Risikovurdering og sammenfatning
Coinify ApS er en udbyder af tjenester med virtuel valuta (VASP) og har været registreret hos Finanstilsynet siden den 15. januar 2020. Virksomhedens forretningsmodel består i via sin online platform at foretage vekslinger mellem kryptoaktiver og fiatvaluta.
Kryptoaktiver er i Hvidvasksekretariatets Nationale Risikovurdering af hvidvask fra 2022 angivet som et område med betydelig risiko. Herunder vurderer Hvidvasksekretariatet, at det er meget sandsynligt, at kriminelle aktører i stigende grad vil anvende kryptoaktiver til hvidvask af ulovlige midler.
I PETs Nationale Risikovurdering af terrorfinansiering fra 2024 vurderer PET, at risikoen for, at kryptoaktiver bliver brugt til terrorfinansiering er høj. Risikovurderingen anfører videre, at kryptoaktiver er attraktive i en terrorfinansieringssammenhæng, da der er efterspørgsel på transaktioner, der kan gennemføres hurtigt og uden geografiske begrænsninger. Samtidig er sløringsmekanismer og varierende global regulering og kontrol vigtige terrorfinansieringssårbarheder.
Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er høj. I vurderingen har Finanstilsynet særligt lagt vægt på, at virksomheden udbyder veksling mellem kryptoaktiver og fiatvaluta (såkaldt off-ramp), som vurderes at indebære en høj risiko for og er egnet til både hvidvask og terrorfinansiering, samt at virksomhedens kundeportefølje hovedsageligt består af distancekunder, som er bosiddende i hele verden.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Virksomheden anvender en forenklet model til risikoscoring af sine kunder, som ikke inddrager alle relevante risikoparametre om hver kunde.
Risikovurderingen af kunder er fundamentet for både at fastsætte omfanget af kundekendskabsprocedurerne og at tilrettelægge overvågningen af kunderne og deres transaktioner. En utilstrækkelig risikoklassificering af kunder medfører derfor risiko for, at virksomheden ikke har et retvisende billede af sine kunder og ikke får anvendt passende kundekendskabsprocedurer eller ikke får etableret den nødvendige overvågning af kundeforholdet. Virksomheden har derfor fået påbud om at sikre, at virksomheden foretager risikoklassificering af kundeforholdene således, at privatkunder risikoklassificeres på baggrund af en konkret og dokumenteret vurdering, og at de relevante risikofaktorer inddrages i vurderingen.[i]
Virksomheden gennemfører kundekendeskabsprocedurer ud fra en antagelse om, at dens kunder gennemfører enkeltstående transaktioner. Det er imidlertid Finanstilsynets vurdering, at der er tale om faste forretningsforbindelser, hvorfor virksomheden skal gennemføre alle de kundekendskabsprocedurer, som fremgår af hvidvasklovens § 11, stk. 1. Virksomheden får derfor påbud om i alle tilfælde ved oprettelse af en forretningsforbindelse at foretage en vurdering af og hvor relevant indhente og vurdere oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed. Virksomheden får samtidig påbud om at etablere løbende overvågning af kunderne og deres transaktioner i overensstemmelse med virksomhedens viden om kunderne og deres forretnings- og risikoprofiler.[ii]
Under inspektionen konstaterede Finanstilsynet eksempler på kunder, som var tildelt risikoklassifikationen høj, men hvor kundefilen ikke indeholdt andre eller flere oplysninger end kunder med en lavere risikoklassifikation. Vurderer en virksomhed, at et kundeforhold indebærer øget risiko for hvidvask eller terrorfinansiering er det væsentligt, at virksomheden iværksætter skærpede kundekendskabsprocedurer for dermed at opnå et bedre kendskab til den konkrete kunde, at kunne opfange uregelmæssigheder og iværksætte passende foranstaltninger til at imødegå den øgede risiko. Virksomheden får derfor påbud om at gennemføre skærpede kundekendskabsprocedurer på kunder, hvor virksomheden vurderer, at der er øget risiko for hvidvask eller terrorfinansiering.[iii]
Finanstilsynet konstaterede under inspektionen, at selvom virksomheden foretager undersøgelser af udløste alarmer, bliver resultatet af disse – både mellemregninger og konklusioner – ikke noteret tilfredsstillende, idet de foretagne sagsskridt enten slet ikke noteres, noteres i forskellige systemer eller noteres i korte, indforståede vendinger. Notering af undersøgelser er afgørende for, at virksomheden kan foretage fyldestgørende underretninger om kunder til myndighederne, hvis det bliver nødvendigt. Udførlige noteringer skal sikre, at virksomheden til enhver tid kan redegøre for hvilke undersøgelser, den har gennemført ved mistænkelige transaktioner, hvad resultatet af disse har været, og hvad virksomheden på den baggrund har besluttet. Når virksomheden ikke noterer oplysninger og konklusioner i forbindelse med undersøgelse af mistænkelige transaktioner, medfører det en risiko for, at værdifulde oplysninger går tabt, og at virksomheden ikke kan bidrage til en effektiv efterforskning af mulig hvidvask eller terrorfinansiering. Virksomheden får derfor påbud om at sikre den noterer og opbevarer resultatet af undersøgelser foretaget i henhold til undersøgelsespligten, og at den kan godtgøre dette over for Finanstilsynet.[iv]
[i] Hvidvasklovens § 11, stk. 3, 2. pkt.
[ii] Hvidvasklovens § 11, stk. 1, nr. 4 og 5
[iii] Hvidvasklovens § 17, stk. 1
[iv] Hvidvaskloven § 25, stk. 3, jf. § 30