Kampen mot hvitvasking og terrorfinansiering

Kriminelle bruker i stor grad finansielle institusjoner for å hvitvaske penger fra kriminell aktivitet. Myndigheter og de finansielle institusjonene har de siste 30 årene prøvd å stoppe misbruket av finansielle tjenester, men går det i riktig retning?

Foto: iStock-Andrii Yalanskyi

Innlegg av: Ellen Gregusson, Seniorrådgiver i A-2

Det har de siste 30 årene blitt investert mye tid og ressurser i løsninger med mål om å avdekke og hindre hvitvasking av penger. Bare i 2021 er det estimert en global kostnad på cirka USD 214 milliarder. Undersøkelser utført av Financial Action Task Force (FATF), har vist en reduksjon av hvitvasking av penger som går igjennom finansielle institusjoner eller som flyttes fysisk. Derimot har man observert en økning i handelsbasert hvitvasking, hvor utbyttet fra kriminell aktivitet flyttes ved hjelp av handelstransaksjoner knyttet til import og eksport av varer og tjenester. Handelsbasert hvitvasking kan gjennomføres som fiktive vareforsendelser eller tjenester, over-/underfakturering, flere fakturaer for samme vare/tjeneste, diverse valutavekslinger og annet. For å kunne avdekke slik hvitvasking må man samarbeide på tvers av finansielle institusjoner, tollmyndigheter, skattemyndigheter, politiet og finanstilsynet. Kriminelle bruker også rettsvesenet ved å delta i rettssaker med oppdiktet innhold, hvor en virksomhet uten grunnlag saksøker en annen for å få overført midler som blir hvitvasket i rettsprosessen.

Historie

Regulering av anti-hvitvask ble startet på internasjonalt nivå i 1989 ved etablering av organisasjonen Financial Action Task Force (FATF). FATF etablerer globale anbefalinger for regler knyttet til anti-hvitvask og terrorfinansiering. Sammen med tilhørende notater og definisjoner, utgjør anbefalingene en internasjonal standard. Medlemslandene i organisasjonen må selv innføre disse anbefalingene i egne regelverk. I EU har dette blitt lagt inn i «EUs hvitvaskingsdirektiv». Norge har etablert «Lov om tiltak mot hvitvasking og terrorfinansiering» (hvitvaskingsloven) og tilhørende forskrift. Disse tre nivåene benevnes som «hvitvaskingsregelverkene». FATF oppdaterer regelverket kontinuerlig, og EU følger opp med direktiver. I Norge innfører vi direktivene fra EU.

I tillegg til å etablere standarder har FATF også ansvar for å følge opp at medlemslandene etterlever gjeldende anbefalinger. Norge har vært gjenstand for to revisjoner; i 2014, hvor det ble gitt anbefalinger om forbedringer og i 2019, hvor arbeidet mot hvitvasking og terrorfinansiering ble godkjent.

De kriminelle ligger noen skritt foran regelverket. Dette medfører at myndighetene kontinuerlig må oppdatere hvitvaskingsregelverket for å holde tritt og lukke eventuelle smutthull i regelverket. Et eksempel på dette er terrorfinansiering, som ble innlemmet i regelverket etter terrorangrepet 9. september 2001. Det blir også avdekket behov for justeringer av hvitvaskingsregelverket for at det skal oppnå ønsket effekt. De siste årene har de viktigste endringene i hvitvaskingsregelverket vært knyttet til:

  • fremveksten av virtuelle valutaer og behovet for å regulere disse
  • ansvarliggjøring av ledelsen i de regulerte virksomhetene (finansielle institusjoner, eiendomsmeglere, advokater, revisorer og regnskapsførere)
  • justering av regelverk for å redusere de uønskede konsekvensene av reguleringene.

Problemer knyttet til gjennomføring

Arbeidet med anti-hvitvask og terrorfinansiering er svært kostbart for de finansielle institusjonene og andre aktører, samtidig som det medfører ulemper for kundene. Det er gjort store investeringer i IT-løsninger, men bankene sliter fremdeles med en rekke forhold som krever mye manuelt arbeid og som medfører at transaksjoner tar lang tid. De tre viktigste utfordringene er; arbeidet med «kjenn din kunde» (KYC – Know Your Customer), manglende treffsikkerhet i automatiske kontroller og manglende totaloversikt over kundens transaksjoner.

Arbeidet med å kjenne sin kunde er komplisert!

Foto: iStock-useng

Det er krevende for finansielle institusjoner å avdekke riktig informasjon rundt de personer og virksomheter som er eller som vil bli kunde. Hvordan balansere behovet for nye kunder uten å ekskludere noen på feil eller urettferdig grunnlag? Det er spesielt vanskelig for privatpersoner som faller utenfor, som for eksempel flyktninger, som ikke kan godkjennes fordi de mangler de riktige identitetspapirene. For virksomheter vil det å finne ut av hvem som er de reelle rettighetshaverne kunne kreve betydelig ressursinnsats. Fra Panama Papers ser vi at virksomheter tar store grep for å skjule midler fra myndighetene. Betalinger som krysser landegrenser, skaper utfordringer for bankene i arbeidet med å kjenne sin kunde. Selv om alle land i utgangspunktet er styrt av de samme regelverkene, er det også lokale variasjoner i tolkningen av regelverket og i eventuelle lokale tilleggsregler. Dette innebærer at man ved oppsett av regler for grensekryssende betalinger har behov for å kjenne flere lands regelverk, for å sikre at riktige analyser av de involverte partene har blitt gjort og at rett informasjon følger med transaksjonene. Dette tar tid og forsinker transaksjonene. Ved feil eller mangler i informasjonen, kan transaksjoner stoppe opp i mottakerlandet. Eksempler på ulike regler for utfylling av informasjon, er krav til om fornavn skal kun være et initialt eller helt navn, ulike krav til felter på en adresse eller om fødselsdato er påkrevd.

Arbeidet med å kjenne sin kunde er komplisert!

Det er krevende for finansielle institusjoner å avdekke riktig informasjon rundt de personer og virksomheter som er eller som vil bli kunde. Hvordan balansere behovet for nye kunder uten å ekskludere noen på feil eller urettferdig grunnlag? Det er spesielt vanskelig for privatpersoner som faller utenfor, som for eksempel flyktninger, som ikke kan godkjennes fordi de mangler de riktige identitetspapirene. For virksomheter vil det å finne ut av hvem som er de reelle rettighetshaverne kunne kreve betydelig ressursinnsats. Fra Panama Papers ser vi at virksomheter tar store grep for å skjule midler fra myndighetene.

Betalinger som krysser landegrenser, skaper utfordringer for bankene i arbeidet med å kjenne sin kunde. Selv om alle land i utgangspunktet er styrt av de samme regelverkene, er det også lokale variasjoner i tolkningen av regelverket og i eventuelle lokale tilleggsregler. Dette innebærer at man ved oppsett av regler for grensekryssende betalinger har behov for å kjenne flere lands regelverk, for å sikre at riktige analyser av de involverte partene har blitt 

Foto: iStock-useng

gjort og at rett informasjon følger med transaksjonene. Dette tar tid og forsinker transaksjonene. Ved feil eller mangler i informasjonen, kan transaksjoner stoppe opp i mottakerlandet. Eksempler på ulike regler for utfylling av informasjon, er krav til om fornavn skal kun være et initialt eller helt navn, ulike krav til felter på en adresse eller om fødselsdato er påkrevd.
Foto: iStock-KrizzDaPaul

Manglende treffsikkerhet

Undersøkelser viser at 95% av varslene i de største bankene, etter nærmere analyse, ikke er forsøk på hvitvasking (falske positive). Det store antallet falske positive resultater medfører mye manuelt arbeid. De regulerte virksomhetene i Norge sender alle tilfeller de er usikre på videre til etterforskningsorganet Økokrim, som medfører at de får for mange saker å forholde seg til. Bakgrunnen er de strenge kravene myndighetene stiller til oppfølging av regelverket.

En falsk positiv melding kan oppstå hvis en person for eksempel tar ut penger i flere ulike minibanker samme dag. Tilsvarende kan falske positive oppstå ved sjekk av navnelister med sanksjonerte personer, da man i arabiske land har en navnekonvensjon som medfører at mange personer har tilsvarende navn.

Manglende treffsikkerhet

Foto: iStock-KrizzDaPaul

Undersøkelser viser at 95% av varslene i de største bankene, etter nærmere analyse, ikke er forsøk på hvitvasking (falske positive). Det store antallet falske positive resultater medfører mye manuelt arbeid. De regulerte virksomhetene i Norge sender alle tilfeller de er usikre på videre til etterforskningsorganet Økokrim, som medfører at de får for mange saker å forholde seg til. Bakgrunnen er de strenge kravene myndighetene stiller til oppfølging av regelverket.

En falsk positiv melding kan oppstå hvis en person for eksempel tar ut penger i flere ulike minibanker samme dag. Tilsvarende kan falske positive oppstå ved sjekk av navnelister med sanksjonerte personer, da man i arabiske land har en navnekonvensjon som medfører at mange personer har tilsvarende navn.

Manglende totaloversikt over transaksjoner

De etablerte løsningene fokuserer i hovedsak på enkelttransaksjoner og regler knyttet til disse. De kriminelle bruker ofte kombinasjoner av transaksjoner og finansielle instrumenter for å gjennomføre hvitvasking eller terrorfinansiering. Større finansielle institusjoner kan ofte mangle totaloversikt fordi ulike produkter behandles i «siloer», som ikke kommuniserer med hverandre. De kriminelle utnytter manglende informasjonsdeling mellom institusjonene, som medfører at ingen har full oversikt over den totale mengden transaksjoner som inngår i hvitvaskingen eller terrorfinansieringen.

Personvernlovgivninger og GDPR-regelverket skaper utfordringer for deling av data mellom bankene. Det er veldig begrenset hva man har lov til å dele. For å kunne se mønstre på tvers av land har man behov for å kunne dele data helt ned på individnivå.

Foto: iStock-iStock-Sesame

Manglende totaloversikt over transaksjoner

Foto: iStock-KrizzDaPaul

De etablerte løsningene fokuserer i hovedsak på enkelttransaksjoner og regler knyttet til disse. De kriminelle bruker ofte kombinasjoner av transaksjoner og finansielle instrumenter for å gjennomføre hvitvasking eller terrorfinansiering. Større finansielle institusjoner kan ofte mangle totaloversikt fordi ulike produkter behandles i «siloer», som ikke kommuniserer med hverandre. De kriminelle utnytter manglende informasjonsdeling mellom institusjonene, som medfører at ingen har full oversikt over den totale mengden transaksjoner som inngår i hvitvaskingen eller terrorfinansieringen.

Personvernlovgivninger og GDPR-regelverket skaper utfordringer for deling av data mellom bankene. Det er veldig begrenset hva man har lov til å dele. For å kunne se mønstre på tvers av land har man behov for å kunne dele data helt ned på individnivå.

Effektivisering ved bruk av nye teknologier

FATF er klar over problemstillingene og har i 2021 sett på hvordan man kan ta i bruk ny teknologi for å effektivisere. Deres anbefaling er at man skal se på løsninger for kunstig intelligens (AI) og maskinlæring (ML) og bruke disse til en risikojustert tilnærming til anti-hvitvask og terrorfinansiering. Gjennom bruk av AI/ML kan man med større treffsikkerhet avdekke om en virksomhet eller privatperson har større risiko for å tilhøre en gruppe som driver med hvitvasking eller terrorfinansiering. De regulerte virksomhetene (og etterforskningsorganet) vil derfor få færre falske positive treff og det blir vanskeligere for kriminelle å «falle gjennom maskene». Den positive effekten blir følgelig mindre tid brukt på personer og virksomheter med lav risiko, samt bedre avdekking av reelle kriminelle. Utfordringen er at dagens regelverk til stor del ikke støtter en risikobasert tilnærming.

Det er viktig å forstå at AI/ML-løsninger er komplekse å forvalte og krever ansatte med spesifikk kompetanse. Slik automatisert behandling (både basert på regler, og i økende grad for moderne AI/ML-metoder) medfører et økende ansvar for de regulerte virksomhetene for å sikre at den automatiserte behandlingen møter EUs krav om «ansvarlig AI». Med ansvarlig AI menes; rettferdig og transparent behandling, uten brudd på menneskerettigheter, hvor datasikkerhet og personvern ivaretas. Anbefalingen er derfor at man tester AI/ML-modellene i teknologiske sandkasser – komplette testmiljøer – for å verifisere og dokumentere at den automatiserte behandlingen er korrekt og rettferdig. På grunn av kompleksiteten og kostnaden ved å forvalte en tilstrekkelig god AI/ML-kapabilitet, er det flere virksomheter som i dag kjøper analysemodeller og automatisert avdekking som en skytjeneste.

Regulatory technology (RegTech)-løsninger

RegTech-løsninger støtter oppunder virksomheter som skal avdekke og rapportere forsøk på hvitvasking og terrorfinansiering. De senere årene har det blitt etablert flere RegTech-løsninger, som har som formål å redusere kostnadene til de regulerte virksomhetene og sikre at de alltid har løsninger som er oppdatert på nasjonale og internasjonale regelverk. RegTec-løsninger er standardløsninger som tilbyr hele eller deler av prosessene med anti-hvitvask og terrorfinansiering. Ved å benytte slike løsninger vil man dra nytte av at regelverkene er digitaliserte og at leverandørene kontinuerlig overvåker og oppdaterer løsninger ved nytt eller endret regelverk. RegTech-løsningen er også ofte koblet til ulike databaser med informasjon som er nødvendig i analyse av en virksomhet eller privatperson. RegTech-løsningene er utformet som sanntidstjenester og kan innlemmes direkte inn i den regulerte virksomhetens prosesser for onboarding og overvåkning. Dette gir bedre flyt i arbeidet med å innlemme nye kunder eller sikre transaksjoner.

Supervisory technology (SupTech)-løsninger

SupTech-løsninger støtter opp under virksomheter som overvåker finansindustrien eller regulatorer. For de sistnevnte er det etablert flere løsninger som digitaliserer regelverket slik at de regulerte virksomhetene kan motta ferdige regler som de kan importere i sine løsninger. Dette sparer mye tid for de regulerte virksomhetene samt at man sikrer at tolking av reglene blir like på tvers av virksomheter og land. Overvåkerne kan ved hjelp av SupTech-løsningene i realtid følge med på de regulerte virksomhetene. Ved å se på dataene i realtid har overvåkerne også mulighet til å oppdage informasjon som kan være skjult i myndighetsrapportene fra de finansielle institusjonene.

Initiativer for å forenkle arbeidet for norske virksomheter

I Norden har Danske Bank, DNB, Handelsbanken, Nordea, SEB og Swedbank etablert selskapet Invidem AB for å løse noe utfordringene knyttet til «kjenn din kunde» (KYC). Selskapet har, siden september 2021, tilbudt en løsning hvor nordiske virksomheter kun trenger å registrere informasjon om virksomheten, eiere og rettighetshavere én gang i stedet for en gang per finansiell institusjon. Detaljert virksomhetsinformasjon blir da tilgjengelig for alle regulerte virksomheter uavhengig av land slik at de ikke trenger å etablere egne KYC løsninger. Virksomheter vil også være sikret at bankene som bruker løsningen til Invidem AB, har det samme datagrunnlaget når de gjør sine KYC vurderinger. Løsningen er basert på RegTech-systemer fra Encompass for håndtering av kjenn din kunde og innføring av nye kunder, samt iMeta Technologies for oppfølging av eksisterende kunder (Client Lifecycle Management).

BITS (Finans Norge) har etablert et program for Offentlig Privat Samarbeid Antihvitvask og terrorfinansiering (OPS AT), der offentlige og private virksomheter skal samarbeide for å sikre felles forståelse av regelverk og utfordringer knyttet til dette. Samarbeidet åpner også for utvikling av fellesløsninger. Ved å følge én kunde på tvers av norske banker vil man kunne avdekke mønstre som gir mistanke om kriminell adferd. Samarbeidet ble etablert og igangsatt i 2021 og har allerede kommet i gang med innsamling og deling av informasjon. Offentlige etater, som utbetaler til store mengder personer og virksomheter, vil ved et slikt samarbeid kunne se om det finnes muligheter for om de kan bistå i arbeidet med å sikre at deres utbetalinger ikke går inn i hvitvasking eller terrorfinansiering.

Veien videre

Finansielle institusjoner vil i nærmeste fremtid stå i spagat mellom eksisterende regler og de fremtidige tiltak som er mer målrettede mot å avdekke hvitvasking. Dette medfører at virksomheter må:
  • ha løsninger for effektivt å kunne tilpasse seg nåværende, nye og endrede regler
  • avdekke kriminelle handlinger med minimum av falske varsler
  • bevege seg mot AI/ML-løsninger som bruker innsamlet informasjon for å finne kunder med økt risiko

På veien videre må man avklare om man ønsker å fortsette å utvikle egne løsninger, om man ønsker å gå til RegTech-løsninger eller kombinasjoner av disse. Fremover blir det stadig viktigere at man ikke sitter på hver sin tue og lager egne sub-optimale løsninger. Nasjonalt og internasjonalt samarbeid vil sikre at kriminelle aktører ikke lenger kan gjemme hvitvasking og terrorfinansiering bak grense-kryssende transaksjoner, gjennom flere ledd og på tvers av mange aktører.

I A-2 har vi over lengre tid jobbet med norske banker for å innføre regelverkene for anti-hvitvask og terrorfinansiering. Prosjektene har dekket både regelstyrt håndtering av hvitvask og terrorfinansiering, samt kunstig intelligens og maskinlæring.

Ønsker du å vite mer om hva A-2 kan tilby din virksomhet, ta kontakt med Ellen Gregusson egr@a-2.no, eller Tore Magnussen tma@a-2.no.

TA KONTAKT
Les også: Hva er 5G og hvorfor er det relevant for bedrifter og andre virksomheter?

Ellen Gregusson

Ellen er utdannet økonom fra HEC Lausanne med tilleggsutdanning innen international business fra Norges Handelshøyskole. Hun har jobbet i A-2 siden januar 2019 og arbeidet før det i Systek AS, DNB Bank ASA og Accenture.

Ellen har bred erfaring fra prosjektarbeid og har skaffet seg teknisk og funksjonell kompetanse ved å fylle de fleste roller fra utvikler til prosjektleder. Hun har god forståelse av samspillet mellom IT og forretning, både innenfor privat og offentlig sektor. Ellens kompetanseområder er funksjonell arkitektur, behovs- og prosessanalyse, digitalisering og testledelse.

Kontaktinformasjon

A-2 Norge AS
Tlf: +47 22 55 04 77
post@a-2.no
Drammensveien 173, 0277 Oslo
Inngang Drammensveien 175
Postboks 468 Skøyen, 0213 Oslo

Personvern
Åpenhetsloven

Følg oss

Følg oss på LinkedIn.
Følg oss på Facebook.

Vi er Miljøfyrtårnsertifisert
© 2024 A-2 | Erfaring trenger ikke være dyrekjøpt