Hvitvasking
Ny hvitvaskingslov i 2018
Hvitvaskingsrundskriv fra Finanstilsynet og andre veiledninger
Kontantforbudet
Kundetiltak
Kundetiltak er en prosess som normalt består i å registrere bestemte opplysninger om kunden, kartlegge og få bekreftet identiteten til kunden og eventuelle reelle rettighetshavere, samt innhente opplysninger om kundeforholdets formål og tilsiktede art.
Utgangspunktet er at det skal gjennomføres kundetiltak før etablering av kundeforhold, jf. hvitvaskingsloven § 11, jf. § 10. Dersom kundetiltak ikke lar seg gjennomføre, skal kundeforhold ikke etableres, jf. hvitvaskingsloven § 21 første ledd.
Kundetiltak skal uansett gjennomføres i revisjons- og regnskapsføreroppdrag når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige, jfr RFT 14/2019 og RFT 15/2019punkt 4.10. Revisor må aktivt sjekke om det har skjedd endringer. Det er ingen fast regel på hvor ofte, men det bør normalt skje årlig i forbindelse med den årlige fortsettelsesvurderingen i revisjonsoppdrag og ved den årlige overordnede interne kontrollen på oppdragsnivå i regnskapsføreroppdrag, samt når revisor eller regnskapsfører blir oppmerksom på (mulige) endringer.
ID kontroll
Det skal foretas en ID kontroll ved etablering av kundeforhold til rapporteringspliktige i henhold til hvvl. § 10 til § 20 og løpende etter hvvl. § 24.
Det skal også foretas ID kontroll av den som handler på vegne av kunden, jf. hvitvaskingsloven § 13 (2) annet punktum, jf. § 12 (2). For revisjons- og regnskapsføreroppdrag legger Finanstilsynet til grunn at dette er styrets leder eller daglig leder. For andre typer oppdrag, kan det etter forholdene være andre personer i ledelsen som kan handle på vegne av kunden. Revisjonsforetaket bør fastsette i sine hvitvaskingsrutiner om det er styreleder eller daglig leder som skal ID-kontrolleres på revisjonsoppdrag, og tilsvarende på andre oppdrag, jf RFT 14/2019 punkt 4.5.2.1 og RFT 15/2019 punkt 4.5.2.1. Der hvor foretaket for eksempel ikke har daglig leder, og en annen handler på vegne av kunden, bør det tas høyde for dette i rutinen.
Hvitvaskingsloven § 13 (2) jf § 12 (2) inkluderer også krav om å bekrefte opplysninger om personer som er gitt disposisjonsrett over en konto eller et depot. Dette punktet gjelder ikke ved revisjonsoppdrag, men er kun relevant for finansinstitusjoner hvor kontoen (eller depotet) er etablert.
Hvitvaskingsregelverket krever at kundeforholdet følges opp løpende ifølge Finanstilsynet. Det betyr at informasjon om kundene skal holdes oppdatert, og det må samles inn ny dokumentasjon når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige. Dette kravet har vært gjeldende siden 2009 og innebærer blant annet at rapporteringspliktige må innhente gyldig legitimasjon for kunder der dette ikke ble innhentet på tidspunktet for kundeetablering.
Ifølge Finanstilsynets veiledning punkt 4.4.1 skal identiteten til kunden (selskapet/klienten) bekreftes på grunnlag av firmaattest som ikke er eldre enn tre måneder ved oppdragsaksept av et eksisterende aksjeselskap eller annen juridisk person.
Den europeiske verdipapir- og markedstilsynsmyndigheten (ESMA) og den europeiske banktilsynsmyndigheten (EBA) har utarbeidet felles retningslinjer om vurdering av egnetheten til styret og nøkkelpersonell (Joint ESMA and EBA Guidelines on the assessment of the suitability of members of the management body ). Retningslinjene retter seg mot kredittinstitusjoner og verdipapirforetak. I retningslinjene er det innarbeidet momenter for pliktig vurdering av egnethet sett i lys av risiko for hvitvasking og/eller terrorfinansiering.
Unntak fra kravet om å innhente gyldig dokumentasjon
Hvitvaskingsforskriften § 4-7 åpner for å lempe på kravet om bekreftelse av identiteten hvis revisor har vurdert at det er lav risiko for hvitvasking og terrorfinansiering knyttet til revisjonsklienten. Ifølge Finanstilsynet kan revisor ved lav risiko unnlate å innhente gyldig legitimasjon i særlige tilfeller og etter en konkret vurdering. Revisor må på annen måte være sikker på vedkommendes identitet og dokumentere begrunnelsen, jf RFT 14/2019 punkt 4.5.2.1. Revisorforeningen mener at et eksisterende klientforhold hvor revisor har hatt jevnlig kontakt med vedkommende person og det ikke har fremkommet noe som gir grunn til å tvile på identiteten, vil være et slikt særlig tilfelle som nevnt ovenfor hvor revisor kan være sikker på identiteten. Åpningen for å lempe på kravet til bekreftelse av identiteten når risikoen er lav, gjelder også for nye revisjonsklienter. I hvitvaskingsrundskrivet anbefaler Finanstilsynet at det alltid innhentes gyldig legitimasjon. Revisorforeningen mener at dette vil være en god rutine for nye revisjonsklienter og når det kommer inn en ny person som handler på vegne av klienten.
Gyldig legitimasjon
Generelt
Gyldig legitimasjon for foretak som er registrert i Foretaksregisteret, er ifølge RFT 8/2019 firmaattest som ikke er eldre enn 3 måneder. For andre foretak, se hvitvaskingsforskriften § 4-4. Se også Finanstilsynets veiledning punkt 4.4.1.
Opplysninger om fysiske personer som handler på vegne av juridisk person, herunder personer som har disposisjonsrett over konto eller depot, skal innhentes og bekreftes i samsvar med hvitvaskingsloven § 12 første og annet ledd ifølge RFT 8/2019 punkt 4.4.4. Retten til å handle på vegne av den juridiske personen skal bekreftes i samsvar med hvitvaskingsloven § 12 annet ledd, se nærmere RFT 8/2019 punkt 4.3.2. Dersom selskapet ikke har daglig leder, må det tas stilling til hvem som anses å handle på vegne av kunden i det konkrete tilfellet.
Pass, førerkort og bankkort med bilde er blant det som anses som gyldig legitimasjon. Enkelte andre legitimasjonsdokumenter kan også benyttes, se hvitvaskingsforskriften § 4-3. Hvitvaskingsforskriften § 4-3 åpner også for bruk av elektronisk legitimasjon forutsatt at denne oppfyller visse sikkerhetskrav i forskrift om frivillig selvdeklarasjonsordninger for sertifikatutstedere.
Nasjonale ID-kort utstedt av et EØS-land omtales som gyldig legitimasjon i rundskriv 8/2019 kapittel 4.3.1.1. Se også omtale av dette på Finanstilsynet.no .
Revisjon- og regnskapsføreroppdrag
Gyldig legitimasjon, jf hvitvaskingsforskriften § 4-3, for foretak som er registrert i Foretaksregisteret, er firmaattest som ikke er eldre enn 3 måneder. For andre foretak som ikke er registrert i Foretaksregisteret, se hvitvaskingsforskriften § 4-4, RFT 14/2019 punkt 4.4.1 og RFT 15/2019 punkt 4.4.1.
Det skal dokumenteres, ved firmaattest, stiftelsesdokument, skriftlig fullmakt eller lignende, at "den som handler på vegne av foretaket (kunden)" er berettiget til å representere kunden utad. Det skal foretas identitetskontroll, jf. hvitvaskingsloven § 13 første ledd jf § 12 første ledd. Kravet er ufravikelig, med unntak av kunder som er vurdert å ha lav risiko, og dermed kan underlegges forenklede kundetiltak, jf. hvitvaskingsloven § 16 og hvitvaskingsforskriften § 4-7. Se punktet om ID kontroll for hvem som anses handle på vegne av kunden.
Pass, førerkort og bankkort med bilde er blant det som anses som gyldig legitimasjon. Enkelte andre legitimasjonsdokumenter kan også benyttes, se hvitvaskingsforskriften § 4-3 og RFT 14/2019 punkt 4.5.1.1. og RFT 15/2019 punkt 4.5.1.1.. Identiteten kan også bekreftes uten personlig fremmøte. I så fall skal kopi av gyldig legitimasjonsdokument innhentes, samt at det skal fremlegges ytterligere dokumentasjon eller gjennomføres ytterligere tiltak. Aktuell dokumentasjon og tiltak er angitt i RFT 14/2019 punkt 4.5.1.3.
Hvitvaskingsloven åpner også for bruk av elektronisk legitimasjon/eID forutsatt at denne oppfyller visse sikkerhetskrav i Forskrift om selvdeklarasjon av ordninger for elektronisk identifikasjon (selvdeklarasjonsforskriften). Se også RFT 14/2019 punkt 4.5.1.2 og RFT 15/2019 punkt 4.5.1.2. Personlig fremmøte er ikke nødvendig når elektronisk signatur benyttes, med mindre det er forhold som kan gi grunnlag for tvil om personen er den han/hun gir seg ut for å være. Det samme gjelder ved høy risiko for hvitvasking og terrorfinansiering, som tilsier ytterligere tiltak. Ytterligere tiltak kan da være fysisk møte, personen har vært kontaktet og svart på henvendelse til sin personlige e-post eller telefonnummer, rett navn fremgår av relevante dokumenter fra Skatteetaten. Se nærmere i RFT 14/2019 punkt 4.5.1.3.
Krav til å innhente gyldig legitimasjon fra ny daglig leder eller styreleder?
Når kunden ansetter ny daglig leder eller styreleder, legger Revisorforeningen til grunn at revisor må innhente gyldig legitimasjon fra den nye daglige lederen/styrelederen. Opplysninger om fysiske personer som handler på vegne av en juridisk person skal innhentes i samsvar med hvvl. § 12 første ledd, jfr. hvvl § 13.
Etter hvitvaskingsloven § 24 skal rapporteringspliktige løpende følge opp eksisterende kundeforhold og oppdatere dokumentasjon og opplysninger om kunder. De samme krav til kundekontroll gjelder ved endring som ved etablering. For de som opptrer på vegne av kunden gjelder hvitvaskingsloven § 13.
Reelle rettighetshavere
Etter hvitvaskingsloven § 12 og § 13 skal alle norske selskap og andre juridiske enheter (som sameier, borettslag mv.) innhente og registrere opplysninger for "reelle rettighetshavere". Loven gjelder også for norske forvaltere av utenlandske truster (og tilsvarende strukturer).
"Reelle rettighetshavere" er fysiske personer som i siste instans eier eller kontrollerer kunden, eller som en transaksjon eller aktivitet gjennomføres på vegne av. Dette omfatter først og fremst fysiske personer som direkte eller indirekte eier eller kontrollerer mer enn 25 prosent av eierandelene eller stemmene i selskapet, men også enkelte andre, jf. hvitvaskingsloven § 2 og § 14. Se også omtale av definisjonen av reelle rettighetshavere i RFT 8/2019 Veileder til hvitvaskingsloven punkt 4.5.2 samt RFT 14/2019 punkt 4.6.2 og RFT 15/2019 punkt 4.6.2.
Identiteten til reelle rettighetshavere skal bekreftes ved egnede tiltak som avgjøres på bakgrunn av en risikovurdering. Det er ifølge Revisorforeningen ikke tilstrekkelig å spørre kunden om hvem som er reell rettighetshaver. Normalt vil det være tilstrekkelig at det fremlegges aksjeeierbok/utskrift fra aksjonærregisteret, selskapsavtale eller foreningsavtale. Det må også undersøkes om det foreligger aksjonæravtaler. De registrerte opplysningene må være tilstrekkelige til å skille den aktuelle personen fra andre personer med samme navn, jf. hvitvaskingsloven § 12. Registrerte opplysninger om reelle rettighetshavere bør derfor omfatte:
- fullt navn
- fødselsnummer, D-nummer eller, dersom den reelle rettighetshaveren ikke har slikt nummer, annen entydig entitetskode
- fast adresse
Alle aksjonærer i norske selskaper skal idag føres opp i aksjonærregisteret som oppdateres årlig. Utenlandske aksjonærer som investerer gjennom forvalter har derimot i dag muligheten til å holde sin identitet skjult for allmennheten, og føres opp som «ukjent» i aksjonærregisteret. Slik det er i dag er det en informasjonsasymmetri ved at utenlandske investorer får operere skjult i Norge, men for norske aksjonærer er det åpenhet via aksjonærregisteret..
Lov om register over reelle rettighetshavere ble vedtatt 1. mars 2019. Forskrift til lov om register over reelle rettighetshavere ble vedtatt 21. juni 2021.
Formålet med et register over reelle rettighetshavere er å gi offentligheten tilgang på mer informasjon om de fysiske personene som i realiteten styrer foretak og andre enheter i Norge. Loven legger også til rette for å registrere opplysninger om utenlandske juridiske arrangementer som "trusts" og lignende, når disse driver virksomhet i Norge. Økt åpenhet er viktig for å bekjempe terrorfinansiering, hvitvasking, skatteunndragelser og annen lyssky virksomhet. Forskriften presiserer blant annet lovens anvendelsesområde og de pliktene som pålegges.
Reglene i forskriftens kapittel 1 og 2, som omhandler identifisering, innhenting av opplysninger, dokumentasjon og lagring av opplysninger om reelle rettighetshavere på de juridiske personenes hånd, trådte i kraft 1. november 2021. Nesten alle norske foretak og foretak som driver virksomhet i Norge vil være pliktige til å registrere opplysninger om reelle rettighetshavere i et sentralt register.
Det er verdt å merke seg at kriteriene for identifisering av indirekte eiere i forskrift til lov om register over reelle rettighetshavere § 2-1 skiller seg fra kriteriene for identifisering i hvitvaskingsloven § 14.
- Ved identifisering av reelle rettighetshavere i hvitvaskingsloven skal nære familiemedlemmer konsolideres. Tilsvarende følger ikke av forskriften.
- Tilnærmingen til indirekte kontroll er forskjellig:
- Forskriften definerer reell rettighetshaver å være vedkommende som eier/kontrollerer mer enn 50 % av et foretak som igjen eier/kontrollerer mer enn 25 % av kunden
- Hvitvaskingloven definerer reell rettighetshaver som vedkommende som eier/kontrollerer mer enn 25 % av et foretak som igjen eier/kontrollerer mer enn 25 % av kunden
Ulikhetene i regelverket kan medføre at registeret kan komme til å vise færre og til dels andre reelle rettighetshavere enn etter hvitvaskingsloven.
Registeringspliktige vil ha ansvar for å løpende oppdatere registrerte opplysninger for endringer og kvalitetssikre at opplysningene i registeret er riktige. Eventuell svikt i rutiner for å ivareta dette ansvaret kan medføre at opplysninger om reelle rettighetshavere ikke er korrekte.
Rapporteringspliktige kan av årsakene som nevnes ovenfor ikke utelukkende bygge på registeret, og må fortsatt gjennomføre selvstendig kontroll av kunders eierskap og kontrollstruktur for å identifisere reelle rettighetshavere.
Registeret skal være tilgjengelig for enhver, med enkelte begrensede unntak, slik som for opplysninger om fødsels- og D-nummer. Registeret er ennå ikke ferdigstilt og derfor er ikke alle deler av loven og forskriften trådt i kraft enda. Registeret vil bli administrert av Brønnøysundregistrene.
Direkte og indirekte eierskap - et oppslagsverk for identifikasjon av reelle rettighetshavere er nå ute i endelig versjon oppdatert i tråd med den nye Hvitvaskingsloven. Rapporten er et resultat av et treårig samarbeid mellom mellom Tax Justice Network - Norge, Finans Norge, Norsk Øko-forum og Revisorforeningen.
Finanstilsynet klargjør kravene til legitimering av mindreårige etter hvitvaskingsloven
Finanstilsynet har i rundskriv 4/2022 pkt. 4.3.1.6 omtalt legitimering av mindreårige etter hvitvaskingsloven. Etter Finanstilsynets forståelse blir flere kunder møtt med at barn må ha pass for å kunne få eller opprettholde konto i bank. På denne bakgrunn ønsker Finanstilsynet både å tydeliggjøre det generelle kravet til legitimering etter hvitvaskingsloven og å justere kravet til legitimering der den mindreårige ikke har gyldig legitimasjon.
Hvitvaskingsloven stiller ikke krav om fremvisning av pass som eneste form for gyldig legitimasjon, heller ikke for mindreårige, jf. rundskriv 4/2022 kapittel 4.3.1.1 .
I rundskrivet angis fremleggelse av fødselsattest som et mulig unntak der den mindreårige ikke har gyldig legitimasjon, jf. rundskrivets kapittel 4.3.1.6. Rapporteringspliktige kan også ta utskrift fra Folkeregisteret som grunnlag for å bekrefte barnets identitet. Det er en forutsetning at en foresatt, verge eller andre som handler på vegne av barnet legitimerer seg etter vanlige regler, jf. hvitvaskingsloven § 12. Den mindreårige må legitimeres når han eller hun når myndighetsalder.
Finanstilsynet har også mottatt informasjon om enkelte rapporteringspliktiges praksis hvor produkter og tjenester for mindreårige kunder alltid anses å ha lav risiko for hvitvasking eller terrorfinansiering. Finanstilsynet understreker at det alltid skal gjøres en konkret risikovurdering av kunden og dennes bruk av produktet eller tjenesten. Dersom den mindreåriges konto eksempelvis benyttes til å overføre større beløp til høyrisikoland eller om det er en transaksjonsflyt på kontoen som tilsier lovlig eller ulovlig virksomhet, skal dette vurderes.