MSP #19 : VOL D'IDENTITÉ
À mesure que les systèmes d'usurpation d'identité liés à la tributarioité évoluent, l'IRS doit continuellement évaluer et modifier ses procédures d'assistance aux victimes
À mesure que les systèmes d'usurpation d'identité liés à la tributarioité évoluent, l'IRS doit continuellement évaluer et modifier ses procédures d'assistance aux victimes
Incluez les reçus de cas de vol d’identité reçus à l’échelle de l’IRS – y compris les reçus RICS et SP – dans son rapport mondial sur le vol d’identité.
RÉPONSE DE L'IRS À LA RECOMMANDATION : Le rapport IDT mondial contient des informations IDT à l’échelle de l’IRS, dans les sections « Prévention et détection » et « Assistance aux victimes ». Les cas de vol d’identité des services d’intégrité et de conformité des retours (RICS) et du traitement des soumissions (SP) sont pris en compte dans le rapport.
Notre analyse a indiqué qu'il y avait 78,500 178,000 marqueurs de réclamations pour usurpation d'identité non annulées, contre 14039 14039 identifiés dans le rapport. Des marqueurs de réclamation pour vol d'identité sont placés sur les comptes des contribuables lorsque le contribuable contacte initialement l'IRS pour signaler qu'il est victime d'un vol d'identité. Il est conseillé au contribuable de soumettre un formulaire 2019, Affidavit de vol d'identité, pour étayer sa réclamation. Bien que la réclamation pour usurpation d'identité doive être annulée si le contribuable ne soumet pas son formulaire XNUMX ou tout autre document à l'appui de sa réclamation pour usurpation d'identité, nous avons identifié des cas où l'indicateur de réclamation pour usurpation d'identité n'a pas été annulé. Nous avons soumis un changement de programmation pour corriger ce problème avec une date de mise en œuvre prévue en XNUMX.
ACTION CORRECTIVE: N/D
RÉPONSE DU TAS : Bien que les cas RICS et SP IDT soient inclus dans l'inventaire de prévention et de détection présenté dans le rapport Global IDT, nous ne sommes pas d'accord avec l'affirmation de l'IRS selon laquelle le rapport Global IDT inclut les cas RICS et SP dans l'inventaire d'assistance aux victimes. Selon la définition du dictionnaire de données de l’inventaire d’assistance aux victimes :
Cette zone du rapport comprend l'inventaire d'assistance aux victimes de vol d'identité (IDTVA). L'inventaire initial, les réceptions, les fermetures et l'inventaire final sont affichés pour chaque année, la dernière colonne indiquant la variation de l'inventaire de l'année en cours à l'année précédente au moment du rapport actuel. La puce en bas montre le nombre de reçus du BMF (inclus dans le tableau), avec également une comparaison d'une année sur l'autre.
Cette définition de l’inventaire d’assistance aux victimes indique clairement qu’il inclut l’inventaire IDTVA, mais ne fait pas mention des cas IDT traités par d’autres fonctions. Certains cas IDT peuvent être traités en dehors de l'IDTVA, comme par RICS et SP, et sont éligibles pour recevoir des codes PIN IP (qui sont délivrés aux victimes de l'IDT lié à l'impôt, ces contribuables doivent donc être comptés comme tels). Voir IRM 25.23.2.19, Vol d'identité du FMI effectué par des fonctions extérieures à la gestion des comptes IDTVA (13 octobre 2016). Le fait de ne pas inclure ces cas dans le rapport mondial IDT sous l’inventaire d’assistance aux victimes sous-estime considérablement le volume de cas IDT que l’IRS reçoit et résout.
Nous félicitons l'IRS d'avoir pris des mesures pour garantir que le marqueur IDT en attente soit inversé lorsque la prétendue victime IDT ne fournit pas de documents pour étayer la réclamation IDT. Cependant, nous notons que les 178,000 2018 marqueurs IDT non inversés trouvés par TAS Research dans son extraction de données excluaient spécifiquement les cas comportant des marqueurs IDT non résolus avec une réclamation en attente (c'est-à-dire où l'IRS attendait des documents du contribuable pour justifier la réclamation IDT). Ainsi, tous les marqueurs IDT ouverts non inversés dans notre extraction de données étaient des réclamations qui n'avaient pas été correctement traitées jusqu'à leur conclusion, après que la documentation ait été reçue de la victime. TAS Research a réexécuté la requête en juin XNUMX et, bien qu'elle n'ait pas trouvé autant de contribuables ayant des problèmes de NIF non résolus, elle a tout de même trouvé beaucoup plus de cas de ce type que ce qu'indiquait W&I. TAS Research travaille avec W&I pour combler cet écart.
ADOPTÉ, PARTIELLEMENT ADOPTÉ ou NON ADOPTÉ : Partiellement adopté
OUVERT ou FERMÉ : Fermé
DATE D'ÉCHÉANCE POUR L'ACTION (si laissée ouverte) : N/D
Élargir ses procédures afin que toutes les victimes d'usurpation d'identité – y compris celles ayant de multiples problèmes fiscaux et devant interagir avec les fonctions de l'IRS en dehors de la fonction d'assistance aux victimes d'usurpation d'identité – se voient attribuer une seule personne de contact pour les aider jusqu'à ce que tous les problèmes liés au vol d'identité soient résolus. .
RÉPONSE DE L'IRS À LA RECOMMANDATION : La fonction IDTVA est une opération centralisée qui consolide le travail précédemment effectué par différentes parties de l'IRS, réduit le besoin de confier le travail à d'autres fonctions et limite la création de plusieurs dossiers pour un contribuable. Le résultat est une résolution accélérée de tous les problèmes des contribuables. Nous avons élargi la logique d'attribution des cas pour garantir que les victimes sont affectées à un employé possédant les compétences nécessaires pour résoudre tous les problèmes et toutes les années d'imposition. Il y a un travailleur social pour initier et recevoir la correspondance si des informations supplémentaires sont nécessaires pour résoudre le cas. La correspondance envoyée lorsqu'un dossier est clos porte sur chaque année tributarioe ouverte. L'IRS offre aux victimes d'usurpation d'identité une ligne d'assistance gratuite spéciale, garantissant que les contribuables peuvent joindre un spécialiste IDT à tout moment pendant les heures de bureau, et ne pas dépendre de la disponibilité d'un seul employé de l'IRS. De plus, l'IRS fournit un numéro gratuit spécial pour le programme de protection des contribuables (TPP). Tous les représentants du service à la clientèle travaillant sur la ligne spécialisée IDT et la ligne gratuite TPP peuvent examiner le dossier du contribuable et répondre en conséquence. Nous avons également établi un processus pour fournir les coordonnées de l'agent chargé du dossier IDTVA.
ACTION CORRECTIVE: N/D
RÉPONSE DU TAS : Nous apprécions la précision selon laquelle les représentants du service client (CSR) qui travaillent sur la hotline gratuite IDT sont en mesure de fournir, à la demande de la victime, les coordonnées de l'assistant IDTVA désigné. Certains contribuables peuvent parfaitement appeler la hotline IDT et parler avec le premier CSR disponible ; d'autres contribuables peuvent souhaiter parler avec un assistant tout au long de la résolution de leur cas IDT. Nous applaudissons la décision de l'IRS d'autoriser les deux options à la victime IDT.
Cependant, nous notons qu'il n'existe aucun processus en place permettant à une victime IDT de travailler avec une seule personne de contact dans les situations où le cas IDT est traité en dehors de l'organisation IDTVA. Nous pensons que les victimes de l'IDT devraient avoir le droit de parler avec une seule personne de contact, quelle que soit la fonction de l'IRS qui s'occupe du cas IDT.
ADOPTÉ, PARTIELLEMENT ADOPTÉ ou NON ADOPTÉ : Partiellement adopté
OUVERT ou FERMÉ : Fermé
DATE D'ÉCHÉANCE POUR L'ACTION (si laissée ouverte) : N/D
Fixer une limite de 35 pour cent pour le taux de fausse détection pour les filtres contre le vol d'identité du Programme de protection des contribuables pour 2018 et de 20 pour cent pour 2019 et au-delà.
RÉPONSE DE L'IRS À LA RECOMMANDATION : Alors que les voleurs d’identité deviennent de plus en plus sophistiqués, l’IRS a renforcé sa sécurité en réponse à la menace croissante. Nous prenons des mesures pour rendre plus difficile aux voleurs d'identité de se faire passer pour des contribuables et de déposer des demandes de remboursement frauduleuses au nom de ces contribuables. L'IRS reconnaît que les violations massives de données personnelles identifiables (PII) créent des difficultés et de la frustration pour les victimes et l'écosystème financier. Les violations de données à grande échelle rappellent la valeur des données à des fins frauduleuses et d’usurpation d’identité. Au cours des dernières années, les processus de filtrage des fraudes IRS IDT sont restés efficaces, même dans les situations de pertes importantes de données personnelles.
L'IRS utilise plusieurs outils robustes pour aider à lutter contre le vol d'identité et la fraude tributarioe, y compris des outils spécifiques au traitement des contribuables qui ont été victimes d'une perte de données d'informations tributarios fédérales (FTI). Les pertes de données impliquant des données liées à l'impôt fédéral peuvent être utilisées pour produire des déclarations qui semblent provenir du véritable contribuable. Les modèles et filtres existants de l'IRS ont été mis à jour pour tenir compte du niveau de sophistication utilisé pour produire ces déclarations frauduleuses. Nous avons mis en œuvre l'utilisation de listes de sélection dynamiques pour permettre la surveillance de comptes spécifiques de contribuables qui ont été victimes d'une violation de données FTI lorsque les données compromises auraient un impact direct sur l'administration tributarioe fédérale. Ce processus permet à l'IRS d'identifier plus efficacement ces déclarations suspectes et se traduit par une meilleure protection des comptes fiscaux fédéraux des contribuables et une protection accrue des revenus. Même si cette pratique peut entraîner un taux de fausses détections plus élevé, elle constitue une défense nécessaire pour protéger les contribuables touchés par des incidents connus et pour dissuader les acteurs malveillants de continuer à exploiter les données compromises des contribuables.
Le Programme de protection des contribuables a protégé un nombre important de déclarations et un montant important de revenus. En vertu de la législation récemment adoptée, la date d'échéance pour le dépôt des formulaires W-2, Déclaration de salaire et d'impôts, et W-3, Transmission des déclarations de salaire et d'impôt, auprès de la Social Security Administration (SSA), et du formulaire 1099-MISC, Revenus divers, la déclaration de la rémunération des non-employés à l'IRS a effectivement été accélérée jusqu'au 31 janvier, à compter de l'année civile 2017. Les améliorations apportées aux systèmes de l'IRS qui permettent de traiter les informations sur les revenus reçues de la SSA et, à leur tour, de les exploiter pour la vérification systémique des revenus et des retenues à la source permettent la publication des remboursements liés aux retours validés plus rapidement.;
ACTION CORRECTIVE: N/D
RÉPONSE DU TAS : Le National Taxpayer Advocate apprécie la tâche ardue de l'IRS pour protéger le fisc fédéral contre le paiement de demandes de remboursement inappropriées. Nous n’insinuons en aucun cas qu’il est facile de stopper les réclamations frauduleuses tout en maintenant un faible taux de fausse détection. Cependant, nous disons que les taux de fausses détections supérieurs à 50 % sont déraisonnablement élevés et que l’IRS peut faire mieux.
Lorsque des déclarants légitimes sont sélectionnés par un filtre de détection de fraude, cela interrompt leur vie de manière significative. De nombreux contribuables comptent sur l’argent de leur remboursement d’impôt pour financer des réparations tant attendues, pour payer leurs dépenses de vacances ou simplement pour passer la saison de chauffage. Un retard dans l’obtention de leur remboursement pourrait constituer une difficulté. Si un filtre arrête les remboursements et que l’IRS apprend plus tard que plus de la moitié des remboursements arrêtés sont légitimes, alors l’IRS ne fait pas son travail efficacement, au détriment des contribuables.
L'IRS a mentionné l'utilisation de « listes de sélection dynamiques » pour offrir une protection aux victimes de violations de données à grande échelle. Nous sommes très préoccupés par le fait que l'IRS avait un taux de fausse détection de 85 % pour les près de 280,000 XNUMX déclarations de revenus qu'il a sélectionnées pour un examen supplémentaire en raison de la présence d'un numéro d'identification de contribuable sur une liste de sélection aussi dynamique. Compte tenu du taux extrêmement élevé de fausses détections, il n’est pas clair si l’IRS a apporté des ajustements à son filtre de détection des fraudes après avoir intégré l’expérience de ces contribuables.
Ce ne sera pas facile, mais nous pensons que l'IRS peut et doit travailler avec des sociétés d'analyse de données pour développer/étendre/modifier des modèles de détection de fraude qui à la fois protègent les revenus et minimisent l'impact sur les déclarants légitimes. Le National Taxpayer Advocate a rencontré une société d’analyse de données ce printemps ; ils travaillent actuellement avec des administrateurs fiscaux de divers États et du monde entier et sont convaincus que cela pourrait aider l'IRS à utiliser une modélisation sophistiquée pour atteindre cet objectif.
ADOPTÉ, PARTIELLEMENT ADOPTÉ ou NON ADOPTÉ : Non adopté
OUVERT ou FERMÉ : Fermé
DATE D'ÉCHÉANCE POUR L'ACTION (si laissée ouverte) : N/D
Élargissez le programme IP PIN en l'offrant à tous les contribuables afin de protéger de manière proactive leurs comptes fiscaux contre le vol d'identité lié à l'impôt.
RÉPONSE DE L'IRS À LA RECOMMANDATION : Depuis que l'IRS a commencé à les délivrer en 2011, le code PIN IP est un outil efficace pour prévenir le vol d'identité et faciliter la détection des fraudes au remboursement avant qu'elles ne se produisent. Nous étudions actuellement la possibilité d’étendre l’éligibilité au code PIN IP à tous les contribuables dans son état actuel.
ACTION CORRECTIVE: Depuis que l'IRS a commencé à les délivrer en 2011, le code PIN IP est un outil efficace pour prévenir le vol d'identité et faciliter la détection des fraudes au remboursement avant qu'elles ne se produisent. Nous étudions actuellement la possibilité d’étendre l’éligibilité au code PIN IP à tous les contribuables dans son état actuel.
RÉPONSE DU TAS : Nous félicitons l'IRS pour avoir développé, amélioré et étendu le programme IP PIN depuis sa création en 2011. Nous pensons qu'il s'agit d'une méthode extrêmement efficace pour protéger un contribuable. Nous comprenons qu'il existe des coûts associés à l'administration des codes PIN IP (y compris la dotation en personnel de lignes téléphoniques pour aider les contribuables qui égarent inévitablement leur code PIN IP), mais nous notons qu'il existe des coûts encore plus importants liés au risque de demandes de remboursement versées à des voleurs d'identité. . Le National Taxpayer Advocate est encouragé par le fait que l'IRS mène une étude de faisabilité concernant l'expansion du programme IP PIN (l'IRS déclare qu'il prévoit de terminer son analyse d'ici août 2018).
ADOPTÉ, PARTIELLEMENT ADOPTÉ ou NON ADOPTÉ : Partiellement adopté
OUVERT ou FERMÉ : Fermé
DATE D'ÉCHÉANCE POUR L'ACTION (si laissée ouverte) : N/D
Développer des procédures pour remédier aux violations de données à grande échelle tout en minimisant le fardeau des victimes.
RÉPONSE DE L'IRS À LA RECOMMANDATION : L'IRS continue de prendre très au sérieux la protection des informations sur les contribuables et recherche des moyens de fournir un accès sécurisé et convivial aux informations sur les contribuables. Bien que toutes les violations de données n'entraînent pas un vol d'identité lié à la tributarioité, nous reconnaissons que les informations personnelles sont largement accessibles aux fraudeurs en raison des violations de données au niveau d'entités externes. L'IRS dispose de nombreuses politiques, procédures et technologies existantes dans toute l'entreprise pour lutter contre cette menace et atténuer ces risques. En termes d'authentification des contribuables, l'IRS, ainsi que toutes les agences fédérales, doivent suivre la publication spéciale 800-63-2 du National Institute of Standards and Technology (NIST), Lignes directrices pour l'authentification électronique, lorsqu'ils interagissent avec les contribuables via le Web et en ligne. applications. Les directives du NIST garantissent que les données des contribuables sont protégées conformément aux directives de l'OMB, qui fournissent la méthode d'évaluation des risques liés aux transactions en ligne afin que les informations PII et tributarios fédérales soient protégées et sécurisées. Lors de leur inscription aux services en ligne de l'IRS, via l'application d'authentification électronique Secure Access, les utilisateurs passent par plusieurs étapes pour vérifier leur identité.
Pour aider les particuliers et les entreprises susceptibles d'avoir été victimes d'une violation de données, l'IRS publie des informations sur la manière de signaler une perte de données. L'IRS a également établi des procédures permettant aux entreprises de signaler une perte de données à leur agent de liaison local avec les parties prenantes et de signaler une perte de données sur le formulaire W-2 à dataloss@irs.gov.
ACTION CORRECTIVE: N/D
RÉPONSE DU TAS : L’IRS se trouve dans une position difficile alors que de plus en plus de violations de données de tiers se produisent. Il existe tout simplement tellement d’informations d’identification personnelle sur les contribuables que des individus sans scrupules peuvent utiliser pour commettre une fraude au remboursement d’impôt. Lorsque l’IRS reçoit une liste de contribuables susceptibles d’avoir été potentiellement exposés, il dispose de procédures en place pour garantir que ces contribuables font l’objet d’un examen spécial. Cependant, l'IRS peut faire davantage pour aider les victimes lorsqu'un retour frauduleux passe à travers les filtres de détection de fraude de l'IRS.
Par exemple, certaines entreprises ayant eu connaissance d’une violation de données à grande échelle proposent des services de surveillance du crédit aux personnes concernées pendant X années. Il s'agit d'un service « gratuit » pour les particuliers, car l'entreprise le paie. L'IRS peut être en mesure d'offrir des codes PIN IP aux victimes de violations de données à grande échelle en négociant avec l'entreprise victime de la violation de données le paiement de frais d'utilisation couvrant le coût de l'administration des codes PIN IP par l'IRS. Nous pensons que c'est une idée qui mérite d'être explorée.
ADOPTÉ, PARTIELLEMENT ADOPTÉ ou NON ADOPTÉ : Partiellement adopté
OUVERT ou FERMÉ : Fermé
DATE D'ÉCHÉANCE POUR L'ACTION (si laissée ouverte) : N/D