Artikkel

Oppdatert veileder til hvitvaskingsregelverket

Gjennomgang og oppsummering av de viktigste elementene

Finanstilsynet publiserte den 15. november oppdatert veileder til hvitvaskingsregelverket som gjelder for alle rapporteringspliktige under tilsyn av Finanstilsynet. Deloitte har tatt en gjennomgang av den oppdaterte veilederen, og oppsummerer noen av de mest sentrale oppdateringene.

Publisert 16. november 2022

I januar i år inviterte Finanstilsynet rapporteringspliktige og andre til å komme med innspill til arbeidet med å oppdatere den generelle veileder til hvitvaskingsloven fra 2019 (Rundskriv 8/2019). Formålet med dette var å få synliggjort uklarheter rapporteringspliktige står overfor ved den praktiske etterlevelsen av hvitvaskingsregelverket. En oppdatert veileder har vært etterlengtet i håp om ytterligere klargjøring på flere områder av regelverket og problemstillinger som har blitt reist etter ikrafttredelsen av den «nye» hvitvaskingsloven i 2018. Den 15. november publiserte Finanstilsynet en oppdaterte veileder (Rundskriv 4/2022) som erstatter den tidligere veilederen fra 2019, og som gir uttrykk for Finanstilsynets tolkning og forvaltningspraksis knyttet til hvitvaskingsregelverket.

Hva er det mest sentrale oppdateringene?

Den nye veilederen inneholder en god del mer informasjon innen enkelte områder, inkludert veiledning til etterfølgende endringer i hvitvaskingsforskriften. Den innledende gjennomgangen gir likevel et helhetsinntrykk av at den oppdaterte versjonen ikke klargjør alle de problemstillingene man gjerne skulle ønsket, men dette er muligens en øvelse som heller ikke er praktisk mulig å få til i en generell veileder.

Det er en del endringer i den oppdaterte veilederen som i hovedsak gjelder endringer i valg av ord, språklige korrigeringer og tidvis endring på rekkefølge og struktur innen enkelte delområder. Det er også kommet en del nye presiseringer, som nok ikke kan sies å innebære noen endringer i krav og forventninger for de som har holdt seg oppdatert på offentliggjorte tilsynsrapporter fra Finanstilsynet innen området de siste årene. Det mer interessante er nok tilleggsinformasjon og presiseringer innen enkelte områder.

Nedenfor gir vi et overordnet overblikk på noen av de mest sentrale oppdateringene.

  • Det er angitt mer utfyllende veiledning om hvilke tjenester innen vekslings- og/eller oppbevaringstjenester for virtuell valuta som er omfattet av rapporteringsplikten etter hvitvaskingsregelverket, og det er presisert at opplysningsfullmektiger under gjennomføringen av det andre betalingstjenestedirektivet (PSD 2) som kun har tillatelse til å yte kontoinformasjonstjenester, er unntatt hvitvaskingsloven og dermed ikke er rapporteringspliktige.
  • Det er presisert at selv om hvitvaskingsloven ikke stiller krav til hvordan den virksomhetsinnrettede risikovurderingen skal utarbeides, bør risikovurderingen inneholde en vurdering av i) iboende risiko for eksponering mot hvitvasking og terrorfinansiering, (ii) tiltak og eventuelle svakheter/sårbarheter ved disse, og (iii) restrisiko. Det er også presisert at Finanstilsynet forventer, uavhengig av metodikk, at rapporteringspliktige baserer seg på både kvalitativ og kvantitativ informasjon for at risikovurderingen skal være tilstrekkelig virksomhetsinnrettet etter hvitvaskingsloven § 7, og det er gitt mer konkrete eksempler på hvilke interne informasjonskilder som bør benyttes ved utarbeidelse av risikovurderingen. Videre er det presisert at rapporteringspliktige må identifisere og vurdere hva som er risikodriverne konkret for egen virksomhet, og at man ikke uten videre kan legge til grunn myndighetenes risikovurdering av rapporteringspliktig sektor ved utarbeidelse av egen risikovurdering. Versjonslogg bør også foreligge.
  • Plikten etter hvitvaskingsloven § 7 tredje ledd er nå nærmere omtalt, og det er presisert at rapporteringspliktige plikter å særskilt vurdere risikoen for hvitvasking og terrorfinansiering før ny teknologi tas i bruk, og at dette gjelder både hvor det gjennomføres endringer i eksempelvis verktøy som omfatter helhetlig betjening av kunder, og hvor det tas i bruk nye verktøy spesifikt for å løse oppgaver under hvitvaskingsregelverket, som eksempelvis risikoklassifiseringsmodeller, transaksjonsovervåking med mer.
  • I oversikten over hva rapporteringspliktige som et minimum må ha rutiner for hvordan vurdere og håndtere, er det spesifikt lagt til (i) risikovurdering, herunder av nye produkter, tjenester og ny teknologi, (ii) sanksjonsscreening etter hvitvaskingsloven § 38, jf. hvitvaskingsforskriften § 7-3, (iii) egnethetsvurderinger av hvitvaskingsansvarlig og etterlevelsesansvarlig etter hvitvaskingsloven § 35 og (iv) behandling av personopplysninger. Det er også spesifisert at rapporteringspliktige skal ha rutiner for behandling av særlige kategorier personopplysninger omfattet av personvernforordningen artikkel 9 og 10 når det er nødvendig for å gjennomføre forpliktelsene i hvitvaskingsregelverket.
  • Krav til gjennomføring av risikoklassifisering av kunder er nærmere presisert, og det er blant annet vist til at risikoklassifiseringen må ta hensyn til både enkeltstående høyrisikofaktorer, som på selvstendig grunnlag kan resultere i at en kunde klassifiseres som høyrisiko, og at risikoklassifiseringen må ta hensyn til kombinasjonsrisiko, der flere faktorer i fellesskap kan tilsi at en kunde klassifiseres som høyrisiko. Det er også presisert at begrensninger i automatiserte risikoklassifiseringsmodeller må være identifisert og dokumentert slik at virksomheten sikrer at risikofaktorer som ikke dekkes, blir ivaretatt gjennom andre tiltak, og at manuelle prosesser for risikoklassifisering av kunder som gjøres alene eller i kombinasjon med automatiske prosesser, må bygge på tilstrekkelig detaljerte rutiner som angir hvilke momenter eller kombinasjoner av momenter som avgjør kundens risikoklasse. Rutinene bør også klart identifisere hvilke typer vurderinger som sendes videre for beslutning hos overordnede.
  • Det er lagt til en del tilleggsinformasjon og klargjøringer hva gjelder når et kundeforhold anses etablert og hvem som har ansvar for å utføre kundetiltak, herunder relatert til rapporteringspliktige som tilbyr tjenester som faller utenfor konsesjon/rapporteringsplikt, forvalterregistrering, corporate finance-oppdrag, lånesyndikater, garantirammer til konsernselskaper, og betalingsfullmaktstjenester. Unntak fra plikten til å gjennomføre kundetiltak hva gjelder forhåndsbetalte e-pengekort og produkter tilknyttet offentlige ytelser, er også nærmere presisert.
  • Det er kommet et nytt kapittel som omhandler innhenting og vurdering av informasjon tilknyttet midlers opprinnelse hva gjelder virtuelle eiendeler og virtuell valuta, et nytt kapittel som omhandler kundeforhold med kunder som er rapporteringspliktige, og et nytt kapittel om digitale løsninger ved kundeetablering. For digitale løsninger ved kundeetablering er det blant annet klargjort at så lenge den rapporteringspliktige selv gjennomfører vurderingen og bekrefter kundens identitet, innebærer eksempelvis bruk av digitale løsninger som er utviklet av tredjepart i utgangspunktet ikke utkontraktering eller at man legger til grunn kundetiltak som er utført av tredjepart.
  • Krav til forståelse av eierskaps- og kontrollstruktur, og innhenting og vurdering av informasjon om reelle rettighetshavere inneholder enkelte presiseringer og nye eksempler for blant annet norske fond, utenlandske fondsstrukturer, tjenestepensjon og filialer. Det er også kommet ytterligere informasjon og presiseringer hva gjelder register over reelle rettighetshavere (som ikke er implementert enda).
  • For bruk av forenklede kundetiltak er det presisert at det må foretas en helhetlig vurdering, hvor det må vurderes konkret om risikobildet totalt sett tilsier at kunden kan underlegges forenklede kundetiltak, og at det ikke er tilstrekkelig at ett eller flere av momentene i hvitvaskingsforskriften § 4-6 er oppfylt, dersom det er øvrige risikomomenter som tilsier en høyere risiko. Her er det eksempelvis vist til at det at et selskap er notert på regulert marked, ikke alene kan begrunne at en type foretak anses å ha lav risiko.
  • For forsterkede kundetiltak er det presisert at rapporteringspliktige skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risikoen, og at tiltakene må være tilpasset de konkrete risikoene som er identifisert. Det er også presisert at Finanstilsynet forventer at de aktuelle rapporteringspliktige konsulterer EBAs Risk Factor Guidelines, i tillegg til hvitvaskingsforskriften § 4-9 og oppdaterte eksterne kriminalitetsanalyser som eksempelvis utarbeidede rapporter og indikatorlister fra NTAES. Det er videre klargjort nærmere når et kundeforhold eller transaksjonen alltid «involverer» et land som er utpekt som høyrisikoland.
  • For politiske eksponerte personer (PEP), er det presisert at rapporteringspliktige bør gjennomføre mer omfattende kundetiltak på en PEP i et land med høy korrupsjonsrisiko enn en PEP i et land med mindre korrupsjonsrisiko, og at den norske definisjonen av PEP må legges til grunn, men at det i den konkrete vurderingen av om en person er PEP i et annet land, kan tas utgangspunkt i om vedkommende har en aktuell stilling eller et verv som anses som PEP i det aktuelle landet. Det er også klargjort at rapporteringspliktige ikke er forpliktet til å klarlegge samtlige personer som en PEP har et nært forretningsmessig partnerskap med, og at det kun er personer som den rapporteringspliktige har kunnskap om at er i et slikt forhold med kunden, eller personer som har en relevant rolle hos kunden, som vil omfattes av definisjonen «kjent medarbeider» til PEP.
  • Det er lagt til nærmere klargjøring av definisjon av, og ytterligere eksempler på, korrespondentforbindelser, og det er inntatt ytterligere klargjøring hva gjelder forventninger til innhenting og vurdering av informasjon fra respondent både innenfor og utenfor EØS.
  • Hva gjelder løpende oppfølging, er det nå eksplisitt henvist til at den løpende oppfølgingen i praksis ofte deles inn i periodisk løpende oppfølging og hendelsesbasert løpende oppfølging, hvor den periodiske løpende oppfølgingen gjennomføres i faste intervaller for å påse at alle kunder blir gjenstand for løpende oppfølging, og at hendelsesbasert løpende oppfølging utløses gjerne av en endring som medfører tvil om de tidligere innhentede opplysningene er korrekte eller tilstrekkelige.
  • Når det gjelder avvisning, delvis avvikling og avvikling av kundeforhold, er det presisert at rapporteringspliktige kan gjennomføre kundetiltak som den rapporteringspliktige vurderer som nødvendige ut fra en risikobasert tilnærming, at kundetiltakene må være forholdsmessige ut fra risikoen som kunden representerer, og rapporteringspliktige ikke har anledning til å innhente mer informasjon om kunden enn det som er nødvendig etter regelverket. Det er også vist til at det må foretas en rimelighetsvurdering av om opplysninger og dokumentasjon fra kunden fremstår som korrekte og troverdige. I tillegg er det inntatt nærmere presiseringer hva gjelder delvis avvikling, kontraheringsplikt og praktisk gjennomføring av avvikling og håndtering av kundemidler. Finanstilsynet har her også presisert at det anses som saklig grunn til å avvise kunder utenfor foretakets definerte geografiske dekningsområde, når dette er klart fastsatt i foretakets policy og praktiseres strengt og konsekvent.
  • Undersøkelsesplikten og rapporteringsplikten er nærmere beskrevet og utdypet, herunder også spesifikt hva gjelder undersøkelser relatert til elektronisk overvåking. Det er blant annet presisert at undersøkelser skal igangsettes uten ugrunnet opphold, som i praksis betyr innen en til to dager, at det skal rapporteres til Økokrim umiddelbart etter at det er konkludert med at mistanken ikke kan avkreftes, og at det må foreligge ett eller flere konkrete holdepunkter for mistanken før rapporteringsplikten inntreffer. Det er også presisert at undersøkelsesplikten utløses ved indikasjoner på at midler har tilknytning til hvitvasking eller terrorfinansiering, mens rapporteringsplikten inntreffer ved mistanke om hvitvasking eller terrorfinansiering, og at terskelen altså er høyere for å rapportere enn å undersøke, noe som kan påvirke den praktiske muligheten til å rapportere før transaksjonen er gjennomført.
  • Det er videre presisert at avsløringsforbudet ikke er til hinder for at det gjennomføres kundetiltak, og at rapporteringspliktige kan opplyse kunden om at forespørsler om opplysninger og dokumentasjon foretas som en del av kundetiltakene, men at rapporteringspliktige må være nøye med å ikke innhente informasjonen på en måte som gjør kunden kjent med at det også er undersøkelser som foretas ved eksempelvis hendelsesbasert løpende oppfølging. Det er også vist til at rapporteringspliktige ikke skal oversende MT-rapporter eller informasjon om at det er foretatt undersøkelser eller sendt MT-rapport som svar på utleveringspålegg fra politiet, eller henvendelser fra andre myndigheter som ikke fører tilsyn med etterlevelse av hvitvaskingsloven.
  • Lagringstiden på ti år når kundeforholdet ved avslutning var underlagt forsterkede kundetiltak, eller transaksjonen ble underlagt forsterkede kundetiltak i henhold til oppdatering av hvitvaskingsforskriften i 2021, er nærmere beskrevet.
  • Det er inntatt oppdatert veiledning hva gjelder muligheten for dispensasjon fra kravet om elektronisk overvåkingssystemer etter hvitvaskingsloven § 38, hvor det blant annet vises til at Finanstilsynet ved enkeltvedtak kan gjøre unntak fra denne plikten i henhold til hvitvaskingsloven § 38 andre ledd, og at dette antageligvis vil være mest aktuelt i mindre foretak med en oversiktlig virksomhet, og hvor antallet transaksjoner gjør det mulig å foreta en fullgod manuell gjennomgang av alle transaksjoner, herunder vurdere om det er avvik fra det som kan forventes fra den enkelte kunde.
  • Det er presisert at Finanstilsynet forventer at revisjoner tilknyttet hvitvaskingsområdet er omfattet av planverket for banker underlagt krav til internrevisjon når styret skal fastsette en plan for internrevisjonen hvert år, jf. CRR/CRD IV-forskriften § 40 første ledd.
     
Var denne siden nyttig?