Våren 2015 vedtok EU et nytt hvitvaskingsdirektiv, kalt for det fjerde hvitvaskingsdirektiv. Det nye i dette direktivet er at også spillselskaper omfattes av reglene. I Norge ble det i 2015 utnevnt et lovutvalg, som fikk i oppgave å utrede hvilke endringer som måtte gjøres, for å sikre at hvitvaskingsloven ble i tråd med det nye direktivet. Utvalget står bak to delutredninger, NOU2015:12 og NOU 2016:27. Lotteritilsynet skal etter lovforslaget føre tilsyn med reglene i hvitvaskingsloven på spillområdet. Det er ennå ikke klart når de nye reglene skal behandles av Stortinget, eller når de skal tre i kraft. Slik det ser ut nå, vil de nye reglene tidligst tre i kraft 1. januar 2018.

Lover og regler

Hvitvasking er å sikre utbytte fra straffbar handling. For at utbyttet skal kunne tas i bruk av gjerningspersonene, må det integreres i den legale økonomien. Formålet med hvitvasking er derfor å få det til å se ut som om utbyttet er ervervet på lovlig måte, samt å skjule dens illegale opprinnelse.
Utbytte fra straffbar handling kan for eksempel være penger generert fra organisert kriminalitet, som narkotikahandel, menneskesmugling og våpensmugling, ransutbytte, penger tilegnet gjennom underslag, skatteunndragelse, bedrageri, misbruk av selskapsformer, innsidehandel eller korrupsjon.

Hvitvasking er definert i utkast til ny lov, se § 2 bokstav a.

For alle praktiske tilfeller kan de rapporteringspliktige legge til grunn at all befatning med midler som er utbytte av en straffbar handling vil være «hvitvasking» i lovens forstand.

For mer detaljer, se NOU 2016:27 del 2, pkt. 2.3.4.2.

Terrorfinansiering betyr å gi økonomisk støtte til terrorisme. Det handler ikke bare om å bidra med penger. Å samle, gi og motta penger som skal brukes til terrorisme, vil være terrorfinansiering.

Terrorisme finansieres ofte med penger som er lovlig ervervet. Dette gjør at det er spesielt vanskelig å avdekke.

Terrorfinansiering er definert i utkast til ny lov, se § 2 bokstav b.

Definisjonen er knyttet opp mot terrorhandlinger som er definert i straffelovens §§ 135 og 136a.

For mer detaljer, se NOU del 2, pkt. 2.3.4.3.

Hvitvaskingsloven er en lov som skal forebygge og avdekke hvitvasking og terrrorfinansiering. Gjeldende hvitvaskingslov er fra 2009.

Tiltakene i loven skal beskytte det finansielle systemet ved å forebygge at rapporteringspliktige brukes eller forsøkes brukt som ledd i hvitvasking eller terrorfinansiering.

Bestemmelsene i hvitvaskingsloven er  i stor grad basert på EU-direktiver, som igjen er basert på anbefalingene fra FATF (Financial Action Task Force). EØS- avtalen forplikter Norge til å følge disse direktivene.

Våren 2015 vedtok EU et nytt hvitvaskingsdirektiv, det fjerde hvitvaskingsdirektiv. En viktig nyhet i det nye direktivet er at også spillselskaper omfattes av reglene.

I Norge ble det utnevnt et lovutvalg, som fikk i oppgave å utrede hvilke endringer som måtte gjøres, for å sikre at hvitvaskingsloven ble i tråd med fjerde hvitvaskingsdirektiv. Utvalget har avgitt to delutredninger. NOU 2015:12 (senere kalt NOU 1) og NOU 2016:27 (senere kalt NOU 2).

Det er ennå ikke bestemt når de nye reglene skal behandles av Stortinget, eller når de skal tre i kraft. Slik det er ut nå, vil de nye reglene tidligst tre i kraft 1. januar 2018.

I forslaget til ny hvitvaskingslov er det foreslått at alle fysiske og juridiske personer som har tillatelse etter lotteriloven, pengespilloven og totalisatorloven er omfattet. Det er forslått at dersom en entreprenør (f.eks. i forbindelse med bingo) arrangerer lotteriet på vegne av en organisasjon eller forening, er det entreprenøren (ikke organisasjonene bak) som står ansvarlig for at kravene i loven følges.

Tilbyder av spilltjenester er definert i lovutkastes §2 bokstav k.

Dette betyr Norsk Tipping AS, Stiftelsen Norsk Rikstoto, tilbydere av lotterier (alle typer), bingoentreprenører, tilbydere av spill på skip og arrangører av NM i turneringspoker omfattes av lovforslaget.

Det fjerde hvitvaskingsdirektiv åpner for at ulike land, på bakgrunn av en risikovurdering, kan bestemme at hvitvaskingsregelverket helt eller delvis, ikke skal gjelde for enkelte tilbydere av spilltjenester. Denne muligheten for å gjøre unntak er svært begrenset og myndigheten til å gjøre slike unntak er lagt til Finansdepartementet. Tilbydere av spilltjenester kan derfor ikke selv bestemme unntak på bakgrunn av egen risikovurdering av sine produkt.

Risikovurderingen må tydelig vise at spilltjenesten som en ønsker å unnta har lav risiko for å bli brukt i forbindelse med hvitvasking og terrorfinansiering.

I vurderingen må Finansdepartementet, blant annet ta hensyn til risikovurdering utført på EU-nivå.

Lotteritilsynet har i høringsrunden spilt inn at lotterier, som etter lotteriloven ikke krever godkjennelse, ikke bør omfattes av hvitvaskingsregelverket (f.eks. basarer og smålotterier). Tilsvarende unntak er tatt inn i den svenske lovgivningen.

FATF

FATF (Financial Action Task Force) er et mellomstatlig organ som utsteder anbefalinger, og fremmer effektiv gjennomføring av lover, regler og operasjonelle tiltak for å bekjempe hvitvasking av penger, finansiering av terrorisme og spredning av masseødeleggelsesvåpen.

Gjennom regelmessige evalueringer kontrollerer FATF at medlemsstatene følger disse anbefalingene. FATF publiserer kontinuerlig uttalelser om land med høy risiko for hvitvasking og terrorfinansiering.

For mer detaljer, se nettsiden til FAFT.

Tilbyder av spilltjeneste

Definert i lovutkast §2 1. ledd bokstav k, som «fysisk eller juridisk person som har tillatelse etter lotteriloven, pengespilloven eller totalisatorloven». Definisjonen sier videre at «når en entreprenør arrangerer lotteri på vegne av en organisasjon eller forening, anses entreprenøren som tilbyder av spilltjenesten»

Hvitvasking

Defineres som «handling som beskrevet i straffelovens § 332 og § 337»

Terrorfinansiering

Defineres som «handling som beskrevet i straffeloven § 135 eller finansiering som beskrevet i straffeloven § 136 a»

Risikobasert tilnærming

Hvitvaskingsloven krever at rapporteringspliktige skal ha en risikobasert tilnærming, for å hindre at egen virksomhet brukes til hvitvasking og terrorfinansiering. Dette betyr at det iverksettes mer omfattende tiltak og føres tettere tilsyn med produkter, situasjoner og kunder som anses å innebære en høy risiko for hvitvasking og terrorfinansiering.  Omfanget av slike tiltak kan reduseres dersom risikoen anses å være lav.

Rapporteringspliktige er pålagt å utarbeide risikovurderinger av egen virksomhet, som skal danne grunnlaget for etablering av rutiner i virksomheten. Omfanget av utførte tiltak må være tilpasset den konkrete risiko for hvitvasking og terrorfinansiering.

Rapporteringspliktige skal gjennomføre hensiktsmessige tiltak, for å identifisere og vurdere risikoen for at virksomheten misbrukes til hvitvasking og terrorfinansiering.

Risikoen skal vurderes ut fra hva slags kunder virksomheten har, geografiske faktorer, type produkter og tjenester, og hva slags transaksjoner det er snakk om. Rapporteringspliktige skal også vurdere risikoen for hvitvasking og terrorfinansiering i forbindelse med utvikling av nye produkter og bruk av ny teknologi. Arten og omfanget av risikovurderingene skal tilpasses virksomhetens art og størrelse.

Ved gjennomføring av risikovurderinger må rapporteringspliktig:

1. Ha kunnskap om hvitvasking og terrorfinansiering
Kunnskap om hvitvasking og terrorfinansiering er en nødvendig underliggende forutsetning for å kunne vurdere om deres virksomhet kan misbrukes av kriminelle.

2. Kjenne egen virksomhet
Bruke kunnskapen om hvitvasking og terrorfinansiering til å identifisere hvordan virksomhetens produkter, tjenester, leveringsmåte og transaksjoner kan misbrukes til slike formål.

3. Kjenne sine kunder
Kartlegge sine kundegrupper og stille seg spørsmål som:

  • Hvordan kan min virksomhet misbrukes til hvitvasking og terrorfinansiering?
  • Hva slags produkter/tjenester tilbyr jeg som kan benyttes til hvitvasking eller terrorfinansiering?
  • Hvilke kundegrupper innebærer risiko for hvitvasking og terrorfinansiering?

Risikovurderingene skal dokumenteres, oppdateres jevnlig og stilles til rådighet for tilsynsmyndigheten. Dokumentasjonen skal være tilstrekkelig til å vise grunnlaget for vurderingene.

Alle rapporteringspliktige må utarbeide rutiner som effektivt håndterer identifiserte risikoer for hvitvasking og terrorfinansiering. Rutinene skal beskrive hvordan rapporteringspliktige skal implementere samtlige av hvitvaskingslovens tiltak.

Formålet med rutinene er å integrere arbeidet med å forebygge og avdekke hvitvasking og terrorfinansiering i den daglige driften hos de rapporteringspliktige.

Forpliktelsen omfatter

  • risikohåndtering.
  • kundetiltak.
  • løpende oppfølging.
  • undersøkelse og rapportering.
  • registrering og lagring av personopplysninger og dokumenter

Rutinenes omfang skal være tilpasset arten og størrelsen på rapporteringspliktiges virksomhet og sees i lys av risikoen for at virksomheten misbrukes til hvitvasking eller terrorfinansiering.

Rutinene skal dokumenteres, oppdateres jevnlig og stilles til rådighet for tilsynsmyndigheten. Rutinene skal være fastsatt på øverste nivå hos den rapporteringspliktige og det skal utpekes en person i ledelsen med ansvar for å følge opp rutinene.

Kundetiltak

Formålet med å gjennomføre kundetiltak er at rapporteringspliktige skal kjenne sine kunder. Når en kjenner identiteten til kunden og kundeforholdets formål, kan en iverksette risikobaserte tiltak for å forebygge og avdekke hvitvasking og terrorfinansiering.

Spilltilbydere skal gjennomføre kundetiltak i følgende situasjoner:

  • Ved etablering av kundeforhold.
  • Ved transaksjoner over 16000 kroner (enten innskudd eller gevinst) dersom kunden ikke har et kundeforhold.

MERK: Beløpsgrensen beregnes samlet for transaksjoner som gjennomføres i flere operasjoner, men ser ut til å ha en sammenheng.

  • Ved mistanke om hvitvasking eller terrorfinansiering.

Dette reguleres i lovutkastets § 15 og omtales i NOU 2016:27, pkt. 5.5.

Kundetiltakene består av følgende plikter:

  • Kartlegge og bekrefte kundens identitet (legitimasjonskontroll).
  • Kartlegge kundeforholdets eller transaksjonens formål og tilsiktede art.
  • Avgjøre om kunden er en politisk eksponert person (PEP).

Omfanget av kundekontroll skal tilpasses risikoen for hvitvasking og terrorfinansiering som kundeforholdet/transaksjonen representerer. Rapporteringspliktige må derfor alltid vurdere kundens risiko og bestemme en risikoprofil for kunden.

Ved lav risiko, kan enkelte krav lempes (forenklet kundetiltak se lovforslaget § 10). Ved høy risiko, skal rapporteringspliktige iverksette ytterligere kundetiltak (forsterket kunde tiltak se lovforslaget § 11). Når kunden er en PEP, skal rapporteringspliktige alltid foreta forsterket kundetiltak (se lovforslaget § 12).

Rapporteringspliktige spilltilbydere kan legge til grunn kundetiltak utført av noen utvalgte rapporteringspliktige, se opplisting i lovforslagets § 18. Et eksempel på dette er at kunder kan ha opprettet BankID med en bank. Den legitimasjonskontrollen som ble gjennomført i forbindelse med opprettelse av BankID, kan spilltilbydere legge til grunn.

Tilbydere av spill er ikke med på denne listen i forslaget til ny lov. Det betyr  f.eks. at legitimasjonskontroll gjennomført av Norsk Tipping, ikke kan legges til grunn av Norsk Rikstoto.

Dersom dette gjøres, har likevel spilltilbyderne ansvar at kundetiltakene er gjennomført i henhold til hvitvaskingsloven. Samt at opplysningene registreres og lagres tilsvarende som når kundetiltakene gjennomføres av spilltilbyderen selv (se §18, 2. ledd).

Loven krever videre at rapporteringspliktige gjennomfører løpende kontroll av kundeforholdet. Dette innebærer blant annet å overvåke at transaksjoner som utføres som en del av kundeforholdet, er i samsvar med de opplysningene en har om kunden, kundens risikoprofil og kundeforholdets formål og tilsiktede art (se § 19).

Kundeforhold

Med kundeforhold menes en forretningsmessig forbindelse som har, eller når kontakten etableres, forventes å ha en viss varighet.

Det handler altså ikke om mer uformelle relasjoner. For eksempel at en kunde leverer inn ett spill eller køper ett lodd hos en spilltilbyder, og det på kjøpstidspunktet ikke forventes at det opprettes en varig kunderelasjon.

Kundeforhold opprettes dersom en kunde oppretter en spillerkonto/spillerkort hos Norsk Tipping og Norsk Rikstoto. Et kundeforhold kan også oppstå dersom noen spiller regelmessig hos en spilltilbyder, selv om kunden ikke har en spillerkonto, spillerkort eller lignende. Hvor grensen går, må vurderes av spilltilbyderen i hvert enkelt tilfelle.

Samlet beregning av transaksjoner som antas ha sammenheng

Et eksempel på når det skal foretas en samlet beregning av flere transaksjoner, er når kunder kjøper spill/lodd flere ganger hos en spilltilbyder innenfor et snevert tidsrom. Loven stiller ikke opp noen krav eller gir noen veiledning hva som ansees som «flere ganger» eller «innenfor et snevert tidsrom».

Å identifisere hvilke transaksjoner som er relatert til hverandre, kan i noen tilfeller være vanskelig. Spilltilbyderen må selv vurdere dette, blant annet på grunnlag av hvordan spillproduktet normalt blir brukt og annen informasjon som er tilgjengelig om de aktuelle transaksjonene.

Politisk eksponert person (PEP)

Dette er en person som har eller har innehatt et høytstående offentlig verv eller stilling i en stat eller internasjonal organisasjon, for eksempel stats- og regjeringssjefene, statsråder, dommere i Høyesterett eller i ledelsen av en internasjonal organisasjon, som for eksempel FN.

Definisjon av PEP fremkommer i lovutkastets § 2 (f). Her er det en opplisting av hvilke verv/stillinger som omfattes.

En PEP anses, gjennom sin stilling og innflytelse, i seg selv utgjøre en fare for å bli utnyttet til smøring og korrupsjon. Derfor har hvitvaskingsloven satt opp spesielle regler for kontroll og håndtering av disse personene, se § 12. Tilsvarende krav gjelder overfor nære familiemedlemmer og kjente medarbeidere av PEP’er, se §12 (5).

Spesielle regler for PEP’er:

  • Alltid foreta forsterkede kundetiltak.
  • Opprettelse av kundeforhold skal godkjennes av overordnet.
  • Ved opprettelse av kundeforhold skal en gjennomføre tilstrekkelig tiltak for å fastslå formuens og midlenes opprinnelse.

Disse tiltakene skal gjennomføres overfor PEP’er i minst ett år etter at de har avsluttet sin stilling eller verv, som gjør at de faller inn under denne kundegruppen.

Kundeforholdets eller transaksjonens formål og tilsiktede art

For å kunne vurdere kundeforholdets formål og tilsiktede art, er det viktig at spilltilbyderne innhenter tilstrekkelig med informasjon av kundene. Spilltilbyderen bør derfor finne ut hvordan kunden har til hensikt å bruke spilltilbudet.

Loven regulerer ikke hva som kreves for å kartlegge kundeforholdets eller transaksjonens formål og tilsiktede art. Nivået på hva som kreves vil måtte avgjøres etter en risikovurdering for hvitvasking eller terrrorfinansiering (høy risiko krever mer kartlegging).

Forenklede kundetiltak

Forenklede kundetiltak kan gjennomføres der det er identifisert en lavere risiko for hvitvasking enten av myndighetene eller av spilltilbyderen.

Etter lovforslagets § 10 kan det stilles lempeligere krav til bekreftelse av identitet, og til kartlegging av kundeforholdets eller transaksjonens formål og tilsiktede art.

Det åpnes ikke opp for å kunne stille lempeligere krav til innhenting av opplysninger om identitet.

FATF har gitt eksempler på forenklede tiltak, se NOU 2016:27.

Forsterket kundetiltak

Forsterkede kundetiltak skal gjennomføres der det er identifisert høy risiko for hvitvasking eller terrorfinansiering. Overfor PEP’er skal det alltid gjennomføres forsterkede kundetiltak.

Etter § 11 skal rapporteringspliktig iverksette «ytterligere» tiltak for å sikre kjennskap til kunden. Loven har ingen generell regel hva forsterkede kundetiltak er. Her kan en få støtte i FATFs anbefalinger, se NOU 2 s. 91.

FATF har gitt eksempler på forsterkede tiltak, se NOU 2016:27.

Undersøkelse, rapportering og behandling av personopplysninger

Rapporteringspliktig har undersøkelsesplikt når det avdekkes forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering. Dette innebærer at rapporteringspliktig har en undersøkelsesplikt dersom det blir avdekket avvik fra normal kundeadferd.

Rapporteringspliktig kan stille seg følgende spørsmål ved vurdering av om undersøkelsesplikten inntrer:

  • Er det forhold som kan indikere at virksomheten blir forsøkt brukt, brukes eller er blitt brukt som ledd i hvitvasking?

Forhold som kan indikere dette er eksempelvis at en transaksjon synes å mangle et legitimt formål, er usedvanlig stor og kompleks osv. jf. lovutkastets § 20 annet ledd.

Terskelen for at undersøkelsesplikten utløses er lav.

Mistanke om at midler har tilknytning til utbytte av straffbar handling eller terrorfinansiering skal rapporteres.

Rapporteringspliktig skal sende opplysninger til Økokrim dersom undersøkelser avdekker forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering.

Rapporten som sendes til Økokrim skal inneholde opplysninger om alle forhold som medfører mistanke.

Det skal rapporteres gjennom Altinn-skjema “MT-0002 Rapport om mistenkelige transaksjoner”.

Rapporteringspliktig har plikt til å gi nødvendige tilleggsopplysninger til Økokrim ved forespørsel.

Det er forbudt for rapporteringspliktig å avsløre at det er rapportert og iverksatt undersøkelser av en kunde.

Rapporteringsplikten er regulert i lovutkastets §21.

Det stilles krav til rapporteringspliktig om vern av personopplysninger. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Dette gjelder opplysninger og vurderinger som både direkte og indirekte kan identifisere en fysisk person.

Behandling av personopplysninger omfatter enhver bruk av personopplysninger. Eksempler på bruk av personopplysninger er innsamling, registering, sammenstilling, lagring og utlevering eller en kombinasjon av ulike bruksmåter.

Det er bare personopplysninger som er relevante for formålet som kan behandles. Personopplysninger kan bare lagres så lenge det er nødvendig ut fra formålet om å forebygge og avdekke hvitvasking og terrorfinansiering. Det stilles krav til internkontroll og informasjonssikkerhet hos den som behandler personopplysninger.

Nye kunder skal motta informasjon fra rapporteringspliktig om forpliktelsene de har til å behandle personopplysninger etter hvitvaskingsregelverket.

Krav til oppbevaring og sletting av opplysninger og dokumenter:

  • Oppbevare alle registrerte opplysninger.
  • Oppbevare kopier av dokumenter som er benyttet i forbindelse med kundekontroll.
  • Oppbevare opplysninger og dokumenter på en betryggende måte og beskyttes mot uautorisert tilgang.
  • Oppbevare opplysninger og dokumenter i fem år etter kundeforholdet er avsluttet eller transaksjonen er utført.
  • Slette opplysninger og dokumenter etter fem års fristen er utløpt dersom fortsatt lagring ikke er strengt nødvendig (myndighetsvurdering).

Behandling av personopplysninger er regulert i lovutkastets kapittel 5.

Internkontroll

Rapporteringspliktig skal etablere interne kontroller som avdekker svakheter og identifiserer forbedringspotensial, ved iverksatte tiltak mot hvitvasking og terrorfinansiering. Nødvendige korrigeringer implementeres i virksomhetens rutiner for å sikre samsvar med hvitvaskingsloven.

Med bakgrunn i resultat fra gjennomførte risikovurderinger, kan det være nødvendig for rapporteringspliktig å sette i gang tiltak som

  • utnevnelse av en etterlevelsesansvarlig
  • skikkethetsvurdering av ansatte
  • opprettelse av en intern uavhengig kontrollfunksjon

Krav til hvor omfattende tiltak som må implementeres avhenger av virksomhetens art og omfang.

Opplæring og beskyttelse av ansatte

Rapporteringspliktige skal gjennomføre opplæring av ansatte. De ansatte må ha kunnskap om forpliktelsene som følger av hvitvaskingsloven. Opplæringen skal gjennomføres jevnlig, slik at de ansattes kunnskap vedlikeholdes og oppdateres i takt med virksomhetens risikovurdering.

Rapporteringspliktig må derfor sørge for at de ansatte har kunnskap om

  • hva hvitvasking og terrorfinansiering er
  • hvilken risiko for hvitvasking og terrorfinansiering som er identifisert ved gjennomførte risikovurderinger i virksomheten
  • hvilke måter virksomheten kan bli misbrukt av kriminelle
  • hvilke forpliktelser rapporteringspliktige har etter hvitvaskingsregelverket

Ved mistanke om hvitvasking eller terrorfinansiering skal de ansatte rapportere om forholdet. Rapporteringspliktig har da ansvar for å sørge for at de som rapporterer forholdet, enten internt eller til Økokrim, ikke utsettes for negative reaksjoner.

Rapporteringspliktig skal etablere rutiner som sikrer

  • anonymitet for de ansatte som har gjennomført undersøkelser som leder til rapportering
  • at ansatte ikke utsettes for represalier ved rapportering
  • at rapporteringspliktig ikke kan si opp eller avskjedige ansatte som varsler om mulig misbruk av virksomheten

Lotteritilsynets tilsyn- og sanksjonsmyndighet

Lotteritilsynet skal etter lovforslaget, føre tilsyn med at reglene i hvitvaskingsloven følges på spillområdet. For mer detaljer, se lovutkastets kapittel 8.

Spesielt om egnethetsvurdering

Etter lovforslaget skal Lotteritilsynet sørge for at styremedlemmer, daglig leder og andre personer i den faktiske ledelse hos spilltilbyderne er «egnet». Dette kravet er tatt inn i særlovgivningen (pengespilloven ny §14 a, totalisatorloven §1a og lotteriforskriften §2-1 nytt andre og tredje ledd).

En person er ikke egnet dersom vedkommende er dømt for et straffbart forhold, og det straffbare forholdet gir grunn til å anta at vedkommende ikke vil kunne ivareta stillingen på en god måte. En person kan også være uegnet om vedkommende har vist en adferd i sin stilling, som gjør at det er grunn til å tro at personen ikke vil kunne ivareta stillingen på en forsvarlig måte

Om hvitvaskingsreglene ikke følges, kan Lotteritilsynet fatte forvaltningsvedtak (pålegg og tvangsmulkt) og ilegge sanksjoner (offentlig kunngjøring, overtredelsesgebyr, administrativt rettighetstap, ledelseskarantene og formell advarsel).  For mer detaljer, se lovutkastets kapittel 9.

Skyldkrav

For fysiske personer, kreves forsett eller grov uaktsomhet for å kunne ilegge sanksjoner etter hvitvaskingsloven.  Simpel uaktsomhet omfattes altså ikke.

For juridiske personer stilles det ikke noe krav til at det er utvist skyld av en eller flere personer, som har opptrådt på vegne av denne (objektivt ansvar).