Tietojenvaihto rahanpesun ja terrorismin rahoittamisen estämisessä – mitä artikla 75 tuo mukanaan?

Digitalisaation ja kansainvälistymisen megatrendit heijastuvat edellä mainittuihin velvoitteisiin. Pitkät transaktioketjut, siirtojen ja maksujen nopeus, yritysten monimutkaiset omistusrakenteet sekä rajat ylittävä taloudellinen toiminta hankaloittavat kokonaiskuvan muodostamista ja tilanteen arvioimista.

Olennainen syy hajaantuneelle kokonaiskuvalle on finanssisektorin toimijoiden operointi omissa siiloissaan, jossa ne tarkastelevat asiakkaitaan ja transaktioita ainoastaan sen tiedon varassa, mikä niillä itsellään juuri sillä hetkellä on. Tietoja muiden samassa tilanteessa olevien finanssilaitosten ja pankkien kanssa ei juuri vaihdeta, mikä ei johdu pelkästään tahdon puutteesta, vaan myös lainsäädännöllisistä epäselvyyksistä.

Rahanpesuasetus säätelee laajasti tietojenvaihtoa ensimmäisen kerran

Kesäkuussa 2024 osana EU:n rahanpesupakettia julkaistu ja kolmen vuoden siirtymäajalla (muutamia poikkeuksia lukuun ottamatta) sovellettava uusi EU:n asetus rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen (AMLR, Anti-Money Laundering Regulation) säätää nyt ensimmäistä kertaa kokonaisuutena myös ilmoitusvelvollisten välisestä tietojenvaihdosta. Aihetta käsitellään erityisesti asetuksen artiklassa 75.

Artikla 75 antaa mahdollisuuden tietojenvaihtoon edellytyksellä, että finanssilaitokset ja pankit, jotka tietoa aikovat tulla vaihtamaan, muodostavat välilleen tietojenvaihtokumppanuuden. Tietojenvaihdon tulee kuitenkin perustua aitoon tarpeeseen. Asiakkaiden ja heidän transaktioidensa tietoja ei saa vaihtaa ilman asianmukaisia perusteita.

Tietojenvaihtokumppanuuksille on olemassa tarkempiakin reunaehtoja. Valvontaviranomaiselle, Suomen kontekstissa Finanssivalvonnalle, on ilmoitettava kumppanuuteen osallistumisesta. Kumppanuuden osapuolten on laadittava GDPR:n mukainen tietosuojan vaikutusarviointi (DPIA, Data Protection Impact Assessment) sekä varmistettava, että sisäiset toimintaperiaatteet ja menettelytavat tukevat vaatimustenmukaista tietojenvaihtoa. Osana tätä tietojenvaihtokumppaneiden tulee määrittää asianmukaiset roolit ja vastuut sekä tietojen rajaamisen periaatteet ja suorittaa arviointi riskillisistä tilanteista sekä tietojen jakamisen laajuudesta.

Saatuaan ilmoituksen kumppanuuden järjestämisestä Finanssivalvonnan on tarkastettava, että kumppanuuden mekanismit ovat linjassa artiklan 75 vaatimusten kanssa. Tässä yhteydessä myös toisten valvontaviranomaisten, tietosuojasta vastaavien viranomaisten sekä rahanpesun selvittelykeskuksen konsultointi on mahdollista. Lisäksi valvontaviranomaisten edellyttäessä tietojenvaihtokumppanuuden osapuolten on teetettävä riippumaton tarkastus tietojenvaihdon toiminnasta.

Asetus säätää tarkasti myös siitä, millaista tietoa saa vaihtaa. Tämä koskee niin tietojen luonnetta (esimerkiksi riskillisen asiakkaan tuntemistiedot, tiedot liiketoimista ja asiakkaaseen liittyvistä riskitekijöistä) kuin vaihtamisen syytä (tietoja voi vaihtaa, jos se on välttämätöntä rahanpesuasetuksen edellyttämän ilmoitusvelvollisuuden täyttämiseksi, riskiperusteisen arvion laatimiseksi tai epäilyttävän toiminnan selvittämiseksi).

Lisäksi artiklassa säädellään itse tietojen käsittelyä. Kaikki suoritettu tiedonvaihto tulee kirjata, eivätkä osapuolet voi omassa riskiperusteisessa arvioinnissaan nojata pelkästään kumppanuuden puitteissa hankittuihin tietoihin. Mikäli tietojenvaihdon kautta hankittu riskiperusteinen ymmärrys asiakassuhteesta tai liiketoimesta johtaa kyseisen asiakkuuden irtisanomiseen tai liiketoimen suorittamatta jättämiseen, tulee tällaiset tiedot arvioida erityisen huolellisesti ja kirjata niiden yhteyteen maininta kumppanuuden kautta hankitusta tiedosta. Tekoälyn ja algoritmien tuottamaa tietoa voidaan jakaa vain, jos prosessit ovat olleet ihmisen valvonnassa.

Artiklan 75 pääkohdat:

1. Keskinäinen tietojenvaihto finanssisektorin toimijoille ja muille ilmoitusvelvollisille on mahdollista tietojenvaihtokumppanuuden kautta.

2. Tietojenvaihto on tarkasti säädeltyä tietojen luonteen, laajuuden, tarkoituksen ja käsittelyn osalta. Organisaatioiden on laadittava ennakoivasti vaikutusarvio, toimintaperiaatteet ja menettelytavat tietojenvaihtoa varten.

3. Valvontaviranomaisella on laaja oikeus varmistaa, että kumppanuuden osapuolet toimivat artiklan 75 vaatimalla tavalla, mukaan lukien muiden viranomaisten konsultointi ja valta määrätä riippumattoman arvion suorittamisesta.

Aiemmat haasteet

Suomessa on selvitetty jo aiemmin rahanpesun estämiseen liittyvän tietojenvaihdon ongelmallisuuksia. Valtiovarainministeriön asettama työryhmä julkaisi 2023 muistion toimintasuunnitelmasta tietojenvaihdon parantamiseksi kansallisella tasolla. Vaikka muistion pääpaino oli eri viranomaisten keskinäisessä sekä viranomaisten ja ilmoitusvelvollisten välisessä toiminnassa, käsiteltiin siinä myös ilmoitusvelvollisten välistä tietojenvaihtoa.

Työryhmä arvioi, että tuolloin vielä ehdotuksen tasolla olleen rahanpesuasetuksen säädökset saattaisivat olla päällekkäisiä mahdollisen kansalliseen lainsäädäntöön tehtävien muutosten kanssa. Siksi työryhmä päätti, että lainsäädännöllisiä muutoksia ilmoitusvelvollisten väliseen tietojenvaihtoon, etenkin tehtyjä rahanpesuilmoituksia koskien, ei edistetä ennen rahanpesuasetuksen ja rahanpesupaketin kansallista täytäntöönpanoa. Tehtyihin rahanpesuilmoituksiin liittyvä tietojen vaihtaminen on toistaiseksi ollut ainoa tiedonvaihtoa käsittelevä kohta kansallisessa rahanpesulainsäädännössä.

Samassa yhteydessä todettiin, että jo olemassa olevaan kansalliseen sääntelyyn on liittynyt epäselvyyksiä. Suomen nykyisen rahanpesulain 4 luvun 4 §:n osalta epäselvyys on liittynyt rahanpesuilmoituksia koskevaan tietojenvaihtoon, erityisesti eri ammattiryhmiin kuuluvien ilmoitusvelvollisten välillä. Lisäksi lain ilmaisu jättää tulkinnanvaraa, tarkoittaako pankkien mahdollisuus luovuttaa tietoa toiselle liiketoimessa osapuolena olevalle pankille rahanpesuilmoituksesta ”joka liittyy siihen asiakkaaseen ja liiketoimeen, jota ilmoitus koskee” saman liiketoimen eri osapuolia vai tilannetta, jossa asiakas on asiakkaana kahdessa eri pankissa. Jälkimmäisen tulkinnan mukaan tietojenvaihto on mahdotonta, koska pankkisalaisuus estää todentamasta, onko asiakas myös toisen pankin asiakas.

Muu laajempi sääntely on myös aiheuttanut ilmoitusvelvollisten piirissä epäselvyyttä ja tulkinnanvaraisuutta. Pankkisalaisuus, tietosuoja ja kilpailulliset näkökulmat on aiemmin koettu merkittävänä esteenä ja rajoitteena tietojenvaihdolle.

Mitä toimijoiden tulee huomioida tietojenvaihdon järjestämisessä

Vaikka tietojenvaihto tulee rahanpesuasetuksen nojalla olemaan mahdollista, operatiivisen ja vaatimustenmukaisen järjestelyn toteuttaminen vaatii panostuksia. Nyt kun asiasta on säädetty tyhjentävämmin kuin koskaan aiemmin, tulee ilmoitusvelvollisilla olemaan mahdollisuus tietojenvaihtoon keskenään. Käytännössä kumppanuuden luominen vaatii kuitenkin sekä lainsäädännöllisten reunaehtojen implementointia että operatiivisen toiminnan ja riskienhallinnan mukauttamista. Tietojenvaihdon järjestäminen vaatii finanssisektorilta uudenlaista ajattelutapaa ja toimintakehikkoa, jossa epäilyttävän toiminnan tunnistaminen, selvittäminen ja raportointi ei perustu enää pelkästään organisaation omiin tai julkisten rekisterien tietoihin, vaan myös yhteistyöhön ja kumppanuuteen muiden samassa tilanteessa olevien finanssilaitosten ja pankkien kanssa.

Finanssivalvonta tulee viranomaisena olemaan keskeisessä roolissa tietojenvaihtokumppanuuksissa. Yhteistyö valvontaviranomaisten kanssa tulee tiivistymään ja molemminpuolinen kommunikaatio valvojien kanssa tukee ilmoitusvelvollisen organisaation tehokasta toimintaa. Valvojayhteistyö on ollut jo pitkään yksi rahanpesun ja terrorismin rahoittamisen estämisen kulmakiviä, ja sen merkitys tulee kasvamaan entisestään.

Finanssisektorin toimijoiden tulee jatkossa ottaa huomioon useita seikkoja järjestäessään tietojenvaihtokumppanuutta – tietosuojan vaikutustenarvio, sisäiset toimintaperiaatteet ja menettelytavat sekä tarvittaessa riippumattoman arvion teettäminen kuuluvat suoriin asetuksen vaatimuksiin. Käytännöllisinä asioina tulee lisäksi huomioida tietojenvaihdon mahdollistavan teknologiatoimittajan valinta ja järjestelmien integraatio, riskienhallinnan viitekehyksien ja riskinottohalukkuuden määrittäminen sekä sisäisen valvonnan ja vaatimustenmukaisuuden seurannan järjestäminen.

Miten Deloitte voi auttaa?

Deloitte tukee finanssisektorin asiakkaitaan kokonaisvaltaisilla ratkaisuilla, jotka kattavat vaatimustenmukaisuuteen vastaamisen sekä riskienhallintatoimintojen kyvykkyyksien vahvistamisen ja arvioinnin. Voimme koordinoida ja fasilitoida laajempia finanssisektorin ilmoitusvelvollisten ja viranomaisten välisiä keskusteluita ja työpajoja pohtiaksemme mahdollisia operatiivisia ratkaisuja tietojenvaihdon toteutukseen. Deloitten kattava kokemus aiheesta ja kansainvälinen verkosto edesauttavat innovatiivisten ja toteuttamiskelpoisten ratkaisujen löytämisessä. Jatkamme mielellämme keskustelua tietojenvaihdosta ja siihen liittyvistä mahdollisuuksista ja ratkaisuistamme.

Lähteet:

Euroopan parlamentin ja neuvoston asetus (EU) 2024/1624 rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen.

Valtiovarainministeriö (2023), Tietojenvaihdon parantaminen kansallisessa rahanpesun ja terrorismin rahoittamisen estämistoiminnassa. Työryhmämuistio. Valtiovarainministeriön julkaisuja 2023:53.

Deloitte (2024), Article 75: A new opportunity to fight crime more effectively. October 2024.

Euroopan unionin neuvosto (2024), Rahanpesun torjunta: neuvostolta sääntöpaketti. Lehdistötiedote. https://www.consilium.europa.eu/fi/press/press-releases/2024/05/30/anti-money-laundering-council-adopts-package-of-rules/.

Author: Juuso Lastunen, Senior Consultant, Forensic & Financial Crime