AML Risk Assessment Risikovurdering — Hvitvasking og terrorfinansiering Dokument: Virksomhetsinnrettet risikovurdering, jf. hvitvaskingsloven §6 Virksomhet: ALAI Holding AS, org.nr 932 516 136 Produkt: Drop — betalingsformidling og pengeoverføringer Versjon: 1.0 Dato: 2026-02-12 Utarbeidet av: Compliance Godkjent av: Styre Neste revisjon: 2027-02-12 1. Innledning 1.1 Formål Denne risikovurderingen er utarbeidet i henhold til hvitvaskingsloven §6, som pålegger rapporteringspliktige å identifisere og vurdere risikoen for at virksomheten kan bli brukt til hvitvasking eller terrorfinansiering. Vurderingen danner grunnlaget for Selskapets risikobaserte tilnærming til kundetiltak og transaksjonsovervåking. 1.2 Metode Risikovurderingen er basert på: Nasjonal risikovurdering (NRA) utgitt av Justis- og beredskapsdepartementet Finanstilsynets veiledning til hvitvaskingsregelverket FATFs risikovurderingsmetodikk EUs overnasjonale risikovurdering (SNRA) Egne erfaringer og bransjeanalyse 1.3 Risikomatrise — vurderingsmetodikk Sannsynlighet: Nivå Beskrivelse 1 — Lav Lite sannsynlig at risikoen materialiserer seg 2 — Middels Kan forekomme i enkelte tilfeller 3 — Høy Sannsynlig at risikoen materialiserer seg jevnlig 4 — Svært høy Nærmest sikkert / har allerede forekommet Konsekvens: Nivå Beskrivelse 1 — Lav Begrenset økonomisk tap, ingen regulatorisk konsekvens 2 — Middels Moderat tap, mulig tilsynsreaksjon 3 — Høy Vesentlig tap, tilsynssanksjon, omdømmeskade 4 — Svært høy Konsesjonsinndragelse, straffeansvar Iboende risiko = Sannsynlighet x Konsekvens (uten tiltak) Restrisiko = Risiko etter implementerte tiltak 2. Virksomhetsbeskrivelse 2.1 Om Selskapet ALAI Holding AS utvikler og drifter betalingsapplikasjonen Drop, som tilbyr: Pengeoverføringer (remittance): Grensekryssende overføringer fra Norge til 30+ land QR-betalinger: Betalinger i butikk via QR-kode, tilgjengelig for alle merchanter 2.2 Forretningsmodell Pass-through-modell: Drop holder aldri kundemidler. Transaksjoner initieres via PSD2-grensesnitt (PISP/AISP) mot kundens egen norske bankkonto. Målgruppe: Alle innbyggere i Norge og Skandinavia som er 18+ med norsk BankID Autentisering: Norsk BankID (høyt sikkerhetsnivå) 2.3 Produkter og tjenester Tjeneste Beskrivelse Volum (forventet år 1) Remittance Overføring fra norsk bank til mottaker i utlandet ~36 000 transaksjoner QR-betaling Betaling i butikk via QR-kode ~120 000 transaksjoner Merchant onboarding Registrering av butikker for QR-mottak ~200 merchanter 3. Kundebasert risiko 3.1 Kundeprofil Drops kundebase består av alle innbyggere i Norge som ønsker å sende penger til utlandet eller betale i butikk. Kundene identifiseres og verifiseres gjennom norsk BankID. 3.2 Kunderisikofaktorer Risikofaktor Iboende risiko Mitigerende tiltak Restrisiko Stråmenn (muldyr) — kunder som utfører transaksjoner på vegne av andre 3 x 3 = 9 (Høy) BankID-verifisering, transaksjonsovervåking, adferdsmønster-analyse 2 x 3 = 6 (Middels) Kunder med høyt transaksjonsvolum — volumet overstiger oppgitt formål 2 x 3 = 6 (Middels) Automatisk flagging ved avvik fra profil, EDD ved >200% 1 x 3 = 3 (Lav) PEP-kunder — politisk eksponerte personer 1 x 4 = 4 (Middels) Automatisk PEP-screening ved onboarding og løpende, EDD 1 x 3 = 3 (Lav) Kunder som sender til mange ulike mottakere — indikasjon på pengeformidling 2 x 3 = 6 (Middels) Maks antall mottakere per periode, manuell review 1 x 3 = 3 (Lav) Kunder som sender til høyrisikoland — korridorbasert risiko 3 x 3 = 9 (Høy) EDD for høyrisikokorridorer, lavere terskler, dokumentasjon av formål 2 x 2 = 4 (Middels) Nye kunder med umiddelbart høyt volum — avvikende fra normalt mønster 2 x 3 = 6 (Middels) Gradvis volumøkning, automatisk flagging, EDD 1 x 3 = 3 (Lav) 3.3 Merchant-risikofaktorer Risikofaktor Iboende risiko Mitigerende tiltak Restrisiko Kontantintensive virksomheter — restauranter, kiosker, frisører 3 x 3 = 9 (Høy) Verifisering av org.nr mot Brønnøysundregistrene, transaksjonsovervåking, EDD 2 x 2 = 4 (Middels) Nyetablerte foretak — kort driftshistorikk 2 x 2 = 4 (Middels) Utvidet KYC ved registrering, hyppigere oppfølging 1 x 2 = 2 (Lav) Uvanlig transaksjonsmønster — refusjoner, splitting 2 x 3 = 6 (Middels) Automatisk overvåking av refusjonsandel og transaksjonsmønster 1 x 3 = 3 (Lav) 4. Geografisk risiko 4.1 Metodikk Geografisk risiko vurderes basert på: FATFs vurderinger (gråliste/svarteliste) EUs liste over høyrisikoland (delegert forordning) Transparency Internationals Corruption Perceptions Index (CPI) Nasjonal risikovurdering (NRA) Basel AML Index 4.2 Korridorklassifisering Korridor Land FATF-status CPI (2024) EU høyrisiko Risikonivå Tiltak NOK → EUR EU/EØS Compliant Varierer, generelt høy Nei Lav Standard CDD NOK → PLN Polen Compliant 54 Nei Lav Standard CDD NOK → GBP Storbritannia Compliant 71 Nei Lav Standard CDD NOK → RSD Serbia Under evaluering (MONEYVAL) 36 Nei Middels Standard CDD + formålsdokumentasjon NOK → BAM Bosnia-Hercegovina Under evaluering (MONEYVAL) 35 Nei Middels Standard CDD + formålsdokumentasjon NOK → TRY Tyrkia Under evaluering (FATF) 34 Nei (per 2025) Middels Standard CDD + formålsdokumentasjon NOK → PKR Pakistan Gråliste-historikk 24 Varierer Høy EDD obligatorisk NOK → sanksjonerte land Iran, Nord-Korea, etc. Svarteliste N/A Ja Sperret Blokkert i systemet 4.3 Geografisk risikovurdering — oppsummering Risikonivå Andel av forventet volum Tiltak Lav ~30% Standard CDD, standard overvåking Middels ~50% CDD + ekstra formålskontroll, lavere terskler Høy ~15% EDD, dokumentasjon av midlers opprinnelse, manuell review Sperret 0% Korridoren er blokkert 5. Produkt- og tjenestebasert risiko 5.1 Remittance (grensekryssende overføringer) Risikofaktor Iboende risiko Mitigerende tiltak Restrisiko Grensekryssende karakter — midler forlater norsk jurisdiksjon 3 x 3 = 9 (Høy) Korridorbasert risikotilnærming, BaaS-partner med egne kontroller 2 x 2 = 4 (Middels) Hastighet — rask gjennomføring vanskeliggjør intervensjon 2 x 3 = 6 (Middels) Pre-transaksjon sankssjonsscreening, automatisk hold ved flagging 1 x 3 = 3 (Lav) Tredjeparts mottaker — mottaker er ofte annen person 2 x 2 = 4 (Middels) Registrering av mottaker, begrensning av antall unike mottakere 1 x 2 = 2 (Lav) Smurfing/splitting — flere små transaksjoner for å unngå terskler 3 x 3 = 9 (Høy) Kumulativ overvåking (daglig, ukentlig, månedlig), mønstergjenkjenning 2 x 2 = 4 (Middels) 5.2 QR-betalinger (innenlandske) Risikofaktor Iboende risiko Mitigerende tiltak Restrisiko Lavere iboende risiko — innenlandsk, begge parter identifisert 1 x 2 = 2 (Lav) Standard CDD, transaksjonsovervåking 1 x 1 = 1 (Lav) Fiktive transaksjoner — oppkonstruerte transaksjoner mellom nærstående 2 x 2 = 4 (Middels) Overvåking av transaksjonsmønster, kontroll av merchant-legitimitet 1 x 2 = 2 (Lav) Refusjonssvindel — systematisk misbruk av refusjoner 1 x 2 = 2 (Lav) Automatisk overvåking av refusjonsandel per merchant 1 x 1 = 1 (Lav) 5.3 Samlet produktrisiko Produkt Iboende risikonivå Etter tiltak Remittance Høy Middels QR-betaling Lav Lav 6. Kanal- og leveringsrisiko 6.1 Digital onboarding Risikofaktor Iboende risiko Mitigerende tiltak Restrisiko Ikke-fysisk kontakt — kunden er aldri fysisk til stede 2 x 2 = 4 (Middels) BankID gir høyt identitetssikkerhetsnivå (eIDAS «høyt»), kompenserer for manglende fysisk oppmøte 1 x 2 = 2 (Lav) Identitetstyveri — noen bruker andres BankID 1 x 4 = 4 (Middels) BankID krever personlig kodebrikke/mobil, svært vanskelig å misbruke 1 x 3 = 3 (Lav) Mobilapp — enhet kan kompromitteres 1 x 2 = 2 (Lav) Enhetsautentisering, sesjonstokens, anomalideteksjon 1 x 1 = 1 (Lav) 6.2 Samlet kanalrisiko Digital kanal med BankID vurderes som lav restrisiko grunnet høyt identitetssikkerhetsnivå. 7. Terrorfinansieringsrisiko 7.1 Vurdering Nasjonal risikovurdering (NRA) identifiserer grensekryssende overføringer som en potensiell kanal for terrorfinansiering, særlig: Små beløp til høyrisikoområder (under rapporteringsterskler) Bruk av stråmenn/muldyr 7.2 Spesifikke risikofaktorer Risikofaktor Iboende risiko Mitigerende tiltak Restrisiko Overføringer til konfliktområder 3 x 4 = 12 (Svært høy) Blokkering av sanksjonerte land, EDD for naboland til konfliktområder, lavere overvåkingsterskler 2 x 3 = 6 (Middels) Mange små overføringer til samme region 2 x 3 = 6 (Middels) Kumulativ overvåking, mønstergjenkjenning 1 x 3 = 3 (Lav) Innsamlingsaksjoner via plattformen 1 x 4 = 4 (Middels) Drop tillater kun P2P-overføringer, ingen innsamlingsfunksjon 1 x 3 = 3 (Lav) 8. Samlet risikovurdering — risikomatrise 8.1 Overordnet risikobilde Risikokategori Iboende risiko Restrisiko (etter tiltak) Kundebasert risiko Middels-Høy Lav-Middels Geografisk risiko Høy Middels Produktrisiko (remittance) Høy Middels Produktrisiko (QR) Lav Lav Kanalrisiko Middels Lav Terrorfinansieringsrisiko Høy Middels Samlet virksomhetsrisiko Høy Middels 8.2 Visualisering RISIKOMATRISE (Restrisiko etter tiltak) Konsekvens → Lav(1) Middels(2) Høy(3) Svært høy(4) ────── ────────── ────── ──────────── Svært høy(4) │ │ │ │ Høy(3) │ │ GEOGRAFI │ │ │ │ TERROR │ │ Middels(2) │ KANAL │ KUNDE │ │ │ QR-prod │ REMITTANCE │ │ Lav(1) │ │ │ │ 8.3 Konklusjon Virksomhetens samlede restrisiko vurderes som middels etter implementering av tiltak beskrevet i dette dokumentet og i hvitvaskingsrutinene. De viktigste risikoreduserende faktorene er: BankID-verifisering — sikrer høyt identitetsnivå for alle kunder Pass-through-modell — Drop holder aldri kundemidler, noe som begrenser misbruksmuligheter Korridorbasert risikovurdering — differensierte tiltak etter mottakerland Automatisert transaksjonsovervåking — regelbasert overvåking med konfigurbare terskler 9. Handlingsplan 9.1 Tiltak som skal implementeres før lansering Nr Tiltak Ansvarlig Frist Status 1 Implementere PEP- og sanksjonsscreening (API-integrasjon) Tech Lead Før lansering Planlagt 2 Implementere automatisert transaksjonsovervåking Tech Lead Før lansering Planlagt 3 Etablere compliance-dashboard Tech Lead Før lansering Planlagt 4 Inngå avtale med PEP/sanksjons-dataleverandør Daglig leder Før lansering Planlagt 5 Gjennomføre opplæring av alle ansatte Hvitvaskingsansvarlig Før lansering Planlagt 6 Registrere rapporteringskanal hos Altinn/EFE Hvitvaskingsansvarlig Før lansering Planlagt 7 Etablere rutine for korridorblokkering Tech Lead Før lansering Planlagt 9.2 Løpende tiltak Tiltak Frekvens Ansvarlig Oppdatering av risikovurdering Årlig + ved vesentlige endringer Hvitvaskingsansvarlig Oppdatering av korridorklassifisering Kvartalsvis Hvitvaskingsansvarlig Re-screening mot PEP/sanksjonslister Løpende (automatisk) System Gjennomgang av transaksjonsovervåkingsregler Halvårlig Hvitvaskingsansvarlig Rapport til styret Kvartalsvis Hvitvaskingsansvarlig Ekstern revisjon av AML-program Årlig Ekstern revisor 10. Endringslogg Versjon Dato Endring Godkjent av 1.0 2026-02-12 Førstegangs utarbeidelse Styre Dokumentet er utarbeidet i henhold til hvitvaskingsloven §6 og Finanstilsynets veiledning om virksomhetsinnrettet risikovurdering. Risikovurderingen skal gjennomgås og oppdateres minst årlig.