MSP №19: КРАЖА ЛИЧНОСТИ
По мере развития схем кражи личных данных, связанных с налогообложением, IRS должно постоянно оценивать и изменять свои процедуры помощи жертвам.
По мере развития схем кражи личных данных, связанных с налогообложением, IRS должно постоянно оценивать и изменять свои процедуры помощи жертвам.
Включите квитанции о случаях кражи личных данных, полученные во всей IRS, включая квитанции RICS и SP, в свой глобальный отчет о краже личных данных.
ОТВЕТ IRS НА РЕКОМЕНДАЦИИ: Глобальный отчет IDT содержит информацию IRS по всему IRS в разделах «Предотвращение и обнаружение» и «Помощь жертвам». В отчете учтены случаи кражи личных данных Службы целостности и соблюдения требований (RICS) и обработки данных (SP).
Наш анализ показал, что существует 78,500 178,000 неотмененных маркеров заявлений о краже личных данных по сравнению со 14039 14039, указанными в отчете. Маркеры заявлений о краже личных данных размещаются на счетах налогоплательщиков, когда налогоплательщик первоначально обращается в IRS, чтобы сообщить, что он стал жертвой кражи личных данных. Налогоплательщику рекомендуется подать форму 2019 «Аффидевит о краже личных данных» в подтверждение своего иска. Хотя заявление о краже личных данных должно быть отменено, если налогоплательщик не предоставил форму XNUMX или другую документацию, подтверждающую его заявление о краже личных данных, мы выявили случаи, когда индикатор заявления о краже личных данных не был отменен. Мы представили изменение в программе, чтобы исправить эту проблему, планируемая дата внедрения — XNUMX год.
КОРРЕКТИРУЮЩЕЕ ДЕЙСТВИЕ: ARCXNUMX
ОТВЕТ ТАС: Хотя случаи RICS и SP IDT включены в реестр по предотвращению и обнаружению, показанный в Глобальном отчете IDT, мы не согласны с утверждением IRS о том, что Глобальный отчет IDT включает случаи RICS и SP в реестр помощи жертвам. Согласно определению Описи помощи жертвам в Словаре данных:
Эта область отчета включает в себя Реестр помощи жертвам кражи личных данных (IDTVA). Отображаются начальные запасы, поступления, закрытия и конечные запасы для каждого года, причем последний столбец показывает изменение запасов по сравнению с текущим годом по сравнению с предыдущим годом на момент времени текущего отчета. Пуля внизу показывает, сколько было поступлений от BMF (включенных в таблицу), а также сравнение по годам.
Это определение реестра помощи жертвам ясно дает понять, что он включает инвентарь IDTVA, но не упоминает случаи IDT, обрабатываемые другими функциями. Некоторые дела IDT могут рассматриваться за пределами IDTVA, например, RICS и SP, и имеют право на получение PIN-кодов IP (которые выдаются жертвам IDT, связанных с налогами, поэтому этих налогоплательщиков следует учитывать как таковые). См. IRM 25.23.2.19, Кража личных данных МВФ, осуществляемая внешними функциями по управлению счетами IDTVA (13 октября 2016 г.). Невключение этих дел в Глобальный отчет IDT в Перечень помощи жертвам существенно занижает объем дел IDT, которые получает и разрешает IRS.
Мы признательны IRS за принятие мер по обеспечению отмены ожидающего маркера IDT, если предполагаемая жертва IDT не может предоставить документацию, подтверждающую претензию IDT. Тем не менее, мы отмечаем, что 178,000 2018 необратимых маркеров IDT, которые TAS Research обнаружила в своих выборках данных, специально исключают случаи, в которых были неразрешенные маркеры IDT с ожидающим рассмотрения заявлением (т. е. когда IRS ожидало документации от налогоплательщика для обоснования требования IDT). Таким образом, все неотмененные открытые маркеры IDT в нашем наборе данных представляли собой претензии, не доведенные до конца после того, как документация была получена от жертвы. TAS Research повторно провела запрос в июне XNUMX года, и хотя оно обнаружило не так много налогоплательщиков с нерешенными проблемами с ИНН, оно все же обнаружило значительно больше таких случаев, чем указано W&I. TAS Research работает с W&I над устранением несоответствия.
ПРИНЯТЫ, ЧАСТИЧНО ПРИНЯТЫ или НЕ ПРИНЯТЫ: Частично принято
ОТКРЫТО или ЗАКРЫТО: закрыто
СРОК ДЕЙСТВИЯ (если оставить открытым): ARCXNUMX
Расширить свои процедуры, чтобы всем жертвам кражи личных данных, включая тех, у кого есть несколько налоговых проблем и которым необходимо взаимодействовать с функциями IRS за пределами функции помощи жертвам кражи личных данных, было назначено единственное контактное лицо, которое будет оказывать им помощь до тех пор, пока все проблемы, связанные с кражей личных данных, не будут решены. .
ОТВЕТ IRS НА РЕКОМЕНДАЦИИ: Функция IDTVA представляет собой централизованную операцию, которая объединяет работу, ранее выполняемую различными подразделениями IRS, снижает необходимость перенаправления работы на другие функции и ограничивает создание нескольких дел для одного налогоплательщика. Результатом является ускоренное решение всех вопросов налогоплательщиков. Мы расширили логику назначения дел, чтобы гарантировать, что жертвы будут назначены сотруднику с необходимым набором навыков для решения всех проблем и налоговых лет. Есть один сотрудник, который будет инициировать и получать корреспонденцию, если для разрешения дела потребуется дополнительная информация. Корреспонденция, отправляемая после закрытия дела, адресована каждому открытому налоговому году. IRS предоставляет жертвам кражи личных данных специальную бесплатную горячую линию для помощи, гарантируя, что налогоплательщики могут связаться со специалистом IDT в любое время в рабочее время и не зависеть от доступности одного сотрудника IRS. Кроме того, IRS предоставляет специальный бесплатный номер для Программы защиты налогоплательщиков (TPP). Все представители службы поддержки клиентов, работающие на специальной линии IDT и бесплатной линии TPP, могут просмотреть материалы дела налогоплательщика и ответить соответствующим образом. Мы также установили процесс предоставления контактной информации назначенного социального работника ITVA.
КОРРЕКТИРУЮЩЕЕ ДЕЙСТВИЕ: ARCXNUMX
ОТВЕТ ТАС: Мы ценим разъяснение о том, что представители службы поддержки клиентов (CSR), работающие на бесплатной горячей линии IDT, могут предоставить по запросу жертвы контактную информацию назначенного помощника IDTVA. Некоторые налогоплательщики вполне могут позвонить на горячую линию IDT и поговорить с первым попавшимся CSR; другие налогоплательщики могут пожелать поговорить с одним помощником на протяжении всего разрешения своего дела IDT. Мы приветствуем решение IRS предоставить жертве IDT оба варианта.
Однако мы отмечаем, что не существует процедуры, позволяющей жертве IDT работать с единственным контактным лицом в ситуациях, когда дело IDT рассматривается за пределами организации IDTVA. Мы считаем, что жертвы IDT должны иметь право разговаривать с единственным контактным лицом, независимо от того, какая функция IRS занимается делом IDT.
ПРИНЯТЫ, ЧАСТИЧНО ПРИНЯТЫ или НЕ ПРИНЯТЫ: Частично принято
ОТКРЫТО или ЗАКРЫТО: закрыто
СРОК ДЕЙСТВИЯ (если оставить открытым): ARCXNUMX
Установите предел в 35 процентов для уровня ложного обнаружения для фильтров кражи личных данных в рамках Программы защиты налогоплательщиков на 2018 год и 20 процентов на 2019 год и в последующие годы.
ОТВЕТ IRS НА РЕКОМЕНДАЦИИ: Поскольку похитители личных данных продолжают становиться все более изощренными, IRS ужесточило меры безопасности в ответ на возросшую угрозу. Мы предпринимаем шаги, чтобы похитителям личных данных было сложнее маскироваться под налогоплательщиков и подавать мошеннические требования о возмещении от имени этих налогоплательщиков. Налоговое управление США признает, что крупные утечки личной информации (PII) создают трудности и разочарования для жертв и финансовой экосистемы. Крупномасштабные утечки данных являются напоминанием о ценности данных для мошеннических целей и кражи личных данных. За последние несколько лет процессы фильтрации мошенничества в IRS IDT оставались эффективными даже в ситуациях больших потерь личных данных.
IRS использует несколько надежных инструментов для оказания помощи в борьбе с кражей личных данных и мошенничеством, связанным с налогами, включая инструменты, специально предназначенные для работы с налогоплательщиками, ставшими жертвами потери данных федеральной налоговой информации (FTI). Потеря данных, связанных с федеральными налогами, может быть использована для подачи деклараций, которые кажутся исходящими от настоящего налогоплательщика. Существующие модели и фильтры IRS были обновлены с учетом уровня сложности, используемого для подачи этих мошеннических деклараций. Мы внедрили использование списков динамического выбора, чтобы обеспечить мониторинг конкретных счетов налогоплательщиков, которые стали жертвами утечки данных FTI, когда скомпрометированные данные могли бы оказать прямое влияние на федеральную налоговую администрацию. Этот процесс позволяет IRS более эффективно выявлять эти подозрительные доходы и приводит к лучшей защите федеральных налоговых счетов налогоплательщиков и усилению защиты доходов. Хотя такая практика может привести к более высокому уровню ложного обнаружения, она является необходимой защитой для защиты налогоплательщиков, пострадавших от известных инцидентов, и удержания злоумышленников от дальнейшего использования скомпрометированных данных налогоплательщиков.
Программа защиты налогоплательщиков защитила значительное количество налоговых деклараций и суммы доходов. В соответствии с недавно принятым законодательством срок подачи форм W-2 «Отчет о заработной плате и налогах» и W-3 «Передача отчетов о заработной плате и налогах» в Управление социального обеспечения (SSA) и формы 1099-MISC «Прочие доходы» представление отчетности о вознаграждениях неслужащим в IRS фактически ускорено до 31 января, начиная с 2017 календарного года. возвратов, связанных с подтвержденными возвратами, быстрее.;
КОРРЕКТИРУЮЩЕЕ ДЕЙСТВИЕ: ARCXNUMX
ОТВЕТ ТАС: Национальный защитник налогоплательщиков осознает сложную задачу, которую стоит перед IRS по защите федерального налогового управления от выплаты неправомерных требований о возмещении. Мы никоим образом не подразумеваем, что можно легко остановить мошеннические претензии, сохранив при этом низкий уровень ложного обнаружения. Однако мы говорим, что уровень ложного обнаружения, превышающий 50 процентов, неоправданно высок и что IRS может добиться большего.
Когда законные лица, подающие заявки, отбираются фильтром обнаружения мошенничества, это существенно нарушает их жизнь. Многие налогоплательщики рассчитывают на возврат налогов для финансирования долгожданного ремонта, оплаты расходов на отпуск или просто для того, чтобы пережить отопительный сезон. Задержка в получении возмещения может стать проблемой. Если фильтр останавливает возвраты и IRS позже узнает, что более половины остановленных возвратов являются законными, то IRS не выполняет свою работу эффективно, что наносит ущерб налогоплательщикам.
Налоговое управление США упомянуло об использовании «динамических списков выбора» для защиты жертв крупномасштабных утечек данных. У нас вызывает серьезную обеспокоенность тот факт, что IRS имела 85-процентный уровень ложного обнаружения для почти 280,000 XNUMX налоговых деклараций, которые она выбрала для дополнительной проверки из-за того, что идентификационный номер налогоплательщика находился в таком динамическом списке выбора. Учитывая чрезвычайно высокий уровень ложного обнаружения, неясно, внесла ли IRS какие-либо коррективы в свой фильтр обнаружения мошенничества после учета опыта этих налогоплательщиков.
Это будет непросто, но мы считаем, что IRS может и должна работать с фирмами, занимающимися анализом данных, над разработкой/расширением/модификацией моделей обнаружения мошенничества, которые одновременно защищают доходы и минимизируют воздействие на законных лиц, подающих декларации. Этой весной Национальный адвокат налогоплательщиков встретился с одной фирмой по анализу данных; в настоящее время они работают с налоговыми администраторами из разных штатов и всего мира и уверены, что это может помочь IRS использовать сложное моделирование для достижения этой цели.
ПРИНЯТЫ, ЧАСТИЧНО ПРИНЯТЫ или НЕ ПРИНЯТЫ: Не принято
ОТКРЫТО или ЗАКРЫТО: закрыто
СРОК ДЕЙСТВИЯ (если оставить открытым): ARCXNUMX
Расширьте программу IP PIN, предложив ее всем налогоплательщикам для активной защиты своих налоговых счетов от кражи личных данных, связанной с налогами.
ОТВЕТ IRS НА РЕКОМЕНДАЦИИ: С тех пор, как IRS начало их выдавать в 2011 году, IP PIN стал эффективным инструментом для предотвращения кражи личных данных и облегчения обнаружения мошенничества с возвратом средств до того, как оно произойдет. В настоящее время мы изучаем возможность расширения права на получение PIN-кода IP для всех налогоплательщиков в его нынешнем состоянии.
КОРРЕКТИРУЮЩЕЕ ДЕЙСТВИЕ: С тех пор, как IRS начало их выдавать в 2011 году, IP PIN стал эффективным инструментом для предотвращения кражи личных данных и облегчения обнаружения мошенничества с возвратом средств до того, как оно произойдет. В настоящее время мы изучаем возможность расширения права на получение PIN-кода IP для всех налогоплательщиков в его нынешнем состоянии.
ОТВЕТ ТАС: Мы признательны IRS за разработку, улучшение и расширение программы IP PIN с момента ее создания в 2011 году. Мы считаем, что это чрезвычайно эффективный метод защиты налогоплательщика. Мы понимаем, что существуют затраты, связанные с администрированием PIN-кодов IP (включая укомплектование телефонных линий для оказания помощи налогоплательщикам, которые неизбежно теряют свои PIN-коды IP), но мы отмечаем, что существуют еще более значительные затраты из-за риска выплаты требований о возмещении похитителям личных данных. . Национальный адвокат налогоплательщиков воодушевлен тем, что IRS проводит технико-экономическое обоснование расширения программы IP PIN (IRS заявляет, что рассчитывает завершить свой анализ к августу 2018 года).
ПРИНЯТЫ, ЧАСТИЧНО ПРИНЯТЫ или НЕ ПРИНЯТЫ: Частично принято
ОТКРЫТО или ЗАКРЫТО: закрыто
СРОК ДЕЙСТВИЯ (если оставить открытым): ARCXNUMX
Разработайте процедуры для устранения крупномасштабных утечек данных, сводя при этом к минимуму нагрузку на жертв.
ОТВЕТ IRS НА РЕКОМЕНДАЦИИ: Налоговое управление США продолжает очень серьезно относиться к защите информации налогоплательщиков и искать способы обеспечить безопасный и удобный доступ к информации налогоплательщиков. Хотя не все утечки данных приводят к краже личных данных, связанной с налогами, мы признаем, что личная информация широко доступна мошенникам из-за утечки данных во внешних организациях. IRS имеет множество существующих политик, процедур и технологий на предприятии для борьбы с этой угрозой и снижения этих рисков. Что касается аутентификации налогоплательщиков, IRS, наряду со всеми федеральными агентствами, должна следовать специальной публикации 800-63-2 Национального института стандартов и технологий (NIST), «Руководство по электронной аутентификации», при взаимодействии с налогоплательщиками через Интернет, онлайн. Приложения. Руководство NIST гарантирует, что данные налогоплательщиков защищены в соответствии с руководящими принципами OMB, которые предоставляют метод оценки риска, связанного с онлайн-транзакциями, чтобы PII и федеральная налоговая информация были защищены и защищены. При регистрации в онлайн-службах IRS через приложение электронной аутентификации Secure Access пользователи проходят несколько шагов для проверки своей личности.
Чтобы помочь частным лицам и предприятиям, которые могли стать жертвами утечки данных, IRS публикует информацию о том, как сообщить об утрате данных. Налоговое управление США также установило процедуры, позволяющие предприятиям сообщать об утере данных местному представителю по связям с заинтересованными сторонами и сообщать об утере данных формы W-2 по адресу dataloss@irs.gov.
КОРРЕКТИРУЮЩЕЕ ДЕЙСТВИЕ: ARCXNUMX
ОТВЕТ ТАС: Налоговое управление США оказывается в затруднительном положении, поскольку происходит все больше и больше утечек данных третьих лиц. Просто существует так много личной информации о налогоплательщиках, которую недобросовестные люди могут использовать для мошенничества с возвратом налогов. Когда Налоговому управлению США предоставляется список налогоплательщиков, которые могут быть потенциально подвергнуты риску, у него есть процедуры, гарантирующие, что эти налогоплательщики пройдут специальную проверку. Тем не менее, IRS может сделать больше, чтобы помочь жертвам, когда мошеннический возврат проходит через фильтры IRS по обнаружению мошенничества.
Например, некоторые компании, узнавшие о крупномасштабной утечке данных, предлагают услуги кредитного мониторинга пострадавшим лицам в течение Х лет. Это «бесплатная» услуга для частных лиц, поскольку за нее платит компания. Налоговое управление США может предложить IP-ПИН-коды жертвам крупномасштабных утечек данных путем переговоров с компанией, которая столкнулась с утечкой данных, о выплате пользовательского сбора, покрывающего расходы Налогового управления США на администрирование IP-ПИН-кодов. Мы считаем, что эту идею следует изучить.
ПРИНЯТЫ, ЧАСТИЧНО ПРИНЯТЫ или НЕ ПРИНЯТЫ: Частично принято
ОТКРЫТО или ЗАКРЫТО: закрыто
СРОК ДЕЙСТВИЯ (если оставить открытым): ARCXNUMX