Våren 2015 vedtok EU et nytt hvitvaskingsdirektiv, det fjerde hvitvaskingsdirektiv. Det nye i dette direktivet er at også spillselskap omfattes av reglene. EUs fjerde hvitvaskingsdirektiv er inkorporert i Norge gjennom hvitvaskingsloven, som trådte i kraft 15. oktober. Denne loven opphever den tidligere hvitvaskingsloven fra 2009. Etter hvitvaskingsloven skal Lotteritilsynet føre tilsyn med reglene på spillområdet.

Vi har også laget en overordnet sjekkliste over hvilke krav spillselskapene må overholde.

Lover og regler

Hvitvasking er å sikre utbytte fra straffbar handling. For at utbyttet skal kunne tas i bruk av gjerningspersonene, må det integreres i den legale økonomien. Formålet med hvitvasking er derfor å få det til å se ut som om utbyttet er ervervet på lovlig måte, samt å skjule dens illegale opprinnelse.
Utbytte fra straffbar handling kan for eksempel være penger generert fra organisert kriminalitet, som narkotikahandel, menneskesmugling og våpensmugling, ransutbytte, penger tilegnet gjennom underslag, skatteunndragelse, bedrageri, misbruk av selskapsformer, innsidehandel eller korrupsjon.

Hvitvasking er definert i hvitvaskingsloven § 2 bokstav a.

Definisjonen av hvitvasking er knyttet opp mot straffebudene om heleri og hvitvasking i straffeloven §§ 332 og 337.

For mer detaljer, se Prop. 40 L (2017-2018) kapittel 3.3.5.1.

Terrorfinansiering betyr å gi økonomisk støtte til terrorisme. Det handler ikke bare om å bidra med penger. Å samle, gi og motta penger som skal brukes til terrorisme, vil være terrorfinansiering.

Terrorisme finansieres ofte med penger som er lovlig ervervet. Dette gjør at det er spesielt vanskelig å avdekke.

Terrorfinansiering er definert i hvitvaskinsloven § 2 bokstav b.

Definisjonen av terrorfinansiering er knyttet opp mot straffebudene om terrofinansiering og deltakelse mv. i en terrororganisasjon i straffelovens §§ 135 og 136a.

For mer detaljer, se Prop. 40 L (2017-2018) kapittel 3.3.5.2.

Hvitvaskingsloven har til formål å forebygge og avdekke hvitvasking og terrorfinansiering. Ny hvitvaskingslov trådte i kraft i oktober 2018.

Gjeldende hvitvaskingslov gjennomfører store deler av EUs fjerde hvitvaskingsdirektiv. I tillegg innebærer loven at Norge implementerer en rekke av Financial Action Task Forces (FAFT) 40 anbefalinger om tiltak mot hvitvasking og terrorfinansiering. Dette innebærer oppdatering og innstramming av regelverket på sentrale punkter. En viktig nyhet i den nye hvitvaskingsloven er at også spilltilbydere omfattes av reglene og er rapporteringspliktig etter regelverket.

Tiltakene i hvitvaskingsloven skal beskytte det finansielle systemet ved å forebygge at rapporteringspliktige brukes eller forsøkes brukt som ledd i hvitvasking eller terrorfinansiering.

I henhold til ny hvitvaskingslov er alle fysiske og juridiske personer som arrangerer spill som krever tillatelse etter lotteriloven, pengespilloven eller totalisatorloven omfattet av regelverket. Når en entreprenør arrangerer lotteri på vegne av en organisasjon eller forening (for eksempel i forbindelse med bingo), anses entreprenøren som tilbyder av spilltjenesten. Se hvitvaskinsloven § 4 annet ledd bokstav g, jf. § 2 bokstav k.

Dette innebærer at Norsk Tipping, Stiftelsen Norsk Rikstoto, tilbydere av lotterier, bingoentreprenører, tilbydere av spill på skip og arrangører av NM i turneringspoker omfattes av lovforslaget.

EUs fjerde hvitvaskingsdirektiv åpner for at ulike land, på bakgrunn av en risikovurdering, kan bestemme at hvitvaskingsregelverket, helt eller delvis, ikke skal gjelde for enkelte tilbydere av spilltjenester. Merk at tilbydere av spilltjenester ikke selv kan bestemme unntak på bakgrunn av egen risikovurdering av sine produkt.

Etter ny hvitvaskingslov er lotterier som etter lotteriloven ikke krever godkjennelse ikke omfattet av regelverket. Dette innebærer at blant annet smålotterier, kakelotterier og basarer faller utenfor hvitvaskingslovens anvendelsesområde jf. lotteriloven § 7 jf. § 5 annet ledd og forskrift om lotteritilsynet og lotteriregister mv. §§ 5-1 og 5-2. Nærmere om dette i Prop. 40 L (2017-2018) kapittel 3.4.16.5.

Risikobasert tilnærming

Hvitvaskingsloven krever at rapporteringspliktige skal ha en risikobasert tilnærming, for å hindre at egen virksomhet brukes til hvitvasking og terrorfinansiering. Dette betyr at det iverksettes mer omfattende tiltak og føres tettere tilsyn med produkter, situasjoner og kunder som anses å innebære en høy risiko for hvitvasking og terrorfinansiering.  Omfanget av slike tiltak kan reduseres dersom risikoen anses å være lav.

Rapporteringspliktige er pålagt å utarbeide risikovurderinger av egen virksomhet, som skal danne grunnlaget for etablering av rutiner i virksomheten. Omfanget av utførte tiltak må være tilpasset den konkrete risiko for hvitvasking og terrorfinansiering.

Rapporteringspliktige skal gjennomføre hensiktsmessige tiltak, for å identifisere og vurdere risikoen for at virksomheten misbrukes til hvitvasking og terrorfinansiering.

Risikoen skal vurderes ut fra hva slags kunder virksomheten har, geografiske faktorer, type produkter og tjenester, og hva slags transaksjoner det er snakk om. Rapporteringspliktige skal også vurdere risikoen for hvitvasking og terrorfinansiering i forbindelse med utvikling av nye produkter og bruk av ny teknologi. Arten og omfanget av risikovurderingene skal tilpasses virksomhetens art og størrelse.

Ved gjennomføring av risikovurderinger må rapporteringspliktig:

1. Ha kunnskap om hvitvasking og terrorfinansiering
Kunnskap om hvitvasking og terrorfinansiering er en nødvendig underliggende forutsetning for å kunne vurdere om deres virksomhet kan misbrukes av kriminelle.

2. Kjenne egen virksomhet
Bruke kunnskapen om hvitvasking og terrorfinansiering til å identifisere hvordan virksomhetens produkter, tjenester, leveringsmåte og transaksjoner kan misbrukes til slike formål.

3. Kjenne sine kunder
Kartlegge sine kundegrupper og stille seg spørsmål som:

  • Hvordan kan min virksomhet misbrukes til hvitvasking og terrorfinansiering?
  • Hva slags produkter/tjenester tilbyr jeg som kan benyttes til hvitvasking eller terrorfinansiering?
  • Hvilke kundegrupper innebærer risiko for hvitvasking og terrorfinansiering?

Risikovurderingene skal dokumenteres, oppdateres jevnlig og stilles til rådighet for tilsynsmyndigheten. Dokumentasjonen skal være tilstrekkelig til å vise grunnlaget for vurderingene.

Alle rapporteringspliktige må utarbeide rutiner som effektivt håndterer identifiserte risikoer for hvitvasking og terrorfinansiering. Rutinene skal beskrive hvordan rapporteringspliktige skal implementere samtlige av hvitvaskingslovens tiltak.

Formålet med rutinene er å integrere arbeidet med å forebygge og avdekke hvitvasking og terrorfinansiering i den daglige driften hos de rapporteringspliktige.

Forpliktelsen omfatter

  • risikohåndtering.
  • kundetiltak.
  • løpende oppfølging.
  • undersøkelse og rapportering.
  • registrering og lagring av personopplysninger og dokumenter

Rutinenes omfang skal være tilpasset arten og størrelsen på rapporteringspliktiges virksomhet og sees i lys av risikoen for at virksomheten misbrukes til hvitvasking eller terrorfinansiering.

Rutinene skal dokumenteres, oppdateres jevnlig og stilles til rådighet for tilsynsmyndigheten. Rutinene skal være fastsatt på øverste nivå hos den rapporteringspliktige og det skal utpekes en person i ledelsen med ansvar for å følge opp rutinene.

Kundetiltak

Formålet med å gjennomføre kundetiltak er at rapporteringspliktige skal kjenne sine kunder. Når en kjenner identiteten til kunden og kundeforholdets formål, kan en iverksette risikobaserte tiltak for å forebygge og avdekke hvitvasking og terrorfinansiering.

Spilltilbydere skal gjennomføre kundetiltak i følgende situasjoner:

  • Ved etablering av kundeforhold.
  • Ved transaksjoner over 16000 kroner (enten innskudd eller gevinst) dersom kunden ikke har et kundeforhold.

MERK: Beløpsgrensen beregnes samlet for transaksjoner som gjennomføres i flere operasjoner, men ser ut til å ha en sammenheng.

  • Ved mistanke om hvitvasking eller terrorfinansiering.

Dette reguleres i hvitvaskingslovens § 10 og omtales i Prop. 40 L (2017-2018) kapittel 5 flg.

Kundetiltakene består av følgende plikter:

  • Kartlegge og bekrefte kundens identitet (legitimasjonskontroll).
  • Kartlegge kundeforholdets eller transaksjonens formål og tilsiktede art.
  • Avgjøre om kunden er en politisk eksponert person (PEP).

Omfanget av kundekontroll skal tilpasses risikoen for hvitvasking og terrorfinansiering som kundeforholdet/transaksjonen representerer. Rapporteringspliktige må derfor alltid vurdere kundens risiko og bestemme en risikoprofil for kunden.

Ved lav risiko, kan enkelte krav lempes (forenklet kundetiltak se hvitvaskingsloven § 16). Ved høy risiko, skal rapporteringspliktige iverksette ytterligere kundetiltak (forsterkede kundetiltak se hvitvaskingslovens § 17). Når kunden er en PEP, skal rapporteringspliktige alltid foreta forsterket kundetiltak (se hvitvaskingsloven § 18).

Rapporteringspliktige spilltilbydere kan legge til grunn kundetiltak utført av noen utvalgte rapporteringspliktige, se opplisting i hvitvaskingsloven § 22. Et eksempel på dette er at kunder kan ha opprettet BankID med en bank. Den legitimasjonskontrollen som ble gjennomført i forbindelse med opprettelse av BankID, kan spilltilbydere legge til grunn.

I henhold til hvitvaskingsforskriftens § 4-12 kan foretak med tillatelse til å yte spilltjenester etter pengespilloven og totalisatorloven legge til grunn kundetiltak utført av andre med tilsvarende tillatelser etter pengespilloven og totalisatorloven. Tilbydere av spilltjenester med tillatelse etter lotteriloven, kan legge til grunn kundetiltak utført av foretak med tillatelse til å yte spilltjenester etter pengespilloven og totalisatorloven.

Adgangen til å legge til grunn kundetiltak utført av utenlandsk tilbyder følger av hvitvaskingsforskriften § 4-12 annet ledd.

Dersom kundetiltak utført av tredjepart legges til grunn har likevel spilltilbyderne et ansvar for at kundetiltakene er gjennomført i henhold til hvitvaskingsloven, samt at opplysningene registreres og lagres tilsvarende som når kundetiltakene gjennomføres av spilltilbyderne selv, jf. hvitvaskingslovens § 22 annet ledd.

Hvitvaskingsloven krever videre at rapporteringspliktige gjennomfører løpende kontroll av kundeforholdet. Dette innebærer blant annet at transaskjonen som utføres som en del av kundeforholdet er i samsvar med de opplysningene en har om kunden, kundens risikoprofil og kundeforholdets formål og tilsiktede art, se hvitvaskingsloven § 24.

 

Kundeforhold

Med kundeforhold menes en forretningsmessig forbindelse som har, eller når kontakten etableres, forventes å ha en viss varighet.

Det handler altså ikke om mer uformelle relasjoner. For eksempel at en kunde leverer inn ett spill eller køper ett lodd hos en spilltilbyder, og det på kjøpstidspunktet ikke forventes at det opprettes en varig kunderelasjon.

Kundeforhold opprettes dersom en kunde oppretter en spillerkonto/spillerkort hos Norsk Tipping og Norsk Rikstoto. Et kundeforhold kan også oppstå dersom noen spiller regelmessig hos en spilltilbyder, selv om kunden ikke har en spillerkonto, spillerkort eller lignende. Hvor grensen går, må vurderes av spilltilbyderen i hvert enkelt tilfelle.

Samlet beregning av transaksjoner som antas ha sammenheng

Et eksempel på når det skal foretas en samlet beregning av flere transaksjoner, er når kunder kjøper spill/lodd flere ganger hos en spilltilbyder innenfor et snevert tidsrom. Loven stiller ikke opp noen krav eller gir noen veiledning hva som ansees som «flere ganger» eller «innenfor et snevert tidsrom».

Å identifisere hvilke transaksjoner som er relatert til hverandre, kan i noen tilfeller være vanskelig. Spilltilbyderen må selv vurdere dette, blant annet på grunnlag av hvordan spillproduktet normalt blir brukt og annen informasjon som er tilgjengelig om de aktuelle transaksjonene.

Politisk eksponert person (PEP)

Dette er en person som har eller har innehatt et høytstående offentlig verv eller stilling i en stat eller internasjonal organisasjon, for eksempel stats- og regjeringssjefene, statsråder, dommere i Høyesterett eller i ledelsen av en internasjonal organisasjon, som for eksempel FN.

Definisjon av PEP fremkommer av hvitvaskingslovens § 2 bokstav f. Her er det en opplisting av hvilke verv/stillinger som omfattes.

En PEP anses, gjennom sin stilling og innflytelse, i seg selv utgjøre en fare for å bli utnyttet til  korrupsjon. Hvitvaskingsloven gir derfor spesielle regler for kontroll og håndtering av disse personene, se lovens § 18. Tilsvarende krav gjelder overfor nære familiemedlemmer og kjente medarbeidere av politisk eksponerte personer

Spesielle regler for PEP’er:

  • Alltid foreta forsterkede kundetiltak.
  • Opprettelse av kundeforhold skal godkjennes av overordnet.
  • Ved opprettelse av kundeforhold skal en gjennomføre tilstrekkelig tiltak for å fastslå formuens og midlenes opprinnelse.

Disse tiltakene skal gjennomføres overfor PEP’er i minst ett år etter at de har avsluttet sin stilling eller verv, som gjør at de faller inn under denne kundegruppen.

Kundeforholdets eller transaksjonens formål og tilsiktede art

For å kunne vurdere kundeforholdets formål og tilsiktede art, er det viktig at spilltilbyderne innhenter tilstrekkelig med informasjon av kundene. Spilltilbyderen bør derfor finne ut hvordan kunden har til hensikt å bruke spilltilbudet.

Loven regulerer ikke hva som kreves for å kartlegge kundeforholdets eller transaksjonens formål og tilsiktede art. Nivået på hva som kreves vil måtte avgjøres etter en risikovurdering for hvitvasking eller terrrorfinansiering (høy risiko krever mer kartlegging).

Forenklede kundetiltak

Forenklede kundetiltak kan gjennomføres der det er identifisert en lavere risiko for hvitvasking enten av myndighetene eller av spilltilbyderen.

Etter hvitvaskingslovens § 16 kan det stilles lempeligere krav til bekreftelse av identitet, og til kartlegging av kundeforholdets eller transaksjonens formål og tilsiktede art.

Det åpnes ikke opp for å kunne stille lempeligere krav til innhenting av opplysninger om identitet.

FATF har gitt eksempler på forenklede tiltak, se Prop. 40 L (2017-2018) kapittel 5.5.3.

Forsterket kundetiltak

Forsterkede kundetiltak skal gjennomføres der det er identifisert høy risiko for hvitvasking eller terrorfinansiering. Overfor PEP’er skal det alltid gjennomføres forsterkede kundetiltak.

Etter § 11 skal rapporteringspliktig iverksette «ytterligere» tiltak for å sikre kjennskap til kunden. Loven har ingen generell regel hva forsterkede kundetiltak er. Her kan en få støtte i FATFs anbefalinger, se NOU 2 s. 91.

FATF har gitt eksempler på forsterkede tiltak, se Prop. 40 L (2017-2018) kapittel 5.6.3.

Undersøkelse, rapportering og behandling av personopplysninger

Rapporteringspliktig har undersøkelsesplikt når det avdekkes forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering. Dette innebærer at rapporteringspliktig har en undersøkelsesplikt dersom det blir avdekket avvik fra normal kundeadferd.

Rapporteringspliktig kan stille seg følgende spørsmål ved vurdering av om undersøkelsesplikten inntrer:

  • Er det forhold som kan indikere at virksomheten blir forsøkt brukt, brukes eller er blitt brukt som ledd i hvitvasking?

Forhold som kan indikere dette er eksempelvis at en transaksjon synes å mangle et legitimt formål, er usedvanlig stor og kompleks osv. jf. hvitvaskingslovens § 25.

Terskelen for at undersøkelsesplikten utløses er lav.

Mistanke om at midler har tilknytning til utbytte av straffbar handling eller terrorfinansiering skal rapporteres.

Rapporteringspliktig skal sende opplysninger til Økokrim dersom undersøkelser avdekker forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering.

Rapporten som sendes til Økokrim skal inneholde opplysninger om alle forhold som medfører mistanke.

Det skal rapporteres gjennom Altinn-skjema «MT-0002 Rapport om mistenkelige transaksjoner».

Rapporteringspliktig har plikt til å gi nødvendige tilleggsopplysninger til Økokrim ved forespørsel.

Det er forbudt for rapporteringspliktig å avsløre at det er rapportert og iverksatt undersøkelser av en kunde.

Rapporteringsplikten er regulert i hvitvaskingslovens § 26.

Det stilles krav til rapporteringspliktig om vern av personopplysninger. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Dette gjelder opplysninger og vurderinger som både direkte og indirekte kan identifisere en fysisk person.

Behandling av personopplysninger omfatter enhver bruk av personopplysninger. Eksempler på bruk av personopplysninger er innsamling, registering, sammenstilling, lagring og utlevering eller en kombinasjon av ulike bruksmåter.

Det er bare personopplysninger som er relevante for formålet som kan behandles. Personopplysninger kan bare lagres så lenge det er nødvendig ut fra formålet om å forebygge og avdekke hvitvasking og terrorfinansiering. Det stilles krav til internkontroll og informasjonssikkerhet hos den som behandler personopplysninger.

Nye kunder skal motta informasjon fra rapporteringspliktig om forpliktelsene de har til å behandle personopplysninger etter hvitvaskingsregelverket.

Krav til oppbevaring og sletting av opplysninger og dokumenter:

  • Oppbevare alle registrerte opplysninger.
  • Oppbevare kopier av dokumenter som er benyttet i forbindelse med kundekontroll.
  • Oppbevare opplysninger og dokumenter på en betryggende måte og beskyttes mot uautorisert tilgang.
  • Oppbevare opplysninger og dokumenter i fem år etter kundeforholdet er avsluttet eller transaksjonen er utført.
  • Slette opplysninger og dokumenter etter fem års fristen er utløpt dersom fortsatt lagring ikke er strengt nødvendig (myndighetsvurdering).

Behandling av personopplysninger er regulert i hvitvaskingslovens kapittel 6.

Internkontroll

Rapporteringspliktig skal etablere interne kontroller som avdekker svakheter og identifiserer forbedringspotensial, ved iverksatte tiltak mot hvitvasking og terrorfinansiering. Nødvendige korrigeringer implementeres i virksomhetens rutiner for å sikre samsvar med hvitvaskingsloven.

Med bakgrunn i resultat fra gjennomførte risikovurderinger, kan det være nødvendig for rapporteringspliktig å sette i gang tiltak som

  • utnevnelse av en etterlevelsesansvarlig
  • skikkethetsvurdering av ansatte
  • opprettelse av en intern uavhengig kontrollfunksjon

Krav til hvor omfattende tiltak som må implementeres avhenger av virksomhetens art og omfang.

Opplæring og beskyttelse av ansatte

Rapporteringspliktige skal gjennomføre opplæring av ansatte. De ansatte må ha kunnskap om forpliktelsene som følger av hvitvaskingsloven. Opplæringen skal gjennomføres jevnlig, slik at de ansattes kunnskap vedlikeholdes og oppdateres i takt med virksomhetens risikovurdering.

Rapporteringspliktig må derfor sørge for at de ansatte har kunnskap om

  • hva hvitvasking og terrorfinansiering er
  • hvilken risiko for hvitvasking og terrorfinansiering som er identifisert ved gjennomførte risikovurderinger i virksomheten
  • hvilke måter virksomheten kan bli misbrukt av kriminelle
  • hvilke forpliktelser rapporteringspliktige har etter hvitvaskingsregelverket

Ved mistanke om hvitvasking eller terrorfinansiering skal de ansatte rapportere om forholdet. Rapporteringspliktig har da ansvar for å sørge for at de som rapporterer forholdet, enten internt eller til Økokrim, ikke utsettes for negative reaksjoner.

Rapporteringspliktig skal etablere rutiner som sikrer

  • anonymitet for de ansatte som har gjennomført undersøkelser som leder til rapportering
  • at ansatte ikke utsettes for represalier ved rapportering
  • at rapporteringspliktig ikke kan si opp eller avskjedige ansatte som varsler om mulig misbruk av virksomheten

Lotteritilsynets tilsyn- og sanksjonsmyndighet

Lotteritilsynet skal etter ny hvitvaskinslov, føre tilsyn med at reglene i hvitvaskingsloven følges på spillområdet. For mer detaljer, se hvitvaskingslovens § 44.

Spesielt om egnethetsvurdering

Lotteritilsynet skal etter nytt regelverk sørge for at styremedlemmer, daglig leder og andre personer i den faktiske ledelse hos spilltilbyderne er «egnet». Dette kravet er tatt inn i særlovgivningen (pengespilloven, totalisatorloven og lotteriforskriften).

En person er ikke egnet dersom vedkommende er dømt for et straffbart forhold, og det straffbare forholdet gir grunn til å anta at vedkommende ikke vil kunne ivareta stillingen på en god måte. En person kan også være uegnet om vedkommende har vist en adferd i sin stilling, som gjør at det er grunn til å tro at personen ikke vil kunne ivareta stillingen på en forsvarlig måte

Om hvitvaskingsreglene ikke følges, kan Lotteritilsynet fatte forvaltningsvedtak (pålegg og tvangsmulkt) og ilegge sanksjoner (offentlig kunngjøring, overtredelsesgebyr, administrativt rettighetstap, ledelseskarantene og formell advarsel).  For mer detaljer, se Prop. 40 L (2017-2018) kapittel 10.

Skyldkrav

For fysiske personer, kreves forsett eller grov uaktsomhet for å kunne ilegge sanksjoner etter hvitvaskingsloven.  Simpel uaktsomhet omfattes altså ikke.

For juridiske personer stilles det ikke noe krav til at det er utvist skyld av en eller flere personer, som har opptrådt på vegne av denne (objektivt ansvar).