Hvitvasking – regelverksguide 2023

Publisert 02.03.2023 av Eleonore Foss  Harald Sætermo 

Hvitvaskingsregelverket tar sikte på å forebygge og avdekke hvitvasking og terrorfinansiering. Finansbransjen er godt kjent med regelverket og har gjennomgående gode rutiner for håndtering av hvitvaskingsrisiko, men regelverket er under konstant utvikling og den praktiske etterlevelsen er ofte utfordrende. I denne artikkelen gir vi en innføring i regelverket og en kort oppdatering på status i 2023.

1. BAKGRUNN – HVA?

Hvitvasking vil si å ta del i, eller bidra til å sikre, konvertere eller skjule utbyttet av en straffbar handling. Som terrorfinansiering regnes finansiering av terrorhandlinger, terrororganisasjoner og individuelle terrorister. Hvitvaskingsregelverket skal være et skjold mot slike kriminelle aktiviteter. Det er bygget opp basert på mange års nasjonal og internasjonal erfaring i hvordan man skal tette de kriminelles vei inn i den legale økonomien og å hindre terrorfinansiering.  

Någjeldende hvitvaskingslov og den tilhørende hvitvaskingsforskriften trådte i kraft 15. oktober 2018. Loven er den tredje norske hvitvaskingsloven siden 2004, og er basert på arbeidet i den internasjonale samarbeidsgruppen Financial Action Task Force (FATF) og EUs hvitvaskingsregelverk. Loven gjennomfører EUs fjerde hvitvaskingsdirektiv (EU) 2015/849. Videre er endringer iht. EUs femte hvitvaskingsdirektiv (EU) 2018/843 hensyntatt ved endringer i forskrift til hvitvaskingsloven vedtatt 31.05.2021.

Det er mange aktører som må bidra til at hvitvaskingsregelverket overholdes, herunder banker og andre finansforetak. For å bidra til at alle gjør sitt, utøves det tilsyn fra det offentlige med overholdelsen. I all hovedsak er det Finanstilsynet som fører tilsyn med at rapporteringspliktige overholder hvitvaskingsregelverket, men også Tilsynsrådet for advokatvirksomhet og Lotteritilsynet (spilltjenester) er sektorvise tilsynsmyndigheter.

For aktører som bryter regelverket, kan det medføre pålegg og tvangsmulkt, forbud mot ledelsesfunksjoner og verv, overtredelsesgebyr, bøter og i ytterste konsekvens fengselsstraff.

2. PLIKTSUBJEKTENE – HVEM?

Lovens pliktsubjekter defineres som rapporteringspliktige. Av juridiske personer omfatter dette blant annet finansforetak, verdipapirforetak, verdipapirsentraler (tidl. verdipapirregistre) i angitte situasjoner, forvaltningsselskap for verdipapirfond, forsikringsforetak, samt forsikringsformidlingsforetak, foretak som driver depotvirksomhet, AIF forvaltere og låneformidlingsforetak.

Filialer av utenlandske foretak er også rapporteringspliktige under det norske hvitvaskingsregelverket. Dette innebærer at filialen er forpliktet til å etterleve det norske regelverket uavhengig av hvilke prosesser som styres etter gjeldende rett i hjemlandet for hovedkontoret. Filialen må derfor påse at norske krav og reguleringer etterleves. 

De personene som vil omfattes av loven i yrkesøyemed er overordnet revisorer, regnskapsførere, advokater som bistår ved finansielle transaksjoner eller transaksjoner som gjelder fast eiendom etter nærmere angitte vilkår, eiendomsmeglere og -foretak, tilbydere av virksomhetstjenester, personer med begrenset tillatelse til å yte betalingstjenester og tilbydere av spilltjenester.

3. LOVENS PLIKTER – HVA BØR BANKENE OG FORETAK HA KONTROLL PÅ?

3.1. Virksomhetsinnrettet risikovurdering
Loven pålegger den rapporteringspliktige å gjøre en virksomhetsinnrettet risikovurdering. Denne skal være utgangspunktet for den rapporteringspliktiges implementering av hvitvaskingsregelverket.

Risikovurderingen tar sikte på å kartlegge og beskrive den rapporteringspliktiges risiko for hvitvasking og terrorfinansiering. Hvitvaskingsloven gir selv lite veiledning for utarbeidelse av risikovurderingen, men tilsynspraksis og -veiledning vil være retningsgivende.

Risikovurderingen bør både inneholde en vurdering av iboende risiko (eksponering mot hvitvaskingsrisiko og terrorfinansieringsrisiko), foretakets tiltak og eventuelle svakheter og sårbarheter ved disse, samt såkalt restrisiko. Både potensiell og faktisk risiko skal omfattes. Det kan benyttes malverk fra bransjeforeninger, men disse må anvendes med øye for at det er den rapporteringspliktiges egne vurderinger av risikoen ved den konkrete virksomheten som skal ligge til grunn for risikovurderingen. I tilsynspraksis for banker og finansforetak synes det å være gjennomgående påpekt at rutiner basert på malverk, det være seg bransjerelaterte eller konserninterne, i for liten grad har vært konkretisert og tilpasset foretakets konkrete risiko.

Terrorfinansieringsrisikoen skal alltid skal vurderes, også i de tilfeller der det antas at konklusjonen er at risikoen er lav. Dette synes også å være i fokus ved stedlige tilsyn.

Ved utarbeidelsen av risikovurderingen, skal både interne kilder (kunnskap og erfaring fra egen virksomhet) og eksterne kilder danne grunnlaget for risikovurderingen. Det forventes som et minimum at rapporteringspliktige benytter vurderinger og anbefalinger fra tilsynsmyndigheter, Politidirektoratet og PST. Rapporteringspliktige må også være kjent med egne bransjeorganisasjoners eventuelle vurderinger av risiko, samt rapporter fra Økokrim, Kripos, PST og NTAES som er relevant for bestemte produkter/tjenester.

Konsultering av kilder fra EU-kommisjonen, FAFT og EBAs Risk Factor Guidelines vil også være forventet kildebruk for finansforetak, samt for mellomstore og store foretak.

Risikovurderingen bør oppdateres minimum årlig, og for øvrig ved behov. Ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering, oppdaterte erfaringer fra den rapporteringspliktige selv eller eksterne kilder, samt ved publisering av nye risikovurderinger fra myndigheter og bransjeorganisasjoner – bør hensyntas.

Fra tilsynspraksis kan man også merke seg at følgende har vært påpekt:

  • Manglende tilpassing av risikovurdering og risikoklassifisering etter norske forhold.
  • Manglende hensyntaken til kombinasjonsrisiko knyttet til ulike kunder, kundegrupper, produkter og tjenester, mv., samt produktrisiko hensyntatt kriminelle trender.
  • Manglende hensyntaken til mulig nøkkelpersonrisiko hos den rapporteringspliktige. Dette gjelder spesielt for filialer av utenlandske foretak, ved at de som sitter i ansvarlige stillinger er tilknyttet hovedkontoret og ikke nødvendigvis er tilstede i den norske filialen.

3.2. Rutiner
Rapporteringspliktige skal også utarbeide operasjonelle rutiner som beskriver hvordan den rapporteringspliktige faktisk skal praktisere etterlevelsen av hvitvaskingsregelverket. Det skal være en tydelig sammenheng mellom risikovurderingen og rutinene.

Krav til utarbeidelse av rutinebeskrivelsen følger av hvitvaskingsloven § 8. Både risikovurderingen og rutinene må utarbeides ved skriftlig dokumentasjon som kan fremlegges for tilsynsmyndigheter.

Rutinene må revideres. Det bør minimum gjøres en årlig vurdering av om det er behov for oppdatering eller justeringer i rutinene. I veilederen er det uttalt at det generelt vil være behov for revidering når risikovurderingen oppdateres, ved nye regulatorisk krav, utvikling av nye produkter eller ved andre endringer – det være seg i risikobildet eller i virksomheten.

Mangler ved rutinene er trukket frem av Finanstilsynet ved flere tilsyn det siste året. Manglene består eksempelvis i at rutinene i for stor grad baserer seg på sjekklister og tabeller for utfylling av informasjon, fremfor å beskrive hvordan risiko faktisk vurderes og tiltak iverksettes.

3.3. Risikoklassifisering, kundetiltak og løpende oppfølging
Rutinene skal blant annet angi og beskrive den rapporteringspliktiges risikoklassifisering av kunder, i tillegg til gjennomføring av kundetiltak og løpende oppfølging. Også risikoklassifiseringen av kunder skal gjenspeile funnene i den virksomhetsinnrettede risikovurderingen. Basert på risikoklassifiseringen skal den rapporteringspliktige gjennomføre tilpassede kundetiltak og løpende oppfølging.

Alle kunder skal risikoklassifiseres for å kunne gjennomføre korrekte kundetiltak, jf. hvitvaskingsloven § 9. Klassifiseringen skal bygge på elementer fra den virksomhetsinnrettede vurderingen. Det er anledning til å anvende standardiserte risikoprofiler for kundemassen, men disse må igjen tilpasses virksomhetens konkrete risikoer.

Hvitvaskingsloven skiller mellom alminnelige, forenklede og forsterkede kundetiltak som den rapporteringspliktige skal praktisere i tråd med den konkrete risikoklassifiseringen av kunden.

Mangler ved risikoklassifiseringen er også trukket frem i tilsynsrapportene, blant annet at risikoklassifiseringen av kunder skal være reell, slik at klassifiseringen faktisk differensierer kundemassen etter hvitvaskingsrisiko og ilagte kundetiltak.

Banker, kredittforetak og finansieringsforetak plikter å ha elektroniske overvåkningssystem som en støttefunksjon for å håndtere transaksjonsovervåkning som ledd i den løpende kundeoppfølgingen. Systemene må være tilpasset virksomhetens art og omfang, og generiske verktøy uten mulighet for tilpasninger vil være lite egnet for å oppfylle lovens krav. Bruk av automatisert overvåkning skal likevel ikke gå på bekostning av nødvendige manuelle kontroller. Den rapporteringspliktige må derfor kjenne til hvilke svakheter systemet har, for å sikre oversikt over hvilke ytterligere kontrolltiltak som vil være nødvendige. Et gjennomgående tema i tilsynspraksis er fraværet av flere og mer spesifiserte og diversifiserte regler, scenarioer og terskelnivåer for å fange opp mistenkelige transaksjoner i overvåkningssystemet. Videre har tydelige flagginger og klassifiseringer av transaksjoner vært etterlyst. Den rapporteringspliktige bør sørge for å ha dokumenterte vurderinger av hvilke regler, scenarioer og terskelnivåer som praktiseres i transaksjonsovervåkingen.

3.4. Undersøkelses- og rapporteringsplikt
Der det avdekkes forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, har den rapporteringspliktige en undersøkelsesplikt. Dersom det etter slike nærmere undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, vil den rapporteringspliktige ha en rapporteringsplikt overfor Økokrim.

3.5. Internkontroll og opplæring
Loven oppstiller regler om internkontroll, rollefordeling og opplæring i tilknytning til etterlevelsen av hvitvaskingsregelverket.

Her har flere svakheter blitt påpekt i tilsynsrapportene. Et forhold som kommenteres er at foretakene mangler en tydelig og organisert ansvarsfordeling og evt. delegering i foretaket, herunder i tilknytning til utpekingen av en hvitvaskingsansvarlig jf. hvitvaskingsloven § 8 (5) og en etterlevelsesansvarlig jf. hvitvaskingsloven § 35 (2).

Mens den hvitvaskingsansvarlige i utgangspunktet skal være en person i ledelsen som har en førstelinje kontrollfunksjon og et særskilt ansvar for å følge opp rutinene, er den etterlevelsesansvarlige en andrelinje kontrollfunksjon som gjennom internkontroll i virksomheten skal sørge for at hvitvaskingsregelverket overholdes. Der en hvitvaskingsansvarlig alltid skal utpekes, er utpeking av en etterlevelsesansvarlig kun pålagt dersom en risikovurdering av virksomhetens omfang og art tilsier det.

I tilsynspraksis har Finanstilsynet akseptert at verdipapirforetak har plassert rollen som hvitvaskingsansvarlig hos en operativ leder som er involvert i kundeetablering. Tilsynet har uttalt at også i unntakstilfeller vil små foretak med begrensede ressurser kunne samle kompetansen i andrelinjen. Dette forutsetter imidlertid at foretaket har en dokumentert risikobasert begrunnelse for dette, og at andrelinjen ikke kontrollerer eget arbeid. Den hvitvaskingsansvarlige og den etterlevelsesansvarlige kan ikke være samme person, nettopp for å unngå at andrelinjen kontrollerer sitt eget arbeid.

Den hvitvaskingsansvarliges arbeidsoppgaver kan delegeres til andre i foretaket, der dette er hensiktsmessig. Dette fordrer at den rapporteringspliktige har tilstrekkelige instrukser og rutiner til å håndtere dette. For filialer av utenlandske foretak innad i EØS-området, er det ikke påkrevd med en egen hvitvaskingsansvarlig i den norskeetablerte delen av virksomheten, forutsatt at det finnes en hvitvaskingsansvarlig i foretaket i hjemlandet. Filialen har likevel et selvstendig ansvar for at den norsketablerte delen av virksomheten overholder norsk hvitvaskingsregelverk. Det er derfor anbefalt at det utpekes en eller flere personer med delegerte oppgaver i den norske delen av virksomheten.

Et annet forhold som synes å ha blitt viet oppmerksomhet under Finanstilsynets tilsyn er opplæring internt i foretaket. Hvitvaskingsloven § 36 oppstiller en plikt for den rapporteringspliktige til å sikre nødvendig og tilstrekkelig opplæring innenfor hvitvasking og terrorfinansiering til ansatte og andre som utfører oppdrag for foretaket. I tilsynsøyemed har opplæring i spennet fra styret og ledelsen til midlertidig ansatte vært i fokus, noe som indikerer at rapporteringspliktige bør ha en bred tilnærming til temaet. Videre viser tilsynspraksis at foretaket bør ha en opplæringsplan, og at både planen og gjennomførte opplæringsaktiviteter bør dokumenteres. Opplæringsplanen bør videre reflekteres i den rapporteringspliktiges rutiner.

4. NYERE UTVIKLING PÅ HVITVASKINGSOMRÅDET

Vi følger utviklingen i hvitvaskingsregelverket, både i Norge og i EU. Fra det siste året kan nevnes:

  • Finanstilsynet kom med nytt rundskriv (4/2022) med veileder til hvitvaskingsloven til erstatning for tidligere veiledning i rundskriv 8/2019.
  • EBA publiserte retningslinjer for AML og CFT sommeren 2022. De inneholder en spesifikasjon av rollen og ansvaret for compliance officer og for styringsorgan i kreditt- og finansinstitusjoner.
  • Vi venter på at register over reelle rettighetshavere skal bli opprettet og klart til bruk, forhåpentligvis i løpet av 2023.
  • Lov om reelle rettighetshavere er basert på EUs hvitvaskingsregelverk. Høsten 2022 kom imidlertid EU-domstolen i en sak mot Luxembourg til at bestemmelsen om at opplysningene om reelt eierskap til selskaper skal være tilgjengelig i alle tilfeller for ethvert medlem av allmennheten anses å være i strid med personvernregelverket og måtte kjennes ugyldig. Det er grunn til å tro at dette vil påvirke også det norske regelverket.
  • Foreldelsesfristen for administrative sanksjoner etter hvitvaskingsloven § 49 er utvidet fra to til fem år.
  • Det har vært en rekke saker for Finansklagenemnda knyttet til oppsigelse som følge av manglende dokumentasjon og informasjon fra kunder. De fleste sakene har gått i favør av bankene og finansforetakene.
  • De-risking: Konflikten mellom hvitvaskingsregelverket og kravet til finansiell inkludering og kundenes rett til grunnleggende finansielle tjenester, noe som er tatt opp både av EBA og av Finanstilsynet. Dette har kommet ekstra på spissen som følge av krigen i Ukraina og flyktningene som har kommet til Norge i den forbindelse.
  • Finanstilsynet har publisert tematilsynsrapporter knyttet til internrevisjonsplikten, kontant i butikk og verdipapirforetakenes tiltak mot hvitvasking og terrorfinansiering.
  • EU arbeider med en ny regelverkspakke med sikte på å styrke EUs regler og innsats mot hvitvasking og terrorfinansiering (AML/CFT). Sentralt i det foreslåtte nye regelverket er opprettelse av en ny EU-tilsynsmyndighet for bekjempelse av hvitvasking og finansiering av terrorisme (AMLA - Anti-Money Laundering Authority), som også skal bidra til mer enhetlig AML/CFT-tilsyn i EU/EØS og styrket samarbeid om finansielle etterretning. Norge gav sammen med Island og Liechtenstein en felles høringsuttalelse til regelverkspakken i januar 2022. Det er generelt problematisk med AMLAs foreslåtte overnasjonale karakter dersom den ikke legges under eksisterende tilsynsstruktur etablert gjennom ESA.
  • FATF og EU-kommisjonen har publisert oppdaterte lister over høyrisikoland.

TRENGER DU HJELP MED OVERHOLDELSEN AV HVITVASKINGS-REGELVERKET?

Vi i Rime bistår våre klienter innenfor bank og finans, så vel som i andre bransjer, med overholdelse av regelverket. Det dreier seg om riktig og oppdatert forståelse av reglene, gode rutiner og dokumentasjon, samt håndtering av den praktiske etterlevelsen av regelverket. Dersom du har spørsmål til regelverket eller behov for bistand med overholdelse, er du velkommen til å ta kontakt med oss.

Alle artikler er underlagt våre copyright- og ansvarsbestemmelser, som kan leses her.

Vi er advokater for norske og internasjonale aktører i bank- og finansbransjen. Har du spørsmål til noe som er skrevet her, ta gjerne kontakt med oss:

Utvalgte artikler

08.02.2023

Åpenhetsloven 2023: Hva er åpenhetsloven, hvem omfattes av åpenhetsloven og hva innebærer den?

Åpenhetsloven er en norsk lov som pålegger større …

Les mer
12.12.2022

Kapitalmarkedsunionen – forbedring av clearing, enklere notering, og felles insolvensregler

EUs kapitalmarkedsunion ble lansert i 2015 med det…

Les mer
07.09.2022

Ny finansavtalelov – dette må banker og berørte foretak ha kontroll på

Ny finansavtalelov trådte i kraft 1.1.2023.

Les mer