AML-pakken træder i kraft – hvad betyder det?

Det er et grundlæggende princip i hvidvasklovgivningen, at virksomheder skal kende deres kunder. Det betyder, at virksomhederne først og fremmest skal vide, hvem kunderne er. De skal også kende den enkelte kundes formål med forretningsforbindelsen eller den enkeltstående transaktion. I nogle tilfælde er det også relevant, at virksomheden ved, hvorfra kundens midler stammer. Det er en forudsætning for, at virksomhederne kan overvåge, om kunderne foretager transaktioner, der ikke er normale for dem, og som kan være mistænkelige.

Virksomhederne skal som led i kundekendskabet fremover også indhente oplysninger om bl.a. kundens fødested, bopæl, nationalitet og eventuel flygtningestatus. Det gælder dog ikke for kunder, der er kategoriseret som ”lav risiko”.

Som led i kundekendskabet skal virksomhederne for kunder, der er juridiske personer, identificere de reelle ejere bag kunderne. Virksomhederne skal også indhente oplysninger om de reelle ejeres fødested, bopæl, nationalitet og ID-nummer.

En reel ejer er en fysisk person, der i sidste ende ejer eller kontrollerer en juridisk enhed eller lignende.

På nuværende tidspunkt skal virksomheder i forhold til identifikation af kunder alene indhente navn og cpr-nummer el.lign., hvis den pågældende ikke har et cpr-nummer. Har den pågældende ikke et cpr-nummer el.lign., skal identitetsoplysninger omfatte fødselsdato.

Ændringen i reglerne om identifikation af kunder betyder, at virksomhederne skal indhente flere oplysninger, når de identificerer en kunde. Det samme gælder, når virksomhederne skal identificere en reel ejer.

En virksomhed etablerer en forretningsforbindelse, når den udfører transaktioner for en kunde. Dermed skal virksomheden gennemføre en procedure for kundekendskab for kunden. For kunder, der ikke med jævne mellemrum benytter sig af virksomheden, er der tale om lejlighedsvise transaktioner. Det gælder, uanset om transaktionen gennemføres som én enkeltstående handling eller ved flere forbundne handlinger.

Forordningen indeholder en skærpelse af reglerne for, hvornår en virksomhed skal gennemføre procedure for kundekendskab ved lejlighedsvise transaktioner. I de gældende regler går grænsen ved et transaktionsbeløb 15.000 EUR. Med den nye forordning kommer grænsen til at gå ved 10.000 EUR (eller tilsvarende i national valuta).

Udbydere af kryptoaktiver skal udføre kundekendskabsprocedurer, når de gennemfører en lejlighedsvis transaktion på mindst 1000 EUR (eller tilsvarende i national valuta).

Virksomhederne skal fortsat løbende overvåge deres forretningsforbindelser. De skal ajourføre relevante dokumenter, data og oplysninger om den enkelte kunde. Hyppigheden afhænger af den risiko, som kunden udgør, men som noget nyt må perioden mellem to ajourføringer ikke overstige ét år for kunder i kategorien ”høj risiko” og fem år for alle andre kunder. Det svarer til, hvad mange virksomheder allerede gør i dag.

Inden en virksomhed etablerer en forretningsforbindelse (et kundeforhold) med en kunde, skal virksomheden forstå, hvad forretningsforbindelsen omfatter (”formål og tilsigtet beskaffenhed”). Det gælder også, inden virksomheden gennemfører en lejlighedsvis transaktion på over 10.000 EUR for en kunde. Hvis det er relevant, skal virksomheden også indhente nedenstående oplysninger fra kunden. Relevansen beror på en konkret vurdering fra virksomheden:

1. formålet med og den økonomiske baggrund for den lejlighedsvise transaktion eller kundeforholdet
2. det anslåede beløb
3. midlernes oprindelse
4. midlernes bestemmelsessted
5. kundens erhvervsaktivitet eller erhverv.

Hvis en forretningsforbindelse, der er identificeret som havende en højere risiko, omfatter håndtering af aktiver med en værdi på mindst 5.000.000 EUR eller et tilsvarende beløb i national eller udenlandsk valuta gennem skræddersyede tjenesteydelser for en kunde, der har samlede aktiver med en værdi på mindst 50.000.000 EUR eller et tilsvarende beløb i national eller udenlandsk valuta, hvad enten det er i finansielle eller investerbare aktiver eller fast ejendom eller en kombination heraf, med undtagelse af den pågældende kundes private bopæl, anvender kreditinstitutter og finansieringsinstitutter og udbydere af tjenester til truster eller virksomheder yderligere skærpede kundekendskabsprocedurer, ud over eventuelle skærpede kundekendskabsprocedurer.

Virksomhederne skal som noget nyt sikre, at deres ansatte og personer i sammenlignelige stillinger, f.eks. agenter og distributører, kender kravene i forordningen. Den enkelte virksomhed skal også sikre, at de pågældende kender virksomhedens risikovurdering, interne politikker, procedurer og kontroller.

Ændringen betyder, at virksomhederne skal gøre noget særligt for at sikre sig, at ansatte har det nævnte kendskab. Det er altså ikke nok, at virksomhederne blot går ud fra, at medarbejderne har kendskabet.

Virksomhederne skal have en uafhængig revisionsfunktion, der tester de interne politikker, procedurer og kontroller. En ekstern ekspert kan udføre arbejdet, hvis en virksomhed ikke har en uafhængig revisionsfunktion.

Forordningen indeholder en række nye lempelser i forbindelse med outsourcing af opgaver til tjenesteudbydere, som er bosiddende eller etableret i et tredjeland. Virksomhederne må f.eks. outsource til en virksomhed i samme koncern, hvis koncernen har politikker og procedurer på hvidvaskområdet, kundekendskabsprocedurer og regler, som svarer til kravene i forordningen eller til reglerne i det pågældende tredjeland, og hvis en tilsynsmyndighed i hjemlandet fører tilsyn med koncernens politikker, procedurer mv., idet alle betingelser skal være opfyldt.

Virksomhederne skal som noget nyt have interne skriftlige politikker, procedurer og kontroller til at sikre, at de overholder finansielle sanktioner mod lande, virksomheder og personer. Det er der i praksis nogle, der allerede har, men det bliver nu et krav.

Virksomhederne har ansatte og personer i sammenlignelige stillinger, f.eks. agenter og distributører, der skal sikre, at virksomheden overholder hvidvaskreglerne. Mange virksomheder vurderer allerede i den forbindelse, om medarbejderne har de nødvendige individuelle færdigheder, viden og ekspertise i forhold til at varetage deres funktioner, men fremover bliver det et krav i lovgivningen, som alle virksomheder skal leve op til.

Medarbejderne skal desuden have et godt omdømme, være ærlige og besidde integritet. Det betyder f.eks., at medarbejderne skal handle med fokus på, at virksomheden overholder lovgivningen.

Forordningen definerer, hvad der forstås ved udøvelse af kontrol med en juridisk enhed henholdsvis direkte gennem en ejerandel eller på anden vis. Kontrol kan også være en persons ret til at udnævne eller afsætte et flertal af medlemmerne af bestyrelsen eller administrations, - ledelses- eller tilsynsorganer – eller tilsvarende i den juridiske enhed.

Definitionen af familiemedlemmer til en PEP kommer fremover også til at omfatte søskende. Desuden vil PEP’er komme til at omfatte ledere af regionale og lokale myndigheder, bl.a. kommuner og regioner med mindst 50.000 indbyggere.

Virksomheder, som handler med varer af høj værdi, skal indberette alle transaktioner, der involverer salg af visse varer af høj værdi, til FIU'en (i Danmark Hvidvasksekretariatet), når varerne erhverves af kunderne til ikkekommercielle formål. Reglerne gælder følgende varer:

1. motorkøretøjer til en pris på mindst 250.000 EUR (eller et tilsvarende beløb i national valuta)
2. vandfartøjer til en pris på mindst 7.500.000 EUR (eller et tilsvarende beløb i national valuta)
3. luftfartøjer til en pris på mindst 7.500.000 EUR (eller et tilsvarende beløb i national valuta).

Institutter, der leverer tjenesteydelser i forbindelse med køb af ovenstående varer, skal indberette alle transaktioner, som de udfører for deres kunder i forbindelse med disse varer, til Hvidvasksekretariatet. Det er dog et krav, at varerne erhverves til ikkekommercielle formål. Det gælder, uanset om transaktionerne i øvrigt ikke er mistænkelige. Det samme gælder, hvis instituttet overdrager ejendomsretten til varerne.

Virksomheder, der for første gang ønsker at udøve aktiviteter på en anden medlemsstats område, skal underrette tilsynsmyndigheden i deres hjemland om de pågældende aktiviteter.

Orientering af tilsynsmyndigheden ved grænseoverskridende aktiviteter gælder ikke kun ved etablering.

Ved egentlig etablering skal virksomhederne underrette tilsynsmyndigheden mindst tre måneder inden, aktiviteterne påbegyndes. Virksomhederne skal desuden omgående underrette tilsynsmyndigheden i hjemlandet, når aktiviteter med etablering påbegyndes i den anden medlemsstat.

Hvidvaskforordningen giver nye muligheder for at udveksle og behandle oplysninger mellem virksomheder og, hvis det er relevant, kompetente myndigheder. Det skal ske gennem såkaldte partnerskaber.

Virksomheder kan som et led i bekæmpelsen af hvidvask og terrorfinansiering dele og behandle kundeoplysninger, som de får via deres kundekendskabsprocedurer. Deling og behandling kræver bl.a., at virksomhederne:

• registrerer alle de tilfælde, hvor de udveksler oplysninger indenfor partnerskabet
• foretager deres egen vurdering af transaktioner, der involverer kunder, for at vurdere, hvilke transaktioner der er knyttet til hvidvask eller terrorfinansiering
• ikke drager konklusioner eller træffer beslutninger, der har indvirkning på kundeforholdet, på grundlag af oplysninger modtaget fra andre deltagere i partnerskabet uden at have vurderet oplysningerne.

Forordningen indfører et forbud mod anonyme bank- og betalingskonti, anonyme bankbøger, anonyme deponeringsbokse eller anonyme kryptoaktivkonti samt konti, som på anden måde gør det muligt for kontohaveren at være anonym.