После «взлома» системы «Клиент-Банк» | Журнал «Главная книга» | № 5 за 2013 г.
БУХГАЛТЕРСКИЕ Новости Статьи Консультации Семинары Конференции
Календари Калькуляторы Формы Справочники Тесты
БУХГАЛТЕРСКИЕ
БУХГАЛТЕРСКИЕ
ПОПУЛЯРНЫЕ НОВОСТИ
Ввозить в страну заграничные гостинцы станет сложнее

С 01.01.2019 устанавливаются более жесткие правила беспошлинного ввоза в РФ из-за границы товаров для личного пользования. < ... >

Очередная метаморфоза 2-НДФЛ

Налоговая служба утвердила новую форму справки 2-НДФЛ. Применять эту форму налоговые агенты должны будут начиная с представления сведений за 2018 год. Чем же новая справка отличается от ныне действующей? < ... >

Пособие по уходу за ребенком выплачивать частями нельзя

Работодатель не вправе разбить ежемесячное пособие по уходу за ребенком до 1,5 лет на две части и выплачивать часть пособия в аванс, а часть при окончательном расчете с сотрудниками за месяц. < ... >

Оборудование поставляется частями: как определить дату отгрузки

Если крупногабаритное оборудование из-за большого веса поставляется покупателю частями, дата его отгрузки в НДС-целях определяется по последней поставке. < ... >

ФНС отозвала инструкцию по выявлению «нарисованной» отчетности

Летом 2018 года Налоговая служба направила территориальным инспекциям письмо, в котором содержалась инструкция по аннулированию деклараций по НДС и налогу на прибыль. Теперь ФНС решила отменить этот документ. < ... >

ИП-упрощенцу нужно следить за стоимостью ОС

Если стоимость основных средств ИП на УСН превысила уставленный лимит, он утрачивает право на спецрежим. < ... >

Увольнение в субботу: когда выдавать трудовую книжку

По правилам выдать увольняющему сотруднику трудовую книжку нужно в последний день его работы. А что делать, если последний день работы выпал на день, когда бухгалтерия отдыхает (например, на субботу)? < ... >

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 22 февраля 2013 г.

Содержание журнала № 5 за 2013 г.
П.А. Попов, экономист

После «взлома» системы «Клиент-Банк»

С кого взыскивать ущерб от хищения денег и можно ли защититься от взлома

Если в вашей компании установлена система «Клиент-Банк», то это, конечно, очень удобно — почти моментальные платежи, не нужно ездить в банк каждый день, мгновенное получение информации о прошедших платежах и т. д. Но у прогресса есть своя цена. Вы наверняка уже наслышаны о попытках взлома этих систем и похищения средств со счетов клиентов банков.

Как это происходит

Вы проводите сеанс платежей через вашу программу и со спокойной душой идете домой. А затем по выписке банка узнаете, что... перечислили внушительную сумму «левой» компании или вовсе неизвестному физлицу.

Причем в банке уверяют, что это был ваш платеж — совершенно добровольный и соответствующий всем правилам банка. Чтобы этого не произошло, нужно принимать хотя бы элементарные меры предосторожности, а еще лучше — целый комплекс мер по защите вашей системы. Ну а как ликвидировать последствия ЧП, которое предотвратить не удалось?

Что делать при ЧП

В случае ЧП — подвисания, перезагрузки компьютера при работе системы «Клиент-Банк», отказа в доступе, удаления программы — рекомендации почти всех банков одинаковы:

  • извлеките носитель ключа цифровой подписи и выйдите из сети (отключите интернет-соединение). Затем лучше и вовсе выключить компьютер (обесточить его при зависании). Дело в том, что злоумышленники часто после «удачной охоты» разрушают файловую систему и доказать что-либо вам будет проблематично. Не пытайтесь пока заново загружать компьютер, проверять его на вирусы и тем более «лечить» — не исключено, что банк и/или правоохранительные органы запросят его для технической экспертизы. Кстати, в банк на экспертизу лучше отдавать копию (скопированный «образ») диска вашего компьютера, а не сам компьютер — для безопасности ваших же доказательств;
  • сообщите о проблеме в службу поддержки банка. Возможно, это простое зависание компьютера и вам ничего не угрожает. И далее действуйте согласно инструкции банка. Причем телефонный разговор со службой поддержки банка лучше записать — банки и сами пишут все разговоры с клиентами, но записи в случае ЧП иногда «теряются»;
  • в любом случае запросите у банка данные о последних отправленных от вашего имени платежах. Некоторые банки предоставляют услугу запроса этой информации по телефону с помощью кодовых слов, так что, возможно, вам и ехать в банк не придется;
  • при выявлении не санкционированного вами платежа немедленно подайте в банк заявление о приостановке приема электронных платежек по вашему счету, о возможной компрометации цифровой подписи и опротестовании (отзыве) несанкционированного платежа. В этом же заявлении потребуйте от банка вернуть неправомерно списанные с вашего счета средства, если он уже их списал. Даже если банк позволяет заявлять о таких ЧП по телефону или в электронном виде, такое заявление необходимо продублировать в бумажном виде. Причем требуйте, чтобы сотрудник банка расписался на еще двух экземплярах заявления, один из которых останется у вас, а другой вы затем приложите к заявлению в полицию. Одновременно затребуйте бумажную выписку по счету.

Быстрое обращение в банк приостановит проведение платежа (если он еще не проведен — банк может это делать и на следующий операционный день, если платежка поступила в конце дняп. 4.9 Временного положения, утв. ЦБ 10.02.98 № 17-П) или повысит шансы вернуть деньги из банка получателя.

Некоторые банки позволяют опротестовывать платеж аж в течение 10 дней с момента его совершения. Это еще не гарантирует возврат средств — банк будет пытаться получить их в рамках взаимоотношений с банком получателя. Но если вы, имея столь вольготные условия, до банка так и не доберетесь в этот срок, требовать возмещения ущерба от своего банка будет почти бессмысленносм., например, Постановления ФАС ЗСО от 22.10.2010 № А45-13807/2009; 9 ААС от 23.04.2010 № 09АП-5892/2010-ГК;

При хищении средств сразу решите, кто лучше разбирается в ситуации и будет участвовать в работе специально создаваемой банками в таких случаях технической комиссии, если банк пригласит в ее состав и ваших представителей. Ими могут быть, например, ваш системный администратор, руководитель и т. д. Они должны попытаться доказать, что вы предприняли все требуемые банком меры по защите от «взлома» и к хищению средств привели, в частности, действия/бездействие банка.

Если вам срочно нужен доступ к «Клиент-Банку», то систему придется установить на другом компьютере. Плюс потребуется сменить ключ ЭЦП и пароли доступа к программе. Все это может занять примерно неделю.

Если деньги уже «ушли» — кричим «Караул!»

Если банк уже успел списать деньги с вашего счета и они ушли в банк получателя, то практически единственная возможность вернуть ваши деньги — это взыскать их с самого банка. Для этого вам придется:

  • подать в полицию заявление, в котором нужно описать произошедшее, и приложить к нему копии уже имеющихся у вас на руках документов (выписка банка, заявление в банк и т. д.). Заявление можно подать в орган полиции (в отдел или сразу в управление внутренних дел) по вашему местонахождению. Шансов найти злоумышленников немного, а владельцем счета наверняка окажется компания-однодневка или не подозревающий об этом гражданинсм., например, Определение Мосгорсуда от 02.03.2011 № 33-5683. Но для вас важен сам факт регистрации заявления и возбуждения уголовного дела — без этого вам будет сложно списать в бухгалтерском и налоговом учете (касается только «общережимных» налогоплательщиков) на расходы сумму ущерба;
  • получить от банка акт и подписать его по итогам работы технической комиссии. В этом акте банк, скорее всего, признает отправленное вами платежное поручение подлинным, а себя невиновным в спорной ситуации. А затем может предложить подписать решение (протокол урегулирования разногласий), в котором ваши претензии на возмещение списанных сумм признаются необоснованными. Такое решение подписывать не нужно. Обычно договором с банком предусмотрено, что без таких претензионных, досудебных процедур стороны не вправе обращаться в суд. С экземплярами заявления в банк, актом и выпиской по счету вы уже можете обращаться в суд с иском к банку.

А вот подавать иск к компании или гражданину — получателю средств по спорной платежке о возврате неосновательного обогащения особого смысла нет. Скорее всего, это «промежуточное звено» и никаких денег у него нет. Если полиция установит конечных получателей средств, то в рамках рассмотрения уголовного дела у вас (или у банка, если он возместит вам ущерб) будет возможность заявить иск о возмещении похищенного. А если преступников не найдут, то у вас и так будут основания списать похищенное на расходы.

Еще раз обратим ваше внимание: шансы взыскать деньги с банка есть.

В каких случаях спор с банком имеет смысл

В большинстве случаев банки отказывают в возмещении убытков из-за несанкционированно списанных со счетов компаний средств. Компании заявляют, что убытки возникли по причине ненадлежащего исполнения банками своих обязательствч. 1 ст. 393 ГК РФ. А банки, в свою очередь, считают такие списания как раз санкционированными и обвиняют самих клиентов в несоблюдении мер безопасности при работе с программой «Клиент-Банк». Все эти меры, в том числе дополнительные возможности защиты, прописаны в договоре и в инструкциях по эксплуатации системы «Клиент-Банк».

В итоге если платежка подписана вашей цифровой подписью и вы не соблюдали меры безопасности, то и обращение в суд ничего не даст — таких споров было уже предостаточно и почти во всех случаях суд встал на сторону банкасм., например, Постановления ФАС МО от 23.04.2012 № А40-36540/11; 9 ААС от 21.12.2011 № 09АП-32833/2011-ГК; 10 ААС от 15.06.2012 № А41-41819/11.

Возражения банка обычно таковы:

И получается, что шансы взыскать ущерб с банка есть только при выполнении его требований по работе с «Клиент-Банком», быстром выявлении хищения и обращении в банк с протестомсм., например, Постановление 10 ААС от 08.10.2012 № А41-19798/12. Если вы сможете доказать, что:

  • соблюдали все требования банка, в том числе и технические, после сообщения в банк о сбое строго руководствовались инструкциями специалистов банка;
  • банк, наоборот, не выполнил свои обязанности по договору (например, не приостановил проведение платежа после сообщения о сбое), то суд вполне может принять вашу сторону. Ну или банк сам признает свою винусм., например, Постановление ФАС МО от 17.02.2012 № А40-5666/11-29-45.

Кстати, дополнительные меры защиты не только помогут в споре с банком, но и снизят собственно риск хищения.

Строим из счета «крепость»

Банки обычно прописывают в договоре технические требования и рекомендации по работе с «Клиент-Банком», а дополнительные — так называемые авторизационные — опции предлагают в качестве платной услуги.

ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ

ЛЮБЕЗНЫЙ Виктор Владимирович
ЛЮБЕЗНЫЙ Виктор Владимирович
Ведущий разработчик программных продуктов компании «Бухсофт.ру»

Помимо уже упомянутых мер по защите системы «Клиент-Банк» (ограничение трафика «компьютер — сеть», выделение его в отдельную подсеть, установка только лицензионных программ, регулярное обновление антивируса, покупка и строгий режим хранения защищенного носителя цифровой подписи), есть еще ряд хороших способов, снижающих риск хищения.

Во-первых, имеет смысл ограничить взаимодействие компьютера с внешней средой — попросите системного администратора отключить на нем все ненужные для работы системы и «Клиент-Банка» настройки, плагины, приложения и оборудование (например, Bluetooth или Wi-Fi, если подключение к Интернету идет не через них). Это позволит уменьшить возможности проникновения на компьютер через ошибки в программах или драйверах оборудования. Беспроводное оборудование в этом случае несколько менее безопасно, чем проводное: злоумышленник может находиться в радиусе действия беспроводной сети (например, Wi-Fi), но за территорией организации, и при плохой защите незаметно получить доступ к сети предприятия и найти в ней для себя много интересного, а также построить атаки, например, на компьютер с «Клиент-Банком» изнутри сети.

Во-вторых, не стоит пренебрегать дополнительными мерами авторизации, предлагаемыми вашим банком. Это не только согласование допустимых адресов, с которых могут приходить ваши платежки, но и SMS-авторизация платежей. Поскольку согласовывать каждый платеж утомительно, некоторые банки предлагают такую дополнительную авторизацию только для подозрительных платежей. Например, платежей свыше определенной суммы или в адрес новых контрагентов, которых банк не нашел в вашей «платежной истории».

Причем после подключения дополнительных авторизационных опций тоже нужно проявлять осторожность. Например, при подключении услуги подтверждения операций одноразовым SMS-паролем банки рекомендуют:

  • каждый раз контролировать реквизиты платежки в сообщении — а вдруг она была «скорректирована» перед отправкой в банк;
  • выделить для сообщений отдельный мобильный телефон, с которого другими сервисами не пользоваться;
  • при утрате телефона или ошибке в подключении SIM-карты немедленно заблокировать номер, заменить карту и обратиться за переподключением услуги в банк.

Ну и наконец, после отправки платежек всегда нужно дожидаться получения электронной выписки банка и тщательно ее проверять. При проблемах с формированием выписки банка стоит начать нервничать.

И еще напомним о двух требованиях банков, о которых часто забывают.

Во-первых, не забудьте определить приказом по организации круг сотрудников, допущенных к компьютеру с «Клиент-Банком», и установите режим хранения и использования носителя ЭЦП.

А во-вторых, еще раз внимательно перечитайте договор с банком — иногда банки прямо прописывают в нем обязанность держать такие компьютеры в охраняемом, опечатываемом (!) помещении с доступом только строго оговоренным сотрудникам. Если это ваш случай, а требование банка вы не выполнили, наверняка последует отказ в возмещении убытков, в том числе и в судесм., например, Постановление 13 ААС от 22.05.2012 № А21-5419/2011.

«Утешительный» расход

Если спор с банком завершился безрезультатно, а виновных лиц полиция так и не нашла, то вам остается лишь списать сумму ущерба:

  • на прочие расходы в бухгалтерском учете. Списанную с расчетного счета сумму, которая была учтена у вас на счете 76 (удобнее открыть специальный субсчет «Невыясненные платежи»), вы относите в дебет счета 91 «Прочие доходы и расходы»;
  • на внереализационные расходы в налоговом учете.

Причем списать ущерб в налоговом учете на расходы вы сможете только в периоде принятия постановления о приостановлении предварительного следствия в связи с неустановлением лица, подлежащего привлечению в качестве обвиняемого, — требуйте заверенную следователем или дознавателем копию этого документаподп. 5 п. 2 ст. 265 НК РФ. Ведь компания в такой ситуации — потерпевший, а потерпевшие имеют право на получение копий подобных процессуальных документовподп. 13 п. 2 ст. 42 УПК РФ.

Возможен и другой вариант. В полицию вы не обращались и пытались взыскать перечисленные средства в виде неосновательного обогащения с их получателя. И суд даже принял решение в вашу пользу, только вот попытки приставов найти получателя денег окончились ничем и в итоге вам вернули исполнительный документ. Тогда вы можете попробовать учесть невозвращенную сумму как безнадежный долгп. 2 ст. 266 НК РФ. Минфин ранее высказывался против квалификации в качестве безнадежных тех долгов, которые возникли не в связи с реализацией. Но теперь не против, например, признания безнадежными и отнесения на расходы долгов и по займам, и по невозвращенным подотчетным суммамПисьма Минфина от 19.10.2012 № 03-03-06/1/559, от 08.08.2012 № 03-03-07/37. Налоговики, впрочем, все равно могут поставить под сомнение обоснованность такого расхода.

Ну а если вы вообще ничего не делали для возврата денег, то оснований учитывать в расходах перечисленные «неизвестному контрагенту» суммы точно нет, даже после истечения срока давности.

***

Случаи несанкционированного списания средств со счетов компаний стали настолько типичными, что банки, возможно, уже скоро начнут продвигать услугу по страхованию от такого рода хищений. Для граждан — держателей банковских карт такие страховки уже давно существуют. Им они обходятся в 1—2% от страховой суммы в год.

Другие статьи журнала «ГЛАВНАЯ КНИГА» на тему «Расходы»:

2018 г.

2017 г.

2016 г.

ИНДЕКСЫ
Москва Индекс
потребительских цен

Используется
для индексации зарплаты

0.23%
октябрь 2018 г.
45000000
МРОТ
по регионам

Используется для
регулирования зарплаты

18 781

Примечание

История


Ставка
рефинансирования

Используется для
расчёта отдельных показателей

7.5%

История

ЕЖЕДНЕВНАЯ
НОВОСТНАЯ
РАССЫЛКА
ОПРОС
Как вы предпочитаете направлять в ИФНС заявление о зачете налоговой переплаты?
По телекоммуникационным каналам связи
Через личный кабинет налогоплательщика
Лично приносим в налоговую
По почте

РАБОЧИЙ СТОЛ БУХГАЛТЕРА

«ГЛАВНАЯ КНИГА»
РЕКОМЕНДУЕТ
Такском- ноябрьЗимний конгресс ТАКСКОМ