Oszustwo na fakturę – jak działa i jak się bronić

Czym jest oszustwo na fakturę

Oszustwo na fakturę (ang. invoice fraud) to sytuacja, w której ktoś manipuluje procesem płatności tak, aby pieniądze trafiły na rachunek oszusta zamiast do prawdziwego kontrahenta.

To nie jest to samo co klasyczne oszustwo podatkowe. W takim ataku celem zwykle nie jest VAT, tylko zwykła kradzież pieniędzy firmy.

W praktyce bardzo często jest to część szerszego schematu określanego jako BEC (Business Email Compromise), czyli oszustwa opartego na podszywaniu się pod firmę, pracownika albo kontrahenta w komunikacji biznesowej.

Dlaczego oszustwa fakturowe są tak skuteczne

Takie ataki zwykle nie wykorzystują luki w programie księgowym. Wykorzystują luki w organizacji pracy.

Oszust nie musi „zhakować” systemu. Często wystarczy, że przekona pracownika do zrobienia zwykłego przelewu, ale na zły rachunek.

Najczęstsze przyczyny skuteczności takich oszustw:

• Faktury są codzienną rutyną
• Pracownicy działają pod presją terminu
• Dokument wygląda wiarygodnie
• Zmiana danych kontrahenta bywa akceptowana zbyt łatwo
• Brakuje obowiązkowego potwierdzenia drugim kanałem komunikacji

Jakie formy przybiera oszustwo na fakturę

Typ 1: Podmiana rachunku bankowego

To jeden z najczęstszych scenariuszy.

Jak wygląda taki atak:

1. Oszust zbiera informacje o firmie i jej dostawcach.
2. Wysyła wiadomość podszywając się pod kontrahenta.
3. Informuje o rzekomej zmianie numeru rachunku.
4. Firma aktualizuje dane.
5. Przelew trafia na konto oszusta.

Sygnały ostrzegawcze:

• nagła zmiana rachunku bankowego,
• prośba o pilne działanie,
• wiadomość z adresu podobnego do prawdziwego,
• brak wcześniejszego uprzedzenia o zmianie,
• niechęć do potwierdzenia zmiany telefonicznie.

Typ 2: Fałszywa faktura za usługę, której nikt nie zamawiał

W tym wariancie oszust nie zmienia danych na prawdziwej fakturze. Wysyła własną, całkowicie fałszywą.

Najczęściej chodzi o usługi, które brzmią wiarygodnie, na przykład:

• abonament,
• licencja,
• hosting,
• reklama,
• „obsługa techniczna”.

Sygnały ostrzegawcze:

• brak zamówienia albo umowy,
• nowy dostawca, którego nikt nie kojarzy,
• ogólnikowy opis usługi,
• kwota niewielka, ale „w sam raz”, żeby przeszła bez większej kontroli,
• brak konkretnej osoby kontaktowej po stronie dostawcy.

Typ 3: Oszustwo na prezesa

Tutaj atakujący podszywa się pod prezesa, właściciela albo dyrektora finansowego.

Schemat zwykle wygląda tak:

1. Pracownik dostaje pilną wiadomość.
2. Nadawca twierdzi, że sprawa jest poufna.
3. Pojawia się presja czasu.
4. Przelew ma być wykonany „bez zbędnych pytań”.
5. Pieniądze znikają.

Sygnały ostrzegawcze:

• nietypowy kanał kontaktu,
• prośba o zachowanie tajemnicy,
• nacisk na natychmiastowe działanie,
• brak standardowych dokumentów,
• nietypowy odbiorca przelewu.

Typ 4: Przechwycenie korespondencji

W tym scenariuszu oszust uzyskuje dostęp do skrzynki mailowej jednej ze stron albo śledzi korespondencję i ingeruje w nią w odpowiednim momencie.

Efekt jest prosty: do odbiorcy trafia faktura wyglądająca wiarygodnie, ale z podmienionym rachunkiem.

Sygnały ostrzegawcze:

• faktura ma inny numer konta niż wcześniej,
• pojawiają się drobne różnice w wiadomości lub załączniku,
• korespondencja wygląda trochę inaczej niż zwykle,
• kontrahent później pyta, dlaczego nie otrzymał zapłaty.

Co zmienia KSeF, a czego nie zmienia

KSeF poprawia porządek obiegu faktur, ale nie rozwiązuje automatycznie problemu oszustw płatniczych.

To bardzo ważne.

Co KSeF daje

W przypadku faktur ustrukturyzowanych KSeF:

• przyjmuje fakturę w postaci pliku XML,
• sprawdza zgodność pliku z właściwą strukturą logiczną,
• sprawdza uprawnienia do działania w systemie,
• nadaje fakturze unikalny numer KSeF po pozytywnej weryfikacji,
• przechowuje faktury w systemie.

To oznacza, że łatwiej potwierdzić, czy faktura ustrukturyzowana rzeczywiście została przyjęta przez KSeF.

Czego KSeF nie robi za firmę

KSeF nie zastępuje kontroli biznesowej po stronie firmy. W szczególności nie zwalnia z weryfikacji:

• czy zakup był rzeczywiście uzgodniony,
• czy kontrahent jest tym, za kogo się podaje,
• czy rachunek do zapłaty jest prawidłowy,
• czy kwoty i warunki handlowe są zgodne z ustaleniami.

Sama obecność faktury w KSeF nie oznacza jeszcze, że każdy element transakcji jest bezpieczny z punktu widzenia płatności.

Dlaczego także faktura z KSeF nie daje pełnej ochrony

W erze KSeF część starych schematów stanie się trudniejsza, ale problem nie zniknie.

Oszust może dalej próbować:

• wysłać wiadomość o zmianie rachunku bankowego,
• wywołać presję na pilny przelew,
• przekonać pracownika, że trzeba zapłacić „według nowych danych”,
• wykorzystać nieuwagę przy fakturach wystawianych poza standardowym obiegiem,
• doprowadzić do zapłaty na podstawie błędnych danych w systemie firmy.

Dlatego w praktyce trzeba rozdzielić dwie rzeczy:

1. czy faktura istnieje i została poprawnie przyjęta przez KSeF,
2. czy pieniądze mają trafić na właściwy rachunek właściwego kontrahenta.

To nie jest to samo.

Studium przypadku

Scenariusz: firma regularnie współpracuje z dostawcą. Księgowość zna nazwę firmy i cykl płatności. Pracownik dostaje wiadomość, że „od dziś obowiązuje nowy numer rachunku”.

Do wiadomości dołączona jest faktura albo numer faktury, który wygląda wiarygodnie. Wszystko pasuje: nazwa kontrahenta, kwota, termin, styl wiadomości.

Pracownik nie wykonuje dodatkowego telefonu. Aktualizuje dane i zleca przelew.

Pieniądze trafiają do oszusta.

W takim przypadku problemem nie musi być sama faktura. Problemem jest brak właściwej procedury potwierdzenia zmiany danych do płatności.

Jak bronić firmę przed oszustwami fakturowymi

Poziom 1: Procedury, które muszą być obowiązkowe

Potwierdzenie zmiany rachunku drugim kanałem

Każda zmiana rachunku bankowego kontrahenta powinna być potwierdzona poza e-mailem, najlepiej telefonicznie, na numer znany wcześniej i zapisany w kartotece firmy.

Rozdzielenie obowiązków

Najbezpieczniej, gdy:

• jedna osoba wprowadza dane,
• druga je zatwierdza,
• trzecia autoryzuje płatność.

Powiązanie faktury z zamówieniem albo umową

Jeżeli nie ma zamówienia, umowy albo innego sensownego uzasadnienia kosztu, faktura powinna trafić do dodatkowej kontroli.

Poziom 2: Kontrole techniczne

Sprawdzanie rachunku bankowego

Dla polskich podatników warto sprawdzać rachunek na Białej Liście podatników VAT, gdy ma to zastosowanie.

Alert przy zmianie danych kontrahenta

System księgowy albo obieg dokumentów powinien sygnalizować:

• nowy numer rachunku,
• zmianę danych dostawcy,
• nietypowe warunki płatności.

Kontrola domen e-mail

Warto zwracać uwagę na domeny łudząco podobne do prawdziwych. Jedna litera różnicy często wystarczy, by wprowadzić pracownika w błąd.

Poziom 3: Dobre nawyki w firmie

Szkolenia pracowników

Księgowość, administracja i osoby zatwierdzające przelewy muszą znać typowe schematy oszustw.

Prawo do zatrzymania płatności

Pracownik powinien mieć jasny sygnał od firmy: lepiej wstrzymać podejrzaną płatność niż „dla świętego spokoju” ją puścić.

Brak wyjątków dla „pilnych spraw”

Im większa presja czasu, tym większa potrzeba dodatkowej weryfikacji.

Co robić po wykryciu oszustwa

Natychmiast

1. Skontaktuj się z bankiem.
2. Spróbuj wstrzymać albo cofnąć przelew.
3. Zabezpiecz wiadomości, załączniki i historię komunikacji.
4. Sprawdź, czy podobny schemat nie dotknął innych płatności.
5. Poinformuj osoby odpowiedzialne w firmie.

Następnie

1. Zgłoś sprawę organom ścigania.
2. Poinformuj prawdziwego kontrahenta.
3. Przeanalizuj, na którym etapie zawiodła procedura.
4. Wprowadź poprawki organizacyjne i techniczne.

Im szybciej firma reaguje, tym większa szansa na ograniczenie strat.

KSeF a bezpieczeństwo płatności – najważniejszy wniosek

KSeF pomaga uporządkować obieg faktur ustrukturyzowanych, ale nie jest systemem antyfraudowym dla przelewów.

Nie sprawdzi za księgową, czy mail o zmianie rachunku był prawdziwy. Nie zadzwoni do kontrahenta. Nie potwierdzi, że ktoś po drugiej stronie naprawdę zmienił konto do zapłaty.

Dlatego w erze KSeF nadal potrzebne są:

• twarde procedury,
• kontrola rachunku,
• potwierdzenie zmian drugim kanałem,
• zdrowa nieufność wobec „pilnych” próśb o przelew.

Statystyki i trendy

Oszustwa typu BEC i fraudy fakturowe należą do najpoważniejszych zagrożeń finansowych dla firm. W praktyce:

• bardzo często zaczynają się od e-maila,
• regularnie dotyczą podmiany rachunku bankowego,
• wykorzystują presję czasu i zaufanie do rutynowych procesów,
• powodują realne straty finansowe, także w zwykłych, małych firmach.

Cyfryzacja obiegu dokumentów pomaga, ale sama w sobie nie eliminuje ryzyka błędu człowieka i manipulacji.

Powiązane artykuły

• Jak sprawdzić czy faktura jest prawdziwa – kompletna procedura weryfikacji
• Zmiana numeru konta na fakturze – największe zagrożenie – jak bronić się przed payment diversion
• Czy faktura z KSeF może być fałszywa – granice bezpieczeństwa KSeF

FAQ

Czy mała firma też może być celem oszustwa na fakturę?

Tak. Małe firmy często mają mniej formalnych procedur, a to ułatwia atak.

Czy faktura w KSeF oznacza, że przelew jest bezpieczny?

Nie. KSeF potwierdza obieg faktury ustrukturyzowanej w systemie, ale nie zastępuje weryfikacji rachunku bankowego i samej decyzji o płatności.

Czy KSeF sprawdza poprawność każdej treści na fakturze?

Nie. KSeF sprawdza przede wszystkim zgodność pliku z wymaganą strukturą i uprawnienia do działania w systemie. To nie zwalnia firmy z kontroli biznesowej dokumentu.

Co zrobić, gdy dostaję informację o zmianie numeru konta?

Nie aktualizuj danych wyłącznie na podstawie e-maila. Potwierdź zmianę drugim kanałem, najlepiej telefonicznie, korzystając z numeru już wcześniej znanego firmie.

Czy procedura obowiązuje także wtedy, gdy o pilny przelew prosi prezes?

Tak. Właśnie wtedy jest najbardziej potrzebna.

Treść ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej ani podatkowej.