Veiledning til ny lov og forskrift med tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. Innledning Den 1. januar 2004 trådte ny hvitvaskingslov og tilhørende forskrift i kraft. Det nye hvitvaskingsregelverket innebærer en utvidelse av kretsen av virksomheter og juridiske personer ( rapporteringspliktige ), som omfattes av regelverket til også å omfatte bl.a. statsautoriserte og registrerte revisorer, autoriserte regnskapsførere, eiendomsmeglere og boligbyggelag som driver eiendomsmegling og verdipapirregistre (Verdipapirsentralen). Det nye hvitvaskingsregelverket innebærer at samtlige rapporteringspliktige skal kreve gyldig legitimasjon ved etablering av kundeforhold, foreta nærmere undersøkelser dersom en transaksjon fremtrer som mistenkelig og rapportere transaksjonen til ØKOKRIM, dersom mistanken ikke er avkreftet etter slike undersøkelser. Identitetskontrollen skal skje ved personlig fremmøte i foretaket som inngår avtalen med kunden, eller hos annen rapporteringspliktig (utkontraktering). I tillegg inneholder det nye regelverket en plikt for bankene og finansieringsselskapene til å etablere elektroniske overvåkningssystemer innen utløpet av 2004. Regelverket representerer en videreføring, oppdatering og videreutvikling av gjeldende tiltak mot hvitvasking, og gjennomfører EUs annet hvitvaskingsdirektiv fra 2001, jf. nedenfor. Formålet med rundskrivet er å informere de rapporteringspliktige virksomheter og juridiske personer som er omfattet av Kredittilsynets tilsyns- og forvaltningsområde om hvitvaskingsregelverket. Regelverkets virkeområde mht. virksomheter og juridiske personer er nærmere angitt under omtalen av forskriftens 2 i det følgende. Det nye hvitvaskingsregelverket omfatter også advokater og forhandlere av verdifulle gjenstander. Disse gruppene vil kunne henvende seg til ØKOKRIM, bransjeforeninger (eksempelvis Den Norske Advokatforening) og relevante tilsynsorganer for nærmere veiledning. Justisdepartementet har ansvaret for advokatlovgivningen. Kredittilsynet vil i kapittel 1 foreta en generell gjennomgang av diverse bakgrunnsmateriale knyttet til regelverket om tiltak mot hvitvasking av utbytte, og mot terrorfinansiering. Etter den generelle gjennomgangen vil enkeltbestemmelsene i den nye hvitvaskingsforskriften bli gjennomgått i kapittel 2. Rundskrivet legger særlig vekt på å beskrive og forklare sammenhengen mellom den nye hvitvaskingsloven og forskriften. Det nye hvitvaskingsregelverket omfatter lov 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. ( hvitvaskingsloven ), se vedlegg 1, og forskrift 10. desember 2003 nr. 1487 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. ( hvitvaskingsforskriften ), se vedlegg 2. Det nye regelverket avløser 2-1, 2-17 og 2-17a i lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner, og forskrift 7. februar 1994 nr. 118 om legitimasjonskontroll og tiltak mot hvitvasking av penger. KREDITTILSYNET side 1 av 31
Dette rundskrivet erstatter Kredittilsynets rundskriv nr. 13/1999. Tidligere sanerte rundskriv knyttet til hvitvasking er: 28/1994, 29/1995, 31/1995, 8/1996, 31/1996, 4/1997, 5/1997 og 28/1998. Hensikten med rundskrivet er å øke tilgjengeligheten til hvitvaskingsregelverket, samt avklare en del praktiske spørsmål. Rundskrivet er ikke uttømmende, og behandler således ikke alle sider av hvitvaskingsregelverket. KREDITTILSYNET side 2 av 31
Innholdsfortegnelse Kapittel 1: Generell gjennomgang av ny hvitvaskingslov og tilhørende forskrift 1.1. Generelt om hovedinnholdet i hvitvaskingsregelverket 4 1.2. Hvorfor har vi regler om tiltak mot hvitvasking av utbytte og terrorfinansiering? 4 1.3. Internasjonalt regelverk, standarder og anbefalinger på hvitvaskingsområdet 4 1.4. Tiltak for å motvirke terrorhandlinger og terrorfinansiering 5 1.5. Hvem bør lese rundskrivet? 5 1.6. Straffe- og administrative sanksjoner 6 Kapittel 2: Gjennomgang av enkeltbestemmelser i den nye hvitvaskingsforskriften 2.1. 1 Virkeområde 7 2.2. 2 Etablering av kundeforhold 9 2.3. 4 Krav til legitimasjonsdokumenter mv. (fysiske personer) 11 2.4. 5 Tilfeller hvor kunden ikke kan fremlegge legitimasjonsdokument 13 2.5. 6 Krav til legitimasjonsdokumenter mv. (juridiske personer) 14 2.6. 7 Unntak fra plikten til å kreve legitimasjon 15 2.6.1. Unntak fra kravet til legitimasjonskontroll for enkelte forsikringsavtaler 16 2.7 8 Kontroll av legitimasjonsdokumentene mv. 16 2.7.1. Hvilke situasjoner som utløser krav til identitetskontroll 16 2.7.2. Gjennomføring av identitetskontroll 18 2.7.2.1. Unntak hvor personlig fremmøte vil være til vesentlig ulempe for kunden 19 2.7.2.2. Unntak hvor personlig fremmøte ikke vil være praktisk gjennomførbart i primærforetaket 19 2.7.2.3. Nærmere om utkontraktering av identitetskontrollen 20 2.7.2.4. Utkontraktering på verdipapirområdet 21 2.7.2.5. Utkontraktering av identitetskontrollen til ekspedisjonsnettet til Posten Norge AS 21 2.7.2.6. Praktiske eksempler på gjennomføring av legitimasjonskontroll 22 2.8. Oppsummering 23 2.9. 9 Manglende eller mangelfull legitimasjon avvisning av kunden 23 2.10. 10 Undersøkelse av mistenkelige transaksjoner 24 2.11. 11 Oversendelse av opplysninger til ØKOKRIM 26 2.12. 12 Elektroniske overvåkningssystemer 27 2.13. 13 Særskilt rapportering av transaksjoner med tilknytning til land eller områder som ikke har gjennomført tilfredsstillende hvitvaskingstiltak mv. 28 2.14. 14 Forbud eller restriksjoner for rapporteringspliktiges adgang til å etablere kundeforhold med eller foreta transaksjoner til eller fra land som ikke har gjennomført tilfredsstillende hvitvaskingstiltak mv. 28 2.15. 15 Krav til oppbevaring og sletting av opplysninger 29 2.16. 16 Opplæring av rapporteringspliktige ansatte mv. 30 Oversikt over vedlegg 31 KREDITTILSYNET side 3 av 31
Kapittel 1: Generell gjennomgang av ny hvitvaskingslov og tilhørende forskrift 1.1. Generelt om hovedinnholdet i hvitvaskingsregelverket Innholdet i hvitvaskingsregelverket kan deles i tre hovedtemaer: Plikt for rapporteringspliktige til å kreve legitimasjon av kunder ved etablering av kundeforhold og ved enkelte transaksjoner, samt plikt for institusjonene til å oppbevare kopi av legitimasjonsdokumentene samt transaksjonsopplysninger. Plikt til å undersøke mistenkelige transaksjoner, og plikt til å rapportere til ØKOKRIM, dersom mistanken ikke avkreftes ved nærmere undersøkelser. Plikt for rapporteringspliktige til å opprette rutiner, iverksette opplæringsprogrammer og utpeke særskilt person på ledelsesnivå med ansvar for håndteringen av hvitvaskingssaker og saker vedrørende terrorfinansiering. 1.2. Hvorfor har vi regler om tiltak mot hvitvasking av utbytte og terrorfinansiering? For kriminelle er det svært viktig å kunne gjøre seg nytte av utbytte fra straffbare handlinger. Det er et viktig kriminalpolitisk mål at kriminalitet ikke skal lønne seg. Hindring av hvitvasking av utbytte og inndragning av utbytte fra kriminell virksomhet, er derfor viet stor oppmerksomhet fra myndighetene. Reglene om tiltak mot hvitvasking av utbytte er også ment å beskytte institusjonene mot å bli utnyttet av kriminelle, med fare for at institusjonene kan tape renommé, tillit og penger. Når kreditt- og finansinstitusjoner brukes til hvitvasking av utbytte av kriminell virksomhet, er det fare for at såvel vedkommende institusjons eller foretaks soliditet og stabilitet som troverdigheten til det finansielle system i sin alminnelighet skades, og at dette derved mister publikums tillit. Forord til rådsdirektiv 91/308/EØF 1.3. Internasjonalt regelverk, standarder og anbefalinger på hvitvaskingsområdet Som et ledd i EØS-avtalen er Norge forpliktet til å gjennomføre EUs direktiv med tiltak for å hindre at det finansielle systemet misbrukes til hvitvasking av utbytte i nasjonal rett. Det nye hvitvaskingsregelverket gjennomfører EUs annet hvitvaskingsdirektiv vedtatt 4. desember 2001 (2001/97/EF) om endring av første hvitvaskingsdirektiv (91/308/EØF) om forebyggende tiltak mot bruk av det finansielle systemet til hvitvasking av utbytte. En viktig side ved tiltak mot hvitvasking av utbytte, samt tiltak mot terrorfinansiering, er den internasjonale samordningen som Norge bidrar til, bl.a. gjennom deltakelse i FATF (Financial Action Task Force on Money Laundering). FATF vedtok i juni 2003 40 reviderte anbefalinger med tiltak for å motvirke hvitvasking ( The FATF Forty Recommendations ). Videre vedtok KREDITTILSYNET side 4 av 31
FATF i 2001 åtte spesialanbefalinger med tiltak mot terrorfinansiering ( FATF Special Recommendations on Terrorist Financing ). Det vises her til FATFs nettsted, www.fatf-gafi.org, hvor begge sett med anbefalinger er publisert. I tillegg er det også publisert mye annen nyttig informasjon vedrørende disse temaene på denne hjemmesiden. Selv om norske myndigheter ikke har tatt stilling til om de reviderte FATF-anbefalingene fra juni 2003 utløser behov for ytterligere endringer i det norske hvitvaskingsregelverket, representerer FATFs alminnelige og spesielle anbefalinger meget viktige internasjonale standarder og anbefalinger på området. Basel-komitéen for banktilsyn har identifisert svakheter i mange lands kjenn-din-kunde - rutiner i banker. Komitéen publiserte i oktober 2001 rapporten Customer due diligence for banks, se nettstedet www.bis.org. Rapporten fastsetter nye tilsynsmessige standarder og er et grunnlag for bankers rutiner og praksis vedrørende kjenn-din-kunde -prinsippet. Rapporten har et videre tilsynsmessig formål og er ikke begrenset til å bekjempe hvitvasking av utbytte gjennom det finansielle systemet. Manglende eller utilstrekkelige kjenn-din-kunde -rutiner i bankene vil kunne utsette bankene for alvorlig kunde- og motpartsrisiko, særlig renommérisiko, juridisk og operasjonell risiko. Som det fremgår ovenfor er det internasjonalt gjennomført en skjerping av regelverk, standarder og anbefalinger på hvitvaskingsområdet. Denne skjerpingen vil også ha betydning for så vel utforming som praktisering av det norske hvitvaskingsregelverket. 1.4. Tiltak for å motvirke terrorhandlinger og terrorfinansiering Tiltak for å motvirke terrorhandlinger og terrorfinansiering omfattes også av dette regelverket. Slike handlinger omfattes derfor av undersøkelses- og rapporteringsplikten i det nye hvitvaskingsregelverket ved at det flere steder i regelverket vises til forhold som omfattes av straffeloven 147a eller 147b. De to bestemmelsene i straffeloven er nærmere omtalt i Ot.prp. nr. 72 (2002-2003), s. 10: FN-konvensjonen 9. desember 1999 om bekjempelse av finansiering av terrorisme (terrorfinansieringskonvensjonen) og FNs sikkerhetsråds resolusjon 1373 er gjennomført i norsk rett ved endringslov 28. juni 2002 nr. 54. Det er bl.a. innført et nytt straffebud i straffeloven 147 a, som uttrykkelig retter seg mot terrorhandlinger. Enkelte nærmere angitte straffbare handlinger skal nå anses som terrorhandlinger dersom de utføres med det forsett loven nevner. Videre er det gjort straffbart å inngå forbund (avtale) om å begå slike handlinger. Det er dessuten vedtatt et nytt straffebud i straffeloven 147 b, som rammer finansiering av terrorisme. Bestemmelsen rammer det å skaffe til veie økonomiske midler eller stille finansielle tjenester til rådighet for terrorister eller terrornettverk. Videre er det vedtatt nye regler om båndlegging av verdier som har tilknytning til terrorvirksomhet. Reglene innebærer at påtalemyndigheten på nærmere vilkår kan frata siktede rådigheten over formuesgoder, først og fremst for å forhindre fremtidige straffbare handlinger. 1.5. Hvem bør lese rundskrivet? Hvitvaskingslovens 4 regulerer hvilke rapporteringspliktige regelverket gjelder for. Denne opplistingen er gjengitt nedenfor under 1 Virkeområde. Innad hos de rapporteringspliktige KREDITTILSYNET side 5 av 31
bør både ledere, medarbeidere som særlig arbeider med transaksjoner, oppgjørsfunksjoner, og internkontrollen ha inngående kunnskap til hvitvaskingsregelverket. Den rapporteringspliktiges hvitvaskingsansvarlige, jf. hvitvaskingslovens 13 tredje punktum og forskriftens 11 første ledd, har en særskilt plikt til å sette seg inn i regelverket. (Se nærmere omtale under 11 nedenfor.) Styret må som ledd i gjennomføring av internkontrollen forsikre seg om at regelverket blir fulgt, og bør således kjenne hovedtrekkene i regelverket. 1.6. Straffe- og administrative sanksjoner Det gjøres oppmerksom på at rapporteringspliktige som forsettlig (mot bedre vitende) overtrer eller medvirker til overtredelse av bestemmelsene i hvitvaskingsloven med tilhørende forskrift kan straffes med bøter, eller under særlig skjerpende omstendigheter med fengsel inntil 1 år, dersom forholdet ikke går inn under noen strengere straffebestemmelse. Det vises her til hvitvaskingslovens 16. I tillegg kan Kredittilsynet, som forvaltnings- og tilsynsorgan, iverksette administrative tiltak. Det vises her til hvitvaskingslovens 17 Pålegg og tvangstiltak. KREDITTILSYNET side 6 av 31
Kapittel 2: Gjennomgang av enkeltbestemmelser i den nye hvitvaskingsforskriften Kredittilsynets kommentarer i det følgende har samme systematikk som forskriften. 2.1. 1 Virkeområde Forskriftsbestemmelsens 1 angir virkeområdet for regelverket med tiltak mot hvitvasking av utbytte, og terrorfinansiering ved å vise til 4 i hvitvaskingsloven. Lovens 4 første og annet ledd lyder som følger: 1 finansinstitusjoner, 2 Norges Bank, 3 e-pengeforetak, 4 foretak og personer som driver virksomhet som består i overføring av penger eller pengefordringer, 5 verdipapirforetak, 6 forvaltningsselskaper for verdipapirfond, 7 forsikringsselskap, 8 pensjonskasser, 9 postoperatører ved formidling av postsendinger, 10 verdipapirregistre, 11 andre foretak hvis hovedvirksomhet er omfattet av punktene 2 til 12 og 14 i vedlegg I til direktiv 2000/12/EF om adgang til å starte og utøve virksomhet som kredittinstitusjon, herunder utlånsvirksomhet, fondsmegling, betalingsformidling, finansiell leasing, rådgivnings- eller andre tjenester knyttet til finansielle transaksjoner samt utleie av bankbokser. Loven gjelder også for følgende juridiske og fysiske personer i utøvelsen av deres yrke: 1 statsautoriserte og registrerte revisorer, 2 autoriserte regnskapsførere, 3 eiendomsmeglere og boligbyggelag når det drives eiendomsmegling, 4 forsikringsmeglere, 5 prosjektmeglere, 6 valutameglere, 7 advokater og andre som ervervsmessig eller stadig yter selvstendig juridisk bistand, når de bistår eller opptrer på vegne av klienter ved planlegging eller utførelse av finansielle transaksjoner eller transaksjoner som gjelder fast eiendom eller løsøregjenstander som nevnt i nr. 8; 8 forhandlere av gjenstander, herunder auksjonsforretninger, kommisjonærer og lignende, ved transaksjoner i kontanter på 40 000 norske kroner eller mer eller et tilsvarende beløp i utenlandsk valuta. Transaksjoner med betalingskort omfattes kun når det er bestemt i forskrift fastsatt av departementet; 9 personer og foretak som mot vederlag tilbyr tilsvarende tjenester som nevnt i nr. 1 til 8. KREDITTILSYNET side 7 av 31
Nærmere om verdipapirregistre (Verdipapirsentralen) Hvitvaskingslovens 4 første ledd nr. 10 Det fremgår av hvitvaskingslovens 4 første ledd nr. 10 at regelverket også gjelder i de tilfeller verdipapirregistre selv velger å være kontofører. Videre gjelder regelverket når verdipapirregisteret benytter annen kontofører som ikke er underlagt hvitvaskingsregelverket. I slike tilfeller må registeret selv eller annen kontofører utføre legitimasjonskontrollen mv. som følger av lov og forskrift. I lov om verdipapirregistre heter det at verdipapirregisteret selv fastsetter regler om bruk av eksterne kontoførere, og at slike regler skal godkjennes av Kredittilsynet, jf. verdipapirregisterloven 1-2. Det stilles derfor krav om utarbeidelse av regler for kontroll av legitimasjonsplikten mv. etter hvitvaskingsforskriften eller tilsvarende regler etter sitt hjemlands rett og Kredittilsynets godkjenning av disse, før kontoførere som ikke er underlagt hvitvaskingsregelverket kan benyttes. Det vises her til lov om hvitvasking 4 tredje ledd, hvor det heter at loven gjelder også for foretak og personer som utfører tjenester på vegne av eller for rapporteringspliktige. Nærmere om virksomheter som fremgår av vedlegget til det konsoliderte bankdirektivet - hvitvaskingslovens 4 første ledd nr. 11 Det fremgår av hvitvaskingslovens 4 første ledd punkt 11 at foretak hvis hovedvirksomhet er omfattet av punktene 2-12 og 14 i vedlegg til det konsoliderte bankdirektivet (Rådsdirektiv 2000/12/EF av 20. mars 2000) også omfattes av hvitvaskingsregelverket. Kopi av dette vedlegget følger rundskrivet. Et eksempel på slik virksomhet er foretak som bare driver valutavirksomhet iht. kapittel 4a Valutavirksomhet i lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner. Hvitvaskingsregelverkets anvendelse på filialer Det fremgår videre av hvitvaskingslovens 3 første ledd at loven også gjelder for filialer av utenlandske foretak, som er etablert i Norge. Eksempel på dette er filial av banker og andre kredittinstitusjoner med hovedsete i annen stat innen Det europeiske økonomiske samarbeidsområdet (EØS), jf. 7 i forskrift 2. mai 1994 nr. 326 om filial av banker og andre kredittinstitusjoner med hovedsete i annen stat innen Det europeiske økonomiske samarbeidsområde, m.m. Utkontraktering mv. Det fremgår videre av hvitvaskingslovens 4 tredje ledd at hvitvaskingsregelverket også gjelder for foretak og personer som utfører tjenester på vegne av eller for rapporteringspliktige. Hvitvaskingsregelverket kommer således til anvendelse for rapporteringspliktige ved alle former for utkontraktering av konsesjonspliktig virksomhet, samt for enhver bruk av agenter og uavhengige distributører. Se nærmere omtale av dette under punkt 2.7.2.3 nedenfor. Videre kommer hvitvaskingsregelverket til anvendelse på enhver bruk av vikarer og alle former for temporær arbeidskraft. Inkassoforetak og regulerte markeder Hvitvaskingslovens 4 siste ledd hjemler adgang til ved forskrift å gi hvitvaskingsregelverket anvendelse for inkassoforetak og regulerte markeder. Det er ikke på tidspunktet for utsendelse av rundskrivet vedtatt slike forskrifter. KREDITTILSYNET side 8 av 31
2.2. 2 Etablering av kundeforhold Bestemmelsen fastsetter når kundeforholdet anses etablert iht. hvitvaskingsregelverket. Det vises i forskriftsbestemmelsen til hvitvaskingslovens 5 (identitetskontroll) hvor det fremgår av lovbestemmelsens første ledd første punktum at Rapporteringspliktige skal ved etablering av kundeforhold kreve gyldig legitimasjon av kunden. Det forhold at det er etablert et kundeforhold med en rapporteringspliktig utløser også flere andre plikter for den rapporteringspliktige, som er nærmere regulert i hvitvaskingsregelverket. Hovedinnholdet i disse pliktene er gjengitt i punkt 1.1. av dette rundskrivet. Det fremgår av forskriftsbestemmelsens første ledd at kundeforholdet anses etablert når kunden kan bruke den rapporteringspliktiges tjenester ( ). Kredittilsynet tolker bestemmelsen dit hen at kundeforholdet anses etablert på det tidligste tidspunktet kunden kan gjøre bruk av den rapporteringspliktiges tjenester. Det er således ikke adgang til å utsette gjennomføring av identitetskontrollen til eksempelvis første innbetaling til kontoen, eller første gang kunden bruker kortet osv. Det er i forskriftsbestemmelsens 2 første ledd gitt to eksempler på tidspunktet for etablering av kundeforhold: ( ) ved opprettelse av konto eller utstedelse av betalingskort. Tidspunktet for etablering av kundeforhold må konkret vurderes for de respektive tjenestene som rapporteringspliktige tilbyr. Kredittilsynet vil for enkelte eksempler i det følgende gi veiledning for når kundeforholdet anses etablert, og kravet til legitimasjonskontroll utløses: For innskuddskonti vil det være ved opprettelse av konto det vil si ved inngåelsen av kontoavtalen. Rapporteringspliktige kan ikke her vente med å utføre identitetskontrollen til første transaksjon (inn-, utbetaling, bruk av kort osv.) med kontoen er gjennomført. Ved salgsfinansiering, eksempelvis av biler, skal legitimasjonskontrollen gjennomføres senest når kunden har en mulighet til å overta formuesgjenstanden. Her vil forhandler eller leverandør kunne foreta legitimasjonskontrollen på vegne av finansinstitusjonen, jf. forskriftens 8 annet ledd og hvitvaskingslovens 4 annet ledd nr. 8 (utkontraktering). Når det gjelder betalings- og kredittkort, er det to typetilfeller som gjennomgås her: - Der kunden søker om kontokreditt, som disponeres med kort, skal legitimasjonskontrollen gjennomføres ved personlig fremmøte hos forhandler eller leverandør samtidig med at kontokredittavtalen inngås. Alternativt kan kontrollen gjennomføres ved at kunden personlig mottar kortet i rekommandert sending i posten (se nærmere om dette under punkt 2.7.2.5. nedenfor). - Der kunden søker om kort, som ikke har tilknytning til et konkret kjøp av vare eller tjeneste, skal identitetskontrollen gjennomføres i forbindelse med at kunden personlig mottar kortet i rekommandert sending i posten. Hvis kortet er et bedriftskort, eller på annen måte er et kort som kunden får utstedt pga. sitt ansettelsesforhold eller lignende, kan kontrollen gjennomføres ved at bedriften, organisasjonen eller lignende garanterer for kundens identitet. En forutsetning KREDITTILSYNET side 9 av 31
for en slik ordning er at den aktuelle juridiske personen, som garanterer for kundens identitet, har legitimert seg iht. hvitvaskingsforskriftens 6. Ved tegning av finansielle instrumenter må legitimasjonskontrollen være foretatt før papirene overføres til kundens VPS-konto og før kunden kan foreta en innbetaling av penger. Legitimasjonskontrollen må derfor senest skje når det er besluttet å foreta tildeling til kunden. I de tilfellene foretaket også må opprette VPS-konto for kunden, skal legitimasjonskontrollen skje når denne opprettes, jf. 1 ovenfor og omtalen av verdipapirregistre. Tegning av finansielle instrumenter kan skje via Internett, men legitimasjonskontrollen av kunden må foretas før det skjer en overføring av tildelingen til kundens VPS-konto. I tilknytning til corporate-finance -tjenester anses verdipapirforetaket å ha etablert et kundeforhold når det har inngått avtale om å påta seg et oppdrag, herunder rådgivning, tilrettelegging, garantistillelse og andre tjenester. Legitimasjonskontroll må derfor foretas innen eller ved signering av mandatavtale. Hvitvaskingsreglene, herunder kravet til identitetskontroll av kunder, vil gjelde alle oppgaver verdipapirforetaket påtar seg i tilknytning til corporate-finance-virksomheten. For eksempel vil hvitvaskingsreglene gjelde ved oppdrag om utarbeidelse av tilbudsdokument og prospekt som verdipapirforetaket påtar seg, jf. verdipapirhandelloven 4-13 og 5-5. Dersom det utføres oppdrag uten skriftlig oppdragsavtale, skal legitimasjonskontrollen foretas når det inngås muntlig avtale, dvs. når verdipapirforetaket påtar seg oppdraget. Forskriftsbestemmelsens 2 annet ledd og følgende foretar en gjennomgang av når kundeforholdet anses etablert for de nye gruppene av rapporteringspliktige: Statsautoriserte og registrerte revisorer anses for å ha etablert et kundeforhold når de har inngått avtale om å påta seg et oppdrag, herunder rådgivning og andre tjenester eller sendt revisorerklæring til Foretaksregisteret. Dette innebærer at hvitvaskingsreglene, herunder kravet til identitetskontroll av kunder, i hovedsak vil gjelde alle oppgaver revisor påtar seg. For eksempel vil hvitvaskingsreglene gjelde ved attestasjonsoppdrag revisor påtar seg i medhold av revisorloven 1-1 tredje ledd annet punktum. Autoriserte regnskapsførere anses for å ha etablert et kundeforhold når de har inngått skriftlig oppdragsavtale med oppdragsgiver, eller oppdrag som forutsetter skriftlig avtale, jf. regnskapsførerloven 3. Det fremgår av regnskapsførerloven 3 at det skal opprettes skriftlig oppdragsavtale med oppdragsgiverne. 3 gjelder regnskapsføreroppdrag. Regnskapsføring er definert i regnskapsførerloven 2 første ledd som utføring av oppdragsgivers plikter etter regnskapslovgivningen og utarbeidelse av oppgaver og opplysninger for oppdragsgiver som denne skal gi i henhold til lov eller forskrift. Kredittilsynet mener at hvitvaskingsregelverket i all hovedsak vil gjelde alle oppdrag som en regnskapsfører normalt påtar seg. Det vil også for eksempel gjelde i de tilfeller der regnskapsfører ikke utfører selve regnskapsføringen, men kun påtar seg rådgivning. En forutsetning er da at rådgivningen kan ha betydning for utarbeidelse av offentlige oppgaver, eksempelvis selvangivelse og regnskap. Kredittilsynet vurderer behovet for å gi veiledning til problemstillinger som har særlig betydning for revisorer og regnskapsførere i et eget rundskriv. Et slikt særlig rundskriv vil foreligge innen utløpet av første halvår 2004. KREDITTILSYNET side 10 av 31
Eiendomsmeglere, boligbyggelag og advokater som driver eiendomsmegling plikter å foreta identitetskontroll iht. hvitvaskingsforskriften når det er etablert et kundeforhold i forbindelse med et eiendomsmeglingsoppdrag. Det følger av lov om eiendomsmegling 3-2 at avtaler om eiendomsmeglingsoppdrag skal inngås skriftlig på fastsatt blankett. Det innebærer at det etableres et kundeforhold når oppdragsskjema undertegnes, jf. hvitvaskingsforskriftens 2 fjerde ledd. Dette omfatter både salgs- og kjøpsoppdrag. I tillegg til identitetskontroll av oppdragsgiver skal det foretas identitetskontroll av kjøper før oppdraget gjennomføres. Dette skjer naturlig i forbindelse med kontraktsinngåelse, og forutsetter vanligvis kjøpers personlige fremmøte. Dersom det ikke avholdes kontraktsmøte, og kjøperen ikke i nærvær av eiendomsmegler undertegner kontrakten, må identitetskontrollen skje ved utkontraktering iht. forskriftens 8 annet ledd. Dersom eiendomsmegler innhenter kopi av legitimasjon til bruk ved tinglysning/registrering, er det tilstrekkelig. Det er nok at det oppbevares en kopi av legitimasjonsdokumentet på saksmappen. Kopien skal oppbevares i 10 år, jf. forskrift om eiendomsmegling 4-5 og hvitvaskingsforskriften 15 annet ledd. 2.3. 4 Krav til legitimasjonsdokumenter mv. (fysiske personer) Forskriftsbestemmelsen fastsetter hvilke krav som skal stilles til legitimasjonsdokumentene ved etablering av kundeforhold med fysiske personer. Det fremgår av hvitvaskingslovens 5 første ledd første punktum at: Rapporteringspliktige skal ved etablering av kundeforhold kreve gyldig legitimasjon av kunden. Plikten gjelder også for den rapporteringspliktiges ansatte. Som gyldig legitimasjon regnes alltid skriftlig legitimasjon. Det fremgår videre av forskriftsbestemmelsens første ledd at det skal fremlegges skriftlig legitimasjon ved etablering av kundeforhold. Regjeringen har 9. mars 2004 fremmet et lovforslag til sidestilling av skriftlig (visuell) legitimasjon og elektronisk legitimasjon (lov 15. juni 2001 nr. 81 om elektronisk signatur, som omfatter kvalifisert sertifikat). Før det er foretatt nødvendig endring av hvitvaskingsregelverket, vil ikke elektronisk legitimasjon kunne godkjennes som gyldig legitimasjon iht. hvitvaskingsregelverket. Det fremgår videre av 4 første ledd at legitimasjonsdokumentene skal fremlegges i original eller bekreftet kopi. Hovedregelen er at legitimasjonsdokumentet skal fremlegges i original. Det er bare unntaksvis at en kan godta bekreftet kopi, eksempelvis i tilfelle hvor en person som søker om visum må sende de originale legitimasjonsdokumentene til ambassaden, eller konsulatet. Det var i den tidligere hvitvaskingsforskriften (forskrift 7. februar 1994 nr. 118) 3 første ledd inkludert en opplisting over personer som kunne foreta en slik bekreftelse: postfunksjonær, herunder landpostbud, politiet, advokat, statsautorisert og registrert revisor. Videre var det godtatt at annen institusjon som nevnt i 1 i forskriften, dvs. samtlige foretak som var omfattet av forskriften, også kunne foreta slik bekreftelse. I praksis utfører normalt ikke disse forannevnte personene og foretakene en slik bekreftelsesfunksjon i noe stort omfang. Selv om forannevnte opplisting ikke er videreført i den nye hvitvaskingsforskriften, vil en kunne godta at de her nevnte personer/institusjoner foretar en slik bekreftelse. Videre vil en kunne godta at samtlige rapporteringspliktige iht. hvitvaskingslovens 4 første og annet ledd med unntak av annet ledd nr. 8 (forhandlere), foretar en slik bekreftelse. Kredittilsynet anser denne opplistingen som uttømmende. KREDITTILSYNET side 11 av 31
4 første ledd fastsetter videre hvilke opplysninger legitimasjonen skal inneholde. Det er ikke nødvendig at all informasjon finnes i ett særskilt dokument. Det må være tilstrekkelig at det fremlegges flere legitimasjonsdokumenter som samlet inneholder den legitimasjonen som kreves. Legitimasjonsdokumentet(ene) skal for fysiske personer inneholde: fullt navn navnetrekk fotografi fødselsnummer (11 siffer), evt. D-nummer, eller for diplomater og NATO-personell særskilt nummer D-nummer kan tildeles fysisk person, som ikke fyller vilkåret for å få tildelt fødselsnummer, og som bl.a. er i kundeforhold med norsk bank eller annen institusjon som er underlagt reglene i finansieringsvirksomhetsloven, se forskrift om D-nummer fastsatt av skattedirektoratet 14. februar 1995. Det er det aktuelle foretaket som rekvirerer D-nummeret. Det fremgår av hvitvaskingslovens 5 første ledd at legitimasjonsdokumentet skal være gyldig. Det er nærmere regulert i forskriftens 4 første ledd at legitimasjonsdokumenter som fremlegges skal være utstedt av offentlig myndighet, eller av annet organ hvis kontrollrutiner for dokumentutstedelse er betryggende, og der det er allment akseptert at dokumentet for øvrig har et tilfredsstillende sikkerhetsnivå. Kredittilsynet tolker forskriftsbestemmelsen dit hen at legitimasjonsdokumentene må være anerkjent enten som landsdekkende, eller tilsvarende internasjonalt (eksempelvis innenfor EØS-området). Det innebærer at kort utstedt lokalt, eller for begrenset bruk i en bedrift, skole eller universitet, forening, lag osv. ikke kan aksepteres som gyldig legitimasjon. Videre må legitimasjonsdokumentene være gyldige på dato. Av legitimasjonsdokumenter som må anses å tilfredsstille kravene til kontrollrutiner og sikkerhetsnivå nevnes: gyldig pass eller annet godkjent reisedokument bankkort (norsk) førerkort original og duplikat (dog ikke førerkort av eldre dato grønt førerkort ) Forsvarets ID-kort. Dette kortet vil bli erstattet med Forsvarsdepartementets ID-kort i løpet av 2004. Postens ID-kort utstedt etter 1. oktober 1994 EU-kort Asylsøkerbevis. Det kan imidlertid være forhold omkring utstedelse og bruk av slike asylsøkerbevis som gjør at de etter en konkret vurdering anses uegnet til legitimasjonsformål. En del dokumenter, så som bankkort utstedt i en viss periode, inneholder ikke fullt fødselsnummer (11 siffer). Ved fremleggelse av dokument uten fullt fødselsnummer, må institusjonen i tillegg kreve fødselsnummeret dokumentert, for eksempel ved ligningsattest eller fødselsnummerkort fra Folkeregisteret. Av dokumenter som ikke kan antas å tilfredsstille hvitvaskingsregelverket nevnes: KREDITTILSYNET side 12 av 31
kredittkort, faktureringskort o.l. Postens identitetskort fra før 1. oktober 1994 månedskort for buss, trikk, tog o.l. medlemskort i foreninger o.l. identitetskort utstedt av skoler, universiteter For fysiske personer som ikke er tildelt norsk fødselsnummer, eller D-nummer skal det fremlegges tilfredsstillende legitimasjon som inneholder: kundens fulle navn opplysninger om fødselsdato fødested kjønn statsborgerskap. Dersom den rapporteringspliktige er kjent med at kunden har to statsborgerskap, skal dette registreres som en tilleggsopplysning. I tillegg fremgår det av hvitvaskingslovens 6 at følgende informasjon om kunden alltid skal registreres ved etablering av kundeforhold: fast adresse Det fremgår av forskriftsbestemmelsens 4 siste ledd at legitimasjonsplikten, som fremgår av første ledd, også gjelder for den eller de som er gitt disposisjonsrett over kontoen eller depotet, eller som er gitt rett til å gjennomføre transaksjonen. 2.4. 5 Tilfeller hvor kunden ikke kan fremlegge legitimasjonsdokument Bestemmelsen hjemler en mulighet for i særlige unntakstilfeller å etablere kundeforhold, eller gjennomføre en transaksjon selv om kunden ikke kan fremlegge et tilfredsstillende legitimasjonsdokument. Vilkåret er at institusjonen er sikker på kundens identitet, har grunn til å anta at kunden ikke har legitimasjon og at det på grunn av kundens alder og helse er urimelig å kreve at vedkommende skaffer seg legitimasjon. Som eksempler kan nevnes konti som etableres for mindreårige, for eksempel dåpsbarn. I slike tilfeller skal den rapporteringspliktige på annet vis innhente og registrere opplysninger om kunden iht. hvitvaskingslovens 6: 1 fullt navn eller firma, 2 personnummer, organisasjonsnummer, D-nummer eller, dersom kunden ikke har slikt nummer, annen entydig identitetskode, 3 fast adresse, 4 referanse til legitimasjon som har støttet identitetskontrollen Bestemmelsen gjelder ikke i forhold til personer som foretar hyppige og store transaksjoner. Selv om det i utgangspunktet kan være vanskelig å vite om en står overfor et slikt kundeforhold, må rapporteringspliktige her utøve et konkret og forsvarlig skjønn. En bør her legge til grunn at såkalte innsamlingskonti, eksempelvis for veldedige organisasjoner, ikke kan unntas fra kravet til å fremlegge legitimasjonsdokument. Kredittilsynet viser her også til at rapporteringspliktige ved etablering av kundeforhold med juridisk person skal følge de kravene som fremgår av forskriftens 6 fjerde ledd, og som innebærer at en fysisk person på vegne av KREDITTILSYNET side 13 av 31
den juridiske personen legitimerer seg. Se nærmere om dette nedenfor under omtalen av 6 fjerde ledd. 2.5. 6 Krav til legitimasjonsdokumenter mv. (juridiske personer) Forskriftsbestemmelsen fastsetter hvilke krav til legitimasjonsdokumenter som gjelder for juridiske personer. For juridisk person som er registrert i Foretaksregisteret skal firmaattest, som ikke er eldre enn 3 måneder, fremlegges. Kredittilsynet legger til grunn at følgende kan godtas når det gjelder firmaattester: - Originalattest, eventuelt kopi bekreftet iht. retningslinjene gjengitt under 4 ovenfor - Utskrift fra Brønnøysundfaksen - Utskrift av fullstendige og korrekte selskapsopplysninger, som ikke er eldre enn 3 måneder, hentet fra Brønnøysundregistrene fra foretak som har konsesjon fra Datatilsynet til å drive kredittopplysningsvirksomhet, (eksempelvis Dun & Bradstreet, CreditInform, Lindorff m.fl.) For juridisk person som er registrert i Enhetsregisteret, men ikke i Foretaksregisteret, skal det fremlegges utskrift fra Enhetsregisteret som ikke er eldre enn 3 måneder, og som inneholder alle registrerte opplysninger om enheten som nevnt i enhetsregisterloven 5 og 6 annet ledd. Juridisk person som ikke er registrert i Enhetsregisteret, men som er registrert i annet offentlig register, skal dokumentere lignende, entydig identifiserende kjennetegn, opplysninger om navn (firma), adresse for forretningssted eller hovedkontor og eventuelt utenlandsk organisasjonsnummer, og opplyse om hvilket offentlig register, i eller utenfor riket, som kan verifisere opplysningene. Forskriftsbestemmelsens siste ledd fastsetter en ny plikt til å foreta identitetskontroll iht. hvitvaskingslovens 5, og registrere opplysninger iht. samme lovs 6 for en fysisk person på vegne av den juridiske personen. Bestemmelsen lyder: Dersom det er på det rene eller sannsynlig at den juridiske personen ikke er registrert i et offentlig register, skal det kreves legitimasjon etter hvitvaskingsloven 5 og registreres opplysninger etter hvitvaskingslovens 6, for en fysisk person på vegne av den juridiske personen. Denne plikten er begrenset til å gjelde for etablering av kundeforhold med juridisk person som ikke er registrert i Brønnøysundregistrene. Det typiske eksemplet her er slike foreninger, lag, sameier, aksjespareklubber, veldedige organisasjoner, herunder innsamlingskonti osv., som ikke omfattes av registreringsplikten etter foretaksregisterlovgivningen. Forskriftsbestemmelsen fastsetter en registreringsplikt for en fysisk person på vegne av den juridiske personen i rapporteringspliktiges kundedatabaser. Det innebærer at kundeforholdet blir registrert på den aktuelle fysiske personen. Hvilken fysisk person dette skal være, vil bero på den juridiske personens art, herunder angjeldende virksomhets vedtak om signaturberettigede og/eller disposisjonsinnehaver. Den fysiske personen kan være daglig KREDITTILSYNET side 14 av 31
leder, formann eller styreleder. Det kan også være medlem, deltaker, sameier, initiativtaker, disponent eller fullmektig, dersom den juridiske personen ikke har daglig leder, formann eller lignende. Opplistingen er ikke uttømmende. Dersom registreringsplikten ikke oppfylles, kan ikke kundeforholdet etableres. Dersom den aktuelle fysiske personen ikke er disponent og/eller fullmektig for kundeforholdet, skal denne også legitimere seg, og registrere opplysninger iht. hvitvaskingslovens 5 og 6. Rapporteringspliktige må kontrollere at det hos kunden er fattet vedtak om at den angjeldende fysiske personen har rett til å forplikte den juridiske personen. Formålet med den nye bestemmelsen om identitetskontroll og registreringsplikt for en fysisk person på vegne av den juridiske personen, er å begrense tildeling av konstruerte kundenummer ved slik etablering av kundeforhold. Finansinstitusjonene har i varierende utstrekning tildelt ikke-registreringspliktige juridiske personer slike konstruerte kundenummer. Mange rapporteringspliktige foretak har imidlertid oppfordret slike kunder til å la seg frivillig registrere i Enhetsregisteret, og dermed bli tildelt et organisasjonsnummer. Alternativt har rapporteringspliktige oppfordret en fysisk person med tilknytning til den juridiske personen å låne ut sine personalia i forbindelse med registreringen av kundeforholdet. Bakgrunnen for denne nye legitimasjonsplikten er også FATFs spesialanbefaling nr. 8 Nonprofit organisations, som omhandler misbruk av slike organisasjoner i forbindelse med terrorfinansiering. Når det gjelder tiltak for å motvirke misbruk av slike organisasjoner, vises det for øvrig til FATF-dokumentet av 11. oktober 2002 Combating the Abuse of Non-Profit Organisations: International Best Practises, se www.fatf-gafi.org. Selv om det ikke fremgår uttrykkelig av forskriftsbestemmelsens 6, skal det i ethvert tilfelle hvor juridisk person etablerer et kundeforhold med rapporteringspliktig, også foretas identitetskontroll av den eller de personer som skal disponere kontoen eller depotet, jf. tilsvarende som fremgår i forskriftens 4 siste ledd for fysisk person. Det vises her til hvitvaskingslovens 4 tredje ledd som fastsetter at Loven gjelder også for foretak og personer som utfører tjenester på vegne av eller for rapporteringspliktige. Identitetskontrollen omfatter alle som er gitt disposisjonsrett over kontoen eller depotet, eksempelvis prokurist (lov 21. juni 1985 nr. 21 om prokura), innehaver av stillingsfullmakt eller oppdragsfullmakt. Tilsvarende gjelder også for den eller de som er gitt rett til å gjennomføre en enkeltstående transaksjon. Når det gjelder aksjeselskap under stiftelse, som ikke ved etableringstidspunktet eller transaksjonstidspunktet er blitt registrert i Foretaksregisteret eller Enhetsregisteret, forutsetter Kredittilsynet at institusjonen vil kreve fremlagt stiftelsesdokumentet i original. Kopi av dette dokumentet må oppbevares av institusjonen i samsvar med bestemmelsen i forskriftens 15. I tillegg må det kreves samme form for legitimasjon som for fysiske personer som nevnt i forskriftens 4, eller den eller de som er gitt disposisjonsrett over kontoen eller depotet. 2.6. 7 Unntak fra plikten til å kreve legitimasjon I 7 første ledd bokstav a gjøres det unntak fra legitimasjonsplikten, og plikten til å registrere opplysninger hvis kunden er en finansinstitusjon, jf. finansieringsvirksomhetslovens 1-4 (forretnings- og sparebanker, forsikringsselskaper, og finansieringsforetak), og for verdipapirforetak og forvaltningsselskaper for verdipapirfond. Unntaket gjelder også for slike utenlandske foretak underlagt tilsvarende regelverk som oppfyller de legitimasjonskravene som stilles i Rådsdirektiv av 4. desember 2001 om tiltak for å hindre at det finansielle system brukes til hvitvasking (2001/97/EF), og i tillegg er underlagt tilsynsordning av EØS- KREDITTILSYNET side 15 av 31
standard. Land med tilsynsordning av EØS-standard antas, foruten EU/EØS-land, i hvert fall å omfatte Australia, Canada, Hong Kong, Japan, New Zealand, Singapore, Sveits, Tyrkia og USA (som alle er medlemmer av FATF Financial Action Task Force on Money Laundering). De nye landene som blir medlem av EU i løpet av første halvår 2004, vil etter hvert oppfylle kravene til tilsynsordning av EØS-standard når de får nødvendig regelverk på plass. Det er ennå ikke tatt stilling til hvorvidt de nye FATF-landene Brasil, Mexico, Argentina, og de siste medlemslandene Russland og Sør-Afrika, har tilsynsordning av EØS-standard. 2.6.1. Unntak fra kravet til legitimasjonskontroll for enkelte forsikringsavtaler I henhold til 7 bokstav b) til e) plikter ikke forsikringsselskaper å foreta legitimasjonskontroll, eller registrere opplysninger ved etablering av kundeforhold for de tilfeller som er opplistet i forskriftens 7 b) til e). De aktuelle unntakene omfatter tilfeller hvor hvitvaskingsfaren anses begrenset, herunder for forsikringsavtaler som omfatter mindre beløp. Kredittilsynet legger her til grunn at fripoliser under 1G (Folketrygdens grunnbeløp), som overføres til IPA (Individuelle Pensjonsavtaler), også omfattes av unntaket fra kravet til identitetskontroll i bokstav d). Kredittilsynet legger videre til grunn at unntaket fra kravet til identitetskontroll også omfatter pensjonsordninger iht. lov 24. mars 2000 nr. 16 om foretakspensjon. Hvitvaskingsregelverkets øvrige bestemmelser vil imidlertid gjelde for forsikringsselskaper, herunder opprettelse av forsvarlige kontroll- og kommunikasjonsrutiner, opplæring av personell og undersøkelse og rapportering av mistenkelige transaksjoner til ØKOKRIM. Det skal også utpekes en hvitvaskingsansvarlig på ledelsesnivå. 2.7. 8 Kontroll av legitimasjonsdokumentene mv. Forskriftsbestemmelsen regulerer gjennomføringen av identitetskontrollen, herunder kontroll av legitimasjonsdokumentene. Det vil her innledningsvis bli redegjort for hvilke situasjoner som utløser krav til identitetskontroll (2.7.1.). Deretter vil det bli foretatt en gjennomgang av selve gjennomføringen av legitimasjonskontrollen (2.7.2.). 2.7.1. Hvilke situasjoner som utløser krav til identitetskontroll Det fremgår av hvitvaskingslovens 5 at det er tre situasjoner som utløser plikt for rapporteringspliktige til å foreta identitetskontroll. Disse tre situasjonene er regulert i lovbestemmelsens 5 første, annet og tredje ledd, som lyder som følger: 1. Rapporteringspliktige skal ved etablering av kundeforhold kreve gyldig legitimasjon av kunden. Det er beskrevet nærmere under punkt 2.2 ( 2) ovenfor når kundeforhold anses etablert. 2. Ved transaksjoner som gjelder 100.000 norske kroner eller mer, for kunder som den rapporteringspliktige ikke på forhånd har et etablert kundeforhold til, skal det kreves legitimasjon som nevnt i første ledd. Beløpsgrensen beregnes samlet for transaksjoner som gjennomføres i flere operasjoner som ser ut til å kunne ha sammenheng med KREDITTILSYNET side 16 av 31
hverandre. Dersom beløpet ikke er kjent når transaksjonen gjennomføres, skal identitetskontrollen utføres så snart den rapporteringspliktige blir kjent med beløpet og at det overstiger beløpsgrensen." Begrepet transaksjon er definert i hvitvaskingslovens 2 nr. 2 og omfatter enhver overføring, formidling, ombytting eller plassering av formuesgoder". 3. Den rapporteringspliktige skal i alle tilfeller kreve legitimasjon som nevnt i første ledd, dersom den har mistanke om at transaksjonen har tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffeloven 147 a eller 147 b. Legitimasjonsplikten kommer til anvendelse ved førstegangs etablering av kundeforhold, jf. lovens alternativ nr. 1. Kundeforhold omfatter ikke enkeltstående transaksjoner, jf. lovens alternativ nr. 2. Slike transaksjoner kan etter omstendighetene omfattes av legitimasjonsplikten iht. alternativ 2 og 3 ovenfor. Det stilles ikke krav om legitimasjonsplikt ved enhver senere utvidelse av kundeforhold innen samme institusjon (f.eks. etablering av ny konto, tegning av ny forsikringspolise o.l.). Institusjonen skal imidlertid være sikker på identiteten til kunden ved enhver pleie og utvidelse av kundeforholdet. Legitimasjonsplikten gjelder ved alle typer nyetableringer av kundeforhold, hvilket også innbefatter tjenester som ytes ved bl.a. telefonbank, nettbaserte tjenester mv. Legitimasjonsplikten ved etablering av kundeforhold gjelder uten hensyn til beløp. Rapporteringspliktige organisert i konsern har selvstendige plikter og kan ikke uten videre basere seg på legitimasjonskontroll utført av annen institusjon i konsernet. Men det kan imidlertid inngås avtaler med andre rapporteringspliktige i konsernet om at disse skal kunne utføre legitimasjonskontroll som hjemlet i forskriftens 8 annet ledd, se nedenfor. I konsernforhold kan det gjennomføres en felles identitetskontroll forutsatt at kundeforholdene etableres samtidig. En forutsetning for å godta en slik kontroll er at hver enkelt juridisk enhet i konsernet oppbevarer kopi av legitimasjonsdokumentene iht. forskriftens 15, se nedenfor. Identitetskontroll som er foretatt tidligere av en annen rapporteringspliktig (i eller utenfor konsernforhold) kan imidlertid ikke legges til grunn ved etablering av kundeforhold. Den automatiske legitimasjonsplikten ved transaksjoner som gjelder kr. 100.000 eller mer iht. hvitvaskingslovens 5 annet ledd, gjelder ikke ved kontohavers innskudd og uttak fra egen konto. Legitimasjonsplikten ved transaksjoner over kr. 100.000 for kunder som ikke allerede har etablert et kundeforhold, gjelder uansett om transaksjonen gjennomføres i én operasjon eller flere som antas å ha tilknytning til hverandre. I denne sammenheng må en institusjon med flere kontorer anses som én institusjon. Et kontor som mottar et oppdrag, plikter således å se denne i sammenheng med andre gjennomførte transaksjoner, hvis man kjenner til de øvrige transaksjonene. KREDITTILSYNET side 17 av 31
2.7.2. Gjennomføring av identitetskontrollen Forskriftens 8 første ledd regulerer selve gjennomføringen av legitimasjonskontrollen, hvor kjenn din kunde -prinsippet er helt sentralt. Ved etablering av et kundeforhold med en rapporteringspliktig kan kunden få adgang til det finansielle systemet. Identitetskontrollen er derfor et helt sentralt element i tiltakene mot hvitvasking av utbytte, og mot terrorfinansiering. En forsvarlig legitimasjonskontroll vil nødvendigvis innebære ressursbruk og kostnader for den enkelte institusjonen. I tillegg til å motvirke hvitvasking av penger og terrorfinansiering, vil en velfungerende legitimasjonskontroll også kunne bidra til å redusere institusjonenes motpartsrisiko og således en fare for økonomiske tap og tap av renommé. Hovedregelen ved identitetskontrollen, er at kunden skal møte personlig hos primærforetaket, dvs. foretaket som inngår avtalen med kunden, slik at institusjonen kan kontrollere at kundens utseende og navnetrekk stemmer overens med fotografi og navnetrekk på legitimasjonsdokumentene. Det vises her til hvitvaskingslovens 5 fjerde ledd første punktum. Dersom primærforetaket ikke har filialnett, eksempelvis hvor finansielle tjenester tilbys elektronisk, kan primærforetaket iht. forskriftens 8 annet ledd utkontraktere identitetskontrollen til de virksomheter og juridiske personer som fremgår av hvitvaskingslovens 4 første og annet ledd. Identitetskontrollen skal også her skje ved personlig fremmøte i foretaket kontrollen utkontrakteres til. Det fremgår av hvitvaskingslovens 5 fjerde ledd annet punktum at det er to typetilfeller hvor rapporteringspliktige kan gjøre unntak fra kravet til personlig fremmøte hos primærforetaket ved gjennomføring av legitimasjonskontrollen. Lovbestemmelsen lyder som følger: Dersom personlig fremmøte er til vesentlig ulempe for kunden eller ikke er praktisk gjennomførbart, kan det gjøres unntak fra dette kravet, såfremt betryggende identitetskontroll likevel kan finne sted. 1 Første unntak relaterer seg til kundens forhold. Dette unntaket omfatter situasjoner hvor det vil være meget problematisk, eller byrdefullt for kunden å møte personlig ved legitimasjonskontrollen, eksempelvis ved sykdom eller alder. Dette unntaket er nærmere beskrevet under punkt 2.7.2.1. nedenfor. 2 Andre unntak, foretakets forhold, omfatter tilfeller hvor det ikke vil være praktisk gjennomførbart med personlig fremmøte hos primære rapporteringspliktige. Dette unntaket er nærmere omtalt nedenfor under punkt 2.7.2.2. For at kravet om betryggende identitetskontroll iht. hvitvaskingslovens 5 fjerde ledd annet punktum (se ovenfor) skal kunne oppfylles, vil rapporteringspliktige her måtte følge fremgangsmåten i hvitvaskingsforskriftens 8 annet ledd, som innebærer at primærforetaket kan inngå skriftlig avtale (generell eller i enkeltstående tilfeller) med de virksomheter og juridiske personer som fremgår av hvitvaskingslovens 4 første og annet ledd. En slik avtale innebærer en utkontraktering av identitetskontrollen, og er beskrevet nærmere nedenfor. Primærforetaket har fortsatt ansvaret for at identitetskontrollen gjennomføres iht. lov og forskrift. Denne metoden for legitimasjonskontroll kan eksempelvis anvendes av rapporteringspliktig som ikke har filialnett, herunder hvor rapporteringspliktige tilbyr sine tjenester elektronisk. KREDITTILSYNET side 18 av 31
2.7.2.1. Unntak hvor personlig fremmøte vil være til vesentlig ulempe for kunden Hvitvaskingslovens 5 fjerde ledd annet punktum første alternativ gir en adgang til å unnlate personlig fremmøte i institusjonen hvis et slikt fremmøte vil være til vesentlig ulempe for kunden og betryggende kontroll likevel kan gjennomføres. Bestemmelsens vesentlighetskrav medfører at det må være sterkt tyngende for kunden å møte personlig i institusjonen. Kravet til at legitimasjonskontrollen må være betryggende er et absolutt krav som også gjelder hvor personlig fremmøte vil være til vesentlig ulempe for kunden. Eksempler på slike mulige unntak: Dersom en person er transportudyktig pga. sykdom, handikap eller en tilsvarende situasjon som utelukker fremmøte i institusjonen Dersom en person er anbrakt i en fengselsinstitusjon Dersom geografisk avstand kan medføre at unntaksbestemmelsen kommer til anvendelse Kravet om personlig fremmøte er grunnleggende og sterkt i legitimasjonsprosessen. Dersom det foreligger vesentlig ulempe, bør institusjonen vurdere om det er praktisk mulig å oppsøke kunden, dvs. at legitimasjonskontrollen også kan skje i møte hos kunden. Også i dette tilfellet er det krav om at betryggende kontroll likevel kan gjennomføres. 2.7.2.2. Unntak hvor personlig fremmøte ikke vil være praktisk gjennomførbart i primærforetaket I dette tilfellet kan det gjøres unntak fra kravet til personlig fremmøte i primærforetaket, dvs. foretaket som inngår finansavtalen, eller tilsvarende avtale med andre rapporteringspliktige. En forutsetning for å gjøre unntak fra kravet om personlig fremmøte i primærforetaket, er at det gjennomføres en forsvarlig legitimasjonskontroll med personlig fremmøte hos annen rapporteringspliktig, ved utkontraktering iht. hvitvaskingsforskriftens 8 annet ledd: Rapporteringspliktige kan inngå skriftlig avtale med annen rapporteringspliktig etter hvitvaskingsloven 4 første og annet ledd om å utføre legitimasjonskontroll som nevnt i første ledd for den rapporteringspliktige. Den primære rapporteringspliktige har i slike tilfeller ansvaret for at legitimasjonskontrollen utøves på forsvarlig måte i samsvar med lov og forskrift og for at det etableres forsvarlige rutiner i samsvar med 10 fjerde ledd og 16. Denne metoden for identitetskontroll innebærer at primærforetaket utkontrakterer legitimasjonskontrollen til de virksomheter og foretak som er opplistet i hvitvaskingslovens 4 første og annet ledd. Den aktuelle opplistingen er gjengitt ovenfor under 1. Hvitvaskingsregelverket hjemler også adgang til å overlate identitetskontrollen til andre virksomheter og foretak enn de som følger av 4 første og annet ledd. I slike tilfelle kan eksempelvis agenter og uavhengige distributører av rapporteringspliktiges produkter utføre legitimasjonskontrollen på vegne av rapporteringspliktig (ikke utkontraktering). Slike agenters virksomhet er for øvrig nærmere regulert i Kredittilsynets rundskriv 37/94 av 30. august 1994 Om bruk av agenter, opplysningsplikt overfor låntakere og regnskapsføring av etableringsgebyr. Det fremgår således av rundskriv 37/94, punkt 1.1 at finansinstitusjoner skal melde slike agentforhold til Kredittilsynet. Det fremgår av hvitvaskingslovens 4 tredje ledd at Loven gjelder også for foretak og personer som utfører tjenester på vegne av eller for KREDITTILSYNET side 19 av 31
rapporteringspliktige. Rapporteringspliktige har i slike tilfelle det hele og fulle ansvaret for at agenter og uavhengige distributører opptrer i samsvar med hvitvaskingsregelverket, herunder at det gjennomføres forsvarlig identitetskontroll og opplæring av samtlige personer som utfører slike tjenester. 2.7.2.3. Nærmere om utkontraktering av identitetskontrollen Det følger av forskriftsbestemmelsen 8 annet ledd at slik avtale skal inngås skriftlig. En slik avtale bør utformes iht. prinsippene som følger av kulepunktene under utkontraktering nedenfor. Videre bør det fremgå av avtalen at de personene som gjennomfører identitetskontrollen på vegne av primærforetaket, plikter å ta kopi av legitimasjonsdokumentene, stemple bekreftet kopi, påføre navnet på det personalet som har gjennomført legitimasjonskontrollen i blokkbokstaver, samt signere for gjennomføring av identitetskontrollen og sende dette materialet til primærforetaket som har etablert kundeforholdet. Kredittilsynet har observert at kvaliteten på slike kopier av legitimasjonsdokumenter er varierende. Kredittilsynet vil understreke at kopier skal være godt leselige både mht. bilde, stempel, navn og underskrift. Primærforetaket plikter å oppbevare slike opplysninger iht. forskriftens 15. Alminnelige ulovfestede prinsipper og vilkår for utkontraktering, som fremgår av NOU 2001: 23 Finansforetakenes virksomhet, kapittel 5, s. 28-30: Bortsetting (outsourcing) av tjenester, vil gjelde i slike tilfeller. Det vises til følgende punkter: Rapporteringspliktiges styre skal fortsatt ha ansvaret for den virksomheten som utkontrakteres. Rapporteringspliktiges styre må ha fastsatt retningslinjer for utkontrakteringen. Avtalen med oppdragstaker må gi nødvendig grunnlag for informasjon, innsyn og tilsyn fra tilsynsmyndighetene, tilsvarende som når tilsynsenhetene selv forestår de aktuelle aktivitetene. Det må fremgå av skriftlig avtale hvilken virksomhet som utkontrakteres. Avtalen må gi tilsynsenheten adgang til å instruere oppdragstaker og til revisjon av den utkontrakterte virksomheten. Rapporteringspliktige må selv ha kompetanse til å vurdere om oppdragstaker utfører oppdraget tilfredsstillende. Rapporteringspliktige skal fortløpende ha mulighet til å identifisere og kontrollere de risikoene som er knyttet til utkontraktering av oppgavene. Rapporteringspliktige skal ha en plan for å løse de problemene som kan oppstå dersom oppdragstaker ikke makter å utføre oppdraget. Rapporteringspliktige må sikre rimelig rett til oppsigelse av avtalen under betryggende forhold til alternativ løsning er etablert. KREDITTILSYNET side 20 av 31