KYC/KYB ja lainsäädäntö – EU:n ja maailman säädökset

Johdanto

KYC (Know Your Customer) ja KYB (Know Your Business) -velvoitteet muodostavat perustan maailmanlaajuisille rahanpesun estämistä (AML) ja terrorismin rahoituksen torjuntaa (CFT) koskeville sääntelykehyksille.
Ne edellyttävät, että rahoitus- ja muut laitokset varmentavat luonnollisten henkilöiden henkilöllisyyden ja ymmärtävät oikeushenkilöiden omistus- ja hallintorakenteen, mukaan lukien todelliset edunsaajat (UBO).
Tavoitteena on poistaa anonymiteetti rahoitus- ja digitaalisissa palveluissa sekä varmistaa, että organisaatiot tietävät, keitä heidän asiakkaansa ovat ja mihin tarkoitukseen liiketoimet perustuvat.

Kansainvälinen viitekehys on Financial Action Task Force (FATF), jonka suositus 10 määrittelee asiakkaan tuntemista (CDD) ja todellisten edunsaajien tunnistamista koskevat periaatteet¹.

1. Euroopan unionin oikeudellinen kehys

1.1 Rahanpesudirektiivit (AMLD4–6)

Euroopan unionin keskeiset säädökset ovat:

• Direktiivi (EU) 2015/849 (AMLD4) – määrittää KYC- ja CDD-velvoitteet²,

• Direktiivi (EU) 2018/843 (AMLD5) – laajentaa soveltamisalaa virtuaalivaluuttapalveluihin³,

• Direktiivi (EU) 2018/1673 (AMLD6) – yhdenmukaistaa oikeushenkilöiden rikosoikeudellista vastuuta⁴.

AMLD4:n artikla 13(1) velvoittaa laitokset:

1. tunnistamaan asiakkaan ja varmentamaan hänen henkilöllisyytensä luotettavista lähteistä,

2. tunnistamaan todellisen edunsaajan,

3. keräämään tietoa liikesuhteen tarkoituksesta ja luonteesta,

4. seuraamaan liiketoimia jatkuvasti².

Artikla 30 määrää, että jäsenvaltioiden on perustettava todellisten edunsaajien rekisterit².
EU-tuomioistuimen 22.11.2022 antama tuomio (yhdistetyt asiat C-37/20 ja C-601/20) rajoitti yleisön pääsyä näihin rekistereihin tietosuojasyistä⁵.

AMLD5 toi lisäksi:

• virtuaalivaluuttapalvelujen tarjoajat KYC-velvoitteiden piiriin,

• anonyymien prepaid-korttien rajoituksia,

• tehostetut valvontavelvoitteet korkean riskin kolmansien maiden kanssa käytävissä liiketoimissa³.

AMLD6 puolestaan selkeytti rahanpesun määritelmää ja vahvisti oikeushenkilöiden vastuuta⁴.

1.2 Uusi EU:n AML-paketti ja AMLA

EU on valmistelemassa uutta rahanpesuasetusta (AML Regulation), joka on suoraan sovellettava kaikissa jäsenmaissa.
Samalla perustetaan Euroopan rahanpesuviranomainen (AMLA), joka valvoo korkeimman riskin toimijoita keskitetysti⁶.

1.3 GDPR ja tietosuoja

Kaikkien KYC/KYB-prosessien on oltava yleisen tietosuoja-asetuksen (GDPR) mukaisia⁷.
Artikla 6(1)(c) sallii henkilötietojen käsittelyn lakisääteisen velvoitteen perusteella.
Artikla 5 edellyttää tietojen minimointia ja säilytysajan rajoittamista.
AMLD4:n artikla 40 määrää tietojen säilytysajaksi vähintään 5 vuotta, enintään 10 vuotta AML-tarkoituksiin².

1.4 Krypto, “Travel Rule” ja MiCA

EU on sisällyttänyt FATF:n Travel Rule -säännön rahansiirtoihin ja kryptotransaktioihin asetuksella (EU) 2023/1113⁸.
Sekä maksupalveluntarjoajien että kryptopalveluiden on välitettävä lähettäjän ja vastaanottajan tiedot.
MiCA-asetus (EU) 2023/1114 tuo lisenssivaatimuksia ja kuluttajansuojaa kryptomarkkinoille⁹.

1.5 Soveltamisala EU:ssa

AMLD4:n artiklan 2(1) mukaan seuraavat alat ovat velvoitettuja noudattamaan KYC/KYB-sääntöjä:

• luotto- ja rahoituslaitokset,

• tilintarkastajat, kirjanpitäjät ja veroneuvojat,

• notaarit ja asianajajat,

• yritys- ja trustipalvelujen tarjoajat,

• kiinteistönvälittäjät,

• kasinot,

• käteiskauppiaat (≥ 10 000 €),

• AMLD5:n myötä myös virtuaalivaluuttapalvelut (VASP)²³.

Lisäksi useissa maissa myös teleoperaattorit, verkkokaupat (esim. DAC7) ja ylellisyystavarakauppiaat kuuluvat soveltamisalaan.

2. Digitaalinen identiteetti, eIDAS ja ETSI-standardit

eIDAS-asetus (EU) N:o 910/2014 luo puitteet sähköisen tunnistamisen vastavuoroiselle tunnustamiselle ja luottamuspalveluille (esim. sähköinen allekirjoitus, leima)¹⁰.
Korkean luotettavuustason sähköisellä tunnuksella tunnistettu henkilö voidaan hyväksyä myös rajat ylittävästi.

Tuleva eIDAS 2.0 -asetus tuo Euroopan digitaalisen identiteettilompakon, jonka avulla varmennettuja identiteettitietoja voidaan jakaa turvallisesti¹¹.

Tekniset standardit:

• ETSI EN 319 401 – yleiset turvallisuusvaatimukset luottamuspalveluntarjoajille,

• ETSI TS 119 461 – etätunnistamisen ja videovahvistuksen vaatimukset¹².

Näitä pidetään Euroopassa AML-vaatimusten mukaisen etäasiakashankinnan perustana.

3. EU:n ulkopuoliset maat

3.1 Yhdysvallat

Keskeiset lait:

• Bank Secrecy Act (BSA), 31 U.S.C. §5311 et seq.¹³,

• USA PATRIOT Act (2001), osasto III¹⁴,

• FinCEN:n CIP-sääntö, 31 CFR §1020.220¹⁵,

• FinCEN:n CDD-sääntö, 31 CFR §1010.230¹⁶.

Pankkien on kerättävä asiakkaan nimi, syntymäaika, osoite ja verotunniste ennen tilin avaamista.
Oikeushenkilöiden on ilmoitettava vähintään 25 %:n omistajat (UBO).
Corporate Transparency Act (CTA) loi liittovaltiollisen UBO-rekisterin¹⁷.

3.2 Yhdistynyt kuningaskunta

• Proceeds of Crime Act 2002,

• Money Laundering Regulations 2017 (MLR), muutokset 2019–2020¹⁸.
  FCA antaa ohjeita etätunnistuksesta ja biometrisistä todennusmenetelmistä.
  Economic Crime Act 2022 toi ulkomaisten omistajien rekisterin.

3.3 Sveitsi

• Rahanpesulaki (AMLA)¹⁹,

• FINMA:n AMLA-asetus (OBA-FINMA).
  Toimijoiden on tunnistettava asiakkaat ja todelliset edunsaajat, säilytettävä tiedot 10 vuotta ja raportoitava epäilyttävät liiketoimet MROS:lle.
  Sveitsi soveltaa FATF:n Travel Rule -sääntöä myös kryptotransaktioihin¹.

3.4 Kanada

• Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA)²⁰,

• valvova viranomainen: FINTRAC.
  KYC koskee pankkeja, maksupalveluja, kasinoita ja kryptotoimijoita.
  Etätunnistaminen on sallittua (esim. Verified.Me).
  Tietosuoja perustuu PIPEDA-lakiin²¹.

3.5 Australia

• Anti-Money Laundering and Counter-Terrorism Financing Act 2006²²,

• viranomainen: AUSTRAC.

10 000 AUD -tapahtumat on raportoitava.
Westpac sai vuonna 2020 1,3 miljardin AUD sakon AML/KYC-puutteista.

3.6 Singapore

• MAS Notice 626²³.
  Kaikkien asiakkaiden ja edunsaajien tunnistaminen on pakollista.
  SingPass toimii virallisena digitaalisen identiteetin välineenä.
  Epäilyttävät liiketoimet ilmoitetaan STRO:lle.

4. Vertailuanalyysi

5. Teknologia ja etäasiakashankinta

Viranomaiset hyväksyvät yhä laajemmin etäpohjaiset KYC-menettelyt, kunhan:

1. ne tarjoavat saman turvallisuustason kuin kasvokkain tunnistaminen,

2. tietojen käsittely on turvallista ja GDPR:n mukaista,

3. prosessi on jäljitettävä ja auditoitavissa.

ETSI TS 119 461 -sertifioidut ratkaisut hyväksytään EU:ssa AML-vaatimusten mukaisiksi.
API-pohjainen KYC ja biometrinen tunnistus ovat nousseet globaaliksi standardiksi.

6. Ei-rahoitukselliset sektorit

KYC/KYB-velvoitteet kattavat myös:

• virtuaalivaluuttapalvelut (VASP),

• vakuutussektorin,

• uhkapelit ja vedonlyönnin,

• kiinteistöt,

• lakiasiaintoimistot ja tilitoimistot,

• ylellisyystavarakaupan,

• telekommunikaatio- ja verkkopalvelut (esim. DAC7).

FATF:n mukaan rahanpesun riski ei rajoitu pankkisektoriin¹.

7. Kustannukset ja tehokkuus

Tutkimusten (Fenergo, Thomson Reuters) mukaan:

• suuret rahoituslaitokset käyttävät 15–30 miljoonaa USD vuodessa KYC-menettelyihin,

• yritysasiakkaan avaaminen kestää keskimäärin 2–5 kuukautta,

• jopa 2–5 % maailman BKT:stä liittyy edelleen rahanpesuun²⁴[^25].

Sääntelykehykset ovat vahvoja, mutta datan standardointi ja kansainvälinen yhteistyö vaativat kehittämistä.

8. Johtopäätökset

• EU, Yhdysvallat, Iso-Britannia, Sveitsi, Kanada, Australia ja Singapore noudattavat FATF:n kansainvälisiä standardeja.

• EU erottuu edukseen:

  1. laajalla sektorisoveltamisellaan,

  2. digitaalisen identiteetin integroinnilla (eIDAS),

  3. vahvalla tietosuojalla (GDPR),

  4. keskitetyn valvontaviranomaisen perustamisella (AMLA).

• EU:n ulkopuoliset maat, kuten Yhdysvallat, Australia ja Singapore, erottuvat tiukalla valvonnalla ja edistyneellä digitaalisen tunnistamisen käytöllä.

• Maailmanlaajuinen suunta on selvä: vähemmän anonymiteettiä, enemmän läpinäkyvyyttä, automaatio ja teknologiaohjattu valvonta.

Tavoitteena on varmistaa tehokas AML-valvonta ilman, että yrityksille ja asiakkaille aiheutetaan kohtuutonta taakkaa.

Tilaa ilmainen KYC/KYB-verkkokonsultaatio

Lähteet / Viitteet

Footnotes

1. FATF, International Standards on Combating Money Laundering and the Financing of Terrorism, Suositukset 10, 11, 24 (2023). ↩ ↩² ↩³

2. Direktiivi (EU) 2015/849 (AMLD4), OJ L 141/73, 5.6.2015. ↩ ↩² ↩³ ↩⁴ ↩⁵

3. Direktiivi (EU) 2018/843 (AMLD5), OJ L 156/43, 19.6.2018. ↩ ↩² ↩³

4. Direktiivi (EU) 2018/1673 (AMLD6), OJ L 284/22, 12.11.2018. ↩ ↩²

5. EU-tuomioistuin, yhdistetyt asiat C-37/20 ja C-601/20, tuomio 22.11.2022. ↩

6. Anti-Money Laundering Authority (AMLA) -asetusehdotus, COM(2021) 421 final. ↩

7. GDPR, (EU) 2016/679, OJ L 119/1, 4.5.2016. ↩

8. Asetus (EU) 2023/1113, rahansiirtoja ja kryptosiirtoja koskevat tiedot (TFR). ↩

9. Asetus (EU) 2023/1114 – Markets in Crypto-Assets (MiCA). ↩

10. Asetus (EU) N:o 910/2014 (eIDAS). ↩

11. eIDAS 2.0 -asetusehdotus, COM(2021) 281 final. ↩

12. ETSI TS 119 461:2021; ETSI EN 319 401:2019. ↩

13. Bank Secrecy Act (31 U.S.C. §5311 et seq.). ↩

14. USA PATRIOT Act, Pub. L. No. 107–56 (2001). ↩

15. FinCEN Rule, 31 CFR §1020.220 – Asiakkaan tunnistusohjelma. ↩

16. FinCEN Rule, 31 CFR §1010.230 – Asiakkaan tuntemisvelvoite. ↩

17. Corporate Transparency Act, 31 U.S.C. §5336 (2021). ↩

18. Money Laundering Regulations 2017, Yhdistynyt kuningaskunta. ↩

19. Federal Act on Combating Money Laundering and Terrorist Financing (AMLA), SR 955.0, Sveitsi. ↩

20. Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA), Kanada, 2000. ↩

21. PIPEDA, Kanada. ↩

22. Anti-Money Laundering and Counter-Terrorism Financing Act 2006, Australia. ↩

23. Monetary Authority of Singapore (MAS) Notice 626, 2020. ↩

24. *UNODC, Money ↩

Tilaa ilmainen KYC/KYB-verkkokonsultaatio