Ny hvitvaskingsforskrift


Finansdepartementet
Postboks 8008 - Dep.
0030 OSLO


Dato 08.12.2008

Vår ref.FNH 2008/00848 TMo 08.12.2008   Spbf 2000/00366 SLL   


Det vises til Ot.prp. nr. 3 (2008-2009) om tiltak mot hvitvasking mv. som ble fremmet i Statsråd 10. oktober 2008. Det vises for ordens skyld også til Finansdepartementets brev 24. august 2008, der NOU 2007: 10 om tiltak mot hvitvasking ble sendt på alminnelig høring.


Lovforslaget inneholder en rekke forskriftshjemler, som i den grad de blir benyttet vil kunne bidra til nyttig avklaring når det gjelder den praktiske rekkevidden av de forpliktelser som loven legger opp til. Vi antar at forskriften blir fastsatt i forbindelse med vedtakelsen av loven, men at ikke alle forskriftshjemler (i likhet med utkastet i NOU 2007: 10) vil bli utnyttet i denne omgang. Vi vil i tilfelle komme tilbake til innspill og forslag til nærmere avklaringer etter hvert som vi har vunnet mer erfaring med praktiseringen av det nye regelverket.


Høringsfristen for eventuelle merknader til lovutvalgets forskriftsutkast utløp 8. oktober 2007. I lys av erfaringene med det arbeid som allerede har vært gjort i næringen siden oktober i fjor med tilpasninger til de nye kravene som vil komme, og som en konsekvens av de valg departementet har landet på i lovproposisjonen, har næringen utarbeidet et notat om klargjøringer vi mener er påkrevet på forskrifts nivå.

Det gjøres for ordens skyld oppmerksom på at en tilsvarende, og betydelig mer omfattende henvendelse, også vil bli gjort til Kredittilsynet med tanke på det forestående arbeidet med nytt hvitvaskingsrundskriv. Vi er også i dialog med tilsynet om behovet for utsatt ikrafttredelse av enkelte av bestemmelsene.

Notat fra FNH og Sparebankforeningen om ny hvitvaskingslov, 19. 12.2008


for Finansnæringens Hovedorganisasjon    for Sparebankforeningen



Torjus Moe        Sven L’Abée-Lund
advokat              advokat


Gjenpart: Kredittilsynet
    



NY HVITVASKINGSLOV




- Innspill fra næringen om behovet for avklaringer gjennom forskrift mv


Notat 19. desember 2008




1. Hovedsynspunkter





  • Hensynet til likebehandling av kunder og institusjoner tilsier at næringen i fellesskap og i forståelse med myndighetene kommer frem til en felles forståelse av rekkevidden av de nye forpliktelsene

  • Et betydelig innslag av virksomhet fra institusjoner etablert i andre EØS-land og norsketablerte institusjoners ambisjoner om å drive virksomhet i andre EØS-land på like konkurransevilkår, tilsier et behov for økt oppmerksomhet omkring konkurransesituasjonen

  • Den næring som er pålagt de største oppgavene i kampen mot hvitvasking må vises den nødvendige tillit til å håndtere kundeopplysninger, ikke bare når det gjelder opplysninger vi er forpliktet til å innhente fra nær sagt resten av verden, men også gjenbruk av de opplysninger som faktisk allerede er innhentet og bearbeidet av andre selskaper i samme konsern i risikoklassifiseringsøyemed

  • Grensene for utkontraktering bør avklares og ikke under noen omstendighet innskrenkes i forhold til gjeldende rett uten en forutgående konsekvensvurdering

  • Ettersom norsketablerte skadeforsikringsselskaper i motsetning til det våre EØS-rettslige forpliktelser tilsier i utgangspunktet omfattes av lovens anvendelsesområde, er det behov for en mer presis avgrensning av unntaket fra plikten til å foreta kundekontroll


2. Likebehandling av institusjoner og deres kunder

2.1 Behov for felles tilnærming til nye norske og internasjonale standarder

Lovutvalgets lovutkast og Finansdepartementets lovforslag ligger tett opp til minimumskravene i direktiv 2005/60/EF.


Det understrekes innledningsvis at dette er en type myndighetsfastsatte, internasjonale forpliktelser der det er viktig for næringen å oppnå en felles forståelse av rekkevidden av de krav som stilles, ikke bare mellom ulike konkurrerende aktører i Norge og internasjonalt, men også i forhold til så vel norske som internasjonale myndigheter.

Ulik nasjonal gjennomføring og varierende grad av tilpasninger til de nye kravene mellom ulike institusjoner kan til sammen bidra til uheldig konkurransevridning og tilfeldig forskjellsbehandling av kunder. Det er derfor viktig at ikke bare næringen i dialog med myndighetene søker å oppnå en felles forståelse av rekkevidden av de nye forpliktelsene, men at myndighetene også ser hen til de internasjonale standarder som er i ferd med å utvikle seg, ved den nærmere utformingen av de nasjonale gjennomføringsbestemmelsene her i Norge.

Det faktum at Norge denne gang er blant de siste som gjennomfører direktivforpliktelsene i nasjonal lovgivning, gir oss i denne sammenheng den fordel at vi kan se hen til hvilke løsninger som er valgt i andre land.


Næringen har merket seg at Finansdepartementet i Ot.prp. nr. 3 (2008-2009) bekrefter å være innforstått med at den risikobaserte tilnærmingen vil medføre at rapporteringspliktige pålegges et betydelig ansvar. Det uttales bl.a. at: ”Fra myndighetenes side vil det derfor være viktig å ha en dialog med relevante bransjeorganisasjoner mv. i forbindelse med utforming av retningslinjer/rundskriv om det nærmere innholdet i og omfanget av risikobaserte kontrolltiltak.”

Det er viktig for næringen med en god dialog også på dette området. Det kan bli avgjørende for å få på plass et hensiktsmessig regelverk som gir de nødvendige avklaringer. Den kontakten som allerede er etablert mellom næringen og Kredittilsynet med sikte på innspill til tema for det forestående rundskrivet, anses i den forbindelse som svært nyttig.


Fra næringens side minnes det for ordens skyld om at behovet for dialog strekker seg utover tilpasningene til det nye risikobaserte regimet. Det har over tid blitt investert betydelige ressurser i utvikling av systemer og rutiner for intensivert kundekontroll (eksempelvis identifikasjon av reell eier), løpende kundekontroll, forsterkede kontrolltiltak (eksempelvis politisk eksponerte personer) mv. Også på slike områder vil det være behov for dialog med sikte på å avklare rekkevidden av de nye kravene som stilles. Denne dialogen bør skje med utgangspunkt i de internasjonale standarder som er i ferd med å utvikle seg på området. 


2.2 Nærmere om betydningen av de internasjonale standardene


For å sikre ensartet etterlevelse av FNs spesialanbefaling VII om terrorfinansiering fastsatte Parlamentet og Rådet den 15. november 2006 forordning 1781/2006 om informasjon om betaleren som skal følge en betalingstransaksjon. Lovutvalget valgte en enkel, men noe uvanlig, måte å gjennomføre denne forordningen på i norsk rett ved å lage et utkast til forskrift § 16, der det bare heter at forordningen gjelder som forskrift med de tilpasninger som følger av EØS-avtalen. Det antas at bakgrunnen for at lovutvalget valgte denne gjennomføringsteknikken delvis skyldes den korte tidsfristen utvalget hadde til disposisjon. 


Næringens erfaringer hittil tilsier for det første at hele forordningen bør gis norsk forskrifts form. Bestemmelsene viser seg å være av så vidt stor betydning for norsk betalingsformidling med utlandet, at det etter vår vurdering synes naturlig at bestemmelsene får norsk språkdrakt i samsvar med norsk lovgivningstradisjon. Til dette kommer at behovet for eventuelle ”tilpasninger” som følge av EØS-avtalen i tilfelle bør fremkomme direkte av forskriften. F

or det andre er det behov for en rekke avklaringer, bl.a. med hensyn til den svært begrensede adgangen til frysing av midler etter norsk rett. Det vises for øvrig til brev fra de to foreninger til Finansdepartementet av hhv. 1. og 2. juli 2008, der det redegjøres nærmere for forordningens konsekvenser for bankene og for behovet for avklaringer.

For det tredje bør de norske gjennomføringsbestemmelsene tilpasses en praksis på linje med de internasjonale anbefalingene publisert 16. oktober 2008 fra de tre tilsynskomiteene CEBS, CEIOPS og CESR (”3L3”). Her søkes enkelte uavklarte spørsmål vedrørende mottakerbankens plikter, avklart. Det er her et spørsmål om hvor langt myndighetenes retningslinjer/rundskriv bør gå i å ta opp i seg de løsninger man her har falt ned på.

Selv om hvitvaskingsdirektivet ikke er noe fullharmoniseringsdirektiv, så kan forordningen i seg selv, og de tre tilsynskomiteenes anbefalinger tjene som illustrasjon på behovet for en felles tilnæring til disse spørsmålene, noe som etter vår foreløpige vurdering tilsier at det hadde vært ønskelig med en noe mer presis angivelse av kravene i det norske regelverket enn det myndighetene hittil har lagt opp til.

Det gjøres for ordens skyld oppmerksom på at de to foreninger ikke har fått noen form for tilbakemelding på de forhold som påpekes i de to nevnte brevene.


Vi regner ellers selvsagt med at myndighetenes retningslinjer/rundskriv i nødvendig utstrekning vil reflekterer FNs og FATFs anbefalinger på området.


3. Utkontraktering



3.1 Utkontrakteringsadgangen under press – hvordan er lovforslaget å forstå?


Adgangen til utkontraktering er begrenset av den enkelte institusjons konsesjon til å drive virksomhet. Generelle prinsipper om utkontraktering er foreslått i NOU 2001: 23 og allerede lagt til grunn at Kredittilsynet i Rundskriv 9/2004 om hvitvasking. Utkontraktering av gjennomføring av kundekontroll er foreslått regulert i forslag til ny hvitvaskingslov § 12, og nærmere omtalt i Ot.prp. nr. 3 (2008-2009) punkt 4.8.5.

Forslaget er en innstramming i forhold til lovutvalgets utkast, men det synes uklart om forslaget representerer en innstramming i forhold til gjeldende rett og det som er dagens praksis. Det legges opp til at departementet i forskrift kan utvide anvendelsesområdet for utkontrakteringsbestemmelsen ved behov.


Når det gjelder dagens praksis legger vi til grunn at forhandlere og andre som utfører distribusjon av tjenester på vegne av den rapporteringspliktige, selvsagt også kan forestå kundekontrollen på vegne av den rapporteringspliktige.

Det vises til Kredittilsynets Rundskriv 9/2004 med kommentarer til § 1 om virkeområde, der det presiseres at hvitvaskingsregelverket kommer til anvendelse for rapporteringspliktige ved alle former for utkontraktering av konsesjonspliktig virksomhet. Det vil si at oppdragstakere mv. omfattes av hvitvaskingsregelverket. Vi antar at denne praksisen er tenkt videreført?

Med mindre noe annet uttrykkelig kan utledes av den nye loven, legger næringen etter dette til grunn at lovforslaget § 12 om utkontraktering bare er ment å få anvendelse på utkontraktering av kundekontroll til foretak som ikke på denne måten omfattes av hvitvaskingsregelverket.


Dersom forslaget representerer en innstramming i forhold til gjeldende rett, er det næringens foreløpige vurdering at departementet bør vurdere behovet for i forskrift å fastsette at andre enn de som er omfattet av lovforslaget § 12 annet ledd kan fungere som oppdragstakere.

Det er et spørsmål om innstrammingen bare retter seg mot kundekontroll-oppdragstakere (slik dagens regelverk vel praktiseres?), eller også oppdragstakere som er et ledd i de rapporteringspliktiges distribusjonsapparat (noe som i tilfelle vil representere en innstramming)? Dette kan i praksis dreie seg om alt fra uavhengige agenter, kortselskapers salgskanaler, bilforhandlere mv.

Spørsmålet har blitt aktuelt etter at Kredittilsynets bekymring for manglende etterlevelse av hvitvaskingsregelverket resulterte i at Finansdepartementet i sitt lovforslag innskrenket adgangen til utkontraktering i forhold til lovutvalgets utkast.


Ut i fra drøftelsen i odelstingsproposisjonen er det neppe grunn til å tro at formålet har vært å ramme dagens omfattende praksis med bruk av agenter, forhandlere og uavhengige distributører, som beskrevet i hvitvaskingsrundskrivet punkt 2.7.2.6 annet kulepunkt på side 22.

Det antas fra næringens side at formålet med innstrammingen i forhold til lovutvalgets utkast har vært å hindre en slik utvidelse som lovutvalget la opp til. Konsekvensene av en eventuell innstramming i forhold til gjeldende rett er ikke berørt i proposisjonen, og vi legger etter dette til grunn at gjeldende praksis kan videreføres, men legger til at det er behov for en avklaring. Helst i forskrifts form.

Dersom lovens ordlyd skulle vise seg å representere en innstramming i forhold til gjeldende praksis, må det vurderes å benytte adgangen i forslaget § 12 femte ledd til å fastsette i forskrift hvem som likevel kan fungere som oppdragstakere. Generelt vil vi anta at salgsfinansiering av ordinære varer av begrenset verdi, neppe resulterer en slik fare for hvitvasking som kan tilsi at det er her ressursene bør settes inn.


3.2 Nærmere om den omfattende utkontrakteringspraksisen


For ordens skyld vil vi her gi en kort redegjørelse for de faktiske ulemper næringen vil bli påført dersom en (u)tilsiktet konsekvens av departementets innstramming skulle være at gjeldende praksis ikke lenger kan videreføres. Som redegjørelsen viser, vil det være behov for en nærmere konsekvensvurdering dersom det er ment å gripe inn i gjeldende praksis på dette område. Det er eksempelvis meget praktisk at bilforhandlere både tilbyr både finansierings- og forsikringsordninger.


Bruk av forhandlernettet


Beregninger som er gjort av bransjen viser at anslagsvis halvparten av alt nysalg innen enkelte områder som biler, kopi- og datautstyr, anleggsmaskiner mv, skjer ved salgsfinansiering, der finansinstitusjonene bruker forhandlernettet til å selge sine tjenester og til å foreta kundekontrollen i den forbindelse. Salgsfinansieringen er etter det opplyste estimert å utgjøre om lag 25 milliarder kroner i år, og en eventuell struping av denne finansieringsformen antas i første omgang å berøre ca. 500 årsverk bare i finansinstitusjonene.


Det understrekes at finansnæringen har utarbeidet retningslinjer for hvordan kundekontroll skal foregå i forhandlernettet for å sikre etterlevelse av hvitvaskingsregelverket. Næringen er av den oppfatning at eventuelle betenkeligheter som knytter seg til utkontraktering kan elimineres i avtale mellom rapporteringspliktig og oppdragstaker.

Dersom Kredittilsynet er bekymret for etterlevelsen på dette punkt, tør vi foreslå at næringen og tilsynsmyndigheten sammen finner ut av behovet for innstramming i rutinene som kan være egnet til å sikre en videreføring av veletablerte distribusjonskanaler for finansielle tjenester.


Utstedelse av kredittkort


Når det gjelder kredittkort, antas det at om lag halvparten av alle avtaler om etablering av kreditt via kort for store deler av næringen skjer ved hjelp av eksterne distributører. Dette er aktører som i utgangspunktet ikke er rapporteringspliktige før de inngår distribusjonsavtaler med en rapporteringspliktig finansinstitusjon.

Etablering av kredittkortavtaler skjer typisk i butikker (varehandel), der butikkekspeditøren står for kundekontrollen. De rapporteringspliktige tar ansvar for opplæring av ansatte i butikker mv som foretar kundekontrollen. Det samme skjer ved salg i distansemarkedet uten bruk av fysiske ekspedisjonssteder.


For så vidt gjelder DnBNOR Kort har vi mottatt denne beskrivelsen av hvordan kundekontrollen er organisert:


”Prosessen som gjennomføres på stedet medfører at kunden må identifiseres med pass, førerkort eller lignende i tråd med de regler som gjelder for DnB NOR konsernet, og det skal tas kopi av dokumentene. Kopien signeres av kjøper og butikkselger sammen med kontoavtalen. Kunden får innvilget kreditt på stedet, etter å ha vært kredittvurdert i et system som er utviklet og eid av DnB NOR Kort. Kontoen belastes direkte for den delen av kreditten som er gjenstand for varekjøpet, og resten av den innvilgete kreditten er disponibel når han mottar kortet. Kortet er et kredittkort uten bilde. Butikk får ikke oppgjør fra innløser og kunden får ikke tilsendt kort før det hos DnB NOR Kort er sjekket at det er foretatt legitimasjon i henhold til rutinen. Dette fremgår av de brukerstedsavtaler som etableres når virksomheter innenfor varehandelen inngår avtale om salg av finansieringsløsninger med DnB NOR Kort.” 


Det antas at en eventuell innstramming av reglene for utkontraktering vil kunne ramme hundrevis av ansatte i finansbransjen og også ramme handelsnæringen generelt. Etter det opplyste utgjør salg gjennom etablering av slike kredittkortavtaler opp mot 20 prosent av omsetningen i stor deler av varehandelen. Til dette kommer at ulike former for kontoprodukter innenfor for eksempel byggevarebransjen vil kunne bli rammet.

Endelig nevner vi at vi frykter for at innstrammingen vil kunne ramme også etablering av bedriftskort til firmaer. Her er det arbeidsgiver som har status som kunde og det gjennomføres derfor ordinær kundekontroll av arbeidsgiverforetaket. De ansatte som får tildelt kredittkortene, blir ikke kontrollert av banken, men arbeidsgiver garanterer for den enkelte ansattes identitet. Denne fremgangsmåten er i dag i overensstemmelse med Kredittilsynets hvitvaskingsrundskriv 9/2004. En eventuell innstramming her vil kunne ramme etableringen av titusenvis kredittkortavtaler gjennom arbeidsgiver årlig. 


Bruk av eksterne agenter


Vi har mottatt følgende beskrivelse fra DnBNOR:

”Agentens oppgave vil være akkvisisjon av kunder – gjennomføring av behovsanalyse  -innhenting av dokumentasjon fra kunder – utforming av lånesøknad ihht kundens behov og sende denne til DnB NOR Kredittavdeling for vurdering. Agenten sender over mottatt dokumentasjon for grunnlaget i søknaden om lån. Dersom saken innvilges vil lånedokumentene sendes til agenturet, som vil gjennomføre møte med kunden hvor lånedokumentene blir undertegnet og legitimering blir foretatt. Vi har satt som krav at kunden må benytte gyldig pass som legitimasjon, og agenten kopierer dette og legger det sammen med undertegnede lånedokumenter og videresender det til bankens avdeling for Låneutbetaling.  Avdeling for låneutbetaling vil kontrollere dokumenter, samt at legitimasjonskontrollen har blitt gjennomført på riktig måte.  Dersom dette blir funnet tilfredsstillende vil bankkonti, samt lån åpnes og kundeforhold etableres. Om det ikke blir funnet tilfredsstillende vil den videre prosessen stoppes inntil gjennomføring kan skje på tilfredsstillende måte.  I tillegg tilbys det e-læringskurs om hvitvaskningsforskrifter hvor det er en avsluttende test for å sjekke kunnskaper om kurset.
 
Agentene vil innhente tilbud fra flere banker, slik at kundene vil oppleve at han får det beste tilbudet som agenten kan fremskaffe uten at dette koster kunden noe ekstra.


Vi har i dag ca. [flere hundre] rådgivere med tilgang til å sende inn søknader.  Vi vil i løpet av 2009 spisse dette ned slik at vi øker kvaliteten ytterligere på rådgiversiden, og fokus på at kvaliteten på legitimasjonskontrollen har alltid vært meget høy. Denne delen av vår virksomhet har alltid hatt høy fokus nettopp fordi en svikt her vil gi negativt omdømme for salgskanalen, samt økonomisk tap.  Erfaringer fra gjennomførte stikkprøver har vist at kvaliteten ved legitimasjon innhentet fra agenter har en minst like høy kvalitet enn tilsvarende gjennom bankens øvrige egne salgskanaler.


I tillegg til dette har vi ca. [et titalls] personer som kredittvurderer saker, og ca. [et titalls] personers om forestår kontroll av dokumentasjon og har siste hånd om legitimasjonskontroll.
 
Så noen ord om konsekvenser dersom disse agentene ikke kan forestå legitimasjonskontroll som i dag. Dersom det skulle bli endringer slik at våre agenter ikke vil kunne forestå denne type legitimasjonskontroll, vil dette i stikkords form trolig få følgende konsekvenser:



  • Generelt vil dette gi et svekket tilbud til sluttkunden som følge av at en uavhengig tilbyder vil få kraftig svekket forretningsvilkår. Dette kan medføre at kunden ikke vil få det samme gode tilbud som følge at det trolig vil bli færre tilbydere av boligfinansiering. Dette vil store banker tjene på bekostning av mindre banker.

  • Generelt sett vil dette være konkurransevridende i forhold til de banker som har en stor kundebase fra tidligere, mot andre banker, som ikke har tilsvarende kundebase.

  • Redusere agentenes mulighet til å bli ansett som likeverdige distributører som bankens egne ansatte. Agenturet vil få en hindring som bankene ikke har i dag og agenturet vil trolig måtte redusere antall ansatte med begrunnelse at de ikke kan utføre en fullverdig tjeneste.

  • Antall ansatte i DnB NOR som betjener agenter vil trolig måtte nedbemanne som følge av dette. Antall vil være vanskelig å tallfeste, men det kan bli betydelig.


Innstilling:


Vi innstiller på at agenter skal kunne forestå legitimasjonskontroll som i dag med følgende begrunnelser:



  • Begrenset antall selgere – enkelt å håndtere

  • God opplæring i hvitvaskingsforskrifter – oppfølging av agenturer – samt e-læringsprogrammer

  • Flere ledd i banken som verifiserer og gjennomfører kontroll av legitimasjon før kundeforholdet opprettes

  • Vil føre til dårligere tilbud til kunden om agentene ikke kan utføre dette

  • Konkurransevridende til fordel for større banker og til mindre bankers disfavør”


Det synes etter dette å være et stort behov for at det fremgår klart av de norske gjennomføringsbestemmelsene at inngåelse av dette spekteret av avtaler ikke rammes. Dersom hensikten er, eller en mulig konsekvens blir, at de forhold som beskrevet ovenfor helt eller delvis rammes, er det behov for en overgangsperiode der konsekvensene for de enkelte distribusjonskanaler utredes nærmere før loven trer i kraft på dette punkt Her bør i tilfelle departementet benytte seg av forskriftshjemmelen.


3.3 Mulig behov for å benytte unntakshjemmelen i lovforslaget § 12 femte ledd


Lovutkastet skiller mellom å benytte kundekontroll som allerede er utført av andre (§ 11) og utkontraktering av kundekontroll (§12). I proposisjonen erkjennes på side 81 høyre spalte at det kan vise seg behov for utkontraktering til andre enn dem lovforslaget legger opp til, og det er derfor foreslått en forskriftskompetanse i lovforslaget § 12 femte ledd om åpner for utvidelse av kretsen av oppdragstakere.


Dersom det tas sikte på å ramme den praksis som beskrevet ovenfor, noe vi ikke kan se at er vurdert i forarbeidene, ber vi om en utredning av konsekvensene før dette eventuelt gjennomføres. Næringen ber i tilfelle om å bli involvert. Det vil i tilfelle i en overgangsperiode, til konsekvensene og alternativene er tilstrekkelig utredet, være behov for å benytte unntakshjemmelen i lovforslaget § 12 femte ledd for å sikre videreføring av gjeldende praksis. 


Vi vil sterkt tilrå at det i forskriften sikres adgang til å utkontraktere kundekontrollen til forhandler av gjenstander og tjenester, når forhandleren opptrer som formidler av den rapporteringspliktiges tjenester og kundeforholdet mellom kunde og den rapporteringspliktige opprettes i denne forbindelsen. Situasjonen er som nevnt godt beskrevet i Kredittilsynets nåværende hvitvaskingsrundskriv pkt 2.7.2.6 annet kulepunkt. Det er forhandleren som har den direkte kontakten med kunden, og det er også han som er i best posisjon til å foreta en god kontroll.


Som en mulig subsidiær løsning peker vi på at bare deler av kundekontrollen kan utkontrakteres til den nevnte gruppen: De enkleste elementene av den nye kundekontrollen, som for eksempel registrering av opplysninger, bekreftelse av kundens og disponenters identitet og innhenting av opplysninger om kundeforholdets formål og tilsiktede art (lovforslaget § 7 første ledd nr 1, 2 og 4), bør fortsatt kunne være gjenstand for utkontraktering.

De mer kompliserte elementene, som for eksempel bekreftelse av identiteten til reelle rettighetshavere (§ 7 første ledd nr 3) vil i så fall måtte gjøres av primærforetaket, ettersom en slik kontroll etter omstendighetene krever mer spesialisert kompetanse.


Tilsvarende kan man tenke seg at enkelte konsekvenser av risikoklassifiseringen av kunden, slik som iverksettelse forsterkede kontrolltiltak for kundegrupper som antas å utgjøre en større risiko for hvitvasking etter lovforslaget § 15, foretas av primærforetaket. Dette kan for eksempel gjelde kontroll av hvorvidt vedkommende er en PEP, står på FNs sanksjonsliste mv. Dette nevnes som eksempler på vurderinger som eventuelt kan vurderes pålagt den primærrapporteringspliktige, som også er underlagt konsesjonsplikt og ordinært tilsyn.


Uansett prinsipal eller subsidiær løsning: Det er svært viktig for bransjen at det fortsatt skal være mulig med slik forhandler-basert kundekontroll som illustrert ovenfor.


4. Tidspunktet for kundekontroll


I lovforslaget § 9 annet ledd nr. 3 heter det at bekreftelse av identiteten til kunden kan foretas etter åpning av bankkonto. Det antas å være behov for en tilsvarende bestemmelse også i forhold til etablering av andre kundeforhold, eksempelvis innen forsikring. Det legges til grunn at skadeforsikring fortsatt vil bli unntatt identitetskontroll. Departementet bes vurdere å gjøre Stortinget oppmerksom på dette behovet i forbindelse med vedtakelsen av loven.


Det legges til grunn at dersom vilkårene for etterfølgende kundekontroll er til stede, kan det oppstå situasjoner der det i ettertid viser seg at det er etablert kundeforhold med en politisk eksponert person. Innhenting av samtykke fra overordnet i henhold til lovforslaget § 15 annet ledd nr. 1 vil da nødvendigvis også i slike tilfeller først kunne skje etter etablering av kundeforholdet. Det synes her å være et visst behov for praktisk tillemping for at de to bestemmelser skal anses praktikable sett i sammenheng.

Det er ikke gitt hjemmel for nærmere regulering i forskrift. Det antas etter dette mest hensiktsmessig at Kredittilsynet sier noe om dette i rundskrivet. Dette er særlig praktisk ettersom de PEP lister som for tiden er tilgjengelige er mangelfulle i forhold til kravet om kontrolltiltak som er egnet til å fastslå om kunden er en PEP, jf. lovforslaget § 15 annet ledd. 


Det vises til følgende virkelighetsbeskrivelse fra Storebrand:


”For visse produkter vil en avtale som selges over nett inngås der og da. Næringens undersøkelser av de PEP lister som er tilgjengelig i markedet viser at disse PEP listene inneholder kun navn på personer og listene inneholder følgelig ikke entydige kjennetegn som for eksempel personnummer. Dette innebærer at det vil potensielt kunne være veldig mange med likelydende navn som kan få flere treff på en PEP liste uten at kunden faktisk er vedkommende PEP.


I en verden der kundeforhold i stadig større grad etableres via nettløsninger og kundesentre med lite rom for større manuelle prosesser (siden kunden venter i telefonen), ser vi vanskelig hvordan dette kan gjennomføres. I følge en leverandør av PEP lister er det ca. 550 000 navn på listen rapporteringspliktig skal sjekke mot. Av disse har ca. 25% fødselsdato. Listen har ikke noe id-begrep som entydig angir om en potensiell kunde er en PEP. Får rapporteringspliktig treff ved f.eks navnelikhet må rapporteringspliktig gjøre nærmere undersøkelser for å avgjøre om den aktuelle kunden virkelig er den PEP som står på listen. For en del navn kan en få mange treff på ulike PEP'er på listene. Det kan kreve noe tid og spesiell kompetanse for å bekrefte eller avkrefte om kunden er en PEP. Det bør være tilstrekkelig om en gjør en etterskuddsvis gjennomgang av kundemassen for å verifisere at et tilsynelatende treff (match på ett eller flere navn i tilgjengelige lister) faktisk er et treff.


Det bør være akseptabelt å etablere kundeforholdet og gjøre en etterskuddsvis forsterket kundekontroll (forutsatt at kundekontroll vedrørende legitimasjon er foretatt) for de kundene som identifiseres som PEP, for deretter å ha mulighet til å avkrefte/bekrefte at kunden er/ikke er den vedkommende PEP som listen sikter til.”


5. Rekkevidden av skadeforsikringsselskapenes unntak fra plikten til kundekontroll


I lovforslaget § 4 femte ledd fremgår det at departementet kan i forskrift fastsette unntak fra enkelte eller flere av bestemmelsene i loven for visse rapporteringspliktige. Lovutvalget går inn for flere slike unntak i utkastet til forskrift § 8, bl.a. i annet ledd nr. 3, der det heter at plikten til å foreta kundekontroll etter lovforslaget § 6 første ledd nr. 1, 2 og 4 gjelder ikke ved tegning av skadeforsikringspoliser. 


Skadeforsikringsselskaper er ikke viet særlig omtale i forarbeidene til tross for at dette er en gruppe rapporteringspliktige som er omfattet av hvitvaskingsloven til tross for at dette ikke er noen direktivforpliktelse. Dermed vil heller ikke direktivteksten gi noen tolkingsmomenter av betydning for den grensedragningen norske myndigheter her har antydet. Det innebærer at den norske loven/forskriften bør være ekstra klar og tydelig på hvilke bestemmelser skadeforsikringsselskaper etablert i Norge må etterleve.


Skadeforsikringsselskaper må for eksempel ha et apparat for å kunne avdekke mistenkelige transaksjoner, men synes å være unntatt fra de øvrige bestemmelsene om kundekontroll i lovforslaget kapittel 2.

Et skadeforsikringsselskap trenger for eksempel ikke innhente bekreftelse av identiteten til reelle rettighetshavere eller innhente opplysninger om kundeforholdets formål og tilsiktede art (§ 7). Spørsmålet er om plikter som er nært knyttet til – og kan sies å være en del av - kundekontrollen, slik som risikoklassifisering av kunden (§ 5) og løpende oppfølging av kunden (§ 14) anses som en del av den kundekontrollen som skadeforsikring er unntatt fra?

Slik vi forstår loven er risikoklassifisering og løpende oppfølging elementer som inngår i kundekontrollen og eventuelle forsterkede kontrolltiltak er konsekvenser av denne kundekontrollen. Vi antar på denne bakgrunn at bestemmelsene sett i sammenheng tilsier at skadeforsikringsselskaper er unntatt også fra de deler av kundekontrollen som gjelder risikoklassifisering, løpende oppfølging, forsterkede kontrolltiltak mv som følger av kapittel 2. I motsatt fall har myndighetene etter vårt skjønn et sterkt incitament til avklaring i forskrift og/eller rundskriv.


Det er mulig loven bør forstås slik at dersom et skadeforsikringsselskap først foretar en kundekontroll på grunnlag av at selskapet har avdekket en mistenkelig transaksjon, jf. § 6 første ledd nr. 3, så skal denne kunden også være gjenstand for løpende oppfølging og risikoklassifisering. Dette innebærer i tilfelle at også skadeforsikringsselskaper må ha slike systemer tilgjengelige.

Etter dette kan det se ut til at loven er å forstå slik at skadeforsikringsselskaper er unntatt fra lovens kapittel 2 om kundekontroll og løpende oppfølging, med mindre det oppstår en situasjon som beskrevet i § 6 første ledd nr. 3. En konsekvens at en slik forståelse, vil naturlig være at skadeforsikringsselskaper i utgangspunktet også er unntatt fra bestemmelsene om forsterket kundekontroll i § 15.

Det vises til at risikoklassifiseringen er en del av kundekontrollen. Eventuelle forsterkede kontrolltiltak er bare en konsekvens i form av en handleplikt som utledes av den kundekontrollen som skadesiden er unntatt fra med mindre det foreligger en situasjon som beskrevet i § 6 første ledd nr. 3.

Vi hadde helst sett at departementet eller Kredittilsynet utarbeidet en oversikt over de plikter som nå omfattes av kundekontrollen etter de nye bestemmelsene, og som skadeforsikringsselskapene i utgangspunktet er unntatt fra.


En annen konsekvens av at bestemmelsenes anvendelse på forsikringsforhold ikke er særskilt omtalt, til tross for at mange av bestemmelsene åpenbart synes utformet primært med tanke på tradisjonelle bankprodukter mv., er at det har oppstått enkelte spørsmål om hvordan plikten til å identifisere en reell rettighetshaver skal praktiseres innen personforsikring/livsforsikring.

Vi antar at dette rett og slett ikke er særlig praktisk, og legger således til grunn at det ikke er nødvendig å etablere et apparat for dette for de som bare selger slike produkter. Det vises til definisjonen av reell rettighetshaver i lovforslaget § 2 første ledd nr. 3. Spørsmålet synes etter vår foreløpige vurdering kun å bli aktuelt der det er en annen person som er den begunstigede, jf. lovforslaget § 9 første ledd nr. 2. For de produkter som har en slik mulighet, så bør det etableres rutiner som er egnet til å identifisere også reelle rettighetshavere. 


Lignende spørsmål oppstår dersom myndighetene mener at plikten til å utvikle elektroniske overvåkingssystemer (§ 24), som ikke er noen direktivforpliktelse, og som i dag ikke gjelder for forsikring, nå også er ment å omfatte forsikringsselskaper? Det har skjedd en mindre lovteknisk endring, men det synes ikke å være noe i forarbeidene som tilsier at anvendelsesområdet for bestemmelsen har vært ment utvidet.

Vi legger etter dette til grunn at forsikringsselskaper i denne sammenheng ikke skal likestilles med finansinstitusjoner, ettersom lovforslaget § 4 første ledd fremdeles skiller mellom finansinstitusjoner i nr. 1 og forsikringsselskaper i nr. 7.


Vi kan i det hele tatt ikke se at skadeforsikringsselskapenes plikter er viet særlig omtale i proposisjonen til tross for at myndighetene legger opp til å pålegge denne typen institusjoner langt flere krav og pålegg enn våre EØS-rettslige forpliktelser tilsier. Dette skapte ikke vanskelige tolkingsproblemer i Ot.prp. nr. 72 (2008-2009), men nå som kundekontrollen har blitt intensivert, gradert og utvidet også i tid, så oppstår det nye grensespørsmål som nå raskest mulig bør finne sin avklaring.

Dette tilsier at nødvendige avklaringer nå helst bør skje på forskrifts nivå. Lovutvalgets utkast til § 8 er i så måte ikke egnet til å gi den nødvendige avklaring på de nye grensespørsmål som her oppstår. Det er etter dette behov for en mer presis unntaksbestemmelse. Vi erkjenner at langt fra alle tvilsspørsmål kan løses verken i forskrift eller rundskriv, men dette er eksempler som er av så vidt stor betydning for lovens anvendelsesområde, at vi mener en presisering her vil være på sin plass.

Dersom departementet skulle komme til at noen av bestemmelsene i kapittel 2 omfatter også i utgangspunktet skadeforsikringsselskaper, så vil det i tilfelle måtte få betydningen for lovens overgangsbestemmelser i form av en utsatt ikrafttredelse.


6. Elektronisk legitimasjon


I NOU 2007: 10 foreslo lovutvalget at det gjennom kravet til ”gyldig legitimasjon” i utvalgets utkast til ny hvitvaskingslov § 7 nr. 2, åpnes for at det kan gis nærmere bestemmelser som stiller krav til elektronisk legitimasjon, jfr. utvalgets utkast til forskriftshjemmel i § 7 sjuende ledd.

Utvalget gikk videre inn for en bestemmelse i ny hvitvaskingsforskrift § 4, hvor det stilles nærmere krav til elektronisk legitimasjon for fysiske personer. Det ble foreslått at avansert elektronisk signatur basert på sertifikat er gyldig legitimasjon for fysiske personer, forutsatt at sertifikatutstederen er underlagt en sertifiseringsordning i henhold til forskrift fastsatt med hjemmel i esignaturloven § 16 a (lov 15. juni 2001 nr. 81).


Det var bred støtte i høringsrunden til NOU 2007: 10 om sidestilling av elektronisk og fysisk legitimasjon, men både Fornyings- og administrasjonsdepartementet (FAD) og Nærings- og handelsdepartementet (NHD) etterlyste en nærmere drøftelse om hvorfor utstedere av elektronisk signatur må oppfylle krav gjennom en sertifiseringsordning, jfr. omtalen i Ot.prp. nr. 3 (2008-2009).

FAD og NHD stilte seg videre kritiske til at tilsvarende krav som følger av Kravspesifikasjonen for PKI i offentlig sektor, skal fremgå direkte av hvitvaskingsforskriften. 


Finansdepartementet har i Ot.prp. nr. 3 (2008-2009) pkt. 4.4.5.1 og 4.4.5.4 gitt uttrykk for at det anses viktig og tidsriktig å legge til rette for å benytte elektronisk legitimasjon ved kundekontroll av fysiske personer etter den nye hvitvaskingsloven. Departementet slutter seg derfor til utvalgets forslag om at kundekontroll etter hvitvaskingsloven blant annet skal omfatte bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon.

Etter Finansdepartementets vurdering ”er det, på bakgrunn av reglenes tekniske karakter, hensiktsmessig å fastsette nærmere krav til innholdet i elektronisk legitimasjon i ny hvitvaskingsforskrift. Departementet anser derfor at det er hensiktsmessig at det gjennom kravet til «gyldig legitimasjon» i forslaget til ny hvitvaskingslov § 7 nr. 2, åpnes for at det kan gis nærmere bestemmelser som stiller krav til elektronisk legitimasjon, jf. forslaget til forskriftshjemmel i § 7 sjette ledd. Denne strukturen gjør det mulig å fastsette regler om elektronisk legitimasjon for juridiske personer dersom dette skulle bli aktuelt senere.”


FNH og Sparebankforeningen tar til etterretning at Finansdepartementet i tråd med innvendingene fra FAD og NHD til forslaget om en sertifiseringsordning, varsler en nærmere dialog med disse departementene om den innholdsmessige og regeltekniske utformingen av forskriften på dette punkt. Vi vil imidlertid understreke betydningen av at arbeidet med sidestilling av fysisk og elektronisk legitimasjon nå ikke stopper opp, men blir gjennomført og iverksatt samtidig med de øvrige forskriftsbestemmelsene til den nye hvitvaskingsloven.   


7. Adgangen til utveksling av informasjon om kundekontrollnivå og risikoklassifisering


I lovforslaget § 20 er det bare gjort unntak fra taushetsplikten for så vidt gjelder mistenkelige transaksjoner. Det er ikke gjort unntak fra taushetsplikten for nødvendig utveksling av informasjon mellom selskaper i samme konsern om opplysninger som er relevante for risikoklassifisering av kunder. Når det gjelder utveksling av informasjon innenfor konsern legger departementet avgjørende vekt på den enkeltes muligheter til å ha kontroll på spredning av opplysninger om seg selv (Ot.prp. nr. 3 (2008-2009) side 50).


Næringen mener dette er så viktig å få på plass raskt at vi må vurdere å bringe saken inn for Stortinget i stedet for å avvente en mulig avklaring i regi av Banklovkommisjonen slik som antydet av departementet i proposisjonen. De enkelte rapporteringspliktige fratas her i realiteten et av de viktigste virkemidler for å etterleve lovens forutsetninger, og vi risikerer å få en situasjon der kunder i samme konsern havner i ulik risikokategori.

Det er vår oppfatning at dette bør kunne finne sin løsning innen de rammer personopplysningsloven forutsetter. Vi må etter dette vurdere hva næringen kan bidra med for å påskynde en løsning på dette som står i forhold til hvitvaskingslovens formål og de ressurser de rapporteringspliktige her blir pålagt å sette inn i kampen mot hvitvasking.