5 Kundetiltak og løpende oppfølging

5.1 Innledning

5.1.1 Termen «kundetiltak»

Gjeldende hvitvaskingslov har bestemmelser om kundekontroll og løpende oppfølging i kapittel 2. Utvalget foreslår at uttrykket «kundekontroll» byttes ut med «kundetiltak».

Formålet med å gjennomføre kundetiltak er at de rapporteringspliktige skal kjenne sine kunder. Direktivet bruker formuleringen «customer due diligence measures», som i tillegg til kundetiltak omfatter løpende oppfølging. Dette omtales også i enkelte land som «kjenn-din-kunde»-prinsippet («know your customer» – KYC). Ved at de rapporteringspliktige kjenner identiteten til kunden og reelle rettighetshavere og kundeforholdets formål og tilsiktede art, kan de iverksette risikobaserte tiltak for avdekke og hindre hvitvasking og terrorfinansiering.

Etter utvalgets oppfatning er termen «kundekontroll» uheldig fordi det leder tanken hen til innhenting og kontroll av identifikasjon. «Kundekontroll» kan altså oppfattes som en ren legitimasjonskontroll. Dette er åpenbart ikke hensikten, og heller ikke noe gjeldende regelverk legger opp til. Legitimasjonskontroll er bare en del av de tiltakene «kundekontrollen» skal omfatte. Slik utvalget ser det, vil termen «kundetiltak» bedre beskrive de tiltak som kreves. Selv om ikke direktivbestemmelsene er vesentlig endret på dette punktet, mener utvalget at den terminologiske endringen som foreslås i loven vil gi bedre forståelse av de samlede forpliktelsene som påhviler de rapporteringspliktige. Kundetiltak vil bestå av to hovedkomponenter: Klarlegging av kundens og reell rettighetshavers identitet og klarlegging av kundeforholdets eller transaksjonens formål og tilsiktede art. Under hver av disse aspektene må de rapporteringspliktige for det første innhente opplysninger, og for det andre bekrefte opplysningene. For det tredje kreves det at de rapporteringspliktige gjør en vurdering av opplysningene.

Utvalget har vurdert ulike forslag til terminologi som kan benyttes i det norske regelverket for bedre å få frem at tiltakene omfatter mer enn en kontroll av legitimasjonsdokumenter. I den svenske direktivteksten benyttes termen «åtgärder för kundekännedom». I den danske versjonen benyttes termen «kundekendskabsprocedurer». En mulighet i norsk rett er å benytte terminologien «tiltak for å oppnå kundekjennskap». Et annet alternativ er termen «kundekjennskapstiltak». Slik utvalget ser det, er ingen av disse løsningene hensiktsmessige fordi det vil innebære at lovteksten blir vanskelig tilgjengelig og ordbruken virker fremmed i norsk språk. Termen utvalget har valgt, «kundetiltak», gjør lovteksten klarere. «Kundetiltak» er ment å tilsvare «customer due diligence measures» etter direktivet og FATFs anbefalinger. Etter systematikken i gjeldende hvitvaskingslov omfatter imidlertid ikke «kundekontroll» løpende oppfølging, se nærmere om dette i punkt 5.9. Uttrykket «kundetiltak» er også mer generelt enn «kundekontroll» og vil, slik utvalget ser det, i mindre grad lede oppmerksomheten til den første kontakten mellom rapporteringspliktig og kunden.

For å være i stand til å gjennomføre løpende oppfølging av kundeforhold, vil det være sentralt at rapporteringspliktig klarlegger både kundens og reell rettighetshavers identitet og kundeforholdets formål og tilsiktede art. Denne informasjonen er avgjørende for å kunne oppdage aktivitet som avviker fra normalen og, dersom avvikene er mistenkelige, gjøre nærmere undersøkelser av om avvikene kan ha tilknytning til hvitvasking eller terrorfinansiering.

I det følgende vil termen «kundetiltak» benyttes, med unntak av beskrivelsen av gjeldende rett der termen «kundekontroll» benyttes. I punkt 5.2.4 er innholdet i kundetiltaksbestemmelsen i lovforslaget § 9 nærmere beskrevet. Punkt 5.2.4.2 til 5.2.4.5 inneholder en nærmere beskrivelse av kravene til klarlegging av kundens og reell rettighetshavers identitet, dvs. både kravene til innhenting av opplysninger og kravene til bekreftelse og vurdering av disse opplysningene. I punkt 5.2.4.9 omtales kravet til klarlegging av kundeforholdets og transaksjonens formål og tilsiktede art nærmere.

5.1.2 Begrepet «kunde»

Utvalget har i punkt 2.3.4.8 vurdert om begrepet «kunde» skal defineres i loven. Fordi det er vanskelig med tilstrekkelig presisjon å gi en definisjon av begrepet i alle relasjoner der det kan by på tvil, har utvalget valgt ikke å foreslå en definisjon. Utvalget velger likevel å knytte noen kommentarer til kundebegrepet her.

Kunden vil være personen eller foretaket den rapporteringspliktige har inngått avtale med om å yte sine tjenester til, eller handler med. Ofte vil kunden være den som betaler for oppdraget. I noen situasjoner kan også den som forsøker å handle måtte karakteriseres som en kunde. Det vil f.eks. gjelde en rapporteringsplikt dersom en kunde forsøker å opprette en bankkonto, men avvises som kunde fordi kundetiltak ikke kan gjennomføres og rapporteringspliktig har mistanke om hvitvasking eller terrorfinansiering. Det er ikke alltid kun én person som er den rapporteringspliktiges kunde. Dette beror på hvem det er inngått avtale med. En rapporteringspliktig kan inngå avtale med flere om å yte en tjeneste. Det kan også tilkomme flere kunder underveis. I enkelte tilfeller kan det også være kunder på begge sider av en transaksjon. Et eksempel er låneformidlingsoppdrag der både långiver og låntaker gir formidleren et oppdrag. I alle disse tilfellene skal kundetiltak gjennomføres overfor alle kunder.

Kundetiltakene loven beskriver skal gjøres overfor kunden. Rapporteringspliktige skal også klarlegge kundeforholdets formål og tilsiktede art. I denne forbindelse kan det også være andre involverte parter det er nødvendig at den rapporteringspliktige skaffer seg kunnskap om, selv om disse ikke er kunder. Hvem dette er og omfanget av informasjonsinnhentingen vil avhenge av en risikovurdering. Et eksempel er mellommannsforhold (megleroppdrag). Kunden er den som gir mellommannen oppdraget, men ofte vil det være nødvendig å gjøre tiltak for å klarlegge f.eks. hvem motparten i transaksjonen er. Dette innebærer ikke at motparten anses som en kunde.

Et utslag av dette finnes i dag i hvitvaskingsforskriften § 2 fjerde ledd, om at eiendomsmeglere ved salgsoppdrag også skal bekrefte identiteten til kjøper av eiendommen ved gyldig legitimasjon. I et eiendomsmeglingsoppdrag vil kunden være selger av eiendommen, fordi det er vedkommende som gir megler oppdraget og betaler for dette. Samtidig vil det være nødvendig for megleren også å gjøre visse tiltak overfor kjøper av eiendommen for å ha en tilfredsstillende forståelse av kundeforholdets formål og tilsiktede art. Andre rapporteringspliktige som opptrer som mellommenn kan, ut fra en risikovurdering, være forpliktet til å gjennomføre tiltak overfor andre enn sine kunder for å klarlegge kundeforholdets formål og tilsiktede art.

5.1.3 Omstrukturering

Fjerde hvitvaskingsdirektiv bygger på FATFs reviderte anbefalinger fra 2012. Direktivet viderefører skillet mellom alminnelige kundetiltak («customer due diligence» – CDD), forenklede kundetiltak («simplified customer due diligence») og forsterkede kundetiltak («enhanced customer due diligence»). Dessuten gis det regler om løpende oppfølging («ongoing monitoring») av kundeforhold. I hovedsak er dette en videreføring av tidligere regulering i både FATFs anbefalinger og tredje hvitvaskingsdirektiv. Generelt innebærer likevel både FATFs reviderte anbefalinger og fjerde hvitvaskingsdirektiv en tydeligere vektlegging av en risikobasert tilnærming til gjennomføringen av alle kundetiltakene.

Utvalget foreslår at kapittelet om kundetiltak omstruktureres sammenlignet med gjeldende lov, selv om innholdet i forpliktelsene for de rapporteringspliktige i stor grad er det samme. Omstruktureringen er gjort fordi utvalget mener en omstrukturering som foreslått, gir bedre systematikk i loven og således gjør forpliktelsene mer tilgjengelige. Det foreslås at kapittelet om kundetiltak innledes med bestemmelser som nærmere forklarer hva kundetiltak består i, herunder forenklede og forsterkede kundetiltak. Utvalget mener det er hensiktsmessig at bestemmelsene som beskriver hva som skal gjøres, kommer før bestemmelsen om i hvilke tilfelle tiltakene skal anvendes. Etter beskrivelsen av kundetiltak kommer bestemmelsen om når det er plikt til å gjennomføre kundetiltak. Deretter følger bestemmelsen om tidspunktet for kundetiltak. Bestemmelsen om følgen av at kundetiltak ikke er mulig å gjennomføre foreslås plassert etter dette. Så foreslås bestemmelser om kundetiltak utført av tredjeparter. Kapittelet avsluttes med bestemmelsen om løpende oppfølging.

5.2 Kundetiltak

5.2.1 Norsk rett

Hvitvaskingsloven § 7 gir regler om hva kundekontrollen skal bestå i. Kundekontrollen skal gjennomføres basert på en risikovurdering, se § 5. Kundens identitet bekreftes på grunnlag av gyldig legitimasjon. I hvitvaskingsforskriften §§ 5 til 8 er det gitt nærmere regler om hva som anses som gyldig legitimasjon for fysiske og juridiske personer. Identiteten til reell rettighetshaver skal bekreftes på bakgrunn av egnede tiltak. Rapporteringspliktig må også innhente opplysninger om kundeforholdets formål og tilsiktede art. Hvitvaskingsloven § 7 annet til femte ledd gir særregler og unntak for visse situasjoner.

Opplysninger nevnt i § 8 skal registreres. Dette er opplysninger om kundens navn/foretaksnavn, fødselsnummer/organisasjonsnummer/D-nummer eller annen entydig identitetskode, fast adresse og referanse til legitimasjonen som er brukt for å bekrefte kundens identitet. Opplysninger som entydig identifiserer reell rettighetshaver skal også registreres, se § 8 siste ledd. Det er enkelte unntak i bestemmelsen der det ikke er mulig eller ønskelig å registrere nevnte opplysninger.

Løpende oppfølging av kundeforhold er i hvitvaskingsloven skilt ut i en egen bestemmelse, se § 14 og punkt 5.9.1.

5.2.2 EØS-rett

Fjerde hvitvaskingsdirektiv artikkel 13 nr. 1 første ledd bestemmer hva alminnelige kundetiltak («customer due diligence») omfatter. Tiltakene som kreves er identifisering og verifisering av identiteten til kunden og reelle rettighetshavere. Den rapporteringspliktige skal også ha en forståelse av juridiske personers eierskaps- og kontrollstruktur. Videre omfatter kundetiltakene å vurdere og, eventuelt, innhente informasjon om kundeforholdets formål og tilsiktede art.

Etter direktivet omfatter «customer due diligence measures» også løpende oppfølging av kundeforhold. Dette innebærer å overvåke kundens transaksjoner for å påse at disse er i samsvar med den rapporteringspliktiges kunnskap om kunden.

Annet ledd bestemmer at der en person pretenderer å opptre på vegne av kunden, skal rapporteringspliktige verifisere at personen har rett til det og identifisere og bekrefte identiteten til denne personen.

Etter artikkel 13 nr. 2 åpnes det for risikobasert tilnærming til bruken av kundetiltak. Alle kundetiltakene nevnt ovenfor må gjennomføres. De rapporteringspliktige kan selv avgjøre omfanget av dem. Momentene til risikovurderingen er gitt i anneks I, se artikkel 13 nr. 3. Dette er et minimumskrav, slik at rapporteringspliktige kan legge vekt på også andre momenter. Anneks I viser til formålet med kontoen eller kundeforholdet, størrelsen på kundens innskudd eller transaksjoner og regelmessigheten eller lengden på kundeforholdet.

Rapporteringspliktige må dokumentere at kundetiltakene som er gjennomført, er tilpasset risikoen for hvitvasking og terrorfinansiering som er identifisert, se artikkel 13 nr. 4. Regelen må ses i lys av artikkel 8, som krever at medlemsstatene pålegger rapporteringspliktige å utarbeide risikovurderinger.

Etter artikkel 20 bokstav a skal rapporteringspliktige ha risikobaserte systemer for å avgjøre om kunden eller reell rettighetshaver er politisk eksponert person.

I artikkel 13 nr. 5 stilles det utvidede krav til kundetiltak overfor begunstigede etter livs- og annen investeringsforbundet forsikring, sammenlignet med tredje hvitvaskingsdirektiv. Disse kravene gjelder ved siden av kravene om identifikasjon og bekreftelse av identiteten til kunden og reell rettighetshaver.

Når det gjelder begunstigede i truster og tilsvarende juridiske arrangementer, skal rapporteringspliktige innhente informasjon for å kunne identifisere den begunstigede enten ved utbetaling fra trusten eller når den begunstigede kan gjøre gjeldende sine rettigheter, se artikkel 13 nr. 6.

5.2.3 FATFs anbefalinger og rapport

Anbefaling 10 stiller krav til innholdet av kundetiltakene. Direktivet bygger på anbefalingene, og innholdet er derfor i all hovedsak sammenfallende. Det kreves identifisering av kunden og reelle rettighetshavere, forståelse av kundeforholdets formål og tilsiktede art og løpende oppfølging for å avdekke mistenkelig aktivitet. De rapporteringspliktige kan benytte en risikobasert tilnærming for å avgjøre hvilket omfang kundetiltakene skal ha, men alle tiltakene skal gjennomføres.

I «interpretive note» til anbefaling 10 presiseres kravene til gjennomføring av kundetiltak. Bl.a. utdyper punkt 5 kravene til kundetiltak overfor juridiske personer og arrangementer. «Interpretive note» til anbefaling 10 punkt 6 og 7 gjelder livs- og investeringsforsikringspoliser. Her kreves det at navnet på begunstigede blir registrert så raskt det er mulig å identifisere hvem som er begunstiget. Er det en gruppe som er begunstiget, skal det innhentes tilstrekkelig informasjon til at den rapporteringspliktige vet hvem som er begunstiget ved en senere utbetaling. Punkt 8 anbefaler rapporteringspliktige å inkludere begunstigede etter livsforsikringspoliser som en risikofaktor ved vurderingen av om forsterkede kundetiltak skal brukes.

FATF kritiserte Norge for kravet til dokumentasjon for å bekrefte identiteten til kunden når kundeforhold etableres uten personlig oppmøte. Konkret gjelder kritikken at det i Norge, gjennom Finanstilsynets rundskriv fra 2009 om hvitvaskingsloven, er åpnet for at kopier av identitetsdokumenter kan bekreftes av to myndige personer. Disse må signere, og dessuten notere navn i blokkbokstaver, dato og sted for bekreftelsen, fødselsnummer og kontaktinformasjon (herunder telefon, e-postadresse og gateadresse). FATF mener dette ikke gir betryggende foranstaltninger mot misbruk.

Videre påpeker FATF-rapporten at de rapporteringspliktige gjennom reglene om kundetiltak ikke er eksplisitt pålagt å ha en overordnet forståelse av kundens virksomhet og dens eierskaps- og kontrollstruktur.

FATF kritiserte også mangelen på uttrykkelig krav om gjennomføring av kundetiltak overfor begunstigede og reelle rettighetshavere bak den begunstigede ved livs- og investeringsforsikringer.

5.2.4 Utvalgets vurderinger

5.2.4.1 Generelt om oppbyggingen av bestemmelsen om kundetiltak

Gjeldende hvitvaskingslov og -forskrift gjennomfører på mange punkter de forpliktelsene som følger av fjerde hvitvaskingsdirektiv og FATF-anbefalingene. Dette gjenspeiles også i FATF-rapporten. Utvalget foreslår imidlertid, som omtalt under punkt 5.1.3, en omstrukturering av hvitvaskingslovens regler om kundetiltak.

I lovforslaget § 9 er det tatt inn en bestemmelse om «kundetiltak». Bestemmelsen vil på mange punkter innebære en videreføring av gjeldende §§ 7 og 8, men oppbyggingen i bestemmelsen er endret. Norsk rett må også endres på enkelte punkter for å være i samsvar med direktivet, og for å følge opp FATFs merknader. Utvalget foreslår derfor enkelte endringer i reglene om hva kundetiltakene skal gå ut på.

Utvalgets flertall, medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, foreslår at kundetiltak skal bestå i klarlegging av kundens og reell rettighetshavers identitet og kundeforholdets eller transaksjonens formål og tilsiktede art, se lovforslaget § 9 første ledd. UtvalgsmedlemSigurdsen er ikke enig i at kundetiltak omfatter klarlegging av transaksjoners formål og tilsiktede art, se medlemmets merknad inntatt i punkt 5.2.4.9.

Når det gjelder klarleggingen av identitet, foreslås dette nærmere regulert i § 9 annet til åttende ledd. Klarlegging av identitet innebærer for det første innhenting av opplysninger om identitet og for det annet bekreftelse av innhentede opplysninger. Bestemmelsen er inndelt slik at den først angir hvilke opplysninger som skal innhentes, og så hvilke krav som stilles til å bekrefte riktigheten av de opplysninger som er innhentet. For fysiske personer reguleres innhenting av opplysninger i § 9 annet ledd. Bekreftelse av innhentede opplysninger reguleres i § 9 tredje ledd. For kunder som er juridiske personer, reguleres innhenting av opplysninger i § 9 fjerde ledd. Bekreftelse av innhentede opplysninger reguleres i § 9 femte ledd. Sjette ledd inneholder krav om systemer for å identifisere politisk eksponerte personer. Syvende ledd inneholder en særbestemmelse om forsikringsavtaler. I åttende ledd gis det en særbestemmelse for eiendomsmeglere.

Bestemmelsen i lovforslaget § 9 inneholder ikke detaljerte regler om klarlegging av kundeforholdets eller transaksjonens formål og tilsiktede art, som er den andre komponenten av kundetiltakene. Etter utvalgets oppfatning er dette ikke egnet for lovregulering. Direktivet har ikke nærmere regler om innholdet i dette kravet. Denne delen av kundetiltakene er mer preget av en risikobasert tilnærming enn hva klarlegging av kundens identitet er. For en nærmere beskrivelse av hva det innebærer å klarlegge kundeforholdets eller transaksjonens formål og tilsiktede art, vises det til omtalen i punkt 5.2.4.9.

Utvalget påpeker at kundetiltakene skal utføres på bakgrunn av en risikovurdering, jf. forslaget til § 5. Dette er helt avgjørende for hvilke tiltak rapporteringspliktige iverksetter overfor kunden. En risikovurdering med påfølgende kundetiltak danner også grunnlag for en løpende oppfølging tilpasset den aktuelle kunden i samsvar med «kjenn-din-kunde»-prinsippet. Risikovurderingen vil dessuten kunne gi effektivitetsgevinster for rapporteringspliktige, fordi den gir grunnlag for målretting av ressurser og tiltak.

5.2.4.2 Innhenting av opplysninger om fysiske personer

For å gjennomføre kundetiltak må rapporteringspliktig innhente opplysninger om kunden og reell rettighetshaver. Hvilke opplysninger som skal innhentes der kunden er en fysisk person er foreslått regulert i § 9 annet ledd. Opplysningene i annet ledd bokstav a og b er opplysninger om identitet. I tillegg skal opplysninger om adresse innhentes, se bokstav c.

Direktivet artikkel 13 nr. 1 annet ledd krever uttrykkelig at når noen pretenderer å opptre på vegne av kunden, skal det bekreftes at vedkommende har rett til det. I tillegg skal vedkommende identifiseres og identiteten bekreftes. Utvalget anser dette å gå noe lenger enn gjeldende hvitvaskingslov § 7 annet ledd, som bare gjelder den som handler på vegne av juridiske personer. Direktivet har ikke en tilsvarende avgrensning. Det kan anføres at det er en forutsetning bak reglene om kundetiltak at slike fullmaktsforhold må kontrolleres. Antagelig fanges også dette til dels opp av krav i gjeldende § 7 tredje ledd om disposisjonsrett over en konto. Det er imidlertid uheldig at § 7 annet ledd eksplisitt regulerer én situasjon, nemlig der fysiske personer representerer juridiske personer, uten at fullmaktsforhold for fysiske personer omtales. Utvalget foreslår på denne bakgrunn at det presiseres at det er et krav om at opplysninger om identiteten til fullmektigen og fullmaktsforholdet innhentes.

Det skal også innhentes opplysninger om reelle rettighetshavere. I samsvar med direktivet foreslår utvalget at det skal innhentes opplysninger som er tilstrekkelige for at rapporteringspliktig vet hvem vedkommende er. Et eksempel på en reell rettighetshaver av en fysisk person, kan være den en transaksjon utføres på vegne av. Dersom en person ønsker å åpne en konto i en bank i eget navn skal banken klarlegge om denne personen handler på vegne av seg selv, eller om kontoen i realiteten er ment å skulle brukes av andre. Dette skiller seg fra fullmaktsforhold der den som henvender seg til banken vil opprette konto i en annens navn på dennes vegne.

5.2.4.3 Bekreftelse av opplysninger om fysiske personer

I lovforslaget § 9 tredje ledd er det foreslått en bestemmelse om hva slags dokumentasjon som kreves for å bekrefte opplysningene som innhentes om kundens og reell rettighetshavers identitet. Lovens utgangspunkt er at opplysninger om kundens identitet bekreftes ved personlig oppmøte ved gyldig legitimasjon, fordi manglende personlig oppmøte er angitt som en sentral risikofaktor. Hva som er gyldig legitimasjon foreslås regulert i forskrift, se forskriftsforslaget § 1. Loven åpner for unntak såfremt det gjøres tiltak som begrenser risikoen. Rapporteringspliktige kan i prinsippet ha som normalordning å opprette kundeforhold uten personlig oppmøte såfremt hensiktsmessige tiltak er implementert.

Når kundeforhold etableres uten personlig oppmøte, følger det av hvitvaskingsloven § 7 fjerde ledd at det skal fremlegges ytterligere dokumentasjon som bekrefter kundens identitet. Denne bestemmelsen foreslås videreført i lovforslaget § 9 tredje ledd. Slik utvalget ser det, er det ikke hensiktsmessig med en nærmere lovregulering av hva som ligger i «ytterligere dokumentasjon».

Forskriftsbestemmelsen i gjeldende § 5 tredje ledd om krav til «bekreftet kopi» foreslås ikke videreført, blant annet fordi ingen offentlige myndigheter i dag har uttrykkelig plikt til å bekrefte kopier. En kopi, enten elektronisk eller på papir, av legitimasjonsdokumentet som gir tilstrekkelig sikkerhet for at kopien er reell vil, slik utvalget ser det, være ett tiltak som i de aller fleste tilfeller er nødvendig. Den rapporteringspliktige må vurdere riktigheten av kopien i hvert enkelt tilfelle, og hva som kreves for å bekrefte riktigheten. Det vil ut fra risikovurderinger i mange tilfeller være grunn til å gjøre mer enn å innhente kopi av gyldig legitimasjon. I Finanstilsynets gjeldende rundskriv er flere eksempler på «ytterligere dokumentasjon» nevnt, bl.a. krav om fremleggelse av selvangivelse, lønnsslipp eller bekreftelse på utbetaling av trygd.1 Utvalget mener dette er relevante eksempler på «ytterligere dokumentasjon». Andre eksempler er kopi av regninger for f.eks. strøm, kommunale avgifter eller TV-lisens personen har mottatt, som opplyser om personens navn og adresse. Utvalget er kjent med at denne type dokumentasjon ofte benyttes som tilleggsinformasjon av banker i England. Den elektroniske utviklingen kan også medføre at tiltak der kunden «møter» via videolink kan være aktuelt. Utvalget anser at et slikt tiltak kan gi en tilleggssikkerhet. Etter det utvalget er kjent med, er denne formen for gjennomføring av kundetiltak tatt i bruk i Tyskland. Det sentrale er at det innhentes dokumentasjon som gir en sikkerhet for at kunden er den vedkommende gir seg ut for å være. Nærmere om hva som ligger i «ytterligere dokumentasjon» i ulike situasjoner vil bero bl.a. på en risikovurdering. Utvalget antar at det kan være aktuelt å gi flere eksempler på tiltak i rundskriv eller veiledning til regelverket.

Fullmaktsforhold for fysiske personer bekreftes ved fremleggelse av skriftlig dokumentasjon. Fullmakthavers identitet må bekreftes på samme måte som for kunden. Eksempelvis vil oppnevnelse som verge være dokumentasjon på fullmaktsforhold. På samme måte som direktivet foreslår utvalget at reell rettighetshavers identitet bekreftes på grunnlag av egnede tiltak. Hva som ligger i dette vil variere bl.a. ut fra risiko. Bekreftelse av identiteten på samme måte som for kunden vil i alle tilfeller være tilstrekkelig, men vil ikke alltid være nødvendig for å oppfylle forpliktelsen til å vite hvem reell rettighetshaver er.

Utvalget foreslår at departementet i forskrift kan gi nærmere regler om gyldig legitimasjon, på samme måte som etter gjeldende lov, jf. lovforslaget § 9 niende ledd. Utvalget har gjennomgått kravene til gyldig legitimasjon, blant annet for å vurdere om forskriften bør gå lenger enn dagens forskrift i å spesifisere hva slags legitimasjonsdokumenter som oppfyller kravet til «gyldig legitimasjon». Som ledd i dette arbeidet har utvalget fått innspill bl.a. fra Politidirektoratet.

Hvitvaskingsregelverket regulerer uttrykkelig hvilke krav som stilles til et dokument for at det skal anses som gyldig legitimasjon. I praksis vises det ofte til dette regelverket også i andre sammenhenger. Det er klart at kravene som stilles i hvitvaskingsloven og -forskriften ikke kan regulere kravene til gyldig legitimasjon helt generelt. Hvitvaskingsregelverket er begrenset til å regulere hva som er gyldig legitimasjon for bekreftelse av en kundes, fullmakthavers eller reell rettighetshavers identitet for å gjennomføre kundetiltak. For det første er innhenting og bekreftelse av slike opplysninger bare ett av flere tiltak som ledd i å oppfylle «kjenn-din-kunde»-prinsippet. For det andre har rapporteringspliktige både rett og plikt til å innhente informasjon om identiteten og (i varierende grad) bekrefte opplysningene ut fra en risikobasert tilnærming. En detaljert regulering av krav til gyldig legitimasjon vil dermed være i strid med direktivets, FATFs og lovens bærende prinsipp om en risikobasert tilnærming. Det understrekes at prinsippet om risikobaserte tiltak er styrket i det fjerde hvitvaskingsdirektivet sammenlignet med tidligere direktiv. I andre situasjoner, utenfor hvitvaskingsregelverkets område, kan det være nødvendig å stille andre krav til sikkerhet for at dokumentet som brukes som «gyldig legitimasjon» gir en bekreftelse på at en person er den vedkommende gir seg ut for å være.

Utvalget har vurdert om det skal spesifiseres hvilke dokumenter som er gyldig legitimasjon fremfor å stille krav til dokumentenes innhold. Dette spørsmålet har en side til det som ofte kalles «finansiell inkludering», nemlig hvilke muligheter særskilte grupper har til å få tilgang til finansielle tjenester. Dersom det stilles for strenge krav til typen legitimasjonsdokumenter, vil enkelte grupper ikke få tilgang til det finansielle system. Dette er ikke ønskelig ut fra formålet med hvitvaskingsloven. Det er også andre tungtveiende samfunnsmessige og individuelle hensyn som her gjør seg gjeldende.

Utvalget foreslår at gjeldende hvitvaskingsforskrift § 5 om gyldig legitimasjon for fysiske personer videreføres. Det innebærer at dokumenter må være utstedt av offentlig myndighet eller annet organ med betryggende kontrollrutiner for dokumentutstedelse. Dokumentene må ha et tilfredsstillende sikkerhetsnivå, og inneholde fullt navn, navnetrekk, fotografi og fødselsnummer eller D-nummer, eventuelt fødselsdato, fødested, kjønn og statsborgerskap.

Når det gjelder kravene til betryggende kontrollrutiner for dokumentutstedelse og tilfredsstillende sikkerhetsnivå, har Politidirektoratet i sine innspill til utvalget anført at bare norske pass og andre offentlig utstedte legitimasjonsdokumenter gir tilstrekkelig sikkerhet. Slik utvalget ser det, vil det være i strid med den risikobaserte tilnærmingen i direktivet å innføre krav om pass eller andre offentlig utstedte legitimasjonsdokumenter, f.eks. nasjonalt ID-kort. Det er heller ikke praktisk å oppstille dette som et generelt krav. Etter utvalgets oppfatning er det uansett lite hensiktsmessig å innføre denne type skjerpede krav før ordningen med nasjonale ID-kort er på plass, med klare kriterier og rutiner for når norske og utenlandske borgere kan få utstedt kortet og hvilke funksjoner et slikt kort skal ha.

Avgrensningen av hva som er «gyldig legitimasjon» har også betydning for kontraheringsplikten for finansforetak i finansavtaleloven. I praksis er det aktører som velger bare å tillate pass som gyldig legitimasjon. Dette står i et spenningsforhold til kontraheringsplikten i finansavtaleloven § 14, som krever «saklig grunn» for å avvise kunder når det gjelder avtaler om innskudd og betalingstjenester. En slik «overoppfyllelse» av hvitvaskingsregelverket vil dermed kunne komme i konflikt med andre forpliktelser rapporteringspliktige har. Utvalget påpeker at hvitvaskingsregelverket ikke er absolutt i den forstand at alle banktjenester skal nektes i alle tilfeller. Det er åpnet for bruk av forenklede kundetiltak ved begrensede banktjenester, se fjerde hvitvaskingsdirektiv anneks II punkt 2 bokstav d og forslaget til hvitvaskingsforskrift § 2 annet ledd bokstav b nr. 4. Dersom det er ønskelig å tydeliggjøre at det er et visst spillerom for hva som er å anse som gyldig legitimasjon i ulike sammenhenger, anser utvalget at det er hensiktsmessig at dette behandles i rundskriv eller veiledning til regelverket.

Utvalget foreslår å videreføre gjeldende forskrift § 6 som gir mulighet for bekreftelse av identitet ved elektronisk signatur, se forskriftsforslaget § 1 fjerde ledd. BankID er i dag et eksempel på en type elektronisk signatur som godtas.

5.2.4.4 Innhenting av opplysninger om juridiske personer

I lovforslaget § 9 fjerde ledd er det foreslått regulert hva slags opplysninger som skal innhentes der kunden er en juridisk person. Det skal innhentes opplysninger om foretaksnavn, organisasjonsform, organisasjonsnummer og adresse. I tillegg skal det innhentes opplysninger om representasjonsforhold og reelle rettighetshavere. Tilsvarende opplysninger skal så langt det passer innhentes for juridiske arrangementer. Dette vil eksempelvis omfatte opplysninger om truster.

Direktivet krever at rapporteringspliktige skal gjøre «reasonable measures to understand the ownership and control structure» i kunder som er juridiske personer og arrangementer, jf. artikkel 13 nr. 1 bokstav b. I evalueringsrapporten har FATF påpekt at norsk rett mangler en slik eksplisitt plikt.2 Dette er en del av «kjenn-din-kunde»-prinsippet. Poenget er at den rapporteringspliktige skal vite hvem kunden er for dermed å være bedre rustet til å oppdage mistenkelig aktivitet. Det kan argumenteres for at det er tilstrekkelig at rapporteringspliktige skal identifisere reelle rettighetshavere, slik at det er unødvendig å presisere at den rapporteringspliktige skal forstå eierskaps- og kontrollstrukturen i kunden. Dette er muligens bakgrunnen for at loven ikke nevner forpliktelsen til å kjenne eierstruktur særskilt. I forarbeidene er det ikke gitt noen forklaring, men påpekt at det ble gitt en forskriftshjemmel til å presisere innholdet i kundetiltakene.3

Det kan være tilfeller der det ikke avdekkes noen reell rettighetshaver på bakgrunn av kriteriene som fremgår av definisjonen av reelle rettighetshavere. Rapporteringspliktige vil likevel kunne ha nytte av å forstå eierskaps- og kontrollstrukturen i kunden.

Utvalget foreslår at det tas inn en uttrykkelig forpliktelse til å innhente opplysninger som er nødvendige for å forstå kundens eierskaps- og kontrollstruktur, se lovforslaget § 9 fjerde ledd.

5.2.4.5 Bekreftelse av opplysninger om juridiske personer

På samme måte som for fysiske personer, foreslår utvalget at bekreftelse av innhentede opplysninger om juridiske personer reguleres i et eget ledd, jf. lovforslaget § 9 femte ledd. Utvalgets flertall, medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, foreslår at opplysninger om juridisk person som hovedregel skal bekreftes ved utskrift fra offentlig register. Kravet til utskrift er teknologinøytralt, slik at f.eks. såkalt «skjermdump» tilfredsstiller lovforslagets krav til bekreftelse av opplysninger. Det skilles ikke mellom utskrift fra norsk register og utskrift fra utenlandsk register. Utvalgsmedlem Sigurdsen har et annet syn på kravet til bekreftelse av opplysninger om juridiske personer. Forslaget omtales nedenfor.

I dagens hvitvaskingsforskrift § 7 er det gitt regler om gyldig legitimasjon for juridisk person som ikke er registrert i et offentlig register. Dagens regelverk innebærer ingen registreringsplikt for juridiske personer. Dette ble drøftet i Ot.prp. nr. 3 (2008–2009) punkt 4.4.5.3 og i NOU 2007: 10 punkt 4.4.3.3.

Utvalget som skrev NOU 2007: 10 skulle etter mandatet særskilt vurdere om det burde kreves at juridiske personer som ønsket å etablere kundeforhold med en finansinstitusjon, skulle være registrert i Foretaksregisteret, Enhetsregisteret eller tilsvarende. Dette hadde sammenheng med regjeringens handlingsplan mot økonomisk kriminalitet for 2004–2007, hvor det i punkt 10.3 fremgår at regjeringen skulle vurdere registreringsplikt for juridiske personer som vil etablere forretningsforhold med en finansinstitusjon. Etter en avveining gikk departementet inn for at det ble oppstilt en utvidet plikt til registrering av opplysninger om juridiske personer som ikke er registrert i offentlig register, fremfor å etablere en generell registreringsplikt i et offentlig register for juridiske personer som skal etablere kundeforhold med finansinstitusjoner. Opplysningene som skal registreres er organisasjonsform, stiftelsestidspunkt samt daglig leder, forretningsfører, innehaver eller tilsvarende kontaktperson.

Slik utvalget ser det, er det naturlig på nytt å vurdere om det skal stilles krav om registrering for juridiske personer for etablering av kundeforhold. Etter det utvalget er kjent med stiller mange banker krav om slik registrering i dag, selv om det ikke er et krav etter hvitvaskingsregelverket.

De aller fleste norske foretak og selskaper har en registreringsplikt i Foretaksregisteret.4 Utenlandske foretak som driver næringsvirksomhet her i landet eller på norsk kontinentalsokkel skal også registreres her, se foretaksregisterloven § 2-1 annet ledd. Dersom en virksomhet er registreringspliktig i ett av de store statlige registrene (eksempelvis Foretaksregisteret, Merverdiavgiftsregisteret eller Aa-registeret), må virksomheten også registreres i Enhetsregisteret.

Alle juridiske personer vil dessuten ha mulighet til registrering i Enhetsregisteret. For å kunne registreres i Enhetsregisteret må enheten være å anse som en registreringsenhet etter enhetsregisterloven5 § 4. Bestemmelsen innebærer en registreringsplikt i Enhetsregisteret når enheten registreres i et av de tilknyttede registrene. Enhetstyper som nevnt i enhetsregisterloven § 4 første ledd som ikke har registreringsplikt, har rett til registrering i Enhetsregisteret. Dette følger av enhetsregisterloven § 12 annet ledd og enhetsregisterforskriften6 § 8 første ledd. Reglene innebærer at alle juridiske personer har en rett til å registreres i Enhetsregisteret, jf. enhetsregisterforskriften § 8 første ledd og enhetsregisterloven § 4 første ledd bokstav b. Registrering i Enhetsregisteret er kostnadsfritt.

Enkelte foreninger, lag eller sammenslutninger vil ikke ha registreringsplikt, men vil likevel ha mulighet til å registrere seg i Enhetsregisteret. Det er et vilkår at de er en juridisk person. Et eksempel på en sammenslutning som i praksis kan ha et ønske om f.eks. å opprette en bankkonto er «Foreldrenes arbeidsutvalg» (FAU). FAU er et utøvende organ for foreldrerådet ved en skole og er derfor i utgangspunktet ikke en selvstendig forening. FAU har rett til å registrere seg som en forening i Enhetsregisteret hvis de formelt stifter en forening og ikke andre forhold bryter med foreningsprinsippene. Det må gå klart frem av stiftelsesdokumentet at det er stiftet en forening. Ved registrering må det vedlegges stiftelsesdokument og vedtekter som viser at FAU er organisert som forening.

Registrering gir objektivt konstaterbare opplysninger om juridiske personer. Det er kostnadsfritt å registreres og være registrert. Alle juridiske personer kan registreres i Enhetsregisteret. Ut fra dette mener utvalget at det er naturlig at innhentede opplysninger om juridisk person bekreftes ved utskrift fra offentlig register, og at det ikke åpnes for unntak fra et slikt minstekrav. Utvalget foreslår dermed registreringsplikt for juridiske personer for å kunne opprette kundeforhold med, og få transaksjoner utført av, rapporteringspliktige.

Der det er gitt registreringsfrister i lovgivningen foreslår utvalget å videreføre hvitvaskingsforskriften § 8 om etterfølgende innhenting av bekreftelse av identitet for juridisk person, med enkelte tilpasninger. Se forslaget til hvitvaskingsforskrift § 5 og forslaget til forskriftshjemmel i § 9 niende ledd.

Det foreslås også at opplysninger om fysisk person som handler på vegne av juridisk person, skal bekreftes på samme måte som opplysninger om kunder. Det skal videre bekreftes at vedkommende kan representere den juridiske personen utad. I mange tilfeller vil dette bekreftes gjennom stillingsfullmakt eller opplysninger om representasjonsforhold registrert i offentlig register. Det skal gjennomføres egnede tiltak for å bekrefte reelle rettighetshaveres identitet og forstå eierskaps- og kontrollstrukturen. Hva som ligger i egnede tiltak vil bl.a. avhenge av en risikovurdering.

Som nevnt i punkt 2.3.4.4, inneholder direktivet et unntak fra definisjonen av reell rettighetshaver der det ikke er mulig å klarlegge vedkommendes identitet, se artikkel 3 nr. 6 bokstav a punkt ii. I slike tilfeller åpner direktivet for at opplysninger om «senior managing officials» innhentes. Det må samtidig dokumenteres hva som er gjort for å identifisere reell rettighetshaver. Utvalget foreslår at denne unntaksregelen tas inn i § 9 femte ledd. Utvalget foreslår at «senior managing officials» i loven omtales som styret og daglig leder. Dette vil også omfatte personer med tilsvarende posisjon i juridiske personer som ikke benytter disse benevningene, eller der det ikke er krav om disse organene. Det vil dreie seg om personer i selskapsorganer eller posisjoner med tilsvarende kompetanse som styret og daglig leder har i et aksjeselskap. Rapporteringspliktig må ha «exhausted all possible means» før denne unntaksadgangen kan benyttes. Dette er altså en snever unntaksregel. Rapporteringspliktig kan ikke nøye seg med å undersøke registeret over reelle rettighetshavere, se fjerde hvitvaskingsdirektiv artikkel 30 nr. 8 og nærmere omtale i kapittel 12.

Mindretallsforslag fra utvalgsmedlem Sigurdsen

Utvalgsmedlem Sigurdsen viser til at norske foretak gjennomgående er registrert i Foretaksregisteret. Gjennom enkle søk i nettbaserte tjenester, for eksempel Brønnøysundregistrenes hjemmeside, vil rapporteringspliktige bekrefte de opplysningene man henter inn om kunden etter forslaget til § 9 fjerde ledd bokstav a til d. For rapporteringspliktige kan innhenting av opplysninger og bekreftelse av opplysninger i praksis derfor enkelt kunne være én og samme operasjon.

Dette medlem viser videre til at enhver juridisk person som er kunde hos en rapporteringspliktig etter utvalgets forslag i praksis vil være registeringspliktig.

Tilsvarende ordninger som i Norge vil man finne i andre EØS-land, jf. første selskapsdirektiv, som nå er kodifisert i direktiv 2009/101/EF. Dette medlem viser i denne sammenheng også til direktiv 2012/17/EU om sammenkobling av foretaksregistre. Formålet med direktivet er å bedre tilgangen til ajourførte og pålitelige foretaksopplysninger, og direktivet er bindende for Norge.

Når man har oppdaterte opplysninger tilgjengelig på internett, er det et skritt i feil retning å kreve at rapporteringspliktige må bekrefte opplysninger gjennom «utskrift … som ikke er eldre enn tre måneder» fra offentlig register.

Dette medlem mener at rapporteringspliktige og kunder skal kunne basere seg på elektronisk registrerte opplysninger i Foretaksregisteret eller tilsvarende utenlandske registre. Slike registre vil vise også historiske opplysninger. Finnes det ikke tilsvarende utenlandsk register, må opplysningene bekreftes gjennom en attest som tilsvarer firmaattest, jf. forskrift til foretaksregisterloven § 13. Slik attest kan ikke være eldre enn én måned.

Dette medlem viser til sitt forslag til § 9 femte ledd første punktum inntatt i punkt 15.2.4.

5.2.4.6 Systemer for å identifisere politisk eksponerte personer (PEP-er)

Det fremgår av fjerde hvitvaskingsdirektiv artikkel 20 bokstav a at rapporteringspliktige skal etablere passende risikohåndteringssystemer, herunder risikobaserte prosedyrer, for å avgjøre om kunde eller reell rettighetshaver er politisk eksponert person (PEP).

Utvalget foreslår at gjeldende hvitvaskingslov § 15 annet ledd første punktum videreføres med noe endret ordlyd, se lovforslaget § 9 sjette ledd. På bakgrunn av fjerde hvitvaskingsdirektiv artikkel 20 bokstav a og merknader i FATF-rapporten, utvides bestemmelsens virkeområde slik at systemer også skal avgjøre om reell rettighetshaver er PEP. Utvalgets forslag innebærer at bestemmelsen flyttes fra bestemmelsen om forsterket kundekontroll overfor PEP-er til bestemmelsen om alminnelige kundetiltak. Formålet er å tydeliggjøre at det er en generell forpliktelse ved gjennomføring av kundetiltak å avklare om kunden eller reell rettighetshaver er PEP.

Et minstekrav til systemer for å identifisere PEP-er er at rapporteringspliktig rutinemessig spør kunden om vedkommende innehar eller har innehatt en posisjon som omfattes av PEP-definisjonen. Ofte bør rapporteringspliktig etablere ytterligere tiltak for å identifisere PEP-er.

Utvalget bemerker at det per i dag ikke finnes lister over PEP-er utarbeidet av offentlige myndigheter. Det er mulig å kjøpe lister på det kommersielle markedet. All den tid myndighetene ikke utarbeider autoritative lister over PEP-er, bør det ikke oppstilles krav om at rapporteringspliktige abonnerer på lister utarbeidet av kommersielle aktører. Tatt i betraktning det store antallet PEP-er verden over, stadige justeringer av hvem som er å regne som PEP samt mulige ulikheter mellom stater om hvem som er PEP, vil listene ha meget begrenset positiv og negativ troverdighet.

5.2.4.7 Særlige krav til kundetiltak ved forsikringsavtaler

For å oppfylle direktivet artikkel 13 nr. 5 og imøtekomme FATFs kritikk, foreslår utvalget at det innføres særskilte krav til kundetiltak overfor oppnevnt begunstiget i forsikringsavtale.

Begrepet «kunde» omfatter ikke begunstigede etter forsikringsavtaler. Kunden er forsikringstakeren. Den begunstigede er derimot ikke kunde, men en så viktig del av kundeforholdet at rapporteringspliktige bør klarlegge hvem dette er.

Ut fra utvalgets forståelse av kundebegrepet og på bakgrunn av kritikken i FATF-rapporten, anser utvalget det for ønskelig å presisere i lovteksten at det skal gjennomføres kundetiltak også overfor oppnevnt begunstiget i forsikringsavtale. Det vises til forsikringsavtaleloven7 § 15-2 for regulering av oppnevnelse av begunstiget, herunder identifisering av reelle rettighetshavere. Se forslaget til § 9 syvende ledd.

Fjerde hvitvaskingsdirektiv artikkel 13 nr. 5 annet ledd annet punktum omtaler identifisering av reelle rettighetshavere ved «assignment» av avtalen til en tredjepart. Utvalget forstår dette som å gjelde overdragelse av rettighetene knyttet til forsikringsavtalen som skjer etter inngåelse av avtalen. Utvalget foreslår derfor at dette reguleres som en del av plikten til løpende oppfølging, se punkt 5.9.4.4 og lovforslaget § 19 fjerde ledd.

5.2.4.8 Særlig om eiendomsmeglers kundetiltak overfor oppdragsgivers medkontrahent

Gjeldende hvitvaskingsforskrift § 2 fjerde ledd pålegger i dag eiendomsmeglere ved salgsoppdrag, å kreve at kjøper av eiendom fremlegger gyldig legitimasjon forut for oppgjør. Forskriften synes å bygge på «interpretive note» til FATF-anbefaling 22 punkt 1. Etter anbefalingen skal eiendomsmeglere foreta alle kundetiltak etter anbefaling 10 overfor både kjøper og selger av eiendom. I samsvar med anbefalingen foreslår utvalget at eiendomsmeglere skal gjennomføre kundetiltak overfor oppdragsgivers medkontrahent, i tillegg til oppdragsgiver (kunden). Fjerde hvitvaskingsdirektiv er ment å kunne omfatte både eiendomsmeglere og såkalte leiemeglere («letting agents»), se fortalen avsnitt 8. Utvalgets forslag til gjennomføring av kundetiltak overfor oppdragsgivers medkontrahent vil derfor gjelde eiendomsmeglere, uavhengig om oppdragsgiver er kjøper, selger, leier eller utleier av eiendom. Kundetiltakene skal gjennomføres før oppgjør.

Ut fra prinsippet om at forpliktelsene som pålegges om kundetiltak i så stor grad som mulig bør samles ett sted, foreslås bestemmelsen flyttet fra forskrift til lov, se lovforslaget § 9 åttende ledd.

5.2.4.9 Klarlegging av kundeforholdets eller transaksjonens formål og tilsiktede art

Utvalget har delt seg i to når det gjelder klarlegging av kundeforholdets eller transaksjones formål og tilsiktede art. Utvalgets flertall, medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, redegjør først for sitt syn. Avslutningsvis gjør utvalgsmedlem Sigurdsen rede for sitt syn.

Klarlegging av «kundeforholdets eller transaksjonens formål og tilsiktede art» er en del av kundetiltakene etter flertallets lovforslag § 9 første ledd. Direktivet artikkel 13 nr. 1 bokstav c krever at rapporteringspliktig innhenter og vurderer informasjon om kundeforholdets formål og tilsiktede art. Etter ordlyden i tredje hvitvaskingsdirektiv var det kun en plikt til å innhente denne typen informasjon. Utvalgets flertall er av den oppfatning at fjerde hvitvaskingsdirektiv artikkel 13 nr. 1 her presiserer og tydeliggjør plikten til å gjøre seg opp en mening om formålet og arten av kundeforholdet. Rapporteringspliktige må ta stilling til den informasjonen kunden oppgir, og ikke nøye seg med å innhente informasjonen. Den rapporteringspliktige må innhente, bekrefte og vurdere opplysningene.

Også «transaksjonens» formål og tilsiktede art skal etter flertallets oppfatning klarlegges. Ordlyden i lovforslaget § 9 markerer at rapporteringspliktige som ikke etablerer kundeforhold, fordi de kun utfører enkelttransaksjoner, skal gjennomføre kundetiltak. Dette vil f.eks. gjelde for forhandlere av varer og betalingsforetak. Det fremgår ikke uttrykkelig av ordlyden i direktivet at rapporteringspliktig skal klarlegge transaksjonens formål og tilsiktede art, men etter flertallets oppfatning følger dette av direktivets formål og system. Direktivet artikkel 18 nr. 2 om undersøkelse av komplekse transaksjoner og artikkel 33 om rapporteringsplikt forutsetter at alle rapporteringspliktige klarlegger transaksjoners formål. Et eksempel på at det vil være nødvendig å klarlegge en transaksjons formål og tilsiktede art er ved betalingsoverføring til visse land.

Det vil være forskjellig i hvilken grad det er nødvendig å klarlegge transaksjonens formål og tilsiktede art. Dette avhenger av en risikobasert tilnærming. Ved kjøp av varer vil formålet ofte gi seg selv på bakgrunn av varen som handles. Ved betalingsformidling er det essensielt som ledd i å gjennomføre kundetiltak at rapporteringspliktig klarlegger transaksjonens formål og tilsiktede art.

Flertallet foreslår ikke at loven nærmere regulerer hva som kreves for å klarlegge kundeforholdets eller transaksjonens formål og tilsiktede art. På samme måte som for klarlegging av identitet, innebærer klarlegging av kundeforholdets eller transaksjonens formål og tilsiktede art en innhenting av opplysninger og bekreftelse av disse opplysningene. Hva som kreves avhenger av en risikobasert tilnærming, jf. lovforslaget § 5.

Eksempler på opplysninger rapporteringspliktig kan innhente for å klarlegge kundeforholdets eller transaksjonens formål og tilsiktede art er opplysninger om hensikten eller bakgrunnen for kundeforholdet eller transaksjonen, midlenes opprinnelse, hvem kunden skal handle med og forventet transaksjonsmønster, herunder typer transaksjoner, transaksjonshyppighet og -størrelse.

Som nevnt må rapporteringspliktig vurdere informasjonen om kundeforholdet eller transaksjonens formål og tilsiktede art. Det vil avhenge av en risikobasert tilnærming i hvilken grad opplysninger innhentet fra kunden bør bekreftes.

Utvalget som helhet understreker at klarlegging av kundeforholdets formål og tilsiktede art vil være helt avgjørende og utgangspunktet for den rapporteringspliktiges løpende oppfølging. Løpende oppfølging er nærmere omtalt i punkt 5.9.

Utvalgsmedlem Sigurdsen forstår direktivet artikkel 13 nr. 1 første ledd slik at kundetiltak («customer due diligence») skal omfatte vurdering av kundeforholdets formål og tilsiktede art, jf. bokstav c, og løpende oppfølging av kundeforholdet, jf. bokstav d.

Dette medlem forstår ikke artikkel 13 nr. 1 bokstav c slik at den omfatter transaksjoner, i motsetning til artikkel 13 nr. 1 annet ledd. Det er naturlig at de faller utenfor, siden rapporteringspliktige normalt vil ha dårligere forutsetninger for å vurdere formål og tilsiktet art ved transaksjoner, som er sporadiske, enn ved kundeforhold, som er løpende.

Transaksjoner vil uansett være omfattet av den undersøkelsesplikten som er foreslått i § 20, med tilhørende rapporteringsplikt, se nærmere dette medlems merknad i punkt 6.5.2.2.1.

Dette medlem viser til sitt forslag til § 9 første ledd inntatt i punkt 15.2.4.

5.3 Forenklede kundetiltak

5.3.1 Norsk rett

Hvitvaskingsloven § 13 og hvitvaskingsforskriften § 10 gir regler om forenklet kundekontroll.

Hvitvaskingsloven § 13 første ledd første punktum inneholder en forskriftshjemmel. Hjemmelen åpner for unntak fra plikten til å foreta kundekontroll etter hvitvaskingsloven § 6 første ledd nr. 1, 2, 4 og annet ledd. Dermed er det kun ved mistanke om hvitvasking eller terrorfinansiering det skal gjennomføres ordinær kundekontroll, dersom forholdet ellers faller inn under en unntaksbestemmelse. Hvitvaskingsloven § 13 første ledd annet punktum bestemmer at rapporteringspliktige må innhente tilstrekkelige opplysninger til å fastslå at forholdet omfattes av unntakene i forskriften, før de gjør unntak fra reglene. Annet ledd avgrenser unntaksbestemmelsen. Her er det bestemt at ved opprettelse av konto skal opplysninger nevnt i § 8 første til tredje ledd likevel registreres. Begrunnelsen er at anonyme konti skal være forbudt.

Hvitvaskingsforskriften § 10 angir unntak fra reglene om kundekontroll. Første ledd inneholder en angivelse av unntak knyttet til hvem kunden eller reell rettighetshaver er. Dette omfatter grovt sett kunder som er spesifikke typer rapporteringspliktige, selskaper med finansielle instrumenter notert på regulert marked, statlige eller kommunale forvaltningsorgan og advokater som forvalter midler for andre. Annet ledd inneholder unntak knyttet til spesifikke produkter. Denne gruppen omfatter særskilte livsforsikringsavtaler, skadeforsikring, pensjonsordninger for ansatte og utstedelse av elektroniske penger på visse vilkår.

5.3.2 EØS-rett

5.3.2.1 Innledning

Reguleringen av forenklede kundetiltak er gitt i artiklene 15 til 17. Artikkel 15 gir generelle regler om forenklede kundetiltak. Artikkel 16 er en henvisning til anneks II, som gir generelle momenter som skal tas i betraktning ved vurderingen av om det kan brukes forenklede kundetiltak. Artikkel 17 er en fullmaktshjemmel for EUs nye tilsynsbyråer på finansmarkedsområdet.

5.3.2.2 Generelle regler om forenklede kundetiltak

Artikkel 15 nr. 1 bestemmer at statene kan tillate rapporteringspliktige å anvende forenklede kundetiltak i tilfeller der medlemsstaten eller en rapporteringspliktig finner at det er liten risiko for hvitvasking eller terrorfinansiering. Det er dermed overlatt til statene å gi regler om forenklede kundetiltak. Alle kundetiltakene nevnt i artikkel 13 nr. 1 skal utføres, men omfanget kan tilpasses den aktuelle situasjonen. I alle tilfeller skal den rapporteringspliktige fastslå at kundeforholdet eller transaksjonen innebærer en lavere risiko for hvitvasking eller terrorfinansiering før forenklede kundetiltak kan brukes, se artikkel 15 nr. 2.

Direktivet sier lite om innholdet de forenklede kundetiltakene kan ha, og begrenser seg til å kreve at den løpende oppfølgingen skal være «sufficient (…) to enable the detection of unusual or suspicious transactions», se artikkel 15 nr. 3. Dette er mindre detaljert løpende oppfølging enn den som er beskrevet i artikkel 13 nr. 1 bokstav d.

5.3.2.3 Generelle momenter som tilsier lavere risiko

Ved vurderingen av om det foreligger lavere risiko for hvitvasking og terrorfinansiering, bestemmer artikkel 16 at medlemsstatene og rapporteringspliktige «at least» skal ta i betraktning de momentene som er listet opp i anneks II til direktivet. Anneks II inneholder en spesifisering av momenter som kan tilsi lavere risiko for hvitvasking og terrorfinansiering. Disse er delt opp i momenter knyttet til kunden, type produkt, tjeneste, transaksjon eller leveringskanal og geografiske faktorer. Annekset presiserer at listen ikke er uttømmende.

En sentral forskjell fra tredje hvitvaskingsdirektiv er at forenklede kundetiltak ikke medfører unntak fra kravet om kundetiltak i sin helhet. Det var situasjonen etter tredje hvitvaskingsdirektiv. Situasjonene som ble listet opp i tredje hvitvaskingsdirektiv artikkel 11, som i utgangspunktet ble unntatt fra kravet om kundetiltak i sin helhet, er i stor grad videreført som momenter som tilsier lavere risiko for hvitvasking og terrorfinansiering, jf. anneks II.

Artikkel 17 gir de nye europeiske tilsynsmyndighetene på finansmarkedsområdet (ESA-ene) kompetanse til å vedta retningslinjer om forenklede kundetiltak. Tilsynsmyndighetene omfatter Det europeiske banktilsynet («European Banking Authority» – EBA), Det europeiske forsikrings- og pensjonstilsynet («Insurance and Occupational Pensions Authority» – EIOPA) og Det europeiske verdipapir- og børstilsynet («Securities and Markets Authority» – ESMA). Disse pålegges å gi retningslinjer om risikofaktorer som tilsier at forenklede kundetiltak kan brukes, og hva forenklede kundetiltak kan innebære. Tilsynsmyndighetene skal ta særlig hensyn til karakteren og størrelsen på foretaket, og kan gi retningslinjer om spesifikke tiltak der dette er rimelig og proporsjonalt. Forslag til retningslinjer ble sendt på høring fra ESA-ene 21. oktober 2015, men retningslinjer er foreløpig ikke vedtatt. Disse omfatter kun finansinstitusjoner underlagt tilsynsbyråenes myndighet.

5.3.3 FATFs anbefalinger og rapport

Anbefaling 10 om kundetiltak sier ikke selv noe om forenklede kundetiltak. Det er åpnet for forenklede kundetiltak i «interpretive note» til anbefaling 10, punkt 16 til 18 og 21.

Statene kan tillate rapporteringspliktige å gjennomføre forenklede kundetiltak etter at den rapporteringspliktige eller staten har gjennomført en risikovurdering. I punkt 17 listes en rekke faktorer opp. Dette omfatter kundefaktorer, produkt-, tjeneste- og transaksjonsfaktorer eller faktorer knyttet til leveringskanaler og geografiske faktorer.

«Interpretive note» punkt 21 gir eksempler på hva forenklede kundetiltak kan være. Tiltakene skal være tilpasset den lavere risikoen. Forutsetningen for å benytte seg av de forenklede tiltakene er at det er fastslått en lavere risiko for hvitvasking eller terrorfinansiering. Det skal ikke være tillatt å bruke disse når det foreligger mistanke om hvitvasking og terrorfinansiering, eller der det foreligger spesifikke situasjoner med høyere risiko.

Eksempler på forenklede tiltak i «interpretive note» punkt 21 er:

• Bekreftelse av identiteten til kunden gjennomføres etter etablering av kundeforhold, f.eks. når transaksjonene på kontoen når en viss terskelverdi.

• Reduksjon av frekvensen i den løpende identifiseringen av kunden.

• Reduksjon i graden av løpende overvåkning og undersøkelse av transaksjoner, basert på en rimelig beløpsgrense.

• Ikke innhente spesifikk informasjon eller gjennomføre særskilte tiltak for å vurdere formålet og den tilsiktede arten av kundeforholdet, men i stedet vurdere dette basert på typen transaksjoner som gjennomføres eller kundeforhold som etableres.

Norge fikk kritikk for reguleringen av forenklede kundetiltak på to punkter.

For det første kritiserte FATF at selskaper med finansielle instrumenter tatt opp til notering på regulert marked i EØS-stat eller annen stat med tilsvarende regler om informasjonsplikt, er omfattet av reglene om forenklet kundekontroll, jf. hvitvaskingsforskriften § 10 første ledd nr. 3. Disse selskapene blir dermed unntatt reglene om kundekontroll uten at den rapporteringspliktige må forsikre seg om at det er tilstrekkelig åpenhet om reelle rettighetshavere i selskapet.

For det annet kritiserte FATF Norge for at reglene om forenklet kundekontroll innebærer unntak fra reglene om kundekontroll i sin helhet, med unntak av reglene om løpende oppfølging. Regelen er dermed ikke en regel om forenklede tiltak, men en regel om unntak fra krav om kundekontroll.

5.3.4 Utvalgets vurderinger

Direktivet krever en endring i reguleringen av forenklede kundetiltak i norsk rett. Forenklede kundetiltak kan ikke innebære at det gjøres et generelt unntak fra reglene om kundetiltak. I dag er det et krav om at rapporteringspliktige må innhente tilstrekkelige opplysninger til å fastslå at forholdet omfattes av forskriftens bestemmelser om forenklet kundekontroll før de gjør unntak fra reglene. Selv om det kan anføres at dette innebærer et krav til en viss vurdering før forenklede tiltak kan anvendes også etter gjeldende rett, er det etter utvalgets oppfatning nødvendig å endre reglene om forenklet kundekontroll for å få frem at anvendelsen skal baseres på en risikovurdering.

Forenklede kundetiltak skal kunne gjennomføres der det er identifisert en lavere risiko for hvitvasking enten av myndighetene eller av den rapporteringspliktige. Direktivet sier at myndighetene «may allow» rapporteringspliktige å bruke forenklede kundetiltak. Det er derfor opp til myndighetene å åpne for forenklede kundetiltak. Direktivet krever ikke at dette gjøres. Det må være identifisert en lavere risiko for hvitvasking enten av myndighetene eller av den rapporteringspliktige.

Utvalget foreslår en bestemmelse som generelt åpner for anvendelse av forenklede kundetiltak der det er lavere risiko for hvitvasking og terrorfinansiering, se forslaget til § 10. Momentene nevnt i direktivet anneks II foreslås inntatt i forskrift, se forskriftsforslaget § 2.

Det foreslås at det i § 10 også sies noe om hva forenklede kundetiltak innebærer. Det foreslås at det kan stilles lempeligere krav til bekreftelse av kundens, reell rettighetshavers og fullmakthavers identitet og til klarleggingen av kundeforholdets formål og tilsiktede art. Etter forslaget kan det ikke stilles lempeligere krav til innhentingen av opplysninger om kundens identitet. Dette innebærer at opplysningene alltid skal innhentes, men ved bekreftelsen kan det altså stilles lempeligere krav enn de som følger av lovforslaget § 9. Dette følger, slik utvalget ser det, av direktivet lest i sammenheng.

Fjerde hvitvaskingsdirektiv regulerer ikke hva forenklede kundetiltak skal bestå i, men inneholder en hjemmel for fastsettelse av retningslinjer fra ESA-ene. På det nåværende tidspunktet er det uklart hvordan tilpasningen til EØS-avtalen vil skje. Utvalget har vurdert ulike løsninger, f.eks. ved at norsk lovgivning knyttes til de retningslinjene som fastsettes på europeisk nivå, angivelse av ulike tiltak i forskrift, eller angivelse av forslag til tiltak i forarbeidene. Utvalget foreslår at det gis forskriftshjemmel til å fastsette spesifikke, forenklede kundetiltak, se forslaget til § 10 fjerde ledd, men foreslår ikke at det gis konkrete forskriftsbestemmelser på det nåværende tidspunkt. Som eksempler på hva forenklede kundetiltak kan bestå i, viser utvalget til listen med forenklede kundetiltak i punkt 5.3.3 om FATFs anbefalinger. Utvalget presiserer at dette kun er eksempler på forenklede kundetiltak. Kundetiltak må gjennomføres etter en risikobasert tilnærming, der de lempeligere kundetiltakene er tilpasset den lavere risikoen for hvitvasking og terrorfinansiering.

På bakgrunn av endringen av kravet om gjennomføring av forenklede kundetiltak som her er foreslått, er det ikke grunn til å gå inn på kritikken fra FATF når det gjelder forenklede kundetiltak for selskaper tatt opp til notering på regulert i marked i andre EØS-stater, se punkt 5.3.3.

5.4 Forsterkede kundetiltak

5.4.1 Norsk rett

Hvitvaskingsloven § 15 gjelder forsterkede kontrolltiltak. Loven gir enkelte regler om når forsterket kundekontroll skal brukes, og hva dette omfatter.

Første ledd er utgangspunktet for anvendelsen av forsterket kundekontroll. I «situasjoner som etter sin art innebærer høy risiko» for hvitvasking eller terrorfinansiering, skal rapporteringspliktige ut fra en risikovurdering anvende «andre kontrolltiltak» i tillegg til det som følger av loven ellers. Det er ikke sagt generelt hva disse tiltakene kan være. I fjerde ledd er det så bestemt at de rapporteringspliktige skal vie «særlig oppmerksomhet» til produkter og transaksjoner som fremmer anonymitet, herunder iverksette tiltak for å forebygge hvitvasking og terrorfinansiering.

Annet ledd gjelder politisk eksponerte personer. Politisk eksponerte personer er definert i tredje ledd. De rapporteringspliktige skal ha «egnede kontrolltiltak» for å avgjøre om kunden er en politisk eksponert person. Loven lister så opp tre særlige tiltak som går lenger enn det som kreves av kundekontroll ellers i loven. For det første skal rapporteringspliktige påse at beslutningstaker innhenter samtykke fra overordnet før etablering av kundeforholdet. For det annet skal rapporteringspliktig «treffe egnede tiltak» for å fastslå opprinnelsen til kundens formue og kapital som inngår i kundeforholdet eller transaksjonen. For det tredje skal det føres forsterket løpende oppfølging med kundeforholdet.

Forskriftshjemmelen i § 15 siste ledd er blitt brukt for å presisere definisjonen av politisk eksponert person. Det er ikke gitt nærmere regler om andre situasjoner med forhøyet risiko, og heller ikke om hvilke tiltak som i så fall skal anvendes.

Hvitvaskingsloven § 16 gir særlige regler for korrespondentbankforbindelser med institusjoner etablert utenfor EØS. I slike tilfeller skal rapporteringspliktige kredittinstitusjoner gjøre særskilte tiltak overfor respondentinstitusjonen. Den skal innhente opplysninger om respondentbanken og vurdere dens tiltak mot hvitvasking og terrorfinansiering. Beslutningstakere skal innhente samtykke fra overordnet før etablering av slik korrespondentbankforbindelse. Rapporteringspliktige skal dokumentere institusjonenes ansvar, og, når det gjelder oppgjørskonti, forsikre seg om at respondentinstitusjonenen har bekreftet identiteten til og fører løpende oppfølging av kunder og kan fremlegge informasjon fra kundekontrollen.

§ 16 inneholder i annet ledd et generelt forbud mot korrespondentbankforbindelser med «tomme bankselskaper». Kredittinstitusjoner skal dessuten treffe «egnede tiltak» for å sikre at de ikke inngår eller opprettholder korrespondentbankforbindelser med kredittinstitusjoner som lar sine konti bli brukt av tomme bankselskaper. «Tomme bankselskaper» er definert i tredje ledd som kredittinstitusjoner etablert i stater der institusjonen ikke er fysisk til stede med reell ledelse og administrasjon.

5.4.2 EØS-rett

5.4.2.1 Generelt

Fjerde hvitvaskingsdirektiv artikkel 18 angir i hvilke tilfeller det skal gjennomføres forsterkede kundetiltak. Direktivet pålegger bruk av forsterkede kundetiltak i tre situasjoner, se artikkel 18 nr. 1.

For det første skal forsterkede kundetiltak alltid brukes overfor kunder etablert i høyrisikoland etter listeføring av Europakommisjonen, jf. artikkel 9. Det er gjort unntak for filialer og majoritetseide datterselskaper av rapporteringspliktige som er etablert i EU. Forutsetningen er at disse fullt ut overholder konsernets interne rutiner og retningslinjer for hvitvasking og terrorfinansiering. Liste over høyrisikoland ble fastsatt av Europakommisjonen 7. juli 2016.

For det annet skal det brukes forsterkede tiltak der statene eller rapporteringspliktige har identifisert en høyere risiko for hvitvasking og terrorfinansiering. Ved vurderingen av om det foreligger forhøyet risiko for hvitvasking og terrorfinansiering, skal både statene og rapporteringspliktige legge til grunn risikofaktorene som er listet opp i anneks III, jf. artikkel 18 nr. 3.

Anneks III angir en ikke-uttømmende liste over momenter som tilsier forhøyet risiko for hvitvasking og terrorfinansiering. Også her er momentene gruppert etter momenter knyttet til kunden, momenter knyttet til produkter, tjenester osv. og momenter knyttet til land eller områder.

For det tredje skal forsterkede kundetiltak brukes i spesifikke situasjoner som direktivet lister opp i artikkel 18 nr. 2 og artikkel 19 til 24.

5.4.2.2 Spesifikke krav om forsterkede kundetiltak

Etter artikkel 18 nr. 2 skal statene pålegge rapporteringspliktige å undersøke, så langt det er rimelig, bakgrunnen for og formålet med alle komplekse og uvanlig store transaksjoner, og alle uvanlige mønstre av transaksjoner, som ikke har et tydelig økonomisk eller lovlig formål. Annet punktum utdyper dette. Den rapporteringspliktige skal utvide den løpende oppfølgingen av kundeforholdet med formål om å avgjøre om transaksjonene eller aktiviteten er mistenkelig. Her skal rapporteringspliktige pålegges en særlig undersøkelsesplikt.

Artikkel 19 og 24 gjelder grensekryssende korrespondentforbindelser. Korrespondentforbindelser er definert i artikkel 3 nr. 8. Det vises til omtalen av dette i punkt 2.3.2.4 og 2.3.4.5. Virkeområdet for disse bestemmelsene er noe utvidet sammenlignet med tredje hvitvaskingsdirektiv, som kun gjaldt korrespondentforbindelser med banker («credit institutions»). I fjerde direktiv omfattes også korrespondentforbindelser med andre finansinstitusjoner.

Artikkel 19 gjelder kun ved rapporteringspliktiges forbindelser til respondentinstitusjoner etablert i tredjeland, dvs. utenfor EU/EØS-området. I tillegg til alminnelige kundetiltak i samsvar med artikkel 13, skal rapporteringspliktige gjennomføre fem forsterkede kundetiltak. De skal innhente informasjon om respondentinstitusjonen og vurdere institusjonens tiltak mot hvitvasking og terrorfinansiering. Rapporteringspliktige skal påse at beslutningstakere innhenter godkjenning fra overordnet før inngåelse av korrespondentforhold. Institusjonenes ansvar skal dokumenteres. Når det gjelder såkalte oppgjørskonti («payable-through accounts»), skal rapporteringspliktige institusjoner forsikre seg om at respondentinsitusjonen har bekreftet identiteten til kundene og foretar løpende oppfølging av disse. Respondentinstitusjonen må også kunne fremlegge informasjon som er innhentet ved gjennomføring av kundetiltakene. I artikkel 24 forbys korrespondentforbindelser med tomme bankselskaper.

Artikkel 20 til 22 gjelder forsterkede kundetiltak overfor politisk eksponert person (PEP). PEP er nærmere definert i artikkel 3 nr. 9. Artikkel 23 gir disse reglene tilsvarende anvendelse overfor PEP-ers familiemedlemmer og nære samarbeidspartnere. Disse gruppene er definert i artikkel 3 nr. 10 og 11.

I tillegg til vanlige kundetiltak etter artikkel 13, kreves det at rapporteringspliktige har passende risikohåndteringssystemer, inkludert risikobaserte prosedyrer, for å avgjøre om kunden eller reell rettighetshaver er en PEP. Når det gjelder konkrete tiltak i forbindelse med kundeforhold, skal det for det første kreves godkjenning av overordnet for å etablere eller opprettholde kundeforhold med slike personer. For det annet skal rapporteringspliktige gjennomføre passende tiltak for å fastslå kilden til formuen og midlene som er involvert i kundeforhold eller transaksjoner med slike personer. For det tredje skal rapporteringspliktige gjennomføre forsterket, løpende oppfølging av slike kundeforhold.

Det er gitt egne bestemmelser om begunstigede etter livs- eller investeringsforsikringspoliser i artikkel 21. Statene skal kreve at rapporteringspliktige gjør rimelige tiltak for å fastslå om den begunstigede eller reell rettighetshaver til den begunstigede er en PEP. Dette skal gjennomføres senest ved utbetalingen, eventuelt ved overdragelse av polisen. Rapporteringspliktige skal påse at overordnet blir informert før utbetaling etter polisen, og dessuten foreta en særskilt forsterket kontroll («enhanced scrutiny») av hele kundeforholdet med forsikringstakeren. Etter ordlyden må det identifiseres en høyere risiko for hvitvasking eller terrorfinansiering for at disse tiltakene skal anvendes.

Definisjonen av PEP er ikke tidsbegrenset. Artikkel 22 inneholder et element av tidsbegrensning, ved at rapporteringspliktige skal ta i betraktning den forhøyede risikoen for hvitvasking og terrorfinansiering PEP-en representerer i minst ett år etter at vedkommende trådte ut av stillingen eller vervet. Rapporteringpliktige skal videre anvende passende, risikobaserte tiltak inntil personen ikke lenger anses å representere en risiko for hvitvasking og terrorfinansiering som PEP. Det er grunn til å understreke at vedkommende ikke opphører å være PEP etter ett år, slik reguleringen i tredje hvitvaskingsdirektiv innebar.

5.4.2.3 Hva innebærer forsterkede kundetiltak?

Fjerde hvitvaskingsdirektiv sier lite om hva forsterkede kundetiltak skal omfatte, annet enn i de spesifikke tilfellene som er nevnt ovenfor om uvanlig store eller komplekse transaksjoner, korrespondentbankforbindelser og kundeforhold med politisk eksponerte personer. I artikkel 18 nr. 1 første ledd er det generelt bestemt at medlemsstatene skal kreve at rapporteringspliktige bruker forsterkede kundetiltak for å «manage and mitigate those risks appropriately». Tiltakene skal med andre ord være tilpasset den situasjonen som tilsier høyere risiko for hvitvasking og terrorfinansiering. På samme måte som med de forenklede kundetiltakene, er de nye europeiske tilsynsmyndighetene (ESA-ene) pålagt å gi retningslinjer om faktorer som tilsier forhøyet risiko, og hva forsterkede tiltak skal innebære, se artikkel 18 nr. 4. Også her skal det tas særlig hensyn til typen og størrelsen på foretaket. Der det er rimelig og proporsjonalt, skal ESA-ene fastsette spesifikke tiltak. Forslag til retningslinjer ble i EU sendt på høring 21. oktober 2015. Retningslinjer er foreløpig ikke vedtatt. Forslaget omfatter kun finansinstitusjoner underlagt tilsynsbyråenes myndighet.

5.4.3 FATFs anbefalinger og rapport

5.4.3.1 FATF-anbefalingene

5.4.3.1.1 Generelt

Forsterkede kundetiltak er fragmentarisk regulert i FATF-anbefalingene, og er dels dekket av anbefaling 10, 12, 13, 15 og 19.

Anbefaling 19 gjelder forholdet til land som er identifisert av FATF som land med høyere risiko for hvitvasking og terrorfinansiering. Anbefalingen krever at rapporteringspliktige pålegges å anvende forsterkede kundetiltak ved kundeforhold og transaksjoner med fysiske og juridiske personer fra slike land. «Interpretive note» til anbefaling 19 viser videre til «interpretive note» til anbefaling 10 punkt 20 når det gjelder hvilke tiltak dette kan omfatte. Disse tiltakene omtales nedenfor.

«Interpretive note» til anbefaling 10 punkt 20 gjelder også når det ellers skal foretas forsterkede kundetiltak. Forsterkede tiltak skal anvendes der det er identifisert en høyere risiko for hvitvasking og terrorfinansiering. Samme «interpretive note» punkt 15 inneholder en liste med momenter som generelt tilsier en høyere risiko for hvitvasking. Listen er delt inn i momenter knyttet til kunden, produkter og tjenester, og land eller områder.

5.4.3.1.2 Spesifikke krav om forsterkede kundetiltak

«Interpretive note» til anbefaling 10 punkt 20 anbefaler at rapporteringspliktige undersøker bakgrunnen og formålet med alle komplekse, uvanlig store transaksjoner, og uvanlige mønstre av transaksjoner, som ikke har et tilsynelatende økonomisk eller lovlig formål.

Anbefaling 13 gjelder korrespondentinstitusjonforbindelser. Første ledd gir særlige regler om kundetiltak rapporteringspliktige finansinstitusjoner skal gjennomføre i tillegg til de alminnelige kundetiltakene. Den rapporteringspliktige skal for det første innhente informasjon om respondentinstitusjonen. Videre skal rapporteringspliktige vurdere respondentinstitusjonens tiltak mot hvitvasking og terrorfinansiering, og påse at beslutningstakere innhenter godkjenning fra overordnet før institusjonen inngår i nye korrespondentforhold. Rapporteringspliktige skal også ha en klar forståelse av de respektive institusjonenes ansvar. Når det gjelder oppgjørskonti («payable-through accounts»), skal rapporteringspliktige forsikre seg om at respondentinstitusjonen har gjennomført kundetiltak overfor sine kunder, og at den vil utlevere informasjon fra kundetiltakene ved forespørsel fra den rapporteringspliktige. «Interpretive note» til anbefaling 13 annet ledd definerer uttrykket «payable-through accounts». Dette gjelder korrespondentkonti hos den rapporteringspliktige som blir brukt direkte av tredjeparter, som kunder av respondentinstitusjonen, for å gjennomføre forretningstransaksjoner på egne vegne.

Anbefaling 13 annet ledd anbefaler at rapporteringspliktig forbys å inngå eller opprettholde korrespondentforbindelser til tomme bankselskap. Videre skal rapporteringspliktig forsikre seg om at respondentinstitusjoner ikke tillater at deres konti brukes av tomme bankselskap.

Når det gjelder politisk eksponert person (PEP), skiller anbefaling 12 mellom utenlandske, internasjonale og innenlandske PEP-er, se henholdsvis første og annet ledd. Når det gjelder utenlandske PEP-er, skal rapporteringspliktige ha passende systemer for risikohåndtering for å avgjøre om kunder eller reelle rettighetshavere er en PEP. Rapporteringspliktige skal påse at beslutningstakere innhenter godkjenning fra overordnet før kundeforhold inngås eller opprettholdes. I tillegg skal de gjennomføre rimelige undersøkelser for å avgjøre hva som er kilden til formuen og midlene som inngår i kundeforholdet. Det skal føres forsterket, løpende oppfølging av kundeforholdet. Innenlandske og internasjonale PEP-er skal identifiseres, men de forsterkede kundetiltakene nevnt ovenfor skal bare brukes når personen representerer en høyere risiko for hvitvasking og terrorfinansiering.

I «interpretive note» til anbefaling 12 er det gitt særlige anbefalinger om livs- og annen investeringsforsikring. Finansinstitusjoner skal treffe rimelige tiltak for å avgjøre om begunstigede, eventuelt reelle rettighetshavere til begunstigede, er en PEP. Dette skal senest gjøres ved utbetalingen. Dersom det påvises en høyere risiko for hvitvasking eller terrorfinansiering, skal finansinstitusjonen påse at beslutningstakere informerer overordnede om dette før utbetaling gjennomføres, og den skal foreta en særskilt forsterket kontroll («enhanced scrutiny») av hele kundeforholdet med forsikringstakeren.

Anbefaling 15 retter seg mot risikoen ny teknologi medfører for hvitvasking og terrorfinansiering. Anbefalingen retter seg både mot statenes og rapporteringspliktiges risikovurderinger. Når det gjelder rapporteringspliktige, skal denne risikovurderingen skje før lanseringen av nye produkter, praksis og teknologi. Risikoen disse representerer skal håndteres og motvirkes.

5.4.3.1.3 Hva innebærer forsterkede kundetiltak?

Anbefalingene gir en del eksempler på hva forsterkede kundetiltak kan omfatte. Noen av eksemplene er omtalt ovenfor om PEP-er og korrespondentinstitusjoner. Generelle eksempler er gitt i «interpretive note» til anbefaling 10 punkt 20. Innledningsvis fremheves særlig å øke graden og arten av overvåkningen av kundeforholdet, for å kunne oppdage transaksjoner og aktiviteter som synes uvanlige eller mistenkelige. Eksemplene som så listes opp omfatter å

• innhente ytterligere informasjon om kunden (f.eks. yrke, formuesforhold, informasjon tilgjengelig i offentlige databaser, internett, osv.), og oppdatere informasjonen om kunden og reelle rettighetshavere oftere enn ellers,

• innhente ytterligere informasjon om den tilsiktede arten av kundeforholdet,

• innhente informasjon om opphavet til midlene og formuen til kunden,

• innhente informasjon om årsakene til planlagte eller gjennomførte transaksjoner,

• påse at beslutningstakere innhenter godkjenning fra overordnet nivå for å påbegynne eller fortsette kundeforholdet,

• gjennomføre forsterket overvåking av kundeforholdet, ved å øke antallet og hyppigheten av kontroller, og å velge ut mønstre av transaksjoner som krever nærmere undersøkelser, og

• kreve at den første betalingen som gjennomføres, blir gjort via en konto i kundens navn med en bank underlagt tilsvarende krav om gjennomføring av kundetiltak (som finansinstitusjonen selv).

5.4.3.2 FATF-rapporten

FATF kom med merknader til ulike deler av den norske gjennomføringen av anbefalingene om forsterket kundekontroll.

Norge fikk kritikk for gjennomføringen av anbefaling 12 når det gjelder reelle rettighetshavere som er PEP-er. Definisjonen i gjeldende hvitvaskingslov knytter definisjonen av politisk eksponert person til uttrykket «kunden», jf. § 15. Etter FATFs oppfatning faller dermed tilfeller der den reelle rettighetshaveren er en politisk eksponert person, utenfor definisjonen av PEP.

FATF kritiserte videre Norge for at reglene om korrespondentbankforbindelser ikke er anvendelige overfor korrespondentbanker etablert i EØS-området.

Norge ble også kritisert for at ny teknologi ikke eksplisitt er nevnt i hvitvaskingsloven § 5 om hva de rapporteringspliktiges risikovurderinger skal omfatte.

Avslutningsvis fikk Norge kritikk for ikke å automatisk kreve at rapporteringspliktige bruker forsterket kundekontroll overfor kunder fra land FATF har identifisert som høyrisikoland for hvitvasking og terrorfinansiering.

5.4.4 Utvalgets vurderinger

5.4.4.1 Generelt

Fjerde hvitvaskingsdirektiv er i stor grad gjennomført ved gjeldende hvitvaskingslov og -forskrift. Det er imidlertid enkelte endringer som er nødvendige som følge av direktivet.

Både FATF og direktivet krever at medlemsstatene pålegger rapporteringspliktige å undersøke alle komplekse og uvanlig store transaksjoner. I Norge er dette regulert ved undersøkelsesplikten, se hvitvaskingsloven § 17 og hvitvaskingsforskriften § 12, og omtalen nedenfor under punkt 6.5. Utvalget foreslår at denne undersøkelsesplikten fortsatt reguleres i sammenheng med rapporteringsplikten, se lovforslaget §§ 20 og 21 og utredningen kapittel 6.

Utvalget har vurdert hvordan reglene om forsterkede kundetiltak overfor kunder og reelle rettighetshavere etablert i høyrisikoland skal gjennomføres. Utvalget foreslår ikke at Norge krever forsterkede kundetiltak ved kundeforhold og transaksjoner med fysiske og juridiske personer fra alle land FATF har identifisert som høyriskoland. Etter utvalgets oppfatning er det mer naturlig at tiltak knyttet til særskilte land knyttes opp mot EUs regulering av dette. Blant annet i påvente av at direktivet tas inn i EØS-avtalen, med den nødvendige tilpasning av bestemmelsen om Europakommisjones kompetanse til å fastsette liste over høyrisikoland, jf. artikkel 9, foreslår utvalget at departementet gis adgang til å fastsette regler om forsterkede kundetiltak i forskrift, se lovforslaget § 11 tredje ledd. Dette vil åpne for at departementet gjennom forskrift viser til Kommisjonens liste dersom det er ønskelig, eller begrunner på annen måte at forsterkede kundetiltak skal gjennomføres.

Utvalget foreslår en bestemmelse som generelt pålegger anvendelse av forsterkede kundetiltak der det er høy risiko for hvitvasking og terrorfinansiering, se forslaget til § 11. Momentene nevnt i direktivet anneks III foreslås, på tilsvarende måte som momentene i anneks II om forenklede kundetiltak, inntatt i forskrift, se forskriftsforslaget § 3. Utvalget påpeker at det at et land er identifisert av FATF som et høyrisikoland, vil være et moment ved risikovurderingen som ofte kan tilsi at kundeforholdet eller transaksjonen knyttet til landet innebærer høy risiko. Rapporteringspliktige skal følgelig ta høyrisikoland i betraktning selv om utvalget ikke foreslår en bestemmelse som uttrykkelig krever forsterkede kundetiltak ved kundeforhold og transaksjoner med fysiske og juridiske personer fra alle land FATF har identifisert som høyriskoland.

5.4.4.2 Spesifikke krav om forsterkede kundetiltak overfor politisk eksponerte personer

Direktivet krever enkelte endringer av reglene om forsterkede kundetiltak overfor politisk eksponerte personer (PEP-er). Det samme gjør FATF-rapporten. Nødvendige endringer i definisjonen er behandlet i punkt 2.3.4.6, se forslaget til § 2.

Rapporteringspliktig skal gjennomføre forsterkede kundetiltak når kunden eller reell rettighetshaver er politisk eksponert person. Dette foreslås regulert i § 12 første ledd. Utvalget foreslår at kravet om egnede tiltak for å avgjøre om kunden eller reell rettighetshaver er PEP, se gjeldende hvitvaskingslov § 15 annet ledd første punktum, flyttes til § 9 sjette ledd med noe endret ordlyd, se punkt 5.2.4.6.

Utvalget foreslår å videreføre de konkrete, forsterkede kundetiltakene overfor PEP-er, se lovforslaget § 12 annet ledd. Dette omfatter å gjennomføre tilstrekkelige tiltak for å fastslå formuens og midlenes opprinnelse, og å påse at det innhentes godkjenning fra overordnet før etablering eller opprettholdelse av kundeforhold. For nærmere omtale av forholdet mellom overordnet og «øverste ledelse» viser utvalget til punkt 2.3.4.7. Kravet om forsterket løpende oppfølging av kundeforhold der kunden eller reell rettighetshaver er PEP, foreslås imidlertid flyttet til bestemmelsen om løpende oppfølging slik at forpliktelsene knyttet til løpende oppfølging samles på ett sted, se lovforslaget § 19 tredje ledd.

I samsvar med direktivet foreslås et eget ledd om forsterkede kundetiltak i forbindelse med forsikringsavtaler, se lovforslaget § 12 tredje ledd. Etter utvalgets oppfatning er det kun praktisk for livsforsikringsforetak. Utvalget har vurdert om tiltakene i artikkel 21 bokstav a og b alltid skal gjennomføres når begunstiget etter forsikringsavtaler er en PEP. Direktivets ordlyd sier at tiltakene skal gjennomføres når det er identifisert «higher risk». Dette synes å være hentet direkte fra «interpretive note» til FATF-anbefaling 12. I anbefaling 12 er det skilt mellom innenlandske og utenlandske PEP-er, og det er bare der det er «higher risk» at man skal underlegge innenlandske PEP-er de kundetiltakene som ellers gjelder for utenlandske PEP-er. Et tilsvarende skille finnes ikke i direktivet. I direktivet er altså utgangspunktet at alle PEP-er, både innenlandske og utenlandske og de i internasjonale organisasjoner, representerer høy risiko. At det oppstilles et slags indre skille innad i høyrisikogruppen i artikkel 21, er ikke i samsvar med systematikken direktivet ellers følger for PEP-er. På denne bakgrunn foreslår utvalget at tiltakene i artikkel 21 gjennomføres ved alle livsforsikringsforhold der den begunstigede, eller reell rettighetshaver til begunstiget, er en PEP.

Artikkel 21 bokstav a om forsterkede tiltak i forbindelse med forsikring krever at overordnet informeres om utbetalingen. Det er ikke krav om godkjenning fra overordnet nivå, slik det er i artikkel 20 bokstav b punkt i om de generelle forsterkede kundetiltakene overfor PEP-er, se også lovforslaget § 12 annet ledd. Utvalget antar at forskjellen er begrunnet i at forsikringsforetaket ikke har noe kundeforhold til den begunstigede. Det er således ikke spørsmål om etablering eller opprettholdelse av et kundeforhold. Artikkel 21 bokstav b innebærer heller ikke et krav om forsterket løpende oppfølging av kundeforholdet. Direktivet bruker uttrykket «enhanced scrutiny» (engelsk) / «nærmere undersøgelse» (dansk). Utvalget foreslår at det skal gjennomføres en særlig forsterket kontroll med hele kundeforholdet, se lovforslaget § 12 tredje ledd bokstav b. Utvalget foreslår ikke å bruke uttrykket «undersøkelse», fordi det kan gi assosiasjoner til undersøkelsesplikten. Poenget er at den rapporteringspliktige skal gjennomgå hele sitt kundeforhold med forsikringstageren. Dette vil omfatte også undersøkelse av andre forsikringsavtaler.

Direktivet innfører et element av tidsbegrensning overfor PEP-er i artikkel 22. Artikkelen bestemmer at det faktum at en PEP har hatt en stilling som ga vedkommende status som PEP, skal tas i betraktning som en risikofaktor i minst 12 måneder etter at vedkommende trådte ut av stillingen eller vervet. Utvalget har vurdert hvordan dette skal forstås og implementeres i norsk rett. Ordlyden i direktivteksten trekker i retning av at det faktum at kunden har vært i vervet eller stillingen som ga vedkommende status som PEP, skal være en faktor ved vurderingen av om det er høyere risiko for hvitvasking og terrorfinansiering i minst ett år etter at vedkommende trådte ut av stillingen eller vervet.

En annen mulig forståelse av artikkelen, er at tiltakene som artikkel 20 og 21 nevner skal gjennomføres overfor alle PEP-er i minst ett år etter at de trer ut av vervet eller stillingen.

Direktivet krever i alle fall at det gjennomføres «appropriate and risk-sensitive measures until such time as that person is deemed to pose no further risk specific to politically exposed persons». De forsterkede kundetiltakene skal med andre ord avpasses til den risikoen personen til enhver tid anses for å representere som PEP.

Utvalget mener sistnevnte løsning er ønskelig. Rapporteringspliktige skal derfor, i minst ett år etter at PEP-er har avsluttet relevante stillinger og verv, gjennomføre de forsterkede tiltakene omhandlet i artikkel 20 og 21, se lovforslaget § 12 fjerde ledd. Dersom en risikovurdering tilsier det, skal forsterkede tiltak også anvendes også etter denne perioden. Tiltakene skal avpasses den risikoen PEP-en anses for å representere.

Siden definisjonen av PEP ikke lenger omfatter familiemedlemmer og nære samarbeidspartnere til personer som innehar gitte stillinger og verv, er det behov for en bestemmelse om disse. Direktivet artikkel 23 bestemmer at reglene i artikkel 20 og 21 får tilsvarende anvendelse for familiemedlemmer og nære samarbeidspartnere til PEP-er. Utvalget foreslår at tilsvarende regel inntas i norsk rett for å oppfylle direktivforpliktelsen, se lovforslaget § 12 femte ledd.

5.4.4.3 Spesifikke krav om forsterkede kundetiltak ved korrespondentforbindelser

Når det gjelder korrespondentforbindelser, omfatter gjeldende hvitvaskingslov § 16 bare korrespondentbankforbindelser. Hvitvaskingsdirektivets regler om forsterkede kundetiltak omfatter også korrespondentforhold mellom andre finansinstitusjoner, herunder korrespondentforbindelser knyttet til verdipapirhandel. Utvalget foreslår endringer i samsvar med dette, se lovforslaget § 13.

Utvalgets forslag innebærer bl.a. å videreføre kravet om godkjenning fra overordnet før inngåelse av nye korrespondentforbindelser. For nærmere omtale av forholdet mellom overordnet og «øverste ledelse» viser utvalget til punkt 2.3.4.7.

Forbudet mot å bruke tomme bankselskaper foreslås videreført, i tillegg til plikten til å forsikre seg om at rapporteringspliktige ikke inngår i korrespondentforbindelser med finansinstitusjoner som er kjent for å tillate at deres konti brukes av tomme bankselskaper. Forbudet skilles ut i en egen bestemmelse, se forslaget til § 14. Definisjonen av tomt bankselskap utvides i samsvar med direktivet.

I FATF-rapporten ble det, som nevnt i punkt 5.4.3.2, kritisert at det ikke stilles krav om forsterkede kundetiltak overfor respondentinstitusjoner i EØS-land. Bestemmelsen som foreslås, viderefører gjeldende bestemmelse og gjennomfører direktivet artikkel 19 som uttrykkelig stiller krav om forsterkede tiltak ved bruk av respondentinstitusjon i tredjeland. Tredjeland vil si stat utenfor EØS. Etter utvalgets oppfatning vil krav om forsterkede kundetiltak overfor respondentinstitusjoner i EØS-land stride mot diskrimineringsforbudet i EØS-avtalen artikkel 4, fordi det eksplisitt skiller mellom respondentinstitusjoner etablert i Norge og andre EØS-stater. Slik utvalget ser det, er det derfor ikke adgang til å følge opp FATFs kritikk på dette punktet.

Utvalget har vurdert om begrepet «oppgjørskonto» bør presiseres i lovteksten, og mener at dette er hensiktsmessig. I NOU 2007: 10 punkt 4.11.3.3 brukes termen «gjennomstrømningskonti». Begrepet er samme sted forklart som «konti i en kredittinstitusjon som en korrespondentinstitusjons [skal antakeligvis være «respondentinstitusjonens»] kunder har direkte adgang til». I den engelske direktivteksten brukes uttrykket «payable-through account». Dette er ikke nærmere definert i direktivet. FATF har definert begrepet i «interpretive note» til anbefaling 13 om korrespondentinstitusjoner. Her skal «payable-through accounts» bety «correspondent accounts that are used directly by third parties to transact business on their own behalf». Utvalget foreslår at en definisjon basert på FATFs definisjon inntas i bestemmelsen om korrespondentforbindelser.

5.4.4.4 Hva innebærer forsterkede kundetiltak?

Direktivet inneholder bestemmelser om hva forsterkede kundetiltak skal bestå i for korrespondentforbindelser, PEP-er og ved komplekse og uvanlig store transaksjoner. Direktivet har ingen generell regel om hva forsterkede kundetiltak skal innebære. På samme måte som for forenklede kundetiltak foreslår utvalget at departementet i forskrift gis hjemmel til å fastsette spesifikke, forsterkede kundetiltak, se lovforslaget § 11 tredje ledd, men foreslår ikke at det gis konkrete forskriftsbestemmelser på det nåværende tidspunkt.

Som eksempler på hva forsterkede kundetiltak kan bestå, i viser utvalget til listen med eksempler på forsterkede kundetiltak i punkt 5.4.3.1 om FATFs anbefalinger. Utvalget presiserer at dette kun er eksempler på forsterkede kundetiltak. Kundetiltak må gjennomføres etter en risikobasert tilnærming, jf. § 5.

5.5 Når er det plikt til å gjennomføre kundetiltak?

5.5.1 Norsk rett

Hvitvaskingsloven § 6 gir regler om når de rapporteringspliktige skal gjennomføre kundekontroll. Den generelle regelen om risikobasert kundekontroll gjelder også her, se § 5. Etter bestemmelsen er det plikt til gjennomføring av kundekontroll ved etablering av kundeforhold, transaksjoner på 100 000 kroner eller mer for kunder som den rapporteringspliktige ikke har et kundeforhold til, ved mistanke om hvitvasking eller terrorfinansiering og der det er tvil om den informasjonen som allerede er innhentet er korrekt eller tilstrekkelig. Beløpsgrensen på 100 000 kroner gjelder også i de tilfellene der transaksjonen gjennomføres i flere operasjoner som synes å ha sammenheng med hverandre.

Hvitvaskingsforskriften §§ 2 til 4 utfyller lovens § 6. Forskriften § 2 bestemmer når et kundeforhold skal anses etablert. Generelt anses et kundeforhold for etablert når kunden kan bruke den rapporteringspliktiges tjenester, se § 2 første ledd.

Hvitvaskingsforskriften §§ 3 og 4 presiserer i hvilke tilfeller enkelte rapporteringspliktige skal gjennomføre kundekontroll. Bestemmelsen i § 3 gjelder forhandlere av gjenstander. Her er anvendelsesområdet presisert til to tilfeller; transaksjoner der minst 40 000 kroner betales i kontanter og det foreligger mistanke om hvitvasking eller terrorfinansiering, og situasjoner der den totale transaksjonen er på 100 000 kroner og minst 40 000 kroner betales i kontanter. Bestemmelsen i § 4 gjelder kundekontroll for advokater og andre som ervervsmessig eller stadig yter selvstendig juridisk bistand. For disse rapporteringspliktige gjelder reglene i hvitvaskingsloven ved planlegging eller utføring av finansielle transaksjoner, transaksjoner som gjelder fast eiendom, og transaksjoner som gjelder gjenstander der betalingen består i kontanter på minst 40 000 kroner.

5.5.2 EØS-rett

Fjerde hvitvaskingsdirektiv artikkel 11 regulerer når det skal gjennomføres alminnelige kundetiltak. Artikkel 11 lister i bokstavene a til f opp totalt åtte ulike situasjoner der rapporteringspliktige skal utføre kundetiltak. Reguleringen av plikten til å gjennomføre kundetiltak er endret noe i forhold til tredje hvitvaskingsdirektiv.

Alminnelige kundetiltak kreves ved etablering av kundeforhold, se bokstav a. Videre kreves kundetiltak ved utføring av transaksjon på minst 15 000 euro for kunde den rapporteringspliktige ikke har et etablert kundeforhold til, jf. bokstav b punkt i. Forhandlere av varer skal gjennomføre kundetiltak når det betales med 10 000 euro i kontanter, se artikkel 11 bokstav c. Beløpsgrensen er senket med 5 000 euro sammenlignet med tredje hvitvaskingsdirektiv. Kundetiltak skal også gjennomføres ved mistanke om hvitvasking eller terrorfinansiering, og når det er tvil om riktigheten eller tilstrekkeligheten av opplysninger den rapporteringspliktige allerede har innhentet om kunden, se henholdsvis bokstav e og f. Så langt innebærer bestemmelsen en videreføring av tredje direktiv, med unntak av den nevnte endringen av beløpsgrensen for forhandlere av varer. I tillegg er det inntatt en plikt til å gjennomføre kundetiltak ved transaksjon på minst 1 000 euro som innebærer «transfer of funds», som definert i forordning (EU) 2015/847 artikkel 3(9), se bokstav b punkt ii. Dette omfatter helt eller delvis elektronisk overføring av penger, utført av nærmere bestemte foretak og institusjoner. Videre er det også inntatt en plikt for når tilbydere av spilltjenester skal gjennomføre kundetiltak i artikkel 11 bokstav d. Det skal gjennomføres kundetiltak ved utbetaling av gevinst og plassering av veddemål som innebærer en transaksjon på 2 000 euro eller mer.

Artikkel 12 gir medlemsstatene mulighet til å gjøre unntak fra enkelte deler av kundetiltakene for elektroniske penger. Forutsetningen er at medlemsstatene har gjennomført en «appropriate risk assessment which demonstrates a low risk». Adgangen gjelder kun elektroniske penger der det er lagt omfattende begrensninger på hvordan pengene kan brukes, og i hvilket omfang. Begrensningene som må være på plass gjelder hva pengene kan brukes til, i hvilket land pengene kan brukes, hvor mye penger som kan være lagret og hvor mye som kan brukes over et gitt tidsrom. Dessuten må det fortsatt gjennomføres løpende oppfølging av kundeforholdet.

5.5.3 FATFs anbefalinger og rapport

FATF anbefaling 10 pålegger gjennomføring av kundetiltak i fem ulike situasjoner.

Dette omfatter etablering av kundeforhold, mistanke om hvitvasking eller terrorfinansiering, tvil om tidligere innhentet informasjon er korrekt eller tilstrekkelig og transaksjoner over visse beløpsgrenser med kunder den rapporteringspliktige ikke har et etablert kundeforhold til. Beløpsgrensen er satt til 15 000 euro/dollar, men for transaksjoner som er «wire transfers» omfattet av «interpretive note» til anbefaling 16, er grensen satt til maksimum 1 000 euro/dollar.

I «interpretive note» til anbefaling 10 punkt 2 og 3 gjøres det unntak fra kravet om gjennomføring av kundetiltak. Dersom den rapporteringspliktige får mistanke om at det foreligger hvitvasking eller terrorfinansiering, skal den sende en rapport til den finansielle etterretningsenheten («financial intelligence unit» – FIU), se anbefaling 20. Det skal være forbudt å avsløre at det sendes en slik melding, se anbefaling 21. «Interpretive note» til anbefaling 10 påpeker at det også er risiko for at kundetiltakene avslører for kunden at det vil bli sendt en rapport. Ut fra dette åpnes det for at den rapporteringspliktige kan unnlate å gjennomføre kundetiltak, og i stedet sende en rapport. Etter utvalgets oppfatning innebærer dette at etablering av kundeforhold eller utføring av transaksjon likevel kan skje, til tross for at det ikke er gjennomført kundetiltak.

Norge fikk kritikk for avgrensningen av virkeområdet for reglene om kundekontroll. For elektroniske transaksjoner på mellom 1 000 og 15 000 euro for kunder som den rapporteringspliktige ikke har et kundeforhold til, er det ikke krav om kundetiltak i gjeldende hvitvaskingslov.

Videre ble Norge kritisert for manglende oppfølging av anbefaling 10 når det gjelder risikoen for å avsløre at det sendes en rapport til Økokrim ved at det gjennomføres kundetiltak. I så fall mener FATF at kundetiltak skal kunne unnlates.

5.5.4 Utvalgets vurderinger

Som det fremgår ovenfor, gjennomfører gjeldende norsk hvitvaskingslov og -forskrift i stor grad direktivforpliktelsene som gjelder kravet om når kundetiltak skal gjennomføres. Det er imidlertid enkelte punkter der norsk rett ikke er i samsvar med direktivet. FATF har, som det fremgår i punkt 5.5.3, enkelte mindre merknader til dagens norske regelverk. Omtalen i det følgende konsentreres om punktene der det er nødvendig med endringer av gjeldende regelverk

Direktivet krever at det skal gjennomføres kundetiltak ved elektronisk overføring av midler på 1 000 euro eller mer, jf. artikkel 11 bokstav b punkt ii. En slik plikt finnes ikke i dagens regelverk. Direktivets anvendelsesområde er begrenset til «transfer of funds», slik det er definert i forordning (EU) 2015/847 artikkel 3 nr. 9. Definisjonen er avgrenset til å gjelde visse typer overføring av midler, utført av visse typer finansforetak. Definisjonen viser videre til en rekke andre EU-rettsakter, noe som gjør rettskildebildet uoversiktlig. Dessuten innebærer definisjonshenvisningene en sirkulær definisjon fordi flere av tjenestene som er definert i forordning (EU) 260/2012, bruker uttrykket «transferring funds», uten at dette er nærmere definert. Innholdsmessig anser utvalget at denne rekken av henvisninger innebærer at «transfer of funds» er en henvisning til betalingstjenester som definert i finansavtaleloven § 11, utført av finansforetak som nevnt i finansforetaksloven § 2-3. Det vil si at betalingstjenester som nevnt i finansavtaleloven § 11, skal underlegges krav om kundetiltak når beløpet overstiger 1 000 euro og betalingstjenesten gjennomføres av banker, kredittforetak, betalingsforetak, e-pengeforetak og av finansieringsforetak som har tillatelse til å drive med betalingstjenester i Norge. Det er kun denne typen foretak som har tillatelse til å yte betalingstjenester i Norge, se finansforetaksloven § 2-3 første ledd.

Lovteknisk foreslår utvalget å vise til finansavtaleloven § 11, se lovforslaget § 15 første ledd bokstav b nr. 2. Dette vil også innebære at kretsen av finansforetak som gjennomfører betalingene, avgrenses til de foretakene som er omfattet av forordningens henvisninger. Utvalget legger til grunn at dette vil lette gjennomføringen av loven for rapporteringspliktige foretak, sammenlignet med å vise til forordningen i lovteksten.

Ved fastsettelsen av beløpsgrensen i norske kroner må det tas hensyn til fremtidige kurssvingninger. Dette tilsier at beløpsgrensen settes ut fra en lav eurokurs i forhold til norske kroner, slik at norsk rett kan forventes å være i samsvar med direktivets krav. På den annen side vil det innebære at flere transaksjoner omfattes av reglene enn det direktivet krever, med de belastninger det får for kundene og næringslivet.

Alternativt kan beløpsgrensen i norsk lov være fastsatt i euro. Dette vil imidlertid skape tungvinte situasjoner ved både tilsyn med de rapporteringspliktige og for den rapporteringspliktige selv. Utvalget foreslår derfor at beløpsgrensen fastsettes i norske kroner, og at den settes til 8 000 kroner for å ta høyde for fremtidige kurssvingninger, se forslaget til § 15 første ledd bokstav b nr. 2.

Direktivet senket beløpsgrensen for når forhandlere av varer skal gjennomføre kundetiltak fra 15 000 euro til 10 000 euro, se artikkel 11 bokstav c. I Norge er grensen satt til 100 000 kroner når det betales med minst 40 000 kroner i kontanter. Foreligger det mistanke om hvitvasking eller terrorfinansiering er det tilstrekkelig at det betales minst 40 000 kroner i kontanter, se hvitvaskingsforskriften § 3. På bakgrunn av tilsvarende betraktninger som gjengitt ovenfor, foreslår utvalget at grensen for når plikten til å gjennomføre kundetiltak for forhandlere av varer senkes til 80 000 kroner, se forslaget til § 15 første ledd bokstav b nr. 3.

I første delutredning delte utvalget seg i tre fraksjoner når det gjaldt reguleringen av forhandlere av varer. Én av fraksjonene (medlemmene Holberg, Lund og Utne) foreslo kontantforbud på 40 000 kroner, som burde suppleres med en spesifisering av grupper av forhandlere av varer som skulle underlegges loven. Dersom dette legges til grunn, bemerker utvalget at det ikke er nødvendig å vurdere justeringer i beløpsgrensen for når det er plikt til å gjennomføre kundetiltak. Da vil ikke forhandlere av varer være rapporteringspliktige etter hvitvaskingsloven. Den andre fraksjonen (medlemmene Munch Thore, Sigurdsen og Stokmo) foreslo at forhandlere av varer gis rett til konsekvent å betinge seg annen betaling enn betaling i kontanter på 40 000 kroner eller mer, for dermed å velge seg bort fra hvitvaskingsloven. For forhandlere av varer som velger å fortsette å motta kontantbeløp på 40 000 kroner eller mer, vil den overordnede grensen for når vedkommende er underlagt hvitvaskingsloven være relevant. Det vises for øvrig til fraksjonenes alternative lovforslag i punkt 15.2.1 og 15.2.2.

Den tredje fraksjonen (medlemmene Damslora, Hana, Roaldsøy og Rui) anbefalte videreføring av gjeldende rett.

Videre krever direktivet at tilbydere av spilltjenester underlegges krav om kundetiltak. Beløpsgrensen er satt til 2 000 euro, og gjelder transaksjoner som innebærer utbetaling av gevinst, plassering av veddemål, eller begge. På bakgrunn av de samme betraktningene som er redegjort for i avsnittet over, foreslår utvalget at beløpsgrensen settes til 16 000 kroner, se lovforslaget § 15 første ledd bokstav b nr. 4.

Som det fremgår ovenfor og av lovforslaget, innebærer dette at beløpsgrensene vil variere med hvem som er rapporteringspliktig. Rapporteringspliktige forhandlere av varer skal kun forholde seg til beløpsgrensen i lovforslaget § 15 første ledd bokstav b nr. 3, mens tilbydere av spilltjenester bare er underlagt grensen i nr. 4. Det er bare beløpsgrensen i nr. 1 som gjelder for alle andre rapporteringspliktige.

På samme måte som etter gjeldende rett skal det uansett gjennomføres kundetiltak når det etableres et kundeforhold, se lovforslaget § 15 første ledd bokstav a, og ved mistanke om hvitvasking eller terrorfinansiering, se lovforslaget § 15 første ledd bokstav c.

Direktivet åpner for at det kan gjøres unntak fra reglene om kundetiltak for elektroniske penger underlagt bruks- og beløpsbegrensninger, se artikkel 12. Det skal fortsatt gjennomføres løpende oppfølging. Forutsetningen er at myndighetene har vurdert risikoen for hvitvasking og terrorfinansiering i tilknytning til slike produkter. Utvalget mener departementet bør gis hjemmel til å fastsette unntak fra loven i forskrifts form, men foreslår ingen forskriftsbestemmelse. Europakommisjonen har foreslått endringer i direktivet. Endringene er foreløpig ikke vedtatt. En generell forskriftshjemmel for å gjøre unntak for utstedelse av elektroniske penger gir mulighet til å vurdere bruken av unntaket i lys av utviklingen innenfor EU. En forskriftsbestemmelse vil måtte knyttes nært opp til direktivets bestemmelse.

Utvalget har videre vurdert FATFs merknad knyttet til risikoen for å avsløre at det sendes en rapport til Økokrim ved gjennomføring av kundetiltak. Nærmere bestemt er spørsmålet om det i slike tilfeller skal være tillatt å unnlate å gjøre kundetiltak, men likevel etablere kundeforhold eller utføre transaksjon. Utvalget mener at direktivet ikke åpner for dette. Tvert imot bestemmer artikkel 14 at rapporteringspliktige ikke skal utføre transaksjon eller etablere kundeforhold når det ikke er mulig å gjennomføre kundetiltak. Dessuten vil en regel som denne kunne bidra til at den rapporteringspliktige medvirker til hvitvasking eller terrorfinansiering, snarere enn å forhindre hvitvasking og terrorfinansiering. Derfor foreslås det ikke en regel som gir anledning til å unnlate å gjennomføre kundetiltak der dette vil innebære risiko for å avsløre at det sendes rapport til Økokrim.

5.6 Tidspunktet for kundetiltak

5.6.1 Norsk rett

Tidspunktet for kundekontroll er nærmere regulert i hvitvaskingsloven § 9. Hovedregelen er at kundekontroll skal gjennomføres før etablering av kundeforhold eller utføring av transaksjon, se § 9 første ledd. Hvitvaskingsforskriften § 2 presiserer når et kundeforhold anses etablert.

I hvitvaskingsloven § 9 annet ledd er det gjort unntak i tre tilfeller. For det første kan bekreftelse av identitet gjennomføres under etablering av kundeforholdet. Forutsetningen er at dette er nødvendig for ikke å hindre den alminnelige forretningsdriften og det samtidig er liten risiko for hvitvasking og terrorfinansiering, se § 9 annet ledd nr. 1. For det annet kan bekreftelse av identiteten til begunstigede etter livsforsikringspoliser utsettes til etter polisen er tegnet. Dette må likevel skje før utbetalingstidspunktet eller tidspunktet den begunstigede utøver sine rettigheter etter polisen, se § 9 annet ledd nr. 2. For det tredje kan bekreftelse av identiteten til kunder og reelle rettighetshavere foretas etter åpning av bankkonto, forutsatt at det finnes foranstaltninger som sikrer at transaksjoner knyttet til kontoen ikke kan utføres av kunden eller på dennes vegne før bekreftelse av identiteten er foretatt, se § 9 annet ledd nr. 3.

5.6.2 EØS-rett

Fjerde hvitvaskingsdirektiv artikkel 14 gir regler om blant annet tidspunktet for kundetiltak. Hovedregelen er at bekreftelse av identiteten til kunden og reelle rettighetshavere skal skje før etablering av kundeforhold eller utføring av transaksjon, se artikkel 14 nr. 1. Direktivet sier ikke noe eksplisitt om tidspunktet for vurdering av kundeforholdets formål og tilsiktede art.

Direktivet gir tre unntak fra denne hovedregelen. For det første gir artikkel 14 nr. 2 adgang til å bekrefte kundens og reell rettighetshavers identitet under etablering av kundeforhold, dersom dette er nødvendig for ikke å forstyrre den alminnelige forretningsdriften. Det må samtidig være liten risiko for hvitvasking og terrorfinansiering. Direktivet presiserer at bekreftelsen av identiten skal fullføres så snart som mulig etter første kontakt med kunden.

For det annet er det bestemt at det kan åpnes konti hos kreditt- eller finansinstitusjoner, herunder konti for transaksjoner av overførbare verdipapirer, jf. artikkel 14 nr. 3. Forutsetningen er at det er foranstaltninger på plass for å sikre at kontoen ikke kan brukes før identiteten til kunden og reelle rettighetshavere er bekreftet, jf. artikkel 13 nr. 1 bokstav a og b. Til sammenligning åpnet tredje hvitvaskingsdirektiv bare for åpning av bankkonti på denne måten.

For det tredje er det i artikkel 13 nr. 5 annet ledd bestemt at bekreftelse av den begunstigedes identitet skal gjøres først ved utbetalingen. Dersom forsikringen helt eller delvis overdras til en tredjeperson, skal rapporteringspliktige, dersom de blir klar over overdragelsen, identifisere nye reelle rettighetshavere til forsikringsutbetalingen.

5.6.3 FATFs anbefalinger og rapport

Anbefaling 10 bestemmer at bekreftelse av kunden og reelle rettighetshaveres identitet skal skje før eller under etablering av kundeforhold, eller utføring av transaksjon for kunder den rapporteringspliktige ikke har et etablert kundeforhold til. Dette er hovedregelen. Det er åpnet for unntak der bekreftelse av identitetene gjøres så snart som mulig etter etablering av kundeforhold, dersom hvitvaskings- og terrorfinansieringsrisikoen er effektivt håndtert og dette er nødvendig for ikke å hindre den alminnelige forretningsdriften.

Når det gjelder livsforsikringspoliser, anbefaler FATF i «interpretive note» til anbefaling 10 punkt 7 at identiteten til begunstigede etter polisen bekreftes ved utbetaling av forsikringssummen.

FATF-rapporten hadde ingen bemerkninger til norsk regelverk på dette punktet.

5.6.4 Utvalgets vurderinger

Direktivet artikkel 14 er i all hovedsak gjennomført ved gjeldende hvitvaskingslov § 9 første og annet ledd. Dette gjelder både hovedregelen for når kundetiltak skal være utført, og unntakene som knytter seg til at kundetiltak kan forstyrre alminnelig forretningsdrift og kundetiltak utført overfor begunstigede etter forsikringspoliser. Utvalget foreslår ut fra dette i hovedsak at gjeldende regler videreføres i lovforslaget § 16.

Utvalget har vurdert om unntaket for bankkonti, der det er etablert begrensninger for å forhindre bruk av kontoen før identiteten til kunden og reelle rettighetshavere er bekreftet, skal utvides til å gjelde andre typer konti i finansforetak. Direktivet åpner for unntak for alle typer konti i kreditt- og finansinstitusjoner. Av hensyn til norske finansforetaks konkurransesituasjon, med mulighet til å tilby produkter til kundene på lik linje med finansinstitusjoner i andre EØS-land, foreslår utvalget at det åpnes for et slikt unntak i norsk rett, se forslaget til § 16 annet ledd bokstav c. Utvalget understreker samtidig betydningen av at foretakene har tilstrekkelige sikkerhetsmekanismer for å hindre bruk av kontoen før identiteten til kunden og reelle rettighetshaver er bekreftet. Den foreslåtte avgrensningen av hvilke foretak dette gjelder er valgt på bakgrunn av i hvilke foretak det er naturlig å opprette «konto».

Som det fremgår av gjennomgangen ovenfor, er det en forskjell mellom norsk rett på den ene siden og FATFs anbefalinger og EU-direktivet på den andre siden når det gjelder tidspunktet for når kundeforholdets formål og tilsiktede art skal vurderes. I norsk rett har regelen vært at alle kundetiltakene skal gjennomføres før etablering av kundeforhold eller utføring av transaksjon, se punkt 5.6.1. Direktivet og anbefalingene krever at bekreftelse av identiteten til kunden og reelle rettighetshavere er gjennomført før kundeforholdet etableres eller transaksjonen utføres, se punkt 5.6.2 og 5.6.3. Verken anbefalingene eller direktivet sier noe om tidspunktet for vurderingen av kundeforholdets formål og tilsiktede art. I forarbeidene til hvitvaskingsloven ble avgjørelsen om å la alle kundetiltakene omfattes av regelen forklart med at opplysninger om kundeforholdets formål og tilsiktede art har betydning for risikovurderingen den rapporteringpsliktige må gjøre.8 Utvalget slutter seg til dette og foreslår at gjeldende regel videreføres. Det vises til lovforslaget § 16.

5.7 Følger av at kundetiltak ikke kan gjennomføres

5.7.1 Norsk rett

Hvitvaskingsloven § 10 gir regler om konsekvensen av at det ikke er gjennomført kundekontroll. Hovedregelen er at rapporteringspliktige ikke skal etablere kundeforhold eller utføre transaksjonen dersom kundekontroll ikke er gjennomført, jf. § 10 første ledd første punktum. Etablerte kundeforhold skal avsluttes, men her er det et vilkår at det foreligger «risiko» for hvitvasking eller terrorfinansiering, jf. § 10 første ledd annet punktum. I forarbeidene til dagens lov ble det ansett uklart hvordan tredje hvitvaskingsdirektiv skulle tolkes på dette punktet. Dessuten ble det påpekt i forarbeidene at en absolutt plikt til å avvikle kundeforhold ville kunne misbrukes og føre til unødvendige tvister. Det ble pekt på at gjennomføringen av kundekontrollen skulle være risikobasert, og dermed i stor grad overlatt til rapporteringspliktiges skjønn.9

I § 10 annet ledd er det gjort unntak for advokater og andre som ervervsmessig eller stadig yter selvstendig juridisk bistand, som er i ferd med å fastslå en klients rettsstilling eller bistår klienten i forbindelse med rettergang.

Plikten til å avvikle kundeforhold etter § 10 gjelder kun for kundeforhold etablert etter lovens ikrafttredelse, jf. hvitvaskingsloven § 34. I forarbeidene ble det påpekt at uegentlig tilbakevirkning i form av plikt til å avvikle også kundeforhold etablert før lovens ikrafttredelse ville være uheldig.10

5.7.2 EØS-rett

Artikkel 14 nr. 4 første ledd gjelder konsekvensen av at det ikke er mulig å gjennomføre kundetiltak som nevnt i artikkel 13 nr. 1 bokstav a, b eller c, altså bekreftelse av identiteten til kunden og reelle rettighetshavere, og en vurdering av formålet og den tilsiktede arten av kundeforholdet. Hovedregelen er at den rapporteringspliktige skal avstå fra å gjennomføre transaksjonen eller etablere kundeforholdet, eventuelt avslutte eksisterende kundeforhold. Den rapporteringspliktige skal videre vurdere å sende rapport til den finansielle etterretningsenheten.

Artikkel 14 nr. 4 annet ledd gir ett unntak fra første ledd. Dette er avgrenset til å gjelde «notaries, other independent legal professionals, auditors, external accountants and tax advisors», når de fastslår kundens rettslige posisjon eller ved representasjon i rettergang, herunder spørsmålet om rettergang skal initieres eller unngås.

På dette punktet er det kun terminologiske endringer fra tredje hvitvaskingsdirektiv artikkel 9 nr. 5.

5.7.3 FATFs anbefalinger og rapport

Når kundetiltak, hensyntatt adgangen til en risikobasert tilnærming, ikke kan gjennomføres, sier anbefaling 10 syvende ledd at rapporteringspliktige skal være forpliktet til ikke å åpne konti, etablere kundeforhold eller gjennomføre transaksjonen. Er det allerede etablert kundeforhold, skal rapporteringspliktige være forpliktet til å avslutte kundeforholdet. Anbefalingene viser, i motsetning til direktivet, også til situasjoner der løpende oppfølging av kundeforholdet ikke kan gjennomføres.

I rapporten kritiserte FATF Norge for muligheten i norsk rett til å opprettholde eksisterende kundeforhold selv om det ikke er mulig å gjennomføre kundetiltak.

5.7.4 Utvalgets vurderinger

Direktivet er i all hovedsak gjennomført ved gjeldende hvitvaskingslov § 10. Utvalget foreslår at dette videreføres i forslaget til § 17, herunder unntaket for advokater og andre som ervervsmessig og stadig yter rettshjelp.

Utvalget foreslår at reglene om avvikling av eksisterende kundeforhold plasseres i bestemmelsen om løpende oppfølging, se forslaget til § 19 femte ledd. Se nærmere omtale av dette i punkt 5.9.4.5.

Bestemmelsen om følger av at kundetiltak ikke kan gjennomføres i lovforslaget § 17, begrenses dermed til å gjelde der kundetiltak ikke kan gjennomføres ved den innledende kontakten mellom kunde og rapporteringspliktig. Konsekvensen av at kundetiltak ikke kan gjennomføres er da at den rapporteringspliktige skal avstå fra å utføre transaksjon eller etablere kundeforhold. Utvalget presiserer at undersøkelses- og rapporteringsplikten også gjelder ved forsøk på å etablere kundeforhold, dvs. der kunden avvises som følge av at kundetiltakene ikke kan gjennomføres. Se nærmere omtale av dette i punkt 6.5.

5.8 Kundetiltak utført av tredjeparter og utkontraktering av kundetiltak

5.8.1 Norsk rett

5.8.1.1 Innledning

Rapporteringspliktige kan i visse tilfeller legge til grunn kundekontroll utført av andre. Hvitvaskingsloven §§ 11 og 12 regulerer dette, og omhandler to ulike situasjoner. Hvitvaskingsloven § 11 gjelder tilfeller der kundekontroll allerede er utført av andre, og den rapporteringspliktige ønsker å legge denne til grunn. § 12 gjelder rapporteringspliktiges adgang til å inngå kontrakt med tredjepart om gjennomføring av kundekontroll på den rapporteringspliktiges vegne. Den rapporteringspliktige vil i alle tilfelle ha ansvar for at kundekontrollen er gjennomført i samsvar med hvitvaskingsloven og -forskriftens bestemmelser.

5.8.1.2 Kundekontroll utført av tredjepart

Hvitvaskingsloven § 11 første ledd gir rapporteringspliktige mulighet til å legge til grunn kundetiltak nevnt i § 7 nr. 2 til 4 utført av tredjeparter. Kretsen av tredjeparter tar utgangspunkt i avgrensningen av rapporteringspliktige, men avviker noe. Tredjepart kan være finansinstitusjon, verdipapirforetak, forvaltningsselskap for verdipapirfond, forsikringsselskap, foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling, verdipapirregistre, statsautoriserte og registrerte revisorer, autoriserte regnskapsførere, advokater og andre rettshjelpere i situasjoner hvor de er underlagt loven og dermed også tilsyn, eiendomsmeglere og boligbyggelag når det drives eiendomsmegling.

Tredjeparten kan være fra en annen stat, forutsatt at vedkommende er underlagt lovpålagt registreringsplikt og regler om kundekontroll, oppbevaring og tilsyn som tilsvarer hvitvaskingslovens regler. Det er imidlertid gjort unntak for forsikringsformidlingsforetak.

Den rapporteringspliktige beholder ansvaret for registrering av opplysninger som nevnt i § 8, jf. § 7 første ledd nr. 1. Vedkommende beholder også ansvaret for å oppbevare dokumenter og opplysninger i samsvar med hvitvaskingsloven § 22.

Ved bruk av kundekontroll utført av tredjepart etablert i utlandet, er det ikke krav om bekreftelse av identitet på grunnlag av gyldig legitimasjon, jf. § 11 tredje ledd. Identiteten må bekreftes på annet grunnlag. Den som opptrer som tredjepart er pliktig å gi opplysninger til den rapporteringspliktige som kunden henvises til. Tredjepart skal, etter anmodning, omgående oversende kopier av identifikasjons- og kontrollopplysninger og annen relevant dokumentasjon om kundens eller den reelle rettighetshavers identitet til den rapporteringspliktige. Dette medfører ikke brudd på taushetsplikt, se § 11 fjerde ledd.

Forskriftshjemmelen i § 11 femte ledd, om unntak fra adgangen til å legge til grunn kundekontroll utført av tredjeparter, er ikke benyttet.

5.8.1.3 Utkontraktering av kundekontroll

Hvitvaskingsloven § 12 gjelder utkontraktering av kundekontroll. Bestemmelsen setter rammer for hvilke juridiske og fysiske personer rapporteringspliktige kan inngå avtale med, og på hvilken måte. Avtalen må være skriftlig, jf. § 12 første ledd.

Kretsen av juridiske og fysiske personer tilsvarer i all hovedsak definisjonen av rapporteringspliktige, se § 12 annet ledd. Det er to unntak og to tillegg. Tilbydere av virksomhetstjenester, jf. § 4 annet ledd nr. 6, og forhandlere av gjenstander, jf. § 4 annet ledd nr. 7, kan ikke gjennomføre kundekontroll etter avtale med andre rapporteringspliktige. I tillegg til rapporteringspliktige, kan avtale om gjennomføring av kundekontroll inngås med leveringspliktig tilbyder av posttjenester. Hvem dette er, beror på offentlig vedtak i samsvar med postloven11 § 6. Forskriftshjemmelen i § 12 femte ledd er benyttet til å utvide kretsen av personer rapporteringspliktige kan inngå avtale med. Hvitvaskingsforskriften § 9 første ledd utvider kretsen til foretak og personer som «utfører tjenester på vegne av eller for rapporteringspliktig når disse inngår som ledd i den rapporteringspliktiges distribusjonsapparat».

Utlevering av opplysninger og dokumenter er regulert i § 12 fjerde ledd. Utlevering av disse medfører ikke brudd på taushetsplikt. Forutsetningen er at opplysningene og dokumentene er nødvendige for at den rapporteringspliktige skal oppfylle sine plikter etter §§ 5 annet ledd (påvise at omfanget av utførte tiltak er tilpasset risiko), 8 (registrering av opplysninger om kunde og reell rettighetshaver) og 22 (generell plikt til oppbevaring).

5.8.2 EØS-rett

5.8.2.1 Kundetiltak utført av tredjepart

Etter hovedregelen i artikkel 25 kan statene la rapporteringspliktige legge til grunn kundetiltak etter artikkel 13 nr. 1 bokstav a, b og c utført av tredjeparter. Dette omfatter identifisering og bekreftelse av identiteten til kunden og reell rettighetshaver, og vurdering av kundeforholdets formål og tilsiktede art. Rapporteringspliktige kan ikke la tredjepart utføre løpende oppfølging av kundeforholdet. Ansvaret for at kundetiltakene er utført i samsvar med regelverket påhviler i siste instans den rapporteringspliktige selv.

Kretsen av tredjeparter er definert i artikkel 26. Artikkel 26 nr. 2 forbyr rapporteringspliktige å legge til grunn kundetiltak utført av tredjeparter etablert i høyrisikoland («high-risk third countries»), jf. artikkel 9. Medlemsstatene kan imidlertid gjøre unntak for filialer og majoritetseide datterselskap av rapporteringspliktige etablert i EU. Forutsetningen er at filialene og datterselskapene fullt ut overholder interne retningslinjer og rutiner fastsatt på konsernnivå i samsvar med artikkel 45.

Artikkel 26 nr. 1 stiller visse krav som tredjeparter må oppfylle for at kundetiltak utført av dem kan legges til grunn av rapporteringspliktige. Direktivet omtaler rapporteringspliktige, medlemsorganisasjoner, føderasjoner av rapporteringspliktige, andre institusjoner og personer. Disse må fylle vilkårene i bokstav a og b. Bokstav a krever at tredjeparten gjennomfører kundetiltakene og overholder reglene om oppbevaring av opplysninger i samsvar med direktivet. Bokstav b bestemmer at tredjeparten må være underlagt tilsyn med overholdelsen av regelverket i samsvar med direktivets regler om tilsyn i kapittel IV del 2.

Medlemsstatene skal sikre at de rapporteringspliktige innhenter nødvendig informasjon fra tredjepartene om kundetiltakene, se artikkel 27 nr. 1. Artikkel 27 nr. 2 bestemmer at rapporteringspliktige som kunden henvises til, skal ta rimelige steg for å sikre at tredjeparten, umiddelbart etter begjæring, oversender kopier av identifikasjons- og verifikasjonsopplysninger og annen relevant dokumentasjon av kundens eller reell rettighetshavers identitet.

Artikkel 28 åpner for at kompetente myndigheter i henholdsvis hjemstaten, når det gjelder konsernets retningslinjer og rutiner, og vertsstaten, for filialer og datterselskaper, kan anse en rapporteringspliktig for å overholde reglene i artikkel 26 og 27 gjennom konsernregelverk. I så fall må tre vilkår være oppfylt. For det første må tredjeparten som utfører kundetiltakene være del av samme konsern som den rapporteringspliktige. For det annet må konsernet utføre kundetiltak, overholde regler om oppbevaring av opplysninger og konsernregelverk mot hvitvasking og terrorfinansiering i samsvar med direktivet eller tilsvarende regler. For det tredje skal implementeringen av tiltakene nevnt foran (kundetiltak, oppbevaring av opplysninger, overholdelse av konsernregelverk) være underlagt tilsyn på konsernnivå, enten i hjemstaten eller et tredjeland.

5.8.2.2 Utkontraktering av kundetiltak

Direktivet gir ingen regler om utkontraktering av kundetiltak, annet enn at reglene som er beskrevet ovenfor ikke skal komme til anvendelse, jf. artikkel 29. I fortalen avsnitt 36 er det presisert at ved utkontraktering til personer eller foretak som ikke er underlagt direktivet, beholdes det fulle ansvaret for å overholde direktivet hos den rapporteringspliktige. Det er kun kontrakten om utkontraktering som skal avgjøre hvilke forpliktelser den det utkontrakteres til skal være underlagt. Den det utkontrakteres til, blir med andre ord ikke underlagt direktivet gjennom avtalen. Fortalen presiserer ikke hva som skal til for at det skal foreligge et utkontrakteringsforhold som innebærer at den det utkontrakteres til, er å anse som en del av den rapporteringspliktige.

5.8.3 FATFs anbefalinger og rapport

5.8.3.1 FATF-anbefalingene

5.8.3.1.1 Kundetiltak utført av tredjepart

Anbefaling 17 åpner for at rapporteringspliktige kan legge til grunn kundetiltak utført av tredjeparter til å oppfylle egne plikter etter hvitvaskingsregelverket. Dette omfatter bekreftelse av kundens og reelle rettighetshaveres identitet og vurdering av formålet og den tilsiktede arten av kundeforholdet, men ikke løpende oppfølging.

Det er noen forutsetninger som må være til stede for at rapporteringspliktige skal kunne legge til grunn kundetiltak utført av andre, se anbefalingen annet ledd. Den rapporteringspliktige må uten opphold («immediately») få informasjonen fra kundetiltakene fra tredjeparten, jf. bokstav a. Dessuten må den rapporteringspliktige forsikre seg om at kopier av dokumenter og opplysninger brukt ved kundetiltakene vil bli utlevert fra tredjeparten uten opphold etter anmodning, se bokstav b.

Bokstav c bestemmer at rapporteringspliktige skal forsikre seg om at tredjeparten er underlagt krav om gjennomføring av kundetiltak i samsvar med anbefalingene, og at overholdelsen av gjennomføringen er underlagt tilsyn. Ansvaret for at tredjeparten kan brukes til å gjennomføre kundetiltak legges dermed på den rapporteringspliktige.

Bokstav d gjelder hvilke land tredjeparten kan være etablert i. Her skal rapporteringspliktige ta hensyn til informasjon på landnivå når det gjelder risikoen for hvitvasking og terrorfinansiering.

Tredje ledd i anbefaling 17 gjelder bruk av tredjepart som er del av samme konsern som den rapporteringspliktige. Forutsetningen for at dette skal være tillatt er at tredjeparten overholder krav til kundetiltak og oppbevaring av dokumenter i samsvar med anbefalingene og konsernregelverk om hvitvasking og terrorfinansiering. I tillegg må overholdelsen av disse kravene være underlagt tilsyn på konsernnivå. I så fall kan relevante myndigheter anse vilkårene i bokstav b og c for oppfylt gjennom konsernets regelverk mot hvitvasking og terrorfinansiering og dessuten unnta rapporteringspliktige fra kravet i bokstav d.

5.8.3.1.2 Utkontraktering av kundetiltak

I «interpretive note» til anbefaling 17 er det presisert at anbefalingens virkeområde er avgrenset mot agentforhold og utkontraktering («outsourcing»). Skillet mellom dette og det å legge til grunn tredjeparters kundetiltak, ser ut til å bygge på om kundetiltakene utføres på vegne av («on behalf of») den utkontrakterende rapporteringspliktige, i samsvar med sistnevntes rutiner og under sistnevntes kontroll med implementeringen av rutinene. I tredjepartstilfellene vil derimot tredjeparten normalt ha et etablert kundeforhold til kunden, uavhengig av om kunden skal inngå i et kundeforhold med den rapporteringspliktige.

5.8.3.2 FATF-rapporten

FATF kritiserer Norge for ikke å forplikte de rapporteringspliktige til å sikre seg at tredjeparten oversender informasjon, kopier og annen dokumentasjon fra kundekontrollen. Gjeldende hvitvaskingslov pålegger tredjeparten plikt til å oversende dokumentasjon i § 11. Kritikken rettes mot Norge fordi loven ikke vil være anvendelig overfor tredjeparter som ikke er underlagt norsk lov.

Norge kritiseres videre for at de rapporteringspliktige ikke må forsikre seg om at tredjeparten overholder regelverket knyttet til kundekontroll og oppbevaring av opplysninger.

5.8.4 Utvalgets vurderinger

5.8.4.1 Kundetiltak utført av tredjeparter

5.8.4.1.1 Generelt

Norsk rett gjennomfører i all hovedsak fjerde hvitvaskingsdirektivs regler om kundetiltak gjennomført av tredjeparter.

Reglene om adgang til å legge til grunn kundetiltak utført av tredjeparter bygger på at rapporteringspliktige i praksis henviser kunder til hverandre, f.eks. der et advokatfirma henviser en klient til et advokatfirma i et annet land. Normalt vil den henvisende tredjeparten ha et kundeforhold med kunden. Kundetiltakene vil derfor allerede være utført når kunden henvises til den rapporteringspliktige. Reglene legger til rette for at rapporteringspliktig kan spare ressurser på å unnlate å gjennomføre kundetiltak selv under visse forutsetninger. Det er bare alminnelige kundetiltak utført av tredjepart som kan legges til grunn av rapporteringspliktig, jf. fjerde hvitvaskingsdirektiv artikkel 25. Forslaget til § 18 bygger på dette, og viser derfor til kundetiltak etter § 9.

Utvalgets forslag til bestemmelse bygger på gjeldende lov, med enkelte tilpasninger. Som det fremgår av utredningen punkt 7.6.3.5, foreslår utvalget ikke at det gjøres unntak fra taushetsplikt ved utlevering av opplysninger fra tredjepart til rapporteringspliktig. Som det bemerkes der, vil forholdet mellom tredjepart, kunden og rapporteringspliktig normalt innebære at kunden gir samtykke til slik utlevering.

5.8.4.1.2 Avgrensningen av tredjepart

De norske kravene til hvem som kan utføre kundetiltak, er strengere enn reglene i fjerde hvitvaskingsdirektiv. Utvalget har vurdert om det er ønskelig å åpne opp for at flere aktører kan gjennomføre kundetiltak som så kan legges til grunn av andre rapporteringspliktige. Av dagens rapporteringspliktige kan ikke Norges Bank, e-pengeforetak, foretak som driver valutavirksomhet, betalingsforetak og andre som har rett til å yte betalingstjenester, tilbyder av posttjenester ved formidling av verdisendinger, foretak som driver depotvirksomhet, forvaltere av alternative investeringsfond, tilbydere av virksomhetstjenester, forhandlere av gjenstander eller personer med begrenset tillatelse til å yte betalingstjenester opptre som tredjepart. Etter utvalgets oppfatning er avgrensningen hovedsakelig begrunnet med mangel på tilsyn med enkelte aktører og praktiske hensyn.

Spørsmålet er aktuelt for tilbydere av virksomhetstjenester som etter lovforslaget skal underlegges krav om tillatelse og tilsyn. I dag finnes det lite informasjon om denne gruppen næringsdrivende. Dessuten er det naturligvis ikke gjort noen erfaringer med tilsynet av disse. På denne bakgrunn foreslår ikke utvalget at det åpnes for at kundetiltak gjennomført av tilbydere av virksomhetstjenester kan legges til grunn av andre rapporteringspliktige.

Spørsmålet er også aktuelt for forhandlere av varer som foreslås underlagt tilsyn, gitt at det ikke innføres et kontantforbud som foreslått av en av fraksjonene i første delutredning. Her er det imidlertid en innvending at forhandlere av varer sjelden vil gjennomføre kundetiltak. Det er derfor lite praktisk at andre rapporteringspliktige vil legge til grunn tiltak utført av forhandlere av varer. Som for tilbydere av virksomhetstjenester er det åpenbart ikke gjort noen erfaringer med tilsynet av forhandlerne. Utvalget foreslår derfor ikke at kundetiltak utført av forhandlere av varer kan legges til grunn av andre rapporteringspliktige.

Tilbydere av spilltjenester er foreslått underlagt hvitvaskingsloven, se NOU 2015: 12 punkt 3.2.3 og forslaget til § 4 annet ledd bokstav i. Dette er en ny gruppe som underlegges hvitvaskingsloven, herunder tilsyn med etterlevelsen av regelverket. Det oppstår derfor spørsmål om tilbydere av spilltjenester skal kunne opptre som tredjepart for rapporteringspliktige ved gjennomføring av kundetiltak. I denne gruppen rapporteringspliktige er det stor variasjon hva gjelder erfaring med å gjennomføre kundetiltak. Norsk Tipping har lang erfaring med kundekontroll (gjennom Buypass), noe private lotterier ikke har. På bakgrunn av samme betraktninger som ovenfor, og det som er nevnt her, foreslår ikke utvalget at det åpnes for at kundetiltak gjennomført av tilbydere av spilltjenester kan legges til grunn av andre rapporteringspliktige.

Utvalget bemerker imidlertid at dersom det er behov for at norske tilbydere av spilltjenester skal kunne tilby tjenester til spillere i utlandet, bør dette reguleres i forskrift. Ved forskriftsregulering kan adgangen til å legge til grunn kundetiltak avgrenses både på mottakersiden og tredjepartsiden – f.eks. slik at bare Norsk Rikstoto eller Norsk Tipping kan legge til grunn kundetiltak utført av utenlandske tilbydere av spilltjenester, mens denne adgangen er avskåret for andre rapporteringspliktige.

En annen type rapporteringspliktig som ikke er omfattet av gjeldende hvitvaskingslov § 11, er forvaltere av alternative investeringsfond. Disse ble tatt inn som rapporteringspliktige ved vedtakelsen av AIF-loven.12 I forarbeidene er det ikke vurdert om kundetiltak utført av forvaltere av alternative investeringsfond skal kunne legges til grunn av andre rapporteringspliktige. Forvaltere av alternative investeringsfond er underlagt krav om tillatelse av Finanstilsynet og er dessuten underlagt tilsyn. Direktivets vilkår er dermed oppfylt. Utvalget ser ingen vesentlige innvendinger mot å la rapporteringspliktige legge til grunn resultatene fra forvalternes kundetiltak, og foreslår derfor at kretsen av tredjeparter utvides, se forslaget til § 18 første ledd bokstav i.

Utvalget har foreslått at tilbydere av posttjenester ikke lenger skal være underlagt loven, se punkt 3.1.4. Det er derfor ikke lenger aktuelt å vurdere om disse kan opptre som tredjepart.

Etter utvalgets oppfatning driver personer med begrenset rett til å yte betalingstjenester en type virksomhet som innebærer at kundetiltak gjennomført av disse ikke er egnet til å kunne legges til grunn av andre rapporteringspliktige. Det foreslås derfor ikke endringer på dette punktet.

Utvalget har i punkt 3.1.17 foreslått at låneformidlere skal underlegges loven. Disse er imidlertid ikke underlagt krav om konsesjon, men i stedet en meldeplikt. Utvalget foreslår derfor ikke at kundetiltak utført av låneformidlere kan legges til grunn av andre rapporteringspliktige.

Når det gjelder foretak som driver fysisk pengetransport og inkassovirksomhet, er disse underlagt tilsyn. Her gjør imidlertid samme mothensyn som for tilbydere av virksomhetstjenester og forhandlere av varer seg gjeldende. Man har foreløpig ingen erfaring med hvordan disse gjennomfører kundetiltak, eller erfaringer fra tilsynsvirksomheten om hvordan etterlevelsen av hvitvaskingsloven er. Utvalget foreslår derfor ikke at kundetiltak utført av disse foretakene kan legges til grunn av andre rapporteringspliktige.

Utvalget foreslår imidlertid en forskriftshjemmel slik at departementet senere kan utvide kretsen av tredjeparter til å inkludere rapporteringspliktige som i dag ikke foreslås omfattet av reglene som tredjepart, se forslaget til § 18 sjette ledd.

Utvalget foreslår ellers at den avgrensningen som ble gjort i hvitvaskingsloven § 11 videreføres, se forslaget til § 18 første ledd. Angivelsen av rapporteringspliktige i bokstav a til m gjelder norske foretak. Bestemmelsen omfatter også adgang til å legge til grunn kundetiltak utført av utenlandske foretak som tredjepart, se bokstav n. Som etter dagens regel kan det ikke legges til grunn kundetiltak utført av utenlandske forsikringsformidlingsforetak. For utenlandske tredjeparter er det ikke lenger krav om at disse er underlagt lovbestemt registreringsplikt. Dette er i samsvar med fjerde hvitvaskingsdirektiv. Listen over tredjeparter er tilpasset ny finansforetakslov.

Et særlig spørsmål gjelder forholdet til tredjeparter etablert i høyrisikoland. Direktivet forbyr rapporteringspliktige å legge til grunn kundetiltak utført av tredjeparter etablert i land som er oppført på Europakommisjonens liste over «high-risk third countries», se artikkel 26 nr. 2, jf. artikkel 9. Blant annet i påvente av at direktivet tas inn i EØS-avtalen, med den nødvendige tilpasning av bestemmelsen om Europakommisjones kompetanse til å fastsette liste over høyrisikoland, jf. artikkel 9, foreslår utvalget at departementet gis adgang til å fastsette unntak fra adgangen til å legge til grunn kundetiltak utført av utenlandske tredjeparter i forskrift, se lovforslaget § 18 sjette ledd. Dette vil åpne for at departementet gjennom forskrift viser til Kommisjonens liste dersom det er ønskelig, eller begrunner på annen måte at det ikke er ønskelig å tillate at rapporteringspliktige legger til grunn kundetiltak utført av tredjeparter i visse stater.

Lovteknisk er forskriftshjemmelen utformet slik at det kan gjøres unntak fra adgangen til å legge til grunn kundetiltak utført av visse rapporteringspliktige i utlandet. Konsekvensen av en slik forskriftsregulering er at rapporteringspliktige forbys å legge til grunn kundetiltak utført av tredjeparter fra land som omfattes av unntaket i forskriften. Direktivet åpner for unntak fra forbudet mot å legge til grunn kundetiltak utført av tredjeparter i høyrisikoland ved konsernforhold når det gjelder filialer og majoritetseide datterselskaper av rapporteringspliktige etablert i EU. Forutsetningen er at filialene og datterselskapene overholder konsernets regelverk mot hvitvasking og terrorfinansiering fastsatt i medhold av artikkel 45. Utvalget mener det er hensiktsmessig å overlate til departementet å vurdere om et slikt unntak er ønskelig. Utvalget foreslår derfor at åpnes for unntak i forskrift. Forskriftshjemmelen nevnt ovenfor omfatter også denne typen regler om konsern, se forslaget til § 18 sjette ledd. Adgangen til å gjøre unntak for konsern kan dermed ses i sammenheng med listeføringen av land.

5.8.4.1.3 Rapporteringspliktiges og tredjeparts ansvar

Utvalget foreslår at rapporteringspliktig beholder ansvaret for å registrere opplysninger som nevnt i § 29 og lagre opplysninger og dokumenter som nevnt i §§ 30 og 31. Dette er en videreføring av gjeldende rett. Rapporteringspliktige vil videre beholde det overordnede ansvaret for at kundetiltakene er gjennomført i samsvar med lovens krav. Er den rapporteringspliktige i tvil om tredjeparten har gjennomført kundetiltakene i tilstrekkelig omfang, må rapporteringspliktig selv gjennomføre kundetiltakene.

På bakgrunn av FATF sin kritikk, se punkt 5.8.3.2, har utvalget vurdert spørsmålet om den rapporteringspliktiges ansvar for å forsikre seg om at tredjeparten gjennomfører tilfredsstillende kundekontroll og oppbevaring av opplysninger. Direktivet omtaler ikke dette, men det følger av FATF-metodologien punkt 17.1 bokstav c at rapporteringspliktige skal «satisfy itself» om at tredjepart gjennomfører tilfredsstillende kundetiltak og oppbevaring av opplysninger. Etter utvalgets oppfatning er det hensiktsmessig å presisere rapporteringspliktiges ansvar for å innhente opplysninger om dette i lovteksten, se forslag til § 18 tredje ledd.

På bakgrunn av FATFs kritikk har utvalget også vurdert om det skal foretas justeringer i hvilket ansvar som pålegges rapporteringspliktige og tredjeparter når det gjelder oversendelse av informasjon og kopier som er brukt i forbindelse med kundetiltak. Hvitvaskingsloven § 11 fjerde ledd legger ansvaret på tredjeparten. Samtidig er det bestemt at det endelige ansvaret for at kundetiltakene gjennomføres i samsvar med regelverket påhviler den rapporteringspliktige, jf. annet ledd nr. 2. I direktivet skal myndighetene «ensure» at rapporteringspliktige «obtain from the third party relied upon the necessary information concerning customer due diligence requirements», og at den rapporteringspliktige tar «adequate steps to ensure that the third party provides, immediately upon request» kopier av relevant dokumentasjon brukt ved gjennomføringen av kundetiltak, jf. artikkel 27 nr. 1 og 2. FATF påpekte at den norske regelen ikke er anvendelig overfor rapporteringspliktige fra utlandet fordi de ikke er underlagt norsk lov.

Ut fra dette foreslår utvalget at ansvaret flyttes fra tredjepart til rapporteringspliktig. Utvalget foreslår at rapporteringspliktige skal sikre seg at tredjeparten utleverer nødvendig informasjon og kopier av dokumentasjon som er brukt ved gjennomføring av kundetiltakene, se forslag til § 18 fjerde ledd. Det vil være naturlig at dette gjøres ved avtale, som uansett må inngås i forbindelse med at rapporteringspliktig legger til grunn tredjepart sine kundetiltak. Dermed flyttes ansvaret for at informasjonen og dokumentasjonen blir oversendt, i samsvar med direktivet, fra tredjeparten til den rapporteringspliktige.

5.8.4.1.4 Forhåndsgodkjenning av konsern

Utvalget forstår artikkel 28 slik at den gir statene en viss valgfrihet mht. om det skal gis forhåndsgodkjenning for å kunne legge til grunn kundetiltak utført av rapporteringspliktig i samme konsern. Bestemmelsen sier at statene «shall ensure» at kompetente myndigheter «may consider» et konsern for å overholde kravene i artikkel 26 og 27 om kundetiltak utført av rapporteringspliktige. Det er ikke krav om at statene skal anse et konsern for å oppfylle kravene dersom de har fastsatt et konsernreglement som tilfredsstiller artikkel 28.

Etter dette foreslår utvalget at rapporteringspliktige som er del av konsern, kan legge til grunn kundetiltak utført av rapporteringspliktige i samme konsern, forutsatt at relevante tilsynsmyndigheter har gitt en forhåndsgodkjenning. Vilkårene for å få en slik godkjenning utformes på bakgrunn av direktivets ordlyd. Spørsmålet om kompetansen til å gi forhåndsgodkjenning skal benyttes er underlagt forvaltningens frie skjønn, innenfor de alminnelige rammene for dette i forvaltningsretten, se forslaget til § 18 femte ledd.

5.8.4.2 Utkontraktering av kundetiltak

I fjerde hvitvaskingsdirektiv artikkel 29 er det bestemt at reglene om bruk av kundetiltak utført av tredjeparter ikke skal anvendes på utkontraktering eller agentforhold der oppdragstakeren anses som en del av den rapporteringspliktige. Utvalget forstår dette slik at det fastslår at rapporteringspliktige ikke kan utkontraktere seg bort fra ansvaret de pålegges etter direktivet. Utvalget forstår ikke dette slik at det stilles særskilte krav til utkontrakteringsforholdet i form av at foretaket det utkontrakteres til må anses som en del av den rapporteringspliktiges virksomhet. Direktivet tar, etter utvalgets oppfatning, ikke sikte på å gripe inn i rapporteringspliktiges adgang til å utkontraktere utføringen av de oppgaver vedkommende til enhver tid har. Det finnes foretak som spesialiserer seg på å utføre kundetiltak for andre i markedet i dag. Utvalget antar at dette er en bransje som kan bli mer utbredt i takt med at kompleksiteten i regelverket øker.

Utvalget påpeker at det er den rapporteringspliktiges ansvar å overholde gjeldende regelverk. Det er ikke mulig å delegere seg bort fra dette ansvaret. Lovgiver bør ikke legge begrensninger på rapporteringspliktiges muligheter til å organisere gjennomføringen av kundetiltakene på en hensiktsmessig måte. Dersom den rapporteringspliktige som ledd i dette ønsker å utkontraktere gjennomføringen av kundetiltakene, bør ikke loven stå i veien for en slik løsning.

Utvalget mener det er unødvendig med en egen bestemmelse om adgangen til utkontraktering.

5.9 Løpende oppfølging

5.9.1 Norsk rett

Hvitvaskingsloven § 14 pålegger rapporteringspliktige å følge opp eksisterende kundeforhold. Den løpende oppfølgingen skal omfatte overvåking av transaksjonene kunden utfører for å sikre at disse er i samsvar med den rapporteringspliktiges kunnskap om kunden og dennes virksomhet. De rapporteringspliktige plikter også å oppdatere dokumentasjon og opplysninger om kunder, se § 14 annet punktum.

Bestemmelsen må leses på bakgrunn av § 5, som gjelder risikobasert kundekontroll og løpende oppfølging. Løpende oppfølging skal foretas på «grunnlag av en vurdering av risiko» for hvitvasking og terrorfinansiering.

5.9.2 EØS-rett

Kravet om løpende oppfølging av kundeforhold er et «due diligence measure» i fjerde hvitvaskingsdirektiv, jf. artikkel 13 nr. 1 bokstav d om «ongoing monitoring». Dette skal inkludere undersøkelse av transaksjoner for å sikre at disse er i samsvar med den rapporteringspliktiges kunnskap om kunden og kundens forretnings- og risikoprofil. Dette inkluderer undersøkelse av kilden til midlene som inngår i kundeforholdet eller transaksjonen, og å sørge for at dokumenter, opplysninger og informasjon holdes oppdatert.

Dessuten vil løpende oppfølging omfatte å gjennomføre kundetiltak overfor eksisterende kunder. Artikkel 14 nr. 5 pålegger statene å sikre at rapporteringspliktige gjennomfører kundetiltak overfor eksisterende kunder. Dette skal skje «at appropriate times» på en «risk-sensitive basis», herunder når «relevant circumstances of a customer change». Med unntak av den sistnevnte situasjonen tilsvarer denne regelen tredje hvitvaskingsdirektiv artikkel 9 nr. 5.

Direktivet gir egne regler for både forenklede og forsterkede kundetiltak, herunder for den løpende oppfølgingen.

I artikkel 15 nr. 3 om forenklede kundetiltak fremgår det at rapporteringspliktige skal gjennomføre «sufficient monitoring» av transaksjoner og kundeforhold til å kunne oppdage uvanlige eller mistenkelige transaksjoner.

Artikkel 20 gjelder forsterkede kundetiltak overfor politisk eksponerte personer. I artikkel 20 bokstav b punkt iii er det eksplisitt krav om «enhanced, ongoing monitoring of those business relationships». Det er ikke presisert nærmere hva dette skal eller kan innebære. Siden overvåkingen av kundeforholdet skal være «enhanced», vil det i alle fall omfatte de tiltakene som omfattes av den alminnelige regelen om løpende oppfølging i artikkel 13 nr. 1 bokstav d.

En særskilt løpende oppfølging skal også gjennomføres i tilfeller som faller inn under artikkel 18 nr. 2, dvs. ved transaksjoner som er komplekse eller uvanlig store, uten å ha et tilsynelatende lovlig eller økonomisk formål. Rapporteringspliktige skal undersøke, så langt det er mulig, bakgrunnen for og formålet med disse transaksjonene, herunder «increase the degree and nature of monitoring of the business relationship».

5.9.3 FATFs anbefalinger og rapport

Anbefaling 10 fjerde ledd bokstav d gjelder løpende oppfølging. Oppfølgingen er å regne som en del av kundetiltakene. Den løpende oppfølgingen skal omfatte undersøkelse av transaksjoner som gjennomføres i tilknytning til kundeforholdet, slik at rapporteringspliktige kan forsikre seg om at transaksjonene er i samsvar med det den rapporteringspliktige vet om sin kunde, dennes forretninger og risikoprofil, herunder, om nødvendig, kilden til midlene.

«Interpretive note» til anbefaling 10 punkt 13 pålegger gjennomføring av kundetiltak også overfor eksisterende kunder. Denne typen oppfølging eller kontroll med kunden skal foretas på passende tidspunkter på bakgrunn av risiko og «materiality». Det skal tas hensyn til om og når det tidligere er gjennomført kundetiltak og om informasjonen fra disse er tilstrekkelig.

«Interpretive note» til anbefaling 10 punkt 10 presiserer anbefalingen når det gjelder løpende oppfølging. Denne bestemmer at de rapporteringspliktige ikke må gjennomføre kundetiltak ved hver eneste transaksjon kunden gjennomfører. Den rapporteringspliktige kan legge til grunn de tiltakene den har gjennomført tidligere, forutsatt at det ikke er i tvil om den informasjonen som er innhentet, er riktig. Eksempler på tilfeller der det kan være tvil, er der det er mistanke om hvitvasking eller terrorfinansiering, eller der det er en vesentlig endring i bruken av kundens konto som ikke er i samsvar med kundeprofilen.

FATF-rapporten kritiserer Norge på to punkter når det gjelder løpende oppfølging i form av fornyet kundekontroll. For det første inneholder Finanstilsynets rundskriv unntak fra kravet om fornyet kundekontroll for alle kunder som er blitt kontrollert etter tidligere hvitvaskingslov av 2003, fordi risikoen da generelt antas å være lav.13

For det annet mente FATF at gjeldende hvitvaskingslov ikke krever at kundekontrolltiltak skal være basert på risiko. § 6 første ledd nr. 4 pålegger derimot fornyet kundekontroll av eksisterende kunder der det er tvil om riktigheten eller tilstrekkeligheten av allerede innhentet informasjon.

5.9.4 Utvalgets vurderinger

5.9.4.1 Generelt

Gjeldende hvitvaskingslov og -forskrift gjennomfører i all hovedsak fjerde hvitvaskingsdirektivs regler om løpende oppfølging. Utvalget foreslår en samlet bestemmelse om løpende oppfølging i § 19. Denne omfatter også regler om politisk eksponerte personer, forsikringsavtaler og følgen av at kundetiltak overfor eksisterende kunder ikke kan gjennomføres.

Alle rapporteringspliktige skal følge opp sine kundeforhold. Dette innebærer at rapporteringspliktige må følge med på kundens aktivitet. Formålet med oppfølgingen er særlig å oppdage avvikende atferd fra kunden. Avvik fra forventet atferd fra kunden kan vekke mistanke om hvitvasking eller terrorfinansiering, noe som utløser undersøkelsesplikt, jf. forslaget til § 20. Det er derfor av avgjørende betydning at den løpende oppfølgingen gjennomføres på en adekvat måte.

Hva som innebærer et avvik, må vurderes opp mot kunnskapen rapporteringspliktige allerede har om kunden. Informasjon om kunden vil som oftest stamme fra gjennomførte kundetiltak, herunder informasjon om kundens virksomhet og risikoprofil og kundeforholdets formål og tilsiktede art. Dette illustrerer betydningen av at rapporteringspliktige gjennomfører risikobaserte kundetiltak. Det gjør den rapporteringspliktige i stand til å tilpasse den løpende oppfølgingen til kundens risikoprofil. Dette kan være kostnadseffektivt for den rapporteringspliktige, som dermed ikke må bruke ressurser på å følge opp alle kunder like intensivt.

5.9.4.2 Gjennomføring av kundetiltak overfor eksisterende kundeforhold

Utvalget har vurdert om plikten til å gjennomføre kundetiltak overfor eksisterende kunder skal presiseres i lovteksten. Det er krav i direktivet om gjennomføring av kundetiltak overfor eksisterende kunder. Dessuten hadde FATF merknader til norsk rett på dette punktet, både når det gjelder Finanstilsynets rundskriv og valget av gjennomføringsmåte i hvitvaskingsloven.

I gjeldende hvitvaskingslov skal det bl.a. gjennomføres kundekontroll når det er tvil om riktigheten eller tilstrekkeligheten av allerede innhentet informasjon, jf. § 6 første ledd nr. 4, og plikten til å gjennomføre løpende oppfølging skal være risikobasert, se § 5. I forarbeidene ble det ansett unødvendig å presisere at kundetiltak skulle gjennomføres også overfor eksisterende kunder, basert på en risikovurdering.14

Direktivet krever at rapporteringspliktige gjennomfører kundetiltak overfor eksisterende kundeforhold «at appropriate times (…) on a risk-sensitive basis». Dette inkluderer situasjonen når «relevant circumstances of a customer change». Utvalget anser dette for langt på vei å sammenfalle med tilfellene der rapporteringspliktig tviler på tilstrekkeligheten eller riktigheten av allerede innhentet informasjon, noe som også i dag utløser plikt til gjennomføring av kundetiltak. Direktivet innebærer imidlertid, etter utvalgets oppfatning, at det overfor alle kunder skal gjennomføres fornyede kundetiltak med jevne mellomrom. Hvor ofte dette skal gjennomføres, må vurderes på bakgrunn av en risikobasert tilnærming i samsvar med § 5. Dette vil variere med typen kunde, kundeforhold, produkt og opptreden fra kundens side. Det er også relevant å ta i betraktning hvilke kundetiltak som tidligere er gjennomført overfor kunden.

Ut fra dette er det ønskelig å gjøre det tydelig i lovteksten at også eksisterende kundeforhold skal underlegges kundetiltak, se lovforslaget § 19 annet ledd. Dette er også av hensyn til forutsigbarheten for rapporteringspliktige. Utvalget presiserer at plikten til å gjennomføre kundetiltak overfor eksisterende kunder omfatter alle kunder, uavhengig av når de ble kunder av den rapporteringspliktige. Det er etter utvalgets oppfatning ikke grunnlag for å gjøre unntak for f.eks. kunder som det ble gjennomført kundetiltak overfor i medhold av hvitvaskingsloven av 2003.

5.9.4.3 Politisk eksponerte personer

Når kunden eller reell rettighetshaver er politisk eksponert person (PEP), nært familiemedlem eller kjent medarbeider av PEP, skal det føres forsterket løpende oppfølging av kundeforholdet, jf. direktivet artikkel 20 bokstav b punkt iii. Kundetiltak overfor politisk eksponerte personer er nærmere omtalt i utredningen punkt 5.4.4.2.

Utvalget foreslår at en bestemmelse om plikten til forsterket løpende oppfølging plasseres i paragrafen om løpende oppfølging. Dermed samles forpliktelsene knyttet til løpende oppfølging i én bestemmelse, slik at denne knyttes til den kronologiske oppbygningen av kapittelet om kundetiltak, se lovforslaget § 19 tredje ledd.

5.9.4.4 Overdragelse av forsikringspoliser

Utvalget har vurdert bestemmelsen om identifikasjon av nye reelle rettighetshavere ved overdragelse av forsikringspoliser nærmere, se også omtalen under punkt 5.2.4.7. Etter utvalgets mening er det hensiktsmessig å presisere i lovteksten at reelle rettighetshavere skal identifiseres så snart en overdragelse er blitt kjent for forsikringsforetaket, se forslaget til § 19 fjerde ledd.

5.9.4.5 Plikt til å avslutte eksisterende kundeforhold

Dersom fornyede kundetiltak etter denne bestemmelsen ikke er mulig å gjennomføre, har rapporteringspliktige plikt til å avslutte kundeforholdet, se forslaget til § 19 femte ledd.

På bakgrunn av fjerde hvitvaskingsdirektiv artikkel 14 nr. 4 sin ordlyd og FATFs kritikk av norsk regulering av dette, jf. punkt 5.7.3, har utvalget vurdert plikten til å avslutte etablerte kundeforhold nærmere. Slik utvalget ser det, krever direktivet at etablerte kundeforhold avsluttes der det ikke er mulig å gjennomføre kundetiltak, uten at det i tillegg stilles et krav om at fortsettelse av kundeforholdet innebærer en risiko for hvitvasking og terrorfinansiering. Tilleggsvilkåret knyttet til risiko i gjeldende lov § 10 kan gå lengre enn direktivet ved at rapporteringspliktig, i tilfeller der det er risiko, avvikler kundeforhold uten å i tilstrekkelig grad ha forsøkt å gjennomføre kundetiltak. På den annen side kan tilleggsvilkåret også medføre at rapporteringspliktige opprettholder kundeforhold til tross for at kundetiltak ikke kan gjennomføres, fordi rapporteringspliktig mener det ikke er risiko for hvitvasking og terrorfinansiering. Utvalget foreslår derfor at begrensningen i plikten til å avslutte eksisterende kundeforhold ikke videreføres. Det må kreves at det er forhold på kundens side som medfører at kundetiltakene ikke gjennomføres, f.eks. at kunden ikke kan presentere gyldig legitimasjon eller nekter å bidra med opplysninger som kan belyse et selskap sin eierskapsstruktur og reelle rettighetshavere. Forutsetningen er at den rapporteringspliktige bruker de nødvendige ressurser for å bekrefte reelle rettighetshaveres identitet og klarlegge formålet og den tilsiktede arten av kundeforholdet.

Bestemmelsen er foreslått inntatt i bestemmelsen om løpende oppfølging fremfor bestemmelsen om følger av at kundetiltak ikke kan gjennomføres, se forslaget til § 19 femte ledd. Dette gir, slik utvalget ser det, en mer logisk og brukervennlig oppbygning av loven. Utvalget presiserer at undersøkelses- og rapporteringsplikten er aktuell om de manglende kundetiltakene innebærer forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering. Se nærmere omtale av dette i punkt 6.5. Utvalget foreslår at det innføres plikt til å avvikle etablerte kundeforhold uavhengig av når kundeforholdet er etablert. Problemstillingen om uegentlig tilbakevirkning som ble tatt opp i NOU 2007: 10 punkt 4.6.3 og Ot.prp. nr. 3 (2008–2009) punkt 4.6.5, som dannet grunnlaget for overgangsbestemmelsen i gjeldende lov § 34, gjør seg gjeldende også nå, se punkt 5.7.1.

Et spørsmål som reiser seg, er om lovforslaget som pålegger rapporteringspliktige å avvikle etablerte kundeforhold uavhengig av når disse er inngått, er forenlig med Grunnloven § 97.

Grunnlovens utgangspunkt er at ingen lov skal gis tilbakevirkende kraft. Innholdet i normen er presisert gjennom Høyesteretts praksis. I Rt. 2016 side 389 oppsummeres dette i avsnitt 76 og 77:

«Fra denne gjennomgåelsen [av rettspraksis] slutter jeg at kjernespørsmålet er hvor sterkt tilbakevirkningselementet er. Hvis loven direkte knytter tyngende rettsvirkninger til tidligere hendelser, er loven som hovedregel grunnlovsstridig. Gir loven derimot bare regler om hvordan en allerede etablert posisjon skal utøves, er hovedregelen den motsatte. I de sistnevnte tilfellene har lovgiveren et betydelig spillerom, se avsnitt 94 i strukturkvotedommen [Rt. 2013 side 1345]. Det er en glidende overgang mellom disse ytterpunktene. I rederiskattedommen [Rt. 2010 side 143] omtales dette som «overgangsformer», mens det i strukturkvotedommen fremheves at «Borthen-normen» er relativ, fleksibel og skjønnsmessig.

Jeg konstaterer videre at det uavhengig av normvalg må skje en avveining mellom de vernede interesser på den ene siden, og de samfunnsmessige hensynene på den annen. Vurderingen må skje konkret for dem som er parter i saken, men det må kunne tas hensyn til helheten ved lovreguleringen, se avsnitt 155 i rederiskattedommen. Ved vurderingen har det betydning hvilke rettigheter eller posisjoner inngrepet gjelder, hvilket grunnlag den enkelte eller en gruppe har for sine forventninger, om inngrepet er plutselig og betydelig, og om fordelingen av byrdene rammer den enkelte eller en gruppe særlig hardt, jf. Borthen-dommen [Rt. 1996 side 1415] og strukturkvotedommen. De samfunnsmessige hensynene må holdes opp mot dette. Jeg vil utdype dette når jeg kommer tilbake til den konkrete avveiningen.»

Utvalget har vurdert hvilket element av tilbakevirkning forslaget til § 19 femte ledd innebærer. Utvalget påpeker at forslaget ikke pålegger rapporteringspliktige å avvikle kundeforhold uten videre. Plikten til å avvikle kundeforholdet beror på en løpende oppfølging av kundeforholdet der det etter risikovurderinger skal gjennomføres kundetiltak overfor eksisterende kunder. Det skal bero på kundens forhold, som omtalt ovenfor, at kundetiltak ikke kan gjennomføres før kundeforholdet kan avvikles. Lovbestemmelsen regulerer dermed fremtidig avslutning av inngåtte kontrakter. Dette innebærer ikke å knytte direkte tyngende rettsvirkninger til tidligere hendelser, såkalt egentlig tilbakevirkning.

Siden loven regulerer utøvelsen av etablerte rettsposisjoner, skal lovgiver ha et «betydelig spillerom», jf. sitatet ovenfor. Utgangspunktet er at denne formen for lovgivning ikke reiser problemer opp mot Grunnloven § 97.

Utvalget har vurdert lovens konsekvenser for vernede interesser. Lovforslaget innebærer regulering av økonomiske rettigheter knyttet til allerede inngåtte kontrakter. Dette gjelder kontrakter inngått før ikrafttredelsen av hvitvaskingsloven av 2009. Utvalget understreker imidlertid at det for de fleste rapporteringspliktige har vært krav om gjennomføring av kundetiltak siden 1. januar 2004, dvs. ved ikrafttredelsen av hvitvaskingsloven av 2003. Kundene kan i dag vanskelig forvente ikke å måtte oppgi informasjon som ledd i arbeidet med å motvirke hvitvasking og terrorfinansiering. Inngrepet i disse avtalene vil dessuten bero på risikovurderinger foretatt av de rapporteringspliktige. Det dreier seg ikke om et direkte inngrep fra lovgiver i fordelingen av pliktene i kontraktene.

Hensynet til personer med allerede inngåtte kontrakter må, etter Høyesteretts praksis, veies mot de samfunnsmessige hensyn. Det er sterke samfunnsmessige hensyn som tilsier at lovens regel skal anvendes på allerede inngåtte avtaler. Utvalget viser til forslaget til formålsbestemmelse, § 1. Loven skal motvirke hvitvasking og terrorfinansiering, herunder at det finansielle system misbrukes eller forsøkes misbrukt som ledd i hvitvasking og terrorfinansiering. Utvalget viser videre til at dette er en viktig internasjonal forpliktelse. Det gjenspeiles i fjerde hvitvaskingsdirektiv og FATFs anbefalinger. En regel som ikke gjør det mulig å avvikle kundeforhold der kundetiltak ikke kan gjennomføres, medfører risiko for at rapporteringspliktige misbrukes til hvitvasking og terrorfinansiering. Etter utvalgets oppfatning er dette uakseptabelt. Her pekes det på at en del kundeforhold kan være inngått fra tiden før det ble innført krav om kundetiltak overhodet. Det er derfor behov for at disse kundeforholdene kan underlegges kundetiltak som ledd i løpende oppfølging. Utvalget understreker betydningen kundetiltakene og den løpende oppfølgingen har for å motvirke at rapporteringspliktige misbrukes til hvitvasking og terrorfinansiering. Dette har også betydning for samfunnets tillit til den virksomhet som drives av rapporteringspliktige.

Hensyntatt de samfunnsmessige hensyn og de vernede interesser og hensyntatt at lovgiver har et betydelig spillerom for lovgivning av denne karakter, har utvalget kommet til at lovforslaget ikke reiser problemer opp mot Grunnloven § 97. Utvalget foreslår derfor ikke en overgangsregel.

I forslaget til § 19 sjette ledd er det foreslått å videreføre unntaket fra plikten til å avslutte kundeforhold for advokater og andre som erversmessig eller stadig yter rettshjelp når dette er dekket av taushetsplikten. Dette er i samsvar med fjerde hvitvaskingsdirektiv artikkel 14 nr. 4 annet ledd.