Banken ska kontrollera identiteten av en kund i två steg och enligt så kallade riskbaserade rutiner:
- Banken måste först identifiera kunden, vilket innebär att kunden uppger sitt namn och andra uppgifter som är kopplade till kundens identitet. Exempel på sådana uppgifter är födelsedatum samt adress, person-, samordnings- eller organisationsnummer. Detta för att banken ska kunna undersöka om kunden är en så kallad PEP (person i politiskt utsatt ställning) eller om det finns andra högriskfaktorer att ta hänsyn till.
- Därefter ska banken kontrollera kundens uppgivna identitet. Det kan göras på många olika sätt. Kravet på kontroll kan variera beroende av förhållandena i det enskilda fallet. Exempel:
- Konsumenter som har en svensk ID-handling kan kontrolleras genom ett svenskt körkort, svenskt pass eller identitetskort utfärdat av en svensk myndighet eller ett svenskt, certifierat identitetskort.
- Konsumenter som inte har någon svensk ID-handling ska i stället kontrolleras mot ett utländskt pass eller någon annan identitetshandling. Passet eller identitetshandlingen ska innehålla ett fotografi av personen, uppgift om medborgarskap och vara utfärdat av en myndighet eller en annan behörig utfärdare.
- Konsumenter som helt saknar identitetshandlingar, enligt de två ovan nämnda kategorierna, ska banken kontrollera identiteten på genom andra tillförlitliga dokument och andra kontroller. En bank ska ha riskbaserade rutiner för det här.
De kontroller som ska göras av identiteten kan variera från fall till fall. Men som minimikrav gäller att den uppgivna identiteten på något sätt ska kontrolleras genom en oberoende och tillförlitlig källa vilket inte måste vara en traditionell ID-handling. I en promemoria från Finansinspektionen, angående Europeiska Bankmyndighetens (Eba) yttrande om kundkännedomsåtgärder för kunder som är asylsökande, gav man som ett exempel på en sådan källa Migrationsverkets så kallade LMA-kort i kombination med att en nära anhörig med godkänd svensk ID-handling intygar kundens identitet. Exemplet är ingen allmänt gällande regel utan just ett exempel på hur man i en specifik situation skulle kunna lösa identitetskontrollen utifrån risknivån i kundrelationen, vilket i detta fall var identifiering av en asylsökande som omfattas av undantag från kravet på arbetstillstånd (AT-UND).
Kontrollernas omfattning och noggrannhet avgörs av förhållandena i det enskilda fallet. Noggrannheten och omsorgen vid kontrollen av om en uppgiven identitet är korrekt ska vara större ju högre risk som är kopplad till kundrelationen vilket innebär att den är lägre i lågrisksituationer. Lagstiftaren har i lagens proposition uttryckt att man inte bör upprätthålla ett krav på att identiteten alltid ska vara styrkt. Därför har man medvetet använt uttrycket ”kontrollera” identiteten i lagen istället för att man ska ”verifiera” den.
Konsekvenser av om banken inte kan kontrollera kundens identitet
Enligt lagen får en bank inte etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om banken inte har tillräcklig kännedom om kunden för att kunna hantera risken som förknippas med kundrelationen. I denna kännedom ingår att man har gjort en, enligt sin riskbaserade rutin, tillräcklig kontroll av kundens identitet.
Men lagstiftaren har klargjort i lagens proposition att i vissa fall kan förhållandena vara sådana att risken med en viss produkt eller tjänst är så låg att det i inte krävs att verksamhetsutövaren vidtar alla åtgärder för kundkännedom. Risken i en viss kundrelation kan alltså hanteras trots mycket förenklade åtgärder för kundkännedom. Det riskbaserade synsättet bygger också på att brister avseende en eller flera åtgärder för kundkännedom, som till exempel kontroll av kundens identitet, ska kunna läkas genom att den fortlöpande uppföljningen och övervakningen av affärsrelationen skärps.
Källa: Konsumenternas.se , November 2018