Safenetpay indbragte afgørelsen for Erhvervsankenævnet, som i juli 2024 traf afgørelse om at hjemvise sagen til fornyet behandling i Finanstilsynet. Virksomheden har derfor stadig sin tilladelse som e-pengeinstitut. Inspektionen i december 2024 havde til formål at give virksomheden mulighed for at vise, at den har berigtiget de forhold, som i juli 2023 førte til, at Finanstilsynet besluttede at inddrage dens tilladelse. Det er Finanstilsynets vurdering, at der fortsat
er store mangler i virksomhedens governance og risikostyring.
På betalingstjenesteområdet omfattede inspektionen virksomhedens forretningsmodel, ledelsesstrukturer, organisering og økonomiske forhold. På hvidvaskområdet undersøgte Finanstilsynet, om virksomheden på nærmere afgrænsede områder har tilstrækkelige procedurer, der sikrer, at den lever op til sine forpligtelser om forebyggelse af hvidvask og terrorfinansiering i henhold til hvidvaskloven.
Sammenfatning og risikovurdering
Safenetpay ejes af det britiske selskab Safenetpay Services Company Ltd., som har tilladelse fra det britiske finanstilsyn, FCA. Virksomhedens forretningsmodel består i at levere digitale betalingsløsninger til privat- og erhvervskunder. Den tilbyder betalingsløsninger, der gør det muligt for kunder at modtage og sende betalinger, herunder foretage internationale pengeoverførsler i forskellige valutaer. Derudover udsteder virksomheden MasterCard, som kan benyttes til betalinger i ind- og udland.
Finanstilsynet har identificeret en række organisatoriske forhold, som medfører forhøjet risiko for, at virksomheden ikke efterlever gældende ret. Det vedrører bl.a. forholdet til virksomhedens moder- og søsterselskab i UK, da en væsentlig del af den daglige opgavevaretagelse og selskabsledelse i den danske enhed foregår i de engelske enheder via outsourcing og tæt samarbejde. Der er identificeret flere risici i Danmark, herunder ineffektiv virksomhedsstyring, manglende forretningsaktivitet og begrænset kundebase.
Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er høj. I vurderingen har Finanstilsynet lagt vægt på virksomhedens grænseoverskridende og uklare organisering samt produktudbud. Finanstilsynet har ligeledes lagt vægt på, at Hvidvasksekretariatet i Den Nationale Risikovurdering af Hvidvask 2022 vurderer, at risikoen for hvidvask via betalingstjenesteområdet samlet set er betydelig. Baggrunden for vurderingen er blandt andet, at pengeoverførsel til udlandet er et højrisikoprodukt, og at betalingstjenesteområdet er med til at fragmentere betalingslandskabet og sprede finansielle aktiviteter på tværs af tjenester og landegrænser. Det betyder, at det bliver stadigt vanskeligere at få et samlet overblik over kundernes finansielle forhold, og dermed bliver det sværere at identificere mistænkelig adfærd.
Inspektionen har givet anledning til en række tilsynsmæssige reaktioner.
Betalingsområdet
Virksomhedens primære indtægter kommer fra IT- og konsulentydelser mellem Safenetpay og dets engelske moderselskab. Virksomheden har ikke reel indtjening fra de primære aktiviteter, som virksomheden har tilladelse til at udbyde. Finanstilsynet vurderer derfor, at regnskabet i den danske enhed ikke afspejler virksomhedens reelle situation. Derfor har virksomheden fået påbud om at udarbejde sit regnskab, så det fremstår retvisende for virksomhedens finansielle situation og interne outsourcingarrangementer.i Derfor er det også vanskeligt at vurdere, om virksomheden kan udøve forsvarlig drift, og om der kan opstå problemer med overholdelse af kapitalkrav. Virksomheden har derfor fået påbud om at udarbejde en plan for, hvordan den vil sikre forsvarlig drift i fraværet af de store subsidier fra den engelske modervirksomhed.ii
Ved virksomhedens bestyrelsesmøder deltager en række personer, som ikke er en del af bestyrelsen, direktionen eller i øvrigt er ansat i Safenetpay. Virksomheden har derfor fået påbud om at sikre, at der ikke er personer, som hverken er ansat i virksomheden eller sidder i bestyrelsen, der kan udøve væsentlig indflydelse på de beslutninger, bestyrelsen træffer, eller på hvilke oplysninger, der forelægges bestyrelsen. I forlængelse heraf skal virksomheden fastsætte en politik, der opstiller klare retningslinjer for, hvordan interessekonflikter varetages i forbindelse med bestyrelsesarbejdet, herunder beskriver, hvornår personer, der ikke sidder i bestyrelsen, kan deltage på bestyrelsesmøder.iii
Derudover fremgår det ikke tilstrækkeligt af bestyrelsesreferaterne, hvilken tilknytning de enkelte mødedeltagere har til virksomheden, herunder hvilken indflydelse henholdsvis bestyrelsen, direktionen samt personer med tilknytning til andre dele af koncernen har på virksomhedens beslutningsprocesser. Derfor har virksomheden fået påbud om at sikre, at det tydeligt er reflekteret i bestyrelsesreferater, hvilken rolle personer udtaler sig i.iv
Finanstilsynet konstaterede på inspektionen, at der var indblanding fra ansatte i andre koncernselskaber i forhold til virksomhedens kontrolfunktioner. Virksomheden har derfor fået påbud om at sikre, at virksomheden indrettes således, at der er klart definerede ansvars- og arbejdsområder, og at udførelsen og kontrollen af opgaver adskilles, herunder at virksomheden opstiller procedurer, der sikrer funktionsadskillelse, så forskellige funktioner og arbejdsopgaver adskilles ved passende foranstaltninger.v
Inspektionen viste, at virksomheden ikke identificerede og rapporterede om risici, herunder sikrede, at der blev iværksat tilstrækkelige kompenserende foranstaltninger med henblik på at forhindre, at virksomheden påføres unødige risici eller tab. Dette skaber en risiko for, at relevante risici ikke identificeres, rapporteres og imødegås. Virksomheden har derfor fået påbud om at sikre en effektiv procedure til at identificere og rapportere om de risici, virksomheden er eller kan blive udsat for.vi Finanstilsynet har vurderet, at virksomheden ikke har dokumenteret, at den har styr på de operationelle risici forbundet med outsourcing internt i koncernen. Dette medfører en risiko for, at virksomheden ikke har overblik over eller styr på de risici, der opstår, når den outsourcer centrale opgaver. Virksomheden har fået påbud om at fastlægge procedurer for, hvornår og hvordan direktionen udpeger den oursourcingansvarlige i virksomheden.vii Virksomheden har også fået påbud om at etablere procedurer, der sikrer en passende proces og ansvarsfordeling ved udarbejdelse af risikovurdering ved outsourcing.viii
Virksomheden har ikke en sikringskonto, der opfylder kravene i bekendtgørelse nr. 1360 af 30. november 2017 om e-pengeinstitutters og betalingsinstitutters sikring af brugermidler. Dette medfører en risiko for, at virksomhedens kunder mister deres penge, hvis virksomheden går konkurs. Virksomheden har fået påbud om til sikring af brugermidler at anvende et kreditinstitut, der har tilladelse i Danmark, i et andet land indenfor EU eller i et land, som EU har indgået aftale med på det finansielle område.ix
I virksomheden sammenblandes både medarbejdere, systemer og økonomi med virksomhedens søster- og moderselskab. Dertil er outsourcingforholdene i koncernen uigennemskuelige, fsva. hvem der er ansvarlig for hvad, og hvilke ydelser der reelt outsources, herunder den konkrete prisfastsættelse af de koncerninterne outsourcingydelser. Virksomheden har fået påbud om at redegøre for og dokumentere, hvordan den vil sikre, at den kan drive forsvarlig drift som e-pengeinstitut, herunder hvordan den vil sikre, at de tætte forbindelser mellem virksomheden og de engelske enheder ikke umuliggør Finanstilsynets effektive tilsyn med virksomheden.x
Hvidvaskområdet
Virksomheden har ikke i tilstrækkeligt omfang indhentet oplysninger om og foretaget en vurdering af forretningsforbindelsens formål. Oplysningerne indhentes ikke tilstrækkeligt konsekvent fra kunderne, og når de indhentes, bliver de ikke i tilstrækkeligt omfang inddraget i den samlede risikovurdering af kundeforholdene.
Et tilstrækkeligt kendskab til sine kunder, herunder forretningsforbindelsens formål, er forudsætningen for, at en virksomhed ved, hvorfor en kunde ønsker et specifikt produkt eller en ydelse, herunder hvad virksomheden kan forvente af kundeforholdet. Det er desuden en forudsætning for, at virksomheden kan foretage korrekt risikoklassificering og har det nødvendige grundlag for at overvåge kunder og transaktioner. Overvågningen tager udgangspunkt i risikoklassifikationen og oplysninger om kundens forventede formål med og brug af forretningsforbindelsen. Dette er væsentligt, da en effektiv overvågning af kunderne har til formål at opdage mistænkelige transaktioner og danne grundlag for en eventuel underretning til Hvidvasksekretariatet.
Virksomheden har derfor fået påbud om konsekvent og i tilstrækkeligt omfang at indhente oplysninger om forretningsforbindelsens formål.xi
Virksomhedens risikovurdering af specifikke brancher er utilstrækkelig og afspejler ikke de egentlige risici, der er forbundet med de enkelte brancher. Finanstilsynet vurderer, at virksomheden i sin risikovurdering af brancher bl.a. skal inddrage vurderingerne i Den Nationale Risikovurdering af Hvidvask 2022 samt bilag 3 til hvidvaskloven.
Risikoklassifikation af kunder har afgørende betydning for, hvilke kundekendskabsprocedurer og overvågningstiltag virksomheden skal iværksætte. Utilstrækkelig eller manglende risikoklassifikation medfører derfor en risiko for, at virksomheden ikke har et retvisende billede af kunden, herunder at virksomheden ikke kan indføre passende foranstaltninger for eksempelvis kunder, der er forbundet med øget risiko.
Virksomheden har derfor fået påbud om at ændre sin nuværende risikoscoring af branchetyper, så den i højere grad tager udgangspunkt i de reelle risici, der er forbundet med de pågældende brancher. Vurderingen skal bl.a. bero på de nationale risikovurderinger samt bilag 3 til hvidvaskloven. Virksomheden skal herefter gennemgå og vurdere sin eksisterende erhvervskundeportefølje for at vurdere, hvorvidt den ændrede risikoscoring af branchetyper giver anledning til at ændre virksomhedens eksisterende erhvervskunders risikoklassificering. Såfremt erhvervskundernes risikovurdering ændres til høj, skal virksomheden gennemføre skærpede kundekendskabsprocedurer på de pågældende kunder.xii
i § 25, stk. 1, nr. 2, jf. § 34, stk. 1, i lov om betalinger, jf. § 98 c i årsregnskabsloven.
ii § 10, stk. 1, nr. 10, i lov om betalinger.
iii § 25, stk. 1, nr. 1, i lov om betalinger.
iv § 25, stk. 1, nr. 1 og 6, i lov om betalinger.
v § 25, stk. 1, nr. 1, i lov om betalinger.
vi § 25, stk. 1, nr. 4, i lov om betalinger.
vii § 12, stk. 3, i outsourcingbekendtgørelsen.
viii § 39, stk. 2, nr. 2, i lov om betalinger, jf. § 19, stk. 1 og 2, i outsourcingbekendtgørelsen.
ix § 4, stk. 1, i bekendtgørelse om e-pengeinstitutters og betalingsinstitutters sikring af brugermidler
(nr. 1360 af 30/11/2017).
x § 10, stk. 1, nr. 6, i lov om betalinger.
xi § 11, stk. 1, nr. 4, i lovbekendtgørelse 2024-06-21 nr. 807 om forebyggende foranstaltninger mod
hvidvask og finansiering af terrorisme (hvidvaskloven).
xii § 11, stk. 3, i hvidvaskloven.