Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 54 LS (2024–2025)

    Lov om digital operasjonell motstandsdyktighet i finanssektoren, lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) og samtykke til godkjenning av to beslutninger i EØS-komiteen om innlemmelse i EØS-avtalen av forordning (EU) 2022/2554, direktiv (EU) 2022/2556 og forordning (EU) 2023/1113

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    3 Endringer i hvitvaskingsloven om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (TFR II)

    3.1 Innledning

    Europarlaments- og rådsforordning (EU) 2023/1113 («Transfer of Funds Regulation» – TFR II) om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler, og om endring av direktiv (EU) 2015/849 (fjerde hvitvaskingsdirektiv), ble vedtatt i EU i mai 2023. Forordningen gir nye regler om hvilke opplysninger som skal følge med pengeoverføringer og overføringer av kryptoeiendeler. TFR II erstatter forordning (EU) 2015/847 (TFR I), som i dag regulerer banker og andre betalingstjenesteyteres forpliktelser ved pengeoverføringer. TFR I er gjennomført i forskrift 14. september 2018 nr. 1324 om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsforskriften) § 10-1, jf. hvitvaskingsloven § 52. Endringene i TFR II vil primært utvide virkeområdet for forpliktelsene som allerede gjelder for tradisjonelle betalingstjenesteytere, til å gjelde også for aktører som yter kryptoeiendelstjenester. TFR II ble vedtatt i EU for å reflektere endringer i Financial Action Task Force (FATF) sine anbefalinger om opplysninger som skal følge med pengeoverføringer. I 2019 ble FATFs anbefalinger endret for å hensynta hvitvaskings- og terrorfinansieringsrisikoen ved virtuell valuta og tjenesteytere av virtuell valuta.

    TFR II trådte i kraft i EU 29. juni 2023 og fikk anvendelse der fra 30. desember 2024. Rettsakten ble tatt inn i EØS-avtalen 20. februar 2025 ved EØS-komiteens beslutning nr. 42/2025, med forbehold om Stortingets samtykke, jf. Grunnloven § 26 annet ledd. Departementet foreslår i denne proposisjonen lovendringer for å gjennomføre TFR II i norsk rett, og at Stortinget gir sitt samtykke til å innlemme forordningen i EØS-avtalen. Lovforslaget innebærer at TFR II inntas i hvitvaskingsloven, slik at betalingstjenesteyteres og kryptoeiendelstjenesteyteres forpliktelser til å sende opplysninger med overføringer av penger og kryptoeiendeler vil gjelde som norsk lov. Det foreslås også enkelte andre endringer i hvitvaskingsloven, bl.a. for å gjøre flere kryptoeiendelstjenesteytere til rapporteringspliktige etter hvitvaskingsregelverket.

    3.2 Bakgrunn for forslaget

    3.2.1 Hovedtrekkene i forordningen

    Hvitvasking, terrorfinansiering og organisert kriminalitet er ofte grensekryssende. Det er derfor etablert en rekke globale standarder og felleseuropeiske reguleringer for å bekjempe slik kriminalitet. Transaksjoner med kryptoeiendeler er spesielt sårbare for hvitvasking og terrorfinansiering på grunn av hurtigheten og anonymiteten ved slike transaksjoner.

    Det europeiske hvitvaskingsregelverket bygger på anbefalinger som kommer fra FATF. Det internasjonale samfunnet har gjennom FATF utviklet globale standarder som søker å forhindre hvitvasking og terrorfinansiering. Anbefaling 15 er en anbefaling til stater om å vurdere hvitvaskings- og terrorfinansieringsrisiko som følger av utviklingen av nye produkter eller praksis, herunder bruk eller utvikling av ny teknologi på bank- og betalingsfeltet. Anbefalingen har dessuten et særskilt punkt om virtuelle eiendeler og tjenesteytere tilknyttet kryptoeiendeler (i anbefalingene kalt «virtual assets»). Anbefaling 16 inneholder anbefalinger om opplysninger som bør følge med overføringer av penger for å minimere hvitvaskings- og terrorfinansieringsrisikoen. Gjennom anbefaling 15 er det stilt lignende krav som etter anbefaling 16 for overføringer av kryptoeiendeler.

    Informasjonspliktene for betalingstjenesteytere har i norsk rett til nå fulgt av TFR I. TFR II utvider rekkevidden av TFR I ved å pålegge også ytere av kryptoeiendelstjenester plikt til å lagre og gi opplysninger ved overføring av kryptoeiendeler, tilsvarende det TFR I har pålagt betalingstjenesteytere ved alminnelige pengeoverføringer.

    TFR II pålegger en kryptoeiendelstjenesteyter som er avsender av en overføring, å sikre at en rekke data følger transaksjonen, herunder navn, kontonummer eller lignende, adresse og kundeidentifikasjon på kunden som foretar overføringen, og navn og kontonummer eller lignende til personen som mottar kryptoeiendelene. Mottakerens tjenesteyter pålegges bl.a. å ha på plass effektive rutiner for å identifisere at den nødvendige informasjon følger overføringen, og så bekrefte informasjonen før kryptoverdiene gjøres tilgjengelige for mottaker. Forordningen pålegger også tjenesteytere å lagre og dele opplysninger med kompetente tilsynsmyndigheter etter anmodning. I tillegg endrer TFR II hvitvaskingsdirektivet slik at kryptoeiendelstjenesteytere gjøres rapporteringspliktige og får samme plikter som andre rapporteringspliktige etter hvitvaskingsregelverket.

    Forpliktelsene for alminnelige betalingstjenesteytere som fulgte av TFR I, oppdateres og videreføres i TFR II.

    TFR II henger sammen med et større arbeid i EU om å regulere markedet for kryptoeiendeler. Sammen med forordning (EU) 2023/1114 om markeder i kryptoeiendeler («Markets in Crypto-Assets» – MiCA) utgjør TFR II det nye, felleseuropeiske rammeverket for regulering av markedet for kryptoeiendeler. Dette markedet har hittil bare i begrenset grad vært gjenstand for regulering. Innføringen av TFR II og MiCA vil gjøre at kryptomarkedet underlegges lignende finansregulatoriske krav som det tradisjonelle markedet for finansielle instrumenter, betalingsmidler og pengeoverføringer.

    3.2.2 Høring

    Finansdepartementet ga i brev 28. september 2023 Finanstilsynet i oppdrag å utrede gjennomføring av forventede EØS-forpliktelser som tilsvarer TFR II og forordning (EU) 2023/1114 om markeder for kryptoeiendeler (MiCA).

    Departementet sendte Finanstilsynets høringsnotat på høring 1. mars 2024 med høringsfrist 1. juni 2024. Høringsbrevet ble sendt til følgende instanser:

    • Alle departementene

    • Arbeids- og velferdsdirektoratet

    • Brønnøysundregistrene

    • Datatilsynet

    • Direktoratet for forvaltning og økonomistyring

    • Finanstilsynet

    • Folketrygdfondet

    • Forbrukerrådet

    • Forbrukertilsynet

    • Konkurransetilsynet

    • Likestillings- og diskrimineringsombudet

    • Lotteri- og stiftelsestilsynet

    • Norges Bank

    • Regjeringsadvokaten

    • Riksadvokaten

    • Riksrevisjonen

    • Sivilombudet

    • Skattedirektoratet

    • Statens pensjonskasse

    • Statistisk sentralbyrå

    • Statsministerens kontor

    • Økokrim

    • Akademikerne

    • Aksjonærforeningen i Norge

    • Arbeidsgiverforeningen Spekter

    • Bankenes sikringsfond

    • Deloitte AS

    • Den norske advokatforening

    • Den Norske Aktuarforening

    • Den norske Revisorforening

    • Econa

    • Eiendom Norge

    • Energi Norge

    • Equinor

    • Evry

    • Finans Norge

    • Finansforbundet

    • Finansieringsselskapenes forening

    • Finansmarkedsfondet

    • Forening for Finansfag Norge

    • Fornybar Norge

    • Forum for Utvikling og Miljø

    • Handelshøgskolen ved Nord universitet

    • Handelshøyskolen BI

    • Havtrygd Gjensidig Forsikring

    • Hovedorganisasjonen for universitets- og høyskoleutdannede

    • Hovedorganisasjonen Virke

    • Huseiernes landsforbund

    • Høgskulen på Vestlandet

    • IIA Norge

    • Industri Energi

    • Initiativ for etisk handel

    • KnowledgeGroup AS

    • Kommunalbanken AS

    • KPMG AS

    • KS

    • Landsorganisasjonen i Norge

    • Nasdaq OMX Oslo ASA

    • NMBU – Norges miljø- og biovitenskapelige universitet

    • Nordic Trustee

    • Norges Bondelag

    • Norges eiendomsmeglerforbund

    • Norges handelshøyskole

    • Norges ingeniør- og teknologorganisasjon

    • Norges Juristforbund

    • Norges Kommunerevisorforbund

    • Norges Rederiforbund

    • Norges Røde Kors

    • Norges Skogeierforbund

    • Norsk Bergindustri

    • Norsk Crowdfunding Forening

    • Norsk Hydro ASA

    • Norsk Journalistlag

    • Norsk Kapitalforvalterforening

    • Norsk landbrukssamvirke

    • Norsk olje og gass

    • Norsk Presseforbund

    • Norsk Redaktørforening

    • Norsk Sjøoffiserers Forbund

    • Norsk takst

    • Norsk Venturekapitalforening

    • Norsk Økrimforening

    • Norske Boligbyggelags Landsforbund SA

    • Norske Finansanalytikeres Forening

    • Norske Forsikringsmegleres Forening

    • NTL-Skatt

    • Næringslivets Hovedorganisasjon

    • Offshore Norge

    • Oslo Børs ASA

    • Pensjonskasseforeningen

    • Personskadeforbundet LTN

    • Plan International Norge

    • Publish What You Pay Norway

    • Redd Barna

    • Regelrådet

    • Regnskap Norge

    • Skattebetalerforeningen

    • Skatterevisorenes Forening

    • SMB Norge

    • Sparebankforeningen i Norge

    • Stiftelsesforeningen

    • Storebrand ASA

    • Støttekomiteen for Vest-Sahara

    • The Nordic Association of Electricity Traders

    • The Nordic Association of Marine Insurers (CEFOR)

    • Tietoevry Norge

    • Tilsynsrådet for advokatvirksomhet

    • Universitetet i Agder

    • Universitetet i Bergen

    • Universitetet i Oslo

    • Universitetet i Sørøst-Norge

    • Universitetet i Tromsø – Norges arktiske universitet

    • Verdipapirfondenes forening

    • Verdipapirforetakenes Forbund

    • Verdipapirsentralen ASA

    • Yrkesorganisasjonenes Sentralforbund

    • Økonomiforbundet

    Følgende instanser har avgitt realitetsmerknader til høringen som omhandler gjennomføring av TFR II:

    • Finans Norge

    • Fintech Norway

    • Skattedirektoratet

    • Økokrim

    Følgende instanser har opplyst at de ikke har merknader til gjennomføring av TFR II:

    • Brønnøysundregistrene

    • Den Norske Aktuarforening

    • Forsvarsdepartementet

    • Justis- og beredskapsdepartementet

    • Statistisk sentralbyrå

    3.3 Gjennomføring i norsk rett

    3.3.1 Gjeldende rett

    Forpliktelser for betalingstjenesteytere ved pengeoverføringer følger i dag av forordning TFR I, som er gjennomført i hvitvaskingsforskriften. Forordningen omfatter pengeoverføringer i enhver valuta som sendes eller mottas av en betalingstjenesteyter som er etablert i EØS, jf. artikkel 2, med unntak for ulike nærmere definerte typer betalinger. I forordningen er det i artikkel 2 nr. 5 åpnet for et nasjonalt valg om å unnta visse betalinger fra TFR I. Muligheten ble ikke benyttet da TFR I ble gjennomført i norsk rett.

    Formålet med TFR I er å sikre sporbarhet av avsender og mottaker av pengeoverføringer både ved nasjonale og grensekryssende betalinger. TFR I pålegger avsenderens betalingstjenesteyter å sørge for at avsenderens navn, betalingskontonummer eller transaksjonsidentifikasjon, og adresse, offisielle personlige dokumentnummer, kundeidentifikasjonsnummer eller fødselsdato og fødested, samt mottakerens navn og betalingskontonummer, følger med overføringen, jf. artikkel 4. Betalingstjenesteyter forpliktes til å kontrollere at opplysninger som skal følge betalingen er riktige, og til ikke å gjennomføre pengeoverføringer før forpliktelsene er oppfylt. Hvis alle betalingstjenesteyterne i betalingskjeden er etablert i EØS, stiller TFR I forenklede krav til informasjonen som skal følge betalingen, jf. artikkel 5 nr. 1. I slike tilfeller er det tilstrekkelig at opplysningene som følger med overføringen, er avsenderens og mottakerens betalingskontonummer eller transaksjonsidentifikasjon. Dersom mottakerens betalingstjenesteyter anmoder avsenderens betalingstjenesteyter om flere opplysninger, må avsenderens betalingstjenesteyter likevel gjøre tilgjengelig flere opplysninger innen tre virkedager, jf. artikkel 5 nr. 2.

    Avsenderens betalingstjenesteyter er forpliktet til å kontrollere at opplysningene som følger overføringen, er korrekte fra en pålitelig og uavhengig kilde, jf. artikkel 4 nr. 4. For enkelte pengeoverføringer, som overføringer innenfor EØS som ikke overstiger 1 000 euro, er det begrensede krav til å kontrollere opplysninger. Opplysningene må likevel kontrolleres dersom pengene som skal overføres, er mottatt i kontanter eller anonyme elektroniske penger, eller det foreligger rimelig grunn til mistanke om hvitvasking eller terrorfinansiering.

    Også mottakerens betalingstjenesteyter er forpliktet til å kontrollere opplysningene som følger med overføringen, jf. artikkel 7. For overføringer av beløp som overstiger 1 000 euro, må mottakerens betalingstjenesteyter kontrollere at de nødvendige opplysningene følger med overføringen, og at disse er korrekte, før midlene kan gjøres tilgjengelig for mottaker. Der beløpet er under 1 000 euro, er kravene til kontroll mindre strenge. Der mottakerens betalingstjenesteyter blir oppmerksom på at opplysninger mangler eller er ufullstendige, skal tjenesteyteren foreta en risikovurdering, og på bakgrunn av denne, avvise overføringen eller innhente de nødvendige opplysningene.

    Dersom avsenderens betalingstjenesteyter gjentatte ganger unnlater å gi etterspurt informasjon, skal mottakerens betalingstjenesteyter treffe tiltak, jf. artikkel 8. Disse kan omfatte begrensning eller avslutning av forretningsforbindelsen. Manglende eller ufullstendige opplysninger skal også være en faktor i mottakerens betalingstjenesteyters vurdering av om pengeoverføringen er mistenkelig, og om den skal rapporteres til Enheten for finansiell etterretning (EFE) i Økokrim, jf. hvitvaskingsloven § 26.

    TFR I krever i artikkel 17 at det i nasjonalt regelverk fastsettes regler om administrative sanksjoner og forvaltningsmessige tiltak, slik at juridiske og fysiske personer kan holdes ansvarlige ved gjentatte, systematiske eller alvorlige brudd på enkelte av betalingstjenesteyternes plikter etter forordningen. I gjeldende rett følger adgangen til å fastsette administrative sanksjoner og forvaltningsmessige tiltak av hvitvaskingsloven. Finanstilsynet er tilsynsmyndighet.

    Kryptoeiendeler eller andre virtuelle verdier er ikke omtalt i TFR I. I hvitvaskingsforskriften er det enkelte bestemmelser som inneholder regler for vekslings- og oppbevaringstjenester for virtuell valuta, som gjennomfører endringer som kom med direktiv (EU) 2018/843 (femte hvitvaskingsdirektiv). Bestemmelsene inneholder ikke informasjonsplikter eller annen helhetlig regulering av kryptoeiendeler og tjenesteytere, men gjelder registreringskrav og krav om forsterkede kundetiltak for tilbydere av vekslings- og oppbevaringstjenester for virtuell valuta.

    3.3.2 EØS-rett

    3.3.2.1 Anvendelsesområde

    TFR II får anvendelse på pengeoverføringer og overføringer av kryptoeiendeler der minst én av de involverte tjenesteyterne er etablert i eller har sitt registrerte kontor i EØS, jf. artikkel 1. Forpliktelsene etter forordningen gjelder for alle betalingstjenesteytere, kryptoeiendelstjenesteytere og ytere av mellomliggende betalingstjenester som sender, videresender eller mottar en overføring av penger eller kryptoeiendeler.

    Forordningen gir separate bestemmelser for forpliktelsene til henholdsvis betalingstjenesteytere som overfører og mottar penger, og kryptoeiendelstjenesteytere som overfører og mottar kryptoeiendeler. I mange tilfeller er forpliktelsene sammenfallende, men systemet i forordningen legger opp til at kravene vil beskrives hver for seg i denne proposisjonen.

    Definisjonen av kryptoeiendeler i TFR II samsvarer med definisjonen av kryptoeiendeler som er fastsatt i FATFs anbefalinger, se avsnitt 10 i fortalen til TFR II. TFR II artikkel 3 nr. 14, som definerer kryptoeiendel, refererer til forordning (EU) 2023/1114 (MiCA), som definerer kryptoeiendeler som digitale representasjoner av en verdi eller rettighet som kan overføres og oppbevares elektronisk ved bruk av distribuert registerteknologi eller lignende teknologi. Artikkel 2 nr. 4 presiserer at elektroniske pengetoken også faller inn under definisjonen av kryptoeiendeler i TFR II.

    I det følgende brukes «penger», «pengeoverføring», «betalingskonto» og «betalingstjenesteyter» i beskrivelsen av bestemmelsene som omhandler alminnelige pengeoverføringer. Med «penger» og «pengeoverføringer» menes for forordningens formål penger i alle valutaer som finnes på en betalingskonto, og som overføres mellom betalingskontoer ved hjelp av betalingstjenesteytere.

    Med betalingstjenesteytere menes bl.a. kredittinstitusjoner, e-pengeforetak, postgirokontorer og betalingsinstitusjoner slik disse er definert i direktiv (EU) 2015/2366 om betalingstjenester i det indre marked, jf. TFR II artikkel 3 nr. 5. For definisjonen av kryptoeiendelstjenesteytere refererer TFR II artikkel 3 nr. 15 til MiCA, som definerer dem som juridiske personer eller andre foretak som tilbyr kryptotjenester, herunder oppbevaring og overføring av kryptoeiendeler, profesjonelt til kunder.

    Forordningen får ikke anvendelse på overføringer av penger eller kryptoeiendeler som foretas uten involvering av en tjenesteyter og finner sted direkte mellom personer, eller der avsender og mottaker er tjenesteytere som handler på vegne av seg selv, jf. TFR II artikkel 2 nr. 4. Tjenesteytere som kun leverer supplerende infrastruktur, for eksempel tilbydere av internettinfrastruktur, skybaserte lagringstjenester og programvareutviklere, faller også i utgangspunktet utenfor forordningens rekkevidde. Artikkel 2 nr. 1 slår fast at overføringer som går gjennom kryptominibanker, omfattes av forordningen, men uttak av penger fra egen betalingskonto omfattes ikke, jf. artikkel 2 nr. 4.

    TFR II gir gjennom et nasjonalt valg adgang til å unnta visse pengeoverføringer som er betaling for varer eller tjenester, fra forpliktelsene i forordningen. Artikkel 2 nr. 5 fastsetter tre vilkår for å vedta en slik unntaksregel. For det første må betalingstjenesteyteren til mottaker være underlagt hvitvaskingsdirektivet. For det andre må betalingstjenesteyteren til mottaker kunne spore betalingen gjennom et unikt transaksjonsnummer. For det tredje må overføringen ikke overstige 1 000 euro. Unntaket kan kun innføres for pengeoverføringer som finner sted innenfor statens territorium. Det er ingen unntaksadgang for overføringer av kryptoeiendeler.

    3.3.2.2 Plikter ved overføring av penger og kryptoeiendeler

    Pengeoverføringer

    For pengeoverføringer pålegger TFR II artikkel 4 og 5 betalingstjenesteytere å sørge for at følgende informasjon følger med en overføring: Navn på avsender, avsenderens kontonummer, og avsenderens adresse og personnummer eller alternativt, fødselsdato og -sted. Dersom betalingsmeldingen åpner for det, og betaleren har oppgitt det til betalingstjenesteyteren, skal i tillegg et identifikasjonsnummer for juridiske personer, enten Legal Entity Identifier-nummer (LEI-nummer) eller et tilsvarende unikt identifikasjonsnummer, følge med betalingen. Avsenderens betalingstjenesteyter må verifisere, fra pålitelige og uavhengige kilder, at opplysningene som følger med overføringen, er korrekte før overføringen gjennomføres, jf. artikkel 4 nr. 4. Dersom det er gjennomført kundekontrolltiltak etter hvitvaskingsloven, er kravet til verifisering oppfylt, jf. artikkel 4 nr. 5. Overføringen kan ikke gjennomføres før avsenderens betalingstjenesteyter har fullført alle forpliktelser under TFR II, jf. artikkel 4 nr. 6. Mottakerens betalingstjenesteyter må sørge for at de påkrevde opplysningene om avsenderens navn, kontonummer, LEI-nummer eller annen tilgjengelig offisiell identifikasjon, samt et transaksjonsnummer i tilfeller der overføringen ikke er gjort til eller fra en betalingskonto, medfølger den mottatte overføringen, jf. artikkel 7.

    Disse utvidede informasjonspliktene for betalingstjenesteytere trer først inn der en av partene i betalingskjeden er etablert utenfor EØS, og verdien av overføringen overstiger 1 000 euro. For overføringer der alle betalingstjenesteytere i betalingskjeden er etablert i EØS, gjelder forenklede krav til opplysninger som skal følge med overføringen, jf. artikkel 5. For slike overføringer må minst opplysninger om avsender og mottakers kontonummer og en unik transaksjonsidentifikasjon følge overføringen, jf. artikkel 5 nr. 1. Også for pengeoverføringer under 1 000 euro til land utenfor EØS gjelder de forenklede kravene der kun navn og transaksjonsidentifikasjon til mottaker og avsender må følge med overføringen. I begge tilfellene forenkles også kravene til verifikasjon. Avsenderens betalingstjenesteyter behøver ikke å verifisere informasjonen fra en uavhengig og pålitelig kilde med mindre pengene som overføres, har blitt mottatt i kontanter eller i anonyme elektroniske penger, eller det foreligger rimelig grunn til mistanke om hvitvasking eller terrorfinansiering, jf. artikkel 5 nr. 3.

    Dersom de påkrevde opplysningene ikke følger med overføringen og mottakerens betalingstjenesteyter etterspør disse, må avsenderens betalingstjenesteyter tilgjengeliggjøre opplysningene for mottakerens betalingstjenesteyter innen tre virkedager, jf. artikkel 5 nr. 2. Hvis overføringens verdi overstiger 1 000 euro, enten overføringen utføres i én enkelt transaksjon eller i flere transaksjoner som synes å henge sammen, må avsenderens betalingstjenesteyter på forespørsel oppgi alle opplysninger som er påkrevd etter artikkel 4. For overføringer som ikke synes å henge sammen med andre overføringer som til sammen har verdi over 1 000 euro, må avsenderens betalingstjenesteyter kun oppgi navn og betalingskontonummer eller unik transaksjonsidentifikasjon til mottakerens betalingstjenesteyter.

    Artikkel 6 gir nærmere bestemmelser for pengeoverføringer til stater utenfor EØS. Overføres pengene i en samleoverføring («batch file») fra én og samme avsender, og mottakerens betalingstjenesteyter er etablert utenfor EØS, gjelder informasjonskravene i artikkel 4 og 5 ikke for alle enkeltoverføringene. Artikkel 6 nr. 1 bestemmer at det er tilstrekkelig at opplysningene som kreves etter artikkel 4 (1), (2) og (3) følger med samlefilen, så fremt enkeltoverføringene inneholder oppdragsgiverens betalingskontonummer eller, dersom overføringen ikke foretas til eller fra en betalingskonto, den unike transaksjonsidentifikasjonen. Artikkel 6 nr. 2 bestemmer at for pengeoverføringer som ikke overstiger 1 000 euro og har mottaker etablert utenfor EØS, skal minst navn på avsenderen og mottakeren, samt avsenderens og mottakerens betalingskontonummer eller unike transaksjonsidentifikasjon, følge overføringen. Avsenderens betalingstjenesteyter plikter ikke å verifisere opplysningene om avsenderen med mindre betalingstjenesteyteren mottok pengene som skal overføres, i kontanter eller anonyme elektroniske penger, eller har rimelig grunn til mistanke om hvitvasking eller terrorfinansiering, jf. artikkel 6 nr. 2.

    Mottakerens betalingstjenesteyter forpliktes i artikkel 7 til å utarbeide rutiner for å kontrollere at de nødvendige opplysningene følger overføringen. Der mottaker av overføringen vil ha pengene utbetalt i kontanter eller anonyme elektroniske penger, der det foreligger grunn til mistanke om hvitvasking eller terrorfinansiering, eller der overføringen alene eller i flere overføringer som synes å henge sammen overstiger 1 000 euro, må mottakerens betalingstjenesteyter verifisere informasjonen som følger med overføringen gjennom en uavhengig og pålitelig kilde. Der det er foretatt kundekontrolltiltak etter hvitvaskingsregelverket, regnes opplysningene som verifisert også etter TFR II, jf. artikkel 7 nr. 5. Følger de nødvendige opplysningene ikke med overføringen, må mottakerens betalingstjenesteyter ha risikobaserte rutiner for å håndtere slike situasjoner. Mottakerens betalingstjenesteyter må enten innhente de manglende opplysningene før overføringen kan gjennomføres, eller avvise eller suspendere transaksjonen, jf. artikkel 8. Ved gjentatte feil fra avsenderens betalingstjenesteyter må mottakerens betalingstjenesteyter gi avsenderens betalingstjenesteyter en advarsel, avvise fremtidige overføringer eller avslutte forretningsforbindelsen. Mottakerens betalingstjenesteyter må rapportere feilen til tilsynsmyndigheten med ansvar for etterlevelse av hvitvaskingsregelverket, jf. artikkel 8 nr. 2 andre avsnitt, og skal anse manglende eller ufullstendige opplysninger som en faktor i vurderingen av om en overføring eller en tilknyttet transaksjon er mistenkelig, og om den skal rapporteres til den nasjonale enheten for finansiell etterretning, jf. artikkel 9.

    For ytere av mellomliggende betalingstjenester gjelder samme forpliktelser som for betalingstjenesteyterne til avsender og mottaker, se artikkel 10–13. Ytere av mellomliggende betalingstjenester skal sørge for at de nødvendige opplysningene følger med overføringen videre, og at det ikke mangler informasjon, jf. artikkel 10 og 11. Mangler nødvendige opplysninger, skal yter av mellomliggende betalingstjenester avvise, suspendere eller innhente nødvendige opplysninger før overføringen gjennomføres, jf. artikkel 12. Også ytere av mellomliggende betalingstjenester må rapportere gjentatte feil eller mistanke om hvitvasking og terrorfinansiering til tilsynsmyndigheten og enheten for finansiell etterretning, se artikkel 12 nr. 2 andre avsnitt og artikkel 13.

    Overføring av kryptoeiendeler

    Forpliktelsene for avsenderens kryptoeiendelstjenesteyter følger av artikkel 14 og 15. Tjenesteyteren må ved overføring av kryptoeiendeler sørge for at følgende informasjon følger med overføringen: avsenderens navn, adresse, og offisielle personlige dokumentnummer og kundeidentifikasjonsnummer eller alternativt, fødselsdato og fødested. I tillegg skal adressen på det distribuerte registeret følge med, i tilfeller der det brukes et nettverk som bruker distribuert registerteknologi («distributed ledger technology» – DLT). Der det ikke brukes DLT-teknologi, skal kryptokontonummeret følge med. Dersom det relevante meldingsformatet åpner for det, og avsender har oppgitt det til kryptoeiendelstjenesteyteren, skal i tillegg et identifikasjonsnummer for juridiske personer, enten Legal Entity Identifier-nummer (LEI-nummer) eller et tilsvarende unikt identifikasjonsnummer følge med overføringen. Avsenderens kryptoeiendelstjenesteyter må også sørge for at mottakerens navn, DLT-adresse, kryptokontonummer og LEI-nummer følger med overføringen. Opplysningene skal følge i forkant av eller samtidig med overføringen. Det er imidlertid ikke et krav om at opplysningene er vedlagt selve overføringen. Der flere transaksjoner overføres sammen i en gruppe, trenger opplysningene ikke å følge med den enkelte overføring, men det er tilstrekkelig at de følger med gruppefilen. Der overføringen er rettet til en frittstående adresse (i høringsnotatet kalt «personlig kryptokonto»), må avsenderens kryptoeiendelstjenesteyter kontrollere om adressen er eid eller kontrollert av avsender der overføringens verdi overstiger 1 000 euro. Også for overføring av kryptoeiendeler må avsenderens tjenesteyter verifisere opplysningene fra en uavhengig og pålitelig kilde, med mindre det er foretatt kundekontrolltiltak etter hvitvaskingsloven jf. artikkel 14 nr. 7. Kryptoeiendelstjenesteyteren kan ikke gjennomføre en overføring før informasjonskravene er oppfylt jf. artikkel 14 nr. 8.

    Forpliktelsene for mottakerens kryptoeiendelstjenesteyter følger av artikkel 16 og 17. Mottakerens kryptoeiendelstjenesteyter må ha på plass effektive rutiner for å avdekke om de nødvendige opplysningene følger med overføringen. Kommer overføringen fra en frittstående adresse og overstiger 1 000 euro, må mottakerens kryptoeiendelstjenesteyter vurdere om adressen er eid eller kontrollert av mottakeren. Før mottakerens kryptoeiendelstjenesteyter gjør kryptoeiendelene tilgjengelige for mottakeren, må tjenesteyteren verifisere opplysningene fra en uavhengig og pålitelig kilde, med mindre det er foretatt kundekontrolltiltak etter hvitvaskingsregelverket. Tilsvarende krav til rapportering til tilsynsmyndigheten som for mottakere av pengeoverføringer gjelder der mottakerens kryptoeiendelstjenesteyter avdekker manglende opplysninger med overføringen, jf. artikkel 17 nr. 2 andre avsnitt.

    Mottakerens kryptoeiendelstjenesteyter skal anse manglende eller ufullstendige opplysninger som en faktor i vurderingen av om en overføring eller en tilknyttet transaksjon er mistenkelig, og om den skal rapporteres til den nasjonale enheten for finansiell etterretning, jf. artikkel 18.

    For ytere av mellomliggende kryptoeiendelstjenester gjelder det tilsvarende krav til å avdekke at de nødvendige opplysningene følger med overføringen, og plikt til å verifisere at opplysningene er korrekte, som for mottakerens og avsenderens kryptoeiendelstjenesteytere, jf. artikkel 19–21. Ytere av mellomliggende kryptoeiendelstjeneste har også plikt til å innhente nødvendige opplysninger der disse mangler, eller avvise overføringen der de nødvendige opplysningene ikke gis. I tillegg må ytere av mellomliggende kryptoeiendelstjeneste lagre opplysninger om overføringer og ved forespørsel gjøre dem tilgjengelig for kompetente myndigheter. Tilsvarende krav til rapportering til tilsynsmyndigheten som for ytere av mellomliggende betalingstjenester av pengeoverføringer gjelder der yteren av mellomliggende kryptoeiendelstjenester avdekker manglende opplysninger med overføringen, jf. artikkel 21 nr. 2 andre avsnitt.

    Ytere av mellomliggende kryptoeiendelstjeneste skal anse manglende eller ufullstendige opplysninger som en faktor i vurderingen av om en overføring eller en tilknyttet transaksjon er mistenkelig, og om den skal rapporteres til den nasjonale enheten for finansiell etterretning, jf. artikkel 22.

    3.3.2.3 Restriktive tiltak

    Både betalingstjenesteytere og kryptoeiendelstjenesteytere pålegges å ha på plass interne retningslinjer, rutiner og tiltak for å påse etterlevelse av restriktive tiltak og sanksjoner ved overføring av verdier, jf. artikkel 23. Den europeiske banktilsynsmyndigheten (EBA) har gitt retningslinjer med veiledning for interne retningslinjer, rutiner og tiltak om betalingstjenesteyteres og kryptoeiendelstjenesteyteres plikter ved overføringer som involverer sanksjonerte enheter eller individer.

    I Norge er det Utenriksdepartementet som forvalter sanksjonsloven med forskrifter, hvor FNs sanksjoner og deler av EUs restriktive tiltak gjennomføres. EUs restriktive tiltak gjelder derfor ikke direkte i Norge. I EØS-versjonen av TFR II er det foretatt en tilpasning i artikkel 23, slik at teksten gjenspeiler praksis og gjeldende rett om at tjenesteytere i Norge kun skal ta hensyn til restriktive tiltak som er tatt inn i nasjonal rett, se også omtale av tilpasningen i punkt 3.4 nedenfor. Med tilpasningen forplikter TFR II betalingstjenesteytere og kryptoeiendelstjenesteytere til å påse etterlevelse av restriksjoner gjennomført i nasjonal rett og andre restriksjoner som EØS/EFTA-statene har implementert med grunnlag i bilaterale eller multilaterale traktater.

    3.3.2.4 Administrative sanksjoner

    TFR II har tilsvarende bestemmelser om administrative sanksjoner og overvåking som TFR I, jf. artikkel 28 og 29. Reglene i TFR I videreføres stort sett uendret i TFR II, men utvides til å omfatte kryptoeiendelstjenesteytere. Nasjonale myndigheter må sørge for at betalingstjenesteytere og kryptoeiendelstjenesteytere, samt personer i ledende stillinger og andre ansatte hos tjenesteyterne, kan holdes ansvarlige og ilegges administrative sanksjoner eller forvaltningstiltak for manglende etterlevelse og regelbrudd. TFR II fremhever fire regelbrudd som minst må medføre administrative sanksjoner eller forvaltningstiltak, jf. artikkel 29: a. gjentatte eller systematiske feil i opplysninger som skal medfølge pengeoverføringer eller overføringer av kryptoeiendeler, b. gjentatte, systematiske eller alvorlige mangler i tjenesteyternes lagring av opplysninger, c. mangler i etablering av effektive risikobaserte rutiner for avdekke mangler, og d. alvorlige brudd på plikten til å avdekke, rapportere eller innhente manglende opplysninger for ytere av mellomliggende betalingstjenester.

    De administrative sanksjonene og forvaltningstiltakene som skal være tilgjengelige for tilsynsmyndigheten, skal være konsistente med de som skal være tilgjengelige etter hvitvaskingsdirektivet kapittel VI avsnitt 4, jf. artikkel 28 nr. 1. Administrative sanksjoner og forvaltningstiltak som minst skal være tilgjengelige for tilsynsmyndigheten, er å

    • avgi en offentlig erklæring som identifiserer den fysiske eller juridiske personen og overtredelsens art,

    • gi pålegg der det kreves at den fysiske eller juridiske personen stanser atferden og avstår fra å gjenta slik atferd,

    • tilbaketrekke eller midlertidig suspendere en tillatelse,

    • ilegge et midlertidig forbud mot å utøve ledelsesfunksjoner i ansvarlige enheter for personer som har lederansvar eller for andre fysiske personer som holdes ansvarlige for overtredelsen, og

    • ilegge administrative overtredelsesgebyr.

    Gebyrets størrelse varierer etter typen rapporteringspliktig, og for bl.a. betalingstjenesteytere skal gebyret kunne være på inntil 10 pst. av samlet årsomsetning. Artikkel 31 nr. 1 bestemmer at tilsynsmyndigheten skal ta i betraktning alle relevante forhold, herunder forholdene angitt i hvitvaskingsdirektivet artikkel 60 nr. 4, når det avgjøres hvilken type forvaltningstiltak eller sanksjon som skal ilegges, samt ved utmåling av overtredelsesgebyr. Videre er det bestemt i TFR II artikkel 31 nr. 2 at reglene i hvitvaskingsdirektivet artikkel 62 skal gjelde for ileggelsen av forvaltningstiltak og sanksjoner etter forordningen. Hvitvaskingsdirektivet artikkel 62 gjelder i denne sammenhengen rapportering til EBA om ileggelsen av forvaltningstiltak og sanksjoner og EBAs føring av en internettside med lenker til publiserte forvaltningstiltak og sanksjoner.

    TFR II stiller krav om at avgjørelser om administrative sanksjoner eller tiltak skal publiseres der det er nødvendig og proporsjonalt etter en konkret vurdering, jf. artikkel 30. Artikkel 32 nr. 1 krever at statene etablerer effektive mekanismer for å oppfordre til rapportering til tilsynsmyndigheten av brudd på forordningen, og mekanismene skal minst omfatte kravene i hvitvaskingsdirektivet artikkel 61 nr. 2. Videre fremgår det av artikkel 32 nr. 2 at betalingstjenesteytere og kryptoeiendelstjenesteytere, i samarbeid med tilsynsmyndigheten, skal etablere rutiner for intern rapportering om brudd gjennom en sikker, uavhengig, særskilt og anonym kanal. Dette skal være proporsjonalt med arten og størrelsen på betalingstjenesteyteren eller kryptoeiendelstjenesteyteren.

    Artikkel 28 nr. 1 gir statene adgang til et nasjonalt valg. Statene kan velge at brudd på regler i forordningen som er kriminalisert og kan straffes, ikke skal være gjenstand for administrative sanksjoner eller forvaltningstiltak. Straffehjemmelen må i slike tilfeller kommuniseres til EU-kommisjonen.

    3.3.2.5 Andre bestemmelser

    TFR II artikkel 24 pålegger betalingstjenesteytere og kryptoeiendelstjenesteytere å gi opplysninger til tilsynsmyndighetene når de anmoder om det, fullt ut og uten opphold. Artikkel 25 inneholder bestemmelser om databeskyttelse. Det slås fast at betalingstjenesteytere og kryptoeiendelsytere må etterleve personvernreglene i forordning (EU) 2016/679 (GDPR) når de lagrer og behandler opplysninger for å oppfylle forpliktelsene i TFR II. Personopplysninger skal ikke lagres lenger enn det som er strengt nødvendig, jf. TFR II artikkel 26 nr. 1, men det må lagres opplysninger etter artikkel 4 til 7 og 14 til 16 i fem år. Ved utløpet av lagringstiden skal betalingstjenesteytere og kryptoeiendelstjenesteytere sørge for sletting av opplysningene om ikke nasjonal rett bestemmer noe annet, jf. artikkel 26 nr. 2. For å tillate eller kreve ytterligere lagring må statene bestemme under hvilke omstendigheter dette skal være tillatt eller påkrevd, og statene må ha gjennomført en grundig vurdering av nødvendigheten og proporsjonaliteten av slik ytterligere lagring. Nødvendighetsvurderingen må knyttes til forebygging, avdekking eller etterforskning av hvitvasking eller terrorfinansiering, og den ytterligere lagringstiden skal ikke overstige fem år. Informasjonsutveksling mellom kompetente myndigheter og med myndigheter i tredjestater er underlagt informasjonsdelingsbestemmelsene i hvitvaskingsdirektivet, jf. artikkel 27.

    Artikkel 35 handler om avtaler med land utenfor EU («tredjeland»). Artikkel 35 nr. 1. gir EU-kommisjonen kompetanse til å tillate EUs medlemsstater å inngå avtaler med tredjeland som inneholder unntak fra forordningens bestemmelser, bl.a. for å muliggjøre pengeoverføringer mellom landene. Artikkel 35 faller utenfor EØS-avtalen, fordi det gjelder forholdet til tredjeland, og bestemmelsen skal dermed ikke gjelde som norsk rett.

    3.3.2.6 Endringer i hvitvaskingsdirektivet

    TFR II artikkel 38 gjør endringer i direktiv (EU) 2015/849 (EUs fjerde hvitvaskingsdirektiv) for å samkjøre hvitvaskingsregelverket med TFR II.

    TFR II artikkel 38 nr. 1 opphever bestemmelsene i hvitvaskingsdirektivet artikkel 2 nr. 1 punkt 3 (g) og (h) som gjør tjenesteyterne for vekslingstjenester og oppbevaringstjenester for virtuell valuta til rapporteringspliktige. Nye definisjoner av kryptoeiendeler og kryptoeiendelstjenesteytere vil følge av TFR II artikkel 3 nr. 14 og 15, som henviser til MiCA. TFR II artikkel 38 nr. 2 (c) innfører nye definisjoner av kryptoeiendeler og kryptoeiendelstjenesteytere også i hvitvaskingsdirektivet, og det presiseres i den nye definisjonen at kryptoeiendelstjenesteytere ikke skal være omfattet av hvitvaskingsdirektivet når de kun yter rådgivning om kryptoeiendeler, som regulert i MiCA artikkel 3 nr. 1 punkt 16 (h).

    TFR II artikkel 38 nr. 2 (a) tilføyer kryptoeiendelstjenesteytere til hvitvaskingsdirektivets definisjon av «finansinstitusjon» i artikkel 3 nr. 2 ny bokstav (g). Gjennom artikkel 38 nr. 2 (b) blir også definisjonene av «korrespondentforbindelse» i hvitvaskingsdirektivet endret. Den nye definisjonen inkluderer relasjoner som er etablert for gjennomføring av kryptoeiendelstransaksjoner eller for overføringer av kryptoeiendeler.

    TFR II stiller videre krav til forsterkede tiltak for kundekontroll for overføringer til eller fra frittstående adresser («self-hosted addresses»). TFR II artikkel 38 nr. 2 (d) gir hvitvaskingsdirektivet en definisjon av frittstående adresser i direktivets artikkel 3 nr. 20. Som frittstående adresse regnes adresse på en distribuert registerteknologi som ikke er knyttet til en tilbyder av konsesjonspliktige tjenester. I ny artikkel 19a er det bestemt at statene skal kreve at kryptoeiendelstjenesteytere identifiserer og vurderer hvitvaskings- og terrorfinansieringsrisikoen forbundet med, og ha særlige rutiner og tiltak ved, overføring av kryptoeiendeler til eller fra en frittstående adresse. Statene skal kreve at tjenesteyterne iverksetter risikoreduserende tiltak i tråd med den identifiserte risikoen, og de tiltakene skal inkludere ett eller flere av følgende:

    1. gjennomføre risikobaserte tiltak til å identifisere og verifisere identiteten av avsender eller mottaker og deres reelle rettighetshavere,

    2. kreve ytterligere informasjon om midlenes opprinnelse og mottakeren av de overførte kryptoeiendelene,

    3. gjennomføre løpende forsterkede kundetiltak av transaksjonene, eller

    4. treffe andre tiltak for å motvirke og håndtere risikoen for hvitvasking, terrorfinansiering, oppfølging av økonomiske sanksjoner og sanksjoner knyttet til finansiering av masseødeleggelsesvåpen.

    TFR II artikkel 38 nr. 4 gir også en ny regel om korrespondentrelasjoner utenfor EØS som involverer overføringer av kryptoeiendeler, se hvitvaskingsdirektivet ny artikkel 19b. Når respondentinstitusjonen er etablert utenfor EØS, skal kryptoeiendelstjenesteyter, i tillegg til de alminnelige kundetiltakene i hvitvaskingsdirektivet artikkel 13, gjennomføre forsterkede kundetiltak ved avtaleinngåelsen. De forsterkede tiltakene er å

    1. avklare om respondentinstitusjonen har konsesjon eller er registrert,

    2. innhente informasjon om respondentens art, kvalitet og omdømme,

    3. vurdere respondentinstitusjonens tiltak mot hvitvasking og terrorfinansiering,

    4. innhente godkjenning fra overordnet før etablering av ny korrespondentforbindelse,

    5. dokumentere institusjonens ansvar, og

    6. dersom det brukes oppgjørskonti for kryptoeiendeler, forsikre seg om at korrespondenten har bekreftet identiteten til og fører oppfølgning av kunder som har adgang til kontoer, og på anmodning kan fremlegge relevante opplysninger om kundetiltak og oppfølgningen av kundene.

    Dersom kryptoeiendelstjenesteytere avslutter en korrespondentforbindelse begrunnet i rutiner etter hvitvaskingsregelverket, skal beslutningen dokumenteres. Kryptoeiendelstjenesteyteren skal regelmessig oppdatere kundetiltakene for korrespondentforholdet, i tillegg til når nye risikoer fremkommer om respondentinstitusjonen, se ny artikkel 19b nr. 1 tredje avsnitt. Statene skal sørge for at kryptoeiendelstjenesteytere tar i betraktning informasjonen referert til i artikkel 19b nr. 1 for å avgjøre, på risikosensitiv basis, de aktuelle tiltakene som skal redusere risikoene forbundet med respondentinstitusjonen, jf. artikkel 19b nr. 2.

    TFR II artikkel 38 nr. 6 tilføyer kryptoeiendelstjenesteytere til kravet i hvitvaskingsdirektivet artikkel 45 nr. 9 om at tjenesteytere som er etablert på deres territorier i en annen form enn filialer, og hvis hovedkontor ligger i en annen medlemsstat, skal utpeke et sentralt kontaktpunkt på statens territorium for å sikre at bestemmelsene om bekjempelse av hvitvasking og terrorfinansiering blir overholdt.

    Flere av endringene i TFR II artikkel 38 innebærer at EBA får i oppgave å utarbeide ulike retningslinjer, jf. endringene til hvitvaskingsdirektivet artikkel 18 og ny artikkel 19a, 19b og 24a. Blant annet skal EBA utarbeide retningslinjer om risikovariabler og -faktorer som kryptoeiendelstjenesteytere må vurdere når de inngår nye forretningsforbindelser eller foretar overføringer, retningslinjer om kriterier og metoder for å verifisere identiteten til avsender og mottaker ved en transaksjon til eller fra en frittstående adresse, og retningslinjer om kriterier og faktorer som kryptoeiendelstjenesteytere må vurdere når de etablerer korrespondentforbindelser med respondenter utenfor EØS.

    3.3.3 Forslaget i høringsnotatet

    Finanstilsynet foreslår å gjennomføre TFR II ved inkorporasjon i hvitvaskingsloven, mens forordningens forgjenger har vært gjennomført i forskrift. I høringsnotatet foreslås inkorporasjonen av TFR II gjennomført i hvitvaskingsloven § 52. Enkelte av direktivendringene i TFR II artikkel 38 krever endring i hvitvaskingsloven med forskrift. Finanstilsynet foreslår derfor en rekke endringer i det norske hvitvaskingsregelverket.

    Hovedendringen er at hvitvaskingsregelverket utvides fra å gjelde for vekslings- og oppbevaringstjenester for virtuell valuta, til å gjelde for kryptoeiendelstjenesteytere. Finanstilsynet foreslår at «kryptoeiendelstjenesteytere» inntas i oppregningen av rapporteringspliktige i hvitvaskingsloven § 4 første ledd, og at definisjonen av «kryptoeiendel» og «kryptoeiendelstjenesteytere» inntas i hvitvaskingsloven § 2 med en henvisning til definisjonen i MiCA artikkel 3 nr. 1 punkt 15. Fordi kryptoeiendelstjenesteytere ikke er omfattet av hvitvaskingsloven når de kun yter rådgivning om kryptoeiendeler, foreslår Finanstilsynet at dette presiseres i hvitvaskingsloven § 2. I tillegg foreslås et tillegg i hvitvaskingsloven § 2 bokstav i nr. 2 slik at kryptoeiendeler tas inn i definisjonen av korrespondentforbindelse.

    Om kundetiltak vurderer Finanstilsynet at det i hvitvaskingsdirektivet og hvitvaskingsloven allerede ligger et krav om at rapporteringspliktige må ha risikovurderinger, rutiner og tiltak for alle produkter og tjenester de tilbyr, og som inngår i den registreringspliktige virksomheten. Finanstilsynet forstår direktivendringen som en fremheving av en særlig risikofylt transaksjonstype. Frittstående adresse (i høringsnotatet kalt «personlig kryptokonto») har ikke tilknytning til en registreringspliktig eller konsesjonspliktig virksomhet, jf. definisjonen i TFR II artikkel 3 punkt 20. Det kan derfor være større risiko for at midlene er tilknyttet hvitvasking og terrorfinansiering, ettersom det ikke er gjennomført kundetiltak overfor eier av kontoen av en annen rapporteringspliktig. Etter Finanstilsynets vurdering er det ikke behov for å spesifikt regulere kravet til risikovurderinger og rutiner. Dette følger av hvitvaskingsloven §§ 7 og 8, og vil være viktigere for produkter og tjenester med høyere risiko. Det foreslås derfor en bestemmelse om forsterkede kundetiltak knyttet til transaksjonstypen. Finanstilsynet legger til grunn at flere av tiltakene vil måtte gjennomføres uavhengig av de konkrete forpliktelsene som følger av hvitvaskingsdirektivet artikkel 19a. Forskjellen blir at rapporteringspliktige ikke kan vurdere dette ut fra en risikobasert tilnærming, men blir nødt til å gjennomføre tiltak for hver overføring. Finanstilsynet foreslår at dette inntas som ny § 17a i hvitvaskingsloven.

    TFR II forutsetter nasjonal gjennomføring av bestemmelser om tilsyn, herunder at det gis regler om tilsynsvirkemidler, administrative sanksjoner og andre forvaltningstiltak. I dag gjennomfører hvitvaskingsloven § 49 sanksjonsbestemmelsene om ileggelse av overtredelsesgebyr og ledelseskarantene i bl.a. TFR I. Finanstilsynet vurderer at bestemmelsene om overtredelsesgebyr i TFR II vil være dekket ved at kryptoeiendelstjenesteytere underlegges hvitvaskingsloven og henvisningen i hvitvaskingsloven § 49 oppdateres.

    TFR II gir adgang til nasjonale valg om unntak fra informasjonsplikter for overføringer av mindre beløp, utvidet lagringstid for personopplysninger, og unntak fra kravet til å ha tilgjengelig administrative sanksjoner og forvaltningstiltak der regelbrudd kan straffesanksjoneres. Også TFR I ga nasjonale valg. Da TFR I ble gjennomført i norsk rett, ble de nasjonale valgene ikke benyttet.

    Når det gjelder forsterkede tiltak ved korrespondentforbindelser med en institusjon fra stat utenfor EØS som respondentinstitusjon, tilsvarer bestemmelsen i TFR II i stor grad gjeldende bestemmelse om forsterkede tiltak ved korrespondentforbindelser, jf. hvitvaskingsdirektivet artikkel 19, som er gjennomført i hvitvaskingsloven § 19. Finanstilsynet foreslår at den nye bestemmelsen i TFR II implementeres ved justering av § 19 i hvitvaskingsloven. Dette kan gjøres ved å inkludere kryptoeiendelstjenesteytere i angivelsen av hvem bestemmelsen gjelder for. Tiltaket om å fastslå om motparten er registrert eller innehar konsesjon, samt inkludere kryptokontoer som oppgjørskontoer, kan inntas i andre ledd i hvitvaskingsloven § 19. I tillegg foreslår Finanstilsynet et nytt tredje ledd om krav til å dokumentere visse beslutninger. Finanstilsynet anser det ikke som nødvendig å endre hvitvaskingsloven § 19 som følge av justeringene i hvitvaskingsdirektivets nye bestemmelse om korrespondentforbindelse for kryptoeiendeler. Finanstilsynet mener det ikke bør gis særregulering for én type korrespondentforhold, når den generelle bestemmelsen om løpende oppfølging gjelder for en rekke andre rapporteringspliktige.

    For retningslinjer fra EBA knyttet til artikkel 18, 19a, 19b og 24a vil Finanstilsynet publisere informasjon om slike retningslinjer og i hvilken grad det forventes at disse følges av norske foretak.

    For øvrig peker Finanstilsynet på at begrepet «virtuell valuta» i norsk rett avviker fra definisjonen av «kryptoeiendeler» i TFR II og MiCA, og foreslår at definisjonen av virtuell valuta i hvitvaskingsforskriften § 1-3 oppheves.

    3.3.4 Høringsinstansenes syn

    Finans Norge har følgende merknad til Finanstilsynets forslag til ny hvitvaskingslov § 17a om krav til forsterkede kundetiltak:

    «Ordlyden innledningsvis viser til at det skal gjennomføres forsterkede kundetiltak ved transaksjoner til eller fra ‘personlige kryptokontoer.’ Ordlyden isolert sett skaper tvil om hvem som skal gjennomføre kundetiltakene. Finans Norge forstår høringsnotatet slik at kravet gjelder for kryptoeiendelstjenesteytere. Det vises til uttalelsen på side 39 i høringsnotatet hvor følgende fremgår:
    ‘TFR II artikkel 38 nr. 4 innfører en ny bestemmelse i hvitvaskingsdirektivet artikkel 19a som pålegger medlemsstatene å gi regler om forsterkede kundetiltak for kryptoeiendelstjenesteytere.’ [Understreket her].
    Det bør fremgå tydelig av bestemmelsens ordlyd at kravet til forsterkede kundetiltak gjelder kryptoeiendelstjenesteytere. Det bør også inntas en henvisning til ny § 2 bokstav m som definerer kryptoeiendelstjenesteyter.»

    Fintech Norway mener at det er viktig at de nye kravene som kommer i TFR II, må være praktisk gjennomførbare for betalingsforetak. Fintech Norway mener at banker i dag ikke tillater betalingsforetak å motta informasjonen som er påkrevd i forordningen, og at betalingsforetak ikke har adgang til å lese eller lagre informasjonen i API-ene som er gitt av bankene. Fintech Norway peker videre på at 1 000 euro-terskelen i forordningens artikkel 5 og 6 ikke er samkjørt med dagens hvitvaskingslov, som refererer til enkeltstående transaksjoner på 8000 kroner i hvitvaskingsloven § 10 første ledd bokstav b nr. 2. Det bes også om en presisering av om verifikasjonen som kreves for overføringer som overstiger 1 000 euro som skal anses gjennomført dersom det er truffet kundetiltak etter hvitvaskingsloven, gjelder for både avsenderens og mottakerens tjenesteyter. Fintech Norway peker videre på at det er en utfordring at viktige jurisdiksjoner som Storbritannia, USA og Singapore ikke er tatt høyde for, og at det ikke er tatt hensyn til regulering omkring høyrisikoland innenfor EU.

    Om tilganger til nødvendig register skriver Fintech Norway:

    «Betalingsforetak har samtidig heller ikke tilgang til nødvendige register, for å verifisere informasjonen mottatt som det er krav om i forordningens artikkel 4.4. hvor det er krav om å verifisere informasjonen som er medfølgende transaksjonen, hvor det er nødvendig. Betalingsforetak har ikke adgang til OCR, hvor banker forhindrer betalingsforetak i å kvalitetssikre betalinger, ved å ikke tillate tilgang.
    Dette inkluderer også KAR-registeret hvor banker har direkte tilgang. Derimot hvis betalingsforetak skal ha tilgang, vil dette forutsette en kunderelasjon til en bank som tilbyr denne tilgangen som et produkt eller tjeneste. Hensyn til å inkludere nyoppstartede selskaper, som betalingsforetak regulert av PSD2 i det finansielle landskapet, er påpekt blant annet ved kontraheringsplikten i Norge. I motsetning til andre nordiske land opprettholder Norge kontraheringsplikten ovenfor både fysiske så vel som juridiske personer, med hensikt om å fostre opp under innovasjon og nyskaping. Dette strider direkte i mot at betalingsforetak må betale banker for å opprettholde sine forpliktelser.»

    Til slutt peker Fintech Norway på at dagens hvitvaskingslov § 31 tredje ledd stenger for at kryptoeiendelstjenesteytere kan anmode om og motta informasjon som mangler ved pengeoverføringer.

    Økokrim har merknad til den foreslåtte beløpsgrensen på 8 000 kroner i Finanstilsynets forslag til endring i hvitvaskingsforskriften § 4-1a bokstav b. Økokrim er kjent med at overføringer knyttet til terrorfinansiering og kjøp av overgrepsmateriale også gjennomføres med lave beløpsstørrelser. En beløpsgrense på 8 000 kroner kan medføre at slike transaksjoner ikke blir avdekket. Økokrim mener det bør vurderes om beløpsgrensen skal settes lavere eller utgå i sin helhet. Til forslag til ny § 17a i hvitvaskingsloven om forsterkede kundetiltak for transaksjoner til og fra personlige kryptokontoer (frittstående adresser) har Økokrim følgende merknad:

    «Økokrim mener at det bør fremkomme tydeligere av ordlyden at rapporteringspliktige ikke her står fritt til å velge tiltak. Økokrim mener at rapporteringspliktige minimum skal gjennomføre tiltak a, og at hvor langt en må gå for å identifisere og verifisere reelle rettighetshavere skal følge en risikobasert tilnærming. De følgende tiltakene kommer eventuelt i tillegg. Fra et hvitvaskingsperspektiv er det også naturlig at det første trinnet i en forsterket kundekontroll er å undersøke hvem som reelt sett er involvert i transaksjonen. Som Finanstilsynet skriver i høringsnotatet, er det ved transaksjoner til eller fra personlige kryptokontoer en økt hvitvaskingsrisiko nettopp fordi ‘det ikke er gjennomført kundetiltak overfor eier av kontoen av en annen rapporteringspliktig.’ Videre mener Økokrim at sammenhengen mellom tiltak a til c bør komme tydeligere frem av ordlyden. For tiltak ‘a. Identifisere og verifisere identiteten av avsender, mottaker og deres reelle rettighetshavere,’ bør det gis veiledning til hvordan identitet skal verifiseres. Videre mener Økokrim at det bør vurderes om det kan gis tydeligere krav eller veiledning til hvordan de forsterkede kundetiltakene skal gjennomføres, herunder en utdypning av ‘alle andre tiltak for å motvirke og håndtere risikoen for hvitvasking og terrorfinansiering’ samt ‘gjennomføre forsterket løpende oppfølging av transaksjonene.’»

    3.3.5 Departementets vurdering

    Departementet slutter seg til Finanstilsynets forslag om å inkorporere TFR II i hvitvaskingsloven, slik at forordningen vil gjelde som norsk lov. Ved også å innta de foreslåtte regelendringene i hvitvaskingsloven og gjøre kryptoeiendelstjenesteytere til rapporteringspliktige, vil kravene forordningen stiller til det norske lovverket, være dekket.

    Departementet er enig i Finans Norge sitt forslag om å presisere den foreslåtte ordlyden i ny § 17a i hvitvaskingsloven, slik at det tydeligere kommer frem at forpliktelsen til å gjennomføre forsterkede kundetiltak ved overføringer til og fra frittstående adresser, gjelder for kryptoeiendelstjenesteytere.

    Når det gjelder Økokrims merknad til forslag til ny § 17a i hvitvaskingsloven om å presisere minimumstiltakene rapporteringspliktige skal gjennomføre, viser departementet til at Finanstilsynets forslag til ny § 17a reflekterer kravene i ny artikkel 19a i hvitvaskingsdirektivet. For overføringer til og fra frittstående adresser krever TFR II artikkel 14 nr. 5 at avsenderens tjenesteyter anskaffer og lagrer opplysninger om avsenderens og mottakerens identitet. Artikkel 16 nr. 2 pålegger mottakerens tjenesteyter å anskaffe og lagre samme informasjon. Kravene utløses av at det er en frittstående adresse i den ene enden av betalingskjeden, uavhengig av beløpsgrenser. Departementet foreslår å presisere i ny § 17a at tjenesteytere må gjennomføre en konkret risikovurdering ved overføringer til eller fra frittstående adresser, og basert på risikovurderingen, gjennomføre minst ett av tiltakene som er listet opp i bestemmelsen. Etter departementets vurdering er det en fordel å synliggjøre dette kravet direkte i bestemmelsen, som en særlig forpliktelse i forbindelse med denne typen transaksjoner, selv om det også vil følge av de overordnede kravene i hvitvaskingsloven om å gjennomføre en risikovurdering, utarbeide rutiner og ha en risikobasert tilnærming, jf. hvitvaskingsloven §§ 7, 8 og 9.

    Departementet har i arbeidet med gjennomføringen av TFR II, og i lys av høringssvarene fra Fintech Norway og Økokrim om Finanstilsynets forslag til regler om kundetiltak ved overføringer av kryptoeiendeler, sett behov for å justere hvitvaskingslovens regler om når det er krav om å gjennomføre kundetiltak. I hvitvaskingsloven § 10 første ledd bokstav b er det i dag satt en beløpsgrense på 8 000 kroner for kundetiltak ved enkeltstående transaksjoner som nærmere definert i forskrift. Med enkeltstående transaksjoner menes her transaksjoner for kunder som rapporteringspliktig ikke har et etablert kundeforhold til.

    For oversiktens skyld fremhever departementet at TFR II opererer med beløpsgrenser i to tilfeller. For det første skiller forordningen mellom pengeoverføringer som har høyere og lavere verdi enn 1 000 euro. Skillet har betydning for betalingstjenesteyteres forpliktelser med hensyn til hvor omfattende opplysningene som følger med overføringen skal være, samt til verifiseringen av opplysningene. Kravene forenkles for overføringer som ikke overstiger 1 000 euro. For det andre gir TFR II særlige regler for overføringer over 1 000 euro til eller fra såkalte frittstående adresser.

    For overføringer av kryptoeiendeler krever TFR II at verifiserte opplysninger følger med overføringen uavhengig av verdien av overføringen. Dagens regel om kundetiltak ved transaksjoner over 8 000 kroner vil derfor ikke dekke kravene i forordningen hva gjelder overføringer av kryptoeiendeler.

    For pengeoverføringer er det i forordningen krav om at nærmere bestemte pengeoverføringer over 1 000 euro, uten hensyn til om overføringene utføres i én enkelt transaksjon eller flere transaksjoner som synes å henge sammen, skal medfølges av visse verifiserte opplysninger. Dagens regel om kundetiltak ved enkeltstående transaksjoner over 8 000 kroner er ikke omfattet av regelen i hvitvaskingsloven § 10 annet ledd første punktum om at beløpsgrensen skal beregnes samlet for transaksjoner som gjennomføres i flere operasjoner som synes å ha sammenheng. Begrunnelsen for denne forskjellen i loven er at hvitvaskingsdirektivet artikkel 11 bokstav b, c og d inneholder et slikt skille mellom ulike typer transaksjoner, til tross for at TFR I også krever at overføringer ses i sammenheng. Konsekvensen er at dagens beløpsgrense på 8 000 kroner ikke vil innebære at kundetiltak påkreves i tråd med forordningen, fordi kriteriet om overføringer som synes å henge sammen, ikke er fanget opp.

    Spørsmålet blir etter dette hvordan TFR IIs krav til gjennomføring av visse kundetiltak skal ivaretas. Departementet foreslår en særskilt bestemmelse om krav til kundetiltak i tilfeller der dette ellers er påkrevd av TFR II, se forslag til § 10 første ledd ny bokstav d. Riktignok vil krav til verifisering av opplysningene følge av forordningen selv, som altså foreslås inkorporert i lov, men departementet mener det er behov for en mer tilgjengelig regel for rapporteringspliktige om å gjennomføre kundetiltak. Forslaget til ny bokstav d i hvitvaskingsloven § 10 skal sikre at relevante rapporteringspliktige skal gjennomføre kundetiltak som påkrevd av forordningen, også om grensen på 8 000 kroner beholdes.

    Departementet bemerker at det kan reise spørsmål ved om gjeldende hvitvaskingslov § 10 første ledd bokstav b om 8 000-kronersgrensen bør oppheves. Departementet foreslår ikke det nå, og det er flere grunner til det. For det første bør regelverket være så forutsigbart som mulig, noe som tilsier at mengden endringer begrenses. For det andre kan det være nyttig med en særskilt regel om kundetiltak for pengeoverføringer også utenfor tilfeller der dette er påkrevd av TFR II. Kundetiltak som innebærer innhenting og dokumentasjon av opplysninger kan forebygge at kriminelle tar i bruk rapporteringspliktiges tjenester. Det bidrar også til at opplysninger og dokumentasjon er tilgjengelig for myndighetene, om det skulle være behov for dem i forbindelse med f.eks. etterforskning. I hvitvaskingsforskriften § 4-1a er det gitt regler om hvilke transaksjoner som er omfattet av 8 000-kronersgrensen i § 10 første ledd bokstav b. Departementet bemerker at det tas sikte på å fastsette konsekvensendringer i denne når TFR II trer i kraft, slik som å oppheve bokstav c, som i dag henviser til TFR I, som gjennomført i hvitvaskingsforskriften § 10-1.

    Når det gjelder Fintech Norway sitt innspill om taushetsplikten i hvitvaskingsloven § 31 tredje ledd, mener departementet at bestemmelsen ikke er til hinder for at tjenesteytere innhenter informasjon fra avsenderens eller mottakerens tjenesteyter for å oppfylle informasjonskravene i TFR II.

    TFR II gir videre stater adgang til å ha nasjonale valg i forordningens artikkel 2 nr. 5, artikkel 26 nr. 2 og artikkel 28 nr. 1. Disse valgene lå også inne i TFR I, men ble ikke benyttet da forordningen ble gjennomført i hvitvaskingsregelverket.

    For valget om å unnta transaksjoner med verdi under 1 000 euro når formålet med disse er å betale for varer eller tjenester, og mottakerens betalingstjenesteyter er underlagt hvitvaskingsregelverket og kan spore betalingen tilbake til avsender, mener departementet at det ikke er behov for å benytte det nasjonale valget. Et nasjonalt unntak vil frita en rekke overføringer fra informasjonskravene i TFR II, og slik gi færre muligheter for å avdekke og kontrollere hvitvaskingsrisiko. Det nasjonale valget ble heller ikke benyttet ved inkorporeringen av TFR I.

    Det er som nevnt et nasjonalt valg å utvide den femårige lagringstiden for personopplysninger i inntil fem år til, men dette forutsetter en grundig vurdering av om det er nødvendig og proporsjonalt for å forebygge, avdekke eller etterforske hvitvasking eller terrorfinansiering. Det er ikke ennå foretatt noen slik vurdering i Norge, og departementet foreslår derfor ikke å benytte det nasjonale valget i loven nå. Hvitvaskingsloven § 30 fjerde ledd åpner imidlertid for at departementet i forskrift kan gi nærmere regler om hvordan opplysninger og dokumenter skal registreres og lagres, samt om lagring av personopplysninger utover fem år, med en maksimal lagringstid på ti år. Bestemmelsen refererer i første ledd til hvitvaskingsloven §§ 9 til 26, og det kan derfor være uklart om hjemmelen også kan brukes til å forlenge lagringstiden som pålegges i TFR II. Departementet foreslår derfor å inkludere en forskriftshjemmel i inkorporasjonsbestemmelsen til TFR II, se forslag til § 52 annet ledd, slik at lagringstiden kan forlenges hvis det vurderes som nødvendig og proporsjonalt i et senere forskriftsarbeid.

    Departementet slutter seg til Finanstilsynets forslag om at hvitvaskingslovens § 49 om overtredelsesgebyr skal gjelde for overtredelser av TFR II. Departementet mener derfor at det ikke er behov for å benytte det nasjonale valget om at stater kan velge å ikke innføre regler om administrative sanksjoner og forvaltningstiltak hvis det aktuelle regelbruddet er straffsanksjonert i nasjonal rett.

    3.4 Samtykke til godkjenning av EØS-komiteens beslutning om innlemmelse av forordningen

    3.4.1 Omtale av beslutningen

    EØS-komiteen besluttet 20. februar 2025 å innlemme forordning (EU) 2023/1113 (TFR II) om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler i EØS-avtalen, jf. EØS-komitébeslutning 42/2025. Gjennomføring i norsk rett av beslutning nr. 42/2025 om innlemmelse i EØS-avtalen av TFR II vil kreve lovendring. Det er derfor nødvendig med Stortingets samtykke til godkjennelse av EØS-komiteens beslutning.

    Beslutningen inneholder en fortale og tre artikler.

    Artikkel 1 innlemmer forordningen i EØS-avtalen. Etter artikkel 1 nr. 1 i EØS-komiteens beslutning skal det tilføyes en henvisning til TFR II i EØS-avtalens vedlegg XII punkt 23b, som viser til direktiv (EU) 2015/849 (fjerde hvitvaskingsdirektiv). Etter artikkel 1 nr. 2 skal punkt 23ba som henviser til forordning (EU) 2015/847 (TFR I), erstattes med en henvisning til TFR II. Det foreslås her en tilpasning av forordningsteksten i TFR II artikkel 23 om restriktive tiltak. Tilpasningen er nærmere omtalt nedenfor.

    Artikkel 2 fastsetter at EØS-komiteens beslutning skal tre i kraft 21. februar 2025, forutsatt at konstitusjonelle forbehold etter artikkel 103 nr. 1 i EØS-avtalen er hevet. Fordi den angitte datoen er passert, vil beslutningen tre i kraft den første dag i den annen måned etter siste meddelelse om heving av konstitusjonelle forbehold, jf. artikkel 103 nr. 1 annet ledd.

    I artikkel 3 følger det at EØS-komiteens beslutning på vanlig måte skal kunngjøres i EØS-avdelingen og EØS-tillegget til Den europeiske unions tidende.

    EØS-komiteens beslutning nr. 42/2025 og forordningen i uoffisiell norsk oversettelse er vedlagt denne proposisjonen.

    3.4.2 Tilpasninger i EØS-komitébeslutningen

    Det gjøres én særskilt tilpasning i forordningsteksten i EØS-komitébeslutningens artikkel 1 nr. 2. Tilpasningen gjelder artikkel 23 i forordningen, som pålegger betalingstjenesteytere og kryptoeiendeltjenesteytere å ha interne rutiner, prosedyrer og kontroller for å sikre gjennomføring av sanksjoner. I artikkelen er det referert til «Union and national restrictive measures», der «restrictive measures» er navnet på EUs sanksjoner. Siden EUs sanksjonsregime faller utenfor EØS-avtalen, går tilpasningen ut på å endre teksten til «nationally applicable restrictive measures». Tilpasningen gjenspeiler praksis og norsk rett, som er at Norge og EFTA-landene ikke skal forholde seg direkte til EUs restriktive tiltak (sanksjoner), men til restriksjoner og sanksjoner som er implementert i norsk rett.

    3.4.3 Tilrådning

    Forordningen er EØS-relevant, og Finansdepartementet anbefaler at Stortinget samtykker til innlemmelse av forordningen med tilpasningstekster i EØS-avtalen.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen