Open account now
Open account now

Danish FSA Report: Redegørelse and Moneff DK Comments

Dansk 8 October 2024
Danish FSA Report: Redegørelse and Moneff DK Comments

1. Indledning

Finanstilsynet var i december 2024 på inspektion i Safenetpay ApS. Inspektionen var en undersøgelse af betalingstjenesteområdet og hvidvaskområdet. 2023 traf Finanstilsynet afgørelse om at inddrage Safenetpays tilladelse. Safenetpay indbragte afgørelsen for Erhvervsankenævnet, som i juli 2024 trafafgørelse om at hjemvise sagen til fornyet behandling i Finanstilsynet. Virksomheden har derfor stadig sin tilladelse som e-pengeinstitut. Inspektionen i december 2024 havde til formål at give virksomheden mulighed for at vise, at den har berigtiget de forhold, som i juli 2023 førte til, at Finanstilsynet besluttede at inddrage dens tilladelse. Det er Finanstilsynets vurdering, at der fortsater store mangler i virksomhedens governance og risikostyring.

På betalingstjenesteområdet omfattede inspektionen virksomhedens forretningsmodel, ledelsesstrukturer, organisering og økonomiske forhold. På hvidvaskområdet undersøgte Finanstilsynet, om virksomheden på nærmere afgrænsede områder har tilstrækkelige procedurer, der sikrer, at den lever op til sine forpligtelser om forebyggelse af hvidvask og terrorfinansiering i henhold til hvidvaskloven.

2. Sammenfatning og risikovurdering

Safenetpay ejes af det britiske selskab Safenetpay Services Company Ltd., som har tilladelse fra det britiske finanstilsyn, FCA. Virksomhedens forretningsmodel består i at levere digitale betalingsløsninger til privat- og erhvervskunder. Den tilbyder betalingsløsninger, der gør det muligt for kunder at modtage og sende betalinger, herunder foretage internationale pengeoverførsler i forskellige valutaer. Derudover udsteder virksomheden MasterCard,som kan benyttes til betalinger i ind- og udland.

Finanstilsynet har identificeret en række organisatoriske forhold, som medfører forhøjet risiko for, at virksomheden ikke efterlever gældende ret. Det vedrører bl.a. forholdet til virksomhedens moder- og søsterselskab i UK, da en væsentlig del af den daglige opgavevaretagelse og selskabsledelse i den danske enhed foregår i de engelske enheder via outsourcing og tæt samarbejde. Der er identificeret flere risici i Danmark, herunder ineffektiv virksomhedsstyring, manglende forretningsaktivitet og begrænset kundebase.

Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er høj. I vurderingen har Finanstilsynet lagt vægt på virksomhedens grænseoverskridende og uklare organisering samt produktudbud. Finanstilsynet har ligeledes lagt vægt på, at Hvidvasksekretariatet i Den Nationale Risikovurdering af Hvidvask 2022 vurderer, at risikoen for hvidvask via betalingstjenesteområdet samlet set er betydelig. Baggrunden for vurderingen er blandt andet, at pengeoverførsel til udlandet er et højrisikoprodukt, og at betalingstjenesteområdet er med til at fragmentere betalingslandskabet og sprede finansielle aktiviteter på tværs af tjenester og landegrænser. Det betyder, at det bliver stadigt vanskeligere at få et samlet overblik over kundernes finansielle forhold, og dermed bliver det sværere at identificere mistænkelig adfærd.

Inspektionen har givet anledning til en række tilsynsmæssige reaktioner.

Betalingsområdet

Virksomhedens primære indtægter kommer fra IT- og konsulentydelser mellem Safenetpay og dets engelske moderselskab. Virksomheden har ikke reel indtjening fra de primære aktiviteter, som virksomheden har tilladelse til at udbyde. Finanstilsynet vurderer derfor, at regnskabet i den danske enhed ikke afspejler virksomhedens reelle situation. Derfor har virksomheden fået påbud om at udarbejde sit regnskab, så det fremstår retvisende for virksomhedens finansielle situation og interne outsourcingarrangementer (i). 

Derfor er det også vanskeligt at vurdere, om virksomheden kan udøve forsvarlig drift, og om der kan opstå problemer med overholdelse af kapitalkrav. Virksomheden har derfor fået påbud om at udarbejde en plan for, hvordan den vil sikre forsvarlig drift i fraværet af de store subsidier fra den engelske modervirksomhed (ii). 

Ved virksomhedens bestyrelsesmøder deltager en række personer, som ikke er en del af bestyrelsen, direktionen eller i øvrigt er ansat i Safenetpay. Virksomheden har derfor fået påbud om at sikre, at der ikke er personer, som hverken er ansat i virksomheden eller sidder i bestyrelsen, der kan udøve væsentlig indflydelse på de beslutninger, bestyrelsen træffer, eller på hvilke oplysninger, der forelægges bestyrelsen. I forlængelse heraf skal virksomheden fastsætte en politik, der opstiller klare retningslinjer for, hvordan interessekonflikter varetages i forbindelse med bestyrelsesarbejdet, herunder beskriver, hvornår personer, der ikke sidder i bestyrelsen, kan deltagepå bestyrelsesmøder (iii).

Derudover fremgår det ikke tilstrækkeligt af bestyrelsesreferaterne, hvilken tilknytning de enkelte mødedeltagere har til virksomheden, herunder hvilken indflydelse henholdsvis bestyrelsen, direktionen samt personer med tilknytning til andre dele af koncernen har på virksomhedens beslutningsprocesser. Derfor har virksomheden fået påbud om at sikre, at det tydeligt er reflekteret i bestyrelsesreferater, hvilken rolle personer udtaler sig i (iv). 

Finanstilsynet konstaterede på inspektionen, at der var indblanding fra ansatte i andre koncernselskaber i forhold til virksomhedens kontrolfunktioner. Virksomheden har derfor fået påbud om at sikre, at virksomheden indrettes således, at der er klart definerede ansvars- og arbejdsområder, og at udførelsen og kontrollen af opgaver adskilles, herunder at virksomheden opstiller procedurer, der sikrer funktionsadskillelse, så forskellige funktioner og arbejdsopgaver adskilles ved passende foranstaltninger (v). 

Inspektionen viste, at virksomheden ikke identificerede og rapporterede omrisici, herunder sikrede, at der blev iværksat tilstrækkelige kompenserende foranstaltninger med henblik på at forhindre, at virksomheden påføres unødige risici eller tab. Dette skaber en risiko for, at relevante risici ikke identificeres, rapporteres og imødegås. Virksomheden har derfor fået påbud om at sikre en effektiv procedure til at identificere og rapportere om de risici, virksomheden er eller kan blive udsat for (vi). 

Finanstilsynet har vurderet, at virksomheden ikke har dokumenteret, at den har styr på de operationelle risici forbundet med outsourcing internt i koncernen. Dette medfører en risiko for, at virksomheden ikke har overblik over eller styr på de risici, der opstår, når den outsourcer centrale opgaver. Virksomheden har fået påbud om at fastlægge procedurer for, hvornår og hvordan direktionen udpeger den oursourcingansvarlige i virksomheden (vii). Virksomheden har også fået påbud om at etablere procedurer, der sikrer en passende proces og ansvarsfordeling ved udarbejdelse af risikovurdering ved outsourcing (viii). 

Virksomheden har ikke en sikringskonto, der opfylder kravene i bekendtgørelse nr. 1360 af 30. november 2017 om e-pengeinstitutters og betalingsinstitutters sikring af brugermidler. Dette medfører en risiko for, at virksomhedens kunder mister deres penge, hvis virksomheden går konkurs. Virksomheden har fået påbud om til sikring af brugermidler at anvende et kreditinstitut, der har tilladelse i Danmark, i et andet land indenfor EU eller i et land, som EU har indgået aftale med på det finansielle område (ix). 

I virksomheden sammenblandes både medarbejdere, systemer og økonomi med virksomhedens søster- og moderselskab. Dertil er outsourcingforholdene i koncernen uigennemskuelige, fsva. hvem der er ansvarlig for hvad, og hvilke ydelser der reelt outsources, herunder den konkrete prisfastsættelse af de koncerninterne outsourcingydelser. Virksomheden har fået påbud om at redegøre for og dokumentere, hvordan den vil sikre, at den kan drive forsvarlig drift som e-pengeinstitut, herunder hvordan den vil sikre, at de tætte for bindelser mellem virksomheden og de engelske enheder ikke umuliggør Finanstilsynets effektive tilsyn med virksomheden (x).


Hvidvaskområdet

Virksomheden har ikke i tilstrækkeligt omfang indhentet oplysninger om og foretaget en vurdering af forretningsforbindelsens formål. Oplysningerne indhentes ikke tilstrækkeligt konsekvent fra kunderne, og når de indhentes, bliver de ikke i tilstrækkeligt omfang inddraget i den samlede risikovurdering af kundeforholdene.

Et tilstrækkeligt kendskab til sine kunder, herunder forretningsforbindelsens formål, er forudsætningen for, at en virksomhed ved, hvorfor en kunde ønsker et specifikt produkt eller en ydelse, herunder hvad virksomheden kan forvente af kundeforholdet. Det er desuden en forudsætning for, at virksomheden kan foretage korrekt risikoklassificering og har det nødvendige grundlag for at overvåge kunder og transaktioner. Overvågningen tager udgangspunkt i risikoklassifikationen og oplysninger om kundens forventede formål med og brugaf forretningsforbindelsen. Dette er væsentligt, da en effektiv overvågning af kunderne har til formål at opdage mistænkelige transaktioner og danne grundlag for en eventuel underretning til Hvidvasksekretariatet.

Virksomheden har derfor fået påbud om konsekvent og i tilstrækkeligt omfang at indhente oplysninger om forretningsforbindelsens formål (xi).

Virksomhedens risikovurdering af specifikke brancher er utilstrækkelig og afspejler ikke de egentlige risici, der er forbundet med de enkelte brancher. Finanstilsynet vurderer, at virksomheden i sin risikovurdering af brancher bl.a. skal inddrage vurderingerne i Den Nationale Risikovurdering af Hvidvask 2022 samt bilag 3 til hvidvaskloven.

Risikoklassifikation af kunder har afgørende betydning for, hvilke kundekendskabsprocedurer og overvågningstiltag virksomheden skal iværksætte. Utilstrækkelig eller manglende risikoklassifikation medfører derfor en risiko for, at virksomheden ikke har et retvisende billede af kunden, herunder at virksomheden ikke kan indføre passende foranstaltninger for eksempelvis kunder, der er forbundet med øget risiko.

Virksomheden har derfor fået påbud om at ændre sin nuværende risikoscoring af branchetyper, så den i højere grad tager udgangspunkt i de reelle risici, der er forbundet med de pågældende brancher. Vurderingen skal bl.a. bero på de nationale risikovurderinger samt bilag 3 til hvidvaskloven. Virksomheden skal herefter gennemgå og vurdere sin eksisterende erhvervskundepor tefølje for at vurdere, hvorvidt den ændrede risikoscoring af branchetyper giver anledning til at ændre virksomhedens eksisterende erhvervskunders risikoklassificering. Såfremt erhvervskundernes risikovurdering ændres til høj, skal virksomheden gennemføre skærpede kundekendskabsprocedurer på de pågældende kunder (xii). 

 

i. § 25, stk. 1, nr. 2, jf. § 34, stk. 1, i lov om betalinger, jf. § 98 c i årsregnskabsloven.
ii. §10, stk. 1, nr. 10, i lov om betalinger.
iii. § 25, stk. 1, nr. 1, i lov om betalinger.
iv. § 25, stk. 1, nr. 1 og 6, i lov om betalinger.
v. § 25, stk. 1, nr. 1, i lov om betalinger.
vi. § 25, stk. 1, nr. 4, i lov om betalinger.
vii. § 12, stk. 3, i outsourcingbekendtgørelsen.
viii. § 39, stk. 2, nr. 2, i lov om betalinger, jf. § 19, stk. 1 og 2, i outsourcingbekendtgørelsen.
ix. § 4, stk. 1, i bekendtgørelse om e-pengeinstitutters og betalingsinstitutters sikring af brugermidler (nr. 1360 af 30/11/2017).
x. § 10, stk. 1, nr. 6, i lov om betalinger.
xi. § 11, stk. 1, nr. 4, i lovbekendtgørelse 2024-06-21 nr. 807 om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme (hvidvaskloven).
xii. § 11, stk. 3, i hvidvaskloven.

Comments by Moneff DK

on the above information published by the Danish Financial Supervisory Authority (with regards to the December 2024 DFSA Inspection)

 


Moneff (the trading name of Safenetpay ApS) notes that the information presented in the Danish FSA's assessment bears relation to the period spanning from 2022 to December 2024 and that the conclusions arrived at by the regulator at the time may not accurately reflect the current state of play in the areas scrutinised. Nevertheless, Safenetpay ApS takes the information seriously and would like to provide a number of detailed comments on the coordinated work with the regulator to put in place the feedback and on the results achieved.



Increased Inherent Risks of the Payment Industry

Moneff is cognisant of the emphasis the Danish AML Secretariat puts on the AML and CTF inherent risks for the payment services industry, with their cross-border nature and an increasingly complex landscape. In this regard, much attention is being paid by Moneff to mitigating the pertinent risks through well-designed and implemented systems and controls, including the control of regular independent financial crime audits as another line of defence.


Financial Performance and EMI Authorisation

While Moneff recognises that the financial results generated by its licensed business had been relatively moderate over the period in question, it would be fair to note that the company had had to recover from the contributory impact of the regulator’s prior disputed decision to withdraw the EMI authorisation – as later overruled by the Danish Board of Appeals, with the EMI license reinstated. That includes periods of forced business inactivity / low activity and the ensuing need to restart operations and expand the customer base from the ground up.


Financial Accounts

As concerns the regulator’s remark on the accuracy of the financial accounts, Moneff would like to emphasise that the accounts scrutinised had in fact been draft managerial accounts (that is, preliminary accounts) and not the final or audited accounts for the period. Generally, in compliance with one of its legal and regulatory obligations as a Danish EMI, Moneff has been consistent in completing its annual financial audits with an industry-leading financial audit firm. Bearing in mind the specific requirements and being committed to full transparency, Moneff provided financial statements that present a true and fair view of its financial position. Finally, in line with the Danish FSA requirements Moneff will be preparing audited accounts with a split presentation of revenue from the regulated and unregulated lines of business for its next annual financial audit.


Business Projections and Sustainability, Capital Requirements

Regarding the projections of business and financial sustainability going forward, a relevant plan has been prepared and was presented to the regulator. As of this writing, the customer base and revenues have been growing steadily and the trend is expected to continue.

It is worth mentioning that Moneff has been consistently complying with the pertinent EMI capital requirements, including after the time period under scrutiny (2023-2024) and up until the current time.


Board of Directors Proceedings and Independence of Decision Making

Prior to the inspection the board used to invite to its meetings external consultants who were not regular board members in order for the board to make decisions that were well-informed and based on complete information. In the course of the inspection, the Danish FSA expressed the view that such engagements could exercise significant undue influence on the board in the course of its meetings or otherwise give rise to conflict of interests. The regulator’s feedback was accepted by the company and resulted in the company updating its governance practices, conflict of interest policy and meeting-minuting approach.


Enhanced Risk Identification and Reporting

The Danish FSA’s feedback on risk identification and reporting was exhaustively actioned. Moneff’s revised BWRA sets out a clear and structured methodology that defines risk owners, escalation triggers, and the required board-level reporting for all material risks. Moneff also highlights that the updated BWRA provides a more transparent and comprehensive overview of inherent, residual, and emerging risks, ensuring that the company’s risk-management framework remains responsive, proportionate, and aligned with statutory expectations.


Outsourcing Risks, Software Environment Segregation

Despite the regulator’s remarks to the contrary in the published assessment, Moneff respectfully notes that the outsourcing risk assessment and the related materials were provided to the regulator in the course of the December 2024 inspection or as a result of an associated follow-up request. In addition, Moneff put in place relevant policies for outsourcing and third-party oversight. The designation of the Outsourcing Manager works as another control for outsourcing oversight. 

Another noteworthy point is that while Moneff DK utilises the platform and systems that are also used by its UK EMI parent company, the environments for those systems are completely segregated between the two entities, and limited access rights for the users further reinforce such segregation.


Safeguarding Accounts

Moneff previously safeguarded some of its electronic money using segregated bank accounts in Switzerland. Moneff appreciated and endorsed the view of the Danish FSA that Swiss banks do not formally meet the EU and Danish requirements as to safeguarding. In order to address this, Moneff coordinated the matter with the Danish FSA and changed its banking partners for safeguarding. Moneff now safeguards all relevant funds for e-money in segregated accounts with credit institutions in Denmark and the EU, in line with the regulatory safeguarding requirements.


Customer Due Diligence (CDD) 

The company has reviewed the Danish FSA’s remarks as to Moneff’s customer due diligence. Moneff respectfully notes that Moneff’s financial crime prevention systems and controls, mentioned by the regulator, had already been in place at the time of the December 2024 inspection.

Moneff confirms that its systems already capture and document the purpose and intended nature of each customer relationship as part of its standard KYC process for both corporate and individual customers. This is a matter of fact that can be confirmed by Moneff’s CDD-related record keeping, its consistent audit trail for cross-checking. Moneff will continue to keep in contact with the Danish FSA to provide all the necessary supporting evidence on that point once again. 

Additionally, immediately following the inspection and in line with the feedback provided by the regulator, Moneff added a source of awareness question to the onboarding flow, where customers select how they heard about Moneff.


Customer Risk Assessment

Moneff has consistently implemented a risk-based approach in its customer assessments. Although Moneff’s approach to customer risk assessment had been largely compliant with the Denmark National Risk Assessment and the relevant Appendix to the Danish Money Laundering Act, Moneff acted on the specific comments provided by the Danish FSA. As a result, Moneff re-calibrated its industry-risk model and recategorised certain industries. Based on the enhanced methodology, Moneff then re-scored its entire corporate customer base, introducing enhanced due diligence where relevant. The results have already been presented to the regulator.


Further Ongoing Work as a Danish Authorised EMI

Following the December 2023 Danish FSA inspection, Moneff has extensively transposed the regulatory feedback into actioned improvements of its frameworks, systems and controls. Moneff will keep in close contact with the regulator for any further reporting and future feedback.

The Moneff EMI remains committed to maintaining robust internal governance, safeguarding, and AML/CTF compliance and will continue to cooperate with the Danish FSA in its ongoing supervisory oversight.

 

 

The latest news

Moneff partners with Moonrise to deliver local SEK, NOK and DKK rails across the Nordics

Moneff News

Moneff partners with Moonrise to deliver local SEK, NOK and DKK rails across the Nordics
13 January 2026 4 min read
Moneff Web Platform Update: Fresh Look & Improved Experience

Moneff News

Moneff Web Platform Update: Fresh Look & Improved Experience
27 February 2025 2 min read
Just started a business? Here's what to consider before choosing a bank

Dansk

Just started a business? Here's what to consider before choosing a bank
31 January 2024 1 min read
Moneff's digital-first approach to SME banking in Denmark

Dansk

Moneff's digital-first approach to SME banking in Denmark
31 January 2024 1 min read
Cookies
Cookies help protect our website site and provide you with a better browsing experience. To find out more or to manage your own settings, click ‘Manage cookies’.

Cookie settings

  • Protecting your privacy

    At Moneff we are fully committed to ensuring the privacy and security of everyone that visits or website is protected at all times.

    For more information about how your privacy is protected please refer to our privacy policy.

    If you have any additional questions, you can contact us at [email protected]
  • Strictly necessary cookies

    Some of the cookies we use on your browser ensure that our website delivers you information securely - helping to keep you (and us) safe. You are unable to opt out of these cookies being applied when using our online services.

  • Site performance & analytics cookies

    We use a number of tools that monitor visitor behaviour to help us continually improve the user experience.

Protecting your privacy

At Moneff we are fully committed to ensuring the privacy and security of everyone that visits or website is protected at all times.

For more information about how your privacy is protected please refer to our privacy policy.

If you have any additional questions, you can contact us at [email protected]

Strictly necessary cookies

Some of the cookies we use on your browser ensure that our website delivers you information securely - helping to keep you (and us) safe. You are unable to opt out of these cookies being applied when using our online services.

Site performance & analytics cookies

We use a number of tools that monitor visitor behaviour to help us continually improve the user experience.