Risikovurdering og sammenfatning
Virksomheden er en dansk indløsningsvirksomhed, der siden 2012 har haft tilladelse som betalingsinstitut. Virksomheden leverer betalingsløsninger til onlinebutikker i hele Europa. Virksomheden har desuden en række fysiske kunder, hvor virksomheden leverer betalingsløsninger til kundernes onlineforretninger.
Virksomheden håndterer transaktioner mellem dens egne kunder (merchants) og kortudstedere (f.eks. Visa og MasterCard). Virksomheden fungerer som indløser, der faciliterer, at en persons betaling for varer eller tjenesteydelser via webshops bliver trukket fra kortholderens konto og overført til butikken, der er kunde hos Clearhaus. Virksomheden samarbejder med forskellige Payment Service Providers (PSP), hvilket giver kunderne fleksibilitet til at vælge en såkaldt betalingsgateway.
Finanstilsynet vurderer, at den iboende risiko for hvidvask og terrorfinansiering i forbindelse med virksomhedens forretningsmodel er høj.
Finanstilsynets vurdering er baseret på, at Hvidvasksekretariatet vurderer, at risikoen for hvidvask via betalingstjenesteområdet samlet set er betydelig, men understreger, at det er et gennemsnit af risici forbundet med de mange forskellige virksomheder og produkter, som kan findes indenfor dette område. Hvidvasksekretariatet har i sin vurdering blandt andet lagt vægt på, at betalingstjenesteområdet er med til at fragmentere betalingslandskabet og sprede finansielle aktiviteter på tværs af tjenester og landegrænser.
For den konkrete virksomhed gælder desuden, dels at den udbyder pengeoverførselsvirksomhed, der betragtes som et højrisikoprodukt, dels at den har en geografisk eksponering, idet kunders kunder både kan være hjemmehørende og kan benytte deres betalingskort i hele verden, og deres transaktioner dermed kan passere gennem virksomheden.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Risikovurdering på hvidvaskområdet og hvidvaskpolitik
Finanstilsynet vurderer, at virksomhedens risikovurdering er utilstrækkelig og ikke fremstår gennemarbejdet og operationel. Finanstilsynet finder, at virksomheden sammenblander iboende risici og residuale risici, hvilket giver et forkert billede af virksomhedens risici, og samtidig vanskeliggør udarbejdelsen af operationelle politikker og forretningsgange for virksomhedens mitigerende tiltag. Virksomheden har i sin risikovurdering ikke identificeret alle relevante risikoparametre, og for flere af de identificerede risikoparametre vurderer virksomheden ikke i tilstrækkeligt omfang den konkrete risiko. Herudover har virksomheden ikke identificeret og vurderet sine indirekte geografiske risici i risikovurderingen.
En tilstrækkelig risikovurdering er væsentlig, idet risikovurderingen danner grundlag for, at virksomheden kan vurdere, hvordan virksomheden skal indrettes, samt hvilke operationelle forretningsgange, virksomheden skal iværksætte for de enkelte forretningsområder. Risikovurderingen skal dermed danne grundlaget for, hvordan virksomheden tilrettelægger sine politikker, forretningsgange og kontroller.
Finanstilsynet vurderer samtidig, at virksomhedens politik på hvidvaskområdet er utilstrækkelig. Baggrunden for dette er, at den tager udgangspunkt i virksomhedens risikovurdering, som ligeledes er utilstrækkelig. Finanstilsynet vurderer i forlængelse af dette, at virksomhedens politik generelt ikke fastsætter virksomhedens overordnede strategiske mål for overholdelse af hvidvaskloven og mitigering af de risici, der er forbundet med netop denne virksomhed.
En tilstrækkelig politik på hvidvaskområdet er væsentligt for, at virksomheden kan mitigere de risici, der er forbundet med forretningsmodellen mv., og afspejler desuden, at virksomheden på et strategisk niveau har taget stilling til og vurderet, hvordan virksomheden ønsker at indrette sit hvidvasksetup.
Virksomheden får derfor påbud om at revidere sin risikovurdering på hvidvaskområdet, så den inddrager og vurderer alle relevante iboende risici, der er forbundet med dens forretningsmodel, produkter, kunder og geografiske eksponering mv. Herudover skal virksomheden revidere sin politik på hvidvaskområdet, så den fastsætter virksomhedens overordnede strategiske mål på området, herunder hvordan virksomheden vil mitigere sine iboende risici. i
Kundekendskab, herunder formål og tilsigtet beskaffenhed
Virksomheden opererer med muligheden for en ”let onboarding”, hvor visse kunder gives adgang til virksomhedens produkter uden at undergå kundekendskabsprocedurer. Derudover konstaterede Finanstilsynet, at virksomheden sjældent afdækker kundernes forventede omfang af transaktioner og aldrig deres geografiske eksponering. Endvidere gennemfører virksomheden ikke løbende opdatering af kundeforhold med passende intervaller.
Et tilstrækkeligt kendskab til sine kunder er forudsætningen for, at en virksomhed kan foretage korrekt risikoklassificering af kunderne og har det nødvendige grundlag for at overvåge kunder og transaktioner. Overvågningen skal tage udgangspunkt i risikoklassifikationen og oplysninger om kundens forventede formål med og brug af forretningsforbindelsen. Dette er væsentligt, da en effektiv overvågning af kunderne har til formål at opdage mistænkelige transaktioner og danne grundlag for en eventuel underretning til Hvidvasksekretariatet.
Virksomheden får derfor påbud om at sikre, at den gennemfører tilstrækkelige kundekendskabsprocedurer på alle kunder, før kunderne tilbydes adgang til produkter. Endvidere skal virksomheden sikre, at kundekendskabsoplysninger ajourføres med passende intervaller, og at kundekendskabsoplysninger på alle kunder, der skulle have været gennemgået forud for inspektionen, opdateres. Virksomheden skal indstille gennemførelse af transaktioner for eksisterende kunder, som kun har undergået den lette onboarding, indtil virksomheden har gennemført tilstrækkelige kundekendskabsprocedurer på de pågældende kunder. Virksomheden skal ligeledes vurdere og i tilstrækkeligt omfang indhente oplysninger om forretningsforbindelsernes formål og tilsigtede beskaffenhed, herunder kundernes geografiske tilknytning. ii
Risikoklassifikationsmodel og manglende risikoklassifikation af kunder
Finanstilsynet vurderer, at virksomhedens nuværende risikoscoringsmodel er for simpel og ikke inddrager alle relevante risikofaktorer. Dette medfører, at virksomhedens kunder bliver risikoklassificeret ukorrekt.
Modellen inddrager f.eks. ikke alle brancher af relevans for vurderingen af en kundes risikoprofil og heller ikke kundens geografiske eksponering.
Desuden har Finanstilsynet konstateret, at der blandt virksomhedens kunder er en større andel, som ikke er risikovurderet og tildelt en risikoklassifikation, og som derfor heller ikke er blevet overvåget korrekt i virksomhedens automatiske overvågningssystem.
Risikoklassifikation af kunder har afgørende betydning for, hvilke kundekendskabsprocedurer og overvågningstiltag virksomheden skal iværksætte. Utilstrækkelig eller manglende risikoklassifikation medfører derfor en risiko for, at virksomheden ikke har et retvisende billede af kunden, herunder at virksomheden kan indføre passende foranstaltninger for f.eks. kunder, der er forbundet med øget risiko.
Virksomheden får derfor påbud om at opdatere sin risikoscoringsmodel, så den sikrer, at risikoklassificeringen af kundeforhold sker på baggrund af en konkret og dokumenteret vurdering, og at alle relevante risikofaktorer, herunder de nationale risikovurderinger samt bilag 3 til hvidvaskloven, inddrages i vurderingen. Når opdateringen er gennemført, skal virksomheden gennemgå og vurdere sin eksisterende kundeportefølje for at vurdere, hvorvidt den opdaterede model giver anledning til at ændre virksomhedens eksisterende erhvervskunders risikoklassificering, herunder de kunder, der ikke allerede har en risikoklassifikation. Virksomheden skal derpå undersøge kundernes transaktioner for de seneste 12 måneder og, hvor relevant, underrette Hvidvasksekretariatet. iii
Reelle ejere
Finanstilsynet konstaterede under inspektionen, at virksomheden ikke i tilstrækkeligt omfang indhenter og kontrollerer oplysninger om sine kunders reelle ejere.
Det er væsentligt for, at virksomheden kan identificere de personer, som vurderes at forestå ledelsen af den konkrete kunde, og vurdere det pågældende kundeforhold, herunder vurdere, hvilke risici der er forbundet med kunden. Hvis en virksomhed undlader at gennemføre tilstrækkelige kundekendskabsprocedurer, er der således en risiko for, at virksomheden ikke med sikkerhed ved, hvem kundens reelle ejere er, og hvilke mønstre der er atypiske og mistænkelige for kunden.
Virksomheden får derfor påbud om at indhente identitetsoplysninger på den eller de reelle ejere og gennemføre rimelige foranstaltninger for at kontrollere den eller de reelle ejeres identitet således, at virksomheden med sikkerhed ved, hvem den eller de reelle ejere er. Virksomheden skal desuden gennemgå sin eksisterende kundeportefølje for at indhente og kontrollere oplysninger på samtlige reelle ejere. iv
Løbende overvågning, herunder skærpet overvågning af kundeforhold med politisk eksponerede personer
Finanstilsynet vurderer, at virksomhedens transaktionsovervågning er for simpel og ikke dækkende i forhold til de transaktioner og risici, der er forbundet med virksomhedens kunder. Dette hænger tæt sammen med, at det som ovenfor nævnt er Finanstilsynets vurdering, at virksomheden ikke i tilstrækkeligt omfang indhenter og forholder sig til oplysninger om kundernes formål og tilsigtede beskaffenhed, herunder kundernes geografiske eksponering og forventede transaktionsvolumen.
Gennemgangen af virksomhedens overvågningssystem viste desuden, at virksomheden per automatik benytter de samme scenarier og tærskelværdier, uanset hvilken risikoklassifikation kunderne har, og at virksomheden tillader afvigelser på op til 10.000 % fra den beregnede gennemsnitlige volumen, førend systemet udløser en alarm.
Finanstilsynet vurderer på den baggrund, at virksomheden ikke foretager skærpet overvågning af kunder, som virksomheden har vurderet som højrisiko, eller kunder med en politisk eksponerede personer (PEP) i ejerkredsen, idet de nuværende scenarier og tærskelværdier efter Finanstilsynets vurdering ikke kan anses for at udgøre skærpet overvågning.
En tilstrækkelig overvågning er afgørende for at afdække, om den enkelte kundes adfærd, herunder kundens transaktioner og aktiviteter, er i overensstemmelse med virksomhedens kendskab og forventning til kunden. Hvis virksomheden ikke har tilstrækkelig overvågning af sine kunder, er der en risiko for, at den ikke bliver opmærksom på eventuelle afvigelser i adfærd og transaktioner, herunder hvis en kunde foretager mistænkelige transaktioner.
Skærpet overvågning af PEP’ere er af væsentlig betydning for, at virksomheden kan konstatere, om transaktionerne er usædvanlige for kunden, idet PEP’er er forbundet med øget risiko for hvidvask, herunder desuden bestikkelse og anden korruption.
Derfor får virksomheden påbud om at sikre, at den effektivt foretager løbende overvågning af sine kunder og disses transaktioner for at sikre, at både adfærd og transaktioner passer med virksomhedens viden om og forventning til kunden. Herudover skal virksomheden rekalibrere sit overvågningssystem, så det dækker alle relevante scenarier og risici, der er forbundet med virksomhedens kunder og transaktioner i relation til hvidvask og terrorfinansiering. Endeligt skal virksomheden foretage skærpet overvågning af kunder, som den har vurderet som højrisiko, eller hvor den har identificeret en politisk eksponeret person som reel ejer. v
Skærpede kundekendskabsprocedurer
Finanstilsynet vurderer, at virksomheden ikke i tilstrækkeligt omfang foretager skærpede kundekendskabsprocedurer på de kunder, som virksomheden har vurderet som højrisiko.
Virksomhedens kendskab til sine kunder er fundamentet for, at den kan opdage aktiviteter, adfærd eller transaktioner, som er atypiske for kunden eller på anden vis mistænkelige. Det er derfor endnu mere væsentligt, at virksomheden har et indgående kendskab til de kunder, som den vurderer, har en høj risiko for at blive brugt til hvidvask eller terrorfinansiering, og særligt til de forhold, som virksomheden vurderer, har en høj risiko. Når virksomheden ikke gennemfører skærpede kundekendskabsprocedurer for højrisikokunder, indebærer det en risiko for, at den ikke har det fornødne kundekendskab til at opdage mistænkelige forhold og ikke kan gennemføre effektiv overvågning af kunderne.
Virksomheden får derfor påbud om at foretage skærpede kundekendskabsprocedurer på de kunder, som den har vurderet som højrisiko. Virksomheden skal desuden gennemgå alle sine eksisterende højrisikokunder og foretage skærpede kundekendskabsprocedurer, hvis dette ikke er gjort. vi
Undersøgelses- og noteringspligt
Finanstilsynet vurderer, at virksomheden ikke i tilstrækkeligt omfang har sikret, at den på en systematisk og kritisk måde undersøger sine alarmer. Baggrunden for dette er, at virksomheden ikke i tilstrækkeligt omfang har forholdt sig konkret til de enkelte scenarier, der har genereret alarmerne, herunder til de oplysninger, som den burde have indhentet om kunderne.
Finanstilsynet vurderer desuden, at virksomhedens noteringer er utilstrækkelige og for generiske, ligesom virksomheden ikke har kunnet tilgå og bruge de undersøgelser og noteringer, som dens moderselskab har foretaget i et særskilt it-system.
Virksomheden skal med undersøgelsen fastslå, om der er mistanke om eller rimelig grund til at formode, at en transaktion eller aktivitet har eller har haft tilknytning til hvidvask eller finansiering af terrorisme. Virksomheden kan også inddrage oplysninger fra offentligt tilgængelige kilder, f.eks. via internetsøgninger, hvis den vurderer, at der er tale om en pålidelig og uafhængig kilde. Virksomheden skal ved vurderingen af den usædvanlige adfærd tage udgangspunkt i de oplysninger, den har om kunden, herunder eventuelle oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed. Hvis virksomheden afstår fra det, er der er en risiko for, at kunder kan foretage mistænkelige transaktioner mv., som ikke bliver opdateret og noteret til eventuelt senere brug, herunder underretning.
Virksomheden får derfor påbud om at sikre, at den foretager tilstrækkelige og kritiske undersøgelser af alarmer, herunder, at konklusioner på undersøgelser noteres på en fyldestgørende måde.
i Jf. hvidvasklovens § 7, stk. 1, og § 8, stk. 1
ii Jf. hvidvasklovens § 10, stk. 1, nr. 1 og § 11, stk. 1, nr. 5 og stk. 4.
iii Jf. hvidvasklovens § 11, stk. 3 og 5
iv Jf. hvidvasklovens § 11, stk. 1, nr. 3
v Jf. hvidvasklovens § 11, stk. 1, nr. 5
vi Jf. hvidvasklovens § 17, stk. 1
vii Jf. hvidvasklovens § 25, stk. 1, og stk. 3