(1).jpg)
Письмо Банка России от 30 декабря 2021 г. № 56-28/1360 “О составлении отчетности по форме 0403203”
Департамент информационной безопасности Банка России рассмотрел дополнительные вопросы по составлению отчетности по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств", входящей в состав проекта указания Банка России "О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств", и направляет сводную таблицу с ответами и комментариями к ним.
Вместе с тем предлагаем вопросы, касающиеся АСОИ ФинЦЕРТ, обсудить в дальнейшем в рамках отдельного мероприятия.
Приложение: 1 файл.
|
Директор Департамента информационной безопасности |
В.А. Уваров |
Сводная таблица замечаний и предложений к отчетности по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств", поступивших по результатам рабочей встречи с представителями банков 25.11.2021 на площадке Ассоциации банков России (исх. письмо от 07.12.2021 N 02-05/1223)
| N п/п | Содержание замечания или предложения | Решение | Пояснение |
|---|---|---|---|
| 1 | 1. Предлагается рассмотреть возможность изменения текущего названия Отчетности на, например, "Сведения о событиях, связанных с несанкционированными действиями при осуществлении переводов денежных средств", как более подходящее к содержанию ее разделов: - Раздел 2. Сведения оператора по переводу денежных средств о событиях, связанных с использованием электронных средств платежа без согласия клиента - физического лица; - Раздел 3. Сведения оператора по переводу денежных средств о событиях, связанных с использованием электронных средств платежа без согласия клиента - юридического лица; - Раздел 4. Сведения оператора по переводу денежных средств о переводах и снятии денежных средств в результате несанкционированного доступа к объектам его информационной инфраструктуры; - Раздел 5. Сведения оператора электронных денежных средств об уменьшении остатка электронных денежных средств в результате несанкционированного доступа к объектам его информационной инфраструктуры; - Раздел 6. Сведения расчетного центра платежной системы о получении им уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы. Текущее название формы Отчетности не в полной мере отражает учитываемую информацию и статистические данные, так как большинство из обязательных к декларированию событий не является следствием недостатков в обеспечении защиты информации. | Учтено | Названия разделов доработаны с учетом их содержания. |
| 2 | 2. Кредитные организации просят рассмотреть вопрос об исключении из Отчетности инцидентов типа INT (инциденты информационной безопасности внутренней инфраструктуры и систем кредитной организации, связанные с несанкционированными переводами денежных средств вследствие атак на инфраструктуру кредитной организации или действий внутреннего нарушителя) при сохранении сообщений по таким инцидентам в рамках Стандарта Банка России СТО БР БФБО-1.5-20181. Исключение инцидентов типа INT позволит: - упростить классификаторы и таблицы Отчетности; - убрать противоречия и неточности в терминологии; - упростить процедуры взаимодействия подразделений кредитной организации при сборе данных и заполнении Отчетности, так как выявлением, противодействием и регистрацией инцидентов типа INT и ЕХТ, как правило, занимаются разные подразделения кредитной организации, использующие различные системы для сбора и обработки таких инцидентов; - сократить трудозатраты персонала на подготовку Отчетности; - сократить трудозатраты по доработке систем кредитной организации, ограничившись только системами, участвующими в процессах предотвращения внешнего электронного мошенничества. Отражение в Отчетности только инцидентов типа ЕХТ (инциденты, связанные с операциями без согласия, направленными на клиентов кредитной организации) будет в полной мере соответствовать цели предоставления Отчетности, озвученной на встрече: сбор и анализ статистических данных о количестве и объеме внешнего электронного мошенничества. | Отклонено | Вопрос исключения из отчетности сведений об инцидентах типа INT рассматривается. В данный момент исключение разделов, включающих сведения об инцидентах информационной безопасности, связанных с атаками на внутреннюю инфраструктуру и системы кредитной организации, не планируется. |
| 3 | 3. Предлагается в пунктах 5.2, 6.2, 7.1 методики составления Отчетности в справочник кодов по видам операций по переводу денежных средств добавить код "Прочие" для отражения операций по переводу денежных средств, которые отсутствуют в указанном справочнике. Одновременно целесообразно предусмотреть возможность отражения обязательного комментария/расшифровки видов операций, учтенных с кодом "Прочие", в пояснительной записке к Отчетности. Это позволит собрать разновидности таких операций для их дальнейшей систематизации. | Отклонено | Добавление кода "Прочие" на данный момент считаем нецелесообразным, так как он представляется неинформативным. |
| 4 | 4. В АСОИ ФинЦЕРТ в настоящий момент сообщается информация о попытках и случаях операций без согласия клиента. В новой редакции Отчетности попытки следует учитывать с реальным показателем суммы или по аналогии с АСОИ ФинЦЕРТ (сумма равна 0)? Если следует указывать конкретную сумму, следует ли после даты внедрения новых требований к составлению Отчетности внести изменения в порядок заполнения инцидентов в АСОИ ФинЦЕРТ (указывать также сумму, а не 0)? Будет ли выполняться количественный подсчет попыток в новой редакции Отчетности? При этом, согласно информации Банка России, поступающей в кредитные организации в письмах2 и по каналам ФинЦЕРТ, "в подраздел 2.1 раздела 2 формы 0403203 заносятся сведения о фактически совершенных переводах денежных средств, по которым были получены уведомления от клиентов, попытки не учитываются". 2 Письмо Банка России от 23.11.2020 N 56-2-6/583. | Даны пояснения | В новой редакции отчетности попытки следует учитывать с реальным показателем суммы. |
| 5 | 5. Если мошенничество пресечено на уровне попытки входа в систему ДБО или в самой сессии ДБО (до формирования операции по карте/счету), нужно ли учитывать такие события в Отчетности и в АСОИ ФинЦЕРТ? Если да, то каким образом? | Даны пояснения | Учитываются события в части операций по переводу денежных средств, предусмотренных Федеральным законом от 27.06.2011 N 161-ФЗ "О национальной платежной системе". |
| 6 | 6. В чем заключается разница между кодами "Счета" и "Электронные" в пункте 5.1 методики оставления отчетности? К какому коду будет относиться Интернет-банкинг? Оплату по QR-коду следует относить к коду "СБП"? | Даны пояснения | По коду "Счета" указываются сведения об операциях, в рамках которых списание средств осуществляется с банковского счета плательщика. По коду "Электронные кошельки" указываются операции, в рамках которых списание средств осуществляется с электронного кошелька плательщика. Интернет-банкинг распределяется по существующим кодам в зависимости от средства платежа, которое использует плательщик в интернет-банкинге. Оплата по QR-коду также учитывается в зависимости от средства платежа, которое используется при оплате по QR-коду. Если QR-код применяется для оплаты через СБП, то такую операцию следует отнести к коду "СБП". |
| 7 | 7. Код 01 разделов 2 и 3 Отчетности содержит сведения по всем операциям по переводу денежных средств, совершенным оператором по переводу денежных средств по результатам приема к исполнению распоряжений клиента (включая непринятые к исполнению), без исключений? Или только но неуспешным по причине отклонения операции антифродом? a. Будет ли к данным сведениям относиться информация по неуспешным операциям, осуществленным посредством, к примеру, платежных карт: операция "Запрос баланса в ATM", не относящаяся к действиям без согласия клиента (или относящаяся), неудачная (неуспешная) операция снятия наличных денежных средств посредством ATM с некорректным вводом ПИН-кода и др.? b. Будут ли включаться в Отчетность сведения по операциям, осуществленным между счетами (договорами, картами) одного клиента? Будут ли подлежать данные события отправке в Фид-АнтиФрод (ФАФ) АСОИ ФинЦЕРТ? c. Если речь идет обо всех неуспешных операциях независимо от причины отклонения, то насколько необходимы данные сведения, учитывая, что есть множество неуспешных операций из-за ошибок кассиров торговых точек, которые пробивают некорректную сумму, сами клиенты пробуют провести операции, многократно превышающие баланс, и прочих причин, которые не отражают реальной картины отклоненных операций? Для каких целей необходима данная информация Банку России? Все ли операции за отчетный период должны входить в этот код, либо только операции без согласия клиента (фрод)? | Даны пояснения | По коду "01" необходимо учитывать все операции, относящиеся к осуществлению перевода денежных средств, в соответствии с Положением Банка России от 29.06.2021 N 762-П "О правилах осуществления перевода денежных средств". a. "Запрос баланса в ATM" не относится к переводу. При этом списание денежных средств со счета и выдача наличных являются переводом денежных средств. b. В отчетность включаются сведения об операциях по переводу денежных средств между счетами одного клиента в случае осуществления перевода денежных средств в другую кредитную организацию. c. Необходимо учитывать в целом объем поступивших распоряжений на осуществление перевода денежных средств в соответствии с Федеральным законом от 27.06.2011 N 161-ФЗ "О национальной платежной системе". |
| 8 | 8. В действующей форме Отчетности поле "Общая сумма денежных средств, переведенных (списанных) с банковских счетов клиентов на основании распоряжений, переданных с использованием электронного средства платежа" заполняется на основании данных из других форм отчетности, в том числе по формам 0409250 и 0409251. Нужен ли код 01 в новой редакции Отчетности? Если нужен, можно ли включить в методику алгоритм подсчета количества и суммы операций на основании данных из других форм отчетности? | Даны пояснения | Код "01" в новой редакции отчетности учитывает также попытки переводов денежных средств (отклоненные и приостановленные операции), относящиеся к операциям без согласия клиента. |
| 9 | 9. Что понимается под "суммой переводов денежных средств, совершенных как с согласия, так и без согласия клиента на основании распоряжений, переданных с использованием всех типов электронных средств платежа"? Здесь следует включать сумму только по данному клиенту или по всему банку? Что следует указывать в ячейке в случае нулевого отчета? | Даны пояснения | В соответствии с пунктом 5.2 проекта указания Банка России "О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств", в случае если отчетность по форме 0403203 содержит только нулевые значения показателей, она представляется в Банк России с нулевыми значениями показателей. Остальные вопросы следует уточнить. |
| 10 | 10. Корректно ли относить операции по кодам 02, 03 и 04 также в коды 05 или 06 при обращении клиента в кредитную организацию с информацией о том, что клиент данную операцию опровергает? Например, операция приостановлена, подтверждена клиентом, а спустя какое-то время клиент сообщает о том, что операция им все-таки не совершалась (мошенническая): a. в рамках одного и того же отчетного периода; b. в рамках разных отчетных периодов. | Даны пояснения | a. В рамках одного периода ведения изменения по такой операции отражаются также по коду "05" или "06"; b. В рамках разных отчетных периодов изменения по операции учитываются в отчетности в другом отчетном периоде. |
| 11 | 11. В пункте 5 методики составления Отчетности (раздел 2) не указана обязанность оператора по переводу денежных средств отчитываться о случаях, когда перевод денежных средств приостановлен, и клиент его не подтвердил. Код 02 не подходит, так как не по всем не принятым к исполнению распоряжениям оператор по переводу денежных средств получает несогласие клиента. В какой код следует отнести операцию после отклонения операции антифрод-системой, если связаться с клиентом не удалось? Предлагается внести уточнения. Аналогично по пункту 6 методики составления Отчетности (раздел 3). | Даны пояснения | В случае если после отклонения операции антифрод-системой связаться с клиентом не удалось, такую операцию следует отнести к виду операции по коду "02". Операции, которые были приостановлены и не подтверждены клиентом, учитываются методом исключения операций, по которым получено подтверждение клиента, из всех приостановленных (отклоненных) операций. |
| 12 | 12. В код 02 необходимо включать все операции, приостановленные/отклоненные антифрод-системой, или только те их них, которые признаны фродом (т.е. с клиентом удалось связаться, и клиент в явном виде не подтвердил операцию)? Включаются ли в этот код ошибки первого рода антифрод-системы? | Даны пояснения | К коду "02" следует отнести все операции, приостановленные/отклоненные антифрод-системой. Ошибки первого рода также включаются в этот код. |
| 13 | 13. Следует ли относить к коду 02 операции, отклоненные, например, по причине нехватки средств, но при этом был факт сработки антифрода, и средства были заблокированы? | Даны пояснения | В случае если антифрод-система сработала, то такую операцию следует учесть в отчетности по коду "02". |
| 14 | 14. Каким образом и в каком виде следует заполнять код 04 в разделе 2 Отчетности по операциям с использованием платежных карт и СБП? Операции по платежным картам, операции через СБП невозможно приостановить и возобновить, они либо отклоняются процессингом, либо исполняются. Значит ли это что в кодах 04, 05, 06 по физическим лицам с типом операций "Карта", "СБП" всегда будут нулевые показатели? Если нет, то что значит возобновление операции по картам и по СБП? | Даны пояснения | По коду "04" следует учесть операции, которые были приостановлены. По кодам "05" и "06" необходимо такие операции учитывать. Подразумеваются не только неприостановленные операции, но и неотклоненные операции. |
| 15 | 15. Если в серии идентичных операций часть прошла успешно до срабатывания антифрода, а вторая была отменена антифрод-системой, отклоненная часть операций должна попасть в коды 02 и 03, а успешная - в 05 и 06? Может ли один кейс раздробиться и попасть в разные коды? | Даны пояснения | Такие кейсы учитываются по видам операций в соответствии с тем, как сработала антифрод-система. В данном случае отклоненная часть операций будет учтена в разделах по видам операций, учитывающих отклоненные и приостановленные операции, а успешные операции - в разделах по видам операций, учитывающих уведомления клиентов, если по ним поступило обращение. |
| 16 | 17. Большая масса регистрируемых операций без согласия - это платежи за сервисы в Интернете, например, списание с карт за подписки. В данном случае транзакция оспаривается через платежные системы, и при положительном решении, возмещение клиенту производится за счет торговца. Включаются ли в код 07 Отчетности такие операции, важен ли источник средств возмещения? | Даны пояснения | Такие операции следует учитывать в отчетности и включать в вид операций по коду "07". |
| 17 | 18. Следует ли включать в код 12 (операции, по которым оператором по переводу денежных средств, обслуживающим получателя, направлено оператору по переводу денежных средств, обслуживающему плательщика, уведомление о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств в случае получения от оператора по переводу денежных средств, обслуживающего плательщика, уведомления о приостановлении после осуществления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств по форме и в порядке, установленных Указанием Банка России N 5039-У, в соответствии с частью 11.5 статьи 9 Федерального закона N 161-ФЗ) операции, если по ним поступает подобное уведомление не напрямую от банка-отправителя, а, например, от АСОИ ФинЦЕРТ в формате запроса по операции без согласия? | Даны пояснения | Такие операции следует включать в код "12". |
| 18 | 19. К какому пункту раздела 3 Отчетности будут относится операции без согласия клиента, осуществленные посредством платежных корпоративных карт (например, Р2Р-перевод)? | Даны пояснения | Поскольку корпоративные карты выдаются физическому лицу, такие операции следует учитывать в разделе 2 отчетности. |
| 19 | 20. Необходимо ли учитывать комиссию оператора по переводу денежных средств при составлении Отчетности? Зависит ли это оттого, указал ли клиент комиссию в заявлении? | Даны пояснения | В части операций, приостановленных или отклоненных оператором, указывается исходная сумма операции (без учета комиссии). Комиссию оператора следует учитывать по факту обращения клиента. Если клиент в обращении указал сумму с комиссией, то в разделах отчетности, в которых учитываются операции на основании обращения клиента, учитываются операции с учетом комиссии. В разделах, учитывающих возврат, учитывается сумма по факту возврата. |
| 20 | 21. Кредитные организации просят уточнить порядок и сроки предоставления доступа к ПО Клико в части обновленной Отчетности. | Даны пояснения | Порядок и сроки предоставления доступа к ПО будут уточнены позднее по мере готовности системы (ориентировочный срок - II квартал 2022 года). |
| 21 | 22. Когда должна быть первый раз представлена Отчетность по новой форме? В октябре 2022 года или в январе 2023 года? | Даны пояснения | Требование о представлении отчетности вступает в силу с 01.01.2023. Первый раз сведения должны быть представлены за I квартал 2023 года. |
| 22 | 23. Где и когда будет обозначено четкое определение ключевого понятия "операция без согласия клиента"? Какие операции и в каких случаях являются "операциями без согласия клиента"? a. Является ли операцией без согласия клиента снятие наличных самим клиентом (под воздействием социальной инженерии) в кассе или ATM и перевод данных средств (либо любая другая форма передачи денежных средств) мошенникам? b. Является ли операцией без согласия клиента уже совершенная операция перевода денежных средств, обозначенная в претензии клиента как операция, которую он не совершал? c. В случае не подтверждения при запросе конкретной операции клиентом или получения претензии от клиента по конкретной операции, можно ли считать другие операции, проведенные в тот же момент времени и с того же устройства (явно мошеннического), операциями без согласия? Или операцией без согласия необходимо считать только ту, которую клиент явно не подтвердил или которую явно указал в претензии? d. Считаются ли операциями без согласия клиента операции покупок в физических точках (например, в магазинах Пятерочка, Перекресток, кафе Макдональдс, торговых точках быстрого питания и т.п.), по которым клиенты оформляют претензии? Нужно ли их отражать в Отчетности и передавать в АСОИ ФинЦЕРТ? e. Необходимо ли сообщать о попытке привязать токен (GooglePay, ApplePay, SamsungPay) в том случае, если клиент сообщил, что ничего не делал? При этом произошел не технический сбой, а именно попытка привязки токена, совершенная сторонним лицом. В результате привязать токен не удалось и попыток операций совершенно не было. | Даны пояснения | В этой части осуществляется доработка Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе". a. В случае если клиент передал денежные средства мошенникам (под воздействием социальной инженерии) и впоследствии заявил о несогласии с этой операцией, то такая операция является операцией без согласия. b. Является. c. Возможно, такие операции необходимо классифицировать как соответствующее признакам осуществления перевода денежных средств без согласия клиента и запрашивать подтверждение клиента. d. Необходимо учитывать операции, в отношении которых клиенты уведомляют о том, что не согласны с ней. e. События, связанные с привязкой токена, не учитываются в отчетности. |
Обзор документа
Банк России рассмотрел предложения по составлению отчетности по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств". Ответы и комментарии регулятора собраны в сводную таблицу.
Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
