Risikovurdering og sammenfatning
Virksomheden er en dansk filial af Firi AS, som er en norsk kryptoaktivvirksomhed, der udbyder kryptoaktivbørs- og depotløsning, ligesom virksomheden tilbyder handel med diverse kryptoaktiver. Virksomheden har været registreret i Danmark siden januar 2022.
Udbud af tjenesteydelser vedrørende kryptovaluta er i Hvidvasksekretariatets Nationale Risikovurdering af hvidvask fra 2022 angivet som et område med betydelig risiko for hvidvask. Hvidvasksekretariatet vurderer, at det er meget sandsynligt, at kriminelle aktører i stigende grad vil anvende kryptoaktiver til hvidvask af ulovlige midler, og Europol anfører, at kryptoaktiver er et vigtigt betalingsmiddel for illegale varer og tjenester, samt at hvidvask er den primære kriminalitetsform knyttet til kryptoaktiver.
Endvidere er kryptoaktiver angivet som et risikoområde i PETs Nationale Risikovurdering af terrorfinansiering fra 2024. Her vurderer PET, at der er høj risiko for, at kryptoaktiver bliver anvendt til terrorfinansiering, og PET konkluderer, at anvendelsen af kryptoaktiver er attraktivt i en terrorfinansieringssammenhæng, da der er efterspørgsel på transaktioner, som kan gennemføres hurtigt og uden geografiske begrænsninger. Samtidig er sløringsmekanismer og forskelle i global regulering og kontrol vigtige terrorfinansieringssårbarheder.
Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er høj. Finanstilsynets vurdering er blandt andet baseret på:
- den iboende risiko ved kryptoaktiver som produkt,
- at virksomheden udbyder veksling mellem fiat og krypto (off-ramp),
- at virksomhedens kunder som udgangspunkt er indehavere af non-custodial-wallets samt
- virksomhedens grænseoverskridende karakter.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Identifikation af kunder
Virksomhedens onboarding af kunder sker via virksomhedens app eller hjemmeside ved, at kunden logger ind med MitID. Derfra modtager virksomheden oplysninger om kundens identitet. Virksomheden anvender samme fremgangsmåde for kunder, som den klassificerer som højrisiko. Når virksomheden modtager de oplysninger, den skal kontrollere, fra kontrolkilden selv, gennemfører virksomheden reelt ikke en kontrol af kundens identitet. Der er hermed en risiko for, at virksomheden ikke kender sine kunder tilstrækkeligt, idet identitets- og kontrolkilden er den samme.
Virksomheden får derfor påbud om at indhente oplysninger om kunders identitet og derefter foretage kontrol af disse oplysninger ved en pålidelig og uafhængig kilde. Virksomheden skal samtidig sikre, at kontrol af identiteten for højrisikokunder sker gennem en yderligere pålidelig og uafhængig kilde udover MitID. Virksomheden skal opdatere alle eksisterende kundefiler, så de opfylder disse krav.[i]
Formål og tilsigtet beskaffenhed
Selvom virksomheden generelt indhenter oplysninger om kundernes formål og forventede omfang af forretningsforbindelsen, har virksomheden i flere tilfælde ikke forholdt sig til oplysningerne eller sammenholdt den med kundernes efterfølgende adfærd. For erhvervskunder foretages onboarding – herunder indhentelse af kundekendskabsoplysninger – på samme måde som for som privatpersoner. Dette indebærer en risiko, fordi erhvervskunder har andre karakteristika, som skal inddrages i vurderingen af kundeforholdet, end privatpersoner. Der er hermed en risiko for, at virksomheden ikke i tilstrækkeligt omfang kender sine kunder, herunder kundeforholdets formål og tilsigtede beskaffenhed, hvilket igen øger risikoen for utilstrækkelig overvågning af kundeforholdene. Dette er væsentligt, da kendskabet til kunderne har betydning for, om virksomheden har en effektiv overvågning af kunderne for at opdage mistænkelige transaktioner.
Virksomheden får påbud om at vurdere og i tilstrækkeligt omfang indhente oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed, herunder at forholde sig til de oplysninger, som virksomheden indhenter. Virksomheden skal endvidere sikre, at kundekendskabet for erhvervskunder er baseret på oplysninger om erhvervskunden og dennes karakteristika. Virksomheden skal sikre, at oplysningerne kan godtgøres overfor Finanstilsynet.[ii]
Midlernes oprindelse
Finanstilsynet har ved gennemgang af stikprøven på virksomhedens kundefiler konstateret, at virksomheden ikke i tilstrækkeligt omfang indhenter viden om og dokumentation for midlernes oprindelse, og heller ikke forholder sig til oplysningerne. At virksomheder kender midlernes oprindelse, er en central del af kundekendskabsprocedurerne, og viden om midlernes oprindelse kan desuden hjælpe virksomheden med at identificere mistænkelige transaktioner og aktiviteter. Virksomhedens manglende viden om dette udgør en risiko for, at kunder kan placere illegitime midler på deres depotkonti.
Virksomheden får derfor påbud om at vurdere, og hvor det er relevant indhente viden om og dokumentation, for midlernes oprindelse.[iii]
Håndtering af højrisikokunder
Virksomheden gennemfører ikke skærpede kundekendskabsprocedurer for kunder, som er risikoklassificeret som højrisiko. Finanstilsynet har samtidig konstateret, at virksomheden ikke har tilstrækkelige forretningsgange for, hvordan skærpede kundekendskabsprocedurer skal foretages. Skærpede kundekendskabsprocedurer er afgørende for effektivt at identificere, vurdere og mitigere de øgede risici, der er forbundet med højrisikokunder. Procedurer for skærpede kundekendskabsprocedurer er ligeledes afgørende for at sikre overholdelse af lovgivningen og have en effektiv risikostyring. Når virksomheden ikke har forretningsgange for og ikke foretager skærpede kundekendskabsprocedurer, øger det hermed risikoen for, at virksomheden ikke kender sine højrisikokunder tilstrækkeligt og dermed ikke kan imødegå de øgede risici, der er forbundet med kunderne.
Virksomheden får derfor påbud om at foretage skærpede kundekendskabsprocedurer på de kunder, som virksomheden har vurderet som højrisiko, og skal i forlængelse heraf udarbejde forretningsgange, som fastsætter, hvordan virksomheden gennemfører skærpede kundekendskabsprocedurer. Henset til overtrædelsens karakter skal virksomheden straks igangsætte mitigerende foranstaltninger og skal snarest muligt og senest tre måneder fra dags dato have opdateret alle kundefiler, der er klassificeret som enten High eller Very High.[iv]
Noteringspligt
Gennemgang af stikprøven på virksomhedens overvågning af transaktioner viste, at virksomhedens notering af undersøgelser af mistænkelige transaktioner i flere tilfælde var inkonsistent og af varierende kvalitet. At foretage en tilstrækkelig notering af undersøgelser er afgørende for, at virksomheden, hvis det bliver nødvendigt, kan foretage fyldestgørende underretninger om kunder til myndighederne. Noteringen gør det desuden muligt at spore, hvordan og hvorfor bestemte beslutninger blev taget i forbindelse med mistænkelige transaktioner. Når virksomheden ikke konsistent noterer oplysninger og konklusioner i forbindelse med en undersøgelse af mistænkelig transaktion, er der dermed en risiko for, at værdifulde oplysninger går tabt.
Derfor får virksomheden påbud om konsistent at foretage tilstrækkelig notering af resultatet af virksomhedens undersøgelser af mistænkelige transaktioner.[v]
Kunder med navne- og adressebeskyttelse
Kundekendskabsprocedurer er en kerneforpligtelse i hvidvaskloven og er afgørende for, at virksomheden kender sine kunder, herunder deres forventede forretningsomfang, formål og tilsigtede beskaffenhed. Det er desuden afgørende for, at virksomheden kan tilrettelægge en tilstrækkelig og effektiv transaktionsovervågning af sine kunder.
Virksomheden modtager en påtale for i en periode at have onboardet kunder og givet disse adgang til virksomhedens platform uden at have modtaget oplysning om kundens navn, samt for ikke efterfølgende i tilstrækkeligt omfang at have forsøgt at indhente identitetsoplysninger eller effektivt have begrænset kundernes handlemuligheder.[vi]
I forlængelse heraf får virksomheden påbud om at etablere en tilstrækkelig og effektiv intern kontrol.[vii] Interne kontroller hjælper med at identificere, vurdere og styre risici. Stærke interne kontroller bidrager desuden til at opdage og mitigere fejl, som ellers ikke ville være opdaget.
Risikoklassifikation af kunder
Risikoklassifikation bidrager til, at virksomheder kan identificere, vurdere og styre risiciene forbundet med sine kunder. Ved at klassificere kunder baseret på deres risikoprofil kan virksomheden tidligt identificere mistænkelige aktiviteter og indføre passende foranstaltninger. Utilstrækkelig risikoklassifikation medfører derfor en risiko for, at virksomheden ikke har et retvisende billede af kunden, herunder at virksomheden kan indføre passende foranstaltninger for eksempelvis kunder, der er forbundet med øget risiko.
Finanstilsynet har under inspektionen modtaget oplysninger om virksomhedens system til risikoklassificering af kunder og har vurderet, at der på grund af systemets indretning er en risiko for, at systemet ikke klassificerer kundernes risiko korrekt.
Virksomheden får derfor en risikooplysning om, at virksomheden risikerer at risikoklassificere sine kunder ukorrekt, og at virksomheden derfor skal være særligt opmærksom på, hvordan kunderne risikoklassificeres, og at dette kan godtgøres overfor Finanstilsynet[viii]
[i] Hvidvasklovens § 11, stk. 1, nr. 1 og 2
[ii] Hvidvasklovens § 11, stk. 1, nr. 4, og stk. 4
[iii] Hvidvasklovens § 11, stk. 1, nr. 5
[iv] Hvidvasklovens §§ 17, stk. 1, og 8
[v] Hvidvasklovens § 25, stk. 3, jf. stk. 1
[vi] Hvidvaskloven §§ 11, stk. 1, nr. 1 og 2, 14, stk. 5 og 15
[vii] Hvidvasklovens § 8, stk.1
[viii] Hvidvasklovens § 11, stk. 3, jf. § 11, stk. 4