Банки сталкиваются с неочевидными нюансами при заполнении отчетности по нарушениям защиты информации. Один из ключевых вопросов: нужно ли отражать в отчете по форме 0403203 все платежи клиентов-юридических лиц, включая бумажные распоряжения, или только операции, совершенные через системы дистанционного обслуживания (ДБО)? Разберем ситуацию на реальном кейсе.
Суть проблемы
Банк, не работающий с физическими лицами, получает от клиентов-юрлиц платежные поручения двумя способами:
- Через систему ДБО (электронно)
- На бумажных носителях
При формировании отчета о нарушениях защиты информации возник вопрос: должны ли включаться в отчет:
- Все несанкционированные операции клиентов-юрлиц?
- Только те, что совершены через ДБО?
Нормативная база: что требует регулятор
Основные документы, регулирующие отчетность:
| Документ |
Ключевые положения |
| ФЗ №161 "О НПС" |
- Дает определение электронному средству платежа (ЭСП)
- Устанавливает обязанности операторов
|
| Указание Банка России №6470-У |
- Утверждает форму 0403203
- Детализирует порядок заполнения разделов
|
Критически важные определения
Согласно ст. 3 ФЗ №161:
- Электронное средство платежа (ЭСП) — инструмент, позволяющий клиенту составлять и передавать распоряжения с использованием ИТ-технологий
- Оператор по переводу денежных средств — организация, имеющая право осуществлять такие переводы
Важно: бумажные платежные поручения не подпадают под определение ЭСП, так как не используют электронные носители или технологии передачи данных.
Как заполнять разделы отчета 0403203
Согласно методике Указания №6470-У:
Раздел 3: Операции юрлиц
- Включаются только операции с ЭСП
- Указываются обобщенные сведения о переводах без согласия клиента
- Бумажные платежи не отражаются
Раздел 4: Нарушения инфраструктуры
- Фиксируются случаи несанкционированного доступа
- Включаются операции, ставшие возможными из-за нарушений защиты
- Относится как к переводам через ЭСП, так и к другим способам
Почему бумажные платежи не включаются в раздел 3
Ключевые аргументы:
- Нормативное соответствие: Требования к разделу 3 явно ссылаются на ЭСП
- Позиция ЦБ: В разъяснениях указано, что "Клиент-Банк" считается ЭСП только при электронной передаче распоряжений
- Логика регулирования: Риски киберугроз актуальны именно для электронных каналов
Практические рекомендации банкам
- Раздел 3 заполняйте только по операциям, совершенным через:
- Системы ДБО
- Платежные шлюзы
- Мобильный банкинг
- Бумажные платежи отражайте только в разделе 4 при условии:
- Подтвержденного факта несанкционированного доступа
- Прямой связи между нарушением и операцией
- Нулевые показатели: Если данных нет - ставьте "0" в числовых полях и прочерк в символьных
Типичные ошибки при заполнении
- Избыточная информация: Включение в раздел 3 операций по бумажным документам
- Неполные данные: Игнорирование раздела 4 при нарушениях, приводящих к несанкционированным бумажным платежам
- Неправильная классификация: Отнесение гибридных операций (например, электронная подпись бумажного документа) к ЭСП
Бухтека: мнение эксперта:
«Главное заблуждение — попытка включить в отчетность по форме 0403203 все случаи мошенничества. Регулятор четко разделяет: раздел 3 — только для электронных операций без согласия клиента, раздел 4 — для инцидентов, связанных с нарушением инфраструктуры. Бумажные платежи могут фигурировать исключительно во втором случае, при доказанной связи с киберинцидентом. Банкам стоит усилить мониторинг операций через ДБО — именно они создают основные риски и являются приоритетом для ЦБ.»
mail@buhteka.ru
