In Nederland is de versnippering rondom de private misdaadbestrijding (ook bekend als ‘witwasbestrijding’ en de bestrijding van terrorismefinanciering) enorm. Waar een klein land klein in kan zijn… Naast de wet en de formele uitvoeringsregels produceren overheidstoezichthouders zoals DNB en AFM allerlei documenten met aanwijzingen, toelichting en soms ook aanvullende regels.

De NVB Standaarden
De Nederlandse banken hebben nu ook een duit in het zakje gedaan, door eigen ‘standaarden’ vast te stellen (aankondiging). Opvallend is dat die standaarden niet in het Nederlands zijn. Alleen een document getiteld ‘extra informatie’ is dat wel.
Het maakt duidelijk dat de standaarden voor de Europese bankentoezichthouder en de nationale toezichthouder DNB bestemd zijn. Het geeft ook aan dat de banken geen belangstelling hebben voor de klanten die consument zijn of tot het midden- en kleinbedrijf behoren.

Waar zijn ze voor?
In de Nederlandstalige toelichting wordt gezegd dat de standaarden:

heldere uitgangspunten [bieden] voor het risicogebaseerd toepassen van de open normen in de Wwft in het klantonderzoek door banken. Met als doel: meer consistentie en risicorelevantie in het klantonderzoek. Banken willen een effectieve en efficiënte poortwachter zijn. Met klantonderzoek dat zo min mogelijk impact heeft op bonafide klanten, maar dat het criminelen moeilijk maakt om het financiële systeem te misbruiken voor onder meer witwassen.

Dat zijn de vaagheden die voor de hele private misdaadbestrijding zouden moeten gelden, maar waarvan in de praktijk niets terecht komt.
De NVB beweert in de toelichting dat duidelijkheid zou worden gecreëerd:

De standaarden geven antwoord op de vraag: wat is een adequate uitvoering van het wettelijk verplichte klantonderzoek? Wat moeten banken weten en vastleggen over klanten en risico’s? De standaarden zijn opgesteld voor banken. Maar ze geven ook andere partijen duidelijkheid. Bijvoorbeeld consumenten(organisaties) en medewerkers in bepaalde sectoren. De standaarden geven ook andere poortwachters meer inzicht in welke informatie banken nodig hebben voor hun wettelijk verplichte onderzoek naar klanten en transacties.

Raadpleging van de standaarden leert me dat deze niet meer dan een handleiding voor naleving van de Wwft zijn en dat de gewenste duidelijkheid (zie het citaat hierboven) niet wordt gegeven.

Het woord ‘standaard’ wordt ten onrechte aan de documenten gekoppeld.

Expected Transaction Profile-standaard
Banken hebben wonderbaarlijke competenties, aangezien zij het Expected Transaction Profile (ETP) van iedere klant kunnen vaststellen, zo volgt uit de ETP standaard. In de standaard wordt verondersteld dat klanten in groepen met dezelfde kenmerken kunnen worden ingedeeld (peer groups) en dat het verwachte transactie profiel daarop kan worden gebaseerd.

Het document ziet er uit als een basishandleiding transactiemonitoring.

Hoe de praktijk van ETP precies werkt, wordt niet duidelijk. Praktijkvragen rondom transactiemonitoring zijn bijvoorbeeld:

• Is er voldoende kennis van ondernemingsbranches en organisatietypen en de verschillen binnen branches en typen om te kunnen bepalen wat gebruikelijk gedrag is?
• Is er voldoende kennis over burgers, bijvoorbeeld over mensen met banden met hoogrisicolanden (wordt verondersteld in “Example: a client periodically performs transactions ranging from e.g. €50-500 per transaction to an EC high risk third country to support family and behaves in line with the client group’s ETP.“)
• Is er wetenschappelijke basis om het transactieprofiel te baseren op leeftijdsgroep, verblijfplaats, omvang vermogen, type product en lengte van de cliëntenrelatie? Of op bedrijfssector, bedrijfsomvang en juridische vorm? Is een stichting riskanter dan een bv en zo ja, waar is dat op gebaseerd?
• Wat zijn de risico’s waar de standaard over spreekt?
• Wanneer is iets een ‘afwijking’ (deviation)? Is het een afwijking als een consument een erfenis krijgt (want de meeste mensen krijgen niet jaarlijks een erfenis)?
• Hoeveel fouten komen uit de transactiemonitoringsystemen en waardoor worden die fouten veroorzaakt?
• Welke menselijke fouten worden gemaakt en waar komt dat door?

Ook de voorbeelden voegen niets toe:

• Voorbeeld 2a gaat over een cliënt is ingedeeld in de groep ‘jongeren’, maar wat de ETP dan inhoudt wordt niet gezegd.
• Het tweede voorbeeld (2b) gaat over een supermarkt, waarbij contanten altijd een punt van zorg voor de bank zijn. De vraag is of alle supermarkten op dat punt hetzelfde zijn. Verder bevat het voorbeeld geen concrete informatie.
• In het derde voorbeeld (2c) zou een ouder van een PEP aan het ‘smurfen’ zijn (kleine transacties beneden een bepaalde drempel). Er wordt niet verteld of de PEP een  buitenlander of een Nederlander is en ook niet welke soort PEP het is (een lid van de Tweede Kamer? een burgemeester?). Wat houdt het smurfen in? Komt het veel voor dat Nederlandse leden van de Tweede Kamer crimineel gedrag vertonen en dat hun ouders daar aan meewerken? Het voorbeeld geeft geen enkele duidelijkheid.

Op een aparte pagina wordt ingegaan op de bewijslevering door de bank dat er goed wordt gehandeld (‘Criteria to demonstrate effective implementation‘). Ook deze pagina heeft het karakter van een basishandleiding en geeft geen helderheid.
Ik ben heel benieuwd of onafhankelijk onderzoek wordt gedaan naar de vraag of het systeem van transactiemonitoring wel werkt.

Deze standaard voldoet niet aan wat ik onder het kopje ‘Waar zijn ze voor?’ heb geciteerd.

De ubo-standaarden
De NVB heeft twee ubo-standaarden uitgebracht, één over de ubo identificatie en verificatie en een tweede over de pseudo ubo.

Ubo-identificatie-standaard
Opvallend is dat de banken er in de ubo-identificatie-standaard er van uitgaan dat zij op het ubo-register mogen afgaan, bij vaststelling van de identiteit van de ubo (anders dan tekst van de wet en de parlementaire geschiedenis). In hoogrisicosituaties zou de ubo kunnen bepaald op basis van een verklaring door de cliënt met aanvullende informatie, waarbij als voorbeelden het aandeelhoudersregister, de trust akte, een verklaring door een derde en jaarrekeningen worden genoemd (paragraaf 1.1), wat mij wat mager lijkt.
Bij de verificatie van de identiteit is vermeld dat eveneens van het ubo-register mag worden uitgegaan. In hoogrisico situaties zou wel een kopie van het identiteitsdocument moeten worden gevraagd, waarbij niet wordt uitgelegd wat daarvan de misdaadbestrijdingsrelevantie is (anders dan dat DNB het leuk vindt).
Interessant is dat hier voorbeelden worden gegeven van situaties met laag of neutraal risico:

– eenvoudige bedrijfsstructuren, bijv. tot maximaal twee lagen tussen cliënt en ubo;
– cliënten met één of twee aandeelhouders;
– structuren met alleen Nederlandse entiteiten;
– cliënten zonder risicovolle activiteiten of andere risicovolle indicatoren.

Dat is wel een heel beperkte opvatting van laag of neutraal risico, waarvan de vraag is of het wel klopt. Overigens wordt in deze standaard niet u uitgelegd wat hoogrisicosectoren zijn (is in mijn beleving bijna alles) en wat ‘complexe’ producten zijn. Hoe ruim het begrip hoogrisicolanden wordt genomen wordt ook niet duidelijk. Nog enkele aantekeningen:

• Langer bestaande ondernemingsstructuren kunnen door allerlei oorzaken ingewikkeld worden (bijvoorbeeld door fusie en overname), zijn zij dan toch allemaal hoogrisico?
• Twee voorbeelden bevatten het element dat eigendom of criminele opbrengsten worden verhuld, hoe weet je dat dat geval is?
• In een voorbeeld wordt een Belgische betaaldienstverlener als neutraal risico genoemd, terwijl voor zover ik weet alle betaaldienstverleners volgens DNB en EBA hoog risico zijn.

Het hoogrisicovoorbeeld geeft niet aan waarom de situatie hoog risico is. Is dat omdat het een telecombedrijf is? Of omdat de directe aandeelhouders in de Verenigde Arabische Emiraten (VAE) en Zuid-Afrika zitten? Welke betekenis heeft het dat de helft van de aandelen van de Zuid-Afrikaanse moeder aan de beurs zijn genoteerd en de andere helft berusten bij een familie trust? En welke betekenis heeft dat de aandelen in de VAE-entiteit worden gehouden door een VAE rechtspersoon, een Chinese rechtspersoon en een rechtspersoon in Jordanië? Doordat veel verschillende landen en aandeelhouders betrokken zijn, is het natrekken van al die partijen lastig. Overigens wordt ook geen antwoord gegeven op de vraag wie de ubo is. Zo op het eerste gezicht lijken er geen natuurlijke personen met een economisch belang van meer dan 25% te zijn. Is dan het bestuur van de klant ubo? Aan dit voorbeeld heeft niemand iets.

Ook deze standaard is niet meer dan een basishandleiding die voldoet aan de pretenties die ik eerder heb genoemd.

Pseudo-ubo standaard
Datzelfde kan van de pseudo-ubo standaard worden gezegd, waarin opvalt dat het achterhaalde ‘aanwijzen’ van de pseudo-ubo voorkomt (‘designating a member of senior management as pseudo-UBO‘). Er wordt niets aangewezen. Op grond van de Nederlandse regelgeving zijn alle statutair bestuurders pseudo-ubo (als er geen ‘gewone’ ubo is). Dus ‘designating risk relevant directors‘ is in strijd met de Nederlandse regels.

Vreemde tekst over stichtingen en verenigingen
Over stichtingen en verenigingen wordt de vreemde opmerking gemaakt dat bij grote besturen zou voorkomen dat “feitelijke zeggenschap kan worden vastgesteld via statuten“. Hier begrijp ik helemaal niets van. Het statutaire bestuur is het hoogste gezag in deze rechtspersonen en verantwoordelijk voor de goede gang van zaken. Op zijn hoogst kunnen er mensen zijn die binnen de kaders van de statuten verantwoordelijk zijn voor dagelijks bestuur, maar ik heb nergens gezien dat alleen dagelijks bestuurders ubo zijn van stichting en vereniging. Ik ben heel benieuwd waar de NVB dit vandaan haalt.

Kerkgenootschappen
Kerkgenootschappen zijn een verhaal apart, of de paragraaf daarover aansluit bij de Nederlandse uitvoeringsregels heb ik niet nagekeken.

Kritische noot
Op de pagina over de impact van de pseudo-ubo regels, plaatst de NVB een kritische noot:

For banks the broad identification and verification of senior management as UBO, causes significant administrative efforts without being risk relevant.
(…) The impact is notably not proportional for associations, foundations and religious organisations that usually have large boards.

Deze passage daarna begrijp ik niet:

Outreach is simplified and more targeted when not all board members but only the statutory directors need to be identified as pseudo-UBO.

Alle board members zijn toch statutory director? Ik ben benieuwd of een bankier mij kan uitleggen wat hier wordt bedoeld.

Hoogrisicolanden-standaard
Er wordt gesproken over EDD measures (verscherpt cliëntenonderzoek) for EC high risk third countries (door de Europese Commissie aangewezen hoogrisicolanden). Dergelijk hoogrisicolanden worden afgekort tot ‘EC HRTC’. Op de huidige lijst staan onder meer Gibraltar, de VAE en Zuid Afrika.
Op grond van artikel 9 Wwft moet verscherpt cliëntenonderzoek plaats vinden inzake:

• transacties,
• zakelijke relaties en
• correspondentbankrelaties

gerelateerd aan EC HRTC. De grote vraag is wanneer transacties en relaties ‘gerelateerd’ zijn. Op die essentiële vraag wordt geen antwoord gegeven.

Overigens vraag ik me af of Nederlandse banken dergelijke cliënten wel bedienen, aangezien het cliëntenonderzoek zeer kostbaar is. De praktijk leert dat banken proberen afscheid te nemen van iedereen die teveel werk oplevert.

Als het verscherpte cliëntenonderzoek moet plaats vinden op deze grond, moeten er extra maatregelen worden genomen, die meer van hetzelfde zijn, zie de pagina over EDD-measures.

Bij de voorbeelden zit een voorbeeld over een Nederlander die in een een EC HRTC (bijvoorbeeld Gibraltar of Zuid Afrika) op vakantie is en een andere Nederlander die familie in een EC HRTC (bijvoorbeeld Syrië) ondersteunt.

Tot slot
Het is teleurstellend dat de NVB met de standaarden niet de beloofde helderheid brengt. De versnippering van de informatie over meerdere losse documenten is onhandig.
Het zou beter zijn als NVB een handboek zou uitbrengen dat één document omvat en dat duidelijk aangeeft dat het een korte Wwft-handleiding voor het personeel is, waarmee ook aan EBA en DNB uitleg wordt gegeven over de aanpak.

Het verschaffen van helderheid aan klanten is een verhaal apart.

Aanvulling 28 november 2023
De NVB gaat vrolijk verder met het produceren van handleidingen. Zie Meer duidelijkheid voor cryptodienstverleners bij klantonderzoek door banken, dat verwijst naar de nieuwste handleidingen: