Verouderde browser

U gebruikt een verouderde browser. DNB.nl werkt het beste met:

07 november 2019 Toezicht

Toezicht

Vraag:

Dienen betaalinitiatiedienstverleners (PISP) transactiemonitoring uit te voeren?

Antwoord:

Ja. Voor Payment Initiation Service Providers (PISPs) is het belangrijk dat zij adequaat transacties monitoren, ondanks dat achterliggende banken deze verplichting ook hebben.

De hoofdregel hierbij is dat transactiemonitoring op risico-gebaseerde wijze kan worden uitgevoerd. Een PISP dient minimaal periodieke (post-event) controles uit te voeren op de uitgevoerde initiaties en daarbij monitoren op:

  • Afwijkende bedragen;
  • Frequentie en volume van initiaties;
  • Initiaties voor betalingen naar hoog risicolanden;
  • Logica: is er een economische ratio?

Een betaalinstelling heeft net als een bank een poortwachtersfunctie en een eigen verantwoordelijkheid haar transacties te monitoren. Een bank heeft bovendien alleen zicht op transacties die lopen over rekeningen van de individuele bank. Een PISP heeft zicht op het collectief aan transacties die worden verricht met tussenkomst van meerdere banken, waardoor zij een overkoepelend beeld over meerdere banken kan hebben. Hierdoor heeft de PISP ten aanzien van sommige transacties beter zicht of sprake is van een ongebruikelijke transactie op het gebied van witwassen of terrorismefinanciering dan dat één enkele bank zal hebben. Wanneer een dergelijke ongebruikelijke transactie door de PISP wordt vastgesteld dient deze onverwijld te worden gemeld aan de FIU-NL.

Tevens bestaat bij betaalinitiaties het risico op fraude. Op basis van PSD2 kunnen banken toegang van derde partijen (bijvoorbeeld PISPs) blokkeren als zij het bewijs hebben dat met de transactie gefraudeerd wordt of de transactie ongeautoriseerd is. Banken moeten proactief monitoren en adequate systemen voor transactiemonitoring implementeren in de bedrijfsvoering. Ondanks deze verplichting voor banken moeten PISPs ook zelf voldoen aan de vereisten van transactiemonitoring. Transactiemonitoring dient voor de PISP ook als een tweede beveiliging, bovenop Strong Customer Authentication (SCA) tegen fraude. Transactiemonitoring is dus gericht op de bescherming tegen betrokkenheid bij witwassen, terrorismefinanciering, maar ook fraude.

Zoals gezegd kan transactiemonitoring risico-gebaseerd plaatsvinden. Hierbij kan bijvoorbeeld gebruik worden gemaakt van peer groups van vergelijkbare cliënten. Het transactiegedrag van individuele cliënten kan hiermee ten opzichte van hun peers worden vergeleken. Tevens kan sprake zijn van een verlaagde frequentie en/of intensiteit van transactiemonitoring bij (groepen van) cliënten met een laag risico. Voor meer informatie over transactiemonitoring verwijzen wij ook naar onze guidance Post-event transactiemonitoring bij betaaldienstverleners.

Buitenlandse PISP’s die vanuit een vestiging in Nederland, zoals een bijkantoor of agent, grensoverschrijdend actief zijn, zijn ook verplicht een adequaat transactiemonitoringsysteem ingericht te hebben en aan sanctiescreening te doen. Voor buitenlandse instellingen die grensoverschrijdend diensten verlenen (dus geen vestiging van bijkantoor of agent in Nederland), is de anti-witwasregelgeving van de lidstaat van herkomst van toepassing.