Kto powinien zatwierdzać zmianę rachunku?

Osoba inna niż wykonująca przelew – zasada czterech oczu.

Kontrahent twierdzi, że nie wysyłał zmiany rachunku?

Nie przelewaj na nowy rachunek. Sprawdź przejęcie skrzynki, zgłoś incydent, weryfikuj każdą zmianę osobnym kanałem.

Zmiana numeru rachunku bankowego – kiedy to prawie zawsze scam?

Zmiana numeru rachunku do przelewu to jeden z najczęstszych elementów oszustw fakturowych. Oszust przejmuje lub podszywa się pod korespondencję i podaje swój rachunek. W artykule: schemat ataku, jak go rozpoznać i procedura weryfikacji (telefon + druga osoba) oraz polityka firmy.

Co musisz wiedzieć

Atak polega na tym, że ofiara otrzymuje wiadomość (często wyglądającą na od kontrahenta) z "aktualizacją" danych do płatności. Faktura może być prawdziwa, ale numer rachunku należy do oszustów. Przelew trafia na ich konto, a prawdziwy kontrahent nie dostaje zapłaty.

Instrukcja krok po kroku

1. Otrzymanie informacji o zmianie rachunku

Nie wykonuj przelewu na podstawie samego e-maila lub załącznika. Każda zmiana rachunku musi być zweryfikowana osobnym kanałem.

2. Potwierdzenie telefoniczne na znany numer

Zadzwoń do kontrahenta na numer znany z umowy, strony www lub wcześniejszej korespondencji (nie na numer z wiadomości o zmianie). Potwierdź nowy rachunek i ewentualnie dane osoby upoważnionej.

3. Zatwierdzenie przez drugą osobę

Wprowadź zasadę, że zmiana danych do płatności wymaga potwierdzenia przez inną osobę w firmie (np. drugi członek zarządu, księgowa). Zmniejsza to ryzyko błędu i manipulacji.

4. Aktualizacja w systemie po weryfikacji

Dopiero po pozytywnej weryfikacji zaktualizuj dane kontrahenta w systemie i wykonaj przelew. Udokumentuj, kiedy i jak potwierdzono zmianę.

Najczęstszy schemat ataku

Oszust zdobywa dostęp do skrzynki mailowej (księgowości, prezesa lub pracownika z uprawnieniami) lub podszywa się pod kontrahenta (fałszywa domena, przejęty e-mail). W odpowiednim momencie (np. przed terminem płatności) wysyła wiadomość z "korektą" lub "aktualizacją" numeru rachunku. Ofiara przelewa na konto oszustów.

Jak dochodzi do przejęcia komunikacji mailowej

Typowe wejście to phishing – kliknięcie w link lub załącznik, podanie danych logowania na fałszywej stronie. Po przejęciu skrzynki oszust może czytać korespondencję, znać terminy płatności i wysyłać wiadomości jako "kontrahent" lub z wewnętrznego adresu firmy.

Dlaczego atak jest skuteczny

Faktura w KSeF jest prawdziwa, więc pierwsza weryfikacja (czy faktura istnieje) wypada OK. Presja czasu ("pilna płatność") i przyzwyczajenie do maili od kontrahenta powodują, że wiele osób nie sięga po telefon, żeby potwierdzić nowy rachunek. Jedna przejęta skrzynka może oznaczać wiele przelewów na fałszywe konto.

Wewnętrzna polityka firmy dotycząca zmian danych

Wprowadź jasną procedurę: każda zmiana numeru rachunku lub innych danych do płatności wymaga (1) potwierdzenia telefonicznego na znany numer, (2) zatwierdzenia przez drugą osobę, (3) zapisu w dokumentacji. Nie akceptuj zmian wyłącznie na podstawie e-maila. Ogranicz to, kto może aktualizować dane kontrahentów w systemie.

FAQ

Czy mogę zmienić rachunek kontrahenta na podstawie e-maila?

Nie. Zawsze potwierdź zmianę telefonicznie (na numer znany z umowy lub oficjalnej strony) lub osobiście. E-mail może pochodzić od oszusta.

Kto w firmie powinien zatwierdzać zmianę rachunku?

Osoba inna niż ta, która wykonuje przelew – np. drugi członek zarządu, kierownik finansów. Zasada "czterech oczu" ogranicza ryzyko błędu i oszustwa.

Kontrahent twierdzi, że nigdy nie wysyłał zmiany rachunku. Co robić?

Nie wykonuj przelewu na "nowy" rachunek. Sprawdź, czy wasza lub ich skrzynka nie została przejęta. Zgłoś incydent (np. do banku, CERT Polska) i weryfikuj w przyszłości każdą zmianę osobnym kanałem.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.