Utvalgte hurtiglenker

    Høringer

    Finansnæringens Hovedorganisasjon/Sparebankforeningen

    (felles uttalelse)

    Høringssvar | | Finansdepartementet

    Høringsuttalelse - tiltak mot hvitvasking og terrorfinansiering


    Det vises til NOU 2007: 10 som ble lagt frem 24. august 2007, og til Finansdepartementets brev 25. september 2007, der trykt eksemplar ble ettersendt.

    1. Hovedsynspunkter

    • Sparebankforeningen og Finansnæringens Hovedorganisasjon (FNH) støtter i all hovedsak lovutvalgets forslag til gjennomføringen av EUs tredje hvitvaskings¬direktiv og andre internasjonale anbefalinger og forpliktelser slik det fremgår av NOU 2007: 10
    • Vi støtter utvalgets forslag om å åpne for innføring av elektronisk legitimasjon for fysiske personer
    • For at finansinstitusjoner effektivt skal kunne oppfylle den nye plikten til å risikoklassifisere kunder, bør det fremgå klarere av loven at det er adgang til nødvendig utveksling av kundeopplysninger innenfor finanskonsern

    Høringen er gjennomført med en uvanlig kort frist. Saken ble sendt ut ved departementets brev 24. august, den trykte NOU'en forelå først 25. september, og høringsfristen er 8. oktober 2007. Normalt skal det som kjent gis tre måneders frist ved høring. Vi har derfor ikke hatt mulighet til å gjennomarbeide uttalelsen slik vi helst hadde ønsket, og tar forbehold om å komme tilbake med supplerende kommentarer senere.

    Selv om det ligger utenfor rammen av selve høringen, vil vi innledningsvis understreke nødvendigheten at også myndighetene vurderer hvilke tiltak de kan bidra med til å motarbeide hvitvasking og terrorfinansiering. Gjennom hvitvaskingsloven pålegges finansnæringen betydelig arbeid med undersøkelser og rapportering, for flere titall millioner kroner årlig. Ressursbruken vil øke som følge av utkastet til ny lov. Det er en byrde vi for så vidt aksepterer å leve med for å bekjempe et alvorlig samfunnsproblem, forutsatt at Økokrim tilføres tilstrekkelig med ressurser. Av årsrapporten 2006 fra Økokrim - Enheten for finansiell etterretning framgår at de i 2006 mottok i alt ca 7400 meldinger. Av disse ble det åpnet etterforskning ("åpnet straffesak") i 76 saker, dvs drøyt en prosent. Ca 300 meldinger ble benyttet i etterretningssak, mens ca 95 % altså ble arkivert ("registrert til etterretning"). Og forholdstallet viser en negativ utvikling gjennom de senere årene. Vi erkjenner at det aldri vil være aktuelt å åpne etterforskning i flertallet av sakene, dette er tross alt bare etterretnings-opplysninger, men statistikken kan likevel virke noe nedslående på rapporteringspliktige som arbeider hardt for å forbedre sine rapporteringsrutiner hver eneste dag. Statistikken kan gi inntrykk av at for mange straffbare forhold får passere uten adekvat reaksjon i form av etterforskning og tiltale. For rapporteringspliktige kan det virke demotiverende at det ikke settes av mer ressurser til tettere oppfølging av vår innsats for å forebygge og avdekke transaksjoner med tilknytning til utbytte fra straffbare handlinger.

    2. Merknader til de innledende bestemmelser


    Til utkastet til § 4 Anvendelsesområde

    Vi har ingen merknader til de mindre justeringer som gjøres i lovens anvendelsesområde i utkastet til § 4.

    Dette innebærer bl.a. at vi slutter oss til at forsikringsagenter nå omfattes av hvitvaskings¬regelverket. Som framholdt i utredningen på side 19 vil "forsikringsagenter regulært ikke (..) anses å opprette kundeforhold på egne vegne", slik at det i normaltilfellene ikke blir aktuelt med kundekontroll for agenten. Det er derfor undersøkelses- og rapporteringsplikten som blir aktuell. Agenten rapporterer i dag som internt ansatte selgere i forsikringsselskapet til forsikringsselskapets hvitvaskingsansvarlig. Det legges til grunn at forsikringsagentene ofte står for den direkte kundekontakten og følgelig vil kunne avdekke andre forhold enn forsikringsselskapet. Dette taler for en selvstendig rapporteringsplikt direkte til Økokrim. Vi er imidlertid noe i tvil om mindre forsikringsagenturer har den nødvendige kompetanse i dag til å foreta de undersøkelser som skal til for å vurdere om transaksjonen skal meldes til Økokrim. Det kan synes å være behov for økt kompetanse her. For å unngå dobbel kunde-kontroll og doble meldinger til Økokrim, bør det trolig utvikles avtaler mellom agenten og forsikringsselskapet om hvem som kontrollerer og rapporterer i de enkelte tilfeller. Mye kan også oppnås ved kontakt mellom agentens og forsikringsselskapets hvitvaskingsansvarlige, i forbindelse med konkrete undersøkelser. Vi legger til grunn at loven ikke forutsetter at begge parter skal sende de samme rapporter.

    Finansinstitusjoner har vært omfattet av hvitvaskingsregelverket siden starten i 1994, og har videre vært pålagt elektronisk overvåking siden 2004, da anvendelsesområdet ble kraftig utvidet. Vi mener departementet bør benytte anledningen til å vurdere om ikke også enkelte offentlige etater bør underlegges en tilsvarende rapporteringsplikt som private rapporterings¬pliktige. Det er en kjensgjerning at utbytte fra straffbare handlinger i enkelttilfeller også benyttes til å betale offentlige forpliktelser som for eksempel skatt og avgift. Dersom offentlige innkrevingsmyndigheter som kemner, skattefogd og tollvesen hadde fått en tilsvarende rapporteringsplikt, ville det med relativt enkle grep fra lovgivers side trolig øke effektiviteten i kampen mot hvitvasking betraktelig. Et slikt tiltak ville trolig også øke respekten for hvitvaskingsbestemmelsene blant folk flest. For rapporteringspliktige som i takt med den internasjonale utviklingen pålegges nye straffesanksjonerte bestemmelser med påfølgende økonomiske og administrative omkostninger, fremstår misforholdet mellom offentlig og privat ressursbruk rettet mot hvitvasking som stadig mer påfallende. Staten krever inn over 600 milliarder kroner årlig i skatter og avgifter mv, og det gir da dårlig sammenheng i regelverket når sentrale offentlige innkrevere ikke pålegges tilsvarende rapporteringsplikter mv. med sikte på å forebygge og avdekke transaksjoner med tilknytning til utbytte fra straff-bare handlinger.
    Hensynet til en effektiv bekjempelse av økonomisk kriminalitet tilsier etter dette at også det offentlige i alle fall et stykke på vei pålegges tilsvarende plikter. Man bør i det minste vurdere å gi utkastet til § 16 om undersøkelsesplikt og utkastet til § 17 om rapporteringsplikt, samt §§ 19 og 20, anvendelse for deler av offentlig sektor. Vi har i det hele tatt vanskelig for å se den legislative begrunnelsen for å unnta kemner og skattefogd mv. fra hele lovens anvendelsesområde.

    3. Merknader til kundekontroll og løpende oppfølging


    Til utkastet til § 5 Risikobasert kundekontroll og løpende kontroll

    Vi ønsker å knytte noen kommentarer til uklarhetene rundt adgangen til utveksling av kunde-opplysninger i finanskonsern. De enkelte finansinstitusjoner og verdipapirforetak mv. som inngår i konsern pålegges nå hver for seg en offentligrettslig plikt til å innehente relevant informasjon for å kunne dele kundemassen inn i risikoklasser etter antatt risiko for hvit-vasking. Det nedlegges i den forbindelse betydelige ressurser fra finansinstitusjonenes side for å tilfredsstille de nye lovpålagte kravene til gradert kundekontroll. Formålet er å fastslå risikoen for hvitvasking best mulig slik at ressurser og nærmere undersøkelser kan settes inn der risikoen er størst. Det er nærliggende for et finanskonsern å innehente opplysninger fra egne konsernselskaper i tillegg til ekstern informasjon. Dette innebærer at informasjon fra ulike deler av konsernet må deles med andre enheter, hvilket også resulterer i at hver kunde får en enhetlig risikovurdering for konsernet som helhet. Arbeidet med risikoklassifisering vil være til dels fånyttes dersom en kunde ikke blir riktig risikovurdert i en del av konsernet fordi andre deler av konsernet er avskåret fra muligheten til å videreformidle opplysninger som er relevante for risikoklassifiseringen. For at resultatene av det arbeidet som gjøres med risiko-klassifisering skal stå i forhold til den innsatsen som nedlegges må relevante funn som avdekkes som et resultat av kundekontrollen i en del av konsernet kunne videreformidles til de øvrige enheter.

    Som følge av taushetspliktreglene i finanslovgivningen kan det være problematisk for flere typer finansinstitusjoner som inngår i konsern å utlevere kundeopplysninger seg i mellom for å sikre ensartet risikoklassifisering av en og samme kunde som benytter seg av tjenester fra ulike deler av konsernet. Det kan synes som begrensningene i adgangen til utveksling av kundeopplysninger i finanskonsern her står i veien for de enkelte konsernenheters plikt til å innhente nødvendig informasjon for å utføre risikoklassifisering. Det er vår vurdering at andre deler av lovgivningen i større grad må legge til rette for at konsernet kan plassere kunden i riktig risikoklasse. Dette innebærer at de enkelte konsernselskaper må få anledning til å utveksle opplysninger av betydning for risikoklassifiseringen uavhengig av gjeldende taushetspliktbestemmelser. Det fremgår av Kredittilsynets rundskriv nr. 11/2000 at kunde-nøytrale opplysninger og generelle angivelser av kundeforholdets art kan utveksles mellom konsernselskap. Dette vil ikke være tilstrekkelig til å sikre en enhetlig risikoklassifisering. Det samme gjelder unntaket fra taushetsplikt som fremkommer i utkastet § 19 annet ledd, i det forutsetningen her bl.a. synes å være at utvekslingen må skje i forbindelse med undersøkelse av en mistenkelig transaksjon.

    Det kan eksempelvis dreie seg om en kunde som eiendomsavdelingen er kjent med at investerer i et skatteparadis, og som samtidig innbetaler høye forsikringspremier som grunn-lag for store utbetalinger senere i et av konsernets forsikringsselskaper. En slik person eller selskap vil i følge forslaget til ny gradert risikovurdering kunne bli vurdert som en høyrisiko kunde i eiendomsavdelingen, men ikke nødvendigvis i forsikringsselskapet. For å oppfylle lovens intensjoner om risikobasert kundekontroll er det her nødvendig at også forsikrings-selskapet skal kunne gjøre seg kjent med de opplysninger av betydning for risiko-klassifiseringen som eiendomsavdelingen er i besittelse av.

    Hvitvasking skjer så vel ved flytting av midler mellom selskap i konsern, som mellom ulike finansinstitusjoner. Finansnæringen har flere eksempler på at kunder forsøker seg på primær-forbrytelser rettet mot finansinstitusjonen selv, eksempelvis forsikringssvindel. Det viser seg at slike kunder har lav terskel for å foreta svindelforsøk også mot trygdemyndigheter (NAV) og mot selskaper i samme konsern som forsikringsselskapet, for eksempel kortsvindel mot banken. Som kjent har Arbeids- og inkluderingsdepartementet i sommer sendt ut på høring forslag om endring av folketrygdloven § 21-4b, om å åpne for gjensidig utveksling av informasjon mellom NAV og forsikringsselskapene ved konkret mistanke om trygdemisbruk eller forsikringssvindel.. I tråd med dette bør det åpnes for utveksling av opplysninger mellom selskaper i samme konsern med hensyn til den lovpålagte risikoklassifiseringen av kunder.

    Politidirektoratet har i møter med finansnæringen uttrykt ønske om at politiet og finans-næringen arbeider tettere for å redusere henleggelsesgraden. Hvitvasking og terrorfinansiering antas å stå høyt på politiets prioriteringsliste. Et slik samarbeid vanskeliggjøres i dag ettersom selskapene i et konsern ikke engang selv kan samarbeide om å avdekke mulig hvitvasking i konsernet.

    Den øvrige lovgivningen bør ikke være til hinder for at enhver enhet i konsernet skal kunne settes i stand til å foreta de undersøkelser risikoprofilen tilsier.
    Forslag til lovtekst:

     

    § 19 Forholdet til taushetsplikt

    Nytt tredje ledd bør lyde:
    "Rapporteringspliktige som inngår i finanskonsern, kan uten samtykke etter person-opplysningsloven og uten hinder av taushetsplikt utveksle kundeopplysninger når det anses nødvendig som ledd i den risikobaserte kundekontrollen som nevnt i § 5."

    Dersom departementet vurderer å gi en taushetspliktbestemmelse som også angår kapittel 2, bør det vurderes om taushetspliktbestemmelsen bør plasseres i kapittel 6 sammen med de andre avsluttende bestemmelsene. Det bør i denne sammenheng uansett vurderes om også bestemmelsen om forbud mot å avsløre undersøkelser, rapportering eller etterforskning systematisk heller bør plasseres i kapittel 6, ettersom både utkastet til §§ 19 og 20 har flere fellestrekk med bestemmelsene i dette kapitlet.
     
    Vi legger til grunn at det ikke oppstår noen plikt etter personopplysningsloven § 20 til å varsle angjeldende kunde at opplysningene overføres til andre selskaper i konsernet så lenge formålet kun er ensartet risikoklassifisering. Vi legger videre til grunn at med ovennevnte tillegg til utkastet § 19 skulle det ikke være nødvendig å gjøre endringer i personopplysnings-forskriften § 7-24 (utover en ren oppdatering av henvisningene til gjeldende hvitvaskings¬lovgivning) for at de rapporteringspliktige skal kunne utveksle opplysninger mellom konsern-selskaper som anses nødvendige for å overholde forpliktelsene til risikobasert kundekontroll av de enkelte kunder.

    For ordens skyld bør forholdet til personopplysningsloven etter vår vurdering avklares, helst gjennom et uttrykkelig unntak i lovs form, eller eventuelt som en presisering i odelstingsproposisjonen. Se nærmere om dette i punkt 6 nedenfor.

    Til utkastet til § 7 Gjennomføring av kundekontroll

    Vi støtter forslaget fra flertallet om at det skal være anledning til å gjennomføre kunde-kontrollen uten krav om fysisk fremmøte, forutsatt at det framlegges ytterligere dokumentasjon som bekrefter identiteten. Vi kan ikke slutte oss til mindretallets forslag om videreforing av gjeldende § 5 fjerde ledd første punktum.

    Til utkastet til forskrift § 4 Elektronisk legitimasjon for fysiske personer

    FNH og Sparebankforeningen er meget tilfreds med at utvalget åpner for muligheten til elektronisk legitimasjon. Dette er et viktig skritt i retning av å legge til rette for elektronisk samhandel. Det fastsettes nærmere krav om at sertifikatutstederen underlegges en sertifiseringsordning som en oppgradering av dagens selvdeklarasjonsordning.

    Bankene har over en periode allerede praktisert elektronisk legitimasjon via produktet BankID, som naturlig nok ennå ikke er sertifisert ettersom det foreløpig ikke eksisterer noen slik sertifiseringsordning. Denne formen for elektronisk legitimasjon av fysiske personer har allerede over 750.000 brukere og potensialet er om lag 2,5 millioner brukere. Disse tallene viser at på det tidspunktet sertifiseringsordningen trer i kraft, kan over 1 million mennesker i Norge allerede benytte BankID. De har en elektronisk legitimasjon som tilfredsstiller gjeldende krav til slike utstedelser. Det bør etter dette ikke være nødvendig å foreta ny identitetskontroll for denne gruppen etter at myndighetene innfører sertifiseringsordningen for elektronisk legitimasjon for fysiske personer selv om utsteder ikke var sertifisert på tids-punktet for legitimasjonskontroll. Så lenge BankID i tillegg oppfyller de øvrige kravene i utkastet til § 4, mener vi at en slik løsning vil være ubetenkelig frem til sertifiserings¬ordningen er på plass. Vi antar at BankID vil søke sertifisering så snart det blir mulig. Dersom loven trer i kraft før sertifiseringsordningen etableres, bes det om at det fastsettes overgangs-regler som tillater elektronisk legitimasjon etter gjeldende krav frem til sertifiserings¬ordningen kommer på plass.

    Vi er enig i utvalgets vurdering av at dagens selvdeklarasjonsordning i henhold til krav-spesifikasjon for offentlig sektor, bør erstattes av en sertifiseringsordning. Sertifiserings¬ordningen bør utformes slik at den i større grad legger vekt på viktige sikkerhetskrav (i stedet for generelle krav til PKI-løsninger i offentlig sektor), den må få et hensiktsmessig og tilstrekkelig omfang og kravene må utformes på teknologinøytral måte. Samtidig understreker vi at kravene under sertifiseringsordningen ikke må gjøres mer omfattende enn det sikkerhets formålet tilsier. Det blir tid- og ressurskrevende å tilfredsstille sertifiseringsordninger. Det er derfor helt sentralt med en nøktern vurdering av hvilke krav som stilles.

    Utvalget foreslår at det "bør det fremgå av sertifikatet at de aktuelle kravene er oppfylt, for eksempel ved at det i forskriften for frivillig sertifiseringsordning fastsettes kjennetegn for sertifikater med tilstrekkelig sikkerhetsnivå." Vi gjør oppmerksom på at internasjonale standarder for sertifikater pr. i dag ikke inkluderer mulighet for å angi kjennetegn for sikkerhetsnivå/sertifiseringsordninger. I utgangspunktet bør vi vise stor tilbakeholdenhet med å lage krav som medfører spesielle standarder for virksomhet i Norge, da dette ofte medfører økte kostnader som følge av at programvare må utvikles og eller tilpasses spesielt for vårt lille norske markedet. Et alternativ kan være at det føres et register over sertifiserte utstedere og at registeret er tilgjengelig for online oppslag.

    Vi har enkelte kommentarer til uttalelsen i NOU 2007: 10 om at "Sertifikatet utstyres med undertegnerens fødselsnummer, D-nummer eller annen entydig identitetskode". Vi stiller spørsmålstegn ved behovet for å ta med bruk av ellevesifret fødselsnummer inkludert personnummeret i sertifikatet. Bruken av sertifikater som inneholder fødselsnummer bør i utgangspunktet begrenses for å unngå at hele fødselsnummeret eksponeres i forbindelse med tjenester på nettet som egentlig ikke har behov for personnummerdelen. Dette av hensyn til ønsket om å unngå at brukere etterlater seg unødige elektroniske spor. Vi antyder som alternativ formulering: "Sertifikatet utstyres med entydig identitetskode som kan benyttes for å få tilgang til fødselsnummer og D-nummer".

    Etter forskriftsutkastet § 4 første ledd nr 2 er det et vilkår for å kunne bruke et elektronisk sertifikat som legitimasjon for etablering av kundeforhold i bank at "undertegneren har fremvist legitimasjonsdokument som oppfyller kravene i § 4 ved utstedelse av sertifikatet".

    For ordens skyld nevner vi at det i utkastet må være feilskrevet § 4 istedenfor § 3.

    Den ovenfor siterte formuleringen kan oppfattes slik at det forutsettes å være en nær sammenheng i tid mellom utstedelse av sertifikatet og fremvisning av legitimasjons-dokumentet. I så fall vil det ikke være i samsvar med forskriftsutkastet hvis for eksempel legitimasjonsdokumentet blir fremvist ett år tidligere i forbindelse med etablering av kundeforholdet, typisk ved åpning av en bankkonto. Vi antar at dette ikke har vært meningen. Dette antar vi blant annet ut fra at e-signaturforskriften § 7 uttrykkelig åpner for at også en tidligere legitimasjonskontroll (ved personlig fremmøte) ved etablering av kundeforhold kan legges til grunn i forbindelse med en senere utstedelse av et kvalifisert sertifikat.

    Vi påpeker i denne sammenheng at der sertifikatutsteder gjennom tidligere legitimasjons-kontroll "kjenner sin kunde", er det ingen særlige grunner for at det på nytt skal legges fram et legitimasjonsdokument ved utstedelse av sertifikatet. Poenget ved utstedelse av sertifikatet er heller at det må være etablert sikre rutiner for at det virkelig er den riktige kunden som får "utlevert" sitt sertifikat. En slik rutine kan være at undertegneren før han får sertifikatet "utlevert" må vise fram et legitimasjonsdokument som oppfyller kravene i forskriftsutkastet § 5. En mer rasjonell "utleveringsmåte" kan være at underskriveren på annen måte dokumenterer at han er rette vedkommende, for eksempel ved at han blir gitt tilgang til sertifikatet gjennom sin nettbank i tillegg til at underskriver gjennom en annen sikker kanal som er eksklusiv for vedkommende får tilgang til et aktiveringspassord el.

    Vi ønsker også å knytte noen kommentarer til utvalgets forslag om å videreføre kravet til fysiske legitimasjonsdokumenter for juridiske personer. Utvalget legger til grunn at juridiske personer ikke kan legitimeres gjennom elektroniske sertifikater. Dette begrunnes med usikkerhet med hensyn til hvilke personer som har tilgang til nøkler for elektronisk identifikasjon av juridiske personer og overgang av slike nøkler. Vi vil framheve at vi må regne med en rask teknologisk utvikling av elektroniske sertifikater. Vi understreker derfor at en bør ta høyde for at hvitvaskingsregelverket bør akseptere elektronisk legitimasjon også for juridiske personer. Om dette ikke gjøres i denne omgang, enten av tidsmessige grunner eller på grunn av usikkerhet om tekniske løsninger, bør vurderingen tas opp igjen i nær framtid. Det foreslåtte regelverket synes å ha fått en hensiktsmessig struktur også i denne sammen-heng, ved at det i lovutkastet bare benyttes begrepet "gyldig legitimasjon", mens de ulike typer gyldig legitimasjon defineres nærmere i forskriftsutkastet. Vi legger etter dette til grunn at det på et senere tidspunkt kan åpnes for elektronisk legitimasjon for juridiske personer uten å gå veien om en lovendring.

    Til utkastet til § 8 Registrering av opplysninger

    Utvalget har vurdert om det bør innføres et krav om at juridiske personer som vil etablere et kundeforhold med en finansinstitusjon, skal være registrert i Foretaksregisteret, Enhets-registeret, eller tilsvarende. Vi slutter oss til utvalgets konklusjon om ikke å innføre en absolutt plikt til registrering i offentlig register. En utvidet plikt til identitetskontroll fremstår som tilstrekkelig betryggende i slike tilfeller. Dette innebærer at stiftelsesdokumenter og vedtekter må fremlegges. Dersom det av en eller annen grunn ikke er mulig å fremskaffe dette vil årsmøtereferater og lignende etter omstendighetene kunne godkjennes i henhold til Enhetsregisterets praksis dersom de er av nyere dato. Det avgjørende må være at dokumentasjonen gir den rapporteringspliktige grunn til å være sikker på at foreningen el. faktisk eksisterer. Denne gjengivelsen av Enhetsregisterets reelle praksis bør etter vår vurdering komme tydeligere til uttrykk i proposisjonen enn utvalgets beskrivelse i NOU 2007: 10 side 38 til 39. Vi finner ikke tilstrekkelig grunn til å stille strengere formelle krav til rapporteringspliktige enn til Enhetsregisteret i slike saker. I praksis vil nok den rapporterings¬pliktige anmode kunden om å registrere seg i den grad det lar seg gjøre.

    Til utkastet § 9 Følger av at kundekontroll ikke kan gjennomføres

    Direktivet pålegger i artikkel 9 nr. 5 medlemsstatene å utforme bestemmelser som krever at den rapporteringspliktige overveier å innrapportere også mislykkede forsøk på identifisering av kunder, reelle eiere eller forretningsforbindelsens formål. Vi kan ikke se at dette har kommet til uttrykk i utvalgets utkast til lov og forskrift ettersom §§ 16 og 17 kun gjelder transaksjoner. Forbudet mot å etablere kundeforhold der kundekontroll ikke kan gjennom-føres, videreføres i utkastet til § 9. Dersom dette i tillegg kan begrunnes med en mulig mistenkelig transaksjon, oppstår det en undersøkelsesplikt etter utkastet til § 16 og en rapporteringsplikt etter utkastet til § 17. Men dersom begrunnelsen alene hviler på manglende mulighet til identifisering, kan det etter utkastet se ut som rapportering til Økokrim vil være et brudd på taushetsplikten, jf. utkastet til § 19.

    Vi ber departementet vurdere om de rapporteringspliktige burde få en uttrykkelig rett til å rapportere mislykkede kundekontroller til Økokrim selv om rapporten ikke knyttes til en konkret transaksjon, og at det fremgår uttrykkelig at en slik rapportering ikke innebærer brudd på taushetsplikten. En mulighet er at kapittel 2 suppleres med en bestemmelse der det presiseres at den rapporteringspliktige har rett til å rapportere også situasjoner der kunden ikke med sikkerhet lar seg identifisere, uten at dette innebærer brudd på taushetsplikten. Dette kan eksempelvis skyldes forsøk på misbruk av falske eller forfalskede identiteter, eller der eierforhold og/eller formålet fremtrer som uklart. Det antas at det i slike tilfeller også bør gjelde et forbud mot avsløring av at rapportering finner sted. Det er mulig §§ 19 og 20 bør omarbeides noe og at det bør vurderes om bestemmelsene bør plasseres i et mer generelt kapittel (eksempelvis avsluttende bestemmelser). Eventuelt kan det vurderes om utkastet til § 9 systematisk heller bør plasseres i kapittel 3 for å samle bestemmelser som angir adekvate oppfølgingstiltak ved avdekking av mistenkelige transaksjoner og kundeforhold.

    Forslag til lovtekst:

     

    Utkastet til § 19 første ledd annet punktum
    Den rapporteringspliktige har, uten hinder av taushetsplikt, rett til å rapportere til økokrim også tilfeller der kundekontroll ikke lar seg gjennomføre i henhold til § 7/9.

    Til utkastet § 10 Kundekontroll utført av andre rapporteringspliktige

    Vi ønsker å signalisere uttrykkelig støtte til utkastet til § 10 som åpner for muligheten til å legge til grunn kundekontroll utført av andre rapporteringspliktige. Dette er svært praktisk for bankene, og vi unngår unødvendig irritasjon blant våre kunder som allerede har oppgitt de nødvendige opplysninger til andre rapporteringspliktige. Dette forenkler etterlevelsen og det er et nyttig bidrag til regelverkets renomme at tidligere kundekontroller kan legges til grunn. I konsernforhold har den manglende adgangen til slik gjenbruk vært et betydelig hinder for effektive tiltak mot hvitvasking. Regelverket har blitt oppfattet som stivbent og unødvendig byråkratisk av interne og eksterne distributører, noe som har medført en negativ oppfatning av regelverket hos dem som er nærmest til å avdekke mistenkelige transaksjoner. At en og samme kunde har vært nødt til å legitimere seg flere ganger for en og samme selger har det ikke vært enkelt å skape forståelse for.

    Når det gjelder utformingen av § 10 om kundekontroll utført av andre rapporteringspliktige, støtter vi flertallets utkast.

    Til utkastet § 11 Utkontraktering av gjennomføring av kundekontroll

    Et enstemmig utvalg har foreslått en utvidelse av dagens utkontrakteringsadgang, i det utkontraktering skal kunne foretas også til andre enn til rapporteringspliktige etter loven. Vi gir full støtte til dette forslaget. Slik utkontraktert kundekontroll vil skje på oppdragsgiverens ansvar, med hensyn til oppdragstakers kompetanse, rutiner, opplæring mv.

    Vi er kjent med den reservasjon Kredittilsynet har her, med hensyn til muligheten for effektivt tilsyn. Etter vårt skjønn skal tilsynet skje overfor oppdragsgiver, og utvalgets forslag innebærer ingen endring i så måte. Kan oppdragsgiver ikke dokumentere at oppdragstaker har nødvendig kompetanse og rutiner mv, vil Kredittilsynet måtte påtale dette og eventuelt kreve endring. Dette innebærer igjen, som framholdt i NOU'en s 48, at oppdragsgiver vil utvise atskillig forsiktighet med hvem han utkontrakterer til. Vi understreker at tilsyn ikke skal skje overfor oppdragstaker, og kan derfor ikke uten videre se at det er grunnlag for Kredittilsynets bekymring for manglende tilsynsressurser i denne sammenheng.

    Til utkastet til forskrift § 7 nr 2

    Vi vil uttrykke støtte til forslaget om muligheten for å utsette kundekontrollen av begunstigede i livsforsikring. Begunstigede ved dødsfallsforsikring vil som oftest være en ukjent krets av personer og plikt til å foreta kundekontroll av disse før utbetaling ville i praksis være svært vanskelig. Barn oppnevnes ofte som begunstiget. Kundekontroll av barn har normalt liten verdi i forhold til hvitvasking. Begunstigede ved uføreforsikring og helseforsikring vil normalt være forsikringstakeren selv.

    Til utkastet til forskrift § 8 annet ledd

    Vi ser positivt på at pensjonsforsikring uten gjenkjøpsverdi er unntatt fra reglene om kunde-kontroll. Gruppelivsforsikring er imidlertid ikke omtalt. En har forståelse for at det rent prinsipielt er vanskelig å ta inn et unntak for gruppelivsforsikring så lenge dette ikke er hjemlet i EU-direktivet. Vi antar imidlertid at mangelen på hjemmel til å gi et slikt unntak skyldes at gruppelivsforsikring ikke er et vanlig produkt i EU. Forsikringsformen - dødsfalls-og uføreforsikring for en bestemt avgrenset gruppe - antas å være svært lite egnet for hvitvasking. Kundekontroll av forsikringstaker og begunstigede under gruppelivsforsikring vil medføre et betydelig merarbeid for forsikringsnæringen som ikke står i forhold til risikoen for hvitvasking. På denne bakgrunn tillater vi å anmode om at departementet vurderer å likestille gruppelivs¬forsikring, som heller ikke har gjenkjøpsverdi, med pensjonsforsikring uten gjenkjøpsverdi i forarbeidene.

    Til utkastet § 13 Løpende oppfølging

    Rapporteringspliktige skal løpende følge opp eksisterende kundeforhold og oppdatere dokumentasjon og opplysninger om kunder. For finansinstitusjoner skjer oppfølging i praksis i første rekke gjennom det elektroniske overvåkingssystemet i henhold til utkastet til § 23. I tillegg må finansinstitusjonen på grunnlag av en risikovurdering løpende oppdatere kunde-identifikasjonen, jf. utkastet til § 5. Utkastets krav om "løpende" oppfølging kan tolkes som noe strengere enn direktivets krav til oppfølging på "passende tidspunkter". Vi antar imidlertid at en mener å legge samme tidsmessige krav til grunn. Det vil i så fall være klargjørende om det kommenteres i proposisjonen.

    Slik oppfølging kan utløse plikt til nærmere undersøkelser, bl.a. identitetskontroll av eldre kundeforhold, herunder også de kundeforhold som ble etablert før hvitvaskingsbestemmelsen i finansieringsvirksomhetsloven trådte i kraft i 1994. Ut fra prinsippet om risikobasert kundekontroll vil dette gjelde den delen av kundemassen som anses å utgjøre størst fare for hvitvasking. Men selv med slik avgrensning, vil det her ligge an til en ikke ubetydelig ressursbruk fra de enkelte finansinstitusjoners side. Særlig vil det gjelde identifisering av reelle rettighetshavere. Men oppfølgningen vil også kunne gjelde kunden selv. Det legges til grunn at slike undersøkelser ikke nødvendigvis innebærer krav om identitetsbekreftelse ved gyldig legitimasjon. Diverse undersøkelser med sikte på bekreftelse av oppgitt identitet vil trolig være tilstrekkelig i de fleste tilfeller. For foretak vil dette eksempelvis kunne innebære at det må innhentes en ny firmaattest fra Brønnøysundregistrene. Det antas at det kun unntaksvis vil oppstå behov for å be kunden medvirke til (fornyet) identitetsbekreftelse ved gyldig legitimasjon.

    Til utkastet § 14 forsterket kundekontroll

    Det bemerkes her bare helt kort at praktiseringen av kravene med forsterket kundekontroll av utenlandske politisk eksponerte personer (PEPs) foreløpig synes noe uoverstigelige, og at vi avventer en avklaring når det gjelder hvordan en ser for seg at denne kontrollen skal kunne gjennomføres i praksis. Et spørsmål er om myndighetene ser for seg at de tar noe initiativ for å opprette norske lister over PEPs som kan utveksles med andre EØS lands tilsvarende lister slik at de rapporteringspliktige får noe mer håndfast å forholde seg til, eller om det skal overlates til markedet å utvikle slike lister?

    4. Merknader til Undersøkelse og rapportering


    Til utkastet § 17 Rapporteringsplikt

    Vi slutter oss til forslaget i utkastet til lov § 17 og forskrift § 11 om at innrapportering skal skje på formular godkjent av Økokrim av hensyn til en best mulig utnyttelse av ressursene i enheten for finansiell etterretning (tidligere hvitvaskingsteamet).

    Til utkastet § 19 Forholdet til taushetsplikt

    Utvalget foreslår å videreføre bestemmelsen i gjeldende hvitvaskingslov § 11 annet ledd, der det åpnes for utveksling av kundeinformasjon mellom finansinstitusjoner som ledd i under¬søkelser av mistenkelige transaksjoner. Utvalget uttaler i den forbindelse at: Utvalget kan ikke se at bestemmelsen bør utvides til å gjelde andre rapporteringspliktige."

    Vi mener flere forhold tilsier at det bør vurderes om bestemmelsens anvendelsesområde bør utvides noe. Verdipapirforetak og forvaltningsselskaper for verdipapirfond er underlagt meget strenge regler når det gjelder taushetsplikt om kundeforhold, også i forhold til andre rapporteringspliktige. Vi kan ikke se at utvalget begrunnet hvorfor disse foretakene ikke skal kunne likebehandles med finansinstitusjoner (inkludert forsikringsselskaper).

    Det tillater oss etter dette å foreslå at anvendelsesområdet for § 19 annet ledd om unntak fra taushetsplikt for finansinstitusjoner og forsikringsselskaper utvides til også å gjelde verdi-papirforetak og forvaltningsselskaper for verdipapirfond. Når det gjelder henvisningen til § 19 annet ledd fra § 20 annet ledd, skal det bemerkes at også verdipapirforetak inngår som en del av definisjonen av et finansielt konglomerat i direktiv 2002/87/EF. Vi setter følgelig et spørsmålstegn ved utvalgets vurdering av artikkel 28 nr. 3 som gjengitt på side 65 i NOU 2007: 10, og ber departementet vurdere om ikke også verdipapirforetak mv. omfattes av unntaksbestemmelsen i § 19 annet ledd.

    5. Avsluttende bestemmelser


    Til utkastet til forskrift § 15 annet ledd

    Det forutsettes at bestemmelsen kun gjelder tilfeller der etterforskning allerede er åpnet. Dette bør muligens presiseres i motivene slik at ingen får inntrykk av at politiet plikter å informere om status for innrapporterte hvitvaskingsmeldinger.

    Til utkastet § 27 Straff

    Utvalget foreslår at skyldkravet settes til grov uaktsomhet. Dette er en innskjerping i forhold til gjeldende § 16, der skyldkravet er forsett, begrunnet i hensynet til en mer effektiv håndheving av bestemmelsene. Vi har ingen innvendinger mot dette. Ettersom det er de rapporteringspliktige som er pliktsubjekter etter loven, bør departementet vurdere om det er mulig å angi (noe mer presist enn det som fremgår av NOU 2007: 10 side 75) hva som skal til for at en ansatt i et foretak som er rapporteringspliktig skal anses for å ha overtrådt utkastet til straffebestemmelse.

    6. Forholdet til personopplysningsloven


    Kundens rett til innsyn i registrerte opplysninger

    Personopplysningsloven gjelder for rapporteringspliktiges oppbevaring av person-opplysninger. Utvalget har for øvrig ikke viet forholdet til personopplysningsloven særskilt omtale, bortsett fra at det fremgår av utkastet til § 10 at utlevering av personopplysninger i forbindelse med kundekontroll utført av andre, ikke medfører brudd på personopplysnings-loven. Personopplysningsloven kapittel III gir kunden rett til innsyn og varsel mv. Dette er sentrale rettigheter for den som blir registrert. Formålet er bl.a. å gi kunden mulighet til å identifisere og rette opp feil og mangler i registrerte opplysninger. Dette fungerer på andre områder også, for eksempel når det gjelder kredittopplysningsvirksomhet.

    Det følger av utkast til lov § 20 at kunden ikke skal gjøres kjent med verken at det foretas undersøkelser om mistenkelige transaksjoner eller at mistanke som ikke lar seg avkrefte rapporteres til ØKOKRIM. Den rapporteringspliktige er følgelig avskåret fra å gi kunden opplysninger om mulige mistenkelige transaksjoner som registreres i henhold til utkastet til kapittel 3, typisk transaksjoner av uvanlig karakter.

    Kundens rett til innsyn synes etter dette begrenset til opplysninger den rapporteringspliktige er pålagt å innhente i henhold til utkastet til kapittel 2, der det fremgår at den rapporterings¬pliktige som ledd i kundekontrollen skal innhente opplysninger til bruk for risikoklassifisering av kunden. Men heller ikke på dette området synes retten til innsyn ubegrenset. Dersom innsynsretten dras for langt, vil det i verste fall kunne undergrave formålet med den lov¬pålagte risikoklassifiseringen, som er å forebygge og avdekke transaksjoner med tilknytning til utbytte fra straffbare handlinger. Det fremgår av personopplysningsloven § 23 at retten til innsyn og plikten til å gi informasjon ikke omfatter opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging eller avsløring av straffbare handlinger. Det legges etter dette til grunn at de rapporteringspliktiges opplysningsplikt om forhold registrert i henhold til utkastet til kapittel 2 begrenses av personopplysningsloven § 23 i den grad avsløring av slike registrerte opplysninger er egnet til å undergrave de tiltak som gjøres for å forebygge og avdekke transaksjoner med tilknytning til utbytte fra straffbare handlinger i henhold til hvitvaskingsloven. Dette vil bero på en konkret vurdering i det enkelte tilfellet, og det skal nok i utgangspunktet en del til for at utlevering av faktiske opplysninger skal anses egnet til undergrave hensynet til forebygging eller avsløring av straffbare handlinger. Det vises til at slik registrering av personopplysninger mv. i medhold av utkastet til kapittel 2 typisk er av mer innledende og rutinemessig karakter som det neppe vil være skadelig å opplyse kunden om.

    Departementet bes gi en nærmere avklaring av forholdet mellom utkastet til hvitvaskingslov og personopplysningsloven kapittel III når det gjelder de hovedspørsmål som reiser seg her.

    7. Lovteknikk

    Vi gir vår fulle støtte til forslaget om en ny lovteknisk gjennomgang som beskrevet i NOU 2007: 10 side 13 nederst annet spalte. Utkastet inneholder enkelte bestemmelser i lov og forskrift som henviser direkte til relevante EØS-forpliktelser uten å angi det nærmere innholdet. Banker og andre finansinstitusjoner har levd med hvitvaskingsregelverket i over ti år, men behovet for å gjøre regelverket mer tilgjengelig også overfor våre medlemmer, tilsier etter vår vurdering at departementet går noe lenger enn utvalget i å angi positivt i lov og forskrift hvem som omfattes av hvilke plikter i stedet for å nøye seg med en generell henvisning til direktivtekst. Det er mange ikke jurister som skal sette seg inn i dette, og det kan ikke forventes at disse skal overlates til selv å måtte finne frem til og tilegne seg relevant direktivtekst. Det er bedre at forpliktelsene i størst mulig utstrekning fremgår direkte av lov og forskrift, enn at det overlates til Kredittilsynet og ulike bransjeforeninger å utarbeide veiledninger og forsøk på fortolkninger. Dette må gjelde selv om resultatet blir at ordlyden blir noe mer omfattende. Norsk lovtradisjon tilsier videre at direktiver gjennomføres ved omskriving eller nyskriving, såkalt transformasjon. Vi er etter dette noe i tvil om utkastet til forskrift § 16, der vedlegg til EØS avtalen gjøres til forskrift, er en form for inkorporasjon som svarer helt til intensjonene i Justisdepartementets anbefaling om gjennomføring av direktiver.

    8. Ikrafttredelsestidspunkt

    Ikrafttredelse 15. desember 2007 er ikke lenger mulig. Dersom lov og forskrift settes i kraft fra 1. januar 2009, bør finansinstitusjonene ha tilstrekkelig tid til å tilpasse seg de nye kravene. Dersom vi mot formodning får ikrafttredelse allerede fra 1. juli 2008, vil det være et absolutt behov for romslige overgangsregler på flere punkter, særlig med hensyn til risiko-klassifisering av kunder. Vi ber departementet om i så fall å ta en dialog med de berørte næringsorganisasjonene.

    fnh_spbfor.pdf
    Til toppen