AML Procedures
Hvitvaskingsrutiner — Drop (ALAI Holding AS)
Dokument: Internrutiner for tiltak mot hvitvasking og terrorfinansiering Hjemmel: Lov om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven, LOV-2018-06-01-23) Virksomhet: ALAI Holding AS, org.nr 932 516 136 Produkt: Drop — betalingsformidling og pengeoverføringer Versjon: 1.0 Dato: 2026-02-12 Godkjent av: Daglig leder / Styre Neste revisjon: 2027-02-12
1. Formål og virkeområde
1.1 Formål
Disse rutinene skal sikre at ALAI Holding AS («Selskapet») gjennom produktet Drop etterlever kravene i hvitvaskingsloven med forskrifter, og bidrar til å forebygge og avdekke hvitvasking og terrorfinansiering.
1.2 Virkeområde
Rutinene gjelder for all virksomhet knyttet til Drop, herunder:
- Pengeoverføringer til utlandet (remittance) til 30+ land
- QR-baserte betalinger i butikk
- Kunderegistrering og -oppfølging
- Alle ansatte, styremedlemmer og tredjeparter som utfører oppgaver på vegne av Selskapet
1.3 Forretningsmodell — pass-through
Drop opererer en pass-through-modell under PSD2 (PISP/AISP). Drop holder aldri kundemidler. Alle transaksjoner initieres via Open Banking-grensesnitt mot kundens egen bankkonto. Denne modellen reduserer enkelte risikoer, men endrer ikke de grunnleggende pliktene etter hvitvaskingsloven.
1.4 Regulatorisk klassifisering
Selskapet søker konsesjon som betalingsforetak etter finansforetaksloven, jf. også hvitvaskingsloven §4 første ledd bokstav c (betalingsforetak).
2. Lovgrunnlag og sentrale bestemmelser
| Bestemmelse | Innhold |
|---|---|
| Hvvl. §4 | Rapporteringspliktige — betalingsforetak er omfattet |
| Hvvl. §6 | Virksomhetsinnrettet risikovurdering |
| Hvvl. §§7-8 | Rutiner og internkontroll |
| Hvvl. §§9-18 | Kundetiltak (CDD) |
| Hvvl. §§17-18 | Forsterkede kundetiltak (EDD) |
| Hvvl. §§24-25 | Løpende oppfølging |
| Hvvl. §26 | Undersøkelsesplikt |
| Hvvl. §26 tredje ledd | Rapporteringsplikt til Økokrim/EFE |
| Hvvl. §30 | Oppbevaringsplikt (5 år) |
| Hvvl. §§36-38 | Internkontroll og opplæring |
| Sanksjonslovgivningen | FN, EU, norske sanksjonslister |
| PEP-forskriften | Politisk eksponerte personer |
3. Virksomhetsinnrettet risikovurdering (§6)
3.1 Krav
Selskapet skal gjennomføre og dokumentere en helhetlig risikovurdering av virksomheten, som identifiserer og vurderer risikoen for hvitvasking og terrorfinansiering. Risikovurderingen oppdateres minst årlig og ved vesentlige endringer.
3.2 Risikokategorier
Risikovurderingen dekker følgende kategorier:
- Kundebasert risiko — risikobasert tilnærming basert på kundens adferd, transaksjonsvolum og korridorer
- Geografisk risiko — land og korridorer med høyere HV/TF-risiko
- Produkt- og tjenestebasert risiko — grensekryssende overføringer, QR-betalinger
- Kanal- og leveringsrisiko — digital onboarding, mobilapp
Se eget dokument: risikovurdering-hvitvasking.md
3.3 Risikonivåer
| Nivå | Beskrivelse | Tiltak |
|---|---|---|
| Lav | Norsk bosatt, norsk BankID, lavrisiko-korridor | Standard kundetiltak (CDD) |
| Middels | Høyere transaksjonsvolum, middels risiko-korridor | Utvidet overvåking, mulig EDD |
| Høy | Høyrisiko-korridor, PEP, uvanlig transaksjonsmønster | Forsterkede kundetiltak (EDD) |
| Uakseptabel | Sanksjonert person/land, bekreftet mistanke | Avvisning eller avvikling av kundeforhold |
4. Kundetiltak (KYC/CDD) — §§9-16
4.1 Når kundetiltak skal gjennomføres
Kundetiltak skal gjennomføres ved:
- Etablering av kundeforhold (registrering i Drop), jf. §10
- Enkeltstående transaksjoner over NOK 10 000 utenfor etablert kundeforhold, jf. §10
- Mistanke om hvitvasking eller terrorfinansiering, uavhengig av beløp, jf. §10
- Tvil om tidligere innhentede opplysninger, jf. §24
4.2 Standard kundetiltak (CDD)
4.2.1 Fysiske personer (alle kunder)
Følgende opplysninger skal innhentes og verifiseres, jf. §12:
| Opplysning | Kilde | Verifisering |
|---|---|---|
| Fullt navn | BankID | Automatisk via BankID-integrasjon |
| Fødselsnummer (11 siffer) | BankID | Automatisk — brukes til alderskontroll (18+) og identifisering |
| Adresse | Kunde oppgir, sjekkes mot Folkeregisteret | Folkeregisteroppslag |
| Statsborgerskap | Kunde oppgir | Krysssjekk mot BankID-data |
| Formål med kundeforholdet | Kunde velger ved registrering | Dokumenteres i kundeprofil |
4.2.2 Juridiske personer (merchants)
For merchanter som registrerer seg for QR-betalinger:
| Opplysning | Kilde | Verifisering |
|---|---|---|
| Foretaksnavn og org.nr | Kunde oppgir | Brønnøysundregistrene |
| Forretningsadresse | Kunde oppgir | Brønnøysundregistrene |
| Reelle rettighetshavere | Kunde oppgir | Aksjonærregisteret, egenoppgave |
| Daglig leder/kontaktperson | Kunde oppgir | BankID-verifisering av kontaktperson |
| Formål med kundeforholdet | Kunde velger | Dokumenteres |
4.2.3 Identitetsbekreftelse
- Primær metode: Norsk BankID (nivå «høyt» etter eIDAS)
- BankID gir verifisert navn, fødselsnummer og sikrer at kunden er den de utgir seg for
- Kunder uten gyldig norsk BankID kan ikke registrere seg i Drop
- Minstealder 18 år kontrolleres automatisk basert på fødselsnummer
4.3 Forsterkede kundetiltak (EDD) — §§17-18
Forsterkede tiltak skal gjennomføres når risikoen er vurdert som høy, herunder:
4.3.1 Situasjoner som utløser EDD
- Kunder som sender penger til høyrisikoland (jf. EUs liste over høyrisikoland og FATFs gråliste/svarteliste)
- Politisk eksponerte personer (PEP), jf. §18
- Uvanlige eller mistenkelige transaksjonsmønstre
- Kunder med vesentlig høyere transaksjonsvolum enn oppgitt formål tilsier
- Kundeforhold der det er vanskelig å verifisere reelle rettighetshavere
4.3.2 EDD-tiltak
- Innhenting av tilleggsinformasjon om midlenes opprinnelse
- Innhenting av dokumentasjon for formålet med transaksjonen
- Hyppigere oppdatering av kundeinformasjon
- Økt transaksjonsovervåking (lavere terskelverdier)
- Godkjenning av kundeforholdet av hvitvaskingsansvarlig
- Risikovurdering dokumenteres i kundeprofilen
4.4 PEP-screening — §18
4.4.1 Hvem er PEP
Politisk eksponerte personer inkluderer:
- Statsoverhoder, regjeringsmedlemmer, parlamentsmedlemmer
- Høyesterettsdommere, riksrevisorer, sentralbankstyremedlemmer
- Ambassadører, militære offiserer av høy rang
- Ledere av statsforetak
- Nære familiemedlemmer og kjente medarbeidere til ovennevnte
4.4.2 PEP-prosedyre
- Screening ved onboarding: Automatisk PEP-sjekk mot anerkjent database (f.eks. Refinitiv World-Check, Dow Jones)
- Løpende screening: Automatisk re-screening ved endringer i PEP-lister
- Positive treff: Manuell vurdering av hvitvaskingsansvarlig
- EDD ved bekreftet PEP: Tilleggsdokumentasjon, godkjenning av daglig leder, hyppigere overvåking
4.5 Sanksjonsscreening
4.5.1 Lister som sjekkes
- FNs konsoliderte sanksjonsliste
- EUs konsoliderte sanksjonsliste
- Norske forskrifter om sanksjoner (UD)
- OFAC SDN-listen (for USD-transaksjoner)
4.5.2 Prosedyre
- Ved onboarding: Automatisk screening av kundens navn og fødselsdato mot alle sanksjonslister
- Ved hver transaksjon: Automatisk screening av mottaker mot sanksjonslister
- Positive treff: Transaksjon fryses automatisk. Hvitvaskingsansvarlig varsles.
- Bekreftet treff: Transaksjon avvises. Rapportering til Utenriksdepartementet og EFE.
- Falske positive: Dokumenteres og godkjennes av hvitvaskingsansvarlig.
5. Løpende oppfølging — §§24-25
5.1 Transaksjonsinformasjon
Alle transaksjoner skal inneholde følgende informasjon, jf. betalingssystemloven og EU-forordning 2015/847:
5.2 Transaksjonovervåking
5.2.1 Automatisk overvåking
Selskapet implementerer et automatisert transaksjonsovervåkingssystem som flagger:
| Regel | Terskel | Handling |
|---|---|---|
| Enkelt-transaksjon over terskel | > NOK 50 000 | Manuell gjennomgang |
| Kumulativt daglig volum | > NOK 100 000 | Manuell gjennomgang |
| Kumulativt månedlig volum | > NOK 500 000 | EDD-vurdering |
| Hyppige transaksjoner til høyrisikoland | > 5/uke til samme korridor | Manuell gjennomgang |
| Splitting av transaksjoner | Flere transaksjoner like under terskel | Automatisk flagging |
| Avvik fra kundeprofil | > 200% av oppgitt bruksformål | Manuell gjennomgang |
| Round-trip-transaksjoner | Penger sendt og mottatt fra samme korridor | Automatisk flagging |
| Uvanlig adferd | Hurtig endring av mottakerland | Manuell gjennomgang |
5.2.2 Manuell gjennomgang
- Flaggede transaksjoner gjennomgås av compliance-teamet innen 24 timer
- Vurderingen dokumenteres med konklusjon og eventuell oppfølgingshandling
- Ved fortsatt mistanke: undersøkelsesplikt, jf. §26
5.3 Oppdatering av kundeinformasjon
- Lav risiko: Kundeinformasjon oppdateres hvert 3. år
- Middels risiko: Kundeinformasjon oppdateres årlig
- Høy risiko: Kundeinformasjon oppdateres hvert halvår
- Ved enhver transaksjon: Kontroll av at kundeinformasjon er oppdatert
6. Undersøkelsesplikt og rapportering — §26
6.1 Undersøkelsesplikt
Når det foreligger forhold som gir grunnlag for mistanke om at en transaksjon har tilknytning til hvitvasking eller terrorfinansiering, skal Selskapet:
- Gjennomføre nærmere undersøkelser — innhente tilleggsinformasjon om kundens identitet, midlenes opprinnelse, transaksjonens formål
- Dokumentere undersøkelsen — alle funn, vurderinger og konklusjoner nedtegnes
- Konkludere — enten avkreftes mistanken (dokumenteres) eller bekreftes (rapportering)
6.2 Rapportering til Økokrim/EFE
Dersom undersøkelsen ikke avkrefter mistanken:
- Rapport sendes til EFE (Enheten for finansiell etterretning) via Altinn-portalen
- Rapporten skal inneholde:
- Identifikasjon av kunden (navn, fødselsnummer, adresse)
- Beskrivelse av transaksjonen(e)
- Grunnlag for mistanken
- Resultater av undersøkelsen
- Relevant dokumentasjon
- Tidsfrist: Uten ugrunnet opphold etter at undersøkelsen er fullført
- Konfidensialitet: Kunden skal ikke underrettes om at rapport er sendt (tipping off-forbud, §28)
- Transaksjoner kan holdes tilbake i inntil 2 virkedager etter rapportering, jf. betalingssystemloven
6.3 Statistikk og oppfølging
- Antall flaggede transaksjoner per måned
- Antall undersøkelser gjennomført
- Antall rapporter sendt til EFE
- Rapporteres kvartalsvis til styret
7. Oppbevaringsplikt — §30
7.1 Lagringstid
Alle opplysninger innhentet i forbindelse med kundetiltak og transaksjonsovervåking skal oppbevares i minst 5 år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført.
7.2 Hva oppbevares
| Datatype | Lagringstid | Format |
|---|---|---|
| Kundidentifikasjon (KYC-data) | 5 år etter avsluttet kundeforhold | Kryptert database |
| Kopi av legitimasjon/BankID-bekreftelse | 5 år etter avsluttet kundeforhold | Kryptert lagring |
| Transaksjonsdata | 5 år etter transaksjonsdato | Database med revisjonsspor |
| Korrespondanse med kunden | 5 år etter avsluttet kundeforhold | Kryptert lagring |
| Risikovurderinger og EDD-dokumentasjon | 5 år etter avsluttet kundeforhold | Kryptert lagring |
| Undersøkelser og rapporter til EFE | 5 år etter avsluttet kundeforhold | Kryptert lagring |
| Opplæringslogg | 5 år etter gjennomføring | Intern database |
7.3 Datasikkerhet
- All KYC- og transaksjonsdata krypteres ved lagring (AES-256)
- Tilgang logges og begrenses til autorisert personell
- GDPR/personopplysningsloven overholdes — personopplysninger slettes etter utløp av lovpålagt oppbevaringstid
8. Korridorbasert risikovurdering
8.1 Tilnærming
Drop tilbyr pengeoverføringer til 30+ land. Risikoen varierer etter mottakerland/korridor. Selskapet benytter en risikobasert tilnærming der alle kunder vurderes etter samme rammeverk, uavhengig av etnisk bakgrunn eller statsborgerskap. Risikofaktoren er knyttet til transaksjonskorridoren (mottakerlandet), ikke kundens opprinnelse.
8.2 Korridorklassifisering
| Risikonivå | Land/korridorer | Grunnlag |
|---|---|---|
| Lav | EU/EØS-land (PLN, EUR), Storbritannia | FATF-compliant, EU-regulerte |
| Middels | Serbia (RSD), Bosnia-Hercegovina (BAM), Tyrkia (TRY) | Ikke EU, men MONEYVAL/FATF-prosesser pågår |
| Høy | Pakistan (PKR) | FATF gråliste-historikk, høy korrupsjonsrisiko |
| Svært høy / sperret | Land på EUs høyrisikoliste eller FNs/EUs sanksjonslister | EU-forordning, FN-resolusjon |
8.3 Tiltak per korridorrisiko
| Korridorrisiko | CDD | Transaksjonsovervåking | Tilleggstiltak |
|---|---|---|---|
| Lav | Standard | Standard terskler | Ingen |
| Middels | Standard + ekstra spørsmål om formål | Lavere terskler (50% av standard) | Kvartalsvis profil-oppdatering |
| Høy | EDD obligatorisk | Halverte terskler, manuell review >NOK 25 000 | Dokumentasjon av midlers opprinnelse, månedlig oppdatering |
| Svært høy / sperret | Avvises | N/A | Korridor blokkert i systemet |
9. Roller og ansvar
9.1 Hvitvaskingsansvarlig
Selskapet utpeker en hvitvaskingsansvarlig (AML Compliance Officer), jf. §8 fjerde ledd.
Ansvar:
- Daglig oppfølging av hvitvaskingsrutinene
- Behandling av flaggede transaksjoner og EDD-saker
- Rapportering til EFE
- Årlig revisjon av risikovurdering og rutiner
- Opplæring av ansatte
- Rapportering til styret
9.2 Daglig leder
- Overordnet ansvar for etterlevelse av hvitvaskingsloven
- Godkjenner høyrisiko-kundeforhold
- Sikrer tilstrekkelige ressurser til compliance
9.3 Styret
- Godkjenner hvitvaskingsrutiner og risikovurdering
- Mottar kvartalsvis rapport fra hvitvaskingsansvarlig
- Beslutter risikoappetitt
9.4 Alle ansatte
- Plikter å følge disse rutinene
- Plikter å rapportere mistenkelige forhold til hvitvaskingsansvarlig
- Plikter å gjennomføre obligatorisk opplæring
10. Opplæring — §36
10.1 Obligatorisk opplæring
Alle ansatte med kundetilgangs- eller transaksjonsrelaterte oppgaver skal gjennomføre opplæring i:
- Hvitvaskingsloven og forskrifter — grunnleggende forståelse
- Selskapets hvitvaskingsrutiner
- Gjenkjennelse av mistenkelige transaksjoner
- Rapporteringsprosedyrer
- PEP- og sanksjonsregler
- Roller og ansvar
10.2 Frekvens
- Ved ansettelse: Grunnkurs (innen 30 dager)
- Årlig: Oppdateringskurs med gjennomgang av endringer i lovverk og rutiner
- Ved vesentlige endringer: Ekstra opplæring ved nye produkter, korridorer eller regelverk
10.3 Dokumentasjon
- Opplæring registreres med dato, deltaker, innhold og beståttresultat
- Opplæringslogg oppbevares i 5 år
11. Internkontroll og revisjon — §37
11.1 Internkontroll
- Hvitvaskingsansvarlig utfører stikkprøvekontroller månedlig
- Minimum 10% av flaggede transaksjoner re-vurderes
- Kvaliteten på KYC-dokumentasjon kontrolleres kvartalsvis
11.2 Uavhengig gjennomgang
- Årlig uavhengig gjennomgang av hvitvaskingsrutinene
- Utføres av ekstern revisor eller compliance-rådgiver
- Funn rapporteres til styret med handlingsplan
11.3 Avviksbehandling
- Avvik fra rutinene dokumenteres umiddelbart
- Korrigerende tiltak iverksettes innen 30 dager
- Alvorlige avvik rapporteres til styret og eventuelt Finanstilsynet
12. Behandling av avviste eller avsluttede kundeforhold
12.1 Avvisning
Dersom kundetiltak ikke kan gjennomføres tilfredsstillende, jf. §21:
- Kundeforholdet skal ikke etableres
- Eksisterende kundeforhold skal avsluttes
- Vurdering av om forholdet skal rapporteres til EFE
12.2 Avslutning av kundeforhold
- Kunden informeres om at kundeforholdet avsluttes (uten å oppgi HV/TF som grunn dersom rapport sendes)
- Eventuelle midler tilbakeføres til kundens opprinnelige bankkonto
- KYC-dokumentasjon oppbevares i 5 år etter avslutning
13. Tekniske tiltak
13.1 Automatiserte kontroller i Drop-appen
- BankID-verifisering ved registrering (alderskontroll, identifikasjon)
- Automatisk PEP- og sanksjonsscreening ved onboarding og ved transaksjoner
- Regelbasert transaksjonsovervåking med konfigurbare terskler
- Automatisk blokkering av transaksjoner til sanksjonerte land/personer
- Logging av alle transaksjoner med fullstendig revisjonsspor
13.2 Manuelt dashboard
- Compliance-dashboard for hvitvaskingsansvarlig
- Oversikt over flaggede transaksjoner, ventende EDD-saker, rapporterte saker
- Søkefunksjon i transaksjonshistorikk
14. Forholdet til personopplysningsloven (GDPR)
14.1 Behandlingsgrunnlag
- KYC-data behandles med hjemmel i rettslig forpliktelse (GDPR art. 6(1)(c)), jf. hvitvaskingsloven
- Oppbevaringstiden på 5 år har hjemmel i hvitvaskingsloven §30
- Etter utløp av oppbevaringstiden slettes personopplysningene
14.2 Personvernserklæring
- Kundene informeres om behandling av personopplysninger i forbindelse med hvitvaskingslovens krav
- Informasjon gis i personvernerklæring og ved registrering
15. Endringslogg
| Versjon | Dato | Endring | Godkjent av |
|---|---|---|---|
| 1.0 | 2026-02-12 | Førstegangs utarbeidelse | Daglig leder |
16. Vedlegg
- Vedlegg A: Risikovurdering —
risikovurdering-hvitvasking.md - Vedlegg B: Internkontrollrutiner —
internkontroll.md - Vedlegg C: EFE-rapporteringsskjema (Altinn-mal)
- Vedlegg D: Sjekkliste for kundetiltak
- Vedlegg E: Opplæringsplan
Dokumentet er utarbeidet i henhold til hvitvaskingsloven (LOV-2018-06-01-23) med tilhørende forskrift, Finanstilsynets veiledning om tiltak mot hvitvasking og terrorfinansiering, og FATFs anbefalinger.