Terugkoppeling op verdacht gemelde transacties betreffende prepaidkaarten
Door: Erik Reissenweber, AML specialist AMLC
Identificatie van gebruikers van financiële diensten is een van de speerpunten bij bestrijding van witwassen. Anoniem gebruik van prepaidkaarten lijkt vanuit anti-witwas perspectief in strijd met dit speerpunt. Het AMLC voerde een verkennende analyse uit naar de werking van anoniem gebruik van prepaidkaarten, de gepercipieerde witwasrisico’s met prepaidkaarten, de van toepassing zijnde wetgeving en de verdacht gemelde transacties die gerelateerd zijn aan prepaidkaarten en constateert op basis daarvan dat opwaarderen van prepaidkaarten met onder andere crypto of cash een witwasrisico met zich meebrengt. We troffen weinig tot geen verdacht verklaarde FIU-meldingen die wijzen op een rol van prepaidkaarten in omvangrijke witwaszaken.
Om de witwasrisico’s met prepaidkaarten goed te begrijpen bespreken we in dit artikel eerst de soorten betaalkaarten die in omloop zijn.
Definities
Onder betaalkaarten verstaan we: “fysieke of virtuele ‘kaarten’ die een bepaalde geldwaarde vertegenwoordigen die inwisselbaar is”. Deze brede definitie kunnen we verder inkleuren. Er zijn vele verschillende soorten betaalkaarten:
- Debet: transacties vinden direct plaats via het netwerk van banken, het bedrag wordt gelijk afgeschreven van de rekening van de betaler.
- Credit: betalingen worden doorgaans aan het eind van een periode afgeschreven van de rekening waaraan de creditcard is gekoppeld; er kan sprake zijn van kredietverstrekking en betaling van rente.
- Prepaid: het tegoed staat in de vorm van elektronisch geld tevoren op de kaart, de kaart kan oplaadbaar zijn, maar de limiet verbonden aan de kaart mag niet worden overschreden.
- Crypto: komt overeen met debet of credit, maar de kaart is gekoppeld aan een cryptowallet.
- Cadeau: doorgaans verbonden aan één winkelketen of een beperkt bestedingsbereik, uitzondering is bijvoorbeeld de VVV-cadeaubon, die breder te besteden is.[Voetnoot 1]
- Gaming: vergelijkbaar met de cadeaukaart, maar is alleen te besteden voor online games(ketens).
Kenmerken van betaalkaarten
Er zijn vele verschillende betaalkaarten die stuk voor stuk specifieke kenmerken hebben. Betaalkaarten onderscheiden zich op een mix van de volgende kenmerken:
- Flexibiliteit en inwisselbaarheid: een betaalkaart kan algemeen (in fysieke winkel of online) voor betalingen worden geaccepteerd (open-loop), andere kaarten kunnen alleen voor bepaalde producten of diensten of zelfs alleen bij één winkel(keten) worden verzilverd (closed-loop). Een closed‑loop kaart wordt niet aangemerkt als elektronisch geld en kent niet dezelfde wettelijke beperkingen als een open‑loop kaart. Wettelijke beperkingen met betaalkaarten behandelen we verderop in dit artikel.
- Oplaadbaarheid: de waarde op de kaart kan wel of niet worden aangevuld. Ook de betaalwijzen die worden geaccepteerd voor het opwaarderen van de kaart kan per kaart anders zijn. Mogelijk biedt de kaart de mogelijkheid te worden opgewaardeerd door een derde partij of zijn maatregelen om dit te voorkomen ineffectief.
- Anonimiteit: wat bekend is over de gebruiker van de kaart kan uiteenlopen.
- Bij uitgifte van een geldwaarde van meer dan € 150 of bij besteding op internet van meer dan € 50 dient identificatie en verificatie van de gebruiker plaats te vinden. Blijft men onder deze grenzen, dan kan de kaart anoniem worden gebruikt.
- De kaart kan direct verbonden zijn aan een betaalrekening waar al identificatie plaatsvond.
- De kaart kan wel of niet worden aangeschaft/opgewaardeerd met cash (anoniem) of cryptocurrency (anonimiteit beperkt; terug te voeren naar wallet of exchange).
- De mate waarop door de uitgever de KYC verplichtingen worden nageleefd is ook van invloed op de mate van anonimiteit van de gebruiker.
- Administratie door de uitgever van de kaart: de mate waarin opsporingsinstanties gegevens over gebruikers en transacties kunnen opvragen lopen uiteen door de wijze waarop de uitgever van de kaart haar KYC en bedrijfsprocessen inricht.
Scope van dit artikel: anoniem gebruik van prepaidkaarten
In dit artikel richten we ons op anoniem gebruik van prepaidkaarten in Nederland. Maar wat zijn prepaidkaarten nu eigenlijk precies en waarom bestaan ze?
Prepaidkaarten werden eind jaren negentig op de betaalmarkt geïntroduceerd als een alternatief voor creditcards en debet cards. Prepaidkaarten zijn begonnen als een betaalmiddel voor goederen en diensten waarbij de uitgever geen analyse van de kredietwaardigheid van de kaarthouder hoeft uit te voeren en geen kosten hoeft te dragen voor het openen en beheren van een betaalrekening bij een bank of financiële instelling.
Elektronisch geld [voetnoot 2] is een betaalmiddel dat door elektronisch geldinstellingen (EGI’s) en banken kan worden uitgegeven[voetnoot 3]. Een prepaidcard is een van de betaalinstrumenten waarmee iemand het elektronisch geld kan gebruiken.
Er zijn veel uitgevers van prepaid cards. Denk bijvoorbeeld aan ICS, Bunq, Monese, N26, Neteller, Openbank, Revolut, Paysafe, Skrill, Viabuy, Wise, Wirex. De meeste prepaidkaarten zijn gebaseerd op de grotere netwerken van uitgevers als Mastercard en VISA. Bij de meeste uitgevers van prepaid cards zullen gebruikers zich moeten identificeren, al dan niet indirect, doordat er een bankrekening waarvoor al CDD is uitgevoerd, moet worden gekoppeld aan de prepaid card. De wijze waarop uitgevers van prepaid cards dit (afgeleide) CDD proces inrichten varieert en uit diverse waarnemingen en onderzoeken blijkt dat niet al deze partijen de wettelijke vereisten in voldoende mate naleven.[voetnoot 4]
Actoren betrokken bij betalingstransacties met prepaidkaarten
Voordat we in dit artikel witwasrisico’s en wettelijke bepalingen beschrijven is het goed een overzicht te krijgen van actoren die betrokken zijn bij de afhandeling van betalingstransacties met prepaidkaarten. De voorbeelden bij de actoren zijn bedoeld om de lezer een beter beeld te geven van wat we bedoelen met de actoren. Ze zijn willekeurig, illustratief en gebaseerd op open bronnen:
- Acquirers, partijen die ontvangst van betalingen verwerkt namens winkeliers.
- Issuers, uitgevers van anonieme (zolang ze onder de Wwft grensbedragen blijven) kaarten - zoals Paysafe, Astropay, Neosurf.
- PSP’s die platforms in staat stellen online betalingen te accepteren voor de prepaidkaarten - zoals Pay.nl, Buckaroo, Adyen.
- Payment network operators die het technische platform leveren voor het uitvoeren van transacties of geld opnames, denk hierbij onder andere aan Mastercard en VISA.
- Distributors, de (fysieke of online) winkels waar je prepaidkaarten kunt kopen – zoals sigarettenwinkels, tankstations en supermarkten.
- Platforms, die online prepaidkaarten en cadeaukaarten verkopen of waarde van de ene kaart omzetten naar andere waardekaarten/cash - zoals smsbeltegoed.nl, beltegoed.nl, opwaarderen.nl, ikwiltegoed.nl, kaartdirect.nl, bundle.com, wissel.nl (meerdere domeinnamen kunnen eigendom zijn van een enkel bedrijf).
- Banken die gerelateerde transacties verwerken, bijvoorbeeld bij het opwaarderen van een prepaid kaart, maar ook omdat zij PSP’s als klant kunnen hebben.
De genoemde platforms zijn vergelijkbaar met fysieke winkels, alleen dan online. Deze platforms en de distributors zijn niet vergunningplichtig en vallen net als de fysieke winkels niet onder de PSD2 en ook niet onder de Wwft. Theoretisch kan door de issuer (de uitgever van de kaart die dus wel onder toezicht staat) worden verlangd dat zo’n platform controles uitvoert, maar experts uit de betaalwereld geven aan dat lang niet al deze partijen in de praktijk CDD-procedures hanteren die in dit opzicht voldoende betrouwbaar zijn.
Gepercipieerde witwasrisico’s met prepaidkaarten
Prepaidkaarten, ook op naam gestelde prepaidkaarten, kunnen een bepaalde mate van anonimiteit opleveren en daarmee een verhoogd witwas risico vormen, bijvoorbeeld door inzet van stromannen bij de aankoop van kaarten of gebruik van gestolen of vervalste identiteiten.
In 2013 al schreven A.N.R.N. Alibux MSc LLM en mr. drs. M.J. Bökkerink het artikel ‘Witwasrisico’s van prepaidcards en de verplichtingen onder de WWFT’ voor het vaktijdschrift Compliance, Ethics & Sustainability (destijds bekend als ‘Tijdschrift voor Compliance’).[voetnoot 5] Op basis van dit artikel, de guidelines van de European Banking Authority [voetnoot 6], de Guidance for a risk-based approach prepaid cards, mobile payments and internet-based payment services van de FATF [voetnoot 7] en algemene kennis over witwasfenomenen zouden de volgende kenmerken van anonieme prepaidkaarten het risico op witwassen kunnen vergroten:
- Kaarten bieden een bepaalde mate van anonimiteit voor de betaler.
- Kaarten zonder saldo- of bestedingslimieten.
- Kaarten kunnen in meerdere landen worden gebruikt.
- De diverse betrokken partijen (veelal in verschillende landen gevestigd) zien slechts een deel van de dienstverlening en transacties, wat effectieve transactie monitoring belemmert, hierbij valt ook te denken aan het aansluiten van klanten door verkopers van de kaarten die wellicht minder sterke CDD processen uitvoeren.
- Bepaalde kaarten kunnen worden geladen met diverse anonieme middelen, zoals cash, vouchers (die op zich weer met cash kunnen worden gekocht) of e-money producten die gebruik maken van de uitzondering in AMLD4, artikel 12 van Directive (EU) 2015/849 [voetnoot 8], wat het betrouwbaar vaststellen van legitimiteit van herkomst vermogen voor poortwachters belemmert.
- Kaarten kunnen mogelijk worden opgeladen door (niet geïdentificeerde) derden.
- De kaarten zijn compact en eenvoudig te vervoeren.
- De kaarten kunnen eenvoudig worden overgedragen aan een andere eigenaar.
- Kaarten die cash opnames toestaan.
- Kaarten die speciaal zijn ontworpen voor hoog-risicoproducten of services, zoals online gokken.
- Wettelijke limieten op de kaarten kunnen worden omzeild door meerdere accounts aan te maken bij uitgevers van prepaidkaarten; hierop zouden controles moeten zijn, maar niet elke issuer voert deze controles voldoende effectief uit[9]. Bovendien zijn op darknet sites aangetroffen waar men tegen betaling accounts bij bekende issuers kan kopen waarmee de kaart dus niet op naam van de werkelijke eigenaar komt.
- Identificatie van de koper van de (digitale) kaart vind in veel gevallen op afstand plaats.
- Mogelijk gaat er een beperkt effect uit van EU regulering op kaarten die buiten de EU worden uitgegeven en die binnen de EU bruikbaar zijn.
Het risiconiveau van anonimiteit is uiteraard afhankelijk van de functionaliteit van de kaart en het bestaan van AML/CFT-risicobeperkende maatregelen zoals financierings- of aankooplimieten, herlaadlimieten, toegang tot contant geld en of de kaart buiten het land van uitgifte gebruikt kan worden.
Prepaidkaarten mogelijk niet gezien als hoog risico op witwassen
Wanneer het gaat om witwasbestrijding is het altijd goed eerst te kijken naar standaarden en guidance documenten van de Financial Action Task Force (FATF). In juni 2013 publiceerde de FATF nog de ‘Prepaid cards, mobile payments and internet-based payments services guidance for a risk-based approach’.[voetnoot 10] Risico’s met specifieke prepaid cards die in dit rapport worden beschreven zijn samengevat in de opsomming in de vorige alinea.
In 2010 publiceerde de FATF het rapport ‘Money Laundering Using New Payment Methods’. Dit rapport heeft een aanzienlijk bredere scope dan alleen prepaidkaarten, maar in dit rapport treffen we wel twee casussen die zien op het gebruik van prepaidkaarten in het criminele circuit.
De eerste casus betreft het kopen van prepaid cadeaukaarten met gestolen creditcardgegevens. De criminelen gebruikten de cadeaukaarten om dure producten te kopen, die brachten ze vervolgens terug naar de winkel in ruil voor nieuwe cadeaukaarten of ze verkochten de producten voor contant geld. Omdat de nieuwe prepaidkaarten niet gekoppeld waren aan de gestolen creditcardrekeningnummers, waren deze lastig te koppelen aan het hele traject aan witwashandelingen toen de diefstal van de creditcardgegevens werd ontdekt.
De tweede casus betreft criminelen die zich via internet toegang verschaften tot computersystemen van bedrijven en op frauduleuze wijze geld overschreven van de bankrekeningen van de slachtoffers naar prepaidkaarten die onder controle stonden van de fraudeurs. Nadat het geld naar de kaarten was overgemaakt, werd een overeenkomstig bedrag aan contant geld opgenomen bij geldautomaten.
Dit betreft dus twee oudere casussen van minder omvangrijke fraude gevallen. Op basis van dit rapport met slechts twee casussen waarbij prepaidkaarten betrokken waren, leken prepaidkaarten destijds in elk geval niet te worden gezien als hoog risico voor wat betreft witwassen. Het FATF rapport uit juni 2013 beschrijft witwas risico’s met prepaid cards uitgebreider, maar bevat geen casuïstiek.
In de Nederlandse National Risk Assessment (NRA) witwassen van eind 2019 worden prepaidkaarten niet genoemd. Momenteel wordt nog gewerkt aan een nieuwe NRA, het is nog onduidelijk of prepaidkaarten daarin worden opgenomen.
De Supranational Risk Assessment uit 2022 van de Europese commissie [voetnoot 11] noemt de prepaid kaart zijdelings in een voetnoot op pagina 7, maar heeft kennelijk momenteel nog geen ‘strong evidence’ voor het verplaatsen van waarde over Europese grenzen:
In Regulation 2018/1672 of the European Parliament and of the Council of 23 October 2018 on controls on cash entering or leaving the Union and repealing Regulation (EC) No 1889/2005 OJ L 284, 12.11.2018, p. 6–21, ‘cash’, is defined as comprising four categories: currency, bearer-negotiable instruments, commodities used as highly-liquid stores of value and prepaid cards. For the moment prepaid cards are not covered. However, if there is strong evidence that prepaid cards are being used to transfer value across the EU borders circumventing the legislation then a delegated act might be adopted to include prepaid cards.
WODC onderzoek naar voorkeuren voor betaalmiddelen onder criminelen wijst op hoger risico prepaid kaarten
Het rapport ‘Virtuele valuta; Handelingsperspectieven voor data-gedreven opsporing’ van het Wetenschappelijk Onderzoek en Documentatie Centrum uit november 2022 meldt op pagina 62 echter het volgende:
De resultaten uit de grootschalige data-analyse schuiven Paysafe naar voren als een van de betaalmethoden waar verkopers in onderzochte Telegram groepen de grootste voorkeur voor hebben. Paysafe is populair bij verkopers van producten en diensten in uiteenlopende categorieën. Prepaid debetcards kunnen anoniem, zonder registratie bij een financiële instelling, gekocht worden. Paysafe biedt ongeregistreerde prepaid debetcards aan met een limiet van 50 euro per betaling. Wel kunnen er meerdere betalingen per kaart gedaan worden. Voor de betaling van bedragen hoger dan 50 euro, heeft de gebruiker een geregistreerd paysafecardaccount nodig.
In paragraaf 6.4.3 van het rapport constateren de onderzoekers dat wetenschappelijke studies een beperkte duiding van de omvang en impact van prepaid debet- en creditcards opleveren, maar enkele experts die aan het onderzoek deelnamen als respondent spraken hun verwachting uit dat het crimineel gebruik van prepaidkaarten waarschijnlijk hoger ligt dan algemeen bij de opsporing wordt aangenomen. Met name omdat prepaid debetcards ook bij fysieke winkels anoniem met fiat geld kunnen worden gekocht.
Wettelijke bepalingen en vergunningseisen (uitgifte) prepaidkaarten in EU
In 2009 werd de 2e elektronischgeldrichtlijn (2EMD) in de Europese Unie (EU) van kracht, met als doel het gebruik van elektronisch geld, waaronder via prepaid cards, te stimuleren. De EU heeft vervolgens maatregelen genomen om het misbruik van prepaidkaarten voor illegale doeleinden te voorkomen door met de implementatie van de 4e en 5e AML-richtlijn de volgende beperkingen in te stellen:
- Een bedrag van €250 ingesteld waaronder geen Customer Due Diligence (CDD) hoeft te worden uitgevoerd, onder de 4e AML-richtlijn in 2017
- Verdere verlaging van de maandelijkse transactielimiet tot € 150 onder de 5e AML-richtlijn in 2020 (Wwft, artikel 7, lid 1a en 1b)
- Een CDD verplichting ingesteld als prepaidkaarten herlaadbaar zijn met anoniem elektronisch geld (Wwft, artikel 7, lid 1d)
- Een CDD verplichting bij online transacties boven de €50 (Wwft, artikel 7, lid 3)
- Beperkingen op het gebruik van prepaidkaarten van buiten de EU (Wwft, artikel 7, lid 4)
Uiteraard zijn de reguliere AML verplichtingen zoals monitoring van transacties en de meldplicht van ongebruikelijke transacties ook van toepassing op vergunninghoudende elektronisch geld instellingen.
De opgesomde aanpassingen lijken erop te wijzen dat wetgevers wel degelijk witwasrisico’s zien bij het anoniem gebruik van prepaidkaarten. Het AMLC publiceerde hierover destijds al het artikel ‘anonieme prepaidkaarten en cadeaukaarten’.[Voetnoot 12]
Alleen issuers en acceptanten van kaarten dienen als gevolg van de PSD2 over een vergunning in de EU te beschikken [voetnoot 13], daarmee kunnen ze met een zogenoemd paspoort in de hele EU hun kaarten aanbieden.
Toezicht op deze partijen ligt bij de EU home supervisor (de toezichthouder van het land waar de partij is opgericht dan wel zetel heeft) en zolang zo’n partij geen (fysiek) bijkantoor in een ander EU land heeft, ligt ook het AML toezicht m.b.t activiteiten in een ander EU lidstaat bij de home supervisor. AML toezicht is normaal wel nationaal geregeld, maar zonder bijkantoor is dat lastig. De Nederlandse toezichthouder DNB zou bijvoorbeeld met de home toezichthouder moeten samenwerken als DNB iets zou willen doen tegen zo’n partij als die in Nederland actief is en als er in Nederland witwasvermoedens zijn maar geen Nederlands bijkantoor is van die partij.
Zoals voor alle EU financiële instellingen is ook op deze issuers de nationale AML wetgeving van toepassing en art 12 van de EU AMLD legt alle EU landen op lokale wetgeving te implementeren - Nederland heeft gedaan in de vorm van artikel 7 Wwft. Als een card issuer niet aan de cumulatieve eisen van dat artikel kan voldoen, zal er CDD moeten worden toegepast. De European Banking Authority (EBA) wees er in een recent rapport op dat de witwasrisico’s bij veel payment institutions onvoldoende effectief worden beheerst.[voetnoot 14] In de nieuwsbrief van de EBA van juni 2023 stond:
The EBA’s findings also suggest that not all competent authorities are currently doing enough to supervise the sector effectively. As a result, payment institutions with weak AML/CFT controls can operate in the EU, for example by establishing themselves in Member States where authorisation and AML/CFT supervision processes are less stringent to passport their activities cross-border afterwards.
Verdacht verklaarde transacties die gebruik van prepaidkaarten duiden
Om meer inzicht te verkrijgen in het gebruik van prepaidkaarten voor witwasdoeleinden heeft het AMLC in juli 2023 een eerste en beperkte analyse uitgevoerd op de Verdachte Transacties (VT’s) betreffende prepaidkaarten.
Achtergrond en afbakening analyse
De meldteksten bij de VT’s kunnen een interessante indicatie geven van bepaalde fenomenen en trends, maar een totaalbeeld van het werkelijke criminele gebruik van prepaidkaarten levert een dergelijke analyse niet op, aangezien de bron VT’s door twee filters ging: de meldingsplichtige poortwachters en de FIU-Nederland.
De analyse beperkt zich dus tot VT’s die door FIU-Nederland doorgezet zijn aan opsporing. Sommige van die VT’s zijn afkomstig van buitenlandse FIU’s, maar het merendeel richt zich op Nederland en heeft in ieder geval altijd een Nederlandse component.
De analyse software ontwikkeld door het AMLC stelt ons in staat om analyses op fenomenen uit te voeren.
- Te beginnen met recht-toe-recht-aan-tellingen op namen van bekende prepaidkaarten over alle VT’s.
- Tevens analyseerden we VT’s naar doormelddatum (de datum waarop de FIU de melding verdacht verklaarde) waarna een beeld ontstond over het verloop van de meldingen in de loop der tijd. Interessant was het daarbij te kijken naar de mogelijke invloed van de wetswijziging van 2020 betreffende verlaging van de maandelijkse transactielimiet tot €150 op prepaidkaarten en de verplichte CDD vanaf een transactie boven de € 50: hadden deze wijzigingen invloed op het aantal VT’s gerelateerd aan prepaidkaarten?
Aangezien in de afgelopen jaren het absolute aantal VT’s flink is toegenomen, keken we niet alleen naar absolute aantallen VT’s maar tevens naar de relatieve aantallen VT’s ten opzichte van het totaal aantal VT’s waarmee het beeld werd gecompenseerd dat in absolute aantallen er een grote stijging was.
Deze eerste tellingen stelden ons in staat in te zoomen op een aantal interessante witwasfenomenen die we vermeldenswaardig achten en verderop in dit artikel beschrijven.
Eerste resultaten kwalitatieve analyse
De prepaidkaarten die wij in openbare bronnen aantroffen, kwamen allen in de meldteksten voor, in meer of mindere mate.
Een aantal fenomenen die opvielen in de meldteksten van de gevonden VT’s kunnen worden aangemerkt als witwashandelingen passend bij de relatief minder omvangrijke fraudezaken (vergeleken met onder meer grotere Laundromats). Het ging hierbij vaak om meldingen over kleinere bedragen, maar bij elkaar kon het om een groot volume gaan en daarom vermeldenswaardig.
Phishing en prepaidkaarten
Bij bijna 150 van de VT’s met een relatie tot prepaidkaarten kwam het woord ‘phishing’ voor in de meldtekst. We onderscheiden daarin op hoofdlijnen twee typen fraude die banken omschrijven als ‘phishing’.
In de eerste variant van phishing krijgt de fraudeur het slachtoffer zover om namens of voor de fraudeur online een anonieme virtuele prepaidkaart aan te schaffen bij een platform. Doorgaans bestaat zo’n virtuele prepaidkaart slechts uit een lange reeks tekens die een waarde in geld vertegenwoordigt. Door op deze wijze virtuele prepaidcards te verkrijgen zorgt de fraudeur dat zijn e-mailadres, zijn ip-adres en zijn bankgegevens niet bekend worden bij het platform dat de virtuele prepaidkaarten levert en daarmee probeert de fraudeur te voorkomen dat die gegevens in handen vallen van opsporingsinstanties. De code die het slachtoffer ontvangt stuurt het slachtoffer door naar de fraudeur. Op deze wijze lijkt er eigenlijk niet direct sprake van phishing, maar zet de fraudeur een katvanger in.
In de tweede variant die we aantroffen geeft het slachtoffer middels phishing beveiligingscodes en persoonlijke gegevens door aan de fraudeur, waarmee de laatste in staat wordt gesteld om in te loggen in de digitaal bankieren omgeving van het slachtoffer waarmee vervolgens anonieme kaarten worden gekocht. Het slachtoffer ontvangt bijvoorbeeld een sms van de fraudeur waaruit het slachtoffer opmaakt dat hij een paar euro moet betalen om een pakketje te kunnen ontvangen. De klant verwacht soms zo’n pakketje, dus lijkt het bericht in eerste instantie niet verdacht. Zodra de klant op de link klikt opent een nepwebsite die lijkt op de inlogpagina van de bank, waar het slachtoffer gebruikersnaam, wachtwoord en persoonsgegevens invoert waarmee de fraudeur vervolgens prepaidkaarten aanschaft op naam van het slachtoffer, maar wel onder beheer van de fraudeur.
De indruk op basis van deze meldingen bestaat dat fraudeurs zich bewust zijn van het feit dat ze sporen achterlaten bij de aanbieders van prepaidkaarten en daarom via phishing en inzet katvanger hun identiteit buiten beeld houden. Ook is het denkbaar dat fraudeurs op deze wijze in het bezit kunnen komen van vele malen meer prepaidkaarten zonder hun identiteit te hoeven prijsgeven, omdat voor financiële instellingen op deze wijze niet is na te gaan bij welke individuen deze prepaidkaarten uiteindelijk terechtkomen. Met phishing worden mogelijk dus ook restricties op het vlak van CDD en limieten van prepaidkaarten omzeild. Het grensbedrag geldt per kaart; met vele kaarten kan iemand anoniem een aanzienlijk bedrag in elektronisch geld in bezit krijgen, maar het lijkt erop dat prepaidkaarten voor grote witwasopzetten niet praktisch zijn.
Poortwachters en meldingen van phishing
In de analyse met betrekking tot phishing in combinatie met prepaidkaarten valt op dat het met name VT’s zijn voortkomend vanuit de ongebruikelijke transacties uit de bankensector. Het gaat hier om een significant aantal. In veel van de transactieomschrijvingen van deze VT’s worden namen van betaaldienstverleners genoemd, partijen die ook een rol spelen in deze waardeketen en mogelijk ook een waardevolle rol kunnen spelen.
Het lijkt waarschijnlijk dat banken deze vormen van phishing melden en minder vaak de betaaldienstverleners zelf, omdat het slachtoffer vaak in eerste instantie contact opneemt met de bank. Of PSP’s ook over deze vorm van phishing vaker zouden kunnen melden is voor ons lastig in te schatten. Het kan bijvoorbeeld waardevol zijn als PSP’s bij de FIU-Nederland melding te maken van gevallen waarbij vele kaarten tegelijkertijd of kort na elkaar worden aangeschaft vanaf hetzelfde IP‑adres of IBAN nummer op hetzelfde platform waar de kaarten worden aangeboden. Dit kan duiden op pogingen om prepaidkaarten op anonieme wijze te gebruiken voor criminele doeleinden.
Online gambling en prepaidkaarten
Veel VT’s vanuit banken wijzen ook op een combinatie van anonieme prepaidkaarten en online gambling. Eén partij kwam daarbij specifiek in beeld. Klanten kunnen bij deze partij een e‑wallet openen die ook met crypto kan worden opgewaardeerd. Deze aanbieder wordt regelmatig genoemd in combinatie met online gambling. Uit de meldteksten van banken blijkt dat klanten geregeld wordt verzocht te verklaren waar hun transacties met deze specifieke partij precies voor dienen. Transacties die in verband staan met online gokken worden wellicht sneller door een bank gemeld omdat online gokken een hoger risico op witwassen vormt.
Uit sommige VT’s blijkt dat er naast gebruik van anonieme prepaidkaarten ook grote bedragen zijn uitgekeerd van goksites. Bij navraag van de melder, veelal de bank, zegt de klant deze prepaidkaarten te gebruiken om online te gokken en dat de uitbetaling van de goksite winst betreft. Een alternatieve verklaring voor dit patroon van anonieme tegoedkaarten die besteed worden op gokwebsites is dat er niet mee gegokt wordt maar dat het gokaccount enkel voorziet in het giraal maken en legitimeren van de herkomst (en dus witwassen) van zwart geld. Iemand die over veel illegaal verkregen contanten beschikt kan dit witwassen door zelf regelmatig anonieme betaalkaarten aan te schaffen en hiermee online zijn goktegoed op te waarderen. Of, om minder op te vallen bij de fysieke verkooppunten, de crimineel stuurt regelmatig een groepje bekenden op pad met de contanten om namens hem ieder een paar kaarten van €150 aan te schaffen. Zo kan de crimineel een aardige volume aan cash opsparen in zijn gokaccount om dan in een keer uit te laten betalen op zijn rekening. [voetnoot 15]
Terrorisme financiering gerelateerde transacties
Een ander thema dat uit de VT’s naar voren komt is terrorisme financiering (TF) in combinatie met anonieme prepaidkaarten. Het gaat om vele transacties, maar het gaat daarbij zoals gebruikelijk bij terrorisme financiering vaak om kleinere bedragen. Banken melden transacties met prepaid kaarten in relatie tot hoog-risicojurisdicties vanuit een TF-perspectief. In meldteksten van de bewuste VT’s staan dan teksten als ‘kan in relatie gebracht worden met TF’ of ‘het kan niet uitgesloten worden dat gelden worden gebruikt voor het financieren van terrorisme’.
Overigens zien we bij deze VT’s lang niet altijd verbanden met hoog-risicolanden terug. Het vermoeden bestaat dat dit komt omdat de bestemming van de betalingen bijna altijd een rekeningnummer is van een in Nederland gevestigde PSP die als begunstigde van de transactie wordt genoemd. Het gaat dan om de aanschaf van de anonieme kaarten. Op het moment dat zo’n anonieme kaart in het buitenland wordt uitgegeven is er doorgaans geen Nederlandse partij meer bij betrokken en zien we die transacties niet terug in de VT’s. De uitgever van de prepaidkaart die anoniem wordt gebruikt zou de transacties wel kunnen zien, maar deze niet kunnen koppelen aan de gebruiker van de kaart.
Onverklaarbaar gedrag
Helaas bieden veel meldteksten ook niet veel aanknopingspunten voor het bepalen van witwasfenomenen. Meldingen zoals ‘Deze klant heeft onverklaarbaar veel anonieme prepaidkaarten aangeschaft’ komen veel voor, kennelijk ziet een bank dan aanleiding voor een ongebruikelijk melding en de FIU voldoende reden om de transactie verdacht te verklaren, maar de onderliggende motivering kan vanwege hun staatsgeheim-gerubriceerde informatie [voetnoot 16] niet gedeeld worden. Het bedrag (bijvoorbeeld zo’n € 6.000) en de periode waarin de transacties plaatsvinden worden wel gemeld maar varieert. De bank vraagt de klant ook wel redenen voor de aanschaf, maar de verklaringen blijven vaak achterwege of blijven vaag. Aanschaf van kaarten komt geregeld voor in combinatie met cashstortingen waarvan bekend is dat dit ook een extra verhoogd risico op witwassen met zich meebrengt. Het is in fysieke winkels mogelijk met cash anonieme kaarten aan te schaffen. In dat geval is een anonieme kaart ook een vorm van cash; de bezitter van de kaart blijft net zo anoniem.
Analyse meldingen over prepaidkaarten sinds wetswijziging van 2021
De wetswijziging van 2021 met betrekking tot limieten op prepaidkaarten (zie: Wettelijke bepalingen en vergunningseisen (uitgifte) prepaidkaarten in EU in dit artikel) heeft, als we kijken naar de hieronder weergegeven staafdiagrammen, niet direct als gevolg gehad dat het aantal VT’s op dit vlak sterk afnam. Dit kan mogelijk worden verklaard door extra aandacht voor prepaidkaarten bij meldingsplichtige instellingen en daarmee meer meldingen, juist door de wetswijziging. Maar dit kan ook betekenen dat de wetswijziging nog geen aantoonbaar effect heeft gehad. Het aantal dossiers lijkt op het eerste oog wat afgenomen, maar daarbij moet in ogenschouw worden genomen dat de analyse betrekking heeft op meldingen uit 2022 en 2023. Mogelijk wijzigt deze trend na iets langere periode door meldingen die nog in het meldingsproces zitten of door banken later worden gemeld.
Figuur 1: absolute aantallen dossiers doorgemeld per maand m.b.t. prepaidkaarten en cadeaukaarten (een dossier wordt door de FIU opgesteld en kan meerdere VT’s).
Figuur 2: relatieve aantallen dossiers (t.o.v. alle die maand doorgemelde dossiers) doorgemeld per maand m.b.t. prepaidkaarten en cadeaukaarten (een dossier wordt door de FIU opgesteld en kan meerdere VT’s).
Conclusies analyse verdachte transacties waarbij prepaidkaarten waren betrokken
Op basis van deze verkennende VT analyse komen we tot de volgende conclusies:
- Het zijn vooral banken die melden (phishing en geldezels, etc).
- Het grootste witwasrisico wordt gezien in prepaidkaarten die kunnen worden opgewaardeerd met crypto en/of cash, aangezien de gebruiker van de kaart een grote mate van anonimiteit kan genereren, zeker als KYC wordt omzeild met stromannen of vervalste identiteiten. Criminelen blijken in ontsleutelde chatberichten dergelijke prepaidkaarten als ‘veilig’ betaalmiddel aan te prijzen, veiliger zelfs dan crypto betalingen.
- Ondanks de gepercipieerde risico’s, blijkt uit de eerste analyse van de VT’s geen duidelijk beeld van witwassen op grote schaal met prepaidkaarten.
- Opvallend is dat er veel nieuwe toetreders op deze prepaid betaalmarkt zijn, terwijl bekend is dat de marges op deze betaalproducten minimaal zijn.
- Prepaidkaarten komen regelmatig voor in fraudezaken en terrorisme financiering.
- Aanbieders van wisseldiensten spelen een belangrijke rol in de handel met prepaidkaarten. De door hen verleende diensten kunnen het verbreken van de ‘papertrail’ bevorderen. Mogelijk zouden deze partijen Wwft-verplichtingen opgelegd moeten krijgen.
Voetnoten
[Voetnoot 1, terug naar tekst] https://www.dnb.nl/voor-de-sector/open-boek-toezicht-fasen/lopend-toezicht/toezicht-op-financieel-economische-criminaliteit-integriteitstoezicht/cadeaukaarten-en-verplichting-tot-identificatie-en-verificatie-artikel-7-derde-lid-wwft/
[Voetnoot 2, terug naar tekst] Zie voor risico’s met elektronisch geld ook: https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/Guidelines/2023/EBA-GL-2023-03/1061654/Guidelines%20ML%20TF%20Risk%20Factors_conslidated.pdf (zie voor enkele risico factoren met betaalproducten vanaf blz. 64)
[Voetnoot 3, terug naar tekst] Artikel 1:1 Wwft en de ‘Elektronischgeld richtlijn’, Richtlijn 2009/110/EG
[Voetnoot 4, terug naar tekst] https://www.eba.europa.eu/eba-finds-money-laundering-and-terrorist-financing-risks-payments-institutions-are-not-managed
[Voetnoot 5, terug naar tekst] https://denhollander.info/artikel/10393
[Voetnoot 6, terug naar tekst] https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/Guidelines/2023/EBA-GL-2023-03/1061654/Guidelines%20ML%20TF%20Risk%20Factors_conslidated.pdf (vanaf blz. 64)
[Voetnoot 7, terug naar tekst] https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Guidance-RBA-NPPS.pdf.coredownload.pdf (vanaf blz. 16)
[Voetnoot 8, terug naar tekst] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32015L0849 (blz. 91)
[Voetnoot 9, terug naar tekst] Uit de (opsporing)praktijk zijn gevallen bekend waarbij dure items online werden aangeschaft met meerdere prepaidkaarten die op één adres en waarschijnlijk dus bij één eigenaar in gebruik waren
[Voetnoot 10, terug naar tekst] https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Guidance-RBA-NPPS.pdf.coredownload.pdf
[Voetnoot 11, terug naar tekst] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52022DC0554
[Voetnoot 12, terug naar tekst] https://www.amlc.nl/anonieme-prepaidkaarten-en-cadeaukaarten/
[Voetnoot 13, terug naar tekst] https://www.dnb.nl/voor-de-sector/open-boek-toezicht/sectoren/betaalinstellingen/vergunningaanvraag-betaaldiensten-overzichtspagina/betaaldiensten-waarvoor-een-vergunning-nodig-is/
[Voetnoot 14, terug naar tekst] https://www.eba.europa.eu/eba-finds-money-laundering-and-terrorist-financing-risks-payments-institutions-are-not-managed
[Voetnoot 15, terug naar tekst] Zie ook: https://www.amlc.nl/online-gokken-als-witwasmethodiek/
[Voetnoot 16, terug naar tekst] Zie: https://www.fiu-nederland.nl/faq/ik-heb-een-ongebruikelijke-transactie-gemeld-kan-de-betrokken-partij-dit-via-opsporingsdiensten-te-weten-komen/