Tehostettu tunteminen – 8 kysymystä ja vastausta

Ilmoitusvelvollisen yrityksen pitää tuntea kaikkien asiakkaidensa taustat. Se on olennainen osa rahanpesun ja terrorismin rahoittamisen estämistä. KYC-prosessi ei kuitenkaan ole jokaisen kohdalla sama, vaan toisinaan tarvitaan tehostettua tuntemista.

Tehostettu tunteminen on rahanpesulaista tuttu termi. Jos olet epävarma siitä, mitä se todella tarkoittaa, et ole yksin, sillä aiheeseen liittyy yleisiä väärinkäsityksiä. Kokosimme tähän artikkeliin vastauksia avoimiin kysymyksiin. Pari myyttiäkin tulee siinä sivussa oiotuksi.

Artikkelissa on hyödynnetty viranomaisten ohjeita vuodelta 2024. Varmistathan aina ajantasaisimmat tiedot toimialasi valvovalta viranomaiselta.

Sisältö

• Mitä eroa on tavanomaisella asiakkaan tuntemisella ja tehostetulla tuntemisella?

• Mistä tietää, pitääkö asiakkaaseen soveltaa tehostettua tuntemista?

• Miten osaan luokitella asiakkaani?

• Tarkoittaako tehostettu tunteminen, että KYC-tiedot kysytään tavallista useammin?

• Miten usein tuntemistietoja pitää päivittää?

• Mistä lähteistä voin varmentaa asiakkaalta kysyttyjä tietoja, kuten tosiasiallisten edunsaajien tietoja?

• Mitä jos en saa uskottavia tietoja tehostetun tuntemisen asiakkaasta?

• Tietosuoja (GDPR) sekä rahanpesun ja terrorismin vastaiset toimet – kumpi tulee laittaa etusijalle?

Mitä eroa on tavanomaisella asiakkaan tuntemisella ja tehostetulla tuntemisella?

Tavanomainen asiakkaan tunteminen on perusvaatimus kaikille ilmoitusvelvollisille yrityksille. Kun varmennat jokaisen asiakkaan henkilöllisyyden, keräät tietyt perustiedot kokoon ja tunnistat, kuka liiketoimista tosiasiassa hyötyy, pystyt arvioimaan, onko asiakkaillasi puhtaat jauhot pussissa.

Tehostettu asiakkaan tunteminen taas on tiukempi menettely. Sitä käytetään, kun kerätyissä tiedoissa ilmenee jotakin sellaista, johon liittyy tavallista suurempi rahanpesun ja terrorismin rahoittamisen riski. Tehostetun tuntemisen vaatimusta ei voi painaa villaisella, vaikka kyseessä olisi hyvä tyyppi ja vanha tuttu. Jos tietyt tunnusmerkit täyttyvät, KYC-prosessi pitää hoitaa pidemmän kaavan mukaan.

Mistä tietää, pitääkö asiakkaaseen soveltaa tehostettua tuntemista?

Laki sanelee joitakin riskitekijöitä suoraan. Tässä tavallisimpia:

• Tehostettua tuntemista sovelletaan aina poliittisesti vaikutusvaltaisiin henkilöihin (PEP), heidän perheenjäseniinsä ja yhtiökumppaneihinsa. Asiakassuhdetta pitää silloin seurata tehostetusti, ja varojen alkuperät täytyy selvittää.
• Jos asiakkaan liiketoiminta ulottuu korkean riskin maihin (voit lukea riskimaista lisää esimerkiksi Finanssivalvonnan verkkosivuilta sekä oman valvovan viranomaisesi materiaaleista), täytyy KYC-prosessissa hankkia lisätietoja asiakkaasta, liikesuhteen tarkoituksesta ja varojen alkuperästä. Myös sähköinen KYC-palvelu auttaa tunnistamaan yhteyksiä riskimaihin.
• Etätunnistamiseen liittyy kohonnut riski, koska asiakasta ei tavata kasvotusten. Silloin tehostettu menettely asiakkaan tunnistamisessa tarkoittaa esimerkiksi vahvaa sähköistä tunnistautumista sekä tarvittaessa lisäasiakirjojen ja -tietojen hankkimista henkilöllisyyden varmistamiseksi.

Osa riskeistä taas liittyy oman yrityksen liiketoiminnan ja asiakaskunnan riskeihin, tai epäilyttävään toimintaan, joka pistää silmään asiakassuhteen aikana. Silloinkin pitää siirtyä tavanomaisesta kycittämisestä tehostetun tuntemisen puolelle. Oma riskiarvio kertoo, milloin pitää olla huolissaan. Havainnot voivat liittyä esimerkiksi näihin:

• epäilyttävät kansainväliset rahansiirrot tai kaupat
  • esimerkiksi siviilikäyttöön droneja myyvä yritys alkaa yhtäkkiä myydä suuria eriä ulkomaiselle ostajalle, jolla on kytköksiä pakotteiden alaisiin maihin
• riskiarviossa tarkemmin seurattavaksi määritellyt toimialat
  • esimerkiksi ravintola-ala, jolla käytetään paljon käteistä
  • tai rakennusala, jossa monimutkaiset toimitusketjut luovat paikkoja rahanpesulle
• kryptovarojen käyttö maksuliikenteessä
• äkilliset maksuliikenteen muutokset, jotka voivat liittyä kyberrikollisten tekemiin petoksiin.
  

Miten osaan luokitella asiakkaani?

Lähtökohtana on aina oman yrityksesi riskiarvio. Siinä on pohdittu, miten yrityksen tuotteita ja palveluita voisi mahdollisesti käyttää rahanpesuun tai terrorismin rahoittamiseen. Tätä kautta piirtyy esiin asiakasryhmiä, joihin liittyy kohonnut riski.

Esimerkkejä riskeistä kuvattiin edellä. Jos asiakkaan tuntemistiedoissa tulee esiin esimerkiksi poliittisesti vaikutusvaltaisia nimiä (PEP-henkilö) tai yhteyksiä korkean riskin valtioihin, asiakasta tulisi kohdella tavanomaista korkeariskisempänä. Jokaisen asiakkaiden kanssa toimivan pitäisi tunnistaa nämä riskit ja tietää, miten toimia, eli riskiarvio ei saa jäädä vain compliance officerin käsikirjaksi.

Tietojen selvittely käsityönä on hidasta ja vaivalloista. KYC-palvelun avulla pystyt tunnistamaan lainsäädännössä määriteltyjä riskejä ja lisäksi viemään oman riskiarviosi luokitteluperiaatteet jokapäiväiseen työhön. 

Sähköiset tietopyynnöt ja automaattiset rekisterihaut auttavat tietojen keräämisessä. Ilman automaattista pakotelistatarkistusta saattaisit jopa erehdyksessä aloittaa lainvastaiset liiketoimet asiakkaan kanssa. Pakotelistat kun päivittyvät jatkuvasti.

Tarkoittaako tehostettu tunteminen, että KYC-tiedot kysytään tavallista useammin?

Moni luulee, että tehostettu tunteminen tarkoittaisi vain tuttujen perustietojen, kuten tosiasiallisten edunsaajien tai varallisuustietojen, kysymistä tavallista tiheämmin. 

Ilmoitusvelvollisen pitää kuitenkin tuntea korkean riskin asiakkaat selvästi laajemmin. Omassa riskiarviossa pitää tunnistaa muutokset, jotka johtavat asiakkaan riskiluokituksen muutokseen eli tehostetun tuntemisen tarpeeseen. Korkeamman riskin asiakkailta pitää kysyä lisäkysymyksiä. Mihin maksuliikenne liittyy? Onko asiakaskunta muuttunut? Millaisia muita muutoksia on tiedossa?

Kun asiakkaan riskitaso on koholla, tarvitaan jatkuvaa seurantaa. Tehostettu tunteminen ei siis tarkoita yksittäisiä lisäselvityksiä, jotka voi sitten unohtaa.

Lue myös: Rahanpesun torjunta pk-yrityksissä – 12 kysymystä ja vastausta ilmoitusvelvollisille

Miten usein tuntemistietoja pitää päivittää?

Yhtä patenttivastausta ei ole. Ilmoitusvelvollisen pitää tähdätä siihen, että tiedot ovat aina paikkansa pitäviä. Tiedot olisi tärkeää päivittää säännöllisin väliajoin riskitason perusteella, ja lisäksi aina, kun asiakkaan liiketoiminnassa tapahtuu merkittäviä muutoksia. 

Aiemmin KYC-tietojen suositeltuun päivitysväliin saattoi olla “yksi vuosi korkeariskisille, kolme vuotta muille” -tyyppisiä peukalosääntöjä. Nopeasti muuttuvassa maailmassa kolme vuotta alkaa kuitenkin olla kenen tahansa asiakkaan kohdalla pitkä aika.

Mistä lähteistä voin varmentaa asiakkaalta kysyttyjä tietoja, kuten tosiasiallisten edunsaajien tietoja?

Asiakkaalta kysyminen on ensisijainen keino tuntemistietojen keräämiseen. Tietoja voi varmentaa erilaisista rekistereistä, joko käsin tai automaattisilla rekisterihauilla. EU-alueella kehitetään jatkuvasti järjestelmiä, jotka tekevät tiedon liikkumisesta EU-maiden kesken entistä sujuvampaa.

Mitä jos en saa uskottavia tietoja tehostetun tuntemisen asiakkaasta?

Jos asiakkaan antamat tiedot eivät täsmää rekistereihin, selvittelyjä pitää jatkaa. Asiakkaalta on aina kysyttävä lisätietoja, jos alkuperäiset selvitykset eivät riitä. Jos asiakas kieltäytyy antamasta tietoja, tai lisäselvitystenkin jälkeen tilanne vaikuttaa epäselvältä, hälytyskellojen pitäisi soida. 

Tee ilmoitus rahanpesun selvittelykeskukselle heti, jos silmääsi pistää jotakin erikoista, jolle et saa asiakkaalta viivytyksettä luotettavaa selitystä. Rikolliset pyrkivät liikuttamaan varoja vikkelästi, joten nopeus on valttia ilmoittamisessakin.

Jos KYC-prosessi ei rullaa, kuten pitää, voit joutua riskien vuoksi keskeyttämään koko asiakassuhteen. Muuten saatat löytää edestäsi mainehaittoja tai sanktioita. 

Jotta välttäisit kiusalliset tilanteet, satsaa alusta asti avoimeen ja rehelliseen kommunikaatioon. Kerro asiakkaalle, miksi tarvitset tietoja ja miksi selvitykset ovat tärkeitä. Valmiiden kyselypohjien avulla se käy helposti. Reilu viestintä vähentää epäluuloja ja nopeuttaa KYC-tietojen keräämistä. 

Tietosuoja (GDPR) sekä rahanpesun ja terrorismin vastaiset toimet – kumpi tulee laittaa etusijalle? 

GDPR koskee vain henkilöitä. Lisäksi tietojen käsittely on sallittua lain edellyttämiin tehtäviin. Henkilötietojen keräämisen pitää olla välttämätöntä, oikeasuhtaista, ja niiden on oltava ajantasaisia ja paikkansa pitäviä. Hyvin hoidetussa ja lain mukaisessa KYC-prosessissa nämä vaatimukset täyttyvät.

Otathan huomioon, että KYC-tiedot pitää säilyttää erillään muista asiakastiedoista. Silloin sinun on myös helpompi huolehtia siitä, että säilytät erilaisia tietoja juuri lain vaatiman ajan, et yhtään pidempään. Helpointa se on, kun keskität KYC-tiedot turvallisesti yhteen järjestelmään. Silloin pystyt vastaamaan GDPR:n, rahanpesulain ja toimialasi sääntelyyn yhtä aikaa.

Käytä työaikasi viisaasti

Kun Netvisor KYC selvitti, miten hyvin ilmoitusvelvolliset yritykset tuntevat rahanpesulakia, kyselyyn vastanneista yrityksistä 63 % ilmoitti noudattavansa lakia täydellisesti. Kuitenkin tarkemmin asiaa kysyttäessä tehostettu KYC-prosessi löytyi alle kolmannekselta vastaajista. 

Korkean riskin asiakkaiden taustojen selvittäminen voi tuntua työläältä. Siihen saa onneksi paljon apua automaatiosta. Ja koko asiakaskuntaa koskeva, tavanomainen KYC-prosessi kannattaa tietysti virittää niin tehokkaaksi kuin mahdollista, jotta osaat kohdentaa tehostetun tuntemisen juuri sinne, missä sitä tarvitaan.

Netvisor KYC on markkinoiden kattavin KYC-palvelu. Meidän tavoitteemme on tehdä rahanpesulain noudattamisesta helppoa ja nopeaa - sinulle ja asiakkaallesi.