1. Sammanfattning
Följande nyhetsbrev belyser Norion Bank AB:s, nedan Bolaget, efterlevnad av penningtvättsregelverket med särskilt fokus på kundkännedom. Finansinspektionen, nedan FI, har granskat hur Bolaget har arbetat med att hantera risker kopplade till penningtvätt och finansiering av terrorism.
FI har anfört att Bolaget i flera avseenden brustit i sin regelefterlevnad. Bolaget har inte vidtagit nödvändiga åtgärder för att bedöma om kunder, förknippade med medelhög eller hög
risk för penningtvätt och finansiering av terrorism, haft verkliga huvudmän som varit personer i politiskt utsatt ställning (PEP) eller närstående till sådana personer (RCA). Bolaget har heller inte vidtagit skärpta kundkännedomsåtgärder för att inhämta information om högriskkunders affärsverksamhet eller ekonomiska situation och uppgifter om varifrån kundens ekonomiska medel kommer.
FI anser att överträdelserna inte är så allvarliga att det finns anledning att återkalla tillståndet, men tillräckligt allvarliga för att ge Bolaget en anmärkning förenad med en sanktionsavgift om 90 miljoner kronor.
2. Bakgrund
Bolaget, tidigare Collector Bank AB, har tillstånd att driva bankrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse (LBF) och bedriver verksamhet inom verksamhetsområden och varumärken: Norion Bank, Walley och Collector. Bolaget erbjuder olika typer av krediter, såsom företags- och fastighetslån, samt inlåningskonton, till exempel sparkonton. Bolaget erbjuder även andra typer av finansiella tjänster och produkter som
bland annat förvärv av fakturor (factoring) och betaltjänster.
Bolaget har såväl fysiska som juridiska personer som kunder. Under undersökningsperioden hade Bolaget cirka 11 000 företagskunder, varav ungefär en tredjedel tillhörde branscher förknippade med hög risk för penningtvätt och finansiering av terrorism. Bolaget är noterat på Nasdaq Stockholm och är moderföretag i en koncern med verksamhet i Sverige, Norge, Danmark, Finland och Tyskland.
3. Finansinspektionens ingripande
FI har i maj 2023 inlett en undersökning av Bolaget för att granska hur Bolaget under perioden den 30 april 2022 – 1 maj 2023 hade följt centrala bestämmelser i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).
Undersökningen har fokuserat på vilka åtgärder för kundkännedom som Bolaget vidtagit avseende kunder som är juridiska personer. FI har granskat kundakter avseende 43 kunder
som använt Bolagets inlåningskonton (sparkonton). FI har identifierat två huvudsakliga brister.
3.1. Bristfälliga bedömningar av PEP och RCA
Vilka åtgärder som krävs för att bedöma om en kunds verkliga huvudman är PEP eller RCA styrs av den risk som kan förknippas med kundrelationen. Beroende på risknivån kan kontrollen i vissa fall fullgöras genom kontroll mot PEP- och RCA-listor, medan sådana åtgärder i andra fall inte är tillräckliga. Eftersom 41 av de granskade kunderna bedömts vara förknippade med medelhög eller hög risk har Bolaget varit skyldigt att vidta relativt omfattande kontrollåtgärder, särskilt avseende de 31 kunder som klassats som högrisk.
Av underlaget i ärendet framgår inte att Bolaget vidtagit några andra åtgärder än att fråga kunderna om deras verkliga huvudmän varit PEP eller RCA. Bolaget har visserligen hävdat att kontroller även gjorts mot PEP- och RCA-listor under undersökningsperioden, men FI har konstaterat att det underlag som Bolaget gett in inte ger stöd för detta påstående och att Bolaget inte lämnat någon godtagbar förklaring till varför sådant underlag saknas.
I detta avseende framhåller FI att en verksamhetsutövare är skyldig att i fem år bevara underlag som visar vilka kundkännedomsåtgärder som har vidtagits (5 kap. 3 § penningtvättslagen). Vid bedömningen av vilka åtgärder som faktiskt vidtagits är det därför rimligt att utgå från det som finns dokumenterat och kan kontrolleras. FI bedömer att avsaknaden av dokumentation speglar de verkliga förhållandena, dvs. att Bolaget inte genomfört några andra kontroller än att ställa frågor till kunderna.
Mot denna bakgrund kan Bolaget inte anses ha gjort en tillräcklig bedömning av om kundernas verkliga huvudmän varit PEP eller RCA, och har inte uppfyllt kraven i 3 kap. 10 § penningtvättslagen.
3.2. Bristfällig information om högriskkunder
Undersökningen har vidare visat att Bolaget bedömt att 32 av 43 inlåningskunder varit förknippade med hög risk för penningtvätt och finansiering av terrorism under hela eller åtminstone halva undersökningsperioden. Bolaget har under denna tid varit skyldigt att vidta skärpta kundkännedomsåtgärder för dessa kunder. FI framhåller att verksamhetsutövarens riskbedömning vid den aktuella tidpunkten är vägledande för vilka åtgärder som krävs, ju högre risk, desto mer omfattande åtgärder, och att Bolagets senare omvärdering och sänkning av riskklassen inte påverkar denna bedömning.
Skärpta åtgärder innebär enligt 3 kap. 16 § penningtvättslagen bland annat att inhämta ytterligare information om kundens affärsverksamhet, ekonomiska situation och varifrån kundens ekonomiska medel kommer. Av kundakterna framgår det att inga sådana åtgärder har vidtagits, vilket Bolaget medgett. FI konstaterar vidare att Bolagets transaktionsövervakning saknar relevans för bedömningen, eftersom övervakning av pågående affärsförbindelser utgör en annan del av arbetet med att förhindra penningtvätt och finansiering av terrorism och inte kan ersätta kundkännedomsåtgärder. Bolaget har därmed inte uppfyllt kraven i 3 kap. 16 § penningtvättslagen.
3.3. Val av ingripande och sanktionsavgift
Vid en sammantagen bedömning anser FI att överträdelserna inte är att bedöma som allvarliga i den mening som avses i 15 kap. 1 § tredje stycket LBF. Det är därmed inte aktuellt att återkalla Bolagets tillstånd eller att meddela Bolaget en varning. FI ger därför Bolaget en anmärkning som ska förenas med en sanktionsavgift för att vara tillräckligt ingripande.
4. HSA Söderqvist Advokatbyrås rekommendationer
Mot bakgrund av beslutet rekommenderar HSA Söderqvist Advokatbyrå att bolag som omfattas av reglerna om penningtvätt och finansiering av terrorism särskilt ska ta hänsyn till följande:
• Att enbart förlita sig på kundens egna uppgifter är inte tillräckligt vid medelhög eller hög risk. Det räcker inte att enbart fråga kunden om dennes verkliga huvudman är PEP eller RCA och sedan godta svaret utan vidare åtgärder. Vilka kontrollåtgärder som krävs styrs av den risk som kan förknippas med kundrelationen – ju högre risk, desto mer omfattande åtgärder. Vid medelhög eller hög risk bör kontrollen som utgångspunkt inkludera aktiv kontroll mot externa PEP- och RCA-listor.
• Se över riskklassificeringen och säkerställ att den återspeglar kundrelationens faktiska risk. En felaktig eller inaktuell riskklassificering får direkta konsekvenser för vilka
kundkännedomsåtgärder som vidtas. Det bör säkerställas att riskklassificeringen uppdateras löpande och att förändringar i kundrelationen fångas upp och dokumenteras.
• En hög riskklass medför skyldighet att vidta skärpta kundkännedomsåtgärder. Det räcker inte att hålla en hög riskklass i systemet om detta inte omsätts i konkreta och dokumenterade åtgärder. Sådana åtgärder kan bland annat innebära att inhämta ytterligare information om kundens affärsverksamhet, ekonomiska situation och varifrån kundens medel kommer. FI är vidare tydlig med att transaktionsövervakning utgör en separat del av AML-arbetet och inte kan ersätta kundkännedomsåtgärder.
• Vidtagna åtgärder måste dokumenteras. En verksamhetsutövare är skyldig att bevara underlag som visar vilka kundkännedomsåtgärder som vidtagits. I en tillsynssituation gäller i praktiken att det som inte är dokumenterat inte kan anses ha genomförts. Det bör därför säkerställas att samtliga vidtagna åtgärder dokumenteras löpande och på ett verifierbart sätt.
• Tillsynstrycket ökar mot mindre och mellanstora finansiella aktörer. FI har konstaterat att kriminella i takt med att de större bankerna förbättrat sitt AML-arbete i stället söker sig till mindre aktörer. Bolag bör därför se över sitt AML-arbete proaktivt.
Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå.
