о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента
Настоящие рекомендации разработаны Рабочей группой Ассоциации российских банков и НП «Национальный платежный совет» по предотвращению мошенничества в платежных системах (далее – Рабочая группа) с учетом Письма Бюро специальных технических мероприятий Министерства внутренних дел Российской Федерации (далее – БСТМ МВД России) от 17 января 2012 г. № 10/257 с целью разъяснения порядка действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания (далее – ДБО), использующих электронные устройства (далее – ЭУ): персональный компьютер, ноутбук, планшетный компьютер и т.п. в качестве удаленного рабочего места для целей дистанционного управления денежными средствами клиента.
В целях оперативной организации эффективного взаимодействия и принятия процессуальных решений по фактам совершения хищения денежных средств в системах ДБО (далее – факт хищения денежных средств), а также исполнения требований Положения Банка России от 09.06.2012 № 382-П и Указания Банка России от 09.06.2012 № 2831–У, кредитным организациям и операторам платежных систем (далее совместно – банки) рекомендуется:
– соблюдать нижеизложенный порядок сбора и хранения необходимой доказательной базы по фактам хищений денежных средств;
– обеспечивать регистрацию и хранение информации, относящейся к работе клиентов в системах ДБО (Приложение № 15 к настоящим Рекомендациям), не менее трех лет с момента последнего использования клиентом системы ДБО;
– соблюдать нижеизложенный порядок информирования и взаимодействия с правоохранительными органами;
– размещать и регулярно обновлять контактную информацию для оперативной связи с сотрудниками, ответственными за расследование фактов хищения денежных средств и противодействие мошенничеству в системах ДБО, на специальном закрытом разделе сайта Некоммерческого партнерства «Национальный платежный совет» (www.platsovetrf.ru);
– регулярно информировать своих клиентов о возможных рисках использования ДБО и рекомендованных мерах по их минимизации, которые должны осуществляться на постоянной основе;
– регулярно уведомлять клиентов о рекомендованном порядке действий в случае выявления хищения денежных средств.
1. Клиенту (пострадавшему) – юридическому лицу, индивидуальному предпринимателю или физическому лицу, занимающемуся в установленном законодательством порядке частной практикой необходимо:
1.1. В случае выявления хищения денежных средств в системе ДБО немедленно прекратить любые действия с ЭУ, подключенным к системе ДБО, обесточить его (принудительно отключить электропитание в обход штатной процедуры завершения работы, извлечь все аккумуляторные батареи из ноутбука и т.п.) и отключить от информационных сетей (если было подключение, например, по Ethernet, USB, Wi-Fi, Dial-Up и др.) или перевести в режим гибернации («спящий» режим).
При отсутствии возможности обесточивания ЭУ, осуществить отключение по штатной процедуре и запротоколировать указанный факт.
1.2. При наличии технической возможности отозвать перевод с использованием иного ЭУ, после чего принять меры к блокировке системы ДБО.
1.3. При отсутствии технической возможности отозвать перевод по системе ДБО немедленно обратиться в банк плательщика по телефону с заявлением о блокировке системы ДБО, приостановке исполнения платежа и возврате средств.
1.4. Произвести фотосъёмку ЭУ (с подключенными кабелями и иными периферийными устройствами), рабочего места и его расположения в помещении. Обеспечить сохранность (целостность) ЭУ как возможного средства совершения преступления, поместив его в место с ограниченным доступом, обеспечив при этом защиту от вскрытия (стикеры, наклейки, пластилин, мастичная печать, пломбы и т.п.) и по возможности зафиксировать средства контроля целостности фотографированием со всех ракурсов. Если позволяют размеры ЭУ, следует поместить его в непрозрачный пакет (мешок) и заклеить горловину. При необходимости ведения хозяйственной деятельности – задействовать другое ЭУ.
1.5. Дополнительно к п.1.2, 1.3 обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (Приложение № 1 к настоящим Рекомендациям), а также о компрометации ключей и необходимости смены пароля (закрытого ключа). Копия заявления должна быть направлена в банк плательщика незамедлительно по факсу или по электронной почте (скан-копия). Оригинал заявления должен быть доставлен в банк плательщика течение одного дня.
1.6. Проинформировать все банки, с которыми клиент имеет договорные отношения, предусматривающие использование ДБО, о факте хищения денежных средств и обратиться с просьбой о внеплановой замене ключевой информации.
1.7. При наличии необходимой информации обратиться в банк получателя или к оператору соответствующей платежной системы с письменным заявлением о приостановлении платежа и возврате денежных средств (Приложение № 2 к настоящим Рекомендациям).
1.8. Предпринять меры для обеспечения сохранности и неизменности записей с внутренних и внешних камер систем видео-наблюдения, журналов систем контроля доступа, средств обеспечения и разграничения доступа в сеть Интернет (при наличии таковых) за максимальный период времени, как до, так и после даты совершения хищения денежных средств.
1.9. Провести сбор записей с межсетевых экранов и других средств защиты информации, серверов баз данных и иных компонент клиентского приложения системы ДБО, систем авторизации пользователей (AD, NDS и т.д.), коммуникационного оборудования (включая АТС), ЭУ, используемых для управления денежными средствами через систему ДБО банка, устройств, которые могут использоваться для удалённого управления указанными ЭУ.
1.10. При возможности оперативно обратиться с письменным заявлением к своему Интернет-провайдеру или оператору связи (Приложение № 3 к настоящим Рекомендациям) для получения в электронной форме журналов соединений с Интернет с электронного устройства клиента или из его локальной вычислительной сети (далее - ЛВС) как минимум за три месяца, предшествовавшие факту хищения денежных средств.
1.11. Не предпринимать никаких действий для самостоятельного или с привлечением сторонних ИТ-специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности ЭУ, не отправлять ЭУ в сервисные службы ИТ для восстановления работоспособности.
1.12. Зафиксировать в протокольной форме значимые действия и события, в том числе имена лиц, имеющих доступ к ЭУ, действия с ЭУ, подключенным к системе ДБО, предшествовавшие факту хищения денежных средств, подготовить объяснения клиента (работников клиента) об использовании ЭУ в целях, отличных от осуществления операций в системе ДБО, посещаемых сайтах, о странностях при работе ЭУ, перебоях или отказах ЭУ, обращениях в ИТ-службы, в банк плательщика, о сторонних лицах, побывавших в месте расположения ЭУ и т.д.
1.13. Все действия, указанные в пп.1.1, 1.4, 1.8, 1.9, 1.12 настоящего раздела, производить коллегиально, протоколировать и документировать, в т.ч. с использованием фотосъёмки.
При невозможности осуществления коллегиальных действий (для индивидуальных предпринимателей или физических лиц, занимающихся частной практикой) отдельно зафиксировать данный факт.
1.14. Оперативно обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств (глава 21 УК РФ) (Приложение № 4 к настоящим Рекомендациям).
1.15. Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств (указав все известные реквизиты получателя) о взыскании неосновательно полученного обогащения и процентов за пользование денежными средствами (глава 60 ГК РФ), а также с ходатайством о принятии судом мер по обеспечению иска в виде ареста денежных средств на счете получателя в сумме неосновательно полученного обогащения. К исковому заявлению необходимо приложить копию заявления о возбуждении уголовного дела либо копию талона, содержащего порядковый номер из книги учета сообщений о преступлениях (далее – КУСП) содержащую отметку правоохранительного органа о его приеме.
1.16. Копии вышеуказанных документов по перечню, установленному банком плательщика, направить в банк плательщика с приложением Справки по факту инцидента информационной безопасности в системе ДБО (Приложение № 5 к настоящим Рекомендациям), а также подтверждающих документов (Приложение № 6 к настоящим Рекомендациям) .
2. Клиенту (пострадавшему) – физическому лицу необходимо:
2.1. В случае выявления хищения денежных средств в системе ДБО немедленно прекратить любые действия с ЭУ, подключенным к системе ДБО, обесточить его (принудительно отключить электропитание в обход штатной процедуры завершения работы, извлечь все аккумуляторные батареи из ноутбука и т.п.) и отключить от информационных сетей (если было подключение, например, по USB, Wi-Fi и др.) или перевести в режим гибернации.
При отсутствии возможности обесточивания ЭУ, осуществить отключение по штатной процедуре и запротоколировать указанный факт.
2.2. Отозвать перевод денежных средств, обратившись в банк плательщика, следующими способами: при наличии технической возможности отозвать перевод - с использованием иного ЭУ, после чего заблокировать систему ДБО. При отсутствии технической возможности отозвать перевод по системе ДБО немедленно обратиться в банк плательщика по телефону с заявлением о приостановке исполнения платежа и возврате средств.
Оперативно обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (Приложение № 1 к настоящим Рекомендациям), а также о компрометации ключей и необходимости смены пароля (закрытого ключа). Копия заявления должна быть направлена в банк плательщика незамедлительно по факсу или по электронной почте (скан-копия). Оригинал заявления должен быть доставлен в банк плательщика как можно оперативнее.
2.3. Обеспечить сохранность (целостность) ЭУ как возможного средства совершения преступления, поместив его в место с ограниченным доступом, обеспечив при этом защиту от вскрытия (стикеры, наклейки, пластилин и т.п.) и по возможности зафиксировать средства контроля целостности фотографированием со всех ракурсов. Если позволяют размеры ЭУ, следует поместить его в непрозрачный пакет (мешок) и опечатать горловину.
2.4. Проинформировать все банки, с которыми клиент имеет договорные отношения, предусматривающие использование ДБО, о факте хищения денежных средств и обратиться с просьбой о внеплановой замене ключевой информации.
2.5. По возможности оперативно обратиться с письменным заявлением к своему Интернет-провайдеру (Приложение № 3 к настоящим Рекомендациям) для получения в электронной форме журналов соединений с Интернет с электронного устройства клиента или из его ЛВС как минимум за три месяца, предшествовавшие факту хищения денежных средств.
2.6. Не предпринимать никаких действий для самостоятельного или с привлечением сторонних ИТ-специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности ЭУ, не отправлять ЭУ в сервисные службы ИТ для восстановления работоспособности.
2.7. Подготовить объяснения о значимых действиях и событиях, в том числе действия с ЭУ, подключенным к системе ДБО, предшествовавших факту хищения денежных средств об использовании ЭУ в целях, отличных от осуществления операций в системе ДБО, посещаемых сайтах, о странностях при работе ЭУ, перебоях или отказах ЭУ, обращениях в ИТ-службы, в банк плательщика, о сторонних лицах, побывавших в месте расположения ЭУ и т.д.
2.8. Оперативно обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств (глава 21 УК РФ) (Приложение № 4 к настоящим Рекомендациям).
2.9. Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств (указав все известные реквизиты получателя) о взыскании неосновательно полученного обогащения и процентов за пользование денежными средствами (глава 60 ГК РФ), а также с ходатайством о принятии судом мер по обеспечению иска в виде ареста денежных средств на счете получателя в сумме неосновательно полученного обогащения. К исковому заявлению необходимо приложить копию заявления о возбуждении уголовного дела либо копию талона КУСП, содержащую отметку правоохранительного органа о его приеме.
2.10. Копии документов по перечню, установленному банком плательщика, направить в банк плательщика с приложением Справки по факту инцидента информационной безопасности в системе ДБО (приложение № 5 к настоящим Рекомендациям).
3. Банку плательщика необходимо:
3.1. При получении телефонного обращения плательщика о приостановке исполнения платежа немедленно предпринять разумно возможные и достаточные действия для идентификации плательщика, в том числе, посредством использования контактной информации, указанной в договоре банковского счета. При наличии возможности использовать дополнительные каналы для подтверждения обращения (SMS-уведомление, сообщение по электронной почте).
3.2. При подтверждении обращения незамедлительно принять меры к приостановке дальнейшей обработки платежа. При невозможности аутентификации клиента, зафиксировать данный факт, и продолжить обработку платежа, если нет иных оснований для приостановки дальнейшей обработки платежа.
3.3. В случае завершения обработки платежа незамедлительно в любой доступной форме направить в службу безопасности банка получателя информацию о факте хищения денежных средств с просьбой о приостановке обработки платежа
3.4. Оперативно направить с использованием сервисов расчетной системы Банка России или по системе SWIFT в банк получателя сообщение с просьбой о приостановлении платежа и возврате средств (Приложение № 7 к настоящим Рекомендациям).
3.5. С целью обеспечения сохранности доказательств исключить доставку в банк и/или техническое обслуживание ЭУ клиента, консультации, проверки ЭУ клиента, а равно совершение сотрудниками банка иных действий, которые могут привести к нарушению сохранности доказательств.
3.6. Оперативно направить письмо в банк получателя или к оператору платежной системы по факту хищения денежных средств (Приложение № 8 к настоящим Рекомендациям) с просьбой о прекращении обработки платежа, блокировке ДБО и платежных карт клиента – получателя, применении к получателю платежа мер контроля в рамках системы ПОД/ФТ и возврате средств.
Истребовать у плательщика подтверждение о подаче плательщиком заявления в правоохранительные органы и получить его копию в течение не более 2 рабочих дней со дня получения обращения плательщика в банк о факте хищения денежных средств.
3.7. Подготовить документы, указанные в приложениях № 11 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой) и/или № 12 (в отношении физического лица) к настоящим Рекомендациям.
3.8. Осуществить силами подразделения информационной безопасности банка, иных уполномоченных сотрудников либо с привлечением организаций, предоставляющих квалифицированные услуги по расследованию инцидентов информационной безопасности, по меньшей мере, следующие действия:
3.8.1. Провести мероприятия, определённые договорными отношениями с клиентом, в отношении проверки легитимности электронной подписи оспоренного платёжного документа. При необходимости – провести мероприятия по факту компрометации ключей электронной подписи.
3.8.2. Получить от ответственных сотрудников банка, обслуживающих системы ДБО, администраторов сети, систем криптографической защиты и т.д. экспертные заключения в рамках их компетенции по корректности ЭП в составе платежного документа, ее целостности и авторства.
3.8.3. Провести анализ собранной информации с целью выявления источника осуществления хищения денежных средств и возможной причастности сотрудников банка. Результаты проверки оформить документально.
3.8.4. При необходимости – провести технические мероприятия, направленные на предотвращение сокрытия следов, уничтожения информации и т.д., для чего задействовать используемые в банке средства и методы защиты информации.
3.8.5. Обеспечить хранение собранной информации в неизменном виде для передачи правоохранительным органам по запросу.
3.9. При необходимости провести, документально зафиксировав полученные результаты, следующие проверочные мероприятия в целях формирования необходимой доказательной базы по факту хищения денежных средств:
3.9.1. Найти оспоренный Клиентом платежный документ в базе данных системы ДБО банка и в базе данных автоматизированной банковской системы (далее – АБС) банка.
3.9.2. Если платежный документ не найден в базе данных ДБО банка, но имеется в базе данных АБС банка:
3.9.2.1. По журналам систем ДБО и АБС установить присутствовал ли платежный документ в системе ДБО ранее.
3.9.2.2. В свойствах платежного документа установить его авторство, дату, время и способ его создания.
3.9.2.3. Получить объяснения от своих работников, уполномоченных на оформление и проверку платежных документов, администраторов ДБО и АБС банка, администраторов безопасности ДБО и АБС банка.
3.9.2.4. Провести сбор записей с межсетевых экранов, систем обнаружения вторжений и антивирусной защиты, серверов баз данных, систем авторизации пользователей (AD, NDS и т.д.), рабочих станций сотрудников, штатно допущенных к управлению системами ДБО банка, и средств удалённого управления указанными рабочими станциями.
3.9.2.5. Получить записи систем видео-наблюдения, управления доступом в помещения и т.д.
3.9.2.6. Оценить возможность продолжения эксплуатации системы ДБО Банка.
3.9.3. Если платежный документ найден в базе данных ДБО банка, проверить подлинность оспариваемого платежного документа.
3.9.3.1. Если подлинность платежного документа не установлена:
3.9.3.1.1. Получить объяснения от работников банка, уполномоченных на оформление и проверку платежных документов, поступивших по системе ДБО, администраторов ДБО и АБС банка, администраторов безопасности ДБО и АБС банка (другого уполномоченного лица).
3.9.3.1.2. По журналам систем ДБО установить, была ли подлинность платежного документа утрачена в процессе эксплуатации системы ДБО, а также оценить возможность продолжения эксплуатации системы ДБО банка.
3.9.3.2. Если подлинность платежного документа установлена:
3.9.3.2.1. Реализовать неотложные действия при компрометации закрытого ключа плательщика непосредственно после обращения клиента.
3.9.3.2.2. Получить от уполномоченного работника банка журналы работы системы ДБО и проанализировать их на предмет наличия записей, содержащих признаки несанкционированного доступа посторонних лиц.
3.9.3.2.3. Сохранить на съемном носителе журналы работы плательщика в системе ДБО.
3.9.3.2.4. Провести мероприятия, направленные на обеспечение целостности носителя.
3.9.4. Провести анализ информации с целью выявления возможной причастности к хищению денежных средств сотрудников банка. Результаты проверки оформить документально. При необходимости провести технические мероприятия, направленные на предотвращение сокрытия следов хищения.
3.10. Получить от плательщика Справку по факту инцидента информационной безопасности в системе ДБО (Приложение № 5 к настоящим Рекомендациям).
3.11. На основании собранной информации оформить и передать в правоохранительный орган, осуществляющий расследование по факту хищения денежных средств, объяснение по факту хищения денежных средств (Приложение № 9 к настоящим Рекомендациям). В случае отказа клиента от обращения в правоохранительные органы оформить обращение по факту хищения денежных средств в региональное подразделение МВД от имени банка по форме, приведенной в Приложении № 9 к настоящим Рекомендациям.
3.12. Обратиться в БСТМ МВД России либо его региональное отделение с заявлением об оказании содействия в расследовании факта хищения денежных средств с подробным описанием обстоятельств его совершения (Приложение № 10 к настоящим Рекомендациям) и по запросу БСТМ МВД России направить документы, указанные в приложениях № 11 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой) и/или № 12 (в отношении физического лица) к настоящим Рекомендациям.
3.13. В случае хищения денежных средств плательщика, по счетам которого зафиксированы поступления средств бюджета любого уровня, также направить информационное письмо на имя руководителя ФСБ России о факте хищения денежных средств с подробным описанием обстоятельств его совершения (Приложение № 13 к настоящим Рекомендациям) и по запросу ФСБ России направить документы, указанные в Приложении № 9 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой) и/или Приложении № 10 (в отношении физического лица) к настоящим Рекомендациям.
3.14. Направить в банк получателя полученную от плательщика копию заявления в правоохранительный орган по факту хищения денежных средств и номер КУСП (в случае обращения в правоохранительные органы).
3.15. При наличии в банке электронного документа с подлинной электронной подписью и при оспаривании подлинности электронной подписи в составе электронного документа, подтверждающего поручение плательщика банку выполнить оспоренный перевод, направить плательщику письмо о готовности участия в работе экспертной комиссии с целью проверки подлинности электронной подписи (Приложение № 14 к настоящим Рекомендациям).
4. Банку получателя необходимо:
4.1. В рамках действующего законодательства Российской Федерации оказывать любое возможное содействие банку плательщика и плательщику в целях предотвращения хищения денежных средств, а при невозможности его предотвращения – в целях максимально оперативного расследования факта хищения денежных средств и возврата неосновательно полученных сумм, в том числе в части направления банку плательщика и плательщику имеющейся информации о получателе платежа на основании статьи 19 Конституции Российской Федерации, пункта 1.7 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», статей 6 и 131 ГПК РФ, а также статьи 7 Федерального конституционного закона от 31.12.1996 №1-ФКЗ «О судебной системе Российской Федерации» для предъявления иска к получателю о возврате неосновательного обогащения в соответствии с главой 60 ГК РФ.
4.2. При получении обращения банка плательщика о приостановке исполнения платежа подтвердить достоверность и правомочность данного обращения.
4.3. На основании полученной от банка плательщика информации зачислить указанную в сообщении сумму на счет 47416 «Суммы, поступившие на корреспондентские счета до выяснения» и осуществить мероприятия в порядке, предусмотренном Положением Банка России «О Правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации».
4.4. В случае, если похищенные денежные средства были сняты со счетов, открытых в банке получателя, необходимо подготовить технический носитель информации, содержащий записи видеокамер банкомата и других видеокамер, имеющих отношение к хищению денежных средств (до процессуального изъятия оригинала технического носителя информации следует обеспечить сохранность записи видеокамер банкомата и других видеокамер).
4.5. Подготовить и по запросу банка плательщика, правоохранительного органа, в который подано заявление по факту хищения денежных средств, БСТМ МВД России и/или ФСБ России направить в отношении получателя похищенных денежных средств документы, указанные в Приложении № 11 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законом порядке частной практикой) и/или в Приложении № 12 (в отношении физического лица) к настоящим Рекомендациям.
4.6. В случае, если похищенные денежные средства со счетов, открытых в банке получателя, были переведены на счет (счета) в ином банке (иных банках), банку получателя необходимо, в свою очередь, выполнить рекомендации, указанные в Разделе 3 настоящих Рекомендаций, в том числе незамедлительно направить в этот банк (банки) информацию о факте хищения денежных средств и копии материалов, полученных от банка плательщика. В таком случае в своем обращении в БСТМ МВД России необходимо указать ссылку на первоначальное обращение банка плательщика.
4.7. Одновременно с мероприятиями по возврату похищенных средств необходимо провести полный анализ движений по всем счетам дроппера (включая уже выявленный счет):
4.7.1. При наличии других поступлений денежных средств на счета дроппера необходимо повести проверку законности осуществленных переводов денежных средств, запросив соответствующую информацию у банков соответствующих плательщиков. В случае подтверждения незаконного характера переводов денежных средств необходимо провести совместно с банками выявленных пострадавших плательщиков мероприятия, предусмотренные разделами 3 и 4 настоящих Рекомендаций.
4.7.2. При выявлении связей дропера с другими дроперами необходимо провести проверку движений денежных средств по счетам этих дроперов и провести мероприятия по выявлению и блокированию их счетов, а также возврату похищенных денежных средств в соответствии с разделами 3 и 4 настоящих Рекомендаций.
Приложения:
1. Форма заявления плательщика в банк плательщика об отзыве платежа, возврате денежных средств и блокировании доступа к системе ДБО.
2. Форма заявления плательщика в банк получателя или к оператору платежной системы о приостановлении платежа и возврате денежных средств.
3. Форма письма интернет провайдеру о предоставлении журналов соединений (логов).
4. Форма заявления плательщика (потерпевшего) в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств.
5. Форма справки по факту инцидента информационной безопасности в системе ДБО.
6. Примерный перечень документов, которые могут быть истребованы у плательщика в случае выявления хищения денежных средств.
7. Форма сообщения в банк получателя по системе SWIFT о приостановлении платежа и возврате денежных средств.
8. Форма письма банка плательщика в банк получателя или к оператору платежной системы по факту хищения денежных средств.
9. Форма объяснения банка плательщика по факту хищения денежных средств.
10. Форма заявления банка плательщика в МВД России об оказании содействия в расследовании факта хищения денежных средств.
11. Перечень документов в отношении потерпевшего юридического лица (индивидуального предпринимателя, физического лица. занимающегося в установленном законодательством порядке частной практикой) и (или) юридического лица (индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой), на счет которого неправомерно зачислены денежные средства.
12. Перечень документов в отношении потерпевшего физического лица и (или) физического лица, на счет которого неправомерно зачислены денежные средства.
13. Образец информационного письма банка плательщика в ФСБ России о факте хищения денежных средств.
14. Форма письма о создании экспертной комиссии по проверке подлинности электронной подписи.
Приложение № 1
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА В БАНК ПЛАТЕЛЬЩИКА ОБ ОТЗЫВЕ ПЛАТЕЖА, ВОЗВРАТЕ ДЕНЕЖНЫХ СРЕДСТВ И БЛОКИРОВАНИИ ДОСТУПА К СИСТЕМЕ ДБО
______________________
должность руководителя
______________________
наименование банка
______________________
Фамилия И.О.
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«___» __________________ 201__ года с нашего банковского счета, открытого в Вашем банке, по системе дистанционного банковского обслуживания были похищены денежные средства, которые, по имеющейся информации были переведены со следующими реквизитами платежа:
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя: ______
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
Назначение платежа: ______
Прошу Вас заблокировать нашу учетную запись в системе ДБО, провести процедуру компрометации всех ключей ЭП и оказать содействие в возврате денежных средств.
_________________________ ________________ _________________________
должность подпись расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
Приложение № 2
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА В БАНК ПОЛУЧАТЕЛЯ ИЛИ К ОПЕРАТОРУ ПЛАТЕЖНОЙ СИСТЕМЫ О ПРИОСТАНОВЛЕНИИ ПЛАТЕЖА И ВОЗВРАТЕ ДЕНЕЖНЫХ СРЕДСТВ
______________________
должность руководителя
______________________
наименование организации
______________________
Фамилия И.О.
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«____» _____________________ 20___ года с нашего банковского счета были похищены денежные средства, которые, по информации, полученной из банка, были переведены со следующим реквизитам платежа:
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя: ______
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
Назначение платежа: ______
Прошу Вас оказать содействие в приостановлении прохождения платежа и возврате денежных средств.
_________________________ ________________ _________________________
должность подпись расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
Приложение № 3
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ПИСЬМА ИНТЕРНЕТ ПРОВАЙДЕРУ О ПРЕДОСТАВЛЕНИИ ЖУРНАЛОВ СОЕДИНЕНИЙ (ЛОГОВ)
______________________
должность руководителя
______________________
наименование организации
______________________
ФИО
от ___________________________________________
должность, ФИО заявителя
проживающего: ________________________________
адрес места жительства
паспорт: ______________________________________
номер паспорта, дата выдачи, кем и когда выдан
контактный телефон: ___________________________
телефон заявителя
адрес для корреспонденции ______________________
почтовый адрес
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«____» _____________________ 20___ года в ___:___ по московскому времени со счета ___________________ по системе дистанционного банковского обслуживания (ДБО) был осуществлен несанкционированный перевод денежных средств. Компьютер, с которого осуществляется подключение к системе ДБО, располагается по адресу _______________________ и использует IP-адрес ___.___.___.___.
Вероятной причиной несанкционированного перевода могло послужить заражение компьютера вредоносным программным обеспечением, кража логина, пароля и секретных ключей системы ДБО.
«____» ________________ 20__ года между _______________ и вами был заключен договор № ______ об оказании _____________ услуг.
Для выявления обстоятельств несанкционированного перевода прошу предоставить информацию из журналов (логов) о входящем и исходящем трафике за период с «____» _____________________ 20___ года по «____» _____________________ 20___ года с указанием времени соединения, IP и MAC адресов.
_________________________ ________________ _________________________
должность подпись расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
Приложение № 4
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА (ПОТЕРПЕВШЕГО) В ПРАВООХРАНИТЕЛЬНЫЕ ОРГАНЫ О ВОЗБУЖДЕНИИ УГОЛОВНОГО ДЕЛА ПО ФАКТУ ХИЩЕНИЯ ДЕНЕЖНЫХ СРЕДСТВ
Начальнику ОВД по ___________________________
наименование ОВД
от __________________________________________
должность, ФИО заявителя
проживающего: ________________________________
адрес места жительства
паспорт: ____________________________________,
номер паспорта, дата выдачи, кем и когда выдан
место работы ______________________________
наименование организации
контактный телефон: ________________________
телефон заявителя
адрес для корреспонденции ____________________
почтовый адрес
ЗАЯВЛЕНИЕ
Прошу провести проверку настоящего заявления по факту незаконного завладения принадлежащими ___________________________________________________________»
наименование организации / ФИО потерпевшего
денежными средствами (кражи) с использованием системы дистанционного банковского обслуживания (далее – ДБО) «__________________________________»
наименование банка
________________ 201__ г. неизвестными лицами по системе ДБО был осуществлен несанкционированный перевод денежных средств со следующими реквизитами:
Дата платежа: ______
Номер распоряжения:
Наименование банка плательщика: ______
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя: ______
Наименование получателя: ______
ИНН получателя:
Номер счета получателя:
Сумма платежа:
Назначение платежа: ____________ .
Оснований для данного денежного перевода нет: с получателем платежа отсутствуют договорные и иные деловые отношения, равно как и какие-либо обязательства перед ним; перевод расцениваю как хищение денежных средств.
Признаком хищения является то, что этот перевод не был осуществлен уполномоченными лицами.
Факт появления этого перевода был установлен «____» _______________ 201__ г. ____________________________________________________________________________
ФИО лица, установившего факт несанкционированного перевода, должность, наименование организации
при _______________________________________________________________________.
обстоятельства обнаружения факта несанкционированного перевода
Электронное устройство, с которого осуществляется подключение к системе ДБО, располагается по адресу _______________________, доступ к электронному устройству ограничен, прямая кража реквизитов доступа (учетной записи, пароля и секретных ключей) маловероятна.
Вероятной причиной этого несанкционированного перевода считаю ввод, удаление, блокирование, модификацию компьютерной информации либо иное вмешательство в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-те
Настоящие рекомендации разработаны Рабочей группой Ассоциации российских банков и НП «Национальный платежный совет» по предотвращению мошенничества в платежных системах (далее – Рабочая группа) с учетом Письма Бюро специальных технических мероприятий Министерства внутренних дел Российской Федерации (далее – БСТМ МВД России) от 17 января 2012 г. № 10/257 с целью разъяснения порядка действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания (далее – ДБО), использующих электронные устройства (далее – ЭУ): персональный компьютер, ноутбук, планшетный компьютер и т.п. в качестве удаленного рабочего места для целей дистанционного управления денежными средствами клиента.
В целях оперативной организации эффективного взаимодействия и принятия процессуальных решений по фактам совершения хищения денежных средств в системах ДБО (далее – факт хищения денежных средств), а также исполнения требований Положения Банка России от 09.06.2012 № 382-П и Указания Банка России от 09.06.2012 № 2831–У, кредитным организациям и операторам платежных систем (далее совместно – банки) рекомендуется:
– соблюдать нижеизложенный порядок сбора и хранения необходимой доказательной базы по фактам хищений денежных средств;
– обеспечивать регистрацию и хранение информации, относящейся к работе клиентов в системах ДБО (Приложение № 15 к настоящим Рекомендациям), не менее трех лет с момента последнего использования клиентом системы ДБО;
– соблюдать нижеизложенный порядок информирования и взаимодействия с правоохранительными органами;
– размещать и регулярно обновлять контактную информацию для оперативной связи с сотрудниками, ответственными за расследование фактов хищения денежных средств и противодействие мошенничеству в системах ДБО, на специальном закрытом разделе сайта Некоммерческого партнерства «Национальный платежный совет» (www.platsovetrf.ru);
– регулярно информировать своих клиентов о возможных рисках использования ДБО и рекомендованных мерах по их минимизации, которые должны осуществляться на постоянной основе;
– регулярно уведомлять клиентов о рекомендованном порядке действий в случае выявления хищения денежных средств.
1. Клиенту (пострадавшему) – юридическому лицу, индивидуальному предпринимателю или физическому лицу, занимающемуся в установленном законодательством порядке частной практикой необходимо:
1.1. В случае выявления хищения денежных средств в системе ДБО немедленно прекратить любые действия с ЭУ, подключенным к системе ДБО, обесточить его (принудительно отключить электропитание в обход штатной процедуры завершения работы, извлечь все аккумуляторные батареи из ноутбука и т.п.) и отключить от информационных сетей (если было подключение, например, по Ethernet, USB, Wi-Fi, Dial-Up и др.) или перевести в режим гибернации («спящий» режим).
При отсутствии возможности обесточивания ЭУ, осуществить отключение по штатной процедуре и запротоколировать указанный факт.
1.2. При наличии технической возможности отозвать перевод с использованием иного ЭУ, после чего принять меры к блокировке системы ДБО.
1.3. При отсутствии технической возможности отозвать перевод по системе ДБО немедленно обратиться в банк плательщика по телефону с заявлением о блокировке системы ДБО, приостановке исполнения платежа и возврате средств.
1.4. Произвести фотосъёмку ЭУ (с подключенными кабелями и иными периферийными устройствами), рабочего места и его расположения в помещении. Обеспечить сохранность (целостность) ЭУ как возможного средства совершения преступления, поместив его в место с ограниченным доступом, обеспечив при этом защиту от вскрытия (стикеры, наклейки, пластилин, мастичная печать, пломбы и т.п.) и по возможности зафиксировать средства контроля целостности фотографированием со всех ракурсов. Если позволяют размеры ЭУ, следует поместить его в непрозрачный пакет (мешок) и заклеить горловину. При необходимости ведения хозяйственной деятельности – задействовать другое ЭУ.
1.5. Дополнительно к п.1.2, 1.3 обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (Приложение № 1 к настоящим Рекомендациям), а также о компрометации ключей и необходимости смены пароля (закрытого ключа). Копия заявления должна быть направлена в банк плательщика незамедлительно по факсу или по электронной почте (скан-копия). Оригинал заявления должен быть доставлен в банк плательщика течение одного дня.
1.6. Проинформировать все банки, с которыми клиент имеет договорные отношения, предусматривающие использование ДБО, о факте хищения денежных средств и обратиться с просьбой о внеплановой замене ключевой информации.
1.7. При наличии необходимой информации обратиться в банк получателя или к оператору соответствующей платежной системы с письменным заявлением о приостановлении платежа и возврате денежных средств (Приложение № 2 к настоящим Рекомендациям).
1.8. Предпринять меры для обеспечения сохранности и неизменности записей с внутренних и внешних камер систем видео-наблюдения, журналов систем контроля доступа, средств обеспечения и разграничения доступа в сеть Интернет (при наличии таковых) за максимальный период времени, как до, так и после даты совершения хищения денежных средств.
1.9. Провести сбор записей с межсетевых экранов и других средств защиты информации, серверов баз данных и иных компонент клиентского приложения системы ДБО, систем авторизации пользователей (AD, NDS и т.д.), коммуникационного оборудования (включая АТС), ЭУ, используемых для управления денежными средствами через систему ДБО банка, устройств, которые могут использоваться для удалённого управления указанными ЭУ.
1.10. При возможности оперативно обратиться с письменным заявлением к своему Интернет-провайдеру или оператору связи (Приложение № 3 к настоящим Рекомендациям) для получения в электронной форме журналов соединений с Интернет с электронного устройства клиента или из его локальной вычислительной сети (далее - ЛВС) как минимум за три месяца, предшествовавшие факту хищения денежных средств.
1.11. Не предпринимать никаких действий для самостоятельного или с привлечением сторонних ИТ-специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности ЭУ, не отправлять ЭУ в сервисные службы ИТ для восстановления работоспособности.
1.12. Зафиксировать в протокольной форме значимые действия и события, в том числе имена лиц, имеющих доступ к ЭУ, действия с ЭУ, подключенным к системе ДБО, предшествовавшие факту хищения денежных средств, подготовить объяснения клиента (работников клиента) об использовании ЭУ в целях, отличных от осуществления операций в системе ДБО, посещаемых сайтах, о странностях при работе ЭУ, перебоях или отказах ЭУ, обращениях в ИТ-службы, в банк плательщика, о сторонних лицах, побывавших в месте расположения ЭУ и т.д.
1.13. Все действия, указанные в пп.1.1, 1.4, 1.8, 1.9, 1.12 настоящего раздела, производить коллегиально, протоколировать и документировать, в т.ч. с использованием фотосъёмки.
При невозможности осуществления коллегиальных действий (для индивидуальных предпринимателей или физических лиц, занимающихся частной практикой) отдельно зафиксировать данный факт.
1.14. Оперативно обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств (глава 21 УК РФ) (Приложение № 4 к настоящим Рекомендациям).
1.15. Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств (указав все известные реквизиты получателя) о взыскании неосновательно полученного обогащения и процентов за пользование денежными средствами (глава 60 ГК РФ), а также с ходатайством о принятии судом мер по обеспечению иска в виде ареста денежных средств на счете получателя в сумме неосновательно полученного обогащения. К исковому заявлению необходимо приложить копию заявления о возбуждении уголовного дела либо копию талона, содержащего порядковый номер из книги учета сообщений о преступлениях (далее – КУСП) содержащую отметку правоохранительного органа о его приеме.
1.16. Копии вышеуказанных документов по перечню, установленному банком плательщика, направить в банк плательщика с приложением Справки по факту инцидента информационной безопасности в системе ДБО (Приложение № 5 к настоящим Рекомендациям), а также подтверждающих документов (Приложение № 6 к настоящим Рекомендациям) .
2. Клиенту (пострадавшему) – физическому лицу необходимо:
2.1. В случае выявления хищения денежных средств в системе ДБО немедленно прекратить любые действия с ЭУ, подключенным к системе ДБО, обесточить его (принудительно отключить электропитание в обход штатной процедуры завершения работы, извлечь все аккумуляторные батареи из ноутбука и т.п.) и отключить от информационных сетей (если было подключение, например, по USB, Wi-Fi и др.) или перевести в режим гибернации.
При отсутствии возможности обесточивания ЭУ, осуществить отключение по штатной процедуре и запротоколировать указанный факт.
2.2. Отозвать перевод денежных средств, обратившись в банк плательщика, следующими способами: при наличии технической возможности отозвать перевод - с использованием иного ЭУ, после чего заблокировать систему ДБО. При отсутствии технической возможности отозвать перевод по системе ДБО немедленно обратиться в банк плательщика по телефону с заявлением о приостановке исполнения платежа и возврате средств.
Оперативно обратиться в банк плательщика с письменным заявлением об отзыве платежа, возврате средств и блокировании доступа к системе ДБО (Приложение № 1 к настоящим Рекомендациям), а также о компрометации ключей и необходимости смены пароля (закрытого ключа). Копия заявления должна быть направлена в банк плательщика незамедлительно по факсу или по электронной почте (скан-копия). Оригинал заявления должен быть доставлен в банк плательщика как можно оперативнее.
2.3. Обеспечить сохранность (целостность) ЭУ как возможного средства совершения преступления, поместив его в место с ограниченным доступом, обеспечив при этом защиту от вскрытия (стикеры, наклейки, пластилин и т.п.) и по возможности зафиксировать средства контроля целостности фотографированием со всех ракурсов. Если позволяют размеры ЭУ, следует поместить его в непрозрачный пакет (мешок) и опечатать горловину.
2.4. Проинформировать все банки, с которыми клиент имеет договорные отношения, предусматривающие использование ДБО, о факте хищения денежных средств и обратиться с просьбой о внеплановой замене ключевой информации.
2.5. По возможности оперативно обратиться с письменным заявлением к своему Интернет-провайдеру (Приложение № 3 к настоящим Рекомендациям) для получения в электронной форме журналов соединений с Интернет с электронного устройства клиента или из его ЛВС как минимум за три месяца, предшествовавшие факту хищения денежных средств.
2.6. Не предпринимать никаких действий для самостоятельного или с привлечением сторонних ИТ-специалистов поиска и удаления компьютерных вирусов, восстановления работоспособности ЭУ, не отправлять ЭУ в сервисные службы ИТ для восстановления работоспособности.
2.7. Подготовить объяснения о значимых действиях и событиях, в том числе действия с ЭУ, подключенным к системе ДБО, предшествовавших факту хищения денежных средств об использовании ЭУ в целях, отличных от осуществления операций в системе ДБО, посещаемых сайтах, о странностях при работе ЭУ, перебоях или отказах ЭУ, обращениях в ИТ-службы, в банк плательщика, о сторонних лицах, побывавших в месте расположения ЭУ и т.д.
2.8. Оперативно обратиться с заявлением в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств (глава 21 УК РФ) (Приложение № 4 к настоящим Рекомендациям).
2.9. Оперативно обратиться в суд с исковым заявлением в отношении получателя денежных средств (указав все известные реквизиты получателя) о взыскании неосновательно полученного обогащения и процентов за пользование денежными средствами (глава 60 ГК РФ), а также с ходатайством о принятии судом мер по обеспечению иска в виде ареста денежных средств на счете получателя в сумме неосновательно полученного обогащения. К исковому заявлению необходимо приложить копию заявления о возбуждении уголовного дела либо копию талона КУСП, содержащую отметку правоохранительного органа о его приеме.
2.10. Копии документов по перечню, установленному банком плательщика, направить в банк плательщика с приложением Справки по факту инцидента информационной безопасности в системе ДБО (приложение № 5 к настоящим Рекомендациям).
3. Банку плательщика необходимо:
3.1. При получении телефонного обращения плательщика о приостановке исполнения платежа немедленно предпринять разумно возможные и достаточные действия для идентификации плательщика, в том числе, посредством использования контактной информации, указанной в договоре банковского счета. При наличии возможности использовать дополнительные каналы для подтверждения обращения (SMS-уведомление, сообщение по электронной почте).
3.2. При подтверждении обращения незамедлительно принять меры к приостановке дальнейшей обработки платежа. При невозможности аутентификации клиента, зафиксировать данный факт, и продолжить обработку платежа, если нет иных оснований для приостановки дальнейшей обработки платежа.
3.3. В случае завершения обработки платежа незамедлительно в любой доступной форме направить в службу безопасности банка получателя информацию о факте хищения денежных средств с просьбой о приостановке обработки платежа
3.4. Оперативно направить с использованием сервисов расчетной системы Банка России или по системе SWIFT в банк получателя сообщение с просьбой о приостановлении платежа и возврате средств (Приложение № 7 к настоящим Рекомендациям).
3.5. С целью обеспечения сохранности доказательств исключить доставку в банк и/или техническое обслуживание ЭУ клиента, консультации, проверки ЭУ клиента, а равно совершение сотрудниками банка иных действий, которые могут привести к нарушению сохранности доказательств.
3.6. Оперативно направить письмо в банк получателя или к оператору платежной системы по факту хищения денежных средств (Приложение № 8 к настоящим Рекомендациям) с просьбой о прекращении обработки платежа, блокировке ДБО и платежных карт клиента – получателя, применении к получателю платежа мер контроля в рамках системы ПОД/ФТ и возврате средств.
Истребовать у плательщика подтверждение о подаче плательщиком заявления в правоохранительные органы и получить его копию в течение не более 2 рабочих дней со дня получения обращения плательщика в банк о факте хищения денежных средств.
3.7. Подготовить документы, указанные в приложениях № 11 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой) и/или № 12 (в отношении физического лица) к настоящим Рекомендациям.
3.8. Осуществить силами подразделения информационной безопасности банка, иных уполномоченных сотрудников либо с привлечением организаций, предоставляющих квалифицированные услуги по расследованию инцидентов информационной безопасности, по меньшей мере, следующие действия:
3.8.1. Провести мероприятия, определённые договорными отношениями с клиентом, в отношении проверки легитимности электронной подписи оспоренного платёжного документа. При необходимости – провести мероприятия по факту компрометации ключей электронной подписи.
3.8.2. Получить от ответственных сотрудников банка, обслуживающих системы ДБО, администраторов сети, систем криптографической защиты и т.д. экспертные заключения в рамках их компетенции по корректности ЭП в составе платежного документа, ее целостности и авторства.
3.8.3. Провести анализ собранной информации с целью выявления источника осуществления хищения денежных средств и возможной причастности сотрудников банка. Результаты проверки оформить документально.
3.8.4. При необходимости – провести технические мероприятия, направленные на предотвращение сокрытия следов, уничтожения информации и т.д., для чего задействовать используемые в банке средства и методы защиты информации.
3.8.5. Обеспечить хранение собранной информации в неизменном виде для передачи правоохранительным органам по запросу.
3.9. При необходимости провести, документально зафиксировав полученные результаты, следующие проверочные мероприятия в целях формирования необходимой доказательной базы по факту хищения денежных средств:
3.9.1. Найти оспоренный Клиентом платежный документ в базе данных системы ДБО банка и в базе данных автоматизированной банковской системы (далее – АБС) банка.
3.9.2. Если платежный документ не найден в базе данных ДБО банка, но имеется в базе данных АБС банка:
3.9.2.1. По журналам систем ДБО и АБС установить присутствовал ли платежный документ в системе ДБО ранее.
3.9.2.2. В свойствах платежного документа установить его авторство, дату, время и способ его создания.
3.9.2.3. Получить объяснения от своих работников, уполномоченных на оформление и проверку платежных документов, администраторов ДБО и АБС банка, администраторов безопасности ДБО и АБС банка.
3.9.2.4. Провести сбор записей с межсетевых экранов, систем обнаружения вторжений и антивирусной защиты, серверов баз данных, систем авторизации пользователей (AD, NDS и т.д.), рабочих станций сотрудников, штатно допущенных к управлению системами ДБО банка, и средств удалённого управления указанными рабочими станциями.
3.9.2.5. Получить записи систем видео-наблюдения, управления доступом в помещения и т.д.
3.9.2.6. Оценить возможность продолжения эксплуатации системы ДБО Банка.
3.9.3. Если платежный документ найден в базе данных ДБО банка, проверить подлинность оспариваемого платежного документа.
3.9.3.1. Если подлинность платежного документа не установлена:
3.9.3.1.1. Получить объяснения от работников банка, уполномоченных на оформление и проверку платежных документов, поступивших по системе ДБО, администраторов ДБО и АБС банка, администраторов безопасности ДБО и АБС банка (другого уполномоченного лица).
3.9.3.1.2. По журналам систем ДБО установить, была ли подлинность платежного документа утрачена в процессе эксплуатации системы ДБО, а также оценить возможность продолжения эксплуатации системы ДБО банка.
3.9.3.2. Если подлинность платежного документа установлена:
3.9.3.2.1. Реализовать неотложные действия при компрометации закрытого ключа плательщика непосредственно после обращения клиента.
3.9.3.2.2. Получить от уполномоченного работника банка журналы работы системы ДБО и проанализировать их на предмет наличия записей, содержащих признаки несанкционированного доступа посторонних лиц.
3.9.3.2.3. Сохранить на съемном носителе журналы работы плательщика в системе ДБО.
3.9.3.2.4. Провести мероприятия, направленные на обеспечение целостности носителя.
3.9.4. Провести анализ информации с целью выявления возможной причастности к хищению денежных средств сотрудников банка. Результаты проверки оформить документально. При необходимости провести технические мероприятия, направленные на предотвращение сокрытия следов хищения.
3.10. Получить от плательщика Справку по факту инцидента информационной безопасности в системе ДБО (Приложение № 5 к настоящим Рекомендациям).
3.11. На основании собранной информации оформить и передать в правоохранительный орган, осуществляющий расследование по факту хищения денежных средств, объяснение по факту хищения денежных средств (Приложение № 9 к настоящим Рекомендациям). В случае отказа клиента от обращения в правоохранительные органы оформить обращение по факту хищения денежных средств в региональное подразделение МВД от имени банка по форме, приведенной в Приложении № 9 к настоящим Рекомендациям.
3.12. Обратиться в БСТМ МВД России либо его региональное отделение с заявлением об оказании содействия в расследовании факта хищения денежных средств с подробным описанием обстоятельств его совершения (Приложение № 10 к настоящим Рекомендациям) и по запросу БСТМ МВД России направить документы, указанные в приложениях № 11 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой) и/или № 12 (в отношении физического лица) к настоящим Рекомендациям.
3.13. В случае хищения денежных средств плательщика, по счетам которого зафиксированы поступления средств бюджета любого уровня, также направить информационное письмо на имя руководителя ФСБ России о факте хищения денежных средств с подробным описанием обстоятельств его совершения (Приложение № 13 к настоящим Рекомендациям) и по запросу ФСБ России направить документы, указанные в Приложении № 9 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой) и/или Приложении № 10 (в отношении физического лица) к настоящим Рекомендациям.
3.14. Направить в банк получателя полученную от плательщика копию заявления в правоохранительный орган по факту хищения денежных средств и номер КУСП (в случае обращения в правоохранительные органы).
3.15. При наличии в банке электронного документа с подлинной электронной подписью и при оспаривании подлинности электронной подписи в составе электронного документа, подтверждающего поручение плательщика банку выполнить оспоренный перевод, направить плательщику письмо о готовности участия в работе экспертной комиссии с целью проверки подлинности электронной подписи (Приложение № 14 к настоящим Рекомендациям).
4. Банку получателя необходимо:
4.1. В рамках действующего законодательства Российской Федерации оказывать любое возможное содействие банку плательщика и плательщику в целях предотвращения хищения денежных средств, а при невозможности его предотвращения – в целях максимально оперативного расследования факта хищения денежных средств и возврата неосновательно полученных сумм, в том числе в части направления банку плательщика и плательщику имеющейся информации о получателе платежа на основании статьи 19 Конституции Российской Федерации, пункта 1.7 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», статей 6 и 131 ГПК РФ, а также статьи 7 Федерального конституционного закона от 31.12.1996 №1-ФКЗ «О судебной системе Российской Федерации» для предъявления иска к получателю о возврате неосновательного обогащения в соответствии с главой 60 ГК РФ.
4.2. При получении обращения банка плательщика о приостановке исполнения платежа подтвердить достоверность и правомочность данного обращения.
4.3. На основании полученной от банка плательщика информации зачислить указанную в сообщении сумму на счет 47416 «Суммы, поступившие на корреспондентские счета до выяснения» и осуществить мероприятия в порядке, предусмотренном Положением Банка России «О Правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации».
4.4. В случае, если похищенные денежные средства были сняты со счетов, открытых в банке получателя, необходимо подготовить технический носитель информации, содержащий записи видеокамер банкомата и других видеокамер, имеющих отношение к хищению денежных средств (до процессуального изъятия оригинала технического носителя информации следует обеспечить сохранность записи видеокамер банкомата и других видеокамер).
4.5. Подготовить и по запросу банка плательщика, правоохранительного органа, в который подано заявление по факту хищения денежных средств, БСТМ МВД России и/или ФСБ России направить в отношении получателя похищенных денежных средств документы, указанные в Приложении № 11 (в отношении юридического лица, индивидуального предпринимателя, физического лица, занимающегося в установленном законом порядке частной практикой) и/или в Приложении № 12 (в отношении физического лица) к настоящим Рекомендациям.
4.6. В случае, если похищенные денежные средства со счетов, открытых в банке получателя, были переведены на счет (счета) в ином банке (иных банках), банку получателя необходимо, в свою очередь, выполнить рекомендации, указанные в Разделе 3 настоящих Рекомендаций, в том числе незамедлительно направить в этот банк (банки) информацию о факте хищения денежных средств и копии материалов, полученных от банка плательщика. В таком случае в своем обращении в БСТМ МВД России необходимо указать ссылку на первоначальное обращение банка плательщика.
4.7. Одновременно с мероприятиями по возврату похищенных средств необходимо провести полный анализ движений по всем счетам дроппера (включая уже выявленный счет):
4.7.1. При наличии других поступлений денежных средств на счета дроппера необходимо повести проверку законности осуществленных переводов денежных средств, запросив соответствующую информацию у банков соответствующих плательщиков. В случае подтверждения незаконного характера переводов денежных средств необходимо провести совместно с банками выявленных пострадавших плательщиков мероприятия, предусмотренные разделами 3 и 4 настоящих Рекомендаций.
4.7.2. При выявлении связей дропера с другими дроперами необходимо провести проверку движений денежных средств по счетам этих дроперов и провести мероприятия по выявлению и блокированию их счетов, а также возврату похищенных денежных средств в соответствии с разделами 3 и 4 настоящих Рекомендаций.
Приложения:
1. Форма заявления плательщика в банк плательщика об отзыве платежа, возврате денежных средств и блокировании доступа к системе ДБО.
2. Форма заявления плательщика в банк получателя или к оператору платежной системы о приостановлении платежа и возврате денежных средств.
3. Форма письма интернет провайдеру о предоставлении журналов соединений (логов).
4. Форма заявления плательщика (потерпевшего) в правоохранительные органы о возбуждении уголовного дела по факту хищения денежных средств.
5. Форма справки по факту инцидента информационной безопасности в системе ДБО.
6. Примерный перечень документов, которые могут быть истребованы у плательщика в случае выявления хищения денежных средств.
7. Форма сообщения в банк получателя по системе SWIFT о приостановлении платежа и возврате денежных средств.
8. Форма письма банка плательщика в банк получателя или к оператору платежной системы по факту хищения денежных средств.
9. Форма объяснения банка плательщика по факту хищения денежных средств.
10. Форма заявления банка плательщика в МВД России об оказании содействия в расследовании факта хищения денежных средств.
11. Перечень документов в отношении потерпевшего юридического лица (индивидуального предпринимателя, физического лица. занимающегося в установленном законодательством порядке частной практикой) и (или) юридического лица (индивидуального предпринимателя, физического лица, занимающегося в установленном законодательством порядке частной практикой), на счет которого неправомерно зачислены денежные средства.
12. Перечень документов в отношении потерпевшего физического лица и (или) физического лица, на счет которого неправомерно зачислены денежные средства.
13. Образец информационного письма банка плательщика в ФСБ России о факте хищения денежных средств.
14. Форма письма о создании экспертной комиссии по проверке подлинности электронной подписи.
Приложение № 1
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА В БАНК ПЛАТЕЛЬЩИКА ОБ ОТЗЫВЕ ПЛАТЕЖА, ВОЗВРАТЕ ДЕНЕЖНЫХ СРЕДСТВ И БЛОКИРОВАНИИ ДОСТУПА К СИСТЕМЕ ДБО
______________________
должность руководителя
______________________
наименование банка
______________________
Фамилия И.О.
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«___» __________________ 201__ года с нашего банковского счета, открытого в Вашем банке, по системе дистанционного банковского обслуживания были похищены денежные средства, которые, по имеющейся информации были переведены со следующими реквизитами платежа:
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя: ______
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
Назначение платежа: ______
Прошу Вас заблокировать нашу учетную запись в системе ДБО, провести процедуру компрометации всех ключей ЭП и оказать содействие в возврате денежных средств.
_________________________ ________________ _________________________
должность подпись расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
Приложение № 2
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА В БАНК ПОЛУЧАТЕЛЯ ИЛИ К ОПЕРАТОРУ ПЛАТЕЖНОЙ СИСТЕМЫ О ПРИОСТАНОВЛЕНИИ ПЛАТЕЖА И ВОЗВРАТЕ ДЕНЕЖНЫХ СРЕДСТВ
______________________
должность руководителя
______________________
наименование организации
______________________
Фамилия И.О.
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«____» _____________________ 20___ года с нашего банковского счета были похищены денежные средства, которые, по информации, полученной из банка, были переведены со следующим реквизитам платежа:
Дата платежа:
Номер распоряжения:
Наименование банка плательщика:
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя: ______
Наименование получателя:
ИНН получателя:
Номер счета получателя:
Сумма платежа:
Назначение платежа: ______
Прошу Вас оказать содействие в приостановлении прохождения платежа и возврате денежных средств.
_________________________ ________________ _________________________
должность подпись расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
Приложение № 3
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ПИСЬМА ИНТЕРНЕТ ПРОВАЙДЕРУ О ПРЕДОСТАВЛЕНИИ ЖУРНАЛОВ СОЕДИНЕНИЙ (ЛОГОВ)
______________________
должность руководителя
______________________
наименование организации
______________________
ФИО
от ___________________________________________
должность, ФИО заявителя
проживающего: ________________________________
адрес места жительства
паспорт: ______________________________________
номер паспорта, дата выдачи, кем и когда выдан
контактный телефон: ___________________________
телефон заявителя
адрес для корреспонденции ______________________
почтовый адрес
Уважаемый (ая) ________________________________________
имя, отчество руководителя
«____» _____________________ 20___ года в ___:___ по московскому времени со счета ___________________ по системе дистанционного банковского обслуживания (ДБО) был осуществлен несанкционированный перевод денежных средств. Компьютер, с которого осуществляется подключение к системе ДБО, располагается по адресу _______________________ и использует IP-адрес ___.___.___.___.
Вероятной причиной несанкционированного перевода могло послужить заражение компьютера вредоносным программным обеспечением, кража логина, пароля и секретных ключей системы ДБО.
«____» ________________ 20__ года между _______________ и вами был заключен договор № ______ об оказании _____________ услуг.
Для выявления обстоятельств несанкционированного перевода прошу предоставить информацию из журналов (логов) о входящем и исходящем трафике за период с «____» _____________________ 20___ года по «____» _____________________ 20___ года с указанием времени соединения, IP и MAC адресов.
_________________________ ________________ _________________________
должность подпись расшифровка подписи
«___» _________________ 20__
Исп. ______________________
Фамилия И.О.
тел. ______________________
Приложение № 4
к Методическим рекомендациям
о порядке действий в случае выявления хищения
денежных средств в системах дистанционного банковского
обслуживания, использующих электронные устройства клиента
ФОРМА ЗАЯВЛЕНИЯ ПЛАТЕЛЬЩИКА (ПОТЕРПЕВШЕГО) В ПРАВООХРАНИТЕЛЬНЫЕ ОРГАНЫ О ВОЗБУЖДЕНИИ УГОЛОВНОГО ДЕЛА ПО ФАКТУ ХИЩЕНИЯ ДЕНЕЖНЫХ СРЕДСТВ
Начальнику ОВД по ___________________________
наименование ОВД
от __________________________________________
должность, ФИО заявителя
проживающего: ________________________________
адрес места жительства
паспорт: ____________________________________,
номер паспорта, дата выдачи, кем и когда выдан
место работы ______________________________
наименование организации
контактный телефон: ________________________
телефон заявителя
адрес для корреспонденции ____________________
почтовый адрес
ЗАЯВЛЕНИЕ
Прошу провести проверку настоящего заявления по факту незаконного завладения принадлежащими ___________________________________________________________»
наименование организации / ФИО потерпевшего
денежными средствами (кражи) с использованием системы дистанционного банковского обслуживания (далее – ДБО) «__________________________________»
наименование банка
________________ 201__ г. неизвестными лицами по системе ДБО был осуществлен несанкционированный перевод денежных средств со следующими реквизитами:
Дата платежа: ______
Номер распоряжения:
Наименование банка плательщика: ______
Наименование плательщика:
ИНН плательщика:
Номер счета плательщика:
Наименование банка получателя: ______
Наименование получателя: ______
ИНН получателя:
Номер счета получателя:
Сумма платежа:
Назначение платежа: ____________ .
Оснований для данного денежного перевода нет: с получателем платежа отсутствуют договорные и иные деловые отношения, равно как и какие-либо обязательства перед ним; перевод расцениваю как хищение денежных средств.
Признаком хищения является то, что этот перевод не был осуществлен уполномоченными лицами.
Факт появления этого перевода был установлен «____» _______________ 201__ г. ____________________________________________________________________________
ФИО лица, установившего факт несанкционированного перевода, должность, наименование организации
при _______________________________________________________________________.
обстоятельства обнаружения факта несанкционированного перевода
Электронное устройство, с которого осуществляется подключение к системе ДБО, располагается по адресу _______________________, доступ к электронному устройству ограничен, прямая кража реквизитов доступа (учетной записи, пароля и секретных ключей) маловероятна.
Вероятной причиной этого несанкционированного перевода считаю ввод, удаление, блокирование, модификацию компьютерной информации либо иное вмешательство в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-те
.jpg)
.jpg)