Zmiana numeru konta na fakturze – największe zagrożenie

Na czym polega oszustwo ze zmianą numeru konta?

Scenariusz jest prosty i niestety bardzo skuteczny.

Firma otrzymuje wiadomość e-mail, która wygląda jak korespondencja od stałego kontrahenta. W treści pojawia się informacja o zmianie rachunku bankowego i prośba o dokonanie płatności na nowy numer konta. Wiadomość jest przekonująca – poprawne logo, stopka, styl komunikacji, czasem nawet wcześniejszy wątek korespondencji.

Jeżeli dział księgowości nie zweryfikuje tej zmiany, przelew trafia na konto kontrolowane przez przestępców.

To klasyczny mechanizm znany globalnie jako Business Email Compromise (BEC) lub „oszustwo na zmianę rachunku”.

Dlaczego to działa?

Bo atak nie uderza w system informatyczny, tylko w człowieka i procedury.

Najczęstsze warianty:

• przejęcie skrzynki mailowej kontrahenta,
• podszycie się pod domenę (np. literówka w nazwie),
• przejęcie realnego wątku korespondencji i wstawienie informacji o „zmianie rachunku”,
• wysłanie fałszywej faktury z poprawnymi danymi firmy, ale zmienionym numerem konta.

W wielu organizacjach to jeden z najczęstszych scenariuszy oszustw płatniczych.

Czy KSeF rozwiązuje ten problem?

Nie.

KSeF zapewnia integralność i autentyczność faktury w systemie – dokument po nadaniu numeru KSeF nie może być edytowany; jedyna możliwa korekta to wystawienie osobnej faktury korygującej.

Ale:

• KSeF nie weryfikuje, czy rachunek bankowy faktycznie należy do wystawcy,
• KSeF nie analizuje historii zmian rachunków,
• KSeF nie ostrzega przed nietypową zmianą numeru konta.

Oznacza to, że nawet faktura prawidłowo wystawiona w KSeF może zawierać rachunek, który wcześniej został podmieniony w wyniku oszustwa na poziomie relacji biznesowej.

Jak szybko znikają pieniądze?

W praktyce środki często są rozpraszane bardzo szybko – czasem w ciągu kilku godzin od wpływu na rachunek.

Im później nastąpi reakcja (kontakt z bankiem, próba blokady środków), tym mniejsze szanse na odzyskanie pieniędzy. Nie ma jednej sztywnej reguły czasowej, ale liczy się natychmiastowe działanie.

Biała lista VAT – czy weryfikacja jest obowiązkowa?

W przypadku transakcji powyżej 15 000 zł brutto (wartość transakcji) zapłata na rachunek spoza wykazu podatników VAT (tzw. białej listy) może wiązać się z konsekwencjami podatkowymi, m.in.:

• ryzykiem odpowiedzialności solidarnej w VAT,
• ograniczeniami w zaliczeniu wydatku do kosztów podatkowych (w określonych sytuacjach).

Przepisy nie mówią wprost „musisz sprawdzić rachunek”, ale mechanizm sankcyjny powoduje, że w praktyce weryfikacja rachunku na białej liście jest standardem bezpieczeństwa. W razie zapłaty na rachunek spoza wykazu złożenie zawiadomienia ZAW-NR do urzędu skarbowego właściwego dla wystawcy faktury w terminie 3 dni od zlecenia przelewu może ograniczyć odpowiedzialność.

Warto jednak pamiętać: samo sprawdzenie rachunku na białej liście nie chroni przed każdym scenariuszem oszustwa, szczególnie jeśli przestępcy wykorzystują rachunek należący do realnego podmiotu.

Najczęstsze błędy firm

1. Brak procedury weryfikacji zmiany rachunku.
2. Weryfikacja telefoniczna na numer podany w podejrzanym e-mailu.
3. Brak podwójnej autoryzacji przy zmianie danych kontrahenta.
4. Brak monitorowania zmian danych w systemie ERP.
5. Brak logowania i alertów przy edycji rachunku bankowego.

Jak się zabezpieczyć?

1. Twarda procedura zmiany rachunku

Zmiana rachunku bankowego powinna wymagać:

• weryfikacji telefonicznej na numer zapisany wcześniej w systemie (nie z e-maila),
• potwierdzenia przez drugą osobę,
• odnotowania w systemie kto i kiedy zatwierdził zmianę.

2. Zasada dwóch par oczu

Każda zmiana danych płatniczych powinna wymagać co najmniej dwóch niezależnych akceptacji.

3. Alerty systemowe

System księgowy powinien:

• logować zmiany rachunków,
• generować alert przy pierwszej płatności na nowy rachunek,
• oznaczać nietypowe zmiany (np. zmiana po wielu latach współpracy).

4. Weryfikacja przed pierwszym przelewem

Jeżeli rachunek się zmienia, pierwsza płatność powinna być traktowana jako podwyższone ryzyko.

5. Sprawdzanie białej listy VAT

Przy płatnościach powyżej 15 000 zł brutto warto każdorazowo:

• sprawdzić rachunek w wykazie podatników VAT,
• zachować potwierdzenie weryfikacji (na potrzeby ewentualnej kontroli).

Podsumowanie

Zmiana numeru konta na fakturze to nie drobny incydent, tylko realne ryzyko utraty środków.

KSeF zwiększa bezpieczeństwo obiegu faktur, ale nie zastępuje procedur weryfikacji rachunku bankowego.

Największym zabezpieczeniem nie jest sam system, lecz:

• jasna procedura,
• podwójna autoryzacja,
• konsekwentna weryfikacja rachunku,
• szybka reakcja w razie podejrzenia oszustwa.

W praktyce to dyscyplina organizacyjna decyduje o tym, czy firma straci pieniądze – albo nie.

Powiązane artykuły

• Oszustwo na fakturę – jak działa i jak się bronić – mechanizmy BEC i obrona firmy
• Jak sprawdzić czy faktura jest prawdziwa – procedura weryfikacji przed płatnością
• Czy faktura z KSeF może być fałszywa – granice bezpieczeństwa KSeF
• Co KSeF sprawdza, a czego nie sprawdza – zakres walidacji technicznej

FAQ

Czy KSeF chroni przed oszustwem na zmianę rachunku?

Nie. KSeF gwarantuje integralność dokumentu w systemie (faktury nie można edytować po przyjęciu; ewentualna korekta to osobna faktura korygująca), ale nie weryfikuje, czy rachunek bankowy na fakturze należy do wystawcy ani czy nie został podmieniony. Weryfikacja rachunku należy do odbiorcy.

Co zrobić, gdy otrzymam e-mail o zmianie rachunku od kontrahenta?

Nie aktualizuj danych na podstawie samego e-maila. Skontaktuj się telefonicznie na numer zapisany wcześniej w kartotece (nie z wiadomości), potwierdź zmianę i dopiero wtedy wprowadź nowy rachunek przy zachowaniu podwójnej autoryzacji.

Czy sprawdzenie rachunku na białej liście VAT wystarczy?

Nie w każdym przypadku. Biała lista pomaga uniknąć konsekwencji podatkowych przy transakcjach powyżej 15 000 zł brutto, ale nie chroni przed oszustwem, w którym przestępcy wykorzystują rachunek prawdziwego podmiotu. Potrzebna jest też weryfikacja dwukanałowa zmiany rachunku. W razie zapłaty na rachunek spoza wykazu zawiadomienie ZAW-NR należy złożyć w ciągu 3 dni od zlecenia przelewu.

Jak szybko trzeba zareagować po błędnym przelewie?

Natychmiast. Skontaktuj się z bankiem w trybie pilnym; szanse na zablokowanie lub odzyskanie środków maleją z każdą godziną. Równolegle zabezpiecz dowody i zgłoś incydent wewnętrznie oraz organom ścigania.

Treść ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej ani podatkowej.