NO / EN
Tilbake

Hvitvasking – Regelverksguide 2025

Publisert 09.02.2025 av Harald Sætermo 

Regelverket for anti-hvitvasking har som formål å forebygge og avdekke hvitvasking og terrorfinansiering. Finanssektoren er godt kjent med disse kravene og har generelt solide rutiner for å håndtere hvitvaskingsrisiko. Likevel er regelverket i kontinuerlig utvikling, og praktisk etterlevelse byr ofte på utfordringer.

Denne artikkelen gir en innføring i regelverket og en kort oppdatering om status i 2025.

1. Bakgrunn og regulatorisk rammeverk

Hvitvasking vil si å ta del i, eller bidra til å sikre, konvertere eller skjule utbytte av en straffbar handling. Som terrorfinansiering regnes finansiering av terrorhandlinger, terrororganisasjoner og individuelle terrorister. Hvitvaskingsregelverket skal være et skjold mot slike kriminelle aktiviteter. Det er bygget opp basert på mange års nasjonal og internasjonal erfaring med å blokkere kriminelles tilgang til den lovlige økonomien og forhindre terrorfinansiering.

Gjeldende norske hvitvaskingslov og tilhørende forskrifter trådte i kraft 15. oktober 2018. Dette er den tredje hvitvaskingsloven i Norge siden 2004 og bygger på arbeidet til den internasjonale samarbeidsgruppen Financial Action Task Force (FATF) samt EUs hvitvaskingsregelverk. Loven gjennomfører EUs fjerde hvitvaskingsdirektiv (EU) 2015/849, mens endringer etter EUs femte hvitvaskingsdirektiv (EU) 2018/843 ble innlemmet gjennom forskriftsendringer vedtatt 31. mai 2021.

På EU-nivå ble den nye AML-pakken vedtatt i juni 2024. Denne pakken omfatter det sjette hvitvaskingsdirektivet, en single-rulebook-forordning, og forordningen om etablering av den europeiske anti-hvitvaskingsmyndigheten (AMLA), som vil ha hovedsete i Frankfurt. Endringer i EUs forordning om overføring av midler (TFR) inngår også i det bredere rammeverket. Denne utviklingen vil ha konsekvenser for Norge, og det må forventes tilsvarende oppdateringer i norsk rett i overskuelig fremtid. En arbeidsgruppe nedsatt av Finansdepartementet vurderer nå implementeringen av AML-pakken i Norge, og en rapport er forventet innen utgangen av 2025.

Det er mange aktører som må bidra til at hvitvaskingsregelverket overholdes, herunder banker og andre finansforetak. For å sikre etterlevelse utøves det tilsyn fra det offentlige. Finanstilsynet er den primære tilsynsmyndigheten for rapporteringspliktige, mens også Tilsynsrådet for advokatvirksomhet og Lotteritilsynet fører sektorvis tilsyn.

For aktører som bryter regelverket, kan det medføre pålegg og tvangsmulkt, forbud mot ledelsesfunksjoner, overtredelsesgebyr, bøter og i alvorlige tilfeller strafferettslig ansvar som kan føre til fengselsstraff.

2. Pliktsubjektene - hvem omfattes av regelverket?

Lovens pliktsubjekter defineres som rapporteringspliktige. Av juridiske personer omfatter dette blant annet finansforetak, verdipapirforetak, verdipapirsentraler i angitte situasjoner, forvaltningsselskaper for verdipapirfond, forsikringsforetak, forsikringsformidlere, depotforetak, forvaltere av alternative investeringsfond (AIFM) og låneformidlere.

Filialer av utenlandske foretak er også rapporteringspliktige under det norske hvitvaskingsregelverket. Dette innebærer at filialen er forpliktet til å etterleve det norske regelverket uavhengig av hvilke prosesser som styres etter hovedkontorets hjemlands rett. Filialen må derfor påse at norske krav og reguleringer etterleves.
De personene som omfattes av loven i yrkesøyemed er blant annet revisorer, regnskapsførere, advokater som bistår ved finansielle transaksjoner eller transaksjoner som gjelder fast eiendom etter nærmere angitte vilkår, eiendomsmeglere og -foretak, tilbydere av virksomhetstjenester, personer med begrenset tillatelse til å yte betalingstjenester og tilbydere av spilltjenester.

3. Lovens plikter – hva må foretakene ha kontroll på?

Hvitvaskingsregelverket er omfattende og stiller detaljerte og presise krav. Ingen deler av regelverket kan overses som mindre viktig. Likevel er det visse elementer som kan betegnes som regelverkets grunnpilarer, og som derfor fortjener særskilt oppmerksomhet. Disse er:

3.1.    Virksomhetsinnrettet risikovurdering

Loven pålegger den rapporteringspliktige å gjøre en virksomhetsinnrettet risikovurdering. Denne skal være utgangspunktet for den rapporteringspliktiges implementering av hvitvaskingsregelverket. 
Risikovurderingen tar sikte på å kartlegge og beskrive den rapporteringspliktiges risiko for hvitvasking og terrorfinansiering. Hvitvaskingsloven gir selv lite veiledning for utarbeidelse av risikovurderingen, men tilsynspraksis og -veiledning vil være retningsgivende. 

Risikovurderingen bør både inneholde en vurdering av iboende risiko (eksponering mot hvitvaskingsrisiko og terrorfinansieringsrisiko), foretakets tiltak og eventuelle svakheter og sårbarheter ved disse, samt såkalt restrisiko. Både potensiell og faktisk risiko skal omfattes. Det kan benyttes malverk fra bransjeforeninger, men disse må anvendes med øye for at den rapporteringspliktiges egne vurderinger av risikoen ved den konkrete virksomheten skal ligge til grunn for risikovurderingen. I tilsynspraksis for banker og finansforetak synes det å være gjennomgående påpekt at rutiner basert på malverk, det være seg bransjerelaterte eller konserninterne, i for liten grad har vært konkretisert og tilpasset foretakets konkrete risiko.  

Terrorfinansieringsrisikoen skal alltid vurderes, også i de tilfeller der det antas at konklusjonen er at risikoen er lav. Dette synes også å være i fokus ved stedlige tilsyn.  

Ved utarbeidelsen av risikovurderingen, skal både interne kilder (kunnskap og erfaring fra egen virksomhet) og eksterne kilder danne grunnlaget for risikovurderingen. Det forventes som et minimum at rapporteringspliktige benytter vurderinger og anbefalinger fra tilsynsmyndigheter, Politidirektoratet og PST. Rapporteringspliktige må også være kjent med egne bransjeorganisasjoners eventuelle vurderinger av risiko, samt rapporter fra Økokrim, Kripos, PST og NTAES som er relevant for bestemte produkter/tjenester.

Konsultering av kilder fra EU-kommisjonen, FAFT og EBAs Risk Factor Guidelines vil også være forventet kildebruk for finansforetak, samt for mellomstore og store foretak.
 
Risikovurderingen bør oppdateres minimum årlig, og for øvrig ved behov. Ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering, oppdaterte erfaringer fra den rapporteringspliktige selv eller eksterne kilder, samt ved publisering av nye risikovurderinger fra myndigheter og bransjeorganisasjoner – bør hensyntas. 

I avholdte tematilsyn i verdipapirforetak og AIF-forvaltere har mangelfulle – og til dels fullstendig mangel av – risikovurderinger vært flagget. Fra øvrig tilsynspraksis kan man også merke seg at følgende har vært påpekt:

  • Manglende tilpassing av risikovurdering og risikoklassifisering etter norske forhold.
  • Manglende hensyntaken til kombinasjonsrisiko knyttet til ulike kunder, kundegrupper, produkter og tjenester, mv., samt produktrisiko hensyntatt kriminelle trender.
  • Manglende hensyntaken til mulig nøkkelpersonrisiko hos den rapporteringspliktige. Dette gjelder spesielt for filialer av utenlandske foretak, ved at de som sitter i ansvarlige stillinger er tilknyttet hovedkontoret og ikke nødvendigvis er tilstede i den norske filialen.

3.2.    Rutiner

Rapporteringspliktige skal også utarbeide operasjonelle rutiner som beskriver hvordan den rapporteringspliktige faktisk skal praktisere etterlevelsen av hvitvaskingsregelverket. Det skal være en tydelig sammenheng mellom risikovurderingen og rutinene.
 
Krav til utarbeidelse av rutinebeskrivelsen følger av hvitvaskingsloven § 8. Både risikovurderingen og rutinene må utarbeides ved skriftlig dokumentasjon som kan fremlegges for tilsynsmyndigheter. 

Rutinene må revideres. Det bør minimum gjøres en årlig vurdering av om det er behov for oppdatering eller justeringer i rutinene. I veilederen er det uttalt at det generelt vil være behov for revidering når risikovurderingen oppdateres, ved nye regulatorisk krav, utvikling av nye produkter eller ved andre endringer – både i risikobildet og i virksomheten. 

Mangler ved rutinene er trukket frem av Finanstilsynet ved flere tilsyn det siste året. Manglene består eksempelvis i at rutinene i for stor grad baserer seg på sjekklister og tabeller for utfylling av informasjon, fremfor å beskrive hvordan risiko faktisk vurderes og tiltak iverksettes.
 
3.3.    Risikoklassifisering, kundetiltak og løpende oppfølging

Rutinene skal blant annet angi og beskrive den rapporteringspliktiges risikoklassifisering av kunder, i tillegg til gjennomføring av kundetiltak og løpende oppfølging. Også risikoklassifiseringen av kunder skal gjenspeile funnene i den virksomhetsinnrettede risikovurderingen. Basert på risikoklassifiseringen skal den rapporteringspliktige gjennomføre tilpassede kundetiltak og løpende oppfølging.
  
Alle kunder skal risikoklassifiseres for å kunne gjennomføre korrekte kundetiltak, jf. hvitvaskingsloven § 9. Klassifiseringen skal bygge på elementer fra den virksomhetsinnrettede vurderingen. Det er anledning til å anvende standardiserte risikoprofiler for kundemassen, men disse må igjen tilpasses virksomhetens konkrete risikoer.
 
Hvitvaskingsloven skiller mellom alminnelige, forenklede og forsterkede kundetiltak som den rapporteringspliktige skal praktisere i tråd med den konkrete risikoklassifiseringen av kunden.
 
Mangler ved risikoklassifiseringen er også trukket frem i tilsynsrapportene, blant annet at risikoklassifiseringen av kunder skal være reell, slik at klassifiseringen faktisk differensierer kundemassen etter hvitvaskingsrisiko og ilagte kundetiltak.
 
Hvitvaskingsloven åpner for at rapporteringspliktige etter avtale og på nærmere angitte vilkår kan legge til grunn kundetiltak utført av enkelte spesifiserte tredjeparter, men at dette ikke medfører unntak fra den rapporteringspliktiges plikt til å registrere og lagre opplysninger og dokumenter, eller selve ansvaret for at lovpålagte kundetiltak gjennomføres. Finanstilsynet har i tilsynspraksis påpekt manglende etterlevelse av disse reglene, hvor verdipapirforetak har basert seg på andre foretaks tiltak, herunder depotbanker, kontoførere og samarbeidende verdipapirforetak. 

Banker, kredittforetak og finansieringsforetak plikter å ha elektroniske overvåkningssystem som en støttefunksjon for å håndtere transaksjonsovervåkning som ledd i den løpende kundeoppfølgingen. Systemene må være tilpasset virksomhetens art og omfang, og generiske verktøy uten mulighet for tilpasninger vil være lite egnet for å oppfylle lovens krav. Bruk av automatisert overvåkning skal likevel ikke gå på bekostning av nødvendige manuelle kontroller. Den rapporteringspliktige må derfor kjenne til hvilke svakheter systemet har, for å sikre oversikt over hvilke ytterligere kontrolltiltak som vil være nødvendige. Et gjennomgående tema i tilsynspraksis er fraværet av flere og mer spesifiserte og diversifiserte regler, scenarioer og terskelnivåer for å fange opp mistenkelige transaksjoner i overvåkningssystemet. Videre har tydelige flagginger og klassifiseringer av transaksjoner vært etterlyst. Den rapporteringspliktige bør sørge for å ha dokumenterte vurderinger av hvilke regler, scenarioer og terskelnivåer som praktiseres i transaksjonsovervåkingen.
 
3.4.    Undersøkelses- og rapporteringsplikt

Der det avdekkes forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, har den rapporteringspliktige en undersøkelsesplikt. Dersom det etter slike nærmere undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, vil den rapporteringspliktige ha en rapporteringsplikt overfor Økokrim.
 
3.5.    Internkontroll og opplæring

Loven oppstiller regler om internkontroll, rollefordeling og opplæring i tilknytning til etterlevelsen av hvitvaskingsregelverket.

Her har flere svakheter blitt påpekt i tilsynsrapportene. Et forhold som kommenteres er at foretakene mangler en tydelig og organisert ansvarsfordeling og evt. delegering i foretaket, herunder i tilknytning til utpekingen av en hvitvaskingsansvarlig jf. hvitvaskingsloven § 8 (5) og en etterlevelsesansvarlig jf. hvitvaskingsloven § 35 (2). 

Mens den hvitvaskingsansvarlige i utgangspunktet skal være en person i ledelsen som har en førstelinje kontrollfunksjon og et særskilt ansvar for å følge opp rutinene, er den etterlevelsesansvarlige en andrelinje kontrollfunksjon som gjennom internkontroll i virksomheten skal sørge for at hvitvaskingsregelverket overholdes. Der en hvitvaskingsansvarlig alltid skal utpekes, er utpeking av en etterlevelsesansvarlig kun pålagt dersom en risikovurdering av virksomhetens omfang og art tilsier det. 

I tilsynspraksis har Finanstilsynet akseptert at verdipapirforetak har plassert rollen som hvitvaskingsansvarlig hos en operativ leder som er involvert i kundeetablering. Tilsynet har uttalt at også i unntakstilfeller vil små foretak med begrensede ressurser kunne samle kompetansen i andrelinjen. Dette forutsetter imidlertid at foretaket har en dokumentert risikobasert begrunnelse for dette, og at andrelinjen ikke kontrollerer eget arbeid. Den hvitvaskingsansvarlige og den etterlevelsesansvarlige kan ikke være samme person, nettopp for å unngå at andrelinjen kontrollerer sitt eget arbeid. 

Den hvitvaskingsansvarliges arbeidsoppgaver kan delegeres til andre i foretaket, der dette er hensiktsmessig. Dette fordrer at den rapporteringspliktige har tilstrekkelige instrukser og rutiner til å håndtere dette. For filialer av utenlandske foretak innad i EØS-området, er det ikke påkrevd med en egen hvitvaskingsansvarlig i den norskeetablerte delen av virksomheten, forutsatt at det finnes en hvitvaskingsansvarlig i foretaket i hjemlandet. Filialen har likevel et selvstendig ansvar for at den norsketablerte delen av virksomheten overholder norsk hvitvaskingsregelverk. Det er derfor anbefalt at det utpekes en eller flere personer med delegerte oppgaver i den norske delen av virksomheten.

Et annet forhold som synes å ha blitt viet oppmerksomhet under Finanstilsynets tilsyn er opplæring internt i foretaket. Hvitvaskingsloven § 36 oppstiller en plikt for den rapporteringspliktige til å sikre nødvendig og tilstrekkelig opplæring innenfor hvitvasking og terrorfinansiering til ansatte og andre som utfører oppdrag for foretaket. I tilsynsøyemed har opplæring i spennet fra styret og ledelsen til midlertidig ansatte vært i fokus, noe som indikerer at rapporteringspliktige bør ha en bred tilnærming til temaet. Videre viser tilsynspraksis at foretaket bør ha en opplæringsplan, og at både planen og gjennomførte opplæringsaktiviteter bør dokumenteres. Dette gjelder også der foretaket kun har én ansatt. Opplæringsplanen bør videre reflekteres i den rapporteringspliktiges rutiner. 

4. Aktuelle utviklingstrekk i arbeidet mot hvitvasking

  • Fra og med 1. januar 2025 har den norske hvitvaskingsloven blitt utvidet til å omfatte kunsthandlere og oppbevaringstjenester, for transaksjoner over kr. 80 000.
  • Den 15. november 2024 oppnevnte Finansdepartementet en arbeidsgruppe for å vurdere implementeringen av EUs sjette hvitvaskingspakke i Norge. Gruppen skal levere sin rapport innen utgangen av 2025, og vil samarbeide med en styringsgruppe og en referansegruppe fra privat sektor. Regelverket er antatt å være EØS-relevant, selv om departementet har holdt det åpent for at enkelte bestemmelser kan falle utenfor.
  • Registeret over reelle rettighetshavere ble åpnet for registreringer 1. oktober 2024. Den korrekte tolkningen av registreringsplikten synes å være at plikten gjelder fra denne datoen, men at reglene om tvangsmulkt ikke trer i kraft før 31. juli 2025.
  • Forskriften til lov om register over reelle rettighetshavere ble endret 30. september 2024, med endringer knyttet til tilgang til registeret, dets operasjonalisering, rapporteringskrav og andre forhold.
  • EU's hvitvaskingspakke—bestående av det sjette hvitvaskingsdirektivet, "single rulebook"-forordningen og direktivet om opprettelsen av AMLA-tilsynsmyndigheten—ble vedtatt i juni 2024.
  • I sak HR-2024-1184-A vurderte Høyesterett plikten til å avslutte kundeforhold der løpende kundekontroll ikke kan gjennomføres, i henhold til hvitvaskingsloven § 24 fjerde ledd. Dommen, som gjaldt et forsikringsselskap, har videre implikasjoner for andre rapporteringspliktige enheter. Retten slo fast at plikten til å avslutte et kundeforhold avhenger av typen kundeinformasjon som kreves og omfanget av nødvendig kundekontroll. Identifikasjon av reelle rettighetshavere er en sentral faktor, og en risikobasert tilnærming må anvendes. Terskelen for å avslutte et kundeforhold er høy, og en generell avvisning av høyrisikokunder er ikke tillatt—i stedet bør forsterkede kundetiltak iverksettes.
  • Reelle rettighetshavere: FATF har oppdatert sin veiledning om reelle rettighetshavere og åpenhet i juridiske arrangement, i tråd med FATFs anbefaling 25 og revisjonen fra februar 2023.
  • AMLA skal ha hovedsete i Frankfurt: Det er besluttet at den nye EU-tilsynsmyndigheten for hvitvasking og terrorfinansiering (AMLA) vil ha sitt hovedkvarter i Frankfurt. Plasseringen av AMLA var et sentralt element i ferdigstillelsen av EUs nye hvitvaskingspakke, som vi har fulgt gjennom hele vedtaks- og implementeringsprosessen.
  • FATF- og EU-listene over høyrisikoland er oppdatert.

Alle artikler er underlagt våre copyright- og ansvarsbestemmelser, som kan leses her.

Vi hjelper banker, finansforetak og andre aktører i finansbransjen med å løse sine juridiske utfordringer. Ta gjerne kontakt for en prat.