Utvalgte hurtiglenker

    Høringer

    Kredittilsynet

    Høringssvar | | Finansdepartementet

    Høringsuttalelse - NOU 2007:10 - om tiltak mot hvitvasking og terrorfinansiering


    Kredittilsynet har følgende kommentarer til lov- og forskriftsutkastet i NOU 2007: 10 "Om tiltak mot hvitvasking og terrorfinansiering". Høringsuttalelsen baserer seg på foreløpig utgave av NOU 2007:10. Uttalelsen ble styrebehandlet 24. september d.å.

    1. Generelle kommentarer til lov- og forskriftsutkastet


    1.1

    Det fremgår følgende av punkt 1.5 i NOU 2007:10:

      "Utvalget vil fremheve at valget av gjennomføringsform er motivert ut fra redaksjonelle og pedagogiske hensyn. Utover de rettsendringer som følger av direktivet, foreslår utvalget stort sett en videreforing av det eksisterende regelverket. Utvalget har således ikke, foretatt en fullstendig revisjon av bestemmelser i den nåværende hvitvaskingslovgivningen hvor direktivet ikke har nødvendiggjort endringer."

    Utvalget har fremmet forslag til ny lov og forskrift. Dette synes å være lite overensstemmende med utvalgets målsetning gjengitt ovenfor. For rapporteringspliktige foretak er nå gjeldende lov og forskrift kjent og innarbeidet. Den delen av regelverket, som ikke må endres p.g.a tredjegenerasjonsdirektivet, eller av andre tungtveiende grunner, bør etter Kredittilsynets oppfatning videreføres så langt det er mulig. Et eksempel her er forslaget til ny hvitvaskingslov § 22 "Kontroll og kommunikasjonsrutiner" fjerde ledd, som fastsetter plikter m.h.t opplæring mv. av ansatte og andre som utfører oppgaver for rapporteringspliktige. Nå gjeldende hvitvaskingslov § 13 "Kontroll og kommunikasjonsrutiner" siste punktum og forskriftens § 16 "Opplæring av rapporteringspliktiges ansatte mv.", er lov- og forskriftsbestemmelser som fastsetter og klart definerer plikten til opplæring mv. av personale. Kredittilsynet vil anbefale at det i lovutkastet § 22 inkluderes en mer utfyllende bestemmelse m.h.t opplæring hvor ordlyden i nå gjeldende lov- og forskriftsbestemmelse inngår. Någjeldende lov og forskriftsbestemmelse med de klart definerte pliktene, er innarbeidet og kjent hos de rapporteringspliktige. Direktivet tilsier ikke noen endring av den eksisterende bestemmelsen.

    1.2 

    De rapporteringspliktige foretak utgjør en sammensatt gruppe med stor variasjon m.h.t virksomhetenes art og størrelse. De større konsernene og foretakene har ofte egne avdelinger eller personer med spesialkompetanse innenfor tiltak mot hvitvasking og terrorfinansiering. Mindre foretak vil normalt ikke ha direkte tilgang til slik spesialkompetanse. Kredittilsynet har i samarbeid med ØKOKRIM og bransjeorganisasjoner brukt betydelige ressurser på veiledning til de rapporteringspliktige, jf. rundskriv 9/2004 "Hvitvaskingsrundskrivet" og rundskriv 13/2006 - "revisorer og regnskapsføreres plikter". I tillegg gis det muntlig veiledning, enkeltuttalelser i saker osv. Regelverket må likevel utformes på en mest mulig lesbar og tilgjengelig måte også for foretak som ikke har direkte tilgang til spesialkompetanse. Det vises her til særmerknaden fra Kredittilsynets representant i lovutvalget gjengitt i kapittel 1.5:

      "Utvalgets representant fra Kredittilsynet viser til at gjeldende hvitvaskingsregelverk omfatter virksomheter av svært ulik karakter og størrelse. For de rapporteringspliktige som er under Kredittilsynets tilsyn har det vært lagt stor vekt på å veilede om institusjonenes forpliktelser gjennom rundskriv og ved tilsyn hos institusjonene. Tredje hvitvaskingsdirektiv er, i likhet med EØS-regelverk generelt, preget av kompromisser mellom EU-landene, ulik oversettelse av direktivene og dermed også uklarhet med hensyn til hva som må anses som "riktig" gjennomføring av direktivet. I utvalgets arbeid har dette medført at det i en del bestemmelser er valgt å henvise til tredje hvitvaskingsdirektiv i lov- og forskriftstekst, uten at det fremgår klart hva dette i praksis innebærer for de rapporteringspliktige. Det vises særlig til lovforslaget § 15 og forslaget til forskrift §§ 12 og 16. For å gjøre regelverket tilgjengelig for brukerne, understreker utvalgets representant fra Kredittilsynet derfor at det er behov for en redaksjonell gjennomgang av utvalgets lovforslag."

    Kredittilsynet kan etter gjennomført høring og i forbindelse med utarbeidelse av Odelstingsproposisjonen i noen grad være behjelpelig med innspill for å gjøre lov- og forskriftteksten mer tilgjengelig og lesbar.

    2. Andre generelle problemstillinger i lovutkastet


    2.1

    Lovutkastet § 7 regulerer "Gjennomføring av kundekontroll". Selve identitetskontrollen, som er en del av kundekontrollen, består av to ledd:

      a. Første ledd er selve innhentingen av gyldig legitimasjon
      b. Deretter må identiteten til kunden kontrolleres og bekreftes.

    Kontroll og bekreftelse av kundens identitet etter gjeldene rett skjer ved personlig fremmøte enten hos det rapporteringspliktige foretaket som etablerer kundeforholdet, alternativt gjennomfører transaksjonen, eller foretak den rapporteringspliktige utkontrakterer kontrollen til, jf. hvitvaskingslovens § 5 fjerde ledd. Selve bekreftelsen (verifiseringen) av identiteten, er regulert i hvitvaskingsforskriftens § 8 første ledd.

    Hovedregelen om personlig fremmøte ved identitetskontrollen videreføres ikke i lovutkastet. Personlig fremmøte har vært et grunnleggende og viktig element i norsk hvitvaskingslovgivning siden regleverket første gang trådte i kraft i 1994, og det har i forbindelse med omfattende tilsynsvirksomhet ikke vært registrert manglende forståelse for dette kravet. Nettbaserte foretaks behov for en hensiktsmessig gjennomføring av identitetskontrollen kan imidlertid vanskeliggjøre videreføring av et ubetinget krav om personlig fremmøte.

    Det fremgår forøvrig av lovutkastet § 7 at "Dersom bekreftelse av en fysisk persons identitet skal skje på grunnlag av gyldig legitimasjon uten vedkommendes personlige fremmøte, skal det fremlegges ytterligere dokumentasjon som bekrefter vedkommendes identitet." Denne bestemmelsen gjennomfører direktivets artikkel 13 nr. 2 (a) i norsk rett.

    Det forhold at kravet om ubetinget personlig fremmøte ikke videreføres i lovforslaget innebærer at rapporteringspliktige må finne andre fremgangsmåter m.h.t å innhente legitimasjon og bekrefte kundens identitet. Den økende tendensen til tyverier, forfalskninger og annet misbruk av legitimasjon skjerper også kravene til institusjonene, jf. Kredittilsynets ROS-analyse 2005 s. 8-9.

    Det er derfor viktig at § 7 "Gjennomføring av kundekontroll" i lovutkastet klart fastsetter etter hvilke kriterier kontroll og bekreftelse av identiteten på grunnlag av gyldig legitimasjon skal skje. Kredittilsynet vil anbefale at det i § 7 tas inn en formulering at "kontroll og bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon skal skje med grunnlag i dokumenter, data eller opplysninger innhentet fra en eller flere pålitelige og uavhengige kilder" Disse kriteriene er i tråd med formuleringene i direktivets artikkel 8 bokstav a).

    Hvordan kontrollen og bekreftelsen av identiteten skal skje i praksis, er i liten grad behandlet av utvalget. Dette er spørsmål av stor praktisk betydning. Dersom det overlates til institusjonenes frie vurdering å fastsette slik praksis, vil det lett kunne oppstå forskjelligartet praksis som det er vanskelig å følge opp i tilsynssammenheng. Kredittilsynet har i relasjon til både nå gjeldende og tidligere hvitvaskingsregelverk utarbeidet veiledninger til rapporteringspliktige foretak, eksempel rundskriv 9/2004 "hvitvaskingsrundskrivet". Veiledningen har vært utarbeidet i samarbeid med ØKOKRIM og relevante bransjeorganisasjoner. Rundskrivet inneholder bl.a. en omfattende veiledning for hvordan legitimasjonskontrollen skal gjennomføres i praksis. De fleste henvendelser Kredittilsynet mottar vedrørende hvitvaskingsregelverket omfatter spørsmål om praktisk gjennomføring av legitimasjonskontrollen. Det vil således være et stort behov for å gi foretakene en omfattende veiledning m.h.t hvordan kundekontrollen skal gjennomføres. Baselkomiteen for banktilsyns anbefalinger i "General Guide to Account Opening and Customer Identification", som det også er vist til i kommentarene til FATFs anbefaling 5 "Customer Due Diligence and Record Keeping", kan være et nyttig utgangspunkt for et slikt arbeid.

    2.2 

    Lovutkastet § 11 åpner i prinsippet for adgang til å utkontraktere initiell kundekontroll til andre enheter uten noen begrensninger i lovteksten.

    Det fremgår følgende av særmerknad fra Kredittilsynets representant i lovutvalget på s. 69:

      "Utvalgets representant fra Kredittilsynet er enig i behovet for en forholdsvis vid adgang til utkontraktering av initiell kundekontroll, særlig for nettbasert virksomhet. Kredittilsynet stiller imidlertid spørsmål om en slik adgang i praksis vil være mulig å følge opp tilsynsmessig."

    Utvidelsen av utkontrakteringsadgangen er bl.a. begrunnet i nettbaserte virksomheters behov for å gjennomføre initiell kundekontroll, eksempelvis ved utkontraktering til landsdekkende butikk-eller kioskkjeder.

    Identitetskontroll under dagens regelverk gjennomføres direkte av det rapporteringspliktige foretaket som etablerer kundeforholdet, eller gjennomfører transaksjonen, eller ved utkontraktering til andre rapporteringspliktige foretak. Posten Norge AS har siden desember 2000 gjennomført et ikke ubetydelig antall legitimasjonskontroller på vegne av rapporteringspliktige foretak ("PUM-tjenesten"). PUM er et distribusjonsprodukt hvor Posten tilbyr fremsending og utlevering av en brevsending til postmottaker personlig, mot forevisning av gyldig legitimasjon.

    Kopi av mottakers legitimasjon sendes til rapporteringspliktig foretak etter at PUM-sendingen er utlevert. Kontrollen skjer på ca. 300 postkontor og i ca. 1.200 "Post i Butikk". Posten har her inngått avtaler med landsdekkende matvarekjeder. De personene som gjennomfører identitetskontrollen har gjennomgått et særskilt opplæringsprogram, og det er også utarbeidet en særskilt instruks for denne funksjonen. Grunnlaget for Posten Norge AS' virksomhet er konsesjon fra Samferdselsdepartementet. Agenter, forhandlere og uavhengige distributører av rapporteringspliktiges produkter gjennomfører også identitetskontroll på vegne av rapporteringspliktige, se nærmere omtale i Kredittilsynets rundskriv 9/2004 s. 19, 20 og 22.

    En utkontraktering av initiell kundekontroll forutsetter etablering av betryggende rutiner, herunder kontroll og rapporteringssystemer og personale som har nødvendig opplæring. Nettbaserte virksomheter vil normalt ha fa ansatte og det kan reises spørsmål om slike virksomheter er egnet til selv å etablere, organisere og følge opp landsomfattende utkontrakteringstjenester til landsdekkende butikk- og kioskkjeder.

    Selv om rapporteringspliktige har vært underlagt regelverket om identitetskontroll siden 1994 avdekker Kredittilsynets tilsynsvirksomhet fortsatt manglende etterlevelse hos mange foretak, herunder også store foretak og konsern som har drevet virksomhet over lang tid. Oppfølgning av dårlig utført og mangelfull sporbarhet ved identitetskontrollen har vært en viktig målsetning i forbindelse med den intensiverte inspeksjonsvirksomheten, som har funnet sted de 4-5 siste årene, som ledd i å bedre etterlevelsen av hvitvaskingsregelverket. Det er gjennomgående konstatert forbedringsmuligheter. Det er Kredittilsynets oppfatning at utkontrakteringsadgangen bør være begrenset til rapporteringspliktige foretak, eller foretak hvis virksomhet er basert på en konsesjonsordning (Posten Norge AS, eller andre postoperatører med konsesjon). Som det fremgår ovenfor er identitetskontrollen i mange foretak fortsatt beheftet med så store problemer at det etter tilsynets oppfatning ikke vil være forsvarlig med den foreslåtte utvidede utkontrakteringsadgangen. Det nye hvitvaskingsregelverket er teknisk komplisert og stiller både rapporteringspliktige og tilsynsmyndighet overfor betydelige utfordringer. En ubegrenset utkontrakteringsadgang vil kunne skape en uoversiktlig situasjon som det er vanskelig å følge opp i tilsynssammenheng. Kredittilsynet har ikke tilsynsressurser til å følge opp en slik utvidet utkontrakteringsadgang. En utkontraktering til virksomheter (eksempelvis landsdekkende butikk-og kioskkjeder), som ikke er underlagt tilsyn, eller offentlige konsesjonsordninger, vil også være problematisk.

    Ved etablering av kundeforhold med rapporteringspliktig foretak får kunden adgang til det finansielle system. Kundekontroll, herunder identitetskontroll er derfor et helt sentralt element i tiltakene mot hvitvasking og terrorfinansiering. En forsvarlig kundekontroll vil nødvendigvis innebære ressursbruk og kostnader for den enkelte institusjon. I tillegg til å motvirke hvitvasking og terrorfinansiering, vil en velfungerende kundekontroll også kunne bidra til å redusere institusjonens motpartsrisiko og således fare for økonomisk tap og tap av renomme.

    3. Spesifikke kommentarer til lovutkastet


    3.1

    Lovforslaget § 4 nr. 4 omfatter "foretak som driver virksomhet som består i overføringer av penger eller pengefordringer". Det følger av lov om finansieringsvirksomhet og finansinstitusjoner kapittel 4a at det bare er finansinstitusjoner, inkludert utenlandsk filial og datterselskap som kan drive slik virksomhet. § 4 nr. 1 i lovutkastet omfatter "finansinstitusjoner" og lovbestemmelsens nr. 4 er derfor unødvendig.

    3.2 

    Lovutkastet § 10 tredje ledd fastsetter en registreringsplikt for diverse kundeopplysninger. Leddets annen setning hjemler adgang til å utlevere slike opplysninger. Kredittilsynet antar at det er utilsiktet at det ikke er inkludert begrensninger m.h.t hvilke formål som kan utløse en slik utleveringsadgang.

    Det fremgår av særmerknadene til bestemmelsen at situasjonene som utløser utløsningsplikt følger av §§ 5 annet ledd, 8 og 21. Disse lovbestemmelsene bør således inkluderes i lovteksten.

    3.3

    I lovutkastet § 14, som regulerer "Forsterkede kontrolltiltak", fremgår det i første ledd at situasjoner som etter sin art innbærer høy risiko for hvitvasking og terrorfinansiering utløser krav om "andre kontrolltiltak". Kredittilsynet er av den oppfatning at denne formuleringen bør erstattes med formuleringen "andre relevante kontrolltiltak".

    Lovbestemmelsens første ledd er en generell bestemmelse for kundeforhold med antatt høy risiko for hvitvasking og terrorfinansiering. Lovbestemmelsens annet ledd inneholder en spesialregel for kundeforhold med "politisk utsatte personer". Kredittilsynet antar at det vil være mest hensiktsmessig at reguleringen av PEPs legges i en egen lovbestemmelse i likhet med en av direktivets andre høgrisikosituasjoner "korrespondentbankforbindelser", som er regulert i lovutkastet § 15.

    3.4

    Lovutkastet § 15 nr. 1 inneholder begrepet "tilsynets kvalitet". Kredittilsynet antar at det her menes hvorvidt korrespondentinstitusjonen er underlagt noen tilsynsordning og i tilfelle hva slags ordning. Dette bør komme klarere frem i lovteksten.
    I samme lovbestemmelse nr. 2 er det vist til straffelovens § 147 b, men ikke § 147 a. I § 14 nr 3 ovenfor og flere andre steder i loven, er det vist til både §§ 147 a og 147 b. Etter Kredittilsynets oppfatning bør det i § 15 nr. 2 og flere andre lovbestemmelser i utkastet, eksempelvis § 32 nr. 1 og 2, og forskriftutkastet § 8, 6, a) og § 10 vises til begge bestemmelsene i straffeloven, som
    omfatter et straffesanksjonert forbud mot terrorhandlinger (§ 147a) og et straffesanksjonert forbud mot terrorfinansiering (§147b). De to bestemmelsene i straffeloven henger sammen, og det også vist til begge bestemmelsene i nå gjeldende regelverk, eksempelvis hvitvaskingslovens § 7 første ledd.

    3.5 

    I § 15 nr. 5 brukes begrepet "gjennomstrømningskonti". Dette er et nytt begrep i norsk hvitvaskingslovgivning, og er ikke definert i lovbestemmelsen, i motsetning til "tomt bankselskap", som også er brukt og definert i samme lovbestemmelse. Gjennomstrømningskonto" er for øvrig nærmere omtalt i NOU 2007:10 på s. 81.

    3.6 

    I lovutkastet § 21 første ledd er det brukt uttrykket "sertifikatutstederens identitet". Kredittilsynet antar at det her menes hvilket foretak som har utstedt den elektroniske legitimasjonen. Det vil etter vår oppfatning være bedre om formuleringen erstattes med "opplysninger om hvilket foretak som har utstedt sertifikatet oppbevares".

    3.7

    I lovutkastet § 23 pålegges finansinstitusjoner å etablere elektroniske overvåkningssystemer. Denne plikten ble første gang fastsatt i lov 20. juni 2003 nr. 41 "Hvitvaskingsloven". Slik finansinstitusjonsbegrepet er tolket i hvitvaskingsloven, antar Kredittilsynet at plikten til å etablere slike systemer omfatter banker og finansieringsselskaper. Selv om finansinstitusjonsbegrepet også omfatter kredittforetak (obligasjonsutstedende foretak), er det uvisst om slike foretak faktisk har etablert elektronisk overvåkning. Det bør derfor gjennomføres en vurdering hvorvidt det er behov for elektronisk overvåkning i slike foretak.

    4. Kommentarer til forskrift om tiltak mot hvitvasking og terrorfinansiering mv.


    4.1

    Forskriftsutkastet viderefører ikke sletteplikten for dokumenter og opplysninger i nå gjeldende forskriftsbestemmelse § 15 tredje ledd. Kredittilsynet antar at dette er utilsiktet.

    4.2

    I forskriftsutkastet § 3 første ledd likestilles legitimasjon i original med "bekreftet kopi" av legitimasjon. Etter Kredittilsynets oppfatning bør det kun være legitimasjon i original som godkjennes. Økende tendens til forfalskning og misbruk av legitimasjonsdokument tilsier at det kun er originallegitimasjon som bør aksepteres.

    I den tidligere hvitvaskingsforskriften (7. februar 1994 nr. 118) § 3 første ledd var det et alternativ i særlige tilfelle for at "postfunksjonær, herunder landpostbud, politiet, advokat, statsautorisert eller registrert revisor ", samt rapporteringspliktige foretak, kan foreta slik bekreftelse av kopi. I praksis er det ingen av de forannevnte personer, eller instanser som bekrefter legitimasjon.

    Det kan tenkes situasjoner hvor en person må sende passet sitt til en ambassade eller konsulat for å søke om visum, eller legitimasjonsdokumentet er fysisk ødelagt, hvor det kan være behov for å operere med en kopi. Disse situasjonene er likevel så vidt begrensede at det ikke tilsier at "bekreftet kopi" kan likestilles med original i forskriften.

    4.3

    I forskriftsutkastet § 3 nr. 2 annen setning må bokstav "e" i "fysiske person" tas ut.

    4.4

    I forskriftsutkastet § 8 nr. 5 og 6 brukes terminologien "grupperte konti". Begrepet er nytt i norsk hvitvaskingslovgivning og er ikke definert lovteksten. Etter tilsynets oppfatning bør lovteksten inneholde en forklaring av dette begrepet.

    4.5 

    I forskriftsutkastet § 8 punkt 6. litra c) fremgår at "Plikten til å foreta kundekontroll etter hvitvaskingsloven § 5 første ledd nr. 1, 2 ---". Kredittilsynet antar at paragrafhenvisningen her skal være § 6 nr. I og 2.

    4.6

    I forskriftsutkastet § 9 vises det gjennomgående til § 10 osv. Dette er en feilaktig paragrafhenvisning. Henvisningen skal være til § 14 annet ledd.

    4-7

    I forskriftutkastet § 13 bør det også inkluderes dato for kundekontrollen. Dette er helt vesentlig informasjon i forbindelse med en kundekontroll. Manglende dato vil også vanskeliggjøre sletteplikten i hvitvaskingsregelverket. I forskriftsbestemmelsen bør også navnet til den personen, som har gjennomført kontrollen, gjengis i bokstavert form.

    4.8

    I forskriftsutkastet § 15 annen linje er det falt ut et "og". Formuleringen skal være "fra rapporteringspliktige, og hindre --- ".


     

    kt.pdf
    Til toppen