Att.: seniorrådgiver Thomas Myhr
Deres ref.
Deres brev
Vår ref.: 2004/00162FNH/TAH
200100053 Spbf/GH
Dato: 04.06.2004
Vi viser til Nærings- og handelsdepartementets høringsbrev 9. mars 2004 med forslag til bl.a. endringer i lov 15. juni 2001 nr 81 om elektronisk signatur (e-signaturloven), samt kontaktmøte 11. mai i anledning høringssaken.
De foreslåtte endringer i e-signaturloven forutsetter også endringer i legitimasjonskravene etter hvitvaskingsregelverket som forvaltes av Finansdepartementet/Kredittilsynet.
Bakgrunnen for høringssaken og de foreslåtte endringer i e-signaturloven er Stortingets anmodningsvedtak 16. juni 2003 under behandlingen av Ot. prp. nr. 72 (2002-2003) om ny hvitvaskingslov. Stortinget fattet følgende vedtak i tilknytning til lovsaken: ”Stortinget ber Regjeringen innen utgangen av 2003 på egnet måte fremme nødvendige forslag for å sidestille skriftlig og elektronisk legitimasjon”, jf Inst. O. nr. 100 (2002-2003). FNH og Sparebankforeningen konstaterer at Stortinget i sitt vedtak ikkehar begrenset sin anmodning om sidestilling til bare kvalifiserte elektroniske sertifikater.
Nærings- og handelsdepartementet foreslår med hjemmel i ny § 16a i e-signaturloven at det etableres frivillige godkjennings- og sertifiseringsordninger som bl.a. skal ha som oppgave å sertifisere sertifikater med det formål å kunne tjene som ”gyldig legitimasjon” etter hvitvaskingsloven § 5. De konkrete endringsforslag i e-signaturloven er riktignok nøytralt utformet med hensyn til sertifikattype, men vil som følge av lovens virkeområde etter § 2 kun gjelde for kvalifiserte sertifikater. Videre opplyses det at Finansdepartementet vil følge opp med endringer i hvitvaskingsforskriften slik at kun ”sertifiserte kvalifiserte sertifikater” vil bli akseptert som gyldig legitimasjon på linje med dagens (visuelle) legitimasjonsdokumenter.
Generelle kommentarer
En godkjenningsordning etter de rammer og føringer som presenteres av departementet i høringsnotatet er helt uakseptabel for bankene som sertifikatutstedere og for banknæringens satsing på BankID som et fullgodt og allmenngyldig elektronisk sertifikat. Vi frykter at den foreslåtte ordning vil begrense utberedelsen av elektroniske sertifikater i Norge og derved hindre utviklingen av elektronisk handel og kommunikasjon. Dette gjelder ikke minst innenfor finansnæringen der alle banker som driver virksomhet i Norge vil kunne stå som utstedere av BankID og avtalepart mot sertifikatholder.
Bankene vil de nærmeste årene ha fokus på utstedelse og implementering av løsninger med BankID. Dersom ikke BankID kan benyttes som legitimasjon i henhold til hvitvaskingsloven, vil bankene av ressursmessige årsaker neppe heller se seg i stand til å bygge opp systemer for aksept av elektronisk legitimasjon innenfor hvitvaskingslovens område. Dersom det skulle ende slik at kun kvalifiserte sertifikater kan godtas som elektronisk legitimasjon etter hvitvaskingsloven, vil for eksempel bankene neppe tilrettelegge systemer for etablering av kundeforhold ved elektroniske legitimasjonsdokumenter.
Det er flere grunner til at bankene i første omgang har valgt ikke å melde BankID som kvalifisert sertifikat. Kvaliteten på BankID eller på prosedyrene omkring identitetskontroll ved utstedelse er ikkeen av grunnene! Den kanskje viktigste grunnen til ikke å melde BankID som kvalifisert i en oppstartsfase, er at vi så langt har oppfattet de tekniske, økonomiske og rettslige rammer for kvalifiserte sertifikatet for usikre og uforutsigbare. Her kan minnes om at det vil være 150 banker som er potensielle utstedere av BankID, og det ville være en lite tilfredsstillende situasjon dersom noen av bankene skulle velge ikke å melde seg som utsteder av kvalifisert sertifikat. Slik lanseringsplanen for BankID nå er det nærmeste året, frykter vi at lansering av BankID ville bli vesentlige forsinket dersom man nå skulle påbegynne et arbeid for å registrere BankID som kvalifisert sertifikat.
FNH og Sparebankforeningens syn på de fremlagte forslagene kan sammenfattes på følgende måte:
· Vi er skeptiske til at det med hjemmel i e-signaturloven etableres myndighetsbestemte sertifiserings- og godkjenningsordninger (se pkt 1 nedenfor).
· Vi mener at Stortingets anmodningsvedtak om sidestilling av skriftlig (visuell) og elektronisk legitimasjon heller bør skje gjennom direkte endringer i hvitvaskingsloven § 5 med forskrifter og bestemmelsene om legitimasjonskontroll og hva som anses som ”gyldig legitimasjon” (se pkt 4 nedenfor)
· Dersom Nærings- og handelsdepartementet mot formodning likevel velger å fremme forslag om endringer i e-signaturloven med sikte på anskaffelse av hjemler for etablering av lovbestemte godkjenningsordninger (jf forslaget til ny § 16a), mener vi at ordingen i så fall må utvides til også å kunne omfatte utstedere av andre former for elektroniske sertifikater med avansert signatur (se pkt 2 nedenfor).
Vi vil nedenfor kommentere enkeltforslag og uttalelser i høringsnotatet.
1. Forslag om etablering av nye sertifiserings- og godkjenningsordninger
Modellen med offentlig bestemte sertifiserings- og godkjenningsordninger synes ikke å være tilfredsstillende begrunnet eller nærmere konsekvensutredet, verken når gjelder kostnader og ekstra ressursmedgang for berørte utstedere eller hvilke offentlige eller private institusjoner som vil kunne være aktuelle som sertifiserings- og godkjenningsorganer. Det er i høringsnotatet heller ikke antydet noe om hva slags saksbehandlingsrutiner og prosedyrer for øvrig som vil gjelde for godkjenningsorganet. Det er heller ikke antydet hva slags andre formål som et slikt sertifiserings-/godkjenningsordning skal tjene innenfor andre sektorer enn legitimasjonskontroll i forbindelse med hvitvaskingslovgivningen. Her viser vi blant annet til at det ved elektronisk kommunikasjon med og i forvaltningen er et annet regelregime for å velge hvilke sikringsmekanismer med videre som skal kunne aksepteres av det enkelte forvaltningsorgan.
FNH og Sparebankforeningen antar at godkjennings- og sertifiseringsordninger vil innebære et fordyrende, begrensende og byråkratisk element i uviklingen av næringsinitierte PKI-løsninger og elektroniske sertifikater. Vi viser i denne forbindelse til rapporten om elektroniske signaturer (datert 28. januar 2000) fra det såkalte Torvund-utvalget. Utvalget som var oppnevnt av Nærings- og handelsdepartementet, vurderte myndighetsroller og regulering av tilbydere av sertifikattjenester. Utvalget anså det positivt at det blir etablert frivillige godkjenningsordninger i markedet, men anbefalte at aktørene selv og ikkemyndighetene tar initiativet til slike ordninger (jf rapportens kapitler 6.6 og 7.2.4).
For FNH og Sparebankforeningen virker det videre svært lettvint av Nærings- og handelsdepartementet å ”imøtekomme” Stortingets anmodningsvedtak om likestilling av fysiske og elektroniske legitimasjonsinstrumenter ved kun å foreslå endringer i e-signaturlovgivningen uten å gå nærmere inn i selve kjernen av problemstillingen: Hvilke krav bør stilles til elektroniske sertifikater og utstedere av disse for at de skal kunne aksepteres som gyldig legitimasjon etter hvitvaskingsloven § 5 femte ledd.
Bankene har lang og solid erfaring med legitimasjons- og identitetskontroll ved åpning av kundeforhold og utstedelse av det fysiske legitimasjonsdokumentet ”Bankkort”. Det eksisterer i dag ingen offentlig sertifiserings- eller godkjenningsordning for fysiske legitimasjonsdokumentene som benyttes. Tilliten til legitimasjonsdokumenter og dokumentutstedelse skapes primært gjennom bruk og aksept i markedet, ikke gjennom ordninger med offentlig styring og kontroll. Utstedelse av ”Bankkort” bygger på omfattende næringsbestemt dokumentasjon av rutiner og regler samt et sentralisert opplegg for standardisering og godkjennelse av produsenter av ”Bankkort” i regi av Bankenes Standardiseringskontor (BSK).
Vi går på denne bakgrunn i mot endringer i e-signaturloven for etablering av offentlig bestemte sertifiserings- og godkjenningsordninger med det formål å sertifisere elektroniske sertifikater til bruk innenfor hvitvaskingslovens virkeområde eller andre samfunnssektorer.
2. Subsidiært: En godkjenningsordning må ikke være begrenset til sertifisering av kvalifiserte sertifikater
FNH og Sparebankforeningen er av den klare oppfatning at dersom Nærings- og handelsdepartementet likevel velger å gå videre med forslaget om innføring av frivillige godkjennings- og sertifiseringsordninger basert på endringer i e-signaturloven, må ordningen utvides til også å omfatte utstedere av andre typer sertifikater med avansert elektronisk signatur slik at også denne sertifikattypen vil kunne bli godkjent som ”gyldig legitimasjon” etter hvitvaskingsregelverket.
Det er i de to EU-direktivene om tiltak mot hvitvasking av penger (91/308/EØF og 2001/97/EF) og FATFs 40 anbefalinger fra 1. juli 2003, ingen begrensninger eller føringer i retning av at man bare skal akseptere kvalifiserte sertifikater.
Etter vår vurdering vil en ordning med godkjennelse av bare kvalifiserte sertifikater heller ikke kunne oppfylle Stortingets uttalte målsetning om økt utbredelse av elektronisk handel og forretningsdrift herunder innenfor finanssektoren, samtidig som det ikke er påviselige eller dokumenterte sikkerhetsmessige grunner som nødvendiggjør slik diskriminering i forhold til utstedere av sertifikater med avansert elektronisk signatur.
Nærings- og handelsdepartementet har i høringsnotatet ikke engang drøftet om andre sertifikattyper bør kunne bli omfattet av den frivillige godkjennings- og sertifiseringsordningen. Departementet har etter det vi forstår lagt seg på Finansdepartementets synspunkter i Ot. prp. nr. 72 (2002-2003) til ny hvitvaskingslov, uten å ta tak i det reelle innholdet i de føringer som Stortinget ga i forbindelse med anmodningsvedtaket. Det har dessverre festnet seg den oppfatning at det eneste saliggjørende for å oppnå sidestilling er å godta kvalifiserte sertifikater; alt annet synes mindreverdig. Når det gjelder BankID står sikkerheten i dette sertifikatet ikke tilbake for sertifikater i markedet som i dag er registrert som kvalifisert. Det burde etter vår mening være mer enn godt nok at bankene selv har tiltro til BankID som sikkerhetsprodukt, ikke hva lovgivningen i dag benytter som betegnelse på dette sertifikatet.
Det kan etter vår oppfatning ikke være ulikheter i teknologi og sertifikattype som skal være avgjørende for hva slags sertifikater som skal kunne godtas som gyldig legitimasjon etter hvitvaskingsregelverket, men derimot kvaliteten på den underliggende legitimasjons– og identitetskontroll som utsteder skal gjennomføre ved personlig fremmøte av sertifikatinnehaver før det utstedes et sertifikat. Er denne legitimasjons- og identitetskontrollen mangelfull vil heller ikke et ”sertifisert kvalifisert sertifikat” kunne reparere feilen i ettertid. Sertifikatinnehaver vil i slike situasjoner opptre med uriktig identitet. Her kan nevnes at selv om BankID ikke er registrert i Post- og teletilsynet som kvalifisert sertifikat, har FNH og Sparebankforeningen likefullt i Regler om BankID punkt 8 fastsatt nøyaktig de samme krav om personlig fremmøte som følger av § 7 i forskrift om krav til utstedelse av kvalifiserte sertifikater.
Slik inkludering av sertifikater med avansert elektronisk signatur vil derfor selvsagt måtte innebære at også disse sertifikatutstederne skal underkaste seg de tilleggskrav som fastsettes av departementet og/eller utpekt godkjennings- og sertifiseringsorgan med hensyn til blant annet strenge kontrollprosedyrer ved sertifikatutstedelse. Det kontrollnivået som følger av hvitvaskingsregelverket må opprettholdes dersom et elektronisk sertifikat skal kunne benyttes som gyldig legitimasjon ved etablering av kundeforhold etter hvitvaskingsloven § 5, jf prinsippet om ”Kjenn din kunde”.
Det kan etter vår mening heller ikke være lovtekniske grunner til hinder for at samme tilleggskrav (dokumentasjonskrav mv) som eventuelt blir krevd av utstedere av kvalifiserte sertifikater etter forslaget i e-signaturloven ny § 16a, bør kunne stilles overfor utstedere av sertifikater med avansert signatur. Forutsetningen er imidlertid at e-signaturloven § 16a åpner for at også andre sertifikatutstedere får mulighet til på frivillig grunnlag å slutte seg til sertifiserings- og godkjenningsordningen og underkaste seg de samme kontrollkrav som måtte bli stilt i forskrift eller av godkjenningsorganet. Man kan i så fall bare utvide e-signaturlovens virkeområde i § 2 slik at eventuelle frivillige godkjennings- og sertifiseringsordninger etter § 3 nr 11 og § 16 a også vil kunne omfatte utstedere av sertifikater med avansert signatur. EU-direktivet om elektroniske signaturer er ikke til hinder for at frivillige sertifiseringsordninger omfatter alle former for elektroniske sertifikater.
Dersom Nærings- og handelsdepartementet mot formodning velger å gå videre med forslaget om innføring av frivillige godkjennings- og sertifiseringsordninger basert på endringer i e-signaturloven, vil FNH og Sparebankforeningen be om at også e-signaturloven § 2 endres slik (kursivert):
”Loven gjelder for sertifikatutstedere som er etablert i Norge. Loven regulerer rammebetingelsene for bruk av kvalifiserte elektroniske signaturer, med unntak av § 6 annet ledd, § 7og § 16 a.”
3. Sanksjoner
I ny § 16a har Nærings- og handelsdepartementet lagt opp til at sertifiserings- og godkjenningsorganer kan ilegge løpende tvangsmulkt dersom utstederen ikke innretter seg etter fastsatte krav og pålegg. FNH og Sparebankforeningen har i utgangspunktet ingen innvendinger til en ordning med tvangsmulkt som sanksjonsmiddel, men reagerer av prinsipielle grunner på at man i tillegg foreslår innført i e-signaturloven § 21 første ledd bokstav e straffesanksjoner ved brudd på forskrifter hjemlet i § 16a.
Som hovedbegrunnelse for forslaget om straff viser departementet til at utstedereav visuelle legitimasjonsdokumenter kan ilegges straff etter hvitvaskingsloven. Dette er etter vår mening ikke korrekt lovforståelse. Hvitvaskingsloven gjelder foruten Økokrim og Kontrollutvalget, for rapporteringspliktige institusjoner og profesjoner. En legitimasjonsutsteder kanogså være rapporteringspliktig, men det er langt ifra normalen. Den norske stat som utsteder av pass ville ikke kunne bli straffet etter hvitvaskingsloven, ei heller en bank som utsteder legitimasjonsdokumentet ”Bankkort”.
Videre kan straff i tillegg til løpende tvangsmulkt oppleves som dobbeltstraff for utstederen dersom sertifiserings- og godkjenningsorgan er et offentlig organ. Vi kan heller ikke se at det er tilstrekkelig begrunnet hvorfor brudd på e-signaturloven § 16 a skal straffes med fengsel ved særlig skjerpende omstendigheter, mens overtredelser av de øvrige lovbestemmelsene er sanksjonert med bøter.
4. Krav til sertifikatutstedelsen slik at elektroniske sertifikater kan aksepteres som gyldig legitimasjon etter hvitvaskingsloven § 5
Vi mener at Stortingets anmodningsvedtak om sidestilling av skriftlig (visuell) og elektronisk legitimasjon bør oppfylles ved at det implementeres en regel om dette direkte i hvitvaskingsforskriften med hjemmel i hvitvaskingsloven § 5 femte ledd jf første ledd. Ved bruk av samme reguleringsteknikk som i dag gjelder for papirbaserte legitimasjonsdokumenter i hvitvaskingsforskriften § 4, kan man gi forskriftsbestemmelser og utfyllende retningslinjer fra Kredittilsynet om de krav som skal stilles for aksept av elektroniske sertifikater, herunder nærmere krav til forutgående legitimasjonskontroll og nærmere om hva som anses som ”gyldig legitimasjon”.
Vi mener at en ”logisk” lovgivningsteknikk burde vært at hvitvaskingsloven § 5 endres slik at det direkte fremgår at den rapporteringspliktige (under gitte betingelser) også kan akseptere elektroniske sertifikater som ”gyldig legitimasjon”. Den gjeldende hvitvaskingslov § 5 første ledd tredje punktum er imidlertid uheldig utformet. Skriftlig legitimasjon er jo slett ikke ”alltid” gyldig legitimasjon. Det vil kun være skriftlig/visuell legitimasjon som oppfyller kravene i hvitvaskingsforskriften § 4 som er ”gyldig”. Dette har man blant annet funnet nødvendig å kommenterer i Gyldendals ”Norsk Lovkommentar” (tidligere Karnov). Vi synes heller ikke man har vært heldig med begrepet ”visuell” som motsats til elektronisk legitimasjon. Fordi bestemmelsen i tredje punktum egentlig er unødvendig, foreslår vi at den strykes, alternativt erstattes med en setning som fremgår nedenfor.
Videre bør hvitvaskingsforskriften etter vår oppfatning – på samme måte som for sikriftlig/visuell legitimasjon – kunne inneholde nøytrale og objektive krav til elektronisk legitimasjon som ikke skiller mellom sertifikattyper, men som i stedet tar utgangspunkt i hvem som står som utsteder, hvilke opplysninger som skal fremgå av det elektroniske sertifikatet, krav om personlig fremmøte og betryggende legitimasjonskontroll av personen i forbindelse utstedelsen og for øvrig tilsvarende krav som gjelder for aksept av fysiske legitimasjonsdokumenter.
På denne bakgrunn foreslår FNH og Sparebankforeningen følgende endringer i henholdsvis hvitvaskingslovens § 5 første ledd tredje punktum og en ny bestemmelse i hvitvaskingsforskriften (her angitt som § 4a):
Hvitvaskingsloven § 5 første ledd tredje punktum:
”Som gyldig legitimasjon regnes ogsåelektroniske sertifikater som er utstedt etter nærmere regler fastsatt av departementet.”
(Som det fremgår over, foreslår vi prinsipalt at § 5 tredje punktum utgår.)
Hvitvaskingsforskriften § 4 a (ny):
Ӥ 4a Krav til elektroniske legitimasjonsdokumenter (personsertifikater)
Elektroniske sertifikater som kan benyttes for å skape en avansert elektronisk signatur som definert i lov om elektronisk signatur § 3 nr. 2, skal regnes som gyldig legitimasjon etter hvitvaskingsloven § 5 første ledd, når det minst inneholder opplysninger om hvem som er sertifikatutsteder, sertifikatholders navn og fødselsnummer (eventuelt fødselsdato og unik identifikator), sertifikatets gyldighetsperiode og opplysninger som entydig identifiserer det enkelte sertifikat (serienummer). Slikt elektronisk sertifikat skal dessuten være utstedt av offentlig organ, eller av annet organ som har betryggende kontrollrutiner for sertifikatutstedelse og det er allment akseptert at sertifikatet for øvrig har et tilfredsstillende sikkerhetsnivå. Ved utstedelse av sertifikatet skal utstederen minst gjennomføre de krav til identitetskontroll som følger av forskrift om krav til utsteder av kvalifiserte sertifikater § 7.”
Med vennlig hilsen
for Finansnæringens Hovedorganisasjon
Tore A. Hauglie
for Sparebankforeningen i Norge
Gunnar Harstad
Kopi: Finansdepartementet
Kredittilsynet