Jak zabezpieczyć firmę przed wyłudzeniami faktur

Wielowarstwowe podejście do bezpieczeństwa

Skuteczna ochrona przed wyłudzeniami faktur wymaga działań na trzech poziomach.

1. Procedury – jasne zasady weryfikacji i autoryzacji.
2. Technologia – systemy wspierające kontrolę.
3. Ludzie – świadomość i kultura bezpieczeństwa.

Żaden pojedynczy element nie wystarczy.

Najlepsze systemy IT nie pomogą, jeśli pracownicy nie wiedzą, jak rozpoznać oszustwo. Najlepsze szkolenia nie pomogą, jeśli brak procedur do stosowania.

Warto też pamiętać, że KSeF nie eliminuje wszystkich oszustw fakturowych. System zapewnia autentyczność faktury w sensie technicznym, ale nie gwarantuje, że sama transakcja gospodarcza była rzeczywista.

Poziom 1: Procedury organizacyjne

Rozdzielenie obowiązków (Segregation of Duties)

Zasada: Żadna pojedyncza osoba nie powinna mieć kontroli nad całym procesem od faktury do płatności.

Implementacja:

• Osoba A wprowadza fakturę do systemu.
• Osoba B zatwierdza merytorycznie (czy transakcja miała miejsce).
• Osoba C autoryzuje płatność.
• Osoba D (dla wysokich kwot) daje drugą autoryzację.

Dla małych firm:

Jeśli nie ma tylu osób, wprowadź przynajmniej zasadę „drugiej pary oczu” dla płatności powyżej ustalonego progu.

Procedura weryfikacji nowego kontrahenta

Przed pierwszą płatnością do nowego dostawcy wykonaj trzy kroki.

1. Weryfikacja rejestrowa

   • Sprawdzenie w KRS lub CEIDG.
   • Weryfikacja statusu podatnika VAT.
   • Potwierdzenie adresu i danych kontaktowych.

2. Weryfikacja biznesowa

   • Kto zamówił usługę lub towar?
   • Czy istnieje umowa lub zamówienie?
   • Czy osoba kontaktowa jest wiarygodna?

3. Weryfikacja płatnicza

   • Sprawdzenie rachunku na Białej Liście podatników VAT (tzw. Białej Liście VAT) prowadzonej przez Ministerstwo Finansów.
   • Testowy przelew na minimalną kwotę (opcjonalnie).
   • Potwierdzenie otrzymania od kontrahenta.

Procedura zmiany danych kontrahenta

Każda zmiana rachunku bankowego lub danych kontaktowych powinna przejść dodatkową weryfikację.

1. Potwierdzenie dwukanałowe

   • Informacja e-mailem.
   • Potwierdzenie telefoniczne.

   Telefon wykonuj na numer z kartoteki kontrahenta, a nie z wiadomości e-mail.

2. Oficjalny dokument

   • Pismo na papierze firmowym.
   • Podpis osoby upoważnionej.

3. Okres karencji

   • Zmiana nie jest aktywna natychmiast.
   • 48–72 godziny na weryfikację.

4. Dokumentacja

   • Kto wprowadził zmianę.
   • Kiedy została wykonana.
   • Na jakiej podstawie.

Limity autoryzacji

Ustal progi wymagające dodatkowej akceptacji.

Uwaga: Limity powinny być dopasowane do wielkości firmy i typowych wartości faktur.

Procedura awaryjnej płatności

Czasem płatność musi zostać wykonana bardzo szybko.

Procedura awaryjna powinna:

• umożliwiać szybką realizację uzasadnionych przypadków,
• nie omijać kluczowych kontroli,
• dokumentować odstępstwa,
• wymagać późniejszej weryfikacji.

Przykład:

Płatność awaryjna wymaga:

• ustnej zgody dwóch członków zarządu,
• pisemnego potwierdzenia w ciągu 24 godzin,
• weryfikacji rachunku na Białej Liście VAT.

Poziom 2: Rozwiązania technologiczne

Integracja z Białą Listą VAT

Automatyczna weryfikacja przy każdej płatności:

• system księgowy sprawdza rachunek przed realizacją przelewu,
• płatność może zostać zablokowana przy negatywnym wyniku,
• system zapisuje log weryfikacji dla celów audytowych.

Możliwe implementacje:

• API Ministerstwa Finansów,
• moduły w systemach ERP (np. SAP, Comarch, Sage),
• zewnętrzne usługi weryfikacyjne.

Alerty o anomaliach

System finansowy powinien generować ostrzeżenia w sytuacjach takich jak:

• nowy kontrahent – pierwsza faktura,
• zmiana rachunku bankowego,
• nietypowa kwota faktury,
• nietypowy termin płatności,
• nagła presja czasowa,
• duplikat faktury.

Ochrona poczty e-mail

Konfiguracja bezpieczeństwa powinna obejmować:

• SPF,
• DKIM,
• DMARC.

Dodatkowo warto stosować:

• oznaczanie wiadomości zewnętrznych,
• filtrowanie podejrzanych e-maili,
• blokowanie domen podobnych (typosquatting).

System workflow dla faktur

Elektroniczny obieg dokumentów powinien zapewniać:

• automatyczne przekazywanie faktur do odpowiednich osób,
• wymuszenie kroków weryfikacji,
• pełne logowanie działań,
• alerty o zaległościach.

Backup i odtwarzanie

Na wypadek ataku ransomware lub manipulacji danymi:

• regularne kopie zapasowe,
• testowane procedury odtwarzania,
• separacja kopii od głównych systemów.

Poziom 3: Ludzie i kultura

Program szkoleń

Szkolenie wstępne (onboarding):

• podstawy rozpoznawania oszustw,
• procedury firmy,
• ścieżka zgłaszania wątpliwości.

Szkolenia cykliczne (co 6–12 miesięcy):

• aktualne zagrożenia,
• analiza realnych przypadków,
• przypomnienie procedur.

Symulacje ataków:

• testowe e-maile phishingowe,
• symulacje zmiany rachunku bankowego,
• analiza reakcji pracowników.

Kultura bezpieczeństwa

Zasada „zatrzymaj i sprawdź”:

• nikt nie jest karany za wstrzymanie podejrzanej płatności,
• ostrożność jest nagradzana,
• każdy pracownik może zgłaszać wątpliwości.

Otwarta komunikacja:

• informowanie o próbach oszustwa,
• brak obwiniania ofiar,
• analiza incydentów i wyciąganie wniosków.

Odpowiedzialność na każdym poziomie

Pracownik operacyjny

• stosuje procedury,
• zgłasza wątpliwości,
• dokumentuje decyzje.

Kierownik

• egzekwuje procedury,
• reaguje na zgłoszenia,
• eskaluje nietypowe przypadki.

Zarząd

• zapewnia zasoby,
• ustanawia kulturę bezpieczeństwa,
• ponosi ostateczną odpowiedzialność.

Wdrożenie w praktyce

Faza 1: Audyt obecnego stanu (tydzień 1–2)

1. Inwentaryzacja procesów

   • jak dziś przepływają faktury,
   • kto dokonuje weryfikacji,
   • gdzie występują luki.

2. Analiza incydentów

   • czy były próby oszustwa,
   • jak zostały wykryte,
   • co zawiodło.

3. Ocena narzędzi

   • czy system księgowy wspiera kontrole,
   • czy istnieje integracja z Białą Listą VAT,
   • jakie alerty można skonfigurować.

Faza 2: Projektowanie rozwiązań (tydzień 3–4)

1. Opracowanie procedur

   • dopasowanie do specyfiki firmy,
   • konsultacja z zespołem,
   • zatwierdzenie przez zarząd.

2. Konfiguracja systemów

   • włączenie dostępnych kontroli,
   • integracja z Białą Listą VAT,
   • ustawienie alertów.

3. Przygotowanie szkoleń

   • materiały szkoleniowe,
   • harmonogram,
   • testy wiedzy.

Faza 3: Wdrożenie (tydzień 5–8)

1. Komunikacja zmiany

   • informacja dla pracowników,
   • wyjaśnienie przyczyn.

2. Szkolenia

   • szkolenia zespołów finansowych,
   • szkolenia ogólne.

3. Uruchomienie procedur

   • początkowo z dodatkowym nadzorem,
   • zbieranie feedbacku,
   • poprawa procesów.

Faza 4: Monitorowanie (ciągłe)

1. Metryki bezpieczeństwa

   • liczba zablokowanych płatności,
   • czas reakcji na alerty,
   • wyniki testów phishingowych.

2. Przeglądy okresowe

   • analiza incydentów,
   • aktualizacja procedur,
   • dostosowanie do nowych zagrożeń.

3. Audyty

   • wewnętrzne,
   • zewnętrzne.

Powiązane artykuły

• Jak sprawdzić czy faktura jest prawdziwa – procedura weryfikacji
• Oszustwo na fakturę – jak działa i jak się bronić – mechanizmy ataków

FAQ

Od czego zacząć w małej firmie?

Zacznij od trzech rzeczy.

1. Weryfikacja rachunków na Białej Liście VAT przed każdą płatnością.
2. Zasada drugiej pary oczu dla płatności powyżej ustalonego progu.
3. Procedura telefonicznego potwierdzenia zmiany rachunku.

Czy to spowolni płatności?

Początkowo może pojawić się niewielkie opóźnienie przy nowych kontrahentach. Przy stałych dostawcach i zautomatyzowanych kontrolach wpływ na tempo płatności jest minimalny.

Jak przekonać zarząd do inwestycji w bezpieczeństwo?

Pokaż cztery elementy.

1. Statystyki strat z oszustw fakturowych.
2. Przykłady realnych incydentów.
3. Kalkulację ROI.
4. Wymogi prawne związane z weryfikacją rachunków VAT.

Treść ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej ani podatkowej.