Od jakiej kwoty wymagać drugiej osoby?

Od kwoty, której utrata byłaby dotkliwa dla firmy. Próg warto ustalić wewnętrznie i stosować go konsekwentnie.

Dlaczego małe firmy częściej padają ofiarą oszustw fakturowych?

Q: Czy w jednoosobowej firmie można wdrożyć cztery oczy?

Tak. Drugą osobą może być wspólnik, zewnętrzna księgowa albo inna zaufana osoba upoważniona do potwierdzania płatności przy wyższych kwotach.

Q: Czy MFA w mikrofirmie jest trudne?

Nie. Większość dostawców usług pozwala włączyć MFA w ustawieniach konta. Najlepiej użyć aplikacji uwierzytelniającej albo klucza sprzętowego.

Małe i mikrofirmy częściej stają się celem oszustów fakturowych. Powód zwykle nie jest jeden: brak prostych procedur, jedna osoba obsługująca płatności i słabsze zabezpieczenia kont oraz poczty. W artykule pokazujemy, skąd bierze się to ryzyko i jaki minimalny zestaw zabezpieczeń warto wdrożyć.

Co musisz wiedzieć

Oszust wybiera miejsce, w którym łatwiej o szybki przelew bez spokojnej weryfikacji. W małych firmach często jedna osoba odbiera wiadomości, sprawdza faktury i zleca płatności. Gdy brakuje prostych zasad, łatwiej o błąd albo manipulację.

Nawet jeśli firma korzysta z KSeF, przed zapłatą nadal warto sprawdzić kontrahenta i rachunek do przelewu. KSeF porządkuje obieg faktur, ale nie zastępuje zdrowej kontroli płatności.

Brak formalnych procedur

Jeśli w firmie nie ma spisanej procedury, decyzje zapadają pod presją chwili. Nie wiadomo wtedy jasno, kiedy trzeba sprawdzić kontrahenta, kiedy potwierdzić zmianę rachunku i kto ma zatwierdzić płatność. To właśnie taki chaos wykorzystują oszuści. Wystarczy nawet krótka procedura, na przykład: "każdą zmianę rachunku potwierdzamy telefonicznie na wcześniej znany numer" oraz "płatności powyżej ustalonej kwoty wymagają dodatkowej akceptacji".

Jednoosobowa decyzyjność

Gdy jedna osoba jednocześnie odbiera e-maile, sprawdza dokumenty i wykonuje przelewy, nikt nie wychwytuje pomyłek ani prób manipulacji. Dla oszusta to wygodna sytuacja, bo musi przekonać tylko jedną osobę. W małej firmie nie zawsze da się rozdzielić role, ale można wprowadzić prostą zasadę: przy większych kwotach albo zmianie rachunku potrzebne jest dodatkowe potwierdzenie przez wspólnika, biuro rachunkowe albo inną upoważnioną osobę.

Brak zasady "czterech oczu"

Zasada czterech oczu polega na tym, że ważna dyspozycja finansowa jest sprawdzana przez drugą osobę przed wykonaniem przelewu. Chodzi szczególnie o wysokie kwoty, nowy rachunek albo nietypową "pilną" prośbę. W małej firmie drugą osobą nie musi być pracownik etatowy. Może to być wspólnik, właściciel, zewnętrzna księgowa lub inna zaufana osoba upoważniona do takiej kontroli. Taka dodatkowa weryfikacja ogranicza zarówno ryzyko oszustwa, jak i zwykłej pomyłki.

Ograniczone zabezpieczenia IT

Słabe hasła, brak uwierzytelniania wieloskładnikowego (MFA) i niski poziom ostrożności wobec phishingu ułatwiają przejęcie skrzynki e-mail lub kont firmowych. Po przejęciu poczty oszust może wysłać wiarygodnie wyglądającą wiadomość o "zmianie numeru rachunku" albo "pilnej płatności". Minimum bezpieczeństwa to: unikalne hasła przechowywane w menedżerze haseł, MFA na poczcie i w systemach finansowych oraz ostrożność wobec linków i załączników. Najbezpieczniej logować się przez ręcznie wpisany adres strony lub oficjalną aplikację, a nie przez link z wiadomości.

Minimalny zestaw zabezpieczeń dla mikrofirm

W praktyce wystarczy kilka prostych zasad. Po pierwsze: każdą zmianę numeru rachunku potwierdzaj telefonicznie na wcześniej znany numer, a nie na numer podany w e-mailu. Po drugie: przy płatnościach powyżej ustalonego progu wprowadź dodatkową akceptację drugiej osoby. Po trzecie: włącz MFA na skrzynce e-mail i wszędzie tam, gdzie są dane finansowe lub dostęp do bankowości. Po czwarte: nie wykonuj "pilnego" przelewu bez weryfikacji, nawet jeśli wiadomość wygląda wiarygodnie. Po piąte: przy nowym kontrahencie albo zmianie rachunku sprawdź NIP i numer rachunku w wykazie podatników VAT, czyli na tzw. białej liście VAT. To są działania tanie, proste i realnie zmniejszają ryzyko.

FAQ

Czy w jednoosobowej firmie można wdrożyć zasadę czterech oczu?

Tak. Druga osoba nie musi być pracownikiem etatowym. Może to być wspólnik, właściciel współpracującej firmy, zewnętrzna księgowa albo inna zaufana osoba upoważniona do potwierdzania płatności lub zmiany rachunku przy wyższych kwotach.

Od jakiej kwoty warto wymagać drugiej osoby?

Nie ma jednej ustawowej kwoty. Próg warto ustalić tak, by jego przekroczenie oznaczało już odczuwalne ryzyko dla firmy. Dla części mikrofirm będzie to 5 tys. zł, dla innych 10 tys. zł albo więcej. Najważniejsze, żeby zasada była jasna i stosowana konsekwentnie.

Czy MFA w mikrofirmie jest trudne do wdrożenia?

Nie. Większość dostawców poczty i usług chmurowych pozwala włączyć MFA w ustawieniach konta. Najlepiej używać aplikacji uwierzytelniającej albo klucza sprzętowego. SMS też bywa dostępny i jest lepszy niż brak MFA, ale zwykle daje słabszą ochronę niż aplikacja.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.