Tilirekisteri-hanke

(1)

Lappeenrannan-Lahden teknillinen yliopisto LUT School of Engineering Science

Tietotekniikan koulutusohjelma

TILIREKISTERI-HANKE

Esko Malinen

Työn tarkastaja: Associate Professor Ari Happonen

(2)

ii

TIIVISTELMÄ

Lappeenrannan-Lahden teknillinen yliopisto LUT School of Engineering Science

Tietotekniikan koulutusohjelma Esko Malinen

Tilirekisteri-hanke Kandidaatintyö 2020

29 sivua, 3 kuvaa, 2 taulukkoa

Työn tarkastaja: Associate Professor Ari Happonen

Hakusanat: rahanpesu, maksuliikenne, EU, rikollisuuden ehkäisy Keywords: money laundering, payment traffic, EU, crime prevention

Digitalisaation jatkuva kehitys tuo helppoutta ja valinnanvaraa nykyaikaisen digiyhteiskunnan jäsenille, mutta myös luo uusia mahdollisuuksia järjestäytyneen rikollisuuden toiminnalle. Yksi tärkeä osa-alue on rahanpesu, jossa rikollisin menetelmin kerättyä rahaa puhdistetaan käytettäväksi laillisissa maksukanavissa. Tämä raha osaltaan rahoittaa rikollisuutta ja terrorismia sekä on poissa verotuksen piiristä näin myös vähentäen valtioiden saamia verotuloja. EU:ssa on direktiiveillä pyritty luomaan jäsenmaille yhteistä säännöstöä, jonka perusteella kukin jäsenmaa luo oma lakinsa. Vuonna 2018 julkaistun viidennen rahanpesudirektiivin perusteella Suomen Eduskunta sääti vuonna 2019 lain nimellä Laki pankki- ja maksutilien valvontajärjestelmästä. Tässä laissa määritellään tietojärjestelmä rahalaitosten maksuliikennetietojen valvontaan, joka otetaan käyttöön 9/2020 mennessä. Järjestelmä koostuu pankki- ja maksutilirekisteristä sekä hajautetusta tiedonhakurajapinnasta. Tilirekisteri-hankkeessa määritellään ja toteutetaan lain kuvaama tietojärjestelmä. Vastuullisena toteuttajana ja koordinoijana projektissa toimii Suomen Tulli.

(3)

iii

ABSTRACT

Lappeenranta-Lahti University of Technology LUT School of Engineering Science

Degree Programme in Software Engineering Esko Malinen

Tilirekisteri project Bachelor’s Thesis 2020

29 pages, 3 figures, 2 tables

Examiner: Associate Professor Ari Happonen

Keywords: money laundering, payment traffic, EU, crime prevention

The continuous development of digitalization brings ease and freedom of choice to members of the modern digital society, but also creates new opportunities for organized crime. One important area is money laundering, where money collected through criminal methods is cleaned up for use in legal payment channels. This money contributes to the financing of crime and terrorism and is thus excluded from taxation, thus reducing the tax revenue received by states. In the EU, directives are issued to create a common base of regulation for member states, based on which each member state creates its own law. Based on the Fifth Money Laundering Directive published in 2018, the Finnish Parliament passed a law in 2019 entitled The Act on the Control System of Bank and Payment Accounts. This Act defines an information system for the supervision of payment transaction data of financial institutions, launched 9/2020. The system consists of a bank and payment account register and a decentralized information retrieval interface. The Account Register project defines and implements the information system described by law. The Finnish Customs is the responsible implementer and coordinator for the project.

(4)

iv

ALKUSANAT

Tilirekisteri-hanke on ollut minulle tärkeä monella tapaa. Sen lisäksi, että konsulttiyrittäjänä olen saanut elantoni sen tekniseen toteutukseen osallistumisesta, tämä aika on ollut hyödyllistä itseoppimista omasta itsestä ja elämästä yleensä.

Erityiset kiitokset enemmän opiskelleelle naisystävälleni Marialle, joka on kannustanut minua eteenpäin, osaltaan näin varmistaen valmistumiseni kandidaatiksi viimeisellä mahdollisella hetkellä.

(5)

1

SISÄLLYSLUETTELO

1 JOHDANTO ... 3

1.1 TAVOITTEET JA RAJAUKSET ... 4

1.2 TYÖN RAKENNE ... 5

2 PANKKI- JA MAKSUTILIEN VALVONTAJÄRJESTELMÄ ... 6

2.1 RAHANPESUA KOSKEVA LAINSÄÄDÄNTÖ EU:SSA JA SUOMESSA ... 6

2.2 PANKKI- JA MAKSUTILIEN VALVONTAJÄRJESTELMÄN YLEISKUVAUS JA TULLIN TOTEUTUS ... 8

2.3 PMJ-LAIN MÄÄRITTELEMÄN TIEDONHAKUJÄRJESTELMÄN KUVAUS ... 9

2.3.1 Järjestelmän hakurajapinta ja sanomasisältö ... 10

2.3.2 Hakurajapinnan tietoturva ... 12

2.4 PMJ-LAIN MÄÄRITTELEMÄN TILIREKISTERIJÄRJESTELMÄN KUVAUS ... 13

2.4.1 Tilirekisterijärjestelmän päivitysrajapinta ja tietosisältö ... 14

2.4.2 Päivitysrajapinnan tietoturva ... 15

3 RAHANPESUN SEURANNAN TULEVAISUUS ... 17

3.1 PANKKI- JA MAKSUTILIJÄRJESTELMÄN JATKOKEHITYS ... 18

4 YHTEENVETO ... 20

LÄHTEET ... 21

(6)

2

SYMBOLI- JA LYHENNELUETTELO

ALV Arvonlisävero

BAH Business Application Header DVV Digi- ja väestötietovirasto

eIDAS electronic IDentification, Authentication and trust Services EPPO European Public Prosecutor's Office

IBAN International Bank Account Number HTTPS HyperText Transfer Protocol Secure PKI Public Key Infrastucture

PMJ Pankki- ja maksutilien valvontajärjestelmä REST Representational State Transfer

SOAP Simple Object Access Protocol TLS Transport Layer Security

WS Web Service

WSDL Web Service Description Language

X.509 Julkisen avaimen sertifikaattien formaattistandardi XML eXtendible Markup Language

(7)

3

1 JOHDANTO

Digitalisaatio on 2020-luvulle tultaessa vihdoin edennyt niin pitkälle, että tavallinen kuluttaja voi helposti tehdä ostoksensa verkossa sekä hoitaa pankki- ja veroasiansa ja myös käyttää monia yhteiskunnan palveluja sähköisesti, ainakin kehittyneissä maissa [1].

Maksuliikenteen osalta sähköisiin tilisiirtoihin on siirrytty jo kauan aikaa sitten, mutta nykyään vaihtoehtoja on huomattavasti enemmän, esim. maksuvälityspalvelut, kryptovaluutat ja sosiaalisen median alustojen omat virtuaalivaluutat [2]. Tämä kehitys osaltaan kiihdyttää digitaalista transformaatiota ja antaa kuluttajille yhä enemmän valinnanvaraa, mutta samalla luo myös järjestäytyneelle rikolliselle toiminnalle uusia mahdollisuuksia kiertää lakia ja ohjailla rahavirtoja valvonnan ulottumattomiin.

Teknologian kehitys on niin vauhdikasta, että lainsäädännön ja viranomaisvalvonnan on vaikeaa pysyä perässä, mutta kehitystä tapahtuu oikeaan suuntaan.

Rahanpesu on nykyaikana olennainen osa järjestäytyneen, kansainvälisen rikollisuuden toimintaa. Termillä rahanpesu tarkoitetaan kaikkia toimia, joilla pyritään piilottamaan rikollisella toiminnalla saatujen rahavarojen alkuperä ja näin tekemään rahasta laillista.

Terrorismin rahoitus myös usein liittyy rahanpesuketjuihin, koska suoraan laillista rahaa ei ole näihin tarkoituksiin saatavissa. YK:n arvion mukaan vuosittain maailmassa pestään rahaa 800–2000 miljardin euron edestä, mikä vastaa 2–5% koko maailman bruttokansantuotteesta [39]. EU-tasolla rahanpesu määritellään rikolliseksi toiminnaksi ja tarkemmin säädetään rahoitusjärjestelmän väärinkäytön estämisestä direktiivissä (EU) 2015/849 [3]. Suomen lainsäädännössä puolestaan on direktiivin mukainen kansallinen laki rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017) [4].

Lainsäädäntö sekä EU-tasolla että kansallisesti pyrkii jatkuvasti mukautumaan ja ottamaan huomioon teknologisen kehityksen luomat uudet mahdollisuudet rikollislähtöisen rahan pesemiseen. Esille nousee erityisesti digitaalinen raha monine valuuttoineen, joiden sisäisten maksutapahtumien seuraaminen on tosiasiassa lähes mahdotonta. Edelleen jälki jää pankkijärjestelmiin siinä vaiheessa, kun digirahaa vaihdetaan tavallisiin valuuttoihin tai päinvastoin, mutta suoria vaihtotapahtumia hyödykkeisiin ei käytännössä voida seurata.

Virtuaalivaluuttojen operaattoreiden seuranta on ollut hyvin hankalaa ja puutteellista, koska virtuaalivaluutoilla ei ole virallisen rahan laillista asemaa. Tämän takia operaattoreilla ei ole

(8)

4

ollut tunnistamis- ja ilmoittamisvelvollisuutta, kuten perinteisillä finanssialan toimijoilla. [7]

Näistä syistä EU-tasolla on todettu tarve yhtenäisen lainsäädännön sekä yhteiskäyttöisten tietojärjestelmien kehittämiselle taistelussa väärinkäytöksiä vastaan.

Rahanpesu ei ole vain EU:n ongelma, vaan kansainvälinen ilmiö, jota vastaan pyritään taistelemaan yhteisesti. Yhtenä huomattavana osoituksena tästä YK:n alaisen Korruptionvastaisen yleissopimuksen konferenssissa vuonna 2015 käsiteltiin kansainvälisesti tavoiteltavia keinoja rahanpesun estämiseen [33], joiden pääkohtina olivat:

- rahanpesun vastaisten toimien kehittäminen ja

- julkisten käytäntöjen yhtenäisyyden ja läpinäkyvyyden varmistaminen

Tarkempina huomioina ensimmäiseen pääkohtaan mainitaan:

- rahanpesun tunnistaminen ja ehkäiseminen

- tiedonkulun parantaminen eri maiden viranomaisten välillä - finanssitoimijoiden asiakkaiden tunnistaminen

Nämä ovat juuri samoja asioita, joihin EU:n rahanpesudirektiivissä ja kansainvälisen FATF (Financial Action Task Force) -järjestön suosituksissa kiinnitetään huomiota [34]. Tällä säädöksellä pyritään siis viemään EU:n lainsäädäntöä YK:n viitoittamaan suuntaan ja samalla parantamaan EU:n sisäisiä valmiuksia rahanpesun kitkemiseen tulevaisuudessa. On selvää, että globalisaation edetessä ja digi- sekä kryptovaluuttojen yleistyessä ja monipuolistuessa tarvitaan yhä enemmän valtioiden välistä yhteistyötä avoimuuden lisäämiseksi ja rahanpesumahdollisuuksien minimoimiseksi.

Tässä raportissa kuvataan mainituista direktiiveistä ja laeista johdettu tarkempi lainsäädäntö sekä niiden määrittelemä tietojärjestelmäkokonaisuus, jonka Tulli on toteuttanut osana Valtiovarainministeriön määrittelemää strategiaa, jolla Suomi täyttää velvollisuutensa EU:n jäsenvaltioille annettujen velvoitteiden toteuttamiseksi.

1.1 Tavoitteet ja rajaukset

Työn tavoitteena on muodostaa selkeä kokonaiskuva Tilirekisteri-hankkeesta ja sen toteutukseen johtaneesta lainsäädännöstä sekä EU-tasolla että kansallisesti, menemättä

(9)

5

kuitenkaan lakiteknisiin yksityiskohtiin. Suomen lainsäädännön määrittelemää, Tullin toteuttamaa teknistä implementaatiota kuvataan sillä tarkkuudella, kuin julkisesti saatavissa olevan tiedon puitteissa on mahdollista kuvata. Taustalla olevat tekniset standardit ja avoimet teknologiat esitellään ja käydään läpi kontekstin kannalta tarpeellisella tasolla.

Hankkeessa määritellyt, toteutuksessa käytettävät rajapinnat ja niiden käyttö kuvataan yleisellä tasolla, menemättä kuitenkaan hyödynnettävien standardien yksityiskohtiin laajemmin. Teknisen informaation osuus tulee olemaan huomattavasti laajempi, kuin lakiasioiden, koska tekniikan alan opinnäytetyönä tämän dokumentin konteksti on luonnollisesti enimmäkseen tekninen.

Työn ulkopuolelle jäävät luonnollisesti kaikki salattavaksi määritellyt asiat, esim. liittyvät toimijat (rahalaitokset sekä viranomaiset), tarkemman tason tietoturvaratkaisut ja sisäinen arkkitehtuuri sekä sisäiset teknologiavalinnat. Tuleva jatkokehitys vaatimuksineen ja ratkaisuineen jätetään myös pois, koska lainsäädäntö ja jatkoprojekti ovat vasta määriteltävänä. Raportissa ei myöskään kuvata Tullin tai hankkeeseen liittyvien toimijoiden sisäisiä prosesseja Tilirekisterin käyttöön tai ylläpitoon liittyen.

1.2 Työn rakenne

Työn rakenne lukuihin jaettuna on seuraavanlainen:

 Luku 2: Järjestelmän toteuttamiseen johtaneiden lakien ja direktiivien esittely sekä niistä johdetut vaatimukset kansallisella tasolla. Valmiin järjestelmän ja sen rajapintojen kuvaus.

 Luku 3: Järjestelmän ja lainsäädännön tulevaisuus, jatkokehityksen vaatimukset nyt ja tulevaisuudessa. Digitaalisen valuutan evoluutio suhteessa perinteisiin valuuttoihin.

 Luku 4: Yhteenveto, mitä tehtiin ja miksi.

(10)

6

2 PANKKI- JA MAKSUTILIEN VALVONTAJÄRJESTELMÄ

Tässä luvussa kuvataan Tullin toteuttama Pankki- ja maksutilien valvontajärjestelmä (PMJ) ja sen toteuttamispäätökseen johtanut lainsäädäntö sekä EU-tasolla että Suomen sisäisessä kontekstissa. Tämän jälkeen käsitellään julkisesti saatavilla olevat teknologiset määrittelyt ja rajapintojen tietosisältö. PMJ itsessään koostuu Tiedonhakujärjestelmästä sekä Tilirekisteristä, joiden roolit kokonaisjärjestelmän osina on myös kuvattu seuraavissa kappaleissa. Järjestelmän yleiskuva esitetään kuvassa [Kuva 1].

Kuva 1 Pankki- ja maksutilijärjestelmän yleiskuva

2.1 Rahanpesua koskeva lainsäädäntö EU:ssa ja Suomessa

EU-direktiivin (EU 2018/843) [5] mukaan jokaisella EU-jäsenmaalla tulee olla direktiivin määrittelemä kansallinen lainsäädäntö voimassa 10.1.2020 mennessä [7] ja sitä vastaava valvontajärjestelmä käyttöönotettuna syyskuusta 2020 alkaen. Kyseinen direktiivi, niin sanottu viides rahanpesudirektiivi, on aikaisempia neljää rahanpesun ehkäisemiseen liittyvää direktiiviä tarkentava ja yhdistävä lakimäärittely, päämääränään mahdollistaa tietyille valvontaviranomaisille valmiudet tutkia rahanpesuepäilyjä tehokkaasti koko EU:n laajuisesti. Samalla tuodaan virtuaalivaluuttojen ja sähköisten maksujen operaattorit laajemmin valvonnan piiriin asettamalla nämäkin toimijat ilmoitusvelvollisiksi ja

(11)

7

noudattamaan samoja määräyksiä, kuin perinteiset finanssialan toimijat. On myös havaittu selkeä resurssipula rahanpesuepäilyjen valvonnassa, koska keskitetty automaatiojärjestelmä puuttuu ja EU:n jäsenvaltiot hoitavat valvontaa kukin omilla menetelmillään, lainsäädännöllään ja resursseillaan. [4] Direktiivi velvoittaa EU-jäsenmaat ottamaan käyttöön vaatimukset täyttävä tietojärjestelmä, muttei ota kantaa tarkempaan toteutustapaan, joka riippuu kunkin maan olemassa olevista tietojärjestelmistä ja säännöksistä.

Em. direktiivin pohjalta Suomen eduskunta sääti 26.4.2019 lain otsikolla Laki pankki- ja maksutilien valvontajärjestelmästä (571/2019), (myöhemmin PMJ-laki) [6]. Laissa määritellään Pankki- ja maksutilien valvontajärjestelmä (PMJ), joka muodostuu pankki- ja maksutilirekisteristä sekä hajautetusta tiedonhakujärjestelmästä. Lain keskeisenä sisältönä on lisäksi listattu järjestelmää käyttävät viranomaiset ja kuvattu tiedonhakujärjestelmän sekä pankki- ja maksutilirekisterin keskeiset ominaisuudet ja tallennettavat tiedot. Lisäksi määritellään säännöt tietojen luovuttamiselle, maksuttomuudelle, poistamiselle ja lokitietojen säilytykselle. Ilmoitusvelvollisten laiminlyöntien varalta säädetään myös uhkasakko ja rikemaksu sekä siihen liittyvät menettelyt. Laki tuli osin voimaan 1.5.2019 ja lopuilta osin 1.9.2020. Lain voimaantulo ei muuta viranomaisten oikeuksia tiedonsaantiin, mutta parantaa käytettävissä olevia keinoja oleellisesti mahdollistamalla tiedon keräämisen digitaalisesti rahalaitoksilta ja edistämällä automatisoitua tiedon vaihtoa viranomaisten välillä.

PMJ-lakia täydentää Laki virtuaalivaluutan tarjoajista (572/2019) [8], joka annettiin 26.4.2019. Tällä tuodaan myös virtuaalivaluuttojen ja maksupalveluiden operaattorit Suomen rahanpesulainsäädännön piiriin, ilmoitus- ja tunnistusvelvollisiksi sekä määrätään riittävistä riskienhallintajärjestelmistä asiakkaiden varojen suhteen. Myös yhteisöjen tosiasiallisten edunsaajien rekisteröinti säädettiin pakolliseksi. Lain pohjalta 1.7.2019 otettiin käyttöön uusi rahanpesun valvontarekisteri, johon myös aiemmin viranomaisrekistereihin kuulumattomien ilmoitusvelvollisten on tullut hakea rekisteröintiä.

PMJ-lakiin liittyy myös Hallituksen esitys eduskunnalle laiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain muuttamisesta (HE 55/2020 vp) [9], joka edelleen tarkentaa määrittelyä epäselvyyksiä aiheuttaneiden kohtien osalta. Tähän 23.4.2020 annettuun esitykseen liittyvä laki piti olla alun perin voimassa 1.9.2020, mutta esityksen

(12)

8

käsittely tuli päätökseen vasta 2.10.2020, tuloksena Laki pankki- ja maksutilien valvontajärjestelmästä annetun lain muuttamisesta (730/2020) [10].

PMJ-lain mukaan Tulli toimii Tilirekisterin teknisenä toteuttajana ja antaa määräykset teknisen toteutuksen vaatimuksista. Tämän mukaisesti on annettu kaksi määräystä: Tullin määräys tiedonhakujärjestelmän teknisistä vaatimuksista (6/2019) [11] ja Tullin määräys tiedon luovuttajien teknisistä vaatimuksista (10/2019) [12]. Määräyksissä kuvataan käytettävät tietoliikenne- ja turvallisuuskäytännöt sekä käytettävät rajapinnat ja ohjeistus Tilirekisterin käyttöönotosta ja ylläpidosta. Lisäksi määrätään ilmoitusmenettelystä tiedon luovuttajien liittämiseksi hallitusti järjestelmän piiriin.

Yleisesti rahanpesun valvontaa suorittavat toimivaltaiset viranomaistahot on lueteltu rahanpesulain 7. luvussa [4]. Lain mukaiset valvontaviranomaiset ovat Finanssivalvonta, Poliisihallitus, Patentti- ja rekisterihallitus sekä Aluehallintovirasto, tämän lisäksi asianajajayhdistys valvoo jäsenistöään laissa erikseen säädetyn ilmoitusvelvollisuuden mukaisesti. Valvontajärjestelmän osalta säädetään laissa oikeudesta käyttää järjestelmän tietoja, jos se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi [4,7]:

1. laissa tarkoitetuilla valvontaviranomaisilla ja asianajajayhdistyksellä mainitussa laissa tarkoitetun valvontatehtävän suorittamiseen;

2. rahanpesun selvittelykeskuksella rahanpesun selvittelykeskuksesta annetun lain (445/2017) 2 §:n 1 momentin 1–4 ja 7 kohdassa tarkoitettujen tehtävien hoitamiseen;

3. lain 9 luvun 5 §:n mukaisilla viranomaisilla huolehtimisvelvoitteen toteuttamiseksi.

2.2 Pankki- ja maksutilien valvontajärjestelmän yleiskuvaus ja Tullin toteutus

PMJ-laissa [6] mainittu Pankki- ja maksutilien valvontajärjestelmä koostuu kahdesta loogisesti erillisestä osiosta: Tilirekisteri ja hajautettu Tiedonhakujärjestelmä [Kuva 1].

Nämä järjestelmät on kuvattu tarkemmin luvuissa 2.3 ja 2.4. Tullin Tilirekisteri-hankkeessa puolestaan on toteutettu laissa kuvattu Tilirekisteri-järjestelmä ja siihen kohdistuva tiedonhakurajapinta [Kuva 2], joka osaltaan toteuttaa laissa kuvatun Tiedonhakujärjestelmän

(13)

9

vaatimukset. Toteutettu hakurajapinta toimii samalla myös referenssitoteutuksena ja testiympäristössä testialustana rajapintaa toteuttaville luottolaitoksille. Lain vaatimuksen mukaisesti kaikki päivitys- ja hakutransaktiot lokitetaan pitkäaikaiseen tietovarastoon mahdollista myöhempää analysointia varten, mihin tarve syntyy esim. käyttömäärien tilastointia tai mahdollisten ongelmatapausten selvittelyä varten. Lokitietojen sisältöön pääsy vaatii kuitenkin validin laillisen perusteen, koska tiedot ovat lähtökohtaisesti salaisia ja vahvan tietoturvan alaisia. Tarjottavien rajapintojen käyttäjähallintaan käytetään sertifikaattipohjaista tunnistusta, jossa tietoliikenneyhteyden aloittava taho tunnistetaan julkisen avaimen kryptografiaan perustuvan vahvan allekirjoituksen perusteella, kuten Valtionvarainministeriön sähköisen asioinnin turvallisuusohjeessa määritellään [28].

Sanomatason tietoturva on esitelty tarkemmin rajapintakohtaisesti kappaleissa 2.3.2 (hakurajapinta) ja 2.4.2 (päivitysrajapinta).

Kuva 2 Tullin Tilirekisteri-hankkeessa toteutettu järjestelmä

2.3 PMJ-lain määrittelemän Tiedonhakujärjestelmän kuvaus

Tiedonhakujärjestelmä on PMJ-lain [6] määrittelemä hajautettu kyselyrajapinta, jota käyttäen toimivaltainen viranomainen voi hakea laissa määriteltyjä pankki- ja maksutilitietoja. Tiedonhakujärjestelmä tarjoaa toimivaltaisille viranomaisille yhdenmukaisen, turvallisen rajapinnan, jolla hakea laissa määriteltyjä tietoja ohjelmallisesti.

Tilirekisteri

Päivitysrajapinta Hakurajapinta

Rahalaitokset Viranomaiset

(14)

10

Järjestelmä on hajautettu, mikä tarkoittaa sitä, että velvoitetut Suomessa rekisteröityneet luottolaitokset toteuttavat kukin Tilirekisteri-hankkeessa määritellyn hakurajapinnan ja tarjoavat sen viranomaisten käyttöön. Näin ollen järjestelmän ensi vaiheessa myös kyselyt tulee kohdistaa jokaiseen hakujärjestelmään erikseen.

Rajapinnan toiminnallisuuden toteuttajat lain velvoittamina ovat luottolaitokset sekä niin halutessaan myös maksulaitokset, sähkörahayhteisöt ja virtuaalivaluutan tarjoajat, jotka muuten toimittaisivat tietonsa Tullin ylläpitämään Tilirekisteri-järjestelmään.

Tiedonhakujärjestelmän tarkoitus on toteuttaa rahanpesua valvovien viranomaistahojen käyttöön yhtenäinen rajapinta kaikkien pankki- ja tilitietojen hakemiseksi automaattisesti eri rahalaitosten asiakkaista. Rajapinnan käyttäjinä toimivat rahapesulaissa määritellyt valvovat viranomaiset tarkennettuna PMJ-lain määrityksillä, kts. kappale 2.1. Tietojen voimassaoloaika on laissa määritelty 10 vuoden pituiseksi, joten sitä vanhemmat aikasidonnaiset tiedot poistetaan automaattisesti järjestelmästä, mikäli niille on määritelty voimassaolon loppupäivämäärä. Haun tuloksissa voi silti esiintyä 10 vuotta vanhempia tuloksia, mikäli niiden voimassaoloaika on avoin tai loppupäivämäärä osuu tutkittavaa aikajaksoa ilmaisen hakuparametrin määrittämälle aikavälille niin, että loppupäivämäärä on alle 10 vuotta menneisyydessä nykyhetkestä.

2.3.1 Järjestelmän hakurajapinta ja sanomasisältö

Tiedonhakurajapinnassa [15] käytetään toteutukseen kansainvälisesti yleisesti finanssimaailmassa käytettyä ISO 20022 -standardin mukaista XML-skeemaa, johon on tehty toteutuskontekstin vaatimia laajennuksia [20]. Itse rajapinta on SOAP-määrityksen (Simple Object Access Protocol) mukainen toteutus, joka ylimmällä tasolla noudattaa standardissa määriteltyä WSDL-skeemaa (Web Service Description Language) [17] ja tarkemmalla tasolla Tullin projektissa määriteltyjä soveltavia skeemoja sekä niihin tehtyjä sovelluskohtaisia laajennuksia [21]. Tiedonhakurajapinnan toimintalogiikka on kuvattu vuokaaviona tiedonhakujärjestelmän rajapintadokumentaatiossa [18].

(15)

11

Sekä kysely- että vastaussanomiin liitetään olennaisena osana ISO 20022-standardin mukaisesti head.001.001.01-skeemassa määritelty BusinessApplicationHeaderV01- elementti (BAH) [13,19], jossa olennaisina tietoina välitetään seuraavat kentät:

 Sanoman lähettäjän Y-tunnus

 Sanoman vastaanottajan Y-tunnus

 Standardin mukainen viestin uniikki ID

 Sanoman luontipäivämäärä ja aika

 Lähettäjän muodostama XML-allekirjoitus

Hakusanoman muoto perustuu ISO 20022-standardin auth.002.001.01-skeeman mukaiseen InformationRequestOpeningV01-elementtiin [21], jonka sisällä toimitetaan tarvittavat hakuehdot. Hakuehdot voivat palauttaa kolmenlaisia tietoja: asiakkuus, tili ja tallelokero.

Hakusanomassa määritellään, mitä näistä halutaan hakutuloksen sisältävän (esimerkki liitteessä 1). Hakuehto voi kohdistua seuraaviin tietoihin:

 Henkilötunnus

 Henkilön nimi, kansalaisuus ja syntymäaika

 Oikeushenkilön rekisterinumero

 Yrityksen nimi

 Tilin IBAN-tunniste

 Muu tilin yksilöintitunniste

 Tallelokeron tunniste

Nimi, kansalaisuus ja syntymäaika -yhdistelmää käytetään siinä tapauksessa, ettei haettavalla henkilöllä ole suomalaista henkilötunnusta. Oikeushenkilön rekisterinumero taas voi olla yrityksen Y-tunnus, yhdistysrekisteritunnus tai muu rekisterinumero.

Hakusanoman sanomalaajennus InformationRequestFIN012 [21] sisältää lain määräämät tiedot kyselyn tekevästä viranomaisesta ja tämän esimiehestä tunnisteina.

Vastaussanomat koostuvat saman ISO 20022-standardin mukaisesti auth.002.002.01- skeeman mukaisesta InformationRequestResponseV01-elementistä [22] ja siihen liitetyistä alisanomista. Nämä jakautuvat taulukon Taulukko 1 mukaisesti eri skeemoihin.

(16)

12

Vastaussanomissa palautettavat tiedot koostuvat tyyppikokonaisuuksien sisällä seuraavista sisällöistä [32]:

 Luonnollinen henkilö

 Oikeushenkilö

 Pankki- ja maksutili

 Tallelokero

 Asiakkuus

Tyyppi Skeema

Asiakkuus- ja edunsaajatiedot fin.013.001.04

Tilitiedot supl.027.001.01

Tallelokerotiedot fin.002.001.02

Taulukko 1: Vastausalisanomien skeemat

2.3.2 Hakurajapinnan tietoturva

Rajapinnan tietoturvan varmistamiseksi käytetään X.509-standardin [30] mukaisia varmenteita seuraavasti:

 Tietoliikennevarmenne, jota käytetään TLS-protokollan, vähintään v1.2, mukaisesti siirtotien turvallisuuden takaamiseksi

 Allekirjoitusvarmenne, jolla varmistetaan tiedon luovuttajan ja hyödyntäjän identiteetit ja sanomien muuttumattomuus

Tiedon luovuttajan, eli rajapinnan toteuttajan tai tämän valtuuttaman tahon tietoliikennevarmenteen on täytettävä seuraavat vaatimukset:

 Varmenteen SN (SerialNumber) -attribuutin arvona on lähettäjän Y-tunnus tai ALV- tunnus

Sekä:

◦ Varmenne on DVV:n (Digi- ja väestötietovirasto) myöntämä, voimassaoleva, eikä esiinny DVV:n sulkulistalla

Tai

◦ Varmenne on eIDAS-hyväksytty sivustovarmenne, joka ei esiinny varmenteen tarjoajan sulkulistalla

(17)

13

Tiedon luovuttajan allekirjoitusvarmenteen on täytettävä seuraavat vaatimukset:

 Varmenteen kohteen SN (SerialNumber) -attribuutin arvona on lähettäjän Y-tunnus tai ALV-tunnus

Sekä:

◦ Varmenne on DVV:n myöntämä, voimassaoleva, eikä esiinny DVV:n sulkulistalla

Tai

Rajapinnan käyttäjän, eli toimivaltaisen viranomaisen tietoliikennevarmenteen on täytyttävä seuraavat vaatimukset:

 Varmenne on DVV:n myöntämä, voimassaoleva, eikä esiinny DVV:n sulkulistalla

Rajapinnan käyttäjän allekirjoitusvarmenteen on täytttävä seuraavat vaatimukset:

 Varmenne on DVV:n myöntämä, voimassaoleva, eikä esiinny DVV:n sulkulistalla

Kaikissa tapauksissa XML-allekirjoitus tarkistetaan ja sanomaa ei saa hyväksyä, ellei allekirjoitus ole validi ja em. vaatimukset sertifikaattien suhteen toteudu. Samoin kaikissa tapauksissa varmenteen julkinen avain on oltava vähintään 3072-bittinen, kuten Kyberturvallisuuskeskuksen ST IV-tason tietoturvavaatimuksissa määritellään [29]

2.4

PMJ-lain määrittelemän Tilirekisterijärjestelmän kuvaus

Tilirekisterijärjestelmä on PMJ-lain [6] määrittelemä pankki- ja maksutilien tietorekisteri, johon toimittavat tietoja ne ilmoitusvelvolliset rahalaitokset, joilla ei ole velvollisuutta toteuttaa itse tiedonhakurajapintaa tai jotka ovat saaneet erityisluvan toimittaa tiedot Tilirekisteriin. Lähtökohtaisesti kaikki maksulaitokset, sähkörahayhteisöt ja

(18)

14

virtuaalivaluutan tarjoajat kuuluvat Tilirekisteriin tietonsa toimittaviin toimijoihin, elleivät nämä ole erikseen hakeneet lupaa toteuttaa tiedonhakurajapinta. Tilirekisteri itse toteuttaa myös tiedonhakurajapinnan, joten siitä on rahapesulaissa määriteltyjen valvovien viranomaistahojen haettavissa tiedot samalla tavoin, kuin rajapinnan toteuttaneilta rahalaitoksilta (viranomaistahot, kts. kappale 2.1). Päivitysrajapinnan toimintalogiikka on kuvattu vuokaaviona Tilirekisterin rajapintadokumentaatiossa [24].

2.4.1 Tilirekisterijärjestelmän päivitysrajapinta ja tietosisältö

Päivitysrajapinta on REST-tyyppinen, synkroninen HTTP-rajapinta, joka ottaa vastaan hankkeessa määritellyn JSON-skeeman [23] mukaisen päivityssanoman. Sanoman tietosisältö on seuraava:

 Tiedon lähettäjän Y-tunnus tai ALV-tunnus

 Sanoman luontiaika

 Henkilötiedot, sisältäen luonnolliset henkilöt sekä oikeushenkilöt

 Tilitiedot

 Tallelokerotiedot

 Asiakkuustiedot

Kuhunkin tieto-olioon voi liittyä 0-n kpl rooleja, jotka liittävät eri oliot toisiinsa. Roolilla, asiakkuudella, tilillä ja tallelokerolla on ehdollinen alku- ja loppupäivämäärä, jotka osaltaan määrittävät, kuinka tiedot ovat haettavissa, kts. kappale Virhe. Viitteen lähdettä ei löytynyt.. Tallennettavat tiedot on kuvattu taulukossa Taulukko 2. Rajapinnan logiikka sallii tietojen toimittamisen osissa, esim. henkilötiedot, asiakkuudet, tilitiedot voivat eri sanomissa, kunhan viitattavat oliot on toimitettu ennen niihin viittaamista. Sanomien välinen viite-eheys hoidetaan ServicerIssuedId-viitteellä, joka käytännössä on satunnainen tiedon päivittäjän generoima UUIDv4-tunniste (Universally Unique IDentifier). Tämä tunniste tulee tiedon päivittäjän tallentaa tulevia päivityksiä varten, jotta viite-eheys säilyy.

Tilirekisteri estää automaattisesti saman tiedon tallentamisen eri viitteellä saman tiedon luovuttajan osalta.

(19)

15

Tyyppi Tiedot

Asiakkuus Alkupäivämäärä

Loppupäivämäärä

Luonnollinen henkilö Täydellinen nimi

Suomalainen henkilötunnus (jos olemassa) Syntymäaika

Kansallisuus (ellei suomalaista henkilötunnusta)

Oikeushenkilö Virallinen nimi

Rekisterinumero + tyyppi Rekisteröintipäivä

Rekisteriviranomainen

Tili IBAN / Muu tilin tunniste

Alkupäivämäärä Loppupäivämäärä

Tallelokero Tallelokeron tunniste

Alkupäivämäärä Loppupäivämäärä Taulukko 2: Tilirekisteriin toimitettavat tiedot

2.4.2 Päivitysrajapinnan tietoturva

Rajapinnan tietoturvan varmistamiseksi käytetään X.509-standardin [30] mukaisia varmenteita seuraavasti:

 Tietoliikennevarmenne, jota käytetään TLS-protokollan, vähintään v1.2, mukaisesti

 Allekirjoitusvarmenne, joka takaa tiedon luovuttajan identiteetin ja sanoman muuttumattomuuden

Tiedon luovuttajan tietoliikennevarmenteen on täytettävä seuraavat vaatimukset:

Sekä:

◦ Varmenne on DVV:n (Digi- ja väestötietovirasto) myöntämä, voimassaoleva, eikä esiinny DVV:n sulkulistalla

Tai

(20)

16

Tiedon luovuttajan allekirjoitusvarmenteen on täytettävä seuraavat vaatimukset:

 Varmenteen SN (SerialNumber) -attribuutin arvona on lähettäjän Y-tunnus tai ALV- tunnus

Sekä:

◦ Varmenne on DVV:n myöntämä, voimassaoleva, eikä esiinny DVV:n sulkulistalla

Tai

Päivitysrajapinnan allekirjoitus toteutetaan JWS (JSON Web Signature)-teknologialla [26].

Päivityssanoman rakenne on seuraava:

 Authorization-headerissa on oltava Bearer token, joka on allekirjoitettu lähettävän tahon yksityisellä avaimella ja sisältää aliväitteesssä lähettäjän Y-tunnuksen tai ALV-tunnuksen samassa muodossa kuin lähettäjän allekirjoitusvarmenteessa

 Request body sisältää päivitysskeeman mukaisen JSON-sanoman, joka on allekirjoitettu myös lähettävän tahon yksityisellä avaimella

Kaikissa tapauksissa JWS:n validius tarkistetaan sekä sertifikaatin validiudella että varmistetaan lähettäjän olevan hyväksyttyjen toimijoiden listalla vertaamalla Bearer token:in aliväitteessä olevaa Y- tai ALV-tunnusta etukäteen tiedettyihin tiedon luovuttajiin.

Samoin kaikissa tapauksissa varmenteen julkinen avain on oltava vähintään 3072-bittinen, kuten Kyberturvallisuuskeskuksen ST IV-tason tietoturvavaatimuksissa määritellään [29]

(21)

17

3 RAHANPESUN SEURANNAN TULEVAISUUS

FATF-organisaation raportissa vuodelta 2019 Suomi sai varsin hyvän luokituksen rahanpesun ehkäisemiseen tähtäävien toimien toteutuksesta [35]. Parannettavaa on lähinnä seurannan menetelmissä, resursoinnissa ja järjestelmissä. Tilirekisteri-hanke osaltaan parantaa juuri näitä osa-alueita vähentämällä manuaalisen työn määrää ja tarjoamalla valvontaviranomaisille yhtenäisen tavan kerätä tietoja alan toimijoilta. Vastauksena resursointiongelmaan Finanssivalvonta ja Aluehallintavirasto myös ilmoittivat kaksinkertaistavansa panostuksensa rahanpesun ja terrorismin vastaisen valvonnan hoitamisessa, samoin Valtiovarainministeriö on lisännyt resurssejaan [37].

Rahanpesun selvittelykeskuksen vuosiraportti vuodelta 2019 osoittaa rahanpesuilmoitusten olevan vahvassa kasvussa Suomessa erityisesti ns. manuaali-ilmoitusten osalta, kts. [Kuva 3] [36]. Automaatti-ilmoitukset ovat esim. rahapeliyhtiöiden ja maksunvälityspalveluja tarjoavien yhtiöiden massailmoituksia, manuaali-ilmoitukset taas muiden tahojen tekemiä ilmoituksia, jotka vastaanotetaan ja käsitellään yksitellen. Selvittelykeskus on myös tehostanut toimintaansa mm. tietoteknisten ratkaisujen avulla. Raportin mukaan käteinen raha on edelleen yleinen väline epäillyissä rahanpesutapauksissa, mistä osoituksena yli puolet manuaali-ilmoituksista liittyi käteiseen. Kierrossa jo olevan käteisen tai muun fyysisen hyödykkeen vaihdon seuraaminen ei ole tietojärjestelmillä toteutettavissa, mutta suuren mittakaavan rahanpesu tapahtuu joka tapauksessa sähköisillä välitysmenetelmillä.

Rahanpesun selvittelykeskuksen mukaan vuonna 2019 tehdyistä yli 64000 ilmoituksesta poliisin esitutkintaa johti noin 600 tapausta (vuoden 2018 luvut 39000 ja 51), joiden käsittelyyn ja tutkintaan kuluu tyypillisesti jopa vuosia. Yleisesti on tiedossa, että rahanpesurikosten selvitysaste on varsin matala juuri tiedonsaannin vaikeuden ja hitauden takia. Joulukuussa 2019 voimaan tulleen lain [8] mukaan virtuaalivaluuttojen tarjoajat ovat myös jatkossa rekisteröitymis- ja ilmoitusvelvollisia, mikä tulee nostamaan näiden toimijoiden tekemien ilmoitusten määrää.

EU:ssa ollaan viidennen rahanpesudirektiivin myötä olennaisesti parantamassa maksupalvelutoimijoiden seurattavuutta, mukaan lukien kryptovaluuttojen tarjoajat. Tähän vaikuttaa erityisesti EU-alueella rekisteröityjen toimijoiden ilmoitusvelvollisuus ja asiakkaiden tuntemisvelvollisuus, joita aiemmin ei ollut tai niitä valvottiin puutteellisesti.

(22)

18

Direktiivin mukaan Euroopan komission on toimitettava vuoden 2020 loppuun mennessä selvitys eri maiden maksutilirekisterien toiminnasta ja mahdollisen yhtenäistämien tarpeellisuudesta. EU-valtioiden lainsäädäntöjen ja käytäntöjen eroavaisuudet ovat aiemmin haitanneet rikosepäilyjen tutkintaa, minkä takia on esitetty valvonnan keskittämistä EU- tasolle perustettavaan yhteiseen EU-syyttäjävirastoon EPPO:on (European Public Prosecutor's Office) ja lainsäädännön yhtenäistämistä tulevilla EU-tason asetuksilla.

Toisaalta kannatusta on saanut myös resurssien panostaminen kansallisen tason tehostamiseen [37].

Kuva 3 Rahanpesun selvittelykeskuksen vastaanottamien rahanpesuilmoitusten määrän kehitys vuosina 2013–2019

3.1 Pankki- ja maksutilijärjestelmän jatkokehitys

Lainsäädännön kehittyessä myös vaatimukset toteutettaville tietojärjestelmille muuttuvat ja monimutkaistuvat, tämä koskee luonnollisesti myös PMJ-järjestelmää. Alkuperäisen PMJ- lain perusteella määritelty minimitoiminnallisuus on toteutettu 9/2020-käyttöönottoon,

(23)

19

mutta jatkokehitystä on tiedossa seuraaville vuosille. Tätä kirjoitettaessa jatkoprojektin tilanne tietojen julkisuuden suhteen on epäselvä, joten tarkempi kuvaus jätetään pois.

Myöhempiä muutostarpeita vaatimuksiin ja toiminnallisuuteen voi tuoda mahdollinen tuleva integraatio tai yhdenmukaistus EU-tasolla muiden jäsenmaiden järjestelmien kanssa, joka riippuu aiemmin mainitusta vuoden 2020 loppuun mennessä valmistuvasta Euroopan komission selvityksestä. Toinen tulevaisuudessa käsiteltävä muutos on Suomen henkilötunnuksen uudistus, joka tosin tällä hetkellä on rajoittumassa vain sukupuolen ilmaisusta luopumiseen, millä on PMJ:n kannalta merkitystä vain tietokentän sisällön validoinnissa kentän muodon pysyessä ennallaan [38].

(24)

20

4 YHTEENVETO

Tässä työssä kuvattiin Tilirekisteri-hankkeen toteutukseen johtanut lainsäädäntö ja sen kehitys EU-tasolla sekä kansallisesti Suomessa. Rahanpesu ja sen ehkäiseminen on ajankohtainen aihe ja saanut medianäkyvyyttäkin viime vuosina runsaasti Suomessa ja maailmalla ilmi tulleiden suurten rahapesuvyyhtien takia, jotka ovat lisänneet tietoisuutta ongelmasta. Tilirekisteri itsessään ei ole mikään koko kansan uutisaihe, mutta julkisena hankkeena sekin on ollut esillä ja ainakin finanssialan toimijoiden piirissä käsittelyssä, varsinkin kun käyttöönotto oli suunnitellusti 9/2020. Tilirekisterin ja tiedonhakurajapinnan määrittelyt sekä tekninen toteutus on esitelty yleisellä tasolla menemättä tarkemmin yksityiskohtiin toteutuksessa tai käytetyissä teknologioissa. Tulevaisuuden osalta käsitellään nykyistä tilannetta ja meneillään olevaa kehitystä rahanpesun torjunnassa Suomen ja EU:n tasoilla. PMJ-järjestelmän osalta kerrotaan tiedossa olevista suunnitelluista ja odotettavissa olevista jatkokehitystarpeista.

(25)

LÄHTEET

1 Internet retailing: the past, the present and the future. Neil F. Doherty and Fiona Ellis-Chadwick, 2010. Viitattu 15.12.2020.

https://www.researchgate.net/publication/48989862_Internet_retailing_The_past_t he_present_and_the_future

2 The Digitalization of Money. Brunnermeier et al., 2019. Viitattu 15.12.2020.

https://scholar.princeton.edu/sites/default/files/markus/files/02c_digitalmoney.pdf 3 Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/849, Euroopan unionin

virallinen lehti L 141/73, 2015. Viitattu 2.11.2020.

https://eur-lex.europa.eu/legal-

content/FI/TXT/HTML/?uri=OJ:L:2015:141:FULL&from=FI#L_2015141FI.0100 7301.doc/

4 444/2017, Laki rahanpesun ja terrorismin rahoittamisen estämisestä. Valtion säädöstietopankki Finlex, Ajantasainen lainsäädäntö. Viitattu 2.11.2020.

https://www.finlex.fi/fi/laki/alkup/2017/20170444

5 Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/843, Euroopan unionin virallinen lehti L 156/43. Viitattu 2.11.2020.

https://eur-lex.europa.eu/legal-

content/FI/TXT/HTML/?uri=CELEX:32018L0843&from=FI

6 571/2019, Laki pankki- ja maksutilien valvontajärjestelmästä. Valtion säädöstietopankki Finlex, Ajantasainen lainsäädäntö. Viitattu 2.11.2020.

7 EU:n viides rahanpesudirektiivi ja sen vaikutukset pankkien toimintaan. (AMK- opinnäytetyö Haaga-Helia, Lauri Liski, 2019). Viitattu 16.11.2020

https://www.theseus.fi/bitstream/handle/10024/265273/Liski_Lauri.pdf

8 572/2019, Laki virtuaalivaluutan tarjoajista. Valtion säädöstietopankki Finlex, Ajantasainen lainsäädäntö. Viitattu 8.11.2020.

9 HE 55/2020 vp , Hallituksen esitys eduskunnalle laiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain muuttamisesta. Eduskunnan Valtiopäiväasiat, 2020. Viitattu 2.11.2020.

(26)

https://www.eduskunta.fi/FI/vaski/KasittelytiedotValtiopaivaasia/Sivut/HE_55+202 0.aspx

10 730/2020, Laki pankki- ja maksutilien valvontajärjestelmästä annetun lain muuttamisesta. Valtion säädöstietopankki Finlex, Ajantasainen lainsäädäntö.

Viitattu 4.11.2020.

https://finlex.fi/fi/laki/alkup/2020/20200730

11 Tullin määräys tiedonhakujärjestelmän teknisistä vaatimuksista. Tullin sivuston tiedotearkisto, tiedote 6/2019. Viitattu 4.11.2020.

https://tulli.fi/-/tullin-maarays-pankki-ja-maksutilien-tiedonhakujarjestelman- teknisista-vaatimuksista/

12 Tullin määräys tiedon luovuttajien teknisistä vaatimuksista (10/2019). Tullin sivuston tiedotearkisto, tiedote 7/2019. Viitattu 4.11.2020.

https://tulli.fi/-/tullin-maarays-sahkoisesta-menettelysta-ja-tietojen- varmennuksesta-luovutettaessa-tietoja-pankki-ja-maksutilirekisteriin/

13 ISO 20022, Universal financial industry message scheme. Viitattu 12.11.2020.

https://www.iso20022.org/

14 ISO 20022 External Code Sets. Lista ISO 20020-standardin ulkoisista koodeista.

Viitattu 12.11.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information- query/assets/iso20022org/ExternalCodeSets_2Q2020_August2020_v1.xlsx 15 Tiedonhakujärjestelmän rajapintakuvaus. Tullin toteuttaman

tiedonhakujärjestelmän rajapintakuvaus, versio 1.0.43. Viitattu 4.11.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information-query/

16 Tilirekisterin päivitysrajapintakuvaus. Tullin toteuttaman Tilirekisteri-sovelluksen päivitysrajapintakuvaus, versio 1.0.14. Viitattu 4.11.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information-update/

17 Tiedonhakurajapinnan WSDL-määritys. Tullin toteuttaman

tiedonhakujärjestelmän rakenteen kuvaustiedosto. Viitattu 4.11.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information- query/wsdl/data-retrieval-system-wsdl.xml

18 Tiedonhakurajapinnan toiminta vuokaaviona. Tullin toteuttaman tiedonhakujärjestelmän dokumentaatio. Viitattu 12.11.2020.

(27)

https://finnishcustoms-suomentulli.github.io/account-register-information- query/diagrams/flowchart_query.png

19 Business Application Header (BAH). ISO 20022-standardin määrittely, Tullin toteuttaman tiedonhakujärjestelmän dokumentaatio. Viitattu 12.11.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information-

query/assets/iso20022org/archive_business_area_business_application_header.zip 20 ISO 20022 -kyselysanoman skeema. ISO 20022-standardin määrittely, Tullin

toteuttaman tiedonhakujärjestelmän dokumentaatio. Viitattu 12.11.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information- query/assets/iso20022org/auth.001.001.01.xsd

21 InformationRequestFIN012. Tullin toteuttaman tiedonhakujärjestelmän dokumentaatio. Viitattu 14.12.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information- query/#InformationRequestFIN012

22 ISO 20022 -vastaussanoman skeema. ISO 20022-standardin määrittely, Tullin toteuttaman tiedonhakujärjestelmän dokumentaatio. Viitattu 14.11.2020.

https://finnishcustoms-suomentulli.github.io/account-register-information- query/assets/iso20022org/auth.002.001.01.xsd

23 Tilirekisterin päivitysrajapinnan JSON-skeema. Tullin toteuttaman Tilirekisteri- sovelluksen päivitysrajapintakuvaus, versio 1.0.14. Viitattu 14.11.2020.

https://github.com/FinnishCustoms-SuomenTulli/account-register-information- update/blob/master/schemas/information_update.json

24 Tilirekisterin päivitysrajapinnan toiminta vuokaaviona. Tullin toteuttaman

Tilirekisteri-sovelluksen päivitysrajapintakuvaus, versio 1.0.14. Viitattu 8.12.2020.

https://github.com/FinnishCustoms-SuomenTulli/account-register-information- update/blob/master/diagrams/flowchart_update.png?raw=true

25 XML Signature Syntax and Processing Version 1.1. W3C:n määritys., 2013.

Viitattu 4.11.2020.

https://www.w3.org/TR/xmldsig-core1/

26 JSON Web Signature (JWS). IETF:n hyväksymä määritys, 2015. Viitattu 4.11.2020.

https://tools.ietf.org/html/rfc7515

(28)

27 Palvelinvarmenne. DVV:n sivusto, palvelinvarmenteiden dokumentaatio, 2020.

https://dvv.fi/palvelinvarmenne/

28 Sähköisen asioinnin tietoturvallisuus. Valtioneuvoston julkaisuarkisto, 2017.

https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/80012/VM_25_2017.pdf 29 Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen –

kansalliset suojaustasot. Viestintäviraston Kybeturvallisuuskeskus, 2018. Viitattu 12.11.2020.

https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/ohje- kryptografiset-vahvuusvaatimukset-kansalliset-suojaustasot.pdf/

30 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. IETF:n hyväksymä määritelmä, 2018. Viitattu 12.11.2020.

https://tools.ietf.org/html/rfc5280

31 Hakurajapinnan esimerkkihaku. Tullin toteuttaman tiedonhakujärjestelmän dokumentaatio, 2020. Viitattu 11.11.2020.

https://github.com/FinnishCustoms-SuomenTulli/account-register-information- query/blob/master/examples/Query_example-Registration_number.xml

32 Hakurajapinnan esimerkkitulos Tullin toteuttaman tiedonhakujärjestelmän dokumentaatio, 2020. Viitattu 11.11.2020.

https://github.com/FinnishCustoms-SuomenTulli/account-register-information- query/blob/master/examples/example_response.xml

33 Measures to prevent money-laundering (article 14 of the United Nations Convention against Corruption). YK:n dokumenttiarkisto, 2015. Viitattu 4.12.2020.

https://www.unodc.org/documents/treaties/UNCAC/WorkingGroups/workinggrou p4/2015-August-31-to-September-2/V1504277_e.pdf

34 The FATF Recommendations. FATF-järjestön media-arkisto, 2020. Viitattu 4.12.2020.

http://www.fatf-

gafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommendation s%202012.pdf

(29)

35 Finland's measures to combat money laundering and terrorist financing. FATF- järjestön sivusto, Raportti 2020. Viitattu 4.12.2020.

http://www.fatf-gafi.org/countries/d-i/finland/documents/mer-finland-2019.html 36 Vuosikertomus, Rahanpesun selvittelykeskus. Docplayer.fi-palvelun arkisto, 2019.

Viitattu 4.12.2020.

https://docplayer.fi/185972394-Vuosikertomus-rahanpesun-selvittelykeskus- 2019.html

37 Suomi tehostaa rahanpesun ja terrorismin rahoittamisen torjuntaa. Sisäministeriön sivuston tiedotearkisto, tiedote 32/2019. Viitattu 4.12.2020.

https://intermin.fi/-/suomi-tehostaa-rahanpesun-ja-terrorismin-rahoittamisen- torjuntaa

38 Kaikkien henkilötunnus ei vaihdu sittenkään. Yle:n sivuston uutinen 9.10.2020.

https://yle.fi/uutiset/3-11586805

39 Rahanpesu. Artikkeli Wikipediassa, 2020. Viitattu 16.12.2020.

https://fi.wikipedia.org/wiki/Rahanpesu