Форма 0403203: какие платежи включать в отчет о нарушениях защиты информации

Банки как операторы перевода денежных средств обязаны сдавать отчетность по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств». Однако на практике возникает вопрос: все ли платежи клиентов нужно включать в отчет? Разберемся на реальном кейсе, когда у банка нет счетов физлиц, а юрлица проводят операции через ДБО и бумажные носители.

Кто сдает отчет 0403203 и что в нем отражается

Отчетность по форме 0403203 регулируется Указанием Банка России № 6470-У и включает:

• Обязательных субъектов: операторы перевода денежных средств (включая банки), операторы услуг платежной инфраструктуры.
• Ключевые блоки:
  • Раздел 3: операции юрлиц с использованием электронных средств платежа (ЭСП) без их согласия.
  • Раздел 4: переводы из-за несанкционированного доступа к ИТ-инфраструктуре банка.
• Сроки: периодичность и даты сдачи устанавливаются Банком России.

Конкретная ситуация: банк без физлиц и с двумя типами клиентов-юрлиц

Рассмотрим случай из практики:

• Банк не обслуживает физлиц (ни счета, ни переводы без открытия счетов).
• Клиенты-юрлица делятся на две группы:
  • Работающие через ДБО (системы типа «Клиент-банк»).
  • Предоставляющие распоряжения на бумаге.

Вопрос: при заполнении отчета 0403203 нужно ли включать все платежи юрлиц или только операции через ДБО?

Что включать в раздел 3: только операции через электронные средства платежа

Согласно методике Указания № 6470-У:

• Раздел 3 содержит исключительно операции с использованием ЭСП (п. 5 Методики).
• ЭСП — это инструменты, позволяющие составлять, удостоверять и передавать распоряжения электронным способом (ст. 3 Закона № 161-ФЗ).
• Системы ДБО (например, «Клиент-банк») признаются ЭСП, если через них проводятся переводы.
• Бумажные платежи не являются операциями с ЭСП и в раздел 3 не включаются.

Пример: Если мошенник похитил реквизиты юрлица и провел платеж через «Клиент-банк» — это включается в раздел 3. Если тот же мошенник подделал бумажное платежное поручение — операция в раздел 3 не попадает.

Раздел 4: переводы из-за несанкционированного доступа к инфраструктуре банка

Важно не путать разделы 3 и 4:

• Раздел 4 фиксирует операции, совершенные в результате взлома систем банка (п. 6 Методики).
• Сюда попадают:
  • Переводы со счетов клиентов без их распоряжения из-за атак на серверы банка.
  • Снятие наличных через банкоматы путем несанкционированного доступа.
• Дублирование данных запрещено: операции из раздела 3 в раздел 4 не переносятся.

Пример: Хакеры взломали сервер банка и инициировали перевод со счета юрлица без его ведома. Если это не связано с компрометацией ЭСП клиента (например, украденного пароля от ДБО), операция отражается в разделе 4.

Как заполнять отчет при отсутствии нарушений

Пункт 4 Указания № 6470-У требует:

• Если данных по показателям нет — ставить «0» в числовых полях и прочерк в символьных.
• Если нет вообще никаких данных — банк не сдает отчет, а направляет уведомление об отсутствии показателей (оно имеет статус отчетности).

Важно: нулевые показатели допустимы, но пропуск отчета — нарушение.

Законодательная база: на что опираться

1. Закон № 161-ФЗ (ст. 3, 31, 32):
   • Определяет понятия ЭСП, оператора перевода денежных средств.
   • Устанавливает надзорные полномочия Банка России.
2. Указание Банка России № 6470-У:
   • Утверждает форму 0403203 и методику ее заполнения.
   • Конкретизирует состав разделов и показателей.

Ошибки при заполнении и как их избежать

• Ошибка 1: Включение бумажных платежей в раздел 3. Решение: анализировать канал операции — только ЭСП.
• Ошибка 2: Дублирование одних и тех же операций в разделах 3 и 4. Решение: четко разделять причину нарушения (компрометация ЭСП клиента vs взлом инфраструктуры банка).
• Ошибка 3: Неотправка отчета при отсутствии нарушений. Решение: направлять уведомление об отсутствии данных.

Практические рекомендации для банков

1. Создайте внутреннюю инструкцию по идентификации инцидентов для формы 0403203.
2. Настройте автоматический сбор данных:
   • По операциям через ДБО — для раздела 3.
   • По событиям ИБ-мониторинга — для раздела 4.
3. Проводите ежеквартальный аудит заполнения отчета на соответствие Указанию № 6470-У.

Помните: некорректное отражение данных в отчете 0403203 может привести к штрафам со стороны Банка России за нарушение порядка представления отчетности.

Бухтека: мнение эксперта:

«Ключевое правило при заполнении формы 0403203 — разделять операции по природе нарушения. Если клиент-юрлицо потерял контроль над своим электронным средством платежа (например, паролем от ДБО) — это раздел 3. Если же банк стал жертвой кибератаки, и деньги списались без участия клиента — это раздел 4. Бумажные платежи не относятся ни к тому, ни к другому. Ошибки здесь чреваты не только санкциями ЦБ, но и репутационными рисками: клиенты должны быть уверены, что банк корректно классифицирует инциденты».