IRS, Security Summit Partners Launch Awareness Campaign, Urge Protections for Client Data

Washington – The Internal Revenue Service and its Security Summit partners today kicked off a summertime security awareness campaign for tax professionals with a new, expanded guide providing critical steps to protect client data and highlighting available resources.
The new effort by the IRS, state tax agencies and the nation's private-sector tax industry follows continued security threats to tax and financial data held by tax professionals. Data thefts at tax practitioners’ offices continue to rise and result in fraudulent tax returns that can be especially difficult for the IRS and states to detect.
"The IRS and the Security Summit partners urge all tax professionals to take stronger security steps to protect themselves and their clients," said Acting IRS Commissioner David Kautter. "With the help of the Summit partnership, the IRS has made major progress protecting taxpayers in the battle against tax-related identity theft. But the threat remains, and we need the help of tax professionals to take basic steps to safeguard their systems and taxpayer data."
This marks the first in a series called "Protect Your Clients; Protect Yourself: Tax Security 101." The Security Summit awareness campaign is intended to provide tax professionals with the basic information they need to better protect taxpayer data and to help prevent the filing of fraudulent tax returns.
This series builds on and expands on earlier Summit awareness campaigns aimed at tax professionals and taxpayers. In addition, this campaign follows recommendations made by the Electronic Tax Administration Advisory Committee (ETAAC) in June, which noted tax professionals “are at increasing risk” of security vulnerability.
Although the Security Summit effort is making progress against tax-related identity theft, cybercriminals continue to evolve, and data thefts at tax professionals’ offices are on the rise. Thieves use stolen taxpayer data to create fraudulent returns that are harder to detect. Identity thieves are technically sophisticated, helped by well-funded and tax-savvy criminal syndicates based here and abroad.
To mark the start of this awareness campaign, the IRS revised Publication 4557, Safeguarding Taxpayer Data, to better reflect the current threats to tax professionals. The guide outlines basic steps tax professionals should take, how to take them and provides details on how to comply with requirements for a data security plan. The IRS also created a new product, Publication 5293, Data Security Resource Guide for Tax Professionals, which highlights a compilation of resources for tax preparers.
The IRS reminds professional tax preparers that the Financial Services Modernization Act of 1999, also known as Gramm-Leach-Bliley Act, requires certain financial entities – including professional tax return preparers – to create and maintain a security plan for the protection of client data. The Federal Trade Commission administers this law and its “Safeguards Rule” regulations.
Both Publication 4557 and Publication 5293 promote the basic security steps endorsed by the Security Summit partners for tax professionals. These include:

  • Learn to recognize phishing emails, especially those pretending to be from the IRS, a tax software provider, cloud storage provider or state tax agencies. Never open a link or any attachment from a suspicious email. Remember: The IRS never initiates initial contact with a tax professional via email.
  • Create a data security plan using IRS Publication 4557, Safeguarding Taxpayer Data, and Small Business Information Security – The Fundamentals, by the National Institute of Standards and Technology.
  • Review internal controls for their business: 
    • Install anti-malware/anti-virus security software on all devices (laptops, desktops, routers, tablets and phones) and keep software set to automatically update.
    • Create passwords of at least eight characters; longer is better. Use different passwords for each account, use special and alphanumeric characters, use phrases, password protect wireless devices and consider a password manager program.
    • Encrypt all sensitive files/emails and use strong password protections.
    • Back up sensitive data to a safe and secure external source not connected fulltime to a network.
    • Wipe clean or destroy old computer hard drives and printers that contain sensitive data.
    • Limit access to taxpayer data to individuals who need to know.
    • Check IRS e-Services account weekly for number of returns filed with EFIN.
The importance of these basic steps was highlighted yet again this year when a sophisticated cybercriminal gang breached numerous practitioner offices by gaining remote control access of computers and stealing taxpayers’ 2016 tax information. The thieves used that information to file 2017 tax returns using all the taxpayer real data, including their bank accounts for direct deposit.
The thieves then called the taxpayers, trying to trick them into returning the fraudulent refunds. In some cases, the thieves had stolen so much information, they could access the clients’ bank accounts online and steal the fraudulent refunds. In many cases, the tax professionals never even knew their client data was stolen.
By taking the steps outlined here and in Publication 4557, tax professionals can help prevent the common tactics used by cybercriminals. But even with the strongest security measures, the key to good security is an individual trained and alert to potential risks and threats.
Today also marks the start of the 2018 IRS Nationwide Tax Forums. Data security will be featured prominently at all five Tax Forums, including a workshop by cyber experts.
Practitioners are urged to attend these sessions, and there’s still time to sign up for a Tax Forum. The Protect Your Clients, Protect Yourself: Tax Security 101 campaign will run for 10 weeks, through September. The campaign will be capped off by a free data security webinar for all tax professionals in the fall. 
Additional resources:
* * *
Washington – El Servicio de Impuestos Internos y sus socios de la Cumbre de Seguridad iniciaron hoy una campaña de concienciación de seguridad para profesionales de impuestos con una nueva guía que proporciona pasos críticos para proteger los datos de los clientes y resalta recursos disponibles.
El nuevo esfuerzo del IRS, las agencias tributarias estatales y la industria tributaria del sector privado de la nación sigue de cerca las continuas amenazas a la seguridad de los datos tributarios y financieros que tienen los profesionales de impuestos. Los robos de datos en las oficinas de profesionales de impuestos continúan en aumento y resultan en declaraciones de impuestos fraudulentas que pueden ser especialmente difíciles de detectar por el IRS y los estados.
“El IRS y los socios de la Cumbre de Seguridad hacen un llamado a todos los profesionales de impuestos a que tomen medidas de seguridad más fuertes para protegerse a sí mismos y a sus clientes,” dijo David Kautter, Comisionado Interino del IRS. “Con la ayuda de la asociación de la Cumbre, el IRS ha logrado un gran avance en la protección de los contribuyentes en la batalla contra el robo de identidad relacionado con impuestos. Pero la amenaza permanece, y necesitamos la ayuda de los profesionales de impuestos para tomar medidas básicas para proteger sus sistemas y los datos de los contribuyentes.”
Este comunicado es el primero de una serie llamada "Proteja a sus clientes; protéjase a sí mismo: Seguridad de Impuestos 101". La campaña de concienciación de la Cumbre de Seguridad tiene como objetivo proporcionar a los profesionales de impuestos la información básica que necesitan para proteger mejor los datos de los contribuyentes, y ayudar a prevenir la presentación de declaraciones de impuestos fraudulentas.
Esta serie construye sobre las campañas de concienciación anteriores de la Cumbre dirigidas a profesionales de impuestos y contribuyentes. Además, esta campaña sigue las recomendaciones del Comité Asesor de la Administración Tributaria Electrónica (ETAAC, por sus siglas en inglés) en junio, que destacó que los profesionales de impuestos "están en mayor riesgo" de vulnerabilidad de seguridad.
Si bien el esfuerzo de la Cumbre de Seguridad avanza contra el robo de identidad relacionado con los impuestos, los delincuentes cibernéticos continúan evolucionando y los robos de datos en las oficinas de profesionales de impuestos continúan en aumento. Los ladrones usan datos robados de los contribuyentes para crear declaraciones fraudulentas que son más difíciles de detectar. Los ladrones de identidad son técnicamente sofisticados y cuentan con la ayuda de sindicatos criminales bien financiados y expertos en impuestos, establecidos dentro y fuera de los EE. UU.
Para iniciar esta campaña, el IRS revisó la Publicación 4557, Protección de los datos del contribuyente (en inglés), para reflejar mejor las amenazas actuales a los profesionales de impuestos. La guía describe los pasos básicos que deben seguir los profesionales de impuestos y cómo tomarlos, y brinda detalles acerca de cómo cumplir con los requisitos para un plan de seguridad de datos. El IRS también creó un nuevo producto, la Publicación 5293, Guía de recursos de seguridad de datos para profesionales de impuestos, que destaca una recopilación de recursos en para preparadores de impuestos.
El IRS les recuerda a los preparadores de impuestos profesionales que la Ley de Modernización de Servicios Financieros de 1999, también conocida como Ley Gramm-Leach-Bliley, requiere que ciertas entidades financieras, incluidos los preparadores profesionales de declaraciones de impuestos, creen y mantengan un plan de seguridad para proteger los datos de los clientes. La Comisión Federal de Comercio administra esta ley, así como sus regulaciones de "Regla de Protecciones" (en inglés).
Tanto la Publicación 4557 como la Publicación 5293 promueven los pasos básicos de seguridad endosados por los socios de la Cumbre de Seguridad para los profesionales de impuestos. Éstos incluyen:
  • Aprenda a reconocer correos electrónicos de phishing, especialmente aquellos que pretenden ser del IRS, un proveedor de software de impuestos, proveedor de almacenamiento en la nube o agencias de impuestos estatales. Nunca abra un enlace ni un archivo adjunto de un correo electrónico sospechoso. Recuerde: El IRS nunca inicia el contacto inicial con un profesional de impuestos por correo electrónico.
  • Cree un plan de seguridad de datos al usar la Publicación 4557, Protección de datos de contribuyentes, y Seguridad de información de pequeñas empresas – Lo fundamental, por el Instituto Nacional de Estándares y Tecnología.
  • Revise los controles internos para su negocio:
    • Instale software de seguridad antimalware / antivirus en todos los dispositivos (computadoras portátiles, computadoras de escritorio, enrutadores (routers), tabletas y teléfonos) y mantenga el software configurado para que se actualice automáticamente.
    • Cree contraseñas de al menos ocho caracteres; mientras más larga, mejor. Use contraseñas diferentes para cada cuenta, use caracteres especiales y alfanuméricos, use frases, proteja con contraseña los dispositivos inalámbricos y considere un programa de administrador de contraseñas.
    • Codifique todos los archivos / correos electrónicos confidenciales y use protecciones de contraseña seguras.
    • Haga copias de seguridad de los datos confidenciales a una fuente externa segura y que no esté conectada a tiempo completo a una red.
    • Limpie o deseche las unidades de disco duro e impresoras antiguas que contienen datos confidenciales.
    • Limite el acceso a los datos del contribuyente a solo las personas que verdaderamente lo necesitan.
    • Verifique semanalmente la cuenta de e-Services del IRS para la cantidad de declaraciones de impuestos presentadas con EFIN.
La importancia de estos pasos básicos se destacó una vez más este año cuando una sofisticada pandilla de delincuentes cibernéticos filtró numerosas oficinas de profesionales al obtener control remoto del acceso a las computadoras y robar la información tributaria de los contribuyentes en 2016. Los ladrones usaron esa información para presentar declaraciones de impuestos de 2017 al usar todos los datos reales del contribuyente, incluidas sus cuentas bancarias para depósito directo.
Los ladrones luego llamaron a los contribuyentes e intentaron engañarlos para que les devolvieran los reembolsos fraudulentos. En algunos casos, los ladrones habían robado tanta información, que podían acceder a las cuentas bancarias en línea de los clientes y robar los reembolsos fraudulentos. En muchos casos, los profesionales de impuestos nunca supieron que les habían robado los datos de sus clientes.
Al seguir los pasos descritos aquí y en la Publicación 4557, los profesionales de impuestos pueden ayudar a prevenir las tácticas comunes usadas por los delincuentes cibernéticos. Pero incluso con las medidas de seguridad más fuertes, la clave para una buena seguridad es una persona adiestrada y alerta ante posibles riesgos y amenazas.
Hoy también marca el comienzo de los Foros Nacionales de Impuestos del IRS de 201. La seguridad de datos se destacará en los cinco Foros de Impuestos, incluido un taller por expertos cibernéticos.
Se insta a los profesionales a asistir a estas sesiones, y aún hay tiempo para inscribirse en un Foro de Impuestos. La campaña Proteja a sus clientes, protéjase a sí mismo: Seguridad de Impuestos 101 se llevará a cabo durante 10 semanas, hasta septiembre. La campaña culminará con un seminario web gratuito acerca de seguridad de datos para todos los profesionales de impuestos en el otoño.
Recursos adicionales: