Gjennomføring av kundetiltak (tidligere kjent som «kundekontroll») er avgjørende for å sikre etterlevelse av hvitvaskingsloven, og beskytter samtidig bedrifter mot å bli misbrukt til økonomisk kriminalitet.
Denne artikkelen forklarer hvilke kundetiltak rapporteringspliktige i Norge må gjennomføre.
Hva er de tre typene kundetiltak?
Hvitvaskingsloven definerer tre typer kundetiltak:
1. Alminnelige kundetiltak
Alminnelige kundetiltak gjelder for alle kunder som ikke er forbundet med særlig høy eller lav risiko for hvitvasking eller terrorfinansiering.
2. Forenklede kundetiltak
Forenklede kundetiltak gjelder for alle kunder som er forbundet med lav risiko for hvitvasking eller terrorfinansiering. Forenklede kundetiltak er mindre strenge enn alminnelige kundetiltak.
3. Forsterkede kundetiltak
Forsterkede kundetiltak gjelder for alle kunder som er forbundet med høy risiko for hvitvasking eller terrorfinansiering (f.eks. politisk eksponerte personer eller kunder som driver virksomhet i land hvor det er økt risiko for hvitvasking eller terrorfinansiering).
Forsterkede kundetiltak er strengere enn alminnelige kundetiltak og består av følgende:
- Innhenting av ytterligere opplysninger om kunden og de reelle rettighetshaverne (f.eks. yrke, formuesforhold)
- Innhenting av ytterligere informasjon om kundeforholdets formål og tilsiktede art
- Innhenting av informasjon om opphavet til midlene og formuen til kunden (f.eks. ved å innhente lønnsslipper, selvangivelser, kontoutskrifter)
- Innhenting av godkjenning fra overordnet nivå for å påbegynne eller fortsette kundeforholdet
- Gjennomføring av forsterket overvåking av kundeforholdet (f.eks. ved å øke antallet av kontroller)
- Krever at den første betalingen som gjennomføres, blir gjort via en konto i kundens navn
Hva består gjennomføring av kundetiltak av?
Gjennomføring av kundetiltak er en viktig del av KYC-prosessen og består av følgende plikter:
- Innhenting av opplysninger om kunden
- Bekreftelse av kundens identitet
- Innhenting av opplysninger om kundeforholdets formål og tilsiktede art
- Løpende oppfølging av kundeforhold
1. Innhenting av identitetsopplysninger om kunden
I Norge skal selskaper innhente følgende identitetsopplysninger om kunder som er fysiske personer:
- fullt navn
- norsk fødselsnummer, D-nummer eller liknande identifikasjonsnummer (for personer som ikke har norsk fødselsnummer eller D-nummer, skal elskaper innhente fødselsdato, fødested, kjønn og statsborgerskap)
- adresse
Hvis kunden er en juridisk person, skal selskaper innhente:
- foretaksnavn
- organisasjonsform
- organisasjonsnummer
- adresse
- navnet på daglig leder og styremedlemmer, eller personer i tilsvarende stilling
- opplysninger om kundens reelle rettighetshavere
Informasjonen som bedrifter skal innhente om kundens reelle rettighetshavere inkluderer navn, adresse og fødselsdato.
2. Bekreftelse av kundens identitet
Bedrifter skal bekrefte identiteten til fysiske personer ved personlig fremmøte og fremvisning av gyldig legitimasjon (f.eks. pass, førerkort, nasjonale ID-kort utstedt av et EØS-land, BankID, bankkort med bilde).
Når kunden er en juridisk person, bekreftes opplysninger om kuden ved:
- oppslag mot eller utskrift av firmaattest som ikke er eldre enn 3 måneder
- oppslag mot eller utskrift fra Enhetsregisteret som ikke er eldre enn 3 måneder
- oppslag mot eller utskrift fra andre offentlige registre
Bedrifter kan bekrefte opplysningene kundens reelle rettighetshavere ved hjelp av kompetente myndigheter eller offentlige registre.
3. Innhenting av opplysninger om kundeforholdets formål og tilsiktede art
Rapporteringspliktige skal ha innsikt i hvorfor kunden ønsker å ta i bruk en tjeneste eller produkt.
I tilfeller hvor kundeforholdets formål er selvavklarende, skal bedrifter kun innhente opplysninger om kundeforholdets art. Eksempler på slik opplysninger inkluderer:
- forventet transaksjonsmønster (frekvens, typer og størrelse av transaksjoner)
- kundens øvrige bank- og forsikringsforbindelser
- midlenes og formuens opprinnelse
- kundens forretningsmodell, dersom kunden er et selskap
- hvordan kunden tenker å anvende midlene
Kunnskap om kundeforholdets formål og tilsiktede art hjelper deg til å vurdere om kunden har et legitimt formål og til å få en dypere innsikt i kundens risikoprofil.
4. Løpende oppfølging av kundeforhold
Selskaper omfattet av hvitvaskingsloven skal løpende følge opp de etablerte kundeforholdene. Den kontinuerlige overvåkingen av kundeforhold hjelper deg med å oppdage mistenkelige aktiviteter og transaksjoner.
Oppfølgingen av kundeforholdet skal ta utgangspunkt i kundens risikoprofil. Dette betyr at kunder med lav risiko kan kontrolleres sjeldnere enn kunder med middels eller høy risiko.
Du må imidlertid fortsatt sørge for at du har tilstrekkelig overvåking på plass for å oppdage aktiviteter og transaksjoner som ikke er i samsvar med kundens virksomhet og risikoprofil.
I tillegg skal dokumenter, data og opplysninger om klienten holdes oppdatert.
Når skal rapporteringspliktige gjennomføre kundetiltak?
I Norge skal rapporteringspliktige gjennomføre kundetiltak i følgende situasjoner:
- ved etablering av kundeforhold
- ved enkeltstående transaksjoner på:
- minst 100 000 kroner
- mer enn 8 000 kroner i form av pengeoverføring
- mer enn 16 000 kroner, for tilbydere av spilltjeneste
- ved mistanke om hvitvasking eller terrorfinansiering
Hvordan kan Penneo KYC hjelpe deg med å etterleve hvitvaskingsloven?
Penneo KYC er en digital løsning som kan hjelpe deg med å redusere tiden og innsatsen som er involvert i gjennomføring av kundetiltak.
Med Penneo KYC kan du:
- samle opplysninger og dokumenter fra kunder og reelle rettighetshavere på en sikker måte
- screene kunder og reelle rettighetshavere mot PEP- og sanksjonslister og hente selskapsinformasjon fra selskapsregistre
- gjennomføre en veiledet risikovurdering av kundens iboende risiko for hvitvasking og terrorfinansiering
- lagre data og dokumenter som er innhentet i forbindelse med kundetiltak i samsvar med hvitvaskingsloven og personvernforordningen (GDPR)