Varning och sanktionsavgift samt föreläggande
2022-02-22
B E S L U T
Trustly Group AB FI dnr 20-20967
genom styrelsens ordförande Delgivning nr 1 Xxxxxxxxxxxx 00
113 57 Stockholm
Varning och sanktionsavgift samt föreläggande
Finansinspektionens beslut (att meddelas den 22 februari 2022 kl. 12.00)
1. Finansinspektionen ger Trustly Group AB (556754-8655) en varning.
(8 kap. 8 § lagen [2010:751] om betaltjänster)
2. Trustly Group AB ska betala en sanktionsavgift på 130 000 000 kronor.
(8 kap. 14 § lagen om betaltjänster)
3. Finansinspektionen förelägger Trustly Group AB att senast den 30 november 2022 behandla de fysiska personer som ingår en avtalsförbindelse med Trustly för att genomföra en betalning och i
samband med detta godkänner bolagets allmänna villkor, som kunder vid tillämpningen av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
(8 kap. 8 § lagen om betaltjänster)
4. Trustly Group AB ska senast den 4 januari 2023 skriftligen redovisa till Finansinspektionen vilka åtgärder som bolaget har vidtagit med anledning av föreläggandet enligt punkten 3, samt hur dessa åtgärder har resulterat i att föreläggandet har följts.
Hur man överklagar, se bilaga 1.
Finansinspektionen
Box 7821
SE-103 97 Stockholm
[Xxxxxxxxxxx 0]
Tel x00 0 000 000 00
Fax x00 0 00 00 00
xxxxxxxxxxxxxxxxxx@xx.xx xxx.xx.xx
1(49)
Sammanfattning
Trustly Group AB (Trustly eller bolaget) är ett betalningsinstitut som har tillstånd att tillhandahålla betaltjänster enligt lagen (2010:751) om betaltjänster. Bolaget tillhandahåller bland annat en inbetalningstjänst. Det har uppgett att tjänsten går att se som en kombination av en betalningsinitieringstjänst och en penningöverföring, där betalningsinitieringen utgör det första steget i penningöverföringen. Vidare har bolaget en utbetalningstjänst, vilken det uppgett utgör en penningöverföring. De fysiska personer som använder in- och utbetalningstjänsterna har Trustly benämnt slutanvändare.
Finansinspektionen har undersökt hur Trustly har följt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism samt Finansinspektionens föreskrifter (FFFS 2017:11) om åtgärder mot penningtvätt och finansiering av terrorism, när det gäller reglerna om allmän riskbedömning, riskbedömning av kunder, rutiner och riktlinjer, kundkännedomsåtgärder samt övervakning och rapportering. Undersökningen har i huvudsak avgränsats till att omfatta bolagets verksamhet kopplad till spelbranschen.
Spelbranschen är bolagets största affärsområde. Sett till transaktionsvolym har transaktioner till och från spelbranschen, under den undersökta perioden, utgjort mer än hälften av bolagets totala transaktionsvolym. Inspektionen kan alltså konstatera att bolaget har en stor exponering mot en bransch som utgör hög risk för penningtvätt och finansiering av terrorism.
Finansinspektionens undersökning visar på ett flertal brister inom centrala delar av penningtvättsregelverket genom att bolaget inte behandlar bolagets slutanvändare som kunder enligt penningtvättslagen. Inspektionen har funnit att Trustly härigenom underlåtit att inkludera en stor del av bolagets kunder i dess åtgärder för att motverka penningtvätt och finansiering av terrorism. Trustly har, i strid med penningtvättslagen, inte inkluderat dessa kunder i den allmänna riskbedömningen eller i bolagets rutiner och riktlinjer. Såvitt avser dessa kunder har bolaget inte heller riskbedömt dem, vidtagit åtgärder för kundkännedom eller övervakat dem som kunder.
Utöver bristerna som är hänförliga till att bolaget inte på ett korrekt sätt definierat vem som utgör kund till bolaget enligt penningtvättslagen visar undersökningen att bolaget även i övrigt inte har följt flera centrala regler i penningtvättsregelverket som rör allmän riskbedömning, riskbedömning av kunder, rutiner och riktlinjer för kundkännedom, åtgärder för kundkännedom och övervakning.
Xxxxxxxxx har huvudsakligen gällt en bransch som utgör hög risk för penningtvätt och finansiering av terrorism och genom Trustlys roll i betalkedjan har bolaget intagit en position som närmast kan liknas vid ett nav mellan bankerna och spelbolagen. Risken för att Trustly och det finansiella systemet har kunnat utnyttjas för penningtvätt och finansiering av terrorism har därför varit stor.
Finansinspektionen bedömer sammantaget att bristerna har varit sådana att det finns skäl att ingripa mot Trustly.
De överträdelser som har sin grund i att Trustly inte behandlat slutanvändare som kunder enligt penningtvättslagen behöver hanteras skilt från övriga överträdelser. Trots att det finns flera omständigheter som talar för att överträdelserna ska anses vara allvarliga är omständigheterna i denna del sådana att bolaget, med hänvisning till en av Finansinspektionen tidigare avslutad undersökning, har en lägre grad av ansvar än vad som annars hade varit fallet. I denna del föreläggs därför Trustly att vidta åtgärder för att komma tillrätta med situationen.
Oberoende av de brister som har sin grund i att Trustly inte behandlat slutanvändare som kunder enligt penningtvättslagen anser Finansinspektionen att övriga brister som framgår av beslutet är allvarliga och att det därför finns skäl att överväga att återkalla Trustlys tillstånd. Med hänsyn till vad bolaget har uppgett om vidtagna och planerade åtgärder, bedömer Finansinspektionen att prognosen för att Trustly ska åtgärda bristerna och i fortsättningen följa regelverket är så pass god att det är tillräckligt att meddela Trustly en varning i denna del. Varningen förenas med en sanktionsavgift på 130 000 000 kronor.
Innehåll
1.1 Bolaget och dess verksamhet 5
1.3 Undersökningens omfattning 7
3.1 Penningtvättsregelverket 8
3.2 Den allmänna riskbedömningen och kundens riskprofil 9
3.4 Åtgärder för kundkännedom 9
3.6 Risken för att Trustly utnyttjas för penningtvätt 10
3.7 Generellt om Trustlys inställning 11
4 Finansinspektionens iakttagelser och bedömningar 12
4.1 Trustlys hantering av slutanvändare vid tillämpning av penningtvättslagen 12
4.2 Bristande allmän riskbedömning 19
4.3 Bristande riskklassificering av kunder 20
4.4 Bristande rutiner och riktlinjer för kundkännedom 22
4.5 Bristande åtgärder för kundkännedom 23
4.6 Bristande övervakning av pågående affärsförbindelser 33
5 Överväganden om ingripande 41
5.1 Tillämpliga bestämmelser 41
5.3 Överträdelserna kräver ingripande 43
Bilaga 1 – Hur man överklagar 51
Bilaga 2 – Tillämpliga bestämmelser 52
1 Bakgrund
1.1 Bolaget och dess verksamhet
Trustly Group AB (Trustly eller bolaget) är ett svenskt betalningsinstitut med tillstånd att tillhandahålla betaltjänster enligt lagen (2010:751) om betaltjänster (betaltjänstlagen). Bolaget, som grundades 2008, tillhandahåller betalnings- lösningar genom sin teknik för direktbetalning. Trustly är, sett till såväl omsättning som antalet anställda och betalningsvolym, ett av de största betalningsinstituten i Sverige. Bolaget har fyra huvudsakliga affärsområden: spelbranschen1, e-handel, finansiella tjänster och resetjänster. Av dessa står spelbranschen för mer än hälften av bolagets transaktionsvolym2 samt en betydande del av såväl antalet betaltjänstanvändare som antalet företagskunder.
Som betalningsinstitut erbjuder Trustly bland annat inbetalnings- och utbetalningstjänster. Trustlys huvudsakliga tjänst, inbetalningstjänsten, utgör ett betalningssätt genom vilket bolaget möjliggör för en privatperson att genomföra en betalning eller en överföring från sitt bankkonto till betalningsmottagarens konto. Enligt bolagets beskrivning av tjänsten innebär den att betalningar kan genomföras snabbare än genom andra betalningssätt. För att möjliggöra detta har Trustly klientmedelskonton i ett flertal banker. När en privatperson gör en betalning via bolagets tjänst förs pengarna över från personens bankkonto till ett av bolagets klientmedelskonton i samma bank. Därefter för Trustly beloppet vidare till mottagarens konto med förutbestämda intervall. Bolaget har förklarat att dess tjänst går att se som en kombination av en betalningsinitieringstjänst och en penningöverföring, där betalningsinitieringen utgör det första steget i penningöverföringen.
Trustlys utbetalningstjänst utgör ett betalningssätt genom vilket ett e-handels- bolag kan göra en återbetalning till en privatperson, alternativt ett betalningssätt genom vilket en privatperson kan begära att till exempel ett spelbolag ska genomföra en överföring från privatpersonens spelkonto hos spelbolaget till privatpersonens bankkonto. Även vid denna tjänst går transaktionen via Trustlys klientmedelskonton. Bolaget har uppgett att utbetalningstjänsten utgör en penningöverföring.
Utöver bolagets in- och utbetalningstjänster erbjuder bolaget även en kontoinformationstjänst samt en autogirotjänst.
De fysiska personer som använder sig av bolagets in- och utbetalningstjänst har av bolaget kallats för slutanvändare. De personer som använder bolagets autogirotjänst har kallats autogirokunder. I beslutet används begreppen med dessa betydelser.
1 Med spelbranschen avses här kommersiellt onlinespel, exempelvis vadhållning eller casinoverksamhet.
2 Med transaktionsvolym avses den totala summan av de betalningar som sker genom bolaget.
Enligt den senast fastställda årsredovisningen redovisade Trustly för räkenskapsåret 2020 en nettoomsättning på 1 752 029 000 kronor och en
balansomslutning på 1 000 000 000 kronor. Bolaget har uppgett att det under
2020 hade 306 anställda i Sverige.
Finansinspektionen inledde i oktober 2020 en undersökning för att kontrollera att Trustly följer lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) och Finansinspektionens föreskrifter (FFFS 2017:11) om åtgärder mot penningtvätt och finansiering av terrorism (penning- tvättsföreskrifterna). I beslutet kallas penningtvättslagen och penningtvätts- föreskrifterna gemensamt för penningtvättsregelverket.
Undersökningen avgränsades till att omfatta Trustlys allmänna riskbedömning, riskbedömning av kunder, rutiner och riktlinjer, kundkännedomsåtgärder samt övervakning och rapportering. Förutom när det gäller den allmänna risk- bedömningen avgränsades undersökningen till att omfatta bolagets verksamhet kopplad till spelbranschen mot bakgrund av den förhöjda risk för penningtvätt och finansiering av terrorism som den branschen är förknippad med samt bolagets stora exponering mot just denna bransch.3
Finansinspektionen gjorde ett digitalt platsbesök hos Trustly den 4 november 2020. Därefter, den 2 december 2020, intervjuade myndigheten den person som vid den tidpunkten var ansvarig för bolagets enhet för att motverka penningtvätt och finansiering av terrorism.
Finansinspektionen skickade den 19 april 2021 en avstämningsskrivelse till Trustly där Finansinspektionen redogjorde för sina iakttagelser och preliminära bedömningar. Bolagets svar på avstämningsskrivelsen kom in till myndigheten den 25 maj 2021. Finansinspektionen hade därefter, på bolagets begäran, ett möte med Trustly. Vid mötet lämnade Trustly en uppdatering av arbetet med den åtgärdsplan som bolaget hade inkommit med i samband med svaret på avstämningsskrivelsen.
När ärendet hade överlämnats för sanktionsprövning skickade Finans- inspektionen den 28 september 2021 en begäran om yttrande till Trustly. Bolaget fick därigenom möjlighet att på nytt yttra sig över Finansinspektionens iakttagelser och preliminära bedömningar men även över myndighetens överväganden om att ingripa mot bolaget. Trustly yttrade sig till Finansinspektionen den 1 november 2021. Bolaget har därefter inkommit med uppdateringar i fråga om sitt arbete med åtgärder den 12 november, den
3 Såväl nationella som internationella källor har bedömt att spelbranschen utgör en hög risk för penningtvätt och finansiering av terrorism, se exempelvis Spelinspektionens riskbedömning från 2020, s. 21, Finanspolisens årsrapport för 2020, s. 9 samt bilagan till EU:s supranationella riskbedömning 2019, s. 220.
22 november, den 30 december 2021, den 3 februari 2022 och den 11 februari
2022.
1.3 Undersökningens omfattning
Undersökningen avser perioden från och med den 1 januari 2020 till och med den 31 augusti 2020 (undersökningsperioden) och har genomförts genom att Finansinspektionen har begärt in material från Trustly för den perioden. Om inget annat anges är iakttagelserna i detta beslut tillämpliga på samtliga versioner av de handlingar som bolaget inkommit med och som har varit gällande under undersökningsperioden.
Som en del i undersökningen har Finansinspektionen begärt in och granskat Trustlys allmänna riskbedömning och därtill hörande bilagor, bolagets riskbedömning av kunder, rutiner och riktlinjer avseende åtgärder för kundkännedom, rutiner och riktlinjer för övervakning av pågående affärs- förbindelser samt dokumentation som beskriver bolagets system för över- vakning, de scenarier som används samt bolagets rutiner och riktlinjer för rapportering av misstänkta transaktioner eller aktiviteter till Finanspolisen. När det gäller granskningen av bolagets övervakning har Finansinspektionen även begärt in bolagets rutiner för modellriskhantering samt en rapport över resultatet av den senaste valideringen av modellen.
Finansinspektionen har också begärt in och granskat bolagets verksamhetsplan med tillhörande bilagor.
Finansinspektionen har också granskat de åtgärder för kundkännedom som Trustly har vidtagit i fråga om 50 privatpersoner och nio spelbolag. De 50 privatpersonerna har varit fördelade på 22 autogirokunder och 28 slutanvändare. När det gäller privatpersonerna har Finansinspektionen vid urvalet utgått från en förteckning över de privatpersoner som under perioden överfört det största sammanlagda värdet till spelbolag samt de privatpersoner som Trustly under perioden har rapporterat flest gånger till Finanspolisen för misstänkta transaktioner eller aktiviteter kopplat till spelbolag. När det gäller spelbolagen har Finansinspektionen vid urvalet utgått från en förteckning över spelbolag som Trustly hade affärsförbindelser med och som överfört det största sammanlagda värdet till och från privatpersoner med svenskt bankkonto genom Trustly under undersökningsperioden. Begreppen företagskund och spelbolag används i det följande synonymt.
Finansinspektionen har också granskat tio larm i Trustlys system för över- vakning av transaktioner och de utredningsåtgärder som bolaget har vidtagit med anledning av larmen. Urvalet har i denna del baserats på larm som genererats för de privatpersoner som hade det största sammanlagda värdet av transaktioner till och från spelbolag under undersökningsperioden.
Finansinspektionen har funnit anledning att gå vidare med den del av under- sökningen som gäller Trustlys allmänna riskbedömning, riskklassificering av
kunder, rutiner och riktlinjer, kundkännedomsåtgärder och övervakning av transaktioner. Vad som i övrigt har framkommit i undersökningen motiverar ingen åtgärd från Finansinspektionens sida.
2 Tillämpliga bestämmelser
Finansinspektionen tillämpar i beslutet bestämmelser i penningtvättslagen, penningtvättsföreskrifterna och betaltjänstlagen.
En närmare redogörelse för bestämmelserna finns i bilaga 2. I avsnitt 5 redogörs närmare för tillämpliga bestämmelser om ingripande.
3 Utgångspunkter
Trustly omfattas av begreppet verksamhetsutövare i penningtvättslagen och av begreppet företag i penningtvättsföreskrifterna. För att förenkla framställningen anges i det följande vad som gäller för ett betalningsinstitut enligt penningtvätts- regelverket, även om bestämmelserna också gäller för andra verksamhetsutövare respektive företag.
Penningtvätt är en brottslig verksamhet som innebär att kriminella utnyttjar betalningsinstitut och andra företag för att göra illegala vinster tillgängliga för konsumtion och placeringar.
Det näringsrättsliga penningtvättsregelverket syftar till att förhindra att bland annat finansiella företag utnyttjas för penningtvätt och finansiering av terrorism. Det innebär att ett betalningsinstitut måste bedöma och hantera riskerna för att de tjänster som institutet tillhandahåller utnyttjas för penningtvätt och finansiering av terrorism. Om institutet inte gör det kan det, utöver att det kan öppna möjligheter för kriminella att tvätta pengar, leda till bristande förtroende för institutet och för den svenska betaltjänstmarknaden. I förlängningen skulle detta kunna innebära ett bristande förtroende för den svenska finansmarknaden i stort, både bland svenska konsumenter och bland aktörer i andra länder som gör affärer med eller via svenska finansiella företag.
Penningtvättsregelverket utgår från ett riskbaserat förhållningssätt. Det innebär att ett betalningsinstitut ska vidta åtgärder som står i proportion till de risker för penningtvätt och finansiering av terrorism som det är exponerat för. Det betyder också att ett betalningsinstitut ska kartlägga sina risker och allokera sina resurser utifrån var riskerna är som störst.
3.2 Den allmänna riskbedömningen och kundens riskprofil
Enligt penningtvättslagen måste ett betalningsinstitut, för att kunna hantera sina risker, göra en bedömning av hur de produkter och tjänster som det tillhanda- håller i sin verksamhet kan utnyttjas för penningtvätt och finansiering av terrorism, samt hur stor risken är att så faktiskt sker (allmän riskbedömning).
Institutet ska i sin bedömning särskilt beakta bland annat vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som finns. Institutet ska således identifiera, förstå och bedöma riskerna för att den egna verksamheten utnyttjas för penningtvätt eller finansiering av terrorism. Den allmänna riskbedömningen ska utformas så att den kan ligga till grund för institutets rutiner och riktlinjer och övriga åtgärder mot penningtvätt. En bristfällig allmän riskbedömning får negativa konsekvenser för det enskilda institutets prioriteringar av resurser och för utformningen av rutiner för bland annat kundkännedom och övervakning av transaktioner. De olika momenten är således kopplade till varandra, så att brister i ett moment riskerar att medföra brister i ett annat.
Utöver institutets allmänna riskbedömning ska institutet, enligt penningtvätts- lagen, också bedöma risken som är förknippad med den enskilda kunden och affärsförbindelsen (kundens riskprofil).
Enligt penningtvättslagen ska ett betalningsinstitut ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. När betalningsinstitutet tillämpar det riskbaserade förhållningssättet är dess rutiner och riktlinjer av mycket stor betydelse. De interna rutinerna ersätter i praktiken till stor del sådana detaljerade bestämmelser i lagar eller föreskrifter som ger tydliga och detaljerade handlingsregler (prop. 2016/17:173 s. 212). Betalningsinstitutet ska bestämma rutinernas och riktlinjernas omfattning och innehåll med hänsyn till institutets storlek, art och riskerna för penningtvätt och finansiering av terrorism som identifierats i den allmänna riskbedömningen.
Enligt penningtvättslagen ska ett betalningsinstitut vidta en rad specificerade åtgärder för att uppnå kundkännedom. Dock anger lagen inte i detalj hur omfattande kundkännedomsåtgärder ett betalningsinstitut ska vidta. Det är i stället det enskilda institutet som ansvarar för att utifrån sin allmänna risk- bedömning avgöra vilka åtgärder som det anser är lämpliga med tanke på de identifierade riskerna.
Betalningsinstitutet ska anpassa åtgärderna efter den risk för penningtvätt och finansiering av terrorism som det bedömer att en viss kund utgör. Om risken bedöms vara låg till normal ska institutet vidta grundläggande åtgärder, och i
vissa fall kan förenklade åtgärder vara tillräckliga. I de fall risken för penning- tvätt och finansiering av terrorism bedöms som hög ska institutet vidta skärpta åtgärder för kundkännedom. Dessa åtgärder ska inkludera särskilt omfattande kontroller, bedömningar och utredningar.
Ett betalningsinstitut ska för att uppnå en god kännedom om sina kunder vidta åtgärder för kundkännedom när en affärsförbindelse etableras. Med affärs- förbindelse avses en affärsmässig förbindelse som när den etableras förväntas ha en viss varaktighet. En affärsförbindelse kan uppstå antingen den första gången som kunden och betalningsinstitutet har kontakt med varandra eller senare, genom parternas faktiska handlande (prop. 2016/17:173 s. 189 f.).
Ett betalningsinstitut får inte etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om institutet inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt som kan förknippas med kundrelationen. Om en affärsförbindelse inte har etablerats är ett betalnings- institut fortfarande skyldigt att vidta åtgärder för kundkännedom vid enstaka transaktioner som överstiger vissa tröskelvärden som anges i lagen.
Ett betalningsinstitut ska enligt penningtvättslagen löpande övervaka affärs- förbindelser och transaktioner genom att kontrollera och dokumentera att de transaktioner som utförs stämmer överens med den kunskap som institutet har om kunden samt dennes affärs- och riskprofil, för att kunna upptäcka sådana aktiviteter och transaktioner som kan misstänkas utgöra ett led i penningtvätt eller finansiering av terrorism. Om misstanken efter närmare analys kvarstår, ska institutet utan dröjsmål lämna uppgifter om alla omständigheter som kan tyda på penningtvätt eller finansiering av terrorism till Finanspolisen inom Polismyndigheten.
3.6 Risken för att Trustly utnyttjas för penningtvätt
Risken för penningtvätt och finansiering av terrorism i betalningsinstitut har bedömts som betydande.4
Trustly är ett betalningsinstitut vars verksamhet till stor del riktar sig till spelbranschen. Spelbranschen har av flera myndigheter klassificerats som hög risk för penningtvätt och finansiering av terrorism.5 De risker som präglar spelbranschen, särskilt vad gäller spel online, består huvudsakligen av hög omsättning och många transaktioner.6 Vidare har Finanspolisen rapporterat att
4 Nationell riskbedömning av penningtvätt och finansiering av terrorism i Sverige 2020/2021, 2021, s. 65.
5 Se exempelvis Identifiering och bedömning av risker för penningtvätt på den svenska spelmarknaden, Spelinspektionen, 2020 och Nationell riskbedömning av penningtvätt och finansiering av terrorism i Sverige 2020/2021, 2021, s. 117 ff.
6 Identifiering och bedömning av risker för penningtvätt på den svenska spelmarknaden, Spelinspektionen, 2020, s. 21.
spelbranschen återkommande utnyttjas för penningtvätt och att några av de aktörer som tvättar pengar på spelmarknaden kan knytas till kriminella grupperingar i utsatta områden, företrädesvis med koppling till narkotika- och våldsbrottslighet.7
Det framgår av Trustlys allmänna riskbedömning att även bolaget har identifierat att spelbranschen utgör en hög risk för penningtvätt och att slutanvändares transaktioner till och från spelbranschen utgör ett av bolagets främsta risk- scenarier för penningtvätt. Det framgår också av den allmänna riskbedömningen att en betydande del av alla rapporter om misstänkta aktiviteter och transaktioner som Trustly har skickat till Finanspolisen är relaterade till spelbranschen.
Sett till transaktionsvolym har transaktioner till och från spelbranschen, under den undersökta perioden, utgjort en betydande del av Trustlys totala transaktionsvolym. I undersökningen har det vidare framkommit att transaktioner till eller från spelbolag i princip uteslutande genomförs av privatpersoner. Finansinspektionen kan alltså konstatera att Trustly har en stor exponering mot en bransch som utgör en hög risk för penningtvätt och att just privatpersoners transaktioner till och från spelbolag utgör en betydande del av såväl denna riskexponering som bolagets verksamhet.
Genom Trustlys roll i betalkedjan har bolaget intagit en position som närmast kan liknas vid ett nav mellan bankerna och spelbolagen. Bolagets roll medför därmed att det har särskilt goda förutsättningar att identifiera och motverka misstänkt penningtvätt eller finansiering av terrorism kopplat till transaktioner till och från spelbranschen. Om Trustly inte tar sitt fulla ansvar i denna del riskerar möjligheterna att begränsas när det gäller att motverka penningtvätt och finansiering av terrorism.
Mot bakgrund av Trustlys affärsmodell, som bland annat innebär att bolaget särskilt inriktat sig mot spelbranschen och utvecklat produkter och tjänster specifikt för denna bransch bedömer Finansinspektionen att bolaget har en betydande riskexponering gentemot spelbranschen. Det riskbaserade förhållningssättet förutsätter därför, enligt Finansinspektionens mening, att bolaget vidtar särskilt kraftfulla åtgärder för att kunna hantera den risk som spelbranschen utgör för bolagets verksamhet.
3.7 Generellt om Trustlys inställning
Trustly framförde i svaret på avstämningsskrivelsen ett flertal invändningar. I det yttrande som Trustly därefter lämnade till Finansinspektionen har bolaget i regel inte ifrågasatt myndighetens iakttagelser och preliminära bedömningar, utan endast redogjort för vilka åtgärder som det har vidtagit eller planerar att vidta för att komma till rätta med de brister som inspektionen har gjort gällande. I beslutet redovisas därför Trustlys inställning i sak endast i den utsträckning bolaget har redogjort för en sådan inställning i sitt yttrande.
7 Finanspolisens årsrapport för 2020, s. 9.
4 Finansinspektionens iakttagelser och bedömningar
4.1 Trustlys hantering av slutanvändare vid tillämpning av penningtvättslagen
4.1.1 Kundbegreppet i penningtvättslagen
Det framgår av 1 kap. 8 § 4 penningtvättslagen att med kund avses den som har trätt eller står i begrepp att träda i avtalsförbindelse med en verksamhetsutövare. Enligt punkten 1 i samma paragraf avses med affärsförbindelse en affärsmässig förbindelse som när den etableras förväntas ha viss varaktighet. För att någon ska anses vara kund till en verksamhetsutövare krävs alltså inte den varaktighet som behövs för att en affärsförbindelse ska anses etablerad. Begreppet kund omfattar således såväl de personer som etablerar en affärsförbindelse med en verksamhetsutövare som de som ingår avtal av mer tillfällig karaktär, exempel- vis för att genomföra en enstaka transaktion med verksamhetsutövaren (prop.
2016/17:173 s. 188). Att en kund samtidigt är kund hos en annan verksamhets- utövare som på ett eller annat sätt deltar i en och samma transaktion, exempelvis en bank, utesluter inte att kunden är att anse som kund även hos den första verksamhetsutövaren.
Frågan om vem som är att anse som kund har stor betydelse vid tillämpningen av penningtvättslagen. Som exempel kan nämnas att ett betalningsinstitut vid den allmänna riskbedömningen särskilt ska beakta vilka kunder som finns (2 kap. 1 § andra stycket penningtvättslagen) och att institutet får utföra en enstaka transaktion med en kund endast om institutet har tillräcklig kännedom om kunden för att bland annat kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (3 kap. 1 § samma lag).
4.1.2 Trustly har inte definierat slutanvändare som kunder
Det framgår av undersökningen att en slutanvändare, när den väljer att genomföra en betalning genom Trustly, uppdrar åt bolaget att genomföra transaktionen och samtidigt godkänner dess allmänna villkor. Av de allmänna villkoren framgår att det är Trustly, och inte slutanvändarens bank, som tillhandahåller tjänsten till slutanvändaren.
Av Trustlys verksamhetsplan samt dess beskrivning av hur produkterna fungerar framgår att bolagets inbetalningstjänst utgör en penningöverföring som initieras av en betalningsinitiering. I samband med att en betalning genomförs genom Trustly överförs medel från betalarens konto till ett av bolagets klientmedelskonton. Därefter förs medlen vidare av bolaget till betalningsmottagarens konto.
Som framgår i avsnitt 1.1 har Trustly kallat de fysiska personer som använder sig av bolagets in- och utbetalningstjänst för slutanvändare och de personer som använder bolagets autogirotjänst för autogirokunder. Under undersöknings- perioden ansåg Trustly att slutanvändare inte utgjorde kunder till bolaget i penningtvättslagens mening. Enligt den uppfattning som bolaget då gav uttryck för utgjordes dess privatkunder endast av de privatpersoner som använde bolagets autogirotjänst, och dess företagskunder8 av de juridiska personer som använde Trustlys tjänster för att ta betalt av privatpersoner. I det fall en privatperson använde såväl Trustlys autogirotjänst som någon av bolagets andra produkter eller tjänster har, enligt bolagets tidigare uppfattning, endast autogirotjänsten använts inom ramen för kundförhållandet med bolaget.
Numera har Trustly frångått denna inställning. Trustly har således i sitt yttrande till Finansinspektionen uppgett att bolaget numera definierar att ett kundförhållande uppstår med privatpersoner som använder bolagets inbetalningstjänst och/eller autogiroprodukt samt att bolaget även har identifierat när en affärsförbindelse uppstår med en slutanvändare. Bolaget har vidare presenterat en åtgärdsplan som syftar till att åtgärda de brister som är hänförliga till att Trustly inte har behandlat slutanvändare som kunder.
4.1.3 Iakttagelser som avser slutanvändare som ingått i urvalet
De 28 slutanvändare som har ingått i Finansinspektionens urval har, under de åtta månader som undersökningen omfattar, var och en genomfört minst 143 transaktioner till eller från spelbolag genom Trustly. Flera av dem har genomfört så många som över 1 000 sådana transaktioner under perioden. De samlade transaktionerna har uppgått till stora belopp, i genomsnitt drygt 8,1 miljoner kronor per person. Ingen av slutanvändarna i urvalet har överfört mindre än
440 000 kronor till eller från spelbolag under perioden.
De av Trustlys slutanvändare som över huvud taget har genomfört transaktioner till eller från spelbolag under undersökningsperioden (det vill säga även slutanvändare som inte har ingått i Finansinspektionens urval) har i genomsnitt genomfört 98 sådana transaktioner per person.
4.1.4 Risker som Trustly identifierat i fråga om slutanvändare och bolagets åtgärder för att motverka dessa risker
Spelbranschen är det affärsområde som står för mer än hälften av det samman- lagda värdet av alla transaktioner som Trustly hanterar. Bolaget anger i sin allmänna riskbedömning att det har bedömt att spelbranschen utgör hög risk för penningtvätt och finansiering av terrorism. Det framgår också av den allmänna riskbedömningen att en betydande del av alla rapporter om misstänkta aktiviteter och transaktioner som Trustly har skickat till Finanspolisen är relaterade till spelbranschen och att samtliga av dessa rapporter har avsett slutanvändare som Trustly i sig inte ansett vara kunder till bolaget. Det framgår vidare att ett av
8 Av bolaget även kallade ”handlare”.
Trustlys främsta riskscenarier för penningtvätt består i att slutanvändare använder bolagets in- och utbetalningstjänst för att tvätta pengar genom spelbolag och att bolaget har bedömt att in- och utbetalningstjänsten utgör hög risk för penningtvätt och finansiering av terrorism.
Trustly har i sitt yttrande till Finansinspektionen uppgett att bolaget framöver kommer att behandla slutanvändare som kunder i penningtvättslagens mening. Bolaget menar att det därmed kommer att följa definitionen av vem som är kund enligt 1 kap. 8 § 4 penningtvättslagen.
4.1.5 Finansinspektionens bedömning
Slutanvändarna är Trustlys kunder
Den fråga som Finansinspektionen inledningsvis behöver ta ställning till är om Trustlys slutanvändare är kunder till bolaget i penningtvättslagens mening. Om så är fallet måste myndigheten bedöma om Trustly har följt penningtvätts- regelverket i fråga om slutanvändarna.
Som framgår i avsnitt 4.1.1 är det avgörande för huruvida någon är kund eller inte om den har trätt i, eller avser att träda i, avtalsförbindelse med betalnings- institutet. Av undersökningen framgår att när en slutanvändare väljer att genomföra en betalning med bolagets tjänst, uppdrar hon eller han åt bolaget att genomföra betalningen och godkänner samtidigt bolagets allmänna villkor, av vilka det framgår att det är Trustly, och inte slutanvändarens bank, som tillhandahåller tjänsten till slutanvändaren. Därefter genomförs betalningen.
Enligt Finansinspektionens bedömning uppstår på detta sätt en avtalsförbindelse mellan slutanvändaren och Trustly. Slutanvändarna omfattas därför av definitionen av kunder enligt 1 kap. 8 § 4 penningtvättslagen.
Slutanvändarna genomför transaktioner
Eftersom Finansinspektionen har funnit att slutanvändarna är att anse som kunder i penningtvättslagens mening, har myndigheten härefter att pröva om de övriga förutsättningarna för att Trustly ska vara skyldigt att vidta kund- kännedomsåtgärder i fråga om slutanvändarna är uppfyllda (jfr prop.
2016/17:173 s. 230).
Enligt 3 kap. 4 § andra stycket penningtvättslagen ska betalningsinstitut, under vissa förutsättningar, vidta kundkännedomsåtgärder vid transaktioner som överstiger vissa beloppsgränser. Även sådana överföringar av medel som avses i 3 kap. 4 § andra stycket 3 är att anse som transaktioner.
Den första frågan att ta ställning till vid bedömningen av om Trustly ska vidta kundkännedomsåtgärder är alltså om slutanvändarnas betalningar utgör transaktioner i penningtvättslagens mening. Av förarbetena till penningtvätts- lagen framgår att begreppet transaktion bör tolkas vitt, men att förutsättningen för att utförandet av en enstaka transaktion ska medföra skyldigheter att vidta
kundkännedomsåtgärder är att det sker en förmögenhetsöverflyttning till eller från verksamhetsutövaren (prop. 2016/17:173 s. 230).
Enligt 5 kap. 8 § 1 betaltjänstlagen får en leverantör när den tillhandahåller betalningsinitieringstjänster inte vid någon tidpunkt inneha betalarens medel. Således sker det ingen förmögenhetsöverflyttning till betalningsinstitutet vid tillhandahållandet av betalningsinitieringstjänster. Av förarbetena till bestämmelsen framgår emellertid att det kan förekomma att en leverantör av betalningsinitieringstjänster även har tillstånd att tillhandahålla andra betal- tjänster för vilka det kan vara nödvändigt att inneha betalarens medel (prop. 2017/18:77 s. 155).
Utöver tillståndet att tillhandahålla betalningsinitieringstjänster har Trustly bland annat tillstånd att tillhandahålla penningöverföringar. Xxxxxxx har beskrivit sin tjänst som en kombination av en betalningsinitiering och en penningöverföring.
När Trustly utför tjänsten förs medlen över från slutanvändarens bankkonto till Trustlys klientmedelskonto alternativt från Trustlys klientmedelskonto till slutanvändarens bankkonto. Trustly tar på detta sätt emot medel från betalaren, och innehar därmed dennes medel. Detta hade över huvud taget inte varit tillåtet om bolaget endast hade haft tillstånd för att tillhandahålla betalningsinitieringstjänster. På grund härav och med beaktande av hur Trustlys tjänst är utformad, bedömer Finansinspektionen att bolagets tjänst innebär att enstaka transaktioner genomförs, eftersom det vid användandet av tjänsten sker en förmögenhetsöverflyttning till eller från slutanvändaren.
Detta innebär att kraven på kundkännedomsåtgärder vid enstaka transaktioner enligt penningtvättslagen blir tillämpliga.
Trustlys in- och utbetalningstjänster är penningöverföringstjänster
Enligt 3 kap. 4 § andra stycket 3 penningtvättslagen ska åtgärder för kund- kännedom vidtas redan om transaktionen överstiger ett belopp motsvarande 1 000 euro, om det är fråga om en sådan överföring av medel som anges i
artikel 3.9 i förordningen (EU) 2015/847.9 Inom den definitionen av överföring av medel ryms flera olika typer av betalningar och överföringar, om de åtminstone delvis utförs på elektronisk väg. Penningöverföringar, såsom de definieras i 1 kap. 4 § betaltjänstlagen, omfattas av definitionen. Finans- inspektionen måste därför ta ställning till om Trustlys in- och utbetalningstjänster är penningöverföringstjänster.
Enligt definitionen i betaltjänstlagen avses med penningöverföring en betaltjänst där medel tas emot från en betalare, utan att något betalkonto öppnas i betalarens eller betalningsmottagarens namn, uteslutande i syfte att överföra motsvarande belopp till en mottagare eller en annan betaltjänstleverantör som agerar på
9 Europaparlamentets och rådets förordning (EU) 2015/847 av den 20 maj 2015 om uppgifter som ska åtfölja överföringar av medel och om upphävande av förordning (EG) nr 1781/2006.
mottagarens vägnar, eller där dessa medel tas emot på mottagarens vägnar och ställs till mottagarens förfogande.
Trustlys inbetalningstjänst innebär att bolaget tar emot medel från en betalare (slutanvändaren), utan att något betalkonto öppnas i dennes eller betalnings- mottagarens namn, uteslutande i syfte att överföra motsvarande belopp till en mottagare (exempelvis ett spelbolag) eller en annan betaltjänstleverantör som agerar på mottagarens vägnar. Utbetalningstjänsten fungerar på motsvarande sätt men med omvänt betalningsflöde. Finansinspektionens finner därför att Trustlys in- och utbetalningstjänster utgör penningöverföringar. En följd av detta är att bolaget är skyldigt att vidta kundkännedomsåtgärder enligt 3 kap. 4 § andra stycket 3 penningtvättslagen.
Samtliga slutanvändare i urvalet har etablerat en affärsförbindelse med Trustly
Kravet på ett betalningsinstitut att vidta åtgärder för kundkännedom gäller, enligt 3 kap. 4 § första stycket penningtvättslagen, också vid etableringen av en affärsförbindelse. I ett sådant fall gäller kravet oberoende av några belopps- gränser.
Av definitionen av affärsförbindelse i 1 kap. 8 § 1 penningtvättslagen framgår att det krävs att en affärsmässig förbindelse förväntas ha en varaktighet för att en affärsförbindelse ska uppstå. Av förarbetena till penningtvättslagen framgår vidare att en affärsförbindelse kan uppstå mellan en person och en verksamhets- utövare som en följd av parternas faktiska, konkludenta, handlande (prop.
2016/17:173 s. 189). Affärsförbindelsen behöver alltså inte uppstå den första gången parterna har kontakt med varandra. Detta är något som Finans- inspektionen tidigare har gett uttryck för i en tillsynsrapport om erfarenheter från penningtvättstillsynen.10 I rapporten redogör Finansinspektionen för sin upp- fattning att en affärsförbindelse i vart fall etableras när transaktioner genomförs av samma person och med en frekvens av tolv gånger under en period på tolv månader. Vidare anges i rapporten att produkter och tjänster som innebär hög risk kan behöva ha en snävare definition av begreppet affärsförbindelse. Om det vid en verksamhetsutövares första kontakt med kunden inte står klart för verksamhetsutövaren att förbindelsen förväntas ha en tillräcklig varaktighet, måste verksamhetsutövaren löpande bedöma om en affärsförbindelse uppstår genom parternas konkludenta handlande.
Varje slutanvändare som har ingått i Finansinspektionens urval har under undersökningsperioden genomfört minst 143, och i vissa fall över 1 000, transaktioner till eller från spelbolag genom Trustly. De affärsmässiga förbindel- serna mellan Trustly och de slutanvändare som ingått i urvalet måste i samtliga fall anses ha haft en sådan varaktighet som krävs för att en affärsförbindelse enligt 1 kap. 8 § 1 penningtvättslagen ska anses vara etablerad. Det är möjligt att affärsförbindelserna har etablerats redan före undersökningsperioden, men Finansinspektionen har inte underlag för att göra en sådan bedömning. Antalet
10 Tillsynsrapport nummer 1, Erfarenheter från penningtvättstillsynen 2016–2017.
transaktioner som respektive slutanvändare har genomfört under undersöknings- perioden visar dock tydligt att affärsförbindelserna i vart fall har etablerats under den perioden.
Trustly har åsidosatt sina skyldigheter enligt penningtvättslagen i fråga om slutanvändarna
Som framgått har Trustly åsidosatt penningtvättslagen genom att inte behandla slutanvändarna som kunder. En omedelbar konsekvens av att Trustly inte har behandlat slutanvändarna som kunder är att bolaget på ett flertal punkter inte har uppfyllt de specifika skyldigheter som det har enligt penningtvättsregelverket.
Allmän riskbedömning
I sin allmänna riskbedömning har Trustly visserligen angett att ett av de främsta riskscenarierna i verksamheten är att slutanvändare använder bolagets produkter och tjänster för att tvätta pengar. Trustly har dock inte tagit hänsyn till slut- användarna som kunder i den allmänna riskbedömningen. Trustly har därmed inte bedömt den risk som slutanvändare kan utgöra som kunder till bolaget, inte riskbedömt de distributionskanaler som används för bolagets produkter och tjänster som är tillgängliga för slutanvändare, och inte heller bedömt vilka geografiska risker som kan associeras med slutanvändare. Trustly har inte heller utformat sin allmänna riskbedömning efter de risker som har identifierats i verksamheten. Den allmänna riskbedömningen innehåller därmed sådana brister att den inte på ett godtagbart sätt har kunnat ligga till grund för bolagets rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Det innebär att Trustly inte har följt bestämmelserna i 2 kap. 1 och 2 §§ penning- tvättslagen.
Riskklassificering
Mot bakgrund av att slutanvändarna inte behandlats som kunder av Trustly har ingen av slutanvändarna i urvalet tilldelats en riskklass. Trustly har därmed inte riskklassificerat slutanvändarna på det sätt som krävs enligt 2 kap. 3 § penning- tvättslagen.
Xxxxxxx och riktlinjer
Av 2 kap. 8 § första stycket penningtvättslagen följer att ett betalningsinstitut ska ha dokumenterade rutiner och riktlinjer som bland annat avser institutets åtgärder för kundkännedom. Xxxxxxxxxx och riktlinjernas omfattning och innehåll ska, enligt tredje stycket samma paragraf, bestämmas med hänsyn till institutets storlek, art och riskerna för penningtvätt och finansiering av terrorism som identifierats i den allmänna riskbedömningen.
Eftersom Trustly inte behandlat slutanvändare som kunder har bolaget saknat rutiner eller riktlinjer för kundkännedom i fråga om slutanvändare. Trustly har, trots att bolaget har bedömt att slutanvändares transaktioner till och från
Kundkännedom
I 3 kap. penningtvättslagen finns krav på verksamhetsutövare att ha kännedom om sina kunder och på att vidta åtgärder för kundkännedom. Trustly har över huvud taget inte vidtagit några åtgärder för kundkännedom för någon av de 28 slutanvändare som har ingått i Finansinspektionens urval. Finansinspektionens ställningstaganden i detta avsnitt innebär att Trustly har varit skyldigt att vidta sådana åtgärder. Genom att inte göra det har bolaget åsidosatt sina skyldigheter enligt följande bestämmelser i 3 kap. penningtvättslagen.
Trustly har i fråga om slutanvändarna i urvalet inte
- haft tillräcklig kännedom om kunderna för att hantera risken för penningtvätt eller finansiering av terrorism och för att övervaka och bedöma kundernas aktiviteter och transaktioner (1 §),
- vidtagit åtgärder för kundkännedom vid etablering av affärsförbindelser eller genomförande av transaktioner (4 §),
- identifierat kunderna och kontrollerat deras identiteter innan affärs- förbindelsen etablerades eller transaktionerna utfördes (7 och 9 §§),
- bedömt om kunderna är personer i politiskt utsatt ställning (PEP-kunder) eller familjemedlemmar eller kända medarbetare till en sådan person (RCA-kunder) (10 §),
- kontrollerat om kunderna är etablerade i ett högrisktredjeland (11 §),
- inhämtat information om affärsförbindelsens syfte och art (12 §),
- löpande och vid behov följt upp pågående affärsförbindelser (13 §),
- utfört kontroller och bedömningar i den omfattning som behövs med hänsyn till kundernas riskprofil och övriga omständigheter (14 §), eller
- gjort särskilt omfattande kontroller och bedömningar i de fall den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen har bedömts som hög (16 §).
Övervakning
I 4 kap. penningtvättslagen finns bestämmelser om övervaknings- och rapporteringsskyldighet för verksamhetsutövarna. Trots att Trustly inte har behandlat slutanvändarna som kunder har bolaget i viss mån övervakat deras transaktioner. Frågor om brister i denna övervakning behandlas i avsnitt 4.6.
4.2 Bristande allmän riskbedömning
4.2.1 Reglering
Enligt 2 kap. 1 § första stycket penningtvättslagen ska ett betalningsinstitut bedöma hur de produkter och tjänster som det tillhandahåller i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Av förarbetena till penningtvättslagen framgår att ett betalningsinstitut i sin allmänna riskbedömning ska besvara frågan om och hur dess produkter och tjänster kan användas för att exempelvis dölja samband mellan brottsligt åtkommen egendom och brott eller brottslig verksamhet (prop. 2016/17:173 s. 510).
Av andra stycket samma paragraf framgår att en särskild faktor som betalnings- institutet ska beakta när det gör den allmänna riskbedömningen är vilka geografiska riskfaktorer som föreligger. Geografiska riskfaktorer är sådana som är relaterade till förhållandena i de länder där produkter och tjänster erbjuds eller där betalningsinstitutets kunder är baserade (prop. 2016/17:173 s. 510).
Enligt 2 kap. 1 § tredje stycket penningtvättsföreskrifterna ska ett betalnings- institut uppdatera sin allmänna riskbedömning innan det erbjuder nya eller väsentligt förändrade produkter, tjänster, riktar sig till nya marknader eller gör andra förändringar som är relevanta för verksamheten.
4.2.2 Iakttagelser
Trustly tillhandahåller en tjänst som kallas Pay N Play. Trustly har beskrivit tjänsten som en av bolagets kärnprodukter. Den är specifikt framtagen för spelbranschen och beskrivs av bolaget som en tjänst som möjliggör snabba och enkla överföringar till spelbolag. Tjänsten utgör en kombination av tre av bolagets befintliga produkter: inbetalningar, utbetalningar och informations- tjänster. Dessa tre produkter ingår var och en för sig i den allmänna risk- bedömningen. I den version av den allmänna riskbedömningen som gällde under undersökningsperioden har Trustly dock inte bedömt om risken med respektive produkt har påverkats av den specifika kombinationen eller vilken risk Pay N Play som sådan utgör. Bolaget har således inte bedömt om risken med de produkter som ingår i Pay N Play påverkas av det faktum att de kombineras i Pay N Play. Eftersom Trustly inte har riskbedömt Pay N Play har bolaget inte uppdaterat sin allmänna riskbedömning innan det erbjuder nya eller väsentligen förändrade produkter och tjänster.
Av den allmänna riskbedömningen framgår att Trustly har gjort ett antagande att samtliga autogirokunder endast har en geografisk exponering mot Sverige. För en autogirokund som inte är en PEP-kund eller RCA-kund har bolaget inte inhämtat några uppgifter om kundens geografiska exponering såsom till exempel adress, medborgarskap eller skatterättslig hemvist.
Trustly har informerat Finansinspektionen om att bolaget numera genomfört en genomgång av autogirokunders geografiska exponering. I samband med denna genomgång avslutades affärsförbindelsen med flera hundra autogirokunder på grund av att de var etablerade i ett högrisktredjeland samt med över tusen auto- girokunder på grund av att bolaget inte kunnat utesluta att dessa varit etablerade i ett sådant land.
4.2.3 Finansinspektionens bedömning
Trustly har vidgått att bolaget inte har riskbedömt produkten Pay N Play och därmed inte heller den kombination av produkter som Pay N Play utgör. Finans- inspektionen finner det anmärkningsvärt att bolaget inte har gjort en sådan riskbedömning trots att bolaget har uppgett att Pay N Play utgör en av bolagets kärnprodukter samt att produkten är särskilt framtagen för en högriskbransch.
Finansinspektionen finner därmed att Trustly inte har uppfyllt kraven i 2 kap. 1 § första stycket penningtvättslagen när det gäller att i den allmänna risk- bedömningen bedöma hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker. Trustly har inte heller uppdaterat sin allmänna riskbedömning innan bolaget har erbjudit nya eller väsentligt förändrade produkter och tjänster, och har därigenom inte uppfyllt sina skyldigheter enligt 2 kap. 1 § tredje stycket penningtvättsföreskrifterna.
Det är ostridigt att Trustly i sin allmänna riskbedömning har antagit att samtliga autogirokunder endast har en geografisk exponering mot Sverige. Ett sådant antagande bedömer Finansinspektionen inte uppfyller kraven på en sådan bedömning av geografiska risker som avses i 2 kap. 1 § andra stycket penning- tvättslagen. Genom att utelämna den geografiska risk som kan associeras med autogirokunder har Trustly inte beaktat samtliga geografiska riskfaktorer som föreligger i verksamheten, vilket även bevisas av att Trustlys antagande har varit direkt felaktigt då bolaget vid sin senare genomgång av autogirokunder har identifierat flera hundra kunder som har haft exponering mot högrisktredjeländer och över tusen kunder där sådan exponering inte har kunnat uteslutas. Trustly har därför inte följt 2 kap. 1 § andra stycket penningtvättslagen i detta avseende.
4.3 Bristande riskklassificering av kunder
4.3.1 Reglering
Ett betalningsinstitut ska, enligt 2 kap. 3 § första stycket penningtvättslagen, bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en kundrelation. Detta kallas för kundens riskprofil. Riskprofilen ska bestämmas med utgångspunkt i den allmänna riskbedömningen och verksamhetsutövarens kännedom om kunden. Av tredje stycket samma paragraf framgår att kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.
4.3.2 Iakttagelser
Av bolagets rutiner och riktlinjer för riskklassificering av kunder framgår att bolaget ska dela in sina kunder i fem olika riskklasser: låg, normal, hög, mycket hög samt oacceptabel risk.
Av den kundkännedomsdokumentation och övrigt material som Trustly har lämnat till Finansinspektionen för de 22 autogirokunderna som har ingått i myndighetens urval går det inte i något fall att utläsa om autogirokunderna har riskklassificerats, när de riskklassificerades eller vilken riskklass de har tilldelats.
Av Trustlys allmänna riskbedömning framgår att en kund som bolaget har rapporterat till Finanspolisen ska betraktas som en kund som utgör en mycket hög risk. Av de 22 autogirokunder som har ingått i urvalet har tolv rapporterats till Finanspolisen för misstänkta aktiviteter eller transaktioner kopplade till spelbolag.
Trustly har uppgett att när en kund har rapporterats till Finanspolisen ska den, enligt bolagets rutiner, riskklassificeras på nytt. Finansinspektionen konstaterar dock att det varken av bolagets rutiner för rapportering av kunder till Finans- polisen eller bolagets rutiner för riskklassificering av kunder framgår hur eller när en kund som har rapporterats till Finanspolisen ska riskklassificeras.
Finansinspektionen konstaterar också att Trustly inte för någon av de autogiro- kunder som bolaget har rapporterat till Finanspolisen har genomfört någon utvärdering eller ändring av kundens riskklass med anledning av rapporteringen.
Trustly har inte ifrågasatt Finansinspektionens iakttagelser.
4.3.3 Finansinspektionens bedömning
Huvudsyftet med det riskbaserade förhållningssättet är att verksamhetsutövarna ska ha möjlighet att anpassa åtgärderna för att motverka penningtvätt och finansiering av terrorism till de risker som finns i verksamheten. Genom den allmänna riskbedömningen och de riskbaserade rutinerna har verksamhets- utövaren skapat en grund för att bedöma och hantera de verksamhetsspecifika riskerna för penningtvätt och finansiering av terrorism. Riskerna i verksamheten är dock inte statiska utan varierar beroende på omständigheter hänförliga till den specifika kunden, de produkter och tjänster som kunden använder samt hur kunden använder dessa produkter och tjänster. Detta innebär att i princip varje kund efter en helhetsbedömning kan tilldelas en egen riskklassificering och att åtgärderna för att motverka riskerna kan anpassas individuellt för varje kund (prop. 2016/17:173 s. 259).
Bedömningen av kundens riskprofil kallas för riskklassificering, vilket innebär att kunden tilldelas en riskklass. Kundens riskklass ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det. En förutsättning för att en verksamhetsutövare ska kunna vidta riskbaserade åtgärder
för kundkännedom samt övervakning av transaktioner är att verksamhets- utövaren gör en bedömning av den risk som respektive kund utgör och att detta dokumenteras och tydligt framgår för bolagets medarbetare. Bedömningen ska utgå från bolagets allmänna riskbedömning samt den kännedom bolaget har om den enskilde kunden.
Av den kundkännedomsdokumentation som Finansinspektionen har tagit del av framgår inte att någon av de 22 autogirokunderna som ingått i Finans- inspektionens urval har tilldelats en individuell riskklass. Finansinspektionen bedömer därför att Trustly inte har uppfyllt sin skyldighet enligt 2 kap. 3 § första stycket penningtvättslagen att bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med dessa kundrelationer. Trustly har inte ifrågasatt denna bedömning.
Trustly har i sin allmänna riskbedömning bedömt att det förhållandet att en kund rapporteras till Finanspolisen medför att kunden utgör en mycket hög risk för penningtvätt och finansiering av terrorism. Tolv av autogirokunderna i urvalet har varit föremål för rapportering till Finanspolisen. Trustly har trots detta inte utfört någon uppföljning av kundernas riskprofil med anledning av att de har rapporterats till Finanspolisen.
Finansinspektionen bedömer, i likhet med vad som framgår av bolagets allmänna riskbedömning, att det faktum att en kund rapporteras till Finanspolisen utgör en högriskfaktor. En sådan rapport måste givetvis tas på allvar och resultera i att kundens riskklass utvärderas och, vid behov, justeras. Finansinspektionen finner därför att Trustly inte i fråga om någon av de tolv autogirokunder som ingått i urvalet och som rapporterats till Finanspolisen, har bestämt kundens riskprofil med utgångspunkt i den allmänna riskbedömningen och bolagets kännedom om kunden. Trustly har inte heller följt upp kundens riskprofil under pågående affärsförbindelse och ändrat den när det funnits anledning till det. Trustly har därmed inte uppfyllt sina skyldigheter enligt 2 kap. 3 § första och tredje styckena penningtvättslagen.
4.4 Bristande rutiner och riktlinjer för kundkännedom
4.4.1 Reglering
Enligt 2 kap. 8 § penningtvättslagen ska en verksamhetsutövare ha dokumenterade rutiner och riktlinjer för bland annat sina åtgärder för kundkännedom.
4.4.2 Iakttagelser
Ingen av de versioner av bolagets rutiner och riktlinjer för åtgärder för kund- kännedom som Finansinspektionen har tagit del av innehåller uppgifter om hur eller när bolaget ska kontrollera om en autogirokund är etablerad i ett land utanför Europeiska ekonomiska samarbetsområdet (EES) som av Europeiska kommissionen (kommissionen) har identifierats som ett högrisktredjeland.
Av Trustlys övergripande rutin för åtgärder för kundkännedom framgår att bolaget ska inhämta uppgifter om syfte och art med affärsförbindelsen. Trustly har också antagit särskilda rutiner för att inhämta information om affärsförbindelsens syfte och art för företagskunder. Några motsvarande rutiner för autogirokunder finns inte.
Av Trustlys rutin för löpande uppföljning av affärsförbindelser framgår att syftet och bakgrunden till rutinen är bestämmelsen i 3 kap. 13 § penningtvättslagen, som bland annat anger att en verksamhetsutövare löpande och vid behov ska följa upp pågående affärsförbindelser. Det framgår inte av rutinen hur eller när bolaget löpande ska följa upp autogirokunder.
Trustly har inte ifrågasatt Finansinspektionens iakttagelser.
4.4.3 Finansinspektionens bedömning
Xxxxxxx och riktlinjer för kundkännedom utgör en grundläggande förutsättning för att bolaget ska kunna vidta ändamålsenliga, konsekventa och riskbaserade åtgärder för kundkännedom. Verksamhetsutövarens rutiner och riktlinjer är av mycket stor betydelse vid tillämpningen av det riskbaserade förhållningssättet. De interna rutinerna ersätter i praktiken till stor del sådana detaljerade bestämmelser i lag eller föreskrifter som ger tydliga och detaljerade handlings- regler (prop. 2016/17:173 s. 212).
Trustly har i flera avseenden helt saknat rutiner och riktlinjer för åtgärder för kundkännedom som avser autogirokunder. Finansinspektionen finner därför att Trustly inte har följt bestämmelserna i 2 kap. 8 § penningtvättslagen, som anger att en verksamhetsutövare ska ha dokumenterade rutiner och riktlinjer om bland annat sina åtgärder för kundkännedom.
4.5 Bristande åtgärder för kundkännedom
Som framgått ovan har Finansinspektionen, när det gäller åtgärder för kundkännedom, granskat kundakterna för sammanlagt 50 privatpersoner, fördelat på 22 autogirokunder och 28 slutanvändare. Urvalet omfattar de autogirokunder och slutanvändare som under undersökningsperioden har överfört det största sammanlagda värdet till spelbolag och de som bolaget har rapporterat flest gånger till Finanspolisen för misstänkta transaktioner eller aktiviteter kopplat till spelbolag under undersökningsperioden.
Finansinspektionen har även granskat de åtgärder för kundkännedom som bolaget har vidtagit för nio spelbolag.
Finansinspektionen har i avsnitt 4.1.5 redovisat sin bedömning av de brister som myndigheten har iakttagit i Trustlys kundkännedomsåtgärder i fråga om slutanvändare. I detta avsnitt redogör Finansinspektionen för sina iakttagelser och bedömningar i fråga om autogirokunderna och spelbolagen.
Samtliga autogirokunder i urvalet har under de åtta månader som under- sökningen omfattat var för sig genomfört minst 44 transaktioner till och från spelbolag genom Trustly. De samlade transaktionerna har uppgått till stora belopp, i genomsnitt drygt 4,7 miljoner kronor per person. Ingen av autogirokunderna i urvalet har överfört mindre än 320 000 kronor till eller från spelbolag under perioden.
4.5.1 Avsaknad av kontroll av etablering i högrisktredjeland
Reglering
Av 3 kap. 11 § penningtvättslagen följer att ett betalningsinstitut ska kontrollera om en kund är etablerad i ett land utanför EES som av kommissionen har identifierats som ett högrisktredjeland. Om kunden är etablerad i ett sådant land ska betalningsinstitutet, enligt 17 § samma kapitel, vidta skärpta åtgärder för kundkännedom vid affärsförbindelser eller enstaka transaktioner.
Iakttagelser
Av kundakterna för de 22 autogirokunderna framgår inte att Trustly i något fall har kontrollerat om kunden har varit etablerad i ett land utanför EES som av kommissionen har identifierats som ett högrisktredjeland.
Finansinspektionens bedömning
Trustly har inte ifrågasatt Finansinspektionens iakttagelser men uppgett att bolaget, i slutet av 2020, kontrollerade autogirokunders geografiska etablering och i samband med detta identifierade flera hundra autogirokunder som var etablerade i ett högrisktredjeland och över tusen autogirokunder för vilka bolaget inte kunde utesluta en sådan etablering. Trustly avslutade i samband med detta affärsförbindelserna med samtliga dessa autogirokunder. Numera är även bristerna åtgärdade.
Det är alltså ostridigt att Trustly inte har kontrollerat om någon av autogiro- kunderna i Finansinspektionens urval har varit etablerad i något av de länder utanför EES som av kommissionen har identifierats som ett högrisktredjeland. Skyldigheten att kontrollera detta är absolut. Finansinspektionen finner därför att Trustly när det gäller autogirokunderna i urvalet inte har fullgjort sin skyldighet enligt 3 kap. 11 § penningtvättslagen.
Finansinspektionen vill framhålla att vikten av att ett betalningsinstitut uppfyller kravet på kontroll av etablering i ett högrisktredjeland visar sig inte minst i att institutet annars riskerar att inte kunna vidta sådana skärpta kundkännedoms- åtgärder som enligt 3 kap. 17 § ska vidtas vid affärsförbindelser eller enstaka transaktioner om kunden är etablerad i ett sådant land.
4.5.2 Avsaknad av information om affärsförbindelsens syfte och art
Reglering
Av 3 kap. 12 § penningtvättslagen framgår att ett betalningsinstitut ska inhämta information om affärsförbindelsens syfte och art.
Iakttagelser
När det gäller Trustlys autogirokunder har det inte i någon av de kundkänne- domsakter som Finansinspektionen tagit del av funnits någon information om syftet eller arten med affärsförbindelsen, varken i fråga om de transaktioner eller aktiviteter som sker inom autogiroprodukten eller när det gäller transaktioner genom någon av bolagets andra produkter eller tjänster som autogirokunderna har använt.
När det gäller de nio företagskunder som ingått i Finansinspektionens urval har Trustly bedömt att dessa kunder utgör hög risk för penningtvätt och finansiering av terrorism med hänvisning till att de är spelbolag. För dessa företagskunder beskriver bolaget arten med affärsförbindelsen med antingen ett belopp eller ett intervall för värdet på en genomsnittlig inbetalning. I kundakterna för företags- kunderna finns det dock även ifyllnadsfält för genomsnittligt belopp för utbetalning, maxbelopp för inbetalning och maxbelopp för utbetalning, uppgifter som i samtliga granskade kundakter saknas.
När det gäller företagskunderna beskriver Trustly affärsförbindelsens art med vilken kundkategori företagskunden tillhör och räknar upp de produkter och tjänster som kunden tillhandahåller. För samtliga företagskunder i urvalet beskrivs kundkategorin som ”spel” och beskrivningen av kundens produkter anges med ord som ”online casino”, ”poker”, ”online spel” och ”vadhållning på sport”.
Det framgår av undersökningen att det har funnits stora skillnader mellan företagskunderna i urvalet när det kommer till såväl antalet transaktioner som det sammanlagda värdet på genomförda transaktioner.
Trustly har inte ifrågasatt Finansinspektions iakttagelser men anfört att de väsentliga variationerna i fråga om affärsförbindelsens art för spelbolagen inte går att finna i kundkategorin utan dessa fångas upp genom att bolaget inhämtar genomsnittligt belopp och maxbelopp för utbetalningar och inbetalningar samt genomsnittlig betalningsfrekvens. Vidare uppger bolaget att penningtvättslagen inte ställer några krav på i vilken omfattning eller med hur många ord som affärsförbindelsens art ska anges. Trustly anser att bolagets beskrivning är väl avvägd och täcker de kundkategorier och produkter och tjänster som är relevanta för att fastställa hur spelbolaget har tänkt att tjänsten eller produkten ska fungera. Trustly har vidare uppgett att bolaget genom de åtgärder som det genomfört bedömer att det uppfyller de krav som gäller i fråga om att inhämta information
om affärsförbindelsens art enligt 3 kap. 12 § penningtvättslagen i fråga om spelbolagen.
Finansinspektionens bedömning
Av förarbetena till penningtvättslagen framgår att det finns två huvudsakliga syften med kravet på att hämta in information om affärsförbindelsens syfte och art (prop. 2016/17:173 s. 247). Det ena syftet är att ge betalningsinstitutet underlag för att bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med den aktuella kunden. Det andra syftet är att betalningsinstitutet ska få ett underlag för att kunna bedöma hur kunden väntas agera inom ramen för affärsförbindelsen. Bedömningen bör främst gälla vilka aktiviteter och transaktioner som kunden kan förväntas vidta och genomföra. En sådan bedömning är nödvändig för att betalningsinstitutet ska kunna upptäcka avvikelser från kundens förväntade beteende.
Finansinspektionens utredning visar att det har funnits tydliga brister i Trustlys arbete med att inhämta dels information om affärsförbindelsernas syfte och art vad gäller autogirokunder, dels information om affärsförbindelsens art vad gäller spelbolagen.
Som framgår ovan har det inte i någon av de kundkännedomsakter för autogirokunder som myndigheten har tagit del av funnits någon uppgift om syftet eller arten med affärsförbindelsen. Finansinspektionen bedömer därför att Trustly, för de autogirokunder som har ingått i myndighetens urval, helt underlåtit att inhämta den information som krävs och att Trustly härigenom har åsidosatt sin skyldighet enligt 3 kap. 12 § penningtvättslagen. Det är särskilt graverande eftersom Trustly har bedömt att in- och utbetalningstjänsterna utgör hög risk för penningtvätt och det då är av särskild vikt att bolaget inhämtar information om syfte och art.
När det gäller spelbolagen i urvalet, som av bolaget har klassificerats som hög risk, kan Finansinspektionen konstatera att uppgiften om arten med affärsförbindelsen i samtliga fall har varit bristfällig. Trustly har visserligen haft vissa uppgifter om kundkategori och kundens produkter. Däremot har det saknats information i de ifyllnadsfält som avser genomsnittligt belopp för utbetalning, maxbelopp för inbetalning och maxbelopp för utbetalning. Som bolaget självt har uppgett hade dessa uppgifter behövts för att det skulle kunna göra en korrekt bedömning av affärsförbindelsens art. Finansinspektionen bedömer att det sammantaget inte har varit möjligt att av den information som framgått av kundkännedomsakterna utläsa hur den individuella kunden förväntas använda bolagets produkter eller tjänster och agera inom affärsförbindelsen.
Finansinspektionen finner därför att Trustly såvitt avser spelbolagen i urvalet har saknat tillräckliga uppgifter om affärsförbindelsens art för att kunna bedöma hur den individuella kunden förväntas agera inom ramen för affärsförbindelsen. En sådan uppgift är enligt Finansinspektionens mening av särskild vikt eftersom samtliga spelbolag i urvalet har bedömts utgöra hög risk och att det finns tydliga skillnader mellan spelbolagens aktiviteter och transaktioner.
Det innebär att Trustly, även i fråga om spelbolagen i urvalet, inte har uppfyllt kraven i 3 kap. 12 § penningtvättslagen om att bolaget ska inhämta information om affärsförbindelsens art.
4.5.3 Avsaknad av löpande uppföljning avseende autogirokunder
Reglering
Ett betalningsinstitut ska, enligt 3 kap. 13 § penningtvättslagen, löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att känne- domen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism.
Iakttagelser
I det material som Finansinspektionen tagit del av inom ramen för under- sökningen finns det inte för någon av de autogirokunder som har ingått i urvalet någon dokumentation som visar att Trustly har utfört någon löpande uppföljning av affärsförbindelsen sedan den etablerades.
Trustly har inte ifrågasatt Finansinspektionens iakttagelser men anfört att bolaget har utfört viss löpande uppföljning av affärsförbindelserna i form av löpande kontroller av om kunden är PEP-kund eller RCA-kund.
Finansinspektionens bedömning
Med löpande uppföljning av affärsförbindelsen avses regelbundet återkommande kontroller av att kännedomen om kunden är aktuell, korrekt och tillräcklig för att motsvara kundens riskprofil. Denna uppföljning styrs i likhet med övriga åtgärder för kundkännedom av den risk som kan förknippas med kundrelationen. Det innebär att den löpande uppföljningen bör vara mer omfattande och ske med högre frekvens ju högre risken i kundrelationen är (prop. 2016/17:173 s. 527).
I förarbetena till penningtvättslagen anges att en löpande uppföljning av affärsförbindelsen har två olika syften (prop. 2016/17:173 s. 249). Det första syftet är att säkerställa att kunskapen om kunden är uppdaterad, korrekt och tillräcklig för att motsvara risken som kan förknippas med kunden. Om kundens beteende eller användning av produkter och tjänster ändras, måste kunskapen om kunden vanligen uppdateras, kompletteras eller fördjupas för att svara mot den förändrade riskprofilen som kundens nya beteende innebär. Kunskapen om hur kunden normalt driver sin verksamhet och nyttjar verksamhetsutövarens produkter och tjänster ska ligga till grund för det andra syftet, som är att upptäcka avvikande aktiviteter och transaktioner. Detta för att kunna förhindra att kunden använder betalningsinstitutet för penningtvätt eller för att finansiera terrorism.
Finansinspektionen konstaterar att Trustly, när det gäller autogirokunderna i urvalet inte har vidtagit några åtgärder för löpande uppföljning av affärs- förbindelsen, annat än att kontrollera huruvida kunden är en PEP- eller RCA- kund. Bolaget har därmed inte kontrollerat om den aktuella kundkännedomen har varit aktuell och tillräcklig på det sätt som krävs enligt penningtvättslagen. De åtgärder för uppföljning som Trustly har uppgett att bolaget har utfört har inte tydligt dokumenterats i bolagets kundkännedomsakter. Dessutom skulle dessa åtgärder enskilt svårligen kunna ligga till grund för Trustlys möjlighet att upptäcka avvikande aktiviteter och transaktioner. Finansinspektionen finner därför att Trustly, inte löpande och vid behov har följt upp sina pågående affärsförbindelser med autogirokunderna och att bolaget därmed inte har uppfyllt kraven i 3 kap. 13 § penningtvättslagen.
4.5.4 Bristande skärpta åtgärder avseende kunder som bedömts utgöra hög risk
Reglering
Av 3 kap. 16 § penningtvättslagen framgår att ett betalningsinstitut, om risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som hög, ska göra särskilt omfattande kontroller, bedömningar och utredningar i fråga om kundkännedom.
Iakttagelser
Som framgår av avsnitt 4.3 ovan anser Trustly att kunder som rapporterats till Finanspolisen utgör en mycket hög risk. Det framgår av bolagets rutiner och riktlinjer för kundkännedom att bolaget ska vidta skärpta åtgärder för kund- kännedom för de kunder som har tilldelats en sådan riskklass. Av de 22 autogiro- kunder som ingått i Finansinspektionens urval har tolv rapporterats till Finanspolisen för misstänkta aktiviteter eller transaktioner kopplade till spelbolag, och flera av kunderna har rapporterats mer än en gång under de åtta månader som undersökningen avser. Av det material som Finansinspektionen har tagit del av inom ramen för undersökningen framgår det inte att bolaget har vidtagit några skärpta åtgärder för kundkännedom för någon av de kunder som har rapporterats till Finanspolisen.
Av bolagets allmänna riskbedömning framgår att Trustly har bedömt att spelbolag utgör hög risk för penningtvätt och finansiering av terrorism. Bolaget har därför särskilt utformade kundkännedomsformulär för dessa kunder. I Trustlys kundkännedomsakter för spelbolag finns ett avsnitt med information om kundens riskklass, kundens åtgärder för att motverka penningtvätt samt vad som benämns som regulatoriska överväganden. Avsnittet innehåller ett fält där Trustly, i det fall bolaget har identifierat några, ska ange information om identifierade varningsflaggor kopplade till kunden.
Trustly har för samtliga spelbolag i urvalet identifierat minst en varningsflagga. För ett av spelbolagen har Trustly identifierat så pass många som tio varnings- flaggor. De varningsflaggor som har identifierats för spelbolagen har exempelvis utgjorts av att spelbolaget återkommande har varit involverad i misstanke- rapporter till Finanspolisen, att spelbolaget har varit föremål för ingripanden av relevanta myndigheter eller att spelbolaget inte har varit samarbetsvilligt i sin kontakt med Trustly.
Av kundkännedomsakterna framgår inte att de identifierade varningsflaggorna har föranlett någon bedömning av dels om det har funnits något behov av ytterligare åtgärder för kundkännedom, dels om varningsflaggorna har påverkat Trustlys bedömning av risken med kundförhållandet. Trustly har i de flesta fall inte vidtagit någon åtgärd med anledning av de identifierade varningsflaggorna annat än att bolaget har noterat informationen som föranlett varningsflaggan i sitt system för kundkännedom.
För ett av spelbolagen har Trustly, med anledning av de varningsflaggor som identifierats för den kunden, tagit fram en särskild rapport om spelbolaget och dess förmåga att motverka penningtvätt. Av rapporten framgår att Trustly identifierat ett antal riskfaktorer som medfört att kundförhållandet med spelbolaget har varit förenat med särskilt hög risk, då spelbolagets åtgärder för att motverka penningtvätt och finansiering av terrorism varit otillräckliga.
Rapporten innehåller även olika åtgärder som Trustly har vidtagit i förhållande till spelbolaget.
Enligt Trustlys allmänna riskbedömning samt rutiner och riktlinjer för kund- kännedom ska bolaget, i syfte att minska risken med kundförhållandet, kontrollera spelbolagens åtgärder för att motverka penningtvätt. Av den kundkännedomsinformation för företagskunderna som Trustly har lämnat till Finansinspektionen framgår att bolaget för två av nio spelbolag inte har inhämtat någon underliggande dokumentation i fråga om kundens åtgärder för att motverka penningtvätt. För övriga sju kunder framgår att de rutiner och riktlinjer som Trustly har inhämtat är minst två år, och i vissa fall upp till fem år, gamla.
Trustlys inställning
Trustly har inte ifrågasatt Finansinspektionens iakttagelser men uppgett att bolaget inte anser att risken måste höjas och att skärpta åtgärder därmed inte måste vidtas enligt 3 kap. 16 § penningtvättslagen mot bakgrund av varje identifierad varningsflagga. Varningsflaggorna är, enligt bolaget, definierade på ett sådant sätt att inte varje enskild varningsflagga bedöms vara en tillräckligt allvarlig och stark indikation på förhöjd risk för att automatiskt föranleda en justering av kundens riskprofil. Bolaget gör för varje identifierad varningsflagga en bedömning av om den innebär att riskklassen ska justeras och skärpta kundkännedomsåtgärder ska vidtas.
I fråga om det spelbolag för vilket Trustly upprättat en särskild rapport har bolaget anfört följande. När misstankar om brister i spelbolagets förmåga att
motverka penningtvätt uppkommit, kontaktade Trustly skyndsamt spelbolaget för att uppmana det att agera och ställde krav på förbättringsåtgärder från spelbolagets sida. Trustly införde också egna begränsningar i förhållande till spelbolagets transaktioner genom bolaget. Trustly klargjorde för spelbolaget att det skulle stängas av från Trustlys utbetalningstjänst om problemet inte hade åtgärdats inom en tidsfrist, varefter spelbolaget genomförde förbättrings- åtgärderna.
När det kommer till Trustlys åtgärder för att kontrollera spelbolagens åtgärder för att motverka penningtvätt och finansiering av terrorism har Trustly invänt att det inte alltid är nödvändigt att inhämta underliggande dokumentation utan att så måste ske om det är nödvändigt för bolagets bedömning av kundkännedomen.
Finansinspektionens bedömning
Bristfällig hantering av varningsflaggor
Av förarbetena till penningtvättslagen framgår det att skärpta åtgärder för kundkännedom åtminstone innebär att de kontroller, bedömningar och utredningar som ska göras enligt kundkännedomsbestämmelserna ska vara mer omfattande än vid normal risk för penningtvätt eller finansiering av terrorism (prop. 2016/17:173 s. 264). Sådana åtgärder kan exempelvis vara att hämta in ytterligare information om kundens affärsverksamhet och dess ekonomiska situation samt uppgifter om varifrån kundens ekonomiska medel kommer.
Finansinspektionen konstaterar att Trustly inte har vidtagit några skärpta åtgärder i fråga om de autogirokunder som bolaget har rapporterat till Finanspolisen och som därmed, enligt bolagets allmänna riskbedömning, har utgjort en mycket hög risk för penningtvätt och finansiering av terrorism.
Finansinspektionen noterar att Trustly under de åtta månader som under- sökningen omfattar har rapporterat inte mindre än tolv av de 22 autogiro- kunderna i urvalet till Finanspolisen, och att flera av dessa kunder har rapporterats mer än en gång under perioden. Finansinspektionen finner det anmärkningsvärt att bolaget trots detta inte har vidtagit några skärpta kundkännedomsåtgärder för någon av dessa kunder. Finansinspektionen finner därmed att Trustly inte har uppfyllt kraven på att vidta skärpta kundkännedoms- åtgärder enligt 3 kap. 16 § penningtvättslagen i fråga om de autogirokunder som bolaget har rapporterat till Finanspolisen.
Undersökningen visar att Trustly i de flesta fall inte har vidtagit några andra åtgärder med anledning av de varningsflaggor som bolaget har identifierat i fråga om spelbolag, än att bolaget har noterat informationen i sitt system för kund- kännedom. Mot bakgrund av varningsflaggornas art och att Trustly har bedömt att spelbolagen utgör hög risk, anser Finansinspektionen att Trustly borde ha vidtagit ytterligare åtgärder.
Trustly har invänt att en varningsflagga inte alltid utgör en högriskfaktor och att bolaget har agerat enligt sin rutin. Finansinspektionen anser dock att det faktum
att spelbolag har varit kopplade till misstankerapporter till Finanspolisen, inte har velat samarbeta med bolaget eller har varit föremål för ingripanden av andra myndigheter typiskt sett är att se som faktorer som indikerar en förhöjd risk med kundförhållandet. Finansinspektionen bedömer därför att varningsflaggorna i urvalet är av sådan karaktär att det är uppenbart att det har funnits anledning för bolaget att vidta skärpta åtgärder för kundkännedom. Trustly har inte vidtagit några sådana åtgärder eller gjort någon bedömning av om det funnits anledning att vidta ytterligare åtgärder. Bolaget har inte heller bedömt om varnings- flaggorna har påverkat risken med kundförhållandet. Finansinspektionen finner därför att Trustly inte har vidtagit tillräckligt omfattande kontroller, bedömningar och utredningar med anledning av de varningsflaggor som bolaget har identifierat.
Det förhållandet att Trustly har tagit fram en särskild rapport i ett fall motiverar ingen annan bedömning. Visserligen framgår det av rapporten att bolaget har vidtagit åtgärder med anledning av de varningsflaggor som har identifierats för den specifika kunden, men de vidtagna åtgärderna har, enligt Finans- inspektionens uppfattning, inte motsvarat den höga risk som framgår av den aktuella rapporten. Finansinspektionen kan konstatera att när Trustly kontaktat spelbolaget har det inte velat samarbeta och har inte heller vidtagit de åtgärder som Trustly begärt eller vidtagit dessa åtgärder inom den tid som Trustly begärt. Finansinspektionen anser därför att de åtgärder som Trustly har vidtagit inte varit tillräckliga.
Finansinspektionen finner alltså sammantaget att Trustlys hantering av varningsflaggor har varit sådan att bolaget har brutit mot kravet i 3 kap. 16 § penningtvättslagen vad gäller att vidta skärpta kundkännedomsåtgärder.
Otillräcklig utvärdering av spelbolagens åtgärder för att motverka penningtvätt
Som framgått har Trustly bedömt att spelbolagen utgör hög risk för penningtvätt och finansiering av terrorism. Enligt Trustlys allmänna riskbedömning samt rutiner och riktlinjer för kundkännedom ska bolaget, i syfte att minska risken med kundförhållandet, utvärdera spelbolagens åtgärder för att motverka penningtvätt. Det framgår av utredningen att Trustly trots det inte har inhämtat och granskat uppdaterade versioner av spelbolagens rutiner och riktlinjer för att motverka penningtvätt. Finansinspektionen bedömer därmed att Trustly, mot bakgrund av den risk som bolaget har ansett att spelbolagen utgör, svårligen har kunnat bedöma de åtgärder som spelbolagen som ingått i urvalet har vidtagit för att motverka penningtvätt och finansiering av terrorism. Vad Trustly i denna del har invänt om att de frågor som bolaget ställer i sina kundkännedomsformulär för spelbolag är tillräckliga kan enligt Finansinspektionens mening avfärdas med hänsyn till den höga risk som spelbolagen utgör.
Finansinspektionen finner alltså att Trustly inte heller i detta avseende har uppfyllt kraven i 3 kap. 16 § penningtvättslagen på att vidta skärpta kundkännedomsåtgärder.
4.5.5 Upprätthållande av affärsförbindelser och utförande av transaktioner utan tillräcklig kundkännedom om autogirokunder
Reglering
Enligt 3 kap. 1 § penningtvättslagen får en verksamhetsutövare inte etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om verksam- hetsutövaren inte har tillräcklig kännedom om kunden för att kunna hantera risken för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen och övervaka och bedöma kundens aktiviteter och transaktioner enligt 4 kap. 1 och 2 §§.
Iakttagelser
Finansinspektionen har i avsnitt 4.5.1–4.5.4 ovan funnit att Trustly, när det gäller autogirokunderna, i flera avseenden inte har uppfyllt sina skyldigheter att vidta kundkännedomsåtgärder som framgår av penningtvättslagen.
Som framgått har samtliga 22 autogirokunder som ingått i Finansinspektionens urval, under den undersökta perioden, genomfört ett stort antal transaktioner till och från spelbolag. Det har vidare framgått att såväl spelbranschen som bolagets produkter som används vid transaktioner till eller från spelbranschen av bolaget, har bedömts utgöra hög risk för penningtvätt och finansiering av terrorism.
Trustly har inte ifrågasatt Finansinspektionens iakttagelser.
Finansinspektionens bedömning
I förarbetena till penningtvättslagen anges att det riskbaserade förhållningssättet medför att det inte går att sätta någon allmänt lägsta nivå för omfattningen av en eller flera kundkännedomsåtgärder och att i vissa fall kan förhållandena vara sådana att risken med en viss produkt eller tjänst är så låg att det inte krävs att verksamhetsutövaren vidtar alla de åtgärder för kundkännedom som anges i artikel 13 första stycket a, b eller c i penningtvättsdirektivet (prop. 2016/17:173 s. 253 ff.).
Finansinspektionen konstaterar att bolaget inte har hämtat in information om affärsförbindelsens syfte och art gällande de transaktioner och aktiviteter som autogirokunder genomför, inte kontrollerat om dess autogirokunder varit etablerade i ett högrisktredjeland eller vidtagit någon löpande uppföljning av den kundkännedom som bolaget haft om dessa kunder. Vidare konstaterar Finans- inspektionen att bolaget inte vidtagit skärpta åtgärder för kundkännedom avseende de tolv autogirokunder som rapporterats till Finanspolisen för misstänkta transaktioner kopplade till spelbolag. Finansinspektionen noterar också att samtliga av de 22 autogirokunderna, under den undersökta perioden, genomfört ett stort antal transaktioner till och från spelbolag till ett betydande värde samt att såväl spelbranschen som bolagets produkter som används vid
transaktioner till eller från spelbranschen av bolaget bedömts utgöra hög risk för penningtvätt och finansiering av terrorism.
Finansinspektionen kan därmed konstatera att bolaget inte har vidtagit grund- läggande åtgärder för kundkännedom och för vissa heller inte skärpta åtgärder avseende kunder som använt högriskprodukter för att överföra medel till ett betydande värde till eller från en högriskbransch.
Detta medför enligt Finansinspektionens uppfattning att Trustly svårligen har kunnat hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen eller övervaka de transaktioner och aktiviteter som bolagets autogirokunder genomför till eller från spelbranschen utan att vidta grundläggande och ändamålsenliga åtgärder för kundkännedom. Sammantaget är det därmed Finansinspektionens uppfattning att bolaget i flera avseenden inte har skaffat sig tillräcklig kundkännedom om autogirokunderna. Trots detta har bolaget upprätthållit affärsförbindelser med dessa och tillåtit dessa att genomföra ett stort antal transaktioner.
Finansinspektionen finner därför att Trustly har överträtt förbudet i 3 kap. 1 § penningtvättslagen mot att etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om verksamhetsutövaren inte har tillräcklig kännedom om kunden för att kunna hantera risken för penningtvätt eller finansiering av terrorism.
4.6 Bristande övervakning av pågående affärsförbindelser
4.6.1 Trustlys utformning av övervakning av affärsförbindelser
Reglering
Det framgår av 4 kap. 1 § första stycket penningtvättslagen att ett betalnings- institut ska övervaka pågående affärsförbindelser och bedöma enstaka transaktioner i syfte att upptäcka bland annat aktiviteter och transaktioner som
- avviker från vad institutet har anledning att räkna med utifrån den kännedom om kunden som institutet har, eller
- avviker från vad institutet har anledning att räkna med utifrån den kännedom som institutet har om sina kunder, de produkter och tjänster som tillhandahålls, de uppgifter som kunden lämnar och övriga omständigheter.
Enligt andra stycket samma paragraf ska inriktningen och omfattningen av övervakningen bestämmas med beaktande av de risker som har identifierats i den allmänna riskbedömningen, den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen och annan information om tillvägagångssätt för penningtvätt eller finansiering av terrorism.
Iakttagelser
Trustly har ett system för övervakning av transaktioner som automatiskt genererar ett larm om ett visst kriterium är uppfyllt, till exempel om värdet på en viss typ av transaktion överstiger ett bestämt tröskelvärde. Bolaget har specifika scenarier för autogirokunder, slutanvändare respektive spelbolag. Trots att Trustly uttryckligen inte har bedömt slutanvändare som kunder, har bolaget i viss utsträckning övervakat slutanvändarnas transaktioner och aktiviteter inom ramen för övervakningen. Trustly har under undersökningen uppgett att anledningen till detta är att slutanvändarnas transaktioner är en del av bolagets företagskunders transaktioner och att övervakningen av transaktionerna är ett led i att bättre förstå och övervaka spelbolagen.
Trustly övervakar slutanvändares transaktioner för varje spelbolag separat, och tröskelvärdet för ett scenario gäller endast för transaktioner till eller från det enskilda spelbolaget. För att ett larm ska genereras krävs alltså att tröskelvärdet överskrids genom transaktioner till eller från ett enskilt spelbolag. Det genereras därmed inte ett larm i Trustlys system för transaktionsövervakning i det fall en slutanvändare genomför transaktioner med flera olika spelbolag och transaktionerna tillsammans uppgår till ett visst tröskelvärde.
I sitt system för övervakning separerar Trustly de transaktioner som en och samma person genomför genom användandet av autogirotjänsten samt in- och utbetalningstjänsten. Trustly kan inte heller koppla alla transaktioner som genomförs av slutanvändare till en specifik person, då bolaget inte alltid känner till slutanvändarens identitet. Däremot kan bolaget alltid koppla transaktioner till ett specifikt bankkonto. En slutanvändare kan dock använda flera bankkonton utan att Trustly alltid kan koppla dessa konton till en och samma fysiska person.
Som framgått är ett av de främsta riskscenarierna som Trustly har identifierat i sin allmänna riskbedömning att slutanvändare använder bolagets produkter och tjänster för att tvätta pengar genom spelbolag. Trustly anger i den även att bolagets autogiroprodukt utgör låg risk, och att in- och utbetalningsprodukten utgör hög risk.
Det framgår av Trustlys rutiner för övervakning att bolagets övervakningsscenarier innehåller ett antal scenarier som är specifikt anpassade för autogiroprodukten respektive in- och utbetalningstjänsten. Där framgår att tröskelvärdena för autogirotjänsten är betydligt lägre än tröskelvärdena för in- och utbetalningstjänsten i fråga om transaktioner till och från spelbolag. Trustly har under undersökningen uppgett att skillnaderna i tröskelvärden beror på att bolaget anser att då autogirokunder är kunder till bolaget, medan slutanvändare – enligt bolaget – inte har varit det, behöver bolaget granska de transaktioner som autogirokunder genomför mer noggrant.
Trustly har inte ifrågasatt Finansinspektionens iakttagelser men anfört att tröskelvärden i övervakningen av en viss tjänst måste bestämmas inte bara med beaktande av den bedömda risken, utan också med utgångspunkt i vad som är en
normal, icke-avvikande användning av tjänsten. Bolaget menar att det har fastställt de tröskelvärden som tillämpas med beaktande av dels skillnaderna i bolagets förväntansbild för slutanvändares betalningar till spelbolag å ena sidan och autogirokunders betalningar å andra sidan, dels skillnaderna i de risker som respektive transaktionstyp kan förknippas med. Bolaget menar att det inte vore förenligt med penningtvättslagen att sänka tröskelvärdena i övervakningen av transaktioner inom inbetalningstjänsten till de tröskelvärden som tillämpas för autogiroprodukten, och inte heller att omvänt höja tröskelvärdena i övervakningen av autogiroprodukten.
Finansinspektionens bedömning
I det fjärde penningtvättsdirektivet11 anges att en åtgärd för kundkännedom som verksamhetsutövare ska åläggas att utföra är fortlöpande övervakning av affärsförbindelsen, inbegripet granskning av transaktioner under förbindelsens hela existens för att säkerställa att de transaktioner som utförs motsvarar verksamhetsutövarens kundkännedom, verksamheten och riskprofilen (artikel
13.1 d).
Den typ av beteende som verksamhetsutövare förutsätts uppmärksamma exemplifieras i artikel 18.2 i direktivet. Där anges att komplexa och ovanligt stora transaktioner samt ovanliga transaktionsmönster som inte förefaller ha något ekonomiskt eller lagligt syfte ska föranleda verksamhetsutövare att granska bakgrunden till och syftet med transaktionerna samt skärpa över- vakningen av affärsförbindelsen för att avgöra om dessa transaktioner eller aktiviteter framstår som misstänkta eller inte. Verksamhetsutövaren ska underrätta finansunderrättelseenheten och lämna en rapport om verksamhets- utövaren vet, misstänker eller har rimliga skäl att misstänka att medel utgör vinning av brottslig handling eller har koppling till finansiering av terrorism (artikel 33.1 a; jfr även prop. 2016/17:173 s. 287).
Ett av huvudsyftena med att vidta åtgärder för kundkännedom är att verksamhetsutövare ska skaffa sig underlag för en bedömning av hur kunden kan förväntas agera inom ramen för affärsförbindelsen. Omfattningen av det under- laget kommer dock att variera med den risk som kan förknippas med kundrelationen. Det innebär att det för vissa kunder kommer att finnas en individuellt bestämd förväntansbild. I flertalet fall är det dock sannolikt att verksamhetsutövarens bedömning av vad som kan förväntas av kunden är baserad på hur kunder i allmänhet använder de produkter eller tjänster som verksamhetsutövaren tillhandahåller. Detta bör i regel även vara fallet i fråga om kunder som genomför enstaka transaktioner utanför affärsförbindelser (prop.
2016/17:173 s. 288).
11 Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG.
Utformning av system för övervakning
Finansinspektionen konstaterar inledningsvis att den bedömning som görs ovan i avsnitt 4.1.5 och som innebär att slutanvändarna är Trustlys kunder, innebär att Trustly under undersökningsperioden har haft en skyldighet att övervaka slutanvändarna. Vidare konstaterar Finansinspektionen att Trustly under undersökningsperioden inte har sett slutanvändarna som kunder men ändå övervakat dem och att detta, enligt bolaget, har skett som ett led i övervakningen av spelbolagen. Bolaget har haft specifika scenarier för slutanvändarna. De larm som har genererats för dessa scenarier har avsett den specifika slutanvändaren och dennes transaktioner eller aktiviteter, inte spelbolagets.
I avsnitt 4.1.5 behandlas ett flertal brister som har uppstått som en omedelbar konsekvens av att Trustly inte har behandlat slutanvändarna som kunder och därför beträffande dessa inte har vidtagit de åtgärder som krävs enligt penningtvättsregelverket. När det gäller övervakningen av slutanvändare är situationen emellertid en annan, eftersom Trustly på det området faktiskt har vidtagit vissa åtgärder. Finansinspektionen har därför att pröva bland annat om den övervakning som Trustly har utfört i fråga om slutanvändare uppfyller de krav som ställs i penningtvättsregelverket.
Under den undersökta perioden har Trustly inte alltid haft kännedom om autogirokunders och slutanvändares samtliga transaktioner och aktiviteter som har genomförts inom ramen för en affärsförbindelse, då bolaget inte alltid har känt till identiteten på de slutanvändare som har genomfört transaktioner till och från spelbolag. Trustly har vidare övervakat autogirokunders och slutanvändares samtliga transaktioner utifrån de transaktioner kunden har genomfört med respektive spelbolag enskilt, och inte utifrån de samlade transaktioner som personen har genomfört genom Trustly. Som Finansinspektionen har funnit i avsnitt 4.1 och 4.5 har Trustly inte heller vidtagit några kundkännedomsåtgärder i fråga om slutanvändare eller avseende de transaktioner autogirokunder utfört. Trustlys övervakningssystem har inte heller – såvitt framkommit i under- sökningen – varit utformat på ett sådant sätt att hänsyn ska tas till inhämtad kundkännedomsinformation.
Regelverket ställer krav på att ett betalningsinstitut utformar sitt övervakningssystem så att det beaktar inhämtad kundkännedomsinformation. Finansinspektionen anser att en förutsättning för att ett betalningsinstitut ska kunna övervaka pågående affärsförbindelser är att institutet har kännedom om samtliga transaktioner och aktiviteter som genomförs inom ramen för affärs- förbindelsen och att dessa beaktas i betalningsinstitutets löpande övervakning av pågående affärsförbindelser. För ett betalningsinstitut som Trustly, med stor exponering mot spelbranschen, blir det viktigt att kunna upptäcka avvikelser som består i transaktioner till eller från flera olika spelbolag. Detta styrks av kommissionens supranationella riskbedömning, i vilken det anges att ett vanligt tillvägagångssätt för penningtvätt inom spelbranschen inkluderar användandet av
fler än ett spelbolag.12 Finansinspektionen anser vidare att ett betalningsinstitut inte har möjlighet att upptäcka aktiviteter och transaktioner som avviker från vad betalningsinstitutet har anledning att räkna med utifrån den kännedom institutet har om sina kunder utan att först ha vidtagit kundkännedomsåtgärder i fråga om dessa.
Av 4 kap. 1 § första stycket 1 och 2 penningtvättslagen följer att ett betalningsinstitut ska övervaka pågående affärsförbindelser och bedöma enstaka transaktioner i syfte att upptäcka aktiviteter som avviker bland annat från vad institutet har anledning att räkna med utifrån den kännedom som det har om sina kunder. Finansinspektionen konstaterar att Trustly inte alltid har haft kännedom om samtliga transaktioner och aktiviteter som genomförts inom ramen för en affärsförbindelse, att Trustly inte har övervakat autogirokunders och slut- användares transaktioner utifrån de samlade transaktioner som personen genomfört genom Trustly och att bolaget varken har inhämtat eller beaktat kundkännedomsinformation vid sin löpande övervakning. Det är därmed klarlagt att Trustly har åsidosatt sina skyldigheter enligt 4 kap. 1 § första stycket 1 och 2 penningtvättslagen i fråga om både slutanvändare och autogirokunder.
Riskbaserad övervakning
Ett betalningsinstituts övervakning ska bland annat bestämmas med beaktande av de risker som identifierats i den allmänna riskbedömningen.
Av förarbetena till penningtvättslagen framgår att en utgångspunkt för ett betalningsinstituts övervakning av transaktioner bör vara den riskbedömning som institutet har genomfört (prop. 2016/17:173 s. 289). Som framgår av avsnitt
3.6 är ett av de främsta riskscenarierna för penningtvätt och finansiering av terrorism som Trustly har identifierat i sin allmänna riskbedömning att slutanvändare använder bolagets produkter och tjänster för att tvätta pengar genom spelbolag. Trustly har vidare bedömt att såväl in- och utbetalnings- tjänsten som spelbranschen utgör hög risk för penningtvätt och finansiering av terrorism samt att autogirotjänsten utgör låg risk. De tröskelvärden som Trustly har satt i sina scenarier för transaktioner med spelbolag har varit betydligt lägre för autogiroprodukten än för in- och utbetalningstjänsten.
Finansinspektionen konstaterar att Trustly, i linje med det riskbaserade förhållningsättet i penningtvättsregelverket, behöver anpassa sin övervakning efter de risker som bolaget identifierat. Trustly har under undersökningsperioden inte alltid kunnat se alla transaktioner en kund genomför till och från spelbolag. Trustly har heller inte övervakat transaktioner till och från spelbolag samlat utan endast utifrån varje spelbolag enskilt. Vidare har Trustly inte bestämt tröskelvärdena i övervakningen med utgångspunkt i den risk som bolaget bedömt att produkterna utgör.
12 Bilagan till EU:s supranationella riskbedömning 2019, s. 220.
Finansinspektionen konstaterar att regelverket ställer krav på att ett betalningsinstituts inriktning och omfattning av övervakningen ska bestämmas med beaktande av de risker som identifierats i den allmänna riskbedömningen. Mot bakgrund av vad som anförts ovan bedömer Finansinspektionen därför att Trustlys övervakning inte har varit utformad med utgångspunkt i bolagets allmänna riskbedömning och att Trustly därmed inte har uppfyllt kraven i 4 kap. 1 § andra stycket penningtvättslagen.
Trustly har invänt att tröskelvärdena i övervakningen inte enbart kan bestämmas med utgångspunkt i den risk som en produkt eller tjänst innebär. Finans- inspektionen gör emellertid inte sin bedömning enbart med utgångspunkt i storleken på de aktuella tröskelvärdena, utan finner sammantaget, mot bakgrund av vad som ovan anförts, att Trustlys övervakning av affärsförbindelser inte har varit utformad i linje med det riskbaserade förhållningssättet i penningtvätts- regelverket. Vad Trustly har invänt motiverar därför inte någon annan bedömning.
4.6.2 Utredning av larm i Trustlys system för övervakning
Reglering
Om ett betalningsinstitut genom övervakningen eller på annat sätt uppmärk- sammar avvikelser eller misstänkta aktiviteter eller transaktioner, ska institutet enligt 4 kap. 2 § första stycket penningtvättslagen genom skärpta åtgärder för kundkännedom och andra nödvändiga åtgärder bedöma om det finns skälig grund att misstänka att det är fråga om penningtvätt eller finansiering av terrorism eller att egendom annars härrör från brottslig handling.
Iakttagelser
Finansinspektionen har tagit del av tio larm som under undersökningsperioden har genererats i Trustlys system för övervakning av transaktioner genomförda av de autogirokunder (två stycken) och slutanvändare (åtta stycken) som har ingått i urvalet. Finansinspektionen har också tagit del av de åtgärder som bolaget har vidtagit med anledning av larmen.
Det framgår av skärmavbilder från Trustlys system för övervakning av transaktioner att sju larm har avfärdats med samma allmänt hållna kommentar. Denna kommentar finns även i bolagets rutiner för övervakning av transaktioner som en föreslagen kommentar med vilken larm kan avfärdas. Av kommentaren framgår att larmet gäller en individ som har flera bankkonton och konton hos flera olika spelbolag, men att larmet kan avfärdas utan misstanke. Att döma av skärmavbilderna är kommentaren den enda dokumenterade utredningsåtgärden som har vidtagits för de sju larmen.
Vidare framgår att bolaget inte har vidtagit några åtgärder för kundkännedom för åtta av de kunder som det genererats larm för, då dessa är slutanvändare.
Samtidigt noterar Finansinspektionen att samtliga av dessa åtta kunder har
genomfört ett stort antal transaktioner till och från spelbolag, till ett värde om minst sex miljoner kronor per person.
Trustly har inte ifrågasatt Finansinspektionens iakttagelser men uppgett att dess uppfattning är att skärpta åtgärder för kundkännedom inte måste vidtas för varje larm som genereras, även om de utredningsåtgärder som har vidtagits i de fall som Finansinspektionen har granskat inte har varit tillräckliga med beaktande av den risk som situationerna förknippats med.
Finansinspektionens bedömning
Det framgår av förarbetena till penningtvättslagen att avvikande transaktioner ska föranleda att verksamhetsutövaren vidtar åtgärder för kundkännedom, vilket i sin tur syftar till att verksamhetsutövaren ska kunna bedöma om avvikelser eller misstankar om penningtvätt och finansiering av terrorism kan avfärdas eller inte. Om en misstanke kvarstår efter genomförda åtgärder för kundkännedom ska verksamhetsutövare göra en rapport till Finanspolisen.
Finansinspektionen bedömer att de åtgärder som bolaget har vidtagit för åtta av de tio larm, och som gällt slutanvändare och autogirokunder, som ingått i Finansinspektionens urval inte har varit tillräckliga mot bakgrund av den risk som bolaget har bedömt att transaktionerna utgjort. Detta då bolaget, trots att det inte haft tillräcklig kundkännedom, inte alls vidtagit några närmare utrednings- åtgärder. Bolaget har därmed saknat förutsättningar att göra en bedömning av om de transaktioner som den enskilda kunden genomfört har varit avvikande eller på annat sätt misstänkta.
Att utreda och reagera på larm av aktuellt slag är av central betydelse för att penningtvättsregelverket ska få genomslag. Finansinspektionen finner det därmed anmärkningsvärt att Trustly, trots att de transaktioner som föregått de genererade larmen varit sådana som bolaget identifierat som en av bolagets främsta risker för penningtvätt, inte har vidtagit några åtgärder för kund- kännedom, eller tillräckliga utredningsåtgärder, i samband med utredningen av larmen.
Trustly har invänt att det vore trubbigt om varje larm skulle föranleda en utförlig utredning inklusive skärpta åtgärder för kundkännedom i stället för en bedömning utifrån det enskilda larmet. Finansinspektionens bedömning baseras dock på att de larm som har varit föremål för den aktuella undersökningen krävt skärpta utredningsåtgärder och att de åtgärder som bolaget vidtagit inte varit tillräckliga i de aktuella fallen. Vad Trustly invänt motiverar därför ingen annan bedömning.
Finansinspektionens bedömning är därmed att bolaget inte efterlevt kraven i 4 kap. 2 § första stycket penningtvättslagen.
4.6.3 Rutiner för modellriskhantering avseende övervakning
Reglering
Ett betalningsinstitut som använder modeller för övervakning ska enligt 6 kap. 1 § andra stycket penningtvättslagen ha rutiner för modellriskhantering.
Rutinerna ska syfta till att utvärdera och kvalitetssäkra de modeller som institutet använder.
Av 6 kap. 16 och 17 §§ penningtvättsföreskrifterna följer att betalningsinstitutet ska utföra en validering av en modell innan den tas i bruk och vid väsentliga förändringar av modellen, samt att institutet efter varje validering ska upprätta en rapport över resultatet av valideringen.
Iakttagelser
Trustlys system för övervakning av transaktioner bygger i de flesta fall på automatiserade scenarier med förutbestämda tröskelvärden som bestämmer när ett larm ska genereras i systemet. Det har i undersökningen framkommit att bolaget inte har betraktat sitt system för övervakning som en sådan modell som avses i 6 kap. 1 § penningtvättslagen och att det inte haft några rutiner för modellriskhantering eller validerat modellen.
Trustly har inte ifrågasatt Finansinspektionens iakttagelser.
Finansinspektionens bedömning
Av förarbetena till penningtvättslagen framgår att modeller bland annat kan användas för att förenkla och systematisera övervakning av transaktioner (prop. 2016/17:173 s. 213). Det framgår där även att modeller avseende övervakning exempelvis kan inbegripa automatiserade övervakningssystem som är programmerade för att varna eller flagga för transaktioner som av verksamhets- utövare ansetts vara förenade med hög risk eller annars avvikande (se prop.
2016/17:173 s. 547). Detta är även något som Finansinspektionen kommunicerat i vägledande frågor och svar.13
Trustly har under undersökningsperioden haft ett automatiserat system för övervakning som använder scenarier med förutbestämda tröskelvärden för att upptäcka avvikande transaktioner. Ett sådant system utgör en modell för övervakning enligt den definition som framgår av förarbetena till penningtvätts- lagen. Trustly har därmed varit skyldigt att dels upprätta rutiner för modellrisk- hantering, dels validera modellen och upprätta en rapport avseende valideringen, vilket bolaget inte har gjort. Trustly har därför, under undersökningsperioden, åsidosatt sina skyldigheter enligt 6 kap. 1 § penningtvättslagen samt 6 kap. 16 och 17 §§ penningtvättsföreskrifterna.
13 Finansinspektionens vägledande frågor och svar, xxxxx://xxx.xx.xx/xx/xxx-xxxxxxxxx/xxxxxx-xxx- svar/.
5 Överväganden om ingripande
Penningtvättslagen och penningtvättsföreskrifterna är sådana andra författningar som reglerar bolagets verksamhet som avses i 8 kap. 8 § betaltjänstlagen.
Finansinspektionen ska därför tillämpa följande bestämmelser i betaltjänstlagen när inspektionen överväger ett ingripande vid överträdelser av penningtvätts- lagen och penningtvättsföreskrifterna.
Av 8 kap. 8 § framgår att Finansinspektionen ska ingripa bland annat om ett betalningsinstitut har åsidosatt sina skyldigheter enligt den lagen, andra författningar som reglerar institutets verksamhet eller interna instruktioner som har sin grund i författningar som reglerar institutets verksamhet.
Finansinspektionen kan ingripa genom att förelägga betalningsinstitutet att vidta rättelse eller genom att ge betalningsinstitutet en anmärkning. Om överträdelsen är allvarlig ska betalningsinstitutets tillstånd återkallas eller, om det är tillräckligt, en varning meddelas.
Av 8 kap. 9 § första stycket framgår att Finansinspektionen vid valet av ingripande ska ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.
I andra stycket samma paragraf föreskrivs att Finansinspektionen får avstå från ingripande enligt 8 § om en överträdelse är ringa eller ursäktlig, om betalnings- institutet gör rättelse eller om någon annan myndighet har vidtagit åtgärder mot institutet och dessa åtgärder bedöms tillräckliga.
Av 8 kap. 9 a § första stycket framgår att det, utöver det som anges i 9 §, i försvårande riktning ska beaktas om betalningsinstitutet tidigare har begått en överträdelse.
Enligt andra stycket samma paragraf ska det i förmildrande riktning beaktas om institutet i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning och institutet snabbt har upphört med över- trädelsen sedan den har anmälts till eller påtalats av Finansinspektionen.
Finansinspektionen får enligt 8 kap. 14 § förena en anmärkning eller varning med en sanktionsavgift.
Av 8 kap. 15 a § följer att när det är fråga om en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen, ska den sanktionsavgift som kan beslutas enligt 8 kap. 14 § uppgå till lägst 5 000 kronor och som högst fastställas till det högsta av
1. tio procent av betalningsinstitutets omsättning närmast föregående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernivå,
2. två gånger den vinst som institutet har gjort till följd av regelöverträdelsen, om beloppet går att fastställa, eller
3. ett belopp i kronor motsvarande fem miljoner euro.
Av 8 kap. 15 a § andra stycket framgår att avgiften inte får vara så stor att institutet därefter inte uppfyller kraven enligt 3 kap. 2 § samma lag.
När sanktionsavgiften fastställs ska, enligt 8 kap. 16 §, särskild hänsyn tas till sådana omständigheter som anges i 9 § första stycket och 9 a § samt till betalningsinstitutets finansiella ställning och, om det går att fastställa, den vinst som gjorts genom överträdelsen.
Trustly har anfört att bolaget tar de brister som Finansinspektionen har konstaterat på största allvar. Xxxxxxx har även uppgett att det tar arbetet mot penningtvätt och finansiering av terrorism på största allvar och ser mycket allvarligt på den kritik och de brister som beskrivits av Finansinspektionen. Trustly har också anfört att bolaget har avsatt, och fortsätter att avsätta, stora resurser för att avhjälpa bristerna. Åtgärderna omfattar enligt bolaget bland annat direktiv för riskprioritering av styrelsen och förstärkningar av organisationen.
De iakttagelser och bedömningar som Finansinspektionen gjort har föranlett bolaget att upprätta en åtgärdsplan som det löpande arbetar med. Bolaget har redogjort för de åtgärder som det har vidtagit och lämnat in den åtgärdsplan som bolaget följer. Enligt åtgärdsplanen kommer bolaget att genomföra åtgärderna senast under sista kvartalet 2022. Flera av åtgärderna hade bolaget vidtagit, andra pågick eller var planerade vid tidpunkten då bolaget i maj 2021 kom in med sitt svar på Finansinspektionens avstämningsskrivelse. Bland de åtgärder som Trustly har uppgett att bolaget vidtagit eller planerar att vidta kan nämnas att bolaget numera definierar att ett kundförhållande uppstår med privatpersoner som använder bolagets inbetalningstjänst eller autogiroprodukt, från första gången tjänsten tillhandahålls. Detta innebär att bolaget framöver kommer att behandla slutanvändare som kunder i penningtvättslagens mening. Trustly har vidare uppgett att bolaget numera identifierar att dess interaktion med en slutanvändare kan utgöra en affärsförbindelse.
Trustly har begärt att Finansinspektionen i första hand ska avstå från att ingripa. Om Finansinspektionen skulle bedöma att ett ingripande ändå ska ske anser Trustly att myndigheten i vart fall ska beakta ett antal förhållanden som enligt bolaget utgör förmildrande omständigheter. Bolaget menar att de brister som identifierats i undersökningen i väsentlig utsträckning är hänförliga till att bolaget inte tidigare definierat slutanvändare som kunder. Bristerna i fråga om slutanvändare bör enligt Trustly anses som ursäktliga eller i vart fall inte klandervärda av i vart fall två skäl. För det första har bolaget uppgett att det
baserat sin tidigare inställning på en omsorgsfull och aktsam bedömning utifrån relevant rättslig vägledning. För det andra har bolaget uppgett att det, utifrån Finansinspektionens beslut att avsluta en tidigare undersökning (ärende FI dnr 13-4173) utan åtgärd, haft anledning att uppfatta det som att Finansinspektionen har delat bolagets syn. Trustly menar därför att bristerna i fråga om slut- användare är föranledda av ett beteende som av särskilda omständigheter är att betrakta som mindre klandervärt än annars, och därmed också är ursäktliga.
Trustly har vidare begärt att Finansinspektionen vid beslut om eventuellt ingripande och i förekommande fall vid val av ingripande beaktar de åtgärder som bolaget har vidtagit och avser att vidta för att komma till rätta med de brister som identifierats, och att bolaget visat skyndsamhet i sitt arbete att åtgärda bristerna. Trustly har även anfört att de brister som bolaget gjort sig skyldigt till inte har varit avsiktliga eller systematiska. Trustly anser också att överträdel- serna som Finansinspektionen gör gällande inte har lett till någon faktiskt skada eller risk för skada samt att risken för faktisk penningtvätt eller finansiering av terrorism i bolagets verksamhet har varit begränsad.
5.3 Överträdelserna kräver ingripande
Finansinspektionen har i avsnitt 3.6 bedömt att Trustly genom sin verksamhet riktad till spelbranschen har en stor exponering mot en bransch som utgör särskilt hög risk för penningtvätt och att bolaget genom sin roll i betalkedjan har unika förutsättningar att identifiera och motverka misstänkt penningtvätt eller finansiering av terrorism kopplat till transaktioner till och från spelbranschen.
Vidare syftar penningtvättsregelverket ytterst till att motverka och förhindra brottslig verksamhet.
Penningtvättslagen utgår från ett riskbaserat förhållningssätt. Mot bakgrund av bolagets affärsmodell och det faktum att bolaget särskilt har inriktat sig mot spelbranschen är det Finansinspektionens uppfattning att det är av yttersta vikt att bolaget vidtar kraftfulla åtgärder för att kunna hantera den förhöjda risk för penningtvätt och finansiering av terrorism som spelbranschen utgör för bolagets verksamhet.
Finansinspektionens undersökning visar på påtagliga brister i Trustlys efter- levnad penningtvättsregelverket inom i princip alla de områden som undersökningen har omfattat. De konstaterade bristerna har inneburit att bolaget genomgående har åsidosatt sina skyldigheter enligt penningtvättslagen och penningtvättsföreskrifterna, vilket har ökat risken för att Trustly och det finansiella systemet har kunnat utnyttjas för penningtvätt och finansiering av terrorism. Överträdelserna kan inte anses som ringa.
Det finns inte skäl att avstå från att ingripa med hänvisning till vad Trustly har invänt om giltig ursäkt eller att bristerna inte skulle vara klandervärda.
Finansinspektionen återkommer dock i avsnitt 5.4 till frågan om Finans- inspektionens tidigare undersökning av Trustly påverkar valet av ingripande i
den del som tar sikte på Trustlys underlåtenhet att behandla slutanvändare som kunder.
Trustly har också anfört att det finns skäl att avstå från att xxxxxxx med anledning av att bolaget numera har vidtagit, och planerar att vidta, åtgärder för att komma till rätta med bristerna. Enligt Finansinspektionen är dock överträdelserna av sådan karaktär att det inte finns utrymme att göra detta. Ett sådant avstående kan enligt myndighetens mening endast komma ifråga vid överträdelser som till sin art är mindre allvarliga (jfr prop. 2006/07:115 s. 500).
Inte heller har någon annan myndighet vidtagit åtgärder mot Trustly på grund av överträdelserna. Sammanfattningsvis anser Finansinspektionen alltså att de konstaterade överträdelserna har varit sådana att det finns skäl att ingripa mot Trustly.
Vid valet av ingripande ska Finansinspektionen bland annat ta hänsyn till hur allvarliga överträdelserna har varit och hur länge de pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.
I motsvarande bestämmelser i annan rörelselagstiftning på finansmarknads- området anges att särskild hänsyn ska tas också till överträdelsens art och till dess konkreta och potentiella effekter på det finansiella systemet, se till exempel 15 kap. 1 b § första stycket lagen (2004:297) om bank- och finansieringsrörelse och 25 kap. 2 § första stycket lagen (2007:528) om värdepappersmarknaden.
Dessa omständigheter nämns alltså inte i 8 kap. 9 § första stycket betaltjänst- lagen. Emellertid framgår det tydligt av förarbetena att uppräkningen i den bestämmelsen och i 9 a § samma kapitel endast är exemplifierande och att samtliga omständigheter ska beaktas vid val av ingripande och fastställande av sanktionsavgift (prop. 2016/17:173 s. 395 med vidare hänvisning till s. 373 f.). Det finns således inte något hinder mot att beakta även exempelvis över- trädelsens art och konkreta och potentiella effekter på det finansiella systemet vid val av ingripande enligt betaltjänstlagen.
Omständigheterna i detta fall är sådana att de överträdelser som har sin grund i att Trustly inte har behandlat slutanvändarna som kunder behöver behandlas särskilt och skilt från övriga överträdelser.
5.4.1 Ingripande genom föreläggande
Det förhållandet att Trustly inte har behandlat slutanvändarna som kunder vid tillämpningen av penningtvättsregelverket har medfört att bolaget på ett flagrant sätt har åsidosatt sina skyldigheter enligt ett flertal bestämmelser i penningtvätts- lagen. Som Finansinspektionen har funnit i avsnitt 4.1.5 har överträdelserna inneburit att slutanvändarna, som utgör majoriteten av bolagets betaltjänst- användare, inte har inkluderats i den allmänna riskbedömningen, risk- klassificerats, omfattats av rutiner och riktlinjer eller omfattats av åtgärder för
kundkännedom. Även om Trustly i viss utsträckning har övervakat slut- användarna så har övervakningen, som framgår i avsnitt 4.6, varit bristfällig.
Bristerna har alltså gällt samtliga slutanvändare, som utgör majoriteten av Trustlys betaltjänstanvändare. De har också gällt ett flertal centrala delar av penningtvättsregelverket. Härigenom har Trustly aktivt sett till att penningtvätts- regelverket inte har fått genomslag på dess huvudsakliga verksamhet. Det är klart graverande.
Som Finansinspektionen har uttalat i tidigare beslut saknas det vid systematiska eller andra brister av mer klandervärt slag mot centrala delar av penningtvätts- regelverket normalt förutsättningar för annat ingripande än att återkalla tillståndet eller, om det är tillräckligt, meddela en varning, men att en helhets- bedömning måste göras i varje enskilt fall (Finansinspektionens beslut den
18 juni 2020 i ärende FI dnr 19-2342). Myndigheten gör samma bedömning i detta fall och finner att överträdelsernas art är sådana att överträdelserna normalt ska bedömas som allvarliga. Vad som framkommit om hur länge de har pågått och deras potentiella effekter på det finansiella systemet talar i samma riktning.
Frågan är då närmast i vilken mån bedömningen påverkas av vad Trustly har invänt om att bolaget har varit i god tro avseende sin bedömning att slut- användare inte är kunder, bland annat mot bakgrund av Finansinspektionens beslut i ett tidigare tillsynsärende (FI dnr 13-4173).
I det tidigare ärende som Trustly hänvisar till undersökte Finansinspektionen hur bolaget följde det då gällande betaltjänst- och penningtvättsregelverket och den verksamhet som bolaget då bedrev. I avstämningsskrivelsen till bolaget redo- gjorde Finansinspektionen bland annat för iakttagelser som gällde Trustlys syn på vilka som var dess kunder. I svaret på avstämningsskrivelsen angav Trustly att bolaget ansåg att det inte fanns något kundförhållande mellan bolaget och slutanvändarna samt att slutanvändarna inte ingick någon direkt avtals- förbindelse med Trustly, utan att den avtalsrelation som fanns var mellan slutanvändarna och företagskunden. Finansinspektionen beslutade den 14 april 2015 att skriva av ärendet utan åtgärd. I beslutet lämnades ingen motivering till varför ärendet skrevs av. I en anteckning i Finansinspektionens ärende- hanteringssystem anges visserligen att ärendet skrevs av på grund av att kommunicering inte hade gjorts under en längre tid, men det framgår inte att Trustly informerades om denna motivering.
Vid valet av ingripande ska särskild hänsyn tas till graden av ansvar. Eftersom Finansinspektionens avskrivningsbeslut inte motiverades, och då – såvitt framgått – något annat inte kommunicerats till Trustly, får Trustly anses med fog ha uppfattat att myndigheten inte hade något att invända mot bolagets inställning att det inte hade någon kundrelation med slutanvändarna. Det är alltså en omständighet som enligt Finansinspektionens mening gör att Trustlys beteende är att betrakta som klart mindre klandervärt än annars (jfr prop. 2013/14:228 s.
240). Detta påverkar bedömningen i så pass förmildrande grad att över- trädelserna trots allt inte kan betraktas som allvarliga. Valet av ingripande för de
överträdelser som har sin grund i att Trustly inte har behandlat slutanvändare som kunder står därmed mellan att förelägga bolaget att vidta åtgärder för att komma till rätta med situationen och att ge bolaget en anmärkning.
Även vid denna avvägning anser Finansinspektionen att det finns skäl att beakta beslutet att skriva av det tidigare tillsynsärendet. Det finns också skäl att ta hänsyn till att Trustly inte längre står kvar vid sin bedömning samt att bolaget har förklarat att det har vidtagit och avser att vidta åtgärder för att fullt ut behandla slutanvändarna som kunder vid tillämpningen av penningtvätts- regelverket. Vid en samlad bedömning av det nu anförda bedömer Finans- inspektionen att det lämpligaste ingripandet är att förelägga bolaget att vidta åtgärder i enlighet med vad som framgår av beslutet för att komma till rätta med situationen.
Finansinspektionen bedömer att det är skäligt att ge Trustly tid fram till den
30 november 2022 att vidta åtgärderna. Finansinspektionen kommer att följa upp genomförandet av åtgärderna. Trustly ska därför skriftligen redovisa till Finansinspektionen vilka åtgärder som bolaget har vidtagit med anledning av föreläggandet och hur dessa åtgärder har resulterat i att bolaget har följt föreläggandet.
5.4.2 Ingripande genom varning
Finansinspektionens utredning har också visat på betydande brister som inte har sin grund i att Trustly inte har behandlat slutanvändarna som kunder. Även dessa brister har varit hänförliga till bolagets exponering mot spelbranschen och den risk som denna inneburit för Trustly. Som framgår av avsnitt 4.5 har de autogirokunder som ingått i Finansinspektionens urval genomfört ett stort antal transaktioner till ett betydande värde till och från spelbolag. Därtill kan Finansinspektionen konstatera att Trustly genom sina affärsförbindelser med spelbolagen i urvalet har fått en stor exponering mot en högriskbransch.
Utredningen i denna del visar sammanfattningsvis på följande brister. Trustlys allmänna riskbedömning har inte inkluderat samtliga produkter och tjänster som bolaget erbjuder och har inte heller inkluderat en bedömning av den geografiska risken som autogirokunder utgör för bolaget. Trustly har i flera fall helt saknat rutiner och riktlinjer för kundkännedom i fråga om autogirokunder. Finans- inspektionen har identifierat brister i fråga om riskklassificering och åtgärder för kundkännedom för samtliga autogirokunder i urvalet. För spelbolagen har Trustly i samtliga fall haft brister i sina åtgärder för kundkännedom. Vidare har bolagets system för övervakning inte varit utformat på ett sådant sätt som penningtvättsregelverket kräver.
Av de skäl som framgår av avsnitt 5.4.1 måste valet av ingripande göras fristående från Trustlys underlåtenhet att behandla och övervaka slutanvändare som kunder. Finansinspektionen måste alltså vid sin bedömning bortse från att myndigheten också har funnit att Trustly har åsidosatt sina skyldigheter i dessa avseenden.
Finansinspektionen gör i fråga om överträdelsernas art motsvarande över- väganden och bedömningar som framgår av avsnitt 5.4.1. De brister som har identifierats har inneburit att Trustly har åsidosatt sina skyldigheter enligt flera centrala delar i penningtvättsregelverket. Bristerna gäller bolagets allmänna riskbedömning, riskklassificering av kunder, rutiner och riktlinjer, åtgärder för kundkännedom samt övervakning. Finansinspektionen har identifierat brister avseende samtliga kunder som har ingått i myndighetens urval. Bristerna måste utan tvekan anses systematiska.
Bristerna har funnits under hela undersökningsperioden, som sträcker sig över åtta månader. Det innebär att överträdelserna har bestått under en förhållandevis lång tid.
Det framgår inte av undersökningen att det har uppstått några skador till följd av överträdelserna. Överträdelserna har inte heller lett till några konkreta effekter på det finansiella systemet. De har däremot inneburit en klar risk för att Trustly och det finansiella systemet i ökad omfattning har kunnat utnyttjas för penningtvätt och finansiering av terrorism. Detta särskilt mot bakgrund av Trustlys risk- exponering och bolagets roll i betalkedjan, i vilken det intagit en position som närmast kan liknas vid ett nav mellan bankerna och spelbolagen.
Till skillnad från bedömningen i avsnitt 5.4.1 finns det beträffande de nu aktuella överträdelserna inte några särskilda omständigheter som gör att Trustly har en lägre grad av ansvar.
Sammantaget finner Finansinspektionen att de konstaterade överträdelserna är allvarliga.
Eftersom Finansinspektionen bedömer överträdelserna som allvarliga har myndigheten att överväga att återkalla Trustlys tillstånd. Att återkalla tillståndet för ett betalningsinstitut är ett mycket kraftigt ingripande och får inte ske utan starka skäl. Varning bör kunna tillgripas när förutsättningar för återkallelse i och för sig finns men då varning i det särskilda fallet framstår som en tillräcklig åtgärd (jfr prop. 2002/03:139 s. 383).
Finansinspektionen har inte tidigare beslutat om någon sanktion mot Trustly. Bolaget har inte underlättat myndighetens utredning på ett sätt som påverkar bedömningen och har inte heller snabbt upphört med överträdelsen sedan den påtalats av Finansinspektionen. Det finns alltså inga sådana försvårande eller förmildrande omständigheter som anges i 8 kap. 9 a § betaltjänstlagen att ta hänsyn till.
Ytterligare omständigheter som kan göra att varning framstår som en tillräcklig åtgärd är att betalningsinstitutet inte kan befaras upprepa överträdelsen och att prognosen för institutet därför är god (jfr prop. 2002/03:139 s. 382 ff.).
Trustly har redogjort för åtgärder som bolaget har vidtagit och planerar att vidta. Utöver åtgärder för att komma till rätta med själva bristerna omfattar redo- görelsen också åtgärder i form av bland annat direktiv för riskprioritering av styrelsen och förstärkningar av organisationen. Finansinspektionen bedömer att det sammantaget framstår som att Trustly har vidtagit och planerar att vidta åtgärder som påtagligt minskar risken för likartade eller nya regelöverträdelser. Trustly får också anses ha förmåga att genomföra åtgärderna. Finansinspektionen stannar därför vid bedömningen att prognosen för att Trustly ska åtgärda bristerna och i fortsättningen följa regelverket är så pass god att det är tillräckligt att meddela Trustly en varning i förening med en kännbar sanktionsavgift.
5.4.3 Sanktionsavgiftens storlek
Som framgår i avsnitt 5.4.2 ska den varning som Trustly meddelas för de överträdelser som behandlas i det avsnittet förenas med en sanktionsavgift.
Det har inte gått att fastställa om och i så fall vilken vinst Trustly har gjort till följd av överträdelserna. Ett tak för sanktionsavgiften bestämt utifrån bolagets, eller koncernens, omsättning (se nedan) kommer att överstiga ett belopp motsvarande fem miljoner euro. Det innebär att det så kallade taket för den sanktionsavgift som Trustly ska betala ska bestämmas utifrån omsättningen.
Trustlys omsättning uppgick 2020 till 1 754 miljoner kronor, medan motsvarande omsättning på koncernnivå uppgick till 1 975 miljoner kronor. Finansinspektionen konstaterar att taket för sanktionsavgiften därmed är 197 miljoner kronor.
Sanktionsavgiftens storlek ska ses som en gradering av överträdelserna. När Finansinspektionen bestämmer storleken på en sanktionsavgift ska myndigheten ta särskild hänsyn till sådana omständigheter som också ska beaktas vid valet av sanktion samt till betalningsinstitutets finansiella ställning och, om det går att fastställa, den vinst som institutet har gjort till följd av regelöverträdelsen. Den avgift som bestäms får inte vara så stor att institutet därefter inte uppfyller kapitalkraven.
Som framgått har Finansinspektionen inte kunnat fastställa om Trustly har gjort någon vinst till följd av regelöverträdelserna. I övrigt redogör Finansinspek- tionen i avsnitt 5.4.2 för myndighetens bedömning av överträdelserna. De omständigheter som där anges som grund för valet av sanktion är sådana som även ska beaktas när sanktionsavgiftens storlek ska bestämmas.
Med hänsyn till det nu anförda fastställer Finansinspektionen sanktionsavgiften till 130 000 000 kronor. Denna sanktionsavgift är inte så stor att Trustly på grund av avgiften inte uppfyller kapitalkraven. Bestämmelsen i 8 kap. 15 a § andra stycket betaltjänstlagen, som anger att en sanktionsavgift inte får vara så stor att institutet därefter inte uppfyller kraven enligt 3 kap. 2 § samma lag, påverkar därför inte avgiftens storlek.
Sanktionsavgiften tillfaller staten och faktureras av Finansinspektionen när beslutet har vunnit laga kraft.
FINANSINSPEKTIONEN
Xxxx-Xxxx Xxxxxxxxx
Styrelseordförande
Xxxxxxxxx Xxxxxxxx
Jurist
Beslut i detta ärende har fattats av Finansinspektionens styrelse (Xxxx-Xxxx Xxxxxxxxx, ordförande, Xxxxx Xxxxxxxx Xxxxxxxxxx, Xxxxx Xxxxxxx, Xxxxx Xxxxx, Xxxxxx Xxxxxxx, Xxxx Xxxxxxx, Xxxxxxxxx Xxxxxxx och Xxxx Xxxxxxx, generaldirektör) efter föredragning av juristen Xxxxxxxxx Xxxxxxxx. I den slutliga handläggningen av ärendet har även chefsjuristen Xxxx Xxxxxxxxx, biträdande avdelningschefen Xxxxx Xxxxxxxxxxxx, biträdande avdelningschefen Xxxxx Xxxxxxxx, juristen Xxxxx Xxxxxxx och finansinspektören Xxxx Xxxxxxxxx deltagit.
Bilagor
Bilaga 1 – Hur man överklagar Bilaga 2 – Tillämpliga bestämmelser
Kopia: Trustly Group AB:s verkställande direktör
D E L G I V N I N G S K V I T T O
FI Dnr 20-20967
Delgivning nr 1
Finansinspektionen
Box 7821
SE-103 97 Stockholm
[Xxxxxxxxxxx 0]
Tel x00 0 000 000 00
Fax x00 0 00 00 00
xxxxxxxxxxxxxxxxxx@xx.xx xxx.xx.xx
Varning och sanktionsavgift samt föreläggande
Handling:
Beslut avseende varning och sanktionsavgift samt föreläggande till Trustly Group AB meddelat den 22 februari 2022
Jag har denna dag tagit del av handlingen.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DATUM NAMNTECKNING
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAMNFÖRTYDLIGANDE
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EV. NY ADRESS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Detta kvitto ska sändas tillbaka till Finansinspektionen omgående. Om kvittot inte skickas tillbaka kan delgivning ske på annat sätt, t.ex. genom stämningsman.
Glöm inte att ange datum för mottagandet.
Bilaga 1 – Hur man överklagar
Om ni anser att beslutet är felaktigt kan ni överklaga det genom att skriva till förvaltningsrätten. Ställ överklagandet till Förvaltningsrätten i Stockholm, men skicka det till Finansinspektionen, Xxx 0000, 000 00 Xxxxxxxxx, eller till xxxxxxxxxxxxxxxxxx@xx.xx.
Ange följande i överklagandet:
• Namn, personnummer eller organisationsnummer, postadress, e-postadress och telefonnummer
• Vilket beslut ni överklagar och ärendets nummer
• Vilken ändring ni vill ha och varför ni anser att beslutet ska ändras.
Om ni anlitar ett ombud, ska ombudets namn, postadress, e-postadress och telefonnummer anges.
Överklagandet ska ha kommit in till Finansinspektionen inom tre veckor från den dag ni fått del av beslutet.
Om överklagandet har kommit in i rätt tid kommer Finansinspektionen att pröva om beslutet ska ändras och sedan skicka överklagandet, handlingarna i det överklagade ärendet och eventuellt nytt beslut till Förvaltningsrätten i Stockholm.
Bilaga 2 – Tillämpliga bestämmelser
Penningtvättsregelverket
Definitioner
Av 1 kap. 8 § första punkten lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) följer att med affärsförbindelse avses en affärsmässig förbindelse som när den etableras förväntas ha en viss varaktighet. Av 1 kap. 8 § fjärde punkten penningtvättslagen följer att en kund är den som har trätt eller står i begrepp att träda i avtalsförbindelse med en verksamhetsutövare.
Allmän riskbedömning
I 2 kap. 1 § första stycket penningtvättslagen anges att en verksamhetsutövare ska göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Av andra stycket framgår att vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som föreligger. Hänsyn ska också tas till uppgifter som kommer fram vid verksamhetsutövarens rapportering av misstänkta aktiviteter och transaktioner samt till information om tillvägagångssätt för penningtvätt och finansiering av terrorism och andra relevanta uppgifter som myndigheter lämnar.
Av 2 kap. 2 § första stycket penningtvättslagen följer att omfattningen av den allmänna riskbedömningen ska bestämmas med hänsyn till verksamhetsutövarens storlek och art och de risker för penningtvätt eller finansiering av terrorism som kan antas föreligga. Riskbedömningen ska utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism.
Av 2 kap. 1 § tredje stycket penningtvättsföreskrifterna framgår att ett företag ska uppdatera sin allmänna riskbedömning innan det erbjuder nya eller väsentligt förändrade produkter, tjänster, riktar sig till nya marknader eller gör andra förändringar som är relevanta för verksamheten.
Riskbedömning av kunder
I 2 kap. 3 § första stycket penningtvättslagen anges att en verksamhetsutövare ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och verksamhetsutövarens kännedom om kunden. Av andra stycket framgår att när det behövs för att bestämma kundens riskprofil ska verksamhetsutövaren beakta omständigheter som avses i 4 och 5 §§ och föreskrifter som meddelats
med stöd av denna lag samt andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Av bestämmelsens tredje stycke följer att kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.
Xxxxxxx och riktlinjer
I 2 kap. 8 § första stycket penningtvättslagen anges att en verksamhetsutövare ska ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Av andra stycket följer att rutinerna och riktlinjerna fortlöpande ska anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. Av bestämmelsens tredje stycke framgår att rutinernas och riktlinjernas omfattning och innehåll ska bestämmas med hänsyn till verksamhetsutövarens storlek, art och riskerna för penningtvätt och finansiering av terrorism som identifierats i den allmänna riskbedömningen.
Kundkännedom
Förbud mot affärsförbindelser och transaktioner
Av 3 kap. 1 § första stycket penningtvättslagen följer att en verksamhetsutövare inte får etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om verksamhetsutövaren inte har tillräcklig kännedom om kunden för att kunna
1. hantera risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen, och
2. övervaka och bedöma kundens aktiviteter och transaktioner enligt 4 kap. 1 och 2 §§ penningtvättslagen.
Situationer som kräver kundkännedom
I 3 kap. 4 § penningtvättslagen anges att en verksamhetsutövare ska vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse.
Av 3 kap. 4 § andra stycket penningtvättslagen framgår att om verksamhetsutövaren inte har en affärsförbindelse med kunden, ska åtgärder för kundkännedom vidtas
1. vid enstaka transaktioner som uppgår till ett belopp motsvarande 15 000 euro eller mer,
2. vid transaktioner som understiger ett belopp motsvarande 15 000 euro och som verksamhetsutövaren inser eller borde inse har samband med en eller flera andra transaktioner och som tillsammans uppgår till detta belopp, och
3. vid utförandet av sådana överföringar av medel som avses i artikel 3.9 i Europaparlamentets och rådets förordning (EU) 2015/847 av den 20 maj 2015 om uppgifter som ska åtfölja överföringar av medel och om
upphävande av förordning (EG) nr 1781/2006, om överföringen överstiger ett belopp motsvarande 1 000 euro.
Identifiering och kontroll av kunden
Av 3 kap. 7 § penningtvättslagen framgår att en verksamhetsutövare ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter från en oberoende och tillförlitlig källa.
Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden.
I 3 kap. 9 § första stycket penningtvättslagen anges att kontroll av kundens och den verkliga huvudmannens identitet ska slutföras innan en affärsförbindelse etableras eller en enstaka transaktion utförs.
Enligt 3 kap. 10 § penningtvättslagen ska en verksamhetsutövare bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person.
Av 3 kap. 11 § penningtvättslagen framgår att en verksamhetsutövare ska kontrollera om kunden är etablerad i ett land utanför EES som av Europeiska kommissionen har identifierats som ett högrisktredjeland.
Information om och uppföljning av affärsförbindelser
Av 3 kap. 12 § första stycket penningtvättslagen följer att en verksamhetsutövare ska inhämta information om affärsförbindelsens syfte och art.
I 3 kap. 13 § första stycket penningtvättslagen anges att en verksamhetsutövare ska löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden enligt 7, 8 och 10–12 §§ penningtvättslagen är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism.
Åtgärder som krävs för kundkännedom i det enskilda fallet
Av 3 kap. 14 § penningtvättslagen framgår att åtgärder för kontroll, bedömning och utredning enligt 7, 8, och 10–13 §§ penningtvättslagen ska utföras i den omfattning det behövs med hänsyn till kundens riskprofil och övriga omständigheter.
Skärpta åtgärder vid hög risk
Av 3 kap. 16 § första stycket penningtvättslagen framgår att om risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som hög, ska särskilt omfattande kontroller, bedömningar och utredningar enligt 3 kap. 7, 8 och 10–13 §§ penningtvättslagen göras.
Av 3 kap. 16 § andra stycket penningtvättslagen följer att åtgärderna i sådant fall ska kompletteras med de ytterligare åtgärder som krävs för att motverka den höga risken för penningtvätt eller finansiering av terrorism. Sådana åtgärder kan avse inhämtande av ytterligare information om kundens affärsverksamhet eller ekonomiska situation och uppgifter om varifrån kundens ekonomiska medel kommer.
I 3 kap. 17 § första stycket penningtvättslagen anges att skärpta åtgärder enligt 3 kap. 16 § penningtvättslagen ska vidtas vid affärsförbindelser eller enstaka transaktioner när kunden är etablerad i ett land utanför EES som av Europeiska kommissionen har identifierats som ett högrisktredjeland.
Övervakning
Av 4 kap. 1 § första stycket penningtvättslagen följer att en verksamhetsutövare ska övervaka pågående affärsförbindelser och bedöma enstaka transaktioner i syfte att upptäcka aktiviteter och transaktioner som
1. avviker från vad verksamhetsutövaren har anledning att räkna med utifrån den kännedom om kunden som verksamhetsutövaren har,
2. avviker från vad verksamhetsutövaren har anledning att räkna med utifrån den kännedom som verksamhetsutövaren har om sina kunder, de produkter och tjänster som tillhandahålls, de uppgifter som kunden lämnar och övriga omständigheter, eller
3. utan att vara avvikande enligt 1 eller 2 kan antas ingå som ett led i penningtvätt eller finansiering av terrorism.
Av 4 kap. 1 § andra stycket penningtvättslagen följer att inriktningen och omfattningen av övervakningen ska bestämmas med beaktande av de risker som identifierats i den allmänna riskbedömningen, den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen och annan information om tillvägagångssätt för penningtvätt eller finansiering av terrorism.
Av 4 kap. 2 § första stycket penningtvättslagen följer att om avvikelser eller misstänkta aktiviteter eller transaktioner uppmärksammas enligt 1 § eller på annat sätt, ska en verksamhetsutövare genom skärpta åtgärder för kundkännedom enligt 3 kap. 16 § och andra nödvändiga åtgärder bedöma om det finns skälig grund att misstänka att det är fråga om penningtvätt eller
finansiering av terrorism eller att egendom annars härrör från brottslig handling.
Av 4 kap. 2 § andra stycket penningtvättslagen följer att när en verksamhetsutövare anser att det finns skälig grund att misstänka att det är fråga om penningtvätt eller finansiering av terrorism eller att egendom annars härrör från brottslig handling, behöver ytterligare åtgärder enligt första stycket inte vidtas.
I 6 kap. 1 § första stycket penningtvättslagen anges att en verksamhetsutövare ska ha rutiner och riktlinjer för intern kontroll. Av andra stycket framgår att verksamhetsutövaren ska ha rutiner för modellriskhantering om den använder modeller för riskbedömning, riskklassificering, övervakning eller andra förfaranden. Där framgår vidare att rutinerna för modellriskhantering ska syfta till att utvärdera och kvalitetssäkra de modeller som verksamhetsutövaren använder.
Av 2 kap. 1 § tredje stycket Finansinspektionens föreskrifter (FFFS 2017:11) om åtgärder mot penningtvätt och finansiering av terrorism följer att företaget ska uppdatera sin allmänna riskbedömning innan det erbjuder nya eller väsentligt förändrade produkter, tjänster, riktar sig till nya marknader eller gör andra förändringar som är relevanta för verksamheten.
I 6 kap. 16 § Finansinspektionens föreskrifter (FFFS 2017:11) om åtgärder mot penningtvätt och finansiering av terrorism anges att ett företag ska utföra en validering av en modell innan den tas i bruk. Om väsentliga förändringar görs av en modell ska en ny validering genomföras.
I 6 kap. 17 § Finansinspektionens föreskrifter (FFFS 2017:11) om åtgärder mot penningtvätt och finansiering av terrorism anges att ett företag ska efter varje validering den utför av en modell upprätta en rapport över resultatet av valideringen.
Lag (2010:751) om betaltjänster
Betaltjänstleverantörens skyldigheter vid tillhandahållande av betaltjänster
Av 1 kap. 4 § lagen (2010:751) om betaltjänster (betaltjänstlagen) följer att med penningöverföring avses en betaltjänst där medel tas emot från en betalare, utan att något betalkonto öppnas i betalarens eller betalningsmottagarens namn, uteslutande i syfte att överföra motsvarande belopp till en mottagare eller en annan betaltjänstleverantör som agerar på mottagarens vägnar, eller där dessa medel tas emot på mottagarens vägnar och ställs till mottagarens förfogande
Av 5 kap. 8 § betaltjänstlagen följer att vid tillhandahållandet av betalningsinitieringstjänster får leverantören inte
1. vid någon tidpunkt inneha betalarens medel,
2. lagra känsliga betalningsuppgifter som tillhör betaltjänstanvändaren,
3. begära andra uppgifter av betaltjänstanvändaren än sådana som krävs för att tillhandahålla betalningsinitieringstjänsten,
4. använda, ha tillgång till eller lagra uppgifter för andra ändamål än för att tillhandahålla den betalningsinitieringstjänst som uttryckligen begärs av betalaren, eller
5. ändra beloppet, uppgift om betalaren eller något annat inslag i transaktionen.