Redegørelse om hvidvaskinspektion i Lunar Bank A/S

Inspektionen omfattede en gennemgang af bankens Moonriseprodukt, herunder

• Bankens organisering på hvidvaskområdet angående Moonrise-produktet.
• Bankens politikker, forretningsgange og interne kontroller i henhold til hvidvaskloven angående Moonrise.
• Bankens kundekendskab af sine Moonrisekunder.
• Bankens overvågning af Moonrisekunder samt undersøgelser af alarmer og underretning til Hvidvasksekretariatet.
• Bankens overholdelse af EU's sanktioner.

Risikovurdering og sammenfatning

Banken fik tilladelse i 2019. Banken har ikke fysiske filialer og er dermed 100 procent digital, herunder med et stort fokus på forskellige digitale og teknologiske løsninger på det finansielle område, hvoraf banken selv udvikler en del.

Moonrise er en API-løsning, der muliggør, at tredjeparter, herunder særligt betalingstjenestevirksomheder, via banken kan gennemføre straksoverførsler på tværs af Danmark, Sverige og Norge.

Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er høj. Finanstilsynets vurdering er blandt andet baseret på, at banken udelukkende er en onlinebank, og at banken har et stort antal kunder, som ikke benytter banken som primær bankforbindelse, hvilket gør det sværere at få det fulde overblik over kundernes samlede transaktioner, midlernes oprindelse mv. Derudover indebærer bankens Moonriseprodukt en betydelig risiko for hvidvask.

På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.

Bankens hvidvaskpolitik beskriver ikke i tilstrækkelig grad, hvordan banken ønsker at håndtere hvidvaskrisici vedrørende Moonrise-produktet, ligesom banken i hvidvaskpolitikken ikke i tilstrækkeligt omfang fastsætter overordnede strategiske mål for forebyggelse af hvidvask og terrorfinansiering.

Der er herved risiko for, at bankens strategiske risikostyring af hvidvask- og terrorfinansieringsrisici ikke er tilstrækkeligt målrettet.

Dette er væsentligt, da en politik for risikostyring udgør det overordnede grundlag for strategisk og operationel risikostyring. En risikostyringspolitik fastsætter blandt andet formål, risikoområder, ansvarsfordeling, risikovillighed samt den organisatoriske forankring af risikoledelse og -styring. En utilstrækkelig risikostyring kan medføre, at banken ikke iværksætter de nødvendige mitigerende foranstaltninger til forebyggelse af hvidvask og terrorfinansiering.

Banken har derfor fået påbud om at revidere sin politik vedrørende Moonrise på hvidvaskområdet, så den fastsætter de overordnede strategiske mål og indeholder principielle beslutninger om, hvordan banken skal indrettes, så risiciene for hvidvask og finansiering af terrorisme imødegås.[i]

Banken har ikke tilstrækkelige skriftlige forretningsgange, idet banken ikke har forretningsgange for afbrydelse eller afvikling af etablerede forretningsforbindelser samt for håndtering af bankens automatiske transaktionsovervågning, herunder hvor ofte scenarierne skal kalibreres, og hvem der kan foretage en sådan kalibrering.

Der opstår hermed en risiko for, at bankens medarbejdere ikke har tilstrækkeligt kendskab til, hvordan de i praksis skal håndtere og sikre bankens transaktionsovervågning, så at banken får afbrudt og afviklet kundeforhold, når dette er nødvendigt mv.

Dette er væsentligt for at sikre sig, at bankens kunder ikke anvender banken til hvidvask og terrorfinansiering.

Banken har derfor fået påbud om at have forretningsgange for afbrydelse eller afvikling af etablerede forretningsforbindelser samt for håndtering af dens automatiske transaktionsovervågning, herunder i forhold til hvor ofte bankens scenarier skal kalibreres, og hvem der kan foretage en sådan kalibrering.[ii]

Finanstilsynet vurderer, at bankens nuværende interne kontroller på hvidvaskområdet ikke er tilstrækkelige. Baggrunden er, at det med det nuværende system er muligt for medarbejderne selv at udvælge konkrete kunder, transaktioner og alarmer til gennemgang, uden at der sker en tilstrækkelig, systematisk og konsistent kontrol med de gennemgåede kunder og transaktioner mv. Muligheden for selv at udvælge alarmer til behandling sammenholdt med, at banken halvårligt foretager kontrol ved en stikprøve, som den ikke har fastsat størrelsen af, medfører, at banken ikke i tilstrækkeligt omfang foretager kontrol af sin alarmbehandling.

Dette indebærer blandt andet en risiko for, at der kan ske fejlbehandling og -vurdering af de konkrete kunder, alarmer og transaktioner, og at dette ikke opdages.

Dette er væsentligt, da intern kontrol er med til at sikre, at banken styrer sine risici og dermed undgår at blive udnyttet til hvidvask og terrorfinansiering.

Banken har derfor fået påbud om at sikre, at der med passende hyppighed foretages interne kontroller af, om banken overholder hvidvasklovens krav i relation til dens alarmbehandling, og at de foretagne kontroller dokumenteres.[iii]

Bankens compliancefunktion følger ikke i tilstrækkeligt omfang op på bankens konstaterede mangler i sin løbende overvågning, ligesom compliance ikke vurderer, om de foranstaltninger er effektive, som banken har truffet til at afhjælpe manglerne.

Når compliancefunktionen ikke i tilstrækkeligt omfang følger op på og vurderer, om konstaterede mangler afhjælpes fyldestgørende, er der er en risiko for, at bankens konstateringer og efterfølgende plan for risikomitigerende foranstaltninger ikke underlægges den fornødne kontrol.

Dette er væsentligt, da compliancefunktionen fungerer som et værn, der skal være med til at sikre, at banken har passende foranstaltning til at forebygge hvidvask og terrorfinansiering, og at banken efterlever gældende lovgivning.

Banken får derfor påbud om at sikre, at compliancefunktionen kontrollerer og følger op på mangler, som banken har konstateret i den løbende overvågning af Moonrisekunder, samt vurderer, om de foranstaltninger er effektive, som banken træffer for at afhjælpe eventuelle mangler.^[iv]

Banken tager ikke i tilstrækkeligt omfang stilling til, om de informationer, som Moonrisekunderne oplyser om formålet med deres forretningsforbindelse med banken, også stemmer overens med kundens faktisk aktivitet. Desuden sondrer banken ikke i tilstrækkeligt omfang mellem de forskellige pengestrømme fra Moonrisekunderne. Dette indebærer en risiko for, at banken reelt ikke har viden om, hvilke typer af transaktioner Moonrisekunderne forventer at have.

Dette er væsentligt, da manglende eller utilstrækkelige oplysninger om forretningsforbindelsens formål betyder, at banken ikke kan foretage tilstrækkelig løbende overvågning af etablerede forretningsforbindelser, herunder identificere usædvanlige transaktioner og aktiviteter.

Banken får derfor påbud om at indhente tilstrækkelige oplysninger om forretningsforbindelsens formål, herunder tilstrækkelig oplysning om forretningsforbindelsens forventede aktiviteter, og forholde sig til de indhentede oplysninger.[v]

Bankens kvartalsvise manuelle transaktionsovervågning er ikke tilstrækkelig, idet den ikke medfører, at banken rettidigt får indsigt i sine Moonrisekunders aktiviteter, ligesom den derfor heller ikke muliggør rettidig undersøgelse og, hvis relevant, underretning af mistænkelige transaktioner.

Bankens kvartalsvise manuelle monitorering medfører desuden, at det ikke i tilstrækkeligt omfang er muligt for banken rettidigt at undersøge usædvanlige transaktioner og/eller aktiviteter.

Der er herved en risiko for, at bankens løbende overvågning ikke afdækker relevante usædvanlige transaktioner og aktiviteter rettidigt, samt at bankens kundekendskab ikke stemmer overens med bankens faktiske viden om kundens adfærd. Dette sammenholdt med, at banken ikke i tilstrækkeligt omfang har mulighed for at gennemføre rettidige undersøgelser af usædvanlige transaktioner, medfører risiko for, at banken ikke får kendskab til transaktioner, der har tilknytning til hvidvask eller finansiering af terrorisme.

Dette er væsentligt, da en rettidig undersøgelse af usædvanlige transaktioner og aktiviteter er en forudsætning for at foretage tilstrækkelig underretning til Hvidvasksekretariatet, hvilket har stor betydning for, at politiet eller andre myndigheder kan gribe ind overfor kriminalitet.

Banken får derfor påbud om at foretage tilstrækkelig løbende overvågning af sine Moonrisekunder, herunder foretage overvågningen i en frekvens, der muliggør rettidig undersøgelse og, hvis relevant, underretning til Hvidvasksekretariatet.[vi]

Bankens egen konstatering af meget væsentlige udfordringer med dens løbende overvågning samt utilstrækkelige forretningsgange udgør oplysninger, der er af væsentlig betydning for Finanstilsynets tilsyn med banken. Banken skulle derfor af egen drift have oplyst Finanstilsynet om dette på et tidligere tidspunkt, end ved fremsendelsen af materialet i forbindelse med inspektionen.

Hvis oplysninger, der er af væsentlig betydning for Finanstilsynets tilsyn, ikke gives af egen drift og hurtigst muligt, er der en risiko for, at Finanstilsynet ikke har et korrekt billede af den pågældende virksomhed, herunder en korrekt vurdering af virksomhedens risici og interne forebyggende foranstaltninger. Dette er væsentligt for, at Finanstilsynets kan gennemføre sit risikobaserede tilsyn. Finanstilsynet bemærker, at henset til de betydelige risici, der er forbundet med bankens Moonriseprodukt og -kunder, ser Finanstilsynet med alvor på, at banken ikke har orienteret Finanstilsynet om, at banken havde udfordringer med sin transaktionsovervågning.

Banken får derfor en påtale for, at den ikke af egen drift og hurtigst muligt har oplyst Finanstilsynet om dens udfordringer med den løbende overvågning af sine Moonrisekunder.[vii]