Övergångsbestämmelse till penningtvättslagen
Principer för tillämpning av övergångsbestämmelsen punkten 2 lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism för privatkunder
Bankföreningen, tillsammans med medlemmarna, har identifierat följande bästa praxis (best practice) för uppfyllande av de svenska kraven på att uppnå kundkännedom för befintliga privatkunder i enlighet med övergångsbestämmelsen punkten 2 lagen om åtgärder mot penningtvätt och finansiering av terrorism.
Principerna grundar sig på den praxis som bankerna tillämpar.
Inledningsfasen
- Hela kundunderlaget ska genomgå en riskbedömning inklusive de befintliga kunderna som anges i punkten 2 övergångsbestämmelserna.
- Utifrån bankens riskbedömning upprättas för verksamheten lämpliga processer för kundkännedom, som hanterar de risker som identifierats för både befintliga och nya
- Riskbedömningen ska dokumenteras och processerna ska framgå av verksamhetens interna regler för kundkännedom.
- Om kundkännedomen för befintliga kunder bedöms som otillräcklig ska den uppdateras.
- Prioritering av åtgärder för att uppnå adekvat kundkännedom för befintliga kunder ska utgå från bedömd risk där kunder som bedöms medföra hög risk bör hanteras först.
- Om full kundkännedom inte uppnås för befintliga kunder som bedöms medföra hög risk måste åtgärder vidtas för att förhindra möjligheten till fortsatta transaktioner på konton tillhörande dessa
Privatkunder med normal risk
För privatkunder med normal risk kan i många fall banken konstatera att den har adekvat kundkännedom utan att kunden behöver kontaktas. Följande rutiner kan då tillämpas.
Identifiering
- För fysiska personer kan identifiering enligt 4 kap. 3 § 2 FFFS 2009:1 tillämpas, dvs. banken jämför befintlig information om kundens namn, personnummer och adress med uppgifterna i folkbokföringsregister. Om dessa uppgifter överensstämmer får kontakt anses ha etablerats med kunden genom de försändelser som banken skickat till kundens folkbokföringsadress. Sådana försändelser kan t.ex. gälla ett nytt kort eller ett årsbesked. Kunden anses då identifierad i enlighet med nämnda regler om identifiering på distans. Denna metod för distansidentifiering kräver att banken kan visa att ett utskick ägt rum vid specifik tidpunkt.
- Om kunden saknar adress i folkbokföringsregistret bör banken kontakta kunden samt be kunden skicka in kopia av pass eller liknande samt den information banken i övrigt anser är nödvändig för att uppnå kundkännedom.
- Om identifieringen skett via ombud (ex. Posten), i samband med utlämnande av PIN kod eller liknande, ska banken dokumentera sin rutin för kontroll av att ombudet följer de av banken satta identifieringsrutinerna (jfr FI dnr 07-10107, Skandia).
- Om kunden använder e-legitimation eller annan motsvarande teknik för elektronisk identifiering ska kunden anses identifierad.
Syfte
- Syftet med affärsförbindelsen kan framgå av de produkter och tjänster kunden valt. I de fall osäkerhet råder om affärsförbindelsens syfte, eller när det finns flera möjliga syften, bör ytterligare information inhämtas från kunden.
Art
- Arten, dvs. hur kunden använder eller avser att använda produkterna och tjänsterna, kan också framgå av de produkter och tjänster kunden valt eller indirekt via bankens transaktionsmonitorering. I de fall osäkerhet råder om arten bör ytterligare information inhämtas från kunden.
I de fall banken bedömer att kunden bör inkomma med kompletterande uppgifter bör banken samtidigt dels förklara varför banken begär uppgifterna trots att kunden är en befintlig kund, dels bör information lämnas om de konsekvenser som följer om kunden inte inom angiven tid lämnar de uppgifter banken begär. Sådana konsekvenser kan vara att ytterligare tjänster inte kan tillhandahållas, att vissa eller alla befintliga tjänster/produkter sägs upp eller att tillgången till dessa spärras.
Befintliga privatkunder med hög risk
Om banken bedömt att en befintlig kund ska klassificeras som hög risk, och adekvat kundkännedom inte finns, behöver kunden i normalfallet kontaktas för kompletterande kundkännedom. En trestegsmodell kan användas. Själva modellen och åtgärder som vidtas inom ramen för modellen ska framgå av bankens interna regler.
- Banken kontaktar kunden med en begäran om att kunden ska skicka in de uppgifter banken behöver för att uppnå kravet på fullständig och adekvat kundkännedom. Banken bör samtidigt ange inom vilken tid kunden ska ha inkommit med svar till banken (t.ex. fyra veckor)
Banken bör samtidigt även förklara för kunden varför banken begär uppgifterna trots att kunden är en befintlig kund och informera kunden om de konsekvenser som följer om kunden inte lämnar de uppgifter banken begär inom angiven tid. Sådana konsekvenser kan vara att ytterligare tjänster inte kan tillhandahållas, att vissa eller alla befintliga tjänster/produkter sägs upp eller att tillgången till dessa spärras.
- Om banken inte erhåller svar från kunden inom angiven tid bör kunden få en påminnelse med samma information som tidigare samt uppgift om tidpunkt när kunden senast ska ha inkommit med
- Om banken inte får begärd information inom angiven tid kan tjänster/produkter sägas upp. I första hand bör uppsägningen gälla de betaltjänster som kunden måste ha för att kunna använda kontot. I möjligaste mån bör uppsägningsbestämmelserna i kontovillkoren åberopas. Endast för det fall kunden kan anses innebära en risk som inte kan hanteras (oacceptabel risk), bör även kontot sägas upp. Under tiden kan kontot spärras, om så krävs enligt bankens riskbedömning.
I de fall banken inte får kontakt med kunden bör banken agera utifrån bankens riskbedömning. Även i dessa fall bör utgångspunkten vara att kundens tillgång till betaltjänster begränsas, att kontot spärras och att hela kundförhållandet sägs upp om banken bedömer risken som oacceptabel.