8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:
код «2.2» указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
— под действие данного кода попадают операции снятия наличных денежных средств в банкоматах с использованием поддельных, утраченных, временно выбывших из владения карт (несанкционированные операции).
код «2.3» указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
— под действие данного кода попадают действия по установке скимминговых устройств и вредоносного кода.
10. В графе 4 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «4.1» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в банкомате;
код «4.6» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, банкомата или электронного терминала, и платежная карта использована не была;
коды «4.11.1» — «4.11.6» указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, банковским платежным агентом (субагентом) или операционным центром, находящимся за пределами Российской Федерации, объекта информационной инфраструктуры; при этом код «4.11.1» указывается, если инцидент произошел при эксплуатации банкомата, платежного терминала или электронного терминала.
11. В графе 5 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «5.1» указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов с использованием банкоматов, платежных терминалов, электронных терминалов.
12. В графе 6 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «6.1» указывается, если причиной инцидента является воздействие вредоносного кода;
код «6.3» указывается, если причиной инцидента является использование электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для удостоверения клиентом оператора по переводу денежных средств права распоряжения денежными средствами (далее — аутентификационная информация); (снятие наличных).
код «6.7» указывается, если причиной инцидента является размещение на банкоматах и платежных терминалах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств, в том числе аутентификационной информации;
код «6.8» указывается, если причиной инцидента является распространение информации (например, с использованием ресурсов сети Интернет, в том числе электронной почты, а также услуг, предоставляемых операторами связи), побуждающей клиента оператора по переводу денежных средств сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию; (фишинг, социальная инженерия).
Форма отчета ежемесячная.
Другим документом, предусматривающим отчетность по противоправным действиям в отношении банкоматов, является Указание Банка России от 12.10.2009 № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный Банк Российской Федерации». В частности, Приложение 4 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт». Код формы по ОКУД 0409258. Отчетность включает:
Раздел I. Сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции.
Подраздел I. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел II. Операции, совершенные за пределами территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел III. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных за пределами территории Российской Федерации.
Количество и сумма несанкционированных операций
из них совершенных:
посредством банкоматов (платежных терминалов).
Раздел II. Сведения об инфраструктуре, в которой были совершены несанкционированные операции с использованием платежных карт.
Порядок составления и представления отчетности по форме 0409258:
Сведения о несанкционированных операциях, совершенных с использованием платежных карт:
1. Отчетность по форме 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» (далее — Отчет) составляется в целях получения сведений о количестве и сумме несанкционированных операций, совершенных с использованием платежных карт, и инфраструктуре, используемой при их совершении.
2. Отчет составляется в целом по кредитной организации (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, осуществляющих депозитно-кредитные операции) и представляется в территориальное учреждение Банка России:
кредитными организациями (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций) — не позднее 10-го рабочего дня месяца, следующего за отчетным.
Представляется, что требование направления отчета не позднее 10-го рабочего дня месяца, следующего за отчетным, повлечет неполноту данных. Тем более это будет касаться операций с использованием платежных карт, эмитированных за пределами территории Российской Федерации. То есть эквайринговых операций, так как эквайрер узнает о таких операциях, как правило, от эмитента, через платежную систему и гораздо позднее.
Общие рекомендации по обеспечению банкоматов даны в приложении к письму Банка России от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов»:
Кредитным организациям, в том числе при привлечении специализированных организаций, рекомендуется:
классифицировать места установки устройств по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций (далее — атаки);
пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;
оснащать устройства защитным оборудованием и специальным программным обеспечением, при этом их тип, комплектацию и функциональные возможности рекомендуется выбирать с учетом классификации места установки (предполагаемой установки) устройства;
осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, включая его целостности и отсутствия несанкционированного оборудования, а также действий обслуживающих данное устройство организаций;
использовать системы удаленного мониторинга состояния устройства, обеспечивающие контроль надлежащего функционирования защитного оборудования и специального программного обеспечения;
оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней. Требования к типу и качеству систем видеонаблюдения, хранению информации, а также местам их установки (внутри или вне устройства) должны обеспечивать получение видеоизображения надлежащего качества;
обеспечить обнаружение, фиксацию фактов атак и попыток их совершения и информирование о них заинтересованных участников рынка розничных платежных услуг, а также Банка России;
проводить анализ и устранять выявленные уязвимости в случаях, когда используемое устройство подверглось атакам или попыткам их совершения;
совершенствовать применяемые решения и процедуры, направленные на обнаружение, фиксацию, идентификацию и предотвращение атак или попыток их совершения;
осуществлять сотрудничество с иными кредитными организациями, а также осуществлять на регулярной основе обмен информацией в целях развития и совершенствования безопасности устройств;
размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера при использовании устройства;
устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное) с учетом настоящих Рекомендаций;
осуществлять крепление устройства к стене или к полу в помещениях и к фундаменту вне помещений, если это допускает его конструкция;
устанавливать устройства с антивандальным исполнением корпуса и панелей;
предусматривать при установке устройства возможность его безопасного использования маломобильными группами населения, людьми, с ограниченными возможностями здоровья;
страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств.