KYC/KYB og lovverket – Regelverk i EU og globalt

Innledning

Forpliktelsene Know Your Customer (KYC) og Know Your Business (KYB) utgjør grunnpilarene i de internasjonale rammene for anti-hvitvasking (AML) og bekjempelse av terrorfinansiering (CFT).
De krever at finansielle og ikke-finansielle institusjoner verifiserer identiteten til fysiske personer og forstår eier- og kontrollstrukturen til juridiske enheter, inkludert reelle eiere (UBO – Ultimate Beneficial Owners).
Formålet er å eliminere anonymitet i tilgang til finansielle og digitale tjenester og å sikre at virksomheter vet hvem kundene deres er og formålet med forretningsforholdet.

Det internasjonale referanseorganet er Financial Action Task Force (FATF), hvor anbefaling nr. 10 definerer prinsippene for kundekontroll (CDD) og identifikasjon av reelle eiere¹.

1. EU – rettslig rammeverk

1.1 Direktiver mot hvitvasking (AMLD4–6)

De viktigste rettsaktene i EU er:

• Direktiv (EU) 2015/849 (AMLD4) – etablerer KYC- og CDD-forpliktelser²,

• Direktiv (EU) 2018/843 (AMLD5) – utvider anvendelsesområdet til tilbydere av kryptotjenester³,

• Direktiv (EU) 2018/1673 (AMLD6) – harmoniserer strafferettslig ansvar for juridiske personer⁴.

I henhold til artikkel 13(1) i AMLD4 må pliktige enheter:

1. identifisere kunden og bekrefte identiteten ved hjelp av uavhengige kilder,

2. identifisere den reelle eieren,

3. innhente informasjon om formålet og arten av forretningsforholdet,

4. overvåke transaksjoner fortløpende².

Artikkel 30 pålegger medlemsstatene å opprette registre over reelle eiere².
Men EU-domstolen (CJEU) begrenset i dommen av 22. november 2022 (forente saker C-37/20 og C-601/20) offentlig tilgang til slike registre av hensyn til personvernet⁵.

AMLD5 utvidet dekningen til:

• kryptobørser og wallet-tjenesteleverandører,

• begrensning av anonyme forhåndsbetalte kort,

• innføring av skjerpede tiltak for høyrisikoland³.

AMLD6 definerte hvitvasking tydeligere og styrket ansvaret for juridiske personer⁴.

1.2 EUs nye AML-pakke og AMLA

EU arbeider med en ny forordning om bekjempelse av hvitvasking (AML Regulation) som vil være direkte gjeldende i alle medlemsland.
Samtidig opprettes Den europeiske anti-hvitvaskingsmyndigheten (AMLA), som får tilsynsansvar for høyrisiko-institusjoner på tvers av medlemsstatene⁶.

1.3 GDPR og databeskyttelse

Alle KYC/KYB-prosesser må være i samsvar med EUs personvernforordning (GDPR)⁷.
Ifølge artikkel 6(1)(c) er behandlingen basert på en rettslig forpliktelse.
Artikkel 5 fastsetter prinsippene for dataminimering og lagringsbegrensning.
AMLD4 artikkel 40 krever at data lagres i minst 5 år, med mulighet for forlengelse til 10 år².

1.4 Kryptovaluta, Travel Rule og MiCA

EU har implementert FATFs “Travel Rule” for både penge- og kryptotransaksjoner gjennom forordning (EU) 2023/1113⁸.
Betalings- og kryptotjenestetilbydere må overføre opplysninger om avsender og mottaker.
MiCA-forordningen (EU) 2023/1114 regulerer lisensiering og forbrukerbeskyttelse for kryptotjenesteleverandører⁹.

1.5 Omfang i EU

I henhold til artikkel 2(1) i AMLD4 gjelder KYC/KYB-forpliktelser for:

• kreditt- og finansinstitusjoner,

• revisorer, regnskapsførere og skatterådgivere,

• advokater og notarer,

• selskaps- og trustforvaltere,

• eiendomsmeglere,

• kasinoer,

• kontantbaserte næringer (≥ 10 000 €),

• og etter AMLD5 – tilbydere av kryptotjenester (VASP)²³.

Flere medlemsland har også inkludert telekomoperatører, netthandelsplattformer (f.eks. DAC7) og forhandlere av luksusvarer.

2. Digital identitet, eIDAS og ETSI-standarder

eIDAS-forordningen (EU) nr. 910/2014 fastsetter et rammeverk for gjensidig anerkjennelse av elektroniske identiteter og tillitstjenester (f.eks. kvalifisert e-signatur, segl)¹⁰.
Dette gjør det mulig for personer med høy tillitsnivå eID å bli identifisert på tvers av landegrenser.

Den kommende eIDAS 2.0 vil introdusere EUs digitale identitetslommebok, som muliggjør sikker deling av verifiserte identitetsdata¹¹.

Tekniske standarder:

• ETSI EN 319 401 – generelle sikkerhetskrav for tillitstjenester,

• ETSI TS 119 461 – krav til fjernidentifikasjon og videoverifisering¹².

Disse ETSI-standardene danner grunnlaget for AML-kompatibel fjernkunderegistrering i Europa.

3. Land utenfor EU

3.1 USA

Lovverk:

• Bank Secrecy Act (BSA), 31 U.S.C. §5311 ff.¹³,

• USA PATRIOT Act (2001), tittel III¹⁴,

• FinCEN Customer Identification Program (CIP), 31 CFR §1020.220¹⁵,

• FinCEN Customer Due Diligence (CDD), 31 CFR §1010.230¹⁶.

Banker må innhente og verifisere kundens navn, fødselsdato, adresse og skatte-ID før kontoopprettelse.
Juridiske personer må identifisere sine reelle eiere (≥25 % eierandel).
Corporate Transparency Act (CTA) oppretter et nasjonalt register over reelle eiere¹⁷.

3.2 Storbritannia

• Proceeds of Crime Act 2002,

• Money Laundering Regulations 2017 (MLR), med endringer fra 2019–2020¹⁸.
  FCA gir retningslinjer for fjernidentifikasjon og biometriske metoder.
  Economic Crime Act 2022 opprettet et register for utenlandske eiere av eiendom.

3.3 Sveits

• Lov om bekjempelse av hvitvasking (AMLA)¹⁹,

• FINMA AMLA-forordningen (OBA-FINMA).
  Institusjoner må identifisere kunden og den reelle eieren, oppbevare data i 10 år, og rapportere mistenkelige transaksjoner til MROS.
  Sveits anvender også FATFs Travel Rule på kryptotransaksjoner¹.

3.4 Canada

• Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA)²⁰,

• tilsynsmyndighet: FINTRAC.
  KYC gjelder banker, betalingsleverandører, kasinoer og kryptoplattformer.
  Fjernidentifikasjon er tillatt (f.eks. Verified.Me).
  Personvern reguleres av PIPEDA²¹.

3.5 Australia

• Anti-Money Laundering and Counter-Terrorism Financing Act 2006²²,

• tilsynsmyndighet: AUSTRAC.
  Transaksjoner ≥ 10 000 AUD må rapporteres.
  I 2020 ble Westpac bøtelagt med 1,3 milliarder AUD for AML/KYC-brudd.

3.6 Singapore

• MAS Notice 626²³.
  Alle kunder og reelle eiere må identifiseres.
  SingPass fungerer som nasjonal digital identitet.
  Mistenkelige transaksjoner rapporteres til STRO.

4. Sammenlignende analyse

5. Teknologi og fjernidentifikasjon

Tilsynsmyndigheter godtar i økende grad fjernbasert KYC, forutsatt at:

1. sikkerhetsnivået tilsvarer fysisk identifikasjon,

2. databehandling er GDPR-kompatibel,

3. prosessen er sporbar og reviderbar.

ETSI TS 119 461-sertifiserte løsninger anerkjennes som AML-kompatible i EU.
API-baserte KYC-systemer og biometrisk autentisering blir nå globale standarder.

6. Ikke-finansielle sektorer

KYC/KYB-forpliktelser gjelder også for:

• kryptotjenesteleverandører (VASP),

• forsikring,

• spill og lotterier,

• eiendom,

• advokater og revisorer,

• luksusvarehandel,

• telekommunikasjon og digitale plattformer (f.eks. DAC7).

FATF understreker at hvitvaskingsrisiko ikke er begrenset til banksektoren¹.

7. Kostnader og effektivitet

Ifølge studier (Fenergo, Thomson Reuters):

• store finansinstitusjoner bruker 15–30 millioner USD årlig på KYC-prosesser,

• onboarding av bedriftskunder tar 2–5 måneder,

• mellom 2–5 % av verdens BNP stammer fortsatt fra hvitvaskingsaktiviteter²⁴²⁵.

Rammene er solide, men datastandardisering og internasjonalt samarbeid krever forbedring.

8. Konklusjon

• EU, USA, Storbritannia, Sveits, Canada, Australia og Singapore følger i stor grad FATFs internasjonale standarder.

• EU skiller seg ut med:

  1. bred sektorielt omfang,

  2. integrering av digital identitet (eIDAS),

  3. sterk databeskyttelse (GDPR),

  4. sentral tilsynsmyndighet (AMLA).

• Land utenfor EU utmerker seg ved streng håndhevelse (USA, Australia, Singapore) og avansert digital ID (Singapore).

• Den globale trenden peker mot: mindre anonymitet, mer transparens, automatisering og teknologisk kontroll.

Målet for regulatorer er å balansere effektiv AML-overvåkning med reduserte byrder for virksomheter og kunder.

Bestill en gratis KYC/KYB-konsultasjon på nett

Kilder / Fotnoter

Czy chcesz, żebym teraz przygotował baner realistyczny (kwadratowy) dla tej serii – z norweskim tytułem „KYC/KYB og lovverket – regelverk i EU og globalt”?

Footnotes

1. FATF, International Standards on Combating Money Laundering and the Financing of Terrorism, anbefalinger 10, 11, 24 (2023). ↩ ↩² ↩³

2. Direktiv (EU) 2015/849 (AMLD4), OJ L 141/73, 5.6.2015. ↩ ↩² ↩³ ↩⁴ ↩⁵

3. Direktiv (EU) 2018/843 (AMLD5), OJ L 156/43, 19.6.2018. ↩ ↩² ↩³

4. Direktiv (EU) 2018/1673 (AMLD6), OJ L 284/22, 12.11.2018. ↩ ↩²

5. EU-domstolen, forente saker C-37/20 og C-601/20, 22.11.2022. ↩

6. Forslag til forordning som oppretter Anti-Money Laundering Authority (AMLA), COM(2021) 421 final. ↩

7. GDPR, (EU) 2016/679, OJ L 119/1, 4.5.2016. ↩

8. Forordning (EU) 2023/1113, om opplysninger som følger penge- og kryptotransaksjoner (TFR). ↩

9. Forordning (EU) 2023/1114 – Markets in Crypto-Assets (MiCA). ↩

10. Forordning (EU) nr. 910/2014 (eIDAS). ↩

11. Forslag til eIDAS 2.0-forordning, COM(2021) 281 final. ↩

12. ETSI TS 119 461:2021; ETSI EN 319 401:2019. ↩

13. Bank Secrecy Act (31 U.S.C. §5311 ff.). ↩

14. USA PATRIOT Act, Pub. L. No. 107–56 (2001). ↩

15. FinCEN-regel, 31 CFR §1020.220 – Customer Identification Program. ↩

16. FinCEN-regel, 31 CFR §1010.230 – Customer Due Diligence. ↩

17. Corporate Transparency Act, 31 U.S.C. §5336 (2021). ↩

18. Money Laundering Regulations 2017, Storbritannia. ↩

19. Federal Act on Combating Money Laundering and Terrorist Financing (AMLA), SR 955.0, Sveits. ↩

20. Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA), Canada, 2000. ↩

21. PIPEDA, Canada. ↩

22. Anti-Money Laundering and Counter-Terrorism Financing Act 2006, Australia. ↩

23. Monetary Authority of Singapore (MAS) Notice 626, 2020. ↩

24. UNODC, Money Laundering Estimates, 2023. ↩

25. Fenergo, Global KYC/Onboarding Report 2022. ↩

Bestill en gratis KYC/KYB-konsultasjon på nett