Finansdepartementet
Finansmarkedsavdelingen
Postboks 8008 Dep
0030OSLO
Oslo, 12. juni 2003
Deres ref: 02/824 FM HD
Sparebankforeningens ref: 200300087 SLL
FNHs ref: 2003/00197 TAH
Høring / ny forskrift om legitimasjonskontroll og tiltak mot hvitvasking av penger
Vi viser til departementets høringsutsendelse 10.04.2003, med utkast til ny forskrift om legitimasjonskontroll og tiltak mot hvitvasking av penger.
Finansnæringens Hovedorganisasjon og Sparebankforeningen har følgende kommentarer til de forslagene som direkte angår finansnæringen:
Til § 1 Begreper
Vi antar at det vil være klargjørende om det uttrykkelig framgår at også innskudd faller inn under forskriftens begrep transaksjon. Det kan f eks gjøres ved å føye til ordene ”,herunder innskudd” til slutt i definisjon 2. Dersom departementet foretrekker å la forskriftens definisjon være helt likelydende med definisjonen i hvitvaskingsloven § 2 (vi forutsetter at denne blir vedtatt i samsvar med Ot prp nr 72 og Innst O nr 100 2002-2003), kan Kredittilsynet eventuelt presisere forholdet i et nytt ”hvitvaskingsrundskriv” som vi går ut fra vil bli utarbeidet.
Til § 2 Rapporteringspliktige
Som det framgår av FNH’shøringsuttalelse 28.11.02 og Sparebankforeningens hørings-uttalelse 27.11.02 til selve lovutkastet, er vi skeptiske til å unnta ”høyverdiforhandlere” som juvelerer, kunsthandlere mv fra regelverket, for så vidt kjøperen gjør opp med betalingskort. Det er mulig at det her foreligger spesielle forhold, som gjør at regelverket ikke kan anvendes fullt ut. Departementet foreslår i forskriftsutkastet § 2 annet ledd nr 8 at ”Transaksjoner med betalingskort omfattes kun etter regler gitt i forskrift fastsatt av departementet”. Vi ville ha foretrukket at bestemmelsen var snudd, dvs at alle slike enkelttransaksjoner på kr 40.000 eller mer var underlagt reglene, uansett om salgssummen ble gjort opp i kontanter, ved sjekk eller ved betalingskort, med mindre departementet hadde fastsatt unntak i forskrift. Vi ser imidlertid at det kan bli vanskelig, dersom hvitvaskingsloven § 4 annet ledd nr 8 får den ordlyden som foreslått i Ot prp nr 72 og i Innst O nr 100 som nevnt.
Til § 3 Plikt til å kreve legitimasjon mv
For at legitimasjonsreglene skal fylle sitt formål, er det av avgjørende betydning at den benyttede legitimasjonen som utgangspunkt er av høy kvalitet, dvs at identitetskontrollen før utstedelse er tilfredsstillende og at legitimasjonen har tilfredsstillende sikkerhet mot falsk og forfalskning. For skriftlig legitimasjon vil dette kunne defineres nærmere i rundskriv fra Kredittilsynet, for så vidt gjelde de rapporteringspliktige som er underlagt tilsyn derfra.
Av særlig interesse for finansinstitusjoner og andre rapporteringspliktige som kommuniserer elektronisk med sine kunder og/eller utsteder elektroniske sertifikater, er spørsmålet om kvalifiserte sertifikater skal kunne aksepteres som gyldig legitimasjon og således likestilles med manuelle legtimasjonsdokumenter. Finansdepartementet uttalte følgende om dette i
Ot prp nr 72:
”Etter departementets syn er det mest hensiktsmessig å lovfeste et krav om at kunden skal fremleggegyldig legitimasjon ved etableringen av kundeforhold. Som gyldig legitimasjon anses åpenbart skriftlig legitimasjon. Videre bør det vurderes om elektroniske kvalifiserte sertifikater kan anses som gyldig legitimasjon. Det bør bl.a. vurderes om krav til utstedere av slike sertifikater vil gi en betryggende identitetskontroll mht. hensynet til bekjempelse av hvitvasking og terrorfinansiering. Det legges til grunn at det i forskrift kan fastsettes nærmere regler om hva som anses som gyldig legitimasjon. Det vises til lovforslaget § 5 første ledd, jf. siste ledd.”
Departementet har ikke fulgt opp med nærmere regler om aksept av kvalifiserte sertifikater i forslag til ny hvitvaskingsforskrift slik det gis anledning til i lovforslagets § 5, jf forskrifts-utkastet § 4 om krav til legitimasjonsdokumentene. Departementet nøyer seg i denne forbindelse med å antyde at departementet ”vil kunne vurdere dette nærmere, og ev. komme tilbake med forslag til nye forskriftsbestemmelser om dette.”
FNH og Sparebankforeningen har merket seg at Finanskomiteen under Stortingets behandling av Ot prp nr 72, har drøftet ovennevnte spørsmål og i den forbindelse fremmet følgende forslag i Innst O nr 100:
"Stortinget ber Regjeringen innen utgangen av 2003 på egnet måte fremme nødvendige forslag for å sidestille skriftlig og elektronisk legitimasjon."
Vi har videre merket oss finansminister Foss’ uttalelse under Odelstingsbehandlingen tirsdag 3. juni 2003:
”Komiteen er også utålmodig når det gjelder å få slått fast at elektronisk legitimasjon skal likestilles. Jeg kan bekrefte at vi er i full gang med å følge opp Stortingets vedtak. Sammen med Næringsdepartementet vil Finansdepartementet vurdere en løsning som innebærer at elektronisk kvalifiserte sertifikater og skriftlig legitimasjon likestilles etter hvitvaskings-regelverket. Problemet i dag er at reglene om elektronisk sertifikat ikke er så strenge som det hvitvaskingsreglene krever. Det har hele tiden vært forutsatt at den foreslåtte forskrifts-hjemmelen skal benyttes.”
FNH og Sparebankforeningen mener problemstillingens sammensatte karakter (effektivitets-hensyn vs hensynet til ”kjenn din kunde”), gjør det nødvendig med en grundig utredning i spørsmålet om elektroniske sertifikater bør/skal sidestilles med skriftlige legitimasjons-dokumenter. I denne sammenheng må også legitimasjonskravene etter lov om elektronisk signatur gjennomgås og om nødvendig skjerpes i forhold til hvitvaskingsregelverket
(jf bl.a. våre kommentarer nedenfor til utkastet § 4). I en slik utredning må det også legges til grunn at det ikke er mulig å begrense aksept av elektroniske sertifikater til kun å omfatte norske kvalifiserte sertifikater, samtidig som det kan være sikkerhetsmessig usikkert å akseptere ethvert norsk og utenlandsk sertifikat uten nærmere vurdering av sikkerhetsnivå, utsteder mv.
Det vil være klargjørende om det framgår at legitimasjonskravet i § 3 syvende ledd ved enkelttransaksjoner på kr 100.000 og høyere fra personer som ikke har fast kundeforhold med den rapporteringspliktige, også omfatter innskudd i bank mv. Det er imidlertid også her mulig at dette mest hensiktsmessig kan understrekes i et revidert ”hvitvaskingsrundskriv” fra Kredittilsynet.
Til § 4Krav til legitimasjonsdokumentene
Vi oppfatter det slik at denne paragrafen er ment å regulere kun skriftlig legitimasjon, jfr begrepet ”legitimasjonsdokumentene”, kravet om foto og navnetrekk for fysiske personer (og slikt vil selvfølgelig ikke finnes på et elektronisk kvalifisert sertifikat), mv. Vi forutsetter her at forskriftens begrep ”navnetrekk” er snevrere enn ”underskrift” i lov om elektronisk signatur
§ 6. - På den annen side inneholder paragrafen en del bestemmelser av generell art, f eks femte ledd om å opprette kundeforhold med personer uten noen form for legitimasjon.
Vi antar at bestemmelsene her bør deles på to paragrafer: En som gjelder legitimasjonskrav generelt, og en som gjelder skriftlig legitimasjon spesielt. Dersom departementet kommer til at skriftlig legitimasjon og elektroniske sertifikater skal likestilles, bør § 4 omarbeides helt og eventuelt deles opp i tre nye bestemmelser.
Kommentarene i høringsnotatet stemmer ikke overens med selve utkastet til forskrift - det virker som om det er skjedd en forskyvning av antall ledd. Utkastets åttende ledd er således ingen videreføring av dagens forskrift, slik det står i høringsnotatet s 7, men en nyskapning: Foruten legitimasjon for disponenten(e), skal det framlegges legitimasjon også for (minst) en av deltakerne/medlemmene. Vi forstår det slik at ”laget”/”foreningen” i så fall skal føres på fødselsnummeret til vedkommende deltaker/medlem, og ikke på et konstruert kundenummer.
Vi viser i denne forbindelse til det initiativ som FNH tok overfor Kredittilsynet i fjor for å få innført en ordning med forenklet registreringsplikt for slike lag og foreninger i Enhets-registeret, jf også omtalen Det er etter vår vurdering svært viktig for å kunne etterleve ”kjenn din kunde”-prinsippene, at banker og andre finansinstitusjoner unngår i FNHs høringsuttalelse 28.11.2002 til lovforslaget. å benytte seg av"konstruerte" eller "fiktive" kundenummer.
Vi mener at registreringsplikt i Enhetsregisteret for alle juridiske personer, herunder foreninger, lag, sameier mv, vil gi et entydig identifikasjonsnummer på tvers av organisasjonene, og en samordning med myndighetenes nummerproduksjon. Dette ville løse de problemer som bruk av konstruerte kundenummer innebærer, herunder bidra til ensartet praksis i bankene, bekjempelse av økonomisk kriminalitet og forenkling av rapporteringen i forhold til skattemyndighetene og andre kontrollinstanser. Vi mener det er viktig å få et presist regelverk på dette området som ivaretar myndighetenes og bankenes behov for sikker og entydig identifisering av alle kunder (både fysiske og juridiske personer).
I § 5 første ledd nr 3 foreslås det at den rapporteringspliktige skal registrere kundens faste adresse. Vi støtter forslaget – det er vel nærmest en inkurie at dette ikke er tatt inn i dagens hvitvaskingsforskrift. Fast adresse blir selvsagt registrert av bankene også i dag, både i en åpenbar egeninteresse for bankene, men også etter krav iflg annen lovgivning. - Imidlertid oppstår et problem når det i § 4 tredje ledd heter at ”legitimasjonen skal for fysiske personer inneholde opplysninger som nevnt i § 5, …”. Ingen av de allment godkjente legitimasjons-dokumentene (pass, førerkort, bankkort mv) inneholder opplysninger om innehaverens faste adresse. Vi foreslår derfor at § 4 tredje ledd gis slik ordlyd:
”Legitimasjonen skal for fysiske personer inneholde opplysninger som nevnt i § 5 første ledd nr 1 og 2, samt kundens navnetrekk og fotografi av seg selv.”
Dersom myndighetene ønsker at kundens opplysning om fast adresse skal verifiseres på en eller annen måte, ved tilleggsdokumentasjon, ved oppslag i telefonkatalog e l, bør det enten kunne tas inn i forskriften § 5, eller kommenteres ved Kredittilsynets hvitvaskingsrundskriv.
I åttende ledd siste setning heter det at ”Kredittilsynet kan fastsette nærmere retningslinjer”. Det er greit for så vidt gjelder rapporteringspliktige som er underlagt Kredittilsynets tilsyn, men kan være problematisk med hensyn til de nye gruppene rapporteringspliktige.
§ 5 Plikt til å registrere opplysninger
I første ledd nr 2 heter det at den rapporteringspliktige skal registrere bl a kundens personnummer. Det bør rettes til fødselsnummer (dvs den fulle elleve-sifrede person-identifikasjonen). Vi minner om at fødselsnummeret består av to hoveddeler: De seks første sifrene er fødselsdato, de fem siste er personnummeret. – Antagelig ved en inkurie er begrepet ”personnummer” kommet inn også i utkastet til hvitvaskingsloven § 6 nr 2. Det bør rettes opp ved første anledning.
Tredje ledd er en videreføring av dagens § 3 annet ledd siste setning. Det bør endres. For det første er det sjelden at kundene har dobbelt statsborgerskap, og enda sjeldnere at den rapporteringspliktige blir gjort kjent med det.
For det andre bør regelen om notering av både fødsels- og D-nummer endres. Både fødsels- og D-numre er ”norske” begreper – i den grad en vil pålegge notering av tilsvarende utenlandske identifikasjonskjennetegn bør en benytte andre begreper. Norsk fødselsnummer er heller ikke entydig knyttet til norsk statsborgerskap – etter folkeregisterloven § 4 tildeles norsk fødselsnummer også til utenlandske statsborgere dersom de er bosatt i Norge (i praksis: Dersom de er bosatt her i minst seks måneder). Det har heller ingen god mening å registrere både D-nummer og fødselsnummer. Riktignok kan det forekomme at en utenlandsk statsborger først tildeles D-nummer, og på et senere tidspunkt fødselsnummer. Men når fødselsnummer tildeles, blir det gamle D-nummeret samtidig slettet.
Vi foreslår følgende ordlyd i § 5 nytt tredje ledd for å klargjøre ovennevnte:
”Fysiske personer skal registreres med enten fødselsnummer eller D-nummer. Dersom den rapporteringspliktige er kjent med at den fysiske personen (kunden) har to statsborgerskap skal dette registreres som en tileggsopplysning.”
Til § 6 Unntak fra plikten til å kreve legitimasjon
Vi kan ikke se hvorfor e-pengeforetak skal kunne unntas fra kravene om legitimasjonsplikt, som foreslått i utkastet § 6 bokstav f). E-pengeforetakene bør prinsipielt være underlagt de samme kravene som bankene med hensyn til ”kjenn din kunde”. Et e-pengeforetak kan praktisk sett gjennomføre legitimasjonskontrollen etter avtale med en annen rapporterings-pliktig, etter reglene om utkontraktering av legitimasjonskontrollen i utkastet § 7 tredje ledd.
Finansinstitusjoner uten et bredt filialnett samt banker som opptrer som rene nettbanker, benytter seg allerede i dag av denne ordningen med utkontraktering. Dersom departementet vurderer å gi e-pengeforetak lempeligere krav til gjennomføring av legitimasjonskontroll, bør dette i så fall begrenses til å gjelde småbeløp, dvs kjøp av e-penger som ikke overstiger et bestemt kronebeløp for eksempel kr 1.000,-.
Til§ 7Gjennomføring av legitimasjonskontroll
I første ledd heter det at ”legitimasjonskontroll ved etablering av kundeforhold skal skje ved kundens personlige fremmøte …” (kursiveringen er vår). Iflg § 3 skal de rapporteringspliktige kreve legitimasjon i tre situasjoner: Ved etablering av kundeforhold, ved enkelttransaksjoner på minst kr 100.000 fra ikke-kunder, og ved mistanke om hvitvasking. Ved den valgte formulering av § 7 første ledd vil frammøtekravet gjelde bare i den første av disse situasjonene. Det er neppe tilsiktet eller ønskelig. Antagelig bør ordene ”ved etablering av kundeforhold” strykes.
Om utkontraktering av legitimasjonskontrollen heter det i høringsnotatet s 8 at ”legitimasjons-kontrollen skal også i slike tilfeller skje ved kundens personlige frammøte hos den rapporteringspliktige det er inngått slik avtale med”. Vi er enige i det. Dette kravet er så viktig at det bør framgå direkte av forskriften.
Til § 9 Plikt til å oppbevare opplysninger i legitimasjonsdokumentene
Første ledd siste setning bør presiseres, for å harmonere med loven § 8 tredje ledd:
”Opplysningene skal deretter slettes innen ett år.”
Annet ledd om strengere oppbevaringskrav i annen lovgivning, refererer seg nok i første rekke til oppbevaring av transaksjonsopplysninger. Bestemmelsen bør derfor enten flyttes til § 10, eller framgå av begge paragrafer.
I fjerde ledd bør det holde med en generell henvisning til oppbevaringskravene i løsblad-forskriften. Ved en så detaljert henvisning som departementet foreslår, blir hvitvaskings-forskriften svært ”sårbar” ved senere endringer av løsbladforskriften.
Til § 10Plikt til å oppbevare transaksjonsopplysninger
Henvisningen i siste ledd må rettes til § 9 fjerde ledd.
Til § 11Undersøkelse av mistenkelige transaksjoner
I sjette ledd heter det – som i nåværende forskrift – at den ansatte som får mistanke, skal rapportere til sin foresatte og ”til en hos den rapporteringspliktige særlig utpekt person på ledernivå”. Det er i praksis et ikke særlig hensiktsmessig krav. Det er åpenbart et lederansvar å påse at de nødvendige rutiner er etablert, som det heter i den derpå følgende setningen. Men i hvert fall i de større bankene er det uråd at den løpende daglige rapporteringen skal skje til en person på ledernivå. I de større bankene er det etablert egne sikkerhets- og hvitvaskings-avdelinger, og i praksis er det hit den interne rapporteringen skjer, og det er denne avdelingen som forestår videre undersøkelser og eventuelt foretar rapportering til ØKOKRIM. Vi foreslår at bestemmelsen omformuleres f eks slik:
”Det skal utarbeides interne rapporteringssystemer der ansatte som får mistanke som nevnt i første ledd pålegges å rapportere til sin foresatte og til en hos den rapporteringspliktige særlig oppnevnt person eller avdeling. Personen/avdelingen skal være direkte underlagt en særskilt utpekt person på ledernivå, som skal påse at kontroll- og kommunikasjonsrutiner er etablert .. osv.”
Bestemmelsen i siste ledd er ny. Vi støtter forslaget.
Til § 12 Elektroniske overvåkingssystemer
Vi støtter forslaget om at det etableres automatisert overvåking av nettbanktransaksjoner mv. FNH og Sparebankforeningen har allerede lagt et grunnlag her, ved å utarbeide en krav-spesifikasjon for et slikt system.
Det gjenstår imidlertid fortsatt mye arbeid, og vi antar at utløpet av 2004 er en realistisk tidsramme. Det er imidlertid mulig at det kan bli behov for gradvis innfasing, og det er derfor av stor betydning at Kredittilsynets nærmere retningslinjer utarbeides i nært samråd med næringen.
Selv om et slikt overvåkingssystem bare skal være et internt arbeidsredskap, og det fortsatt skal være en hvitvaskingsansvarlig/-avdeling som ser nærmere på forholdet og eventuelt foretar innrapportering til ØKOKRIM, virker det realistisk at et slikt system vil føre til en markert økning av antall hvitvaskingsmeldinger. Det er derfor viktig at ØKOKRIM samtidig tildeles større ressurser – i motsatt fall vil en bare ha påført bankene en stor kostnad uten annet resultat enn å øke antall mottatte men ikke etterforskede saker hos ØKOKRIM.
Antagelig kan ordene ”hvitvasking av” i første setning strykes, sammen med infinitivsmerket litt lenger foran i setningen.
Til § 13Oversendelse av opplysninger til ØKOKRIM
Siste ledd bør omfatte også den som legitimasjonskontrollen eventuelt er utkontraktert til,
jfr § 7 tredje ledd.
Til §§ 14 og 15
I tillegg til de forhold som er nevnt i disse paragrafene, vil finansinstitusjonene på annet grunnlag ha plikt til å fryse transaksjoner til eller fra fysiske eller juridiske personer som framgår på særskilte lister satt opp av FN’s sikkerhetsråd mv.
For alle disse regelsettene må det være et myndighetsansvar å etablere konsoliderte elektroniske lister, og som bankene kan forholde seg til. Listene bør etter vår mening distribueres direkte til finansinstitusjonene, ikke via næringsorganisasjonene.
Med vennlig hilsen
Finansnæringens Sparebankforeningens
Servicekontor Servicekontor
Tore A HauglieSven L’Abée-Lund
Avd direktørAss direktør