Ny Hvidvaskningslov er trådt i kraft

Dato 7 aug. 2017
Download PDF version PDF

 

Indledning

Folketinget implementerede den 2. juni 2017 den sidste del af det fjerde EU-direktiv om forebyggende foranstaltninger mod hvidvaskning (Europa-Parlamentets og Rådets direktiv 2015/849/EU) i dansk lovgivning. Den nye lov trådte i kraft den 26. juni 2017.


Ændringerne i loven medfører, at loven går fra at være primært regelbaseret til i langt større grad at være risikobaseret. Således bliver virksomhederne i større grad ansvarlige for at sikre, at loven bliver overholdt, idet virksomhederne forpligtes til at identificere og vurdere risici i deres kundeforhold. Formålet er overordnet at styrke indsatsen mod, at danske virksomheder og banker bliver brugt af kriminelle til hvidvaskning af penge eller til at finansiere terrorisme. Derudover sigter den nye lov også mod at opretholde sikkerheden og integriteten i det danske finansielle system.


I det følgende vil de væsentligste ændringer, samt hvilke virksomheder loven omfatter, blive gennemgået.

 

De væsentligste ændringer i den nye Hvidvaskningslov

Som nævnt er den væsentligste ændring i loven en ændring fra at være primært regelbaseret til i langt større grad at være risikobaseret. Dette betyder, at hvor virksomheder førhen blot skulle opfylde faste regler om identifikation på kunder mv., er virksomheders forpligtelser ændret til at foretage risikostyring ved risikovurderinger.


Ved i større grad at forpligte virksomheder til at kende deres kunder og foretage risikovurderinger efterlades virksomheder med et større skøn, men samtidig også en større forpligtelse til at sikre, at deres kunder ikke udnytter virksomheden til hvidvaskning af penge eller til terrorfinansiering. Loven har indsat forskellige procedurer for at sikre, at virksomhederne overholder de nye risikoprocedurer.


De virksomheder, der i dag er omfattet, er de samme som de, der var omfattet af den tidligere lov, med undtagelse af fysisk pengetransport. Derudover er udbydere af spil samt alternative investeringsvirksomheder ligeledes omfattet.

 

Virksomhedens pligter i henhold til den nye lov

De virksomheder, som er omfattet af loven, er virksomheder, som i en eller anden udstrækning håndterer pengetransaktioner i deres arbejde for deres kunder. De yderligere forpligtelser, den nye lov pålægger virksomhederne, er

  • Virksomheden skal udarbejde en risikovurdering for alle deres kunder, hvor kundeforholdet omfatter en transaktion. Risikovurderingen skal opbevares og kunne dokumenteres.
  • Virksomheden skal udarbejde interne skriftlige politikker, procedurer og kontroller. Dette omfatter blandt andet kundekendskabsprocedurer og skærpede krav for politisk eksponerede personer (PEP).
  • Virksomheden skal desuden uddanne deres medarbejdere i hvidvaskningsloven og håndtering af de indsamlede personfølsomme data fra kunden.

Risikovurderinger

De nye udvidede krav om virksomheders pligt til at foretage risikovurdering indebærer, at virksomheden skal identificere og håndtere alle mulige risikofaktorer i deres kundeforhold i henhold til virksomhedens respektive forretningsmodel. Visse virksomheder har mere lempelige krav, hvorimod virksomheder, der vurderes at have en højere risiko for at blive misbrugt til hvidvaskning, har mere skærpede krav til risikovurdering. Højrisikovirksomheder kan eksempelvis være valutavekslingsvirksomheder, banker, spiludbydere mv., hvor virksomhedens forretningsmodel primært udfører transaktioner med penge, og hvor virksomhedens kunder i højere grad har mulighed for at udnytte virksomheden til hvidvaskning eller terrorfinansiering.


Virksomhedens pligt til at identificere risici indebærer, at virksomheden skal lave risikovurderinger ud fra de vejledende risikovurderinger, der udsendes i Danmark, Europa-Kommissionen og evt. den tilsynsførende myndigheds risikovurderinger. I Danmark er det Finanstilsynet, Erhvervsstyrelsen og Spillemyndigheden, der udfører tilsyn med virksomheders overholdelse af loven. Det forventes, at tilsynsmyndighederne udsteder vejledninger om, hvordan risikovurderingerne skal foretages.

 

Tilsynsmyndighederne skal ligeledes føre risikobaserede tilsyn, hvilket indebærer, at myndigheder skal tage hensyn til det skøn, den enkelte virksomhed er overladt efter loven, og derved fokusere deres ressourcer på de områder, der er skønnet til en øget risiko.


Virksomheden skal således vurdere risici ved at vægte de enkelte risikofaktorer, der er forbundet med virksomhedens kunder, produkter, tjenesteydelser og transaktioner ud fra virksomhedens leveringskanaler og de geografiske områder, virksomheden udøver deres forretningsaktiviteter i. Som nævnt overfor afhænger omfanget af risikofaktorer og risikovurdering af den enkelte virksomheds forretningsmodel. Typisk vil de virksomheder, som indfører penge i det finansielle system, have et større omfang af risikofaktorer, der skal vurderes, end eksempelvis advokatkontorer, revisorer mv., som modtager bankoverførsler fra kendte kunder. Her vil kundens bank i forvejen have foretaget en risikovurdering af kunden og dennes indestående på kontoer, forinden at kunden foretager yderligere pengetransaktioner fra indestående på bankkontoer. Dette fritager dog ikke den enkelte virksomhed fra at foretage deres egne risikovurderinger af hver enkelt kunde.


Dokumentationskravet indebærer, at vurderingen skal være baseret på reel dokumentation og ikke må bygge på antagelser. Loven ændrer også i, at virksomheder nu ikke kan nøjes med at foretage en indledende risikovurdering, men er forpligtet til at revurdere den enkelte kundes risikoprofil ved væsentlige ændringer i risikofaktorer eller derudover mindst en gang årligt ved længerevarende kundeforhold. Virksomheden skal ved tilsyn kunne dokumentere over for tilsynsmyndigheden, at de har overholdt lovens krav.

Efter endt risikovurdering, og såfremt denne giver anledning til forhold, der skal undersøges nærmere, er det virksomhedens pligt at håndtere de risikofaktorer, der udgør den største risiko først.

 

Virksomhedens pligt til at udarbejdelse af interne skriftlige politikker, procedurer og kontroller

Idet loven er gået fra en regelbaseret tilgang til en risikobaseret tilgang, stilles der også højere krav til virksomheden om at udarbejde interne procedurer, der sikrer, at virksomheden effektivt forebygger, begrænser og styrer de risici, virksomheden har i deres kundeforhold.

 

Virksomheden skal gennem de ovennævnte risikovurderinger i videst muligt omfang sikre, at virksomheden ikke bliver misbrugt til hvidvaskning eller terrorfinansiering. Kravet om at virksomhederne skal have interne procedurer, politikker og kontroller, hjælper med at sikre virksomhedens overholdelse af loven.


De nævnte politikker indebærer følgende procedurer:

  • Virksomhedens risikostyring
  • Kundekendskabsprocedurer — særligt interne procedurer forbundet med identifikation, verifikation og kundens reelle hensigter samt løbende overvågning af kunder med øget risikoprofil.
  • Virksomhedens undersøgelses-, noterings– og underretningspligt — særligt virksomhedens pligt til at være særligt opmærksom på usædvanligt store transaktioner, usædvanlig adfærd, kunder fra højrisikolande og transaktioner, der ikke har et påviseligt lovligt formål. Underretningspligten indebærer desuden pligten til at underrette Statsadvokaten for Særlig Økonomisk og International Kriminalitet (SØIK) i påkrævede tilfælde.
  • Virksomheden har desuden samme pligt til at screene dens medarbejdere som ved kunder. Dette indebærer, at virksomheden har en pligt til at sikre, at dennes medarbejdere ikke kan misbruge deres stilling til hvidvask eller terrorfinansiering.
  • Virksomheden har også gennem deres udarbejdede politikker, procedurer og kontroller pligt til at sikre, at virksomheden internt overholder lovens krav. Visse virksomheder har en særlig pligt til at udpege en ansat i virksomheden, som skal sikre virksomhedens overholdelse af loven. For at sikre, at denne person kan udføre tilstrækkelig kontrol, er det vigtigt, at der er en hvis uafhængighed mellem personen, der udfører kontrollen, og de ansatte, der skal kontrolleres. Interne kontroller skal dokumenteres, og kontrolforanstaltninger skal være beskrevet.

De udarbejdede politikker skal fastsætte de overordnede strategiske mål for virksomhedens overholdelse af reglerne i loven og sikre, at virksomheden i videst muligt omfang forebygger risikoen for, at deres kunder misbruger virksomheden til hvidvask og terrorfinansiering. Procedurerne beskriver, hvordan disse strategiske mål rent praktisk opnås.

 

Da de omfattede virksomheder har forskellige virksomhedsprofiler og risikofaktorer, er det vigtigt, at de udarbejdede interne politikker og procedurer beror konkret på virksomhedens pågældende forretningsmodel, og at disse er udarbejdet specifikt med henblik på intern anvendelse i den pågældende virksomhed. Det er derfor begrænset, at der for disse former for politikker og procedurer kan udarbejdes standardformularer.


Virksomheden har en pligt til at uddanne deres medarbejdere tilstrækkeligt i lovens anvendelsesområde, og hvordan den ansatte i sit daglige arbejde skal kunne sikre, at virksomheden overholder kravene i loven.

 

Kundekendskabsprocedurer

En af ændringer i den nye lov er, at hvor virksomheder tidligere skulle kunne legitimere deres kunder, er der i den nye lov sket en udvidelse med indførelsen af såkaldte kundekendskabsprocedurer, hvor virksomheder skal vurdere det enkelte kundeforhold og kundens reelle intentioner med den givne transaktion. Dette sker ved først at kunne legitimere kunden, hvorefter denne legitimation skal kunne verificeres gennem en pålidelig og uafhængig kilde, og derefter skal den foretagne risikovurdering bruges til at inddele kunden i en risikoprofil. Der findes overordnet tre risikoprofiler: øget risiko, mellemrisiko og begrænset risiko.


Forpligtelsen til at kende sin kunde består i hele kundeforholdet, hvilket indebærer, at virksomheden har en pligt til løbende at overvåge og revurdere kundens risikoprofil. Dette skal enten ske ved væsentlige ændringer i kundens forhold og dermed i kundens risikofaktorer eller ved årlige kontroller.


Som nævnt er der særligt skærpede procedurer for PEP’er, deres nærtstående og samarbejdspartnere.

 

Vores bemærkninger

Ændringen af Hvidvaskningsloven har derfor medført, at virksomheder i langt større grad bliver inddraget i ansvaret for at sikre, at danske virksomheder ikke bliver misbrugt til hvidvaskning af penge eller til finansiering af terrorisme.


Med de øgede krav til virksomheders risikovurderinger sikrer lovens nye ændringer, at den enkelte virksomhed afsætter de nødvendige ressourcer og i højere grad prioriterer overholdelse af loven, hvorved de er med til at sikre forebyggelsen af hvidvaskning og terrorfinansiering.


Implementeringen af det nyeste EU-direktiv er ligeledes en reaktion på den stigning, der har været i terrorhandlinger i Europa, og lovens formål er at forsøge at forebygge kunders misbrug af virksomheder til ulovlige økonomiske aktiviteter.

 

 

Hvis du har spørgsmål eller ønsker yderligere information om ovenstående, er du velkommen til at kontakte partner Dan Moalem (dmo@mwblaw.dk), advokatfuldmægtig Andreas Løndahl Hertel (ahe@mwblaw.dk) eller trainee Gülsah Bektas Nielsen (gbn@mwblaw.dk). 

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.