Ny vejledning om anvendelse af MitID som kontrolkilde i kundekendskabsprocedurer – hvornår skal man indhente pas og kørekort? (Opdateret)

nyhed
16 maj 2023
Category
Faglig nyhed

Opdatering: Kort tid efter offentliggørelsen af denne faglige nyhed blev den endelige vejledning offentliggjort på Finanstilsynets hjemmeside (tilgængelig her). Den endelige vejledning adskiller sig navnlig fra udkastet i høring ved to forhold. Dels er det i indledningen til den endelige vejledning præciseret, hvilken betydning det skal tillægges, når der i vejledningen anføres ”som hovedregel”, ”bør” eller ”skal”. Dels er det i den endelige vejledning ganske kort præciseret, at MitID som udgangspunkt også kan anvendes som kontrolkilde i forhold til en kundens reelle ejere og personer der handler på vegne af en kunde, hvis kunden ikke er underlagt skærpede kundekendskabsprocedurer.   

Med udviklingen af MitID er der kommet en digital identitetsløsning, som Finanstilsynet vurderer i større omfang end NemID, kan anvendes som kontrolkilde i forhold til gennemførelse af kundekendskabsprocedurer efter hvidvaskloven. Sådan indledes Finanstilsynets høringsbrev vedrørende høring over udkast til vejledning om anvendelse af MitID som kontrolkilde i kundekendskabsprocedurer. I sin nuværende form lægger udkastet til vejledningen ikke op til, at det er helt slut med indhentelse af pas og kørekort, men dog at det kun er nødvendigt, hvis der skal gennemføres skærpede kundekendskabsprocedurer.

MitID som kontrolkilde

Det følger af hvidvaskloven, at virksomheder og personer omfattet af hvidvaskloven skal have et tilstrækkeligt kendskab til deres kunder. Disse virksomheder og personer skal derfor gennemføre kundekendskabsprocedurer, hvilket bl.a. indebærer, at de skal indhente og kontrollere identitetsoplysninger på deres kunder.

Nærmere bestemt følger det af hvidvasklovens § 11, stk. 1, nr. 1, at følgende identitetsoplysninger skal indhentes som led i almindelige kundekendskabsprocedurer:

  1. Er kunden en fysisk person, skal identitetsoplysninger omfatte navn og cpr-nummer el.lign. Har den pågældende ikke et cpr-nummer el.lign., skal identitetsoplysninger omfatte fødselsdato.


Når de pågældende identitetsoplysninger er indhentet, skal disse kontrolleres på grundlag af dokumenter, data eller oplysninger indhentet fra en pålidelig og uafhængig kilde, jf. hvidvasklovens § 11, stk. 1, nr. 2. I praksis foregår dette ved distancekunder ofte gennem indhentelse af kopi af kundernes pas eller kørekort.

Ifølge udkastet til vejledningen vil denne efterfølgende kontrol af identitetsoplysninger i vidt omfang fremadrettet kunne ske gennem kundens bekræftelse med MitID. Dette vil, ifølge udkastet til vejledningen, som udgangspunkt være tilstrækkeligt i forhold til kunder forbundet med en lav eller mellem risiko, men ikke i forhold til kunder forbundet med en høj risiko.

Med andre ord vil virksomheder og personer omfattet af hvidvaskloven som udgangspunkt kunne anvende MitID som kontrolmiddel i stedet for at indhente en kopi af en kundes pas eller kørekort, hvis der er tale om et kundeforhold underlagt enten lempede eller almindelige kundekendskabsprocedurer, men ikke skærpede kundekendskabsprocedurer.

Det nævnes afslutningsvis i udkastet til vejledningen, at man som virksomhed eller person omfattet af hvidvaskloven altid skal forholde sig til risikoen ved den konkrete kunde og i den forbindelse vurdere, om processen med MitID er tilstrækkeligt til at fastslå kundens identitet.

Digitale identitetsløsninger som kontrolkilde – ikke en ny idé

Digitale identitetsløsninger gør det lettere for virksomheder og personer omfattet af hvidvaskloven at foretage kontrol af deres kunders identitetsoplysninger. Muligheden for at benytte sig af bekræftelse gennem digitale identitetsløsninger som kontrolkilde er imidlertid ikke helt ny. Efter den nuværende praksis kan NemID stå alene som kontrolkilde i sager, hvor risikoen forbundet med kunden er lav og lempet kundekendskabsprocedure derfor anvendes.

Dét der er nyt, er udvidelsen af området for, hvornår digitale identitetsløsninger kan anvendes som kontrolkilde, hvis den anvendte digitale identitetsløsning er MitID frem for NemID.

Accepten af den udvidede brug af MitID som kontrolkilde skyldes ifølge Finanstilsynet, at MitID løser en række af de sikkerhedsmæssige udfordringer, der forekommer ved brugen af NemID. Der er blandt andet sket en forbedring af sikkerheden, når personer onboardes til MitID, ligesom den overordnede sikkerhed i MitID, i forhold til NemID, er forbedret.

Tidshorisont og høringssvar

Udkastet til vejledningen blev offentliggjort på høringsportalen den 20. januar 2023, ledsaget af et høringsbrev dateret den 18. januar 2023. Af beskrivelsen fremgår det, at den endelige vejledning forventes udstedt i løbet af første halvår af 2023.

Det fremgår desuden af beskrivelsen på høringsportalen, at eventuelle høringssvar vil blive offentliggjort, samt at Finanstilsynet anmoder om fremsendelse af eventuelle bemærkninger inden den 3. marts 2023. På nuværende tidspunkt er ingen høringssvar blevet offentliggjort på høringsportalen. Finans Danmark har imidlertid på sin hjemmeside offentliggjort sit høringssvar af 7. marts 2023.

I høringssvaret argumenteres der blandt andet for, at MitID bør kunne benyttes som kontrolkilde i alle tilfælde, herunder også i tilfælde hvor en kunde er forbundet med høj risiko. Herudover efterspørger Finans Danmark yderligere eksemplificering i vejledningen for at mindske eventuel fortolkningstvivl. Tilfælde, hvor der skal udføres kontrol med identitetsoplysningerne på en virksomheds reelle ejere eller med identitetsoplysningerne på en person, der handler på vegne af kunden, nævnes i den forbindelse.

Forhåbentligt inddrages den af Finans Danmark efterspurgte yderligere eksemplificering i den endelige udgave af vejledningen, idet det synes at være uhensigtsmæssigt, hvis vejledningen alene adresserer brugen af MitID i forbindelse med kontrollen af kunders identitetsoplysninger, når hvidvaskloven også pålægger kontrol af andres identitetsoplysninger, herunder kontrol med reelle ejeres identitetsoplysninger, når kunden er en juridisk person, samt kontrol med identitetsoplysninger på den person, der handler på vegne af kunden, såfremt der er en sådan.

Konsekvenser af vedtagelsen af vejledningen

Konsekvenserne afhænger naturligvis af, om den endelige vejledning udstedes af Finanstilsynet med et indhold svarende til udkastet, eller om den får et andet indhold, som følge af eventuelle modtagne høringssvar.

Hvis indholdet af vejledningen forbliver uændret, vil kontrollen af kunders identitetsoplysningerne som led i kundekendskabsprocedurer blive lettet, idet det i mange tilfælde ikke vil være påkrævet at indhente kopi af pas eller kørekort, hvis man i stedet sørger for, at kunden underskriver med MitID. Hvorvidt bekræftelse med MitID er tilstrækkeligt, afhænger som tidligere nævnt af risikovurderingen af kunden, herunder navnlig om risikoen forbundet med kunden vurderes at være høj.

Vejledningen ændrer således ikke på, at personer og virksomheder omfattet af hvidvaskloven fortsat skal vurdere risikoen forbundet med et givent kundeforhold. Ligeledes ændrer vejledningen ikke på, at alle andre elementer i kundekendskabsprocedurer, udover kontrollen med identitetsoplysninger, skal gennemføres som hidtil.

Læs høringsbrevet og hele udkastet til vejledningen på høringsportalen her.