Formålet med å gjennomføre kundetiltak er at rapporteringspliktige skal kjenne sine kunder. Når en kjenner identiteten til kunden og kundeforholdets formål, kan en iverksette risikobaserte tiltak for å forebygge og avdekke hvitvasking og terrorfinansiering.
Situasjoner som krever kundetiltak
De som tilbyr lotteri og pengespill skal gjennomføre kundetiltak i følgende situasjoner:
- Ved etablering av kundeforhold.
- Ved transaksjoner over 16 000 kroner (enten innskudd eller gevinst) dersom kunden ikke har et kundeforhold. Merk at beløpsgrensen beregnes samlet for transaksjoner som gjennomføres i flere operasjoner, men ser ut til å ha en sammenheng.
- Ved mistanke om hvitvasking eller terrorfinansiering.
Kundetiltakene skal gjennomføres før etablering av kundeforholdet eller ved gjennomføring av den enkeltstående transaksjonen, jf. hvitvaskingsloven § 11.
Kundetiltakene består av følgende plikter:
- Kartlegge og bekrefte kundens identitet (legitimasjonskontroll).
- Kartlegge kundeforholdets eller transaksjonens formål og tilsiktede art.
- Avgjøre om kunden er en politisk eksponert person (PEP).
- Bekreftelse av identitet
Rapporteringspliktige skal som utgangspunkt hente inn og bekrefte kundens identitet ved personlig fremmøte og fremvisning av gyldig legitimasjon, jf. hvitvaskingsloven § 12 annet ledd. Kravet om å bekrefte kundens identitet er ufravikelig. I tillegg til informasjon bekreftet ved identifikasjon, skal den rapporteringspliktige innhente kundens adresse. Omfanget og intensiteten av kundetiltaket, er imidlertid risikobasert.
Fysisk legitimasjon
Hvitvaskingsforskriften § 4-3 regulerer kravene til gyldig legitimasjon for fysiske personer. Gyldig legitimasjon for fysiske personer er etter Lotteritilsynets oppfatning:
- Norske og utenlandske pass (ikke nødpass).
- Norsk førerkort.
- Norsk bankkort med bilde.
- Nasjonale ID-kort utstedt av et EØS-land (en oversikt over disse fremgår av utlendingsforskriften vedlegg 4).
- Norsk utlendingspass (blått pass).
- Norsk reisebevis for flyktninger (grønt pass).
- Elektronisk legitimasjon i henhold til hvitvaskingsforskriften § 4-3 fjerde ledd.
Dokumentet må være gyldig. Det vil si at den ikke kan være utgått på dato ved fremleggelsen. Ved personlig oppmøte må legitimasjonsdokumentet fremlegges i original.
Nærmere bestemmelser om elektronisk legitimasjon er gitt i hvitvaskingsforskriften § 4-3 fjerde ledd.
Elektronisk legitimasjon jf. forskriftens § 4-3 fjerde ledd er likestilt med personlig fremmøte og fremvisning av gyldig legitimasjon i original ved etablering av kundeforhold. Det må imidlertid gjøres en risikobasert tilnærming om det er nødvendig å fremlegge ytterligere dokumentasjon.
Kundetiltak utført av andre
Rapporteringspliktig for de som tilbyr lotteri og pengespill kan legge til grunn kundetiltak utført av noen utvalgte rapporteringspliktige, se opplisting i hvitvaskingsloven § 22. Et eksempel på dette er at kunder kan ha opprettet BankID med en bank. Legitimasjonskontrollen som ble gjennomført i forbindelse med opprettelse av BankID, kan spilltilbydere legge til grunn.
I henhold til hvitvaskingsforskriftens § 4-12 kan foretak med tillatelse til å yte spilltjenester etter pengespilloven og totalisatorloven legge til grunn kundetiltak utført av andre med tilsvarende tillatelser etter pengespilloven og totalisatorloven. Tilbydere av spilltjenester med tillatelse etter lotteriloven, kan legge til grunn kundetiltak utført av foretak med tillatelse til å yte spilltjenester etter pengespilloven og totalisatorloven.
Dersom kundetiltak utført av tredjepart legges til grunn, har likevel de som tilbyr spill et ansvar for at kundetiltakene er gjennomført i henhold til hvitvaskingsloven, samt at opplysningene registreres og lagres tilsvarende som når kundetiltakene gjennomføres av spilltilbyderne selv, jf. hvitvaskingslovens § 22 annet ledd.
Politisk eksponert person (PEP)
Hvilke stillinger og verv som medfører at en fysisk person anses som PEP er uttømmende listet opp i hvitvaskingslovens § 2 bokstav f.
Som ett av de generelle kundetiltakene rapporteringspliktige må gjennomføre ved etablering av kundeforhold og ved løpende oppfølging av kunden er å ha «systemer» for å avgjøre om relevante personer er PEP.
Omfanget og arten i undersøkelsene av om det foreligger PEP-er må avgjøres basert på en risikobasert vurdering.
Spørsmål til kunden
De rapporteringspliktige må minimum innhente en egenerklæring fra kunden hvor det spørres kunden om en PEP er involvert i kundeforholdet.
Kunden må spørres på en slik måte at det er mulig for kunden å forstå hva spørsmålet gjelder og hvordan en PEP er definert. Rapporteringspliktige kan benytte egenerklæringer ved etablering av kundeforholdet.
Screening/lister
Rapporteringspliktige plikter ikke å benytte kommersielle lister for screening av politisk eksponerte personer, og identifiseringen av PEP-er kan ofte gjøres ved søk i åpne kilder.
Andre tiltak
Etter en risikovurdering kan det være nødvendig med ytterligere tiltak utover å spørre kunden. Det kan eksempelvis benyttes åpne kilder, som internettsøk, eller å kontakte utenlandske myndigheter for klargjøring av faktiske forhold.
Tidspunkt for undersøkelse
Plikten til å avgjøre om det foreligger et PEP-kundeforhold inntreffer før etablering av kundeforhold etter hvitvaskingsloven § 10 annet ledd bokstav a, eller utføring av transaksjonen etter samme bestemmelse bokstav b. Det samme gjelder hvis det foreligger mistanke om hvitvasking eller terrorfinansiering.
Løpende oppfølging
Rapporteringspliktige skal etter en risikobasert tilnærming gjennomføre løpende oppfølging for å undersøke om relevante personer har blitt PEP eller fått tilknytning til PEP etter loven. For større virksomheter med mange kunder bør kundemassen kontrolleres for PEP-er månedlig eller oftere.
I tillegg til gjennomgang med jevnlige intervaller bør rapporteringspliktige gjennomgå kundebasen sin ved offentlige hendelser hvor det er normalt gjøres endringer i hvem som kan anses som PEP, eksempelvis ved stortingsvalg, utnevning av regjeringsmedlemmer og relevante utnevnelser i statsråd.