Hoe als niet-bank om te gaan met transactiemonitoring
Het is u waarschijnlijk niet onopgemerkt gebleven dat PSD2 geïmplementeerd is. Ook de eerste vergunningen voor de twee nieuwe betaaldiensten zijn inmiddels verleend:

  • Dienst 7: de betalingsinitiatiedienst (PISP) en
  • Dienst 8: de rekeninginformatiedienst (AISP).

Voor deze Third Party Providers (TPP’s) brengt dit een reeks aan nieuwe verplichtingen, procedures en processen met zich mee. Eén daarvan is transactiemonitoring.

Waarom?
Transactiemonitoring wordt door de nieuwe dienstverleners gezien als een zware last. Veelvuldig is afgevraagd wat het nut is transacties te laten monitoren voor dienst 7 en met name voor dienst 8. De AISP stelt namelijk slechts rekeninginformatie ter beschikking van rekeningen die worden gehouden bij een bank. De PISP initieert weliswaar betalingen, maar deze gaan uitsluitend van bank naar bank. AISP en PISP komen dus geen van beide in aanraking met derdengelden en zijn volledig afhankelijk van de toegang die zij krijgen tot rekeningen die worden gehouden bij de bank. Wat is dan nog de zin van de monitoring, die reeds wordt uitgevoerd door de geavanceerde systemen van de banken?

Daarom!
DNB erkent dat achterliggende banken inderdaad dezelfde verplichting hebben. Dit neemt echter niet weg dat de betaalinstelling, net als de bank, een poortwachtersfunctie heeft. Dit betekent dat zij haar transacties moet monitoren volgens de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Zowel PISP’s als AISP’s hebben namelijk zicht op het collectief aan transacties dat wordt verricht met tussenkomst van meerdere banken, waardoor zij een overkoepelend beeld over meerdere banken kunnen hebben. Hierdoor hebben de TPP’s in sommige situaties eerder zicht op het ongebruikelijke karakter van een transactie dan dat één enkele bank heeft.

Hoe?
Hoe daadwerkelijk invulling te geven aan transactiemonitoring, is de vraag die dan resteert. Hét belangrijkste woord in dezen is ‘risicogebaseerd’. Maar wat betekent dit? Hierover is nog veel onduidelijk. Voor AISP’s leidt dit volgens DNB tot de hoofdregel dat ‘enige mate’ van monitoring moet plaatsvinden. Dit mag bijvoorbeeld maandelijks. Verder zijn er een aantal minimale richtlijnen voor transactiemonitoring. Zo vinden er in ieder geval periodieke (post-event) controles plaats op transacties tussen gekoppelde rekeningen. Daarbij wordt minimaal gescreend op:

  • Objectieve indicatoren van de Financial Intelligence Unit Nederland (FIU NL);
  • Afwijkende bedragen;
  • Frequenties;
  • Logica: economische ratio, bijvoorbeeld zakelijk-privé.

Good practice
Dat klinkt allemaal tamelijk beperkt, maar schijn bedriegt. Minimale regels zijn namelijk slechts minimaal. Volgens good practice draagt transactiemonitoring verder dan dat en  worden niet alleen transacties tussen gekoppelde rekeningen gescreend, maar alle uitgaande en inkomende transacties van en naar bijvoorbeeld:

  • Gesanctioneerde landen en/of individuen
  • Hoog risico landen en/of entiteiten
  • ‘Slapende rekeningen’

Aansprakelijkheid
Leuk zo’n good practice, maar waarom zou je als TPP niet gewoon het minimale doen? Los van het feit dat we witwassen en terrorismefinanciering een halt toe willen roepen, liggen aansprakelijkheden op de loer. Iedere instelling is verplicht om een ongebruikelijke transactie te melden zodra deze kenbaar is. Doe je dit niet, dan riskeer je een boete van DNB of zelfs strafrechtelijke vervolging door het OM.

Of en hoe je als instelling op de vingers wordt getikt, hangt af van een aantal factoren. Hierbij wordt gelet op de omstandigheden van het geval, de ingestelde business rules, de prioriteiten van de alerts en de risicoclassificaties. Het is dus zaak om de transactiemonitoring goed op orde te hebben.

Duidelijk!?
Tezamen met DNB en de marktpartijen zijn we gekomen tot een invulling van transactiemonitoring die redelijk lijkt. Of dit stand houdt is echter de vraag. De European Banking Authority (EBA) werkt namelijk aan zogenaamde EBA Guidelines voor transactiemonitoring. Hoewel DNB dus blijk geeft van haar interpretatie van transactiemonitoring, kan dit nog veranderen. Voor de Guidelines geldt namelijk het principe van ‘comply or explain’ voor toezichthouders. DNB geeft in principe de voorkeur aan ‘comply’ en zal dus naar verwachting aansluiten bij de EBA Guidelines die Q1 2020 worden verwacht. We houden u op de hoogte.

Contact

Maarten van Denzen
Maarten van Denzen
Juridisch Consultant

Naar:

Artikelen Overzicht

Praat mee!

Kennisabonnement


Onze consultants

Lees ook: