Kwetsbaarheden voor witwassen bij PSP’s
Publicatiedatum 06-07-2022, 6:00 |
,Door: Noortje Boere en Erik Reissenweber (AMLC)
Inleiding
Witwassen is het verbergen en/of een schijnbaar legale status geven aan gelden[1] die afkomstig zijn uit een misdrijf, zodat het besteed en geïnvesteerd kan worden in de bovenwereld. De betaaldiensten geleverd door betaalinstellingen, ook wel Payment Service Providers (‘PSP’s’) genoemd, kunnen hiervoor ingezet worden. Witwassers willen dat hun gedrag niet opvalt en hun identiteit onbekend blijft. PSP’s verwerken grote hoeveelheden transacties, waardoor een witwasser mogelijk met zijn hoofd niet boven het maaiveld uitsteekt. Met name de vermenging van betaalstromen en de versnippering van het betaallandschap bieden aantrekkelijke mogelijkheden om wit te wassen.
Het AMLC voerde in het eerste kwartaal van 2022 een onderzoek uit naar gepercipieerde witwaskwetsbaarheden in relatie tot PSP’s en deelt via dit artikel haar bevindingen. Doel is om betrokken partijen te steunen in hun poortwachtersrol. Bij de betaalinstellingen is aandacht voor integriteitsrisico’s, maar het zicht op geldstromen die via meerdere partijen lopen ontbreekt vaak. We hebben derhalve getracht de kwetsbaarheden te identificeren die het niveau van een enkele PSP overstijgen.
We brachten hierbij een tweeledige scope aan. Als eerste onderzochten we het mogelijk misbruik vanuit het perspectief van de witwasser: hoe kan de witwasser de aard van diensten van PSP’s misbruiken om geld wit te wassen? Als tweede zijn we in het onderzoek uitgegaan van bruto kwetsbaarheden bij PSP’s: kwetsbaarheden die zich kunnen voordoen als er geen of beperkt functionerende mitigerende maatregelen zijn. Daarmee verwachten we inzichten te verschaffen voor zowel opsporing als financiële instellingen. Het is verder aan de PSP’s om passende mitigerende maatregelen in te richten.
We brachten tevens een afbakening aan in de PSP’s. Ons onderzoek richt zich op Nederlandse PSP’s met een Nederlandse vergunning, die derhalve vallen onder de Nederlandse Wet ter voorkoming van Witwassen en Financieren van Terrorisme (‘Wwft’). PSP’s met een vergunning in een ander EU land, actief onder een EU-paspoort in Nederland (voor meer uitleg: zie volgende alinea), vallen buiten de scope van dit artikel. Overigens sluiten we niet uit dat de beschreven kwetsbaarheden ook voor hen relevant zijn. Verder beperkt het onderzoek zich tot collecterende PSP’s[2] die beschikken over een vergunning voor betaaldiensten 3 en 5 (voor meer uitleg: zie volgende alinea), aangezien dit past bij de klassieke dienstverlening van een PSP en in Nederland dit de meest voorkomende betaaldiensten zijn (voor meer uitleg: zie volgende alinea). Bovendien onderzocht het AMLC in 2017 al betaaldiensten 7 en 8[3].
Deze afbakening in acht nemende, zijn we tot de volgende onderzoeksvraag gekomen:
Hoe kunnen Nederlandse vergunninghoudende PSP's worden misbruikt voor witwassen?
Betaaldiensten
Betalen is reeds meer dan een decennium niet meer uitsluitend het domein van banken. Met de introductie van de Europese Payment Services Directive (‘PSD’) in 2007 is een vergunningplicht voor niet-bancaire PSP’s in het leven geroepen, waarmee een gevarieerd gezelschap van PSP’s ontstond dat in Nederland onder toezicht staat van De Nederlandsche Bank (‘DNB’). Het doel van de PSD en het in 2015 geïntroduceerde vervolg daarop, de PSD2, was en is het creëren van een veilige, uniforme, innovatieve en transparante betaalmarkt binnen Europa.
Het bieden van betaaldiensten in de EU vereist een vergunning die wordt verstrekt door de toezichthouder in het EU-land van vestiging van de PSP. PSP’s met een vergunning kunnen in alle andere EU-landen ook betaaldiensten aanbieden met een zogenaamd EU-paspoort. Het toezicht op de PSP blijft belegd bij de lokale toezichthouder die een notificatie verzendt naar toezichthouders in de landen waar de PSP tevens betaaldiensten aanbiedt.
Betaaldiensten 3 en 5
De uitleg bij de betaaldiensten waarvoor PSP’s een vergunning kunnen aanvragen zijn uitgebreid opgesomd op de website van DNB[4]. Het valt buiten de scope van dit artikel om deze betaaldiensten in detail te behandelen; kort samengevat betreft het:
3. Diensten waarmee betalingstransacties, inclusief geldovermakingen, worden uitgevoerd op een betaalrekening bij de betaaldienstverlener van de gebruiker of bij een andere betaaldienstverlener.
5. Diensten waarmee betaalinstrumenten worden uitgegeven of aanvaard.
De klanten van dergelijke PSP’s zijn (web)winkeliers, verder aangeduid als ‘merchants’. PSP’s bieden deze merchants de mogelijkheid betalingen via diverse betaalmethoden, denk aan creditcards en iDeal, te accepteren. De meerwaarde van een PSP zit hem in het feit dat een PSP veelal een verscheidenheid aan technische koppelingen aanbiedt met vele (internationale) betaalmethoden. De PSP verzamelt de inkomende betalingen die bestemd zijn voor gecontracteerde merchants, op bankrekeningen van de aan de PSP gelieerde stichting derdengelden en keert vanaf die rekeningen in batches uit aan haar merchants. In sommige gevallen sluiten merchants op haar contract en infrastructuur zelf merchants aan. Deze duiden we aan als sub merchants (voor meer uitleg: zie kopje 2b).
Een normaal en verwacht transactiepatroon op een stichting derdengeldenrekening bij PSP’s ziet er op hoofdlijnen als volgt uit:
- Inkomende geldstromen:
- Grote bedragen van de aangesloten betaalmethoden die betalingen van consumenten gebundeld doorzetten naar de derdengeldenrekening van de PSP.
- Uitgaande geldstromen:
- Uitbetalingen naar aangesloten (bekende en gecontroleerde) bankrekeningen van merchants.
- Eventueel refunds naar rekeningen waarvandaan betalingen kwamen (niet in afbeelding).
- Overschrijvingen naar rekeningen van de PSP zelf; de inhoudingen in het kader van het verdienmodel van de PSP.
Wetgeving van toepassing op PSP’s
PSP’s vallen onder de Wet financieel toezicht (‘Wft’) en dienen derhalve over integere en beheerste bedrijfsvoering te beschikken. Zij dienen, zoals eerder aangegeven, ook te voldoen aan de Wwft. Dit brengt o.a. de verplichting met zich mee risico-gebaseerd onderzoek te doen naar de identiteit van merchants, transacties te monitoren en ongebruikelijke transacties te melden bij de Financial Intelligence Unit (‘FIU’).
Mogelijke kwetsbaarheden voor witwassen bij PSP’s
Witwassers maken doorgaans gebruik van een combinatie van kwetsbaarheden in het financiële systeem. Als voorbeeld beschrijven we hier twee fictieve scenario’s.
- Een drugshandelaar richt een nep webwinkel in waarop digitale goederen worden aangeboden zoals software downloads. De drugshandelaar koopt met illegaal verkregen contant geld Paysafecards of laat deze kopen door money mules. Met deze Paysafecards koopt de drugshandelaar vervolgens tegoed op een online gokwebsite en laat dit vervolgens uitbetalen. Hij verklaart zijn vermogen met winst uit online gokken. Of hij doet alsof hij software verkoopt via zijn eigen webwinkel en toont via de PSP aan dat het geld verkregen is uit omzet uit zijn webwinkel. Vervolgens gebruikt hij als succesvol webwinkelier de winst om in de bovenwereld vastgoed te kopen.
- Een corrupte graanhandelaar zet meerdere webwinkels voor kleding op in Europa op naam van een lege bv in Nederland. Hij sluit bij meerdere PSP’s een contract af voor het afhandelen van betalingen. Hij laat daarmee vanaf vele verschillende IP adressen verspreid over zijn accounts bij verschillende PSP’s betalingen naar zijn lege bv in Nederland stromen. De omzet bij de individuele PSP’s lijkt in lijn met wat in de branche gebruikelijk is, maar in totaal kan hij omzet fingeren die vele malen hoger ligt dan gebruikelijk.
Niet iedere kwetsbaarheid die we verderop in dit artikel behandelen is op zichzelf staand een significant risico. Zoals uit de twee scenario’s blijkt worden kwetsbaarheden in de praktijk een probleem als ze in onderlinge samenhang optreden.
Uit ons onderzoek kwamen de volgende witwas kwetsbaarheden (op volgorde van door ons ingeschatte relevantie) naar voren: vermenging van geldstromen, versnippering betaalketen, anonieme betaalmethoden, internationale transacties, start-ups kwetsbaar voor misbruik en identificatie op afstand en snelheid onboarden merchants. Deze kwetsbaarheden hangen samen met de specifieke omstandigheden bij PSP’s en de diensten die zij aanbieden.
1. Vermenging van geldstromen
Grote volumes
PSP’s faciliteren een groot volume aan transacties. En dit lijkt alleen maar meer te worden. Op 15 maart 2022 bracht de Betaalvereniging Nederland naar buiten dat de Nederlandse consument meer dan 30 miljard euro online uitgaf in 2021, wat een stijging betekent van 16 procent ten opzichte van 2020[5]. Dit grote volume brengt een kwetsbaarheid met zich mee op ongemerkte vermenging van legale en illegale geldstromen. Daar komt nog bij dat betalingen voor webshops 24 uur per dag doorlopen. Ongebruikelijke patronen in betalingsgedrag zijn daardoor lastiger vast te stellen dan voor fysieke winkels, zoals betalingen buiten openingstijden.
Inkomende betalingen van consumenten
Betaalmethode aanbieders zoals wallet providers (bv. Paypal) en creditcardmaatschappijen (bv. Visa en Mastercard) verzamelen doorgaans inkomende betalingen van consumenten voor de bij PSP’s aangesloten merchants en maken deze in batches over naar de rekening van de stichting derdengelden behorende bij de PSP.
Dit maakt inzicht in herkomst (en bestemming, zie verderop) van de gelden lastig, want de batches bestaan uit vele individuele transacties. De PSP bepaalt op basis van het berichtenverkeer over de betalingen aan welke merchant de PSP welk bedrag toekent, maar de bank die de integriteitsrisico’s met de stichting derdengelden rekening tracht te mitigeren heeft hierop geen zicht. Die ziet slechts een grote batchbetaling van de betaalmethode naar de rekening van de stichting derdengelden. De bank heeft geen inzicht in de aard van de partijen die de transactie verrichten en het doel achter die transactie. Opsporingsinstanties zoals de politie en de FIOD kunnen in een opsporingsonderzoek niet volstaan met een vordering bij de bank, want de grote batchbetalingen bevatten niet de detailinformatie die vaak nodig is in een opsporingsonderzoek.
Geparkeerde gelden op de derdengeldenrekening
Inkomende betalingen van consumenten op een stichting derdengeldenrekening zijn juridisch gezien eigendom van de merchants waarvoor de betalingen zijn bedoeld. PSP’s zijn wettelijk verplicht derdengelden veilig te stellen[6], hiervoor is de stichting derdengelden in Nederland de enige gebruikte methode[7]. Derdengelden moeten dus gescheiden blijven van de gelden van de PSP zelf (afgescheiden vermogen), met name omdat in geval van faillissement van de PSP de derden gelden buiten het faillissement vallen en alsnog kunnen worden uitgekeerd aan de merchants.
Zonder de administratie van de PSP is niet vast te stellen aan wie het saldo op de derdengeldenrekening toebehoort. De derdengeldenrekening biedt dus mogelijkheden voor merchants om (tijdelijk) vermogen te stallen zonder dat voor banken of de Belastingdienst duidelijk is bij wie dat vermogen hoort. Er zijn gevallen bekend waarbij de merchant de uitbetaling door de PSP tijdelijk blokkeert om het tegoed langer buiten zicht van instanties zoals de Belastingdienst te houden. Hier ligt dus een grote verantwoordelijkheid voor de PSP om ongebruikelijkheden niet toe te staan.
Uitbetalingen aan merchants
Bij het uitkeren door PSP’s aan haar merchants doet zich een vergelijkbaar fenomeen voor. PSP’s sparen inkomende betalingen voor merchants op om deze in de vorm van een grotere betaalopdracht bij de bank aan te leveren[8]. Omdat ook hier transacties niet op individueel niveau zijn uitgesplitst, kan de bank of een opsporingsinstantie geen herkomst, laat staan ongebruikelijkheden detecteren. De PSP kan dit uiteraard zelf wel. Er ligt dus een grote verantwoordelijkheid voor solide risico mitigerende maatregelen bij de PSP’s.
Uitvoering betaalopdrachten namens merchants
Zoals aangegeven: PSP’s dienen betaalopdrachten in bij de bank waar de stichting derdengeldenrekening de bankrekening aanhoudt voor de PSP. Bij voorkeur is dit een in grote mate geautomatiseerd proces, met ingebouwde controles. In sommige gevallen kan de merchant zelf, bijvoorbeeld in een online klantomgeving, opgeven naar welke bankrekening het saldo van de PSP dient te worden uitgekeerd. De verantwoordelijkheid voor controle van deze bankrekening ligt bij de PSP. De bank waar de stichting de rekening van de stichting derdengelden heeft ondergebracht, kan niet nagaan of een uitbetaling naar bankrekening X logisch is of verband houdt met illegale praktijken. Als een merchant een uitbetaling wenst naar een andere bankrekening, zal de PSP dus de juiste controles moeten uitvoeren op de wijziging van de bankrekening.
In dit verband dient te worden opgemerkt dat PSP’s wellicht in de verleiding komen om betaalopdrachten van merchants te verwerken. Daar kan een legitieme behoefte aan zijn: de merchant beseft dat hij een rechtmatig saldo heeft op de rekening van de stichting derdengelden en het kan bankkosten en tijd besparen als de PSP direct leveranciers van de merchant betaalt in plaats van dat het saldo eerst wordt overgemaakt naar de bankrekening van de merchant, waarna de merchant leveranciers nog moet uitkeren. Toch zou dit niet geheel in lijn zijn met de bedoeling van de PSP met een vergunning voor betaaldienst 3 en 5; het verzamelen van inkomende betalingen en dit doorzetten naar de merchant. Als de merchant betaalopdrachten indient bij de PSP, lijkt de dienstverlening van de PSP meer op het bieden van een betaalrekening aan de merchant. Of een aanvullende vergunning voor betaaldienst 1 (“Diensten waarmee de mogelijkheid wordt geboden contanten te plaatsen op een door de betaaldienstverlener aangehouden betaalrekening, en alle verrichtingen die vereist zijn voor het exploiteren van een betaalrekening”) het laten uitvoeren van betaalopdrachten helemaal dekt, is een juridisch vraagstuk waarop wij in de context van dit artikel geen eenvoudig antwoord hebben gevonden[9]. Als de PSP zich hiervoor leent, brengt dit ons inziens additionele integriteitsrisico’s met zich mee. Het is bekend dat enkele PSP’s deze service wel wensen te verlenen aan bij hen aangesloten merchants en specifiek daarvoor een bankvergunning bij DNB aanvragen.
2. Versnippering betaalketen
Onder de betaalketen verstaan we de gehele stroom van gelden van betaler naar ontvanger. Deze stroom kan over rekeningen van verschillende partijen stromen voordat het de bestemming heeft bereikt.
Beperkt zicht op levering
PSP’s hebben doorgaans geen rol in en beperkt zicht op de levering van producten aan consumenten door de merchant. De merchant kan dus betalingen ontvangen, maar geen producten leveren, zonder dat de PSP hier direct zicht op heeft. Deze kwetsbaarheid doet zich ook voor bij eenvoudigere vormen van fraude, maar dan zal de PSP na niet al te lange tijd klachten van consumenten ontvangen. Indien de merchant een complexere constructie uitvoert waarbij de betalers en merchant in feite samenwerken, kunnen merchants van deze kwetsbaarheid ook gebruik maken om illegaal verkregen geld wit te wassen, door omzet te fingeren. In een dergelijke opzet zal de PSP mogelijk opvallend weinig tot geen klachten over niet leveren ontvangen.
Beperkt zicht op herkomst en bestemming betalingen
PSP’s hebben beperkt zich op de herkomst van betalingen. PSP’s gaan contractuele relaties aan met de cliënt[10] (lees: de merchant) en de PSP dient deze merchant dan ook goed te kennen. PSP’s verwerken betalingen van de klanten aan haar merchants. De PSP heeft met deze klanten van de merchant geen cliënt- of contractuele relatie. De PSP wordt daarmee voor een deel belemmerd om de (ongebruikelijkheid van de) herkomst dan wel de (ongebruikelijkheid van de) bestemming van transacties te achterhalen. De PSP zal geen inzicht hebben in de aard van de partijen die de transacties verrichten en het doel achter die transacties. Ook de uiteindelijk belanghebbenden van betalingen kunnen in principe worden verhuld. Dit resulteert er bovendien in dat de ongebruikelijke transacties die de PSP’s melden, vaak een beperkte audit trail bevatten[11]. Grote PSP’s beschikken in tegenstelling tot kleinere PSP’s overigens over grote hoeveelheden data en zijn wellicht in staat analyses uit te voeren waarmee tot op bepaalde hoogte de (on)gebruikelijkheid van de transacties kan worden bepaald, maar dit zal lang niet altijd eenvoudig zijn. Sommige PSP’s leunen deels op de Wwft verplichtingen die de banken hebben waar betalende (rechts)personen een betaalrekening aanhouden. Banken zouden al onderzoek moeten hebben gedaan naar de betaalrekening houders en de herkomst van de gelden op die betaalrekeningen. Echter, doorgaans is leunen op uitvoering van Wwft verplichtingen door andere financiële instellingen niet toegestaan, omdat een compliance kwetsbaarheid automatisch zou overslaan op een bredere groep financiële instellingen. Alleen als ieder van deze banken hun compliance op orde heeft, mitigeert dit het risico bij de PSP in bepaalde mate.
Beperkt zicht op gehele omzet
Merchants kunnen bij meerdere PSP’s een contract afsluiten voor het ontvangen van betalingen. Dit kunnen ze om legitieme redenen doen. Het stelt merchants in staat op elk gewenst moment en voor elke gewenste betaling te schakelen naar de aantrekkelijkste PSP, waarbij kan worden gekozen voor de PSP die het aantrekkelijkst is op het vlak van:
- Inkomende en uitgaande betalingen;
- Betalingen in verschillende landen; en
- Verschillende betaalmethoden.
Deze handelswijze wordt doorgaans aangeduid met de term ‘load balancing’. Load balancing heeft tot gevolg dat een PSP een gefragmenteerd beeld heeft van het betaalgedrag en de omzet van zijn merchant. Met name als de PSP alleen wordt gebruikt voor het verrichten van uitgaande betalingen wordt het mitigeren van het integriteitsrisico nauwelijks haalbaar. De PSP wordt in zulke gevallen gehinderd in het maken van een goede risico inschatting van de merchant en haar transacties; geen enkele PSP overziet dan het gehele betalingsverkeer van een merchant en zo kan bij monitoring van merchant gedrag vertrouwen op vergelijking met peers in de sector leiden tot onbetrouwbare resultaten.
Beperkt zicht op sub merchants
De PSP handelt betalingen af voor de bij haar aangesloten merchants. De PSP ziet mogelijk niet welke merchants gebruik maken van de door de PSP geleverde betaaldiensten, indien de merchant op haar contract en infrastructuur zelf merchants (deze duiden we aan met ‘sub merchants’) gebruik laat maken van de betaaldiensten van de PSP.
Deze kwetsbaarheid kan zich voordoen in verschillende verschijningsvormen. Een (illegale) PSP kan zich bij de PSP voordoen als reguliere merchant. Een crowdfundingplatform kan betalingen van geldgevers voor een crowdfunding initiatief (geldvragers) via een PSP verwerken en zelf merchants aansluiten. In dit geval zijn die merchants de geldvragers die gebruik maken van het crowdfundingplatform[12]. Doorgaans zal de PSP merken dat een merchant sub merchants aansluit. Het is een mogelijke kwetsbaarheid dat er zonder vergunning geldstromen voor sub merchants over de rekening van een merchant lopen, denk daarbij aan een webbouwer (merchant van de PSP) die zich door de PSP op zijn eigen rekening laat uitkeren voor betalingen die bedoeld zijn voor klanten van de webbouwer die het platform bouwde, terwijl dit geld eigenlijk rechtstreeks moet worden overgemaakt naar zijn klanten. Het is de vraag of deze gang van zaken helemaal valt uit te sluiten. Dit biedt mogelijkheden voor witwassers om buiten beeld te blijven van de PSP. PSP’s die deze kwetsbaarheid erkennen, verlagen dit risico door sub merchants goed te detecteren en zelf de onboarding van sub merchants uit te voeren en de geldstromen volledig via eigen rekeningen te laten verlopen.
3. Anonieme betaalmethoden
Veel vormen van criminaliteit genereren (grote hoeveelheden) contant geld die de crimineel wil witwassen. Contant geld biedt anonimiteit. Sommige PSP’s houden weinig rekening met de risico’s die gepaard gaan met het verwerken van contant geld, omdat ze denken niet in aanraking te komen met contant geld. Veel PSP’s bieden echter wel betaalmethoden aan die slechts één stap verwijderd zijn van contant geld. Denk daarbij aan de betaalmethoden Paysafecard, bepaalde giftcards en sommige prepaidkaarten. Deze kaarten worden met contant (of giraal) geld aangekocht en worden verwerkt door een PSP. Deze betaaldiensten vallen onder vergunning 3 en 5.
Naast betaalmethoden die contant geld omzetten in giraal geld, zijn er betaalmethoden die inherent een anoniem karakter kunnen hebben. Te denken valt aan Paysafecard, bepaalde crypto betaalkaarten en bepaalde cryptovaluta. Waarde van deze betaalmethoden kan, al dan niet via een korte omweg, in worden gebracht in de transacties die een PSP verwerkt. Ook zogenaamde wallets kunnen het zicht belemmeren op de herkomst van gelden; een consument koopt producten of diensten en betaalt met een saldo op een wallet, maar het is onduidelijk op welke wijze deze wallet is gevoed.
4. Internationale transacties
De PSD heeft onder andere tot doel om een level playing field te creëren voor Europese betalingen. Internationale betalingen werden met invoering van de PSD2 verder bevorderd. Witwassen heeft doorgaans een sterk internationaal karakter. Meerdere jurisdicties betrekken in witwasconstructies kan opsporing belemmeren. PSP’s faciliteren geregeld internationale betalingen, zoals:
- Een betalende klant uit het buitenland voor een merchant die is aangesloten bij een PSP in Nederland. De identiteit van de betalende klant is onbekend, of
- Een merchant van een PSP gevestigd in het buitenland.
Er zijn naar verwachting vergunninghoudende PSP’s in Nederland die veel internationale transacties verwerken en dit ook vaak in verschillende valuta’s afhandelen.
De Nederlandse PSP is onder de Wwft verplicht ongebruikelijke transacties te melden bij de FIU. Door het internationale karakter van een deel van de transacties zal dit met regelmaat over buitenlandse merchants gaan. Een in Nederland vergunde PSP meldt echter bij de FIU-Nederland. Daar ligt dan informatie over bijvoorbeeld een Duits subject. Via de Egmont Groep[13] is het mogelijk voor de Nederlandse FIU om deze informatie met de Duitse FIU te delen, maar vergeleken met een binnenlandse transactie zijn er toch enkele extra stappen nodig om een witwasconstructie te ontrafelen.
5. Start-ups kwetsbaar voor misbruik
PSP’s beginnen veelal als start-up en schalen in hoog tempo op naar een scale-up. Start-ups die in korte tijd hun omzet verdubbelen worden door een aantal van de experts die we spraken gezien als verhoogd risico. Daar worden meerdere redenen voor gegeven.
Vaak groeien de compliance maatregelen van zo’n start-up niet op hetzelfde tempo mee. KYC en transactiemonitoring hebben nog niet de aandacht die het vereist. Bovendien beschikt de start-up vaak nog niet over de kennis, data om vergelijkingen te maken met peers en ervaring om ongebruikelijk gedrag te detecteren en melden. Overigens blijkt vergelijken met peers ook voor grotere PSP’s soms een uitdaging. Er zijn bijvoorbeeld doorgaans maar weinig veilinghuizen klant bij PSP’s en het is dan niet eenvoudig vast te stellen of het geconstateerde merchant gedrag (on)gebruikelijk is. Tevens gaat er een perverse prikkel uit van de concurrentiepositie waarin de scale-up zich bevindt: de onderlinge concurrentie tussen PSP’s is moordend, een beginnend PSP is daarom mogelijk geneigd grotere risico’s te accepteren. Grote risico’s gaan ook vaak gepaard met hogere winstmarges, dus het bieden van betaaldiensten aan hoog risico klanten in hoog risico sectoren om in de beginfase goed te verdienen is verleidelijk. En omdat de start-up nog geen grote speler in de markt is, heeft de start-up ook nog geen sterke onderhandelingspositie en zal de start-up minder hoge eisen kunnen stellen als het aankomt op verificatie van de identiteit van de klant en de bedrijfsactiviteiten. Aanleveren van gebrekkige documentatie door de merchant is voor een start-up lang niet altijd reden om de klantrelatie niet aan te gaan.
De witwasser kan van de kwetsbaarheden van zo’n start-up gebruik maken. Daar staat overigens tegenover dat het niet erg aannemelijk lijkt dat een witwasser bij een start-up onopgemerkt grote volumes kan witwassen.
6. Identificatie op afstand en snelheid onboarden merchants
Volgens art. 3 Wwft dient de PSP haar merchant te identificeren en diens identiteit te verifiëren. Aan het KYC proces van veel PSP’s kleven een aantal risico’s die we hieronder opsommen.
- Een PSP heeft relatief weinig face-to-face contact met merchants. PSP’s richten hun processen in op het snel en frictieloos aansluiten van nieuwe merchants. Hier staat overigens tegenover dat een digitale onboarding (veel) slimme datapunten zoals locatie, tijdstip en vergelijking van gegevens kan verzamelen;
- Het komt voor dat de PSP al betalingen namens recentelijk aangesloten merchants ontvangt, terwijl het KYC proces nog niet is afgerond. De onderlinge concurrentie tussen PSP’s op de snelheid waarmee een merchant ‘live’ kan gaan (lees: betalingen kan gaan accepteren) en druk vanuit de merchants, omdat de webshop al snel live gaat, ligt hier in veel gevallen aan ten grondslag. Merchants frictieloos aansluiten staat op gespannen voet met grondige uitvoering van het identificatie- en verificatieproces, met name in hoog risico gevallen en als de merchant in de periode tussen ontvangen eerste betalingen en uitkeren richting de merchant de gewenste documentatie ter identificatie en verificatie niet aanlevert;
- PSP’s die uitsluitend digitale betalingen verwerken leunen doorgaans (deels) op de KYC die is uitgevoerd bij banken waar de merchant en betalende consument een bankrekening heeft. Zoals gezegd, juridisch gezien heeft iedere financiële instelling in de keten een eigen verantwoordelijkheid;
- Merchants zijn vaak webwinkel eigenaren. In veel gevallen hebben zij weinig ‘materie’ nodig om te functioneren. Dit kan het voor de PSP extra lastig maken om de legitimiteit van een merchant in te schatten. Dit leidt ertoe dat deze merchants via een verscherpt cliëntenonderzoek onderzocht dienen te worden[14], waarvoor tijd en middelen niet altijd voor handen zijn;
- PSP’s wisselen om uiteenlopende redenen, waaronder privacy, onderling geen informatie uit op klantniveau. Wordt een merchant afgesloten bij de ene PSP wegens onacceptabele integriteitsrisico’s, dan kan de merchant dus bij een andere PSP een nieuwe poging wagen. In veel gevallen weet de kwaadwillende merchant dan welke informatie moet worden achtergehouden om te worden geaccepteerd als klant.
Conclusie
In dit artikel beschreven we op basis van literatuurstudie en interviews met experts welke kwetsbaarheden zich kunnen voordoen bij vergunde Nederlandse PSP’s die betaaldiensten 3 en 5 aanbieden. Deze kwetsbaarheden hangen samen met de aard van de diensten die PSP’s bieden. De witwaskwetsbaarheden en scenario’s die we beschreven zijn voortgekomen uit theoretische inzichten uit de literatuur dan wel ideeën van experts. Wellicht dat, op basis van de beschreven kwetsbaarheden en toenemende aandacht hiervoor, potentieel risicovolle transacties en omstandigheden beter en eerder kunnen worden gedetecteerd en onderkend en dat aanscherping plaatsvindt inzake het melden van ongebruikelijke transacties bij de FIU. Met die aangescherpte meldingen kunnen wij weer meer gericht de strijd aan gaan met witwassers. Om de risico’s ontstaan door de versnippering van de betaalmarkt tegen te gaan zullen marktpartijen in de hele betaalketen, waaronder private en publieke partijen, goed moeten samenwerken.
Onderzoeksverantwoording
We hebben gebruik gemaakt van meerdere onderzoeksmethoden. Als eerste hebben we een literatuurstudie uitgevoerd. In verschillende wetenschappelijke databases is gezocht op zoektermen zoals ‘payment service provider’, ‘PSP’, ‘fintech’, ‘witwassen’ en ‘money laundering’. Gedurende de uitvoering van ons onderzoek werd ons duidelijk dat er weinig fundamenteel (wetenschappelijk) onderzoek is verricht naar de witwasmogelijkheden bij PSP’s. Vervolgens hebben we een achttal gesprekken gevoerd met experts uit zowel de publieke als private sector, zijnde de FIU, Europol, Politie, VBIN, Big Four en PSP’s. Als derde hebben we strafrechtelijke onderzoeken bevraagd op mogelijke modus operandi en kwetsbaarheden. Als laatste hebben we het artikel laten tegenlezen door een groep experts (waaronder de eerder genoemde gesprekspartners).
[1] Of goederen
[2] https://www.vbin.nl/wp-content/uploads/2014/04/VBIN-Betaalinstellingen-en-Elektronisch-geld-instellingen.pdf
[3] AMLC (2017), De tweede Europese betaaldienstenrichtlijn (PSD2) en de risico’s op fraude en witwassen.
[4] https://www.dnb.nl/voor-de-sector/open-boek-toezicht-sectoren/betaalinstellingen/vergunningaanvraag-betaaldiensten-overzichtspagina/betaaldiensten-waarvoor-een-vergunning-nodig-is/
[5] https://www.betaalvereniging.nl/actueel/nieuws/consument-geeft-online-meer-dan-30-miljard-euro-uit-in-2021/
[6] Artikel 3:29a lid 1 Wft
[7] De wet voorziet tevens in een garantstelling, maar die wordt vanwege kosten in de praktijk niet gebruikt
[8] Soudijn, 2019; Soudijn & Akse, 2016
[9] https://www.dnb.nl/voor-de-sector/open-boek-toezicht-wet-regelgeving/toezicht-wet-regelgeving/psd2/spaarrekeningen/
[10] Zoals bedoeld in de Wwft
[11] van der Veen & Heuts, 2020
[12] Crowdfundingplatformen hebben een Wwft verplichting, waarop de PSP niet volledig kan leunen
[13] De Egmont Groep is een internationaal samenwerkingsverband gericht op het verbeteren van de internationale gegevensuitwisseling tussen FIU’s. Momenteel zijn wereldwijd 167 FIU’s aangesloten bij de Egmont Groep. Bron: FIU-nederland.nl
[14] Joosen (2020), FinTech, BigTech en de antiwitwaswetgeving, Tijdschrift voor Financieel Recht (5)