Utvalgte hurtiglenker

    Høringer

    Buypass

    Høringssvar | | Finansdepartementet

    Høringsuttalelse – NOU 2007:10 Om tiltak mot hvitvasking og terrorfinansiering


    Vi viser til høringsbrev av 24.08.2007 vedrørende Høring 2007:10 Om tiltak mot hvitvasking og terrorfinansiering (gjennomføring av EØS-regler tilsvarende EUs tredje hvitvaskingsdirektiv i norsk rett). Buypass AS står ikke på høringslisten i denne saken, og vi ble først ved fristens utløp gjort oppmerksom på høringen av enkelte av våre kunder og samarbeidspartnere som er formelle høringsinstanser. Vi takker for muligheten til å uttale oss om forslagene til henholdsvis ny lov og forskrift, og vi beklager den sene besvarelsen.

    Buypass AS (heretter omtalt som Buypass) er et selskap som er eid i fellesskap av Posten og Norsk Tipping. Selskapet er leverandør av elektronisk ID og løsninger for e-signatur og er registrert utsteder av kvalifiserte sertifikater i henhold til Lov om e-signatur, i tillegg til å være registrert som tilbyder av virksomhetssertifikater etter selvdeklarasjonsordningen. Vårt heleide datterselskap Buypass Originator AS er utsteder av elektroniske penger og har konsesjon i henhold til Lov om e-pengeforetak og er dermed direkte underlagt hvitvaskingsregelverket.

    Vi har følgende kommentarer til forslag til lov og forskrift:

    Lovforslagets Kapittel 2. Kundekontroll og løpende oppfølging

    Generelt stiller Buypass seg positiv til at lovforslaget legger større vekt på at kundekontroll og løpende oppfølging av kundeforholdet skal basere seg på en samlet vurdering av risiko. E-pengevirksomheten baserer seg i stor grad på et stort antall transaksjoner med mindre beløp. I tillegg er det i konsesjonsbetingelsene til alle norske e-pengeforetak fastsatt en øvre grense på kontiene (maksimum kr. 10.000,-). Samlet sett er det derfor nokså begrensede muligheter for å benytte systemene til hvitvasking eller finansiering av terrorvirksomhet.

    Likeledes slutter vi oss til utvalgets flertall med hensyn til at en kundekontroll med bekreftelse av fysiske personers identitet kan gjennomføres på annen basis enn personlig fremmøte. For nettbaserte virksomheter uten filialnett – så som de fleste e-pengeforetak – blir kravet til personlig fremmøte hos den rapporteringspliktige urimelig, uten at dette nødvendigvis gir høyere kvalitet enn identifisering og legitimasjonskontroll på annet grunnlag.

    Lovforslaget viderefører blant annet muligheten for kundekontroll utført av tredjepart (§10) hvor én rapporteringspliktig legger til grunn for sin kunderegistrering en kontroll utført av en annen rapporteringspliktig. Imidlertid er det kun kundekontroll utført av visse rapporteringspliktige (definert i hvitvaskingsloven § 4 første ledd nr. 1, 5, 6, 7 og 11 samt foretak som driver forsikringsmegling) som i forslaget anses som god nok til å utgjøre grunnlaget for en full kundekontroll. I denne sammenheng kan det være verdt å nevne at i EU-direktivets behandling av ”Performances by third parties” heter det i artikkel 16 at ”for the purposes of this Section, ”third parties” shall mean institutions and persons who are listed in Article 2….” I Article 2 står det listet hvem direktivet gjelder for, herunder det som omtales som ”Credit Institutions”.

    I henhold til EU-direktiv nr 2000/28/EC er "Electronic money institutions" å anse som "Credit Institutions". Det kan synes som om utvalget i sin behandling ikke har vært klar over dette, eller har valgt å se bort fra det. Dette var et grep som i sin tid ble motivert slik:

    (1) In accordance with the objectives of the Treaty, it is desirable to promote harmonious development of the activities of credit institutions throughout the Community, in particular as regards the issuance of electronic money
    (2) Certain institutions limit their activity primarily to the issuance of electronic money. To avoid any distortion of competition between electronic money issuers, even as regards application of monetary policy measures, it is advisable that these institutions, subject to suitable specific provisions taking into account their special characteristics, be brought into the scope of Directive 2000/12/EC.
    (3) It is advisable, consequently, to extend to theses institutions the definition of credit institutions provided for in Article 1 of Directive 2000/12/EC

    I opplistingen av hvem som er å anse som "tredjeparter" i lovutkastets § 10 er e-pengeforetak holdt utenfor. Med mindre EU har gjort om på sin definisjon av ”electronic money institutions”, synes det som om utvalget har valgt å legge seg på en mer restriktiv linje en det EU direktivet legger opp til.

    Særlig i lys av dette, ser vi positivt på forslaget om at kundekontrollen kan utkontrakteres og gjennomføres av virksomheter som ikke selv er rapporteringspliktige. Vi deler utvalgets synspunkter om at det overordnede ansvaret for overholdelse av regelverket ligger på den rapporteringspliktige, og at nødvendige rutiner og regler utgjør en integrert av avtaleverket mellom den rapporteringspliktige og agenten.

    Buypass ser med glede på at forslaget til ny lov og forskrift inkluderer bestemmelser som legger til rette for bruk av elektronisk legitimasjon og sidestilling av denne med fysisk legitimasjon. Vi har følgende kommentarer til forslagene på dette området:

    Utkast til forskriftens kapittel 2. Kundekontroll og løpende oppfølging

    § 4 Åpner for at ”avansert elektronisk signatur basert på sertifikat” anses som gyldig legitimasjon for fysiske personer, forutsatt at sertifikatutstedelsen er underlagt sertifiseringsordning som oppfyller visse krav spesifisert i forskriftens § 4, punkt 1 til 4.

    Buypass stiller seg i utgangspunktet ikke negative til at man innfører en sertifiseringsordning for utstedelse av kvalifiserte elektroniske sertifikater. Imidlertid er vi tvilende til om det er riktig å fastsette de spesifikke kravene til slik sertifisering i hvitvaskingsregelverket. Vi tror heller ikke det blir riktig at hvitvaskingsregelverket definerer kvalifiserte sertifikater på en annen måte enn den definisjonen som fremkommer i Forskrift FOR-2001-06-15-61 1 om Krav til utstedere av kvalifiserte sertifikater.

    Kravene til rutiner og standarder for utstedelse, vedlikehold og revokering av hhv kvalifiserte og avanserte sertifikater reguleres i Lov om e-signatur med tilhørende forskrifter. § 4 i forslaget til hvitvaskingsforskrift blir dermed til dels overflødig i sin nåværende form, og underpunktene 1 til 4 bør fjernes.

    Vi ønsker likevel å påpeke at kravet i underpunkt 4 i § 4 – om at fødselsnummer skal fremkomme av selve sertifikatet - ikke er i henhold til gjeldende standarder, samt at det strider mot den fortolkning av personopplysningsloven lagt til grunn av Datatilsynet når det gjelder bruk av fødselsnummer i sertifikater.

    Videre ønsker vi å understreke at en eventuell innføring av sertifiseringsordning må skje med basis i tilsvarende eksisterende sertifiseringsordninger ellers i Europa og i USA, og i henhold til gjeldende ETSI-standarder. Det finnes pr. i dag flere millioner utstedte kvalifiserte elektroniske sertifikater i det norske markedet. En eventuell innføring av en sertifiseringsordning må ikke innebære at allerede utstedte sertifikater må trekkes tilbake og re-utstedes. En sertifiseringsordning vil i seg selv ikke stille noen nye krav til kvalitet og utstedelse enn det som foreligger i eksisterende regulatoriske krav og offentlige kravspesifikasjoner. For at et elektronisk sertifikat i dag skal anses som kvalifisert, må utsteder også i dag etterleve gjeldende regler og kravsett og være registrert hos Post- og Teletilsynet, som fører tilsyn med etterlevelse av disse reglene. Et eventuelt krav om re-utstedelse av eksisterende sertifikatmasse vil representere et betydelig tilbakeskritt for utviklingen innenfor e-forvaltning i Norge, i tillegg til at det ville være en vesentlig fordyrende faktor for sertifikatutstedere og dermed også for brukerne.

    Vi registrerer at elektronisk legitimasjon i lovforslaget kun skal kunne brukes i forbindelse med kundekontrollen av fysiske personer. Utvalget åpner ikke for at elektronisk legitimasjon skal kunne brukes for juridiske personer, og stiller krav til at fysiske personer som opptrer på vegne av juridiske personer kun skal kunne legitimere seg i sin rolle ved hjelp av en fysisk firmaattest utstedt av Foretaksregisteret. Selv om Foretaksregisteret eller Enhetsregisteret pr. i dag ikke tilbyr elektronisk signerte dokumenter, og derigjennom muligheten for en elektronisk legitimasjon av en representant for en juridisk person, mener vi at en slik mulighet ikke bør utelukkes.

    Kapittel 3. Undersøkelse og rapportering

    Buypass er inneforstått med behovet for undersøkelse og rapportering av eventuelle mistenkelige transaksjoner. Imidlertid mener vi at lovforslaget går noe langt i kravet til rapportering til Økokrim, og vi mener det bør presiseres at slik rapportering skal skje ved sterk og begrunnet mistanke. Lovutkastets § 17 pålegger rapporteringspliktige å innrapportere til Økokrim alle transaksjoner som identifiseres som mistenkelige i den grad undersøkelser av transaksjonen ”ikke avkrefter mistanken”. Det skal svært mye til at man ved gjennomgang av transaksjonsmønstre, kundeinformasjon og lignende skal kunne definitivt avkrefte at det er noe som helst mistenkelig ved en transaksjon. Vi mener derfor at det vil være mer hensiktsmessig å pålegge rapporteringspliktige å innrapportere transaksjoner hvor undersøkelser bekrefter eller underbygger en tro om at transaksjonen har til formål å foreta hvitvasking eller bidra til terrorfinansiering. Formuleringen, slik den står, vil i ytterste konsekvens føre til at antallet innrapporteringer vil bli uhåndterlig for Økokrim. Man risikerer således at saker som omhandler transaksjoner hvor man har skjellig grunn til å tro at det skjer hvitvasking forsvinner i hauger av saker hvor den rapporteringspliktige er usikker på om det foreligger kriminelle forhold, men likevel ikke klarer definitivt å avkrefte at slike forhold kan foreligge. Videre synes vi at pålegget slik det er formulert i forslaget, er betenkelig ut fra et hensyn til det alminnelige personvernet.

    Kapittel 4. Oppbevaring

    Vi forstår § 21 i lovutkastet slik at det erstatter kravene i den gjeldende forskrifts § 15 om oppbevaring av legitimasjonsdokumenter. Vi registrerer med glede at man i lovforslaget delvis går tilbake til formuleringen i den gamle hvitvaskingsforskriften, og pålegger den rapporteringspliktige å oppbevare kopier av dokumenter benyttet i forbindelse med kundekontroll, samt registrerte opplysninger. Buypass har tidligere påpekt overfor Finansdepartementet at kravet til oppbevaring av fysiske kopier av legitimasjonsdokumenter benyttet ved kundekontroll er tilnærmet umulig å etterleve for nettbaserte virksomheter.

    Vi håper våre kommentarer blir tatt hensyn til i den videre behandlingen av lovforslagene, og vi står gjerne til disposisjon dersom utvalget har spørsmål eller kommentarer til vår uttalelse.

    buypass.pdf
    Til toppen