Ofte stilte spørmål – hvitvasking

Etter at ny hvitvaskingslov trådte i kraft i oktober 2018 har det vært mange spørsmål og tildels stor usikkerhet knyttet til forståelsen av dette regelverket.

Rundskriv 15/2019 Veiledning om regnskapsføreres og regnskapsførerselskapers etterlevelse av hvitvaskingsregelverket refereres til som rundskrivet.

Henvisninger til relevante paragrafer i lov og forskrift samt til punkter i rundskrivet står som hovedregel i rødt under svaret på det enkelte spørsmål.

  • Identiteten skal bekreftes på den eller de som handler på vegne av kunden.

    I utgangspunktet vil dette være den personen som avtalerettslig er legitimert til å inngå oppdragsavtalen på vegne av kunden. Finanstilsynet legger til grunn i rundskrivet at dette er styrets leder eller daglig leder. Det vil da være den av de to (styrets leder eller daglig leder) som signerer oppdragsavtalen regnskapsfører skal bekrefte identiteten til. 

    I de tilfellene hvor to personer undertegner oppdragsavtalen i fellesskap, må det innhentes legitimasjon fra begge.

    Retten til å handle på vegne av foretaket skal bekreftes ved skriftlig dokumentasjon. Dette kan gjøres ved for eksempel firmaattest eller, dersom det ikke er styrets leder eller daglig leder, ved annen skriftlig fullmakt.

    For hvordan identiteten bekreftes og hva som anses som gyldig legitimasjon se rundskrivets punkt 4.5.

    Hvvl §§ 13, første og annet ledd jf 12, første og annet ledd. Rundskriv 15/2019 pkt 4.5

  • Ja, dette kravet er i utgangspunktet ufravikelig. For kunder, som etter regnskapsførers vurdering har lav risiko for hvitvasking og terrorfinansiering, og med bakgrunn i det kan underlegges forenklede kundetiltak, kan kravet lempes i særlige tilfeller.  

    Begrunnelse

    Hvitvaskingsloven inneholder bestemmelser som krever at opplysninger om kunden eller den som handler på vegne av kunden skal bekreftes med gyldig legitimasjon. Det var tilsvarende krav i hvitvaskingsloven fra 2009, men denne loven inneholdt i tillegg en bestemmelse der man kunne unnlate å innhente gyldig legitimasjon dersom man var sikker på vedkommendes identitet. Det er ikke en tilsvarende bestemmelse i gjeldende lov. Dette innebærer at det i utgangspunktet må innhentes gyldig legitimasjon på alle kunder, inkludert de som man hadde før ny ikrafttredelse av ny hvitvaskingslov. Dette bekreftes i rundskriv 15/2019 som i punkt 4.5.3 som sier følgende: «Kravet om å bekrefte kundens identitet gjelder også såkalte kjente kunder som regnskapsførerforetaket har fra før av eller måtte få i fremtiden»

    Dersom det er lav risiko for hvitvasking eller terrorfinansiering kan rapporteringspliktig gjennomføre forenklede kundetiltak. Forenklede kundetiltak innebærer blant annet at krav til å bekrefte identiteten til personer som handler på vegne av kunden kan lempes. Det presiseres i rundskrivet at dette kun skal skje i særlige tilfeller og etter en konkret vurdering. Der det ikke innhentes gyldig legitimasjon må regnskapsfører på annen måte være sikker på vedkommendes identitet og dokumentere begrunnelsen. Finanstilsynet anbefaler at det alltid innhentes gyldig legitimasjon (pkt 4.5.2.1). Et eksempel på et «særlig tilfelle» kan være når det er en kunde man har hatt i mange år og som regnskapsfører er sikker på identiteten til.

    Dersom regnskapsfører velger å ikke innhente gyldig legitimasjon fordi kunden er i lav risiko, vil dette medføre et ytterligere dokumentasjonskrav. Det er opp til regnskapsførerforetakene å vurdere hva som er mest hensiktsmessig, men vi antar at i de aller fleste tilfeller vil være mest effektivt å innhente legitimasjon.

    Hvitvaskingsloven §§ 12, 13, 16. Hvitvaskingsforskriften § 4-7, Rundskriv 15/2019 pkt 4.5.2.1, 4.7

  • Ja, i utgangspunktet anses elektronisk legitimasjon likestilt med personlig fremmøte og fremvisning av gyldig legitimasjon. Det forutsetter at den elektroniske signatruen oppfyller kravene i hvitvaskingsforskriftens § 4-3, fjerde ledd. BankID, Commfides og Buypass er kjente løsninger som tilfredsstiller disse kravene.

    Dersom det er tvil om identiteten eller det unntaksvis foreligger andre forhold må det foretas en konkret vurdering av om risikoen tilsier at det er nødvendig å gjennomføre ytterligere tiltak for å være sikker på identiteten. Dette kan for eksempel være:

    • innhenting av kundens skattemelding, lønnsslipp, bekreftelse på utbetaling av trygd, stønad, studielån eller andre offentlige ytelser
    • samtale med kunden på telefon som er registrert på kunden
    • videokommunikasjon med kunden
    • øvrige betryggende elektroniske løsninger
    • kommunikasjon med kunden via postadresse eller digital adresse som er registrert på kunden (kommunikasjonen bør inneholde kundens
    Hvitvaskingsforskriften § 4-3, fjerde ledd. Rundskriv 15/2019 pkt 4.5.1.2 og 4.5.1.3

  • Nei, dette kravet har vi tolket dithen at dette omfatter rapporteringspliktige som tilbyr konto- eller depottjenester. Regnskapsfører innhenter opplysninger og bekrefter identitet til den/de som faktisk handler på vegne av kunden

    Begrunnelse

    Hvitvaskingsloven sier at det skal innhentes og bekreftes opplysninger for fysiske personer som handler på vegne av kunden inkludert de som har disposisjonsrett over en konto eller depot. Disse opplysningene skal bekreftes ved gyldig legitimasjon. Rundskriv 15/2019 inneholdt informasjon som tydet på at dette også skulle gjelde regnskapsførere og ikke, slik som etter tidligere hvitvaskingslov, bare de rapporteringspliktige hvor konto eller depot ble opprettet. Etter innspill fra blant annet Regnskap Norge er rundskrivet korrigert på dette punktet. Korrigeringen innebærer at ordlyden «herunder personer som har disposisjonsrett over konto eller depot» og «eller er gitt disposisjonsrett» i punkt 4.4.3 og 4.5.2 ble fjernet. Vi mener det innebærer at det ikke er krav til at regnskapsfører må innhente opplysninger og bekrefte disse på alle som har disposisjonsrett over kundens bankkonti.

  • Følgende opplysninger skal innhentes om enheten:

    • Foretaksnavn
    • organisasjonsform
    • organisasjonsnummer
    • adresse
    • navnet på daglig leder og styremedlemmer, eller personer i tilsvarende stilling

    Disse opplysningene skal bekreftes gjennom å innhente firmaattest eller gjøre oppslag mot offentlig register. Bekreftelsen kan dokumenteres med utskrift eller skjermdump og skal være så oppdatert som mulig.

    Opplysninger om kundeforholdets formål og tilsiktede art

    For å kunne vurdere om kunden er i lav, normal eller høy risiko samt utføre løpende oppfølging er det nødvendig å innhente og vurdere årsaken til at kunden ønsker å opprette et kundeforhold. I de fleste regnskapsføreroppdrag vil formålet med oppdraget være åpenbart, slik at det er i de tilfellene det ikke er åpenbart at regnskapsfører må sørge for å få tilstrekkelig forståelse av hva oppdraget innebærer. Dette er nødvendig for å ha en oppfatning av hvordan kunden kan forventes å handle innenfor rammen av kundeforholdet.

    For kunder i forhøyet risikokategori kreves det ytterligere informasjon om formålet og den tilsiktede arten av kundeforholdet.

    Følgende opplysninger skal innhentes om fysiske personer som handler på vegne av kunden:

    • navn
    • fødselsnummer, D-nummer eller, dersom kunden ikke har slikt nummer, annen entydig identitetskode. For personer som ikke har norsk fødselsnummer eller D-nummer, skal det innhentes fødselsdato, fødested, kjønn og statsborgerskap, herunder om personen har flere statsborgerskap
    • adresse

    Med D-nummer menes det 11-sifrede identitetsnummer som folkeregisteret tildeler fysiske personer som ikke kan få norsk fødselsnummer. 

    Identiteten til disse skal bekreftes. Rundskrivets punkt 4.5 omhandler hvordan identiteten kan bekreftes. 

    Retten til å handle på vegne av foretaket skal bekreftes ved skriftlig dokumentasjon. Dette gjøres ved for eksempel firmaattest eller skriftlig fullmakt.

    Opplysninger om eierskaps- og kontrollstrukturen til kunden

    Finanstilsynet skriver i rundskrivets punkt 4.6.3 at det vil være mest aktuelt å benytte registerdata eller å etterspørre opplysninger fra kunden. Om det er nødvendig å foreta ytterligere undersøkelser eller bekrefte informasjonen mot andre kilder beror på en risikovurdering.

    Opplysninger om reelle rettighetshavere

    En reell rettighetshaver er en fysisk person som i siste instans alene eller sammen med nære familiemedlemmer eier eller kontrollerer kunden.

    Det skal innhentes følgende opplysninger om reelle rettighetshavere som er identifisert:

    • Opplysninger som entydig identifiserer den/de reelle rettighetshaverne. Finanstilsynet mener at det normal er tilstrekkelig med navn, adresse og fødselsdato, men det må vurderes konkret ut fra en risikovurdering. Det avgjørende er om opplysningene er tilstrekkelig for å skille vedkommende fra andre personer.

    Opplysningene skal bekreftes av regnskapsfører ved egnede tiltak. Hva egnede tiltak er beror på en risikovurdering.  Finanstilsynet mener det mest praktiske vil være å sjekke aksjonærregister for eierforhold og aksjeeierbok for å avdekke detaljer om eierskap og om det feks foreligger aksjonæravtaler.  Ved forenklede kundetiltak kan kravet om bekreftelse lempes.

    Opplysninger om politisk eksponerte personer (PEP)

    Det skal innhentes opplysninger om kunden selv, personer som kan handle på vegne av kunden eller er reell rettighetshaver er en PEP eller et nært familiemedlem eller kjent medarbeider til en PEP. Dersom dette er tilfelle må det gjennomføres forsterkede kundetiltak. For hvem som anses som PEP se det generelle rundskrivet 8/2019 punkt 4.9.2.

    Hvitvaskingsloven §§ 2, 13 jf §§ 12, 14, 16.  Rundskriv 15/2019 pkt 4.2, 4.4, 4.5, 4.6

  • Ja, dersom styremedlemmer, daglig leder eller kontaktperson byttes ut, må det innhentes og registreres opplysninger om de nye personene. Hvis vedkommende «handler på vegne av kunden» må også legitimasjonskontroll foretas. Bekreftelse på retten til å handle på vegne av kunden må også dokumenteres.

    Rundskriv 15/2019 pkt 4.10

  • Det må innhentes og bekreftes opplysninger om innehaveren av enkeltpersonforetaket. Det samme skal gjøres for den som handler på vegne av kunden. Som for juridiske personer skal også retten til å handle på vegne av kunden bekreftes skriftlig.

    Dersom ektefelle har en funksjon i form av å handle på vegne av foretaket, må også opplysninger om ektefelle innhentes og bekreftes.

    Hvitvaskingsloven § 12

  • Det skal tas kopi av fremlagte originale legitimasjonsdokumenter. Den som foretar kundekontrollen skal bekrefte at det er tatt rett kopi samt signere og datere bekreftelsen. Dette kan gjøres på andre måter dersom notoriteten av bekreftelsen sikres. Kopien skal oppbevares i 5 år etter at kundeforholdet ble avsluttet. Personopplysninger skal da slettes hvis det ikke følger av annet regelverk at den skal oppbevares.

    Elektronisk legitimasjon kan etter nærmere vilkår anses likestilt med personlig fremmøte og gyldig legitimasjon (se eget spørsmål). Den elektroniske identitetskoden og opplysninger om utsteders identitet skal da oppbevares på samme måte som kopi av legitimasjonsdokumenter.

    Hvitvaskingsloven § 30, Hvitvaskingsforskriften §§ 6-2, 4-3, Rundskriv 15/2019 pkt 4.3, 4.5.1.2 og 4.5.1.3

  • Dersom regnskapsfører vurderer at det er lav risiko for hvitvasking og terrorfinansiering kan omfanget av enkelte kundetiltak reduseres. Ifølge Finanstilsynet skal det foreligge særskilte forhold for at et kundeforhold skal anses å ha lav risiko. Vurderingen må være basert på en objektiv og konkret vurdering og begrunnelsen må dokumenteres.   

    Forenklede kundetiltak innebærer at regnskapsfører kan redusere omfanget av enkelte kundetiltak. Det må være en konkret, objektiv vurdering hvor alle forhold hos kunden tas hensyn til. Kunder som faller inn under beskrivelsene under kan ha lav risiko:

    • Ingen utenlandstilknytning eller utenlandstransaksjoner
    • Normale midler vurdert på bakgrunn av god kunnskap til kundens økonomiske forhold
    • Normale transaksjoner vurdert på bakgrunn av god kunnskap til kundens økonomiske forhold
    • Tradisjonelle produkter gjennom vanlige leveringskanaler
    • Lite eller ingen kontanter eller andre midler med ukjent opphav
    • Langvarige oppdrag med god kjennskap til kundens økonomiske forhold
    • Bransjer som i utgangspunktet faller inn under kategorien:
      • Handelsvirksomheter med liten kontantandel
      • Offentlig eid foretak
      • Børsnotert selskap

    Hva innebærer det at kundeforholdet er vurdert å ha lav risiko?

    Under forutsetning av at kunden er vurdert til å ha lav risiko for hvitvasking og terrorfinansiering kan det lempes på følgende krav:

    1. Krav til bekreftelse av reelle rettighetshaveres identitet
    2. Krav til bekreftelse av retten til å handle på vegne av kunden
    3. Krav til å innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art
    4. Krav til å bekrefte identiteten til personer som handler på vegne av kunden
    5. Krav til løpende oppfølging på bakgrunn av risikovurderingen

    Finanstilsynet skriver følgende i rundskriv 15/2019 punkt 4.7 og 4.5.2.1 om disse punktene:

    Ad 1: Det kan utføres mindre omfattende tiltak for å bekrefte reelle rettighetshaveres identitet. Bekreftelse kan også etter en konkret vurdering unnlates. Det vil i praksis si at regnskapsfører etter en konkret vurdering kan legge til grunn opplysninger i Brønnøysundregistrene og aksjonærregisteret uten ytterligere undersøkelser eller bekreftelse. I tilfeller hvor opplysninger ikke er tilgjengelige i offentlige registre, kan opplysninger innhentet fra kunden legges til grunn.

    Ad 2: Det kan gjennomføres mindre omfattende tiltak for å få bekreftet retten (fullmakten) til å handle på vegne av kunden.

    Ad 3: Regnskapsfører kan unnlate å foreta ytterligere undersøkelser om kundeforholdets formål og tilsiktede art fordi det fremstår som klart på bakgrunn av de begrensningene som følger av tjenestene som kunden ønsker. Oppstår det uklarhet rundt forholdet, må imidlertid kunden forespørres.

    Ad 4: Det kan lempes på kravene til bekreftelse av identiteten til den som handler på vegne av kunden. Eksempelvis kan regnskapsfører unnlate å innhente kopi av legitimasjon av daglig leder. Opplysningene skal innhentes, men i særlige tilfeller, og etter en konkret vurdering, kan regnskapsfører unnlate å innhente gyldig legitimasjon. Der regnskapsfører ikke innhenter gyldig legitimasjon, må regnskapsfører på annen måte være sikker på vedkommendes identitet og dokumentere begrunnelsen. Finanstilsynet anbefaler at det alltid innhentes gyldig legitimasjon.  

    Ad 5: Regnskapsfører trenger ikke å gjennomføre løpende oppfølging like ofte som for kunder med normal eller høy risiko.

    I rundskrivet fremkommer det tydelig at det i utgangspunktet er normal risiko på alle kundeforhold. Det skal gjøres en objektiv og konkret vurdering for å kunne lempe på kravene på enkelte kundetiltak. Vi mener det er viktig å være oppmerksom på dokumentasjonskravene i forhold til å lempe på kundetiltakene og vurdere hva som er den mest effektive fremgangsmåten sett over tid.

    Hvitvaskingsloven §§ 6, 16, hvitvaskingsforskriften §§ 4-6, 4-7, Rundskrivet pkt 4.7 og 4.5.2.1