Skip to main content

AML Procedures

Hvitvaskingsrutiner — Drop (ALAI Holding AS)

Dokument: Internrutiner for tiltak mot hvitvasking og terrorfinansiering Hjemmel: Lov om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven, LOV-2018-06-01-23) Virksomhet: ALAI Holding AS, org.nr 932 516 136 Produkt: Drop — betalingsformidling og pengeoverføringer Versjon: 1.0 Dato: 2026-02-12 Godkjent av: Daglig leder / Styre Neste revisjon: 2027-02-12

1. Formål og virkeområde

1.1 Formål

Disse rutinene skal sikre at ALAI Holding AS («Selskapet») gjennom produktet Drop etterlever kravene i hvitvaskingsloven med forskrifter, og bidrar til å forebygge og avdekke hvitvasking og terrorfinansiering.

1.2 Virkeområde

Rutinene gjelder for all virksomhet knyttet til Drop, herunder:

  • Pengeoverføringer til utlandet (remittance) til 30+ land
  • QR-baserte betalinger i butikk
  • Kunderegistrering og -oppfølging
  • Alle ansatte, styremedlemmer og tredjeparter som utfører oppgaver på vegne av Selskapet

1.3 Forretningsmodell — pass-through

Drop opererer en pass-through-modell under PSD2 (PISP/AISP). Drop holder aldri kundemidler. Alle transaksjoner initieres via Open Banking-grensesnitt mot kundens egen bankkonto. Denne modellen reduserer enkelte risikoer, men endrer ikke de grunnleggende pliktene etter hvitvaskingsloven.

1.4 Regulatorisk klassifisering

Selskapet søker konsesjon som betalingsforetak etter finansforetaksloven, jf. også hvitvaskingsloven §4 første ledd bokstav c (betalingsforetak).

2. Lovgrunnlag og sentrale bestemmelser

Bestemmelse Innhold
Hvvl. §4 Rapporteringspliktige — betalingsforetak er omfattet
Hvvl. §6 Virksomhetsinnrettet risikovurdering
Hvvl. §§7-8 Rutiner og internkontroll
Hvvl. §§9-18 Kundetiltak (CDD)
Hvvl. §§17-18 Forsterkede kundetiltak (EDD)
Hvvl. §§24-25 Løpende oppfølging
Hvvl. §26 Undersøkelsesplikt
Hvvl. §26 tredje ledd Rapporteringsplikt til Økokrim/EFE
Hvvl. §30 Oppbevaringsplikt (5 år)
Hvvl. §§36-38 Internkontroll og opplæring
Sanksjonslovgivningen FN, EU, norske sanksjonslister
PEP-forskriften Politisk eksponerte personer

3. Virksomhetsinnrettet risikovurdering (§6)

3.1 Krav

Selskapet skal gjennomføre og dokumentere en helhetlig risikovurdering av virksomheten, som identifiserer og vurderer risikoen for hvitvasking og terrorfinansiering. Risikovurderingen oppdateres minst årlig og ved vesentlige endringer.

3.2 Risikokategorier

Risikovurderingen dekker følgende kategorier:

  • Kundebasert risiko — risikobasert tilnærming basert på kundens adferd, transaksjonsvolum og korridorer
  • Geografisk risiko — land og korridorer med høyere HV/TF-risiko
  • Produkt- og tjenestebasert risiko — grensekryssende overføringer, QR-betalinger
  • Kanal- og leveringsrisiko — digital onboarding, mobilapp

Se eget dokument: risikovurdering-hvitvasking.md

3.3 Risikonivåer

Nivå Beskrivelse Tiltak
Lav Norsk bosatt, norsk BankID, lavrisiko-korridor Standard kundetiltak (CDD)
Middels Høyere transaksjonsvolum, middels risiko-korridor Utvidet overvåking, mulig EDD
Høy Høyrisiko-korridor, PEP, uvanlig transaksjonsmønster Forsterkede kundetiltak (EDD)
Uakseptabel Sanksjonert person/land, bekreftet mistanke Avvisning eller avvikling av kundeforhold

4. Kundetiltak (KYC/CDD) — §§9-16

4.1 Når kundetiltak skal gjennomføres

Kundetiltak skal gjennomføres ved:

  • Etablering av kundeforhold (registrering i Drop), jf. §10
  • Enkeltstående transaksjoner over NOK 10 000 utenfor etablert kundeforhold, jf. §10
  • Mistanke om hvitvasking eller terrorfinansiering, uavhengig av beløp, jf. §10
  • Tvil om tidligere innhentede opplysninger, jf. §24

4.2 Standard kundetiltak (CDD)

4.2.1 Fysiske personer (alle kunder)

Følgende opplysninger skal innhentes og verifiseres, jf. §12:

Opplysning Kilde Verifisering
Fullt navn BankID Automatisk via BankID-integrasjon
Fødselsnummer (11 siffer) BankID Automatisk — brukes til alderskontroll (18+) og identifisering
Adresse Kunde oppgir, sjekkes mot Folkeregisteret Folkeregisteroppslag
Statsborgerskap Kunde oppgir Krysssjekk mot BankID-data
Formål med kundeforholdet Kunde velger ved registrering Dokumenteres i kundeprofil

4.2.2 Juridiske personer (merchants)

For merchanter som registrerer seg for QR-betalinger:

Opplysning Kilde Verifisering
Foretaksnavn og org.nr Kunde oppgir Brønnøysundregistrene
Forretningsadresse Kunde oppgir Brønnøysundregistrene
Reelle rettighetshavere Kunde oppgir Aksjonærregisteret, egenoppgave
Daglig leder/kontaktperson Kunde oppgir BankID-verifisering av kontaktperson
Formål med kundeforholdet Kunde velger Dokumenteres

4.2.3 Identitetsbekreftelse

  • Primær metode: Norsk BankID (nivå «høyt» etter eIDAS)
  • BankID gir verifisert navn, fødselsnummer og sikrer at kunden er den de utgir seg for
  • Kunder uten gyldig norsk BankID kan ikke registrere seg i Drop
  • Minstealder 18 år kontrolleres automatisk basert på fødselsnummer

4.3 Forsterkede kundetiltak (EDD) — §§17-18

Forsterkede tiltak skal gjennomføres når risikoen er vurdert som høy, herunder:

4.3.1 Situasjoner som utløser EDD

  • Kunder som sender penger til høyrisikoland (jf. EUs liste over høyrisikoland og FATFs gråliste/svarteliste)
  • Politisk eksponerte personer (PEP), jf. §18
  • Uvanlige eller mistenkelige transaksjonsmønstre
  • Kunder med vesentlig høyere transaksjonsvolum enn oppgitt formål tilsier
  • Kundeforhold der det er vanskelig å verifisere reelle rettighetshavere

4.3.2 EDD-tiltak

  • Innhenting av tilleggsinformasjon om midlenes opprinnelse
  • Innhenting av dokumentasjon for formålet med transaksjonen
  • Hyppigere oppdatering av kundeinformasjon
  • Økt transaksjonsovervåking (lavere terskelverdier)
  • Godkjenning av kundeforholdet av hvitvaskingsansvarlig
  • Risikovurdering dokumenteres i kundeprofilen

4.4 PEP-screening — §18

4.4.1 Hvem er PEP

Politisk eksponerte personer inkluderer:

  • Statsoverhoder, regjeringsmedlemmer, parlamentsmedlemmer
  • Høyesterettsdommere, riksrevisorer, sentralbankstyremedlemmer
  • Ambassadører, militære offiserer av høy rang
  • Ledere av statsforetak
  • Nære familiemedlemmer og kjente medarbeidere til ovennevnte

4.4.2 PEP-prosedyre

  1. Screening ved onboarding: Automatisk PEP-sjekk mot anerkjent database (f.eks. Refinitiv World-Check, Dow Jones)
  2. Løpende screening: Automatisk re-screening ved endringer i PEP-lister
  3. Positive treff: Manuell vurdering av hvitvaskingsansvarlig
  4. EDD ved bekreftet PEP: Tilleggsdokumentasjon, godkjenning av daglig leder, hyppigere overvåking

4.5 Sanksjonsscreening

4.5.1 Lister som sjekkes

  • FNs konsoliderte sanksjonsliste
  • EUs konsoliderte sanksjonsliste
  • Norske forskrifter om sanksjoner (UD)
  • OFAC SDN-listen (for USD-transaksjoner)

4.5.2 Prosedyre

  1. Ved onboarding: Automatisk screening av kundens navn og fødselsdato mot alle sanksjonslister
  2. Ved hver transaksjon: Automatisk screening av mottaker mot sanksjonslister
  3. Positive treff: Transaksjon fryses automatisk. Hvitvaskingsansvarlig varsles.
  4. Bekreftet treff: Transaksjon avvises. Rapportering til Utenriksdepartementet og EFE.
  5. Falske positive: Dokumenteres og godkjennes av hvitvaskingsansvarlig.

5. Løpende oppfølging — §§24-25

5.1 Transaksjonsinformasjon

Alle transaksjoner skal inneholde følgende informasjon, jf. betalingssystemloven og EU-forordning 2015/847:

  • Avsenders fulle navn, adresse, kontonummer
  • Mottakers fulle navn, kontonummer/referanse
  • Beløp og valuta
  • Tidspunkt
  • Formål (for beløp over NOK 10 000)

5.2 Transaksjonovervåking

5.2.1 Automatisk overvåking

Selskapet implementerer et automatisert transaksjonsovervåkingssystem som flagger:

Regel Terskel Handling
Enkelt-transaksjon over terskel > NOK 50 000 Manuell gjennomgang
Kumulativt daglig volum > NOK 100 000 Manuell gjennomgang
Kumulativt månedlig volum > NOK 500 000 EDD-vurdering
Hyppige transaksjoner til høyrisikoland > 5/uke til samme korridor Manuell gjennomgang
Splitting av transaksjoner Flere transaksjoner like under terskel Automatisk flagging
Avvik fra kundeprofil > 200% av oppgitt bruksformål Manuell gjennomgang
Round-trip-transaksjoner Penger sendt og mottatt fra samme korridor Automatisk flagging
Uvanlig adferd Hurtig endring av mottakerland Manuell gjennomgang

5.2.2 Manuell gjennomgang

  • Flaggede transaksjoner gjennomgås av compliance-teamet innen 24 timer
  • Vurderingen dokumenteres med konklusjon og eventuell oppfølgingshandling
  • Ved fortsatt mistanke: undersøkelsesplikt, jf. §26

5.3 Oppdatering av kundeinformasjon

  • Lav risiko: Kundeinformasjon oppdateres hvert 3. år
  • Middels risiko: Kundeinformasjon oppdateres årlig
  • Høy risiko: Kundeinformasjon oppdateres hvert halvår
  • Ved enhver transaksjon: Kontroll av at kundeinformasjon er oppdatert

6. Undersøkelsesplikt og rapportering — §26

6.1 Undersøkelsesplikt

Når det foreligger forhold som gir grunnlag for mistanke om at en transaksjon har tilknytning til hvitvasking eller terrorfinansiering, skal Selskapet:

  1. Gjennomføre nærmere undersøkelser — innhente tilleggsinformasjon om kundens identitet, midlenes opprinnelse, transaksjonens formål
  2. Dokumentere undersøkelsen — alle funn, vurderinger og konklusjoner nedtegnes
  3. Konkludere — enten avkreftes mistanken (dokumenteres) eller bekreftes (rapportering)

6.2 Rapportering til Økokrim/EFE

Dersom undersøkelsen ikke avkrefter mistanken:

  1. Rapport sendes til EFE (Enheten for finansiell etterretning) via Altinn-portalen
  2. Rapporten skal inneholde:
    • Identifikasjon av kunden (navn, fødselsnummer, adresse)
    • Beskrivelse av transaksjonen(e)
    • Grunnlag for mistanken
    • Resultater av undersøkelsen
    • Relevant dokumentasjon
  3. Tidsfrist: Uten ugrunnet opphold etter at undersøkelsen er fullført
  4. Konfidensialitet: Kunden skal ikke underrettes om at rapport er sendt (tipping off-forbud, §28)
  5. Transaksjoner kan holdes tilbake i inntil 2 virkedager etter rapportering, jf. betalingssystemloven

6.3 Statistikk og oppfølging

  • Antall flaggede transaksjoner per måned
  • Antall undersøkelser gjennomført
  • Antall rapporter sendt til EFE
  • Rapporteres kvartalsvis til styret

7. Oppbevaringsplikt — §30

7.1 Lagringstid

Alle opplysninger innhentet i forbindelse med kundetiltak og transaksjonsovervåking skal oppbevares i minst 5 år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført.

7.2 Hva oppbevares

Datatype Lagringstid Format
Kundidentifikasjon (KYC-data) 5 år etter avsluttet kundeforhold Kryptert database
Kopi av legitimasjon/BankID-bekreftelse 5 år etter avsluttet kundeforhold Kryptert lagring
Transaksjonsdata 5 år etter transaksjonsdato Database med revisjonsspor
Korrespondanse med kunden 5 år etter avsluttet kundeforhold Kryptert lagring
Risikovurderinger og EDD-dokumentasjon 5 år etter avsluttet kundeforhold Kryptert lagring
Undersøkelser og rapporter til EFE 5 år etter avsluttet kundeforhold Kryptert lagring
Opplæringslogg 5 år etter gjennomføring Intern database

7.3 Datasikkerhet

  • All KYC- og transaksjonsdata krypteres ved lagring (AES-256)
  • Tilgang logges og begrenses til autorisert personell
  • GDPR/personopplysningsloven overholdes — personopplysninger slettes etter utløp av lovpålagt oppbevaringstid

8. Korridorbasert risikovurdering

8.1 Tilnærming

Drop tilbyr pengeoverføringer til 30+ land. Risikoen varierer etter mottakerland/korridor. Selskapet benytter en risikobasert tilnærming der alle kunder vurderes etter samme rammeverk, uavhengig av etnisk bakgrunn eller statsborgerskap. Risikofaktoren er knyttet til transaksjonskorridoren (mottakerlandet), ikke kundens opprinnelse.

8.2 Korridorklassifisering

Risikonivå Land/korridorer Grunnlag
Lav EU/EØS-land (PLN, EUR), Storbritannia FATF-compliant, EU-regulerte
Middels Serbia (RSD), Bosnia-Hercegovina (BAM), Tyrkia (TRY) Ikke EU, men MONEYVAL/FATF-prosesser pågår
Høy Pakistan (PKR) FATF gråliste-historikk, høy korrupsjonsrisiko
Svært høy / sperret Land på EUs høyrisikoliste eller FNs/EUs sanksjonslister EU-forordning, FN-resolusjon

8.3 Tiltak per korridorrisiko

Korridorrisiko CDD Transaksjonsovervåking Tilleggstiltak
Lav Standard Standard terskler Ingen
Middels Standard + ekstra spørsmål om formål Lavere terskler (50% av standard) Kvartalsvis profil-oppdatering
Høy EDD obligatorisk Halverte terskler, manuell review >NOK 25 000 Dokumentasjon av midlers opprinnelse, månedlig oppdatering
Svært høy / sperret Avvises N/A Korridor blokkert i systemet

9. Roller og ansvar

9.1 Hvitvaskingsansvarlig

Selskapet utpeker en hvitvaskingsansvarlig (AML Compliance Officer), jf. §8 fjerde ledd.

Ansvar:

  • Daglig oppfølging av hvitvaskingsrutinene
  • Behandling av flaggede transaksjoner og EDD-saker
  • Rapportering til EFE
  • Årlig revisjon av risikovurdering og rutiner
  • Opplæring av ansatte
  • Rapportering til styret

9.2 Daglig leder

  • Overordnet ansvar for etterlevelse av hvitvaskingsloven
  • Godkjenner høyrisiko-kundeforhold
  • Sikrer tilstrekkelige ressurser til compliance

9.3 Styret

  • Godkjenner hvitvaskingsrutiner og risikovurdering
  • Mottar kvartalsvis rapport fra hvitvaskingsansvarlig
  • Beslutter risikoappetitt

9.4 Alle ansatte

  • Plikter å følge disse rutinene
  • Plikter å rapportere mistenkelige forhold til hvitvaskingsansvarlig
  • Plikter å gjennomføre obligatorisk opplæring

10. Opplæring — §36

10.1 Obligatorisk opplæring

Alle ansatte med kundetilgangs- eller transaksjonsrelaterte oppgaver skal gjennomføre opplæring i:

  • Hvitvaskingsloven og forskrifter — grunnleggende forståelse
  • Selskapets hvitvaskingsrutiner
  • Gjenkjennelse av mistenkelige transaksjoner
  • Rapporteringsprosedyrer
  • PEP- og sanksjonsregler
  • Roller og ansvar

10.2 Frekvens

  • Ved ansettelse: Grunnkurs (innen 30 dager)
  • Årlig: Oppdateringskurs med gjennomgang av endringer i lovverk og rutiner
  • Ved vesentlige endringer: Ekstra opplæring ved nye produkter, korridorer eller regelverk

10.3 Dokumentasjon

  • Opplæring registreres med dato, deltaker, innhold og beståttresultat
  • Opplæringslogg oppbevares i 5 år

11. Internkontroll og revisjon — §37

11.1 Internkontroll

  • Hvitvaskingsansvarlig utfører stikkprøvekontroller månedlig
  • Minimum 10% av flaggede transaksjoner re-vurderes
  • Kvaliteten på KYC-dokumentasjon kontrolleres kvartalsvis

11.2 Uavhengig gjennomgang

  • Årlig uavhengig gjennomgang av hvitvaskingsrutinene
  • Utføres av ekstern revisor eller compliance-rådgiver
  • Funn rapporteres til styret med handlingsplan

11.3 Avviksbehandling

  • Avvik fra rutinene dokumenteres umiddelbart
  • Korrigerende tiltak iverksettes innen 30 dager
  • Alvorlige avvik rapporteres til styret og eventuelt Finanstilsynet

12. Behandling av avviste eller avsluttede kundeforhold

12.1 Avvisning

Dersom kundetiltak ikke kan gjennomføres tilfredsstillende, jf. §21:

  • Kundeforholdet skal ikke etableres
  • Eksisterende kundeforhold skal avsluttes
  • Vurdering av om forholdet skal rapporteres til EFE

12.2 Avslutning av kundeforhold

  • Kunden informeres om at kundeforholdet avsluttes (uten å oppgi HV/TF som grunn dersom rapport sendes)
  • Eventuelle midler tilbakeføres til kundens opprinnelige bankkonto
  • KYC-dokumentasjon oppbevares i 5 år etter avslutning

13. Tekniske tiltak

13.1 Automatiserte kontroller i Drop-appen

  • BankID-verifisering ved registrering (alderskontroll, identifikasjon)
  • Automatisk PEP- og sanksjonsscreening ved onboarding og ved transaksjoner
  • Regelbasert transaksjonsovervåking med konfigurbare terskler
  • Automatisk blokkering av transaksjoner til sanksjonerte land/personer
  • Logging av alle transaksjoner med fullstendig revisjonsspor

13.2 Manuelt dashboard

  • Compliance-dashboard for hvitvaskingsansvarlig
  • Oversikt over flaggede transaksjoner, ventende EDD-saker, rapporterte saker
  • Søkefunksjon i transaksjonshistorikk

14. Forholdet til personopplysningsloven (GDPR)

14.1 Behandlingsgrunnlag

  • KYC-data behandles med hjemmel i rettslig forpliktelse (GDPR art. 6(1)(c)), jf. hvitvaskingsloven
  • Oppbevaringstiden på 5 år har hjemmel i hvitvaskingsloven §30
  • Etter utløp av oppbevaringstiden slettes personopplysningene

14.2 Personvernserklæring

  • Kundene informeres om behandling av personopplysninger i forbindelse med hvitvaskingslovens krav
  • Informasjon gis i personvernerklæring og ved registrering

15. Endringslogg

Versjon Dato Endring Godkjent av
1.0 2026-02-12 Førstegangs utarbeidelse Daglig leder

16. Vedlegg

  • Vedlegg A: Risikovurdering — risikovurdering-hvitvasking.md
  • Vedlegg B: Internkontrollrutiner — internkontroll.md
  • Vedlegg C: EFE-rapporteringsskjema (Altinn-mal)
  • Vedlegg D: Sjekkliste for kundetiltak
  • Vedlegg E: Opplæringsplan

Dokumentet er utarbeidet i henhold til hvitvaskingsloven (LOV-2018-06-01-23) med tilhørende forskrift, Finanstilsynets veiledning om tiltak mot hvitvasking og terrorfinansiering, og FATFs anbefalinger.

Back to top