.png)
English
This blog post is only available in Swedish
Finansinspektionens sanktionsbeslut mot Zimpler belyser framför allt två viktiga områden: hanteringen av kundriskbedömning samt kraven kring information om affärsförbindelsens syfte och art. I tidigare sanktionsbeslut (t.ex. mot Trustly och Klarna) har frågorna vem som är kund och när åtgärder för kundkännedom måste genomföras varit uppe. I beslutet mot Zimpler utvecklar Finansinspektionen sin syn inom dessa områden.
Läs beslutet mot Zimpler här. Zimpler fick en anmärkning och en sanktionsavgift på 3 miljoner kronor för överträdelser av penningtvättsreglerna.
I tidigare beslut mot Trustly och Klarna har FI kastat ljus över hur de resonerar kring kundbegreppet, som är centralt inom penningtvättslagstiftningen. Eftersom det råder en del förvirring kring begreppen avtalsförbindelse och affärsförbindelse har vi tidigare skrivit ett blogginlägg som resonerar kring kund-begreppet och när åtgärder för kundkännedom krävs (se KYC eller inte? Reflektioner kring kundbegreppet och när KYC krävs). I det blogginlägget presenterade vi följande schematiska överbild:
I beslutet mot Zimpler konstaterar FI att det uppstår en avtalsförbindelse mellan Zimpler och dess slutanvändare när slutanvändarna godkänner Zimplers allmänna villkor för tjänsten. Som en konsekvens av avtalsförbindelsen anser FI att slutanvändarna är att betrakta som kunder ur ett penningtvättsperspektiv. Detta är i linje med hur FI resonerade i beslutet mot Trustly och Klarna.
Tidigare beslut från FI har kritiserats eftersom en sådan tolkning de facto innebär att det för många verksamhetsutövare medför en skyldighet att göra KYC på kunders kunder – det anses av många gå stick i stäv med vad som kan utläsas av förarbeten, där det bland annat går att läsa att ”det i regel inte finns någon skyldighet att tillämpa bestämmelserna i lagen avseende kundens kunder” (se prop. 2016/17:173 s. 509).
Zimpler har dock haft samma synsätt som FI på kundbegreppet, vilket gör att vi inte får vidare vägledning om just kundbegreppet i detta beslut.
Finansinspektionen klargör i beslutet mot Zimpler att alla kunder (som omfattas av penningtvättsregelverket) ska riskbedömas så snart en kundrelation inleds. Detta gäller oavsett om kundkännedomsåtgärder (KYC) formellt krävs vid det tillfället eller inte.
Zimpler argumenterade att de inte gjorde någon riskbedömning vid kundrelationens början, eftersom kunden då ännu inte uppfyllde kriterierna för att vidta åtgärder för kundkännedom. Istället genomförde de riskbedömningen först när en affärsförbindelse etablerats.
Som en konsekvens av att en avtalsförbindelse inleds (och således ett kundförhållande) anser FI att en initial riskbedömning måste göras i samma skede. En verksamhetsutövare ska alltså alltid genomföra en kundriskbedömning ”oberoende av transaktionsbelopp eller när en eventuell affärsförbindelse etableras”. Med andra ord kan inte bolaget vänta med en kundriskbedömning tills en affärsförbindelse etableras – FI anser att riskprofilen ska fastställas redan från starten av kundförhållandet.
Enligt penningtvättslagen ska riskbedömningen av en kund utgå från ”den allmänna riskbedömningen och verksamhetsutövarens kännedom om kunden”. Zimpler har i sin allmänna riskbedömning identifierat fem riskfaktorer:
Koppling till kryptotillgångssegmentet har inte aktualiserats i eftersom Zimpler inte tillhandahållit tjänster till kryptosegmentet under undersökningsperioden. När det gäller riskfaktorn om frågor från Polismyndigheten har den hanterats genom att risken manuellt justerats, vilket gjort att FI inte granskat den vidare.
Zimpler påpekade att de övriga tre faktorerna hänger ihop med hur kunderna använder tjänsten, snarare än kundernas inneboende egenskaper. Därför ansåg Zimpler att det vore rimligt att hantera dessa risker i den löpande transaktionsövervakningen istället för i riskprofilen – riskerna har således inte beaktats i bolagets kundriskbedömningsmodell, utan endast i transaktionsövervakningen. Zimpler hänvisade till Svenska institutet mot penningtvätts (SIMPT) vägledning, där det noteras att ”risker som är kopplade till kundens transaktioner kan vara svåra att bedöma inom ramen för den initiala bedömningen av kundens riskprofil. Dessa kan då i stället fortlöpande bedömas och beaktas i uppföljningen och övervakningen.” (se SIMPT:s vägledning Grundläggande vägledning om kundkännedom (sjunde upplagan), s. 21)
Finansinspektionen håller dock inte med om detta synsätt. Myndigheten anser att det inte räcker att hantera sådana risker enbart genom transaktionsövervakning. De riskfaktorer som identifierats i den allmänna riskbedömningen måste också beaktas i kundriskbedömningen. FI påpekar att om riskfaktorer utelämnas i riskbedömningen (och endast hanteras i via övervakningen) så har inte verksamhetsutövaren förutsättningar att göra en fullgod bedömning av kundens risknivå från start – vilket strider mot kraven i penningtvättslagen.
I normalfallet ska kundkännedomsåtgärder vidtas antingen (i) när enstaka transaktioner över tröskelvärde genomförs, eller (ii) när en affärsförbindelse etableras.
Enligt penningtvättslagen ska dock en kunds riskprofil ”bestämmas med utgångspunkt i den allmänna riskbedömningen och verksamhetsutövarens kännedom om kunden”. Lagen listar flera omständigheter som kan tyda på att risken med en kund är låg eller hög – men vissa av dessa riskindikatorer går inte att känna till utan att även ha inhämtat kundkännedom.
Till exempel kan en riskindikator vara att kundens ägarstruktur är komplex, men för att kunna bedöma det måste verksamhetsutövaren först ha samlat in information om kundens verkliga huvudmän genom att vidta åtgärder för kundkännedom. FI betonar i beslutet mot Zimpler att ”det är av avgörande betydelse att riskfaktorer som har uppmärksammats i den allmänna riskbedömningen – och som har betydelse för riskklassificeringen av enskilda kunder – också beaktas av en verksamhetsutövare vid tidpunkten för den inledande riskklassificeringen”.
Givet att den inledande riskbedömningen enligt FI ska ske redan när kundrelationen etableras (snarare än först när en affärsförbindelse uppstår), väcks frågan om bolaget då även måste samla in kundkännedom vid denna tidpunkt? Det kan bli aktuellt om den allmänna riskbedömningen identifierar riskfaktorer som kräver information man normalt får genom inhämtande av kundkännedom.
Ett exempel: Om den allmänna riskbedömningen pekar ut att en risk är om en verklig huvudman är baserad i ett högriskland (t.ex. Ryssland), så är det något som verksamhetsutövaren normalt inte vet förrän efter att kundkännedomsåtgärder genomförts. Skulle bolaget i ett sådant fall behöva inhämta uppgift om verklig huvudman redan vid avtalsingåendet för att kunna beakta denna riskfaktor i den initial kundriskbedömningen?
Man kan tolka FI:s resonemang på två sätt här. En mer pragmatisk tolkning är att riskfaktorer som bolaget ännu inte har kännedom om (eftersom KYC inte gjorts) inte behöver beaktas initialt; istället ska bolaget uppdatera kundens riskbedömning så snart sådan information faktiskt inhämtats.
En striktare tolkning är att om den allmänna riskbedömningen listar riskfaktorer som förutsätter kundkännedomsinformation, så är verksamhetsutövaren skyldig att utföra dessa kundkännedomsåtgärder redan när kundrelationen etableras (för att kunna väga in riskfaktorerna från start). Något som kan ge stöd för den striktare tolkningen är att FI i beslutet skriver att ”det är av avgörande betydelse att riskfaktorer som har uppmärksammats i den allmänna riskbedömningen – och som har betydelse för riskklassificeringen av enskilda kunder – också beaktas av en verksamhetsutövare vid tidpunkten för den inledande riskklassificeringen, det vill säga när kundrelationen inleds.”
Zimpler uppgav att bolaget gjort antaganden rörande affärsförbindelsens syfte och art istället för att fråga kunderna direkt, och att detta skedde i enlighet med regelverket. Finansinspektionen anser däremot att Zimplers tjänst varken är tillräckligt ”väl definierad” eller har ett tillräckligt ”avgränsat användningsområde” för att sådana antaganden ska vara tillåtna.
Syfte och art kan antingen inhämtas (d.v.s. genom att ställa frågor till kunden) eller – under vissa omständigheter – antas utan att fråga. FI klargör att antaganden bara är tillåtna i två situationer:
Som ett avsteg från ovan gör FI ett ytterligare uttalande i beslutet att om produkten/tjänsten bedöms ha hög residualrisk i den allmänna riskbedömningen, kan inte antaganden om syfte och art göras vid kundriskbedömningen. Vi anser att det är en något knepig formulering, då det i förarbetet (se prop. 2016/17:173 s. 291) står att ett antagande om syfte och art kan göras i samband med att risken som förknippas med kunden är medelhög (normalrisk), medan FI skriver att man inte får göra antaganden om risken för produkten/tjänsten är hög (i den allmänna riskbedömningen).
Exempelvis kan det finnas ett scenario där en individuell kundrelation bedöms ha medelrisk, medan produkten anses ha hög risk – huruvida ett antagande om syfte och art kan göras (förutsatt att tjänsten är väl definierad och har ett avgränsat användningsområde) i detta fall är, givet FI:s beslut, oklart i dagsläget.
Begreppen väl definierad tjänst och avgränsat användningsområde är inte närmare definierade i lag eller praxis. FI anser dock, som nämnt ovan, att Zimplers tjänst inte uppfyller dessa kriterier.
FI fokuserar alltså inte enbart på tjänstens tekniska karaktär (en checkout-lösning), utan även på hur tjänsten kan användas i praktiken. Den breda användningen gör att man inte automatiskt kan förutse vad kunden ska använda tjänsten till. Med andra ord är användningsområdet för Zimplers tjänst betydligt bredare än i vissa andra fall. FI jämför här med till exempel ett spelkonto hos ett bettingbolag och anför att en när en kund öppnar ett spelkonto kan verksamhetsutövaren anta att affärsförbindelsens syfte är underhållning, eftersom tjänstens användning då är tydligt avgränsad.
Det blir således vid vikt att titta på hur tjänsten/produkten används i praktiken, och inte dess tekniska karaktär, när bedömningen av huruvida tjänsten är väl definierad och har ett avgränsat användningsområde görs.
KnownID tillhandahåller en plattform för hantering av kundkännedom. I plattformen har verksamhetsutövare möjlighet att tydligt definiera om och på vilka grunder kundkännedomsåtgärder vidtas. Kontakta oss så berättar vi mer om hur KYC kan göras enklare.