Rahanpesun estäminen KYC tunnistamislomake Suomi

Rahanpesun estämisen KYC-asiakkaan tunnistamislomake Suomessa on virallinen asiakirja, jota lain rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017) piirissä olevat ilmoitusvelvolliset käyttävät asiakkaan henkilöllisyyden, taustan ja asiointisuhteen tarkoituksen varmistamiseen. KYC eli Know Your Customer on käytäntö, jolla yritys tunnistaa asiakkaansa ja arvioi asiointisuhteen rahanpesuriskiä ennen liiketoimisuhteen solmimista ja sen aikana.

Rahanpesun estämislaki (444/2017) implementoi EU:n neljännen rahanpesun vastaisen direktiivin AMLD4 (2015/849) ja viidennen direktiivin AMLD5 (2018/843) Suomeen. Kuudes direktiivi AMLD6 (2018/1673) laajensi rikosoikeudellisen vastuun oikeushenkilöille ja lisäsi rikostyyppien ennustavaa listaa. FATF eli Financial Action Task Force on kansainvälinen rahanpesun vastainen toimintaryhmä, jonka 40 suositusta muodostavat globaalin AML-standardin. Suomi on FATF:n jäsen ja sai viimeisimmässä arviossaan huomautuksia ilmoitusvelvollisten kattavuudesta.

KYC-tunnistamisprosessi Suomessa sisältää kolme vaihetta. Asiakkaan tunnistaminen Customer Identification tarkoittaa luonnollisen henkilön osalta viranomaisen myöntämän asiakirjan tarkistamista, kuten passi, henkilökortti tai ajokortti. Oikeushenkilön osalta tarkistetaan kaupparekisteriote PRH:sta ja yhtiöjärjestys. Tosiasiallisen edunsaajan selvittäminen eli Beneficial Ownership velvoittaa etsimään luonnollinen henkilö, jolla on suora tai epäsuora yli 25 prosentin omistusosuus oikeushenkilössä. Suomessa PRH ylläpitää julkista UBO-rekisteriä vuodesta 2020 alkaen lain yrityksen edunsaajista (701/2019) nojalla. Riskiperusteinen arviointi Risk-Based Approach määrittää due diligence -toimenpiteiden tason kolmiportaisesti: yksinkertaistettu, normaali tai tehostettu.

Ilmoitusvelvollisia Suomessa ovat rahanpesun estämislain (444/2017) 2 §:n mukaan laaja joukko toimijoita. Rahoitussektori kattaa luottolaitokset, maksulaitokset, sijoituspalveluyritykset, rahastoyhtiöt, vakuutusyhtiöt ja vakuutusedustajat sekä valuutanvaihtoyritykset ja kryptovaluuttapalveluiden tarjoajat vuodesta 2022 alkaen. Asiantuntijapalvelut kattavat kirjanpitäjät, tilintarkastajat, veroneuvontaa tarjoavat, asianajajat tietyissä liiketoimilanteissa ja notaarit. Kiinteistö- ja kauppa-ala kattaa kiinteistönvälittäjät sekä kauppiaat, jotka hyväksyvät käteismaksuja yli 10 000 euroa.

Suomen rahanpesun torjunnan institutionaalinen rakenne koostuu useista viranomaisista. Finanssivalvonta valvoo rahoitussektoria; aluehallintovirastot (AVI) valvovat muita ilmoitusvelvollisia kuten kiinteistönvälittäjiä ja tilitoimistoja; Asianajajaliitto valvoo asianajajia. Rahanpesun selvittelykeskus (RASK) toimii Keskusrikospoliisin yhteydessä ja vastaanottaa ilmoitukset epäilyttävistä liiketoimista. RASK tekee analyysityötä ja välittää tietoja syyttäjäviranomaisille ja muille viranomaisille.

Kryptovaluuttapalveluiden tarjoajat ovat tulleet rahanpesun estämislain (444/2017) piiriin Suomessa vaiheittain. Finanssivalvonta ylläpitää kryptovaluuttapalveluiden tarjoajien rekisteriä, johon rekisteröityminen on pakollista ennen toiminnan aloittamista. EU:n MiCA-asetus (2023/1114) astui voimaan vuonna 2024 ja laajentaa merkittävästi kryptovaluuttatoimijoiden AML-velvoitteita EU-tasolla.

Kansainvälisten pakotteiden valvonta on erottamaton osa AML-ohjelmaa. EU:n pakotelistojen, YK:n pakotelistojen ja OFAC:n (Office of Foreign Assets Control) listojen tarkistaminen on pakollinen osa KYC-prosessia. Pakotteiden kohteena olevan henkilön tai yrityksen kanssa ei saa harjoittaa liiketoimintaa, eikä heille saa tarjota rahoituspalveluita. Pakotteita valvoo Suomessa Ulkoasiainministeriö ja Finanssivalvonta rahoitussektorilla.

Rahanpesun tunnistamislomake Suomessa on pakollinen aina, kun ilmoitusvelvollinen solmii uuden asiakassuhteen tai suorittaa merkittävän yksittäisen liiketoimen.

Uusi asiakassuhde edellyttää aina KYC-tunnistamista. Pankki, maksulaitos tai sijoituspalveluyritys tunnistaa asiakkaan ennen tilin avaamista, maksupalvelusopimuksen solmimista tai sijoitusneuvontasopimuksen allekirjoittamista. Ilman tunnistamista asiakassuhdetta ei saa aloittaa rahanpesun estämislain (444/2017) 3 luvun 2 §:n mukaisesti.

Yksittäinen merkittävä rahatransaktio laukaisee tunnistamisvelvoitteen. Käteis- tai käteistä vastaavan transaktio yli 10 000 euron arvosta edellyttää tunnistamista. Kiinteistökaupassa raja on 15 000 euroa. Useampi toisiinsa liittyvä transaktio, joiden yhteissumma ylittää kynnysarvon, lasketaan yhteen.

Korkean riskin asiakassuhde vaatii tehostettua due diligence -menettelyä. PEP-status, rekisteröinti FATF:n high-risk -maahan tai epäilyttävä liiketoimintamalli laukaisee EDD-vaatimukset: johdon hyväksyntä, varojen alkuperän selvitys ja tiheämpi jatkuva seuranta.

Vuosittainen KYC-päivitys on osa jatkuvaa seurantavelvollisuutta. Korkean riskin asiakkaat päivitetään vuosittain, matalamman riskin asiakkaat useamman vuoden välein. Osoitteen, UBO:n tai omistusrakenteen muutos laukaisee välittömän päivitystarpeen.

Yrityskauppojen yhteydessä KYC on aina tehtävä kaikille osapuolille. Kun yritys myy tai ostaa toisen yrityksen, sekä myyjän että ostajan on tunnistettava toisensa ja selvitettävä tosiasialliset edunsaajat. Lakiasianajotoimistot, jotka avustavat yrityskauppoissa, ovat ilmoitusvelvollisia ja tekevät KYC-tunnistamisen toimeksiantosuhteen alussa.

Kiinteistökaupat ovat erityisen korkean riskin alue AML-lainsäädännöissä. Kiinteistönvälittäjät ja notaarit ovat ilmoitusvelvollisia kaikissa kiinteistökauppatransaktioissa. Kauppahinnan maksaminen käteisellä tai kryptovaluutalla, ulkomainen ostaja tai myyjä, epätavalliset omistusrakenteet tai hintapoikkeamat markkinahinnasta ovat merkkejä kohonneesta riskitasosta.

Henkilöstön koulutus on jatkuva AML-velvollisuus. Rahanpesun estämislaki (444/2017) edellyttää, että ilmoitusvelvollinen kouluttaa henkilökuntaansa tunnistamaan rahanpesun merkit. Koulutuksen sisältö: kuinka tunnistaa epäilyttävät liiketoimet, miten täyttää KYC-lomake oikein, miten ilmoittaa epäilyttävästä liiketoimesta sisäisesti, ja mitkä ovat tipping-off-kiellon seuraukset. Koulutus on dokumentoitava ja toteutettava säännöllisesti vähintään kerran vuodessa.

Raportoinnin harmonisointi EU:n tasolla etenee. EU:n Anti-Money Laundering Authority AMLA aloittaa toimintansa 2025 ja ottaa suoran valvontaroolin suurimmissa rahoituslaitoksissa. AMLA:n määräykset tulevat sovellettaviksi myös suomalaisille ilmoitusvelvollisille. KYC-lomakkeiden on täytettävä AMLA:n tulevat yhtenäistandardit, jotka pyrkivät harmonisoimaan AML-käytäntöjä koko EU:ssa.

Rahanpesun tunnistamislomake Suomessa sisältää rahanpesun estämislain (444/2017) ja EU:n AMLD-direktiivien vaatimukset täyttääkseen seuraavat pääelementit.

Ilmoitusvelvollisen tiedot kirjataan lomakkeen ensimmäiseen osaan. Toiminimi, Y-tunnus, toimiala ja peruste rahanpesun estämislain (444/2017) 2 §:ssä sekä tunnistamisen suorittaneen henkilön nimi, asema ja päivämäärä.

Luonnollisen henkilön tunnistamistiedot kattavat nimen, henkilötunnuksen tai syntymäajan ulkomaalaisilla, kansallisuuden, kotiosoitteen sekä viranomaisen myöntämän asiakirjan tyypin, numeron ja voimassaoloajan. Asiakirjakopion ottamiseen tarvitaan erillinen peruste tietosuojalain (1050/2018) nojalla.

Oikeushenkilön tunnistamistiedot sisältävät virallisen toiminimen, Y-tunnuksen, rekisteröintimaan, liiketoiminnan kuvauksen, enintään kolme kuukautta vanhan kaupparekisteriotteen PRH:sta, hallituksen jäsenten ja toimitusjohtajan tunnistamistiedot sekä allekirjoitusoikeudet.

Tosiasiallinen edunsaaja UBO on selvitettävä kaikista oikeushenkilöasiakkaista. Rahanpesun estämislaki (444/2017) 3 luku 10 §: UBO on luonnollinen henkilö, jolla on suora tai epäsuora yli 25 prosentin omistusosuus tai äänivalta. PRH:n UBO-rekisterin tarkistaminen on ensisijainen tapa, mutta sen lisäksi on pyydettävä kirjallinen omistusrakennekaavio monimutkaisissa rakenteissa.

PEP-tarkistus on tehtävä kaikille luonnollisille henkilöille ja oikeushenkilöiden johtajille. PEP on poliittisesti altistunut henkilö, joka hoitaa tai on hoitanut merkittävää julkista tehtävää. Seulontarekisterien kuten Refinitiv World-Check tai Dow Jones Risk käyttö on välttämätöntä, sillä asiakkaan oma ilmoitus ei riitä.

Riskiprofiili kolmessa tasossa ohjaa due diligence -toimenpiteiden syvyyttä. Matala riski eli SDD soveltuu pörssiyhtiöihin ja viranomaisasiakkaisiin. Normaali riski eli CDD on tavallisin taso. Korkea riski eli EDD vaatii johdon hyväksynnän, varojen alkuperän selvityksen ja tiheämmän seurannan. forms-legal.com tarjoaa valmismallin riskiprofilointilomakkeelle.

Jatkuva seuranta tarkoittaa liiketoimien seuraamista poikkeamien havaitsemiseksi. Epäilyttävistä liiketoimista ilmoitetaan Rahanpesun selvittelykeskukselle RASK rahanpesun estämislain (444/2017) 4 luvun mukaisesti. Tipping-off eli asiakkaalle ilmoittaminen ilmoituksesta on kiellettyä.

Transaction monitoring eli liiketoimien automaattinen seuranta on kehittynyt työkalu nykyaikaisessa AML-ohjelmassa. Suuren volyymin toimijat kuten pankit käyttävät tekoälypohjaisia järjestelmiä, jotka tunnistavat poikkeavat liiketoimityypit automaattisesti. Pienemmät ilmoitusvelvolliset voivat käyttää manuaalista seurantaa, mutta säännöllinen katselmointi on silti kirjattava osaksi AML-ohjelmaa.

Kansainvälisten pakotteiden tarkistaminen on osa AML-ohjelmaa. FATF:n korkean riskin maiden listan lisäksi EU:n ja YK:n pakotellistat kuten OFAC, EU Consolidated List ja UN Consolidated List on tarkistettava ennen asiakassuhteen aloittamista. Pakotteiden kohteena olevan henkilön tai yrityksen kanssa ei saa tehdä liiketoimia, eikä heille saa tarjota rahoituspalveluita.

Suurten käteissuoritusten erityisseuranta on osa AML-ohjelmaa. Kaikki yli 10 000 euron käteismaksut on kirjattava ja asiakkaan henkilöllisyys tunnistettava. Useampi alle 10 000 euron käteissuoritus lyhyessä ajassa on arvioitava yhdessä strukturointina eli ns. smurfingina, jossa suurempi summa pirstotaan pienempiin osiin tunnistamisvelvollisuuden kiertämiseksi. Strukturointi on rangaistava teko rahanpesun estämislain (444/2017) nojalla.

Asiakassuhteen päättäminen on osa AML-ohjelmaa. Jos asiakassuhde herättää jatkuvasti epäilyjä tai asiakas kieltäytyy toimittamasta pyydettyjä KYC-tietoja, ilmoitusvelvollisella on oikeus ja velvollisuus päättää asiakassuhde. Asiakassuhteen päättäminen on tehtävä harkiten: äkillinen tilien sulkeminen ilman perustetta voi olla syrjintää, mutta jatkuvat KYC-puutteet ovat hyväksyttävä peruste.

Beneficial Ownership -selvitys on laajennettava yritysten omistusverkostoissa. Monikerroksinen omistusrakenne, jossa tosiasiallinen edunsaaja omistaa holdingyhtiön kautta osakeyhtiön, edellyttää perusteellista selvitystä. Rahanpesun estämislaki (444/2017) 3 luku 10 §: jos yksikään luonnollinen henkilö ei täytä 25 %:n kriteeriä, on tunnistettava yrityksen ylin johto. Monimutkaisissa rakenteissa on pyydettävä konsulttiselvitys tai asianajajan analyysi omistusrakenteesta.

Rahanpesun tunnistamislomake Suomessa täytetään seuraavilla käytännön vaiheilla.

Vaihe 1 – Tarkista tunnistamisvelvollisuus. Selvitä, onko yrityksesi rahanpesun estämislain (444/2017) 2 §:n mukainen ilmoitusvelvollinen. Luottolaitokset, maksulaitokset, sijoituspalveluyritykset, vakuutusyhtiöt, tilitoimistot, asianajotoimistot ja kiinteistönvälittäjät ovat aina ilmoitusvelvollisia.

Vaihe 2 – Selvitä asiakastyyppi. Luonnollinen henkilö: tarkista asiakirja silmämääräisesti tai digitaalisesti käyttäen Signicat, Veriff tai iProov -palvelua. Oikeushenkilö: hanki kaupparekisteriote PRH:sta enintään kolme kuukautta vanhana ja tarkista UBO PRH:n UBO-rekisteristä.

Vaihe 3 – Suorita PEP-tarkistus. Käytä seulontarekisteriä asiakkaan oman ilmoituksen lisäksi. Epäilyttävä poliittinen asema tai korkea julkinen virka on riittävä peruste EDD-menettelylle.

Vaihe 4 – Arvioi riskiprofiili. Liiketoiminnan luonne, maantieteelliset riskit FATF-listoineen, transaktiokäyttäytyminen, PEP-asema ja UBO:n omistusrakenne ohjaavat riskitason arviointia.

Vaihe 5 – Täytä lomake ja tallenna. Kaikki kohdat täytetään kirjallisesti, asiakkaan allekirjoitus vakuuttaa tietojen oikeellisuuden, ja lomake säilytetään vähintään 5 vuotta.

Vaihe 6 – Tarkkaile ja ilmoita tarvittaessa. Epäilyttävistä liiketoimista ilmoitetaan RASK:lle. Asiakkaalle ei saa kertoa ilmoituksesta.

Digitaalinen tunnistaminen on hyväksytty menetelmä Suomessa. Verkkopankkitunnukset (Tupas), mobiilivarmenne ja pankkitunnukset täyttävät lain vaatimuksen luotettavasta sähköisestä tunnistautumisesta. Kolmannen osapuolen tunnistamispalvelut kuten Signicat, Veriff tai iProov tarjoavat video-pohjaista biometristä tunnistamista, joka on FATF:n suositusten mukainen etätunnistamisratkaisu.

Sisäinen AML-ohjelma on laadittava kirjallisesti. Rahanpesun estämislaki (444/2017) edellyttää, että ilmoitusvelvollinen ylläpitää kirjallista riskienhallintaohjelmaa, joka kattaa: riskien arvioinnin, tunnistamisvelvollisuudet, menettelyt epäilyttävistä liiketoimista ilmoittamiseksi, henkilökunnan koulutusohjelmat ja sisäiset valvontamekanismit. Finanssivalvonta voi tarkastaa ohjelman olemassaolon ja laadun valvontatarkastuksessa.

Vaihe 7 – Päivitä AML-ohjelma säännöllisesti. Rahanpesun riskit ja sääntelyn vaatimukset muuttuvat jatkuvasti. AML-ohjelma on tarkistettava vähintään vuosittain tai aina, kun lainsäädäntö tai liiketoiminta muuttuu olennaisesti. FATF:n päivitetyt suositukset, Finanssivalvonnan uudet ohjeet ja kansainvälisten organisaatioiden julkaisut on seurattava aktiivisesti.

Vaihe 8 – Tee KYC-auditointi vuosittain. Sisäinen tai ulkoinen tarkastaja arvioi vuosittain KYC-prosessin laadun: täytetäänkö lomakkeet oikein, päivitetäänkö tietoja ajallaan, onko kaikki riskiprofilointi tehty johdonmukaisesti, onko henkilökunta koulutettu asianmukaisesti? Auditoinnin löydökset dokumentoidaan ja korjataan ennen Finanssivalvonnan mahdollista tarkastusta.

Rahanpesun tunnistamislomake Suomessa on usean eri sääntelytason piirissä.

Laki rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017) velvoittaa tunnistamiseen, riskiperusteiseen arviointiin, UBO:n selvittämiseen, PEP-menettelyihin, epäilyttävien liiketoimien ilmoittamiseen, tietojen säilyttämiseen 5 vuotta ja ilmoitusvelvollisten valvontaan Finanssivalvonnan, aluehallintovirastojen, Asianajajaliiton ja tilintarkastajien valvontaelinten toimesta.

EU:n AML-direktiivit AMLD4 (2015/849), AMLD5 (2018/843) ja AMLD6 (2018/1673) muodostavat yhtenäisen eurooppalaisen kehyksen. AMLD4 toi riskiperusteisen lähestymistavan ja UBO-rekisterivelvoitteen. AMLD5 lisäsi kryptovaluutat ja laajensi UBO-rekisteriä. AMLD6 laajensi rikosoikeudellista vastuuta oikeushenkilöihin.

FATF:n 40 suositusta muodostavat globaalin standardin. Suomen lainsäädäntö pyrkii täyttämään kaikki suositukset. FATF:n Mutual Evaluation Report Suomesta vuodelta 2019 kiinnitti huomiota parannettavaan kattavuuteen.

Finanssivalvonnan AML-ohjeet täydentävät lakia. FIVA Standardi 4.4b kattaa riskiperusteisen asiakkaantuntemisen yksityiskohdat. Hallinnolliset seuraamusmaksut lain laiminlyönneistä voivat olla merkittäviä.

PRH:n UBO-rekisteri laki (701/2019) velvoittaa kaikkia suomalaisia yrityksiä ilmoittamaan tosiasialliset edunsaajansa rekisteriin, joka on julkinen tarkistettavaksi.

Tipping-off-kielto on rahanpesun estämislain (444/2017) 4 luvun 23 §:n mukainen. Ilmoitusvelvollinen ei saa kertoa asiakkaalle, että hänestä on tehty ilmoitus Rahanpesun selvittelykeskukselle, eikä paljastaa tutkinnan käynnistymistä. Tipping-off on rangaistava teko rikoslaissa. Käytännössä tämä tarkoittaa, että jos asiakkaan kanssa on aloitettava epäilyttävän liiketoimen selvittely, se on tehtävä neutraalisti ilman viittauksia mahdolliseen ilmoitukseen.

Seuraamusmaksut ovat huomattavia. Rahanpesun estämislain (444/2017) 9 luvun mukainen hallinnollinen seuraamus voi olla enintään 5 000 000 euroa tai 10 prosenttia liikevaihdosta sen mukaan, kumpi on suurempi. Finanssivalvonta on antanut useita julkisia varoituksia ja seuraamusmaksuja suomalaisille rahoituslaitoksille AML-velvollisuuksien laiminlyönnistä. Nämä päätökset ovat julkisia ja varoittava esimerkki puutteiden seurauksista.

Kryptovaluuttatransaktioiden Travel Rule on EU-laajuinen velvoite. EU:n Transfer of Funds Regulation (2023/1113) tuli voimaan vuonna 2024 ja velvoittaa kryptovaluuttapalveluiden tarjoajia siirtämään lähettäjän ja saajan tunnistamistiedot transaktioiden mukana, kun summa ylittää 1 000 euroa. Tämä on merkittävä muutos, joka tekee kryptovaluuttasiirroista yhtä läpinäkyviä kuin perinteiset pankkisiirrot SEPA-alueella.

Kansallinen riskiarviointi ohjaa ilmoitusvelvollisten AML-toimia. Sisäministeriö ja Finanssivalvonta julkaisevat kansallisen rahanpesun ja terrorismin rahoittamisen riskiarvion, joka kuvaa Suomen korkeimman riskin sektoreita ja tuotteita. Ilmoitusvelvollisten on otettava kansallinen riskiarvio huomioon omassa riskienhallinnassaan. Viimeisin kansallinen riskiarvio suosittelee kiinnittämään erityishuomion kiinteistöalaan, yrityspalveluihin ja kryptovaluuttatoimijoihin.

Rahanpesun tunnistamislomake Suomessa jää puutteelliseksi seuraavien virheiden vuoksi.

Virhe 1 – UBO-selvityksen puutteellisuus. Ilmoitusvelvollinen tunnistaa vain hallituksen puheenjohtajan eikä selvitä tosiasiallista edunsaajaa. Holding-yhtiörakenteet voivat piilottaa UBO:n. Tarkista aina PRH:n UBO-rekisteri ja pyydä kirjallinen omistusrakennekaavio monimutkaisissa rakenteissa.

Virhe 2 – PEP-tarkistuksen pinnallisuus. Asiakkaan oman ilmoituksen varaan luottaminen ei riitä. Kansainväliset seulontarekisterit tunnistavat epäsuoran PEP-yhteyden, jota asiakas ei välttämättä itse tunnista.

Virhe 3 – KYC-tietojen päivittäminen laiminlyönnillä. Tunnistaminen tehdään kerran eikä tietoja päivitetä. Osoitteen, UBO:n tai omistusrakenteen muutos vaatii välittömän päivityksen. Korkean riskin asiakkaiden tiedot on päivitettävä vuosittain.

Virhe 4 – Asiakirjojen säilyttäminen alle 5 vuotta. Rahanpesun estämislaki (444/2017) 6 luku 27 §:n mukainen velvollisuus on viisi vuotta. Lyhyempi säilytys on lainrikkomus.

Virhe 5 – Tipping-off-kiellon laiminlyönti. Asiakkaalle kerrotaan epäilyttävän liiketoimen ilmoituksesta. Tämä on rahanpesun estämislain (444/2017) 4 luvun nojalla kiellettyä ja voi johtaa rikossyytteeseen.

Virhe 6 – Kryptovaluuttatransaktioiden FATF Travel Rule -velvoitteen laiminlyönti. Kryptovaluuttapalvelun tarjoaja ei siirrä lähettäjän ja saajan tunnistamistietoja yli 1 000 euron kryptotransaktioissa. FATF:n Travel Rule on pakollinen EU:n Transfer of Funds Regulation (2023/1113) -asetuksen nojalla. Laiminlyönti johtaa Finanssivalvonnan seuraamusmaksuun.

Virhe 7 – Henkilökunnan AML-koulutuksen puuttuminen. Ilmoitusvelvollinen ei kouluta henkilökuntaansa tunnistamaan epäilyttäviä liiketoimia tai rahanpesun merkkejä. Rahanpesun estämislaki (444/2017) edellyttää säännöllistä henkilökunnan koulutusta. Finanssivalvonnan tarkastuksissa koulutuksen dokumentaation puuttuminen on usein merkittävä löydös, joka johtaa korjaaviin toimenpiteisiin.

Virhe 8 – Ulkoistamisen riskit AML-ohjelmassa. Ilmoitusvelvollinen ulkoistaa KYC-prosessin kolmannelle osapuolelle, mutta ei seuraa palveluntarjoajan työn laatua. Rahanpesun estämislaki (444/2017) 3 luvun 5 §: ilmoitusvelvollinen vastaa edelleen AML-velvoitteistaan, vaikka prosessi on ulkoistettu. Alihankkijan virhe on ilmoitusvelvollisen vastuu. Ulkoistamissopimuksessa on kirjattava selkeästi AML-vastuut ja valvontamenettelyt.

Virhe 9 – Liian tiukat KYC-vaatimukset poissulkevat laillisia asiakkaita. Ilmoitusvelvollinen asettaa niin tiukat KYC-vaatimukset, että lailliset asiakkaat eivät täytä niitä. Tämä voi olla kohtuutonta de-risking -ilmiötä: finanssilaitos sulkee tilit asiakkailta, joita pitää liian riskialttiina ilman asianmukaista yksilöllistä arviointia. Euroopan komissio on kiinnittänyt huomiota de-risking -ongelmaan, ja Finanssivalvonta edellyttää tasapainoa riskienhallinnan ja asiakkaiden yhdenvertaisen kohtelun välillä.