Forespørgsel
Finanstilsynet har modtaget flere henvendelser fra virksomheder, der er omfattet af hvidvaskloven, samt organisationer som repræsenterer disse virksomheder, med forespørgsel om, hvorledes Nem-ID med tilknyttet OCES-certifikat kan anvendes til opfyldelse af hvidvasklovens legitimationskrav.
NemID
NemID med OCES-certifikat (herefter benævnt NemID) er et fælles log-in til både den private og den offentlige sektor. NemID består af et bruger-id, en adgangskode og et kort med "nøgler" (dvs. engangskoder). Når man logger på, taster man først sin bruger-id og sin adgangskode og derefter en nøgle fra det personlige nøglekort.
NemID er udviklet i samarbejde mellem DanID og Digitaliseringsstyrelsen. DanID har mulighed for at lade andre, herunder kommuner og pengeinstitutter, som såkaldt ”Registration Authorities” at varetage opgaven vedrørende registrering af brugere i forbindelse med registrering og udstedelse af Digital Signatur (OCES-certificere), der er den underliggende teknologi for NemID i det offentlige.
Finanstilsynet har noteret, at der foreligger et aftalegrundlag udarbejdet af Finansrådet og DanID, som giver de banker, der enkeltvist har indgået aftale med DanID om NemID, mulighed for at udstede NemID til bankens kunder.
Hvidvasklovens legitimationskrav for privatkunder
Det fremgår af hvidvaskloven § 12, stk. 1, at virksomheder skal have kendskab til deres kunder, herunder kræve at kunderne legitimerer sig, når der optages en forretningsmæssig forbindelse. Er kunden en fysisk person, følger det af § 12, stk. 2, at legitimationen skal omfatte navn, adresse og CPR-nr., eller anden lignende dokumentation, hvis den pågældende ikke har et CPR-nr.
§ 12, stk. 7, i hvidvaskloven giver mulighed for, at virksomheden kan gennemføre legitimationsproceduren ud fra en risikovurdering afhængig af risikoen ved den enkelte kunde eller forretningsforbindelse, produktet eller transaktionen.
Hvidvaskloven stiller, jf. § 19, stk. 2, skærpede krav til legitimationsproceduren i de situationer, hvor et kundeforhold etableres, uden at den pågældende kunde har været fysisk til stede for at legitimere sig. I sådanne tilfælde skal der træffes yderligere foranstaltninger for at sikre kundens rette identitet. Det følger af Finanstilsynets hvidvaskvejledning, at en sådan yderligere foranstaltning kan være, at kunden underskriver dokumenter ved hjælp af digital signatur.
Finanstilsynets hvidvaskvejledning indeholder ikke en nærmere beskrivelse af anvendelsen af NemID.
Finanstilsynets fortolkning
Kravet i hvidvasklovens § 12, stk. 2, indebærer, at virksomheden altid skal indhente følgende identitetsoplysninger:
- Navn
- Adresse
- CPR-nr. eller anden lignende identifikationsoplysning, hvis kunden ikke har et CPR-nr.
Såvel navn, adresse og CPR-nr. skal som udgangspunkt kontrolleres på grundlag af dokumenter, data m.v. (legitimation). Dokumentationen skal stamme fra pålidelige og uafhængige kilder, hvilket typisk vil sige, at legitimationen skal være udstedt af eller stamme fra offentlig myndighed. Hertil kommer, at de oplysninger, der følger af dokumenterne, skal være aktuelle.
Hvidvasklovens § 12, stk. 7, giver mulighed for at foretage legitimationsproceduren ved anvendelse af en risikovurdering afhængig af risikoen ved den enkelte kunde eller forretningsforbindelse, produktet eller transaktionen. Hvor meget og hvilken type legitimation, der skal indhentes, afhænger af en konkret risikovurdering. Virksomheden, som optager forretningsforbindelsen med kunden, skal være overbevist om, at kunden er den person, som kunden udgiver sig for at være. En risikovurdering kan aldrig føre til, at der ikke foretages nogen form for legitimationshandling.
Anvendelse af NemID som led i kundelegitimeringen vil primært være relevant i situationer, hvor kunden ikke er fysisk tilstede for at legitimere sig. I sådanne situationer stiller hvidvaskloven, jf. ovenfor, krav om, at der træffes yderligere foranstaltninger for at sikre en kundes identitet. Dette gælder også tilfælde, der efter en konkret risikovurdering vurderes at være forbundet med lavere risiko.
NemID kan anvendes i legitimationsproceduren til opfyldelse af hvidvasklovens krav, dog således at NemID ikke kan stå alene. NemID vil imidlertid kunne anvendes som en supplerende legitimationsforanstaltning, jf. hvidvaskloven § 19, stk. 2, nr. 1.
Fører en konkret risikovurdering til, at der er tale om et kundeforhold/produkt, der vurderes forbundet med lav risiko for hvidvask og finansiering af terrorisme (der henvises til Finanstilsynets hvidvaskvejledning), kan det til opfyldelse af legitimationskravet i hvidvasklovens § 12, stk. 2, sammenholdt med § 19, stk. 2, anses tilstrækkeligt at:
- Kunden underskriver dokumenter ved anvendelse af NemID som bekræftelse på kundens navn (identitet), og
- at virksomheden sammenholder de fra kunden modtagne oplysninger med oplysningerne i CPR-registret, som bekræftelse på kundens adresse og CPR-nr.
Opmærksomheden henledes på, at virksomheden i henhold til hvidvasklovens § 12, stk. 5, skal overvåge de transaktioner, der foretages af virksomhedens kunder, og at denne overvågning kan føre til en ændret risikovurdering med deraf følgende behov for yderligere legitimation.
Det er virksomhedens ansvar, at legitimationsproceduren er tilstrækkelig, hvilket i hvert enkelt kundeforhold skal kunne dokumenteres overfor tilsynsmyndigheden.
Udstedere af NemID med OCES-certifikat, herunder de banker, der som ”Registration Authority” har medvirket ved udstedelse af NemID, kan ikke som følge af andre virksomheders brug af NemID i henhold til hvidvaskloven ifalde ansvar, såfremt det viser sig, at NemID er udstedt på et svigagtigt eller mangelfuldt grundlag.
Virksomheden skal notere kontroloplysningerne, jf. hvidvaskloven § 23, stk. 2, jf. § 1, stk. 1, nr. 8.
Ved mistanke om hvidvask eller finansiering af terrorisme, skal der træffes yderligere foranstaltninger, jf. hvidvasklovens § 11.
Opbevaring og dokumentation
Det følger af hvidvasklovens § 23, stk. 1, at de af loven omfattede virksomheder og personer skal opbevare identitetsoplysninger i mindst 5 år efter, at kundeforholdet er ophørt.
Ved ”identitetsoplysninger” forstås faktiske oplysninger om en person eller virksomhed. De identitetsoplysninger, der kræves for kunder, henholdsvis fysiske kunder og virksomhedskunder, fremgår af § 12, stk. 2-3. Udtrykket ”identitetsoplysninger” i § 23, stk. 2, skal forstås som både identitets- og kontroloplysninger. Ved kontroloplysninger forstås oplysninger om den legitimation, som er tilvejebragt for kontrollere, at identitetsoplysningerne er korrekte.
Kravet omfatter således også, at virksomheden opbevarer oplysninger om, hvilke legitimationsdokumenter, der er anvendt. Denne fortolkning skal ses i sammenhæng med den generelle forudsætning om, at virksomheden skal kunne godtgøre over for tilsynsmyndigheden, at legitimations-proceduren har været tilstrækkelig i forhold til risikoen for hvidvask og terrorfinansiering. Hvis kunden er legitimeret ved NemID og samkørsel med CPR-registeret, skal dette noteres på sagen.
Samtidig skal virksomheden kunne dokumentere overfor Finanstilsynet, at denne har foretaget en risikovurdering, som indebærer at NemID og samkørsel med CPR-registeret er tilstrækkelig legitimation, jf. hvidvasklovens § 12, stk. 7.