AML-pakken træder i kraft – hvad betyder det?

01-10-2024

Den 10. juli 2027 træder AML-pakken i kraft. Her er en kort oversigt over de ændringer, den medfører.

Pakken er blevet offentliggjort i Den Europæiske Unions Tidende. Den består af:

AML-pakken finder som helhed anvendelse fra den 10. juli 2027.

Da AML-pakken indeholder en række ændringer til eksisterende regler såvel som nye regler for virksomhederne, er det vigtigt, at virksomhederne i god tid går i gang med det forberedende arbejde.

Hvidvaskforordningen

Hvidvaskforordningen gælder direkte i EU's medlemsstater. Den omfatter en udvidelse af de eksisterende regler såvel som nye regler for især de forpligtede enheder. ”Forpligtede enheder” er dem, der er omfattet af reglerne, og det kan være både virksomheder og enkeltpersoner, der erhvervsmæssigt driver den pågældende form for virksomhed. Forpligtede enheder benævnes herefter som ”virksomheder”.

I det følgende gennemgås kort de vigtigste ændringer og nye krav, som virksomhederne bliver omfattet af med den nye hvidvaskforordning.

Nye forpligtede enheder

Med hvidvaskforordningen bliver flere virksomhedstyper omfattet af reglerne:

  • virksomheder, der handler med ædelmetaller og ædelsten, enten regelmæssigt eller som vigtigste erhvervsmæssige virksomhed
  • virksomheder, der handler med varer af høj værdi, enten regelmæssigt eller som vigtigste erhvervsmæssige virksomhed
  • fodboldagenter og professionelle fodboldklubber
  • udbydere af crowdfundingtjenester og formidlere af crowdfunding.

Fodboldagenter og professionelle fodboldklubber vil blive omfattet af reguleringen fra 10. juli 2029. Professionelle fodboldklubber bliver omfattet af reguleringen, når der er tale om transaktioner med en investor, en sponsor, fodboldagenter og andre formidlere og transaktioner med henblik på transfer af en fodboldspiller.

Større ændringer og nye krav til finansielle virksomheder

Det er et grundlæggende princip i hvidvasklovgivningen, at virksomheder skal kende deres kunder. Det betyder, at virksomhederne først og fremmest skal vide, hvem kunderne er. De skal også kende den enkelte kundes formål med forretningsforbindelsen eller den enkeltstående transaktion. I nogle tilfælde er det også relevant, at virksomheden ved, hvorfra kundens midler stammer. Det er en forudsætning for, at virksomhederne kan overvåge, om kunderne foretager transaktioner, der ikke er normale for dem, og som kan være mistænkelige.

Virksomhederne skal som led i kundekendskabet fremover også indhente oplysninger om bl.a. kundens fødested, bopæl, nationalitet og eventuel flygtningestatus. Det gælder dog ikke for kunder, der er kategoriseret som ”lav risiko”.

Som led i kundekendskabet skal virksomhederne for kunder, der er juridiske personer, identificere de reelle ejere bag kunderne. Virksomhederne skal også indhente oplysninger om de reelle ejeres fødested, bopæl, nationalitet og ID-nummer.

En reel ejer er en fysisk person, der i sidste ende ejer eller kontrollerer en juridisk enhed eller lignende.

På nuværende tidspunkt skal virksomheder i forhold til identifikation af kunder alene indhente navn og cpr-nummer el.lign., hvis den pågældende ikke har et cpr-nummer. Har den pågældende ikke et cpr-nummer el.lign., skal identitetsoplysninger omfatte fødselsdato.

Ændringen i reglerne om identifikation af kunder betyder, at virksomhederne skal indhente flere oplysninger, når de identificerer en kunde. Det samme gælder, når virksomhederne skal identificere en reel ejer.

En virksomhed etablerer en forretningsforbindelse, når den udfører transaktioner for en kunde. Dermed skal virksomheden gennemføre en procedure for kundekendskab for kunden. For kunder, der ikke med jævne mellemrum benytter sig af virksomheden, er der tale om lejlighedsvise transaktioner. Det gælder, uanset om transaktionen gennemføres som én enkeltstående handling eller ved flere forbundne handlinger.

Forordningen indeholder en skærpelse af reglerne for, hvornår en virksomhed skal gennemføre procedure for kundekendskab ved lejlighedsvise transaktioner. I de gældende regler går grænsen ved et transaktionsbeløb 15.000 EUR. Med den nye forordning kommer grænsen til at gå ved 10.000 EUR (eller tilsvarende i national valuta).

Udbydere af kryptoaktiver skal udføre kundekendskabsprocedurer, når de gennemfører en lejlighedsvis transaktion på mindst 1000 EUR (eller tilsvarende i national valuta).

Virksomhederne skal fortsat løbende overvåge deres forretningsforbindelser. De skal ajourføre relevante dokumenter, data og oplysninger om den enkelte kunde. Hyppigheden afhænger af den risiko, som kunden udgør, men som noget nyt må perioden mellem to ajourføringer ikke overstige ét år for kunder i kategorien ”høj risiko” og fem år for alle andre kunder. Det svarer til, hvad mange virksomheder allerede gør i dag.

Inden en virksomhed etablerer en forretningsforbindelse (et kundeforhold) med en kunde, skal virksomheden forstå, hvad forretningsforbindelsen omfatter (”formål og tilsigtet beskaffenhed”). Det gælder også, inden virksomheden gennemfører en lejlighedsvis transaktion på over 10.000 EUR for en kunde. Hvis det er relevant, skal virksomheden også indhente nedenstående oplysninger fra kunden. Relevansen beror på en konkret vurdering fra virksomheden:

  1. formålet med og den økonomiske baggrund for den lejlighedsvise transaktion eller kundeforholdet
  2. det anslåede beløb
  3. midlernes oprindelse
  4. midlernes bestemmelsessted
  5. kundens erhvervsaktivitet eller erhverv.

Penge- og finansieringsinstitutter skal have skærpede kundekendskabsprocedurer for kunder, som de har kategoriseret som ”høj risiko”. Institutterne skal gennemføre skærpede procedurer, når de enten forvalter aktiver for en kunde på mindst 5.000.000 EUR (eller tilsvarende beløb i national valuta), eller når kunden i alt har samlede aktiver for mindst 50.000.000 EUR (eller tilsvarende i national valuta).

Virksomhederne skal som noget nyt sikre, at deres ansatte og personer i sammenlignelige stillinger, f.eks. agenter og distributører, kender kravene i forordningen. Den enkelte virksomhed skal også sikre, at de pågældende kender virksomhedens risikovurdering, interne politikker, procedurer og kontroller.

Ændringen betyder, at virksomhederne skal gøre noget særligt for at sikre sig, at ansatte har det nævnte kendskab. Det er altså ikke nok, at virksomhederne blot går ud fra, at medarbejderne har kendskabet.

Virksomhederne skal have en uafhængig revisionsfunktion, der tester de interne politikker, procedurer og kontroller. En ekstern ekspert kan udføre arbejdet, hvis en virksomhed ikke har en uafhængig revisionsfunktion.

Forordningen indeholder en række nye lempelser i forbindelse med outsourcing af opgaver til tjenesteudbydere, som er bosiddende eller etableret i et tredjeland. Virksomhederne må f.eks. outsource til en virksomhed i samme koncern, hvis koncernen har politikker og procedurer på hvidvaskområdet, kundekendskabsprocedurer og regler, som svarer til kravene i forordningen eller til reglerne i det pågældende tredjeland, og hvis en tilsynsmyndighed i hjemlandet fører tilsyn med koncernens politikker, procedurer mv., idet alle betingelser skal være opfyldt.

Virksomhederne skal som noget nyt have interne skriftlige politikker, procedurer og kontroller til at sikre, at de overholder finansielle sanktioner mod lande, virksomheder og personer. Det er der i praksis nogle, der allerede har, men det bliver nu et krav.

Virksomhederne har ansatte og personer i sammenlignelige stillinger, f.eks. agenter og distributører, der skal sikre, at virksomheden overholder hvidvaskreglerne. Mange virksomheder vurderer allerede i den forbindelse, om medarbejderne har de nødvendige individuelle færdigheder, viden og ekspertise i forhold til at varetage deres funktioner, men fremover bliver det et krav i lovgivningen, som alle virksomheder skal leve op til.

Medarbejderne skal desuden have et godt omdømme, være ærlige og besidde integritet. Det betyder f.eks., at medarbejderne skal handle med fokus på, at virksomheden overholder lovgivningen.

Forordningen definerer, hvad der forstås ved udøvelse af kontrol med en juridisk enhed henholdsvis direkte gennem en ejerandel eller på anden vis. Kontrol kan også være en persons ret til at udnævne eller afsætte et flertal af medlemmerne af bestyrelsen eller administrations, - ledelses- eller tilsynsorganer – eller tilsvarende i den juridiske enhed.

Definitionen af familiemedlemmer til en PEP kommer fremover også til at omfatte søskende. Desuden vil PEP’er komme til at omfatte ledere af regionale og lokale myndigheder, bl.a. kommuner og regioner med mindst 50.000 indbyggere.

Virksomheder, som handler med varer af høj værdi, skal indberette alle transaktioner, der involverer salg af visse varer af høj værdi, til FIU'en (i Danmark Hvidvasksekretariatet), når varerne erhverves af kunderne til ikkekommercielle formål. Reglerne gælder følgende varer:

  1. motorkøretøjer til en pris på mindst 250.000 EUR (eller et tilsvarende beløb i national valuta)
  2. vandfartøjer til en pris på mindst 7.500.000 EUR (eller et tilsvarende beløb i national valuta)
  3. luftfartøjer til en pris på mindst 7.500.000 EUR (eller et tilsvarende beløb i national valuta).

Institutter, der leverer tjenesteydelser i forbindelse med køb af ovenstående varer, skal indberette alle transaktioner, som de udfører for deres kunder i forbindelse med disse varer, til Hvidvasksekretariatet. Det er dog et krav, at varerne erhverves til ikkekommercielle formål. Det gælder, uanset om transaktionerne i øvrigt ikke er mistænkelige. Det samme gælder, hvis instituttet overdrager ejendomsretten til varerne.

Virksomheder, der for første gang ønsker at udøve aktiviteter på en anden medlemsstats område, skal underrette tilsynsmyndigheden i deres hjemland om de pågældende aktiviteter.

Orientering af tilsynsmyndigheden ved grænseoverskridende aktiviteter gælder ikke kun ved etablering.

Ved egentlig etablering skal virksomhederne underrette tilsynsmyndigheden mindst tre måneder inden, aktiviteterne påbegyndes. Virksomhederne skal desuden omgående underrette tilsynsmyndigheden i hjemlandet, når aktiviteter med etablering påbegyndes i den anden medlemsstat.

Hvidvaskforordningen giver nye muligheder for at udveksle og behandle oplysninger mellem virksomheder og, hvis det er relevant, kompetente myndigheder. Det skal ske gennem såkaldte partnerskaber.

Virksomheder kan som et led i bekæmpelsen af hvidvask og terrorfinansiering dele og behandle kundeoplysninger, som de får via deres kundekendskabsprocedurer. Deling og behandling kræver bl.a., at virksomhederne:

  • registrerer alle de tilfælde, hvor de udveksler oplysninger indenfor partnerskabet
  • foretager deres egen vurdering af transaktioner, der involverer kunder, for at vurdere, hvilke transaktioner der er knyttet til hvidvask eller terrorfinansiering
  • ikke drager konklusioner eller træffer beslutninger, der har indvirkning på kundeforholdet, på grundlag af oplysninger modtaget fra andre deltagere i partnerskabet uden at have vurderet oplysningerne.

Forordningen indfører et forbud mod anonyme bank- og betalingskonti, anonyme bankbøger, anonyme deponeringsbokse eller anonyme kryptoaktivkonti samt konti, som på anden måde gør det muligt for kontohaveren at være anonym.

Hvidvaskdirektivet

Direktivet tydeliggør kravene til de nationale tilsynsmyndigheder, bl.a. beføjelser og rammerne for det risikobaserede hvidvasktilsyn.

Direktivet fastsætter desuden detaljerede regler om registre over reelt ejerskab, som bl.a. omfatter:

  • en bestemmelse om, at oplysningerne om reelt ejerskab skal være tilgængelige i maskinlæsbart format
  • bestemmelser om, hvem der skal have adgang til registeret over reelle ejere (bl.a. myndigheder og virksomheder, der har en legitim interesse) og om, hvilke oplysninger der skal være adgang til.
  • krav om kontrol af adgang til registeret samt kontrol af oplysningerne om reelle ejere bl.a., om oplysningerne vedrører personer eller enheder, der er underlagt finansielle sanktioner.

Hvidvaskdirektivet omfatter samtidig en række krav til de finansielle efterretningsenheders (FIU’ers) opgaver, ansvarsområder, organisering mv. I Danmark er det Hvidvasksekretariatet, der er FIU. Direktivet omfatter bl.a. øgede krav til FIU’ers arbejde, f.eks. til udarbejdelsen af årsrapporter, videregivelse af oplysninger til tilsynsmyndighederne og udarbejdelsen af den nationale risikovurdering.

Desuden omfatter direktivet en mulighed for, at FIU’en kan bede virksomhederne om at overvåge transaktioner, der gennemføres via en eller flere bankkonti, betalingskonti eller kryptoaktivkonti, hvis den, der ejer kontoen, udgør en betydelig risiko for hvidvask eller finansiering af terrorisme.

Herudover får FIU’en mulighed for at give virksomhederne oplysninger, der er relevante for at gennemføre kundekendskabsprocedurerne. Disse oplysninger kan omfatte en beskrivelse af transaktioner eller aktiviteter, bestemte personer eller geografiske områder, der udgør en betydelig risiko for hvidvask og terrorfinansiering.

En fælles tilsynsmyndighed for hvidvask i EU (AMLA)

AMLA (Anti-Money Laundering Authority) bliver en fælles europæisk hvidvasktilsynsmyndighed, der får hovedsæde i Frankfurt. AMLA skal føre direkte tilsyn med udvalgte finansielle virksomheder på virksomheds- og koncernniveau (groupwide compliance). Den skal desuden deltage i og drive de såkaldte hvidvasktilsynskollegier, der er oprettet for virksomheder og koncerner, som er etableret i mindst to lande udover hjemlandet. AMLA skal have direkte tilsyn (dvs. føre det daglige hvidvasktilsyn) med de udvalgte kreditinstitutter og andre finansielle virksomheder i EU, hvor risikoen for hvidvask og terrorfinansiering af AMLA anses for størst. AMLA får de samme beføjelser og forpligtelser overfor de udvalgte virksomheder, som nationale tilsynsmyndigheder har.

Derudover skal AMLA udvikle og vedligeholde et system til at vurdere risici og sårbarheder hos virksomhederne til brug for myndighedens tilsyn. Systemet omfatter bl.a. indsamling af data fra de udvalgte virksomheder.

AMLA beslutter muligvis først i 2027, hvilke virksomheder den skal have under direkte tilsyn.

Endeligt skal AMLA føre tilsyn med de nationale hvidvasktilsynsmyndigheder – og derigennem indirekte med de forpligtede enheder, som ikke er udvalgt til direkte tilsyn. 

Finanstilsynets kommende arbejde med forhandlinger om level 2-retsakter

AMLA skal udarbejde såkaldte level 2-retsakter, som udfylder forordningen og direktivet med detaljerede regler på de pågældende områder. Kommissionen udsteder retsakterne, som virksomhederne og de nationale myndigheder skal overholde.

AMLA har fået 41 mandater til at udarbejde level 2-retsakter frem mod, at den samlede AML-pakke træder i kraft i midten af 2027. Finanstilsynet deltager i forhandlingerne om retsakterne.

Vi forventer i den forbindelse, at AMLA jævnligt vil sende udkast til de nye retsakter i offentlig høring. Orientering om dette vil løbende blive offentliggjort her på siden.

Virksomhederne – og ikke mindst deres organisationer – kan med fordel holde øje med Finanstilsynets hjemmeside og andre relevante hjemmesider. Vi vil løbende oplyse om andre relevante hjemmesider.

 

Senest opdateret 01-10-2024