4 Kundekontroll og løpende oppfølging

4.1 Innledning

Tredje hvitvaskingsdirektiv kapittel 2 inneholder regler om kontrolltiltak som skal utføres overfor kunder («customer due diligence»). Sammenlignet med første og annet hvitvaskingsdirektiv, er kravene til tiltak utvidet og presisert. Direktivets regler bygger på FATFs 40 anbefalinger, som ble revidert i 2003. Med noen unntak tilsvarer reglene om kontrolltiltak i direktivet de krav som stilles i FATF-anbefalingene.

Direktivets regler bygger på det såkalte «kjenn-din-kunde»-prinsippet, som internasjonalt anses for å være et av de viktigste virkemidler for å hindre at det finansielle system misbrukes til hvitvasking eller terrorfinansiering. Det er av vesentlig betydning at de aktuelle institusjoner og personer kjenner sine kunder for å kunne oppdage transaksjoner som kan innebære hvitvasking eller terrorfinansiering. Et sentralt utslag av «kjenn-din-kunde»-prinsippet er direktivets krav om at institusjoner og personer skal identifisere kunder, og bekrefte kundenes identitet.

Krav om identitetskontroll av kunder ble innført ved første hvitvaskingsdirektiv. Etter dette direktivet skulle nærmere angitte institusjoner og personer foreta identifikasjon av kunder ved etablering av kundeforhold, ved transaksjoner over et visst beløp og ved mistanke om hvitvasking av penger. Kravene ble videreført og noe utvidet ved annet hvitvaskingsdirektiv. Tredje hvitvaskingsdirektiv viderefører og presiserer kravene til kundeidentifikasjon ytterligere.

Tredje hvitvaskingsdirektiv medfører imidlertid krav om flere tiltak enn kontroll av kundens identitet. Et av disse er kravet om identitetskontroll av såkalt «beneficial owner», som i det følgende betegnes som «reelle rettighetshavere», jf. punkt 4.4.3.5, 4.4.4.5 og 4.4.5.5. Reelle rettighetshavere vil si fysiske personer som eier eller kontrollerer kunden eller som transaksjonen gjennomføres på vegne av. Direktivet har som utgangspunkt at slike fysiske personer vil ha den bakenforliggende økonomiske interesse i kundeforholdet eller transaksjonen, og kravet om identitetskontroll av reelle rettighetshavere er således en videreføring av «kjenn-din-kunde»-prinsippet.

En viktig nyhet i tredje hvitvaskingsdirektiv er plikten til å foreta løpende oppfølging («ongoing monitoring») av etablerte kundeforhold. Dette kontrolltiltaket er i direktivet fremstilt som en del av «customer due diligence», men skiller seg fra de øvrige tiltak i en slik grad at departementet, som utvalget, velger å behandle det separat. Det foretas således et skille mellom kundekontroll, jf. punkt 4.3 til 4.9, og løpende oppfølging, jf. punkt 4.10.

En annen viktig nyhet i tredje hvitvaskingsdirektiv er at det uttrykkelig fastslås at kundekontroll og løpende oppfølging kan utføres med utgangspunkt i en risikobasert vurdering. Institusjoner og personer som omfattes av direktivet skal utføre kontrolltiltak som står i forhold til risikoen for hvitvasking og terrorfinansiering. Direktivet bygger på en forutsetning om at risikoen for hvitvasking er forskjellig, avhengig av blant annet kundetype og virksomhetsområde, og at risikoen vil kunne endre seg over tid. Ressurser bør følgelig benyttes der behovet for tiltak er størst. Prinsippet om risikobasert kundekontroll og løpende oppfølging viser seg også ved at direktivet sondrer mellom tre ulike nivåer; alminnelig kundekontroll og løpende oppfølging («customer due diligence»), tilfeller hvor det er krav om forsterkede kontrolltiltak («enhanced customer due diligence») og tilfeller hvor det anses tilstrekkelig med forenklede kontrolltiltak («simplified customer due diligence»). Sistnevnte nivå medfører i realiteten unntak fra plikten til å foreta kundekontroll. Direktivet angir enkelte situasjoner hvor det skal anvendes skjerpede kontrolltiltak, men fastslår for øvrig et generelt krav om skjerpede tiltak i situasjoner som kan representere høy risiko for hvitvasking eller terrorfinansiering. Derimot er de situasjoner hvor det kan anvendes forenklede kontrolltiltak uttømmende angitt i direktivet.

Tredje hvitvaskingsdirektiv åpner for øvrig for at bekreftelse av kundens og reelle rettighetshaveres identitet kan utsettes til etter etablering av kundeforhold eller utføring av transaksjon. Videre åpnes det for at institusjoner og personer som omfattes av direktivet kan legge til grunn kundekontroll som er gjennomført av tredjeparter, og utkontraktere gjennomføring av kundekontroll.

I høringen har Næringslivets Hovedorganisasjon uttalt at begrepet «customer due diligence» bedre oversettes med «kundegodkjennelse», «kundegjennomgang» eller «kundekjennskap». Videre anser Næringslivets Hovedorganisasjon at ordningen ved bruk av et annet begrep enn «kundekontroll» gir «et mindre mistenkelig preg både fra den rapporteringspliktiges side og fra den som er objekt for kontrollen». Departementet anser at «kundekontroll» språklig sett er et mer hensiktsmessig norsk begrep. Videre er departementet ikke enig i at begrepet «kundekontroll» er egnet til å gi ordningen et mistenkelig preg. Til sammenligning viser departementet til gjeldende bestemmelser i hvitvaskingsloven om «identitetskontroll» av kunden. Departementet foreslår på denne bakgrunn at begrepet «customer due diligence» oversettes med «kundekontroll» i ny hvitvaskingslov.

4.2 Risikobasert kundekontroll og løpende oppfølging

4.2.1 EØS-rett

Etter direktivet artikkel 8 nr. 2 første punktum kan institusjoner og personer som omfattes av direktivet avgjøre omfanget av tiltak som skal utføres under «customer due diligence» på grunnlag av en risikovurdering («on a risk-sensitive basis»). Vurderingen knytter seg til risikoen for hvitvasking og terrorfinansiering, og beror på type kunde, kundeforhold, produkt eller transaksjon. Bestemmelsen tilsvarer FATF-anbefaling 5 fjerde ledd siste punktum, og er ny i forhold til de tidligere hvitvaskingsdirektiver. Det skal etter artikkel 8 nr. 2 annet punktum kunne påvises overfor tilsynsmyndighetene at omfanget av tiltakene er passende ut fra risikoen for hvitvasking og terrorfinansiering.

4.2.2 Norsk rett

Hvitvaskingsloven § 5 første til tredje ledd lyder:

Ǥ 5. Identitetskontroll

Rapporteringspliktige skal ved etablering av kundeforhold kreve gyldig legitimasjon av kunden. Plikten gjelder også for den rapporteringspliktiges ansatte. Som gyldig legitimasjon regnes alltid fysisk legitimasjon.

Ved transaksjoner som gjelder 100 000 norske kroner eller mer, for kunder som den rapporteringspliktige ikke på forhånd har et etablert kundeforhold til, skal det kreves legitimasjon som nevnt i første ledd. Beløpsgrensen beregnes samlet for transaksjoner som gjennomføres i flere operasjoner som ser ut til å kunne ha sammenheng med hverandre. Dersom beløpet ikke er kjent når transaksjonen gjennomføres, skal identitetskontrollen utføres så snart den rapporteringspliktige blir kjent med beløpet og at det overstiger beløpsgrensen.

Den rapporteringspliktige skal i alle tilfeller kreve legitimasjon som nevnt i første ledd, dersom den har mistanke om at transaksjonen har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven § 147 a eller § 147 b.»

Identitetskontroll etter hvitvaskingsloven § 5 forutsettes å være den samme for alle kunder, og det legges ikke til rette for relativisering ut fra de konkrete omstendigheter.

4.2.3 Utvalgets forslag

Utvalget foreslår at det i hvitvaskingslovens kapittel om kundekontroll og løpende oppfølging inntas en innledende bestemmelse som fremhever prinsippet om risikobasert kundekontroll, jf. utvalgets lovforslag § 5 første ledd. Etter forslaget skal den rapporteringspliktige selv avgjøre omfanget av de tiltak som skal gjennomføres ved kundekontroll og løpende oppfølging, på grunnlag av en vurdering av risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147a eller 147b.

Hovedmomenter ved risikovurderingen vil være type kunde, kundeforhold, produkt eller transaksjon. Videre foreslår utvalget at den rapporteringspliktige skal kunne dokumentere at omfanget av utførte tiltak er tilpasset den aktuelle risiko, jf. utvalgets lovforslag § 5 annet ledd.

4.2.4 Høringsinstansenes merknader

Den Norske Advokatforening og Buypass stiller seg positiv til ordning med risikobasert kundekontroll. Advokatforeningen uttaler:

«Løsningen med risikobasert kundekontroll bidrar til en fleksibel løsning for de rapporteringspliktige etter hvitvaskingsloven, da kundekontrollen kan tilpasses etter forholdene og kjennskap til kunden, selv om kontroll og bekreftelse av kundens identitet i hovedsak må gjennomføres uavhengig av dette. Et proporsjonalitetsprinsipp er etter Advokatforeningens mening et godt utgangspunkt for kundekontroll når dette først pålegges. Advokatforeningen ønsker likevel å påpeke at når de rapporteringspliktige først blir tillagt anledningen til selv å tilpasse kundekontrollen, så må det være en høy terskel for å konstatere brudd på denne bestemmelsen».

Advokatforeningen mener at utvalgets forslag om at rapporteringspliktige skal kunne dokumentere at omfanget av aktuelle tiltak er tilpasset den aktuelle risiko, levner for mye tvil om hva som bør registreres. Advokatforeningen foreslår at det i § 5 inntas en henvisning til bestemmelsen som angir hva som er det sentrale vurderingsmoment ved den løpende oppfølgingen.

Finansnæringens Hovedorganisasjon/Sparebankforeningen knytter kommentarer til mulighetene for utveksling av kundeopplysninger mellom selskaper i samme finanskonsern. Foreningene foreslår at det inntas en bestemmelse i ny hvitvaskingslov som gir rapporteringspliktige i finanskonsern adgang til å utveksle kundeopplysninger uten samtykke etter personopplysningsloven og uten hinder av taushetsplikt dersom dette anses nødvendig som ledd i den risikobaserte kundekontrollen. I denne sammenheng uttaler foreningene:

«De enkelte finansinstitusjoner og verdipapirforetak mv. som inngår i konsern pålegges nå hver for seg en offentligrettslig plikt til å innehente relevant informasjon for å kunne dele kundemassen inn i risikoklasser etter antatt risiko for hvitvasking. Det nedlegges i den forbindelse betydelige ressurser fra finansinstitusjonenes side for å tilfredsstille de nye lovpålagte kravene til gradert kundekontroll. Formålet er å fastslå risikoen for hvitvasking best mulig slik at ressurser og nærmere undersøkelser kan settes inn der risikoen er størst. Det er nærliggende for et finanskonsern å innehente opplysninger fra egne konsernselskaper i tillegg til ekstern informasjon. Dette innebærer at informasjon fra ulike deler av konsernet må deles med andre enheter, hvilket også resulterer i at hver kunde får en enhetlig risikovurdering for konsernet som helhet. Arbeidet med risikoklassifisering vil være til dels fånyttes dersom en kunde ikke blir riktig risikovurdert i en del av konsernet fordi andre deler av konsernet er avskåret fra muligheten til å videreformidle opplysninger som er relevante for risikoklassifiseringen. For at resultatene av det arbeidet som gjøres med risiko-klassifisering skal stå i forhold til den innsatsen som nedlegges må relevante funn som avdekkes som et resultat av kundekontrollen i en del av konsernet kunne videreformidles til de øvrige enheter.

Som følge av taushetspliktreglene i finanslovgivningen kan det være problematisk for flere typer finansinstitusjoner som inngår i konsern å utlevere kundeopplysninger seg i mellom for å sikre ensartet risikoklassifisering av en og samme kunde som benytter seg av tjenester fra ulike deler av konsernet. Det kan synes som begrensningene i adgangen til utveksling av kundeopplysninger i finanskonsern her står i veien for de enkelte konsernenheters plikt til å innhente nødvendig informasjon for å utføre risikoklassifisering. Det er vår vurdering at andre deler av lovgivningen i større grad må legge til rette for at konsernet kan plassere kunden i riktig risikoklasse. Dette innebærer at de enkelte konsernselskaper må få anledning til å utveksle opplysninger av betydning for risikoklassifiseringen uavhengig av gjeldende taushetspliktbestemmelser. Det fremgår av Kredittilsynets rundskriv nr. 11/2000 at kundenøytrale opplysninger og generelle angivelser av kundeforholdets art kan utveksles mellom konsernselskap. Dette vil ikke være tilstrekkelig til å sikre en enhetlig risikoklassifisering. Det samme gjelder unntaket fra taushetsplikt som fremkommer i utkastet § 19 annet ledd, i det forutsetningen her bl.a. synes å være at utvekslingen må skje i forbindelse med undersøkelse av en mistenkelig transaksjon.

Det kan eksempelvis dreie seg om en kunde som eiendomsavdelingen er kjent med at investerer i et skatteparadis, og som samtidig innbetaler høye forsikringspremier som grunnlag for store utbetalinger senere i et av konsernets forsikringsselskaper. En slik person eller selskap vil i følge forslaget til ny gradert risikovurdering kunne bli vurdert som en høyrisiko kunde i eiendomsavdelingen, men ikke nødvendigvis i forsikringsselskapet. For å oppfylle lovens intensjoner om risikobasert kundekontroll er det her nødvendig at også forsikringsselskapet skal kunne gjøre seg kjent med de opplysninger av betydning for risikoklassifiseringen som eiendomsavdelingen er i besittelse av.

Hvitvasking skjer så vel ved flytting av midler mellom selskap i konsern, som mellom ulike finansinstitusjoner. Finansnæringen har flere eksempler på at kunder forsøker seg på primærforbrytelser rettet mot finansinstitusjonen selv, eksempelvis forsikringssvindel. Det viser seg at slike kunder har lav terskel for å foreta svindelforsøk også mot trygdemyndigheter (NAV) og mot selskaper i samme konsern som forsikringsselskapet, for eksempel kortsvindel mot banken. Som kjent har Arbeids- og inkluderingsdepartementet i sommer sendt ut på høring forslag om endring av folketrygdloven § 21-4b, om å åpne for gjensidig utveksling av informasjon mellom NAV og forsikringsselskapene ved konkret mistanke om trygdemisbruk eller forsikringssvindel. I tråd med dette bør det åpnes for utveksling av opplysninger mellom selskaper i samme konsern med hensyn til den lovpålagte risikoklassifiseringen av kunder [...] Den øvrige lovgivningen bør ikke være til hinder for at enhver enhet i konsernet skal kunne settes i stand til å foreta de undersøkelser risikoprofilen tilsier».

Finansieringsselskapenes Forening slutter seg til forslaget fra Finansnæringens Hovedorganisasjon/Sparebankforeningen.

Næringslivets Hovedorganisasjon viser til at «demonstrate» i direktivet artikkel 8 nr. 2 er oversatt til «dokumentere» i utvalgets forslag til § 5 annet ledd. NHO mener «dokumentere» kan indikere at det må foreligge dokumenter som viser at utførte tiltak er gjennomført, noe som går lenger enn kravet i direktivet. NHO anser at «vise» eller «sannsynliggjøre» vil være tilstrekkelig for formålet.

4.2.5 Departementets vurdering

Prinsippet om risikobasert kundekontroll står sentralt i regelverket i tredje hvitvaskingsdirektiv. En korrekt gjennomføring av EØS-regler tilsvarende direktivet tilsier dermed at dette prinsippet må tas i betraktning ved utforming av regelverket om kundekontroll i ny hvitvaskingslov.

Et krav om at de rapporteringspliktige skal utføre kundekontroll som står i forhold til risikoen for hvitvasking og terrorfinansiering, legger til rette for at rapporteringspliktige benytter ressursene der behovet for tiltak er størst. Videre vil kundekontroll basert på den rapporteringspliktige kjennskap til kunden tilsi at bekjempelsen av hvitvasking og terrorfinansiering blir mer effektiv enn om kontrolltiltakene utføres uten en slik differensiering av tiltakene.

Samtidig er departementet innforstått med at den risikobaserte tilnærmingen vil medføre at rapporteringspliktige pålegges et betydelig ansvar. Fra myndighetenes side vil det derfor være viktig å ha en dialog med relevante bransjeorganisasjoner mv. i forbindelse med utforming av retningslinjer/rundskriv om det nærmere innholdet i og omfanget av risikobaserte kundekontrolltiltak.

Departementet understreker at en risikobasert tilnærming ikke innebærer at rapporteringspliktige kan unnlate å utføre kundekontrolltiltak. Det sentrale med tilnærmingen er at omfanget på tiltakene kan tilpasses den konkrete risiko for hvitvasking og terrorfinansiering. Videre vil prinsippet om risikobasert kundekontroll innebære varierende grad av fleksibilitet avhengig av hvilken type kundekontrolltiltak det dreier seg om. For eksempel vil kravet om bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon (se punkt 4.4.5.2) gi mindre handlingsrom for den rapporteringspliktige enn kravene om løpende oppfølging (lovforslaget § 14) og innhenting av opplysninger om kundeforholdets formål og tilsiktede art (lovforslaget § 7 første ledd nr. 4).

Utvalget har foreslått at den risikobaserte tilnærmingen også skal omfatte registrering av opplysninger, jf. utvalgets lovforslag § 8 og § 7 nr. 1. Etter tredje hvitvaskingsdirektiv er registrering av opplysninger ikke uttrykkelig regulert som et kundekontrolltiltak. Som omtalt i punkt 4.4.5.1, slutter departementet seg til utvalgets forslag om at registrering av opplysninger kategoriseres som et kundekontrolltiltak. Departementet er samtidig av den oppfatning at enkelte av kundekontrolltiltakene i hvitvaskingsloven, for eksempel reglene om registrering av opplysninger, vil gi mindre rom for risikobaserte tiltak enn andre kundekontrolltiltak.

Departementet slutter seg til utvalgets forslag om at bestemmelsen om risikobasert tilnærming (lovforslaget § 5 første ledd annet punktum) angir momentene «type kunde, kundeforhold, produkt eller transaksjon». I utvalgets forslag fremgår det at dette kun er en eksemplifisering og ikke en uttømmende liste over momenter («blant annet...»). Direktivet artikkel 8 nr. 2 inneholder ikke en tilsvarende formulering. Departementet foreslår at bestemmelsen utformes i samsvar med direktivet.

Departementet slutter seg til utvalgets forslag om at den rapporteringspliktige skal kunne dokumentere at omfanget av utførte tiltak er tilpasset den aktuelle risiko. Forslaget vil gjennomføre bestemmelsen i direktivet artikkel 8 nr. 2 siste punktum.

Departementet er enig med Næringslivets Hovedorganisasjon i at det av direktivet ikke kan utledes et krav om at det må foreligge dokumenter som viser hvilke tiltak er gjennomført. Selv om bruk av dokumenter i denne sammenheng kan være praktisk, anser departementet at det kan tenkes andre måter å påvise at omfanget av tiltak er tilpasset risikoen. Departementet mener imidlertid at begrepet «sannsynliggjøre», som NHO foreslår, ikke vil være i samsvar med begrepet «demonstrate», som benyttes i direktivet. Departementet foreslår at rapporteringspliktige etter § 5 annet ledd skal «påvise» at omfanget av utførte tiltak er tilpasset den aktuelle risiko. Som utvalget påpeker, må dette kravet ses i sammenheng med plikten til å utarbeide kontroll- og kommunikasjonsrutiner etter forslaget § 23, jf. omtale i punkt 7.1. Det må blant annet forventes at rapporteringspliktige utarbeider rutiner for hvordan man skal håndtere situasjoner der det foreligger større risiko enn det som er normalt for vedkommende virksomhet. Dokumentasjonen av utførte tiltak vil dermed praktisk innebære at rapporteringspliktige påviser at rutinene følges opp. Departementet deler derfor ikke Advokatforeningens innsigelse om at bestemmelsen levner for mye tvil om hva som skal registreres. Kravet skal sikre at risikovurderingen kan etterprøves. Skriftlighet vil normalt være den beste måten å få til det på en forsvarlig måte. Departementet ser også kravet til dokumentasjon i sammenheng med den rapporteringspliktiges ansvar for risikovurdering og å gjennomføre tilpassede tiltak. Advokatforeningen er opptatt av å ha en høy terskel for å konstatere brudd på kravet om risikobasert kundekontroll. Departementet legger vekt på at rapporteringspliktige som har et forsvarlig system for risikovurdering, som gir god mulighet til å etterprøve de vurderingene som er gjort, ikke skal risikere å komme i ansvar fordi det i ettertid skulle vise seg at kunden har håndtert utbytte av straffbare handlinger. På den annen side vil rapporteringspliktige som ikke kan påvise forsvarlig gjennomført risikovurdering og kontrolltiltak kunne komme i ansvar for brudd på kravene til kundekontroll. Departementet viser til lovforslaget § 5 annet ledd.

Departementet deler Finansnæringens Hovedorganisasjon og Sparebankforeningen sin vurdering av at bestemmelser om taushetsplikt og reglene i personopplysningsloven kan utgjøre et hinder for at selskaper i finanskonsern kan utveksle informasjon til bruk for klassifisering av risikoen. Dette vil for øvrig også være tilfelle mellom selskaper som ikke er i konsern, for eksempel samarbeidende sparebanker i etablerte sparebankgrupperinger. En kunne også tenke seg mulighet for eller krav om utveksling av informasjon som er relevant for risikovurdering av kunder mellom alle rapporteringspliktige eller grupper av rapporteringspliktige. Departementet forstår at det kan være praktisk og kostnadsbesparende å sentralisere risikovurdering av kunder innen et konsern. Departementet forstår også at begrensninger på muligheten til å utveksle informasjon i denne sammenheng kan oppleves som frustrerende og unødvendige sett fra konsernets side, og især de som arbeider for å etablere helhetlige systemer for kundekontroll og undersøkelse av mistenkelige transaksjoner i finanskonsernene. Dette er viktig arbeid som bidrar vesentlig til å begrense risikoen for hvitvasking gjennom selskapene i disse konsernene. Som departementet viser til under punkt 2.5, må det i hvitvaskingsregelverket foretas en avveining mellom hensynet til effektiv bekjempelse av hvitvasking og terrorfinansiering og hensynet til personvern. Denne avveiningen vil kunne medføre at tiltak som anses fornuftige for å bidra til effektivisering av kundekontrollen, likevel må begrenses eller avvises. Etter departementets oppfatning er det klart at en bestemmelse som på bredt grunnlag gir unntak fra regler om personvern og taushetsplikt i finanskonsern, ikke kan innføres uten en grundig konsekvensutredning. Utvalget har ikke vurdert et slikt forslag. Departementet foreslår derfor ikke ytterligere unntak fra taushetsplikt i samsvar med forslaget fra Finansnæringens Hovedorganisasjon og Sparebankforeningen. Departementet legger vekt på at den enkeltes mulighet til å ha kontroll på spredning av opplysninger om seg selv er et viktig personvernhensyn, og må være et sentralt utgangspunkt for å vurdere unntak fra taushetsplikt for å sikre mer effektiv kundekontroll etter hvitvaskingsloven; enten det gjelder unntak innen konsern eller overfor en videre krets. Adgang til å utveksle opplysninger uavhengig av taushetsplikt vil kunne få uheldige konsekvensene for kunden i tilfeller der det er registrert uriktige opplysninger. Departementet har kommet til at hensyn til personvern i denne omgang bør tillegges større vekt enn hensynet til ytterligere effektiv risikovurdering i kundekontrollen og kostnadsbegrensning innen konserner. Departementet viser til at spørsmålet om adgang til utveksling av kundeopplysninger i konsern er vurdert av Banklovkommisjonen i NOU 2001:23 og også skal gjennomgås i Banklovkommisjonens planlagte samleutredning av ny finanslovgivning. En mer endelig avklaring av i hvilken grad utveksling av kundeopplysninger skal kunne skje i et konsern bør gjøres i forbindelse med oppfølgningen av samleutredningen. Departementet foreslår en adgang for rapporteringspliktige til å legge til grunn kundekontroll utført av nærmere angitte tredjeparter, jf. lovforslaget § 11 og omtalen i punkt 4.7. Denne adgangen vil delvis imøtekomme det behov Finansnæringens Hovedorganisasjon og Sparebankforeningen beskriver i de tilfeller kundekontroll utføres av tredjepart. Når rapporteringspliktig legger til grunn kundekontroll utført av tredjepart, forblir rapporteringspliktig selv ansvarlig for at kundekontrollen gjennomføres i samsvar med loven. For at den rapporteringspliktige skal kunne oppfylle sine plikter etter lovforslaget §§ 5 annet ledd, 8 og 22 foreslås det derfor unntak fra taushetsplikt for utveksling av kundeopplysninger mellom tredjepart som utfører kundekontroll og rapporteringspliktig, jf lovforslaget § 11 fjerde ledd. Unntaket fra taushetsplikten er betinget av at kunden informeres om at opplysningene blir utlevert.

Departementet foreslår en bestemmelse om at rapporteringspliktige skal foreta kundekontroll og løpende oppfølging. Tiltakene skal foretas på grunnlag av en vurdering av risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147 a, 147 b eller 147 c, der risikoen vurderes ut fra type kunde, kundeforhold, produkt eller transaksjon. Henvisningen til straffeloven § 147 c i lovforslaget § 5 følger opp lovforslaget fremmet i Ot.prp. nr. 79 (2007-2008), der det foreslås å ta inn en ny bestemmelse i straffeloven 1902 for å kriminalisere oppfordring, rekruttering og opplæring til terrorhandlinger. Forslaget er ikke vedtatt på det nåværende tidspunkt. Straffeloven 2005 har i § 136 tilsvarende bestemmelse som den som foreslås i straffeloven 1902 § 147 c. Denne lovbestemmelsen er vedtatt, men ikke trådt i kraft. Bakgrunnen for forslaget om å ta inn en bestemmelse tilsvarende straffeloven 2005 § 136 om oppfordring, rekruttering og opplæring til terrorhandlinger i straffeloven 1902, er at det er ønskelig at dette straffebudet kan tre i kraft så snart som mulig. Dette vil gjøre det mulig å ratifisere Europarådskonvensjonen 16. mai 2005 om forebygging av terrorisme, se punkt 2.4.2. Finansdepartementet anser at dette bør følges opp i hvitvaskingsloven, ved at rapporteringsplikten ved mistanke om at en transaksjon har tilknytning til finansiering av terrorhandlinger også bør omfatte slike straffbare forhold som omfattes av forslaget til straffeloven ny § 147 c, i tillegg til de straffbare forhold som omfattes av gjeldende §§ 147 a og 147 b.

Videre foreslås det at rapporteringspliktige skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko. Departementet viser til lovforslaget § 5.

4.3 Plikt til å foreta kundekontroll

4.3.1 EØS-rett

Direktivet artikkel 7 angir situasjoner hvor institusjoner og personer omfattet av direktivet skal foreta «customer due diligence»:

«The institutions and persons covered by this Directive shall apply customer due diligence measures in the following cases:

1. when establishing a business relationship;

2. when carrying out occasional transactions amounting to EUR 15 000 or more, whether the transaction is carried out in a single operation or in several operations which appear to be linked;

3. when there is a suspicion of money laundering or terrorist financing, regardless of any derogation, exemption or threshold;

4. when there are doubts about the veracity or adequacy of previously obtained customer identification data.»

Bestemmelsen tilsvarer FATF-anbefaling 5 annet ledd. Når det gjelder plikten til å kreve legitimasjon, er artikkel 7 (a) til (c) videreføring av bestemmelser i første hvitvaskingsdirektiv artikkel 3.

I motsetning til de tidligere direktiver inneholder tredje hvitvaskingsdirektiv artikkel 3 (9) en generell definisjon av begrepet «business relationship», som lyder:

«a business, professional or commercial relationship which is connected with the professional activities of the institutions and persons covered by this Directive and which is expected, at the time when the contact is established, to have an element of duration ;»

Etter artikkel 10 nr. 1 skal alle kasinokunder identifiseres og deres identitet bekreftes dersom de kjøper eller bytter spillesjetonger til en verdi av minst 2 000 euro. Bestemmelsen tilsvarer FATF-anbefaling 12 a (med det unntak at beløpsgrensen her er 3 000 euro), og er en videreføring av de tidligere direktiver (hvor beløpsgrensen var 1 000 euro). Etter artikkel 10 nr. 2 skal kasinoer som omfattes av statlig tilsyn anses å oppfylle kundekontrollkravene dersom de registrerer, identifiserer og bekrefter identiteten til kunder umiddelbart før eller ved inngangen, uavhengig av hvor stort beløp det kjøpes spillesjetonger for. Også denne bestemmelsen er en videreføring av de tidligere direktiver.

4.3.2 Norsk rett

Etter hvitvaskingsloven § 5 skal rapporteringspliktige kreve gyldig legitimasjon av kunden ved etablering av kundeforhold (første ledd), ved transaksjoner som gjelder 100 000 kroner eller mer for kunder som den rapporteringspliktige ikke har et kundeforhold til (annet ledd) og i alle tilfeller dersom den rapporteringspliktige har mistanke om at transaksjonen har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven §§ 147a eller 147b (tredje ledd).

Hvitvaskingsforskriften § 2 angir visse konkrete tilfeller hvor «kundeforhold» etter hvitvaskingsloven § 5 skal anses etablert.

For forhandlere av gjenstander er det i hvitvaskingsforskriften § 3 presisert at plikt til legitimasjonskontroll inntrer ved «transaksjoner i kontanter på 40.000 norske kroner eller mer, eller et tilsvarende beløp i utenlandsk valuta, dersom det er mistanke om at transaksjonen har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven §§ 147a eller 147b», og ved «enhver transaksjon i kontanter på 100.000 norske kroner eller mer eller et tilsvarende beløp i utenlandsk valuta». Salg av gjenstander anses etter dette ikke som etablering av kundeforhold.

Plikten til å kreve gyldig legitimasjon gjelder etter hvitvaskingsloven § 5 første ledd annet punktum også den rapporteringspliktiges ansatte.

Etter hvitvaskingsforskriften § 8 fjerde ledd skal opplysninger som fremkommer av legitimasjonsdokumenter «søkes kontrollert» dersom den rapporteringspliktige har grunn til å tro at opplysningene «ikke er korrekte».

4.3.3 Utvalgets forslag

Utvalget har lagt til grunn at situasjonene som er omhandlet i hvitvaskingsloven § 5 langt på vei samsvarer med de tilfeller hvor de rapporteringspliktige skal gjennomføre kundekontroll i medhold av direktivet artikkel 7. Da «customer due diligence» etter direktivet også omfatter andre tiltak enn kontroll av kundens identitet, foreslår utvalget at anvendelsesområdet for reglene om inntreden av plikt til identitetskontroll etter hvitvaskingsloven § 5 utvides til å omfatte andre kontrolltiltak som nevnt i direktivet artikkel 8. I samsvar med direktivet foreslår utvalget at bestemmelsen om inntreden av plikt til å foreta kundekontroll utvides til å omfatte tilfeller der det foreligger tvil om hvorvidt tidligere innhentede opplysninger om kunden er korrekte eller tilstrekkelige. Utvalget har videre foreslått at reglene om inntreden av plikt til å foreta kundekontroll skilles ut som en egen bestemmelse, atskilt fra reglene om hvilke kontrolltiltak som skal gjennomføres.

Når det gjelder plikten til å foreta kundekontroll ved mistenkelige transaksjoner, har utvalget antatt at en slik plikt vil inntre samtidig som plikten til å foreta nærmere undersøkelser, se punkt 5.2. Utvalget har lagt til grunn at det i slike tilfeller kun skal foretas kundekontroll av personer som både er direkte involvert i transaksjonen og som må regnes som kunder av den rapporteringspliktige.

For forhandlere av gjenstander er reglene om plikt til å foreta identitetskontroll presisert i hvitvaskingsforskriften § 3. Ved kontanttransaksjoner over 100 000 kroner har forhandlerne en ubetinget plikt til å foreta identitetskontroll. Ved kontanttransaksjoner mellom 40 000 og 100 000 kroner skal identitetskontroll kun foretas ved mistanke om tilknytning til utbytte av straffbar handling eller forhold som rammes av straffeloven §§ 147a eller 147b. Utvalget foreslår at det innføres plikt til å foreta kundekontroll ved enhver transaksjon i kontanter på 40 000 kroner eller mer eller et tilsvarende beløp i utenlandsk valuta. Utvalget begrunner forslaget slik:

«Reglene er etter utvalgets syn unødvendig kompliserte. Videre kan det være uheldig at det i så stor grad overlates til forhandlerne selv å vurdere om transaksjonen fremstår som mistenkelig, og om identitetskontroll derfor bør gjennomføres. Forhandlere vil, ved gjennomføring av identitetskontroll, kommunisere til kunden at transaksjonen anses mistenkelig. Utvalget legger til grunn at kontanttransaksjoner over 40 000 kroner normalt vil fremstå som ekstraordinære. (...) En slik regel vil være enklere å kommunisere til forhandlerne. Videre vil regelen være enklere å etterleve ved at forhandlere i forhold til plikten til å foreta kundekontroll ikke trenger å foreta noen vurdering av om transaksjonen fremstår som mistenkelig. Beløpsgrensen faller for øvrig sammen med grensen for kunde- og leverandørspesifikasjon ved kontanttransaksjoner etter bokføringsforskriften § 3-1».

Både direktivet og gjeldende hvitvaskingslov legger til grunn at gjennomføring av transaksjoner for en kunde ikke nødvendigvis vil medføre etablering av et kundeforhold («business relationship»). Utvalget anser at det kan «virke noe forvirrende at en «kunde» etter norsk rett ikke nødvendigvis har etablert et «kundeforhold»». Imidlertid anser utvalget at det ikke er heldig å benytte «forretningsforhold», og forslår at begrepet «kundeforhold», som må anses innarbeidet, videreføres. Videre foreslår utvalget at det ikke lovfestes en definisjon av begrepet «kundeforhold», men at tolkingen av begrepet baseres på en konkret vurdering hvor blant annet forholdets varighet, art og formål vil være momenter av betydning. Det foreslås en uttrykkelig forskriftshjemmel for nærmere regler om når kundeforhold skal anses etablert. Hvitvaskingsforskriftens definisjoner av begrepet for visse konkrete tilfeller foreslås også videreført.

Utvalget foreslår å videreføre bestemmelsen om at beløpsgrensen for transaksjoner skal beregnes samlet for transaksjoner som gjennomføres i flere operasjoner som ser ut til å kunne ha sammenheng med hverandre. Også plikten til å gjennomføre tiltak så snart den rapporteringspliktige blir kjent med at beløpsgrensen er oversteget, foreslås videreført.

Utvalget anser at hvitvaskingsloven § 5 første ledd annet punktum, om at plikten til å kreve gyldig legitimasjon også gjelder for den rapporteringspliktiges ansatte, er overflødig og foreslår at bestemmelsen ikke videreføres.

Utvalget foreslår ikke bestemmelser til gjennomføring av direktivet artikkel 10, da det ikke er tillatt med kasinoer i Norge. Det vises til utvalgets lovforslag § 7.

4.3.4 Høringsinstansenes merknader

Handels- og Servicenæringens Hovedorganisasjon og Norges Bilbransjeforbund går imot forslaget om at forhandlere av gjenstander skal ha plikt til å foreta kundekontroll ved kontanttransaksjoner på 40 000 kroner eller mer, selv om det ikke foreligger mistanke om at transaksjonen har tilknytning til hvitvasking eller terrorfinansiering. Bilbransjeforbundet begrunner sin oppfatning slik:

«Vi mener at den gjeldende regelen på dette området bør beholdes, i det forhandleren i så fall ikke behøver å foreta kundekontroll ved transaksjoner under kr. 100 000,- som fremstår som «normale». Vi er for så vidt enige i at gjeldende regel kan være noe komplisert, men anser denne som vesentlig mindre komplisert enn mange av de øvrige bestemmelsene i loven som forhandlerne må forholde seg til. Dessuten må forhandleren ved gjennomføring av forslaget i relasjon til rapporteringsplikten likevel vurdere om transaksjonen er mistenkelig, og foreta nærmere undersøkelser omkring dette».

Fornyings- og administrasjonsdepartementet savner en nærmere vurdering av de personvernmessige konsekvensene av utvalgets forslag om å senke beløpsgrensen for kundekontrolltiltak for forhandlere av gjenstander. Departementet uttaler i denne forbindelse:

«Dette innebærer en utvidet registrering - både ved at flere ikke-mistenkelige transaksjoner skal registreres, og ved at kundens identitet skal registreres entydig. Vi savner en nærmere vurdering av de personvernmessige konsekvenser av forslaget.

Som det påpekes av utvalget, er grensen på 100 000 kroner 4 år gammel. Antallet transaksjoner som gjennomføres i området 40 000 kroner til 100 000 kroner må antas å ha økt betydelig siden den gang, jf. lønns- og prisutviklingen de siste år. Senking av beløpsgrensen vil således medføre en betydelig utvidet registrering av ikke mistenkelige transaksjoner.

Vi ber departementet vurdere om endringen kan begrenses til de sektorer hvor risikoen for hvitvasking er særlig høy, jf. hvitvaskingsdirektivets risikobaserte tilnærming.»

Den Norske Advokatforening støtter forslaget om at kravet til kundekontroll og reglene om hvilke kontrolltiltak som skal gjennomføres, inntas i separate bestemmelser. Foreningen mener dette bidrar til en lovteknisk oversiktlig fremstilling. Videre mener Advokatforeningen at det vil være uheldig å endre begrepet «kundeforhold», da begrepet fremstår som godt innarbeidet. Advokatforeningen anser imidlertid at bestemmelsen i gjeldende hvitvaskingsforskrift § 2 siste ledd om når advokater etablerer kundeforhold, gir begrenset veiledning. Fremgangsmåten for å påta seg oppdrag vil variere med sakstype, klient og geografiske begrensninger. Advokatforeningen mener at det bør utformes en hovedregel som definerer et skjæringspunkt for når en advokat påtar seg et oppdrag etter hvitvaskingsloven. Foreningen foreslår at hovedregelen bør være tidspunktet når klienten mottar en oppdragsbekreftelse eller lignende dokument.

Næringslivets Hovedorganisasjon (NHO) støtter forslaget i § 6 tredje ledd om at beløpsgrenser beregnes samlet for transaksjoner som ser ut til å kunne ha sammenheng med hverandre. NHO viser imidlertid til at forhandlere av gjenstander ikke kan forventes å ha systemer for å sammenholde transaksjoner fra for eksempel ulike utsalgssteder eller handel på ulike tidspunkter.

Norges Autoriserte Regnskapsføreres Forening påpeker at det for visse rapporteringspliktige kan være problematisk å overholde bestemmelsen i utvalgets lovutkast § 20 (forbud mot at kunder eller tredjepersoner gjøres kjent med at det foretas undersøkelser, rapportering eller etterforskning) dersom det er foretatt kundekontroll etter forslaget § 6 nr. 3 (mistenkelige transaksjoner) eller nr. 4 (tvil om tidligere innhentede opplysninger om kunden er korrekte eller tilstrekkelige). På bakgrunn av at de rapporteringspliktiges forhold til kundene kan variere, ber foreningen om at det vurderes om enkelte grupper rapporteringspliktige unntas fra plikten til å utføre kundekontroll som omhandlet i forslaget § 6 nr. 3 og nr. 4.

4.3.5 Departementets vurdering

Departementet deler utvalgets vurdering av at situasjonene som er omhandlet i gjeldende hvitvaskingslov § 5 samsvarer med tilfellene omhandlet i direktivet artikkel 7 a) til c). For å sikre en korrekt gjennomføring av EØS-reglene, foreslår departementet at det fastsettes regler tilsvarende bestemmelsen i direktivet artikkel 7 d), det vil si om tilfeller hvor det foreligger tvil om hvorvidt tidligere innhentede opplysninger om kunden er korrekte eller tilstrekkelige.

Departementet slutter seg til utvalgets forslag om at reglene om inntreden av plikt til å foreta kundekontroll skilles ut som en egen bestemmelse, atskilt fra reglene om hvilke kontrolltiltak som skal gjennomføres.

Direktivet artikkel 7 a) omhandler plikt til å utføre «customer due diligence» ved etablering av et «business relationship». «Forretningsforhold» vil være en nærliggende oversettelse av begrepet «business relationship». Som utvalget viser til, omhandlet den tidligere finansieringsvirksomhetsloven § 2-17 «forretningsforhold». Ved vedtagelsen av gjeldende hvitvaskingslov ble betegnelsen erstattet av begrepet «kundeforhold». I forarbeidene til hvitvaskingsloven (Ot.prp. nr. 72 (2002-2003)) ble det pekt på at «forretningsforhold» kan lede tanken mot en forretningsmessig forbindelse mellom profesjonelle parter. Dette tilsier at «kundeforhold» vil være mer dekkende, da hvitvaskingsreglene ikke er forutsatt begrenset til forretningsforbindelser mellom profesjonelle parter. Videre må det tillegges vekt at begrepet «kundeforhold» har blitt innarbeidet. Departementet slutter seg til utvalgets forslag om at begrepet «kundeforhold» videreføres i ny hvitvaskingslov.

I forslaget til ny hvitvaskingslov knyttes det mange rettsvirkninger til begrepet «kundeforhold». Flere av bestemmelsene i kapittel 2 om kundeforhold og løpende oppfølging vil bare være anvendelige på «kundeforhold», og ikke i tilfeller der det foreligger transaksjoner. Som utvalget har pekt på, vil et «kundeforhold» normalt innebære at forholdet antas å ha en viss varighet. Departementet deler utvalgets vurdering av at opprettelse av bankkonto i alle tilfeller vil anses som etablering av et kundeforhold. På den annen side er det klart at det kan oppstå kundeforhold selv om forholdet er ment å være kortvarig. Det vil således være vanskelig å lovfeste en definisjon av begrepet «kundeforhold». Hvorvidt det foreligger et kundeforhold, må vurderes konkret på grunnlag av momenter som forholdets art, varighet og formål. På denne bakgrunn anser departementet, som utvalget, at strukturen i gjeldende hvitvaskingslovgivning videreføres. Det foreslås derfor en hjemmel i hvitvaskingsloven § 6 tredje ledd til å fastsette nærmere regler om når kundeforhold skal anses etablert. Departementet vil i forbindelse med fastsetting av ny hvitvaskingsforskrift ta stilling til om definisjonene av begrepet i gjeldende hvitvaskingslov § 2 (som omfatter eiendomsmeglere, advokater, revisorer, regnskapsførere) skal videreføres. I denne sammenheng vil departementet vurdere merknadene fra Den Norske Advokatforening.

Departementet deler langt på vei utvalgets oppfatning om at gjeldende regler om identitetskontroll fremstår som teknisk kompliserte ved at forhandlere skal foreta identitetskontroll ved alle kontanttransaksjoner over 100 000, men dessuten foreta identitetskontroll ved kontanttransaksjoner på 40 000 eller mer hvis forhandleren har mistanke om at transaksjonen har tilknytning til hvitvasking eller terrorfinansiering. Departementet antar at det vil være enklere å kommunisere innholdet i en bestemmelse som pålegger forhandlerne å foreta kundekontroll ved alle kontanttransaksjoner på 40 000 kroner eller mer. Som Fornyings- og administrasjonsdepartementet påpeker, innebærer utvalgets forslag om senket beløpsgrense at forhandlerne må registrere opplysninger om flere kunder enn i dag, jf. lovforslaget § 8. Det statistiske materialet som utvalget viser til i utredningen punkt 3.8.3.1, gir imidlertid en klar indikasjon på at bruk av betalingskort og elektronisk overføring mellom konti er meget utbredt i Norge og stadig blir mer vanlig. Departementet vil derfor anta at antallet kontanttransaksjoner på 40 000 kroner eller mer ikke er nevneverdig utbredt. I denne sammenheng vises det til høringsuttalelsen til Norges Bilbransjeforbund, hvor det er uttalt at oppgjør for salg av bil i form av kontanter bare skjer «helt unntaksvis». Dette kan tilsi at en justering av beløpsgrensen som utvalget har foreslått, neppe vil medføre at antallet registrerte kunder vil øke nevneverdig.

Imidlertid understreker departementet at det ved utforming av hvitvaskingsregelverket må foretas en avveining av hensynet til bekjempelse av hvitvasking og terrorfinansiering og hensynet til personvern, jf. omtalen i punkt 2.5. Personvernhensyn tilsier en høyere terskel for krav om kundekontroll, herunder registrering av kundeopplysninger for forhandlere av gjenstander. Departementet merker seg videre at både Handels- og Servicenæringens Hovedorganisasjon og Norges Bilforbund stiller seg kritiske til forslaget, og at disse høringsinstansene foretrekker gjeldende avgrensning av forhandleres identitetskontroll fremfor utvalgets forslag. I tråd med disse høringsmerknadene legger departementet vekt på at gjeldende krav til kundekontroll for forhandlere av gjenstander vil medføre lavere administrative kostnader for disse foretakene, selv om kriteriene er mer kompliserte, jf. ovenfor. Videre legger departementet vekt på at EØS-forpliktelsene ikke krever en slik endring av bestemmelsen som utvalget har foreslått. Etter en samlet vurdering anser departementet at gjeldende regelverk med to beløpsgrenser for forhandlernes identitetskontroll av kunder bør videreføres for forhandlernes plikt til kundekontroll. Departementet foreslår derfor at forhandlere av gjenstander skal foreta kundekontroll ved transaksjon som gjelder 100 000 kroner eller mer, jf. forslaget til § 6 første ledd. Dette forutsetter at 40 000 kroner eller mer av transaksjonen foretas i kontanter, jf. lovforslaget § 4 annet ledd nr. 7. For forhandlere av gjenstander vil plikten til å foreta kundekontroll ved mistanke om at en transaksjon har tilknytning til hvitvasking eller terrorfinansiering, kun gjelde ved transaksjoner i kontanter på 40 000 norske kroner eller mer, jf. at forhandlere av gjenstander bare er omfattet av loven dersom de tar del i en transaksjon i kontanter på 40 000 kroner eller mer, § 4 annet ledd nr. 7.

Departementet slutter seg til utvalgets forslag om å videreføre bestemmelsen om at beløpsgrensen for transaksjoner skal beregnes samlet for transaksjoner som gjennomføres i flere operasjoner og som ser ut til å kunne ha sammenheng med hverandre. Forslaget gjennomfører direktivet artikkel 7 b). Departementet er enig med NHO i at en slik bestemmelse forutsetter at den rapporteringspliktige har faktiske muligheter til å sammenholde enkelttransaksjoner. Dette vil kunne variere mellom ulike typer rapporteringspliktige, for eksempel vil det være lettere for en finansinstitusjon å sammenholde ulike transaksjoner enn hva tilfellet er for forhandlere av gjenstander.

Departementet anser at bestemmelsen i gjeldende hvitvaskingslov § 5 annet ledd om plikt til å gjennomføre tiltak så snart den rapporteringspliktige blir kjent med at beløpsgrensen er oversteget, er hensiktsmessig, og foreslår at den videreføres i ny hvitvaskingslov § 6 annet ledd.

Utvalget anser at hvitvaskingsloven § 5 første ledd annet punktum, om at plikten til å kreve gyldig legitimasjon også gjelder for den rapporteringspliktiges ansatte, er overflødig og foreslår at bestemmelsen ikke videreføres. Etter direktivet er institusjoner, og ikke de ansatte i disse institusjonene, pliktsubjekter. I gjeldende hvitvaskingslov §§ 5 og 7 er også ansatte direkte omfattet av reglene. Departementet anser at det bør fremgå klart av hvitvaskingsloven at det er rapporteringspliktige og ikke de ansatte som er direkte pliktsubjekter etter loven. Det vises til nærmere omtale i punkt 8.2. Departementet slutter seg til utvalgets forslag, og foreslår at bestemmelsen i § 5 første ledd annet punktum ikke videreføres.

Departementet er enig med utvalget i at det ikke er hensiktsmessig å foreslå bestemmelser til gjennomføring av direktivet artikkel 10, da det ikke er tillatt med kasinoer i Norge.

Etter direktivet skal alle institusjoner og personer foreta «customer due diligence» ved mistenkelige transaksjoner og ved tvil om tidligere innhentede opplysninger om kunden er korrekte eller tilstrekkelige. Internasjonalt er særlig kravet om kundekontroll ved mistenkelige transaksjoner ansett som et sentralt virkemiddel for å bekjempe hvitvasking og terrorfinansiering. Å unnta visse rapporteringspliktige fra disse kravene, vil være i strid med både direktivet og FATF-anbefalingene. Departementet kan på dette grunnlag ikke følge opp forslaget fra Norges Autoriserte Regnskapsføreres Forening om å vurdere å unnta noen av de rapporteringspliktige fra plikten til å utføre kundekontroll etter forslaget § 6 nr. 3 og nr. 4. Departementet foreslår at henvisningen til straffeloven i lovforslaget § 6 første ledd nr. 3 utvides til også å gjelde den foreslåtte bestemmelsen i straffeloven § 147 c. Se omtale om dette under punk 4.2.5.

Departementet viser til lovforslaget § 6.

4.4 Gjennomføring av kundekontroll

4.4.1 EØS-rett

Tredje hvitvaskingsdirektiv artikkel 8 nr. 1 angir hvilke tiltak kundekontrollen skal omfatte:

«Customer due diligence measures shall comprise:

1. identifying the customer and verifying the customer's identity on the basis of documents, data or information obtained from a reliable and independent source;

2. identifying, where applicable, the beneficial owner and taking risk-based and adequate measures to verify his identity so that the institution or person covered by this Directive is satisfied that it knows who the beneficial owner is, including, as regards legal persons, trusts and similar legal arrangements, taking risk-based and adequate measures to understand the ownership and control structure of the customer;

3. obtaining information on the purpose and intended nature of the business relationship;

4. conducting ongoing monitoring of the business relationship including scrutiny of transactions undertaken throughout the course of that relationship to ensure that the transactions being conducted are consistent with the institution's or person's knowledge of the customer, the business and risk profile, including, where necessary, the source of funds and ensuring that the documents, data or information held are kept up-to-date.»

Artikkel 8 nr. 1 tilsvarer FATF-anbefaling 5 tredje ledd (a) til (d). I en tolkingsuttalelse («Interpretative Note») til anbefalingen uttaler FATF at ved kundekontroll av juridiske personer etter (a) og (b), skal det bekreftes at den fysiske personen som handler på den juridiske personens vegne har kompetanse til dette. Videre skal identiteten til den fysiske personen bekreftes.

Artikkel 8 nr. 1 (a) viderefører i det vesentligste kravet om identitetskontroll etter de foregående hvitvaskingsdirektivene. Kravene til kontrolltiltak etter artikkel 8 nr. 1 (b) til (d) er derimot nye.

Kravet om identifikasjon av kunden («identifying») etter artikkel 8 nr. 1 (a), må i noen grad ses i sammenheng med forbudet mot at «credit and financial institutions» fører anonyme konti eller bankbøker etter artikkel 6. Medlemsstatene skal også kreve at eiere og begunstigede av eksisterende anonyme konti eller anonyme bankbøker gjennomgår kundekontroll snarest mulig, og senest innen slike konti eller bankbøker benyttes. Bestemmelsen tilsvarer FATF-anbefaling 5 syvende ledd, og er ny i forhold til de foregående hvitvaskingsdirektiver.

Uttrykket «beneficial owner» (reelle rettighetshavere) i artikkel 8 nr. 1 (b), er i artikkel 3 (6) definert på følgende måte:

«the natural person(s) who ultimately owns or controls the customer and/or the natural person on whose behalf a transaction or activity is being conducted. The beneficial owner shall at least include:

1. in the case of corporate entities:

   1. the natural person(s) who ultimately owns or controls a legal entity through direct or indirect ownership or control over a sufficient percentage of the shares or voting rights in that legal entity, including through bearer share holdings, other than a company listed on a regulated market that is subject to disclosure requirements consistent with Community legislation or subject to equivalent international standards; a percentage of 25 % plus one share shall be deemed sufficient to meet this criterion;

   2. the natural person(s) who otherwise exercises control over the management of a legal entity:

2. in the case of legal entities, such as foundations, and legal arrangements, such as trusts, which administer and distribute funds:

   1. where the future beneficiaries have already been determined, the natural person(s) who is the beneficiary of 25 % or more of the property of a legal arrangement or entity;

   2. where the individuals that benefit from the legal arrangement or entity have yet to be determined, the class of persons in whose main interest the legal arrangement or entity is set up or operates;

   3. the natural person(s) who exercises control over 25 % or more of the property of a legal arrangement or entity;»

Definisjonen av «beneficial owner» rekker videre enn uttrykk som benyttes der en person har flertall av stemmer eller eierandeler, jf. for eksempel uttrykket «bestemmende innflytelse» i lov 13. juni 1997 nr. 44 om aksjeselskaper (aksjeloven) § 1-3.

4.4.2 Norsk rett

Hvitvaskingsloven § 5 inneholder krav om identifikasjon av kunden ved etablering av kundeforhold, ved transaksjoner på 100 000 kroner eller mer, og ved mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven §§ 147a eller 147b. Identifikasjon skal foretas på grunnlag av «gyldig legitimasjon». Som gyldig legitimasjon regnes alltid «fysisk legitimasjon». Dette begrepet ble innført til erstatning for «skriftlig legitimasjon» ved endringslov 17. juni 2005 nr. 104, for å i større grad markere et skille mot elektronisk legitimasjon. Hvitvaskingsforskriften §§ 4 og 6 presiserer hva som regnes som skriftlig legitimasjon (fysisk legitimasjon). I Ot.prp. nr. 72 (2002-2003) punkt 7.1.5 utelukkes ikke at også elektronisk legitimasjon vil kunne være gyldig legitimasjon. Hvitvaskingsforskriften § 8 første ledd gir regler om kontroll av legitimasjonsdokumenter.

Etter hvitvaskingsloven § 5 fjerde ledd skal identitetskontroll som hovedregel skje ved kundens personlige fremmøte hos den rapporteringspliktige. Unntak kan gjøres dersom personlig fremmøte er til vesentlig ulempe for kunden eller ikke er praktisk gjennomførbart, såfremt betryggende identitetskontroll likevel kan finne sted.

Etter hvitvaskingsforskriften § 5 kan det under gitte omstendigheter etableres kundeforhold eller gjennomføres transaksjon selv om kunden ikke kan fremlegge fysisk legitimasjon. Bestemmelsen knytter seg kun til identitetskontroll for fysiske personer.

Rapporteringspliktige skal etter hvitvaskingsloven § 6 første ledd registrere visse opplysninger om kunder, herunder fullt navn eller firma, personnummer, organisasjonsnummer, D-nummer eller annen entydig identitetskode og fast adresse. Dersom den rapporteringspliktige vet eller kan ha grunn til å tro at kunden handler på vegne av en annen, eller at en annen eier formuesgodet det handles for, skal slike opplysninger etter hvitvaskingsloven § 6 fjerde ledd bringes på det rene og registreres også om den som det handles på vegne av. Plikten til å registrere kundens faste adresse gjelder etter hvitvaskingsloven § 6 femte ledd - inntatt ved endringslov 15. juni 2007 nr. 30 - ikke for bank dersom folkeregisteret har vedtatt at kundens adresse skal være fortrolig eller strengt fortrolig.

Hvitvaskingsloven inneholder ikke krav om identitetskontroll av de fysiske personer som eier eller kontrollerer en kunde som er en juridisk person. Videre oppstilles ikke krav om innhenting av opplysninger om forretningsforbindelsens formål og tilsiktede art eller vedvarende kontroll med forretningsforbindelsen. Det foreligger ikke krav om at rapporteringspliktige skal bekrefte at fysiske personer som handler på juridiske personers vegne har kompetanse til å gjøre dette.

Norsk rett inneholder ikke et uttrykkelig forbud mot anonyme konti eller bankbøker. Kravene om registrering av opplysninger om kunder etter hvitvaskingsloven § 6 første ledd, sett i sammenheng med at opprettelse av konto anses som etablering av kundeforhold etter hvitvaskingsforskriften § 2 første ledd, medfører imidlertid at anonyme konti i praksis ikke kan opprettes. Dette er også lagt til grunn i FATFs evalueringsrapport avsnitt 206.

4.4.3 Utvalgets forslag

4.4.3.1 Registrering av opplysninger om kunden og reelle rettighetshavere

Utvalget har tatt utgangspunkt i at direktivet artikkel 8 nr. 1 (a) og (b) og FATF-anbefaling 5 tredje ledd a) og b) skiller mellom identifikasjon («identifying») og bekreftelse av identitet («verifying identity») ved identitetskontroll av kunde og reelle rettighetshavere. I den forbindelse uttaler utvalget:

«Verken direktivet eller FATFs anbefalinger klargjør hvilke konkrete tiltak som omfattes av henholdsvis identifikasjon og bekreftelse av identitet. På bakgrunn av en naturlig språklig forståelse, og direktivets strenge regler om utsatt bekreftelse av identitet, antar utvalget at identifikasjon ikke innebærer et krav om fremleggelse av legitimasjonsdokumenter eller andre bevis for identitet. Relevante opplysninger vil således kunne meddeles den rapporteringspliktige muntlig. Ved bekreftelse av kundens identitet er det derimot etter direktivet et krav om at kunden fremlegger «documents, data or information obtained from a reliable and independent source» for bekreftelse av opplysningene, og at tilhørigheten mellom kunden og de fremlagte bevis bekreftes. Tilsvarende vil identifikasjon av reelle rettighetshavere kunne baseres på opplysninger som meddeles muntlig, mens bekreftelse av identitet etter omstendighetene vil kreve ytterligere «risk-based and adequate measures».

I forhold til hvilke opplysninger som må meddeles ved identifikasjon av kunde og reelle rettighetshavere, må det avgjørende være hvorvidt opplysningene er egnet til å fremme en entydig identitet».

Utvalget antar registrering av opplysninger som nevnt i hvitvaskingsloven § 6 første ledd nr. 1 til 3 vil være tilstrekkelig for å tilfredsstille kravet om identifikasjon av kunden, og foreslår at regelen videreføres.

Unntaksregelen etter hvitvaskingsloven § 6 femte ledd, hvoretter plikten til å registrere kundens faste adresse ikke gjelder der folkeregisteret har vedtatt at kundens adresse skal være fortrolig, foreslås utvidet til å gjelde for samtlige rapporteringspliktige, jf. utvalgets lovforslag § 8 annet ledd. Regelen har sin bakgrunn i praktiske problemer oppstått ved bruk av bank og nettbank, jf. Ot.prp. nr. 42 (2006-2007) punkt 4.5. Utvalget slutter seg til begrunnelsen som er gitt i proposisjonen, men kan ikke se hensyn som tilsier at unntaket ikke skal gjelde for samtlige rapporteringspliktige.

Når det gjelder fysiske personer som ikke har fått tildelt norsk fødselsnummer eller D-nummer, foreslår utvalget at det i stedet for slikt nummer skal registreres fødselsdato, fødested, kjønn og statsborgerskap, jf. utvalgets lovforslag § 8 tredje ledd. Dersom den rapporteringspliktige er kjent med at kunden har to statsborgerskap, skal dette registreres. Regelen bygger på kravene til legitimasjonsdokument for slike personer etter hvitvaskingsforskriften § 4 annet ledd.

Når det gjelder juridiske personer som ikke er registrert i offentlig register, foreslår utvalget at det skal registreres enkelte tilleggsopplysninger, jf. nærmere under punkt 4.4.3.3.

For identifikasjon av reelle rettighetshavere, foreslår utvalget at det stilles krav om registrering av opplysninger som «entydig identifiserer» disse, jf. utvalgets lovforslag § 8 femte ledd. Reelle rettighetshavere vil være en så uensartet gruppe at det ikke anses hensiktsmessig å konkretisere hvilke opplysninger som skal registreres. Det overlates dermed til de rapporteringspliktige å vurdere hvilke opplysninger som er nødvendige i det konkrete tilfelle. Rapporteringspliktige vil her måtte foreta en risikovurdering, jf. punkt 4.2. Den foreslåtte bestemmelsen erstatter blant annet hvitvaskingsloven § 6 fjerde ledd.

En videreføring av registreringsplikten etter hvitvaskingsloven § 6 første ledd nr. 1 til 3 vil tilfredsstille krav om forbud mot anonyme konti og bankbøker etter direktivet og FATFs anbefalinger. Utvalget anser det derfor ikke nødvendig å foreslå egne bestemmelser om forbud mot anonyme konti eller bankbøker.

4.4.3.2 Bekreftelse av kundens identitet

Utvalget foreslår at bekreftelse av kundens identitet knyttes til et krav om «gyldig legitimasjon» og at dette begrepet presiseres i forskrift. Kravet om «gyldig legitimasjon» innebærer en prinsipiell likestilling mellom elektronisk legitimasjon og fysisk legitimasjon.

Utvalget foreslår i hovedsak videreført reglene i hvitvaskingsforskriften § 4 om hva som anses som fysisk legitimasjon for fysiske personer, med visse presiseringer. Det foreslås at det for pass gjøres unntak fra kravet om navnetrekk, under henvisning til at enkelte nyere pass, blant annet pakistanske, ikke har underskriftsfelt, men plass for fingeravtrykk. Utvalget finner imidlertid ikke grunn til å gjøre unntak for krav om navnetrekk for andre legitimasjonsdokumenter enn pass.

Utvalget viser til at asylsøkerbevis uten navnetrekk medfører særlige utfordringer i tilknytning til hvitvaskingslovgivningens krav til «gyldig legitimasjon», da disse dokumentene ikke oppfyller kravene for «gyldig legitimasjon» etter hvitvaskingsforskriften § 4.

Utvalget anser det ikke hensiktsmessig å videreføre bestemmelsen i hvitvaskingsforskriften § 8 første ledd om at rapporteringspliktige skal kontrollere kundens legitimasjonsdokumenter, herunder «kontrollere på en betryggende måte at fotografi og navnetrekk som fremgår av legitimasjonsdokumentet stemmer overens med utseendet og navnetrekket til kunden».

Utvalget foreslår et generelt unntak fra plikten til å kreve gyldig legitimasjon der den rapporteringspliktige er sikker på en fysisk persons identitet. Som en konsekvens av forslaget foreslås hvitvaskingsforskriften § 5, om tilfeller hvor kunden ikke kan fremlegge legitimasjonsdokument, ikke videreført.

Reglene i hvitvaskingsforskriften § 6 om hva som anses som fysisk legitimasjon for juridiske personer foreslår utvalget i hovedsak videreført, med visse presiseringer. For juridiske personer som ikke er registrert i et offentlig register, foreslås likevel skjerpede krav til dokumentasjon. Utvalget foreslår videre at det stilles krav om bekreftelse av identitet på grunnlag av gyldig legitimasjon for den som handler på vegne av den juridiske personen, samt at det dokumenteres at vedkommende er berettiget til å representere personen utad.

For tilfeller hvor andre enn kunden er gitt disposisjonsrett over en konto eller et depot, eller er gitt rett til å gjennomføre transaksjonen, foreslår utvalget at vedkommendes identitet skal bekreftes på grunnlag av gyldig legitimasjon. Bestemmelsen viderefører hvitvaskingsforskriften §§ 4 tredje ledd og 6 femte ledd.

Etter hvitvaskingsloven § 5 fjerde ledd skal identitetskontroll som hovedregel skje ved kundens personlige fremmøte hos den rapporteringspliktige. Under visse forutsetninger kan det gjøres unntak fra dette kravet, såfremt «betryggende identitetskontroll» likevel kan finne sted. En hovedregel om personlig fremmøte følger ikke uttrykkelig av direktivet eller FATFs anbefalinger.

Et flertall i utvalget, bestående av alle medlemmer unntatt Tannum, foreslår at hovedregelen om personlig fremmøte i gjeldende hvitvaskingslov § 5 erstattes av et krav om ytterligere dokumentasjon i de tilfeller hvor kunden benytter fysisk legitimasjon og ikke har vært fysisk til stede hos den rapporteringspliktige. Flertallet legger til grunn at det sentrale vil være å foreta en «betryggende identitetskontroll», og etter flertallets syn bør det være opp til den rapporteringspliktige selv å vurdere hvorvidt personlig fremmøte er nødvendig for å oppnå dette, jf. prinsippet om risikobasert kundekontroll.

Et mindretall i utvalget, bestående av medlemmet Tannum, legger til grunn at identitetskontrollen er en svært viktig del av forebyggelsen av hvitvasking, og at denne gjennomføres best ved kundens personlige fremmøte. Mindretallet kan ikke se at det foreligger tilstrekkelige grunner til å fravike gjeldende lovgivnings hovedprinsipp, og foreslår en videreføring av kravet til personlig fremmøte for de tilfeller der kunden benytter fysisk legitimasjon.

4.4.3.3 Krav om registrering for etablering av kundeforhold

Etter utvalgets mandat skal det særskilt vurderes «om det bør være et krav at juridiske personer som vil etablere kundeforhold med en finansinstitusjon, skal være registrert i foretaksregisteret, enhetsregisteret eller tilsvarende».

Utvalget foreslår at det ikke oppstilles et krav om at juridiske personer som vil etablere kundeforhold med finansinstitusjon, skal være registrert i register. Derimot foreslår utvalget utvidede plikter til identitetskontroll for kunder som ikke er registrert i offentlig register. Utvalget foreslår at det skal registreres opplysninger om kunden som nevnt i enhetsregisterloven § 5 annet ledd, med unntak av opplysninger om enhetens formål. Utover de opplysninger som i alminnelighet skal registreres, jf. punkt 4.4.3.1, vil dette omfatte organisasjonsform, stiftelsestidspunkt og kontaktperson. Ved bekreftelse av kundens identitet foreslås at det skal kreves dokumentasjon for at den juridiske personen eksisterer. Videre foreslås at det skal kreves skriftlig erklæring fra kontaktperson om at de registrerte opplysningene er riktige, og gyldig legitimasjon for vedkommende.

For en rekke nyetablerte juridiske personer vil det foreligge frist for registrering i Foretaksregisteret, jf. foretaksregisterloven § 4-1 første ledd. Utvalget foreslår at det skal kreves fremlagt firmaattest eller utskrift fra enhetsregisteret innen to uker etter utløpet av registreringsplikten for de juridiske personer som omfattes av bestemmelsen. For øvrige juridiske personer foreslår utvalget at det skal kreves fremlagt firmaattest, utskrift fra enhetsregisteret eller dokumentasjon på registrering i annet offentlig register, innen seks måneder fra etablering av kundeforholdet. Dersom kravet ikke etterkommes, skal den rapporteringspliktige avvikle kundeforholdet. Plikt til avvikling av kundeforhold foreslås imidlertid bare å gjelde kundeforhold som er etablert etter forskriftens ikrafttredelse.

4.4.3.4 Elektronisk legitimasjon

Etter utvalgets mandat skal det særskilt vurderes og foreslås regler «som legger til rette for elektronisk kundeidentifikasjon innenfor rammene av internasjonale forpliktelser og anbefalinger».

Utvalget peker på at verken tredje hvitvaskingsdirektiv eller FATFs anbefalinger inneholder særlige regler eller retningslinjer for elektronisk bekreftelse av kundens identitet. Utgangspunktet vil være en vurdering ut fra de alminnelige krav i direktivets artikkel 8 nr. 1 (a) om at bekreftelse av identitet baseres på dokumenter, data eller informasjon fra en pålitelig og uavhengig kilde. Gjennom kravet til «gyldig legitimasjon» i utvalgets forslag til ny hvitvaskingslov § 7 nr. 2, åpnes det for at det kan gis nærmere bestemmelser som stiller krav til elektronisk legitimasjon, jf. utvalgets forslag til forskriftshjemmel i § 7 sjuende ledd.

Utvalget har foreslått en bestemmelse i ny hvitvaskingsforskrift § 4, hvor det stilles nærmere krav til elektronisk legitimasjon for fysiske personer. Det foreslås at avansert elektronisk signatur basert på sertifikat er gyldig legitimasjon for fysiske personer, forutsatt at sertifikatutstederen er underlagt en sertifiseringsordning i henhold til forskrift fastsatt med hjemmel i esignaturloven § 16 a (lov 15. juni 2001 nr. 81). Utvalget har vurdert om elektronisk legitimasjon utstedt med basis i en selvdeklarasjonsordning (forskrift 21. november 2005 nr.1296 om frivillige selvdeklarasjonsordninger for sertifikatutstedere), men har konkludert med at en selvdeklareringsordning ikke kan anses som tilstrekkelig for å ivareta det sikkerhetsnivå som må kreves.

Etter utvalgets forslag til § 4 i ny hvitvaskingsforskrift er det videre en forutsetning at sertifiseringen må oppfylle en rekke krav. Blant annet må sertifikatet være utstedt ved undertegnerens personlige fremmøte hos sertifikatutsteder, undertegneren av sertifikatet må ha fremvist legitimasjonsdokument ved utstedelse av sertifikatet, samt at sertifikatet må være utstyrt med undertegnerens fødselsnummer, D-nummer eller annen entydig identitetskode. Det skal fremgå av sertifikatet at dette oppfyller disse kravene. Videre foreslås det at det skal stilles som krav for sertifisering at utstederen oppbevarer dokumenter i samsvar med hvitvaskingsloven. Utvalget har vurdert om kravene til sertifikater skal fremgå uttrykkelig av hvitvaskingsforskriften, eller om det alternativt kan henvises til «Kravspesifikasjon for PKI i offentlig sektor», som omhandler elektronisk kommunikasjon med og i det offentlige. Kravspesifikasjonen definerer sertifikatklasser, hvorav klassen «Person - Høyt» inneholder samme krav til utsteder av elektronisk signatur. Utvalget har lagt vekt på at Kravspesifikasjonen ikke har status som forskrift, og primært er utarbeidet med det formål å skulle benyttes i offentlig sektor. På denne bakgrunn har utvalget foreslått at krav til sertifikater som kan benyttes ved bekreftelse av identitet fremgår uttrykkelig av hvitvaskingsforskriften

4.4.3.5 Bekreftelse av identiteten til reelle rettighetshavere

Utvalget foreslår at det inntas plikt til å bekrefte identiteten til «beneficial owners», i samsvar med direktivet. Utvalget anser at begrepet «reelle rettighetshavere» vil være en treffende betegnelse på slike personer i norsk rett. I forslaget til definisjon omfattes «fysiske personer som i siste instans eier eller kontrollerer en kunde, og/eller fysiske personer som en transaksjon gjennomføres på vegne av», jf. utvalgets lovforslag § 2 første ledd nr. 3. Videre angis en rekke konkrete posisjoner som skal anses omfattet. Utvalget uttaler at det har vanskelig for å se at andre posisjoner enn de som konkret angis skal kunne medføre at en person anses som reell rettighetshaver. Uttrykket «i siste instans» refererer til den siste fysiske person i en eventuell kjede av personer som utøver kontroll eller eierskap over kunden.

Utvalget foreslår ikke nærmere regler om tiltak som skal gjennomføres for identifikasjon av reelle rettighetshavere og klargjøring av eier- og kontrollstruktur, men foreslår hjemmel for departementet til senere å fastsette slike regler, jf. utvalgets lovforslag § 7 sjuende ledd.

4.4.3.6 Opplysninger om kundeforholdets formål og tilsiktede art

Utvalget foreslår at det lovfestes et krav om at rapporteringspliktige skal innhente opplysninger om kundeforholdets formål og tilsiktede art, jf. utvalgets lovforslag § 7 første ledd nr. 4. Slike opplysninger vil blant annet ha betydning for den risikovurdering rapporteringspliktige foretar ved utføring av øvrige kontrolltiltak.

4.4.4 Høringsinstansenes merknader

4.4.4.1 Registrering av opplysninger om kunden og reelle rettighetshavere

Fornyings- og administrasjonsdepartementet viser til at unntaket fra registreringsplikt i lovutkastet § 8 skal gjelde for fortrolige adresser til alle registreringspliktige. Departementet stiller imidlertid spørsmål ved om det er nødvendig at adresse registreres, uavhengig av om adressen er fortrolig eller ikke. Det vises til at kunden etter gjeldende rett vil bli entydig identifisert ved at navn og entydig identitetskode (fødselsnummer/D-nummer/organisasjonsnummer). Departementet viser videre til at

«registrering av adresse krever ressurser og vil dessuten representere en personvernulempe for registrerte fysiske personer. Det må legges til grunn at personer med god grunn ikke ønsker å spre opplysninger om sin faste adresse, eksempelvis fordi den røper andre opplysninger som sivilstand, institusjonsopphold eller annet. Adresseopplysningene fremgår heller ikke av vanlige legitimasjonsdokumenter som bankkort og førerkort. Det er således usikkert om datakvaliteten er tilfredsstillende, når man baserer seg på opplysninger innhentet fra kunden».

Næringslivets Hovedorganisasjon er skeptisk til om fødselsnummer bør være en del av kundekontrollen og registreringen. I forbindelse med dette uttaler NHO:

«Denne opplysningen er neppe nødvendig for entydig identifikasjon av kunden; har man navn og fødselsdato vil man senere, om nødvendig, enkelt kunne finne frem til personnummer. Opplysning om fødselsnummer medfører en risiko for kunden, selv om den rapporteringspliktige har taushetsplikt. Oppbevaring av denne type opplysning stiller også strenge krav til oppbevaring hos den rapporteringspliktige».

4.4.4.2 Bekreftelse av kundens identitet

Arbeids- og inkluderingsdepartementet viser til at utvalgets forslag til nytt hvitvaskingsregelverk ikke vil medføre «endringer i situasjonen for innvandrere uten gyldig legitimasjon». Departementet etterlyser en drøftelse av alternative løsninger for den gruppen utlendinger med oppholds- eller arbeidstillatelse som ikke har identitetsdokumenter som godkjennes som gyldig legitimasjon. Arbeids- og inkluderingsdepartementet uttaler dessuten følgende om denne problemstillingen:

«Som påpekt av utvalget, kommer de fleste asylsøkerne til Norge uten legitimasjonsdokumenter. Snarest mulig etter ankomst skal politiet utstede såkalt registreringsbevis for asylsøkere (asylsøkerbevis). Asylsøkerbeviset vil som oftest kun være basert på søkerens egne opplysninger. Det følger uttrykkelig av utlendingsforskriften § 54 a at asylsøkerbeviset ikke er å anse som dokumentasjon på at de angitte personalopplysninger er korrekte. Departementet kan dermed ikke se at asylsøkerbeviset vil kunne tilfredsstille kravene til gyldig legitimasjon i forhold til hvitvaskingsdirektivet ved at det inntas navnetrekk og fødested på kortet.

Videre kan departementet ikke se at dokumentasjonen som utstedes til tidligere asylsøkere er omtalt. Vi viser til at asylsøkere som blir innvilget opphold i Norge og som ikke har eller kan skaffe reisedokumenter fra hjemlandet, vil kunne få utstedt reisebevis for flyktninger eller utlendingspass, jf. utlendingsloven § 19. Etter det departementet kjenner til, er det ulik praksis blant bankene mht. i hvilken grad disse dokumentene godtas som gyldig legitimasjon.

Vi ser behovet og nødvendigheten av å iverksette tiltak mot hvitvasking og terrorfinansiering. Vi vil imidlertid påpeke at det å stille strenge krav til kundekontroll i forbindelse med økonomiske transaksjoner gir store integreringsmessige konsekvenser for utlendinger som har fått innvilget oppholds- eller arbeidstillatelse, men som ikke klarer å oppfylle kravene til å legge frem godkjent gyldig legitimasjon, jf. hvitvaskingsloven § 5 og forskriften til hvitvaskingsloven § 4.»

Verdipapirfondenes Forening mener at det må lempes på kravet om at legitimasjonsdokumenter skal fremlegges i original eller bekreftet kopi. I denne sammenheng uttaler foreningen:

«For mange andelseiere er det byrdefylt å få gjennomført en bekreftelse av legitimasjonsdokumentene, jf. at gruppen av institusjoner som kan bekrefte kopien er svært snever (regelverket inneholder dessuten den pussighet at notarius publicus ikke anses som kvalifisert, jf. avsnitt 2.3 i Kredittilsynets veiledning til hvitvaskingsregelverket, Rundskriv 9/2004). For forvaltningsselskapene representerer det dessuten ikke ubetydelige kostnader å etterleve regelverket (for eksempel gjennom å benytte rekommandert postsending for å få tak i bekreftet legitimasjonsdokument).

Kravet om at kopi av legitimasjonsdokumentene kun kan bekreftes av en snever gruppe institusjoner, framstår som et særnorsk krav. Uten nærmere begrunnelse eller vurderinger foreslår lovutvalget at regelverket på dette området skal videreføres uendret. Samtidig legges det av lovutvalgets flertall opp til at hovedregelen om personlig fremmøte ved identitetskontrollen ikke skal videreføres, jf. lovforslagets § 7. Vi støtter flertallets forslag, men vi mener at det eksisterende regelverket knyttet til hvem som kan bekrefte kopien undergraver virkningen av at det gjøres unntak for kravet om personlig fremmøte: For å få bekreftet kopi av legitimasjonen må man nettopp møte personlig opp hos en av de angitte institusjonene (som har adgang til å utstede bekreftelser).

Vi vil på denne bakgrunn tilrå at kravet om det skal fremlegges bekreftet kopi av legitimasjonsdokumenter bortfaller dersom etableringen av nye kundeforhold i verdipapirfond skjer ved at kunden tegner andeler gjennom å overføre penger fra sin bankkonto (som er underlagt EUs hvitvaskingsregelverk) til fondets konto. Det er da allerede gjennomført en forsvarlig legitimasjonskontroll i den aktuelle banken. Etter vår vurdering bør det være tilstrekkelig at kunden i slike tilfeller oversender ubekreftet kopi av sine legitimasjonspapirer til forvaltningsselskapet. Alternativt bør listen over hvem som kan bekrefte kopien som et minimum utvides betraktelig. Vi viser i denne forbindelse til det svenske regelverket, hvor kopi av legitimasjonsdokumenter, slik vi har forstått det, anses bekreftet dersom det er underskrevet av en annen myndig person. Vi mener tilsvarende også bør være tilstrekkelig i Norge.»

Den Norske Advokatforening, Den norske Revisorforening og Norges Autoriserte Regnskapsføreres Forening slutter seg til forslaget om et generelt unntak fra plikten til å kreve gyldig legitimasjon der den rapporteringspliktige er sikker på en fysisk persons identitet.

Kredittilsynet uttaler at det er viktig at bestemmelsen om gjennomføring av kundekontroll i lovutkastet klart fastsetter «etter hvilke kriterier kontroll og bekreftelse av identiteten på grunnlag av gyldig legitimasjon skal skje». Tilsynet foreslår at det i § 7 inntas en formulering om at «kontroll og bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon skal skje med grunnlag i dokumenter, data eller opplysninger innhentet fra en eller flere pålitelige og uavhengige kilder», jf. kriteriene i direktivet artikkel 8 a).

Den Norske Advokatforening slutter seg til utvalgets forslag til ny hvitvaskingsforskrift § 3.

Norges Autoriserte Regnskapsføreres Forening viser til forslaget i forskriftens § 5 om å videreføre kravet om henholdsvis firmaattest eller utskrift fra enhetsregisteret. NARF ber om at kunngjøringsinformasjon fra Brønnøysundregistrenes internettsider aksepteres som legitimasjon for juridiske personer.

Næringslivets Hovedorganisasjon (NHO) slutter seg til forslaget om ikke å videreføre kravet om kontroll av kundens legitimasjonsdokumenter, herunder kontroll av navnetrekk. Et slikt unntak kan være praktisk for forhandlere i situasjoner hvor det ikke foreligger skriftlig salgsavtale.

Videre stiller NHO spørsmål ved forslaget til bestemmelse om at det skal dokumenteres at en fysisk person er berettiget til å representere kunden utad, dersom kunden er en juridisk person. NHO mener at forslaget fremstår som byråkratisk.

Den Norske Advokatforening, Finansnæringens Hovedorganisasjon/Sparebankforeningen, Buypass, Finansieringsselskapenes Forening, Verdipapirfondenes Forening, Norges Autoriserte Regnskapsføreres Forening, Næringslivets Hovedorganisasjon, Den norske Revisorforening og Fornyings- og administrasjonsdepartementet støtter forslaget fra utvalgets flertall om at hovedregelen om personlig oppmøte erstattes av et krav om ytterligere dokumentasjon i de tilfeller hvor kunden benytter fysisk legitimasjon.

Skattedirektoratet er skeptisk til å oppgi kravet til personlig fremmøte, og anser at unntaket i hvert fall bør begrenses til avgrensede tilfeller.

4.4.4.3 Krav om registrering for etablering av kundeforhold

Næringslivets Hovedorganisasjon anser at en tilstrekkelig ordning med hensyn til kundekontrollen av aksjeselskaper under stiftelse bør være at den rapporteringspliktige mottar kopi av den meldingen selskapet skal sende enhetsregisteret, med unntak av de vedlegg den rapporteringspliktige skal produsere. Den endelige bekreftelsen av registrering kan fremlegges når selskapet er registrert, for eksempel ved innhenting av firmaattest eller utskrift fra Brønnøysundregistrenes internettside.

Den Norske Advokatforening er enig med lovutvalget i at stiftelsesdokumenter og vedtekter bør være tilstrekkelig dokumentasjon på den juridiske personens eksistens. Videre slutter Advokatforeningen seg til forslaget om at det skal foreligge skriftlig erklæring fra kontaktperson om at de registrerte opplysningene er korrekte, og gyldig legitimasjon for vedkommende.

Den norske Revisorforening støtter utvalgets forslag om at innføring av strengere krav til registrering av opplysninger og bekreftelse av identitet for kunder som ikke er registrert i offentlig register.

4.4.4.4 Elektronisk legitimasjon

Fornyings- og administrasjonsdepartementet, Nærings- og handelsdepartementet, Verdipapirfondenes Forening, Buypass og Finansnæringens Hovedorganisasjon/Sparebankforeningen støtter den prinsipielle likestillingen mellom elektronisk og fysisk legitimasjon i lovforslaget.

Imidlertid stiller Fornyings- og administrasjonsdepartementet og Nærings- og handelsdepartementet seg kritiske til flere sider ved forslaget til regler om elektronisk legitimasjon. Disse departementene etterlyser en nærmere begrunnelse for hvorfor leverandører av elektronisk signatur må oppfylle krav gjennom en sertifiseringsordning. I forbindelse med dette uttaler Fornyings- og administrasjonsdepartementet:

«Spørsmålet om hvorvidt leverandører av e-ID skal dokumentere at de oppfyller kravene som settes frem i Kravspesifikasjonen gjennom en selvdeklarasjon eller gjennom en sertifisering er svært overfladisk behandlet i utvalgets utredning. Det er ikke gitt noen begrunnelse for hvorfor utvalget mener at en sertifiseringsordning vil være å foretrekke fremfor en selvdeklarasjonsordning, slik den er definert i forskrift av 21.11.2005 nr. 1296.

En sertifisering innebærer en svært fordyrende ordning for leverandører av e-ID, særlig sett i lys av at de fleste aktuelle allerede er registrert hos PT som utstedere av kvalifiserte sertifikater og de er registrert som selvdeklarerte utstedere av e-ID som oppfyller krav i Kravspesifikasjon for PKI..[...]. En sertifiseringsordning som vil måtte etableres vil kreve ressurser og kompetanse, i et tilstrekkelig omfang. Sertifisering i praksis innebærer at sertifiseringsorganets representanter vil måtte gjennomgå prosedyrer, rutiner og tekniske løsninger hos aktuelle leverandører for deretter å foreta en vurdering opp mot en fastsatt standard, og så utstede et sertifikat. Den sertifiserte leverandøren må som regel betale for sertifiseringen, og deretter et årlig gebyr for å vedlikeholde den. Vedlikeholdet består i at sertifiseringsorganet kommer på anmeldte eller uanmeldte besøk og verifiserer at prosedyrer etc. fortsatt er i samsvar med krav i standarden. Sammenlignbare ordninger er f.eks. Sertifiseringsordningen for informasjonssikkerhet i organisasjoner (ISO 17799), der gjennomsnittlig prising av sertifisering kan variere mellom 100.000 og 500.000 kroner, avhengig av størrelsen på den sertifiserte organisasjonen.

FAD mener at det er rimelig opplagt at kostbare sertifiseringer vil drive prisen på en e-ID opp og derigjennom skape hindringer for utbredelse av sikker elektronisk legitimasjon i samfunnet.

Videre vil utvalgets krav om at selve e-ID (sertifikatet) skal være merket som sertifisert føre til enda dyrere elektronisk legitimasjon, da et slikt krav vil medføre at alle eksisterende og utrullede e-ID som leverandørene har i markedet vil måtte inndras og utstedes på nytt. Kostnaden ved en slik operasjon må kunne anses som betydelig.

Merverdien av sertifisering fremfor selvdeklarasjon, basert på registrering som kvalifisert utsteder (når det gjelder sertifikatklassen Person Høyt), er overhodet ikke dokumentert i utvalgets utredning, og må anses som tvilsom.

I lys av ovenstående vil FAD sterkt fraråde at krav til e-ID som skal kunne godkjennes som gyldig elektronisk legitimasjon ifm. kundekontroll i henhold til hvitvaskingsregelverket, forskriftsfestes slik utvalget foreslår.

FAD vil i stedet foreslå at krav til e-ID baseres på Kravspesifikasjon for PKI i forvaltningen, sertifikatklasse Person Høyt, og med godkjenning gjennom registrering og selvdeklarasjon i Post- og teletilsynets eksisterende ordninger.»

Fornyings- og administrasjonsdepartementet og Nærings- og handelsdepartementet stiller seg kritiske til at tilsvarende krav som følger av Kravspesifikasjonen for PKI i offentlig sektor, skal fremgå direkte av hvitvaskingsforskriften. Om dette uttaler Nærings- og handelsdepartementet:

«Vi kan ikke finne at utvalget har gitt en nærmere begrunnelse hvorfor enkelte av kravene i henhold til Person-Høyt skal tas ut og reguleres direkte i hvitvaskingsforskriften. Vi har en forståelse om at de angitte kravene er sentrale krav dersom eID skal kunne brukes innenfor hvitvaskingsområdet. Vi anbefaler dog, fra et reguleringsteknisk synspunkt og for å unngå uklarheter ved ev. avvik mellom kravene i forskriften og kravspesifikasjonen, at kravene isteden gjøres klart i motivene og at FIN i tett dialog med FAD sikrer at disse kravene er ivaretatt i kravspesifikasjonen. Videre mener vi ett av kravene er formulert i strid med den fortolkning av personopplysningsloven som Datatilsynet har lagt til grunn når det gjelder bruk av fødselsnummer i sertifikater».

Den Norske Advokatforening er enig med utvalget i at det er unødvendig med elektronisk legitimasjon av juridiske personer, da kravene i forslaget til § 7 annet ledd innebærer at identiteten til kontaktpersonen skal bekreftes på grunnlag av gyldig legitimasjon, samt at vedkommende er berettiget til å representere kunden utad.

Brønnøysundregistrene og Buypass påpeker at selv om Brønnøysundregistrene per i dag ikke tilbyr elektronisk signerte dokumenter, bør ikke regelverket utformes slik at man utelukker muligheten bruk av elektronisk signatur i fremtiden.

4.4.4.5 Bekreftelse av identiteten til reelle rettighetshavere

Skattedirektoratet og Økokrim etterlyser en klarere definisjon av begrepet reelle rettighetshavere. Økokrim uttaler følgende:

«Det er noe uklart hva som skal legges i dette begrepet. Definisjonen som er angitt i § 2 nr 3 avklarer ikke alle de problemstillinger som kan reises. Videre må det legges vekt på at det viktige ved en transaksjon ofte ikke er hvem som eier foretaket, men hvem som har den økonomiske interessen av transaksjonen. Sistnevnte vil oftere være et tema for politiets undersøkelse av saken, enn hvem som eier foretaket. Noe av formålet ved etterforsking av mistenkelige transaksjoner er nettopp å identifisere pengestrømmen og hvem som reelt sett sender og mottar utbyttet. Lovutvalget viser på s. 40 til at tredje hvitvaskingsdirektiv har som utgangspunkt at «slike fysiske personer vil ha den bakenforliggende økonomiske interesse i kundeforholdet eller transaksjonene». Det hadde vært fordelaktig om lovteksten ble formulert slik at det fremgikk klart at dette også var omfattet».

Den Norske Advokatforening mener lovforslaget stiller et for strengt krav til identifiseringen av reelle rettighetshavere.

Norges Autoriserte Regnskapsføreres Forening, Handels- og Servicenæringens Hovedorganisasjon og Næringslivets Hovedorganisasjon oppfordrer departementet til å gi en bredere omtale av problemstillinger knyttet til reelle rettighetshavere i proposisjonen.

4.4.4.6 Opplysninger om kundeforholdets formål og tilsiktede art

Næringslivets Hovedorganisasjon ber om at det presiseres at det er kundeforhold etter forslaget § 6 første ledd og ikke enkelttransaksjoner etter forslaget § 6 annet ledd som skal omfattes av forslaget til bestemmelse.

4.4.5 Departementets vurdering

4.4.5.1 Registrering av opplysninger om kunden og reelle rettighetshavere

Internasjonalt er kravet om at rapporteringspliktige skal identifisere kundene og bekrefte kundens identitet et sentralt utslag av «kjenn-din-kunde»-prinsippet. Direktivet skiller i artikkel 8 nr. 1 (a) og (b) mellom identifikasjon («identifying») og bekreftelse av identiteten («verifying identity») til kunder og reelle rettighetshavere. Departementet legger til grunn at identifikasjon og verifikasjon av identiteten ofte vil foretas samtidig. Et praktisk eksempel er at kunden møter opp i en bank for å åpne en konto. Den bankansattes identifikasjon av vedkommende samt bekreftelse av identiteten ved bruk av legitimasjonsdokumenter, vil bli foretatt uten at de ulike leddene i prosessen reelt kan skilles fra hverandre. Imidlertid har skillet mellom identifikasjon og bekreftelse av identiteten betydning i de situasjoner hvor direktivet åpner for at bekreftelse av identiteten kan utsettes, jf. nærmere omtale av direktivet artikkel 9 i punkt 4.5 nedenfor. I disse tilfellene må identifikasjon av kunden likevel foretas ved etablering av kundeforholdet, mens bekreftelse av identiteten kan foretas på et senere tidspunkt

Det fremgår ikke av direktivet artikkel 8 nr. 1 (a) og (b) hvilke konkrete tiltak som omfattes av henholdsvis identifikasjon og bekreftelse av identiteten. Departementet deler utvalgets vurdering av at «on the basis of documents, data or information obtained from a reliable and independent source» etter en naturlig språklig forståelse knytter seg til bekreftelsen av identiteten til kunden eller den reelle rettighetshaver. Følgelig er departementet enig med utvalget i at bestemmelsen i direktivet artikkel 8 ikke kan medføre at identifikasjon innebærer et krav om fremleggelse av legitimasjonsdokumenter eller andre bevis for identiteten. Dette vil si at opplysninger om identiteten til kunden vil kunne meddeles den rapporteringspliktige muntlig. Departementet er videre enig med utvalget i at det avgjørende når det gjelder hvilke opplysninger som må meddeles ved identifikasjon av kunde og reelle rettighetshavere, er om opplysningene er egnet til å fremme en entydig identitet.

Gjeldende hvitvaskingslov § 6 inneholder bestemmelser om registrering av opplysninger om kunden. Et uttrykkelig krav om registrering av opplysninger om identiteten til kunde og reell rettighetshaver kan ikke utledes av direktivet artikkel 8. Imidlertid er departementet enig med utvalget i at opplysninger som skal registreres etter gjeldende hvitvaskingslov § 6 første ledd nr. 1 til 3, etter sin art vil være egnet til å fremme en entydig identitet. Kravene til registrering av opplysninger er vel innarbeidet. Som utvalget anser derfor departementet det som hensiktsmessig at reglene videreføres i ny hvitvaskingslov. Departementet anser det som hensiktsmessig å også videreføre gjeldende hvitvaskingslov § 6 første ledd nr. 4 om plikt til å registrere referanse til legitimasjon som har støttet identitetskontrollen. Bestemmelsen er foreslått videreført i lovforslaget § 8 med en noe annen formulering enn i gjeldende lov. Dette er ikke ment å innebære noen realitetsendring. I utvalgets forslag er § 8 om registrering av opplysninger en del av kundekontrollen, og omfattet av prinsippet om risikobasert kundekontroll i forslaget § 5. I og med at reglene om registrering vil være egnet til å fremme en entydig identitet - og dermed sikre at den rapporteringspliktige identifiserer kunden i tråd med kravet i direktivet artikkel 8 nr. 1 (a) og (b) - vurderer departementet det som hensiktsmessig at disse reglene anses som et kundekontrolltiltak. Imidlertid understreker departementet at rapporteringspliktige i praksis vil ha lite spillerom for å tilpasse omfanget av registreringen til risikoen for hvitvasking og terrorfinansiering - forslaget til § 8 i ny hvitvaskingslov angir konkrete krav til opplysninger som må registreres uavhengig av den konkrete risiko. Derimot inneholder også forslaget til bestemmelse om registrering elementer hvor en risikobasert tilnærming kan ha betydning for omfanget av registreringen, for eksempel at det skal registreres opplysninger om reelle rettighetshavere som «entydig identifiserer» disse, jf. lovforslaget § 8 femte ledd. Departementet slutter seg til utvalgets vurdering av at reelle rettighetshavere vil være en så uensartet gruppe at det ikke vil være hensiktsmessig å konkretisere hvilke opplysninger som skal registreres. Med utgangspunkt i en risikobasert vurdering må rapporteringspliktige vurdere hvilke opplysninger som er nødvendige i det konkrete tilfelle. Departementet antar at opplysningene som skal registreres om kunden etter lovforslaget § 8 ofte vil være aktuelle også med hensyn til reelle rettighetshavere.

Departementet anser at gjeldende hvitvaskingslov § 6 første ledd nr. 1 til 4 bør videreføres. Departementet deler ikke vurderingen til Næringslivets Hovedorganisasjon og Fornyings- og administrasjonsdepartementet om at krav til henholdsvis kundens fødselsnummer og adresse ikke er nødvendig for identifikasjonsformål. Etter departementets vurdering bør det også vektlegges at disse kravene allerede følger av gjeldende rett.

Ved en lovendring vedtatt i juni 2007 ble det fastsatt et unntak i hvitvaskingsloven fra plikten til å registrere kundens faste adresse, slik at banker ikke lenger må registrere adressen til kunder der folkeregisteret har vedtatt at kundens adresse skal være fortrolig. Forslaget ble da begrunnet med praktiske problemer som har oppstått ved bruk av bank og nettbank, jf. Ot.prp. nr. 42 (2006-2007) punkt 4.5. Utvalget har foreslått at denne bestemmelsen utvides til å gjelde for samtlige rapporteringspliktige. Departementet deler utvalgets vurdering. Departementet foreslår etter dette at det lovfestede unntaket fra plikten til å registrere kundens faste adresse, i tilfeller der folkeregisteret har vedtatt at kundens adresse skal være fortrolig, utvides til å omfatte samtlige rapporteringspliktige etter loven. Det vises til lovforslaget § 8 annet ledd.

Departementet slutter seg til utvalgets forslag om at det for fysiske personer som ikke har fått tildelt norsk fødselsnummer eller D-nummer, skal registreres fødselsdato, fødested, kjønn og statsborgerskap. Dersom den rapporteringspliktige er kjent med at kunden har to statsborgerskap, skal dette registreres. Departementet anser at disse kravene vil være tilstrekkelige til å sikre identifikasjon av den fysiske personen.

Når det gjelder juridiske personer som ikke er registrert i offentlig register, vises det til forslaget omtalt i punkt 4.4.5.3.

Departementet slutter seg til utvalgets vurdering av at en videreføring av registreringsplikten etter gjeldende hvitvaskingslov § 6 første ledd nr. 1 til 3 vil tilfredsstille kravet om forbud mot anonyme konti og bankbøker etter direktivet og FATF-anbefalingene, og at det dermed ikke er nødvendig å foreslå særskilte bestemmelser om dette.

Departementet viser til lovforslaget § 8.

4.4.5.2 Bekreftelse av kundens identitet

Etter direktivet artikkel 8 nr. 1 (a) og (b) skal kundens identitet bekreftes «on the basis of documents, data or information obtained from a reliable and independent source». Dette innebærer at institusjoner og personer som omfattes av direktivet, vil ha valgfrihet med hensyn til hvilke typer informasjon mv. som benyttes, såfremt kilden kan anses pålitelig og uavhengig av kunden. Bestemmelsene i direktivet forstås som teknologinøytrale, slik at både fysisk (dokumentbasert) legitimasjon og elektronisk legitimasjon kan anvendes ved bekreftelse av kundens identitet.

Gjeldende hvitvaskingslov § 5 stiller krav om at den rapporteringspliktige skal kreve «gyldig legitimasjon» ved kontroll av kundens identitet. Nærmere regler om hva som skal regnes som «gyldig legitimasjon» er fastsatt i hvitvaskingsforskriften. Departementet anser, som utvalget, at denne tilnærmingen er hensiktsmessig å videreføre med hensyn til regler om bekreftelse av identiteten av kundens identitet. Bestemmelser som oppstiller nærmere krav til legitimasjonsdokumenter for både fysiske og juridiske personer, foreslås derfor regulert i ny hvitvaskingsforskrift.

Et krav om «gyldig legitimasjon» innebærer en prinsipiell likestilling mellom elektronisk legitimasjon og fysisk legitimasjon. Departementet er enig med utvalget i at en forutsetning for hva som godtas som legitimasjon, bør være om dokumentet er utstedt av et organ med betryggende kontrollrutiner for utstedelse. I høringsuttalelsen har Kredittilsynet foreslått at bestemmelsen om gjennomføring av kundekontroll i lovutkastet klart skal fastsette «etter hvilke kriterier kontroll og bekreftelse av identiteten på grunnlag av gyldig legitimasjon skal skje». Tilsynet foreslår at det i § 7 inntas en formulering om at «kontroll og bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon skal skje med grunnlag i dokumenter, data eller opplysninger innhentet fra en eller flere pålitelige og uavhengige kilder», jf. kriteriene i direktivet artikkel 8 (a). Departementet er enig med Kredittilsynet i at regelverket bør inneholde nærmere kriterier for bekreftelse av identiteten til kunden. Imidlertid anser departementet at en bestemmelse om at dokumenter mv. skal innhentes fra pålitelige og uavhengige kilder, mest hensiktsmessig bør plasseres i hvitvaskingsforskriften. I forbindelse med fastsettelsen av ny hvitvaskingsforskrift vil merknadene fra Kredittilsynet vurderes nærmere. Det samme gjelder øvrige høringsmerknader som relaterer seg til hvilke krav som skal stilles til «gyldig legitimasjon». Finansdepartementet vil i forskriftsarbeidet vurdere de nærmere kravene som bør settes til gyldig legitimasjon i samråd med Fornyings- og administrasjonsdepartementet og Nærings- og handelsdepartementet.

Som nevnt under punkt 4.4.4.2, har Arbeids- og inkluderingsdepartementet vist til at både asylsøkerbevis og reisebevis/utlendingspass ikke godtas som gyldig legitimasjon av banker. Selv om de nærmere krav som skal stilles til «gyldig legitimasjon» vil fremgå av hvitvaskingsforskriften, finner departementet det naturlig i denne sammenheng å knytte noen kommentarer til de særlige problemstillinger som oppstår i tilknytning til gyldig legitimasjon for asylsøkere. Som Arbeids- og inkluderingsdepartementet har påpekt i høringen, kommer de fleste asylsøkere til Norge uten legitimasjonsdokumenter. Asylsøkerbeviset som utstedes av politiet vil dermed oftest være basert på søkerens egne opplysninger. Arbeids- og inkluderingsdepartementet viser til at asylsøkerbeviset etter utlendingsforskriften § 54a ikke er å anse som dokumentasjon på at de angitte personalopplysninger er korrekte. Følgelig kan ikke asylsøkerbeviset tilfredsstille kravene til gyldig legitimasjon selv om det inntas navnetrekk og fødested på kortet. Dette vil medføre at asylsøkere reelt sett vil ha vanskeligheter med å benytte seg av ordinære banktjenester mv.

Etter gjeldende hvitvaskingsregelverk har asylsøkerbevis blitt ansett som «gyldig legitimasjon». I denne sammenheng viser departementet til at Kredittilsynet i rundskriv 9/2004 har uttalt at asylsøkerbevis «må anses å tilfredsstille kravene til kontrollrutiner og sikkerhetsnivå». Tilsynet har imidlertid vist til at det kan foreligge «omstendigheter omkring utstedelse og bruk av slike asylsøkerbevis som gjør at de etter en konkret vurdering anses uegnet til legitimasjonsformål». Som utvalget har påpekt, er det imidlertid problematisk at dagens asylsøkerbevis - i motsetning til tidligere - ikke inneholder navnetrekk eller opplysninger om fødested. Dette medfører at asylsøkerbevisene ikke oppfyller kravene til legitimasjonsdokumenter for fysiske personer i hvitvaskingsforskriften § 4. Følgelig har de rapporteringspliktige ikke adgang til å etablere kundeforhold med vedkommende, jf. hvitvaskingsforskriften § 9. Etter departementets vurdering er navnetrekk et sentralt element ved bekreftelse av kundens identitet. Ved fastsetting av de nærmere krav til «gyldig legitimasjon» i hvitvaskingsforskriften vil det neppe være hensiktsmessig å fastsette et alminnelig unntak fra kravet til navnetrekk. Etter departementets vurdering vil det være mer realistisk å avhjelpe noen av asylsøkeres problemer med å få utstedt gyldig legitimasjon ved at Politiets utlendingstjeneste inntar navnetrekk og fødested i asylsøkerbevisene, slik at disse kan oppfylle vilkårene til «gyldig legitimasjon». Departementet vil derfor - i samråd med Justis- og politidepartementet og Arbeids- og inkluderingsdepartementet - ta initiativ til at navnetrekk og fødested inntas i asylsøkerbevisene. Dersom asylsøkerbevisene endres slik at dokumentene oppfyller kravene i hvitvaskingsforskriften, anser departementet at slike dokumenter som utgangspunkt vil kunne anses tilstrekkelige pålitelige og betryggende. Imidlertid er departementet inneforstått med at finansinstitusjonene vil kunne ha et saklig behov for å skjerpe kravene til legitimasjonsdokumentene, jf. omtale i neste avsnitt av bankenes praksis ved utstedelse av bankkort med bilde. På den annen side bør et asylsøkerbevis anses tilstrekkelig betryggende for etablering av grunnleggende banktjenester, for eksempel ved åpning av ordinær bankkonto og for ordinær betalingsformidling.

Arbeids- og inkluderingsdepartementet har vist til det foreligger ulik praksis blant bankene med hensyn til om reisebevis for flyktninger eller utlendingspass, jf. utlendingsloven § 19, godtas som «gyldig legitimasjon», og at regelverket i størst mulig grad bør sikre enhetlig praksis fra bankenes side med hensyn til hvilke dokumenter som godtas som gyldig legitimasjon. Reisebevis eller utlendingspass utstedes til asylsøkere som blir innvilget opphold i Norge og som ikke har eller kan skaffe reisedokumenter fra hjemlandet. Departementet legger til grunn at dokumenter som nevnt må antas å oppfylle vilkårene for «gyldig legitimasjon», jf. også Kredittilsynets rundskriv 9/2004 hvor det er uttalt at «annet reisedokument enn gyldig pass» må anses å tilfredsstille krav til kontrollrutiner og sikkerhetsnivå. Gjeldende hvitvaskingslov fastsetter minimumskrav til de rapporteringspliktiges identitetskontroll. Rapporteringspliktige vil derfor ha adgang til å nekte å godta legitimasjonsdokumenter som oppfyller kravene til «gyldig legitimasjon» med mindre en slik praksis må anses som lovstridig diskriminering eller i strid med kravet i finansavtaleloven § 14 om at finansinstitusjoner ikke uten saklig grunn kan avslå å ta imot innskudd eller utføre betalingsoppdrag på vanlige vilkår. Et eksempel på en slik restriktiv praksis, er bankenes krav om at personer som skal få utstedt bankkort med bilde må fremlegge gyldig pass. Kravet er innført som et tiltak mot identitetstyveri. De krav bankene måtte sette for å utstede bankkort med bilde, bankenes eget legitimasjonsdokument, reguleres verken av den gjeldende hvitvaskingsloven eller lovforslaget her. Reisebevis og utlendingspass vil fortsatt godtas som «gyldig legitimasjon» etter forslaget til ny hvitvaskingslov. Departementet er av den oppfatning at også reisebevis for flyktninger og utlendingspass bør anses tilstrekkelig betryggende for etablering av grunnleggende banktjenester, for eksempel ved åpning av ordinær bankkonto og for ordinær betalingsformidling.

Departementet slutter seg til utvalgets forslag om ikke å videreføre bestemmelsen i hvitvaskingsforskriften § 8 første ledd om kontroll av kundens legitimasjonsdokumenter, herunder fotografi og navnetrekk. Som utvalget anser departementet at slik kontroll av legitimasjonsdokumentet følger naturlig av kravet om bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon, jf. forslaget § 7 nr. 2. Kundekontrollen skal foretas på grunnlag av en risikobasert vurdering, jf. lovforslaget § 5.

Departementet deler utvalgets vurdering av at det under visse omstendigheter vil fremstå som unødvendig å kreve gyldig legitimasjon ved opprettelse av kundeforhold eller ved utføring av en transaksjon. Som et eksempel på en slikt tilfelle nevner utvalget små og gjennomsiktige lokalsamfunn, hvor den rapporteringspliktige ofte vil ha sikker kjennskap til kundens identitet. Departementet anser at det er forsvarlig å unnta fra kravet til gyldig legitimasjon situasjoner der den rapporteringspliktige er sikker på kundens identitet. For det første vil kravet om at den rapporteringspliktige er «sikker» på identiteten, medføre at det er forholdsvis få situasjoner hvor unntaket kan tenkes anvendt. Videre må den rapporteringspliktige også ved anvendelse av dette unntaket være underlagt plikt til å foreta en risikovurdering ved gjennomføring av kundekontrollen, jf. forslaget § 5. Etter departementets vurdering vil dette utelukke anvendelse av unntaket dersom den rapporteringspliktige har mistanke om at en transaksjon har tilknytning til hvitvasking eller terrorfinansiering, jf. forslaget til ny hvitvaskingslov § 6 nr. 3. Kravet om at den rapporteringspliktige skal være «sikker» på kundens identitet vil også utelukke bruk av unntaket dersom det er tvil om hvorvidt tidligere innhentede opplysninger om kunden er korrekte eller tilstrekkelige, jf. lovforslaget § 6 nr. 4. På denne bakgrunn foreslår departementet en bestemmelse om at bekreftelse av fysiske personers identitet etter tilfellene som omhandlet i lovforslaget § 7 første ledd nr. 2, annet ledd og tredje ledd, kan foretas på annet grunnlag enn gyldig legitimasjon dersom den rapporteringspliktige er sikker på vedkommendes identitet. Departementet legger til grunn at en skriftlig nedtegnelse om at identiteten er bekreftet på grunnlag av sikker kjennskap til kunden, må oppbevares etter reglene i lovforslaget § 22, jf. punkt 6.

Departementet slutter seg til utvalgets forslag om at det stilles krav om bekreftelse av identiteten på grunnlag av gyldig legitimasjon for den som handler på vegne av en juridisk person, jf. forslaget til § 7 annet ledd første punktum. Departementet slutter seg også til forslaget om at det skal dokumenteres, ved firmaattest, stiftelsesdokument, skriftlig fullmakt eller lignende, at den fysiske personen er berettiget til å representere kunden utad, jf. forslaget til § 7 annet ledd annet punktum. Sistnevnte forslag vil gjennomføre kravet om slik dokumentasjon etter FATF-anbefaling 5.

Med hensyn til kravet om bekreftelse av identiteten gjennom personlig fremmøte, har utvalgets flertall foreslått at hovedregelen om personlig fremmøte etter hvitvaskingsloven § 5 erstattes av et krav om ytterligere dokumentasjon i tilfeller der kunden benytter fysisk legitimasjon og ikke har vært fysisk tilstede hos den rapporteringspliktige. Departementet legger til grunn at dette forslaget gir en videre adgang til bekreftelse av identitet uten personlig fremmøte enn etter gjeldende rett. Unntaksadgangen etter gjeldende regler omfatter kun tilfeller hvor «personlig fremmøte er til vesentlig ulempe for kunden eller ikke er praktisk gjennomførbart, såfremt betryggende identitetskontroll likevel kan finne sted». På den annen side innebærer mindretallets forslag til bestemmelse en innskjerping i forhold til gjeldende rett - mindretallet har ikke foreslått noen unntak fra kravet om personlig fremmøte i tilfeller hvor fysiske personers identitet skal bekreftes ved fysisk legitimasjon.

Departementet deler utvalgets vurdering av at det ofte vil være hensiktsmessig, og fremstå som ordinært, at opprettelse av kundeforhold eller gjennomføring av en transaksjon skjer uten personlig fremmøte - både ved bruk av elektronisk og fysisk legitimasjon. Verken direktivet eller FATFs anbefalinger inneholder absolutte krav om at bekreftelse av kundens identitet skal skje ved personlig fremmøte. Som utvalgets flertall viser til, krever direktivet artikkel 13 at det i slike situasjoner iverksettes tiltak for å kompensere for den forsterkede risikoen som unnlatt fremmøte innebærer. Som eksempler på aktuelle forsterkede tiltak, nevnes det i artikkel 13 nr. 2 en plikt for den rapporteringspliktige til å forsikre seg om at kundens identitet kan bekreftes med grunnlag i ytterligere «documents, data or information» (a), iverksette ytterligere tiltak for å verifisere mottatte dokumenter, eventuelt bekreftelse fra en finansinstitusjon eller kredittinstitusjon som omfattes av direktivet (b), eller at den rapporteringspliktige sikrer at første betaling i forbindelse med transaksjoner utføres via en konto som er åpnet i kundens navn hos en kredittinstitusjon (c). Departementet anser at tiltakene som nevnt i artikkel 13 nr. 2 vil være praktiske tiltak for å kompensere for den forsterkede risikoen som unnlatt fremmøte innebærer. På denne bakgrunn anser departementet at det er forsvarlig å erstatte hovedregelen om personlig fremmøte etter hvitvaskingsloven § 5 med et krav om ytterligere dokumentasjon i tilfeller der kunden benytter fysisk legitimasjon og ikke har vært fysisk tilstede hos den rapporteringspliktige. Det vises til lovforslaget § 7 fjerde ledd.

4.4.5.3 Krav om registrering for etablering av kundeforhold

Som utvalget viser til, følger det uttrykkelig av utvalgets mandat at det særskilt skal vurderes om det bør kreves at juridiske personer som vil etablere kundeforhold med en finansinstitusjon, skal være registrert i foretaksregisteret, enhetsregisteret eller tilsvarende. Dette punktet i mandatet må ses i sammenheng med regjeringens handlingsplan mot økonomisk kriminalitet for 2004-2007, hvor det i punkt 10.3 fremgår at regjeringen vil vurdere registreringsplikt for juridiske personer som vil etablere forretningsforhold med en finansinstitusjon. I handlingsplanen er det tatt utgangspunkt i at finansinstitusjoner skal identifisere sine kunder, jf. «kjenn din kunde»-prinsippet. Videre vises det til at ikke alle juridiske personer har registreringsplikt eller -rett i enhetsregistret/foretaksregisteret, for eksempel utenlandske juridiske personer som ikke driver næringsvirksomhet i Norge, samt ideelle organisasjoner, idrettslag, tippelag mv. Når slike enheter skal åpne bankkonto, må det skje i navnet til deltakerne. Det påpekes at det ikke er tilfredsstillende at banken må åpne konto i navnet til deltakerne, da banken etter hvitvaskingsloven skal identifisere den egentlige eier av midlene. At konto åpnes i navnet til kunden vil også innebære at den fysiske personen som utgangspunkt blir gjort skattepliktig for de aktuelle midlene.

Etter gjeldende hvitvaskingsforskrift § 6 fjerde ledd skal rapporteringspliktige, dersom det er på det rene eller sannsynlig at en juridisk person ikke er registrert i et offentlig register, kreve legitimasjon etter hvitvaskingsloven § 5 og registrere opplysninger etter loven § 6 for en fysisk person på vegne av den juridiske personen. Utvalget viser til at norske finansinstitusjoner praktiserer «i stor grad rutiner som går videre enn det som kreves etter hvitvaskingsforskriften § 6 fjerde ledd», blant annet kreves det ofte fremleggelse av stiftelsesdokument. Med bakgrunn i det utvalget har kartlagt, er departementet enig med utvalget i at det ikke vil fremstå som byrdefullt for finansinstitusjonene at det innføres en plikt til registrering av opplysninger om organisasjonsform, stiftelsestidspunkt samt daglig leder, forretningsfører, innehaver eller tilsvarende kontaktperson. Dette er opplysninger som må meldes ved registrering i enhetsregisteret, jf. enhetsregisterloven § 5. Slike opplysninger må anses som egnede for å identifisere kunden. På denne bakgrunn anser departementet at plikten til å registrere slike opplysninger bør gjelde for alle rapporteringspliktige. I og med at finansinstitusjoner i stor grad registrerer slike opplysninger per i dag, deler departementet utvalgets vurdering av at det er mer hensiktsmessig med utvidede plikter til registrering av opplysninger fremfor å etablere en generell registreringsplikt i et offentlig register for juridiske personer som skal etablere kundeforhold med finansinstitusjoner.

Departementet slutter seg til utvalgets forslag om at nærmere bestemmelser om hva som skal anses som gyldig legitimasjon for juridiske personer, fastsettes i forskrift, jf. lovforslaget § 7 sjette ledd. Systematikken blir dermed tilsvarende for bestemmelsene om bekreftelse av identiteten til fysiske personer, jf. omtale ovenfor.

Departementet foreslår en bestemmelse om at den rapporteringspliktige for juridiske personer i tillegg til opplysninger som nevnt i § 8 første ledd, skal registrere opplysninger om organisasjonsform, stiftelsestidspunkt samt daglig leder, forretningsfører, innehaver eller tilsvarende kontaktperson. Dersom kontaktpersonen er en juridisk person, skal det også oppgis en fysisk person som kontaktperson, og registreres opplysninger som nevnt i § 8 første ledd om vedkommende. Departementet viser til lovforslaget § 8 fjerde ledd.

4.4.5.4 Elektronisk legitimasjon

Som utvalget har påpekt, inneholder verken tredje hvitvaskingsdirektiv eller FATFs anbefalinger særlige regler eller retningslinjer for elektronisk bekreftelse av kundens identitet. Etter departementets vurdering er det imidlertid klart at verken anbefalingene eller direktivet er til hinder for at elektronisk legitimasjon kan benyttes ved bekreftelse av identiteten til kunden. Utgangspunktet vil være en vurdering ut fra de alminnelige krav i direktivets artikkel 8 nr. 1 (a) om at bekreftelse av identitet baseres på dokumenter, data eller informasjon fra en pålitelig og uavhengig kilde. En forutsetning for å gi adgang til bruk av elektronisk legitimasjon, er at direktivets alminnelige krav til kundekontroll, oppbevaring mv. etterleves på samme måte som i tilfeller hvor det benyttes fysisk (papirbasert) legitimasjon.

I anmodningsvedtak 16. juni 2003 anmodet Stortinget om at Regjeringen fremmer forslag for å sidestille skriftlig og elektronisk legitimasjon ved identitetskontroll etter hvitvaskingsregelverket. Med bakgrunn i et forslag fra Nærings- og handelsdepartementet ble det ved lovendring 17. juni 2005 nr. 104 vedtatt ny § 16a i esignaturloven, som gir forskriftshjemmel for innføring av frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger. Med hjemmel i bestemmelsen er det fastsatt forskrift 21. novemer 2005 nr. 1296 om frivillige selvdeklarasjonsordninger for sertifikatutstedere.

Departementet anser det som viktig og tidsmessig det legges til rette for å benytte elektronisk legitimasjon ved kundekontroll av fysiske personer etter den nye hvitvaskingsloven, se også omtalen i punkt 4.4.5.1. Departementet slutter seg derfor til utvalgets forslag om at kundekontroll etter hvitvaskingsloven blant annet skal omfatte bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon.

Etter departementets vurdering er det, på bakgrunn av reglenes tekniske karakter, hensiktsmessig å fastsette nærmere krav til innholdet i elektronisk legitimasjon i ny hvitvaskingsforskrift. Departementet anser derfor at det er hensiktsmessig at det gjennom kravet til «gyldig legitimasjon» i forslaget til ny hvitvaskingslov § 7 nr. 2, åpnes for at det kan gis nærmere bestemmelser som stiller krav til elektronisk legitimasjon, jf. forslaget til forskriftshjemmel i § 7 sjette ledd. Denne strukturen gjør det mulig å fastsette regler om elektronisk legitimasjon for juridiske personer dersom dette skulle bli aktuelt senere.

Som nevnt ovenfor under punkt 4.4.4.4 har blant annet Fornyings- og administrasjonsdepartementet og Nærings- og handelsdepartementet stilt seg kritisk til deler av utvalgets forslag til regler om elektronisk legitimasjon i hvitvaskingsforskriften. Disse høringsinstansene er blant annet uenig med utvalget i kravet om at utstedere av sertifikater skal sertifiseres, og etterlyser en nærmere drøftelse av hvordan en slik sertifiseringsordning skal etableres og finansieres. Høringsinstansene har også pekt på at noen av kravene til sertifikatet i forskriftsutkastet ikke vil være i samsvar med personopplysningslovens bestemmelser. Videre er det fremkommet regeltekniske merknader til forslaget. Departementet vil vurdere merknadene i forbindelse med fastsetting av forskriftsbestemmelser om elektronisk legitimasjon, og som nevnt under punkt 4.4.5.1 vil Finansdepartementet vurdere slike bestemmelser i samråd med Fornyings- og administrasjonsdepartementet og Nærings- og handelsdepartementet.

4.4.5.5 Bekreftelse av identiteten til reelle rettighetshavere

Som det fremgår under punkt 4.4.1 ovenfor, er kravet om identifikasjon og bekreftelse av identiteten til «beneficial owners» en nyhet i tredje hvitvaskingsdirektiv. Et tilsvarende krav følger av FATF-anbefalingene. Departementet anser at kravet om kundekontroll av «beneficial owners» er sentralt for å sikre en effektiv kundekontroll - en effektiv håndhevelse av «kjenn-din-kunde»-prinsippet tilsier at det ikke vil være tilstrekkelig å bekrefte identiteten til kunden, men også den fysiske personen som eier eller kontrollerer kunden, eller som en transaksjon utføres på vegne av.

Departementet merker seg at direktivets bestemmelse om kundekontroll av «beneficial owners» er utformet annerledes enn bestemmelsen om identifikasjon og bekreftelse av identiteten til kunden; mens direktivet artikkel 8 nr. 1 (a) oppstiller krav om at kunder skal identifiseres og at identiteten skal bekreftes på grunnlag av «documents, data or information...», oppstiller direktivet artikkel 8 nr. 1 (b) krav om at «beneficial owners» skal identifiseres «where applicable», og at identiteten skal bekreftes ut fra «risk-based and adequate measures». Departementet merker seg videre at kravet om kundekontroll av «beneficial owners» er utformet noe annerledes i FATF-anbefaling 5, men også her er det inntatt en reservasjon ved at bekreftelse av identiteten skal utføres gjennom «reasonable measures». Derimot oppstiller FATF-anbefaling 5 ikke en tilsvarende reservasjon med hensyn til identifikasjon av vedkommende («identifying the beneficial owner...»).

Begrepet «beneficial owner» er ikke innarbeidet i norsk rett. Utvalget har vist til at betegnelsen «reell ejer» er benyttet i dansk rett, mens det svenske forslaget til hvitvaskingslov benytter betegnelsen «den verkliga hovudmannen». I likhet med utvalget anser departementet at en egnet norsk betegnelse må være tilstrekkelig presis samtidig som det ikke er risiko for sammenblanding med uttrykk som benyttes der en person har flertall av stemmer eller eierandeler, jf. for eksempel konserndefinisjonen i aksjeloven § 1-3. Departementet anser at utvalgets forslag til begrep, «reelle rettighetshavere», er hensiktsmessig. På denne bakgrunn foreslår departementet at bekreftelse av identiteten til reelle rettighetshavere skal utgjøre et element i kundekontrollen, jf. forslaget til § 7 nr. 3. Med bakgrunn i direktivets og FATF-anbefalingenes bestemmelser om bekreftelse av identiteten til reelle rettighetshavere, foreslås det at bekreftelse av identiteten skal skje på grunnlag av «egnede tiltak», jf. lovforslaget § 7 nr. 3. Som nevnt ovenfor foreslås direktivets krav til identifikasjon av reell rettighetshaver gjennomført ved registrering av opplysninger, jf. lovforslaget § 8 femte ledd. Etter forslaget skal rapporteringspliktige registrere opplysninger som entydig identifiserer reelle rettighetshavere.

I forslaget til definisjon av «reell rettighetshaver» i lovutkastet § 2 nr. 3 har utvalget, i tråd med direktivet artikkel 3 nr. 6, foreslått en generell definisjon samt angitt spesifikke tilfeller hvor en fysisk person skal anses som «reell rettighetshaver» (punkt a til e) uavhengig av den generelle definisjonen. Departementet anser at en korrekt gjennomføring av direktivet tilsier at tilfellene som omhandlet i direktivet artikkel 3 nr. 6 fremgår uttrykkelig av hvitvaskingsloven. Departementet anser det som hensiktsmessig at definisjonen av «reell rettighetshaver» rent teknisk utformes mer i samsvar med direktivet enn det utvalget har foreslått. Departementet foreslår derfor at den generelle definisjonen av «reell rettighetshaver» fremgår av forslaget til § 2 første ledd nr. 3 første punktum. Tilfellene som angitt i direktivet artikkel 3 nr. 6 (a) og (b) foreslås gjennomført i § 2 første ledd nr. 3 annet punktum. I disse tilfellene vil den fysiske personen i alle tilfeller regnes som «reell rettighetshaver». Etter forslaget til § 2 første ledd nr. 3 bokstav a til e vil fysiske personer regnes som «reell rettighetshaver» dersom vedkommende eier eller kontrollerer mer enn 25 prosent av eierandelene eller stemmene i et selskap, eller har krav på å motta 25 prosent av formuesgodene i stiftelse, fond mv., eller utøver kontroll over mer enn 25 prosent av formuesgodene i en stiftelse, fond mv.

Departementet anser at utvalgets forslag til generell definisjon av «reell rettighetshaver» materielt sett er i samsvar med direktivet, og slutter seg til forslaget. Definisjonen av reell rettighetshaver vil dermed omfatte «fysiske personer som i siste instans eier eller kontrollerer en kunde eller som en transaksjon gjennomføres på vegne av», jf. forslaget til § 2 første ledd nr. 3.

Ved vurderingen av hvilke krav som må stilles til kontroll av identiteten til reelle rettighetshavere, må det ses hen til en risikovurdering. Departementet anser at det vil være naturlig at rapporteringspliktige som inngår avtale om etablering av kundeforhold med et selskap, stiftelse mv. innhenter disse opplysningene i forbindelse med avtaleinngåelsen. Som det fremgår av direktivets fortale punkt 10, står rapporteringspliktige fritt til å velge om den vil benytte offentlige registre over reelle rettighetshavere, etterspørre relevante data fra kunden eller skaffe relevant informasjon på annen måte. Departementet antar at det vil være praktisk om rapporteringspliktige etterspør relevante data fra kunden. Rapporteringspliktige må i den forbindelse vurdere om de data som fremlegges er tilstrekkelig betryggende. Departementet anser at det normalt må være tilstrekkelig at det fremlegges henholdsvis aksjeeierbok/utskrift fra aksjeeierregisteret, selskapsavtale eller foreningsavtale.

Departementet legger til grunn at det i alminnelighet vil være vanskelig for rapporteringspliktige å identifisere eventuelle fysiske personer som en transaksjon utføres på vegne av, med mindre det foreligger konkrete omstendigheter som kan gi en indikasjon på at selskapet eller personen utfører en transaksjon på vegne av andre fysiske personer. Dersom det ikke foreligger slike indikasjoner, anser departementet at det vil være tilstrekkelig for å oppfylle kravet i lovforslaget § 7 nr. 3 at rapporteringspliktige stiller kunden et kontrollspørsmål om transaksjonen utføres på vegne av andre fysiske personer.

Departementet forslår at kundekontrollen skal omfatte bekreftelse av identiteten til reelle rettighetshavere på grunnlag av egnede tiltak. Det vises til lovforslaget § 7 første ledd nr. 3.

4.4.5.6 Opplysninger om kundeforholdets formål og tilsiktede art

Departementet slutter seg til utvalgets forslag om lovfesting av krav om at rapporteringspliktige skal innhente opplysninger om kundeforholdets formål og tilsiktede art. En korrekt gjennomføring av direktivet artikkel 8 nr. 1 (c) tilsier at dette kravet må lovfestes. Som utvalget anser departementet at slike opplysninger vil ha betydning for den risikovurdering som rapporteringspliktige skal foreta i forbindelse med øvrige kundekontrolltiltak. Departementet legger til grunn at opplysninger om kundeforholdets formål og tilsiktede art normalt vil fremkomme ved avtaleinngåelsen mellom rapporteringspliktige og kunden.

Departementet viser til forslaget til ny hvitvaskingslov § 7 første ledd nr. 4.

4.5 Tidspunktet for kundekontroll

4.5.1 EØS-rett

Etter tredje hvitvaskingsdirektiv artikkel 9 nr. 1 skal bekreftelse av identitet («verification of the identity») til kunden og reelle rettighetshavere finne sted før etablering av kundeforhold eller utføring av transaksjon. Bestemmelsen tilsvarer FATF-anbefaling 5 femte ledd, med det unntak at det her åpnes for bekreftelse av identitet under («during the course of») etablering av et kundeforhold eller utføring av en transaksjon.

I artikkel 9 nr. 2 til 4 er det oppstilt unntak fra hovedregelen i artikkel 9 nr. 1.

Etter artikkel 9 nr. 2 kan medlemsstatene tillate at bekreftelse av identiteten til kunden og den reelle rettighetshavere fullføres under etablering av kundeforholdet, dersom etablering av kundeforhold er nødvendig for ikke å hindre den alminnelig forretningsdrift, og det er liten risiko for hvitvasking eller terrorfinansiering. Tiltakene skal i så fall gjennomføres snarest mulig etter første kontakt. Bestemmelsen tilsvarer, med visse språklige variasjoner, FATF-anbefaling 5 femte ledd. I tolkingsuttalelse («Interpretative Note») til anbefaling 5 har FATF uttalt at eksempler på tilfeller hvor det er nødvendig å ikke hindre alminnelig forretningsdrift er «non-face to face business», «securities transactions» og «life insurance business» på visse vilkår.

Etter artikkel 9 nr. 3 kan medlemsstatene tillate at bekreftelse av identiteten til den begunstigede i henhold til en livsforsikringspolise finner sted etter at forretningsforbindelsen er etablert. I så fall skal kontrollen finne sted ved eller før utbetalingstidspunktet, eller ved eller før det tidspunkt da rettighetshaveren akter å utøve sine rettigheter i henhold til polisen. FATFs anbefalinger inneholder ikke et tilsvarende unntak.

Etter artikkel 9 nr. 4 kan medlemsstatene tillate at det åpnes en bankkonto, forutsatt at det finnes tilstrekkelige garantier for at transaksjonen ikke kan utføres av kunden eller på dennes vegne før kravene til kundekontroll er oppfylt. FATFs anbefalinger inneholder ikke et tilsvarende unntak.

Bestemmelsene i direktivet artikkel 9 om tidspunkt for bekreftelse av identitet er nye i forhold til første og annet hvitvaskingsdirektiv.

4.5.2 Norsk rett

Hvitvaskingsloven skiller ikke mellom identifikasjon av kunden og bekreftelse av kundens identitet. Det oppstilles heller ikke noe eksplisitt krav om at identitetskontroll skal foretas før kundeforhold etableres eller transaksjon utføres, men dette må innfortolkes, jf. blant annet plikten til avvisning av kunden etter hvitvaskingsforskriften § 9. Verken hvitvaskingsloven eller hvitvaskingsforskriften inneholder regler som gir de rapporteringspliktige adgang til å utsette identitetskontroll.

4.5.3 Utvalgets vurdering

Utvalget har lagt til grunn at identifikasjon alltid skal foretas før etablering av kundeforhold eller utføring av transaksjon. Innhenting av opplysninger om kundeforholdets formål og tilsiktede art vil ha betydning for den risikovurdering rapporteringspliktige skal foreta ved utføring av øvrige kontrolltiltak. Utvalget har på denne bakgrunn antatt at også slik innhenting av opplysninger skal foretas før etablering av kundeforhold eller utføring av transaksjon.

Utvalget har foreslått at det lovfestes en hovedregel om at kundekontroll skal gjennomføres før etablering av kundeforhold eller utføring av transaksjon, jf. utvalgets lovforslag § 7 sjette ledd. Videre forslås hjemmel for departementet til i forskrift å fastsette unntak fra dette kravet, jf. utvalgets lovforslag § 7 sjuende ledd. Unntaksreglene etter direktivet artikkel 9 nr. 2 til 4 foreslås gjennomført i forslaget til hvitvaskingsforskrift.

Utvalget foreslår at det åpnes for utsatt bekreftelse av identitet ved etablering av kundeforhold i tilfeller hvor dette er nødvendig for ikke å hindre alminnelig forretningsdrift. Unntaket foreslås begrenset til tilfeller hvor det er liten risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147a eller 147b, og den rapporteringspliktige har plikt til å foreta bekreftelse av identitet så snart som mulig etter første kontakt.

Videre foreslår utvalget at identifikasjon av den begunstigede etter en livsforsikringspolise kan foretas etter tegning av polisen. Forutsetningen er at bekreftelse av identitet foretas før utbetalingstidspunktet eller det tidspunkt den begunstigede utøver sine rettigheter i henhold til polisen.

Endelig foreslår utvalget, i samsvar med direktivet artikkel 9 nr. 4, at det gis adgang til å åpne bankkonto selv om bekreftelse av identitet ikke er gjennomført. Forutsetningen er at det finnes tilstrekkelige foranstaltninger som sikrer at transaksjoner knyttet til kontoen ikke kan utføres før bekreftelse av identitet er gjennomført.

4.5.4 Høringsinstansenes merknader

Den Norske Advokatforening foreslår at utvalgets unntak fra hovedregelen om tidspunktet for utføring av kundekontroll bør fremgå av loven. Advokatforeningen mener at hensynet til regelverkets tilgjengelighet tilsier at reglene bør plasseres i hvitvaskingsloven. Advokatforeningen viser til at unntaksbestemmelsene ikke kan sies å ha en utpreget teknisk karakter. Videre foreslår Advokatforeningen at tidspunktet for kundekontrollen reguleres i en særskilt bestemmelse, adskilt fra reglene om gjennomføring av kundekontrollen.

Finansnæringens Hovedorganisasjon/Sparebankforeningen støtter forslaget om å gi adgang til å utsette kundekontrollen av begunstigede i livsforsikring.

Verdipapirfondenes forening legger til grunn at utvalgets forskriftsutkast § 7 nr. 1 (utsatt bekreftelse av identitet i tilfeller hvor dette er nødvendig for ikke å hindre den alminnelige forretningsdrift) også omfatter tegning i verdipapirfond i situasjoner hvor kunden har overført penger fra sin bankkonto til fondets konto. Bekreftelse av identitet vil da kunne skje etter at kunden er tildelt andeler.

4.5.5 Departementets vurdering

Direktivet artikkel 9 nr. 1 omhandler bare tidspunktet for bekreftelse av kundens identitet. Departementet er imidlertid enig i at identifikasjon av kundens identitet nødvendigvis må foretas før bekreftelsen av identiteten. Tilsvarende vil innhenting av opplysninger om kundeforholdets formål og tilsiktede art kunne ha betydning for den risikovurdering som den rapporteringspliktige skal foreta ved utføring av øvrige kundekontrolltiltak. Departementet er følgelig enig med utvalget i at kundekontrolltiltak skal foretas før etablering av kundeforhold eller utføring av transaksjon. På denne bakgrunn slutter departementet seg til utvalgets forslag til bestemmelse om at det lovfestes en hovedregel om at samtlige kundekontrolltiltak i lovforslaget § 7 skal gjennomføres før etablering av kundeforhold eller utføring av transaksjon.

Departementet er enig med Den Norske Advokatforening i at unntakene i direktivet artikkel 9 nr. 2 til 4 bør reguleres i hvitvaskingsloven, og ikke i hvitvaskingsforskriften. Departementet deler Advokatforeningens vurdering om at reglene ikke har en utpreget teknisk karakter, et forhold som ellers kunne tilsi forskriftsregulering. Departementet legger til grunn at en samlet regulering i hvitvaskingsloven vil lette tilgjengeligheten. Som Advokatforeningen foreslår, anser departementet at det er hensiktsmessig at tidspunktet for kundekontrollen reguleres i en særskilt bestemmelse. Følgelig foreslår departementet at tidspunkt for kundekontrollen reguleres i ny hvitvaskingslov § 9.

Departementet deler utvalgets vurdering av at norsk hvitvaskingsregelverk bør inneholde unntakene som er omhandlet i direktivet artikkel 9 nr. 2 til 4. Departementet anser at disse tilfellene vil kunne ha praktisk betydning for rapporteringspliktige og for kundene.

I forskriftsutkastet § 7 nr. 1 har utvalget foreslått gjennomføring av direktivet artikkel 9 nr. 2. Det foreslås at bekreftelse av identiteten til kunden og reelle rettighetshavere skal kunne foretas « etter etablering av kundeforhold...». Direktivet artikkel 9 nr. 2 åpner imidlertid for at medlemsstatene kan bestemme at bekreftelse av identiteten til kunder og reelle rettighetshavere skal kunne foretas « during the establishment of a business relationship...». Departementet legger til grunn at bestemmelsen naturlig må forstås slik at bekreftelsen kan foretas under etableringen (og ikke før etableringen, jf. hovedregelen i artikkel 9 nr. 1). I denne sammenheng viser departementet til direktivet artikkel 9 nr. 3, hvor bekreftelse av identiteten til den begunstigede etter en livsforsikingspolise kan utsettes til « after the business relationship has been established». På denne bakgrunn foreslår departementet at unntaksadgangen benyttes ved at bekreftelse av identiteten til kunder og reelle rettighetshavere skal kunne foretas under etablering av kundeforhold, dersom etableringen av kundeforholdet er nødvendig for ikke å hindre den alminnelige forretningsdrift og det er liten risiko for transaksjoner med tilknytning til straffbare handlinger eller forhold som rammes av straffeloven §§ 147 a, 147 b eller 147 c. I slike situasjoner skal bekreftelse av identiteten til vedkommende foretas snarest mulig. Det vises til lovforslaget § 9 annet ledd nr. 1.

Departementet foreslår at bekreftelse av identiteten til den begunstigede etter en livsforsikringspolise kan foretas etter tegning av polisen, forutsatt at bekreftelse av identiteten foretas før utbetalingstidspunktet eller det tidspunkt den begunstigede utøver sine rettigheter etter polisen. Departementet viser til lovforslaget § 9 annet ledd nr. 2.

Det foreslås en bestemmelse om at bekreftelse av identiteten til kunden og reelle rettighetshavere kan foretas etter åpning av bankkonto, forutsatt at det finnes foranstaltninger som sikrer at transaksjoner knyttet til kontoen ikke kan utføres av kunden eller på dennes vegne før bekreftelse av identiteten er foretatt, jf. forslaget til § 9 annet ledd nr. 3.

4.6 Følger av at kundekontroll ikke kan gjennomføres

4.6.1 EØS-rett

Etter artikkel 9 nr. 5 første ledd skal en institusjon eller person som ikke er i stand til å foreta kundekontroll «not carry out a transaction through a bank account, establish a business relationship or carry out the transaction, or shall terminate the business relationship». Videre skal vedkommende overveie å underrette om kunden til den finansielle etterretningsenheten. Bestemmelsen tilsvarer FATF-anbefaling 5 sjette ledd, og er ny i forhold til de tidligere direktiver.

Etter artikkel 9 nr. 5 annet ledd kan medlemsstatene gjøre unntak for situasjoner der notarer, andre uavhengige jurister, revisorer, eksterne regnskapsførere og skatterådgivere er i ferd med å bringe på det rene klientens rettslige stilling, eller med å forsvare eller representere klienten under eller i forbindelse med en rettergang, herunder rådgivning om å innlede eller unngå slik rettergang. FATF-anbefaling 5 inneholder ikke et tilsvarende unntak.

4.6.2 Norsk rett

Etter hvitvaskingsforskriften § 9 første punktum skal rapporteringspliktige nekte å etablere kundeforhold eller gjennomføre transaksjon ved manglende eller mangelfull legitimasjon. Det foreligger ikke plikt til å avvikle eksisterende kundeforhold.

4.6.3 Utvalgets forslag

Utvalget foreslår at det lovfestes en plikt til å ikke etablere kundeforhold eller utføre transaksjoner dersom kundekontroll ikke kan gjennomføres, jf. utvalgets lovforslag § 9.

Utvalget stiller spørsmål ved om ordlyden i direktivet artikkel 9 nr. 5 første ledd, tilsier at avvikling av kundeforhold er en alternativ reaksjon til å nekte å etablere kundeforhold eller utføre transaksjon. Utvalget konkluderer med at en slik tolkning gir lite mening, ettersom avvikling kun vil være anvendelig som reaksjon ved allerede etablerte kundeforhold.

Utvalget anser det som uheldig at plikten til å avvikle allerede etablerte kundeforhold vil gripe inn i kontraktsforholdene mellom rapporteringspliktige og deres kunder, og medføre såkalt uegentlig tilbakevirkning. Utvalget har på denne bakgrunn foreslått at plikt til avvikling kun skal gjelde for kundeforhold som er etablert etter den nye lovens ikrafttredelse, jf utvalgets lovforslag § 33 annet ledd. Rapporteringspliktige vil således ha anledning til å sørge for kontraktsmessig adgang til oppsigelse av nye avtaler om løpende forpliktelser, for det tilfelle at det inntrer plikt til avvikling av kundeforhold. Utvalget har påpekt at kontraktsmessig adgang til oppsigelse på bakgrunn av risikovurdering, vil kunne medføre unødvendige tvister og fare for misbruk. På bakgrunn av dette foreslår utvalget at plikt til avvikling begrenses til de tilfeller hvor en fortsettelse av kundeforhold medfører risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147a eller 147b.

Utvalget foreslår at direktivets bestemmelse om unntak fra plikten til å avvise kunder inntas i hvitvaskingsloven for så vidt gjelder advokater og andre som ervervsmessig eller stadig yter selvstendig juridisk bistand, der disse er i ferd med å fastslå en klients rettsstilling eller representerer klienten i forbindelse med rettergang.

Utvalget anser at plikten til å overveie å underrette om kunden til den finansielle etterretningsenheten, ikke har selvstendig betydning ved siden av den alminnelige rapporteringsplikt ved mistenkelige transaksjoner. Utvalget foreslår derfor ikke at det inntas en slik særskilt plikt.

4.6.4 Høringsinstansenes merknader

Den Norske Advokatforening og Næringslivets Hovedorganisasjon stiller spørsmål ved om det etter direktivet er et krav om avvikling av kundeforhold dersom kundekontroll ikke kan gjennomføres. Næringslivets Hovedorganisasjon ber departementet vurdere om avvikling av etablerte kundeforhold kan begrenses til «fremtidige transaksjoner eller lignende».

Advokatforeningen anser at utvalgets forslag til § 9 første ledd om at rapporteringspliktige skal unngå å etablere kundeforhold eller utføre en transaksjon og at etablerte kundeforhold skal avvikles, er mer inngripende enn kravet etter direktivet. I denne forbindelse uttaler Advokatforeningen:

«I direktivets art. 9 (5), om følgene av at kundekontroll ikke kan gjennomføres, uttrykkes intet påbud om ikke-etablering, påbud om avvikling etc., jf. ordet "may". Både i dansk og svensk rett er artikkelens ordlyd tolket dit hen at det ikke stilles et generelt krav om avvikling av kundeforhold der kundekontroll ikke kan gjennomføres. Dette er et mindre inngripende tiltak enn den norske lovteksten gir anvisning på.

Advokatforeningen tolker hvitvaskingsdirektivets art. 9 nr. 5 dit hen at avslutning av kundeforhold i disse tilfellene er en alternativ reaksjon i forhold til forbudet om å gjennomføre transaksjonen. Ved et forbud mot å gjennomføre en transaksjon vil muligheten for hvitvasking gjennom denne kanalen falle bort, og en avslutting av kundeforholdet fremstår som et noe forfeilet tiltak i forhold til hva som søkes oppnådd.

Etter Advokatforeningens mening er ikke avslutning av kundeforholdet et godt virkemiddel for å fremme lovens formål, og følgelig burde ikke dette inntas i ny hvitvaskingslov. Det vises i denne sammenheng til dansk og svensk rett, som legger en tilsvarende forståelse av hvitvaskingsdirektivet til grunn.

På denne bakgrunn foreslår Advokatforeningen at forslaget til ny lovs § 9, første ledd endres og at uttrykket «bør» inntas, slik at bestemmelsen i større grad er i overensstemmelse med direktivets ordlyd».

Næringslivets Hovedorganisasjon anser at det er behov for å presisere hva som menes med at kundekontrollen «ikke kan gjennomføres», og viser til at «det må være klart at det siktes til forhold på kundens side og at ikke mindre hindringer skal føre til avvikling», og at «den rapporteringspliktige må i alle fall ikke kunne ha anledning til å avvikle kundeforholdet før den manglende kundekontrollen anses straffbar».

Finansnæringens Hovedorganisasjon/Sparebankforeningen anser at direktivet artikkel 9 nr. 5 (om at den rapporteringspliktige skal overveie å innrapportere mislykkede forsøk på identifisering av kunder, reelle eiere eller forretningsforbindelsenes formål) ikke har kommet til uttrykk i utvalgets forslag til lov og forskrift. Foreningene ber departementet vurdere om rapporteringspliktige bør gis uttrykkelig rett til å rapportere mislykkede kundekontroller til Økokrim selv om rapporten ikke knyttes til en konkret transaksjon. Foreningene mener det bør presiseres at slik rapportering ikke vil innebære brudd på taushetsplikten.

Den Norske Advokatforening støtter utvalgets forslag om at advokater ikke plikter å fratre dersom kundekontroll ikke kan gjennomføres, jf. utvalgets forslag § 9 annet ledd.

4.6.5 Departementets vurdering

Departementet slutter seg til utvalgets forslag om at det lovfestes en plikt til å ikke etablere kundeforhold eller utføre transaksjoner dersom kundekontroll ikke kan gjennomføres, jf. lovforslag § 10.

Som utvalgets forslag og høringsinstansenes merknader viser, kan det reises flere spørsmål rundt det nærmere innholdet av direktivet artikkel 9 nr. 5.

Den Norske Advokatforening anser at bestemmelsen ikke innebærer påbud om avvikling av kundeforhold mv. Departementet deler ikke denne vurderingen. Etter artikkel 9 nr. 5 skal medlemsstatene kreve, i tilfeller der kundekontroll ikke kan gjennomføres, at institusjoner og personer « may not carry out a transaction [...]», og « shall terminate the business relationship [...]». Departementet anser at bestemmelsen innebærer et forbud mot å utføre transaksjoner og et påbud om å avvikle et etablert kundeforhold i tilfeller der kundekontroll ikke kan gjennomføres.

Som utvalget har påpekt, er det ikke klart om kravet om avvikling i direktivet artikkel 9 nr. 5 er en alternativ reaksjon til å nekte å etablere kundeforhold eller utføre transaksjonen. Departementet slutter seg her til utvalgets konklusjon. Det gir lite mening å tolke de to reaksjonene som alternative ettersom avvikling kun vil være anvendelig som reaksjon ved allerede etablerte kundeforhold. Departementet viser til lovforslaget § 10 første ledd.

Departementet er enig med utvalget i at det vil være uheldig at plikten til å avvikle allerede etablerte kundeforhold griper inn i kontraktsforholdene mellom rapporteringspliktige og deres kunder, og medfører såkalt uegentlig tilbakevirkning. Departementet slutter seg til utvalgets forslag til bestemmelse om at plikt til avvikling kun skal gjelde for kundeforhold som er etablert etter den nye lovens ikrafttredelse, jf. lovforslaget § 34 annet ledd.

Departementet anser, i likhet med utvalget, at kontraktsmessig adgang til oppsigelse på bakgrunn av risikovurdering, vil kunne medføre unødvendige tvister og fare for misbruk. På bakgrunn av dette foreslår departementet at plikt til avvikling begrenses til de tilfeller hvor en fortsettelse av kundeforhold medfører risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147 a,147 b eller 147 c.

Departementet er enig med utvalget i at direktivets bestemmelse om unntak fra plikten til å avvise kunder inntas i hvitvaskingsloven for så vidt gjelder advokater og andre som ervervsmessig eller stadig yter selvstendig juridisk bistand, der disse er i ferd med å fastslå en klients rettsstilling eller representerer klienten i forbindelse med rettergang. Dette støttes også i høringen. Det vises til lovforslaget § 10 annet ledd.

Næringslivets Hovedorganisasjon ønsker en presisering av hva som menes med at kundekontrollen «ikke kan gjennomføres». Hvilke tiltak som skal inngå i kundekontrollen er regulert i lovforslaget § 7 første ledd nr. 1 til 4. Dersom et eller flere av disse tiltakene ikke kan gjennomføres kan den rapporteringspliktige ikke etablere kundeforhold eller utføre transaksjoner. For eksempel vil det for en bank ikke være adgang til å opprette bankkonto for en person som ikke kan fremvise gyldig legitimasjon slik at banken kan bekrefte vedkommendes identitet.

Departementet er enig med utvalget i at plikten til å overveie å underrette om kunden til den finansielle etterretningsenheten, jf. direktivet artikkel 9 nr. 5 første ledd, ikke har selvstendig betydning ved siden av den alminnelige rapporteringsplikt ved mistenkelige transaksjoner. Departementet foreslår på denne bakgrunn ikke at det inntas en særskilt plikt til underretning i lovforslaget § 10.

4.7 Kundekontroll utført av tredjepart

4.7.1 EØS-rett

Etter tredje hvitvaskingsdirektiv artikkel 14, kan medlemsstatene tillate de institusjoner og personer som omfattes av direktivet å legge til grunn kundekontroll utført av tredjeparter. Ansvaret for tilstrekkelig gjennomføring skal imidlertid påhvile institusjonen eller personen selv.

Artikkel 16 nr. 1 definerer begrepet «tredjeparter» på følgende måte:

«For the purposes of this Section, «third parties» shall mean institutions and persons who are listed in Article 2, or equivalent institutions and persons situated in a third country, who meet the following requirements:

1. they are subject to mandatory professional registration, recognised by law;

2. they apply customer due diligence requirements and record keeping requirements as laid down or equivalent to those laid down in this Directive and their compliance with the requirements of this Directive is supervised in accordance with Section 2 of Chapter V, or they are situated in a third country which imposes equivalent requirements to those laid down in this Directive.»

Artikkel 2 angir de typer institusjoner og personer som omfattes av direktivet. Ut fra en naturlig språklig forståelse antar utvalget at vilkårene i artikkel 16 nr. 1 (a) og (b) - herunder vilkåret om lovmessig registreringsplikt - får anvendelse både for denne gruppen og tilsvarende institusjoner og personer fra tredjestater. Departementet slutter seg til denne forståelsen.

Gjennomføring av direktivets regler om kundekontroll utført av tredjepart er valgfri for medlemsstatene, og medlemsstatene kan velge å benytte et snevrere tredjepartsbegrep i intern rett enn det som følger av artikkel 16 nr. 1. For det tilfelle at regelverket gjennomføres med et snevrere tredjepartsbegrep, gir artikkel 15 regler om ikke-diskriminering av utenlandske institusjoner og personer. Etter artikkel 15 nr. 1 skal en medlemsstat som tillater innenlandske «credit or financial institutions» som tredjeparter, også tillate at slike institusjoner i andre medlemsstater opptrer som tredjeparter, med unntak av valutavekslingskontorer og betalingsformidlingskontorer. Herunder skal det aksepteres at kundekontroll utført av utenlandske tredjeparter gjennomføres på grunnlag av andre dokumenter eller opplysninger enn det som kreves etter intern rett. Artikkel 15 nr. 2 og 3 gir tilsvarende regler for de tilfeller at en medlemsstat tillater innenlandske valutavekslingskontorer og betalingsformidlingskontorer og/eller innenlandske institusjoner og personer som nevnt i direktivet artikkel 2 nr. 1 (3) (a) til (c), å opptre som tredjeparter. Den sistnevnte gruppen omfatter revisorer, eksterne regnskapsførere, skatterådgivere, notarer og andre uavhengige jurister og andre ervervsmessige tilbydere av tjenester som omtalt under punkt 3.5.5.

Dersom Kommisjonen treffer vedtak i henhold til artikkel 40 nr. 4 om at en tredjestat ikke oppfyller vilkår i direktivet, skal medlemsstatene etter artikkel 17 forby institusjoner og personer som omfattes av direktivet å legge til grunn kundekontroll utført av tredjepart fra den aktuelle tredjestat.

Artikkel 18 regulerer tredjepartens opplysningsplikt overfor den institusjon eller person som kunden henvises til. Etter artikkel 18 nr. 1 skal tredjeparten umiddelbart stille til rådighet opplysninger som det bes om for gjennomføring av kundekontrollen. Etter artikkel 18 nr. 2 skal tredjeparten på anmodning umiddelbart oversende relevante kopier av identifikasjonsopplysninger og annen relevant dokumentasjon angående identiteten til kunden eller reelle rettighetshavere.

Direktivets regler om kundekontroll utført av tredjepart dekker FATF-anbefaling 9, og er nye i forhold til første og annet hvitvaskingsdirektiv.

4.7.2 Norsk rett

Etter hvitvaskingsforskriften § 8 tredje ledd kan en rapporteringspliktig som er filial av utenlandsk institusjon, ved etablering av kundeforhold, legge til grunn en bekreftelse fra institusjonens hovedkontor om at det er gjennomført identitetskontroll av kundens rette identitet.

Rapporteringspliktige kan etter hvitvaskingsforskriften § 8 annet ledd inngå avtale med annen rapporteringspliktig etter hvitvaskingsloven § 4 første og annet ledd om å utføre legitimasjonskontroll for den rapporteringspliktige. Bestemmelsen retter seg mot utkontraktering, som behandles nærmere under punkt 4.8.

4.7.3 Utvalgets forslag

Utvalget antar at det i en rekke tilfeller vil være vesentlig ressursbesparende om rapporteringspliktige kan legge til grunn kundekontroll utført av andre rapporteringspliktige, og foreslår at det gis adgang for rapporteringspliktige til å legge til grunn kundekontroll foretatt av nærmere angitte rapporteringspliktige.

Med hensyn til utforming av en bestemmelse om kundekontroll utført av andre, har utvalget delt seg i et flertall og et mindretall.

Flertallet foreslår at det gis adgang for rapporteringspliktige til å legge til grunn kundekontroll foretatt av nærmere angitte rapporteringspliktige, nærmere bestemt finansinstitusjoner, verdipapirforetak, forvaltningsselskaper for verdipapirfond, forsikringsselskaper, verdipapirregistre og forsikringsmeglingsforetak, statsautoriserte og registrerte revisorer, autoriserte regnskapsførere og eiendomsmeglere. Slik kundekontroll ved andre rapporteringspliktige gjør ikke unntak fra den rapporteringspliktiges registreringsplikt og oppbevaringsplikt. Etter flertallets forslag vil ansvaret for gjennomføring av kundekontroll i samsvar med lovgivningen påhvile den rapporteringspliktige selv.

Utvalgets flertall legger til grunn at lovmessig konsesjonsplikt vil oppfylle direktivets vilkår om lovmessig registreringsplikt i artikkel 16, som får anvendelse både for institusjoner og personer som angitt i artikkel 2, og tilsvarende institusjoner og personer fra tredjestater.

På bakgrunn av reglene om ikke-diskriminering i direktivet, foreslår utvalgets flertall å åpne for at det kan legges til grunn kundekontroll foretatt av tilsvarende utenlandske institusjoner og personer som de norske. I samsvar med direktivet foreslås det krav om at slike utenlandske «rapporteringspliktige» skal være etablert i EØS-stat eller annen stat som har tilsvarende regler om kundekontroll som EØS-stat.

Utvalgets flertall legger til grunn at EØS-regler om krav om konsesjon også vil gjelde tilsvarende for finansinstitusjoner og verdipapirforetak etablert utenfor EØS-området. I den grad det ikke skulle gjelde slike regler, legger utvalgets flertall til grunn at det vil være i strid med den rapporteringspliktiges aktsomhet å legge til grunn kundekontroll utført av en slik institusjon. For utenlandske rapporteringspliktige som ikke nødvendigvis er underlagt tilsvarende registrerings- eller konsesjonsordninger som følger av norsk rett, foreslås det i samsvar med direktivet et krav om at de er omfattet av lovfastsatte krav til registrering eller konsesjon i hjemlandet. Dette tilleggskravet vil gjelde verdipapirregistre, revisorer, regnskapsførere, eiendomsmeglere og advokater. I samsvar med direktivets artikkel 16, jf. artikkel 3, foreslås et unntak for utenlandske forsikringsagenter. Oppregningen omfatter ikke alt det direktivet åpner adgang for. Ettersom listen over hvilke andre norske og utenlandske rapporteringspliktiges kontroller den rapporteringspliktige kan legge til grunn er den samme, anser utvalget det ikke som diskriminerende i direktivets forstand at aktuelle «perifere» utenlandske rapporteringspliktige ikke omfattes av bestemmelsen.

For rapporteringspliktige som ikke er etablert i Norge, foreslår utvalget at det i slike tilfeller gjøres unntak fra kravet om at bekreftelse av identiteten til kunden skal være foretatt på grunnlag av gyldig legitimasjon. Det vises til at dette ikke innebærer et unntak fra plikten til forsvarlig kundekontroll på grunnlag av en risikobasert tilnærming, og den rapporteringspliktige vil måtte foreta en vurdering av om bekreftelsen av identitet er tilstrekkelig for å oppfylle denne plikten.

For at rapporteringspliktige skal kunne oppfylle lovens krav til registrering, oppbevaring og dokumentasjon, åpner utvalget for at andre rapporteringspliktige (tredjeparter) kan utlevere de opplysninger og dokumenter som er nødvendige for at den rapporteringspliktige skal kunne oppfylle sine plikter til registrering, oppbevaring og dokumentasjon. Utvalget foreslår på denne bakgrunn et uttrykkelig unntak fra lovmessig taushetsplikt og personopplysningsloven ved slik utlevering. Unntaksregelen foreslås gitt anvendelse i tilknytning til kundekontroll utført av andre, og utlevering vil således skje etter initiativ fra den rapporteringspliktige for konkret bruk ved kundekontroll. I utgangspunktet omfatter forslaget til unntaksregel alle opplysninger og dokumenter som er nødvendige for en forsvarlig risikovurdering av den konkrete kunde eller transaksjon. Opplysninger om undersøkelser og rapportering ved mistenkelige transaksjoner eller iverksatt etterforskning omfattes likevel ikke. Utvalget legger til grunn at utenlandske rapporteringspliktige må forholde seg til utenlandske regler om taushetsplikt.

Utvalget foreslår ikke noen tilsvarende unntaksregel i forbindelse med plikten til løpende oppfølging. Utvalget anser at adgang til slik informasjonsutveksling, som ikke er knyttet til konkret forespørsel om opplysninger til bruk i en konkret kundekontroll, har en mer direkte side mot personvernlovgivningen enn den foreslåtte unntaksregelen.

Utvalget anser det overflødig med en særskilt regel om at filialer av utenlandske foretak kan legge til grunn bekreftelse fra hovedkontoret om at det er gjennomført kundekontroll. Hvitvaskingsforskriften § 8 tredje ledd foreslås ikke videreført.

For gjennomføring av eventuelle vedtak Kommisjonen treffer i henhold til direktivet artikkel 17, foreslår utvalgets flertall en hjemmel til i forskrift å fastsette unntak fra adgangen til å legge til grunn kundekontroll utført av tredjeparter.

Mindretallet i utvalget er enig med flertallet i at det bør åpnes for at rapporteringspliktige legger til grunn kundekontroll utført av tredjeparter, men foreslår at lovens bestemmelse formuleres noe annerledes.

Mindretallet foreslår at det i forslaget til lovbestemmelse bør foretas et terminologisk skille mellom begrepene «rapporteringspliktige» og «tredjeparter». Begrepet «rapporteringspliktige» er definert i lovforslaget § 2 nr. 1, og bør ikke benyttes med et avvikende meningsinnhold i reglene om kundekontroll ved tredjeparter. Et begrepsskille vil også være egnet til å klargjøre at ansvaret for lovmessig gjennomføring av kundekontroll ikke overføres til tredjeparten, noe som mindretallet mener ikke fremgår klart av flertallets forslag.

Mindretallet viser til at flertallets forslag til regler om kundekontroll ved tredjeparter gir meget vid adgang til å benytte ulike typer (norske) rapporteringspliktige som tredjeparter. Etter artikkel 15 er det på denne bakgrunn nødvendig at tredjepartsbegrepet omfatter samtlige juridiske og fysiske personer omtalt i artikkel 2 nr. 1 (1), (2) og (3) (a) til (c), og tilsvarende personer fra stater utenfor EØS, såfremt disse er underlagt lovmessig registreringsplikt, og regler om kundekontroll, oppbevaring og tilsyn som tilsvarer reglene i direktivet. Etter mindretallets oppfatning er flertallets forslag til § 10 første ledd nr. 2 ikke dekkende. Eksempelvis vil «trust and company service providers», «notaries and other independent legal professionals» og «tax advisors» falle utenfor, selv om de tilfredsstiller de nevnte vilkår. Etter mindretallets syn er det også vanskelig å overskue hvilke typer utenlandske foretak som omfattes av direktivets definisjon av «financial institution», jf. artikkel 3 (2), på bakgrunn av den generelle henvisningen til virksomheter angitt i vedlegg I til direktiv 2000/12/EF (det konsoliderte bankdirektiv). Mindretallet anser det på denne bakgrunn nødvendig å innta en henvisning til direktivet ved definisjonen av begrepet «tredjeparter».

Mindretallet viser videre til at flertallets forslag til § 10 første ledd åpner for at norske forsikringsagenter kan benyttes som tredjeparter. Etter mindretallets vurdering er dette i strid med direktivet artikkel 16, jf. artikkel 3 (2) (e), som unntar såkalte «tied insurance intermediaries».

Mindretallet er uenig i flertallets uttalelse om at finansinstitusjoner, verdipapirforetak mv. som er etablert utenfor EØS-området vil være underlagt tilsvarende krav til konsesjon eller registrering som etter EØS-regelverket. Et krav om registreringsplikt bør etter mindretallets oppfatning fremgå uttrykkelig av loven, også for slike institusjoner.

Utvalget viser til at utvalget under drøftelsen har vært samstemt om at unntaksregelen fra lovmessig taushetsplikt og personopplysningsloven skal gjelde for utlevering som er nødvendig for å oppfylle en slik dokumentasjonsplikt. Mindretallet mener imidlertid at det ikke er tatt høyde for slik utlevering i flertallets forslag til § 10 tredje ledd.

Etter mindretallets syn bør det i loven uttrykkelig fremheves, i samsvar med utvalgets drøftelse, at unntaksregelen om tredjeparters utlevering av opplysninger ikke medfører unntak fra forbudet mot å avsløre undersøkelser, rapportering eller etterforskning etter utvalgets lovforslag § 20.

4.7.4 Høringsinstansenes merknader

Den Norske Advokatforening, Buypass, Finansnæringens Hovedorganisasjon/Sparebankforeningen, Handels- og Servicenæringens Hovedorganisasjon og Næringslivets Hovedorganisasjon er positive til at det åpnes for at rapporteringspliktige kan legge til grunn kundekontroll utført av andre rapporteringspliktige.

Finansnæringens Hovedorganisasjon/Sparebankforeningen slutter seg til flertallets forslag til utforming av bestemmelsen. Advokatforeningen er derimot enig med mindretallet.

Handels- og Servicenæringens Hovedorganisasjon og Næringslivets hovedorganisasjon gir uttrykk for at adgangen til å legge til grunn kundekontroll utført av tredjeparter bør gjøres så vid som mulig innenfor direktivet.

Buypass argumenterer for at tredjeparter som kan utføre kundekontroll også bør omfatte e-pengeforetak.

4.7.5 Departementets vurdering

Departementet støtter utvalgets forslag om at det åpnes for at rapporteringspliktige kan legge til grunn kundekontroll utført av nærmere angitte tredjeparter slik tredje hvitvaskingsdirektiv artikkel 14 åpner for. Det legges vekt på at dette i en rekke tilfeller vil være vesentlig ressursbesparende. Et eksempel er situasjoner der en kunde har kundeforhold med et selskap i et finanskonsern, og senere ønsker å opprette kundeforhold med et annet selskap i konsernet. Et annet eksempel er situasjoner hvor et utenlandsk selskap ønsker å foreta oppkjøp i Norge, og engasjerer et norsk revisjonsselskap tilknyttet et internasjonalt revisjonsnettverk for gjennomføring av finansiell due diligence. Det norske revisjonsselskapet vil da naturlig kontakte revisjonsnettverkets kontor i kundens hjemstat for bistand med gjennomføring av kundekontroll. Reglene om kundekontroll utført av tredjepart vil også kunne gi effektivitetsgevinster av den typen Finansnæringens Hovedorganisasjon og Sparebankforeningen peker på i sin felles høringsuttalelse selv om det ikke åpnes for å fritt spre informasjon om risikoklassifisering av kunder innad i et konsern, se punkt 4.2.5.

Direktivet åpner for at alle rapporteringspliktige, som definert i artikkel 2, kan fungere som tredjepersoner, jf. artikkel 16. Departementet er enig med utvalget i at kretsen som kan fungere som tredjeparter bør begrenses noe i forhold til kretsen av rapporteringspliktige.

Utvalgets flertall og mindretall er uenige om den lovtekniske løsningen for bestemmelsen, men er i hovedsak enige om hvem som kan fungere som tredjeparter. Departementet mener, som mindretallet, at det er hensiktsmessig å i begrepsbruken skille mellom den «rapporteringspliktige» og den tredjeperson som kan utføre kundekontroll. Departementet mener at det her er hensiktsmessig å bruke begrepet «tredjeparter». For å øke lovbestemmelsens tilgjengelighet mener departementet, i motsetning til utvalget, at det er hensiktsmessig å liste opp de rapporteringspliktige som kan være tredjeparter fremfor å henvise til opplisting i lovforslaget § 4.

Med hensyn til hvem som kan være tredjeparter er i hovedsak flertallet og mindretallet i utvalget enige. Utvalgets mindretall påpeker imidlertid at flertallets forslag åpner for at norske forsikringsagenter kan benyttes som tredjeparter, og mener dette er i strid med direktivet artikkel 16, jf. artikkel 3 (2) (e), som unntar såkalte «tied insurance intermediaries». Flertallet har tatt inn et unntak for utenlandske forsikringsagenter, og mener dette er i samsvar med direktivet artikkel 16, jf. artikkel 3. Departementet slutter seg til flertallet. Det vises her til punkt 3.5.4, hvor departementet slutter seg til utvalgets forslag om at forsikringsagenter skal omfattes av hvitvaskingsloven. Utvalget har her lagt til grunn at det ikke vil være i samsvar med tredje hvitvaskingsdirektiv om forsikringsagenter i alminnelighet unntas fra hvitvaskingsregelverket, og utvalget er samlet om denne tolkningen. Forsikringsagent som formidler forsikringsprodukter for forsikringsselskap som ikke er etablert i Norge vil under enhver omstendighet ikke omfattes av hvitvaskingsloven, jf. lovutkastet § 3 som svarer til gjeldende hvitvaskingslov § 3. På bakgrunn av direktivets ordlyd anser utvalget det som naturlig at pliktsubjekt etter hvitvaskingsloven er forsikringsformidlingsforetaket som sådan, og ikke de enkelte forsikringsmeglere og forsikringsagenter. Utvalget foreslår at hvitvaskingsloven skal omfatte «foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling». Departementet er på bakgrunn av dette enig med utvalgets flertall i at foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling skal omfattes av kretsen av nærmere angitte tredjeparter som kan utføre kundekontroll.

Departementet slutter seg for øvrig til utvalgets forslag til hvem som skal kunne fungere som tredjepersoner, jf. lovforslaget § 11 første ledd.

Departementet slutter seg også til utvalgets forslag til bestemmelse om at departementet i forskrift kan fastsette unntak fra adgangen til å legge til grunn kundekontroll utført av tredjeparter, jf. lovforslaget § 11 femte ledd.

Buypass påpeker at utvalget har valgt å legge seg på en mer restriktiv linje enn direktivet da e-pengeforetak ikke er omfattet av kretsen som kan fungere som tredjepersoner. Direktivets regler om kundekontroll utført av tredjepart er valgfri for medlemsstatene. Departementet mener at kretsen av aktuelle tredjeparter bør begrenses og anser at e-pengeforetak ikke er tilstrekkelig egnet til å foreta kundekontroll til bruk også for andre rapporteringspliktige. Departementet foreslår i likhet med utvalget ikke at e-pengeforetak kan fungere som «tredjeperson».

Direktivet inneholder i artikkel 15 bestemmelser som skal sikre ikke-diskriminering av andre stater dersom medlemsstatene velger å åpne for at rapporteringspliktige kan legge til grunn kundekontroll utført av tredjeparter. Også på dette punkt har utvalget delt seg i et flertall og et mindretall hva gjelder utforming av bestemmelsen. Departementet støtter ingen av løsningene fullt ut. Som flertallet mener departementet at det er tilstrekkelig ut fra direktivet artikkel 15 å vise til at tilsvarende utenlandske juridiske og fysiske personer som etter norsk rett kan fungere som tredjeparter, skal aksepteres som tredjeparter etter norsk rett. Det gjøres unntak for utenlandske forsikringsagenter i tråd med direktivet artikkel 16, jf. artikkel 3. Departementet er ikke enig med mindretallets forståelse av direktivet artikkel 15. Departementet er enig med mindretallet i at et krav om registreringsplikt bør fremgå uttrykkelig av loven for alle utenlandske juridiske og fysiske personer som aksepteres som tredjepersoner. Det vises til lovforslaget § 11 første ledd bokstav k).

Direktivet artikkel 14 presiserer at den rapporteringspliktige er ansvarlig for tilstrekkelig gjennomføring av de plikter som følger av direktivet artikkel 8 nr. 1 bokstav a) til c) selv om den rapporteringspliktige velger å sette bort dette til en tredjeperson. Utvalget er uenige om den tekniske utformingen av slik bestemmelse i lovforslaget. Departementet slutter seg til utvalgets forslag til bestemmelsens innhold, men har valgt en annen lovteknisk løsning enn utvalget. Det vises til lovforslaget § 11 annet ledd.

Departementet slutter seg til utvalget når det gjelder bestemmelse om at rapporteringspliktige kan legge til grunn kundekontroll foretatt av andre juridiske og fysiske personer som ikke er etablert i Norge, selv om bekreftelse av kundens identitet, jf. § 7 første ledd nr. 2, er foretatt på annet grunnlag enn gyldig legitimasjon. Dette er en direkte gjennomføring av direktivets forpliktelser. Departementet viser til lovforslaget § 11 tredje ledd.

Den rapporteringspliktige har etter lovforslaget § 5 annet ledd, jf. direktivet artikkel 8 nr. 2, plikt til å kunne påvise at utførte tiltak ved kundekontroll er tilpasset aktuell risiko. Denne plikten vil påligge den rapporteringspliktige selv om kundekontroll er utført av tredjepart. Direktivet inneholder i artikkel 18 nr. 1 en bestemmelse om at tredjepart skal stille de opplysninger vedkommende har samlet inn i forbindelse med kundekontrollen til rådighet for den rapporteringspliktige. Videre inneholder direktivet artikkel 18 nr. 2 en bestemmelse om at tredjemann etter anmodning, omgående skal videresende kopier av identifikasjons- og kontrollopplysninger og annen relevant dokumentasjon om kundens eller den reelle rettighetshavers identitet, til den rapporteringspliktige. For at slik utveksling av informasjon skal være mulig foreslår utvalget en særskilt unntaksregel fra lovmessig taushetsplikt og personopplysningsloven i tilknytning til kundekontroll utført av tredjepart, og utvalget har i sin drøftelse vært samstemt om at unntaksregelen skal gjelde for utlevering som er nødvendig for å oppfylle den rapporteringspliktiges plikt.

De pliktene til utlevering av informasjon som fremgår av direktivet artikkel 18 er etter departementets mening ikke tilstrekkelig gjennomført ved utvalgets forslag. Departementet foreslår å ta inn en bestemmelse i § 11 fjerde ledd som gjennomfører direktivet artikkel 18.

For at utlevering av informasjon mellom den rapporteringspliktige og tredjepart skal fungere er det nødvendig med unntak fra lovbestemt taushetsplikt for opplysningene. Departementet kan ikke se at det er nødvendig med unntak fra personopplysningsloven. Hvitvaskingsloven gir adgang til behandling av personopplysninger og det er ikke meningen at denne behandlingen skal kunne skje på en annen måte enn etter personopplysningslovens regler. Personvernhensyn taler mot å gjøre unntak fra hele personopplysningsloven uten at dette er begrunnet særskilt, og departementet slutter seg ikke til utvalgets vurdering på dette punkt. Departementet mener at unntaksregelen kun bør gjelde for unntak fra lovmessig taushetsplikt som er til hinder for den utveksling av opplysninger som kundekontroll utført av tredjepart nødvendiggjør. Departementet mener det også bør være et vilkår at kunden informeres om slik utlevering. Det er et viktig personvernprinsipp at personer skal ha oversikt over hvor opplysninger om en selv befinner seg. Departementet er enig med flertallet i at det er unødvendig at det i lovteksten uttrykkelig fremgår at unntaksregelen om tredjeparters utleveringer ikke medfører unntak fra forbudet mot å avsløre undersøkelser, rapportering eller etterforskning etter lovforslaget § 21 da departementet mener at dette uansett fremgår av lovteksten. Det vises til lovforslaget § 11 fjerde ledd.

Departementet viser til lovforslaget § 11.

4.8 Utkontraktering av gjennomføring av kundekontroll

4.8.1 EØS-rett

Som beskrevet under punkt 4.7.1 har tredje hvitvaskingsdirektiv omfattende regler om kundekontroll foretatt av såkalte tredjeparter. Etter artikkel 19 skal dette regelverket ikke gjelde for «outsourcing or agency relationships where, on the basis of a contractual agreement, the outsourcing service provider or agent is to be regarded as part of the institution or person covered by this Directive». Medlemsstatene står således i utgangspunktet fritt til å åpne for utkontraktering av gjennomføring av kundekontroll. En tilsvarende betraktning følger av FATFs tolkingsuttalelse («Interpretative Note») til anbefaling 9.

4.8.2 Norsk rett

Etter hvitvaskingsforskriften § 8 annet ledd kan rapporteringspliktige inngå avtale med annen rapporteringspliktig etter hvitvaskingsloven § 4 første og annet ledd om å utføre legitimasjonskontroll for den rapporteringspliktige. Den «primære rapporteringspliktige» har ansvaret for at legitimasjonskontrollen utføres på forsvarlig måte i samsvar med lov og forskrift.

4.8.3 Utvalgets forslag

Utvalget antar at utkontraktering av gjennomføring av kundekontroll vil kunne være hensiktsmessig for enkelte rapporteringspliktige, for eksempel for nettbaserte virksomheter, og i situasjoner der geografiske begrensninger vanskeliggjør gjennomføring av kundekontroll. På denne bakgrunn foreslår utvalget at det i norsk rett åpnes for slik utkontraktering, jf. utvalgets lovforslag § 11. Ansvaret for gjennomføring av kundekontroll i samsvar med lov og forskrift, og at det etableres forsvarlige rutiner og treffes nødvendige tiltak som beskrevet under punkt 7.1, vil påhvile den rapporteringspliktige selv.

Direktivet stiller krav om at oppdragstaker skal kunne regnes som en del av («as part of») den rapporteringspliktige. Utvalget forstår dette som et krav om at utkontrakteringen har et visst omfang og en viss varighet, slik at oppdragstakers virksomhet fremstår som en integrert del av den rapporteringspliktiges virksomhet. Utvalget legger til grunn at utkontraktering regulært vil tilfredsstille et slikt kriterium, og anser det ikke nødvendig å fremheve dette i hvitvaskingsloven.

Direktivet inneholder ingen begrensning i hvem som kan benyttes som oppdragstakere ved utkontraktering, og utvalget anser det hensiktsmessig at det åpnes for at også andre enn rapporteringspliktige kan benyttes som oppdragstakere. På bakgrunn av de utvidede plikter som følger av reglene om kundekontroll, ønsker utvalget ikke å hindre at andre personer enn rapporteringspliktige spesialiserer seg på å tilby gjennomføring av kundekontroll. Hvilke personer som kan benyttes som oppdragstakere vil imidlertid reelt sett være begrenset. Som nevnt påhviler ansvaret for lovmessig gjennomføring av kundekontroll, herunder at det foretas en forsvarlig risikovurdering, den rapporteringspliktige selv. Videre har den rapporteringspliktige ansvar for at det etableres forsvarlige rutiner for å sikre overholdelse av plikter etter hvitvaskingsregelverket. Endelig har den rapporteringspliktige ansvar for at det treffes nødvendige tiltak for å sikre at personer som utfører oppgaver på dennes vegne er kjent med de plikter som påligger denne. Utkontraktering vil forutsette at oppdragstaker har tilstrekkelig kompetanse, ressurser og systemer som oppdraget krever, og at oppdragstakers ansatte (herunder deltidsansatte, vikarer mv.) gjøres kjent med regler og rutiner som gjelder for oppdraget. På bakgrunn av de ovennevnte forhold antar utvalget at rapporteringspliktige vil utvise atskillig forsiktighet med hensyn til hvem som benyttes som oppdragstakere ved utkontraktering. Overtredelser vil kunne medføre straffansvar for den rapporteringspliktige selv.

Med hensyn til registrering av opplysninger og oppbevaring av dokumenter som nevnt i utvalgets lovforslag §§ 8 og 21, legger utvalget til grunn at dette også kan foretas av oppdragstaker på vegne av den rapporteringspliktige. Den rapporteringspliktige må imidlertid sørge for at relevante opplysninger og dokumenter mottas fra oppdragstaker senest ved utkontrakteringsforholdets slutt.

Ved utkontraktering bør den rapporteringspliktige sørge for adgang til å føre løpende kontroll med at oppdraget blir tilfredsstillende utført. Utkontraktering må ikke medføre hindringer mot effektivt tilsyn, og må heller ikke påvirke oppfyllelse av plikter den rapporteringspliktige har overfor kunder, tilsynsorgan eller andre offentlige myndigheter. Avtaler om utkontraktering skal være skriftlige, og det må forventes at de inneholder en klar beskrivelse av hvilke oppgaver som utkontrakteres, regler om taushetsplikt, og hvordan oppdragstaker skal forholde seg med hensyn til overlevering av opplysninger til den rapporteringspliktige.

Utvalgets representant fra Kredittilsynet er enig i behovet for en forholdsvis vid adgang til utkontraktering av initiell kundekontroll, særlig for nettbasert virksomhet. Kredittilsynet stiller imidlertid spørsmål om en slik adgang i praksis vil være mulig å følge opp tilsynsmessig.

4.8.4 Høringsinstansenes merknader

Den Norske Advokatforening, Finansnæringens Hovedorganisasjon/Sparebankforeningen, Fornyings- og administrasjonsdepartementet og Buypass støtter utvalgets forslag til bestemmelse om utkontraktering av gjennomføring av kundekontrollen.

Posten Norge AS mener det er hensiktsmessig at utkontraktering av gjennomføring av kundekontroll reguleres i lov. Videre mener Posten Norge AS at det vil være en fordel med en presisering om at utlevering av personopplysninger i forbindelse med kundekontroll foretatt gjennom utkontraktering, ikke medfører brudd på personopplysningsloven, jf. utvalgets forslag i § 10 til bestemmelse om kundekontroll som utføres av andre rapporteringspliktige.

Næringslivets Hovedorganisasjon er ikke enig med utvalget i at det er et kriterium etter direktivet artikkel 19 at «oppdragstakers virksomhet fremstår som en integrert del av den rapporteringspliktiges virksomhet «Næringslivets Hovedorganisasjon anser at «poenget må være at den rapporteringspliktige gjennom ordningen er sikret like god praktisk tilgang til tjenester som sikrer lovmessig kundekontroll som om kontrollen ble utført av den rapporteringspliktige selv. Hvordan oppdragstakers virksomhet «fremstår», er da underordnet».

Kredittilsynet mener at utvalgets forslag er for vidtgående, og anser at utkontrakteringsadgangen bør begrenses til andre rapporteringspliktige og foretak hvis virksomhet er basert på en konsesjonsordning. Om dette uttaler Kredittilsynet:

«Identitetskontroll under dagens regelverk gjennomføres direkte av det rapporteringspliktige foretaket som etablerer kundeforholdet, eller gjennomfører transaksjonen, eller ved utkontraktering til andre rapporteringspliktige foretak. Posten Norge AS har siden desember 2000 gjennomført et ikke ubetydelig antall legitimasjonskontroller på vegne av rapporteringspliktige foretak ("PUM-tjenesten"). PUM er et distribusjonsprodukt hvor Posten tilbyr fremsending og utlevering av en brevsending til postmottaker personlig, mot forevisning av gyldig legitimasjon. Kopi av mottakers legitimasjon sendes til rapporteringspliktig foretak etter at PUM-sendingen er utlevert. Kontrollen skjer på ca. 300 postkontor og i ca. 1.200 «Post i Butikk». Posten har her inngått avtaler med landsdekkende matvarekjeder. De personene som gjennomfører identitetskontrollen har gjennomgått et særskilt opplæringsprogram, og det er også utarbeidet en særskilt instruks for denne funksjonen. Grunnlaget for Posten Norge AS' virksomhet er konsesjon fra Samferdselsdepartementet. Agenter, forhandlere og uavhengige distributører av rapporteringspliktiges produkter gjennomfører også identitetskontroll på vegne av rapporteringspliktige, se nærmere omtale i Kredittilsynets rundskriv 9/2004 s. 19, 20 og 22.

En utkontraktering av initiell kundekontroll forutsetter etablering av betryggende rutiner, herunder kontroll og rapporteringssystemer og personale som har nødvendig opplæring. Nettbaserte virksomheter vil normalt ha få ansatte og det kan reises spørsmål om slike virksomheter er egnet til selv å etablere, organisere og følge opp landsomfattende utkontrakteringstjenester til landsdekkende butikk- og kioskkjeder.

Selv om rapporteringspliktige har vært underlagt regelverket om identitetskontroll siden 1994 avdekker Kredittilsynets tilsynsvirksomhet fortsatt manglende etterlevelse hos mange foretak, herunder også store foretak og konsern som har drevet virksomhet over lang tid. Oppfølgning av dårlig utført og mangelfull sporbarhet ved identitetskontrollen har vært en viktig målsetning i forbindelse med den intensiverte inspeksjonsvirksomheten, som har funnet sted de 4-5 siste årene, som ledd i å bedre etterlevelsen av hvitvaskingsregelverket. Det er gjennomgående konstatert forbedringsmuligheter. Det er Kredittilsynets oppfatning at utkontrakteringsadgangen bør være begrenset til rapporteringspliktige foretak, eller foretak hvis virksomhet er basert på en konsesjonsordning (Posten Norge AS, eller andre postoperatører med konsesjon). Som det fremgår ovenfor er identitetskontrollen i mange foretak fortsatt beheftet med så store problemer at det etter tilsynets oppfatning ikke vil være forsvarlig med den foreslåtte utvidede utkontrakteringsadgangen. Det nye hvitvaskingsregelverket er teknisk komplisert og stiller både rapporteringspliktige og tilsynsmyndighet overfor betydelige utfordringer. En ubegrenset utkontrakteringsadgang vil kunne skape en uoversiktlig situasjon som det er vanskelig å følge opp i tilsynssammenheng. Kredittilsynet har ikke tilsynsressurser til å følge opp en slik utvidet utkontrakteringsadgang. En utkontraktering til virksomheter (eksempelvis landsdekkende butikk- og kioskkjeder), som ikke er underlagt tilsyn, eller offentlige konsesjonsordninger, vil også være problematisk».

4.8.5 Departementets vurdering

I det tredje hvitvaskingsdirektivet har nasjonale myndigheter et visst spillerom når det gjelder om utkontraktering av kundekontroll skal tillates. Direktivet forutsetter at gjennomføringen av kundekontrollen kan utkontrakteres, såfremt den rapporteringspliktige har ansvaret for at gjennomføringen skjer i samsvar med regelverket, men direktivet fastsetter ikke nærmere regler om utkontraktering.

Flere høringsinstanser har sluttet seg til utvalgets forslag. Kredittilsynet har derimot uttalt at utkontrakteringsadgangen etter utvalgets forslag favner for vidt. Kredittilsynet viser til erfaringer med at identitets- og øvrig kundekontroll fortsatt er beheftet med store problemer og at utkontrakteringsadgangen bør begrenses til rapporteringspliktige foretak og foretak hvis virksomhet er underlagt offentlig konsesjon. Utvalget viser til at den rapporteringspliktige under enhver omstendighet skal ha ansvaret for kundekontrollen. Som etter gjeldende rett skal tilsynet med overholdelsen av regelverket utføres overfor den rapporteringspliktige, og ikke overfor den institusjonen det inngås utkontrakteringsavtale med.

Departementet anser at Kredittilsynets erfaringer fra tilsyn med de rapporteringspliktige bør veie tungt. På bakgrunn av Kredittilsynets opplysninger om mangler ved rutiner rundt identitetskontrollen innenfor rammen av den rapporteringspliktiges virksomhet, er departementet i tvil om en utvidelse av utkontrakteringsadgangen, slik utvalget legger opp til, er forsvarlig. Departementet legger også vekt på at utvalget ikke har foretatt en nærmere kartlegging av om det faktisk vil være et behov for å utvide utkontrakteringsadgangen som foreslått, og slutter seg til de begrensninger i utkontrakteringsadgangen som følger av Kredittilsynets høringsinnspill.

Utkontraktering må ikke medføre hindringer for effektivt tilsyn og må heller ikke påvirke oppfyllelse av plikter den rapporteringspliktige har overfor kunder, tilsynsorgan eller andre offentlige myndigheter. For at de rapporteringspliktige skal oppfylle sine plikter etter hvitvaskingsloven forventes det at avtaler om utkontraktering inneholder en klar beskrivelse av hvilke oppgaver som utkontrakteres, regler om taushetsplikt og hvordan oppdragstaker skal forholde seg for overlevering av opplysninger til den rapporteringspliktige. På grunn av de begrensninger som foreslås for hvem som kan være oppdragstakere, vil i tillegg oppdragstakerne selv være underlagt tilsyn. Foretak som utkontrakterer kundekontrollen vil fortsatt være ansvarlige for at pliktene etter hvitvaskingsloven følges, og har et ansvar for å legge til rette for at det kan føres tilsyn med kundekontrollen selv om denne er utkontraktert.

Departementet er av den oppfatning at kundekontroll ikke bør kunne utkontrakteres til forhandlere av gjenstander selv om disse er rapporteringspliktige i visse tilfeller, jf. lovforslaget § 4 annet ledd nr. 7. Forhandlere av gjenstander er bare er underlagt loven ved transaksjoner for 40 000 kroner eller mer i kontanter. Departementet anser at denne gruppen på grunn av denne grensen for rapporteringsplikten, ikke er egnet til å utføre kundekontroll på vegne av andre. Adgangen bør være begrenset til de grupper som har rapporteringsplikt uavhengig av en slik grense.

Kundekontroll bør heller ikke kunne utkontrakteres til tilbydere av virksomhetstjenester, jf. forslaget § 4 annet ledd nr. 6. Denne foretaksgruppen er, i likhet med forhandlere av gjenstander, ikke underlagt offentlig tilsyn. Departementet mener derfor at denne gruppen rapporteringspliktige ikke bør ha adgang til å foreta kundekontroll på vegne av andre rapporteringspliktige. Departementet antar også at slik utkontraktering vil være lite praktisk.

Departementets forslag til lovbestemmelse i § 12 innebærer innskrenkninger i forhold til utvalgets forslag. Det kan vise seg at det er et behov for og at det er forsvarlig å kunne åpne for utkontraktering også til andre enn det lovforslaget nå legger opp til. Ut fra dette foreslår departementet en forskriftshjemmel der departementet gis adgang til å utvide utkontrakteringsadgangen. Dersom det anses forsvarlig og hensiktsmessig vil departementet med hjemmel i denne bestemmelsen også kunne fastsette forskrift som åpner for at forhandlere av gjenstander, jf. § 4 annet ledd nr. 7, og tilbydere av virksomhetstjenester, jf. § 4 annet ledd nr. 6, kan fungere som oppdragstakere. Det vises til lovforslaget § 12 femte ledd.

Det er som for kundekontroll utført av tredjeparter, et vilkår for utkontrakteringsadgang at den rapporteringspliktige har ansvaret for at gjennomføringen av kundekontrollen skjer i samsvar med regelverket. For at den rapporteringspliktige skal kunne oppfylle sine plikter, er det en forutsetning at den som har utført kundekontrollen har rettslig adgang til utlevering av relevante opplysninger og dokumenter. Ut fra dette er departementet enig med Posten i at det er hensiktsmessig med en tilsvarende unntaksregel som i lovforslaget § 11 fjerde ledd, i lovforslaget § 12 om utkontraktering. Det vises til vurderingen av denne bestemmelsen under punkt 4.7.5, og til lovforslaget § 12 fjerde ledd. Når den rapporteringspliktige utkontrakterer kundekontrollen til en oppdragstaker vil det være klart for kunden at kundekontrollen utføres på vegne av den rapporteringspliktige, og det er følgelig ikke nødvendig at kunden informeres om den utveksling av opplysninger som vil måtte skje mellom den rapporteringspliktige og oppdragstakeren.

Næringslivets Hovedorganisasjon er uenig i utvalgets tolkning av direktivet artikkel 19 når det gjelder hvordan oppdragstakers virksomhet må fremstå. Ordlyden i artikkel 19 er som følger:

«the outsourcing service provider or agent is to be regarded as part of the institution or person covered by this Directive».

Utvalget forstår dette som et krav om at utkontrakteringen har et visst omfang og en viss varighet, slik at oppdragstakeren fremstår som en integrert del av den rapporteringspliktiges virksomhet. I den danske oversettelsen er direktivets ordlyd

«skal betragtes som en del af det institut eller den person, der er omfattet af dette direktiv».

Departementet er i det vesentlige enig i utvalgets forståelse av direktivet, selv om det sentrale ikke er hvordan forholdet til oppdragsgiver fremstår, men realiteten i det faktiske forholdet imellom dem. Oppdragstakeren skal kunne anses som en integrert del av den rapporteringspliktiges virksomhet når de utfører kundekontroll for den rapporteringspliktige. Det er ikke et vilkår at oppdragstakerens virksomhet i sin alminnelighet fremstår som en integrert del av den rapporteringspliktiges virksomhet.

Departementet viser til lovforslaget § 12.

4.9 Forenklet kundekontroll

4.9.1 EØS-rett

Etter tredje hvitvaskingsdirektiv artikkel 11 nr. 1, er institusjoner og personer omfattet av direktivet unntatt fra vesentlige deler av plikten til å foreta kundekontrollen, dersom kunden er en «credit or financial institution» som definert i direktivet artikkel 3 (1) og (2), eller tilsvarende institusjon fra tredjeland som pålegger «requirements equivalent to those laid down in this Directive and supervised for compliance with those requirements». Unntaket gjelder ikke plikten til å foreta kundekontroll der det er mistanke om hvitvasking eller terrorfinansiering. Bestemmelsen er en videreføring av første og annet hvitvaskingsdirektiv.

Etter artikkel 11 nr. 2 kan medlemsstatene tillate tilsvarende unntak fra plikten til å foreta kundekontroll som etter artikkel 11 nr. 1 for visse typer kunder:

«By way of derogation from Articles 7(a), (b) and (d), 8 and 9(1) Member States may allow the institutions and persons covered by this Directive not to apply customer due diligence in respect of:

1. listed companies whose securities are admitted to trading on a regulated market within the meaning of Directive 2004/39/EC in one or more Member States and listed companies from third countries which are subject to disclosure requirements consistent with Community legislation;

2. beneficial owners of pooled accounts held by notaries and other independent legal professionals from the Member States, or from third countries provided that they are subject to requirements to combat money laundering or terrorist financing consistent with international standards and are supervised for compliance with those requirements and provided that the information on the identity of the beneficial owner is available, on request, to the institutions that act as depository institutions for the pooled accounts;

3. domestic public authorities,

   or in respect of any other customer representing a low risk of money laundering or terrorist financing which meets the technical criteria established in accordance with Article 40(1) (b).»

Bestemmelsen er ny i forhold til de foregående hvitvaskingsdirektiver.

I situasjoner som nevnt i artikkel 11 nr. 1 og 2, skal institusjoner og personer omfattet av direktivet i det minste innhente tilstrekkelige opplysninger til å fastslå om kunden kvalifiserer til unntak, jf. artikkel 11 nr. 3.

Etter artikkel 11 nr. 5 kan medlemsstatene tillate tilsvarende unntak fra plikten til å foreta kundekontroll som etter artikkel 11 nr. 1 og 2 for visse typer produkter og transaksjoner:

«By way of derogation from Articles 7(a), (b) and (d), 8 and 9(1), Member States may allow the institutions and persons covered by this Directive not to apply customer due diligence in respect of:

1. life insurance policies where the annual premium is no more than EUR 1 000 or the single premium is no more than EUR 2 500;

2. insurance policies for pension schemes if there is no surrender clause and the policy cannot be used as collateral;

3. a pension, superannuation or similar scheme that provides retirement benefits to employees, where contributions are made by way of deduction from wages and the scheme rules do not permit the assignment of a member's interest under the scheme;

4. electronic money, as defined in Article 1(3)(b) of Directive 2000/46/EC of the European Parliament and of the Council of 18 September 2000 on the taking up, pursuit of and prudential supervision of the business of electronic money institutions (1), where, if the device cannot be recharged, the maximum amount stored in the device is no more than EUR 150, or where, if the device can be recharged, a limit of EUR 2 500 is imposed on the total amount transacted in a calendar year, except when an amount of EUR 1 000 or more is redeemed in that same calendar year by the bearer as referred to in Article 3 of Directive 2000/46/EC,

or in respect of any other product or transaction representing a low risk of money laundering or terrorist financing which meets the technical criteria established in accordance with Article 40(1)(b).»

Unntaksadgangen etter artikkel 11 nr. 5 (a) og (b) er i vesentlig grad en videreføring av de foregående hvitvaskingsdirektiver, mens unntaksadgangen etter (c) og (d) er ny.

Direktivets unntaksbestemmelser har et visst motstykke i FATF-anbefaling 5 fjerde ledd siste punktum, hvoretter det kan tillates at «financial institutions» anvender «reduced or simplified measures» dersom det foreligger «low risks».

4.9.2 Norsk rett

Regler om unntak fra plikt til identitetskontroll er gitt i hvitvaskingsforskriften § 7, som lyder:

«Plikten til å kreve legitimasjon etter hvitvaskingsloven § 5 og plikten til å registrere opplysninger etter hvitvaskingsloven § 6 gjelder ikke:

1. hvis kunden er finansinstitusjon, jf. finansieringsvirksomhetslovens § 1-4, verdipapirforetak, eller forvaltningsselskap for verdipapirfond eller slikt utenlandsk foretak underlagt tilsvarende regelverk som oppfyller de legitimasjonskrav som stilles i rådsdirektiv av 4. desember 2001 om tiltak for å hindre at det finansielle system brukes til hvitvasking av penger (direktiv 2001/97/EF), og i tillegg er underlagt tilsynsordning av EØS-standard.

2. tegning av forsikringspolise dersom premieinnbetaling skjer ved debitering (belastning) av en konto opprettet i kundens navn i en kredittinstitusjon som nevnt i finansieringsvirksomhetsloven § 1-5 nr. 3, såfremt kredittinstitusjonen:

   1. er underlagt denne forskriften eller tilsvarende lovregulering i samsvar med rådsdirektiv av 4. desember 2001 om tiltak for å hindre at det finansielle system brukes til hvitvasking av penger (direktiv 2001/97/EF), eller

   2. på annet grunnlag har forvisset seg om, og registrert opplysningene om, kundens identitet.

3. tegning av livsforsikringspolise i institusjon som har tillatelse til å overta livsforsikring, og andre forsikringsforetak i henhold til direktiv 2002/83/EF, hvis den årlige premien ikke overstiger 8.000 kroner, eller hvis det skal belastes en engangspremie som ikke overstiger 20.000 kroner.

4. tegning av livsforsikringspolise i institusjon som har tillatelse til å overta livsforsikring, og andre forsikringsforetak i henhold til rådsdirektiv av 5. november 2002 vedrørende livsforsikringsvirksomhet (det konsoliderte livdirektiv) direktiv 2002/83/EF, hvis den årlige premien ikke overstiger 8.000 kroner, eller hvis det skal belastes en engangspremie som ikke overstiger 20.000 kroner. Dersom premieinnbetaling for en løpende polise i et gitt år forhøyes slik at den overstiger grensen på 8.000 kroner, skal det likevel kreves legitimasjon som nevnt i § 2-1.

5. tegning av skadeforsikringspoliser, herunder reiseforsikringspoliser, samt kredittforsikringspoliser, i foretak som har tillatelse til å utøve slik forsikringsvirksomhet.

Departementet kan ved enkeltvedtak gjøre unntak fra hvitvaskingsloven § 5 for rapporteringspliktige etter hvitvaskingsloven § 4 første ledd nr. 3 (e-pengeforetak).»

Reglene i hvitvaskingsforskriften § 7 innebærer at de rapporteringspliktige også er unntatt fra plikten til å kreve legitimasjon ved mistanke om hvitvasking eller terrorfinansiering og ikke bare ved etablering av kundeforhold eller transaksjoner over 100 000 kroner.

4.9.3 Utvalgets forslag

Utvalget anser at en rekke av direktivets unntaksregler vil kunne ha vesentlig praktisk anvendelse i norsk rett. Etter utvalgets vurdering kan dette tilsi at reglene om forenklet kundekontroll lovfestes. På bakgrunn av reglenes tekniske karakter foreslår utvalget likevel at de gjennomføres samlet i forskrift.

Direktivets unntaksregler gjelder som nevnt ikke for plikten til å foreta kundekontroll ved mistanke om at en transaksjon har tilknytning til hvitvasking eller terrorfinansiering. Utvalget har videre foreslått at unntaksreglene etter norsk rett begrenses til å gjelde for kundekontroll, og således ikke får anvendelse for plikten til løpende oppfølging.

Utvalget foreslår at det lovfestes forskriftshjemmel for departementet til å fastsette unntak fra plikten til å foreta kundekontroll etter § 6 første ledd nr. 1, 2 og 4, jf. utvalgets lovforslag § 12.

I motsetning til artikkel 11 nr. 2 og 5, er gjennomføring av unntaksregelen etter artikkel 11 nr. 1 - der kunden er «credit or financial institution» - ikke valgfri for medlemsstatene. Unntaksregelen omfatter både juridiske personer med og uten konsesjon etter norsk rett. Av juridiske personer med konsesjon etter norsk rett, omfattes finansinstitusjoner, verdipapirforetak, forvaltningsselskaper for verdipapirfond, livsforsikringsselskaper, forsikringsmeglingsforetak som formidler livsforsikring og andre investeringsrelaterte tjenester samt verdipapirregistre. E-pengeforetak, skadeforsikringsselskaper, kredittforsikringsselskaper, pensjonskasser og øvrige forsikringsmeglingsforetak, som alle er rapporteringspliktige etter lovforslaget § 4 første ledd, omfattes ikke. Etter artikkel 11 nr. 2 er det imidlertid gitt adgang til å unnta andre kunder fra kundekontroll enn de som er nevnt i direktivet, forutsatt at de representerer en lav risiko for hvitvasking og terrorfinansiering, og tilfredsstiller tekniske kriterier fastsatt i henhold til artikkel 40 nr. 1 (b). Slike kriterier er gitt ved kommisjonsdirektivet artikkel 3 nr. 2, hvor det stilles som vilkår at kunden er en juridisk person underlagt plikter etter tredje hvitvaskingsdirektiv, tilsyn med overholdelse av disse pliktene, trussel om sanksjoner ved brudd og krav om konsesjon, samt at personens identitet er «publicly available, transparent and certain». Utvalget legger til grunn at e-pengeforetak, skadeforsikringsselskaper, pensjonskasser og forsikringsmeglingsforetak tilfredsstiller kriteriene i kommmisjonsdirektivet artikkel 3 nr. 2, og at de således vil kunne unntas fra plikt til kundekontroll for slike kunder. Norsk rett skiller forøvrig i liten grad mellom ulike typer forsikringsselskaper og forsikringsmeglingsforetak, og utvalget ser ikke grunn til å reservere unntaksadgang for livsforsikringsselskaper og forsikringsmeglingsforetak som formidler livsforsikring og andre investeringsrelaterte tjenester. Utvalget anser det hensiktsmessig at gjennomføring av artikkel 11 nr. 1 baseres på en opplisting av juridiske personer med konsesjon etter norsk rett som omfattes av unntaket, med utvidelse for personer som nevnt ovenfor, i tillegg til foretak som nevnt i utvalgets lovforslag § 4 første ledd nr. 12, jf. utvalgets forslag til forskrift § 8 første ledd nr. 1. Videre, for å dekke juridiske personer uten konsesjon etter norsk rett, foreslås en generell henvisning til direktivets definisjon av «credit or financial institution» og juridiske personer underlagt tilsvarende plikter og tilsyn, jf. utvalgets forslag til forskrift § 8 første ledd nr. 2.

Etter utvalgets oppfatning bør adgangen til unntak etter artikkel 11 nr. 2 (a), (b) og (c) benyttes i norsk rett.

Unntaksregelen etter artikkel 11 nr. 2 (a) omfatter kunder som er selskaper hvis finansielle instrumenter er opptatt til notering på et regulert marked i henhold til direktiv 2004/39/EF (verdipapirmarkedsdirektivet) eller «listed companies from third countries which are subject to disclosure requirements consistent with Community legislation». Den siterte delen av unntaksregelen retter seg etter sin ordlyd bare mot selskaper fra stater utenfor EØS-området. Dette kan etter utvalgets oppfatning ikke være tilsiktet. Det avgjørende må være hvorvidt selskapet er underlagt informasjonsplikt tilsvarende det som følger av fellesskapsretten, det vil si direktiv 2003/6/EF (markedsmisbruksdirektivet) og direktiv 2004/109/EF (rapporteringsdirektivet), og ikke hvorvidt selskapet er etablert eller hjemmehørende i en stat utenfor EØS-området. Et norsk selskap notert på børs i en tredjestat som har tilfredsstillende krav om informasjonsplikt, må være unntatt i samme grad som et selskap fra tredjestat notert på samme børs. Utvalget foreslår at det gis unntak for plikt til å foreta kundekontroll dersom kunden er et selskap som har finansielle instrumenter opptatt til notering på et regulert marked i EØS-stat, eller er underlagt informasjonsplikt tilsvarende det som gjelder ved notering på et regulert marked i EØS-stat (dvs. tilsvarende det som følger av direktiv 2003/6/EF og direktiv 2004/109/EF), jf. utvalgets forslag til forskrift § 8 første ledd nr. 3.

Artikkel 11 nr. 2 (b) åpner for unntak fra plikten til å foreta kundekontroll av reelle rettighetshavere for «pooled accounts» som føres av «notaries and other independent legal professionals». Utvalget legger til grunn at dette etter norsk rett vil omfatte klientkonti som føres av advokater. Unntaksregelen gjelder for uavhengige jurister fra både medlemsstater og tredjestater. For uavhengige jurister fra tredjestater stilles krav om at de er underlagt krav om å bekjempe hvitvasking eller terrorfinansiering i samsvar med internasjonale standarder, at det føres tilsyn med overholdelsen av disse kravene og at opplysninger om identiteten til reelle rettighetshavere på anmodning er tilgjengelige for kredittinstitusjonene for de grupperte kontiene. Utvalget foreslår at unntaksregelen gjennomføres ved to separate bestemmelser, hvor den ene retter seg mot uavhengige jurister fra EØS-stater, og den andre mot uavhengige jurister fra tredjestater, jf. utvalgets forslag til forskrift § 8 første ledd nr. 5 og nr. 6.

Unntaksregelen etter artikkel 11 nr. 2 (c) omfatter kunder som er «domestic public authorities». Det er etter utvalgets syn uklart om det her kun siktes til statlige og kommunale organer, eller om også private rettssubjekter som utøver offentlig myndighet omfattes. Dersom private rettssubjekter omfattes, vil dette etter utvalgets oppfatning kunne medføre avgrensningsproblemer. At et privat rettsubjekt er tilstått offentlig myndighet innebærer videre ikke i seg selv at rettssubjektet som kunde representerer liten risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger og terrorfinansiering. Utvalget foreslår på denne bakgrunn at unntaksregelen i norsk rett begrenses til kunder som er norske statlige eller kommunale forvaltningsorganer, jf. utvalgets forslag til forskrift § 8 første ledd nr. 4. «Kommunale forvaltningsorganer» omfatter fylkeskommunale forvaltningsorganer, jf. tilsvarende forståelse i lov 10. februar 1967 om behandlingsmåten i forvaltningssaker § 1.

Etter artikkel 11 nr. 2 kan medlemsstatene gjøre unntak fra plikten til å foreta kundekontroll av andre kunder som representerer lav risiko for hvitvasking eller terrorfinansiering, og som oppfyller kriterier fastsatt i henhold til artikkel 40 nr. 1 (b). Slike kriterier er gitt ved kommisjonsdirektivet artikkel 3 nr. 1 og 2. Unntak i samsvar med artikkel 3 nr. 2 er omtalt og foreslått benyttet ovenfor. Artikkel 3 nr. 1 åpner for unntak der kunden er «entrusted with public functions» i henhold til EU-traktaten, fellesskapstraktatene eller sekundær EU-lovgivning. Utvalget kan ikke se at det er behov for unntak i samsvar med denne bestemmelsen.

Etter utvalgets oppfatning bør adgangen til unntak etter artikkel 11 nr. 5 for nærmere bestemte produkter og transaksjoner benyttes i norsk rett.

Artikkel 11 nr. 5 (a), (b) og (d) retter seg mot livsforsikring, pensjonsforsikring og visse typer ordninger som gir pensjonsytelser til ansatte. Etter lov 13. juni 1980 nr. 24 om ligningsforvaltning § 6-6 første ledd bokstav a og f skal livsforsikringsselskaper gi Skattedirektoratet oppgave over blant annet forsikringstakernes og de forsikredes navn, fødselsnummer og adresse. Oppgave skal sendes innen 20. januar året etter inntektsåret. Tilsvarende gjelder for begunstigede etter individuelle pensjonsavtaler og innskuddspensjon. Etter utvalgets oppfatning vil unntak i tråd med direktivets bestemmelser ha praktisk betydning, til tross for reglene om oppgaveplikt. Plikt til kundekontroll innebærer at det må foretas bekreftelse av identitet på grunnlag av gyldig legitimasjon, noe som normalt skal skje før kundeforhold etableres. Krav om tilsvarende kontrolltiltak kan neppe innfortolkes i reglene om oppgaveplikt.

Artikkel 11 nr. 5 (a) åpner for unntak ved tegning av livsforsikringspoliser, hvis den årlige premien ikke overstiger 1000 euro eller det skal belastes en engangspremie som ikke overstiger 2500 euro. Bestemmelsen innebærer en språklig forenkling i forhold til første hvitvaskingsdirektiv artikkel 3 nr. 3, som er gjennomført ved hvitvaskingsforskriften § 7 første ledd bokstav c. Utvalget foreslår en tilsvarende forenkling i norsk rett. Videre forslår utvalget at beløpsgrensene i norsk rett knyttes til euro, for å sikre overensstemmelse med direktivet ved endringer i kronekursen, jf. utvalgets forslag til forskrift § 8 annet ledd nr. 1.

Etter artikkel 11 nr. 5 (b) kan medlemsstatene unnta rapporteringspliktige fra plikten til å utføre kundekontroll ved tegning av pensjonsforsikringspolise, hvis polisen ikke inneholder en gjenkjøpsklausul, og ikke kan tjene som sikkerhet for lån. Bestemmelsen innebærer en språklig forenkling i forhold første hvitvaskingsdirektiv artikkel 3 nr. 4, som er gjennomført ved hvitvaskingsforskriften § 7 første ledd bokstav c. Forenklingen består i at det ikke lenger er krav om at polisen blir tegnet i henhold til en arbeidsavtale eller forsikredes yrke. Utvalget foreslår en tilsvarende forenkling i norsk rett, jf. utvalgets forslag til forskrift § 8 annet ledd nr. 2.

Unntaksregelen etter artikkel 11 nr. 5 (c) omfatter ordninger som gir pensjonsytelser til ansatte, hvis bidragene innbetales som fratrekk i lønn, og reglene for ordningen ikke tillater overdragelse av et medlems rettigheter i henhold til ordningen. Utvalget anser slike ordninger for å representere lav risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger og terrorfinansiering, og foreslår regelen gjennomført i forslag til forskrift § 8 annet ledd nr. 4.

Etter artikkel 11 nr. 5 (d) kan medlemsstatene gjøre unntak fra plikten til å utføre kundekontroll ved utstedelse av elektroniske penger, forutsatt at det høyeste beløpet som lagres på det elektroniske mediet er 150 euro og mediet ikke kan lades opp igjen, eller det fastsettes en grense på 2500 euro for det samlede overførte beløp i et kalenderår, med mindre ihendehaveren har innløst et beløp på minst 1000 euro i samme kalenderår. Utvalget anser at utstedelse av elektroniske penger med slike beløpsgrenser vil representere lav risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger og terrorfinansiering, og foreslår regelen gjennomført i forslag til forskrift § 8 annet ledd nr. 5. Utstedelse av elektroniske penger er på det nåværende tidspunkt ikke særlig vanlig i Norge.

I gjeldende hvitvaskingsforskrift § 7 første ledd bokstav e er det gjort unntak fra plikt til legitimasjonskontroll og registrering ved tegning av skadeforsikringspoliser, herunder reiseforsikringspoliser, og kredittforsikringspoliser, i foretak som har tillatelse til å drive slik virksomhet. Et tilsvarende unntak er ikke regulert i tredje hvitvaskingsdirektiv. Unntaksregelen vil kun være aktuelt for skadeforsikringsselskaper og kredittforsikringsselskaper. Ettersom direktivet kun er gitt anvendelse på forsikringsselskaper som tilbyr livsforsikringer, jf. artikkel 3 (2) (b), anser utvalget ikke unntaksregelen å være i strid med direktivet. Utvalget foreslår at regelen videreføres for plikten til å foreta kundekontroll etter lovforslaget § 6 første ledd nr. 1, 2 og 4, jf. utvalgets forslag til forskrift § 8 annet ledd nr. 3.

Hvitvaskingsforskriften § 7 første ledd bokstav b gjør unntak fra plikt til legitimasjonskontroll og registrering ved tegning av forsikringspolise, forutsatt at premieinnbetaling skjer ved debitering av en konto opprettet i kundens navn i en kredittinstitusjon som er underlagt annet hvitvaskingsdirektiv eller på annet grunnlag har forvisset seg om, og registrert opplysningene om, kundens identitet. Unntaksregelen har ikke direkte motstykke i tredje hvitvaskingsdirektiv. Etter artikkel 11 nr. 5 kan medlemsstatene gjøre unntak fra plikten til å foreta kundekontroll ved salg av produkter og ved transaksjoner som representerer lav risiko for hvitvasking eller terrorfinansiering, og som oppfyller kriterier fastsatt i henhold til artikkel 40 nr. 1 (b). Slike kriterier er gitt ved kommisjonsdirektivet artikkel 3 nr. 3, som langt på vei åpner for unntak i samsvar med hvitvaskingsforskriften § 7 første ledd bokstav b. Ved unntak for forsikringspoliser og «savings products of similar nature» etter kommisjonsdirektivet, skal imidlertid beløpsgrensene i tredje hvitvaskingsdirektiv artikkel 11 nr. 5 (a) gis anvendelse. På denne bakgrunn kan unntaksregelen i hvitvaskingsforskriften § 7 første ledd bokstav b ikke videreføres. Som nevnt foreslår utvalget at artikkel 11 nr. 5 (a) om unntak for livsforsikringspoliser gjennomføres i norsk rett, og at hvitvaskingsforskrift § 7 første ledd bokstav e om unntak for skadeforsikringspoliser og kredittforsikringspoliser videreføres. Ytterligere unntak for forsikringsprodukter i medhold av kommisjonsdirektivet artikkel 3 nr. 3 vil etter utvalgets oppfatning være overflødige ved siden av de foreslåtte unntaksreglene. Utvalget ser ikke behov for å gjøre unntak for andre produkter eller transaksjoner i medhold av kommisjonsforordningen.

Utvalget foreslår at det lovfestes plikt for de rapporteringspliktige til å innhente tilstrekkelige opplysninger til å fastslå om forholdet kvalifiserer til unntak, før unntaksadgang eventuelt anvendes, jf. utvalgets lovforslag § 12 første ledd annet punktum.

Forbudet mot opprettelse av anonyme konti, jf. utredningen punkt 4.4, gjelder også ved forenklet kundekontroll. Utvalget foreslår på denne bakgrunn at det ikke gjøres unntak fra plikt til registrering av opplysninger om kunden ved opprettelse av konti, jf. utvalgets lovforslag § 12 annet ledd.

4.9.4 Høringsinstansenes merknader

Den Norske Advokatforening og Pensjonskasseforeningene mener at forenklet kundekontroll også bør gjelde ved den løpende oppfølgingen av kundeforholdet. Advokatforeningen mener at en slik avgrensning av anvendelsesområdet til direktivets bestemmelse «må innfortolkes på bakgrunn av direktivets oppbygging sammenholdt med hva som anses oppnådd med en slik bestemmelse. Advokatforeningen uttaler videre:

«Årsaken til at man ønsker å benytte seg av forenklet kundekontroll er at de angitte juridiske personene omtalt i direktivets art. 9 anses å representere en liten risiko for hvitvasking. Advokatforeningen mener dette bildet ikke endrer seg etter at kundeforholdet er etablert. Risikoen for hvitvasking ved forenklet kundekontroll reduseres også ved at forenklet kundekontroll ikke skal benyttes dersom det er en mistanke om at transaksjonen har tilknytning til hvitvasking eller terrorfinansiering.»

Advokatforeningen mener i tillegg at unntaksbestemmelsen i direktivet artikkel 11 nr. 2 burde benyttes fullt ut, slik at dette også omfatter kunder som er «entrusted with public functions», da Advokatforeningen anser risikoen for hvitvasking ved betjening av denne kundegruppen for å være svært liten.

Finansnæringens Hovedorganisasjon/Sparebankforeningen anmoder om at departementet vurderer å likestille gruppelivsforsikring med pensjonsforsikring.

Næringslivets Hovedorganisasjon (NHO) anmoder om at departementet vurderer om «domestic public authorities» omfatter selskaper som er heleide av det offentlige. Videre anser NHO at utvalgets forslag til § 12 første ledd annet ledd (om at rapporteringspliktige før anvendelse av unntak fra de alminnelige reglene om kundekontroll skal innhente tilstrekkelige opplysninger til å fastslå at forholdet er dekkes av den aktuelle unntaksbestemmelse) er unødvendig å lovfeste.

4.9.5 Departementets vurdering

Departementet anser det som hensiktsmessig å åpne for forenklede kontrolltiltak slik direktivet åpner for. På grunn av reglenes tekniske karakter anser departementet, som utvalget, at det er mest hensiktsmessig med forskriftsregulering. Ved uforming av forskriften må det tas nærmere stilling til hvilke foretak som skal omfattes av regler om forenklet kundekontroll. Departementet foreslår i tråd med utvalgets forslag, at det foreslås en lovbestemmelse som gir hjemmel til å fastsette regler om forenklet kundekontroll i forskrift. Det vises til lovforslaget § 13.

4.10 Løpende oppfølging

4.10.1 EØS-rett

Etter direktivet artikkel 8 nr. 1 (d) skal «customer due diligence» omfatte «ongoing monitoring» av kundeforholdet. Dette omfatter blant annet undersøkelse («scrutiny») av transaksjoner foretatt i løpet av kundeforholdet for å sikre at transaksjoner som utføres er i samsvar med institusjonens eller personens kjennskap til kunden og kundens virksomhets- og risikoprofil. Videre skal dokumenter, data og informasjon holdes oppdatert.

Etter artikkel 9 nr. 6 skal kundekontroll ikke bare anvendes for nye kunder, men også, på passende tidspunkter, for eksisterende kunder, på grunnlag av en risikovurdering.

Bestemmelsene tilsvarer FATF-anbefaling 5 tredje ledd d) og siste ledd, og er nye i forhold til første og annet hvitvaskingsdirektiv.

4.10.2 Norsk rett

Norsk rett inneholder ikke bestemmelser om løpende oppfølging av etablerte kundeforhold eller gjennomføring av kundekontroll på passende tidspunkter på grunnlag av en risikovurdering.

4.10.3 Utvalgets forslag

Slik utvalget forstår kravet om «ongoing monitoring», innebærer dette en plikt til kontinuerlig oppfølging. Bestemmelsen synes redaksjonelt sett å harmonere dårlig med de øvrige regler om «customer due diligence». Reglene om inntreden av plikt etter direktivet artikkel 7 knyttes til konkrete skjæringspunkter, og de øvrige kontrolltiltak etter artikkel 8 fremstår som plikter av relativt kortvarig karakter for oppnåelse av konkrete informasjon, jf. utredningen punkt 4.3 og 4.4. Det siste viser seg også i direktivet artikkel 9 nr. 5 som kun knytter konsekvenser til at kontrolltiltak som nevnt i artikkel 8 nr. 1 (a) til (c) ikke kan gjennomføres.

Etter utvalgets oppfatning fremstår det naturlig å skille ut plikten til løpende oppfølging i en selvstendig bestemmelse, atskilt fra reglene om plikt til å foreta og gjennomføring av kundekontroll, jf. utvalgets lovforslag § 13. Avviket fra direktivets og FATF-anbefalingenes systematikk er ikke ment å medføre noen realitetsforskjell.

Etter direktivet vil kravet om løpende oppfølging blant annet innebære at rapporteringspliktige skal påse at transaksjoner som utføres er i samsvar med deres kjennskap til kunden og dens virksomhet. Når det gjelder transaksjoner som utføres av kunden selv, ved hjelp av nettbank eller lignende, legger utvalget til grunn at en slik plikt kun vil gjelde for transaksjoner som den rapporteringspliktige blir kjent med, og det foreslås at dette fremgår av lovteksten. Ved kundeforhold hvor en forutgående kontroll av transaksjoner av praktiske grunner vanskelig lar seg gjennomføre, legger utvalget til grunn at en etterfølgende kontroll vil være tilstrekkelig. Videre skal rapporteringspliktige oppdatere dokumentasjon og opplysninger om kunden. Løpende oppfølging skal foretas på grunnlag en risikobasert tilnærming, jf. utredningen punkt 4.2.

På bakgrunn av utvalgets lovforslag § 13 om løpende oppfølging og utvalgets lovforslag § 6 første ledd nr. 4 om plikt til å foreta kundekontroll ved tvil om innhentede opplysninger om kunden er korrekte eller tilstrekkelige, fremstår det etter utvalgets oppfatning som overflødig å fastsette plikt til å foreta kundekontroll på passende tidspunkter på grunnlag av en risikovurdering. Direktivet artikkel 9 nr. 6 anses gjennomført ved de nevnte bestemmelsene i lovforslaget.

Etter den tidligere finansieringsvirksomhetsloven § 2-17 gjaldt kravet om identitetskontroll bare for kundeforhold etablert etter bestemmelsens ikrafttredelse 1. januar 1994, og dette prinsippet ble videreført ved vedtakelsen av hvitvaskingsloven, jf. Ot.prp. nr. 72 (2002-2003) punkt 7.4. Utvalgets lovforslag §§ 13 og 6 første ledd nr. 4, om løpende oppfølging og kundekontroll ved tvil knyttet til innhentede opplysninger, gjelder imidlertid generelt for alle etablerte kundeforhold. Basert på konkrete risikovurderinger vil det således kunne anses påkrevd for rapporteringspliktige å gjennomføre kundekontroll av kundeforhold etablert før 1. januar 1994.

4.10.4 Høringsinstansenes merknader

Den Norske Advokatforening mener at det bør presiseres i loven at plikten til løpende kundekontroll bare gjelder «aktive» eksisterende kundeforhold. Advokatforeningen er videre av den oppfatning at utvalgets forslag om at de rapporteringspliktige er forpliktet til å oppdatere dokumentasjon og opplysninger om sine kunder, må nyanseres slik at det klart fremkommer at slik oppdatering skal baseres på en risikovurdering. Kravet til oppdatering bør, slik Advokatforeningen ser det, være oppfylt dersom informasjon om aktive kunder oppdateres en gang i året. I de tilfeller kundene er juridiske personer som er registrert i Enhetsregisteret eller Foretaksregisteret bør en oppdatering fra registrene være tilstrekkelig.

Finansnæringens Hovedorganisasjon/Sparebankforeningen uttaler at oppdateringsplikten kan utløse plikt til nærmere undersøkelser av eldre kundeforhold og at dette vil medføre en ikke ubetydelig ressursbruk. Finansnæringens Hovedorganisasjon/Sparebankforeningen antar at det kun unntaksvis vil oppstå behov for å be kunden medvirke til fornyet identitetsbekreftelse ved gyldig legitimasjon.

Pensjonskasseforeningene er kritiske til utvalgets intensjon om at forslagene også skal gjelde for kundeforhold etablert før 1994.

Næringslivets Hovedorganisasjon viser til at det ikke fremgår klart av utvalgets forslag at oppdateringsplikten i utvalgets lovforslag § 13 annet punktum ikke gjelder for transaksjoner der det ikke er snakk om etablering av kundeforhold.

4.10.5 Departementets vurdering

Departementet er enig i utvalgets vurdering av at plikten til løpende oppfølgning bør skilles ut i en selvstendig bestemmelse, atskilt fra reglene om plikt til å foreta og gjennomføre kundekontroll.

Direktivet artikkel 8 nr. 2 og artikkel 9 nr.6 legger opp til at løpende oppfølgning skal foretas på grunnlag av en risikobasert tilnærming. Det er foreslått at dette prinsippet presiseres i loven § 5. En slik risikobasert tilnærming til plikten til løpende oppfølgning vil begrense pliktens omfang overfor eldre, passive kundeforhold.

Flere av høringsinstansene er kritiske til at plikten til løpende oppfølgning også vil gjelde for eldre kundeforhold, også de som er etablert før 1. januar 1994. Departementet mener det er hensiktsmessig og nødvendig for å oppnå formålet fullt ut at også eldre, eksisterende kundeforhold er underlagt plikten til løpende oppfølgning. Departementet legger vekt på at det er like viktig å ta hensyn til ny informasjon som reiser tvil om de registrerte kundeopplysningene for eldre som for nyere kundeforhold. Departementet slutter seg således til utvalgets forslag. Departementet viser også her til at løpende oppfølgnings skal foretas på grunnlag av en risikobasert tilnærming, jf. lovforslagets § 5

Plikten til løpende oppfølgning gjelder bare eksisterende «kundeforhold», jf. drøftelsen av begrepet «kundeforhold» under punkt 4.3.

Departementet viser til lovforslaget § 14.

4.11 Forsterkede kontrolltiltak

4.11.1 EØS-rett

Direktivet artikkel 13 inneholder regler om forsterkede kontrolltiltak («enhanced customer due diligence»).

Etter artikkel 13 nr. 1 skal institusjoner og personer som omfattes av direktivet anvende ytterligere kontrolltiltak, i tillegg til de tiltak som følger av reglene om kundekontroll og løpende oppfølging, i situasjoner som ut fra sin art innebærer høy risiko for hvitvasking eller terrorfinansiering. Kontrolltiltakene skal anvendes på grunnlag av en risikobasert tilnærming. Bestemmelsen har et visst motstykke i FATF-anbefaling 5 fjerde ledd tredje punktum, hvoretter institusjoner skal iverksette forsterkede kontrolltiltak overfor «higher risk categories», og er ny i forhold til de foregående hvitvaskingsdirektiver.

I artikkel 13 nr. 2 til 4 angis enkelte konkrete situasjoner hvor forsterkede kontrolltiltak skal anvendes. I tillegg henviser artikkel 13 nr. 1 til andre situasjoner som representerer høy risiko for hvitvasking og terrorfinansiering ut fra kriterier fastsatt av Kommisjonen i henhold til artikkel 40 nr. 1 (c). Slike bestemmelser er ikke gitt.

Etter direktivet artikkel 13 nr. 2 skal det treffes konkrete og egnede tiltak («specific and adequate measures») der kunden ikke har vært fysisk til stede for identifikasjonsformål for å kompensere for den høyere risikoen, for eksempel ved at kundens identitet fastslås ved supplerende dokumenter, data eller opplysninger (punkt a), ved at det settes i verk supplerende tiltak for å kontrollere eller sertifisere de leverte dokumenter, eller kreves bekreftende attestering ved en kreditt- eller finansinstitusjon som omfattes av direktivet (punkt b), eller ved at det sikres at første betaling i forbindelse med transaksjoner utføres via en konto som er åpnet i kundens navn hos en kredittinstitusjon (punkt c). Artikkel 13 nr. 2 har et visst motstykke i FATF-anbefaling 8 annet punktum, hvoretter «financial institutions» skal ha prosedyrer for å imøtekomme «any specific risks associated with non-face to face business relationships or transactions». Første hvitvaskingsdirektiv artikkel 3 er utformet på samme måte som FATF-anbefaling 8 annet punktum.

Ved korrespondentbankforbindelser («correspondent banking relationships») med institusjoner fra tredjestater, skal kredittinstitusjoner etter artikkel 13 nr. 3 innhente tilstrekkelige opplysninger om korrespondentinstitusjonen til fullt ut å forstå arten av dens virksomhet, og på grunnlag av offentlig tilgjengelige opplysninger fastslå institusjonens omdømme og tilsynets kvalitet (punkt a), vurdere korrespondentinstitusjonens kontrolltiltak for forebyggelse og bekjempelse av hvitvasking og terrorfinansiering (punkt b), påse at beslutningstaker innhenter samtykke fra «senior management» før etablering av nye korrespondentbankforbindelser (punkt c), dokumentere den enkelte institusjons ansvar (punkt d), samt i forbindelse med «payable-through accounts», forsikre seg om at korrespondentinstitusjonen har verifisert identiteten til og utfører løpende oppfølging av kunder som har direkte adgang til konti hos kredittinstitusjonen, og at korrespondentinstitusjonen på anmodning kan framlegge relevante opplysninger fra kundekontrollen til kredittinstitusjonen (punkt e). I direktivets fortale punkt 26 fremgår det at kravet om samtykke fra «senior management» etter artikkel 13 nr. 3 (c) innebærer at beslutningstaker må innhente samtykke fra sin direkte overordnede («immediate higher level of the hierarchy»). Artikkel 13 nr. 3 tilsvarer FATF-anbefaling 7, og er ny i forhold til de foregående hvitvaskingsdirektiver.

Artikkel 13 nr. 4 inneholder krav om forsterkede kontrolltiltak overfor politisk eksponerte personer som er bosatt («residing») i en annen medlemsstat eller en tredjestat. Med «politisk eksponerte personer» menes etter artikkel 3 (8) fysiske personer som innehar eller har innehatt høytstående offentlige verv eller stillinger, samt nære familiemedlemmer eller personer som er kjente medarbeidere til slike personer. Med hjemmel i direktivet artikkel 40 nr. 1 (b) er det i kommisjonsdirektivet artikkel 2 fastsatt nærmere regler om hvilke personer som skal anses som politisk eksponerte personer. Etter kommisjonsdirektivet artikkel 2 nr. 4 er institusjoner og personer som omfattes av direktivet ikke forpliktet til å anse en person som politisk eksponert dersom det har gått minst ett år siden vedkommende fratrådte stillingen eller vervet. Institusjoner og personer som omfattes av direktivet skal ha til rådighet egnede risikobaserte framgangsmåter for å fastslå om kunden er en politisk eksponert person (punkt a), påse at beslutningstaker innhenter samtykke fra overordnet før etablering av kundeforhold med slike kunder (punkt b), treffe egnede tiltak for å fastslå opprinnelsen til kundens formue og den kapital som inngår i kundeforholdet eller transaksjonen (punkt c) og føre forsterket løpende oppfølging («enhanced ongoing monitoring») av kundeforholdet (punkt d).

Artikkel 13 nr. 4 tilsvarer FATF-anbefaling 6. På ett punkt er det imidlertid ulikhet mellom direktivet og FATF-anbefalingen. Etter det såkalte «Glossary» til FATFs 40 anbefalinger benyttes uttrykket «politisk eksponerte personer» om personer som innehar eller har innehatt høytstående offentlige verv eller stillinger i en annen stat, mens direktivet knytter uttrykket til personer som innehar eller har innehatt høytstående offentlige verv eller stillinger og er bosatt («residing») i en annen stat. Direktivet dekker således etter sin ordlyd personer som innehar eller har innehatt høytstående offentlige verv eller stillinger i Norge, men som er bosatt i utlandet. I FATFs tolkingsuttalelse («Interpretative Note») til anbefaling 6 oppfordres statene til å utvide anbefalingens anvendelsesområde til personer som innehar høytstående offentlige verv eller stillinger innenlands. Første og annet hvitvaskingsdirektiv inneholder ikke regler om forsterkede kontrolltiltak overfor politisk eksponerte personer.

Etter artikkel 13 nr. 5 skal kredittinstitusjoner ikke delta i eller opprettholde korrespondentbankforbindelser med tomme bankselskaper («shell banks»). Videre skal kredittinstitusjoner treffe egnede tiltak for å sikre at de ikke inngår eller opprettholder korrespondentbankforbindelser med banker som er kjent for å tillate at deres konti brukes av tomme bankselskaper. Begrepet «shell bank» er definert i artikkel 3 (10), og omfatter kredittinstitusjoner, eller institusjoner som utøver tilsvarende virksomhet, som er «incorporated in a jurisdiction in which it has no physical presence, involving meaningful mind and management, and which is unaffiliated with a regulated financial group». Artikkel 13 nr. 5 tilsvarer FATF-anbefaling 18 annet og tredje punktum. Første og annet hvitvaskingsdirektiv inneholder ikke regler om forholdet til tomme bankselskaper.

Etter artikkel 13 nr. 6 skal det vies særlig oppmerksomhet til enhver risiko for hvitvasking av penger eller finansiering av terrorisme som kan forekomme i forbindelse med produkter eller transaksjoner som fremmer anonymitet, og om nødvendig treffes tiltak for å hindre at disse benyttes til hvitvasking eller terrorfinansiering. FATF-anbefaling 8 første punktum pålegger institusjonene en tilsvarende forpliktelse overfor risiko for hvitvasking som kan oppstå «from new or developing technologies» som fremmer anonymitet. Bestemmelsen er ny i forhold til de foregående hvitvaskingsdirektiver.

4.11.2 Norsk rett

Første hvitvaskingsdirektiv artikkel 3 er gjennomført i norsk rett ved hvitvaskingsloven § 5 fjerde ledd, hvoretter identitetskontroll som hovedregel skal skje ved kundens personlige fremmøte hos den rapporteringspliktige. Unntak kan gjøres dersom personlig fremmøte er til vesentlig ulempe for kunden eller ikke er praktisk gjennomførbart, såfremt betryggende identitetskontroll likevel kan finne sted.

For øvrig inneholder norsk rett ikke regler om forsterkede kontrolltiltak ved situasjoner som etter sin art representerer høy risiko for hvitvasking eller terrorfinansiering.

4.11.3 Utvalgets forslag

4.11.3.1 Generell plikt til forsterkede kontrolltiltak

I samsvar med direktivet artikkel 13 nr. 1, foreslår utvalget at det lovfestes en generell plikt for rapporteringspliktige til å anvende ytterligere kontrolltiltak i situasjoner som ut fra sin art innebærer høy risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller til forhold som rammes av straffeloven §§ 147a eller 147b, i tillegg til de tiltak som følger av kundekontroll og løpende oppfølging, jf. utvalgets lovforslag § 14 første ledd. Forsterkede kontrolltiltak skal anvendes på grunnlag av en risikovurdering. De samme momenter som inngår i den alminnelige risikovurderingen for kundekontroll og løpende oppfølging, jf. punkt 4.2, vil være aktuelle ved vurderingen.

Utvalget foreslår at departementet gis hjemmel til å fastsette nærmere regler i forskrift om hvilke situasjoner som utløser plikt til forsterkede kontrolltiltak og hvilke tiltak som i slike tilfeller skal anvendes, jf. utvalgets lovforslag § 14 femte ledd.

4.11.3.2 Personlig fremmøte

Som nevnt under punkt 4.4.3, foreslår utvalget at hovedregelen om kundens personlige fremmøte hos den rapporteringspliktige etter hvitvaskingsloven § 5 fjerde ledd oppheves. Regelen foreslås erstattet av et krav om ytterligere dokumentasjon som bekrefter vedkommendes identitet i tilfeller hvor kunden benytter fysisk legitimasjon, og ikke har vært fysisk til stede hos den rapporteringspliktige, jf. utvalgets lovforslag § 7 fjerde ledd. Den supplerende dokumentasjon vil typisk bekrefte den fysiske legitimasjonens tilhørighet til kunden, for eksempel i form av navnetrekk.

Den foreslåtte bestemmelsen er i samsvar med tiltak som nevnt i direktivet artikkel 13 nr. 2 (a), og tilfredsstiller etter utvalgets syn kravet om forsterkede kontrolltiltak overfor kunder som ikke har vært fysisk tilstede for identifikasjonsformål.

Utvalget fremhever at den rapporteringspliktige på bakgrunn av en risikovurdering vil måtte ta stilling til om den dokumentasjonen som fremlegges er tilstrekkelig for å bekrefte kundens identitet, jf. punkt 4.2.

4.11.3.3 Korrespondentbankforbindelser

Begrepet «correspondent banking relationship» er ikke definert i direktivet, og begrepet «korrespondentbankforbindelse» er ikke definert i norsk lovgivning. Etter det utvalget har fått opplyst, benyttes begrepet «korrespondentbank» i alminnelighet om en utenlandsk bank som en norsk kredittinstitusjon (respondentbanken) har inngått en samarbeidsavtale med i den hensikt å utføre betalingsoppdrag for sine kunder. Et korrespondentbankforhold kan innebære risiko for hvitvasking og terrorfinansiering ved at banken som utfører betalingen ikke har direkte kontakt med de involverte parter, og dermed har liten eller ingen innsikt i hva den aktuelle transaksjonen gjelder.

Utvalgets lovforslag § 15 første ledd gjennomfører artikkel 13 nr. 3, og pålegger kredittinstitusjoner plikter ved korrespondentbankforbindelser med institusjoner fra tredjestater.

For det første skal kredittinstitusjoner innhente tilstrekkelige opplysninger om korrespondentinstitusjonen til fullt ut å forstå arten av dens virksomhet, og på grunnlag av offentlig tilgjengelige opplysninger fastslå institusjonens omdømme og tilsynets kvalitet. Offentlig tilgjengelige opplysninger omfatter eksempelvis informasjon fra tilsynsorganer. Det vises til utvalgets lovforslag § 15 første ledd nr. 1.

For det andre skal kredittinstitusjoner vurdere korrespondentinstitusjonens kontrolltiltak for forebyggelse og bekjempelse av handlinger som beskrevet i straffeloven §§ 317 og 147b. Utvalget anser det hensiktsmessig å henvise til straffelovens gjerningsbeskrivelser fremfor å benytte de mer upresise begrepene «hvitvasking» og «terrorfinansiering». Det vises til utvalgets lovforslag § 15 første ledd nr. 2.

For det tredje skal kredittinstitusjoner påse at beslutningstaker innhenter samtykke fra overordnet før etablering av nye korrespondentbankforbindelser. Med beslutningstaker menes den ansatte som avgjør om det skal etableres korrespondentbankforbindelse. Det vises til utvalgets lovforslag § 15 første ledd nr. 3.

For det fjerde skal kredittinstitusjoner dokumentere den enkelte institusjons ansvar. Utvalget antar ansvarsfordeling normalt vil fremgå av avtalen om etablering av korrespondentbankforbindelsen. Det vises til utvalgets lovforslag § 15 første ledd nr. 4.

For det femte skal kredittinstitusjoner, i forbindelse med gjennomstrømningskonti, forsikre seg om at korrespondentinstitusjonen har verifisert identiteten til, og gjennomfører løpende oppfølging av, kunder som har direkte adgang til konti hos kredittinstitusjonen, og at korrespondentinstitusjonen på anmodning kan fremlegge relevante opplysninger fra kundekontrollen til kredittinstitusjonen. Gjennomstrømningskonti omfatter konti i en kredittinstitusjon som en korrespondentinstitusjons kunder har direkte adgang til. Det vises til utvalgets lovforslag § 15 første ledd nr. 5.

Utvalgets lovforslag § 15 annet ledd gjennomfører artikkel 13 nr. 5 og FATF-anbefaling 18. Bestemmelsen forbyr kredittinstitusjoner å inngå eller opprettholde korrespondentbankforbindelser til tomme bankselskaper («shell banks»). Videre skal kredittinstitusjoner treffe egnede tiltak for å sikre at de ikke inngår eller opprettholder korrespondentbankforbindelser med kredittinstitusjoner som er kjent for å tillate at deres konti brukes av tomme bankselskaper.

Begrepet «tomt bankselskap» foreslås definert i samsvar med definisjonen i direktivet artikkel 3 (10), jf. utvalgets lovforslag § 15 tredje ledd.

4.11.3.4 Politisk eksponerte personer

Direktivets bestemmelser om forsterkede kontrolltiltak overfor politisk eksponerte personer foreslås gjennomført i utvalgets lovforslag § 14 annet ledd.

Rapporteringspliktige skal ha til rådighet egnede risikobaserte fremgangsmåter for å fastslå om kunden er en politisk eksponert person. Det forventes ikke at rapporteringspliktige avdekker samtlige politisk eksponerte personer det etableres kundeforhold til eller utføres transaksjoner for. Det skal imidlertid etableres risikobaserte rutiner som er egnet til å fastslå om kunden er en politisk eksponert person. Flere av de momenter som ligger til grunn for risikovurdering ved alminnelig kundekontroll, jf. punkt 4.2, vil her være aktuelle. I kommisjonsdirektivets fortale punkt 1 fremheves det at bruk av ressurser særlig skal fokusere på produkter og transaksjoner som karakteriseres av høy risiko for hvitvasking.

Det kan slik utvalget ser det reises spørsmål ved om reglene om politisk eksponerte personer innebærer et krav om kontroll av utenlandske kunder opp mot lister over kjente politisk eksponerte personer. Det finnes flere tilbydere av slike lister, herunder nettbaserte lister. 1 Også FNs sanksjonskomités liste over personer, foretak og organisasjoner som antas å ha tilknytning til Usama bin Laden, Al-Qaida og Taliban 2 og EUs liste over terrorgrupper og terrororganisasjoner vil kunne være relevante. På bakgrunn av den risikobaserte tilnærmingen som direktivet bygger på, antar utvalget at det ikke på generell basis kan oppstilles et krav om kontroll av kunder opp mot slike lister. For enkelte grupper rapporteringspliktige, særlig forhandlere av gjenstander, ville en slik generell plikt også fremstå som unødvendig byrdefull. Et mulig kontrolltiltak er at den rapporteringspliktige, i forbindelse med alminnelig kundekontroll av utenlandske kunder, spør kunden om dennes yrke. Dersom kunden kommer fra en stat som er kjent for å ha utstrakt korrupsjon, eller det foreligger andre omstendigheter som øker sannsynligheten for at vedkommende er en politisk eksponert person, vil det kunne være nødvendig med ytterligere undersøkelser.

Prinsippet om risikobasert tilnærming innebærer at det vil kunne stilles ulike krav til de fremgangsmåter rapporteringspliktige skal ha til rådighet, avhengig av type rapporteringspliktig og virksomhetens art. Eksempelvis må finansinstitusjoner normalt forventes å gå grundigere til verks enn forhandlere av gjenstander. For forhandlere av møbler eller elektriske artikler vil det i alminnelighet neppe anses påkrevd at det iverksettes særlige undersøkelser av om kunden er en politisk eksponert person, mens dette etter omstendighetene vil kunne være et krav for kunstforhandlere. Prinsippet om risikobaserte tilnærming gjelder bare for fremgangsmåter for å fastslå om kunden er en politisk eksponert person - dersom den rapporteringspliktige er kjent med at vedkommende kunde er en politisk eksponert person, må det iverksettes kontrolltiltak som beskrevet i direktivet artikkel 13, jf. nedenfor.

I forbindelse med kundeforhold med, eller transaksjoner for, politisk eksponerte personer, skal rapporteringspliktige gjennomføre visse kontrolltiltak. Det skal påses at beslutningstaker innhenter samtykke fra overordnet før etablering av kundeforhold. Med beslutningstaker menes den ansatte som avgjør om det skal etableres kundeforhold med personen. Videre skal det treffes egnede tiltak for å fastslå opprinnelsen til kundens formue, og den kapital som inngår i kundeforholdet eller transaksjonen. Hvilke tiltak som er egnede vil bero på en konkret risikovurdering. Det naturlige utgangspunktet vil være at informasjon etterspørres fra kunden. Endelig skal det føres forsterket løpende oppfølging med kundeforholdet. Det vises til omtalen av løpende oppfølging under punkt 4.10.

Som nevnt er det ikke samsvar mellom definisjonene av «politisk eksponerte personer» i direktivet og FATF-anbefaling 6. Etter sin ordlyd dekker direktivets definisjon personer som innehar eller har innehatt høytstående offentlige verv eller stillinger i Norge, men som er bosatt i utlandet. FATF-anbefaling 6 retter seg kun mot nåværende og tidligere innehavere av høytstående offentlige verv eller stillinger i en annen stat. I FATFs tolkingsuttalelse til anbefaling 6 blir statene imidlertid oppfordret til å utvide anvendelsesområdet til personer som innehar eller som har innehatt slike stillinger og verv innenlands. Direktivets regler om politisk eksponerte personer har sitt forbilde i FATFs anbefalinger, og det foreligger ikke særlige holdepunkter for at direktivet er ment å favne annerledes enn FATFs anbefalinger. Videre vil en definisjon i samsvar med direktivets ordlyd ikke omfatte personer som har innehatt høytstående verv eller stillinger i stater med utbredt korrupsjon, dersom disse nå er bosatt i Norge. Dette kan etter utvalgets oppfatning ikke være tilsiktet. Utvalget anser at det er i overensstemmelse med direktivet om politisk eksponerte personer begrenses til personer som innehar eller har innehatt høytstående verv eller stilling i en annen stat enn Norge. Dersom personer som innehar eller har innehatt verv eller stillinger i Norge skal omfattes, vil dette medføre at de rapporteringspliktige må bruke ressurser som etter utvalgets syn ikke står i forhold til risikoen for hvitvasking. På denne bakgrunn foreslår utvalget at norsk rett legger til grunn en definisjon rettet mot personer som innehar eller har innehatt høytstående offentlig verv eller stilling i en annen stat enn Norge.

Etter FNs konvensjon mot korrupsjon artikkel 52 nr. 1 skal statene pålegge finansinstitusjoner å føre økt kontroll med konti tilhørende enkeltpersoner som innehar eller har innehatt fremtredende offentlige verv samt deres nærstående. Konvensjonen er ratifisert av Norge 29. juni 2006. Etter ordlyden er bestemmelsen ikke begrenset til personer med offentlige verv i utlandet. Utvalget antar imidlertid at forpliktelsene etter konvensjonen vil være oppfylt ved at personer med offentlige verv i Norge vil være underlagt reglene om kundekontroll.

Utvalget foreslår at det lovfestes en definisjon av «politisk eksponerte personer» som omfatter fysiske personer som innehar eller i løpet av det siste året har innehatt høytstående offentlig verv eller stilling i en annen stat enn Norge, samt nære familiemedlemmer og kjente medarbeidere til slike personer, jf. utvalgets lovforslag § 14 tredje ledd. Videre foreslås at departementet gis hjemmel til å fastsette nærmere regler i forskrift om hvem som skal omfattes av definisjonen, jf. utvalgets lovforslag § 14 femte ledd. For personer som har fratrådt høytstående offentlig verv eller stillinger for mer enn ett år siden, vil rapporteringspliktige kunne være forpliktet til å iverksette forsterkede kontrolltiltak etter den alminnelige regel i utvalgets lovforslag § 14 første ledd.

Reglene i kommisjonsdirektiv 2006/70/EF artikkel 2 over hvilke personer som skal anses som politisk eksponerte personer foreslås inntatt i forskrift, jf. utvalgets forslag til forskrift § 9.

Innehaver av høytstående offentlig verv eller stilling omfatter:

• statsoverhode, regjeringssjef, minister eller assisterende minister,

• medlem av nasjonalforsamling,

• medlem av høyere rettsinstans som treffer beslutninger som bare unntaksvis kan ankes,

• medlem av styre i riksrevisjon, revisjonsdomstol eller sentralbank,

• ambassadør, chargé d»affaires eller militær offiser av høyere rang,

• medlem av administrativt, ledende eller kontrollerende organ i et statseid foretak,

• innehaver av tilsvarende verv eller stilling i en internasjonal organisasjon.

Utvalget legger til grunn at «assisterende ministere» vil omfatte personer som kan møte på vegne av regjeringsmedlemmer i nasjonalforsamlinger, slik ordningen for eksempel er i Storbritannia. Videre legges til grunn at «statseide foretak» kun vil omfatte foretak hvor en stat gjennom eierskap eller på annet grunnlag utøver kontroll, og ikke ethvert foretak hvor staten har eierandeler.

Nært familiemedlem omfatter ektefelle eller partner som etter nasjonal lovgivning sidestilles med ektefelle, barn, ektefelle eller partner til barn samt forelder.

En kjent medarbeider er en fysisk person som er kjent for å (i) være reell rettighetshaver i juridisk person eller formuesmasse i felleskap med en person som innehar eller i løpet av det siste året har innehatt høytstående offentlig verv eller stilling i en annen stat enn Norge, (ii) ha nær forretningsforbindelse til en slik person, eller (iii) være eneste reelle rettighetshaver i juridisk person eller formuesmasse som i realiteten er etablert for å begunstige en slik person. I kommisjonsdirektivets fortale punkt 4 er det uttalt at plikten til å identifisere kjente medarbeidere kun gjelder i den grad relasjonen er offentlig kjent eller det er grunnlag for å tro at det foreligger en slik relasjon. Det er ingen forutsetning at institusjoner og personer som omfattes av direktivet gjør aktive granskinger («it does not presuppose active research»).

4.11.3.5 Anonymitet

På bakgrunn av direktivet artikkel 13 nr. 6 foreslår utvalget at det lovfestes plikt for rapporteringspliktige til å vie særlig oppmerksomhet til produkter og transaksjoner som fremmer anonymitet, og om nødvendig iverksette tiltak for å forebygge transaksjoner med tilknytning til utbytte av straffbare handlinger eller til forhold som rammes av straffeloven §§ 147a eller 147b, jf. utvalgets lovforslag § 14 fjerde ledd.

Bestemmelsen er langt på vei en presisering av den alminnelige regelen om plikt til forsterkede kontrolltiltak, utvalgets lovforslag § 14 første ledd, ettersom produkter og transaksjoner som fremmer anonymitet i alminnelighet må antas å representere en høy risiko for hvitvasking og terrorfinansiering.

4.11.4 Høringsinstansenes merknader

Den Norske Advokatforening støtter i hovedsak utvalgets foreslag. Det påpekes at når ordningen med forsterket kundekontroll er fleksibel må det være en høy terskel for å konstatere brudd på denne bestemmelsen. Advokatforeningen tiltrer utvalgets oppfatning om at det ikke kan pålegges de rapporteringspliktige å kontrollere utenlandske kunder opp mot lister over politisk eksponerte personer, og mener det som hovedregel må være tilstrekkelig kontroll at den rapporteringspliktige spør kunden om dette. Dersom det foreligger omstendigheter som øker sannsynligheten for at vedkommende er en politisk eksponert person er Advokatforeningen enig med utvalget i at det vil kunne være nødvendig med ytterligere undersøkelser.

Finansnæringens Hovedorganisasjon/Sparebankforeningen mener at praktiseringen av kravene med forsterket kundekontroll synes noe «uoverstigelige», og avventer en avklaring når det gjelder hvordan en ser for seg at denne kontrollen skal kunne gjennomføres i praksis.

Næringslivets Hovedorganisasjon viser til at rapporteringspliktige pålegges å vurdere risiko for transaksjoner knyttet til brudd på straffeloven, og understreker at man ikke kan vente at alle typer av rapporteringspliktige har kunnskap om hvordan kriminalitet organiseres eller hvordan terror finansieres. Næringslivets Hovedorganisasjon oppfordrer myndigheten, herunder Økokrim, til å utarbeide retningslinjer som kan brukes som interne kontroll- og kommunikasjonsrutiner.

4.11.5 Departementets vurdering

4.11.5.1 Generell plikt til forsterkede kontrolltiltak

I tråd med EØS-forpliktelsene mener departementet at det bør foreslås bestemmelser om forsterkede kontrolltiltak. I slike tilfeller skal det iverksettes ytterligere kundekontrolltiltak enn de alminnelige tiltakene. Departementet foreslår å lovfeste en generell plikt for rapporteringspliktige til å anvende ytterligere kontrolltiltak i situasjoner som etter sin art innebærer høy risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147 a, 147 b eller 147 c. Departementet foreslår at henvisningen til straffeloven i lovforslaget § 15 første ledd utvides til også å gjelde den foreslåtte bestemmelsen i straffeloven § 147 c. Se omtale om dette under punk 4.2.5. Departementet slutter seg ellers til utvalgets forslag. Det vises til lovforslaget § 15 første ledd.

4.11.5.2 Personlig fremmøte

Departementet slutter seg her til utvalgets forslag. Det vises til lovforslaget § 7 fjerde ledd.

4.11.5.3 Korrespondentbankforbindelser

Departementet slutter seg til utvalgets forslag som ligger nært opp til direktivet. Departementet foreslår en noe annen formulering av bestemmelsen enn det utvalget har foreslått uten at dette er ment å innebære noen realitetsendring. Det vises til lovforslaget § 16.

4.11.5.4 Politisk eksponerte personer

Departementet slutter seg til utvalgets forslag om å fastsette uttrykkelige bestemmelser om forsterket kundekontroll overfor kunder som er «politisk eksponerte personer». Dette er personer som innehar høytstående offentlige verv (for eksempel medlemmer av regjering, nasjonalforsamling, høyesterett) i annen stat enn Norge. Overfor slike personer, samt overfor deres nære familie og kjente nære medarbeidere, skal de rapporteringspliktige blant annet påse at det hentes samtykke fra overordnet nivå hos den rapporteringspliktige før etablering av kundeforhold, og treffe egnede tiltak for å fastslå opprinnelsen til kundens formue og kapitalen som inngår i kundeforholdet eller transaksjonen. I tråd med utvalgets forslag mener departementet at personer med høytstående offentlige verv i Norge ikke anses som «politisk eksponerte personer». Disse vil imidlertid bli omfattet av tilsvarende regelverk i utlandet, blant annet i andre EØS-stater og FATF-stater. Bakgrunnen for at «politisk eksponerte personer» internasjonalt har blitt utpekt som potensielle høyrisiko-tilfelle med hensyn til hvitvasking er erfaringer med at makthavere fra stater med utstrakt korrupsjon mv. har plassert store midler i vestlige finansinstitusjoner.

Departementet slutter seg til utvalgets forslag. Det vises til lovforslaget § 15 annet ledd

Departementet slutter seg til utvalgets forslag om å lovfeste en definisjon av «politisk eksponerte personer». Det vises til lovforslaget § 15 tredje ledd.

Departementet er enig med utvalget i at det fastsettes regler om hvilke stillingskategorier som er «politisk eksponerte personer» i forskrift. Disse reglene vil gjennomføre EØS-forpliktelser etter kommisjonsdirektiv 2006/70/EF med utfyllende bestemmelser til tredje hvitvaskingsdirektiv. Det vises til lovforslaget § 15 femte ledd annet punktum.

Når det gjelder hvilke krav som bør stilles til de rapporteringspliktiges identifikasjon og håndtering av «politisk eksponerte personer» inneholder kommisjonsdirektiv 2006/70/EF noe veiledning. Det kan skje at rapporteringspliktige ikke lykkes i å identifisere en kunde, som faller inn under en av kategoriene for «politisk eksponerte personer», selv om vedkommende har foretatt forventede undersøkelser. I slike tilfeller vil ikke den rapporteringspliktige automatisk bli ansvarlig for at en som burde vært karakterisert som «politisk eksponert person», ikke er blitt det. Når tredje hvitvaskingsdirektiv krever at rapporteringspliktige skal identifisere medarbeidere til «politisk eksponerte personer» gjelder dette dersom forbindelsen til medarbeideren er offentlig kjent eller den rapporteringspliktige har grunn til å anta at det er en slik forbindelse til den «politisk eksponerte personen». Det er ikke en forutsetning at den rapporteringspliktige fortar aktive undersøkelser av dette.

Selv om reglene om «politisk eksponerte personer» gjelder for alle rapporteringspliktige, vil kravene som stilles til identifikasjon variere mellom ulike typer rapporteringspliktige. For grupper av rapporteringspliktige som har mange utenlandske kunder (typisk store finansinstitusjoner), vil den mest praktiske tilnærmingen trolig være å kjøpe programvare/abonnere på internettjenester som inneholder oppdaterte lister over «politisk eksponerte personer». Utvalget har i sin vurdering kommet med eksempler på slike lister.

Departementet antar at samarbeid mellom Kredittilsynet og andre utenlandske tilsynsorganer kan bidra til å gi tilstrekkelig veiledning om hvilke krav som bør stilles til de rapporteringspliktiges identifikasjon og håndtering av «politisk eksponerte personer».

Departementet foreslår å stryke presiseringen i lovteksten om at de kontrolltiltak rapporteringspliktige skal ha til rådighet for å fastslå om kunden er en politisk eksponert person skal være «risikobaserte». Departementet mener det likevel fremgår av lovteksten at det vil kunne stilles ulike krav til ulike rapporteringspliktige og ulike krav ut fra hvilke kunder de rapporteringspliktige har, jf. formuleringen «egnede kontrolltiltak».

4.11.5.5 Anonymitet

Departementet slutter seg til utvalgets forslag om at rapporteringspliktige skal vie særlig oppmerksomhet til produkter og transaksjoner som fremmer anonymitet. Departementet foreslår at henvisningen til straffeloven i lovforslaget § 15 fjerde ledd utvides til også å gjelde den foreslåtte bestemmelsen i straffeloven § 147 c. Se omtale om dette under punk 4.2.5.

Det vises til lovforslaget § 15 fjerde ledd første punktum.