Påbud til Dreambox Games OÜ for overtrædelse af hvidvaskloven

4. juli 2024
Navn på spiludbyder
Dreambox Games OÜ

Spillemyndigheden har den 2. juli 2024 givet Dreambox Games OÜ (herefter Dreambox) et påbud for at have overtrådt reglerne om risikovurdering i hvidvasklovens § 7, stk. 1.

Lovområde
Hvidvaskloven
Afgørelsesform
Påbud

Reaktionen er givet i forbindelse med, at Spillemyndigheden har gennemført en inspektion af Dreambox’ skriftlige materiale, som Dreambox har udarbejdet med henblik på efterlevelse af hvidvasklovens krav om, at Dreambox skal identificere og vurdere risikoen for, at Dreambox kan blive misbrugt til hvidvask og terrorfinansiering.

Påbuddet er givet, fordi Dreambox’ risikovurdering er mangelfuld, idet denne indeholder en utilstrækkelig identificering og vurdering af risikofaktorer, som er forbundet med Dreambox’ kunder.  

Påbuddet er også givet, fordi Dreambox’ risikovurdering er mangelfuld, idet denne indeholder en utilstrækkelig identificering og vurdering af risikofaktorer, som er forbundet med Dreambox’ produkter, og fordi denne ikke indeholder en særskilt vurdering af risikoen ved selve produkterne. 

Påbuddet gives desuden, fordi Dreambox’ risikovurdering er mangelfuld, idet denne ikke indeholder en særskilt identificering og vurdering af de risikofaktorer, som er forbundet med Dreambox’ betalingsløsninger, og fordi denne ikke indeholder en særskilt vurdering af risikoen ved hver enkelt betalingsløsning. Derudover indeholder risikovurderingen ikke en identificering og vurdering af andre relevante risikofaktorer, som er er forbundet med Dreambox’ transaktioner.

Påbuddet gives også, fordi Dreambox’ risikovurdering er mangelfuld, idet denne indeholder en utilstrækkelig identificering og vurdering af andre relevante risikofaktorer, som er forbundet med Dreambox’ forretningsmodel, herunder risikoen ved Dreambox’ medarbejdere.
Det følger af hvidvasklovens § 7, stk. 1, at virksomheder omfattet af loven bl.a. skal identificere og vurdere risikofaktorer, der er forbundet med kunder, produkter og transaktioner. 

Det er Spillemyndighedens vurdering, at når spiludbyderen har vurderet sine enkelte risikofaktorer, som fx er forbundet med et specifikt produkt, skal spiludbyderen på baggrund af vurderingen af de enkelte risikofaktorer også vurdere risikoen ved selve produktet. 

Det er ligeledes Spillemyndighedens vurdering, at spiludbyderens risikovurdering ikke kun skal forholde sig til de oplistede områder i bestemmelsen. Risikovurderingen skal afspejle og dække alle dele af spiludbyderens forretningsmodel. Det betyder, at spiludbyderen fx også skal identificere og vurdere den iboende risiko, som kan være forbundet med virksomhedens organisation. Spiludbyderen kan i den forbindelse identificere og vurdere risikoen for, at spiludbyderens egne ansatte bevidst eller ubevidst enten medvirker til eller faciliterer hvidvask og terrorfinansiering gennem spiludbyderens virksomhed. 

Dermed har Dreambox ikke efterlevet forpligtelsen om risikovurdering i hvidvasklovens § 7.

Spillemyndigheden vurderer, at en mangelfuld risikovurdering kan øge Dreambox’s risiko for at blive misbrugt til hvidvask. Formålet med risikovurderingen er, at spiludbyderen skal have et brugbart værktøj, der giver et overblik og en forståelse for, hvor og i hvilket omfang spiludbyderen er udsat for at blive misbrugt til hvidvask eller finansiering af terrorisme, og hvilke tiltag, der er nødvendige for at begrænse risiciene herfor.

Handlepligt

Påbuddet medfører en handlepligt for Dreambox. Dreambox skal inden den 2. september 2024 indsende en revideret risikovurdering, som adresserer påbuddet.

Læringspunkter

Spiludbydere bør stille sig selv følgende spørgsmål på baggrund af de ovenfor identificerede overtrædelser med henblik på at forebygge, at de bliver misbrugt til hvidvask og terrorfinansiering:

  • Har vi identificeret og vurderet risikoen for hvidvask og terrorfinansiering ved alle dele af vores forretningsmodel, herunder alle kundetyper, produkter, betalingsløsninger og organisatoriske forhold?
  • Har vi særskilt risikovurderet de enkelt identificerede risikofaktorer, som er inddraget i risikovurderingen? 
  • Har vi særskilt risikovurderet hver enkelt betalingsløsning og hvert enkelt produkt?