Zmiana numeru konta na fakturze – największe zagrożenie także w KSeF?

Na czym polega oszustwo ze zmianą numeru konta?

Scenariusz jest prosty i niestety bardzo skuteczny.

Firma otrzymuje wiadomość e-mail, która wygląda jak korespondencja od stałego kontrahenta. W treści pojawia się informacja o zmianie rachunku bankowego i prośba o dokonanie płatności na nowy numer konta. Wiadomość jest przekonująca — ma poprawne logo, stopkę, styl komunikacji, a czasem nawet wcześniejszy wątek korespondencji.

Jeżeli dział księgowości nie zweryfikuje tej zmiany, przelew trafia na konto kontrolowane przez przestępców.

To klasyczny mechanizm znany globalnie jako Business Email Compromise (BEC), czyli oszustwo oparte na podszyciu się pod firmę lub przejęciu komunikacji biznesowej.

Dlaczego to działa?

Bo atak nie uderza głównie w system informatyczny, tylko w człowieka i procedury.

Najczęstsze warianty to:

• przejęcie skrzynki mailowej kontrahenta,
• podszycie się pod domenę, na przykład przez drobną literówkę w adresie,
• przejęcie prawdziwego wątku korespondencji i dopisanie informacji o zmianie rachunku,
• wysłanie fałszywej faktury z poprawnymi danymi firmy, ale zmienionym numerem konta.

W wielu organizacjach to jeden z najczęstszych scenariuszy oszustw płatniczych.

Czy KSeF rozwiązuje ten problem?

Nie.

KSeF poprawia bezpieczeństwo obiegu faktur, ale nie zastępuje kontroli płatności.

Po przyjęciu faktury do KSeF nie można już jej edytować. Jeżeli zawiera błąd, trzeba wystawić fakturę korygującą. To ważna ochrona integralności dokumentu.

Trzeba jednak pamiętać, że KSeF nie służy do potwierdzania, czy rachunek bankowy na fakturze rzeczywiście należy do sprzedawcy. System nie jest też narzędziem do wykrywania nietypowych zmian rachunku ani do oceny, czy dana płatność jest podejrzana.

W praktyce oznacza to, że nawet faktura prawidłowo przyjęta przez KSeF może zawierać numer rachunku, na który nie powinno się płacić bez dodatkowej weryfikacji.

Warto odróżnić ten scenariusz od sytuacji, w której rachunku nie ma na fakturze wcale. Sam brak numeru konta nie musi jeszcze oznaczać błędu dokumentu, ale wymaga osobnego ustalenia danych do płatności. Szerzej opisuję to w artykule Brak numeru konta na fakturze KSeF – czy to błąd?.

Co KSeF faktycznie sprawdza, a czego nie sprawdza?

To ważne rozróżnienie.

KSeF sprawdza przede wszystkim, czy faktura została przesłana w poprawnej strukturze i czy może zostać technicznie przyjęta do systemu.

Nie oznacza to jednak, że system potwierdza biznesową poprawność wszystkich danych na fakturze.

W praktyce KSeF nie daje gwarancji, że:

• rachunek bankowy należy do właściwego podmiotu,
• dane kontrahenta są poprawne w sensie biznesowym,
• kwoty zostały policzone prawidłowo,
• zmiana rachunku jest normalna i bezpieczna.

Dlatego przy płatności sama obecność faktury w KSeF nie powinna kończyć procesu weryfikacji.

Jak szybko znikają pieniądze?

W praktyce środki często są rozpraszane bardzo szybko — czasem w ciągu kilku godzin od wpływu na rachunek.

Im później nastąpi reakcja, tym mniejsze są szanse na odzyskanie pieniędzy. Dlatego przy podejrzeniu oszustwa trzeba działać natychmiast: skontaktować się z bankiem, zabezpieczyć dowody i uruchomić procedury wewnętrzne.

Nie ma jednej sztywnej granicy czasowej, ale w takich sytuacjach liczy się każda godzina.

Biała lista VAT – czy weryfikacja jest obowiązkowa?

Przy transakcjach o wartości powyżej 15 000 zł brutto zapłata na rachunek spoza wykazu podatników VAT, czyli tzw. białej listy, może powodować negatywne skutki podatkowe.

W praktyce chodzi przede wszystkim o:

• ryzyko odpowiedzialności solidarnej w VAT,
• ryzyko problemów z zaliczeniem wydatku do kosztów uzyskania przychodu w PIT lub CIT.

Przepisy nie formułują tego jako prostego nakazu pod tytułem „zawsze sprawdź rachunek”, ale mechanizm sankcji sprawia, że weryfikacja rachunku na białej liście jest standardem bezpieczeństwa.

Jeżeli zapłata została zlecona na rachunek spoza wykazu, złożenie zawiadomienia ZAW-NR w terminie 7 dni od daty zlecenia przelewu może ograniczyć negatywne skutki. Zawiadomienie składa się do urzędu skarbowego właściwego dla podmiotu, który dokonał zapłaty.

Warto jednak pamiętać o jednej rzeczy: samo sprawdzenie rachunku na białej liście nie chroni przed każdym scenariuszem oszustwa. Jeżeli przestępcy doprowadzą do zapłaty na rachunek należący do innego realnego podmiotu, sama kontrola wykazu może nie wystarczyć.

Najczęstsze błędy firm

1. Brak procedury weryfikacji zmiany rachunku.
2. Weryfikacja telefoniczna na numer podany w podejrzanym e-mailu.
3. Brak podwójnej autoryzacji przy zmianie danych kontrahenta.
4. Brak monitorowania zmian danych w systemie ERP.
5. Brak logowania i alertów przy edycji rachunku bankowego.

Jak się zabezpieczyć?

1. Twarda procedura zmiany rachunku

Zmiana rachunku bankowego powinna wymagać:

• weryfikacji telefonicznej na numer zapisany wcześniej w systemie, a nie na numer z e-maila,
• potwierdzenia przez drugą osobę,
• odnotowania w systemie, kto i kiedy zatwierdził zmianę.

2. Zasada dwóch par oczu

Każda zmiana danych płatniczych powinna wymagać co najmniej dwóch niezależnych akceptacji.

3. Alerty systemowe

System księgowy powinien:

• logować zmiany rachunków,
• generować alert przy pierwszej płatności na nowy rachunek,
• oznaczać nietypowe zmiany, na przykład po wielu latach współpracy.

4. Weryfikacja przed pierwszym przelewem

Jeżeli rachunek się zmienia, pierwsza płatność powinna być traktowana jako sytuacja podwyższonego ryzyka.

5. Sprawdzanie białej listy VAT

Przy płatnościach powyżej 15 000 zł brutto warto każdorazowo:

• sprawdzić rachunek w wykazie podatników VAT,
• zachować potwierdzenie weryfikacji na potrzeby ewentualnej kontroli.

6. Rozdzielenie weryfikacji faktury od weryfikacji płatności

To bardzo ważne.

Można mieć prawdziwą fakturę i jednocześnie błędny albo ryzykowny rachunek do zapłaty. Dlatego proces powinien obejmować dwa osobne pytania:

• czy faktura jest autentyczna i poprawna,
• czy płatność ma trafić na właściwy rachunek.

Podsumowanie

Zmiana numeru konta na fakturze to nie drobny incydent, tylko realne ryzyko utraty pieniędzy.

KSeF zwiększa bezpieczeństwo obiegu faktur, ale nie zastępuje procedur weryfikacji rachunku bankowego przed przelewem.

Największym zabezpieczeniem nie jest sam system, lecz:

• jasna procedura,
• podwójna autoryzacja,
• konsekwentna weryfikacja rachunku,
• szybka reakcja w razie podejrzenia oszustwa.

W praktyce to dyscyplina organizacyjna często decyduje o tym, czy firma straci pieniądze.

Powiązane artykuły

• Oszustwo na fakturę – jak działa i jak się bronić – mechanizmy BEC i obrona firmy
• Jak sprawdzić czy faktura jest prawdziwa – procedura weryfikacji przed płatnością
• Czy faktura z KSeF może być fałszywa – granice bezpieczeństwa KSeF
• Co KSeF sprawdza, a czego nie sprawdza – zakres walidacji technicznej
• Brak numeru konta na fakturze KSeF – czy to błąd? – jak odróżnić brak rachunku od ryzyka oszustwa

FAQ

Czy KSeF chroni przed oszustwem na zmianę rachunku?

Nie. KSeF chroni integralność faktury po jej przyjęciu do systemu, ale nie potwierdza, że rachunek bankowy na fakturze należy do sprzedawcy. Weryfikacja rachunku przed płatnością nadal należy do odbiorcy faktury.

Co zrobić, gdy otrzymam e-mail o zmianie rachunku od kontrahenta?

Nie aktualizuj danych wyłącznie na podstawie e-maila. Skontaktuj się z kontrahentem innym kanałem, najlepiej na numer telefonu zapisany wcześniej w kartotece, potwierdź zmianę i dopiero wtedy wprowadź nowy rachunek zgodnie z procedurą i zasadą podwójnej autoryzacji.

Czy sprawdzenie rachunku na białej liście VAT wystarczy?

Nie zawsze. Biała lista jest ważnym elementem kontroli, ale nie daje pełnej ochrony przed każdym oszustwem. Nadal potrzebna jest niezależna weryfikacja zmiany rachunku. W razie zapłaty na rachunek spoza wykazu zawiadomienie ZAW-NR składa się w ciągu 7 dni od daty zlecenia przelewu.

Jak szybko trzeba zareagować po błędnym przelewie?

Natychmiast. Trzeba pilnie skontaktować się z bankiem, zabezpieczyć dowody i uruchomić procedury wewnętrzne. Im szybsza reakcja, tym większa szansa na zablokowanie albo odzyskanie środków.

Treść ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej ani podatkowej.