AML Procedures

Hvitvaskingsrutiner — Drop (ALAI Holding AS)

Dokument: Internrutiner for tiltak mot hvitvasking og terrorfinansiering Hjemmel: Lov om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven, LOV-2018-06-01-23) Virksomhet: ALAI Holding AS, org.nr 932 516 136 Produkt: Drop — betalingsformidling og pengeoverføringer Versjon: 1.0 Dato: 2026-02-12 Godkjent av: Daglig leder / Styre Neste revisjon: 2027-02-12

1. Formål og virkeområde

1.1 Formål

Disse rutinene skal sikre at ALAI Holding AS («Selskapet») gjennom produktet Drop etterlever kravene i hvitvaskingsloven med forskrifter, og bidrar til å forebygge og avdekke hvitvasking og terrorfinansiering.

1.2 Virkeområde

Rutinene gjelder for all virksomhet knyttet til Drop, herunder:

Pengeoverføringer til utlandet (remittance) til 30+ land
QR-baserte betalinger i butikk
Kunderegistrering og -oppfølging
Alle ansatte, styremedlemmer og tredjeparter som utfører oppgaver på vegne av Selskapet

1.3 Forretningsmodell — pass-through

Drop opererer en pass-through-modell under PSD2 (PISP/AISP). Drop holder aldri kundemidler. Alle transaksjoner initieres via Open Banking-grensesnitt mot kundens egen bankkonto. Denne modellen reduserer enkelte risikoer, men endrer ikke de grunnleggende pliktene etter hvitvaskingsloven.

1.4 Regulatorisk klassifisering

Selskapet søker konsesjon som betalingsforetak etter finansforetaksloven, jf. også hvitvaskingsloven §4 første ledd bokstav c (betalingsforetak).

2. Lovgrunnlag og sentrale bestemmelser

Bestemmelse	Innhold
Hvvl. §4	Rapporteringspliktige — betalingsforetak er omfattet
Hvvl. §6	Virksomhetsinnrettet risikovurdering
Hvvl. §§7-8	Rutiner og internkontroll
Hvvl. §§9-18	Kundetiltak (CDD)
Hvvl. §§17-18	Forsterkede kundetiltak (EDD)
Hvvl. §§24-25	Løpende oppfølging
Hvvl. §26	Undersøkelsesplikt
Hvvl. §26 tredje ledd	Rapporteringsplikt til Økokrim/EFE
Hvvl. §30	Oppbevaringsplikt (5 år)
Hvvl. §§36-38	Internkontroll og opplæring
Sanksjonslovgivningen	FN, EU, norske sanksjonslister
PEP-forskriften	Politisk eksponerte personer

3. Virksomhetsinnrettet risikovurdering (§6)

3.1 Krav

Selskapet skal gjennomføre og dokumentere en helhetlig risikovurdering av virksomheten, som identifiserer og vurderer risikoen for hvitvasking og terrorfinansiering. Risikovurderingen oppdateres minst årlig og ved vesentlige endringer.

3.2 Risikokategorier

Risikovurderingen dekker følgende kategorier:

Kundebasert risiko — risikobasert tilnærming basert på kundens adferd, transaksjonsvolum og korridorer
Geografisk risiko — land og korridorer med høyere HV/TF-risiko
Produkt- og tjenestebasert risiko — grensekryssende overføringer, QR-betalinger
Kanal- og leveringsrisiko — digital onboarding, mobilapp

Se eget dokument: risikovurdering-hvitvasking.md

3.3 Risikonivåer

Nivå	Beskrivelse	Tiltak
Lav	Norsk bosatt, norsk BankID, lavrisiko-korridor	Standard kundetiltak (CDD)
Middels	Høyere transaksjonsvolum, middels risiko-korridor	Utvidet overvåking, mulig EDD
Høy	Høyrisiko-korridor, PEP, uvanlig transaksjonsmønster	Forsterkede kundetiltak (EDD)
Uakseptabel	Sanksjonert person/land, bekreftet mistanke	Avvisning eller avvikling av kundeforhold

4. Kundetiltak (KYC/CDD) — §§9-16

4.1 Når kundetiltak skal gjennomføres

Kundetiltak skal gjennomføres ved:

Etablering av kundeforhold (registrering i Drop), jf. §10
Enkeltstående transaksjoner over NOK 10 000 utenfor etablert kundeforhold, jf. §10
Mistanke om hvitvasking eller terrorfinansiering, uavhengig av beløp, jf. §10
Tvil om tidligere innhentede opplysninger, jf. §24

4.2 Standard kundetiltak (CDD)

4.2.1 Fysiske personer (alle kunder)

Følgende opplysninger skal innhentes og verifiseres, jf. §12:

Opplysning	Kilde	Verifisering
Fullt navn	BankID	Automatisk via BankID-integrasjon
Fødselsnummer (11 siffer)	BankID	Automatisk — brukes til alderskontroll (18+) og identifisering
Adresse	Kunde oppgir, sjekkes mot Folkeregisteret	Folkeregisteroppslag
Statsborgerskap	Kunde oppgir	Krysssjekk mot BankID-data
Formål med kundeforholdet	Kunde velger ved registrering	Dokumenteres i kundeprofil

4.2.2 Juridiske personer (merchants)

For merchanter som registrerer seg for QR-betalinger:

Opplysning	Kilde	Verifisering
Foretaksnavn og org.nr	Kunde oppgir	Brønnøysundregistrene
Forretningsadresse	Kunde oppgir	Brønnøysundregistrene
Reelle rettighetshavere	Kunde oppgir	Aksjonærregisteret, egenoppgave
Daglig leder/kontaktperson	Kunde oppgir	BankID-verifisering av kontaktperson
Formål med kundeforholdet	Kunde velger	Dokumenteres

4.2.3 Identitetsbekreftelse

Primær metode: Norsk BankID (nivå «høyt» etter eIDAS)
BankID gir verifisert navn, fødselsnummer og sikrer at kunden er den de utgir seg for
Kunder uten gyldig norsk BankID kan ikke registrere seg i Drop
Minstealder 18 år kontrolleres automatisk basert på fødselsnummer

4.3 Forsterkede kundetiltak (EDD) — §§17-18

Forsterkede tiltak skal gjennomføres når risikoen er vurdert som høy, herunder:

4.3.1 Situasjoner som utløser EDD

Kunder som sender penger til høyrisikoland (jf. EUs liste over høyrisikoland og FATFs gråliste/svarteliste)
Politisk eksponerte personer (PEP), jf. §18
Uvanlige eller mistenkelige transaksjonsmønstre
Kunder med vesentlig høyere transaksjonsvolum enn oppgitt formål tilsier
Kundeforhold der det er vanskelig å verifisere reelle rettighetshavere

4.3.2 EDD-tiltak

Innhenting av tilleggsinformasjon om midlenes opprinnelse
Innhenting av dokumentasjon for formålet med transaksjonen
Hyppigere oppdatering av kundeinformasjon
Økt transaksjonsovervåking (lavere terskelverdier)
Godkjenning av kundeforholdet av hvitvaskingsansvarlig
Risikovurdering dokumenteres i kundeprofilen

4.4 PEP-screening — §18

4.4.1 Hvem er PEP

Politisk eksponerte personer inkluderer:

Statsoverhoder, regjeringsmedlemmer, parlamentsmedlemmer
Høyesterettsdommere, riksrevisorer, sentralbankstyremedlemmer
Ambassadører, militære offiserer av høy rang
Ledere av statsforetak
Nære familiemedlemmer og kjente medarbeidere til ovennevnte

4.4.2 PEP-prosedyre

Screening ved onboarding: Automatisk PEP-sjekk mot anerkjent database (f.eks. Refinitiv World-Check, Dow Jones)
Løpende screening: Automatisk re-screening ved endringer i PEP-lister
Positive treff: Manuell vurdering av hvitvaskingsansvarlig
EDD ved bekreftet PEP: Tilleggsdokumentasjon, godkjenning av daglig leder, hyppigere overvåking

4.5 Sanksjonsscreening

4.5.1 Lister som sjekkes

FNs konsoliderte sanksjonsliste
EUs konsoliderte sanksjonsliste
Norske forskrifter om sanksjoner (UD)
OFAC SDN-listen (for USD-transaksjoner)

4.5.2 Prosedyre

Ved onboarding: Automatisk screening av kundens navn og fødselsdato mot alle sanksjonslister
Ved hver transaksjon: Automatisk screening av mottaker mot sanksjonslister
Positive treff: Transaksjon fryses automatisk. Hvitvaskingsansvarlig varsles.
Bekreftet treff: Transaksjon avvises. Rapportering til Utenriksdepartementet og EFE.
Falske positive: Dokumenteres og godkjennes av hvitvaskingsansvarlig.

5. Løpende oppfølging — §§24-25

5.1 Transaksjonsinformasjon

Alle transaksjoner skal inneholde følgende informasjon, jf. betalingssystemloven og EU-forordning 2015/847:

Avsenders fulle navn, adresse, kontonummer
Mottakers fulle navn, kontonummer/referanse
Beløp og valuta
Tidspunkt
Formål (for beløp over NOK 10 000)

5.2 Transaksjonovervåking

5.2.1 Automatisk overvåking

Selskapet implementerer et automatisert transaksjonsovervåkingssystem som flagger:

Regel	Terskel	Handling
Enkelt-transaksjon over terskel	> NOK 50 000	Manuell gjennomgang
Kumulativt daglig volum	> NOK 100 000	Manuell gjennomgang
Kumulativt månedlig volum	> NOK 500 000	EDD-vurdering
Hyppige transaksjoner til høyrisikoland	> 5/uke til samme korridor	Manuell gjennomgang
Splitting av transaksjoner	Flere transaksjoner like under terskel	Automatisk flagging
Avvik fra kundeprofil	> 200% av oppgitt bruksformål	Manuell gjennomgang
Round-trip-transaksjoner	Penger sendt og mottatt fra samme korridor	Automatisk flagging
Uvanlig adferd	Hurtig endring av mottakerland	Manuell gjennomgang

5.2.2 Manuell gjennomgang

Flaggede transaksjoner gjennomgås av compliance-teamet innen 24 timer
Vurderingen dokumenteres med konklusjon og eventuell oppfølgingshandling
Ved fortsatt mistanke: undersøkelsesplikt, jf. §26

5.3 Oppdatering av kundeinformasjon

Lav risiko: Kundeinformasjon oppdateres hvert 3. år
Middels risiko: Kundeinformasjon oppdateres årlig
Høy risiko: Kundeinformasjon oppdateres hvert halvår
Ved enhver transaksjon: Kontroll av at kundeinformasjon er oppdatert

6. Undersøkelsesplikt og rapportering — §26

6.1 Undersøkelsesplikt

Når det foreligger forhold som gir grunnlag for mistanke om at en transaksjon har tilknytning til hvitvasking eller terrorfinansiering, skal Selskapet:

Gjennomføre nærmere undersøkelser — innhente tilleggsinformasjon om kundens identitet, midlenes opprinnelse, transaksjonens formål
Dokumentere undersøkelsen — alle funn, vurderinger og konklusjoner nedtegnes
Konkludere — enten avkreftes mistanken (dokumenteres) eller bekreftes (rapportering)

6.2 Rapportering til Økokrim/EFE

Dersom undersøkelsen ikke avkrefter mistanken:

Rapport sendes til EFE (Enheten for finansiell etterretning) via Altinn-portalen
Rapporten skal inneholde:
- Identifikasjon av kunden (navn, fødselsnummer, adresse)
- Beskrivelse av transaksjonen(e)
- Grunnlag for mistanken
- Resultater av undersøkelsen
- Relevant dokumentasjon
Tidsfrist: Uten ugrunnet opphold etter at undersøkelsen er fullført
Konfidensialitet: Kunden skal ikke underrettes om at rapport er sendt (tipping off-forbud, §28)
Transaksjoner kan holdes tilbake i inntil 2 virkedager etter rapportering, jf. betalingssystemloven

6.3 Statistikk og oppfølging

Antall flaggede transaksjoner per måned
Antall undersøkelser gjennomført
Antall rapporter sendt til EFE
Rapporteres kvartalsvis til styret

7. Oppbevaringsplikt — §30

7.1 Lagringstid

Alle opplysninger innhentet i forbindelse med kundetiltak og transaksjonsovervåking skal oppbevares i minst 5 år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført.

7.2 Hva oppbevares

Datatype	Lagringstid	Format
Kundidentifikasjon (KYC-data)	5 år etter avsluttet kundeforhold	Kryptert database
Kopi av legitimasjon/BankID-bekreftelse	5 år etter avsluttet kundeforhold	Kryptert lagring
Transaksjonsdata	5 år etter transaksjonsdato	Database med revisjonsspor
Korrespondanse med kunden	5 år etter avsluttet kundeforhold	Kryptert lagring
Risikovurderinger og EDD-dokumentasjon	5 år etter avsluttet kundeforhold	Kryptert lagring
Undersøkelser og rapporter til EFE	5 år etter avsluttet kundeforhold	Kryptert lagring
Opplæringslogg	5 år etter gjennomføring	Intern database

7.3 Datasikkerhet

All KYC- og transaksjonsdata krypteres ved lagring (AES-256)
Tilgang logges og begrenses til autorisert personell
GDPR/personopplysningsloven overholdes — personopplysninger slettes etter utløp av lovpålagt oppbevaringstid

8. Korridorbasert risikovurdering

8.1 Tilnærming

Drop tilbyr pengeoverføringer til 30+ land. Risikoen varierer etter mottakerland/korridor. Selskapet benytter en risikobasert tilnærming der alle kunder vurderes etter samme rammeverk, uavhengig av etnisk bakgrunn eller statsborgerskap. Risikofaktoren er knyttet til transaksjonskorridoren (mottakerlandet), ikke kundens opprinnelse.

8.2 Korridorklassifisering

Risikonivå	Land/korridorer	Grunnlag
Lav	EU/EØS-land (PLN, EUR), Storbritannia	FATF-compliant, EU-regulerte
Middels	Serbia (RSD), Bosnia-Hercegovina (BAM), Tyrkia (TRY)	Ikke EU, men MONEYVAL/FATF-prosesser pågår
Høy	Pakistan (PKR)	FATF gråliste-historikk, høy korrupsjonsrisiko
Svært høy / sperret	Land på EUs høyrisikoliste eller FNs/EUs sanksjonslister	EU-forordning, FN-resolusjon

8.3 Tiltak per korridorrisiko

Korridorrisiko	CDD	Transaksjonsovervåking	Tilleggstiltak
Lav	Standard	Standard terskler	Ingen
Middels	Standard + ekstra spørsmål om formål	Lavere terskler (50% av standard)	Kvartalsvis profil-oppdatering
Høy	EDD obligatorisk	Halverte terskler, manuell review >NOK 25 000	Dokumentasjon av midlers opprinnelse, månedlig oppdatering
Svært høy / sperret	Avvises	N/A	Korridor blokkert i systemet

9. Roller og ansvar

9.1 Hvitvaskingsansvarlig

Selskapet utpeker en hvitvaskingsansvarlig (AML Compliance Officer), jf. §8 fjerde ledd.

Ansvar:

Daglig oppfølging av hvitvaskingsrutinene
Behandling av flaggede transaksjoner og EDD-saker
Rapportering til EFE
Årlig revisjon av risikovurdering og rutiner
Opplæring av ansatte
Rapportering til styret

9.2 Daglig leder

Overordnet ansvar for etterlevelse av hvitvaskingsloven
Godkjenner høyrisiko-kundeforhold
Sikrer tilstrekkelige ressurser til compliance

9.3 Styret

Godkjenner hvitvaskingsrutiner og risikovurdering
Mottar kvartalsvis rapport fra hvitvaskingsansvarlig
Beslutter risikoappetitt

9.4 Alle ansatte

Plikter å følge disse rutinene
Plikter å rapportere mistenkelige forhold til hvitvaskingsansvarlig
Plikter å gjennomføre obligatorisk opplæring

10. Opplæring — §36

10.1 Obligatorisk opplæring

Alle ansatte med kundetilgangs- eller transaksjonsrelaterte oppgaver skal gjennomføre opplæring i:

Hvitvaskingsloven og forskrifter — grunnleggende forståelse
Selskapets hvitvaskingsrutiner
Gjenkjennelse av mistenkelige transaksjoner
Rapporteringsprosedyrer
PEP- og sanksjonsregler
Roller og ansvar

10.2 Frekvens

Ved ansettelse: Grunnkurs (innen 30 dager)
Årlig: Oppdateringskurs med gjennomgang av endringer i lovverk og rutiner
Ved vesentlige endringer: Ekstra opplæring ved nye produkter, korridorer eller regelverk

10.3 Dokumentasjon

Opplæring registreres med dato, deltaker, innhold og beståttresultat
Opplæringslogg oppbevares i 5 år

11. Internkontroll og revisjon — §37

11.1 Internkontroll

Hvitvaskingsansvarlig utfører stikkprøvekontroller månedlig
Minimum 10% av flaggede transaksjoner re-vurderes
Kvaliteten på KYC-dokumentasjon kontrolleres kvartalsvis

11.2 Uavhengig gjennomgang

Årlig uavhengig gjennomgang av hvitvaskingsrutinene
Utføres av ekstern revisor eller compliance-rådgiver
Funn rapporteres til styret med handlingsplan

11.3 Avviksbehandling

Avvik fra rutinene dokumenteres umiddelbart
Korrigerende tiltak iverksettes innen 30 dager
Alvorlige avvik rapporteres til styret og eventuelt Finanstilsynet

12. Behandling av avviste eller avsluttede kundeforhold

12.1 Avvisning

Dersom kundetiltak ikke kan gjennomføres tilfredsstillende, jf. §21:

Kundeforholdet skal ikke etableres
Eksisterende kundeforhold skal avsluttes
Vurdering av om forholdet skal rapporteres til EFE

12.2 Avslutning av kundeforhold

Kunden informeres om at kundeforholdet avsluttes (uten å oppgi HV/TF som grunn dersom rapport sendes)
Eventuelle midler tilbakeføres til kundens opprinnelige bankkonto
KYC-dokumentasjon oppbevares i 5 år etter avslutning

13. Tekniske tiltak

13.1 Automatiserte kontroller i Drop-appen

BankID-verifisering ved registrering (alderskontroll, identifikasjon)
Automatisk PEP- og sanksjonsscreening ved onboarding og ved transaksjoner
Regelbasert transaksjonsovervåking med konfigurbare terskler
Automatisk blokkering av transaksjoner til sanksjonerte land/personer
Logging av alle transaksjoner med fullstendig revisjonsspor

13.2 Manuelt dashboard

Compliance-dashboard for hvitvaskingsansvarlig
Oversikt over flaggede transaksjoner, ventende EDD-saker, rapporterte saker
Søkefunksjon i transaksjonshistorikk

14. Forholdet til personopplysningsloven (GDPR)

14.1 Behandlingsgrunnlag

KYC-data behandles med hjemmel i rettslig forpliktelse (GDPR art. 6(1)(c)), jf. hvitvaskingsloven
Oppbevaringstiden på 5 år har hjemmel i hvitvaskingsloven §30
Etter utløp av oppbevaringstiden slettes personopplysningene

14.2 Personvernserklæring

Kundene informeres om behandling av personopplysninger i forbindelse med hvitvaskingslovens krav
Informasjon gis i personvernerklæring og ved registrering

15. Endringslogg

Versjon	Dato	Endring	Godkjent av
1.0	2026-02-12	Førstegangs utarbeidelse	Daglig leder

16. Vedlegg

Vedlegg A: Risikovurdering — risikovurdering-hvitvasking.md
Vedlegg B: Internkontrollrutiner — internkontroll.md
Vedlegg C: EFE-rapporteringsskjema (Altinn-mal)
Vedlegg D: Sjekkliste for kundetiltak
Vedlegg E: Opplæringsplan

Dokumentet er utarbeidet i henhold til hvitvaskingsloven (LOV-2018-06-01-23) med tilhørende forskrift, Finanstilsynets veiledning om tiltak mot hvitvasking og terrorfinansiering, og FATFs anbefalinger.

Regulatory Map

Compliance Gap Analysis

License Application Prep

Business Plan (Regulatory)

Compliance Gap (Feb 2026)

Privacy Policy

DPIA Assessment

Data Processing Protocol

Outsourcing Policy

AML Procedures

AML Risk Assessment

Suitability Assessment

DPA Template

DPA — Swan

DPA — Sumsub

DPA — Sentry

ICT Security Policy

Internal Controls

Incident Management

Contingency Plan

Complaints Handling

Terms of Service

Fee Schedule

Framework Agreement

Legal Overview

AML Procedures

Hvitvaskingsrutiner — Drop (ALAI Holding AS)

1. Formål og virkeområde

1.1 Formål

1.2 Virkeområde

1.3 Forretningsmodell — pass-through

1.4 Regulatorisk klassifisering

2. Lovgrunnlag og sentrale bestemmelser

3. Virksomhetsinnrettet risikovurdering (§6)

3.1 Krav

3.2 Risikokategorier

3.3 Risikonivåer

4. Kundetiltak (KYC/CDD) — §§9-16

4.1 Når kundetiltak skal gjennomføres

4.2 Standard kundetiltak (CDD)

4.2.1 Fysiske personer (alle kunder)

4.2.2 Juridiske personer (merchants)

4.2.3 Identitetsbekreftelse

4.3 Forsterkede kundetiltak (EDD) — §§17-18

4.3.1 Situasjoner som utløser EDD

4.3.2 EDD-tiltak

4.4 PEP-screening — §18

4.4.1 Hvem er PEP

4.4.2 PEP-prosedyre

4.5 Sanksjonsscreening

4.5.1 Lister som sjekkes

4.5.2 Prosedyre

5. Løpende oppfølging — §§24-25

5.1 Transaksjonsinformasjon

5.2 Transaksjonovervåking

5.2.1 Automatisk overvåking

5.2.2 Manuell gjennomgang

5.3 Oppdatering av kundeinformasjon

6. Undersøkelsesplikt og rapportering — §26

6.1 Undersøkelsesplikt

6.2 Rapportering til Økokrim/EFE

6.3 Statistikk og oppfølging

7. Oppbevaringsplikt — §30

7.1 Lagringstid

7.2 Hva oppbevares

7.3 Datasikkerhet

8. Korridorbasert risikovurdering

8.1 Tilnærming

8.2 Korridorklassifisering

8.3 Tiltak per korridorrisiko

9. Roller og ansvar

9.1 Hvitvaskingsansvarlig

9.2 Daglig leder

9.3 Styret

9.4 Alle ansatte

10. Opplæring — §36

10.1 Obligatorisk opplæring

10.2 Frekvens

10.3 Dokumentasjon

11. Internkontroll og revisjon — §37