Tiltak knytte til klientkontoar

Rundskrivet gjeld for

• Eigedomsmeklingsføretak
• Advokatar som har stilt sikkerheit for å drive eigedomsmeklingsverksemd
  
  

1  Innleiing

Eigedomsmeklingslova sitt føremål er å legge til rette for at omsetnad av fast eigedom ved bruk av mellommann skjer på ein sikker, ordna og effektiv måte.¹⁾ Eigedomsmeklingsføretak og advokatar som driv eigedomsmekling (advokatmeklarar), behandlar store beløp og skal sikre at mottekne klientmiddel blir oppbevarte og behandla på ein sikker måte.²⁾

I eigedomsmeklingsføretak er det styret som er ansvarleg for at føretaket har rutinar for å sikre forsvarleg behandling av klientmiddel, og for at desse rutinane blir oppdaterte ved behov.³⁾ Føretaket skal systematisk vurdere om risikostyringa og internkontrollen er tilstrekkeleg for å handtere dei identifiserte risikoane på ein forsvarleg måte.⁴⁾ Fagansvarleg er ansvarleg for å etablere forsvarleg risikostyring og internkontroll for klientmiddel etter retningslinjer fastsett av styret.⁵⁾ For eigedomsmeklings­verksemda til advokatar er det advokaten sjølv som er ansvarleg.

Dette rundskrivet beskriv kva Finanstilsynet legg til grunn som minstekrav for forsvarleg behandling av klientmiddel. Dette rundskrivet supplerer Finanstilsynet sitt rundskriv 7/2014 om kontrakt, oppgjer og klientmiddelbehandling i verksemder som driv eigedomsmekling.

2  Risiko

Oppbevaring og behandling av klientmiddel inneber ein risiko for tap utover reine oppgjersfeil, mellom anna ved uautoriserte uttak. Risikoen kan vere knytt til utro tilsette, eller at tilsette kan bli utsette for utpressing eller forfalska instruksar om disponering av klientmiddel frå kriminelle som ønsker å få urettmessig utbetalt klientmiddel. Dette kan mellom anna skje ved bruk av falske e-postar, såkalla spoofing⁶⁾, deepfake⁷⁾, phishing⁸⁾ og sosial manipulasjon som til dømes kjærleiksbedrageri.

3  Tiltak

Eigedomsmeklingsføretak skal identifisere og vurdere risikoen for tap av kundane sine middel. Risikovurderinga må omfatte risikoane som er nemnde over.⁹⁾ Basert på risikovurderinga skal eigedomsmeklingsføretak etablere og følge opp interne kontrolltiltak som er hensiktsmessige og tilstrekkelege for å handtere og redusere identifiserte risikoar. Kravet til trygg eigedomshandel inneber etter Finanstilsynet si vurdering uansett følgjande plikter for både eigedomsmeklingsføretak og advokatmeklarar:

• Det skal vere tofaktorautentisering for pålogging til meklarsystem for å kunne registrere transaksjonar med klientmiddel.

• Det skal etablerast dobbeltsignatur til klientkontoen. Bruk av dobbeltsignatur skaper tryggleik for både føretaket/advokatmeklaren og personen som gjennomfører transaksjonen. Dobbeltsignatur kan unnlatast der dette ikkje er praktisk mogleg, til dømes dersom dette fører til at oppgjera vil stoppe opp som følge av sykdom eller feriefråvær, eller for advokatmeklarar som driv åleine.

• Fagansvarleg/advokatmeklaren skal administrere, gi nettbanktilgangar og gi fullmakter til å disponere klientkontoen. Denne adgangen kan ikkje delegerast vidare. Fagansvarleg kan stå som administrator saman med ein annan i føretaket, på ein slik måte at dei to i fellesskap kan tildele nettbanktilgangar og gi fullmakter til å disponere klientkontoen.

• Fagansvarleg/advokatmeklar må vurdere nøye kven, og kor mange, som har sakleg behov for å kunne disponere klientkonto. Vurderinga må omfatte om den enkelte skal disponere åleine eller saman med andre, eller om tilgangen skal vere avgrensa til godkjenning av transaksjonar og på kva for måtar. Vurderinga skal dokumenterast. Det må ligge føre rutiner for sletting av disposisjonsrettar og oppfølging av at dette skjer.

• Personar som administrerer eller disponerer klientkonto, må ha formell oppgjerskompetanse, det vil seie personleg godkjenning som eigedomsmeklar¹⁰⁾, advokat¹¹⁾, eller oppfylle krava til å vere eigedomsmeklarfullmektig¹²⁾ eller oppgjersmedhjelpar¹³⁾.

• Det bør, der dette er mogleg, etablerast automatiske sperrer for disponering av klientkonto knytte til for eksempel storleiken på transaksjonane eller antalet transaksjonar til same konto, i nettbanken og meklarsystemet.

• Der eigedomsmeklingsføretak og advokatmeklarar nyttar meklarsystem som genererer utbetalingsfiler, må transaksjonsfila kontrollerast for eventuell manipulasjon før ho blir sendt til banken. Dersom kontrollen skjer manuelt, bør det ikkje vere den same personen som legg inn transaksjonar og kontrollerer transaksjonsfila. Kontrollen skal loggførast.

• Det skal etablerast dobbeltsignatur for oversending av utbetalingsfil til bank. Dobbeltsignatur kan unnlatast der dette ikkje er praktisk mogleg, til dømes om dette fører til at oppgjera vil stoppe opp som følge av sykdom eller feriefråvær, eller for advokatmeklarar som driv åleine.

• Meklarsystemet må vere innretta slik at tilgangsstyringar og sikkerheitssperrer for klientmiddeltransaksjonar ikkje kan bli omgått. Tilgangsstyringa i nettbank bør innrettast slik at tilsette ikkje rutinemessig kan godkjenne / legge inn enkeltbetalingar direkte i nettbanken, utan å gå gjennom meklarsystemet.

Noter

¹⁾ Jf. eigedomsmeklingslova § 1-1

²⁾ Jf. eigedomsmeklingslova §§ 6-3 og 6-9, jf. § 1-1

³⁾ Jf. eigedomsmeklingslova § 3-3

⁴⁾ Jf. forskrift om risikostyring og internkontroll § 6

⁵⁾ Jf. eigedomsmeklingsforskrifta § 2-8

⁶⁾ "Spoofing" er forfalsking av telefonnummer eller e-postadresse. Mottakaren blir forleda til å tru at kommunikasjonen kjem frå ein annan enn kva som er tilfellet.

⁷⁾ "Deepfake" refererer til ein teknologi som bruker kunstig intelligens for å produsere realistiske videoar, bilete eller lydopptak som kan gi inntrykk av at nokon seier eller gjer noko som dei faktisk ikkje gjorde.

⁸⁾ "Phishing" involverer ein angripar som prøver å forlede mottakaren til å gi frå seg personleg informasjon, som passord, kredittkortnummer eller bankkontoinformasjon.

⁹⁾ Jf. eigedomsmeklingsforskrifta § 2-8, jf. forskrift om risikostyring og internkontroll

¹⁰⁾ Jf. eigedomsmeklingslova § 4-5 første ledd

¹¹⁾ Jf. eigedomsmeklingslova § 2-1 første ledd nr. 2

¹²⁾ Jf. eigedomsmeklingslova § 4-5 andre ledd

¹³⁾ Jf. eigedomsmeklingslova § 4-4 andre ledd