Foreligger det en praksis som hemmer finansiell inkludering, global samhandling og samtidig innebærer utfordringer for personvernet?
I januar i år lanserte EBA en rapport som konkluderer med at europeiske finansinstitusjoner nekter å inngå eller avslutter forretningsforhold med enkeltkunder og kategorier av kunder på bakgrunn av høyere risiko for hvitvasking og terrorfinansiering; såkalt «de-risking». Foreligger det en praksis som hemmer finansiell inkludering, global samhandling og samtidig innebærer utfordringer for personvernet?
Et viktig samfunnsansvar
Omfanget av hvitvasking er ansett som vanskelig å fastslå, både i Norge og på verdensbasis. I Nasjonal Risikovurdering for hvitvasking og terrorfinansiering fra 2020, vises det til at omfanget av utbytte som hvitvaskes i Norge hvert år ikke er kjent, men at det årlig genereres store summer fra kriminalitet i Norge, og at det føres store summer inn til Norge fra kriminell virksomhet i utlandet. I 2019 ble det inndratt 185,4 millioner kroner i verdier og utbytte fra profittmotivert kriminalitet, men dette beløpet er antatt å være en brøkdel av utbytte fra kriminalitet. På verdensbasis anslår FNs kontor for narkotika og kriminalitet (UNODC) at mellom 2-5 % av verdens BNP blir hvitvasket hvert år, som utgjør mellom 715 milliarder og 1,87 billioner euro.
Det er ingen tvil om at hvitvasking er et globalt samfunnsproblem, og at hvitvaskingsregelverket, som har som formål å bekjempe og forhindre at det finansielle systemet misbrukes til hvitvasking, er en sentral del av innsatsen mot hvitvasking og profittgenererende kriminalitet. Finansinstitusjoners tiltak overfor kunder utgjør ikke bare en sentral del av den enkeltes institusjons opprettholdelse av egen integritet og regelverksetterlevelse, men spiller også en avgjørende rolle i samfunnets samlede bekjempelse av hvitvasking og dens sosiale og politiske kostnader.
Tilgang på finansielle tjenester og global samhandling
På den andre siden står et marked med legitime aktører som har behov for forutsigbarhet i tilgang til finansielle tjenester og ikke minst mulighet til å kunne utføre internasjonale transaksjoner som en del av sin globale virksomhet. Konsekvensene for enkeltaktører som på grunn av hvitvaskingsregelverket nektes tilgang til finansielle tjenester, også utover de rent grunnleggende, eller som plutselig nektes å gjennomføre transaksjoner med kontraktsparter, kan bli store. Det lokale og globale markedet består av både legitime aktører så vel som kriminelle, og det er ingen hemmelighet at kriminelle aktører benytter de mulighetene som foreligger for å forsøke å skjule illegitime formål under det som fremstår som legitim virksomhet. Finansinstitusjoner på sin side, er under stort press når konsekvensene i ettertid kan medføre enorme overtredelsesgebyrer og omdømmetap, i tillegg til at regelverket stiller krav som gjør det relativt kostbart for finansinstitusjoner å betjene enkelte kundegrupper. Men blir legitime aktører bærere av denne byrden når finansinstitusjoner tar beslutninger om å nekte forretningsforhold på bakgrunn av at risiko for hvitvasking anses for høyere, på grunn av eksempelvis bransjerisiko og geografisk risiko, og hva skyldes i så fall dette?
Hva er de-risking?
Hvitvaskingsregelverket pålegger finansinstitusjoner å identifisere og håndtere risiko for hvitvasking og terrorfinansiering, og finansinstitusjoner har både en rett og en plikt til å avvise nye kunder eller avvikle eksisterende kundeforhold dersom kundetiltak ikke kan gjennomføres. Det er imidlertid ikke tillat at enkeltkunder eller hele grupper og sektorer nektes finansielle tjenester utelukkende på grunn av en iboende risiko for hvitvasking (også for tjenester hvor det ikke foreligger kontraheringsplikt som eksempelvis retten til grunnleggende bank- og forsikringstjenester).
Den risikobaserte tilnærmingen som følger av regelverket, forutsetter at risiko skal håndteres og ikke uberettiget elimineres. Eliminering av risiko er også kalt «de-risking».
Likevel fremgår det av rapporten publisert av EBA (European Banking Authority) i januar i år, at de-risking forekommer på tvers av landene i EU/EØS og sektorer, og at dette påvirker ulike typer av kunder av finansielle tjenester og visse kategorier av individer eller enheter som kan assosieres med høyere hvitvaskings- og terrorfinansieringsrisiko. Noen eksempler er ideelle organisasjoner og aktører innen spesifikke bransjer hvor risikoen for hvitvasking generelt er ansett som høyere på grunn av karakteristika i bransjen. Konsekvensene har variert fra å bli nektet åpning av bankkonto, problemer med eksisterende kontoer som store forsinkelser i kontantoverføringer i visse jurisdiksjoner, nektelse av lån og kredittkort, høyere avgifter, frysing av kontoer, og i ekstreme tilfeller terminering av kontoer og kundeforhold. Aktørene selv oppfatter at dette er relatert til forhøyet hvitvaskings- eller terrorfinansieringsrisiko, eller risiko relatert til brudd på FN, EU og amerikanske sanksjonsregler i visse jurisdiksjoner. De virksomhetsrettede konsekvensene for de berørte meldes å ha vært store; færre finansinstitusjoner aksepterer forretningsforhold med dem, kontraktsrettede erstatningskrav eller bøter oppstår på grunn av forsinkede betalinger, alvorlig forretningsstans og potensielt også nedleggelse. Det er ytterligere utfordrende at slike beslutninger fra finansinstitusjoner sjeldent kommer med begrunnelser, noe som naturlig nok henger sammen med et velbegrunnet og nødvendig forbud mot å avsløre undersøkelser og rapportering av mistenkelige forhold relatert til hvitvasking og terrorfinansiering, men dette aspektet gjør det særlig vanskelig for legitime, berørte aktører å forstå hva som kreves, hvilke rettigheter som foreligger og hvordan man skal innrette seg for å kunne ivareta egen virksomhet.
EBA identifiserte blant annet gjennom sine undersøkelser at primærårsakene til beslutninger som medfører de-risiking er kombinerte. Dette inkluderer situasjoner hvor hvitvaskings- og terrorfinansieringsrisiko eller omdømmerisiko blir ansett for å overskride finansinstitusjonenes risikotoleranse, hvor finansinstitusjonene mangler relevant kunnskap eller ekspertise for å vurdere risiko tilknyttet spesifikke forretningsmodeller og hvor den reelle eller forventede kostnaden for å gjennomføre nødvendige risikoreduserende tiltak overstiger fortjenesten.
Det totale omfanget og virkningen av de-risiking innenfor ulike kategorier av kunder varierer og er vanskelig å fastslå, men som EBA viser til i sin rapport, vil de-risiking generelt kunne føre til finansiell ekskludering. Dette er bekymringsfullt ettersom tilgang til finansielle produkter og tjenester er en forutsetning for å kunne delta i den moderne, økonomiske verdenen og for å fremme deltakelse, innovasjon og konkurranse i markedet. I tillegg til finansiell ekskludering, og kanskje ironisk nok, kan hemme de-risiking også forebyggingen av økonomisk kriminalitet ettersom risikoen ikke imøtegås og håndteres, men rett og slett fjernes fra den enkelte finansinstitusjon. Kunder blir da tvunget til å finne andre løsninger og gå gjennom andre kanaler som blant annet omfatter finansielle tjenester fra land utenfor EU og bruk av kontanter som midlertidige løsninger hvor deteksjon og rapportering av mistenkelige transaksjoner og forebygging av hvitvasking og terrorfinansiering blir vanskeligere.
Hva med andre grunnleggende rettigheter og personvernsaspektet?
Finansinstitusjoner har et legitimt behov for å behandle personopplysninger ved gjennomføring av tiltak for å kjenne kunden og foreta risikoklassifisering av kunder, og hvitvaskingsregelverket inneholder hjemler til dette. Samtididig vil være gråsoner hvor det kan reises spørsmål om hvor langt hjemmelen strekker seg hva gjelder omfang, og hvitvaskingsregelverkets krav er generelt lite omtalt i relasjon til andre regelverk slik som personvernregelverket. Det er for eksempel ikke uvanlig at det som ledd i risikoklassifisering av kunder gjennomføres såkalte «adverse media»-søk for å innhente informasjon om kunden, hvor finansinstitusjoner blant benytter åpne kilder på internett som kan innbefatte gamle nyhetssaker, negativ omtale eller lignende. I slike tilfeller vil finansinstitusjoner i sin vurdering av risiko kunne vektlegge negativ medieomtale knyttet til påstander om straffbare handlinger eller lignende utført av personer med en relasjon til den aktuelle kunden, som det ikke kan utelukkes at bygger på ufullstendig faktum, utdatert informasjon og lite legitime kilder. Det vil kunne gå både på bekostning av særskilte grunnelementer som retten til å bli glemt etter personvernregelverket og uskyldspresumsjonen i strafferetten, og dersom det fører til de-risking får det som vist ytterligere konsekvenser.
Retten til å bli glemt, harmonerer også godt med rehabiliteringsprinsippet i strafferetten og det er betimelig å stille spørsmål ved hvor lenge informasjon om tidligere ulovlige handlinger skal kunne tillegges vekt i denne sammenheng med tanke på konsekvensene.
Retten til å bli glemt gjelder imidlertid ikke ubegrenset, alvorligheten ved forholdet og hvor lang tid som er gått siden handlingen vil kunne være avgjørende elementer for om rettigheten skal kunne påberopes. Dette vil det imidlertid være utfordrende for finansinstitusjonene å vurdere uten veiledende retningslinjer og konsekvensen kan være at foreldede og uriktige personopplysninger legges til grunn for risikoklassifiseringen og fører til de-risiking, noe som også vil kunne være et brudd på personvernforordningen.
Bør det være mer søkelys på den enkelte kundens ansvar?
Kunder av finansielle tjenester har selv et ansvar for å etterleve strafferettslige forbud mot hvitvasking og terrorfinansiering, samt krav om etterlevelse av sanksjonsregelverk. Dette vil i praksis bety at den enkelte virksomhet også på sin side må gjøre de nødvendige vurderinger av egen risikoeksponering i denne sammenheng, og utføre due diligence på leverandører, kontraktsmotparter og samarbeidsparter.
Den enkelte kunde bør slikt sett kunne redegjøre for og dokumentere at de innehar den nødvendige kunnskapen, forutsetning og interne kontrollmekanismer som kreves for å operere i sektorer, bransjer eller land som innebærer en høy iboende risiko.
Regelverket stiller krav til vurderinger og handlinger som gjør det relativt sett kostbart for finansinstitusjoner å betjene enkelte kundegrupper, og generelt er det heller ikke ønskelig at prisen på finansielle tjenester skal gå opp. Slik kan det stilles spørsmål ved om det er finansinstitusjonene som skal være bærere av både ansvaret og kostnadene, eller om kundene selv også bør ta et større ansvar sett i lys av plikten til å håndtere egen risikoeksponering. Det enkleste eksemplet er nok etterlevelse av sanksjonsregelverket som gjelder like fullt for den enkelte kunde som for finansinstitusjonene. Kunden bør da selv ha en plikt til å sette seg inn i rettslige krav og gjøre de nødvendige undersøkelser knyttet til sin forretningsvirksomhet. Vanskeligere er det nok når det gjelder hvilke krav som skal stilles til den enkelte kunde når det gjelder forventninger til håndtering av egen hvitvaskings- og terrorfinansieringsrisiko, og hvor dette arbeidet kan bidra til å skape større transparens overfor finansinstitusjonen for å unngå de-risking.
Finnes det løsninger som kan skape større forutsigbarhet?
I desember i fjor ble lederne for både det norske og danske finanstilsynet sitert i Financial Times på at regelverk for finansinstitusjoner har blitt stort og komplekst, og at man risikere å gå seg vill i detaljene i motsetning til å tenke på hva den reelle risikoen er. Selv om dette var kommentarer som ikke gjaldt hvitvaskingsregelverket spesifikt, er det verdt å stille spørsmål ved om akkurat det samme kunne vært sagt spesifikt for hvitvaskingsregelverket. Personvernregelverket oppfattes også ofte som utfordrende materie.
Finansinstitusjoner blir etter hvitvaskingsregelverket pålagt å håndtere risiko ut fra en «risikobasert tilnærming», men selv om regelverket inneholder en del konkrete og forutsigbare krav, blir institusjonene også i stor grad overlatt til seg og sine egne vurderinger, særlig innenfor områder hvor det foreligger gråsoner. I tillegg er det også stor variasjon innen finansinstitusjoner, både hva gjelder størrelse, tjenester og modenhet, hvilket kan påvirke evnen til å håndtere komplekse og vanskelige vurderinger. Erfaringer man kan ta meg seg etter tre år med et strengere hvitvaskingsregelverk og en rekke tilsyn, er at regelverket er utfordrende, at finansinstitusjoner har vært under lupen for manglende etterlevelse (og har blitt ilagt overtredelsesgebyr), og at norske aktører som opererer globalt har opplevd utfordringer hva gjelder tilgang på finansielle tjenester.
Det er ingen tvil om at finansinstitusjoner er under stort press når konsekvensene av å ikke ha begrenset finansielle tjenester i ettertid kan medføre enorme overtredelsesgebyrer og omdømmetap.
Vanskeligst er de tilfellene hvor legitime virksomheter nektes adgang til finansielle tjenester på bakgrunn av hvitvaskingsregelverket fordi finansinstitusjonene ikke klarer å fastslå med sikkerhet at en kunde driver legitimt, eller må ta en stor kostnad sett i lys av inntjening på kunden.
Finansinstitusjonene har på dette området også tilsvarende utfordringer sett fra et personvernrettslig ståsted; det er utfordrende å avgjøre hvilke personopplysninger man kan legge vekt på og hvor langt tilbake i tid kan man gå uten å bryte grunnleggende personvernprinsipper. Resultatet er at finansinstitusjoner også kan risikere at personvernregelverket brytes i arbeidet med å oppfylle hvitvaskingsregelverket og med samme konsekvens; de-risking, som vil være i strid med begge regelverk.
Et betimelig spørsmål her er hvilken rolle lovgiver og tilsynsmyndigheter har i det å sikre veiledning til finansinstitusjonene på lovforståelse slik at man begrenser ulik lovtolkning og praksis. Skal det være utelukkende opp til finansinstitusjonene å kartlegge grensedragningene, og da også muligens på bekostning av enkeltkunder som blir ofre for «grensetestingen»?
EBA konkluderer også i sin rapport at de-risking har en klar negativ innvirkning som tilsier handling, og at det foreligger flere områder hvor kompetente myndigheter kan gjøre mer for å hjelpe finansinstitusjoner og deres kunder for å fremme finansiell inkludering som legger til rette for at legitime aktører får tilgang på finansielle tjenester og forhindre uberettiget de-risiking. Det trekkes blant annet frem at myndighetene kan engasjere seg mer aktivt med både finansinstitusjonene og kundene som er spesielt berørt av de-risking for å øke bevisstheten om rettigheter og ansvar for begge parter, og konkretisere mer hva som kan gjøres på begge sider for å tilrettelegge for legitime kunders tilgang på det finansielle markedet. Kanskje Finanstilsynet og Datatilsynet burde innlede et samarbeid?