Dlaczego po sprawdzeniu w KSeF można stracić pieniądze?

Bo oszustwo może dotyczyć komunikacji wokół faktury, na przykład e-maila z podmienionym rachunkiem. Sama faktura może być prawdziwa, ale przelew może trafić do oszustów.

Co robić oprócz sprawdzenia w KSeF?

Trzeba sprawdzić kontrahenta, rachunek do zapłaty, sens transakcji oraz potwierdzać zmiany danych niezależnym kanałem. Przy większych kwotach warto stosować zasadę drugiej akceptacji.

Numer KSeF a realne bezpieczeństwo – co on gwarantuje, a czego nie?

Q: Czy faktura z numerem KSeF jest zawsze bezpieczna do zapłaty?

Nie. Numer KSeF potwierdza przyjęcie faktury do systemu i nadanie jej identyfikatora. Nie gwarantuje jednak, że rachunek do zapłaty jest prawidłowy ani że transakcja była realna.

Numer KSeF potwierdza, że faktura została przyjęta do Krajowego Systemu e-Faktur i otrzymała swój unikalny identyfikator. To ważna gwarancja techniczna, ale nie gwarancja bezpieczeństwa samej płatności. Nie chroni automatycznie przed oszustwem, podmienionym rachunkiem ani fikcyjną transakcją.

Co musisz wiedzieć

Sprawdzenie, czy faktura istnieje w KSeF i czy zgadzają się jej dane, to ważny krok. Nie zastępuje jednak weryfikacji kontrahenta, numeru rachunku i sensu samej transakcji. Możliwa jest sytuacja, w której faktura w KSeF jest prawdziwa, ale ktoś w e-mailu poda inny rachunek do zapłaty albo podszyje się pod kontrahenta. Sam numer KSeF nie blokuje takiego oszustwa.

Techniczne znaczenie numeru KSeF

Numer KSeF to unikalny numer, który jednoznacznie identyfikuje fakturę w systemie. Jest nadawany automatycznie po wysłaniu e-faktury i jej przyjęciu do KSeF. Sam numer KSeF oznacza więc, że dokument został przyjęty przez system i można go w nim odszukać. Trzeba jednak odróżnić dwie rzeczy: identyfikację faktury w KSeF od oceny, czy transakcja była zasadna biznesowo. KSeF potwierdza przyjęcie dokumentu do systemu, ale nie daje automatycznej gwarancji, że zakup był realny, potrzebny i bezpieczny z punktu widzenia płatności.

Co KSeF faktycznie sprawdza

KSeF sprawdza m.in. uprawnienia do działania w systemie oraz zgodność przesłanego pliku ze strukturą logiczną faktury ustrukturyzowanej. To ważna kontrola techniczna. Nie oznacza jednak pełnej kontroli biznesowej. W materiałach szkoleniowych MF wprost wskazano, że system nie weryfikuje wartości rachunkowych ani danych kontrahenta. Dlatego sama obecność faktury w KSeF nie wystarcza, by uznać płatność za bezpieczną.

Mit „numer KSeF = 100% bezpieczeństwa”

To zbyt daleko idące uproszczenie. Faktura z KSeF jest fakturą przyjętą przez system i oznaczoną unikalnym numerem. To zwiększa pewność co do samego obiegu dokumentu. Nie daje jednak stuprocentowego bezpieczeństwa płatności. Nadal trzeba sprawdzić, komu płacisz, na jaki rachunek, czy transakcja naprawdę miała miejsce i czy zmiana danych do płatności została potwierdzona w wiarygodny sposób.

Ryzyko manipulacji komunikacją

Typowy scenariusz oszustwa wygląda tak: firma dostaje wiadomość z „aktualizacją” numeru rachunku albo z „poprawioną” fakturą. Sama faktura może być prawdziwa i rzeczywiście znajdować się w KSeF. Problem dotyczy nie rejestru KSeF, lecz kanału komunikacji, na przykład e-maila lub załącznika PDF. Jeżeli pracownik przepisze rachunek z wiadomości zamiast zweryfikować go niezależnie, pieniądze mogą trafić do oszustów. Dlatego zmianę rachunku trzeba potwierdzać osobnym kanałem, najlepiej telefonem na znany wcześniej numer.

Konieczność analizy biznesowej

Po sprawdzeniu faktury w KSeF warto przejść do analizy biznesowej. Trzeba odpowiedzieć sobie na kilka prostych pytań: czy znamy kontrahenta, czy była umowa lub zamówienie, czy towar albo usługa rzeczywiście zostały zamówione, czy rachunek jest zgodny z wcześniejszymi ustaleniami i czy ewentualna zmiana została potwierdzona. Przydatne są tu zwykłe procedury bezpieczeństwa: sprawdzenie NIP i rachunku, weryfikacja na białej liście VAT, zasada czterech oczu przy większych kwotach i potwierdzenie zmian poza e-mailem.

Przykłady scenariuszy nadużyć

Przykład 1: prawdziwa faktura z KSeF, ale w e-mailu podany jest inny rachunek niż ten uzgodniony z kontrahentem. Przykład 2: ktoś uzyskuje nieuprawniony dostęp do narzędzi lub uprawnień używanych do pracy z KSeF i wystawia dokument w cudzym imieniu. Przykład 3: do firmy trafia faktura za usługę, której nikt nie zamawiał, a pracownik płaci „dla świętego spokoju”, bo dokument wygląda formalnie poprawnie. W każdym z tych przypadków sam numer KSeF nie rozwiązuje problemu. Potrzebna jest jeszcze kontrola biznesowa i organizacyjna.

FAQ

Czy faktura z numerem KSeF jest zawsze bezpieczna do zapłaty?

Nie. Numer KSeF potwierdza, że faktura została przyjęta do systemu i ma swój identyfikator. Nie gwarantuje jednak, że rachunek do zapłaty jest prawidłowy ani że transakcja była realna. Przed zapłatą trzeba osobno sprawdzić rachunek, kontrahenta i okoliczności transakcji.

Dlaczego po sprawdzeniu w KSeF nadal można stracić pieniądze?

Bo oszustwo może dotyczyć nie samej faktury w KSeF, lecz komunikacji wokół niej. Przykładowo: ktoś wyśle e-mail z podmienionym rachunkiem albo podszyje się pod kontrahenta. Faktura może być prawdziwa, ale przelew trafi na złe konto.

Co powinienem robić oprócz sprawdzenia faktury w KSeF?

Sprawdź kontrahenta, numer rachunku i sens transakcji. Przy zmianie rachunku potwierdź ją telefonicznie na znany numer. Przy większych kwotach wprowadź zasadę drugiej akceptacji. Dobrą praktyką jest też sprawdzenie rachunku na białej liście VAT.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.