Przestępstwo to określane jest jako fraud BEC (Business Email Compromise), czyli oszustwo „na zmianę rachunku bankowego”. Przypadki fraudów BEC należą do najtrudniejszych w wykryciu, ponieważ wykorzystują one legalne procesy biznesowe oraz rutynę pracowników.

Mechanizm działania oszustów

Pierwszym etapem działania przestępców jest przechwycenie korespondencji pomiędzy kontrahentem a klientem, najczęściej poprzez uzyskanie nieautoryzowanego dostępu do skrzynki email. Pozwala to oszustom na analizę stylu komunikacji, treści umów, terminów płatności oraz danych osób decyzyjnych. Następnie przesyłana jest wiadomość zawierająca informację o rzekomej zmianie numeru rachunku bankowego, często uzasadniona zamknięciem dotychczasowego konta, audytem lub reorganizacją struktur finansowych.

Przedsiębiorca, przekonany o autentyczności korespondencji i działając w zaufaniu do wieloletniego kontrahenta, realizuje przelew na wskazany rachunek, co skutkuje bezpośrednią stratą finansową.

Trump odwołuje cła na Europę i ogłasza porozumienie ws. Grenlandii. Jest reakcja Wall Street
Trump odwołuje cła na Europę i ogłasza porozumienie ws. Grenlandii. Jest reakcja Wall Street

Zobacz również

Weryfikacja rachunku a ograniczenia systemowe

W przypadku przelewów krajowych możliwa jest weryfikacja numeru rachunku bankowego kontrahenta w wykazie podatników VAT (tzw. Biała lista VAT). Poważne ograniczenia pojawiają się w sytuacji, gdy kontrahent jest podmiotem zagranicznym – brak analogicznego rejestru uniemożliwia formalną weryfikację rachunku, co znacząco zwiększa podatność na oszustwo.

To właśnie transakcje międzynarodowe, realizowane pod presją czasu lub w ramach zamknięcia okresów rozliczeniowych, generują największe ryzyko finansowe. W przypadku zrealizowania takiej transakcji odzyskanie środków jest wyjątkowo trudne, szczególnie gdy środki zostaną szybko przetransferowane poza Unię Europejską.

Jak skutecznie ograniczyć ryzyko fraudów BEC?

Ochrona przed oszustwem „na zmianę rachunku” powinna opierać się na połączeniu procedur organizacyjnych, kontroli wewnętrznych oraz świadomości pracowników.

  1. Procedury weryfikacji zmian rachunków bankowych
  2. Nigdy nie należy realizować płatności na nowy rachunek bankowy wyłącznie na podstawie informacji otrzymanej drogą mailową,
  3. Każda zmiana numeru rachunku powinna zostać potwierdzona innym, niezależnym kanałem komunikacji, np. telefonicznie, przy wykorzystaniu numeru telefonu pochodzącego z wcześniej zweryfikowanego źródła.
  4. Cyberbezpieczeństwo jako element kontroli finansowej
  5. Stosowanie dwuskładnikowego uwierzytelniania do poczty elektronicznej i systemów finansowo-księgowych,
  6. Regularne aktualizowanie oprogramowania oraz systemów zabezpieczeń,
  7. Cykliczne szkolenia pracowników z zakresu phishingu, socjotechniki oraz aktualnych schematów oszustw finansowych.
  8. Identyfikacja sygnałów ostrzegawczych
  9. Nagła zmiana rachunku bankowego bez wcześniejszych ustaleń umownych,
  10. Presja na szybką płatność,
  11. Nieznaczne zmiany w adresie email nadawcy (np. literówki, dodatkowe znaki w domenie),
  12. Rachunek bankowy prowadzony w kraju, w którym kontrahent faktycznie nie prowadzi działalności operacyjnej
  13. Dodatkowe zabezpieczenia przy płatnościach zagranicznych
  14. Ze względu na brak możliwości weryfikacji kontrahentów zagranicznych w białej liście VAT, kluczowe znaczenie ma stosowanie formalnej procedury telefonicznego potwierdzania każdej zmiany rachunku bankowego,
  15. W przypadku transakcji o istotnej wartości zasadne jest rozważenie wykorzystania mechanizmów escrow (rachunek powierniczy), które ograniczają ryzyko nieautoryzowanego przejęcia środków,
  16. Utrzymywanie aktualnej listy zweryfikowanych rachunków bankowych kontrahentów pozwala na szybkie wykrycie nieautoryzowanych zmian i uruchomienie procedur kontrolnych.

Zasada ograniczonego zaufania, wspierana mechanizmami kontrolnymi

Fraud BEC jest jedną z najbardziej niebezpiecznych form oszustw finansowych, ponieważ bazuje na zaufaniu, rutynie oraz pozornie prawidłowych procesach biznesowych. Doświadczenia MDDP Outsourcing pokazują, że skuteczna ochrona przed tego typu przestępstwami wymaga systemowego podejścia, łączącego procedury, technologię oraz odpowiedzialność organizacyjną. Zasada ograniczonego zaufania, wsparta formalnymi mechanizmami kontrolnymi, może uchronić przedsiębiorstwo przed stratami sięgającymi setek tysięcy złotych.