Dat geldt zeker ook voor Nederlandse fintechs. Zij krijgen namelijk te maken met een toezichthouder die een strikte of zelfs striktere interpretatie van EU-regelgeving hanteert, waardoor verschillen met andere EU-landen kunnen ontstaan. Vergeleken met het wettelijk kader buiten de EU kunnen de verschillen nog veel groter zijn. Nog niet gewend aan de rol van poortwachter, bestaat een belangrijk deel van de nieuwe uitdagingen uit het beheersen van integriteitsrisico’s. En niet de integriteit van de softwareoplossing, maar van de bedrijfsvoering.
Samen met RiskQuest zullen wij in een serie van drie artikelen een aantal onderwerpen onder de loep nemen die relevant zijn voor betaaldienstverleners. Wij doen dit vanuit onze specifieke expertise op het gebied van regelgeving (Projective Group) en kwantitatieve risico management modellen (RiskQuest). In dit eerste artikel stippen Remco Voogt, consultant bij Projective Group en Tabor Smeets van RiskQuest een aantal specifieke uitdagingen aan waar fintechs tegenaan kunnen lopen wanneer ze te maken krijgen met de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Sanctiewet 1977 (SW).
Inhoudsopgave
Klantonderzoek en screening
Belangrijke thema’s waar de beleidsbepalers van deze fintechs in de praktijk mee te maken krijgen, zijn het klantonderzoek op grond van de Wwft en screenen in het kader van de Sanctiewet.
Het klantonderzoek, zoals voorgeschreven door de Wwft, is erop gericht om te achterhalen met wie men zakendoet en om de daarmee gepaard gaande risico’s in te kunnen schatten. Waar dit voor een particulier met een betaalrekening betrekkelijk snel helder is, kunnen potentiële afnemers (merchants) van betaaldiensten soms behoorlijk ingewikkeld in elkaar zitten. Enkele vragen die hierbij naar boven komen:
- Hoe link je de URL van de webshop aan de entiteit die de merchant agreement ondertekent?
- Heb je te maken met een groep van websites die opereren onder één enkele entiteit of zijn het allemaal verschillende juridische entiteiten?
- Is het een ‘white label oplossing’ voor kleine individuele online verkopers of is het een centrale organisatie die zelf kleine webshops opzet?
- Hoe is een online platform ingericht, namens wie treedt het platform op en hoe lopen de geldstromen?
Ten slotte hebben webshops weinig ‘brick and mortar’ nodig om te kunnen opereren. Hierdoor kan het vestigingsadres al snel tot een zogenoemd ‘Panama Paper’ alert leiden. Kortom, een technische oplossing voor een optimale digitale klantervaring laat zich soms lastig vertalen naar een klantdossier dat, volgens de toezichthouder, aan de eisen van artikel 3 Wwft voldoet.
Hoog risico factoren
Hoog risico factoren als grensoverschrijdende activiteiten en non face-to-face dienstverlening, dienen in een onlinewereld anders gewaardeerd te worden. Een betaalinstelling gevestigd in Nederland die 200+ alternative payment methods wereldwijd aanbiedt, heeft als business propositie het faciliteren van (grensoverschrijdende) digitale betalingen. Een dergelijke instelling is daarop ingericht en kan de risico factor ‘grensoverschrijdende dienstverlening’ dus anders mee laten wegen in de Systematische Integriteitsrisicoanalyse (SIRA).
Voogt: ‘’Webshops die producten (zeker digitale) verkopen, doen dat over de landsgrenzen heen. Het is voor een aanbieder van alternative payment methods dus veel minder ongebruikelijk om buitenlandse klanten te hebben dan voor aanbieders van retail betaalrekeningen of vermogensbeheer. De ervaring leert dat dit bij het beoordelen van een SIRA en/of AML/CDD beleid niet altijd wordt (h)erkend.’’
Doel en aard van de relatie en herkomst van middelen
De nadruk van de toezichthouder op het vastleggen van het doel en de aard van de relatie en bron van middelen, kan ook leiden tot een negatieve klantervaring; de nekslag voor iedere online dienstverlener.
‘’Het doel en de aard van de relatie ligt bij een betaalinstelling vrij voor de hand,’’ vertelt Voogt. ‘’Een webshop wil een aantal verschillende betaalmethoden aan kunnen bieden aan online shoppers. Daarvoor klopt zij aan bij een betaalinstelling, die het verwerken van online betalingen mogelijk kan maken. Veel andere mogelijkheden zijn er niet.”
“Onderzoek naar herkomst van de middelen dient zo nodig plaats te vinden. Dit is voor een betaalinstelling met een webshop als klant eveneens een bijzondere verplichting. De ‘middelen’ van de webshop zijn namelijk de middelen die gegenereerd worden door online shoppers van de webshop. Het kan niet zo zijn dat van een betaalinstelling verwacht wordt dat ze onderzoek doet naar de herkomst van de middelen van de online shopper. Dat is namelijk een willekeurige consument waar de betaalinstelling geen enkele relatie mee heeft. Het vaststellen van de plausibiliteit hiervan met behulp van onafhankelijke, betrouwbare bronnen, lijkt dus weinig toe te voegen.’’
Transactieprofiel opstellen en monitoren
Wat wel belangrijk is, is het vaststellen van het transactieprofiel van een webwinkel en het monitoren daarvan op afwijkingen. Webwinkels zijn bij uitstek flexibel in de dienstverlening en specifieke risico’s zoals transactie laundering (transacties worden verwerkt in strijd met de afspraken met de betaaldienstverlener) en fraude (producten worden niet geleverd of bestaan soms helemaal niet) liggen op de loer.
Smeets: “Geautomatiseerde monitoring (bijvoorbeeld met behulp van AI-technieken) kan bij uitstek van toegevoegde waarde zijn voor de veelheid aan merchants die bediend worden en de grote hoeveelheid transacties die betaaldienstverleners verwerken.
Door gebruik te maken van geautomatiseerde tools, wordt de betaaldienstverlener werk uit handen genomen en kan deze zich voor het screenen van de transacties focussen op die transacties die door de tool als potentieel frauduleus worden geoormerkt.”
Screening tegen sanctielijsten
De Regeling Toezicht Sanctiewet 1977 (Rtsw) schrijft voor dat instellingen screenen of relaties voorkomen op één of meerdere sanctielijsten. Bij een transactie dienen volgens de Leidraad Wwft en SW in ieder geval de opdrachtgever en de begunstigde gescreend te worden.
Voogt: ‘’Iedereen die wel eens online een product heeft gekocht weet dat niet voor alle producten evenveel informatie van de koper wordt gevraagd. Om een creditcard transactie af te kunnen wikkelen is naam en geboortedatum niet vereist. Dat betekent dat de gegevens om bepaalde checks uit te kunnen voeren soms ontbreken. Anders dan bij het SWIFT verkeer worden de gegevens van de opdrachtgever niet verplicht meegegeven aan de betaalinstelling bij het afwikkelen van een transactie. Dat maakt het screenen van relaties betrokken bij een transactie soms een ineffectief proces waarbij het lastig is om vast te stellen of het een echte ‘hit’ is.’’
Smeets: “Wanneer je historische data omtrent creditcard gegevens wil gebruiken om hier een model op te schatten, schieten traditionele modelleertechnieken soms tekort. Immers, de doelvariabele, of iets daadwerkelijk een frauduleuze transactie was, ontbreekt vaak. Unsupervised machine learning technieken kunnen hierbij uitkomst bieden.”
Meer weten?
Het kan een hele uitdaging zijn voor een betaalinstelling om te voldoen aan de Wwft. Projective Group kan je helpen om de Wwft vereisten adequaat te implementeren en te vertalen naar uw dagelijkse praktijk. Om processen efficiënter te maken, kan RiskQuest je helpen bij het bouwen van adequate modellen voor geautomatiseerde monitoring. RiskQuest biedt ook een tool om klanten en kredietnemers te screenen op basis van transactie data, de RiskQuest Navigator.
Meer weten? Neem dan contact met ons op voor een gratis adviesgesprek.
