Kenmerkend voor de witwasbestrijding is dat er veel geheim is en dat de door de wetgever bedachte concepten niet serieus worden getoetst.
In het rapport van DNB dat ik eerder aankondigde komen de nodige elementen voor (ook bekend uit publicaties van andere toezichthouders), die vragen oproepen en interessant kunnen zijn voor onafhankelijk wetenschappelijk onderzoek.
Alles is geheim en er wordt geen maatschappelijke verantwoording afgelegd
Die geheimhouding in de witwasbestrijding leidt er toe dat de klant er niet achter komt welk risicoprofiel de bank aan hem/haar heeft toegekend. Eveneens is geheim op welke manier banken uit transacties ‘signalen’ van criminaliteit (‘witwassen’) halen.
In de witwasbestrijding wordt van alles van de witwasbestrijdingsplichtigen verwacht, zoals het opstellen van risicoanalyses, waarbij de vraag is of alle witwasbestrijdingsplichtigen dat kunnen en wat die analyses nu eigenlijk voorstellen.
Er worden wel wetenschappers bij de witwasbestrijding betrokken, maar vaak zijn dat hofleveranciers die voor hun omzet van de overheid afhankelijk zijn en die zich lenen voor het gewenste verhaal (soms onder vermelding dat de vraagstelling beperkt was).
Vragen over systemen
Interessante onderwerpen voor onafhankelijk wetenschappelijk onderzoek zijn onder meer te vinden in par. 2.1.1 over banken:
kwaliteitsmanagementraamwerken:
- Wat houdt zo’n raamwerk in? Is dit meer dan een mooi uitgeschreven systeem waarmee de toezichthouder tevreden wordt gesteld?
- Kunnen alleen grootbanken dat met hulp van de Amerikaanse internetgiganten of andere dure compliance partijen?
systemen voor toetsing van de kwaliteit van cliënten- en alerthandlingdossiers; vastlegging van het cliëntenonderzoek; periodieke en event driven reviews van cliëntendossiers:
- Leidt de focus op het leveren van bewijs van goed gedrag niet af van het detecteren van criminaliteit?
- Waarop is gebaseerd dat financiële instellingen hun cliënt kunnen ‘kennen’ en een ‘transactieprofiel’ kunnen opstellen nu zij nauwelijks meer fysieke kantoren hebben?
- Waarop is gebaseerd dat financiële instellingen voldoende kennis hebben van sectoren en branches, terwijl van de kant van ondernemingen en organisaties is te horen dat de praktijkkennis en juridische kennis sterk achterblijft. (Ook mijn observatie.)
risicoanalyses die aan het navolgende moeten voldoen: “diepgaande (data) analyses ten aanzien van risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden“:
- Overheden kunnen dit zelf al niet. Kunnen banken dit dan wel, ook al worden ze geholpen door de Amerikaanse internetgiganten?
transactiemonitoringsystemen met alertdefinities en vastgestelde grenswaarden:
- Hoe komen die alertdefinities en grenswaarden tot stand?
- Waarom hebben 95% of meer van die alerts, de signalen, niets met criminaliteit te maken?
- Hoe komt DNB er bij (par. 3.2) dat contant geld per definitie verdacht is en dat het toch mogelijk zou zijn dat legitiem gebruik plaats vindt.
- Waarom zegt DNB niet eerlijk dat contant geld moet worden afgeschaft?
monitoren van cliënten die in een offboarding traject zitten (dat betekent dat de klanten er uit gegooid worden): Uit de praktijk weet ik dat banken zeer slordig met offboarding omgaan, onvoldoende communiceren en de klant laten bungelen. Het is hoog tijd voor onderzoek en analyse van de kwaliteit van dit proces.
- Waarom worden de onboarding en offboarding praktijken van banken niet onafhankelijk geanalyseerd?
In par. 3.1.4 wordt door DNB verondersteld dat witwasbestrijdingsplichtigen voldoende kennis van het internationale fiscale recht zouden hebben om ‘tax abuse’ te onderkennen. Op diverse plaatsen veronderstelt DNB dat de witwasbestrijdingsplichtigen voldoende kennis van het nationale en internationale rechtspersonenrecht en aanverwante juridische thema’s zouden hebben om structuren te analyseren en te beoordelen. Voor zowel fiscaal recht als het nationale en internationale rechtspersonenrecht en aanverwante juridische thema’s geldt dat hier specialistische kennis voor nodig is, die er niet veel is.
Dit roept de nodige vragen op, allereerst de vraag waarop is gebaseerd dat alle witwasbestrijdingsplichtigen:
- voldoende internationale fiscale kennis zouden hebben om tax abuse risico’s te onderkennen?
- voldoende juridische kennis zouden hebben om structuren met rechtspersonen, personenvennootschappen en andere entiteiten te analyseren en te beoordelen?
Aansluitende vragen:
- Betekent dit dat door de gestelde eisen alleen het grootbedrijf in theorie aan dit soort verplichtingen kan voldoen (de praktijk is anders, overigens)?
- Betekent dit dat witwasbestrijdingsplichtigen uit het midden- en kleinbedrijf zullen moeten stoppen?
Vragen over schurkenstaten
In de witwasbestrijding bestaat het concept van hoog-risicolanden (‘schurkenstaten’), waarvan allerlei lijstjes in omloop zijn. Volgens de overheden zouden uiteindelijk belanghebbenden (ubo’s) en rechtspersonen uit schurkenstaten allen per definitie een hoog criminaliteitsrisico zijn, hetzelfde geldt voor transacties uit en naar schurkenstaten.
DNB noemt Israël, Zwitserland, Singapore, China en Turkije hoog-risicolanden (par. 3.1.1), terwijl deze landen niet op de FATF-lijst staan [1].
Het fenomeen schurkenstaten doet veel vragen rijzen, zoals:
- Waarom hanteert DNB een eigen schurkenstatenlijst die afwijkt van die van FATF en de Europese Commissie?
- Hoe zinvol is het om alle ondernemingen die actief zijn in bijvoorbeeld Zwitserland en Turkije als hoog risico op criminaliteit te bestempelen?
- Zorgt het hoog-risicolanden concept er voor dat ontwikkelingslanden worden belemmerd in hun ontwikkeling?
- Waarom is er nog steeds geen database van schurkenstaten, met informatie over wie de kwalificatie heeft toegekend (met begin- en einddatum) en waarop de kwalificatie is gebaseerd?
Vragen over hoog risico sectoren
DNB heeft een eigen lijst van hoog risico sectoren, die niet openbaar is, al zegt DNB dat dit “sectoren [zijn] waarvan algemeen bekend is dat deze potentieel kwetsbaarder zijn voor integriteitsrisico’s“. In het document worden dergelijke sectoren soms genoemd. Een en ander roept vragen op:
- Waarom maakt DNB de eigen lijst van hoog risico sectoren niet openbaar?
- Waarom ontbreekt een gedetailleerde onderbouwing van het vermeende hoge risico op criminaliteit, (zodat witwasbestrijdingsplichtigen daar hun voordeel mee kunnen doen)? Het gaat immers om potentiële kwetsbaarheid.
- Klopt het dat vrijwel alle sectoren in het bedrijfsleven en de not-for-profit als hoog risico worden aangemerkt en zo ja, hoe zinvol is dat? Onder meer beschouwt DNB alle financiële instellingen als hoog risico.
- Welk onafhankelijk wetenschappelijk is er over hoog risico sectoren?
Vragen over ondoorzichtigheid in de betaalketen
DNB signaleert terecht dat de ondoorzichtigheid in de betaalketen toeneemt [2], wat onder meer een gevolg is van de regelgeving die dat bevordert. Die ondoorzichtigheid is ook een risico voor klanten en leidt er toe dat cybercriminelen succesvol klanten van banken benadelen.
De toezichthouder veronderstelt dat banken en betaaldienstverleners in dit ingewikkelde landschap zelf in staat zouden zijn om crimineel geld te detecteren [3]. Dat roept vragen op:
- Waarop is die veronderstelling van DNB gebaseerd?
- Waarom adviseert DNB niet om de betaalketen te vereenvoudigen of anders in te richten?
Het lijkt op ‘over de schutting’ gooien van iets wat de verantwoordelijkheid van de overheid zou moeten zijn, een overheid die het betalingslandschap steeds ingewikkelder en onoverzichtelijker maakt.
Vragen over waar het niet over gaat, zoals veiligheid en het klantenbelang
De witwasbestrijdende overheden hebben weinig belangstelling voor cybersecurity en veiligheid, als het om de klanten van financiële instellingen gaat, terwijl de witwasbestrijding er toe leidt dat er enorme hoeveelheden persoonsgegevens en andere vertrouwelijke klantgegevens door witwasbestrijdingsplichtigen en overheden worden verwerkt en uitgewisseld. Daarbij moet ook worden gedacht aan het meesturen van gegevens bij transacties (Wire Transfer Regulation) [4]. Ook de bescherming van de klant tegen onjuist optreden van witwasbestrijdingsplichtigen krijgt geen aandacht. Vragen:
- Waarom komen cybersecurity en veiligheid bij de witwasbestrijdingsactiviteiten niet voor in het rapport van DNB?
- Waarom besteedt DNB geen aandacht aan het compliance dienstverlenings ecosysteem en de risico’s? Zo is onlangs WorldCheck gehackt en zijn klantgegevens op straat komen te liggen [5].
- De compliance dienstverleners die witwasbestrijdingsplichtigen bedienen zijn niet gereguleerd en worden niet op integriteit getoetst. Waarom niet?
- Waarom besteedt DNB geen aandacht aan de gevolgen voor de klanten van de witwasbestrijdingsactiviteiten financiële instellingen (ondeskundig optreden, zwakke communicatie, enzovoorts)? (Terwijl de ergernis groeit, zoals NVB ook signaleerde.)
Informatiebronnen
DNB veronderstelt dat de media een relevante informatiebron zouden zijn [6], terwijl in sommige landen de media worden beheerst door de overheid en de media als gevolg van het commerciële verdienmodel (net als advertentiebedrijven leven zij van de clicks) geen volledige en ook niet altijd juiste berichtgeving verzorgen. Vraag:
- Waarom wordt er zo’n belang gehecht aan de media terwijl zij hun waakhondfunctie niet goed vervullen?
Te ingewikkelde regelgeving, ontbreken juridische kennis
Opvallend is dat onvoldoende juridische kennis ook bij banken een knelpunt is, zie bijvoorbeeld dat opmerking dat banken soms de sanctiescreening tegen de Nederlandse sanctielijsten over het hoofd zien, screening van ubo’s tegen de sanctielijsten vergeten en dat het opmerken van dual-use goederen te moeilijk is (par. 2.1.2 en 2.1.3).
- Dat doet de vraag rijzen of de regelgeving niet te ingewikkeld is, nu zelfs banken er niet in slagen een en ander goed te implementeren. Door het AML Package zal het alleen maar ingewikkelder worden en nog sneller veranderen (alle AML Package marketing ten spijt).
- Als de grootbanken met hulp van surveillance technologie van de internetgiganten er al niet in slagen de witwasbestrijdingsregels goed na te leven, wat kan er dan verwacht worden van witwasbestrijdingsplichtigen uit het midden- en kleinbedrijf, zoals notarissen en boekhouders? Wat is de reden dat deze regelgeving one-size-fits-all is?
- Met de naleving van de antiwitwasregels zijn hoge kosten gemoeid en de opbrengst is gering. Wat is de reden dat men toch doorgaat met dit systeem?
Dit is nog maar een klein deel van de vragen die over de witwasbestrijdingsconcepten gesteld kunnen worden.
Tot slot
Wanneer gaat de onafhankelijke wetenschap nu eindelijk eens met al deze onderwerpen aan de gang?
Noten
[1] Op de grijze lijst staan momenteel: Bulgarije, Burkina Faso, Democratische Republiek Congo, Filipijnen, Haïti, Jamaica, Jemen, Kameroen, Kenia, Kroatië, Mali, Mozambique, Namibië, Nigeria, Senegal, Syrië, Tanzania, Turkije, Vietnam, Zuid-Afrika en Zuid-Soedan.
[2] Par. 3.1.2: “Een cross sectorale trend is toenemende ondoorzichtigheid in de betaalketen. De betaalketen wordt steeds complexer en voor betrokken financiële instellingen wordt het ingewikkelder om goed zicht te hebben op de volledige transactiestromen die zij faciliteren. Hiervan is bijvoorbeeld sprake wanneer een transactie via verschillende landen, sectoren (correspondent/banken, betaaldienstverleners, crypto aanbieders) en betaalwijzen plaatsvindt.”
[3] Par. 3.1.2: “Voor banken is het belangrijk om goed te kijken naar transacties waarbij ook sprake is van andere hoog risicofactoren zoals transactiestromen van/naar hoog risicolanden of transactiestromen die een sterke en niet direct verklaarbare toename in volume laten zien.” Een gelijksoortige opmerking wordt over betaaldienstverleners gemaakt.
[4]In par. 3.1.2 wordt gemeld: “In dit kader is het tevens belangrijk dat instellingen expliciete aandacht besteden aan de naleving van de Wire Transfer Regulation 2 (WTR 2).“.
[5] Zie dit linkedin-bericht: World-Check Data Leak: Hackers Threaten to Expose Massive Sanctions and Financial Crimes Watchlist. Op de lijsten van Word-Check staan niet alleen criminelen, maar ook niet-criminele burgers. Volgens het bericht zijn gevoelige gegevens ontvreemd: “sensitive information such as names, passport numbers, Social Security numbers, online crypto account identifiers, bank account numbers, and more“.
[6] Zie bijvoorbeeld in par. 3.1: “Deze cross sectorale integriteitsrisico’s in de financiële sector houden veelal verband met actuele thema’s in de politiek, media en bij ketenpartners“.