rutiner. Likeledes vil det for kunder som ikke er rapporteringspliktige, kunne være aktuelt å forsikre seg om at kunden har nødvendige kunnskaper og systemer for å hindre at de driver med uakseptabel risiko for hvitvasking, terrorfinansiering eller annen kriminalitet.

4.8.3 Risikofaktorer

I hvitvaskingsforskriften § 4-9 er det listet opp momenter som kan gi indikasjon på hvitvasking og terrorfinansiering. Denne er ikke uttømmende og må suppleres med oppdaterte eksterne kriminalitetsanalyser, eksempelvis NTAES’ utarbeidede rapporter og indikatorlister. Finanstilsynet forventer også at de aktuelle rapporteringspliktige konsulterer
EBAs Risk Factor Guidelines.

Hvitvaskingsforskriften § 4-9 må også suppleres med den rapporteringspliktiges vurderinger i risikovurderingen, jf. hvitvaskingsloven § 7. De rapporteringspliktige skal foreta en risikovurdering av foretakets risikoeksponering mot blant annet risikofaktorer tilknyttet kundemassen, produkt- og tjenestetilbud og geografiske forhold. Denne skal gjenspeiles i foretakets rutiner og gi grunnlag for risikoklassifiseringen av kundene, herunder de som underlegges forsterkede kundetiltak. 

4.8.3.1 Risikomomenter knyttet til kunde

Hvitvaskingsforskriften § 4-9 bokstav a gir eksempler på momenter som kan gi indikasjoner på hvitvasking og terrorfinansiering. Eksempelvis vil dette være selskaper der eierstrukturen synes unødvendig kompleks for virksomhetens art. Finanstilsynet forventer at rapporteringspliktige innhenter informasjon om den fullstendige selskapsstrukturen for å danne seg en oversikt over eierstrukturen og andre risikomomenter, som geografisk risiko som følger eierstrukturen.

Et annet risikomoment er at det er uvanlige omstendigheter tilknyttet kundeforholdet. Dette forutsetter at den rapporteringspliktige har god kjennskap til kundens virksomhet og formål med kundeforholdet. Det forutsetter også at den rapporteringspliktige har kunnskap om kundens aktivitet hos den rapporteringspliktige. 

4.8.3.2 Risikomomenter knyttet til produkt, transaksjon, tjeneste eller leveringskanal

Risikomomenter tilknyttet produkt, tjeneste, transaksjon og leveringskanal omfattes av forskriftens § 4-9 bokstav b.

Eksempelvis vil produkter og transaksjoner som fremmer anonymitet, være sårbare for hvitvasking og terrorfinansiering. For tilbydere av vekslings- og oppbevaringstjenester av virtuell valuta vil kundens bruk av såkalte privacy coins eller tjenester som tilslører opprinnelsen (såkalte tumblers/mixers) være en indikasjon. Bruk av produkter eller tjenester hvor bakenforliggende investorer eller rettighetshavere er vanskelig å få oversikt over, er en annen indikasjon.

Nye produkter og tjenester, inkludert nye leveringsmekanismer og bruk av ny teknologi for utvikling av nye og eksisterende produkter, er et annet moment som de rapporteringspliktige må håndtere. I slike tilfeller vil foretakene ha mindre erfaring og færre kilder å bygge på for å avdekke risikoen knyttet til produktet eller tjenesten. Nye produkter og tjenester må derfor også risikovurderes før de tas i bruk, jf. hvitvaskingsloven § 7 tredje ledd.

4.8.3.3 Geografiske risikomomenter

Særlige tiltak overfor høyrisikoland – hvitvaskingsforskriften § 4-10
Hvitvaskingsforskriften § 4-10 tredje ledd oppstiller hvilke forsterkede kundetiltak som minimum må gjennomføres med hensyn til kundeforhold og transaksjoner som involverer høyrisikoland, jf. § 4-10 første ledd.

Et kundeforhold eller transaksjonen «involverer» alltid et land som er utpekt som høyrisikoland, jf. første eller andre ledd, i følgende tilfeller:

1. kunden er etablert i et høyrisikoland, det vil for fysiske personer si at kunden er bosatt i et høyrisikoland og for juridiske personer at kunden er registrert i, eller har sitt hovedkontor i et høyrisikoland
2. midler som inngår i kundeforholdet, har sin opprinnelse i et høyrisikoland
3. midler er mottatt fra avsender i et høyrisikoland
4. midler skal overføres til mottaker i et høyrisikoland

Videre skal de forsterkede kundetiltakene opplistet i tredje ledd gjennomføres dersom den rapporteringspliktige ved gjennomføring av kundetiltak eller løpende kundetiltak avdekker at

1. en transaksjon går via et høyrisikoland, for eksempel der en mellomliggende betalingsformidler er basert i landet
2. reell rettighetshaver hos kunden er bosatt i et høyrisikoland

Rapporteringspliktige bør etter en risikobasert vurdering avgjøre om de forsterkede kundetiltakene opplistet i tredje ledd skal gjennomføres i tilfeller der det er kjent at kunden, eller kundens reelle rettighetshaver, har nære personlige eller profesjonelle forbindelser med et høyrisikoland.

Øvrige geografiske risikoer – hvitvaskingsforskriften § 4-9
Hvitvaskingsforskriften § 4-9 bokstav c ramser opp øvrige geografiske indikatorer ved mistanke om hvitvasking og terrorfinansiering, herunder land som støtter terrorvirksomhet eller der kjente terrororganisasjoner opererer i landet. Finanstilsynet forventer at de rapporteringspliktige vurderer den geografiske risikoen tilknyttet alle land som kundene har eksponering mot, herunder EØS-land. Vurderingen av den geografiske risikoen kan endre seg med endrede faktiske forhold, som politiske endringer, kjente kriminalsaker mv.

4.9 Forsterkede kundetiltak – politisk eksponerte personer (PEP)

4.9.1 Formål

Politisk eksponerte personer («PEP») er personer som innehar et særskilt offentlig tillitsverv og kan derfor være eksponert for bestikkelser og annen korrupsjon. Formålet med lovreguleringen knyttet til PEP-er er å motvirke at midler som har opphav i korrupsjon, blir plassert i foretak underlagt hvitvaskingsregelverket, ettersom det er internasjonalt stadfestet at kundeforhold med PEP-er på generelt grunnlag antas å innebære økt korrupsjonsrisiko.

Når kunden, personer som handler på vegne av kunden, eller som er gitt disposisjonsrett over en konto eller depot, eller reell rettighetshaver, er en PEP, skal rapporteringspliktige gjennomføre forsterkede kundetiltak, både ved innledende kundetiltak og i den løpende oppfølgingen. Det samme gjelder når nevnte personer er nært familiemedlem eller kjent medarbeider (samlet omtalt som «nærstående») til en PEP. At den som handler på vegne av kunden, eller er gitt disposisjonsrett, også må vurderes som mulig PEP, er en særnorsk regel.

Kravet om å undersøke om ovennevnte personer er PEP eller nærstående er et innledende ordinært kundetiltak som må gjennomføres for alle kunder. Dersom kunden, personer som handler på vegne av kunden, eller som er gitt disposisjonsrett over en konto eller depot, eller reell rettighetshaver er en PEP, må kunden underlegges forsterkede kundetiltak.

Nærstående, som er kunder eller har relevante roller i kunder hos den rapporteringspliktige, skal identifiseres da de også kan dra fordel av, eller bli misbrukt i forbindelse med hvitvasking av midler som stammer fra korrupsjon. At en kunde eller rolleinnehaver identifiseres som PEP eller nærstående, skal ikke være stigmatiserende.

Selv om det er regelstyrt at PEP-er skal underlegges forsterkede tiltak, vil det variere hvilke forsterkede tiltak som er nødvendige. De konkrete korrupsjonsrisikoene som hefter ved forskjellige land, vil også kunne påvirke det forventede omfanget og intensiteten i de forsterkede tiltakene. Eksempelvis bør rapporteringspliktige gjennomføre mer omfattende kundetiltak på en PEP i et land med høy korrupsjonsrisiko enn en PEP i et land med mindre korrupsjonsrisiko.

4.9.2 Hvem er PEP?

Det er kun fysiske personer som kan være PEP.

Hvilke stillinger og verv som medfører at en fysisk person anses som PEP, er uttømmende listet opp i hvitvaskingsloven § 2 bokstav f. Hvitvaskingsloven av 2018 utvidet definisjonen av PEP til også å omfatte nasjonale PEP, samt medlem av styrende organ i politisk parti og flere funksjoner i internasjonale organisasjoner.

Definisjonen er ikke tidsbegrenset. En person er PEP så lenge personen innehar, eller har innehatt, en av de opplistede stillingene eller vervene. Ingen stillinger på mellomnivå eller lavere nivå omfattes av PEP-definisjonen.

Selv om selve PEP-definisjonen ikke er tidsbegrenset, ligger det en tidsbegrensning i at de forsterkede tiltakene skal gjennomføres i minst ett år etter at PEP-en avsluttet stillingen eller vervet. Etter denne tidsperioden beror det på en risikobasert vurdering om og hvor lenge forsterkede tiltak skal gjennomføres. Eksempelvis har det betydning i hvilken utstrekning personen fortsatt kan utøve uformell innflytelse, og om personens nåværende funksjoner på noe vis henger sammen med tidligere funksjoner. Det må foretas en konkret vurdering av hvilken posisjon eller innflytelse personen har etter at stillingen har opphørt. Momenter i vurderingen vil kunne være om personen har en relasjonsbyggende funksjon, eksempelvis ambassadør, om personen i praksis fortsetter å ha samme rolle, om personen har vært PEP i særlig utsatte land eller om personens nye stilling eller oppdrag gir makt og innflytelse på en måte som muliggjør utilbørlig vinning. 

Den norske definisjonen av PEP må legges til grunn. I den konkrete vurderingen av om en person er PEP i et annet land, kan rapporteringspliktige ta utgangspunkt i om vedkommende har en aktuell stilling eller et verv som anses som PEP i det aktuelle landet. EUs femte hvitvaskingsdirektiv pålegger landene å utarbeide lister over hvilke nasjonale stillinger og verv som gir status som PEP i det aktuelle landet. Listene skal konsolideres av EU-kommisjonen.

I tillegg vil nært familiemedlem eller kjent medarbeider av PEP, jf. hvitvaskingsloven § 2 bokstav g og h også måtte underlegges forsterkede kundetiltak som PEP.

Dersom nær familie eller kjent medarbeider mister tilknytningen til den politisk eksponerte personen, kan dette bety at personen ikke lenger skal anses som PEP. Denne vurderingen må imidlertid også være risikobasert. En separasjon eller skilsmisse på papiret kan være proforma for å påse at ektefellen ikke lenger underlegges forsterkede tiltak. Det at en kjent medarbeider skifter jobb til en stilling uten tilknytning til den politisk eksponerte personen, vil imidlertid bety at personen ikke lenger anses som kjent medarbeider.

4.9.3 Nasjonale stillinger som anses som PEP

Følgende spesifikke nasjonale stillinger og verv medfører status som PEP i tråd med opplistingen i hvitvaskingsloven § 2 bokstav f:

Statsoverhode, regjeringssjef, minister eller assisterende minister:

• kongen
• statsminister
• minister i regjering (statsråd)
• assisterende minister = statssekretær

Medlem av nasjonalforsamling:

• stortingsrepresentanter
• faste eller varige vararepresentanter

Medlem av styrende organ i politisk parti:

• hovedstyre eller tilsvarende høytstående organ i henhold til partiets vedtekter, i politiske partier som er representert på Stortinget

Medlem av høyere rettsinstans som treffer beslutning som ikke, eller bare unntaksvis, kan ankes:

• dommere i Høyesterett, midlertidige og faste stillinger
• dommere i lagmannsretten
• kun ansatte i domstolsapparatet, ikke lekdommere/meddommere
• midlertidige og faste stillinger

• norske dommere ved internasjonale domstoler, f.eks.:
• Den europeiske menneskerettighetsdomstolen (EMD)
• EFTA-domstolen
• FN-domstolen (ICJ)

Medlem av styre i riksrevisjon, revisjonsdomstol eller sentralbank:

• medlemmer og varamedlemmer av riksrevisjonskollegium i Riksrevisjonen
• styret i Norges Bank

Ambassadør, chargé d’affaires eller militær offiser av høyere rang:

• norsk ambassadør / chargé d’affaires ved norsk ambassade (konsul omfattes ikke)
• militær offiser av høyere rang
• forsvarssjefen
• øverste ledere i de ulike forsvarsgrenene: general, generalløytnant og generalmajor (som tilsvarer admiral, viseadmiral og kontreadmiral i sjøforsvaret)

Medlem av administrativt, ledende eller kontrollerende organ i «statlig foretak»:

• styret og administrerende direktør i statlige foretak
• «Statlige foretak» er statlige selskaper som ivaretar offentlige oppgaver som hører inn under den offentlige administrasjonen. Det avgjørende er om det dreier seg om statlige myndigheter, selv om disse representeres ved et foretak. Statseide selskaper som ikke utfører oppgaver som omfatter offentlig forvaltning, faller utenfor definisjonen.
• Datterselskap av slike selskaper omfattes ikke, ei heller selveiende institusjoner (typisk stiftelser) som helt eller delvis er finansiert av offentlige midler.
• Lokale foretak, som fylkeskommunale og kommunale foretak, er ikke omfattet.

Direktør, styremedlem eller annen person i den øverste ledelsen i en internasjonal organisasjon:

• Personer som er innstilt, utpekt eller ansatt av regjering, departement eller minister i en internasjonal organisasjon som er opprettet ved inngåelse av en formell internasjonal politisk avtale:
• Eksempler på dette er slike stillinger i EFTA, NATO og FN.
• Ideelle organisasjoner er ikke omfattet.

Selv om en person ikke klassifiseres som PEP, kan personen likevel etter en konkret vurdering av risiko omfattes av øvrige krav om forsterkede kundetiltak i hvitvaskingsloven § 17. Dette kan for eksempel gjelde for kunder med tilknytning til land som er kjent for høy forekomst av korrupsjon, organisert kriminalitet eller tilsvarende. Det kan også gjelde for andre offentlige stillinger og nivåer som etter en konkret risikovurdering må underlegges forsterkede kundetiltak. 

4.9.4 Håndtering av PEP

Forsterkede kundetiltak etter reglene om PEP skal gjennomføres ved følgende kundeforhold:

Kunden er PEP, eller person som handler på vegne av kunden, er PEP
Kunden kan være PEP kun der kunden er en fysisk person. Når det gjelder personer som handler på vegne av kunden, er det kun fysiske personer som faktisk representerer kunden, og som er aktive overfor den rapporteringspliktige, som skal regnes som PEP. Det vil si at ikke alle som har en teoretisk mulighet til å representere kunden, skal regnes som PEP, jf. hvitvaskingsloven §§ 12 fjerde ledd og 13 fjerde ledd, dersom disse ikke faktisk representerer kunden overfor den rapporteringspliktige.

Personer som er gitt disposisjonsrett over en konto eller depot, er PEP
Personer som er gitt disposisjonsrett over en konto eller depot, skal forstås på samme måte som i hvitvaskingsloven §§ 12 og 13. Dersom en person kun har innsynsrett på en konto eller depot, skal ikke personen behandles som PEP, jf. hvitvaskingsloven §§ 12 fjerde ledd og 13 fjerde ledd. Kundeforholdet må ikke underlegges forsterkede kundetiltak etter reglene om PEP dersom vedkommende er PEP.

Reell(e) rettighetshaver(e) er PEP
Dersom kundens reelle rettighetshavere er en eller flere politisk eksponert(e) person(er), må det gjennomføres forsterkede kundetiltak. Hvem som skal anses som reell rettighetshaver, fremkommer av hvitvaskingsloven §§ 2 bokstav e, 12, 13 og 14.

Kunden, reell rettighetshaver, person som handler på vegne av kunden eller er gitt disposisjonsrett over en konto eller depot, er nært familiemedlem til PEP
Nære familiemedlemmer omfatter foreldre, ektefelle, registrert partner, samboer og barn, samt barns ektefelle, registrert partner eller samboer. Søsken, stebarn og steforeldre omfattes ikke av definisjonen. Adoptivbarn er likestilte med biologiske barn.

Kunden, reell rettighetshaver, person som handler på vegne av kunden eller er gitt disposisjonsrett over en konto eller depot, er kjent medarbeider til PEP
Kjente medarbeidere omfatter for det første fysiske personer som er kjent for å være reell rettighetshaver i juridisk person, sammenslutning eller utenlandsk juridisk arrangement i fellesskap med politisk eksponert person.

Kjente medarbeidere omfatter også personer som er kjent for å ha nær forretningsforbindelse til en PEP. Rapporteringspliktige er ikke forpliktet til å klarlegge samtlige personer som
PEP-en har et nært forretningsmessig partnerskap med. Det er kun personer som den rapporteringspliktige har kunnskap om at er i et slikt forhold med kunden, eller personer som har en relevant rolle hos kunden, som vil omfattes av definisjonen.

Det kan tenkes tilfeller hvor graden av nærhet mellom kunden og den politisk eksponerte personen ikke fremkommer i dokumentasjon, mens andre forhold tilsier at det må være en forretningsforbindelse, og at denne er kjent. Dette kan være hvor en person har mange andre forretningsforbindelser med en PEP på en slik måte at det er sannsynlig at den reelle rettighetshaveren er en nær forretningsforbindelse også i den aktuelle sammenhengen.

Andre nære forbindelser enn forretningsforbindelser omfattes ikke. Eksempler på dette er der personene er medlemmer i det samme politiske partiet, eller dersom kundene har en fast advokatforbindelse som representerer dem.

Kjente medarbeidere omfatter også tilfeller der medarbeideren er kjent for å være eneste reelle rettighetshaver i juridisk person, sammenslutning eller utenlandsk juridisk arrangement som i realiteten er etablert for å begunstige politisk eksponert person. Dette er ment å være en snever regel. Det kreves at samtlige tre vilkår er oppfylt:

1. Personen er reell rettighetshaver i den juridiske personen.
2. Den juridiske personen eksisterer for å begunstige en politisk eksponert person.
3. Vedkommende er kjent for dette.

4.9.5 Systemer for å avgjøre om kundeforholdet involverer PEP

Et av de generelle kundetiltakene rapporteringspliktige må gjennomføre ved etablering av kundeforhold og ved løpende oppfølging av kunden, er å ha «systemer» for å avgjøre om relevante personer er PEP.

Loven angir ikke hvilke systemer som rapporteringspliktige skal ha. Omfanget og arten i undersøkelsene av om det foreligger PEP-er, må avgjøres basert på en risikobasert vurdering, og både manuelle og digitale systemer kan anvendes.

Spørsmål til kunden
De rapporteringspliktige må minimum innhente en egenerklæring fra kunden hvor det spørres om det er en PEP i en relevant rolle. Kunden må bekrefte om kunden selv (begrenset til fysiske kunder), personer som er gitt disposisjonsrett, personer som handler på vegne av kunden eller reell rettighetshaver, er PEP, eller er nært familiemedlem eller kjent medarbeider til en PEP.

Kunden må spørres på en slik måte at det er mulig for kunden å forstå hva spørsmålet gjelder og hvordan en PEP er definert.

Den rapporteringspliktige kan vurdere å spørre om det er øvrige rolleinnehavere (slik som for eksempel styremedlemmer) som er PEP, men da må dette være klart og tydelig forankret i den rapporteringspliktiges rutiner. Dersom en PEP eller nærstående til PEP blir identifisert blant personer som verken er kunden, handler på vegne av kunden overfor den rapporteringspliktige eller er disponenter eller reell rettighetshaver, må den rapporteringspliktige vurdere konkret om det er grunnlag for å underlegge kunden forsterkede kundetiltak.

I enkelte tilfeller vil det være opplagt at kunden er PEP eller nærstående, eksempelvis der kunden eller ektefellen er statsråd eller stortingsrepresentant. I slike tilfeller er det ikke påkrevd med egenerklæringer eller bruk av egne systemer.

I mange tilfeller vil det være tilstrekkelig å innhente egenerklæring fra kunden, men en risikobasert vurdering kan tilsi at den rapporteringspliktige må iverksette ytterligere tiltak. I hvilken utstrekning opplysningene fra kunden skal bekreftes eller suppleres, beror på en vurdering av risikoen for hvitvasking og terrorfinansiering.

Screening/lister
Rapporteringspliktige plikter ikke å benytte kommersielle lister for screening av politisk eksponerte personer, og identifiseringen av PEP-er kan ofte gjøres ved søk i åpne kilder. Det er flere kommersielle tilbydere av elektroniske lister med oversikt over PEP-er, herunder nære familiemedlemmer og kjente medarbeidere med tilknytning til PEP-er. Listene har begrenset positiv og negativ troverdighet, og det er ofte mange falske treff og mangler i listene. Slike lister kan benyttes av rapporteringspliktige som del av undersøkelsene av om kundeforholdet vil inkludere en relasjon til en PEP. Den rapporteringspliktige må kjenne til hva tjenesten inkluderer og hvilke svakheter den har, eksempelvis hvor ofte de oppdateres, om det er større treffsikkerhet tilknyttet type PEP, land mv. Rapporteringspliktige må ha rutiner for hvordan tjenesten skal brukes, og i hvilke tilfeller man må ha øvrige manuelle undersøkelser og bekreftelse på informasjon. 

Andre tiltak
Etter en risikovurdering kan det være nødvendig med ytterligere tiltak utover å spørre kunden. Det kan eksempelvis benyttes åpne kilder, som internettsøk, eller å kontakte utenlandske myndigheter for å klargjøre faktiske forhold.

Tidspunkt for undersøkelse av om det foreligger et PEP-kundeforhold
Plikten til å avgjøre om det foreligger et PEP-kundeforhold inntreffer før etablering av kundeforhold etter hvitvaskingsloven § 10 andre ledd bokstav a, eller utføring av transaksjonen etter samme bestemmelse bokstav b. Det samme gjelder hvis det foreligger mistanke om hvitvasking eller terrorfinansiering.

I enkelte tilfeller kan den rapporteringspliktige ha behov for å foreta ytterligere undersøkelser av om en kunde skal klassifiseres som PEP. Kundetiltakene kan gjennomføres i ettertid av kundeopprettelsen dersom det skjer uten ugrunnet opphold og før kunden kan benytte seg av den rapporteringspliktiges tjenester. Det kan ikke skje i etterkant ved gjennomføring av en enkeltstående transaksjon.

4.9.6 Forsterkede kundetiltak ved kundeforhold der PEP er involvert

4.9.6.1 Informasjon som skal innhentes om PEP

Hvitvaskingsloven §§ 12 og 13 oppstiller krav til hvilken informasjon som minimum skal innhentes om en kunde, den som handler på vegne av kunden, disponenter og reell rettighetshaver.

I tillegg må følgende informasjon om PEP innhentes:

• PEPs posisjon, stilling eller verv, herunder informasjon om geografisk tilhørighet
• dato for opphør av PEPs posisjon, stilling eller verv, dersom denne er kjent

I tilfeller der kunden eller en relevant rolleinnehaver (reell rettighetshaver, den som handler på vegne av kunden eller disponent) er nærstående eller kjent medarbeider til en PEP, bør minimum PEP-ens navn, fødselsdato, adresse og stilling innhentes. I tillegg bør personens tilknytning til PEP-en dokumenteres.

4.9.6.2 Forsterkede kundetiltak

Når et kundeforhold involverer PEP i en relevant rolle, skal det gjennomføres forsterkede kundetiltak.

Rapporteringspliktige må minst gjennomføre følgende forsterkede kundetiltak overfor PEP:

• Påse at det innhentes godkjenning fra overordnet i den rapporteringspliktige før etablering eller opprettholdelse av kundeforholdet. Godkjenningen må dokumenteres.
• Gjennomføre tilstrekkelige tiltak for å fastslå formuens og midlenes opprinnelse.

Rapporteringspliktiges risikovurdering avgjør hvilke konkrete forsterkede tiltak som skal gjennomføres utover disse. Det innebærer at det kan være relevant å gjøre ytterligere tiltak for å sikre kunnskap om kunden, reelle rettighetshavere og kundeforholdets formål og tilsiktede art. Rapporteringspliktige kan også innhente utfyllende opplysninger om kundeforholdet eller transaksjonen.

Forsterket kundetiltak kan også innebære skjerpet elektronisk og manuell oppfølging av kundeforholdet og transaksjoner.

Nærmere om formuens og midlenes opprinnelse
Rapporteringspliktige må gjennomføre tilstrekkelige tiltak for å fastslå «formuens og midlenes opprinnelse».

«Formuen» er en PEPs totale økonomiske situasjon. «Midlene» er det som inngår i kundeforholdet og som den rapporteringspliktige skal befatte seg med.

Der en PEP eller nærstående innehar en relevant rolle i et kundeforhold, er det opprinnelsen til kundens midler som skal avklares ved gjennomføring av de forsterkede kundetiltakene. Undersøkelsen av PEPs formue og midler begrenser seg til eventuelle midler som inngår i kundeforholdet, eller den enkeltstående transaksjonen, ikke PEP-ens formue og midler generelt. Det kan være relevant å innhente regnskapsdokumentasjon og lignende for å vurdere om det er sammenblanding mellom kundens og PEP-ens midler, som for eksempel lån mellom partene.

Eksempelvis vil det være relevant å fastslå formuens og midlenes opprinnelse for en PEP eller nært familiemedlem som er personkunde i en bank, men ikke dersom PEP-en eller nært familiemedlem bare er disponent i et bedriftskundeforhold og ikke har skutt midler inn i kundeforholdet, eller kan sluse egne midler inn som en del av kundens midler. Derimot vil det eksempelvis være meget relevant å fastslå midlenes og formuens opprinnelse til en reell rettighetshaver som er PEP, som skyter inn store beløp i kunden.

Hva som utgjør «tilstrekkelig tiltak» vil variere med kundens risikoklassifisering. Arten og omfanget av kundetiltakene må bero på en risikobasert tilnærming.

4.9.7 Løpende oppfølging av PEP

Det skal gjøres forsterket løpende oppfølging av kundeforholdet der kundeforholdet involverer PEP, nært familiemedlem til PEP eller kjent, nær medarbeider til PEP. Forsterkede kundetiltak skal gjennomføres i minst ett år etter at PEP trådte ut av stillingen eller vervet. Deretter må det ut fra en risikovurdering avgjøres om PEP skal omklassifiseres eller fortsatt være underlagt forsterkede kundetiltak. Den løpende oppfølgingen må være tilpasset risikoklassifiseringen som kunden er underlagt. Som ledd i den periodiske løpende oppfølgingen, forventes det også at kunden spørres om en PEP har en relevant rolle i kundeforholdet på samme måte som ved etablering av kundeforholdet.  

Rapporteringspliktige skal etter en risikobasert tilnærming også gjennomføre løpende oppfølging av alle kundeforhold for å undersøke om relevante personer har blitt PEP, eller fått tilknytning til PEP etter loven. For større virksomheter med mange kunder bør kundemassen kontrolleres for PEP-er minst månedlig. Slik kontroll kan skje ved screening mot lister. Det vil si at det ikke er nødvendig å kontakte kunden med PEP-spørsmål månedlig. 

I tillegg til gjennomgang med jevnlige intervaller bør rapporteringspliktige gjennomgå kundebasen sin ved offentlige hendelser hvor det normalt gjøres endringer i hvem som kan anses som PEP. Dette kan være ved stortingsvalg, utnevning av regjeringsmedlemmer og relevante utnevnelser i statsråd.

Rapporteringspliktige må også gjennomføre løpende kundetiltak dersom de blir oppmerksomme på informasjon som tilsier at det foreligger et PEP-kundeforhold. For eksempel kan man få inn en ny kunde som er PEP, hvor det er indikasjoner på slektskap med en eksisterende kunde.

4.9.8 De-risking av PEP-er

Det er ikke anledning til å avvise en kunde med begrunnelse i at vedkommende er PEP. En eventuell økt risiko skal identifiseres og håndteres. Det kan imidlertid være andre forhold ved kunden som gir grunnlag for avvisning eller avvikling av kunden, basert på den konkrete risikoen personen utgjør.

4.10 Forsterkede kundetiltak – korrespondentforbindelser

4.10.1 Generelt

Korrespondentforbindelse defineres i hvitvaskingsloven § 2, som yting av tjenester fra en institusjon som korrespondent til en annen institusjon som respondent, herunder opprettelse av en foliokonto eller annen trekkonto med tilknyttede tjenester, som likviditetsstyring, internasjonale pengeoverføringer, sjekkavregning, oppgjørskontoer og valutatjenester. Definisjonen er utvidet sammenlignet med 2009-loven, som kun omfattet korrespondentbankforbindelser. Korrespondentforbindelser kan etableres ved avtaleinngåelse, men ikke alle kundeforhold som kan møte definisjonen av en korrespondentforbindelse, vil regnes som sådan uten at det er avtalt.

Korrespondentforbindelsene kan inngås mellom banker, kredittforetak, finansieringsforetak, e-pengeforetak, verdipapirforetak, betalingsforetak og andre med rett til å yte betalingstjenester, forvaltningsselskaper for verdipapirfond, forsikringsforetak, foretak som driver forsikringsformidling, verdipapirsentraler, forvaltere av AIF-fond og låneformidlere seg imellom, herunder der lignende tjenester ytes av en korrespondentinstitusjon til en respondentinstitusjon, samt forbindelsene som er opprettet med sikte på verdipapir-transaksjoner eller pengeoverføringer. Inngåelsen av en korrespondent-/respondentavtale innebærer etablering av et kundeforhold, og det er dermed gjenstand for kundetiltak. Hvilke kundetiltak den enkelte rapporteringspliktige har ansvar for å gjennomføre, kan dokumenteres i en avtale mellom partene. I en slik avtale bør det fremgå hvilke kundetiltak den respektive rapporteringspliktige har rett til å gjennomføre, hvilken informasjon som skal deles, og konsekvenser av at avtalen ikke etterleves.

Korrespondentavtaler kan for eksempel inneholde tjenester som

• internasjonale bankoverføringer i korrespondentforbindelsens valuta/stat/land
• oppgjørskontoer
• valutavekslingstjenester
• betalingstjenester innenfor korrespondentforbindelsens valutaområde
• betalingstjenester i annen valuta enn korrespondentforbindelsens valuta/stat
• internasjonale betalingstjenester og bankoverføringer
• oppgjørskontoer, mellomregningskontoer, interimkontoer, nostrokontoer, vostrokontoer, cash pool-kontoer, «cash concentration»-kontoer, «payable through»- kontoer, verdipapirkontoer mv.

Som korrespondentforbindelse skal den rapporteringspliktige overvåke respondentinstitusjonens totale transaksjoner og blant annet vurdere om dens risikoprofil endres, om den har endret hvilke risikoreduserende tiltak den gjennomfører, om respondentens aktiviteter eller transaksjoner er uvanlige, eller om det er avvik fra den avtalen som er inngått om korrespondentforholdet. Dersom slike forhold avdekkes, skal korrespondentbanken følge det opp overfor respondentbanken. I denne sammenheng kan det også være aktuelt å be om informasjon om spesifikke kunder. Det er ikke et krav at den rapporteringspliktige, i rollen som korrespondentforbindelse, skal gjennomføre kundetiltak av respondentforbindelsens kunder.

Hvitvaskingsloven § 2 bokstav i nr. 2 omhandler korrespondentrelasjonene som ikke er korrespondentbankforbindelser. Definisjonen omfatter «forbindelsene mellom rapporteringspliktige som nevnt i § 4 første ledd bokstav b, c, e, g til l, n og o seg imellom, herunder der lignende tjenester ytes av en korrespondentinstitusjon til en respondentinstitusjon (…).». Finanstilsynets forståelse er at «lignende tjenester» i hvitvaskingsloven § 2 bokstav i nr. 2 peker tilbake på «banktjenester» i § 2 bokstav i nr. 1. Enhver kontraktsrettslig avtale mellom to rapporteringspliktige medfører altså ikke at det er inngått avtale om korrespondentforbindelse.

4.10.2 Korrespondentforbindelser innenfor EØS

Korrespondentforbindelser innenfor EØS må risikovurderes for å fastslå om den konkrete risikoen tilknyttet forbindelsen tilsier at forsterkede tiltak også må gjennomføres for disse. Dette gjelder også innad i Norge.

I tilfeller der respondenten ikke anses å representere høy risiko for hvitvasking og/eller terrorfinansiering, skal det på vanlig måte gjennomføres kundetiltak, jf. hvitvaskingsloven
§ 13 mv., herunder opplysninger om respondenten, dens eiere, reelle rettighetshavere, ledelse/styre og eventuelle PEP-er. Det skal gjennomføres egnede tiltak for å forstå respondentens eierskaps- og kontrollstruktur. For å kunne etterleve krav i § 9 om risikobaserte kundetiltak, bør det også gjennomføres tiltak for å kartlegge respondentens omdømme, herunder ved å vurdere offentlige tilsynsrapporter, gjøre mediesøk mv., og risikofaktorer for hvitvasking og terrorfinansiering.

Det skal videre innhentes og vurderes nødvendige opplysninger om kundeforholdets formål og tilsiktede art. Ved inngåelse av korrespondentavtale med respondent bør det på et risikobasert grunnlag vurderes å innhente informasjon om

• respondentens forretningsmodell, produkter og tjenester
• hvordan respondenten vil benytte korrespondentforbindelsen (herunder eventuell «nesting»)
• respondentens kundemasse (type, omfang mv.)
• respondentens forventede type og størrelse på transaksjonene, for slik å kunne identifisere eventuelle avvik under løpende oppfølging
• informasjon om respondentens etterlevelse av antihvitvaskings- og terrorfinansieringsregelverket, og etterlevelse av sanksjonsregelverket

Ved bruk av standardiserte spørreskjemaer fra internasjonale organisasjoner, for eksempel Wolfsberg Correspondent Banking Due Diligence Questionnaire (CBDDQ), må den rapporteringspliktige vurdere om det må innhentes mer informasjon i enkelte tilfeller, for eksempel for banker med høyere risiko.

4.10.3 Korrespondentforbindelser utenfor EØS

Korrespondenttjenester som er grensekryssende, er internasjonalt vurdert å ha høy iboende risiko for hvitvasking og terrorfinansiering, og dette er særlig gjeldende utenfor EØS. Ved inngåelse av avtale om korrespondentforbindelse med en institusjon utenfor EØS, vil det, jf. hvitvaskingsloven § 19 alltid måtte gjennomføres forsterkede kundetiltak, i tillegg til kundetiltakene som må gjennomføres mot korrespondentforbindelser innenfor EØS.

Det fremgår av § 19 hvilke forsterkede kundetiltak som må gjennomføres i korrespondentforhold med høy risiko, og for øvrig må den rapporteringspliktige innrette sine forsterkede kundetiltak mot høyrisikofaktorene som er identifisert. Finanstilsynet anser at det er aktuelt å innhente informasjon om følgende forhold som ledd i forsterkede kundetiltak overfor respondenter:

• hvitvaskings- og terrorfinansieringsrisikoene i landet som er respondentens hjemland, herunder kvaliteten på tilsynet i landet, basert på troverdige kilder som for eksempel internasjonale evalueringsrapporter
• respondentens etterlevelse av hvitvaskingsregelverket, ved å innhente og vurdere respondentens risikobaserte rammeverk og kontrolltiltak
• ytterligere informasjon om respondentens risikofaktorer, forretningsmodell, produkter, tjenester og kunder
• eventuelle tilknytninger mellom respondentens ledelse og individer forbundet med kjent høyere risiko for hvitvasking og/eller terrorfinansiering

Relevante kilder som ledd i forsterkede kundetiltak vil være, utover informasjon og besøk/intervju hos respondenten, tilgjengelig informasjon fra offentlige myndigheter (herunder tilsynsmyndighet), medierapporter, rapporter fra internasjonale organisasjoner (som FATF og IMF) mv.

Det er ikke krav om å gjennomføre kundetiltak mot respondentens kunder, men i situasjoner med særlig høy risiko kan det være aktuelt å inkludere tiltak der det føres stikkprøver med respondentens kunder for å forsikre seg om at respondenten har tilfredsstillende etterlevelse av egne rutiner.

Omfanget av tiltakene vil avhenge av risikoen, og det er tillatelig å gjennomføre mindre omfattende forsterkede kundetiltak i tilfeller der den rapporteringspliktige konkluderer med at respondenten er hjemmehørende i et ikke-EØS-land med effektive kontrolltiltak og effektivt tilsyn mot hvitvasking og terrorfinansiering.

For korrespondentforbindelser med høy risiko må den rapporteringspliktige også gjennomføre løpende forsterkede tiltak.

4.10.4 RMA-nøkler

Enkelttransaksjoner eller utveksling av SWIFT Relationship Management Application keys (RMA) der det ikke etableres et kundeforhold, faller ikke inn under definisjonen av korrespondentforbindelser.

4.10.5 Respondentforbindelser

Der den rapporteringspliktige kun er respondentinstitusjon, er kravene til tiltak vesentlig færre grunnet den lavere risikoen. Den rapporteringspliktige må minimum ha en skriftlig avtale med korrespondentforbindelsen som regulerer og dokumenterer institusjonenes ansvar og rutiner for håndteringen av respondentforholdet.

4.10.6 Underliggende korrespondentforhold («nested accounts» / «downstream banking»)

En rapporteringspliktig må gjøre nødvendige tiltak for å forstå hvordan deres respondentrelasjon vil tilby tjenester gjennom korrespondentavtalen. Dette kan skje ved at det opprettes underliggende korrespondentrelasjoner, hvor respondentinstitusjonen lar andre finansinstitusjoner benytte sin avtale med den rapporteringspliktige for å gi tilgang til dennes tjenester. I slike tilfeller må korrespondentinstitusjonen påse at slike relasjoner er kjent, herunder forretningsvirksomhet og dens geografiske tilstedeværelse og type transaksjoner som skal gjennomføres. Videre må det påses at respondentforbindelsen er transparent med tanke på transaksjonsovervåking og screening.

Korrespondentinstitusjonen må påse at den har rutiner for å avdekke underliggende korrespondentforhold, og rutiner for tiltak for når slike avdekkes. Ved å formidle overføringer fra andre rapporteringspliktige utsettes korrespondenten for en risiko for hvitvasking og terrorfinansiering ved at de ikke kjenner kundene og midlenes opprinnelse.

Korrespondentinstitusjonen må dermed ha forståelse for og vurdere respondentinstitusjonens rammeverk for oppfølging og kontroll av sine respondentinstitusjoner. Det kan skje ved at korrespondentinstitusjonen stiller krav og forventninger til etterlevelsen i avtaleverket og i den løpende oppfølgingen av korrespondentforholdet, i tillegg til å kontrollere rutinene til respondentinstitusjonene.

4.11 Løpende oppfølging

Hvitvaskingsloven stiller krav til løpende oppfølging av kundeforholdet. Rapporteringspliktige skal oppdatere kundeopplysninger og annen relevant dokumentasjon, samt overvåke kundeatferd, herunder transaksjonsmønstre. Plikten omfatter også screening mot FNs og EUs sanksjonslister, se punkt 10.3.4 samt Frysveilederen.

Den rapporteringspliktige skal løpende følge med på kundenes aktivitet og påse at den kjenner kunden tilstrekkelig til å gjennomføre nødvendige kundetiltak og vurderinger for å kunne håndtere risikoen som den enkelte kunde innebærer. Formålet med oppfølgingen er å påse at kundeinformasjonen er oppdatert og å oppdage avvikende eller endret atferd fra kunden.

I praksis deles løpende oppfølging ofte i periodisk løpende oppfølging og hendelsesbasert løpende oppfølging. Den periodiske løpende oppfølgingen gjennomføres i faste intervaller for å påse at alle kunder blir gjenstand for løpende oppfølging. Hendelsesbasert løpende oppfølging utløses gjerne av en endring som sår tvil om de tidligere innhentede opplysningene er korrekte eller tilstrekkelige. Det kan for eksempel være kundeatferd/transaksjoner som avviker markant fra det vanlige og forventede, eller når det skjer vesentlige endringer hos kunden, for eksempel større endringer på eiersiden i en kunde, skifte av bransje, aktivisering av hylleselskap etc.

Hvor hyppig det er behov for å gjennomføre periodiske løpende oppfølging vil bero på kundens risikoklassifisering og kundens atferd. Normalt vil det være tilstrekkelig å oppdatere informasjon og dokumentasjon når det gjelder endrede forhold, i tillegg til etter faste intervaller.

Felles for periodisk og hendelsesbasert løpende oppfølging er at den blant annet skal omfatte og overvåke at transaksjoner som utføres i kundeforholdet, er i samsvar med innhentede opplysninger om kunden, kundens virksomhet og risikoprofil, midlenes opprinnelse og kundeforholdets formål og tilsiktede art. Kundetiltakene i den løpende oppfølgingen skal, på samme måte som ellers, være risikobaserte og tilpasset den aktuelle risikoen.

Rapporteringspliktiges kjennskap til kunden og dennes forhold er sentral for å kunne oppdage eventuelt avvikende transaksjonsmønstre. Det er derfor ikke tilstrekkelig at transaksjonsovervåkingen kun følger generelle regler for mistenkelige transaksjoner, eller at det kun anvendes generelle sjekklister over noen indikatorer. Kravet til løpende oppfølging av kundens transaksjoner gjelder også for andre transaksjoner enn pengeoverføringer, herunder verdipapirtransaksjoner, transaksjoner i virtuell valuta etc.

Den manuelle eller elektroniske transaksjonsovervåkingen må også kunne koble sammen transaksjonen med kunnskapen om den enkelte kunden. Denne informasjonen må inngå i en fornyet vurdering av kunden, som kan føre til en re-klassifisering av kundens risikonivå. 

Avvik fra forventet kundeatferd kan i visse tilfeller både være en indikator på hvitvasking og terrorfinansiering som utløser undersøkelses- og/eller rapporteringsplikt, og utløse krav til løpende kundetiltak. Hva som innebærer et avvik, må vurderes mot kunnskapen foretaket allerede besitter om kunden. Finanstilsynets oppfatning er at den rapporteringspliktige må foreta konkrete og kritiske vurderinger av om informasjonen de allerede har, er korrekt. Det kan eksempelvis tenkes at en kunde melder fra om at det vil gjennomføres større transaksjoner fra et tredjeland til sin norske konto grunnet et arbeidsopphold i tredjelandet. Den rapporteringspliktige må ha en risikobasert tilnærming til om det må undersøkes hva slags arbeidsforhold det er snakk om, hva som er antatt lønn, og om overføringene stemmer med hva som vil være naturlig for en slik situasjon.

I tilfeller hvor den rapporteringspliktige oppdager at kunden har avvikende transaksjons-mønstre, må den rapporteringspliktige innhente opplysninger om bakgrunnen for dette med mindre det er klart mistenkelige forhold. Som regel vil endret atferd ha en naturlig forklaring, som at kunden har byttet jobb, eller at kundens virksomhet har ekspandert eller endret formål. I slike tilfeller må det innhentes nødvendige oppdaterte opplysninger og dokumentasjon.

Hvis en transaksjon ser usedvanlig ut fra rapporteringspliktiges kjennskap til kundens inntekts- og formuesforhold, herunder likviditet, skal rapporteringspliktige innhente nødvendig informasjon og dokumentasjon på midlenes opprinnelse. Dokumentasjon kan eksempelvis være salgsavtale, lønnsseddel, booppgjør e.l.

Ønsker en kunde eksempelvis å sette inn et større beløp, som rapporteringspliktig vurderer som usedvanlig for kunden, kan rapporteringspliktig innhente opplysninger og dokumentasjon for opprinnelsen av midlene som kunden ønsker å sette inn. Når det gjelder kunder med forhøyet risiko, kan det være nødvendig å innhente opplysninger om midlenes opprinnelse innen den rapporteringspliktige foretar en transaksjon eller en aktivitet på vegne av kunden.

Ved kontant innbetaling på klientkonto skal betalingsmåten registreres i tillegg til betalers navn.

Ettersom kravet om overvåking både gjelder for transaksjoner og aktiviteter, kan det være relevant å ha både en manuell og en systembasert overvåking.

Etter hvitvaskingsloven § 24 tredje ledd skal det gjennomføres forsterket løpende oppfølging der kunden eller reell rettighetshaver er PEP eller nært familiemedlem eller kjent medarbeider til en PEP. Dette gjelder også i tilfeller hvor kunden eller reell rettighetshaver blir en PEP i løpet av kundeforholdet. Forsterket løpende oppfølging må gjennomføres for alle kunder som er vurdert å ha høyere risiko, og dermed er underlagt forsterkede kundetiltak.

Foretaket må ha operative rutiner for hvordan løpende oppfølging skal gjennomføres for forskjellige risikoklasser, herunder om hyppigheten og innholdet av oppfølgingen. Rutinen må også tydeliggjøre at løpende oppfølging kan føre til en omklassifisering av hvilke kundetiltak kunden skal underlegges. Videre må rutinen klargjøre undersøkelses- og rapporteringsplikten knyttet til den løpende oppfølgingen.

Den løpende oppfølgingen må dokumenteres og lagres i henhold til hvitvaskingsloven § 30. Det må både dokumenteres at det er gjennomført løpende kundetiltak, og hvilke endringer som er gjennomført, dersom tiltakene fører til oppdatert eller endret dokumentasjon på kunden.

Dersom løpende kundetiltak ikke kan gjennomføres, skal kundeforholdet avvikles, jf. punkt 5.

5 Avvisning, delvis avvikling og avvikling av kundeforhold

5.1 Avvisning av kunde eller transaksjon

Dersom kundetiltak, herunder eventuelle påkrevde forsterkede kundetiltak, ikke kan gjennomføres, skal rapporteringspliktige ikke etablere kundeforholdet eller utføre transaksjonen, jf. hvitvaskingsloven § 21. Med «utføre transaksjonen» siktes det til hvitvaskingsloven § 10 første ledd bokstav b) som gjelder «transaksjoner for kunder som rapporteringspliktig ikke har et etablert kundeforhold til».

Det er heller ingen plikt etter finansavtaleloven av 1999 § 14 til å gjennomføre transaksjoner som klart er forbundet med kriminalitet, og som ved gjennomføring kan sette den rapporteringspliktige i et strafferettslig medvirkningsansvar. Slike tilfeller vil typisk være overføringer til kjente muldyrkontoer, eller forhold der kunden åpenbart har befatning med utbytte fra kriminalitet eller hensikt om å finansiere terror.

Det må bero på kundens forhold, eller den begunstiges eller medkontrahentens forhold etter hvitvaskingsloven § 15, at kundetiltak ikke kan gjennomføres. Det er ikke tilstrekkelig at det vil være mer byrdefullt eller kostnadskrevende for den rapporteringspliktige å identifisere og bekrefte identiteten til kunde, reell rettighetshaver mv.

Rapporteringspliktige kan gjennomføre kundetiltak som den rapporteringspliktige vurderer som nødvendige ut fra en risikobasert tilnærming. Kundetiltakene må være forholdsmessige ut fra risikoen som kunden representerer. Rapporteringspliktige har ikke anledning til å innhente mer informasjon om kunden enn det som er nødvendig etter regelverket.

Ved gjennomføring av forsterkede kundetiltak vil den rapporteringspliktige ha anledning til å be kunden om all relevant informasjon om forholdene som ikke er besvart eller dokumentert tilfredsstillende. Grensene for hvor langt man kan gå i undersøkelser knyttet til gjennomføring av kundetiltakene, begrenses av hva som kan sies å være saklig begrunnet i den konkrete risikoen kunden representerer.

Det kan eksempelvis gjelde

• utdyping av kundeforholdets art og formål
• dokumentasjon for midlenes og/eller formuens opprinnelse
• dokumentasjon på omsetningstall
• dokumentasjon på forretningsforbindelser
• dokumentasjon som bekrefter identiteten til reelle rettighetshavere
• begrunnelse for komplisert selskapsstruktur
• dokumentasjon på tilknytning til Norge og behovet for kontoforhold, dersom kunden ikke er bosatt her

Dersom kunden ikke kan eller vil fremskaffe informasjonen eller dokumentasjonen som etterspørres i de forsterkede kundetiltakene, eller om svarene eller dokumentasjonen kunden gir, ikke er tilstrekkelige eller tilforlatelige, skal kundeforholdet ikke opprettes.

Rapporteringspliktige må gjøre en rimelighetsvurdering av om opplysninger og dokumentasjon fra kunden fremstår som korrekte og troverdige. Opplysninger om midlenes og formuens opprinnelse kan være utfordrende å dokumentere i detalj, særlig for verdier som er anskaffet eller opptjent over tid. I slike tilfeller kan det være nok å legge til grunn dokumentasjon som gir tilstrekkelig troverdighet for at midlene er lovlig opptjente. På samme måte kan det være grunnlag for å avvise kunder hvis dokumentasjon på midlenes eller formuens opprinnelse er mangelfull, eller ikke gir en troverdig forklaring.

Dersom formålet med kundeforholdet fremstår som illegitimt, eksempelvis ved at en konto skal misbrukes til å motta penger innbetalt som følge av bedrageri, og den rapporteringspliktige ikke kan håndtere den økte risikoen for at vedkommende misbrukes til hvitvasking eller terrorfinansiering, vil kundeforholdet kunne avvises.

I tilfeller der mistanken ikke er knyttet til en enkeltstående indikator, men der karakteren av kundeforholdet og mengden og typen dokumentasjon og opplysninger fra kunden gjør det svært vanskelig eller umulig å vurdere om kunden opptrer legitimt, vil det kunne være grunnlag for avvisning av kunden etter en konkret vurdering. Et eksempel kan være en kunde med tilknytning til høyrisikoland, med komplisert struktur og transaksjonsmønster, der dokumentasjonen er på et fremmed språk, og det ellers er svært vanskelig å gjøre seg opp en mening om for eksempel drift og markedsforhold. Et annet eksempel kan være en kunde som tidligere har benyttet rapporteringspliktiges tjenester til kriminelle forhold. Her vil momenter i vurderingen blant annet kunne være avstand i tid til de kriminelle forholdene, om kunden har sonet sin straff, hva slags tjenester kunden ønsker tilgang til, og sammenhengen mellom tjenestene og typen kriminalitet.

Etter innhenting og vurdering av mottatte opplysninger og dokumentasjon må det vurderes om det foreligger indikasjoner som utløser plikt til nærmere undersøkelser og eventuelt rapportering, eller om det anses at kundetiltakene ikke har latt seg gjennomføre, som utløser plikt til avvisning eller avvikling.

Særlig om kontraheringsplikten
Hvitvaskingsregelverket tillater ikke at hele grupper og/eller sektorer nektes finansielle tjenester utelukkende på grunn av gruppens/sektorens iboende hvitvaskingsrisiko (såkalt de-risking).

Utgangspunktet er at enhver person skal ha tilgang til grunnleggende finansielle tjenester.

Avvisningsplikten i hvitvaskingsloven må ses i sammenheng med øvrig regulatorisk regelverk, som gir rammer for når kunder lovlig kan avvises, eksempelvis finansavtaleloven og forsikringsavtaleloven. Det klare utgangspunktet er at manglende mulighet til å gjennomføre kundetiltak, utgjør saklig grunn til avvisning etter finansavtaleloven § 14 og forsikringsavtalelovens bestemmelser.

Finansforetak har kontraheringsplikt, jf. finansavtaleloven § 14 og forsikringsavtaleloven § 3-10, og et særskilt ansvar for finansiell inkludering. Finansiell inkludering innebærer eksempelvis å tilby grunnleggende tjenester innen bank og forsikring, se punkt 4.3.1.5. Kravet til finansiell inkludering er imidlertid ikke ubegrenset.

Finansavtaleloven av 2020, som trer i kraft 1. januar 2023, viderefører en kontraheringsplikt for privatkunder og bedriftskunder, med krav til saklig grunn for å avslå å yte betalingstjenester på vanlige vilkår. Betalingstjenester er definert i lovens § 1-5 første ledd. Kontraheringsplikten gjelder i den utstrekning foretaket faktisk tilbyr tjenestene som nevnt. Finanstilsynet anser at det er saklig grunn til å avvise kunder utenfor foretakets definerte geografiske dekningsområde, så sant dette er klart fastsatt i foretakets policy, og at det praktiseres strengt.

Foretak kan i alle tilfeller nekte å betjene en kunde bosatt eller registrert utenfor EØS, uten krav om saklig grunn, jf. ny finansavtalelov § 4-1 tredje ledd første punktum. Dette innebærer at foretakene enkeltvis kan velge om de vil betjene den enkelte kunde eller ikke, når disse er hjemmehørende utenfor EØS. Videre kan foretakene avslå å yte tjenester utenfor EØS, uten krav til saklig grunn. Denne avgrensingen er generelt utformet, slik at foretaket må fatte en beslutning om hvorvidt en tjeneste skal tilbys kun innenfor EØS, eller også utenfor. Praktisk sett vil altså foretakene for eksempel kunne beslutte at de ikke vil gjennomføre kundenes transaksjoner når mottakeren er utenfor EØS, så sant dette praktiseres konsekvent. For foretak som tilbyr betalingstjenester i form av transaksjoner utenfor EØS, er det ikke anledning til å nekte transaksjoner til enkeltland, for eksempel på grunn av hvitvaskings- eller terrorfinansieringsrisikoen forbundet med landet. Foretak som tilbyr betalingstjenester utenfor EØS, har følgelig ikke noe unntak fra kravet om saklig grunn, jf. ny finansavtalelov § 4-1 tredje ledd, og må tilby betalingstjenesten under kontraheringsplikten, jf. § 4-1 første ledd.

Etter gjeldende rett og praksis, er avvisningsplikten etter hvitvaskingsregelverket «saklig grunn» til å avvise en kunde etter finansavtaleloven. Ny finansavtalelov § 4-1 tredje ledd andre punktum klargjør rettstilstanden mer eksplisitt ved at det ikke kreves saklig grunn til å avvise en kunde dersom kunden eller betalingstjenesteyteren ikke oppfyller vilkår fastsatt i, eller i medhold av, hvitvaskingsloven for at tjenesten skal kunne ytes, og dersom det følger av lov eller regler gitt i medhold av lov, at kunden skal avvises. Med andre ord vil altså kontraheringsplikten etter finansavtaleloven ikke stå i veien for at kunder avvises (eller avvikles) når hvitvaskingsregelverket krever dette fordi kundetiltak, herunder løpende og/eller forsterkede kundetiltak, ikke lar seg gjennomføre. Om det foreligger en plikt til å avvikle kundeforholdet, helt eller delvis, beror på en kontret vurdering.

5.2 Avvikling, delvis avvikling og sperring av løpende kundeforhold

Dersom kundetiltak som ledd i løpende oppfølging ikke kan gjennomføres, skal rapporteringspliktige avvikle, delvis avvikle eller sperre kundeforholdet, jf. hvitvaskingsloven § 24 og hvitvaskingsforskriften § 4-13. I motsetning til tidligere hvitvaskingslov er det ikke lenger krav om å påvise at fortsettelse av kundeforholdet medfører risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller terrorfinansiering, og det har heller ingen betydning om kundeforholdet er inngått før den gjeldende hvitvaskingsloven trådte i kraft.

Det må foretas tilsvarende vurdering om kundetiltakene ikke lar seg gjennomføre som ved avvisning av kunder, jf omtalen i punkt 5.1. Plikten til å avvikle, eller delvis avvikle, gjelder der kundetiltak ikke kan gjennomføres som ledd i løpende oppfølging. Eksempelvis kan det være endringer i kundens eierforhold uten at den rapporteringspliktige får tilgang til nødvendige opplysninger til å forstå den nye eierskaps- og kontrollstrukturen. Tilsvarende kan det være at kunden har endret virksomhet og transaksjonsmønster uten at det gis tilstrekkelig informasjon og dokumentasjon som begrunner slik endring.

Rapporteringspliktige kan etter en risikobasert tilnærming ha saklig grunn til å nekte transaksjoner eller sperre bestemte produkter eller tjenester fremfor å avvikle kundeforholdet i påvente av mulighet til å gjennomføre kundetiltak. Dette kan være relevant som ledd i avviklingen av inaktive kunder som ikke svarer på henvendelser fra den rapporteringspliktige, og for aktive kunder som over tid ignorerer den rapporteringspliktiges henvendelser om oppdatering av informasjon.

Å avvikle kundeforhold kan være inngripende tiltak. En slik reaksjon må derfor bero på forhold ved kunden, hvor kunden aktivt eller passivt bidrar til at den rapporteringspliktige ikke får gjennomført nødvendige kundetiltak. Det må alltid vurderes om risikoen kan avhjelpes med delvis avvikling av kundeforholdet, altså å begrense kundens tjenestetilbud eller sperring av konkrete produkter eller tjenester, jf. hvitvaskingsforskriften § 4-13.

I vurderingen av om kundeforholdet må avvikles, delvis avvikles eller sperres, må det også vurderes hva slags kundeforhold det er snakk om. Når rapporteringspliktige vurderer om risikoen kan avhjelpes med å begrense produktet eller tjenestetilbudet, en form for delvis avvikling, eller om kunden må avvikles i sin helhet, er det særlig grunn til å skille mellom produkter og tjenester som faller inn under kontraheringsplikten, og øvrige produkter og tjenester. Avvikling av grunnleggende tjenester skal vurderes særskilt, jf, hvitvaskingsforskriften § 4-13 andre ledd. Det skal være en høy terskel for å avvikle et kundeforhold som kun inneholder grunnleggende bank- eller forsikringstjenester. Dersom kundemidler kun sperres, anses ikke kundeforholdet for å være avsluttet, og plikten til å gjennomføre løpende oppfølging etter hvitvaskingsloven § 24 gjelder.

Avviklingsplikten i hvitvaskingsloven må ses i sammenheng med øvrig regulatorisk rammeverk for den rapporteringspliktige, samt de aktuelle kundeavtalene som gir hjemmelsgrunnlag for når kundeforhold lovlig kan avvikles eller delvis avvikles. Eksempelvis kan mistenkt eller konstatert hvitvasking gi legitim grunn til å avslutte kundeforholdet etter andre regler, blant annet på grunn av risikoen for straffansvar for den rapporteringspliktige som foretak. Mest praktisk er det at kundeforholdet i slike tilfeller avvikles med hjemmel i kontoavtalens eller finansavtalelovens bestemmelser.

I tilfeller der kunder har kundeforhold til foretakets avdelinger/filialer i ulike land, vil hver enkelt avdeling/filial måtte foreta en selvstendig vurdering av om det er grunnlag for å avvikle eller delvis avvikle kundeforholdet, herunder de enkeltstående kundeavtalene, etter lokal rett.

Ved kundeforhold med flere selskaper innen samme konsern, og hvor ett av selskapene avvikles eller delvis avvikles, må den rapporteringspliktige vurdere konkret om forholdene tilsier at øvrige selskaper i samme konsern helt eller delvis bør avvikles. Avviklingsgrunnlag mot ett selskap vil ikke uten videre kunne være anvendelig ovenfor de øvrige selskapene innenfor samme gruppe.

5.3 Forholdet til rapporteringsplikten

Rapporteringspliktige skal vurdere om det er grunnlag for nærmere undersøkelser og rapportering i samsvar med hvitvaskingsloven §§ 25 og 26, både ved vurdering av avvisning og avvikling av kundeforhold.

Rapportering til Økokrim, eller kjennskap til at Økokrim har tatt en rapportert sak inn til analyse, vil i seg selv ikke danne grunnlag for å avvikle et kundeforhold. Det må bero på en konkret vurdering av det enkelte kundeforholdet. For enkelte kunder kan det innebære at det må gjennomføres tettere overvåking av kundeforholdet og/eller begrensning av tjeneste- og produkttilbudet. I noen tilfeller kan risikoen anses å være så høy at den er uhåndterlig, slik at kundeforholdet må avvikles.

Rapporteringspliktig skal ha rutiner for håndtering av kunder som er rapportert til Økokrim.

5.4 Håndtering av kundens innskudd ved avvikling

5.4.1 Innledning

Kundemidler skal som hovedregel tilbakeføres til kunden ved avvikling av kundeforholdet, jf. hvitvaskingsforskriften § 4-14. Der kundeforholdet er besluttet avviklet etter hvitvaskingsloven § 24, kan rapporteringspliktig midlertidig sperre kundemidler frem til kunden gir tilstrekkelig informasjon til å utføre kundetiltak eller anvisning på hvordan kundemidlene skal tilbakeføres. I tilfelle der det er mistanke om hvitvasking eller terrorfinansiering, skal forholdet rapporteres til Økokrim. Selv om Økokrim ikke forbyr gjennomføring av transaksjonen, jf. hvitvaskingsloven § 27, er det anledning for den rapporteringspliktige til å opprettholde sperringen av kundemidler for å unngå å komme i et medvirkeransvar etter straffelovens bestemmelser. Sperringen må kunne opprettholdes så lenge mistanken består, og kunden ikke angir andre utbetalingsalternativer som representerer en akseptabel risiko for at utbetalingen ikke bidrar til terrorfinansiering eller hvitvasking.

I tilfeller hvor midler er sperret på grunn av manglende gjennomføring av kundetiltak som et resultat av at kunden ikke svarer på henvendelser fra den rapporteringspliktige, kan den rapporteringspliktige ha anledning til å holde kundemidlene sperret frem til kundetiltak er gjennomført.

5.4.2 Praktisk gjennomføring av avvikling – håndtering av kundemidler

Avvikling av en kunde vil typisk skje ved at det i første fase varsles avvikling, etter at forsøk på å gjennomføre kundetiltak har feilet. Deretter vil ofte kundeforholdet sperres frem til endelig avvikling. Etter at kundeavtalen har opphørt, har kundeforholdet opphørt så sant det ikke fremdeles er kundemidler innestående på kontoen. Der kundemidlene ikke er utbetalt, for eksempel fordi den rapporteringspliktige ikke får respons fra kunden, er det anledning til formelt å avslutte kundeforholdet og overføre utestående til en interimskonto eller lignende, slik at det kun gjenstår en fordring som kunden kan få utbetalt hvis kunden svarer på forespørsel. Kundeforholdet anses da som avsluttet, og plikten til å gjennomføre løpende oppfølging opphører. Avviklingsplikten gjelder alle type kundeforhold, produkter og tjenester.

6 Undersøkelse og rapportering

6.1 Undersøkelsesplikt

Formålet med undersøkelsene er å bekrefte eller avkrefte om det er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, og rapportere det mistenkelige forholdet dersom mistanken ikke avkreftes.

Dersom den rapporteringspliktige avdekker forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, skal det foretas nærmere undersøkelser. Terskelen er lav. Enhver indikasjon kan i utgangspunktet være tilstrekkelig når forholdet tilsier en mulig sammenheng med hvitvasking eller terrorfinansiering.

Indikasjoner kan komme som resultat av flere forhold som hver for seg ikke fremstår som mistenkelige, men som samlet indikerer at midler kan ha tilknytning til hvitvasking eller terrorfinansiering. Tilsvarende kan transaksjonsmønstre gi tilstrekkelige indikasjoner for å iverksette undersøkelser, uten at den enkelte transaksjon i seg selv gjør det.

6.1.1 Når inntreffer undersøkelsesplikten?

Undersøkelser skal alltid gjennomføres dersom det avdekkes forhold som avviker fra den rapporteringspliktiges kjennskap til kunden og kundeforholdets formål og tilsiktede art,
jf. hvitvaskingsloven § 25. Et eksempel kan være at transaksjoner ikke stemmer med det transaksjonsmønsteret som forventes, på bakgrunn av mottatte opplysninger om kundeforholdets formål.

Hvitvaskingsloven § 25 andre ledd oppstiller momenter knyttet til forhold som alltid skal utløse undersøkelsesplikt:

• Transaksjonen synes å mangle et legitimt formål. Det kan eksempelvis være et oppdrag hvor pengesummen skal gå frem og tilbake mellom ulike kontoer, at samme beløp går frem og tilbake mellom ulike institusjoner, eller at en større sum splittes i flere mindre summer som samles igjen på en ny konto.
• Transaksjonen er usedvanlig stor eller kompleks. Dette kan eksempelvis dreie seg om gjennomføringen av én eller flere transaksjoner. Det kan også dreie seg om foretakets eierstruktur eller andre store og komplekse forhold. 
• Transaksjonen er uvanlig ut fra kundens kjente forretningsmessige eller personlige mønster av transaksjoner, eksempelvis at en kunde begynner å overføre midler av en viss størrelse, eller med en viss hyppighet til utlandet, når kunden ikke har gjort dette før.
• Transaksjonen foretas til eller fra en person i et land eller område som ikke har tilfredsstillende tiltak mot hvitvasking og terrorfinansiering. Rapporteringspliktige må håndtere slike tilfeller i tråd med hvitvaskingsforskriften § 4-9 bokstav c og § 4-10.
• En transaksjon som på annen måte har en uvanlig karakter.

Det er ikke gitt at det er tale om mistenkelige forhold eller transaksjoner, selv om det foreligger én eller flere indikasjoner. Det må gjennomføres nærmere undersøkelser for å avkrefte eller bekrefte mistanken.

Undersøkelsesplikten gjelder forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering. Den omfatter blant annet fremtidige, pågående og gjennomførte transaksjoner. Dersom kundetiltak ikke kan gjennomføres mot en mulig ny kunde eller som ledd i løpende oppfølging, skal det alltid vurderes om det er indikasjoner på at midler har tilknytning til hvitvasking eller terrorfinansiering som gir grunnlag for nærmere undersøkelser og rapportering. Rapporteringspliktige kan videre bli oppmerksomme på forhold som indikerer at midler har tilknytning til hvitvasking eller terrorfinansiering, som for eksempel at kunden oppfører seg mistenkelig, eller uttrykker seg om forhold som er ulovlige.

Undersøkelsesplikten er imidlertid ikke begrenset til forhold ved kunden. Den gjelder også eksempelvis dersom en rapporteringspliktig identifiserer indikasjoner på forhold som kan tilsi at en tredjeperson gjennomfører, planlegger å gjennomføre eller har gjennomført en transaksjon som har tilknytning til hvitvasking eller terrorfinansiering.

6.1.2 Særlig om elektronisk transaksjonsovervåking

Enhver alarm i et transaksjonsovervåkingssystem utløser ikke undersøkelsesplikt, men alle alarmer må behandles. En alarm kan utløse undersøkelsesplikt, forutsatt at reglene i systemet er satt opp på en måte som gjør at den fanger opp atferd som treffer på ett eller flere av vilkårene i hvitvaskingsloven § 25 andre ledd. Atferd som treffer på én eller flere indikatorer/momenter, kan også fremstå som tilforlatelige basert på kunnskap om kunden, hvilket dermed ikke utløser undersøkelsesplikt. Dette er særlig praktisk for foretak som benytter elektronisk transaksjonsovervåking, og der kundeatferd kan utløse alarmer basert på treff på generelle regler/scenarioer som er ment å dekke større deler av kundemassen. 

6.1.3 Hva omfatter undersøkelsesplikten?

Undersøkelsene vil normalt ta utgangspunkt i opplysninger den rapporteringspliktige har om kunden, samt annen tilgjengelig informasjon som tilgjengelige offentlige opplysninger og internettsøk. Det kan være nødvendig å etterspørre ytterligere informasjon fra kunden eller innhente dokumentasjon eller opplysninger for å bekrefte eller avkrefte om det er grunnlag for mistanke. Dette må gjøres på en måte som ikke kommer i konflikt med avsløringsforbudet, se punkt 6.3. Forhold som utløser undersøkelsesplikt, kan også utløse plikt til å gjennomføre alminnelige og/eller forsterkede kundetiltak. Ved tvil om det er grunn til mistanke, kan kunden underlegges en tettere oppfølging for å se om mistanken avkreftes eller bekreftes.

Hvilke handlinger den rapporteringspliktige må gjennomføre som ledd i undersøkelsene, vil avhenge av typen og graden av mistanke. Undersøkelsene bør innrettes mot indikasjonene på hvitvasking eller terrorfinansiering for å være egnet til å bekrefte eller avkrefte mistanken. Omfanget vil også variere fra sak til sak. Noen behandlinger av flagg/alarmer/indikasjoner kan sluttføres etter en rask vurdering av atferden i lys av tidligere kundeatferd og/eller informasjon om kunden, og alarmer i transaksjonsovervåkingen, som reelt ikke utløste undersøkelsesplikten, kan lukkes. I andre tilfeller vil det være nødvendig å gjøre mer inngående analyser av informasjonen om kunden. Det kan også være nødvendig å innhente mer informasjon fra tilgjengelige kilder, for eksempel søke i åpne kilder og/eller dele informasjon med andre rapporteringspliktige, der det er hjemmel for dette.

Undersøkelsene skal være risikobaserte. Dette innebærer at indikasjoner relatert til høyrisikoforhold bør undersøkes før lavrisikoforhold.

Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES) har utarbeidet lister over indikatorer på mistenkelige forhold, som er tilgjengelige hos Økokrim.

EU og FATF utarbeider jevnlig ulike rapporter om metoder og trender som gir nyttig informasjon om mistenkelige forhold.

Formålet med indikatorlistene er ikke å utpeke situasjoner hvor det nødvendigvis er snakk om hvitvasking eller terrorfinansiering, men situasjoner som kan kreve ekstra oppmerksomhet. Indikatorlistene er ikke uttømmende. De rapporteringspliktige forventes å være kjent med relevante rapporter for sitt område.

6.1.4 Behandling av indikasjoner på hvitvasking og terrorfinansiering

For å kunne etterleve lovens krav til rapportering av mistenkelige forhold, er det nødvendig å gjennomføre rettidige undersøkelser av indikasjoner på hvitvasking og terrorfinansiering. Som hovedregel skal det ikke være restanser på undersøkelser av mulige mistenkelige forhold. Undersøkelser skal igangsettes uten ugrunnet opphold, som i praksis betyr innen en til to dager.

Selv om undersøkelsene igangsettes uten ugrunnet opphold, kan gjennomføringen av undersøkelsene ta noe tid. I slike tilfeller skal det rapporteres til Økokrim umiddelbart etter at rapporteringspliktige har konkludert med at mistanken ikke kan avkreftes. 

Rapporteringspliktige må dokumentere årsaken til at undersøkelser ikke er påbegynt, eller rapporteringen ikke har skjedd umiddelbart. Manglende kapasitet i behandlingen av alarmer vil ikke være å anse som lovlig grunn til å fravike lovens krav.

Der den rapporteringspliktige har underrettet Økokrim før gjennomføring av en transaksjon, men situasjonen utvikler seg mens den rapporteringspliktige venter på tilbakemelding fra Økokrim, skal Økokrim underrettes om nye forhold av betydning, uten unødig opphold.

6.2 Rapporteringsplikt

Hovedformålet med rapporteringsplikten er å oversende meldinger om mistenkelige forhold til Økokrim for å bidra til å avdekke hvitvasking og terrorfinansiering, samt å gjøre det mulig å beslaglegge og inndra midler som er knyttet til hvitvasking og terrorfinansiering. Rapporteringsplikten skal også bidra til å hindre at finansforetak og andre rapporteringspliktige misbrukes til hvitvasking eller terrorfinansiering. 

Rapporteringsplikten inntrer dersom det etter nærmere undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking og terrorfinansiering, herunder dersom ett eller flere mistenkelige forhold ikke blir avkreftet. Mistanketerskelen er lav, og det kreves ikke sannsynlighetsovervekt for at det foreligger noe mistenkelig før rapporteringsplikten inntreffer. Det må imidlertid foreligge ett eller flere konkrete holdepunkter for mistanken.

Hvitvaskingsansvarlig er ansvarlig for å oversende opplysninger som nevnt i hvitvaskingsloven § 26 til Økokrim, jf. hvitvaskingsforskriften § 5-1. Hvitvaskingsansvarlig kan delegere utførelsen av rapporteringen til én eller flere bestemte ansatte hos den rapporteringspliktige. Ansvaret for rapporteringen kan ikke utkontrakteres. 

Rapporteringsplikten og opplysningsplikten gjelder også personlig for styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av den rapporteringspliktige,
jf. hvitvaskingsloven § 26. Personlig rapporteringsplikt innebærer ikke at alle enkeltpersoner hos den rapporteringspliktige må settes i stand til å vurdere alle mistenkelige forhold. Den personlige rapporteringsplikten inntreffer der den enkelte blir gjort kjent med et mistenkelig forhold, men som ikke rapporteres av den rapporteringspliktige. Eksempelvis vil den personlige rapporteringsplikten inntreffe der det er uenighet om et mistenkelig forhold skal rapporteres eller ikke, og uenigheten ikke er rimelig forankret i mistankegrunnlaget. Dersom den ansatte instrueres til å ikke rapportere, vil det likevel foreligge en personlig plikt til dette. Den ansatte, ledere og andre bør i slike tilfeller også rapportere til høyere nivåer i den rapporteringspliktige slik at en overordnet kan treffe en beslutning. Den personlige rapporteringsplikten kan også inntreffe for ledere og styremedlemmer som ikke får seg forelagt konkrete enkeltsaker om mistenkelige forhold, men som er kjent med, eller burde vært kjent med, at den rapporteringspliktige er utsatt for mistenkelige forhold som ikke er rapportert.

Rapporteringen til Økokrim skal inneholde utfyllende opplysninger om grunnlaget for mistanken, om undersøkelsene og transaksjonene i tillegg til personalia og kundeforhold for den eller dem som det rapporteres om. Kopi av dokumentasjon for den mistenkelige transaksjonen vedlegges. Økokrim har publisert veiledningsdokumentet «Krav til god rapportering».

6.2.1 Plikt til å gi Økokrim ytterligere opplysninger på forespørsel

Den rapporteringspliktige skal gi Økokrim andre nødvendige opplysninger på forespørsel, uavhengig av om vedkommende har rapportert det aktuelle forholdet på forhånd,
jf. hvitvaskingsloven § 26 første ledd andre punktum. Opplysningene som Økokrim ber om, må være «nødvendige». Dette innebærer at de må ha tilknytning til konkret informasjon om hvitvasking eller terrorfinansiering som Økokrim har. Det er Økokrim som vurderer nødvendigheten, og det skal derfor ikke foretas noen selvstendig vurdering hos rapporteringspliktige ved slike forespørsler.

6.2.2 Ansvarsfrihet

Oversendelse av opplysninger til Økokrim i god tro medfører ikke brudd på taushetsplikt og gir ikke grunnlag for erstatningsansvar eller straffansvar, med mindre det foreligger grov uaktsomhet, jf. § 26 fjerde ledd. Dette gjelder både taushetsplikt som følger av kontrakt, lov og administrative bestemmelser. Bestemmelsen skal forhindre at den rapporteringspliktige avstår fra å rapportere når det er tvil om en rapportering vil krenke taushetsplikten.

Den innebærer at det blant annet er ansvarsfrihet når følgende uriktige vurderinger ligger til grunn for en rapportering:

• Uriktige vurderinger av grunnlaget for mistanke eller en uriktig tolking av hva som ligger i kravet til mistanke.
• Uriktig vurdering av at det foreligger straffbar hvitvasking eller terrorfinansiering, eller en feiltolking av disse straffebudene.
• Man har feilaktig vurdert at hvitvaskingsloven kommer til anvendelse.

Kravet til «god tro» innebærer at man kan stilles til ansvar dersom man vet at rapporteringen til Økokrim er uriktig. Det samme gjelder dersom man opptrer grovt uaktsomt. Det er en høy terskel, og ansvarsfriheten rekker langt. Ansvarsfriheten gjelder alle opplysninger som er oversendt Økokrim i medhold av både rapporteringsplikten og plikten til å gi tilleggsopplysninger og nødvendige opplysninger.

6.3 Avsløringsforbudet

6.3.1 Avsløringsforbudets formål

Avsløringsforbudet skal

• forhindre at uvedkommende, herunder kunden, får informasjon som kan vanskeliggjøre en eventuell straffeforfølgelse
• ivareta den mistenktes personvern, der mistanken gjelder fysiske personer
• bidra til at den som igangsetter undersøkelser og eventuelt rapporterer, ikke blir utsatt for represalier, jf. hvitvaskingsloven § 37

6.3.2 Avsløringsforbudets innhold

Det følger av hvitvaskingsloven § 28 første ledd at rapporteringspliktige, herunder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige, har taushetsplikt overfor kunden og tredjepersoner om at det

• foretas undersøkelser etter hvitvaskingsregelverket
• er gitt opplysninger til Økokrim
• er iverksatt etterforskning

Avsløringsforbudet omfatter også det å gi informasjon om at man vurderer å igangsette undersøkelser, for eksempel der den rapporteringspliktige fortsatt ikke har konkludert på om undersøkelser skal igangsettes.

Avsløringsforbudet vil ikke bare omfatte det å gi konkrete opplysninger om at det foretas undersøkelser, rapportering eller etterforskning, men også det å gi kunden eller tredjeperson slik informasjon at de vil eller må forstå at så er tilfelle.

Det kan oppstå spenningsforhold mellom avsløringsforbudet og innhenting av informasjon fra kunden som ledd i undersøkelser eller kundetiltak. Avsløringsforbudet er ikke til hinder for at det gjennomføres kundetiltak, og rapporteringspliktige kan opplyse kunden om at forespørsler om opplysninger og dokumentasjon foretas som en del av kundetiltakene. I visse tilfeller kan kundens atferd utløse både undersøkelsesplikt og plikt til å foreta hendelsesbasert løpende oppfølging av kunden. I slike tilfeller må rapporteringspliktige være nøye med å ikke innhente informasjonen på en måte som gjør kunden kjent med at det også er undersøkelser som foretas. En praktisk fremgangsmåte er å vise til at kundeatferden avviker fra den rapporteringspliktiges kunnskaper om kunden, og at kundeinformasjonen følgelig må oppdateres.

Avsløringsforbudet er ikke tidsbegrenset. Det gjelder følgelig også etter at det aktuelle kundeforholdet er avsluttet, og tilsvarende også etter at den ansatte har sluttet hos den rapporteringspliktige.

Dersom en rapporteringspliktig mottar informasjon om undersøkelser, rapportering eller etterforskning fra en annen rapporteringspliktig, vil dette være informasjon omfattet av avsløringsforbudet.

6.3.3 Hvem gjelder avsløringsforbudet for?

«Kunder» omfatter samtlige som gjennomfører transaksjoner ved hjelp av den rapporteringspliktige, uavhengig av om den rapporteringspliktige har etablert et kundeforhold med vedkommende eller ikke. Det inkluderer også kunder som avvises uten at det blir etablert et kundeforhold.

«Tredjepersoner» omfatter i utgangspunktet alle andre personer enn kunden, herunder også ansatte hos den rapporteringspliktige som ikke har behov for slik informasjon. Ansatte som jobber med kunden, eller som på annet grunnlag har tjenestelig behov for informasjonen, vil ikke være å anse som «tredjepersoner». Disse omfattes dermed ikke av avsløringsforbudet. Siden informasjon fra undersøkelser kan ha betydning for den videre håndteringen av kundeforholdet, er det viktig at informasjonen distribueres til dem med tjenestelig behov, og at den forvaltes og brukes i den rapporteringspliktige virksomheten. Informasjonen kan blant annet ha betydning for vurderingen av om det er nødvendig med forsterket oppfølging av kundeforholdet, og hvilke forsterkede tiltak som er egnede, samt om vilkårene for avvikling er til stede. Dette innebærer for eksempel at personer med ansvar for kunden som er innrapportert, bør få kunnskap om rapporteringen.

6.3.4 Unntak fra avsløringsforbudet

Hvitvaskingsloven § 28 andre ledd følgende angir flere unntak fra avsløringsforbudet. Unntak fra avsløringsforbudet medfører ikke i seg selv hjemmel til å utveksle opplysninger på tvers av eventuelle regler om taushetsplikt og behandling av personopplysninger. De rapporteringspliktige må vurdere om det finnes hjemmel til utveksling av opplysninger i hvert konkrete tilfelle. Enkelte hjemler for deling er gitt i hvitvaskingsloven § 31.

De rapporteringspliktige må vurdere taushetsplikter angitt i den konkrete sektorlovgivningen. For foretak som er underlagt finansforetaksloven, vil eksempelvis § 16-2 tredje ledd bokstav a kunne være en relevant hjemmel for deling av opplysninger om forhold knyttet til hvitvasking og terrorfinansiering. Hvitvaskingsloven gir også hjemmel for behandling av personopplysninger. De rapporteringspliktige må likevel påse at det ikke er særlig taushetsplikt tilknyttet det konkrete tilfellet som tilsier en begrenset deling, eller at den rapporteringspliktige må avstå fra deling.    

Den rapporteringspliktige som mottar opplysninger om undersøkelser fra andre rapporteringspliktige, kan benytte denne informasjonen ved gjennomføring av egne kundetiltak, løpende oppfølging og som grunnlag for egne undersøkelser og rapportering. De kan imidlertid ikke legge informasjonen til grunn som kundetiltak etter hvitvaskingsloven § 22 eller § 23.

6.3.5 Meddelelse til påtalemyndigheten og tilsynsmyndigheten

Det er gjort unntak fra avsløringsforbudet for meddelelse av opplysninger til påtalemyndigheten og myndigheten som fører tilsyn med den rapporteringspliktiges etterlevelse av regelverket. Det er ikke snakk om en generell informasjonsplikt, men oversendelse av opplysninger på grunnlag av en anmodning fra myndighetene. En slik oversendelse til påtalemyndigheten følger straffeprosessuelle regler. Oversendelse av opplysninger til Finanstilsynet er hjemlet i finanstilsynsloven.

Rapporteringspliktige skal ikke oversende selve MT-rapportene, eller informasjon om at det er foretatt undersøkelser eller sendt MT-rapport som svar på utleveringspålegg fra politiet, eller henvendelser fra andre myndigheter som ikke fører tilsyn med etterlevelse av hvitvaskingsloven. Årsaken er at dette vil lede til at informasjonen/dokumentene tas inn i straffesaksdokumentene og blir tilgjengelige for parten som blir etterforsket. Politiet skal i slike tilfeller anmode Økokrims Enhet for Finansiell Etterretning om informasjonen.

6.3.6 Konsernforhold

Avsløringsforbudet gjelder ikke mellom følgende rapporteringspliktige som er en del av samme konsern og etablert i EØS: bank, kredittforetak, finansieringsforetak, e-pengeforetak, betalingsforetak og andre som har rett til å yte betalingstjenester, verdipapirforetak, forvaltningsselskaper for verdipapirfond, forsikringsforetak, foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling, forvaltere av alternative investeringsfond og låneformidlingsforetak.  

Tilsvarende gjelder for filialer og majoritetseide datterselskaper i tredjeland som driver virksomhet som angitt ovenfor. Det er en forutsetning at filialen eller datterselskapet overholder den rapporteringspliktiges rutiner.

Hvilke opplysninger som kan utveksles mellom de angitte konsernselskapene og forutsetningene for utveksling, er nærmere regulert i hvitvaskingsloven § 31 og hvitvaskingsforskriften § 6-5.

6.3.7 Unntak for banker, kreditt-, finansierings- og forsikringsforetak

Norske banker, kreditt-, finansierings- og forsikringsforetak kan uten hinder av taushetsplikten og avsløringsforbudet utveksle nødvendige kundeopplysninger seg imellom når det anses nødvendig som ledd i nærmere undersøkelser etter hvitvaskingsloven § 25, jf. § 31 tredje ledd og § 28 fjerde ledd.

Hva som anses nødvendig, må vurderes og dokumenteres i det enkelte tilfellet.

6.3.8 Unntak for rapporteringspliktige om felles kunde mv.

Hvitvaskingsloven § 28 sjette ledd gir unntak fra avsløringsforbudet for utveksling av opplysninger mellom visse rapporteringspliktige angående en felles kunde i en transaksjon hvor de aktuelle rapporteringspliktige er involvert. Forutsetningen er at de som utveksler opplysningene, tilhører samme profesjonskategori og er pålagt forpliktelser med hensyn til taushetsplikt og vern av personopplysninger.

Hvitvaskingsloven § 28 sjette ledd angir at unntaket gjelder for utveksling av opplysninger mellom rapporteringspliktige^​ som nevnt i tredje ledd og femte ledd.

6.3.8.1 Vilkår om felles kunde

Unntaket fra avsløringsforbudet gjelder opplysninger om en felles kunde. Unntaket omfatter både opplysninger relatert til eksisterende kunder og kundeforhold som er avviklet. Opplysninger om kunder som er avvist uten at det ble etablert et kundeforhold, vil være omfattet dersom det er gjennomført undersøkelser, jf. hvitvaskingsloven § 21.

I korrespondentrelasjoner vil en transaksjon potensielt gå gjennom to eller flere institusjoner, mens avsender gjerne kun har etablert kundeforhold med avsenderinstitusjonen. Finanstilsynet legger til grunn at vedkommende i denne sammenheng er å anse som felles kunde av samtlige institusjoner som bidrar til å få utført transaksjonen.

6.3.8.2 Vilkår om en transaksjon hvor de aktuelle rapporteringspliktige er involvert

Opplysningene må angå en felles kunde i en transaksjon hvor både avgivende og mottakende institusjon er involvert. Begrepet transaksjon skal forstås vidt, jf. definisjon i hvitvaskingsloven § 2 bokstav d.

Bestemmelsen gir ikke unntak fra avsløringsforbudet for opplysninger om kunder uten at det er snakk om en transaksjon. Det er imidlertid ikke et krav at transaksjonen er eller blir gjennomført. Bestemmelsen gjelder også i en undersøkelsesfase før transaksjonen eventuelt gjennomføres.

6.3.8.3 Vilkår om samme profesjonskategori

Den som avgir, og den som mottar informasjonen, må tilhøre samme profesjonskategori. Om dette er tilfelle, må vurderes konkret i det enkelte tilfellet før informasjonen utveksles.

Det følger av hvitvaskingsforskriften § 5-2 hvilke rapporteringspliktige som inngår i samme profesjonskategorier, jf. hvitvaskingsloven § 28 sjette ledd:

1. Banker, kredittforetak, finansieringsforetak, betalingsforetak og andre som har rett til å yte betalingstjenester.
2. E-pengeforetak.
3. Verdipapirforetak, forvaltningsselskap for verdipapirfond, forvalter av alternative investeringsfond og verdipapirsentral i tilfeller der verdipapirsentralen ikke benytter ekstern kontofører som er rapporteringspliktig. For kontohavere og utstedere som har ekstern kontofører som er rapporteringspliktig, er det kontoføreren som er omfattet av unntaket.
4. Forsikringsforetak og foretak som driver forsikringsformidling som ikke er gjenforsikringsformidling.
5. Låneformidlingsforetak.
6. Statsautoriserte og registrerte revisorer og regnskapsførere, godkjente revisjonsselskaper og revisorer som er ansvarlig for revisjon av regnskap for kommune, fylkeskommune eller kommunalt eller fylkeskommunalt foretak.
7. Advokater og rettshjelpere som nevnt i hvitvaskingsloven § 4 andre ledd bokstav c.

Bestemmelsen i § 28 sjette ledd gir ikke i seg selv hjemmel til å dele opplysninger mellom rapporteringspliktige i samme profesjonskategori, kun unntak fra avsløringsforbudet. Hjemmel for deling av opplysninger må finnes i andre regelverk.

Det samme gjelder for rapporteringspliktige utenfor EØS, forutsatt at de er underlagt tilsvarende krav som fastsatt i fjerde hvitvaskingsdirektiv. Det må vurderes konkret hvilke tredjeland som antas å ha tilsvarende hvitvaskingsregelverk. Her kan FATFs og FATF Style Regional Bodies’ (FSRBS) evalueringer av land være til hjelp. Hvitvaskingsforskriften § 4-10 angir land som klart ikke har tilsvarende regelverk. Denne listen kan ikke anses uttømmende, jf. hvitvaskingsforskriften § 4-9 bokstav c.

Det er en forutsetning at den man utveksler opplysninger med, er underlagt forpliktelser med hensyn til taushetsplikt og vern av personopplysninger. Loven krever ikke at institusjonen skal være underlagt tilsvarende regler som etter norsk rett på dette området, det er tilstrekkelig at de er underlagt slike regler.

6.4 Gjennomføring av mistenkelige transaksjoner 

6.4.1 Stans av mistenkelig transaksjon – underretning til Økokrim

Dersom det er mistanke i tilknytning til en transaksjon, er hovedregelen at transaksjonen ikke skal gjennomføres før Økokrim er underrettet, jf. hvitvaskingsloven § 27. Slik mistanke kan for eksempel oppstå i løpet av den rapporteringspliktiges dialog med kunden om en forestående transaksjon. Den kan eksempelvis knytte seg til at kunden, som lånsøker, gir uttrykk for at lånet skal betjenes med leieinntekter som urettmessig unndras fra beskatning. Et annet eksempel kan være at en kunde gjennomfører en ekstraordinær betaling til utlandet uten nærmere redegjørelse.  

Den rapporteringspliktige må i slike tilfeller foreta nærmere undersøkelser før transaksjonen gjennomføres. Hvis mistanken ikke avkreftes, må Økokrim underrettes før transaksjonen gjennomføres. Ytterligere relevant informasjon kan oversendes Økokrim i etterkant dersom videre undersøkelser avdekker flere opplysninger som er egnet til å opplyse mistanken.

Undersøkelsesplikten utløses ved indikasjoner på at midler har tilknytning til hvitvasking eller terrorfinansiering, jf. hvitvaskingsloven § 25, mens rapporteringsplikten inntreffer ved mistanke om hvitvasking eller terrorfinansiering, jf. § 26. Terskelen er altså høyere for å rapportere enn å undersøke, noe som kan påvirke den praktiske muligheten til å rapportere før transaksjonen er gjennomført, se omtale i punkt 6.4.2. Noen indikasjoner er av en slik art at det er nødvendig med mer omfattende undersøkelser for å konkludere med om det foreligger mistenkelige forhold eller ikke, mens andre forhold kan være så opplagt mistenkelige at de kan utløse rapporteringsplikt med få, eller ingen krav til undersøkelser.

Økokrim kan i særlige tilfeller forby gjennomføring av en transaksjon. Underretningen vil gi Økokrim anledning til å igangsette eventuell verdisikring og etterforskning på et tidligere stadium, og det vil øke mulighetene for å sikre beløpet for senere inndraging. Det er ingen tidsbegrensning for hvor lenge Økokrim kan stanse en transaksjon. Økokrim kan ikke oppheve avsløringsforbudet for rapporteringspliktige.

6.4.2 Gjennomføring av mistenkelig transaksjon før melding til Økokrim

Hvitvaskingsloven § 27 andre ledd åpner opp for at en mistenkelig transaksjon kan gjennomføres før Økokrim er underrettet i to tilfeller: 

Det første vilkåret er der det er «umulig å stanse en transaksjon». Terskelen for «umulig» er høy. Det er ikke nødvendigvis umulig å stanse transaksjoner som forventes å skje raskt, inntil Økokrim er informert. Reglene om stans av mistenkelige transaksjoner går foran generelle regler om eksempelvis overføringstid for betalinger. At fristene for overføringstid for betalingstransaksjoner i finansavtaleloven oversittes innebærer for eksempel ikke at det er umulig å varsle Økokrim før en transaksjon gjennomføres.

Umulighetskriteriet kan særlig være praktisk i tilfeller der mistanken først oppstår etter at transaksjonen allerede er gjennomført, eksempelvis i etterkant av at transaksjonen eller et mønster av transaksjoner har utløst en alarm i overvåkingssystemet.

Mulighetene til å stanse transaksjoner før de gjennomføres, vil variere med virksomheten til de rapporteringspliktige, transaksjonsmetoden og hva slags mistenkelige forhold det gjelder. Dersom transaksjonen gjennomføres ved at det er kontakt mellom den rapporteringspliktige og kunden, vil den rapporteringspliktige manuelt kunne fange opp mistenkelige forhold. For å kunne fange opp transaksjoner i realtid når de er fullstendig elektroniske, må de rapporteringspliktige benytte andre metoder.

For transaksjoner som normalt gjennomføres elektronisk og umiddelbart, eller etter få timer, vil det i mange tilfeller være svært vanskelig å undersøke mistenkelige forhold i realtid. Den rapporteringspliktige må ha risikobaserte rutiner for hvilke typer transaksjoner som kan gjennomføres etter hvitvaskingsloven § 27 andre ledd, også for innenlandstransaksjoner. For eksempel vil risikofaktorer eller kombinasjoner av risikofaktorer som indikerer utenlandstransaksjoner med høy risiko, være av en type som kan måtte undersøkes i realtid, slik at det er praktisk mulig å rapportere transaksjonen før den gjennomføres, dersom den viser seg å indikere hvitvasking eller terrorfinansiering. Rapporteringspliktige som benytter elektronisk transaksjonsovervåking, må vurdere hvilke høyrisikofaktorer eller kombinasjoner av høyrisikofaktorer som bør lede til at en transaksjon kan rapporteres før den gjennomføres.

Det andre vilkåret for gjennomføring av en mistenkelig transaksjon før Økokrim er underrettet, er dersom unnlatelse av å gjennomføre transaksjonen kan vanskeliggjøre Økokrims undersøkelser av en person som kan dra fordel av en mistenkelig transaksjon.  Bakgrunnen er at en forsinket gjennomføring av en transaksjon gjerne vil vekke mistanke hos kunden hvis ikke den rapporteringspliktige gir vedkommende en troverdig forklaring. Dersom kunden får mistanke om at han/hun har Økokrims oppmerksomhet, vil han/hun kunne handle på en slik måte at en eventuell etterforskning kan bli vanskeliggjort.

Unntakene kan også komme til anvendelse der den rapporteringspliktige har underrettet Økokrim, men situasjonen utvikler seg slik at det enten er umulig å holde transaksjonen videre, eller at det å holde transaksjonen vil vanskeliggjøre undersøkelser mens den rapporteringspliktige venter på tilbakemelding fra Økokrim.

Den rapporteringspliktige må ha rutiner for hvilke tilfeller av mistenkelige transaksjoner som kan gjennomføres før det rapporteres til Økokrim. Vurderingen som ligger til grunn for beslutningen om å gjennomføre den mistenkelige transaksjonen, bør dokumenteres.

6.4.3 Etterfølgende melding til Økokrim

Dersom ett av unntakene i hvitvaskingsloven § 27 andre ledd kommer til anvendelse, skal Økokrim varsles umiddelbart etter at den mistenkelige transaksjonen er gjennomført. I noen tilfeller vil det mistenkelige forholdet ikke være utløst av en transaksjon alene, for eksempel fordi mistanken oppstår på grunnlag av et større mønster av transaksjoner, eller på grunnlag av flere forhold som ikke, eller kun delvis, er knyttet til transaksjoner. I slike tilfeller må lovens krav forstås slik at rapporteringen til Økokrim skal skje umiddelbart etter at mistanken er etablert hos den rapporteringspliktige, i samsvar med § 26.

7 Krav til systemer som muliggjør raske og fullstendige svar til myndighetene

Rapporteringspliktige skal ha systemer som muliggjør raske og fullstendige svar på forespørsler fra offentlige myndigheter, om vedkommende har, eller i løpet av de siste fem årene har hatt, kundeforhold til konkrete personer og om kundeforholdets art. Dette inkluderer personer som har vært reelle rettighetshavere. Dette stiller særlige krav til lagringsmåten for opplysninger og dokumenter. Systemet trenger ikke gi alle opplysninger om kundeforholdet, det er tilstrekkelig at det gjør det mulig å finne raskt frem til opplysninger om kundens identitet og type kundeforhold.

Hvor raskt den rapporteringspliktige må besvare henvendelsen fra myndighetene avhenger av omfanget av forespørselen. Formatet på oversendelsen til myndighetene må være i et alminnelig lesbart format. 

Forespørsler fra Enheten for Finansiell Etterretning i Økokrim er regulert i hvitvaskingsloven § 26 første ledd andre punktum. Rapporteringspliktige kan legge til grunn at Økokrim har det nødvendige hjemmelsgrunnlaget for å etterspørre opplysningene. Forespørsler fra tilsynsmyndighetene er regulert i finanstilsynsloven § 3. Andre offentlige myndigheter som etterspør opplysninger som nevnt, må angi hjemmel for forespørselen. Slike forespørsler og svar på forespørsler må sendes på en sikker måte.

8 Bruk av tredjeparter

Foretak kan benytte tredjeparter til å utføre plikter etter hvitvaskingsloven. Dette kan gjøres ved innkjøp eller innleie av systemer, ved å bygge på enkelte kundetiltak utført av andre eller ved å utkontraktere oppgaver. Hvitvaskingsloven regulerer hvilke tiltak som kan utføres av hvem, og krav til foretakene i hvordan ansvar og oppfølging skal foretas.

Det er hovedsakelig tre måter å benytte tredjeparter på:

1. innkjøp eller innleie av systemer som støtteverktøy
2. å bygge på kundetiltak utført av tredjeparter
3. å utkontraktere kundetiltak eller oppgaver

8.1 Støtteverktøy

Banker, kredittforetak og finansieringsforetak må ha elektroniske overvåkingssystemer for å avdekke forhold som kan indikere hvitvasking og terrorfinansiering. I tillegg velger mange foretak å kjøpe inn tjenester som eksempelvis oppslagslister over hvem som er politisk eksponerte personer (PEP) eller  reelle rettighetshavere, eller hvem som er oppført på sanksjonslister.

Selv om rapporteringspliktige benytter seg av systemer som støtteverktøy, er foretakene likevel ansvarlige for at systemene er egnet til å ivareta pliktene etter regelverket.

Systemene må være tilpasset virksomhetens art og omfang. Generiske verktøy uten mulighet for tilpasninger er lite egnet for å etterleve regelverket. Foretakene må også kjenne til hvilke svakheter systemet har, slik at den rapporteringspliktige har en oversikt over hvilke undersøkelser og vurderinger som må gjøres i tillegg. De rapporteringspliktige skal ikke la automatiserte beslutninger gå på bekostning av manuelle kontroller der det er nødvendig, blant annet ved oppfølgingen av høyrisikokunder med behov for forsterkede kundetiltak.

Innkjøp av systemer som støtteverktøy må i enkelte sammenhenger anses å være utkontraktering av kundetiltak etter hvitvaskingsloven § 23. Et viktig moment er om systemet kun gir generiske data som grunnlag for en vurdering, eller om vurderingene også foretas i systemet. Et system som eksempelvis innhenter legitimasjonsdata, PEP-screening og oversikt over hvem som er reelle rettighetshavere, vil ikke anses som en utkontraktering. Dersom systemet også foretar en risikoscoring av kunden, vil det imidlertid anses som utkontraktering.

Foretaket må ha rutiner for bruk av systemet.

8.2 Kundetiltak utført av tredjepart

8.2.1 Generelt

Hvitvaskingsloven åpner for at rapporteringspliktige kan legge til grunn enkelte kundetiltak utført av enkelte tredjeparter. Kundetiltakene som det kan bygges på, følger av hvitvaskingsloven § 12 første til tredje ledd og femte ledd, § 13 første til tredje ledd og femte ledd og § 14. Disse kundetiltakene knytter seg primært til identifisering og bekreftelse av identiteten til fysiske og juridiske personer, samt identifisering av reelle rettighetshavere. Selv om loven åpner opp for at opplysninger om kundeforholdets formål kan legges til grunn, mener Finanstilsynet at rapporteringspliktige i de fleste tilfeller selv må innhente denne typen opplysninger, siden formålet ikke nødvendigvis vil være det samme hos den rapporteringspliktige som hos tredjeparten.

Risikoklassifisering av kunden må den rapporteringspliktige utføre selv. Det kan bety at virksomheten må innhente ytterligere informasjon dersom det er nødvendig for å risikoklassifisere kunden. Videre må virksomheten selv innhente ytterligere opplysninger for å oppfylle kravet om forsterkede kundetiltak der dette er aktuelt. Når en kunde utgjør en høyere risiko, må den rapporteringspliktige selv innhente opplysninger som supplerer opplysningene som er innhentet fra en tredjepart, eller utkontraktere disse oppgavene etter hvitvaskingsloven § 23.

Hvitvaskingsloven § 22 angir hvilke rapporteringspliktiges kundetiltak det er anledning til å bygge på. Det er ikke et krav at tredjeparten er samme type rapporteringspliktig som foretaket som etterspør informasjonen. Det avgjørende er at tredjeparten som henviser kunden videre til den rapporteringspliktige, selv overholder hvitvaskingsloven. Filialer av rapporteringspliktige foretak anses ikke som «tredjeparter» etter § 22 i relasjon til hovedkontoret, eller andre filialer av samme juridiske enhet. 

Den rapporteringspliktige skal umiddelbart innhente opplysningene fra tredjeparten som den rapporteringspliktige skal bygge på. Det er ikke tilstrekkelig med en gjengivelse av de innhentede opplysningene. Den rapporteringspliktige må få kopier av originaldokumenter og vurderinger som tredjeparten har foretatt. Den rapporteringspliktige må ha mottatt disse for å kunne gjøre en tilstrekkelig risikoklassifisering.

Det skal foreligge en skriftlig avtale mellom den rapporteringspliktige tredjeparten og den rapporteringspliktige som mottar opplysningene. Avtalen må minimum sikre at tredjeparten overholder kravene i hvitvaskingsloven, sikre krav til utlevering av dokumentasjonen, herunder om tidspunkt for utlevering og kvaliteten av den, samt at kunden informeres.

Dokumentasjonen må registreres og lagres i henhold til hvitvaskingsloven § 30.

Den rapporteringspliktige må ha en risikobasert tilnærming til den innhentede dokumentasjonen. Dersom det er forhold ved dokumentasjonen som tilsier at den er utilstrekkelig eller feil, må den rapporteringspliktige foreta egne kundetiltak. At den rapporteringspliktige bygger på kundetiltak utført av tredjepart, fritar ikke den rapporteringspliktige fra ansvar etter loven.

8.2.2 Kundetiltak utført av utenlandske tredjeparter

Dersom den rapporteringspliktige er et foretak fra en annen stat, må foretaket være underlagt regler om kundetiltak, oppbevaring og tilsyn som svarer til hvitvaskingsloven. Det er ikke anledning til å bygge på kundetiltak utført av tredjeparter i høyrisikoland, jf. hvitvaskingsforskriften § 4-10. En helhetlig vurdering av den geografiske risikoen tilknyttet tredjeparten kan også tilsi at den rapporteringspliktige ikke bør bygge på kundetiltakene utført fra en gitt tredjepart.

8.2.3 Tredjepartskontroll i konsern

Rapporteringspliktige selskaper som er del av konsern kan, etter godkjenning fra Finanstilsynet, legge til grunn kundetiltak utført av andre rapporteringspliktige i konsernet. Bestemmelsen gjelder bare for konsern hvor det føres tilsyn på konsernnivå. Et vilkår for godkjenning er at konsernet anvender felles retningslinjer og overordnede rutiner for kundetiltak, lagring og registrering av opplysninger og dokumenter og andre tiltak mot hvitvasking og terrorfinansiering i samsvar med bestemmelser i, eller i medhold av, hvitvaskingsloven. Finanstilsynet foretar en individuell vurdering av om godkjenning skal gis.

Kundetiltakene som det kan bygges på, følger av hvitvaskingsloven § 12 første til tredje ledd og femte ledd, § 13 første til tredje ledd og femte ledd og § 14. Disse knytter seg primært til identifisering og bekreftelse av identiteten til fysiske og juridiske personer, samt identifisering av reelle rettighetshavere. Selv om loven åpner opp for at opplysninger om kundeforholdets formål kan legges til grunn, mener Finanstilsynet at rapporteringspliktige i de fleste tilfeller selv må innhente denne type opplysninger, siden formålet ikke nødvendigvis vil være det samme hos den rapporteringspliktige som hos tredjeparten.

Risikoklassifisering av kunden må den rapporteringspliktige utføre selv. Det kan bety at virksomheten må innhente ytterligere informasjon for å ha tilstrekkelige opplysninger for å risikoklassifisere kunden. Virksomheten kan heller ikke få bistand til å innhente ytterligere opplysninger for å oppfylle kravet om forsterkede kundetiltak. Når en kunde utgjør en høyere risiko, må den rapporteringspliktige selv innhente opplysninger som supplerer opplysningene som er innhentet fra tredjepart.

Rapporteringspliktige i konsern er ikke underlagt kravet om dokumentasjonsinnhenting og skriftlig avtale, men det forutsetter at den rapporteringspliktige sikrer seg tilgang til slik informasjon. Rapporteringspliktige vil også kunne bygge på kundetiltak fra andre rapporteringspliktige konsernselskaper etablert i høyrisikoland.

Rapporteringspliktige må sikre muligheten til å fremskaffe dokumentasjonen på forespørsel fra offentlige myndigheter.

8.3 Utkontraktering

Rapporteringspliktige har anledning til å utkontraktere kundetiltak til eksterne tjenesteleverandører. Ved utkontrakteringer må foretakene være oppmerksomme på meldeplikten i forskrift om meldeplikt ved utkontraktering av virksomhet mv.

8.3.1 Hva kan utkontrakteres?

Etter hvitvaskingsloven § 23 kan kundetiltak utkontrakteres. Kundetiltakene følger av lovens kapittel 4. Etter Finanstilsynets oppfatning kan også plikter som er nært tilknyttet kundetiltakene, utkontrakteres. Dette gjelder løpende oppfølging, transaksjonsovervåking og lagring av dokumentasjon.

Det uttales spesifikt i forarbeidene til hvitvaskingsloven at etterlevelsesansvarlig etter § 35 kan utkontrakteres. Finanstilsynet mener med bakgrunn i dette at også internrevisjonsrollen etter samme bestemmelse kan utkontrakteres.

Rollen som hvitvaskingsansvarlig kan ikke utkontrakteres, herunder ansvaret som følger med denne rollen, eksempelvis rapportering til Økokrim, med mindre det gjøres fra datterselskap til morselskap.

8.3.2 Hvem kan det utkontrakteres til?

Det er ikke begrensninger i hva slags type tjenesteleverandør man kan utkontraktere til. Dersom den rapporteringspliktige og tjenesteleverandøren oppfyller vilkårene i loven, anses tjenesteleverandøren å være «del av den rapporteringspliktige» etter hvitvaskingsloven § 23. Det er ikke krav om at tjenesteleverandøren selv er rapporteringspliktig.

Det er ikke anledning til å utkontraktere kundetiltak til tredjeparter i høyrisikoland, jf. hvitvaskingsforskriften § 4-10. En helhetlig vurdering av den geografiske risikoen tilknyttet tredjeparten kan også tilsi at den rapporteringspliktige ikke bør utkontraktere til tjenesteleverandør fra dette landet. Bruk av tjenesteleverandør fra et risikoeksponert område vil kreve strengere kontroll fra den rapporteringspliktige.

8.3.3 Kontroll av leverandøren

Den rapporteringspliktige skal både kontrollere tjenesteleverandøren før avtaleinngåelsen og den løpende utkontrakterte virksomheten.

Ved oppdragsinngåelse skal den rapporteringspliktige påse at tjenesteleverandøren har tilstrekkelig evne og kapasitet til å påta seg oppdraget. Dette betyr blant annet at tjenesteleverandøren skal ha relevant og faglig kjennskap til norske regelverk, samt annet relevant regelverk, for å utføre oppgaven.   

Den rapporteringspliktige må også føre jevnlige og tilstrekkelig inngående kontroller av at tjenesteleverandøren utfører oppgaven i henhold til hvitvaskingsloven, samt den rapporteringspliktiges rutiner. Det skal også vurderes om utkontrakteringsavtalen er forsvarlig å opprettholde. 

Den rapporteringspliktige må derfor ha tilstrekkelig med kompetente ressurser for å følge opp de utkontrakterte oppgavene. I avtalen må den rapporteringspliktige sikre muligheten for å gjennomføre tilsyn. Den rapporteringspliktige må også sikre seg mulighet til å si opp avtalen dersom den ikke lenger anser det forsvarlig at tjenesteleverandøren utfører de utkontrakterte oppgavene. Der utkontrakteringen dreier seg om noe annet enn utkontraktering av lagringsplikten, må den rapporteringspliktige også påse tilgang til og overføring av data for de utkontrakterte oppgavene til å oppfylle hvitvaskingslovens bestemmelser om dette.

8.3.4 Ansvar ved utkontraktering

Utkontrakteringen kan aldri omfatte den rapporteringspliktiges ansvar etter hvitvaskingsloven. Utkontraktering har en påvirkning på virksomhetens risiko og kan ha betydning for risikoprofilen til et foretak. Eksempelvis vil utkontraktering til tredjeland kunne ha en slik påvirkning på risikoprofilen.

9 Behandling av opplysninger

9.1 Informasjonsdeling

De fleste rapporteringspliktige er underlagt sektorspesifikke bestemmelser om taushetsplikt etter annet regelverk. I tillegg vil alle rapporteringspliktige være underlagt personvernregelverket for behandlingen av personopplysninger. Hvitvaskingsloven § 31 og hvitvaskingsforskriften § 6-5 har hjemler for likevel å kunne dele opplysninger når formålet er å bekjempe hvitvasking og terrorfinansiering. Hvitvaskingsloven har også hjemler for informasjonsdeling som unntak til avsløringsforbudet i § 28.

9.1.1 Rett til utveksling innen samme juridiske enhet

Hvitvaskingsloven gir ikke spesifikke hjemler for deling av informasjon innad i en juridisk enhet, slik at det i prinsippet ikke er begrensninger i muligheten til å dele informasjon om kundetiltak mv. Avsløringsforbudet i hvitvaskingsloven § 28 tilsier imidlertid at det gjelder et «need to know»-prinsipp også innad i en juridisk enhet. Finanstilsynets oppfatning er at foretaket bør dele all relevant informasjon med ansatte i foretaket som håndterer den aktuelle kunden. Det vil eksempelvis være relevant å dele opplysninger om undersøkelse og rapportering av en personkunde med ansatte i bedriftsmarkedet, dersom denne kunden også er reell rettighetshaver i en bedriftskunde, og omvendt.

En filial er ikke et eget rettssubjekt, og det betyr at opplysninger som nevnt over, kan utveksles mellom en norsk filial av utenlandsk foretak der foretaket er underlagt tilsvarende regler. Adgangen til å utveksle informasjon fra en utenlandsk filial til et norsk foretak eller omvendt, kan være begrenset av lokale regler for adgang til å dele informasjon. Filialen har likevel et selvstendig ansvar for å følge hvitvaskingsloven, jf. hvitvaskingsloven § 3.

9.1.2 Utveksling av opplysninger i konsern

Hvitvaskingsloven § 31 første ledd og hvitvaskingsforskriften § 6-5 klargjør retten til å utveksle kundeopplysninger mellom angitte selskaper i konsern.

9.1.2.1 Vilkår for utveksling av opplysninger i konsern

Enkelte rapporteringspliktige^​ som er del av samme konsern og etablert i EØS, kan utveksle opplysninger og dokumenter som er innhentet, eller utarbeidet etter hvitvaskingsregelverket, jf. hvitvaskingsloven § 31 første ledd og hvitvaskingsforskriften § 6-5. Dette gjelder banker, kredittforetak, finansieringsforetak, e-pengeforetak, betalingsforetak og andre som har rett til å yte betalingstjenester, verdipapirforetak, forvaltningsselskap for verdipapirfond, forsikringsforetak, foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling, foretak som driver depotvirksomhet, forvalter av alternative investeringsfond og låneformidlingsforetak.

Forutsetningen er at det gjøres som ledd i tiltak mot hvitvasking og terrorfinansiering, samt at informasjonen gjelder

1. felles kunde
2. kunder som har særlig tilknytning til hverandre, for eksempel tilknytninger som indikerer felles reell rettighetshaver, eller andre forhold som kan tilsi at en transaksjon eller aktivitet gjennomføres på vegne av samme person

Med «kunde» menes nye kunder, eksisterende kunder eller tidligere kunder som har blitt avvist, eller hvis kundeforhold har blitt avviklet.

Etter Finanstilsynets oppfatning vil eksempelvis felles styremedlemmer, nære medarbeidere og familiemedlemmer av PEP, personer med felles forretningsadresse og felles disponenter anses å ha «særlig tilknytning til hverandre» etter hvitvaskingsforskriften. Øvrige eksempler er tilfeller der konsernselskapene har kunder som er forskjellige juridiske personer, men med samme morselskap. Også andre tilknytninger som indikerer felles reell rettighetshaver, bør gi grunnlag for informasjonsutveksling, herunder indikasjoner på at en transaksjon eller aktivitet reelt gjennomføres på vegne av samme fysiske eller juridiske person.

Tilsvarende gjelder også filialer og majoritetseide datterselskaper i tredjeland, dersom rutinene som er fastsatt etter hvitvaskingsloven § 8 sjette ledd, gjelder for filialen eller datterselskapet.

Informasjon som kan utveksles, omfatter alle relevante opplysninger og dokumenter som er innhentet eller utarbeidet etter hvitvaskingsloven med forskrift, herunder informasjon om kunden, reelle rettighetshavere, kontoer, transaksjoner mv. Finanstilsynet legger til grunn at dette også innbefatter informasjon om rolleinnehavere i kunden, kundens risikoklassifisering og resultatet av eventuelle forsterkede kundetiltak mv. Adgangen til å motta opplysninger fra andre konsernselskap vil ikke endre foretakets eget ansvar for risikoklassifisering, kundetiltak mv. etter hvitvaskingsregelverket. Det innebærer at en rapporteringspliktig ikke uten videre kan legge til grunn kundeinformasjon innhentet av en annen enhet i samme konsern. Eksempelvis vil et konsern som har bank, finansieringsforetak og forsikringsforetak ha så vidt ulike virksomheter og risikoprofiler at deres risikovurdering og krav til kundetiltak ikke vil være like.

Hvitvaskingsloven § 28 tredje ledd gir unntak fra avsløringsforbudet for informasjonsutveksling i konsern, og også opplysninger om undersøkelser og rapporter til Økokrim kan deles.

9.1.2.2 Felles kunderegister

Dersom konsernet har et felles kunderegister, kan dette benyttes for å avgjøre om det er adgang til å dele opplysninger etter denne bestemmelsen, det vil si om den relevante personen er felles kunde, eller om kunder har særlig tilknytning til hverandre etter hvitvaskingsforskriften § 6-5 første ledd.

Informasjonsutvekslingen kan skje ved etablering av kundeforhold. Det innebærer at dersom en kunde kun har kundeforhold med konsernselskap A, og på et senere tidspunkt ønsker kundeforhold med konsernselskap B, kan selskap B få tilgang til informasjon fra kunderegistret innhentet og utarbeidet etter hvitvaskingsregelverket av selskap A.

9.1.2.3 Sentralisert funksjon for informasjonsdeling

Rapporteringspliktige, som er del av samme konsern, skal ha en sentralisert funksjon for informasjonsdeling for å håndtere konsernets risiko for hvitvasking og terrorfinansiering. Den sentraliserte funksjonen skal for dette formålet få tilgang til alle opplysninger som det er anledning til å dele konserninternt. Den vil dermed kunne inneholde en fullstendig sammenstilling av informasjon fra kundetiltak for alle konsernets kunder. 

Informasjonsdeling på dette nivået vil underbygge og styrke konsernets risikovurdering og gjennomføring av gruppens rutiner på konsernnivå. Videre vil en slik informasjonsdeling ivareta muligheten for å oppdage eventuell direkte eller indirekte tilknytning mellom kunder i ulike konsernselskaper.

For filialer og datterselskaper av utenlandske foretak gjelder kravet om sentralisert funksjon for den norske delen av virksomheten så lenge hjemstatens hvitvaskingsregelverk ikke stiller krav om etablering av en tilsvarende sentralisert funksjon.

Finanstilsynet legger til grunn at hvitvaskingsloven § 31 og hvitvaskingsforskriften § 6-5 femte ledd hjemler adgangen til å lagre særlige kategorier av personopplysninger gjennom den sentraliserte funksjonen for informasjonsdeling.

9.1.2.4 Plikt til utveksling av opplysninger i konsern

Med mindre Økokrim bestemmer noe annet, skal rapporteringspliktige som nevnt i hvitvaskingsloven § 4 første ledd bokstav a, b, c, e, g, h til k, n og o uten hinder av taushetsplikt utlevere opplysninger om at det er oversendt opplysninger til Økokrim etter § 26 første ledd første punktum, til tilsvarende gruppe rapporteringspliktige i samme konsern som er etablert i EØS. Tilsvarende opplysninger kan gis til filialer og majoritetseide datterselskaper i tredjeland, såfremt rutinene etter § 8 sjette ledd også gjelder for filialen eller datterselskapet.

Plikten til å utlevere opplysninger konserninternt bør gjøres innen rimelig tid etter at opplysningene er oversendt Økokrim. Plikten inntrer kun i tilfeller der opplysningene til Økokrim er basert på egne undersøkelser. Der opplysninger er oversendt Økokrim etter forespørsel fra Økokrim etter § 26 første ledd annet punktum, er dette opplysninger som kan deles i medhold av § 31 første ledd, jf. hvitvaskingsforskriften § 6-5. Rapporteringspliktige må ha egne rutiner og systemer for å kunne etterleve den interne opplysningsplikten.

Plikten til å dele gjelder kun opplysninger om at det er rapportert til Økokrim, og den gjelder uavhengig av om det gjelder en felles kunde. Det er ikke en plikt å dele selve rapporten som er sendt Økokrim, eller dokumenter utarbeidet eller informasjon brukt som grunnlag for rapporten. Dette er likevel informasjon som kan deles, hvis vilkårene i forskriften § 6-5 foreligger.

Formålet med å dele informasjon om at det er rapportert, nemlig at konsernet skal kunne benytte informasjonen for å håndtere risikoen for hvitvasking og terrorfinansiering, betyr ikke at enhver person i hvert konsernselskap skal ha denne typen informasjon. Hensynet til avsløringsforbudet i hvitvaskingsloven § 28 kan tilsi at tilgangen til informasjonen bør begrenses til konkrete avdelinger eller personer i det enkelte konsernselskap.

9.1.2.5 Utveksling av opplysninger mellom rapporteringspliktige

Banker, kredittforetak, finansieringsforetak og forsikringsforetak kan uten hinder av taushetsplikt utveksle nødvendige kundeopplysninger seg imellom når det anses nødvendig som ledd i nærmere undersøkelser etter § 25. Unntak fra avsløringsforbudet er gitt i hvitvaskingsloven § 28 fjerde ledd. Finanstilsynet legger til grunn at § 28 fjerde ledds henvisning til § 31 andre ledd er ment å henvise til bestemmelsens tredje ledd. Dette er en hjemmel for å utveksle kundeopplysninger som forutsetter at undersøkelsene er pågående, og at utvekslingen av informasjon er nødvendig for å avdekke om det foreligger transaksjoner som har tilknytning til utbyttet av straffbare handlinger.

Den forespørrende rapporteringspliktige må ha et særskilt grunnlag for forespørselen i pågående undersøkelser med hjemmel i hvitvaskingsloven. Undersøkelsene kan i tillegg til kundeinformasjon omhandle transaksjoner og identiteten til avsender eller mottaker.

Avgrensningen av hva man kan spørre en annen rapporteringspliktig om, vil måtte bero på en konkret vurdering av hva som er «nødvendig» som ledd i den konkrete undersøkelsen av eventuelle mistenkelige transaksjoner, eksempelvis om midlenes opprinnelse.

9.2 Registrering og oppbevaring av opplysninger

Hvitvaskingsloven § 30 krever at alle opplysninger og dokumenter som er innhentet og utarbeidet i forbindelse med kundetiltakene, den løpende oppfølgingen, undersøkelser og rapportering skal registreres og lagres i fem år etter at kundeforholdet ble avsluttet. Der den rapporteringspliktige har utført en transaksjon for en kunde uten at det ble etablert et kundeforhold, jf. hvitvaskingsloven § 10 første ledd bokstav b, er oppbevaringsplikten fem år fra transaksjonen ble gjennomført. Lagringstiden er ti år når kundeforholdet ved avslutning var underlagt forsterkede kundetiltak, eller transaksjonen ble underlagt forsterkede kundetiltak, jf. hvitvaskingsforskriften § 6-4 andre ledd.

Transaksjonsoversikter for øvrig, som gir tilstrekkelig informasjon til å kunne identifisere enkelttransaksjoner, skal oppbevares i fem år etter at transaksjonen er gjennomført.

Dersom det gjelder lengre oppbevaringsplikt enn fem år etter annen lov eller forskrift, vil den lengste fristen gjelde. Samlet lagringstid for personopplysninger kan ikke overstige ti år. Maksimal lagringstid skal beregnes fra kundeforholdet ble avsluttet eller transaksjonen ble gjennomført, jf. hvitvaskingsforskriften § 6-4.

Dokumenter og opplysninger skal oppbevares på et medium som opprettholder lesekvaliteten i hele oppbevaringsperioden. Det skal foreligge sikkerhetskopi av elektronisk materiale. Sikkerhetskopien skal oppbevares atskilt fra originalen.

Rapporteringspliktige skal ha rutiner for behandling av særlige kategorier personopplysninger omfattet av personvernforordningen (2016/679) artikkel 9 og 10 når det er nødvendig for å gjennomføre forpliktelsene i hvitvaskingsloven med forskrift, jf. hvitvaskingsforskriften § 6-1 andre ledd.

9.3 Sletting av opplysninger

Personopplysninger som er registrert og lagret i tilknytning til kundetiltakene, den løpende oppfølgingen, undersøkelse og eventuelt rapportering, skal slettes når det har gått fem år etter at kundeforholdet ble avsluttet. Der den rapporteringspliktige har utført transaksjon for en kunde uten at det ble etablert et kundeforhold, er slettefristen fem år etter transaksjonen ble gjennomført, jf. hvitvaskingsloven § 30.

Lagringstiden etter hvitvaskingsloven § 30 første ledd er ti år når kundeforholdet ved avslutning var underlagt forsterkede kundetiltak, eller transaksjonen ble underlagt forsterkede kundetiltak, jf. hvitvaskingsforskriften § 6-4 andre ledd. Rapporteringspliktige har en adgang til å vurdere om opplysninger skal slettes etter fem år dersom særlige grunner tilsier at kunden ikke utgjorde en høy risiko for hvitvasking og terrorfinansiering. Dersom rapporteringspliktige beslutter å slette personopplysninger etter fem år, skal vurderingen som ligger til grunn, lagres i ytterligere fem år.

Rapporteringspliktige må sikre at det er etablert rutiner som sikrer at registrerte personopplysninger og dokumenter som inneholder personopplysninger, slettes når henholdsvis femårsfristen og tiårsfristen er utløpt, jf. hvitvaskingsloven § 30 andre ledd og hvitvaskingsforskriften § 6-4.

Hvitvaskingslovens regler om sletteplikt begrenser ikke eventuell lagringstid etter andre regelverk.

Hvitvaskingsloven har ikke krav til sletting av opplysninger og dokumenter som ikke er personopplysninger. Disse opplysningene kan lagres lengre enn fem år, om ikke annet følger av andre regelverk.

10 Øvrige plikter

10.1 Opplæring

De rapporteringspliktige er pålagt å sikre at ansatte og andre som utfører oppdrag for foretaket, gis tilstrekkelig opplæring. Hva som er tilstrekkelig, vil avhenge av flere forhold. For det første vil omfanget av opplæringen avhenge av typen rapporteringspliktig, herunder hvilke produkter og tjenester som rapporteringspliktige tilbyr, størrelse på foretaket, risikoeksponering mv. For det andre vil den enkelte ansattes ansvar, oppgaver og rolle ha betydning for hva som regnes som tilstrekkelig opplæring av den enkelte.

Opplæringen skal gis slik at de ansatte og andre som utfører oppdrag for foretaket, er kjent med virksomhetens risikoeksponering og forpliktelser etter hvitvaskingsloven, samt at de gjøres i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering.

Alle ansatte og andre som utfører oppdrag på vegne av foretaket, må gis opplæring i de grunnleggende kravene etter hvitvaskingsloven, hva som er hensynene bak regelverket, og hva som er den rapporteringspliktiges rolle i bekjempelsen av hvitvasking og terrorfinansiering.

I tillegg må de ansatte få spesifikk opplæring som er tilpasset arbeidsoppgavene. Etter Finanstilsynets oppfatning må omfanget og intensiteten av opplæringen tilpasses den ansattes ansvar og arbeidsoppgaver, og oppgaver i nær relasjon til disse. De ansatte må for eksempel få opplæring i hvordan de skal anvende rutiner som berører egne arbeidsoppgaver. De må videre gis opplæring i hvor de kan søke veiledning for å løse konkrete problemstillinger. Ansatte som jobber med elektroniske støtteverktøy, må få opplæring i hvordan verktøyene skal benyttes, hvilke svakheter de har og hvilke manuelle kontroller som må utføres i tillegg til støtteverktøyene. Det kan også være nødvendig med ekstern kursing eller opplæring av utviklingstrekk og trender.

Ansatte og andre som utfører oppdrag for foretaket, skal gjøres i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. De rapporteringspliktige må derfor gi opplæring i indikatorlister og kjennetegn som er relevante for den aktuelle rapporteringspliktige. Denne opplæringen må oppdateres ettersom kriminalitetstrendene endrer seg.

Finanstilsynet understreker at også virksomhetens styre og ledelse må gis opplæring som reflekterer deres rolle og ansvar for virksomhetens etterlevelse av hvitvaskingsregelverket.

Opplæringen skal gis jevnlig slik at kunnskapen vedlikeholdes og oppdateres. Finanstilsynet anser det nødvendig at nyansatte får tilstrekkelig innføring ved oppstart av arbeidsforholdet. Hvilken oppdatering som er nødvendig utover dette, vil bero på rettsutvikling, nye interne rutiner, nytt risikobilde mv. Oppdateringen bør uansett skje med jevne mellomrom for å sikre vedlikehold av kunnskapen. Dette må ikke nødvendigvis skje årlig i alle rapporteringspliktige foretak, forutsatt at ikke nye forhold tilsier ny opplæring. Hvor ofte opplæring skal skje for den enkelte ansatte mv., beror også på dennes ansvar og rolle hos den rapporteringspliktige, eksempelvis dersom virksomheten oppdaterer rutiner, vil opplæring måtte gjøres overfor personer som berøres av endringene, men ikke nødvendigvis for andre. 

Foretaket skal kunne dokumentere etterlevelse av opplæringsforpliktelsene. Etter Finanstilsynets syn innebærer dette at foretaket bør ha en opplæringsplan e.l., og at de kan dokumentere innhold og gjennomføring.

10.2 Vern av ansatte – varslingssystemer

10.2.1 Vern mot negative reaksjoner ved undersøkelser og rapportering

Virksomheten plikter å påse at ansatte som har som oppgave å rapportere til Økokrim, ikke blir utsatt for trusler e.l. som følge av rapportering, jf. hvitvaskingsloven § 37 første ledd. Etter Finanstilsynets syn gjelder det samme for ansatte som gjennomfører undersøkelser. Det er i forarbeidene lagt til grunn at vern mot trusler eller gjengjeldelse ved intern rapportering, er ivaretatt av bestemmelser i arbeidsmiljøloven. Plikten etter hvitvaskingsloven § 37 gjelder derfor øvrige situasjoner hvor den ansatte kan bli utsatt for negative reaksjoner. 

Hvilke tiltak som må iverksettes for å beskytte de ansatte, vil bero på virksomhetens art og omfang. I visse tilfeller vil det for eksempel være vanskelig å anonymisere den ansatte overfor kunden, herunder når undersøkelsene innebærer direkte kontakt med kunden. I slike tilfeller må virksomheten ha rutiner for rapportering og eskalering av en trusselsituasjon, slik at den ansatte fjernes fra situasjonen, og kunden håndteres av virksomheten på et høyere nivå.

10.2.2 System for varsling

Dersom en risikovurdering av virksomhetens art og omfang tilsier det, må den rapporteringspliktige opprette et uavhengig system for anonym varsling etter hvitvaskingsloven. Finanstilsynet legger til grunn at uavhengige systemer som er opprettet for varsling av forhold etter andre regelverk, kan benyttes, så lenge systemet oppfyller vilkårene etter loven. Det er altså ikke et krav om å opprette en separat uavhengig varslingskanal der en slik allerede finnes i virksomheten.

Foretaket skal etablere rutiner for varsling slik at ansatte har kjennskap til hvordan det kan varsles.

Finanstilsynet understreker at ansatte har anledning til generelt å rapportere om kritikkverdige forhold, herunder etter hvitvaskingsloven, direkte til Finanstilsynet. Finanstilsynet har taushetsplikt om varslingen, jf. arbeidsmiljøloven § 2 A-7.

10.3 Elektronisk overvåkingssystem

10.3.1 Innledning

Banker, kredittforetak og finansieringsforetak plikter å ha elektroniske overvåkingssystemer for å avdekke forhold som kan indikere hvitvasking og terrorfinansiering, jf. hvitvaskingsloven § 38. Hvitvaskingsforskriften § 7-3 har minimumskrav til elektroniske overvåkingssystemer. Den elektroniske overvåkingen skal omfatte alle systemer for transaksjoner til eller fra rapporteringspliktiges kunder. Systemene skal dekke alle kontoer som tilhører bankens kunder og transaksjoner som tilgodeser, eller utføres av og for bankens kunder.

Systemene skal ha til formål å identifisere indikasjoner på hvitvasking og terrorfinansiering. Forpliktelsene i § 38 omfatter også systemer for screening av kundemassen for å identifisere personer som er underlagt sanksjoner som er gjennomført i norsk rett, og identifisere transaksjoner tilknyttet slike personer.

Kravet til overvåkingssystemer har nær sammenheng med kravene til kundetiltak og løpende oppfølging, siden elektroniske overvåkingssystemer i de fleste tilfeller er nødvendige for å håndtere overvåkingen av transaksjonsvolumene som slike foretakstyper gjennomfører.

De rapporteringspliktige må likevel gjennomføre manuelle kontroller der det er nødvendig, blant annet ved oppfølgingen av høyrisikokunder med behov for forsterkede kundetiltak.

10.3.2 Krav til bruk av elektronisk overvåkingssystem

Elektroniske transaksjons- og/eller kundetiltak kan betegnes som regler, filtre, kontroller, risikoparametere eller scenarier. Betegnelsen «regler» er brukt i dette rundskrivet.

Det er et krav at regelsettingen er basert på risikovurderinger. Reglene skal dekke risikoer identifisert i foretakets risikovurdering, og de skal oppdateres i henhold til risikovurderingen.

Reglene skal være dokumentert med referanse til risikoen de er ment å redusere. Dokumentasjonen skal være versjonsstyrt slik at det er mulig på et tidspunkt tilbake i tid å se hvilke regler en transaksjon er kontrollert mot.

Foretaket skal ha rutiner for kvalitetssikring og evaluering av effekten av reglene. Dette innebærer rutiner for test av nye og endrede regler og for oppfølging av treffsikkerheten til reglene. Mange falske positive treff på en regel kan indikere at regelen bør justeres. Ingen eller svært få treff på en regel kan også bety at regelen bør justeres, men det avhenger i større grad av hvor smalt regelen er ment å treffe.

Foretaket skal videre ha rutiner for daglig oppfølging av resultatet av den elektroniske overvåkingen, og alle positive treff skal behandles uten at det bygger seg opp restanselister på de positive treffene. Foretaket må ha tilstrekkelig med ressurser til å behandle treffene som genereres fra det elektroniske overvåkingssystemet. Alarmhåndteringen skal skje uten ugrunnet opphold og må være risikobasert. Dette betyr at behandling av treff i det elektroniske overvåkingssystemet må igangsettes innen en til to dager. Det betyr videre at foretakene må behandle treffene ut fra hvilken risiko de utgjør for hvitvasking og terrorfinansiering. Foretaket må ha rutiner for å prioritere behandlingen av treff. Prioriteringen av treff kan gjøres manuelt eller automatisert. Automatisert prioritering av treff kan benyttes i kombinasjon med manuelle prioriteringer, eller som en helautomatisk prosess. Ved automatisert prioritering av treff må foretaket kunne dokumentere hvordan systemet for prioritering fungerer. Dersom det tar lengre tid enn en til to dager å igangsette undersøkelser av treff i det elektroniske overvåkingssystemet, må foretaket ha en risikobasert begrunnelse for dette. 

Bruk av det elektroniske overvåkingssystemet er en viktig del av foretakets løpende oppfølging, herunder oppfølgingen av kundens risikoklassifisering. Det skal fungere som et verktøy for å endre risikoklassifiseringen av kunden der transaksjonsmønstrene tilsier dette. Det skal blant annet være egne regler for privatmarked og bedriftsmarked, for spesifikke bransjer og for kunder underlagt forsterkede kundetiltak. I tillegg til regler med statiske parametre, må foretaket ha kundespesifikke regler basert på det kunden har oppgitt om kundeforholdets formål og tilsiktede art, og/eller kundens transaksjonshistorikk.

10.3.3 Krav til det elektroniske overvåkingssystemet

Hvitvaskingslovens krav til å risikovurdere ny teknologi og krav til internkontroll har betydning også for endringer og drift av det elektroniske overvåkingssystemet.

Det er viktig å ha rutiner for å kontrollere at datauttrekket fra det elektroniske overvåkingssystemet er komplett. Dette gjelder både kontroll av antall transaksjoner og innholdet i den enkelte transaksjon. Risikoen for mangelfulle uttrekk er spesielt høy etter endringer i den rapporteringspliktiges øvrige systemer.

Foretaket skal også ha dokumenterte rutiner for å håndtere avvikssituasjoner for de tilfeller hvor det elektroniske overvåkingssystemet ikke fungerer som forutsatt. Rutinene skal beskrive hvordan det sikres at alle transaksjoner etterkontrolleres når systemet fungerer igjen.

Finanstilsynet vurderer det elektroniske overvåkingssystemet som kritisk, og hendelser som fører til avbrudd eller feil, blir vurdert som alvorlige. Slike hendelser skal i henhold til forskrift om bruk av kommunikasjons- og informasjonssystemer (IKT-forskriften) rapporteres til Finanstilsynet.

10.3.4 Særlig om screening mot sanksjonslister

De rapporteringspliktige er forpliktet til å screene kunder og transaksjoner mot listeførte personer og foretak etter EUs og FNs lister. 

Listene fremkommer gjennom Utenriksdepartementets forskriftsverk til sanksjonsloven.

De rapporteringspliktige må gjennomføre screening

• når kundeforhold opprettes, eller transaksjon gjennomføres etter
  hvitvaskingsloven § 10
• ved gjennomføring av utenlandstransaksjoner
• når det gjøres endring i oversikten over listeførte personer

For juridiske personer skal disponenter og reelle rettighetshavere screenes, i tillegg til formelle representanter fra foretaket.

Både mottaker og avsender i transaksjoner skal screenes.

Finanstilsynets understreker at det ikke er krav til at sanksjons-screeningen skjer i samme system som transaksjonsovervåkingen, men at samme krav gjelder for begge systemene.

Ytterligere veiledning om sanksjonsforskriftenes frysbestemmelser er tilgjengelig på Utenriksdepartementets nettsted.

10.3.5 Dispensasjon fra kravet om elektronisk overvåkingssystem

Den klare hovedregelen er at banker, kredittforetak og finansieringsforetak skal ha elektroniske overvåkingssystemer for å avdekke forhold som kan indikere hvitvasking og terrorfinansiering. Finanstilsynet kan ved enkeltvedtak gjøre unntak fra denne plikten, jf. hvitvaskingsloven § 38 andre ledd. Manuell kontroll og oppfølging kan erstatte elektronisk overvåking i virksomheter med et begrenset transaksjonsvolum. Dette vil antageligvis være mest aktuelt i mindre foretak med en oversiktlig virksomhet, og hvor antallet transaksjoner gjør det mulig å foreta en fullgod manuell gjennomgang av alle transaksjoner, herunder vurdere om det er avvik fra det som kan forventes fra den enkelte kunde. I vurderingen av om dispensasjon skal innvilges, vil det blant annet være avgjørende om foretaket kan gjennomføre fullgode manuelle undersøkelser av samtlige transaksjoner.

10.4 Rapporteringspliktiges virksomhet i utlandet

Rapporteringspliktige som driver virksomhet i annen EØS-stat, skal sikre at virksomheten drives i henhold til EUs hvitvaskingsdirektiv, jf. hvitvaskingsloven § 39. 

For rapporteringspliktige med filialer eller majoritetseide datterselskaper i stater utenfor EØS (tredjeland), skal det påses at disse følger bestemmelsene i hvitvaskingsloven, dersom tredjelandets krav til forebygging og avdekking av hvitvasking og terrorfinansiering er lempeligere enn etter norsk rett.

Dersom tredjelandet ikke tillater at bestemmelser i hvitvaskingsloven følges, skal foretakene iverksette ytterligere tiltak for å forebygge hvitvasking og terrorfinansiering. Finanstilsynet legger til grunn at foretakene minimum gjennomfører tiltakene angitt i EUs «Technical regulatory standards for the minimum action and the type of additional measures credit and financial institutions must take to mitigate money laundering and terrorist financing risk in certain third countries». Finanstilsynet skal underrettes i slike tilfeller.

Dersom foretakene ikke iverksetter tilstrekkelige tiltak som nevnt over, kan Finanstilsynet fatte vedtak om at den rapporteringspliktige i) ikke etablerer kundeforhold, ii) avslutter kundeforhold, eller iii) ikke gjennomfører transaksjoner.

______

Finanstilsynet vil om kort tid publisere en versjon hvor substansielle endringer er markert fra rundskriv 8/2019. Når den foreligger vil den bli lenket opp her som et vedlegg til rundskrivet.