Presiseringer av hvitvaskingsreguleringen for PSD2 aktører
‹ Tilbake til artikler
Hvitvaskingsregelverket pålegger rapporteringspliktige å gjennomføre kundetiltak før etablering av kundeforhold. Hvem som anses som kunde og når kundeforholdet anses etablert er problemstillinger som mange aktører innen betalingstjenestesegmentet har støtt på. Finanstilsynets Rundskriv 4/2022 (Veileder til hvitvaskingsloven) har på disse punktene gitt ytterligere veiledning - noen presiseringer og noen vesentlige endringer.
Hvem er rapporteringspliktig etter hvitvaskingsregelverket?
PSD2-direktivet introduserte i 2019 nye tredjepartsaktører for betalingstjenester, henholdsvis betalingsfullmektig (“Payment Initiation Service Provider - PISP”) og kontoinformasjons- fullmektig (“Account Information Service Provider - AISP”). Med konsesjon som PISP, kan virksomheten initiere transaksjoner på vegne av kundene, mens med tillatelse som AISP får virksomheten opplysninger og oversikt om en kundes betalingskontoer uten å gjennomføre transaksjoner.
PISP og AISP omtales ofte begge som betalingstjenester. Aktører som har rett til å yte betalingstjenester er rapporteringspliktig etter hvitvaskingsregelverket, jf. hvitvaskingsloven (hvvl.) § 4 (1) bokstav g.
AISP aktører er imidlertid i mange tilfeller unntatt fra forpliktelsene etter hvitvaskingsloven. Av finansforetaksforskriften § 2-17 (2) fremgår det at hvitvaskingsloven gjelder ikke for opplysningsfullmektiger som kun har tillatelse til å tilby kontoinformasjonstjenester.
Utgangspunktet har følgelig vært at PISP tjenester er rapporteringspliktig, mens AISP tjenester har vært unntatt. Den nye veilederen til hvitvaskingsloven introduserer imidlertid en presisering som resulterer i at AISP tjenester likevel - i noen tilfeller - blir rapporteringspliktig.
AISP som “ny” rapporteringspliktig tjeneste
I Finanstilsynets nye veileder legges det til grunn at der kontoinformasjonstjenesten (AISP tjenesten) ytes av rapporteringspliktige foretak (eksempelvis banker og betalingsforetak), er kontoinformasjonstjenesten også omfattet av hvitvaskingsregelverket.
Det innebærer at rapporteringspliktige foretak som også tilbyr AISP tjenester, plikter å gjennomføre kundetiltak og løpende oppfølging av kundeforhold mv. for kunder som benytter seg av disse tjenestene. Det gjelder også der kunder kun benytter seg av AISP tjenestene og ingen av de andre tjenestene som krever tillatelse.
Tidligere har praksisen i stor grad vært preget av at betalingsforetak har holdt AISP tjenesten adskilt fra de andre tjenestene og kun gjort kundetiltak overfor de tjenestene som krever tillatelse.
1 Rundskriv 4/2022 Veileder til hvitvaskingsloven pkt. 1.2.3
Veiledningen fra Finanstilsynet går altså utover det som har vært praksisen til nå.
Det kan forklares ved at i disse tilfellene - hvor rapporteringspliktige foretak også tilbyr AISP tjenester - vil ikke opplysningsfullmektigen kun ha tillatelse til å tilby kontoinformasjonstjenester. Unntaket i finansforetaksforskriften § 2-17 (2) kommer derfor ikke lenger til anvendelse, og da er utgangspunktet at AISP er som betalingstjeneste rapporteringspliktig etter hvvl. § 4 (1) bokstav g.
Virksomheter som er rapporteringspliktige etter hvitvaskingsregelverket, som også tilbyr AISP tjenester, må derfor iverksette tiltak som er egnet til å håndtere den presiseringen som den nye veilederen har introdusert. Se nærmere om hvitvaskingsrisiko og tips til implementering under.
Hvem er kunde?
En annen viktig presisering som den nye veilederen gir er knyttet til hvem som anses som kunde. Problemstillingen ble særlig aktualisert i 2022 da den svenske Finansinspektionen bøtela et betalingsforetak som følge av at foretaket hadde gjennomført kundetiltak mot feil kunde.
Hvem som er kunde avhenger av hvem det ytes en rapporteringspliktig tjeneste til, jf. forutsetningsvis av hvvl. § 10.
Virksomheter som yter betalingstjenester vil i mange tilfeller yte tjenester til både betalere og betalingsmottakere og det er da helt essensielt å avklare hvem som skal anses som kunde etter hvitvaskingsregelverket.
Finanstilsynet presiserer i den nye veilederen at det i utgangspunktet er betaleren som anses som kunde.3 Det vil gjelde i de tilfellene hvor betalingsfullmektigen etablerer et kundeforhold med en kunde som ønsker å benytte tjenesten til å gjennomføre betalingstransaksjoner.
I andre tilfeller etablerer betalingsfullmektigen kundeforhold med betalingsmottakeren. Det kan for eksempel være et reiseselskap som skal motta innbetalinger for flybilletter og hotellopphold eller en arrangør som skal motta betalinger for konsertbilletter. I slike tilfeller legger Finanstilsynet til grunn at betalingsmottakeren som anses som kunde.2
Virksomheter som yter betalingstjenester til både en betaler og en betalingsmottaker, bør derfor foreta en vurdering av hvem som anses som kunde og som det skal gjennomføres kundetiltak mot.
Når skal kundetiltak gjennomføres?
Rapporteringspliktige skal gjennomføre kundetiltak før etablering av kundeforhold, jf. hvvl. § 10. Et kundeforhold anses etablert når kunden kan benytte den rapporteringspliktiges tjenester.
2 Den svenske Finansinspektionen
3 Rundskriv 4/2022 Veileder til hvitvaskingsloven pkt. 4.1.2.11
Enkelte virksomheter som yter betalingstjenester, tilbyr også andre tjenester som ikke krever konsesjon. I slike tilfeller er det avgjørende å foreta en vurdering av når kundetiltak skal gjennomføres.
I den nye veilederen presiserer Finanstilsynet at kundeforholdet anses etablert på det tidspunktet kunden får tilgang til den rapporteringspliktiges tjeneste som krever tillatelse.4
Det fremgår av veilederen at i de tilfellene hvor rapporteringspliktige tilbyr en tjeneste som ikke krever tillatelse, og denne tjenesten ikke tilbys sammen med andre tjenester som krever tillatelse, er det normalt ikke etablert et kundeforhold som krever kundetiltak etter hvitvaskingsloven.
Finanstilsynet eksemplifiserer dette med betalingsforetak som også tilbyr teleabonnement eller reisebyråtjenester hvor salg av et produkt ikke har noen tilknytning til den konsesjonspliktige tjenesten. Det avgjørende er følgelig at tjenestene ikke tilbys sammen eller for øvrig har noen tilknytning til hverandre.
Rapporteringspliktige virksomheter som tilbyr andre produkter og tjenester som ikke krever tillatelse og som ikke har tilknytning til den konsesjonspliktige tjenesten, bør derfor ta stilling til når kundeforholdet er etablert og følgelig når kundetiltak skal gjennomføres.
Hvitvaskingsrisiko for PSD2 aktører
Ny Nasjonal risikovurdering for 2022 har oppjustert risikoen for betalingsforetak fra betydelig til høy. Betalingsforetak er imidlertid en gruppe bestående av mange ulike foretak, deriblant PSD2 aktørene, og risikoen kan variere innad i denne gruppen.
Den gamle Nasjonale risikovurderingen for 2020 presiserte at betalingstjenestene PISP og AISP, ikke i seg selv er tjenester som utgjør noen signifikant hvitvaskingsrisiko.6 Denne formuleringen er fjernet i den nye Nasjonale risikovurderingen for 2022.
Da det ikke lenger gis noen veiledning i den Nasjonale risikovurderingen om hvordan risiko for PSD2 tjenestene skal vurderes, må ytterligere veiledning søkes i andre kilder. Det kan for eksempel vises til The European Banking Authority (EBA) sine Guidelines on revised ML TF Risk Factors fra 2021 hvor det fremgår at risikoen for disse tjenestene er begrenset.7 Det samme utgangspunktet tas i den danske Hvidvaskingsvejleder fra 2020 med hensyn til risikoen for betalingsinitieringstjenester.8
4 Rundskriv 4/2022 Veileder til hvitvaskingsloven pkt. 4.1.2.3
5Nasjonal risikovurdering 2022 pkt. 4.3
6 Nasjonal risikovurdering 2020 pkt. 3.7.7
7 Guidelines on revised ML TF Risk Factors avsn. 21
8 Vejledning om lov om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme (hvidvaskloven) pkt. 3.2.5
PSD2 aktører bør derfor oppdatere sine risikovurderinger og særskilt vurdere egen risiko ut fra de endringene som den nye Nasjonale risikovurderingen for 2022 innebærer. Den Nasjonale risikovurderingen skal brukes som en basis for mer detaljerte risikoanalyser for egen sektor, og det kan argumenteres for at PSD2 aktører har en lavere iboende risiko enn det den Nasjonale risikovurderingen for 2022 gir uttrykk for. Slike vurderinger må i alle tilfeller begrunnes og dokumenteres.
Det er uansett grunn til å tro at Finanstilsynet - ut fra en risikobasert tilnærming - vil intensivere sine tilsyn mot betalingsforetak ettersom denne gruppen nå er oppjustert i risiko.
Lavere risiko - større ansvar?
Selv om hvitvaskings- og terrorfinansieringsrisikoen for PSD2 aktører kan være begrenset, kan PSD2 aktørenes tilgang på data- og informasjonsgrunnlag tilsi et større ansvar i kampen mot finansiell kriminalitet.
Det fremheves blant annet i den nye Nasjonale risikovurderingen at betalingsforetak som tilbyr tjenester som kobles opp mot andre tekniske løsninger, eller mot andre finansforetak, kan medføre at ikke all informasjon knyttet til en transaksjon blir synlig for de rapporteringspliktige, men i stedet blir fragmentert.
Leverandører av PISP og AISP tjenester har i mange tilfeller et større data- og informasjonsgrunnlag enn andre finansforetak. De vil for eksempel kunne ha større muligheter til å avdekke plutselige økninger eller reduksjoner i beholdning på en rekke konti i ulike finansforetak, mens finansforetakene på sin side kun vil se beholdningen på egne konti.
Det innebærer at selv om betalingstjenestene kan være lite egnet til hvitvasking og terrorfinansiering, kan leverandørene av disse tjenestene måtte ta et større ansvar som rapporteringspliktig som følge av deres tilgang på informasjon.
Forholdet til behandling av personopplysninger
Etterlevelse av hvitvaskingsregelverket står i et kontinuerlig spenningsforhold med hensynet til personvern. Som følge av PSD2 aktørers tilgang på informasjon om kontoaktivitet og transaksjoner, kreves det særlig aktsomhet i behandlingen av opplysninger som kan knyttes til enkeltpersoner.
Om kort tid kommer vi til å publisere et blogginnlegg om hvitvaskingsregelverket og forholdet til behandling av personopplysninger.
PwC bistår i implementeringen
Virksomheter som har rett til å yte betalingstjenester anbefales å implementere de presiseringene som treffer virksomheten. Det gjelder ikke bare i det skriftlige rammeverket, men også i den faktiske etterlevelsen.
9 Nasjonal risikovurdering 2022 pkt. 4.3
PwC har laget en handlingsplan for dette, som benyttes når vi bistår våre kunder.
Ta kontakt dersom du har spørsmål eller behov for bistand!
Malene Rasmussen
Hei, mitt navn er Malene Tellnes Rasmussen. Jeg er advokatfullmektig i Advokatfirmaet PwC og arbeider innen finansiell kriminalitet. Jeg har god erfaring fra operativt arbeid i finanssektoren og bistår en rekke foretak i etterlevelsen av hvitvaskingsregelverket og håndteringen av sanksjons- og frysforpliktelser. Dersom du har spørsmål eller behov for bistand, er du velkommen til å ta kontakt med meg.
Max Gudmundsen
Hei, jeg heter Max Ekornrud Gudmundsen og jeg er advokat i Advokatfirmaet PwC. Jeg har spisskompetanse innen antihvitvasking, terrorfinansiering og sanksjoner og leder PwC Bergen sitt team innen finansiell kriminalitet. Vi bistår en rekke foretak innen hvitvasking- og sanksjonsregelverket, herunder GAP-analyser, utarbeidelse av rutiner og risikovurderinger, konsesjonssøknader, internrevisjon, implementering av regelverk og opplæring. Ta gjerne kontakt med meg om du har spørsmål eller ønsker bistand.
Legg igjen en kommentar