Ny hvidvaskpakke fra EU – et paradigmeskift I bekæmpelsen af hvidvask

Udgivet den
30.12.2022

Kommissionen har fremsat et forslag, der væsentligt vil udvide hvidvaskreguleringen i EU. Forslaget vil blandt andet medføre en udvidelse af anvendelsesområdet for virksomheder, der opererer med kryptoaktiver og en udvidelse af pengeoverførselsforordningen til også at omfatte overførsler med kryptovaluta (travel rule). Der bindes således en sløjfe på Kommissionens Digital Finans-pakke, hvor bl.a. MiCA-forordningen blev introduceret.

1. Baggrund

Kommissionen fremsatte i 2021 en hvidvaskpakke, der har til formål at harmonisere EU-reglerne på hvidvaskområdet, etablere en EU-hvidvasktilsynsmyndighed og styrke samarbejdet og informationsudvekslingen mellem medlemslandenes finansielle efterretningsenheder (”FIU’er”). Den danske FIU er Hvidvasksekretariatet.

Hvidvaskpakken er fremsat i forlængelse af et tilsagn fra Kommissionen om at beskytte EU-borgerne og EU’s finansielle system mod hvidvask af penge samt terrorfinansiering og har således til formål at adressere følgende problemstillinger:

  • Inkonsistente regler på hvidvaskområdet, bl.a. på grund af uens implementering af hvidvaskdirektiverne i medlemslandene.
  • Uensartet tilsyn på tværs af medlemslandene og utilstrækkelig koordination mellem de nationale tilsynsmyndighede i grænseoverskridende sager.
  • Utilstrækkelig koordination og udveksling af information mellem FIU’er og mellem FIU’er og nationale hvidvasktilsynsmyndigheder.

1.1 Hvad er nyt?

Hvidvaskpakken vil medføre ens regler og standarder for hvidvaskprocedurer, -politikker og -kontroller på tværs af medlemslandene. Omfattede virksomheder vil derfor blive pålagt samme krav, uanset i hvilket medlemsland virksomheden har tilladelse eller er registreret.

Kravene til opfyldelse af hvidvaskforpligtelser bliver større, hvilket kan medføre, at mindre virksomheder kan få sværere ved at opfylde kravene.

Et af de mest centrale tiltag i hvidvaskpakken er oprettelsen af EU-hvidvasktilsynsmyndigheden Anti-Money Lundering Authority (”AMLA”). AMLA skal være den centrale myndighed, der overvåger og koordinerer de nationale FIU’er for at sikre korrekt anvendelse af EU-reglerne.

Ved overførsler af kryptoaktiver skal udbydere af kryptoaktivtjenester indsamle oplysninger om hvem, der afsender og modtager de pågældende kryptoaktiver. Det vil sige, at der ved overførsler med kryptoaktiver skal indsamles samme oplysninger, som betalingstjenester efter de nuværende regler indsamler i forbindelse med almindelige elektroniske pengeoverførsler.

1.2 Gældende ret

Hvidvaskområdet er efter gældende ret reguleret af hvidvaskloven, der implementerer direktivet fra 2018 (”AMLD5”). Direktivet fastsætter rammerne for hvidvaskreguleringen i medlemslandene. Det er op til de enkelte medlemslande at afgøre, hvorledes der skal ske en yderligere implementering, end hvad der er fastsat i direktivet. Med andre ord kan medlemslandene vælge at overimplementere direktivet, hvilket medfører en uensartet regulering på tværs af medlemslandene.

Kommissionen har gennem direktivet fastsat de overordnede vilkår for hvidvaskregulering i EU. Standarder, ”best practice” samt vejledninger til udførelsen af de procedurer, som fastsættes i direktivet, er fortsat overladt til de enkelte finansielle myndigheder. Ifølge Kommissionen har dette medført for store forskelle mellem medlemsstaternes respektive lovgivninger. Dette gør det sværere for virksomheder, der er omfattet af hvidvaskloven og direktivet, at tilbyde sine tjenesteydelser i flere medlemslande og samtidig opfylde de nationale regler.

Endelig eksisterer der ikke noget centralt koordineringsorgan på EU-plan. Dette hæmmer samarbejdet mellem nationale tilsynsmyndigheder og FIU’er og medfører for store hvidvaskrisici i forbindelse med grænseoverskridende aktiviteter.

Ovenstående har nu udmøntet sig i en hvidvaskpakke, som skal styrke EU’s regler om bekæmpelse af hvidvask og terrorfinansiering (AML/CFT). Der er tale om et nybrud inden for hvidvaskområdet, som vil få stor indflydelse på den fremtidige hvidvaskregulering på samtlige planer.

Denne artikel vil gennemgå Kommissionens hvidvaskpakke med særligt fokus på kryptoaktiver.

2. Indledning

Hvidvaskpakken indeholder fire forslag:

  1. En forordning om oprettelse af en ny EU-hvidvasktilsynsmyndighed for AML/CFT (”AMLA”).
  2. En forordning om bekæmpelse af hvidvask og terrorfinansiering (”hvidvaskforordningen”).
  3. Et sjette direktiv om bekæmpelse af hvidvask og terrorfinansiering (”AMLD6”).
  4. En omarbejdning af pengeoverførselsforordningen fra 2015 med henblik på sporing af overførsler af visse kryptoaktiver (“pengeoverførselsforordningen”).

Hvidvaskpakken lægger op til, at reguleringen af FIU’s fortsat skal ske gennem et direktiv. Til gengæld ønsker man nu at harmonisere hvidvaskreglerne, herunder reglerne omkring rapportering, hvidvaskprocedurer og beløbsgrænser for gennemførelse af hvidvaskprocedurer. Disse vil blive reguleret gennem Hvidvaskforordningen og dermed have direkte virkning for EU’s medlemslande.

3. AMLA

Kommissionen vil oprette en ny EU-hvidvasktilsynsmyndighed kaldet ”AMLA”, der skal sikre harmonisering af de nationale tilsynsmyndigheders arbejdsgange og tilsynskultur. AMLA får blandt andet til opgave at fastlægge standarder for indberetning og udveksling af oplysninger samt støtte fælles operationelle analyser, m.v.

Dette betyder blandt andet, at det for danske virksomheder vil være nemmere at indberette indberetningspligtige transaktioner til fx de franske myndigheder, idet indholdet og indberetningsprocedurerne skal være ens på tværs af EU.

De nationale tilsynsmyndigheder og FIU’er vil fortsat eksistere som vigtige komponenter i EU’s håndhævelsessystem for AML/CFT. AMLA vil dog erstatte de nationale tilsynsmyndigheder som direkte tilsynsførende i visse større grænseoverskridende virksomheder i den finansielle sektor. Dette gælder, hvis der er tale om forpligtede enheder med aktiviteter i et stort antal medlemslande, som er kategoriseret i den højeste risikokategori for hvidvask, eller hvis Kommissionen træffer afgørelse herom.

AMLA forventes at blive oprettet i 2023 og påbegynde sine aktiviteter i 2024.

4. Hvidvaskforordningen

Det er Kommissionens vurdering, at der er behov for at harmonisere hvidvaskreglerne på tværs af medlemslandene – en såkaldt ”EU single rulebook”.

Kommissionen har derfor fremsat en forordning vedrørende regler for hvidvask og terrorfinansiering. Da der er tale om en forordning, vil den modsat et direktiv have direkte virkning i medlemslandene og således ikke skulle implementeres igennem national ret.

Hvidvaskforordningen vil således grundlæggende ændre rammerne for hvidvaskreguleringen. Hvidvaskforordningen vil udvide anvendelsesområdet for hvidvask-reglerne i Europa og vil ligeledes omfatte de aktiviteter, der er inkluderet i MiCA-forordningen. Alle typer og kategorier af kryptoaktivserviceudbydere vil således være omfattet af Hvidvaskforordningen i modsætning til gældende ret, hvor det kun er enkelte enheder, der tilbyder aktiviteter med kryptoaktiver.

Dette betyder blandt andet, at personer og virksomheder, der rådgiver om kryptoaktiver, herunder placering af kryptoaktiver, som ikke på nuværende tidspunkt er omfattet af hvidvaskloven, vil være omfattet af hvidvaskforpligtelserne i Hvidvaskforordningen. Det vil i praksis betyde, at fx konsulenter, der rådgiver omkring kryptoaktiver, vil være omfattet af hvidvaskforpligtelserne efter Hvidvaskforordningen.

Hvidvaskforordningen indeholder ligeledes forbudsbestemmelser vedrørende anonyme kryptoaktiver, herunder Monero og Zcash. Det betyder, at udbydere af kryptoaktivtjenester ikke må tilbyde wallets eller andre tjenester med anonyme kryptoaktiver. Dermed vil anonyme kryptoaktiver blive ulovliggjort i EU.

Reglerne udvider også medlemslandenes mulighed for at kræve, at udbydere af kryptoaktivtjenester, der er etableret på deres område men med hovedsæde i et andet medlemsland, udpeger et centralt kontaktpunkt (som det allerede er tilfældet for udstedere af elektroniske penge og betalingstjenesteudbydere).

Reglerne i Hvidvaskforordningen er mere udførlige og detaljerede end i hvidvaskloven og omfatter en række reguleringsmæssige tekniske standarder, der skal udarbejdes af AMLA. Nedenfor vil vi redegøre for, hvilke væsentlige ændringer dette vil have for særligt udbydere af kryptoaktivtjenester på hvidvaskområdet indenfor EU.

4.1 Forpligtede enheder

Efter gældende ret er næsten alle finansielle virksomheder omfattet af hvidvaskloven, herunder visse typer af tjenesteudbydere af virtuelle valuta. Hvidvaskforordningen vil derimod omfatte alle typer og kategorier af udbydere af kryptoaktivtjenester (på engelsk: crypto asset service providers, forkortet ”CASP”). Kommissionen erstatter derfor begrebet ”virtuel valuta” med ”kryptoaktiver”. Omfanget af forpligtede enheder vil derfor forøges og bringes således i overensstemmelse med FATF’s standarder. Dette betyder, at der fremadrettet vil være én juridisk definition af kryptoaktiver samt udbydere af kryptoaktivtjenester og på denne måde sikres en ensartet fortolkning.

Kommissionen bemærker i Hvidvaskforordningens præambel, at selvom Hvidvaskforordningen udvider mængden af regler på hvidvaskområdet, består der fortsat et proportionalitetsprincip, således at der skal være proportionalitet mellem regelmængden og de hvidvaskrisici, som enheden står over for.

Reglerne om forpligtede enheder fremgår af kapitel 2 i Hvidvaskforordningen.

4.2 CDD

Der vil fremadrettet være større fokus på, hvordan kundekendskabsprocedurer, såkaldte customer due diligence (”CDD”) processer, udføres internt i en enhed. Det vil således være et krav for forpligtede enheder, at relevante ansatte besidder de nødvendige kompetencer til at udføre CDD. Et sådant krav fremgår allerede af de danske hvidvaskregler og fremgår eksplicit af Finanstilsynets vejledning om hvidvaskloven. Fremover vil det imidlertid være specificeret direkte i Hvidvaskforordningen og således have direkte retlig virkning. Derudover skal alle, der arbejder med CDD, undergå en vurdering af deres evner, viden, ekspertise, integritet og adfærd for at sikre korrekt udførelse af medarbejderens arbejdsopgaver.

Forordningen indeholder i lighed med hvidvaskloven og AMLD5 en række situationer, hvor der er behov for at udføre CDD. Disse skal udføres ved (i) etablering af et forretningsforhold, (ii) hvis beløbsgrænsen for enkeltstående transaktioner overstiges, (iii) hvis der er en mistanke om hvidvask eller terrorfinansiering, eller (iv) hvis der er tvivl om korrektheden eller tilstrækkeligheden af tidligere indhentede kundeoplysninger. Beløbsgrænserne for enkeltstående transaktioner vil være de samme for kryptoaktivtjenester, dvs. EUR 1.000, førend der skal udføres CDD. Beløbsgrænsen nedsættes imidlertid fra EUR 15.000 til EUR 10.000 for andre forpligtede enheder.

Det specificeres, at AMLA inden for to år efter forordningens ikrafttrædelse skal udarbejde nogle tekniske standarder for hvilke enheder, brancher og transaktioner, der kan klassificeres som højrisiko.

Som noget nyt specificerer forordningen, hvilke oplysninger der skal indgå i en CDD. Dette indebærer blandt andet kundeidentitet og verifikation heraf, reelle ejere og formålet med kundeengagementet.

Reglerne indebærer ikke meget nyt og vil formentlig ikke få stor indflydelse for danske udbydere af kryptoaktivtjenester, som allerede er underlagt hvidvaskloven. Hertil kommer, at kryptoaktivtjenesternes nuværende hvidvaskpolitikker formentlig ikke kræver omfattende ændringer for at være i overensstemmelse med Hvidvaskforordningen, idet der blot er tale om en kodificering af allerede gældende standarder.

Afslutningsvist skal det dog bemærkes, at der lægges op til udvidede rapporteringskrav til den relevante FIU. Det betyder, at rapporteringsforpligtelserne i tilfælde af mistanke om hvidvask eller terrorfinansiering udvides.

Reglerne om CDD fremgår af kapitel 2 og 3 i Hvidvaskforordningen.

4.3 Digital identitet

Kommissionen har ligeledes præsenteret et næste skridt mod digitalisering af finansområdet og lettere udnyttelse af det indre markeds potentiale. En del af forordningen omhandler en ny digital identitet. Dette er en del af Kommissionens pakke om digital finans.

Formålet med en digital identitetsløsning er at indføre en ramme, der skal understøtte sikker digital onboarding og dermed styrke muligheden for ikke-fysisk verifikation.

Den nye digitale identitet skal have hjemmel gennem en ændring af forordningen om elektronisk eID og tillidstjenester (”eIDAS-forordningen“), men det er endnu uvist, hvad de endelige tiltag vil medføre. Kommissionen beskriver dog, at formålet med den digitale identitet er at sikre følgende på tværs af grænser:

  • adgang til meget sikre og pålidelige elektroniske identitetsløsninger,
  • at offentlige og private tjenester kan benytte pålidelige og sikre digitale identitetsløsninger,
  • at fysiske og juridiske personer er i stand til at anvende digitale identitetsløsninger,
  • at disse løsninger er knyttet til en række forskellige attributter og giver mulighed for målrettet deling af identitetsdata i et omfang, der er begrænset til behovet hos den specifikke tjeneste, der anmodes om, samt
  • accept af kvalificerede tillidstjenester i EU og lige vilkår for levering heraf.

Dette skal blandt andet sikres ved at udstede europæiske digitale ID-tegnebøger samt give mulighed for elektroniske attesteringer. Det er vores vurdering, at der vil blive indført en ordning svarende til det danske MitID, som kan anvendes på tværs af landegrænser i EU.

Ifølge Kommissionen vil reglerne i Hvidvaskforordningen give mulighed for lettere at anvende digitale identitetsløsninger og give mulighed for øget grænseoverskridende aktivitet. Ændringerne af AML/CFT-rammen vil derfor uden problemer fungere med Kommissionens foreslåede ramme for en europæisk digital identitet og vil bidrage til at fjerne hindringer for grænseoverskridende brug af digitale identiteter i den finansielle sektor.

Reglerne om digital identitet fremgår blandt andet af kapitel 3 om CDD, men vil blive implementeres i EU gennem en ændring af eIDAS-forordningen.

5. Penge- og kryptooverførsler

Kommissionen foreslår ligeledes, at der foretages en omarbejdning af pengeoverførselsforordningen. Omarbejdningen indebærer en omskrivning, således, at forordningen ikke kun omfatter fiatvaluta, men også kryptoaktiver. Dette relaterer sig til EU’s implementering af den omdiskuterede Travel Rule, som vil blive gennemgået nedenfor. Sektoren for kryptoaktiver er ved at forberede sig på implementering af FATF’s Travel Rule, og flere jurisdiktioner i verden har allerede implementeret Travel Rule, herunder Singapore og Schweiz, hvorimod andre lande har vedtaget lovgivning på området.

Ændringen af pengeoverførselsforordningen implementerer Travel Rule, som påkræver, at alle udbydere af kryptoaktivtjenester, der er involveret i overførsler af kryptoaktiver, forpligtes til at indsamle og gøre data tilgængelige om afsenderne og modtagerne af overførsler af kryptoaktiver. Kravene gælder, når transaktionen involverer:

  • en traditionel pengeoverførsel, eller
  • en overførsel af kryptoaktiver mellem en kryptoaktivtjeneste og en anden forpligtet enhed (fx en anden kryptoaktivtjeneste eller en bank).

Det vil sige, at der ved overførsler med kryptoaktiver, skal medsendes de samme oplysninger, som betalingstjenester for nuværende medsender ved elektroniske overførsler. Disse nye regler vil i væsentlig grad styrke overvågningen af udbydere af kryptoaktivtjenester og sikre, at de relevante foranstaltninger i FATF-anbefalingerne overholdes, herunder særligt Travel Rule.

Begrundelsen er den samme som for den oprindelige forordning om pengeoverførsler: at identificere afsendere og modtagere af kryptoaktiver til AML/CFT-formål samt at identificere mulige mistænkelige transaktioner og blokere dem, hvis det er nødvendigt. Kommissionen har bl.a. udtalt, at rapporter viser, at kryptoaktiver i stigende grad anvendes til hvidvask af penge og andre kriminelle formål, hvilket gør dette ændringsforslag presserende.

Vi forventer derfor, at forordningen for penge- og kryptoaktivoverførsler vil træde i kraft før Hvidvaskforordningen og formentlig i forlængelse af ikrafttrædelsen af MiCA-forordningen, som estimeres at ske primo 2025.

6. Hvornår bliver pakken implementeret

Det fremgår af Hvidvaskforordningen, at AMLA ikke kan udarbejde tekniske standarder, før teksten og regelsættet for den nye hvidvaskpakke er på plads. Kommissionen forventer selv, at det samlede regelsæt, som omfatter tekniske standarder, forventes at være indført og bragt i anvendelse inden udgangen af 2025.

For at give AMLA den nødvendige tid til at gennemføre og færdiggøre regelsættet vil den nye lovramme finde anvendelse tre år efter dens vedtagelse.

7. Vores vurdering

Vi mener, at disse forslag vil bidrage til udviklingen af EU’s sektor for kryptoaktiver, da den vil blive omfattet af en ajourført, harmoniseret retlig ramme i hele EU. Dette åbner muligheden for, at flere etablerede finansielle institutioner, herunder banker og pensionskasser, vil være mere tilbøjelige til at etablere samarbejder eller foretage investeringer i kryptoaktiver og kryptoaktivtjenester.

Det betyder samtidig, at kravene for hvidvaskpligtige virksomheder bliver større, hvilket gør det byrdefuldt for mindre virksomheder at opfylde kravene. Vi kan derfor forvente, at det bliver sværere for nye virksomheder at påbegynde deres aktiviteter med kryptoaktiver.

Introduktionen af begrebet ”kryptoaktiver” i Hvidvaskforordningen vil gøre begrebet mere aktuelt for flere forpligtede enheder. Vi forventer derfor, at vi vil se begrebet ”kryptoaktiver” i andre love og forordninger fremadrettet. Det er vores vurdering, at denne ensretning af anvendelsen af begrebet vil være medvirkende til at skabe en mere optimal situation for sektoren.

Indførelsen af en harmoniseret digital identitetsløsning vil være en kærkommen ændring for hvidvaskpligtige danske og europæiske virksomheder, da det vil blive nemmere at onboarde udenlandske kunder og rapportere til udenlandske myndigheder. Erfaringer fra klienter, som opererer på tværs af grænser, viser, at rapportering på nuværende tidspunkt er næsten umulig. Det skyldes, at der oftest er krav til rapportering i det nationale sprog, ligesom det kræver nationale logintjenester, som fx MitID.

Hos Samar Law mener vi, at hvidvaskpakken er en god forlængelse af Kommissionens præsentation af Digital Finans sidste år. De nye regler sikrer, at alle EU-medlemsstater lever op til de samme regler, ligesom vi forventer, at reglerne vil opbygge troværdighed for sektoren for kryptoaktiver.

Hele hvidvaskpakken findes her, mens eIDAS-forordningen kan findes her.

Samar Law følger udviklingen tæt, og vi står naturligvis til rådighed, såfremt du måtte have spørgsmål hertil.

Articles

arrow up right icon
arrow up right icon