4 Kundekontroll og løpende oppfølging

4.1 Innledning

Tredje hvitvaskingsdirektiv kapittel 2 inneholder regler om kontrolltiltak som skal utføres overfor kunder («customer due diligence»). Sammenlignet med første og annet hvitvaskingsdirektiv, er kravene til tiltak utvidet og presisert. Direktivets regler bygger på FATFs 40 anbefalinger, som ble revidert i 2003. Med noen unntak tilsvarer reglene om kontrolltiltak i direktivet de krav som stilles i FATF-anbefalingene.

Direktivets regler bygger på det såkalte «kjenn-din-kunde»-prinsippet, som internasjonalt anses for å være et av de viktigste virkemidler for å hindre at det finansielle system misbrukes til hvitvasking eller terrorfinansiering. Det er av vesentlig betydning at de aktuelle institusjoner og personer kjenner sine kunder for å kunne oppdage transaksjoner som kan innebære hvitvasking eller terrorfinansiering. Et sentralt utslag av «kjenn-din-kunde»-prinsippet er direktivets krav om at institusjoner og personer skal identifisere kunder, og bekrefte kundenes identitet.

Krav om identitetskontroll av kunder ble innført ved første hvitvaskingsdirektiv. Etter dette direktivet skulle nærmere angitte institusjoner og personer foreta identifikasjon av kunder ved etablering av kundeforhold, ved transaksjoner over et visst beløp og ved mistanke om hvitvasking av penger. Kravene ble videreført og noe utvidet ved annet hvitvaskingsdirektiv. Tredje hvitvaskingsdirektiv viderefører og presiserer kravene til kundeidentifikasjon ytterligere.

Tredje hvitvaskingsdirektiv medfører imidlertid krav om flere tiltak enn kontroll av kundens identitet. Et av disse er kravet om identitetskontroll av såkalt «beneficial owner», som i det følgende betegnes som «reelle rettighetshavere», jf. punkt 4.4.3.5. Reelle rettighetshavere vil si fysiske personer som eier eller kontrollerer kunden eller som transaksjonen gjennomføres på vegne av. Direktivet har som utgangspunkt at slike fysiske personer vil ha den bakenforliggende økonomiske interesse i kundeforholdet eller transaksjonen, og kravet om identitetskontroll av reelle rettighetshavere er således en videreføring av «kjenn-din-kunde»-prinsippet.

En viktig nyhet i tredje hvitvaskingsdirektiv er plikten til å foreta løpende oppfølging («ongoing monitoring») av etablerte kundeforhold. Dette kontrolltiltaket er i direktivet fremstilt som en del av «customer due diligence», men skiller seg fra de øvrige tiltak i en slik grad at utvalget velger å behandle det separat. Det foretas således et skille mellom kundekontroll, jf. punkt 4.3 til 4.9, og løpende oppfølging, jf. punkt 4.10.

En annen viktig nyhet i tredje hvitvaskingsdirektiv er at det uttrykkelig fastslås at kundekontroll og løpende oppfølging kan utføres med utgangspunkt i en risikobasert vurdering. Institusjoner og personer som omfattes av direktivet skal utføre kontrolltiltak som står i forhold til risikoen for hvitvasking og terrorfinansiering. Direktivet bygger på en forutsetning om at risikoen for hvitvasking er forskjellig, avhengig av blant annet kundetype og virksomhetsområde, og at risikoen vil kunne endre seg over tid. Ressurser bør følgelig benyttes der behovet for tiltak er størst. Prinsippet om risikobasert kundekontroll og løpende oppfølging viser seg også ved at direktivet sondrer mellom tre ulike nivåer; alminnelig kundekontroll og løpende oppfølging («customer due diligence»), tilfeller hvor det er krav om forsterkede kontrolltiltak («enhanced customer due diligence») og tilfeller hvor det anses tilstrekkelig med forenklede kontrolltiltak («simplified customer due diligence»). Sistnevnte nivå medfører i realiteten unntak fra plikten til å foreta kundekontroll. Direktivet angir enkelte situasjoner hvor det skal anvendes skjerpede kontrolltiltak, men fastslår for øvrig et generelt krav om skjerpede tiltak i situasjoner som kan representere høy risiko for hvitvasking eller terrorfinansiering. Derimot er de situasjoner hvor det kan anvendes forenklede kontrolltiltak uttømmende angitt i direktivet.

Tredje hvitvaskingsdirektiv åpner forøvrig for at bekreftelse av kundens og reelle rettighetshaveres identitet kan utsettes til etter etablering av kundeforhold eller utføring av transaksjon. Videre åpnes for at institusjoner og personer som omfattes av direktivet kan legge til grunn kundekontroll som er gjennomført av tredjeparter, og utkontraktere gjennomføring av kundekontroll.

4.2 Risikobasert kundekontroll og løpende oppfølging

4.2.1 EØS-rett

Etter direktivet artikkel 8 nr. 2 første punktum kan institusjoner og personer som omfattes av direktivet avgjøre omfanget av tiltak som skal utføres under «customer due diligence» på grunnlag av en risikovurdering («on a risk-sensitive basis»). Vurderingen knytter seg til risikoen for hvitvasking og terrorfinansiering, og beror på type kunde, kundeforhold, produkt eller transaksjon. Bestemmelsen tilsvarer FATF-anbefaling 5 fjerde ledd siste punktum, og er ny i forhold til de tidligere hvitvaskingsdirektiver. Det skal etter artikkel 8 nr. 2 annet punktum kunne påvises overfor tilsynsmyndighetene at omfanget av tiltakene er passende ut fra risikoen for hvitvasking og terrorfinansiering.

4.2.2 Norsk rett

Identitetskontroll etter hvitvaskingsloven § 5 forutsettes å være den samme for alle kunder, og det legges ikke til rette for relativisering ut fra de konkrete omstendigheter.

4.2.3 Utvalgets vurdering

Prinsippet om risikobasert «customer due diligence» står sentralt i regelverket etter tredje hvitvaskingsdirektiv. Utvalget foreslår på denne bakgrunn at det i hvitvaskingslovens kapittel om kundekontroll og løpende oppfølging inntas en innledende bestemmelse som fremhever prinsippet, jf. lovforslaget § 5 første ledd. Rapporteringspliktige skal selv avgjøre omfanget av de tiltak som skal gjennomføres ved kundekontroll og løpende oppfølging, på grunnlag av en vurdering av risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147a eller 147b.

Hovedmomenter ved risikovurderingen vil være type kunde, kundeforhold, produkt eller transaksjon. Den rapporteringspliktige må foreta en konkret vurdering av hvorledes den enkelte kunde fremstår på bakgrunn av den rapporteringspliktiges kunnskap om kunden. Ved langvarige kundeforhold, vil den rapporteringspliktige ofte oppnå slik kjennskap til kunden at løpende oppfølging og senere kundekontroll vil kunne gjennomføres mer lempelig. Dette kan likevel stille seg annerledes dersom kunden er en juridisk person som gjennomgår vesentlige endringer, for eksempel ved fusjon, utvidelse av virksomhet eller endringer i ledelse eller eierstruktur. Produkter som inngår i kundeforholdet og produkter kunden tilbyr i sin virksomhet må vurderes ut fra i hvilken grad de medfører risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller terrorfinansiering. Ved vurdering av transaksjoner vil størrelse, kompleksitet og grenseoverskridende karakter være vesentlige momenter. Det må også vurderes om kundeforholdet eller transaksjonen i seg selv fremstår med et fornuftig formål.

Ved kontroll av kundens identitet vil utvalgets forslag til regler om registrering av opplysninger og bekreftelse av identitet på grunnlag av gyldig legitimasjon, jf. punkt 4.4.3.1 og 4.4.3.2, overlate lite rom for skjønn ut fra risikovurderinger. Rapporteringspliktige må imidlertid vurdere om kunden er den han gir seg ut for å være i henhold til legitimasjonsdokument. Dersom det er aktuelt å benytte unntaksadgang for plikt til å kreve fremlagt gyldig legitimasjon, i henhold til utvalgets forslag beskrevet under punkt 4.4.3.2, må den rapporteringspliktige foreta en vurdering av sin kunnskap om kundens identitet. Ved kontroll av identiteten til reelle rettighetshavere, jf. punkt 4.4.3.1 og 4.4.3.4, vil rapporteringspliktige i større grad være overlatt til en selvstendig, risikobasert vurdering av omfanget av tiltak.

Rapporteringspliktige skal kunne dokumentere at omfanget av utførte tiltak er passende ut fra risiko, jf. lovforslaget § 5 annet punktum. Dokumentasjonsplikten har sammenheng med plikten til å utarbeide kontroll- og kommunikasjonsrutiner etter lovforslaget § 22, jf. punkt 7.1. Ved kundeforhold eller transaksjoner som etter sin art innebærer større risiko enn det som er normalt for den aktuelle rapporteringspliktiges virksomhet, må det kunne dokumenteres hvilke tiltak som konkret er gjennomført.

4.3 Plikt til å foreta kundekontroll

4.3.1 EØS-rett

Direktivet artikkel 7 angir situasjoner hvor institusjoner og personer omfattet av direktivet skal foreta kundekontroll:

«The institutions and persons covered by this Directive shall apply customer due diligence measures in the following cases:

1. when establishing a business relationship;

2. when carrying out occasional transactions amounting to EUR 15 000 or more, whether the transaction is carried out in a single operation or in several operations which appear to be linked;

3. when there is a suspicion of money laundering or terrorist financing, regardless of any derogation, exemption or threshold;

4. when there are doubts about the veracity or adequacy of previously obtained customer identification data.»

Bestemmelsen tilsvarer FATF-anbefaling 5 annet ledd. I forhold til plikten til å kreve legitimasjon, er artikkel 7 (a) til (c) videreføring av bestemmelser i første hvitvaskingsdirektiv artikkel 3.

I motsetning til de tidligere direktiver inneholder tredje hvitvaskingsdirektiv artikkel 3 (9) en generell definisjon av begrepet «business relationship», som lyder:

«a business, professional or commercial relationship which is connected with the professional activities of the institutions and persons covered by this Directive and which is expected, at the time when the contact is established, to have an element of duration;»

Etter artikkel 10 nr. 1 skal alle kasinokunder identifiseres og deres identitet bekreftes dersom de kjøper eller bytter spillesjetonger til en verdi av minst 2 000 euro. Bestemmelsen tilsvarer FATF-anbefaling 12 a (med det unntak at beløpsgrensen her er 3 000 euro), og er en videreføring av de tidligere direktiver (hvor beløpsgrensen var 1 000 euro). Etter artikkel 10 nr. 2 skal kasinoer som omfattes av statlig tilsyn anses å oppfylle kundekontrollkravene dersom de registrerer, identifiserer og bekrefter identiteten til kunder umiddelbart før eller ved inngangen, uavhengig av hvor stort beløp det kjøpes spillesjetonger for. Også denne bestemmelsen er en videreføring av de tidligere direktiver.

4.3.2 Norsk rett

Etter hvitvaskingsloven § 5 skal rapporteringspliktige kreve gyldig legitimasjon av kunden ved etablering av kundeforhold (første ledd), ved transaksjoner som gjelder 100 000 kroner eller mer for kunder som den rapporteringspliktige ikke har et kundeforhold til (annet ledd) og i alle tilfeller dersom den rapporteringspliktige har mistanke om at transaksjonen har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven §§ 147a eller 147b (tredje ledd).

Hvitvaskingsforskriften § 2 angir visse konkrete tilfeller hvor «kundeforhold» etter hvitvaskingsloven § 5 skal anses etablert.

For forhandlere av gjenstander er det i hvitvaskingsforskriften § 3 presisert at plikt til legitimasjonskontroll inntrer ved «transaksjoner i kontanter på 40.000 norske kroner eller mer, eller et tilsvarende beløp i utenlandsk valuta, dersom det er mistanke om at transaksjonen har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven §§ 147a eller 147b», og «enhver transaksjon i kontanter på 100.000 norske kroner eller mer eller et tilsvarende beløp i utenlandsk valuta». Salg av gjenstander anses etter dette ikke som etablering av kundeforhold.

Plikten til å kreve gyldig legitimasjon gjelder etter hvitvaskingsloven § 5 første ledd annet punktum også den rapporteringspliktiges ansatte.

Etter hvitvaskingsforskriften § 8 fjerde ledd skal opplysninger som fremkommer av legitimasjonsdokumenter «søkes kontrollert» dersom den rapporteringspliktige har grunn til å tro at opplysningene «ikke er korrekte».

4.3.3 Utvalgets vurdering

Hvitvaskingsloven § 5 omhandler situasjoner hvor det skal foretas identitetskontroll. Situasjonene samsvarer langt på vei med de tilfeller hvor de rapporteringspliktige skal gjennomføre kundekontroll i medhold av direktivet artikkel 7. Som det fremgår av punkt 4.4, omfatter imidlertid «customer due diligence» etter direktivet også andre tiltak enn kontroll av kundens identitet. Anvendelsesområdet for reglene om inntreden av plikt til identitetskontroll etter hvitvaskingsloven § 5 må derfor utvides til å omfatte andre kontrolltiltak som nevnt i direktivet artikkel 8 (om innholdet i disse tiltakene, se punkt 4.4). Utvalget foreslår at reglene om inntreden av plikt til å foreta kundekontroll skilles ut som en egen bestemmelse, atskilt fra reglene om hvilke kontrolltiltak som skal gjennomføres, jf. lovforslaget § 6.

I forhold til plikten til å foreta kundekontroll ved mistenkelige transaksjoner, antar utvalget at en slik plikt vil inntre samtidig som plikten til å foreta nærmere undersøkelser som nevnt under punkt 5.2. Utvalget legger til grunn at det i slike tilfeller kun skal foretas kundekontroll av personer som både er direkte involvert i transaksjonen, og som må regnes som kunder av den rapporteringspliktige.

Utover de forhold som etter hvitvaskingsloven § 5 utløser plikt til identitetskontroll, skal kundekontroll etter direktivet også foretas ved tvil om hvorvidt tidligere innhentede opplysninger om kunden er korrekte eller tilstrekkelige. Utvalget foreslår at bestemmelsen om inntreden av plikt til å foreta kundekontroll utvides tilsvarende, jf. lovforslaget § 6 første ledd nr. 4. Hvitvaskingsforskriften § 8 fjerde ledd fremstår etter dette som overflødig, og foreslås ikke videreført.

For forhandlere av gjenstander er reglene om plikt til å foreta identitetskontroll som nevnt presisert i hvitvaskingsforskriften § 3. Ved kontanttransaksjoner over 100 000 kroner har forhandlerne en ubetinget plikt til å foreta identitetskontroll. Ved kontanttransaksjoner mellom 40 000 og 100 000 kroner skal identitetskontroll kun foretas ved mistanke om tilknytning til utbytte av straffbar handling eller forhold som rammes av straffeloven §§ 147a eller 147b. Reglene er etter utvalgets syn unødvendig kompliserte. Videre kan det være uheldig at det i så stor grad overlates til forhandlerne selv å vurdere om transaksjonen fremstår som mistenkelig, og om identitetskontroll derfor bør gjennomføres. Forhandlere vil, ved gjennomføring av identitetskontroll, kommunisere til kunden at transaksjonen anses mistenkelig. Utvalget legger til grunn at kontanttransaksjoner over 40 000 kroner normalt vil fremstå som ekstraordinære. På denne bakgrunn foreslår utvalget at det innføres plikt til å foreta kundekontroll ved enhver transaksjon i kontanter på 40 000 norske kroner eller mer eller et tilsvarende beløp i utenlandsk valuta, jf. lovforslaget § 6 annet ledd. En slik regel vil være enklere å kommunisere til forhandlerne. Videre vil regelen være enklere å etterleve ved at forhandlere i forhold til plikten til å foreta kundekontroll ikke trenger å foreta noen vurdering av om transaksjonen fremstår som mistenkelig. Beløpsgrensen faller for øvrig sammen med grensen for kunde- og leverandørspesifikasjon ved kontanttransaksjoner etter bokføringsforskriften § 3 – 1.

Både direktivet og hvitvaskingsloven legger til grunn at gjennomføring av transaksjoner for en kunde ikke nødvendigvis vil medføre etablering av et kundeforhold («business relationship»). I dansk hvitvaskingslov skilles det således mellom «faste kundeforhold» og «lejlighedskunder». Det kan virke noe forvirrende at en «kunde» etter norsk rett ikke nødvendigvis har etablert et «kundeforhold». I den tidligere finansvl. § 2 – 17 og den nå opphevde forskrift 7. februar 1994 nr. 118 om legitimasjonskontroll og tiltak mot hvitvasking av penger ble begrepet «forretningsforhold» benyttet. Ved vedtakelse av hvitvaskingsloven ble det ansett hensiktsmessig å erstatte dette med «kundeforhold», jf. Ot.prp. nr. 72 (2002 – 2003) punkt 7.1.5. Utvalget er enig i at det ikke er heldig å benytte «forretningsforhold». Språklig omfatter begrepet forhold til andre enn det som naturlig kan regnes som den rapporteringspliktiges kundegruppe. Videre ledes tanken hen mot en forretningsmessig forbindelse mellom profesjonelle parter. Utvalget anser begrepet «kundeforhold» for innarbeidet, og foreslår at dette videreføres.

Som for de nåværende regler om identitetskontroll vil «kundeforhold» være et sentralt koblingsord, og benyttes i stor utstrekning i regelverket om kundekontroll. Direktivets definisjon av «business relationship» legger avgjørende vekt på at forholdet forventes å ha en viss varighet. Etter utvalgets oppfatning må et kundeforhold i visse tilfeller kunne sies å ha oppstått selv om forholdet er ment å være kortvarig. Eksempelvis vil opprettelse av bankkonto i alle tilfeller anses som etablering av kundeforhold, selv om det ved opprettelsen er klart at kontoen kun vil bli benyttet i et enkeltstående tilfelle, og den vil avsluttes etter kort tid. Utvalget foreslår på denne bakgrunn at det ikke lovfestes en definisjon av begrepet «kundeforhold», men at tolkingen av begrepet baseres på en konkret vurdering hvor blant annet forholdets varighet, art og formål vil være momenter av betydning. Det foreslås uttrykkelig forskriftshjemmel for nærmere regler om når kundeforhold skal anses etablert, jf. lovforslaget § 6 fjerde ledd. Hvitvaskingsforskriftens definisjoner av begrepet for visse konkrete tilfeller foreslås videreført, jf. forslag til forskrift § 2.

Bestemmelsen om at beløpsgrensen for transaksjoner skal beregnes samlet for transaksjoner som gjennomføres i flere operasjoner som ser ut til å kunne ha sammenheng med hverandre, samt en plikt til å gjennomføre tiltak så snart den rapporteringspliktige blir kjent med at beløpsgrensen er oversteget, foreslås videreført, jf. lovforslaget § 6 tredje ledd.

Hvitvaskingsloven § 5 første ledd annet punktum, om at plikten til å kreve gyldig legitimasjon også gjelder for den rapporteringspliktiges ansatte, er etter utvalgets oppfatning overflødig og foreslås ikke videreført, jf. punkt 8.2.

Det er på det nåværende tidspunkt ikke tillatt med kasinoer i Norge, og utvalget foreslår ikke bestemmelser til gjennomføring av direktivet artikkel 10.

4.4 Gjennomføring av kundekontroll

4.4.1 EØS-rett

Tredje hvitvaskingsdirektiv artikkel 8 nr. 1 angir hvilke tiltak kundekontrollen skal omfatte:

«Customer due diligence measures shall comprise:

1. identifying the customer and verifying the customer’s identity on the basis of documents, data or information obtained from a reliable and independent source;

2. identifying, where applicable, the beneficial owner and taking risk-based and adequate measures to verify his identity so that the institution or person covered by this Directive is satisfied that it knows who the beneficial owner is, including, as regards legal persons, trusts and similar legal arrangements, taking risk-based and adequate measures to understand the ownership and control structure of the customer;

3. obtaining information on the purpose and intended nature of the business relationship;

4. conducting ongoing monitoring of the business relationship including scrutiny of transactions undertaken throughout the course of that relationship to ensure that the transactions being conducted are consistent with the institution’s or person’s knowledge of the customer, the business and risk profile, including, where necessary, the source of funds and ensuring that the documents, data or information held are kept up-to-date.»

Utvalget behandler plikt til å foreta løpende oppfølging som nevnt i artikkel 8 nr. 1 (d) («ongoing monitoring») separat, atskilt fra plikt til å foreta kundekontroll med tiltak som nevnt i artikkel 8 nr. 1 (a) til (c), jf. punkt 4.10.

Artikkel 8 nr. 1 tilsvarer FATF-anbefaling 5 tredje ledd a) til d). I en tolkingsuttalelse («Interpretative Note») til anbefalingen uttaler FATF at ved kundekontroll av juridiske personer etter a) og b), skal det bekreftes at den fysiske personen som handler på den juridiske personens vegne har kompetanse til dette. Videre skal identiteten til den fysiske personen bekreftes.

Artikkel 8 nr. 1 (a) viderefører i det vesentligste kravet om identitetskontroll etter de foregående hvitvaskingsdirektiver. Kravene til kontrolltiltak etter artikkel 8 nr. 1 (b) til (d) er derimot nye.

Kravet om identifikasjon av kunden («identifying») etter artikkel 8 nr. 1 (a), må i noen grad ses i sammenheng med forbudet mot at «credit and financial institutions» fører anonyme konti eller bankbøker etter artikkel 6. Medlemsstatene skal også kreve at eiere og begunstigede av eksisterende anonyme konti eller anonyme bankbøker gjennomgår kundekontroll snarest mulig, og senest innen slike konti eller bankbøker benyttes. Bestemmelsen tilsvarer FATF-anbefaling 5 syvende ledd, og er ny i forhold til de foregående hvitvaskingsdirektiver.

Uttrykket «beneficial owner» (reelle rettighetshavere) i artikkel 8 nr. 1 (b), er i artikkel 3 (6) definert på følgende måte:

«the natural person(s) who ultimately owns or controls the customer and/or the natural person on whose behalf a transaction or activity is being conducted. The beneficial owner shall at least include:

1. in the case of corporate entities:

   1. the natural person(s) who ultimately owns or controls a legal entity through direct or indirect ownership or control over a sufficient percentage of the shares or voting rights in that legal entity, including through bearer share holdings, other than a company listed on a regulated market that is subject to disclosure requirements consistent with Community legislation or subject to equivalent international standards; a percentage of 25  % plus one share shall be deemed sufficient to meet this criterion;

   2. the natural person(s) who otherwise exercises control over the management of a legal entity:

2. in the case of legal entities, such as foundations, and legal arrangements, such as trusts, which administer and distribute funds:

   1. where the future beneficiaries have already been determined, the natural person(s) who is the beneficiary of 25  % or more of the property of a legal arrangement or entity;

   2. where the individuals that benefit from the legal arrangement or entity have yet to be determined, the class of persons in whose main interest the legal arrangement or entity is set up or operates;

   3. the natural person(s) who exercises control over 25  % or more of the property of a legal arrangement or entity;»

Definisjonen av «beneficial owner» rekker videre enn uttrykk som benyttes der en person har flertall av stemmer eller eierandeler, jf. for eksempel uttrykket «bestemmende innflytelse» i lov 13. juni 1997 nr. 44 om aksjeselskaper (aksjeloven) § 1 – 3.

4.4.2 Norsk rett

Som nevnt under punkt 4.3.2, inneholder hvitvaskingsloven § 5 krav om identifikasjon av kunden ved etablering av kundeforhold, ved transaksjoner på 100 000 kroner eller mer, og ved mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven §§ 147a eller 147b. Identifikasjon skal foretas på grunnlag av «gyldig legitimasjon». Som gyldig legitimasjon regnes alltid «fysisk legitimasjon». Dette begrepet ble innført til erstatning for «skriftlig legitimasjon» ved endringslov 17. juni 2005 nr. 104, for å i større grad markere et skille mot elektronisk legitimasjon. Hvitvaskingsforskriften §§ 4 og 6 presiserer hva som regnes som skriftlig legitimasjon (fysisk legitimasjon). I Ot.prp. nr. 72 (2002 – 2003) punkt 7.1.5 utelukkes ikke at også elektronisk legitimasjon vil kunne være gyldig legitimasjon. Hvitvaskingsforskriften § 8 første ledd gir regler om kontroll av legitimasjonsdokumenter.

Etter hvitvaskingsloven § 5 fjerde ledd skal identitetskontroll som hovedregel skje ved kundens personlige fremmøte hos den rapporteringspliktige. Unntak kan gjøres dersom personlig fremmøte er til vesentlig ulempe for kunden eller ikke er praktisk gjennomførbart, såfremt betryggende identitetskontroll likevel kan finne sted.

Etter hvitvaskingsforskriften § 5 kan det under gitte omstendigheter etableres kundeforhold eller gjennomføres transaksjon selv om kunden ikke kan fremlegge fysisk legitimasjon. Bestemmelsen knytter seg kun til identitetskontroll for fysiske personer.

Rapporteringspliktige skal etter hvitvaskingsloven § 6 første ledd registrere visse opplysninger om kunder, herunder fullt navn eller firma, personnummer, organisasjonsnummer, D-nummer eller annen entydig identitetskode og fast adresse. Dersom den rapporteringspliktige vet eller kan ha grunn til å tro at kunden handler på vegne av en annen eller at en annen eier formuesgodet det handles for, skal slike opplysninger etter hvitvaskingsloven § 6 fjerde ledd bringes på det rene og registreres også om den som det handles på vegne av. Plikten til å registrere kundens faste adresse gjelder etter hvitvaskingsloven § 6 femte ledd – inntatt ved endringslov 15. juni 2007 nr. 30 – ikke for bank dersom Folkeregisteret har vedtatt at kundens adresse skal være fortrolig eller strengt fortrolig.

Hvitvaskingsloven inneholder ikke krav om identitetskontroll av de fysiske personer som eier eller kontrollerer en kunde som er en juridisk person. Videre oppstilles ikke krav om innhenting av opplysninger om forretningsforbindelsens formål og tilsiktede art eller vedvarende kontroll med forretningsforbindelsen. Det foreligger ikke krav om at rapporteringspliktige skal bekrefte at fysiske personer som handler på juridiske personers vegne har kompetanse til å gjøre dette.

Norsk rett inneholder ikke et uttrykkelig forbud mot anonyme konti eller bankbøker. Kravene om registrering av opplysninger om kunder etter hvitvaskingsloven § 6 første ledd, sett i sammenheng med at opprettelse av konto anses som etablering av kundeforhold etter hvitvaskingsforskriften § 2 første ledd, medfører imidlertid at anonyme konti i praksis ikke kan opprettes. Dette er også lagt til grunn i FATFs evalueringsrapport avsnitt 206. Etter det utvalget har fått opplyst utstedes det ikke lenger bankbøker i Norge, og det eksisterer ikke anonyme konti eller bankbøker fra tidligere.

4.4.3 Utvalgets vurdering

4.4.3.1 Registrering av opplysninger om kunden og reelle rettighetshavere

Direktivet artikkel 8 nr. 1 (a) og (b) og FATF-anbefaling 5 tredje ledd a) og b) skiller mellom identifikasjon («identifying») og bekreftelse av identitet («verifying identity») ved identitetskontroll av kunde og reelle rettighetshavere. Skillet tillegges praktisk betydning ved at bekreftelse av identitet i enkelte tilfeller kan utsettes til etter etablering av kundeforhold eller gjennomføring av transaksjon, jf. punkt 4.5. I de fleste tilfeller vil imidlertid identifikasjon og bekreftelse av identitet foretas samtidig.

Verken direktivet eller FATFs anbefalinger klargjør hvilke konkrete tiltak som omfattes av henholdsvis identifikasjon og bekreftelse av identitet. På bakgrunn av en naturlig språklig forståelse, og direktivets strenge regler om utsatt bekreftelse av identitet, antar utvalget at identifikasjon ikke innebærer et krav om fremleggelse av legitimasjonsdokumenter eller andre bevis for identitet. Relevante opplysninger vil således kunne meddeles den rapporteringspliktige muntlig. Ved bekreftelse av kundens identitet er det derimot etter direktivet et krav om at kunden fremlegger «documents, data or information obtained from a reliable and independent source» for bekreftelse av opplysningene, og at tilhørigheten mellom kunden og de fremlagte bevis bekreftes. Tilsvarende vil identifikasjon av reelle rettighetshavere kunne baseres på opplysninger som meddeles muntlig, mens bekreftelse av identitet etter omstendighetene vil kreve ytterligere «risk-based and adequate measures».

I forhold til hvilke opplysninger som må meddeles ved identifikasjon av kunde og reelle rettighetshavere, må det avgjørende være hvorvidt opplysningene er egnet til å fremme en entydig identitet.

Utvalget antar registrering av opplysninger som nevnt i hvitvaskingsloven § 6 første ledd nr. 1 til 3 vil være tilstrekkelig for å tilfredsstille kravet om identifikasjon av kunden, og foreslår at regelen videreføres, jf. lovforslaget § 8 første ledd.

Unntaksregelen etter hvitvaskingsloven § 6 femte ledd, hvoretter plikten til å registrere kundens faste adresse ikke gjelder der Folkeregisteret har vedtatt at kundens adresse skal være fortrolig, foreslås utvidet til å gjelde for samtlige rapporteringspliktige, jf. lovforslaget § 8 annet ledd. Regelen har sin bakgrunn i praktiske problemer oppstått i forhold til bank og nettbank, jf. Ot.prp. nr. 42 (2006 – 2007) punkt 4.5. Utvalget slutter seg til begrunnelsen som er gitt i proposisjonen, men kan ikke se hensyn som tilsier at unntaket ikke skal gjelde for samtlige rapporteringspliktige.

I forhold til fysiske personer som ikke har fått tildelt norsk fødselsnummer eller D-nummer, foreslår utvalget at det i stedet for slikt nummer skal registreres fødselsdato, fødested, kjønn og statsborgerskap, jf. lovforslaget § 8 tredje ledd. Dersom den rapporteringspliktige er kjent med at kunden har to statsborgerskap, skal dette registreres. Regelen bygger på kravene til legitimasjonsdokument for slike personer etter hvitvaskingsforskriften § 4 annet ledd.

I forhold til juridiske personer som ikke er registrert i offentlig register, foreslår utvalget at det skal registreres enkelte tilleggsopplysninger, jf. nærmere under punkt 4.4.3.3.

For identifikasjon av reelle rettighetshavere, foreslår utvalget at det stilles krav om registrering av opplysninger som «entydig identifiserer» disse, jf. lovforslaget § 8 femte ledd. Reelle rettighetshavere vil være en så uensartet gruppe, at det ikke anses hensiktsmessig å konkretisere hvilke opplysninger som skal registreres. Det overlates dermed til de rapporteringspliktige å vurdere hvilke opplysninger som er nødvendige i det konkrete tilfelle. Rapporteringspliktige vil her måtte foreta en risikovurdering, jf. punkt 4.2. Den foreslåtte bestemmelsen erstatter blant annet hvitvaskingsloven § 6 fjerde ledd.

En videreføring av registreringsplikten etter hvitvaskingsloven § 6 første ledd nr. 1 til 3 vil tilfredsstille krav om forbud mot anonyme konti og bankbøker etter direktivet og FATFs anbefalinger. Utvalget anser det derfor ikke nødvendig å foreslå egne bestemmelser om forbud mot anonyme konti eller bankbøker.

4.4.3.2 Bekreftelse av kundens identitet

Utvalget foreslår at bekreftelse av kundens identitet knyttes til et krav om «gyldig legitimasjon» og at dette begrepet presiseres i forskrift. Verken direktivet eller FATFs anbefalinger oppstiller vilkår for hvilke typer dokumenter, data og informasjon som godtas som legitimasjon, utover at disse skal være fra en pålitelig og uavhengig kilde. Utvalget foreslår en prinsipiell likestilling mellom elektronisk legitimasjon og fysisk legitimasjon.

Utvalget foreslår i hovedsak videreført reglene i hvitvaskingsforskriften § 4 om hva som anses som fysisk legitimasjon for fysiske personer, med visse presiseringer, jf. forslag til forskrift § 3. Det foreslås at det for pass gjøres unntak fra kravet om navnetrekk. Enkelte nyere pass, blant annet pakistanske, har ikke underskriftsfelt, men plass for fingeravtrykk. Etter utvalgets oppfatning bør det avgjørende for hva som godtas som fysisk legitimasjon i utgangspunktet være om legitimasjonsdokumentet er utstedt av et organ med betryggende kontrollrutiner for utstedelse. Vurderingen av om kunden er den han eller hun gir seg ut for å være, i henhold til fremlagte legitimasjonsdokumenter, vil rapporteringspliktige måtte foreta på selvstendig grunnlag, med utgangspunkt i en risikobasert tilnærming, jf. punkt 4.2. Bekreftelse av navnetrekk på legitimasjonsdokumentet er imidlertid et vesentlig middel for bekreftelse av slik tilhørighet. Det er også meget vanlig at legitimasjonsdokumenter har navnetrekk. På denne bakgrunn ser utvalget ikke grunn til å gjøre unntak for krav om navnetrekk for andre legitimasjonsdokumenter enn pass.

Utvalget vil påpeke at det foreligger særlige problemstillinger i forhold til gyldig legitimasjon for asylsøkere. De fleste asylsøkere ankommer landet uten legitimasjonsdokumenter. Det nåværende asylsøkerbevis er, i motsetning til tidligere legitimasjonskort for asylsøkere, uten navnetrekk. Asylsøkerbeviset inneholder heller ikke fødested. Legitimasjonskortet tilfredsstiller således ikke kravene til gyldig legitimasjon. Utlendingsdirektoratet er gjort oppmerksom på denne mangelen, uten at den er rettet.

Etter hvitvaskingsforskriften § 8 første ledd skal rapporteringspliktige kontrollere kundens legitimasjonsdokumenter, herunder «kontrollere på en betryggende måte at fotografi og navnetrekk som fremgår av legitimasjonsdokumentet stemmer overens med utseendet og navnetrekket til kunden». Utvalget anser det ikke hensiktsmessig å videreføre bestemmelsen. At det skal foretas en kontroll av legitimasjonsdokument, følger naturlig av kravet om bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon. Som nevnt skal kundekontroll foretas på grunnlag av en risikobasert vurdering. Det bør etter utvalgets syn ikke oppstilles et generelt krav om kontroll av både fotografi og navnetrekk.

Under visse omstendigheter vil det fremstå som unødvendig å kreve gyldig legitimasjon ved opprettelse av kundeforhold eller utføring av en transaksjon. Dette gjelder blant annet i mindre lokalsamfunn, hvor den rapporteringspliktige ofte vil ha sikker kjennskap til kundens identitet. Utvalget foreslår et generelt unntak fra plikten til å kreve gyldig legitimasjon der den rapporteringspliktige er sikker på en fysisk persons identitet, jf. lovforslaget § 7 femte ledd. Det påpekes imidlertid at den rapporteringspliktige også ved anvendelse av unntaket vil være underlagt plikt til å foreta en risikovurdering ved gjennomføring av kundekontrollen, jf. punkt 4.2. På bakgrunn av utvalgets forslag, foreslås hvitvaskingsforskriften § 5, om tilfeller hvor kunden ikke kan fremlegge legitimasjonsdokument, ikke videreført.

Reglene i hvitvaskingsforskriften § 6 om hva som anses som fysisk legitimasjon for juridiske personer foreslår utvalget i hovedsak videreført, med visse presiseringer, jf. forslag til forskrift § 5. For juridiske personer som ikke er registrert i et offentlig register, foreslås likevel skjerpede krav til dokumentasjon, jf. punkt 4.4.3.3. Utvalget foreslår videre at det stilles krav om bekreftelse av identitet på grunnlag av gyldig legitimasjon for den som handler på vegne av den juridiske personen, samt at det dokumenteres at vedkommende er berettiget til å representere personen utad, jf. lovforslaget § 7 annet ledd. Dokumentasjon kan for eksempel være firmaattest eller stiftelsesdokument hvor det fremgår at vedkommende er signaturberettiget, eller skriftlig fullmakt fra signaturberettiget.

For tilfeller hvor andre enn kunden er gitt disposisjonsrett over en konto eller et depot, eller er gitt rett til å gjennomføre transaksjonen, foreslår utvalget at vedkommendes identitet skal bekreftes på grunnlag av gyldig legitimasjon, jf. § 7 tredje ledd. Bestemmelsen viderefører hvitvaskingsforskriften §§ 4 tredje ledd og 6 femte ledd.

Etter hvitvaskingsloven § 5 fjerde ledd skal identitetskontroll som hovedregel skje ved kundens personlige fremmøte hos den rapporteringspliktige. Under visse forutsetninger kan det gjøres unntak fra dette kravet, såfremt «betryggende identitetskontroll» likevel kan finne sted. En hovedregel om personlig fremmøte følger ikke uttrykkelig av direktivet eller FATFs anbefalinger.

Et flertall i utvalget, bestående av alle medlemmer unntatt Tannum, påpeker at det i mange tilfeller vil være hensiktsmessig og fremstå som ordinært at opprettelse av kundeforhold eller gjennomføring av transaksjon skjer uten personlig fremmøte. Dette vil i særlig grad gjelde ved bruk av elektronisk legitimasjon, men også i en rekke tilfeller ved bruk av fysisk legitimasjon. Et krav om personlig fremmøte står i dårlig harmoni med prinsippet om risikobasert kundekontroll, jf. punkt 4.2. Det sentrale er at det foretas en «betryggende identitetskontroll», og etter flertallets syn bør det være opp til den rapporteringspliktige selv å vurdere hvorvidt personlig fremmøte er nødvendig for å oppnå dette. Flertallet foreslår at hovedregelen om personlig fremmøte erstattes av et krav om ytterligere dokumentasjon i de tilfeller hvor kunden benytter fysisk legitimasjon og ikke har vært fysisk til stede hos den rapporteringspliktige, jf. lovforslaget § 7 fjerde ledd. Regelen er i tråd med direktivets regler om forsterkede kontrolltiltak, jf. punkt 4.11.3.2.

Et mindretall i utvalget, bestående av medlemmet Tannum, legger til grunn at identitetskontrollen er en svært viktig del av forebyggelsen av hvitvasking, og at denne gjennomføres best ved kundens personlige fremmøte. På samme grunnlag som ved utstedelse av elektronisk legitimasjon bør også bekreftelse av kundens identitet ved fysisk legitimasjon baseres på personlig fremmøte. Mindretallet kan ikke se at det foreligger tilstrekkelige grunner til å fravike gjeldende lovgivnings hovedprinsipp, og foreslår en videreføring av kravet til personlig fremmøte for de tilfeller der kunden benytter fysisk legitimasjon.

Utvalgets forslag til vilkår for bruk av elektronisk legitimasjon omtales under punkt 4.4.3.4.

4.4.3.3 Krav om registrering for etablering av kundeforhold

Etter utvalgets mandat skal det særskilt vurderes «om det bør være et krav at juridiske personer som vil etablere kundeforhold med en finansinstitusjon, skal være registrert i foretaksregisteret, enhetsregisteret eller tilsvarende».

De nåværende krav til legitimasjonsdokumenter for juridiske personer som ikke er registrert i offentlig register fremgår av hvitvaskingsforskriften § 6 fjerde ledd, som lyder:

«Dersom det er på det rene eller sannsynlig at den juridiske personen ikke er registrert i et offentlig register, skal det kreves legitimasjon etter hvitvaskingsloven § 5 og registreres opplysninger etter hvitvaskingsloven § 6, for en fysisk person på vegne av den juridiske personen.»

Det kreves ikke at det innhentes eller dokumenteres opplysninger om den juridiske personen som sådan.

Etter lov 3. juni 1994 nr. 15 om Enhetsregisteret (enhetsregisterloven) § 12 skal registreringsenheter meldes og registreres i Enhetsregisteret senest samtidig med at enheten registreres i tilknyttet register. Tilknyttede registre er etter enhetsregisterloven § 2 bokstav b følgende:

• Arbeidsgiverdelen av Arbeidsgiver/ arbeidstakerregisteret (folketrygdloven § 25 – 1)

• Foretaksregisteret (lov av 21. juni 1985 nr. 78 om registrering av foretak)

• Stiftelsesregisteret (stiftelsesloven § 8)

• Merverdiavgiftsmanntallet (lov av 19. juni 1969 nr. 66 om merverdiavgift kapittel VII)

• Statistisk sentralbyrås Bedrifts- og foretaksregister (lov av 16. juni 1989 nr. 54 om offisiell statistikk og Statistisk sentralbyrå (statistikkloven) § 2 – 2)

• Skattedirektoratets register over etterskuddspliktige skattytere (lov av 21. november 1952 nr. 2 om betaling og innkreving av skatt § 2)

Etter utvalgets oppfatning er det på bakgrunn av Enhetsregisterets generelle art og anvendelse hensiktsmessig at et eventuelt krav om registrering baseres på registrering i dette registeret. Etter forskrift 9. februar 1995 nr. 114 § 8 har «enhetstyper som nevnt i enhetsregisterloven § 4 første ledd» rett til registrering i Enhetsregisteret. Dette omfatter blant annet «juridiske personer», som må antas å omfatte også utenlandske juridiske personer.

Av norske juridiske personer er det etter utvalgets oppfatning kun aksjeselskaper, allmennaksjeselskaper og kommandittselskaper under stiftelse som synes å ha et særlig behov for etablering av kundeforhold med finansinstitusjoner uten å være registrert i Enhetsregisteret. For slike selskaper er det et krav at innskudd er innbetalt til selskapet før selskapet meldes til Foretaksregisteret, jf. lov 13. juni 1997 nr. 44 om aksjeselskaper § 2 – 18 annet ledd, lov 13. juni 1997 nr. 45 om allmennaksjeselskaper § 2 – 18 annet ledd og lov 21. juni. 1985 nr. 83 om ansvarlige selskaper og kommandittselskaper § 3 – 5 fjerde ledd. I praksis foretas normalt registrering av slike selskaper i Enhetsregisteret samtidig med registreringen i Foretaksregisteret. Et krav om registrering i Enhetsregisteret for opprettelse av konto for innskudd vil medføre at nyregistrering av slike selskaper må foretas i to operasjoner, først registrering i Enhetsregisteret etter stiftelsen og deretter registrering i Foretaksregisteret etter innbetaling av innskudd.

Av øvrige norske juridiske personer er det særlig foreninger som i praksis ønsker å etablere kundeforhold med finansinstitusjoner uten å være registrert i Enhetsregisteret.

Utvalget har fått opplyst at det forekommer relativt sjelden at utenlandske juridiske personer som ikke er registrert i et offentlig register ønsker å etablere kundeforhold med finansinstitusjoner.

Så langt utvalget kjenner til, praktiserer norske kredittinstitusjoner i stor grad rutiner som går videre enn det som kreves etter hvitvaskingsforskriften § 6 fjerde ledd ved etablering av kundeforhold til uregistrerte enheter. For selskaper under stiftelse opprettes normalt en særskilt konto under konstruert kundenummer, med merknad «under registrering» eller lignende. Ofte kreves at det fremlegges stiftelsesdokument, i bekreftet kopi eller original. For foreninger kreves normalt at foreningen registreres i Enhetsregisteret før kundeforhold etableres eller at kontoen registreres med en fysisk person som direkte kunde.

Utskrift fra Enhetsregisteret er etter hvitvaskingsforskriften § 6 annet ledd akseptert som legitimasjonsdokument, forutsatt at utskriften ikke er eldre enn tre måneder. Utvalget foreslår å videreføre denne regelen. Et alternativ til krav om registrering kan på denne bakgrunn være at legitimasjonskontrollen som gjennomføres av finansinstitusjoner for uregistrerte juridiske personer samsvarer med kontrollnivået ved førstegangsregistrering i Enhetsregisteret. Etter enhetsregisterloven § 5 annet ledd må følgende opplysninger meldes ved registrering i Enhetsregisteret:

• Enhetens foretaksnavn eller navn

• Enhetens adresse

• Organisasjonsform

• Formål (art/bransje)

• Stiftelsestidspunktet

• Daglig leder, forretningsfører, innehaver eller tilsvarende kontaktperson; dersom dette er en juridisk person, må det i tillegg oppgis en fysisk person som kontaktperson

I enhetsregisterloven § 6 angis ytterligere opplysninger som skal meldes om de finnes, blant annet deltakere med ubegrenset ansvar, sameiere, styremedlemmer, signatur og prokura. Etter enhetsregisterloven § 8 kreves dessuten skriftlig erklæring fra daglig leder, forretningsfører, innehaver eller tilsvarende kontaktperson om at de opplysninger som meldes er riktige. Videre skal det fremlegges stiftelsesdokument dersom det finnes, og ellers annen dokumentasjon for at enheten eksisterer. Etter det utvalget har fått opplyst stiller Enhetsregisteret krav om at foreninger fremlegger stiftelsesdokument og vedtekter som dokumentasjon på at foreningen er en juridisk person.

Utvalget kan ikke se særskilte hensyn som favoriserer en registreringsplikt fremfor utvidede plikter til identitetskontroll for kunder som ikke er registrert i offentlig register. På bakgrunn av de rutiner som allerede synes å være etablert blant kredittinstitusjoner, antar utvalget at utvidede plikter ikke vil fremstå som særlig byrdefulle. En utvidelse av finansinstitusjoners plikter vil lettere la seg gjennomføre dersom den ikke medfører behov for endringer i regelverk om registrering.

Utvalget foreslår på denne bakgrunn at det ikke innføres registreringsplikt, men at kravene til registrering av opplysninger og bekreftelse av identitet skjerpes for kunder som ikke er registrert i offentlig register. Utvalget foreslår at det skal registreres opplysninger om kunden som nevnt i enhetsregisterloven § 5 annet ledd, med unntak av opplysninger om enhetens formål, jf. lovforslaget § 8 fjerde ledd. Utover de opplysninger som i alminnelighet skal registreres, jf. punkt 4.4.3.1, omfatter dette organisasjonsform, stiftelsestidspunkt og kontaktperson. Opplysninger som nevnt i enhetsregisterloven § 6 er etter utvalgets oppfatning i liten grad egnet til å bidra til ytterligere identifikasjon av den juridiske person, og har større betydning for identitetskontroll av signaturberettigede og reelle rettighetshavere, jf. punkt 4.4.3.2 og 4.4.3.5. Ved bekreftelse av kundens identitet foreslås at det skal kreves dokumentasjon for at den juridiske personen eksisterer, jf. forslag til forskrift § 5 fjerde ledd nr. 1. For foreninger vil dette, i samsvar med Enhetsregisterets praksis, normalt innebære at stiftelsesdokument og vedtekter må fremlegges. Videre foreslås at det skal kreves skriftlig erklæring fra kontaktperson om at de registrerte opplysningene er riktige, og gyldig legitimasjon for vedkommende, jf. forslag til forskrift § 5 fjerde ledd nr. 2.

For en rekke nyetablerte juridiske personer vil det foreligge frist for registrering i Foretaksregisteret, jf. foretaksregisterloven § 4 – 1 første ledd. Utvalget foreslår at det skal kreves fremlagt firmaattest eller utskrift fra enhetsregisteret innen to uker etter utløpet av registreringsplikten for de juridiske personer som omfattes av bestemmelsen, jf. forslag til forskrift § 6. For øvrige juridiske personer foreslår utvalget at det skal kreves fremlagt firmaattest, utskrift fra enhetsregisteret eller dokumentasjon på registrering i annet offentlig register, innen seks måneder fra etablering av kundeforholdet. Dersom kravet ikke etterkommes, skal den rapporteringspliktige avvikle kundeforholdet. Plikt til avvikling av kundeforhold foreslås imidlertid bare å gjelde kundeforhold som er etablert etter forskriftens ikrafttredelse, jf. forslag til forskrift § 17 tredje ledd.

4.4.3.4 Elektronisk legitimasjon

Etter utvalgets mandat skal det særskilt vurderes og foreslås regler «som legger til rette for elektronisk kundeidentifikasjon innenfor rammene av internasjonale forpliktelser og anbefalinger».

Verken tredje hvitvaskingsdirektiv eller FATFs anbefalinger inneholder særlige regler eller retningslinjer for elektronisk bekreftelse av kundens identitet. Utgangspunktet vil være en vurdering ut fra de alminnelige krav i direktivets artikkel 8 nr. 1 (a) om at bekreftelse av identitet baseres på dokumenter, data eller informasjon fra en pålitelig og uavhengig kilde. Som for fysisk legitimasjon er det viktig at det stilles strenge krav til sikker autentisering ved elektronisk kommunikasjon, hvilket i sin tur forutsetter at utstedere av elektronisk legitimasjon selv har foretatt en betryggende identitetskontroll ved selve utstedelsen.

Elektronisk signatur er den generelle betegnelse på metoder som kan benyttes til å signere digital informasjon. Rammebetingelser for elektronisk signatur er regulert i lov 15. juni 2001 nr. 81 om elektronisk signatur (esignaturloven), som gjennomfører direktiv 1999/93/EF. Esignaturloven regulerer i særlig grad utstedelse av kvalifiserte sertifikater, for bruk ved såkalt digital signatur. Ved digital signatur benyttes et elektronisk nøkkelpar, med en offentlig og en privat nøkkel, og et sertifikat hvor undertegners identitet blir knyttet til nøkkelparet. Når avsenderen av en melding signerer meldingen med sin private nøkkel, vil mottakeren bare kunne få bekreftet identiteten til avsenderen ved hjelp av den offentlige nøkkelen. Den private nøkkelen kan lagres på for eksempel et plastkort med en datachip (smartkort). Den vanlige tekniske løsningen for bruk av smartkort er at kortet settes inn i en kortleser og at det tastes en personlig kode. I stedet for personlig kode kan man antakelig i fremtiden benytte seg av fingeravtrykk eller andre biometriske kjennetegn.

Et sertifikat knytter som nevnt undertegnerens identitet til nøkkelparet. Sertifikatutstederen er formelt en tredjepart i forholdet mellom undertegner og mottaker. Graden av tillit mottakeren kan ha til sertifikatet, og dermed den digitale signaturen, vil blant annet avhenge av kvaliteten på de rutiner som sertifikatutstederen benytter ved utstedelse og senere håndtering av sertifikatene (sertifikatets sikkerhetsnivå). For utstedelse av såkalte kvalifiserte sertifikater stilles det etter forskrift 15. juni 2001 nr. 611 om krav til utsteder av kvalifiserte sertifikater mv. § 7 krav om identifikasjon av undertegner ved personlig fremmøte. I forbindelse med elektronisk kommunikasjon med og i det offentlige er det utarbeidet «Kravspesifikasjon for PKI i offentlig sektor» (Kravspesifikasjonen), hvor det defineres tre sertifikatklasser – «Person-Høyt» og «Person-Standard» for fysiske personer samt «Virksomhet» for juridiske personer.

For en nærmere redegjørelse for digital signatur og sertifikater, vises til Ot.prp. nr. 82 (1999 – 2000) punkt 3.1 til 3.3.

Ved vedtak 16. juni 2003 anmodet Stortinget om at Regjeringen fremmer forslag for å sidestille skriftlig og elektronisk legitimasjon ved identitetskontroll etter hvitvaskingsloven. Vedtaket ble fulgt opp ved Nærings- og handelsdepartementets høringsbrev 9. mars 2004, hvor det uttales:

«Departementet tar sikte på å få gjennomført sidestillingen på følgende måte:

• Det tilføyes en forskriftshjemmel i lov om elektronisk signatur som åpner for at det kan etableres frivillige sertifiserings- og godkjenningsordninger.

• Med hjemmel i denne bestemmelsen etablerer departementet en frivillig sertifiseringsordning, der utstedere av kvalifiserte sertifikater kan bli sertifisert i henhold til detaljerte tilleggskrav ved utstedelse av sine sertifikater. Disse kravene skal tilsvare de legitimasjonskrav som stilles i hvitvaskingsregelverket.

• Hvitvaskingsforskriften endres slik at «sertifiserte kvalifiserte sertifikater» kan aksepteres som gyldig legitimasjon etter hvitvaskingsloven.

I høringsnotatet foreslås endringer for å følge opp gjennomføringen av første kulepunkt ovenfor.»

På bakgrunn av høringsbrevet ble det ved endringslov 17. juni 2005 nr. 104 vedtatt ny § 16 a i esignaturloven, som gir forskriftshjemmel for innføring av frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordinger. Med hjemmel i bestemmelsen er det vedtatt forskrift 21. november 2005 nr. 1296 om frivillige selvdeklarasjonsordninger for sertifikatutstedere. Etter det utvalget har fått opplyst, ble en selvdeklarasjonsordning valgt blant annet fordi en sertifiseringsordning ble ansett som for omfattende og byrdefull.

Etter utvalgets oppfatning er det ikke hensiktsmessig at det opprettes ordninger for elektronisk identifikasjon av juridiske personer. Etter lovforslaget § 7 annet ledd skal det dokumenteres at en fysisk person som handler på vegne av en juridisk person er berettiget til å representere denne utad, jf. punkt 4.4.3.2. Dokumentasjon som fremlegges for dette formålet, for eksempel firmaattest eller stiftelsesdokument, vil normalt i seg selv identifisere den juridiske personen og gjøre elektronisk identifikasjon overflødig. Videre vil det i praksis kunne oppstå atskillig usikkerhet i forhold til hvilke personer som har tilgang til nøkler for elektronisk identifikasjon av juridiske personer og overgang av slike nøkler.

Sertifikater som benyttes ved bekreftelse av identitet for fysiske personer bør etter utvalgets oppfatning ha sikkerhetsnivå tilsvarende nivået «Person-Høyt» i Kravspesifikasjonen. Følgende krav bør være oppfylt:

• Sertifikatet er et kvalifisert sertifikat, utstedt ved undertegnerens personlige fremmøte hos sertifikatutsteder eller representant for denne, med mindre undertegner allerede er identifisert ved personlig fremmøte gjennom eksisterende kundeforhold

• Undertegneren av sertifikatet fremviser fysisk legitimasjon som oppfyller kravene til gyldig legitimasjon etter hvitvaskingsforskriften ved utstedelse av sertifikatet

• Tilgang til privat nøkkel er basert på to-faktor autentisering hvor den ene faktoren er noe brukeren er i fysisk besittelse av (for eksempel et plastkort med datachip)

• Sertifikatet utstyres med undertegnerens fødselsnummer, D-nummer eller annen entydig identitetskode

Etter utvalgets syn vil det være uheldig dersom det ved forskrift henvises videre til Kravspesifikasjonen. Kravspesifikasjonen har i seg selv ikke status som forskrift, og er primært utarbeidet med det formål å skulle benyttes i offentlig sektor. På denne bakgrunn foreslår utvalget at krav til sertifikater som kan benyttes ved bekreftelse av identitet fremgår uttrykkelig av hvitvaskingsforskriften, og ikke ved henvisning til Kravspesifikasjonen, jf. forslag til forskrift § 4.

Utstedere av sertifikater som benyttes ved bekreftelse av identitet etter hvitvaskingsloven bør etter utvalgets syn være sertifiserte. Utvalget anser ikke en selvdeklareringsordning som tilstrekkelig for å ivareta det sikkerhetsnivå som må kreves. Det bør på denne bakgrunn vedtas forskrift om frivillig sertifiseringsordning i medhold av esignaturloven § 16 a, hvoretter sertifikatutstedere kan bli sertifisert for utstedelse av sertifikater som tilfredsstiller de nevnte kravene. Videre bør det stilles som krav for sertifisering at sertifikatutsteder ved utstedelse av sertifikat gjennomfører tiltak som nevnt i lovforslaget § 7 første ledd nr. 1 og 2, og oppbevarer dokumenter og opplysninger i samsvar med lovforslaget § 21.

Etter utvalgets syn bør det fremgå av sertifikatet at de aktuelle kravene er oppfylt, for eksempel ved at det i forskriften for frivillig sertifiseringsordning fastsettes kjennetegn for sertifikater med tilstrekkelig sikkerhetsnivå.

4.4.3.5 Bekreftelse av identiteten til reelle rettighetshavere

Utvalget foreslår at det inntas plikt til å bekrefte identiteten til «beneficial owner», i samsvar med direktivet, jf. lovforslaget § 7 første ledd nr. 3. Utvalget har vært noe i tvil om hva som vil være en treffende betegnelse på slike personer etter norsk rett. I dansk hvitvaskingslov benyttes uttrykket «reelle ejere», mens det svenske lovforslaget benytter «den verkliga huvudmannen». Utvalget har kommet til at uttrykket «reelle rettighetshavere» vil være tilstrekkelig presist, samtidig som det neppe vil medføre sammenblanding med «bestemmende innflytelse» og andre uttrykk som benyttes der en person har flertall av stemmer eller eierandeler, jf. for eksempel konserndefinisjonen i aksjeloven § 1 – 3. Utvalget foreslår at det i hvitvaskingsloven inntas definisjon av «reelle rettighetshavere» i samsvar med direktivets definisjon av «beneficial owner», jf. lovforslaget § 2 nr. 3. Definisjonen omfatter «fysiske personer som i siste instans eier eller kontrollerer en kunde, og/eller fysiske personer som en transaksjon gjennomføres på vegne av», og angir en rekke konkrete posisjoner som skal anses omfattet. Utvalget har vanskelig for å se at andre posisjoner enn de som konkret angis skal kunne medføre at en person anses som reell rettighetshaver. Uttrykket «i siste instans» er en oversettelse av direktivets uttrykk «ultimately», og refererer til den siste fysiske person i en eventuell kjede av personer som utøver kontroll eller eierskap over kunden.

I forhold til plikten til å foreta identitetskontroll av reelle rettighetshavere, fremgår det av fortalen til tredje hvitvaskingsdirektiv punkt 10 at vedkommende institusjon eller person står fritt til å velge om den vil benytte offentlige registre over reelle rettighetshavere, etterspørre relevante data fra kunden eller skaffe relevant informasjon på annen måte. Omfanget av tiltak som institusjonen eller personen bør iverksette for å oppfylle plikten til identitetskontroll av reelle rettighetshavere, må avgjøres på bakgrunn av en risikovurdering, jf. punkt 4.2. Utvalget foreslår ikke nærmere regler om tiltak som skal gjennomføres for identifikasjon av reelle rettighetshavere og klargjøring av eier- og kontrollstruktur, men foreslår hjemmel for departementet til senere å fastsette slike regler.

Hvilken dokumentasjon som er tilgjengelig for bekreftelse av identiteten til reelle rettighetshavere vil variere, avhengig av typen juridiske person. For aksjeselskaper, ansvarlige selskaper, kommandittselskaper og foreninger foreligger normalt bare aksjeeierbok, selskapsavtale eller foreningsavtale, som i liten grad er egnet til å gi notoritet om de reelle eierforhold. Større grad av notoritet vil normalt kunne oppnås for allmennaksjeselskap eller aksjeselskap med aksjeeierregister i verdipapirregister, i det minste for innehavere av aksjer som ikke er forvalterregistrerte. For stiftelser vil graden av notoritet i forhold til fysiske personer som har fordel av stiftelsen bero på formuleringen av stiftelsens formål i vedtektene. For utenlandske juridiske personer vil tilgangen til informasjon om reelle rettighetshavere i mange tilfeller være meget begrenset. Eksempelvis er forvalterregistrering av aksjer langt mer utbredt i utenlandske selskaper enn i norske.

4.4.3.6 Opplysninger om kundeforholdets formål og tilsiktede art

Utvalget foreslår at det lovfestes et krav om at rapporteringspliktige skal innhente opplysninger om kundeforholdets formål og tilsiktede art, jf. lovforslaget § 7 første ledd nr. 4. Slike opplysninger vil blant annet ha betydning for den risikovurdering rapporteringspliktige foretar ved utføring av øvrige kontrolltiltak.

Kundeforholdets formål og tilsiktede art vil normalt fremkomme ved avtaleinngåelsen mellom den rapporteringspliktige og kunden. I forhold til rapporteringspliktige som tilbyr flere ulike produkter, vil det imidlertid kunne være behov for ytterligere avklaring.

4.5 Tidspunkt for kundekontroll

4.5.1 EØS-rett

Etter tredje hvitvaskingsdirektiv artikkel 9 nr. 1 skal bekreftelse av identitet («verification of the identity») til kunden og reelle rettighetshavere finne sted før etablering av kundeforhold eller utføring av transaksjon. Bestemmelsen tilsvarer FATF-anbefaling 5 femte ledd, med det unntak at det her åpnes for bekreftelse av identitet under («during the course of») etablering av et kundeforhold eller utføring av en transaksjon.

I artikkel 9 nr. 2 til 4 er det oppstilt unntak fra hovedregelen i artikkel 9 nr. 1.

Etter artikkel 9 nr. 2 kan medlemsstatene tillate at bekreftelse av identiteten til kunden og den reelle rettighetshavere fullføres under etablering av kundeforholdet, dersom etablering av kundeforhold er nødvendig for ikke å hindre den alminnelig forretningsdrift, og det er liten risiko for hvitvasking eller terrorfinansiering. Tiltakene skal i så fall gjennomføres snarest mulig etter første kontakt. Bestemmelsen tilsvarer, med visse språklige variasjoner, FATF-anbefaling 5 femte ledd. I tolkingsuttalelse («Interpretative Note») til anbefaling 5 har FATF uttalt at eksempler på tilfeller hvor det er nødvendig å ikke hindre alminnelig forretningsdrift er «non-face to face business», «securities transactions» og i forhold til «life insurance business» på visse vilkår.

Etter artikkel 9 nr. 3 kan medlemsstatene tillate at bekreftelse av identiteten til den begunstigede i henhold til en livsforsikringspolise finner sted etter at forretningsforbindelsen er etablert. I så fall skal kontrollen finne sted ved eller før utbetalingstidspunktet, eller ved eller før det tidspunkt da rettighetshaveren akter å utøve sine rettigheter i henhold til polisen. FATFs anbefalinger inneholder ikke et tilsvarende unntak.

Etter artikkel 9 nr. 4 kan medlemsstatene tillate at det åpnes en bankkonto, forutsatt at det finnes tilstrekkelige garantier for at transaksjonen ikke kan utføres av kunden eller på dennes vegne før kravene til kundekontroll er oppfylt. FATFs anbefalinger inneholder ikke et tilsvarende unntak.

Bestemmelsene i direktivet artikkel 9 om tidspunkt for bekreftelse av identitet er nye i forhold til første og annet hvitvaskingsdirektiv.

4.5.2 Norsk rett

Hvitvaskingsloven skiller ikke mellom identifikasjon av kunden og bekreftelse av kundens identitet. Det oppstilles heller ikke noe eksplisitt krav om at identitetskontroll skal foretas før kundeforhold etableres eller transaksjon utføres, men dette må innfortolkes, jf. blant annet plikten til avvisning av kunden etter hvitvaskingsforskriften § 9. Verken hvitvaskingsloven eller hvitvaskingsforskriften inneholder regler som gir de rapporteringspliktige adgang til å utsette identitetskontroll.

4.5.3 Utvalgets vurdering

Direktivet artikkel 9 nr. 1 legger til grunn at bekreftelse av identitet skal foretas før etablering av kundeforhold eller utføring av transaksjon. Direktivet har ikke uttrykkelige bestemmelser om når øvrige tiltak under kundekontroll – identifikasjon av kunde og reelle rettighetshavere, og innhenting av opplysninger om kundeforholdets formål og tilsiktede art – skal foretas. Identifikasjon må nødvendigvis skje forut for bekreftelse av identitet. På bakgrunn av at reglene om utsatt bekreftelse av identitet ikke er gitt anvendelse for identifikasjon, antar utvalget at identifikasjon alltid skal foretas før etablering av kundeforhold eller utføring av transaksjon. Innhenting av opplysninger om kundeforholdets formål og tilsiktede art vil ha betydning for den risikovurdering rapporteringspliktige skal foreta ved utføring av øvrige kontrolltiltak, jf. punkt 4.2. Utvalget antar på denne bakgrunn at også slik innhenting av opplysninger skal foretas før etablering av kundeforhold eller utføring av transaksjon.

Utvalget foreslår at det lovfestes en hovedregel om at kundekontroll skal gjennomføres før etablering av kundeforhold eller utføring av transaksjon, jf. lovforslaget § 7 sjette ledd. Videre forslås hjemmel for departementet til i forskrift å fastsette unntak fra dette kravet, jf. lovforslaget § 7 syvende ledd. Unntaksreglene etter direktivet artikkel 9 nr. 2 til 4 foreslås gjennomført i forslag til forskrift § 7.

I samsvar med direktivet artikkel 9 nr. 2, foreslår utvalget at det åpnes for utsatt bekreftelse av identitet ved etablering av kundeforhold i tilfeller hvor dette er nødvendig for ikke å hindre alminnelig forretningsdrift, jf. forslag til forskrift § 7 nr. 1. Unntaket er begrenset til tilfeller hvor det er liten risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147a eller 147b, og den rapporteringspliktige har plikt til å foreta bekreftelse av identitet så snart som mulig etter første kontakt.

Videre foreslår utvalget, i samsvar med direktivet artikkel 9 nr. 3, at identifikasjon av den begunstigede etter en livsforsikringspolise kan foretas etter tegning av polisen, jf. forslag til forskrift § 7 nr. 2. Forutsetningen er at bekreftelse av identitet foretas før utbetalingstidspunktet eller det tidspunkt den begunstigede utøver sine rettigheter i henhold til polisen.

Endelig foreslår utvalget, i samsvar med direktivet artikkel 9 nr. 4, at det gis adgang til å åpne bankkonto selv om bekreftelse av identitet ikke er gjennomført, jf. forslag til forskrift § 7 nr. 3. Forutsetningen er at det finnes tilstrekkelige foranstaltninger som sikrer at transaksjoner knyttet til kontoen ikke kan utføres før bekreftelse av identitet er gjennomført. Eksempler på tilfeller hvor unntaksregelen kan ha betydning, er for selskaper under stiftelse, og ved opprettelse av konto i nettbank.

4.6 Følger av at kundekontroll ikke kan gjennomføres

4.6.1 EØS-rett

Etter artikkel 9 nr. 5 første ledd skal en institusjon eller person som ikke er i stand til å foreta kundekontroll «not carry out a transaction through a bank account, establish a business relationship or carry out the transaction, or shall terminate the business relationship». Videre skal vedkommende overveie å underrette om kunden til den finansielle etterretningsenheten. Bestemmelsen tilsvarer FATF-anbefaling 5 sjette ledd, og er ny i forhold til de tidligere direktiver.

Etter artikkel 9 nr. 5 annet ledd kan medlemsstatene gjøre unntak for situasjoner der notarer, andre uavhengige jurister, revisorer, eksterne regnskapsførere og skatterådgivere er i ferd med å bringe på det rene klientens rettslige stilling, eller med å forsvare eller representere klienten under eller i forbindelse med en rettergang, herunder rådgivning om å innlede eller unngå slik rettergang. FATF-anbefaling 5 inneholder ikke et tilsvarende unntak.

4.6.2 Norsk rett

Etter hvitvaskingsforskriften § 9 første punktum skal rapporteringspliktige nekte å etablere kundeforhold eller gjennomføre transaksjon ved manglende eller mangelfull legitimasjon. Bestemmelsen retter seg etter sin ordlyd kun mot identitetskontroll av fysiske personer, men dette er neppe tilsiktet. Det foreligger ikke plikt til å avvikle eksisterende kundeforhold.

4.6.3 Utvalgets vurdering

Utvalget foreslår at det lovfestes en plikt til å ikke etablere kundeforhold eller utføre transaksjoner dersom kundekontroll ikke kan gjennomføres, jf. lovforslaget § 9 første ledd.

Ordlyden i direktivet artikkel 9 nr. 5 første ledd, som er gjengitt under punkt 4.6.1, kan tyde på at avvikling av kundeforhold er en alternativ reaksjon i forhold til å nekte å etablere kundeforhold eller utføre transaksjon. En slik tolkning gir etter utvalgets oppfatning lite mening, ettersom avvikling kun vil være anvendelig som reaksjon ved allerede etablerte kundeforhold.

I dansk rett og det svenske lovforslaget synes artikkel 9 nr. 5 likevel å være tolket slik at det ikke stilles et generelt krav om avvikling av kundeforhold der kundekontroll ikke kan gjennomføres. Etter dansk hvitvaskingslov § 13 stk. 2 må det «ikke etableres et fast kundeforhold, optages forretningsmæssig forbindelse eller udføres transaktioner for kunden». Det stilles ikke krav om avvikling av etablerte kundeforhold. Etter det svenske lovforslaget (SOU 2007:23) 7 a § første ledd «skall affärsförbindelsen inte inledas eller den enstaka transaktionen inte utföras» og dersom «affärsförbindelsen redan har inletts med stöd av 4 b § andra stycket, skall den avbrytas». Plikt til avvikling er her begrenset til de unntakstilfeller hvor identitetskontroll er utsatt til etter etablering av kundeforhold, på grunnlag av liten risiko for hvitvasking eller terrorfinansiering, og for ikke å hindre alminnelig forretningsdrift, jf. nærmere om unntaket under punkt 4.5.3.

Utvalget antar at et generelt forbud mot utføring av transaksjoner langt på vei vil være like effektivt som en plikt til avvikling av kundeforhold. En videreføring av et kundeforhold vil likevel i visse tilfeller medføre risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger og/eller terrorfinansiering, selv om det ikke gjennomføres transaksjoner. Dette gjelder for eksempel der en kredittinstitusjon yter lån.

En plikt for rapporteringspliktige til å avvikle allerede etablerte kundeforhold vil gripe inn i kontraktsforholdene mellom rapporteringspliktige og deres kunder, og medføre såkalt uegentlig tilbakevirkning. Dette er etter utvalgets oppfatning uheldig. Utvalget foreslår på denne bakgrunn at plikt til avvikling kun skal gjelde for kundeforhold som er etablert etter den nye lovens ikrafttredelse, jf. lovforslaget § 33 annet ledd. Rapporteringspliktige vil således ha anledning til å sørge for kontraktsmessig adgang til oppsigelse av nye avtaler om løpende forpliktelser, for det tilfelle at det inntrer plikt til avvikling av kundeforhold.

Ettersom spørsmålet om det er foretatt forsvarlig kundekontroll er basert på en risikovurdering, vil det i stor grad bero på de rapporteringspliktiges egen vurdering hvorvidt det inntrer plikt til avvikling. Kontraktsmessig adgang til oppsigelse på bakgrunn av et slikt innslag av skjønn, vil kunne medføre unødvendige tvister og fare for misbruk. Dette taler for at plikt til avvikling begrenses til de tilfeller hvor en fortsettelse av kundeforhold medfører risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147a eller 147b. En slik begrensning kan etter utvalgets syn ikke anses å være i strid med direktivet, når direktivet tolkes i lys av sitt formål. Utvalget foreslår på denne bakgrunn at det lovfestes en begrenset plikt til avvikling, jf. lovforslaget § 9 første ledd.

Etter tredje hvitvaskingsdirektiv artikkel 9 nr. 5 annet ledd kan visse typer rådgivere («notaries, independent legal professionals, auditors, external accountants and tax advisors») unntas fra plikten til å avvise kunder, nekte gjennomføring av transaksjon eller avvikle kundeforhold, i tilfeller hvor disse er i ferd med å fastslå en klients rettsstilling, eller hvor de bistår klienten i forbindelse med rettergang. Bestemmelsen har ikke noe motstykke i FATFs anbefalinger. Etter utvalgets oppfatning er det ikke hensiktsmessig at fysiske og juridiske personer skal avskjæres fra juridisk bistand på grunn av at kundekontroll ikke kan gjennomføres. Utvalget foreslår at direktivets unntaksbestemmelse inntas i hvitvaskingsloven for så vidt gjelder advokater og andre som ervervsmessig eller stadig yter selvstendig juridisk bistand, der disse er i ferd med å fastslå en klients rettsstilling eller representerer klienten i forbindelse med rettergang, jf. lovforslaget § 9 annet ledd.

For tilfeller der kundekontroll ikke kan gjennomføres, fastslår direktivet artikkel 9 nr. 5 første ledd og FATF-anbefaling 5 sjette ledd et krav om at den rapporteringspliktige skal overveie å underrette om kunden til den finansielle etterretningsenheten. I FATFs evalueringsrapport avsnitt 220 synes det å gis uttrykk for at norsk rett ikke tilfredsstiller anbefaling 5 med rapportering på dette punkt. Etter utvalgets syn innebærer ikke denne plikten til å overveie rapportering reelt sett noe mer enn det som følger av den alminnelige rapporteringsplikt ved mistenkelige transaksjoner, jf. punkt 5.2, og bestemmelsen fremstår som overflødig. Utvalget foreslår derfor ikke at det inntas en slik særskilt plikt.

4.7 Kundekontroll utført av tredjepart

4.7.1 EØS-rett

Etter tredje hvitvaskingsdirektiv artikkel 14, kan medlemsstatene tillate de institusjoner og personer som omfattes av direktivet å legge til grunn kundekontroll utført av tredjeparter. Ansvaret for tilstrekkelig gjennomføring skal imidlertid påhvile institusjonen eller personen selv.

Artikkel 16 nr. 1 definerer begrepet «tredjeparter» på følgende måte:

«For the purposes of this Section, ‘third parties’ shall mean institutions and persons who are listed in Article 2, or equivalent institutions and persons situated in a third country, who meet the following requirements:

1. they are subject to mandatory professional registration, recognised by law;

2. they apply customer due diligence requirements and record keeping requirements as laid down or equivalent to those laid down in this Directive and their compliance with the requirements of this Directive is supervised in accordance with Section 2 of Chapter V, or they are situated in a third country which imposes equivalent requirements to those laid down in this Directive.»

Artikkel 2 angir de typer institusjoner og personer som omfattes av direktivet. Ut fra en naturlig språklig forståelse antar utvalget at vilkårene i artikkel 16 nr. 1 (a) og (b) – herunder vilkåret om lovmessig registreringsplikt – får anvendelse både i forhold til denne gruppen og tilsvarende institusjoner og personer fra tredjestater.

Gjennomføring av direktivets regler om kundekontroll utført av tredjepart er valgfri for medlemsstatene, og medlemsstatene kan velge å benytte et snevrere tredjepartsbegrep i intern rett enn det som følger av artikkel 16 nr. 1. For det tilfelle at regelverket gjennomføres med et snevrere tredjepartsbegrep, gir artikkel 15 regler om ikke-diskriminering i forhold til utenlandske institusjoner og personer. Etter artikkel 15 nr. 1 skal en medlemsstat som tillater innenlandske «credit or financial institutions» som tredjeparter, også tillate at slike institusjoner i andre medlemsstater opptrer som tredjeparter, med unntak av valutavekslingskontorer og betalingsformidlingskontorer. Herunder skal det aksepteres at kundekontroll utført av utenlandske tredjeparter gjennomføres på grunnlag av andre dokumenter eller opplysninger enn det som kreves etter intern rett. Artikkel 15 nr. 2 og 3 gir tilsvarende regler for de tilfeller at en medlemsstat tillater innenlandske valutavekslingskontorer og betalingsformidlingskontorer og/eller innenlandske institusjoner og personer som nevnt i direktivet artikkel 2 nr. 1 (3) (a) til (c), å opptre som tredjeparter. Den sistnevnte gruppen omfatter revisorer, eksterne regnskapsførere, skatterådgivere, notarer og andre uavhengige jurister og andre ervervsmessige tilbydere av tjenester som omtalt under punkt 3.6.

Dersom Kommisjonen treffer vedtak i henhold til artikkel 40 nr. 4 om at en tredjestat ikke oppfyller vilkår i direktivet, skal medlemsstatene etter artikkel 17 forby institusjoner og personer som omfattes av direktivet å legge til grunn kundekontroll utført av tredjepart fra den aktuelle tredjestat.

Artikkel 18 regulerer tredjepartens opplysningsplikt overfor den institusjon eller person som kunden henvises til. Etter artikkel 18 nr. 1 skal tredjeparten umiddelbart stille til rådighet opplysninger som det bes om for gjennomføring av kundekontrollen. Etter artikkel 18 nr. 2 skal tredjeparten på anmodning umiddelbart oversende relevante kopier av identifikasjonsopplysninger og annen relevant dokumentasjon angående identiteten til kunden eller reelle rettighetshavere.

Direktivets regler om kundekontroll utført av tredjepart dekker FATF-anbefaling 9, og er nye i forhold til første og annet hvitvaskingsdirektiv.

4.7.2 Norsk rett

Etter hvitvaskingsforskriften § 8 tredje ledd kan en rapporteringspliktig som er filial av utenlandsk institusjon, ved etablering av kundeforhold, legge til grunn en bekreftelse fra institusjonens hovedkontor om at det er gjennomført identitetskontroll av kundens rette identitet.

Rapporteringspliktige kan etter hvitvaskingsforskriften § 8 annet ledd inngå avtale med annen rapporteringspliktig etter hvitvaskingsloven § 4 første og annet ledd om å utføre legitimasjonskontroll for den rapporteringspliktige. Bestemmelsen retter seg mot utkontraktering, som behandles nærmere under punkt 4.8.

4.7.3 Utvalgets vurdering

Utvalget antar at det i en rekke tilfeller vil være vesentlig ressursbesparende om rapporteringspliktige kan legge til grunn kundekontroll utført av andre rapporteringspliktige. Et eksempel er situasjoner hvor en kunde har kundeforhold med et selskap i et finanskonsern, og senere ønsker å opprette kundeforhold med et annet selskap i konsernet. Et annet eksempel er situasjoner hvor et utenlandsk selskap ønsker å foreta et oppkjøp i Norge, og engasjerer et norsk revisjonsselskap tilknyttet et internasjonalt revisjonsnettverk for gjennomføring av finansiell due diligence. Det norske revisjonsselskapet vil da naturlig kontakte revisjonsnettverkets kontor i selskapets hjemstat for bistand med gjennomføring av kundekontroll.

Et flertall i utvalget bestående av medlemmene Ask, Dahl, Damslora, Hasaas, Grude Hisdal, LAbée-Lund, Mellemvik, Riise, Roaldsøy og Tannum foreslår at det gis adgang for rapporteringspliktige til å legge til grunn kundekontroll foretatt av nærmere angitte rapporteringspliktige, jf. lovforslaget § 10 første ledd. Slik kundekontroll ved tredjepart gjør ikke unntak fra den rapporteringspliktiges registreringsplikt og oppbevaringsplikt som nevnt i lovforslaget §§ 8 og 21. Videre påhviler ansvaret for gjennomføring av kundekontroll i samsvar med gjeldende lovgivning den rapporteringspliktige selv. Dette innebærer at rapporteringspliktige etter omstendighetene vil kunne sanksjoneres for overtredelser som er begått av tredjeparter.

Ettersom ansvaret for lovmessig gjennomføring av kundekontroll påhviler de rapporteringspliktige, må det antas at disse vil utvise forsiktighet med hensyn til hvem som benyttes.

Som nevnt tolker utvalget definisjonen av tredjeparter i artikkel 16 nr. 1 slik at vilkåret om lovmessig registreringsplikt får anvendelse både i forhold til institusjoner og personer som angitt i artikkel 2, og tilsvarende institusjoner og personer fra tredjestater. Registreringsordninger benyttes i liten grad i norsk rett, men utvalget legger til grunn at lovmessig konsesjonsplikt vil oppfylle direktivets vilkår.

Av juridiske personer som vil omfattes av hvitvaskingsregelverket etter lovforslaget § 4 første ledd, dekkes følgende av direktivet artikkel 2: finansinstitusjoner, verdipapirforetak forvaltningsselskaper for verdipapirfond, livsforsikringsselskaper, verdipapirregistre og forsikringsmeglingsforetak som formidler livsforsikring og andre investeringsrelaterte tjenester. Direktivet gir ikke direkte hjemmel for utvidelse av kretsen av tredjeparter i forhold til artikkel 2. Utvalget ser imidlertid ikke grunn til å reservere adgangen til livsforsikringsselskaper og forsikringsmeglingsforetak som formidler livsforsikring og andre investeringsrelaterte tjenester. Norsk rett skiller i liten grad mellom ulike typer forsikringsselskaper og forsikringsmeglingsforetak, og samtlige typer forsikringsselskaper og forsikringsmeglingsforetak vil være rapporteringspliktige etter lovforslaget § 4 første ledd nr. 7 og 9. Av personer som omfattes av hvitvaskingsloven etter lovforslaget § 4 annet ledd, og som dessuten er underlagt krav om konsesjon, dekkes statsautoriserte og registrerte revisorer, autoriserte regnskapsførere og eiendomsmeglere av direktivet artikkel 2. Utvalget legger til grunn at også kravet om skriftlig melding til Tilsynsrådet for iverksettelse av advokat- eller rettshjelpvirksomhet etter forskrift 20. desember 1996 nr. 1161 til domstolloven kapittel 11 § 1 – 1 tilfredsstiller direktivets vilkår om lovmessig registreringsplikt for personer hvis kontroll rapporteringspliktige kan legge til grunn.

På bakgrunn av reglene om ikke-diskriminering i artikkel 15, foreslår utvalget at det i samsvar med definisjonen i artikkel 16 nr. 1 åpnes for at det kan legges til grunn kundekontroll foretatt av tilsvarende utenlandske institusjoner og personer som de norske. I samsvar med direktivet foreslås det krav om at slike utenlandske «rapporteringspliktige» skal være etablert i EØS-stat eller annen stat som har tilsvarende regler om kundekontroll som EØS-stat.

Finansinstitusjoner, verdipapirforetak mv. er omfattet av felles EØS-regler om krav til konsesjon mv. Utvalget legger til grunn at tilsvarende krav også vil gjelde tilsvarende virksomheter etablert utenfor EØS-området. I den grad det ikke skulle gjelde slike regler, legger utvalgets flertall til grunn at det vil være i strid med den rapporteringspliktiges aktsomhet å legge til grunn kundekontroll utført av en slik institusjon. For utenlandske rapporteringspliktige som ikke nødvendigvis er underlagt tilsvarende registrerings- eller konsesjonsordninger som følger av norsk rett, foreslås det i samsvar med direktivet et krav om at de er omfattet av lovfastsatte krav til registrering eller konsesjon i hjemlandet. Dette tilleggskravet vil gjelde verdipapirregistre, revisorer, regnskapsførere, eiendomsmeglere og advokater. I samsvar med direktivets artikkel 16, jf. artikkel 3, er det tatt inn et unntak for utenlandske forsikringsagenter. Oppregningen vil ikke være uttømmende i forhold til det direktivet åpner adgang for. Ettersom listen over hvilke andre norske og utenlandske rapporteringspliktiges kontroller den rapporteringspliktige kan legge til grunn er den samme, anser utvalget det ikke som diskriminerende i direktivets forstand at aktuelle «perifere» utenlandske rapporteringspliktige ikke omfattes av bestemmelsen.»

For tredjeparter som ikke er etablert i Norge, skal det etter direktivet aksepteres at kundekontroll er utført på grunnlag av andre dokumenter eller opplysninger enn det som kreves etter norsk rett. Utvalget foreslår på denne bakgrunn at det i slike tilfeller gjøres unntak fra kravet om at bekreftelse av identiteten til kunden skal være foretatt på grunnlag av gyldig legitimasjon, jf. lovforslaget § 10 fjerde ledd. Dette innebærer ikke et unntak fra plikten til forsvarlig kundekontroll på grunnlag av en risikobasert tilnærming, og den rapporteringspliktige vil måtte foreta en vurdering av om bekreftelsen av identitet er tilstrekkelig for å oppfylle denne plikten.

Etter artikkel 18 skal den som har utført kontrollen umiddelbart stille opplysninger som fremkommer ved kundekontrollen til rådighet for den rapporteringspliktige. Videre skal vedkommende på anmodning umiddelbart oversende relevante kopier av dokumentasjon om identitet til kunde og reelle rettighetshavere til den rapporteringspliktige. Som nevnt medfører det at det legges en annens kontroll til grunn ikke unntak fra rapporteringspliktiges registreringsplikt og oppbevaringsplikt. Videre skal rapporteringspliktige kunne dokumentere at det er gjennomført forsvarlige kontrolltiltak ut fra en risikovurdering, jf. punkt 4.2. Rapporteringspliktige vil på denne bakgrunn i alle tilfeller måtte innhente opplysninger og dokumentasjon. Utvalget anser det ikke hensiktsmessig at det fastsettes selvstendige opplysningsplikter for rapporteringspliktige der de opptrer som tredjeparter.

Regelverket om kundekontroll foretatt av andre rapporteringspliktige vil kunne medføre problemstillinger i forhold til reglene om behandling av personopplysninger i lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) § 8 og 9 samt særlovgivningens regler om taushetsplikt for foretak og profesjoner. For at rapporteringspliktige skal kunne oppfylle de nevnte plikter til registrering, oppbevaring og dokumentasjon, er det en forutsetning at den som har utført kontrollen har rettslig adgang til utlevering av relevante opplysninger og dokumenter. De alminnelige regler om taushetsplikt og behandling av personopplysninger vil i stor grad forhindre slik utlevering, og således vanskeliggjøre kundekontroll foretatt av andre. Etter utvalgets oppfatning bør det åpnes for at andre rapporteringspliktige kan utlevere de opplysninger og dokumenter som er nødvendige for at den rapporteringspliktige skal kunne oppfylle sine plikter til registrering, oppbevaring og dokumentasjon. Utvalget foreslår på denne bakgrunn et uttrykkelig unntak fra lovmessig taushetsplikt og personopplysningsloven ved slik utlevering, jf. lovforslaget § 10 tredje ledd. Unntaksregelen får kun anvendelse i tilknytning til kundekontroll utført av andre, og utlevering vil således skje etter initiativ fra den rapporteringspliktige for konkret bruk ved kundekontroll. Fordelene ved å kunne legge til grunn kundekontroll utført av andre rapporteringspliktige vil etter utvalgets syn veie tyngre enn ulempene ved et noe svekket personvern. I utgangspunktet omfatter unntaksregelen alle opplysninger og dokumenter som er nødvendige for en forsvarlig risikovurdering av den konkrete kunde eller transaksjon. Opplysninger om undersøkelser og rapportering ved mistenkelige transaksjoner eller iverksatt etterforskning omfattes likevel ikke, jf. punkt 5.5 om forbudet mot avsløring av slike forhold. Utenlandske rapporteringspliktige må forholde seg til utenlandske regler om taushetsplikt.

I sammenheng med den ovennevnte unntaksregel vil utvalget fremheve at det ikke foreslås noen tilsvarende regel i forbindelse med plikten til løpende oppfølging etter lovforslaget § 13, jf. punkt 4.10. Blant annet i større finanskonserner vil det kunne anses ønskelig med økt informasjonsutveksling mellom konsernselskaper, eksempelvis i form av en felles database for kundeopplysninger. Adgang til slik informasjonsutveksling, som ikke er knyttet til konkret forespørsel om opplysninger til bruk i en konkret kundekontroll, har en mer direkte side mot personvernlovgivningen enn den foreslåtte unntaksregelen. Utvalget anser seg ikke egnet til å vurdere en utvidet adgang til informasjonsutveksling.

Utvalget anser det overflødig med en særskilt regel om at filialer av utenlandske foretak kan legge til grunn bekreftelse fra hovedkontoret om at det er gjennomført kundekontroll. Hvitvaskingsforskriften § 8 tredje ledd foreslås ikke videreført.

For gjennomføring av eventuelle vedtak Kommisjonen treffer i henhold til direktivet artikkel 17, antar utvalget at det kan være hensiktsmessig med en hjemmel til i forskrift å fastsette unntak fra adgangen til å legge til grunn kundekontroll utført av tredjeparter, jf. lovforslaget § 10 femte ledd. Ettersom det er et vilkår for å legge til grunn kundekontroll foretatt av utenlandske rapporteringspliktige at disse er underlagt tilsvarende krav til kundekontroll som i EØS-land, er imidlertid utvalget noe i tvil om behovet for en slik forskriftshjemmel.

Et mindretall i utvalget bestående av medlemmene Kolrud, Kinn Nilsen og Normann er enig med flertallet om at det bør åpnes for at rapporteringspliktige legger til grunn kundekontroll utført av tredjeparter, men foreslår at lovens bestemmelse formuleres noe annerledes.

Etter mindretallets syn er det hensiktsmessig at det foretas et terminologisk skille mellom begrepene «rapporteringspliktige» og «tredjeparter». Begrepet «rapporteringspliktige» er definert i lovforslaget § 2 nr. 1, og bør ikke benyttes med et avvikende meningsinnhold i reglene om kundekontroll ved tredjeparter. Et begrepsskille vil også være egnet til å klargjøre at ansvaret for lovmessig gjennomføring av kundekontroll ikke overføres til tredjeparten, noe som ikke fremgår klart av flertallets forslag til § 10 annet ledd.

Direktivet artikkel 15 inneholder strenge regler om ikke-diskriminering i forhold til tredjeparter etablert i utlandet. Utvalgets forslag til regler om kundekontroll ved tredjeparter gir meget vid adgang til å benytte ulike typer (norske) rapporteringspliktige som tredjeparter. Etter artikkel 15 er det på denne bakgrunn nødvendig at tredjepartsbegrepet omfatter samtlige juridiske og fysiske personer omtalt artikkel 2 nr. 1 (1), (2) og (3) (a) til (c), og tilsvarende personer fra stater utenfor EØS, såfremt disse er underlagt lovmessig registreringsplikt, og regler om kundekontroll, oppbevaring og tilsyn som tilsvarer reglene i direktivet. Etter mindretallets oppfatning er flertallets forslag til § 10 første ledd nr. 2 ikke dekkende i dette henseende. Eksempelvis vil «trust and company service providers», «notaries and other independent legal professionals» og «tax advisors» falle utenfor, selv om de tilfredsstiller de nevnte vilkår. Etter mindretallets syn er det også vanskelig å overskue hvilke typer utenlandske foretak som omfattes av direktivets definisjon av «financial institution», jf. artikkel 3 (2), på bakgrunn av den generelle henvisningen til virksomheter angitt i vedlegg I til direktiv 2000/12/EF (det konsoliderte bankdirektiv). Mindretallet anser det på denne bakgrunn nødvendig å innta en henvisning til direktivet ved definisjonen av begrepet «tredjeparter».

Mindretallet merker seg også at flertallets forslag til § 10 første ledd åpner for at norske forsikringsagenter kan benyttes som tredjeparter. Dette er i strid med direktivet artikkel 16, jf. artikkel 3 (2) (e), som unntar såkalte «tied insurance intermediaries», jf. punkt 3.2.

Mindretallet kan ikke slutte seg til flertallets uttalelse om at finansinstitusjoner, verdipapirforetak mv. som er etablert utenfor EØS-området vil være underlagt tilsvarende krav til konsesjon eller registrering som etter EØS-regelverket. Et krav om registreringsplikt bør uttrykkelig fremgår i loven, også for slike institusjoner.

Den rapporteringspliktige har etter lovforslaget § 5 annet ledd, jf. direktivet artikkel 8 nr. 2, plikt til å dokumentere at utførte tiltak ved kundekontroll er tilpasset aktuell risiko. Dokumentasjonsplikten vil påligge den rapporteringspliktige, også i tilfeller hvor kundekontroll foretas ved tredjepart. Utvalget foreslår som nevnt en særskilt unntaksregel fra lovmessig taushetsplikt og personopplysningsloven i tilknytning til kundekontroll ved tredjepart, og har under drøftelsen vært samstemt om at unntaksregelen skal gjelde i forhold til utlevering som er nødvendig for å oppfylle en slik dokumentasjonsplikt. I flertallets forslag til § 10 tredje ledd, er det imidlertid ikke tatt høyde for slik utlevering.

Etter mindretallets syn bør det i loven uttrykkelig fremheves, i samsvar med utvalgets drøftelse, at unntaksregelen om tredjeparters utlevering av opplysninger ikke medfører unntak fra forbudet mot å avsløre undersøkelser, rapportering eller etterforskning etter lovforslaget § 20.

4.8 Utkontraktering av gjennomføring av kundekontroll

4.8.1 EØS-rett

Som beskrevet under punkt 4.7.1 har tredje hvitvaskingsdirektiv omfattende regler om kundekontroll foretatt av såkalte tredjeparter. Etter artikkel 19 skal dette regelverket ikke gjelde for «outsourcing or agency relationships where, on the basis of a contractual agreement, the outsourcing service provider or agent is to be regarded as part of the institution or person covered by this Directive». Medlemsstatene står således i utgangspunktet fritt til å åpne for utkontraktering av gjennomføring av kundekontroll. En tilsvarende betraktning følger av FATFs tolkingsuttalelse («Interpretative Note») til anbefaling 9.

4.8.2 Norsk rett

Etter hvitvaskingsforskriften § 8 annet ledd kan rapporteringspliktige inngå avtale med annen rapporteringspliktig etter hvitvaskingsloven § 4 første og annet ledd om å utføre legitimasjonskontroll for den rapporteringspliktige. Den «primære rapporteringspliktige» har ansvaret for at legitimasjonskontrollen utføres på forsvarlig måte i samsvar med lov og forskrift.

4.8.3 Utvalgets vurdering

Utvalget antar at utkontraktering av gjennomføring av kundekontroll vil kunne være hensiktsmessig for enkelte rapporteringspliktige, for eksempel for nettbaserte virksomheter, og i situasjoner der geografiske begrensninger vanskeliggjør gjennomføring av kundekontroll. På denne bakgrunn foreslår utvalget at det i norsk rett åpnes for slik utkontraktering, jf. lovforslaget § 11. Ansvaret for gjennomføring av kundekontroll i samsvar med lov og forskrift, og at det etableres forsvarlige rutiner og treffes nødvendige tiltak som beskrevet under punkt 7.1, vil påhvile den rapporteringspliktige selv.

Direktivet stiller krav om at oppdragstaker skal kunne regnes som en del av («as part of») den rapporteringspliktige. Utvalget forstår dette som et krav om at utkontrakteringen har et visst omfang og en viss varighet, slik at oppdragstakers virksomhet fremstår som en integrert del av den rapporteringspliktiges virksomhet. Utvalget legger til grunn at utkontraktering regulært vil tilfredsstille et slikt kriterium, og anser det ikke nødvendig å fremheve dette i hvitvaskingsloven.

Direktivet inneholder ingen begrensning i hvem som kan benyttes som oppdragstakere ved utkontraktering, og utvalget anser det hensiktsmessig at det åpnes for at også andre enn rapporteringspliktige kan benyttes som oppdragstakere. På bakgrunn av de utvidede plikter som følger av reglene om kundekontroll, ønsker utvalget ikke å hindre at andre personer enn rapporteringspliktige spesialiserer seg på å tilby gjennomføring av kundekontroll. Hvilke personer som kan benyttes som oppdragstakere vil imidlertid reelt sett være begrenset. Som nevnt påhviler ansvaret for lovmessig gjennomføring av kundekontroll, herunder at det foretas en forsvarlig risikovurdering, den rapporteringspliktige selv. Videre har den rapporteringspliktige ansvar for at det etableres forsvarlige rutiner for å sikre overholdelse av plikter etter hvitvaskingsregelverket. Endelig har den rapporteringspliktige ansvar for at det treffes nødvendige tiltak for å sikre at personer som utfører oppgaver på dennes vegne er kjent med de plikter som påligger denne. Utkontraktering vil forutsette at oppdragstaker har tilstrekkelig kompetanse, ressurser og systemer som oppdraget krever, og at oppdragstakers ansatte (herunder deltidsansatte, vikarer mv.) gjøres kjent med regler og rutiner som gjelder i forhold til oppdraget. På bakgrunn av de ovennevnte forhold må det antas at rapporteringspliktige vil utvise atskillig forsiktighet med hensyn til hvem som benyttes som oppdragstakere ved utkontraktering. Overtredelser vil kunne medføre straffansvar for den rapporteringspliktige selv.

Med hensyn til registrering av opplysninger og oppbevaring av dokumenter som nevnt i lovforslaget §§ 8 og 21, legger utvalget til grunn at dette også kan foretas av oppdragstaker på vegne av den rapporteringspliktige. Den rapporteringspliktige må imidlertid sørge for at relevante opplysninger og dokumenter mottas fra oppdragstaker senest ved utkontrakteringsforholdets slutt.

Ved utkontraktering bør den rapporteringspliktige sørge for adgang til å føre løpende kontroll med at oppdraget blir tilfredsstillende utført. Utkontraktering må ikke medføre hindringer mot effektivt tilsyn, og må heller ikke påvirke oppfyllelse av plikter den rapporteringspliktige har overfor kunder, tilsynsorgan eller andre offentlige myndigheter. Avtaler om utkontraktering skal være skriftlige, og det må forventes at de inneholder en klar beskrivelse av hvilke oppgaver som utkontrakteres, regler om taushetsplikt, og hvordan oppdragstaker skal forholde seg med hensyn til overlevering av opplysninger til den rapporteringspliktige.

Utvalgets representant fra Kredittilsynet er enig i behovet for en forholdsvis vid adgang til utkontraktering av initiell kundekontroll, særlig for nettbasert virksomhet. Kredittilsynet stiller imidlertid spørsmål om en slik adgang i praksis vil være mulig å følge opp tilsynsmessig. Dette er noe Kredittilsynet vil komme tilbake til i høringsrunden.

4.9 Forenklet kundekontroll

4.9.1 EØS-rett

Etter tredje hvitvaskingsdirektiv artikkel 11 nr. 1, er institusjoner og personer omfattet av direktivet unntatt fra vesentlige deler av plikten til å foreta kundekontrollen, dersom kunden er en «credit or financial institution» som definert i direktivet artikkel 3 (1) og (2), eller tilsvarende institusjon fra tredjeland som pålegger «requirements equivalent to those laid down in this Directive and supervised for compliance with those requirements». Unntaket gjelder ikke plikten til å foreta kundekontroll der det er mistanke om hvitvasking eller terrorfinansiering. Bestemmelsen er en videreføring av første og annet hvitvaskingsdirektiv.

Etter artikkel 11 nr. 2 kan medlemsstatene tillate tilsvarende unntak fra plikten til å foreta kundekontroll som etter artikkel 11 nr. 1 for visse typer kunder:

«By way of derogation from Articles 7(a), (b) and (d), 8 and 9(1) Member States may allow the institutions and persons covered by this Directive not to apply customer due diligence in respect of:

1. listed companies whose securities are admitted to trading on a regulated market within the meaning of Directive 2004/39/EC in one or more Member States and listed companies from third countries which are subject to disclosure requirements consistent with Community legislation;

2. beneficial owners of pooled accounts held by notaries and other independent legal professionals from the Member States, or from third countries provided that they are subject to requirements to combat money laundering or terrorist financing consistent with international standards and are supervised for compliance with those requirements and provided that the information on the identity of the beneficial owner is available, on request, to the institutions that act as depository institutions for the pooled accounts;

3. domestic public authorities,

or in respect of any other customer representing a low risk of money laundering or terrorist financing which meets the technical criteria established in accordance with Article 40(1)(b).»

Bestemmelsen er ny i forhold til de foregående hvitvaskingsdirektiver.

I situasjoner som nevnt i artikkel 11 nr. 1 og 2, skal institusjoner og personer omfattet av direktivet i det minste innhente tilstrekkelige opplysninger til å fastslå om kunden kvalifiserer til unntak, jf. artikkel 11 nr. 3.

Etter artikkel 11 nr. 5 kan medlemsstatene tillate tilsvarende unntak fra plikten til å foreta kundekontroll som etter artikkel 11 nr. 1 og 2 for visse typer produkter og transaksjoner:

«By way of derogation from Articles 7(a), (b) and (d), 8 and 9(1), Member States may allow the institutions and persons covered by this Directive not to apply customer due diligence in respect of:

1. life insurance policies where the annual premium is no more than EUR 1 000 or the single premium is no more than EUR 2 500;

2. insurance policies for pension schemes if there is no surrender clause and the policy cannot be used as collateral;

3. a pension, superannuation or similar scheme that provides retirement benefits to employees, where contributions are made by way of deduction from wages and the scheme rules do not permit the assignment of a member’s interest under the scheme;

4. electronic money, as defined in Article 1(3)(b) of Directive 2000/46/EC of the European Parliament and of the Council of 18 September 2000 on the taking up, pursuit of and prudential supervision of the business of electronic money institutions (1), where, if the device cannot be recharged, the maximum amount stored in the device is no more than EUR 150, or where, if the device can be recharged, a limit of EUR 2 500 is imposed on the total amount transacted in a calendar year, except when an amount of EUR 1 000 or more is redeemed in that same calendar year by the bearer as referred to in Article 3 of Directive 2000/46/EC,

or in respect of any other product or transaction representing a low risk of money laundering or terrorist financing which meets the technical criteria established in accordance with Article 40(1)(b).»

Unntaksadgangen etter artikkel 11 nr. 5 (a) og (b) er i vesentlig grad en videreføring av de foregående hvitvaskingsdirektiver, mens unntaksadgangen etter (c) og (d) er ny.

Direktivets unntaksbestemmelser har et visst motstykke i FATF-anbefaling 5 fjerde ledd siste punktum, hvoretter det kan tillates at «financial institutions» anvender «reduced or simplified measures» dersom det foreligger «low risks».

4.9.2 Norsk rett

Regler om unntak fra plikt til identitetskontroll er gitt i hvitvaskingsforskriften § 7, som lyder:

«Plikten til å kreve legitimasjon etter hvitvaskingsloven § 5 og plikten til å registrere opplysninger etter hvitvaskingsloven § 6 gjelder ikke:

1. hvis kunden er finansinstitusjon, jf. finansieringsvirksomhetslovens § 1 – 4, verdipapirforetak, eller forvaltningsselskap for verdipapirfond eller slikt utenlandsk foretak underlagt tilsvarende regelverk som oppfyller de legitimasjonskrav som stilles i rådsdirektiv av 4. desember 2001 om tiltak for å hindre at det finansielle system brukes til hvitvasking av penger (direktiv 2001/97/EF), og i tillegg er underlagt tilsynsordning av EØS-standard.

2. tegning av forsikringspolise dersom premieinnbetaling skjer ved debitering (belastning) av en konto opprettet i kundens navn i en kredittinstitusjon som nevnt i finansieringsvirksomhetsloven § 1 – 5 nr. 3, såfremt kredittinstitusjonen:

   1. er underlagt denne forskriften eller tilsvarende lovregulering i samsvar med rådsdirektiv av 4. desember 2001 om tiltak for å hindre at det finansielle system brukes til hvitvasking av penger (direktiv 2001/97/EF), eller

   2. på annet grunnlag har forvisset seg om, og registrert opplysningene om, kundens identitet.

3. tegning av livsforsikringspolise i institusjon som har tillatelse til å overta livsforsikring, og andre forsikringsforetak i henhold til direktiv 2002/83/EF, hvis den årlige premien ikke overstiger 8.000 kroner, eller hvis det skal belastes en engangspremie som ikke overstiger 20.000 kroner.

4. tegning av livsforsikringspolise i institusjon som har tillatelse til å overta livsforsikring, og andre forsikringsforetak i henhold til rådsdirektiv av 5. november 2002 vedrørende livsforsikringsvirksomhet (det konsoliderte livdirektiv) direktiv 2002/83/EF, hvis den årlige premien ikke overstiger 8.000 kroner, eller hvis det skal belastes en engangspremie som ikke overstiger 20.000 kroner. Dersom premieinnbetaling for en løpende polise i et gitt år forhøyes slik at den overstiger grensen på 8.000 kroner, skal det likevel kreves legitimasjon som nevnt i § 2 – 1.

5. tegning av skadeforsikringspoliser, herunder reiseforsikringspoliser, samt kredittforsikringspoliser, i foretak som har tillatelse til å utøve slik forsikringsvirksomhet.

Departementet kan ved enkeltvedtak gjøre unntak fra hvitvaskingsloven § 5 for rapporteringspliktige etter hvitvaskingsloven § 4 første ledd nr. 3 (e-pengeforetak).»

Reglene i hvitvaskingsforskriften § 7 innebærer at de rapporteringspliktige også er unntatt fra plikten til å kreve legitimasjon ved mistanke om hvitvasking eller terrorfinansiering, og ikke bare ved etablering av kundeforhold eller transaksjoner over 100 000 kroner.

4.9.3 Utvalgets vurdering

En rekke av direktivets unntaksregler vil kunne ha vesentlig praktisk anvendelse i norsk rett, noe som kan tilsi at reglene lovfestes. På bakgrunn av reglenes tekniske karakter foreslår utvalget likevel at de gjennomføres samlet i forskrift.

Direktivets unntaksregler gjelder som nevnt ikke for plikten til å foreta kundekontroll ved mistanke om at en transaksjon har tilknytning til hvitvasking eller terrorfinansiering. Det er for utvalget noe uklart hvorvidt unntaksreglene er ment å gjelde i forhold til plikten til løpende oppfølging, jf. punkt 4.10, ettersom det etter direktivets ordlyd gjøres unntak fra artikkel 8 nr. 2, men ikke fra artikkel 9 nr. 6. Plikten til løpende oppfølging er et vesentlig virkemiddel for avdekking av mistenkelige transaksjoner. Videre vil den rapporteringspliktige måtte foreta en vurdering av om kunden fortsetter å kvalifisere for unntak. På denne bakgrunn foreslår utvalget at unntaksreglene etter norsk rett begrenses til å gjelde for kundekontroll, og således ikke får anvendelse i forhold til plikten til løpende oppfølging. At en kunde eller transaksjon omfattes av unntaksreglene, vil imidlertid tilsi lav risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147a eller 147b, og vil være et moment i den risikovurdering som ligger til grunn for løpende oppfølging.

Utvalget foreslår at det lovfestes forskriftshjemmel for departementet til å fastsette unntak fra plikten til å foreta kundekontroll etter § 5 første ledd nr. 1, 2 og 4, jf. lovforslaget § 12.

I motsetning til artikkel 11 nr. 2 og 5, er gjennomføring av unntaksregelen etter artikkel 11 nr. 1 – der kunden er «credit or financial institution» – ikke valgfri for medlemsstatene. Unntaksregelen omfatter både juridiske personer med og uten konsesjon etter norsk rett. Av juridiske personer med konsesjon etter norsk rett, omfattes finansinstitusjoner, verdipapirforetak, forvaltningsselskaper for verdipapirfond, livsforsikringsselskaper, forsikringsmeglingsforetak som formidler livsforsikring og andre investeringsrelaterte tjenester samt verdipapirregistre. E-pengeforetak, skadeforsikringsselskaper, kredittforsikringsselskaper, pensjonskasser og øvrige forsikringsmeglingsforetak, som alle er rapporteringspliktige etter lovforslaget § 4 første ledd, omfattes ikke. Etter artikkel 11 nr. 2 er det imidlertid gitt adgang til å unnta andre kunder fra kundekontroll enn de som er nevnt i direktivet, forutsatt at de representerer en lav risiko for hvitvasking og terrorfinansiering, og tilfredsstiller tekniske kriterier fastsatt i henhold til artikkel 40 nr. 1 (b). Slike kriterier er gitt ved kommisjonsdirektivet artikkel 3 nr. 2, hvor det stilles som vilkår at kunden er en juridisk person underlagt plikter etter tredje hvitvaskingsdirektiv, tilsyn med overholdelse av disse pliktene, trussel om sanksjoner ved brudd og krav om konsesjon, samt at personens identitet er «publicly available, transparent and certain». Utvalget legger til grunn at e-pengeforetak, skadeforsikringsselskaper, pensjonskasser og forsikringsmeglingsforetak tilfredsstiller kriteriene, og at det således vil kunne unntas fra plikt til kundekontroll i forhold til slike kunder. Norsk rett skiller forøvrig i liten grad mellom ulike typer forsikringsselskaper og forsikringsmeglingsforetak, og utvalget ser ikke grunn til å reservere unntaksadgang i forhold til livsforsikringsselskaper og forsikringsmeglingsforetak som formidler livsforsikring og andre investeringsrelaterte tjenester. Utvalget anser det hensiktsmessig at gjennomføring av artikkel 11 nr. 1 baseres på en opplisting av juridiske personer med konsesjon etter norsk rett som omfattes av unntaket, med utvidelse for personer som nevnt ovenfor, i tillegg til foretak som nevnt i lovforslaget § 4 første ledd nr. 12, jf. forslag til forskrift § 8 første ledd nr. 1. Videre, for å dekke juridiske personer uten konsesjon etter norsk rett, foreslås en generell henvisning til direktivets definisjon av «credit or financial institution» og juridiske personer underlagt tilsvarende plikter og tilsyn, jf. forslag til forskrift § 8 første ledd nr. 2.

Etter utvalgets oppfatning bør adgangen til unntak etter artikkel 11 nr. 2 (a), (b) og (c) benyttes i norsk rett.

Unntaksregelen etter artikkel 11 nr. 2 (a) omfatter kunder som er selskaper hvis finansielle instrumenter er opptatt til notering på et regulert marked i henhold til direktiv 2004/39/EF (verdipapirmarkedsdirektivet) eller «listed companies from third countries which are subject to disclosure requirements consistent with Community legislation». Den siterte delen av unntaksregelen retter seg etter sin ordlyd bare mot selskaper fra stater utenfor EØS-området. Dette kan etter utvalgets oppfatning ikke være tilsiktet. Det avgjørende må være hvorvidt selskapet er underlagt informasjonsplikt tilsvarende det som følger av fellesskapsretten, det vil si direktiv 2003/6/EF (markedsmisbruksdirektivet) og direktiv 2004/109/EF (rapporteringsdirektivet), og ikke hvorvidt selskapet er etablert eller hjemmehørende i en stat utenfor EØS-området. Et norsk selskap notert på børs i en tredjestat som har tilfredsstillende krav om informasjonsplikt, må være unntatt i samme grad som et selskap fra tredjestat notert på samme børs. Utvalget foreslår at det gis unntak for plikt til å foreta kundekontroll dersom kunden er et selskap som har finansielle instrumenter opptatt til notering på et regulert marked i EØS-stat, eller er underlagt informasjonsplikt tilsvarende det som gjelder ved notering på et regulert marked i EØS-stat (dvs. tilsvarende det som følger av direktiv 2003/6/EF og direktiv 2004/109/EF), jf. forslag til forskrift § 8 første ledd nr. 3.

Artikkel 11 nr. 2 (b) åpner for unntak fra plikten til å foreta kundekontroll i forhold til reelle rettighetshavere for «pooled accounts» som føres av «notaries and other independent legal professionals». Utvalget legger til grunn at dette etter norsk rett vil omfatte klientkonti som føres av advokater. Unntaksregelen gjelder i forhold til uavhengige jurister fra både medlemsstater og tredjestater. For uavhengige jurister fra tredjestater stilles krav om at de er underlagt krav om å bekjempe hvitvasking eller terrorfinansiering i samsvar med internasjonale standarder, at det føres tilsyn med overholdelsen av disse kravene, og at opplysninger om identiteten til reelle rettighetshavere på anmodning er tilgjengelige for kredittinstitusjonene for de grupperte kontiene. Utvalget foreslår at unntaksregelen gjennomføres ved to separate bestemmelser, hvor den ene retter seg mot uavhengige jurister fra EØS-stater, og den andre mot uavhengige jurister fra tredjestater, jf. forslag til forskrift § 8 første ledd nr. 5 og nr. 6.

Unntaksregelen etter artikkel 11 nr. 2 (c) omfatter kunder som er «domestic public authorities». Det er etter utvalgets syn uklart om det her kun siktes til statlige og kommunale organer, eller om også private rettssubjekter som utøver offentlig myndighet omfattes. Dersom private rettssubjekter omfattes, vil dette etter utvalgets oppfatning kunne medføre avgrensningsproblemer. At et privat rettsubjekt er tilstått offentlig myndighet innebærer videre ikke i seg selv at rettssubjektet som kunde representerer liten risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger og terrorfinansiering. Utvalget foreslår på denne bakgrunn at unntaksregelen i norsk rett begrenses til kunder som er norske statlige eller kommunale forvaltningsorganer, jf. forslag til forskrift § 8 første ledd nr. 4. «Kommunale forvaltningsorganer» omfatter fylkeskommunale forvaltningsorganer, jf. tilsvarende forståelse i lov 10. februar 1967 om behandlingsmåten i forvaltningssaker § 1.

Etter artikkel 11 nr. 2 kan medlemsstatene gjøre unntak fra plikten til å foreta kundekontroll i forhold til andre kunder som representerer lav risiko for hvitvasking eller terrorfinansiering, og som oppfyller kriterier fastsatt i henhold til artikkel 40 nr. 1 (b). Slike kriterier er gitt ved kommisjonsdirektivet artikkel 3 nr. 1 og 2. Unntak i samsvar med artikkel 3 nr. 2 er omtalt og foreslått benyttet ovenfor. Artikkel 3 nr. 1 åpner for unntak der kunden er «entrusted with public functions» i henhold til EU-traktaten, fellesskapstraktatene eller sekundær EU-lovgivning. Utvalget kan ikke se at det er behov for unntak i samsvar med denne bestemmelsen.

Etter utvalgets oppfatning bør adgangen til unntak etter artikkel 11 nr. 5 for nærmere bestemte produkter og transaksjoner benyttes i norsk rett.

Artikkel 11 nr. 5 (a), (b) og (d) retter seg mot livsforsikring, pensjonsforsikring og visse typer ordninger som gir pensjonsytelser til ansatte. Etter lov 13. juni 1980 nr. 24 om ligningsforvaltning § 6 – 6 første ledd bokstav a og f skal livsforsikringsselskaper gi Skattedirektoratet oppgave over blant annet forsikringstakernes og de forsikredes navn, fødselsnummer og adresse. Oppgave skal sendes innen 20. januar året etter inntektsåret. Tilsvarende gjelder i forhold til begunstigede etter individuelle pensjonsavtaler og innskuddspensjon. Etter utvalgets oppfatning vil unntak i tråd med direktivets bestemmelser ha praktisk betydning, til tross for reglene om oppgaveplikt. Plikt til kundekontroll innebærer at det må foretas bekreftelse av identitet på grunnlag av gyldig legitimasjon, noe som normalt skal skje før kundeforhold etableres. Krav om tilsvarende kontrolltiltak kan neppe innfortolkes i reglene om oppgaveplikt.

Artikkel 11 nr. 5 (a) åpner for unntak ved tegning av livsforsikringspoliser, hvis den årlige premien ikke overstiger 1000 euro eller det skal belastes en engangspremie som ikke overstiger 2500 euro. Bestemmelsen innebærer en språklig forenkling i forhold til første hvitvaskingsdirektiv artikkel 3 nr. 3, som er gjennomført ved hvitvaskingsforskriften § 7 første ledd bokstav c. Utvalget foreslår en tilsvarende forenkling i norsk rett. Videre forslår utvalget at beløpsgrensene i norsk rett knyttes til euro, for å sikre overensstemmelse med direktivet ved endringer i kronekursen, jf. forslag til forskrift § 8 annet ledd nr. 1.

Etter artikkel 11 nr. 5 (b) kan det unntas fra plikten til å utføre kundekontroll ved tegning av pensjonsforsikringspolise, hvis polisen ikke inneholder en gjenkjøpsklausul, og ikke kan tjene som sikkerhet for lån. Bestemmelsen innebærer en språklig forenkling i forhold første hvitvaskingsdirektiv artikkel 3 nr. 4, som er gjennomført ved hvitvaskingsforskriften § 7 første ledd bokstav c. Forenklingen består i at det ikke lenger er krav om at polisen blir tegnet i henhold til en arbeidsavtale eller forsikredes yrke. Utvalget foreslår en tilsvarende forenkling i norsk rett, jf. forslag til forskrift § 8 annet ledd nr. 2.

Unntaksregelen etter artikkel 11 nr. 5 (c) omfatter ordninger som gir pensjonsytelser til ansatte, hvis bidragene innbetales som fratrekk i lønn, og reglene for ordningen ikke tillater overdragelse av et medlems rettigheter i henhold til ordningen. Utvalget anser slike ordninger for å representere lav risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger og terrorfinansiering, og foreslår regelen gjennomført i forslag til forskrift § 8 annet ledd nr. 4.

Etter artikkel 11 nr. 5 (d) kan det unntas fra plikten til å utføre kundekontroll ved utstedelse av elektroniske penger, forutsatt at det høyeste beløpet som lagres på det elektroniske mediet er 150 euro og mediet ikke kan lades opp igjen, eller det fastsettes en grense på 2500 euro for det samlede overførte beløp i et kalenderår, med mindre ihendehaveren har innløst et beløp på minst 1000 euro i samme kalenderår. Utvalget anser at utstedelse av elektroniske penger med slike beløpsgrenser vil representere lav risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger og terrorfinansiering, og foreslår regelen gjennomført i forslag til forskrift § 8 annet ledd nr. 5. Utstedelse av elektroniske penger er på det nåværende tidspunkt ikke særlig vanlig i Norge.

I gjeldende hvitvaskingsforskrift § 7 første ledd bokstav e er det gjort unntak fra plikt til legitimasjonskontroll og registrering ved tegning av skadeforsikringspoliser, herunder reiseforsikringspoliser, og kredittforsikringspoliser, i foretak som har tillatelse til å drive slik virksomhet. Et tilsvarende unntak er ikke regulert i tredje hvitvaskingsdirektiv. Unntaksregelen vil kun være aktuelt for skadeforsikringsselskaper og kredittforsikringsselskaper. Ettersom direktivet kun er gitt anvendelse på forsikringsselskaper som tilbyr livsforsikringer, jf. artikkel 3 (2) (b), anser utvalget ikke unntaksregelen å være i strid med direktivet. Utvalget foreslår at regelen videreføres for plikten til å foreta kundekontroll etter lovforslaget § 6 første ledd nr. 1, 2 og 4, jf. forslag til forskrift § 8 annet ledd nr. 3.

Hvitvaskingsforskriften § 7 første ledd bokstav b gjør unntak fra plikt til legitimasjonskontroll og registrering ved tegning av forsikringspolise, forutsatt at premieinnbetaling skjer ved debitering av en konto opprettet i kundens navn i en kredittinstitusjon som er underlagt annet hvitvaskingsdirektiv, eller på annet grunnlag har forvisset seg om, og registrert opplysningene om, kundens identitet. Unntaksregelen har ikke direkte motstykke i tredje hvitvaskingsdirektiv. Etter artikkel 11 nr. 5 kan medlemsstatene gjøre unntak fra plikten til å foreta kundekontroll i forhold til produkter og transaksjoner som representerer lav risiko for hvitvasking eller terrorfinansiering, og som oppfyller kriterier fastsatt i henhold til artikkel 40 nr. 1 (b). Slike kriterier er gitt ved kommisjonsdirektivet artikkel 3 nr. 3, som langt på vei åpner for unntak i samsvar med hvitvaskingsforskriften § 7 første ledd bokstav b. Ved unntak for forsikringspoliser og «savings products of similar nature» etter kommisjonsdirektivet, skal imidlertid beløpsgrensene i tredje hvitvaskingsdirektiv artikkel 11 nr. 5 (a) gis anvendelse. På denne bakgrunn kan unntaksregelen i hvitvaskingsforskriften § 7 første ledd bokstav b ikke videreføres. Som nevnt foreslår utvalget at artikkel 11 nr. 5 (a) om unntak for livsforsikringspoliser gjennomføres i norsk rett, og at hvitvaskingsforskrift § 7 første ledd bokstav e om unntak for skadeforsikringspoliser og kredittforsikringspoliser videreføres. Ytterligere unntak for forsikringsprodukter i medhold av kommisjonsdirektivet artikkel 3 nr. 3 vil etter utvalgets oppfatning være overflødige ved siden av de foreslåtte unntaksreglene. Utvalget ser ikke behov for å gjøre unntak for andre produkter eller transaksjoner i medhold av kommisjonsforordningen.

Utvalget foreslår at det lovfestes plikt for de rapporteringspliktige til å innhente tilstrekkelige opplysninger til å fastslå om forholdet kvalifiserer til unntak, før unntaksadgang eventuelt anvendes, jf. lovforslaget § 12 første ledd annet punktum.

Forbudet mot opprettelse av anonyme konti, jf. punkt 4.4, gjelder også ved forenklet kundekontroll. Utvalget foreslår på denne bakgrunn at det ikke gjøres unntak fra plikt til registrering av opplysninger om kunden ved opprettelse av konti, jf. lovforslaget § 12 annet ledd.

4.10 Løpende oppfølging

4.10.1 EØS-rett

Etter direktivet artikkel 8 nr. 1 (d) skal «customer due diligence» omfatte «ongoing monitoring» av kundeforholdet. Dette omfatter blant annet undersøkelse («scrutiny») av transaksjoner foretatt i løpet av kundeforholdet for å sikre at transaksjoner som utføres er i samsvar med institusjonens eller personens kjennskap til kunden og kundens virksomhets- og risikoprofil. Videre skal dokumenter, data og informasjon holdes oppdatert.

Etter artikkel 9 nr. 6 skal kundekontroll ikke bare anvendes for nye kunder, men også, på passende tidspunkter, for eksisterende kunder, på grunnlag av en risikovurdering.

Bestemmelsene tilsvarer FATF-anbefaling 5 tredje ledd d) og siste ledd, og er nye i forhold til første og annet hvitvaskingsdirektiv.

4.10.2 Norsk rett

Norsk rett inneholder ikke bestemmelser om løpende oppfølging av etablerte kundeforhold, eller gjennomføring av kundekontroll på passende tidspunkter på grunnlag av en risikovurdering.

4.10.3 Utvalgets vurdering

Slik utvalget forstår kravet om «ongoing monitoring», innebærer dette en plikt til kontinuerlig oppfølging. Bestemmelsen synes redaksjonelt sett å harmonere dårlig med de øvrige regler om «customer due diligence». Reglene om inntreden av plikt etter direktivet artikkel 7 knyttes til konkrete skjæringspunkter, og de øvrige kontrolltiltak etter artikkel 8 fremstår som plikter av relativt kortvarig karakter for oppnåelse av konkrete informasjon, jf. punkt 4.3 og 4.4. Det siste viser seg også i direktivet artikkel 9 nr. 5, som kun knytter konsekvenser til at kontrolltiltak som nevnt i artikkel 8 nr. 1 (a) til (c) ikke kan gjennomføres.

Etter utvalgets oppfatning fremstår det naturlig å skille ut plikten til løpende oppfølging i en selvstendig bestemmelse, atskilt fra reglene om plikt til å foreta og gjennomføring av kundekontroll, jf. lovforslaget § 13. Avviket fra direktivets og FATF-anbefalingenes systematikk er ikke ment å medføre noen realitetsforskjell.

Etter direktivet vil kravet om løpende oppfølging blant annet innebære at rapporteringspliktige skal påse at transaksjoner som utføres er i samsvar med deres kjennskap til kunden og dens virksomhet. I forhold til transaksjoner som utføres av kunden selv, ved hjelp av nettbank eller lignende, legger utvalget til grunn at en slik plikt kun vil gjelde for transaksjoner som den rapporteringspliktige blir kjent med, og det foreslås at dette fremgår av lovteksten. Ved kundeforhold hvor en forutgående kontroll av transaksjoner av praktiske grunner vanskelig lar seg gjennomføre, legger utvalget til grunn at en etterfølgende kontroll vil være tilstrekkelig. Videre skal rapporteringspliktige oppdatere dokumentasjon og opplysninger om kunden. Løpende oppfølging skal foretas på grunnlag en risikobasert tilnærming, jf. punkt 4.2.

På bakgrunn av lovforslaget § 13 om løpende oppfølging og lovforslaget § 6 første ledd nr. 4 om plikt til å foreta kundekontroll ved tvil om innhentede opplysninger om kunden er korrekte eller tilstrekkelige, fremstår det etter utvalgets oppfatning som overflødig å fastsette plikt til å foreta kundekontroll på passende tidspunkter på grunnlag av en risikovurdering. Direktivet artikkel 9 nr. 6 anses gjennomført ved de nevnte bestemmelsene i lovforslaget.

Etter den tidligere finansieringsvirksomhetsloven § 2 – 17 gjaldt kravet om identitetskontroll bare for kundeforhold etablert etter bestemmelsens ikrafttredelse 1. januar 1994, og dette prinsippet ble videreført ved vedtakelsen av hvitvaskingsloven, jf. Ot.prp. nr. 72 (2002 – 2003) punkt 7.4. Lovforslaget §§ 13 og 6 første ledd nr. 4, om løpende oppfølging og kundekontroll ved tvil knyttet til innhentede opplysninger, gjelder imidlertid generelt for alle etablerte kundeforhold. Basert på konkrete risikovurderinger vil det således kunne anses påkrevd for rapporteringspliktige å gjennomføre kundekontroll i forhold til kundeforhold etablert før 1. januar 1994.

4.11 Forsterkede kontrolltiltak

4.11.1 EØS-rett

Direktivet artikkel 13 inneholder regler om forsterkede kontrolltiltak («enhanced customer due diligence»).

Etter artikkel 13 nr. 1 skal institusjoner og personer som omfattes av direktivet anvende ytterligere kontrolltiltak, i tillegg til de tiltak som følger av reglene om kundekontroll og løpende oppfølging, i situasjoner som ut fra sin art innebærer høy risiko for hvitvasking eller terrorfinansiering. Kontrolltiltakene skal anvendes på grunnlag av en risikobasert tilnærming. Bestemmelsen har et visst motstykke i FATF-anbefaling 5 fjerde ledd tredje punktum, hvoretter institusjoner skal iverksette forsterkede kontrolltiltak i forhold til «higher risk categories», og er ny i forhold til de foregående hvitvaskingsdirektiver.

I artikkel 13 nr. 2 til 4 angis enkelte konkrete situasjoner hvor forsterkede kontrolltiltak skal anvendes. I tillegg henviser artikkel 13 nr. 1 til andre situasjoner som representerer høy risiko for hvitvasking og terrorfinansiering ut fra kriterier fastsatt av Kommisjonen i henhold til artikkel 40 nr. 1 (c). Slike bestemmelser er ikke gitt.

Etter direktivet artikkel 13 nr. 2 skal det treffes konkrete og egnede tiltak («specific and adequate measures») der kunden ikke har vært fysisk til stede for identifikasjonsformål for å kompensere for den høyere risikoen, for eksempel ved at kundens identitet fastslås ved supplerende dokumenter, data eller opplysninger (punkt a), ved at det settes sette i verk supplerende tiltak for å kontrollere eller sertifisere de leverte dokumenter, eller kreves bekreftende attestering ved en kreditt- eller finansinstitusjon som omfattes av direktivet (punkt b), eller ved at det sikres at første betaling i forbindelse med transaksjoner utføres via en konto som er åpnet i kundens navn hos en kredittinstitusjon (punkt c). Artikkel 13 nr. 2 har et visst motstykke i FATF-anbefaling 8 annet punktum, hvoretter «financial institutions» skal ha prosedyrer for å imøtekomme «any specific risks associated with non-face to face business relationships or transactions». Første hvitvaskingsdirektiv artikkel 3 er utformet på samme måte som FATF-anbefaling 8 annet punktum.

Ved korrespondentbankforbindelser («correspondent banking relationships») med institusjoner fra tredjestater, skal kredittinstitusjoner etter artikkel 13 nr. 3 innhente tilstrekkelige opplysninger om korrespondentinstitusjonen til fullt ut å forstå arten av dens virksomhet, og på grunnlag av offentlig tilgjengelige opplysninger fastslå institusjonens omdømme og tilsynets kvalitet (punkt a), vurdere korrespondentinstitusjonens kontrolltiltak for forebyggelse og bekjempelse av hvitvasking og terrorfinansiering (punkt b), påse at beslutningstaker innhenter samtykke fra «senior management» før etablering av nye korrespondentbankforbindelser (punkt c), dokumentere den enkelte institusjons ansvar (punkt d), samt i forbindelse med «payable-through accounts», forsikre seg om at korrespondentinstitusjonen har verifisert identiteten til og utfører løpende oppfølging av kunder som har direkte adgang til konti hos kredittinstitusjonen, og at korrespondentinstitusjonen på anmodning kan framlegge relevante opplysninger fra kundekontrollen til kredittinstitusjonen (punkt e). I direktivets fortale punkt 26 fremgår det at kravet om samtykke fra «senior management» etter artikkel 13 nr. 3 (c) innebærer at beslutningstaker må innhente samtykke fra sin direkte overordnede («immediate higher level of the hierarchy»). Artikkel 13 nr. 3 tilsvarer FATF-anbefaling 7, og er ny i forhold til de foregående hvitvaskingsdirektiver.

Artikkel 13 nr. 4 inneholder krav om forsterkede kontrolltiltak overfor politisk eksponerte personer som er bosatt («residing») i en annen medlemsstat eller en tredjestat. Med «politisk eksponerte personer» menes etter artikkel 3 (8) fysiske personer som innehar eller har innehatt høytstående offentlige verv eller stillinger, samt nære familiemedlemmer eller personer som er kjente medarbeidere til slike personer. Med hjemmel i direktivet artikkel 40 nr. 1 (b) er det i kommisjonsdirektivet artikkel 2 fastsatt nærmere regler om hvilke personer som skal anses som politisk eksponerte personer. Etter kommisjonsdirektivet artikkel 2 nr. 4 er institusjoner og personer som omfattes av direktivet ikke forpliktet til å anse en person som politisk eksponert dersom det har gått minst ett år siden vedkommende fratrådte stillingen eller vervet. Institusjoner og personer som omfattes av direktivet skal ha til rådighet egnede risikobaserte framgangsmåter for å fastslå om kunden er en politisk eksponert person (punkt a), påse at beslutningstaker innhenter samtykke fra overordnet før etablering av kundeforhold med slike kunder (punkt b), treffe egnede tiltak for å fastslå opprinnelsen til kundens formue og den kapital som inngår i kundeforholdet eller transaksjonen (punkt c) og føre forsterket løpende oppfølging («enhanced ongoing monitoring») av kundeforholdet (punkt d).

Artikkel 13 nr. 4 tilsvarer FATF-anbefaling 6. På ett punkt er det imidlertid ulikhet mellom direktivet og FATF-anbefalingen. Etter det såkalte Glossary til FATFs 40 anbefalinger benyttes uttrykket «politisk eksponerte personer» om personer som innehar eller har innehatt høytstående offentlige verv eller stillinger i en annen stat, mens direktivet knytter uttrykket til personer som innehar eller har innehatt høytstående offentlige verv eller stillinger og er bosatt («residing») i en annen stat. Direktivet dekker således etter sin ordlyd personer som innehar eller har innehatt høytstående offentlige verv eller stillinger i Norge, men som er bosatt i utlandet. I FATFs tolkingsuttalelse («Interpretative Note») til anbefaling 6 oppfordres statene til å utvide anbefalingens anvendelsesområde til personer som innehar høytstående offentlige verv eller stillinger innenlands. Første og annet hvitvaskingsdirektiv inneholder ikke regler om forsterkede kontrolltiltak overfor politisk eksponerte personer.

Etter artikkel 13 nr. 5 skal kredittinstitusjoner ikke delta i eller opprettholde korrespondentbankforbindelser med tomme bankselskaper («shell banks»). Videre skal kredittinstitusjoner treffe egnede tiltak for å sikre at de ikke inngår eller opprettholder korrespondentbankforbindelser med banker som er kjent for å tillate at deres konti brukes av tomme bankselskaper. Begrepet «shell bank» er definert i artikkel 3 (10), og omfatter kredittinstitusjoner, eller institusjoner som utøver tilsvarende virksomhet, som er «incorporated in a jurisdiction in which it has no physical presence, involving meaningful mind and management, and which is unaffiliated with a regulated financial group». Artikkel 13 nr. 5 tilsvarer FATF-anbefaling 18 annet og tredje punktum. Første og annet hvitvaskingsdirektiv inneholder ikke regler om forholdet til tomme bankselskaper.

Etter artikkel 13 nr. 6 skal det vies særlig oppmerksomhet til enhver risiko for hvitvasking av penger eller finansiering av terrorisme som kan forekomme i forbindelse med produkter eller transaksjoner som fremmer anonymitet, og om nødvendig treffes tiltak for å hindre at disse benyttes til hvitvasking eller terrorfinansiering. FATF-anbefaling 8 første punktum pålegger institusjonene en tilsvarende forpliktelse overfor risiko for hvitvasking som kan oppstå «from new or developing technologies» som fremmer anonymitet. Bestemmelsen er ny i forhold til de foregående hvitvaskingsdirektiver.

4.11.2 Norsk rett

Første hvitvaskingsdirektiv artikkel 3 er gjennomført i norsk rett ved hvitvaskingsloven § 5 fjerde ledd, hvoretter identitetskontroll som hovedregel skal skje ved kundens personlige fremmøte hos den rapporteringspliktige. Unntak kan gjøres dersom personlig fremmøte er til vesentlig ulempe for kunden eller ikke er praktisk gjennomførbart, såfremt betryggende identitetskontroll likevel kan finne sted.

For øvrig inneholder norsk rett ikke regler om forsterkede kontrolltiltak ved situasjoner som etter sin art representerer høy risiko for hvitvasking eller terrorfinansiering.

4.11.3 Utvalgets vurdering

4.11.3.1 Generell plikt til forsterkede kontrolltiltak

I samsvar med direktivet artikkel 13 nr. 1, foreslår utvalget at det lovfestes en generell plikt for rapporteringspliktige til å anvende ytterligere kontrolltiltak i situasjoner som ut fra sin art innebærer høy risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller til forhold som rammes av straffeloven §§ 147a eller 147b, i tillegg til de tiltak som følger av kundekontroll og løpende oppfølging, jf. lovforslaget § 14 første ledd. De forsterkede kontrolltiltak skal anvendes på grunnlag av en risikovurdering. De samme momenter som inngår i den alminnelige risikovurderingen for kundekontroll og løpende oppfølging, jf. punkt 4.2, vil være aktuelle ved vurderingen.

Utvalget foreslår at departementet gis hjemmel til å fastsette nærmere regler i forskrift om hvilke situasjoner som utløser plikt til forsterkede kontrolltiltak og hvilke tiltak som i slike tilfeller skal anvendes, jf. lovforslaget § 14 femte ledd.

4.11.3.2 Personlig fremmøte

Som nevnt under punkt 4.4.3.2, foreslår utvalget at hovedregelen om kundens personlige fremmøte hos den rapporteringspliktige etter hvitvaskingsloven § 5 fjerde ledd oppheves. Regelen foreslås erstattet av et krav om ytterligere dokumentasjon som bekrefter vedkommendes identitet i tilfeller hvor kunden benytter fysisk legitimasjon, og ikke har vært fysisk til stede hos den rapporteringspliktige, jf. lovforslaget § 7 fjerde ledd. Den supplerende dokumentasjon vil typisk bekrefte den fysiske legitimasjonens tilhørighet til kunden, for eksempel i form av navnetrekk.

Den foreslåtte bestemmelsen er i samsvar med tiltak som nevnt i direktivet artikkel 13 nr. 2 (a), og tilfredsstiller etter utvalgets syn kravet om forsterkede kontrolltiltak overfor kunder som ikke har vært fysisk tilstede for identifikasjonsformål.

Utvalget fremhever at den rapporteringspliktige på bakgrunn av en risikovurdering vil måtte ta stilling til om den dokumentasjonen som fremlegges er tilstrekkelig for å bekrefte kundens identitet, jf. punkt 4.2.

4.11.3.3 Korrespondentbankforbindelser

Begrepet «correspondent banking relationship» er ikke definert i direktivet, og begrepet «korrespondentbankforbindelse» er ikke definert i norsk lovgivning. Etter det utvalget har fått opplyst, benyttes begrepet «korrespondentbank» i alminnelighet om en utenlandsk bank som en norsk kredittinstitusjon (respondentbanken) har inngått en samarbeidsavtale med i den hensikt å utføre betalingsoppdrag for sine kunder. Et korrespondentbankforhold kan innebære risiko for hvitvasking og terrorfinansiering ved at banken som utfører betalingen ikke har direkte kontakt med de involverte parter, og dermed har liten eller ingen innsikt i hva den aktuelle transaksjonen gjelder.

Lovforslaget § 15 første ledd gjennomfører artikkel 13 nr. 3, og pålegger kredittinstitusjoner plikter ved korrespondentbankforbindelser med institusjoner fra tredjestater.

For det første skal kredittinstitusjoner innhente tilstrekkelige opplysninger om korrespondentinstitusjonen til fullt ut å forstå arten av dens virksomhet, og på grunnlag av offentlig tilgjengelige opplysninger fastslå institusjonens omdømme og tilsynets kvalitet. Offentlig tilgjengelige opplysninger omfatter eksempelvis informasjon fra tilsynsorganer.

For det andre skal kredittinstitusjoner vurdere korrespondentinstitusjonens kontrolltiltak for forebyggelse og bekjempelse av handlinger som beskrevet i straffeloven §§ 317 og 147b. Utvalget anser det hensiktsmessig å henvise til straffelovens gjerningsbeskrivelser fremfor å benytte de mer upresise begrepene «hvitvasking» og «terrorfinansiering».

For det tredje skal kredittinstitusjoner påse at beslutningstaker innhenter samtykke fra overordnet før etablering av nye korrespondentbankforbindelser. Med beslutningstaker menes den ansatte som avgjør om det skal etableres korrespondentbankforbindelse.

For det fjerde skal kredittinstitusjoner dokumentere den enkelte institusjons ansvar. Utvalget antar ansvarsfordeling normalt vil fremgå av avtalen om etablering av korrespondentbankforbindelsen.

For det femte skal kredittinstitusjoner, i forbindelse med gjennomstrømningskonti, forsikre seg om at korrespondentinstitusjonen har verifisert identiteten til, og gjennomfører løpende oppfølging av, kunder som har direkte adgang til konti hos kredittinstitusjonen, og at korrespondentinstitusjonen på anmodning kan fremlegge relevante opplysninger fra kundekontrollen til kredittinstitusjonen. Gjennomstrømningskonti omfatter konti i en kredittinstitusjon som en korrespondentinstitusjons kunder har direkte adgang til.

Lovforslaget § 15 annet ledd gjennomfører artikkel 13 nr. 5 og FATF-anbefaling 18. Bestemmelsen forbyr kredittinstitusjoner å inngå eller opprettholde korrespondentbankforbindelser til tomme bankselskaper. Videre skal kredittinstitusjoner treffe egnede tiltak for å sikre at de ikke inngår eller opprettholder korrespondentbankforbindelser med kredittinstitusjoner som er kjent for å tillate at deres konti brukes av tomme bankselskaper.

Begrepet «tomt bankselskap» foreslås definert i samsvar med definisjonen i artikkel 3 (10), jf. lovforslaget § 15 tredje ledd.

4.11.3.4 Politisk eksponerte personer

Direktivets bestemmelser om forsterkede kontrolltiltak overfor politisk eksponerte personer foreslås gjennomført i lovforslaget § 14 annet ledd.

Rapporteringspliktige skal ha til rådighet egnede risikobaserte fremgangsmåter for å fastslå om kunden er en politisk eksponert person. Det forventes ikke at rapporteringspliktige avdekker samtlige politisk eksponerte personer det etableres kundeforhold til eller utføres transaksjoner for. Det skal imidlertid etableres risikobaserte rutiner som er egnet til å fastslå om kunden er en politisk eksponert person. Flere av de momenter som ligger til grunn for risikovurdering ved alminnelig kundekontroll, jf. punkt 4.2.3, vil her være aktuelle. I kommisjonsdirektivets fortale punkt 1 fremheves det at bruk av ressurser særlig skal fokusere på produkter og transaksjoner som karakteriseres av høy risiko for hvitvasking.

Det kan reises spørsmål om reglene om politisk eksponerte personer innebærer et krav om kontroll av utenlandske kunder opp mot lister over kjente politisk eksponerte personer. Det finnes flere tilbydere av slike lister, herunder nettbaserte lister. 1 Også FNs sanksjonskomités liste over personer, foretak og organisasjoner som antas å ha tilknytning til Usama bin Laden, Al-Qaida og Taliban 2 og EUs liste over terrorgrupper og terrororganisasjoner vil kunne være relevante. På bakgrunn av den risikobaserte tilnærmingen som direktivet bygger på, antar utvalget at det ikke på generell basis kan oppstilles et krav om kontroll av kunder opp mot slike lister. For enkelte grupper rapporteringspliktige, særlig forhandlere av gjenstander, ville en slik generell plikt også fremstå som unødvendig byrdefull. Et mulig kontrolltiltak er at den rapporteringspliktige, i forbindelse med alminnelig kundekontroll av utenlandske kunder, spør kunden om dennes yrke. Dersom kunden kommer fra en stat som er kjent for å ha utstrakt korrupsjon, eller det foreligger andre omstendigheter som øker sannsynligheten for at vedkommende er en politisk eksponert person, vil det kunne være nødvendig med ytterligere undersøkelser.

Prinsippet om risikobasert tilnærming innebærer at det vil kunne stilles ulike krav til de fremgangsmåter rapporteringspliktige skal ha til rådighet, avhengig av type rapporteringspliktig og virksomhetens art. Eksempelvis må finansinstitusjoner normalt forventes å gå grundigere til verks enn forhandlere av gjenstander. For forhandlere av møbler eller elektriske artikler vil det i alminnelighet neppe anses påkrevd at det iverksettes særlige undersøkelser av om kunden er en politisk eksponert person, mens dette etter omstendighetene vil kunne være et krav for kunstforhandlere. Prinsippet om risikobaserte tilnærming gjelder bare i forhold til fremgangsmåter for å fastslå om kunden er en politisk eksponert person – dersom den rapporteringspliktige er kjent med at vedkommende kunde er en politisk eksponert person, må det iverksettes kontrolltiltak som beskrevet i direktivet artikkel 13, jf. nedenfor.

I forbindelse med kundeforhold med, eller transaksjoner for, politisk eksponerte personer, skal rapporteringspliktige gjennomføre visse kontrolltiltak. Det skal påses at beslutningstaker innhenter samtykke fra overordnet før etablering av kundeforhold. Med beslutningstaker menes den ansatte som avgjør om det skal etableres kundeforhold med personen. Videre skal det treffes egnede tiltak for å fastslå opprinnelsen til kundens formue, og den kapital som inngår i kundeforholdet eller transaksjonen. Hvilke tiltak som er egnede vil bero på en konkret risikovurdering. Det naturlige utgangspunktet vil være at informasjon etterspørres fra kunden. Endelig skal det føres forsterket løpende oppfølging med kundeforholdet. Det vises til omtalen av løpende oppfølging under punkt 4.10.

Som nevnt er det ikke samsvar mellom definisjonene av «politisk eksponerte personer» i direktivet og FATF-anbefaling 6. Etter sin ordlyd dekker direktivets definisjon personer som innehar eller har innehatt høytstående offentlige verv eller stillinger i Norge, men som er bosatt i utlandet. FATF-anbefaling 6 retter seg kun mot nåværende og tidligere innehavere av høytstående offentlige verv eller stillinger i en annen stat. I FATFs tolkingsuttalelse til anbefaling 6 blir statene imidlertid oppfordret til å utvide anvendelsesområdet til personer som innehar eller som har innehatt slike stillinger og verv innenlands. Direktivets regler om politisk eksponerte personer har sitt forbilde i FATFs anbefalinger, og det foreligger ikke særlige holdepunkter for at direktivet er ment å favne annerledes enn FATFs anbefalinger. Videre vil en definisjon i samsvar med direktivets ordlyd ikke omfatte personer som har innehatt høytstående verv eller stillinger i stater med utbredt korrupsjon, dersom disse nå er bosatt i Norge. Dette kan etter utvalgets oppfatning ikke være tilsiktet. Utvalget anser at det er i overensstemmelse med direktivet om politisk eksponerte personer begrenses til personer som innehar eller har innehatt høytstående verv eller stilling i en annen stat enn Norge. Dersom personer som innehar eller har innehatt verv eller stillinger i Norge skal omfattes, vil dette medføre at de rapporteringspliktige må bruke ressurser som etter utvalgets syn ikke står i forhold til risikoen for hvitvasking. På denne bakgrunn foreslår utvalget at norsk rett legger til grunn en definisjon rettet mot personer som innehar eller har innehatt høytstående offentlig verv eller stilling i en annen stat enn Norge.

Etter FNs konvensjon mot korrupsjon artikkel 52 nr. 1 skal statene pålegge finansinstitusjoner å føre økt kontroll med konti tilhørende enkeltpersoner som innehar eller har innehatt fremtredende offentlige verv samt deres nærstående. Konvensjonen er ratifisert av Norge 29. juni 2006. Etter ordlyden er bestemmelsen ikke begrenset til personer med offentlige verv i utlandet. Utvalget antar imidlertid at forpliktelsene etter konvensjonen vil være oppfylt ved at personer med offentlige verv i Norge vil være underlagt reglene om kundekontroll.

Utvalget foreslår at det lovfestes en definisjon av «politisk eksponerte personer» som omfatter fysiske personer som innehar eller i løpet av det siste året har innehatt høytstående offentlig verv eller stilling i en annen stat enn Norge, samt nære familiemedlemmer og kjente medarbeidere til slike personer, jf. lovforslaget § 14 tredje ledd. Videre foreslås at departementet gis hjemmel til å fastsette nærmere regler i forskrift om hvem som skal omfattes av definisjonen, jf. lovforslaget § 14 femte ledd. For personer som har fratrådt høytstående offentlig verv eller stillinger for mer enn ett år siden, vil rapporteringspliktige kunne være forpliktet til å iverksette forsterkede kontrolltiltak etter den alminnelige regel i lovforslaget § 14 første ledd.

Reglene i kommisjonsdirektiv 2006/70/EF artikkel 2 over hvilke personer som skal anses som politisk eksponerte personer foreslås inntatt i forskrift, jf. forslag til forskrift § 9.

Innehaver av høytstående offentlig verv eller stilling omfatter:

• statsoverhode, regjeringssjef, minister eller assisterende minister,

• medlem av nasjonalforsamling,

• medlem av høyere rettsinstans som treffer beslutninger som bare unntaksvis kan ankes,

• medlem av styre i riksrevisjon, revisjonsdomstol eller sentralbank,

• ambassadør, chargé d’affaires eller militær offiser av høyere rang,

• medlem av administrativt, ledende eller kontrollerende organ i et statseid foretak,

• innehaver av tilsvarende verv eller stilling i en internasjonal organisasjon.

Utvalget legger til grunn at «assisterende ministere» vil omfatte personer som kan møte på vegne av regjeringsmedlemmer i nasjonalforsamlinger, slik ordningen for eksempel er i Storbritannia. Videre legges til grunn at «statseide foretak» kun vil omfatte foretak hvor en stat gjennom eierskap eller på annet grunnlag utøver kontroll, og ikke ethvert foretak hvor staten har eierandeler.

Nært familiemedlem omfatter ektefelle eller partner som etter nasjonal lovgivning sidestilles med ektefelle, barn, ektefelle eller partner til barn samt forelder.

En kjent medarbeider er en fysisk person som er kjent for å (i) være reell rettighetshaver i juridisk person eller formuesmasse i felleskap med en person som innehar eller i løpet av det siste året har innehatt høytstående offentlig verv eller stilling i en annen stat enn Norge, (ii) ha nær forretningsforbindelse til en slik person, eller (iii) være eneste reelle rettighetshaver i juridisk person eller formuesmasse som i realiteten er etablert for å begunstige en slik person. I kommisjonsdirektivets fortale punkt 4 er det uttalt at plikten til å identifisere kjente medarbeidere kun gjelder i den grad relasjonen er offentlig kjent eller det er grunnlag for å tro at det foreligger en slik relasjon. Det er ingen forutsetning at institusjoner og personer som omfattes av direktivet gjør aktive granskinger («it does not presuppose active research»).

4.11.3.5 Anonymitet

På bakgrunn av direktivet artikkel 13 nr. 6 foreslår utvalget at det lovfestes plikt for rapporteringspliktige til å vie særlig oppmerksomhet til produkter og transaksjoner som fremmer anonymitet, og om nødvendig iverksette tiltak for å forebygge transaksjoner med tilknytning til utbytte av straffbare handlinger eller til forhold som rammes av straffeloven §§ 147a eller 147b, jf. lovforslaget § 14 fjerde ledd.

Bestemmelsen er langt på vei en presisering av den alminnelige regelen om plikt til forsterkede kontrolltiltak, lovforslaget § 14 første ledd, ettersom produkter og transaksjoner som fremmer anonymitet i alminnelighet må antas å representere en høy risiko for hvitvasking og terrorfinansiering.