Hvitvasking – regelverksguide 2024
Hvitvaskingsregelverket tar sikte på å forebygge og avdekke hvitvasking og terrorfinansiering. Finansbransjen er godt kjent med regelverket og har gjennomgående gode rutiner for håndtering av hvitvaskingsrisiko, men regelverket er under konstant utvikling og den praktiske etterlevelsen er ofte utfordrende. I denne artikkelen gir vi en innføring i regelverket og en kort oppdatering på status i 2024.
1. Bakgrunn - hva?
Hvitvasking vil si å ta del i, eller bidra til å sikre, konvertere eller skjule utbytte av en straffbar handling. Som terrorfinansiering regnes finansiering av terrorhandlinger, terrororganisasjoner og individuelle terrorister. Hvitvaskingsregelverket skal være et skjold mot slike kriminelle aktiviteter. Det er bygget opp basert på mange års nasjonal og internasjonal erfaring i hvordan man skal tette de kriminelles vei inn i den legale økonomien og forhindre terrorfinansiering.
Någjeldende hvitvaskingslov og den tilhørende hvitvaskingsforskriften trådte i kraft 15. oktober 2018. Loven er den tredje norske hvitvaskingsloven siden 2004, og er basert på arbeidet i den internasjonale samarbeidsgruppen Financial Action Task Force (FATF) og EUs hvitvaskingsregelverk. Loven gjennomfører EUs fjerde hvitvaskingsdirektiv (EU) 2015/849. Videre er endringer iht. EUs femte hvitvaskingsdirektiv (EU) 2018/843 hensyntatt ved endringer i forskrift til hvitvaskingsloven vedtatt 31.05.2021.
På EU-nivå er man i løpet av 2023 og så langt i 2024 kommet langt på vei i prosessen med et sjette hvitvaskingsdirektiv, som sammen med en single-rulebook forordning, forordning om etablering av en europeisk anti-hvitvaskingsmyndighet («AMLA») og endringer i EUs forordning om overføring av midler («TFR»), utgjør EUs AML-pakke. Dette vil medføre relevante endringer også for Norge, slik at det innen overskuelig fremtid må påregnes korresponderende oppdateringer i norsk rett.
Det er mange aktører som må bidra til at hvitvaskingsregelverket overholdes, herunder banker og andre finansforetak. For å bidra til at alle gjør sitt, utøves det tilsyn fra det offentlige med overholdelsen. I all hovedsak er det Finanstilsynet som fører tilsyn med at rapporteringspliktige overholder hvitvaskingsregelverket, men også Tilsynsrådet for advokatvirksomhet og Lotteritilsynet (spilltjenester) er sektorvise tilsynsmyndigheter.
For aktører som bryter regelverket, kan det medføre pålegg og tvangsmulkt, forbud mot ledelsesfunksjoner og verv, overtredelsesgebyr, bøter og i ytterste konsekvens fengselsstraff.
2. Pliktsubjektene - hvem?
Lovens pliktsubjekter defineres som rapporteringspliktige. Av juridiske personer omfatter dette blant annet finansforetak, verdipapirforetak, verdipapirsentraler (tidl. verdipapirregistre) i angitte situasjoner, forvaltningsselskap for verdipapirfond, forsikringsforetak, samt forsikringsformidlingsforetak, foretak som driver depotvirksomhet, AIF-forvaltere og låneformidlingsforetak.
Filialer av utenlandske foretak er også rapporteringspliktige under det norske hvitvaskingsregelverket. Dette innebærer at filialen er forpliktet til å etterleve det norske regelverket uavhengig av hvilke prosesser som styres etter gjeldende rett i hjemlandet for hovedkontoret. Filialen må derfor påse at norske krav og reguleringer etterleves.
De personene som vil omfattes av loven i yrkesøyemed er overordnet revisorer, regnskapsførere, advokater som bistår ved finansielle transaksjoner eller transaksjoner som gjelder fast eiendom etter nærmere angitte vilkår, eiendomsmeglere og -foretak, tilbydere av virksomhetstjenester, personer med begrenset tillatelse til å yte betalingstjenester og tilbydere av spilltjenester.
3. Lovens plikter - hva bør foretakene ha kontroll på?
Hvitvaskingsregelverket er omfattende og med til dels detaljerte krav. Man kan ikke utelate noe av regelverket som uviktig. Det vi kan kalle bærebjelkene i regelverket kommer likevel oftest i fokus og fortjener derfor ekstra oppmerksomhet. Disse er:
3.1. Virksomhetsinnrettet risikovurdering
Loven pålegger den rapporteringspliktige å gjøre en virksomhetsinnrettet risikovurdering. Denne skal være utgangspunktet for den rapporteringspliktiges implementering av hvitvaskingsregelverket.
Risikovurderingen tar sikte på å kartlegge og beskrive den rapporteringspliktiges risiko for hvitvasking og terrorfinansiering. Hvitvaskingsloven gir selv lite veiledning for utarbeidelse av risikovurderingen, men tilsynspraksis og -veiledning vil være retningsgivende.
Risikovurderingen bør både inneholde en vurdering av iboende risiko (eksponering mot hvitvaskingsrisiko og terrorfinansieringsrisiko), foretakets tiltak og eventuelle svakheter og sårbarheter ved disse, samt såkalt restrisiko. Både potensiell og faktisk risiko skal omfattes. Det kan benyttes malverk fra bransjeforeninger, men disse må anvendes med øye for at den rapporteringspliktiges egne vurderinger av risikoen ved den konkrete virksomheten skal ligge til grunn for risikovurderingen. I tilsynspraksis for banker og finansforetak synes det å være gjennomgående påpekt at rutiner basert på malverk, det være seg bransjerelaterte eller konserninterne, i for liten grad har vært konkretisert og tilpasset foretakets konkrete risiko.
Terrorfinansieringsrisikoen skal alltid vurderes, også i de tilfeller der det antas at konklusjonen er at risikoen er lav. Dette synes også å være i fokus ved stedlige tilsyn.
Ved utarbeidelsen av risikovurderingen, skal både interne kilder (kunnskap og erfaring fra egen virksomhet) og eksterne kilder danne grunnlaget for risikovurderingen. Det forventes som et minimum at rapporteringspliktige benytter vurderinger og anbefalinger fra tilsynsmyndigheter, Politidirektoratet og PST. Rapporteringspliktige må også være kjent med egne bransjeorganisasjoners eventuelle vurderinger av risiko, samt rapporter fra Økokrim, Kripos, PST og NTAES som er relevant for bestemte produkter/tjenester.
Konsultering av kilder fra EU-kommisjonen, FAFT og EBAs Risk Factor Guidelines vil også være forventet kildebruk for finansforetak, samt for mellomstore og store foretak.
Risikovurderingen bør oppdateres minimum årlig, og for øvrig ved behov. Ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering, oppdaterte erfaringer fra den rapporteringspliktige selv eller eksterne kilder, samt ved publisering av nye risikovurderinger fra myndigheter og bransjeorganisasjoner – bør hensyntas.
I avholdte tematilsyn i verdipapirforetak og AIF-forvaltere har mangelfulle – og til dels fullstendig mangel av – risikovurderinger vært flagget. Fra øvrig tilsynspraksis kan man også merke seg at følgende har vært påpekt:
- Manglende tilpassing av risikovurdering og risikoklassifisering etter norske forhold.
- Manglende hensyntaken til kombinasjonsrisiko knyttet til ulike kunder, kundegrupper, produkter og tjenester, mv., samt produktrisiko hensyntatt kriminelle trender.
- Manglende hensyntaken til mulig nøkkelpersonrisiko hos den rapporteringspliktige. Dette gjelder spesielt for filialer av utenlandske foretak, ved at de som sitter i ansvarlige stillinger er tilknyttet hovedkontoret og ikke nødvendigvis er tilstede i den norske filialen
3.2. Rutiner
Rapporteringspliktige skal også utarbeide operasjonelle rutiner som beskriver hvordan den rapporteringspliktige faktisk skal praktisere etterlevelsen av hvitvaskingsregelverket. Det skal være en tydelig sammenheng mellom risikovurderingen og rutinene.
Krav til utarbeidelse av rutinebeskrivelsen følger av hvitvaskingsloven § 8. Både risikovurderingen og rutinene må utarbeides ved skriftlig dokumentasjon som kan fremlegges for tilsynsmyndigheter.
Rutinene må revideres. Det bør minimum gjøres en årlig vurdering av om det er behov for oppdatering eller justeringer i rutinene. I veilederen er det uttalt at det generelt vil være behov for revidering når risikovurderingen oppdateres, ved nye regulatorisk krav, utvikling av nye produkter eller ved andre endringer – både i risikobildet og i virksomheten.
Mangler ved rutinene er trukket frem av Finanstilsynet ved flere tilsyn det siste året. Manglene består eksempelvis i at rutinene i for stor grad baserer seg på sjekklister og tabeller for utfylling av informasjon, fremfor å beskrive hvordan risiko faktisk vurderes og tiltak iverksettes.
3.3. Risikoklassifisering, kundetiltak og løpende oppfølging
Rutinene skal blant annet angi og beskrive den rapporteringspliktiges risikoklassifisering av kunder, i tillegg til gjennomføring av kundetiltak og løpende oppfølging. Også risikoklassifiseringen av kunder skal gjenspeile funnene i den virksomhetsinnrettede risikovurderingen. Basert på risikoklassifiseringen skal den rapporteringspliktige gjennomføre tilpassede kundetiltak og løpende oppfølging.
Alle kunder skal risikoklassifiseres for å kunne gjennomføre korrekte kundetiltak, jf. hvitvaskingsloven § 9. Klassifiseringen skal bygge på elementer fra den virksomhetsinnrettede vurderingen. Det er anledning til å anvende standardiserte risikoprofiler for kundemassen, men disse må igjen tilpasses virksomhetens konkrete risikoer.
Hvitvaskingsloven skiller mellom alminnelige, forenklede og forsterkede kundetiltak som den rapporteringspliktige skal praktisere i tråd med den konkrete risikoklassifiseringen av kunden.
Mangler ved risikoklassifiseringen er også trukket frem i tilsynsrapportene, blant annet at risikoklassifiseringen av kunder skal være reell, slik at klassifiseringen faktisk differensierer kundemassen etter hvitvaskingsrisiko og ilagte kundetiltak.
Hvitvaskingsloven åpner for at rapporteringspliktige etter avtale og på nærmere angitte vilkår kan legge til grunn kundetiltak utført av enkelte spesifiserte tredjeparter, men at dette ikke medfører unntak fra den rapporteringspliktiges plikt til å registrere og lagre opplysninger og dokumenter, eller selve ansvaret for at lovpålagte kundetiltak gjennomføres. Finanstilsynet har i tilsynspraksis påpekt manglende etterlevelse av disse reglene, hvor verdipapirforetak har basert seg på andre foretaks tiltak, herunder depotbanker, kontoførere og samarbeidende verdipapirforetak.
Banker, kredittforetak og finansieringsforetak plikter å ha elektroniske overvåkningssystem som en støttefunksjon for å håndtere transaksjonsovervåkning som ledd i den løpende kundeoppfølgingen. Systemene må være tilpasset virksomhetens art og omfang, og generiske verktøy uten mulighet for tilpasninger vil være lite egnet for å oppfylle lovens krav. Bruk av automatisert overvåkning skal likevel ikke gå på bekostning av nødvendige manuelle kontroller. Den rapporteringspliktige må derfor kjenne til hvilke svakheter systemet har, for å sikre oversikt over hvilke ytterligere kontrolltiltak som vil være nødvendige. Et gjennomgående tema i tilsynspraksis er fraværet av flere og mer spesifiserte og diversifiserte regler, scenarioer og terskelnivåer for å fange opp mistenkelige transaksjoner i overvåkningssystemet. Videre har tydelige flagginger og klassifiseringer av transaksjoner vært etterlyst. Den rapporteringspliktige bør sørge for å ha dokumenterte vurderinger av hvilke regler, scenarioer og terskelnivåer som praktiseres i transaksjonsovervåkingen.
3.4. Undersøkelses- og rapporteringsplikt
Der det avdekkes forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, har den rapporteringspliktige en undersøkelsesplikt. Dersom det etter slike nærmere undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, vil den rapporteringspliktige ha en rapporteringsplikt overfor Økokrim.
3.5. Internkontroll og opplæring
Loven oppstiller regler om internkontroll, rollefordeling og opplæring i tilknytning til etterlevelsen av hvitvaskingsregelverket.
Her har flere svakheter blitt påpekt i tilsynsrapportene. Et forhold som kommenteres er at foretakene mangler en tydelig og organisert ansvarsfordeling og evt. delegering i foretaket, herunder i tilknytning til utpekingen av en hvitvaskingsansvarlig jf. hvitvaskingsloven § 8 (5) og en etterlevelsesansvarlig jf. hvitvaskingsloven § 35 (2).
Mens den hvitvaskingsansvarlige i utgangspunktet skal være en person i ledelsen som har en førstelinje kontrollfunksjon og et særskilt ansvar for å følge opp rutinene, er den etterlevelsesansvarlige en andrelinje kontrollfunksjon som gjennom internkontroll i virksomheten skal sørge for at hvitvaskingsregelverket overholdes. Der en hvitvaskingsansvarlig alltid skal utpekes, er utpeking av en etterlevelsesansvarlig kun pålagt dersom en risikovurdering av virksomhetens omfang og art tilsier det.
I tilsynspraksis har Finanstilsynet akseptert at verdipapirforetak har plassert rollen som hvitvaskingsansvarlig hos en operativ leder som er involvert i kundeetablering. Tilsynet har uttalt at også i unntakstilfeller vil små foretak med begrensede ressurser kunne samle kompetansen i andrelinjen. Dette forutsetter imidlertid at foretaket har en dokumentert risikobasert begrunnelse for dette, og at andrelinjen ikke kontrollerer eget arbeid. Den hvitvaskingsansvarlige og den etterlevelsesansvarlige kan ikke være samme person, nettopp for å unngå at andrelinjen kontrollerer sitt eget arbeid.
Den hvitvaskingsansvarliges arbeidsoppgaver kan delegeres til andre i foretaket, der dette er hensiktsmessig. Dette fordrer at den rapporteringspliktige har tilstrekkelige instrukser og rutiner til å håndtere dette. For filialer av utenlandske foretak innad i EØS-området, er det ikke påkrevd med en egen hvitvaskingsansvarlig i den norskeetablerte delen av virksomheten, forutsatt at det finnes en hvitvaskingsansvarlig i foretaket i hjemlandet. Filialen har likevel et selvstendig ansvar for at den norsketablerte delen av virksomheten overholder norsk hvitvaskingsregelverk. Det er derfor anbefalt at det utpekes en eller flere personer med delegerte oppgaver i den norske delen av virksomheten.
Et annet forhold som synes å ha blitt viet oppmerksomhet under Finanstilsynets tilsyn er opplæring internt i foretaket. Hvitvaskingsloven § 36 oppstiller en plikt for den rapporteringspliktige til å sikre nødvendig og tilstrekkelig opplæring innenfor hvitvasking og terrorfinansiering til ansatte og andre som utfører oppdrag for foretaket. I tilsynsøyemed har opplæring i spennet fra styret og ledelsen til midlertidig ansatte vært i fokus, noe som indikerer at rapporteringspliktige bør ha en bred tilnærming til temaet. Videre viser tilsynspraksis at foretaket bør ha en opplæringsplan, og at både planen og gjennomførte opplæringsaktiviteter bør dokumenteres. Dette gjelder også der foretaket kun har én ansatt. Opplæringsplanen bør videre reflekteres i den rapporteringspliktiges rutiner.
4. Nyere utvikling på hvitvaskingsområdet
Vi følger utviklingen i hvitvaskingsregelverket, både i Norge og i EU:
I internasjonal kontekst er FATF en viktig bidragsyter gjennom arbeidet med å samordne den internasjonale tilnærmingen til bekjempelse av hvitvasking og terrorfinansiering. Signalene fra FATF vil ofte plukkes opp og reflekteres i lovendringer, samt uttalelser og retningslinjer fastsatt av de europeiske tilsynsmyndighetene - EBA (the European Banking Authority), EIOPA (the European Insurance and Occupational Pensions Authority) og ESMA (the European Securities and Markets Authority) – samlet referert til som «the ESAs» (the European Supervisory Authorities).
I norsk kontekst vil Finanstilsynet som regel legge til grunn at både signalene fra FATF og retningslinjene fra ESA etterleves og følges av norske aktører.
Fra det siste året kan noen utviklingstrekk fremheves:
- Både FATF og EU-kommisjonen har gjennom året oppdatert sine lister over høyrisikoland, senest omtalt av oss i februar 2024, og med betydning for den norske etterlevelsen av hvitvaskingsregelverket jf. hhv. hvitvaskingsforskriften §§ 4-9 og 4-10
- Finanstilsynet har avholdt tematilsyn knyttet til hvitvasking og terrorfinansiering hos forvaltere av alternative investeringsfond. Rapportene ble publisert i januar 2024 og avdekker til dels store mangler i etterlevelsen av regelverket, herunder manglende eller mangelfulle risikovurderinger, rutiner, dokumentasjon av kundetiltak og opplæring. Det ble fattet vedtak om overtredelsesgebyr for tre av de åtte kontrollerte foretakene, hvorpå ett er påklaget.
- Tilbake i mai 2018 utvidet EU i det femte hvitvaskingsdirektivet regelverket til å inkludere visse aktører i kunstbransjen, inntatt i EØS-avtalen i april 2020. Nå er utvidelsen foreslått gjennomført i norsk rett gjennom en høring om utvidelse av hvitvaskingsloven.
- FATF har rettet oppmerksomheten mot effektiv inndrivelse av profitt fra kriminalitet for å bekjempe hvitvasking og terrorfinansiering, og anbefalingene knytter seg blant annet til nasjonal og internasjonal prioritering av slik inndrivelse, konfiskering uten dom, beslaglegning og styrkede verktøy for tidlig arrest, anerkjennelse av rettsbeslutninger mellom land mv.
- Cyber-initiert svindel har vokst raskt internasjonalt, og FATF har i samarbeid med Interpol og Egmont Group adressert tiltak for å motvirke denne type svindel, samtidig som rapporten identifiserer risikoindikatorer og effektive tiltak for å oppdage og forhindre slik svindel og tilhørende hvitvasking.
- Risikoen for at terrorfinansiering maskeres under ideelle formål er adressert i FATFs oppdaterte anbefaling om ideelle organisasjoner, hvor særlig behovet for å identifisere hvilke organisasjoner som representerer en slik risiko er fremhevet.
- Ovennevnte kan sees i sammenheng med at FATF har advart mot terrorfinansiering gjennom crowdfunding, typisk under dekke av å finansiere ideelle eller humanitære formål. Det blir viktig for de enkelte medlemslandene og aktørene i folkefinansieringsindustrien å kjenne til og forstå risikoen forbundet med denne finansieringsformen, og rapporten inneholder også en liste over risikoindikatorer som skal kunne hjelpe til å identifisere mistenkelige aktiviteter relatert til folkefinansiering.
- EBA har oppdatert sine retningslinjer mot hvitvasking og terrorfinansiering for tilsynsmyndighetene, hvor endringene retter seg mot tilsynsmyndigheter for kryptovalutatjenestetilbydere.
- Hvilket igjen kan sees i lys av at EBA har kommet med en uttalelse om risikoen for hvitvasking og terrorfinansiering i EU. Noen av de fremhevede risikofaktorene knytter seg til kryptoaktivia, nyskapende finansielle tjenester, identifisering av reelle rettighetshavere og finansiering av terrorisme, mens blant annet risiko assosiert med Covid-19 og de-risking er omtalt som avtagende.
- EBA har fastsatt retningslinjer om kundeetablering uten personlige oppmøte. Disse trådte i kraft 2. oktober 2023 i EU, og Finanstilsynet har uttalt at rapporteringspliktige foretak i Norge forventes å følge retningslinjene fra samme dato.
- Finanstilsynet har publisert sin risikovurdering for 2023. Rapporten gir uttrykk for tilsynets vurdering av risikoen for hvitvasking i de ulike sektorene basert på den iboende risikoen knyttet til sektorene, sammenholdt med sårbarheten for å bli utnyttet til hvitvasking. Risikovurderingen inneholder informasjon som forventes å inngå i rapporteringspliktiges risikovurderinger (punkt 3.1 ovenfor).
- EBA har publisert to sett med retningslinjer for å motvirke uberettiget de-risking og sikre tilgang til finansielle tjenester for sårbare kunder. Finanstilsynet har bekreftet at disse vil legges til grunn i den norske tilsynspraksis, og at det forventes at foretakene følger disse fra ikrafttredelsen 3. november 2023.
- FATF har rettet søkelyset mot tiltak mot løspengevirus (ransomeware), og utgitt en rapport i lys av at dette anses som et økende internasjonalt problem, hvor virtuelle valutaer fremheves som en helt sentral faktor.
- På norsk hold trådte lov om register over reelle rettighetshavere delvis i kraft i 2021, men selve registreringsplikten og implementeringen av registeret har stått på vent, blant annet grunnet EU-domstolens underkjennelse av tilgjengeliggjøring av slike opplysninger for allmennheten. Finansdepartementet har nå sendt på høring et forslag om endringer i registertilgangen, hvor det kun foreslås innsyn for relevante myndigheter og enheter for finansiell etterretning, samt rapporteringspliktige under hvitvaskingsregelverket.
- FATF har adressert identifikasjon av reelle rettighetshavere i form av en anbefaling for avdekking av reelle rettighetshavere til juridiske personer, hvor blant annet konsultering av informasjon fra ulike kilder fremheves.
- I 2022 gjennomførte Finanstilsynet en temaundersøkelse etterfulgt av et tematilsyn knyttet til hvitvasking og terrorfinansiering i verdipapirforetak som ikke også er bank, og tilsynsrapportene ble publisert i begynnelsen av 2023. Samlet avdekket dette mangler i tilknytning til risikovurderingen, svakheter knyttet til intern opplæring og mangelfulle eller manglende kundetiltak. Det ble fattet vedtak om overtredelsesgebyr overfor 5 av de 16 kontrollerte foretakene, hvorav foretak med ned til én ansatt og begrenset virksomhet omfattes.
(Denne artikkelen ble opprinnelig skrevet i samarbeid med Eleonore Foss, som var ansatt hos oss på tidspunktet for publisering.)
Trenger du hjelp med overholdelsen av hvitvaskings-regelverket?
Vi i Rime bistår både våre klienter innenfor bank og finans, så vel som i andre bransjer, med overholdelse av regelverket. Det dreier seg om riktig og oppdatert forståelse av reglene, gode rutiner og dokumentasjon, samt håndtering av den praktiske etterlevelsen av regelverket. Dersom du har spørsmål til regelverket eller behov for bistand med overholdelse, er du velkommen til å ta kontakt med oss.
Alle artikler er underlagt våre copyright- og ansvarsbestemmelser, som kan leses her.