Większość firm nie zdaje sobie sprawy z niebezpieczeństwa wyłudzeń ani nawet z tego, że już padły ich ofiarą. Sektor finansowy ma skuteczne zabezpieczenia, ale przedsiębiorstwa, nawet małe, powinny zająć się ich tworzeniem – mówi Michał Czuma, prezes G+C Kancelaria Doradców Biznesowych.

ObserwatorFinansowy.pl: Jak można oszacować skalę wyłudzeń w Polsce?

Michał Czuma: Ostatnie badania pokazują, że ok. 78 proc. firm nie ma świadomości, że dzieją się wokół nich (lub nawet wewnątrz ich organizacji) zjawiska związane z fraudami. Uważam, że podawany w wielu badaniach odsetek wyłudzeń jest niedoszacowany.

Skąd przestępcy wyłudzają najwięcej pieniędzy? Z banków?

Sektor finansowy, szczególnie firmy pożyczkowe, ubezpieczeniowe, banki, jest dzisiaj naprawdę dobrze zabezpieczony. Wdrażają lub będą wdrażać systemy zarządzania ryzykiem fraudów, mają zespoły analityczne zajmujące się sprawdzaniem, kim jest klient, skąd pochodzi, czy nie ma ukrytych intencji. Cała reszta firm spoza branży finansowej jest słabo lub w ogóle nie jest chroniona. Zabezpieczenia są iluzoryczne i czytelne dla oszustów. Firmy przez to ponoszą bardzo duże ryzyko. Oczywiście celem pierwszorzędnym oszustów są te firmy, które można okraść łatwo i na duże kwoty. Najbliższym celem zawsze jest firma rozpoznana przez oszustów jako najsłabiej zabezpieczona.

Reklama

Firmy nie mają nawet świadomości tego, co im zagraża?

Najczęściej świadomość o tym, że są narażeni na fraudy, pojawia się dopiero wtedy, gdy dochodzi do strat w ich wyniku. To jest niepokojące zjawisko. Niestety straty są coraz większe.

Kto okrada firmy?

Może to być każdy – pracownik, kontrahent lub klient. Za nim mogą stać zorganizowane grupy przestępcze. O ile zagrożenie zewnętrzne, spoza struktury korporacji, bywa uwzględniane w niektórych zabezpieczeniach, o tyle w przypadku pracowników już tak nie jest. Często firmy okradane są i przez nieuczciwych pracowników czy menedżerów, i przez oszustów zewnętrznych.

Kim są te zorganizowane grupy?

W zależności od branży i typu oszustwa są to małe grupki lub nawet całe stworzone do wyłudzeń korporacje. Zwykle struktura takiej grupy wygląda następująco: jedna lub dwie osoby, które są poza podejrzeniami, mają założone dwa lub trzy oficjalnie działające biznesy. Firmy te prowadzone są przez zaufane osoby, które nie są powiązane z właścicielami w żaden sposób. I właśnie te osoby prowadzą nabór albo kupują firmy, które z oficjalnymi biznesami, zupełnie czystymi, nie maja związku.

Dalej tworzy się to na zasadzie pączkowania. Na kolejnym poziomie firmy te zatrudniają specjalistów, którzy zaczynają działać w podziemiu. Pojawiają się niepowiązane z mocodawcami spółki, spółeczki, jednoosobowe działalności. Węzły powiązań takich spółek tworzą gęstwinę, są ich dziesiątki, a nawet setki. Dotarcie do mocodawców wcale nie jest łatwe. Dla osób nieznających tego środowiska mocodawcy są trudno osiągalni.

Potem taka spółka staje się naszym klientem albo kontrahentem?

Tak. Dlatego sprawdzenie klienta, z którym współpracujemy, jest bardzo ważne. Wyszukanie podstawowych danych o tym, kto chce do nas przyjść na spotkanie, nie powinno zająć więcej niż 15 minut. Niezrobienie tego naraża nas na wielkie zagrożenia. W wielu firmach obserwujemy później zdziwienie własną naiwnością.

W jaki sposób klient może nam zaszkodzić?

Sposobów na oszukanie nas są tysiące, okazji jest bardzo wiele. Klient, który chce cos od nas wyłudzić, nie zawsze jest uwikłany w działalność przestępczą. Może być tak, że ktoś, kto prowadzi firmę, traci płynność finansową, widzi, że będzie musiał zwolnić pracowników, jest zadłużony, a dostrzega nas jako nadarzającą się okazję. Może zamówić kosztowny towar i zwlekać z zapłatą lub próbować w ogóle jej uniknąć. Jest wiele schematów, które pozwalają dokonać wielu świadomych, w pełni zaplanowanych wyłudzeń, jeśli klient wykorzystuje zaufanie dostawcy.

Gdy dostawca się zorientuje, że jest oszukiwany, odetnie klienta od finansowania i uruchomi procedury windykacyjne, pieniądze zwykle są już poukrywane. Nawet jeśli dłużnik zostanie zlicytowany, po roku, dwóch latach może otworzyć zupełnie nowy biznes, który będzie dobrze prosperował z ukradzionych pieniędzy. Dlatego straty firmy, której zabezpieczenia skierowane są wyłącznie przeciw pierwszym klientom lub zewnętrznym podmiotom, mogą być wielokrotnie wyższe, niż tej, która monitoruje cały proces współpracy.

A pracownicy?

Zagrożenie, do którego może doprowadzić pracownik, bywa jeszcze większe niż zagrożenie zewnętrzne. Łatwo to sobie wyobrazić: ktoś ma zamiar oszukać firmę, w której pracuje, więc poznaje po kolei wszystkie procedury, może również dotrzeć do zabezpieczeń, a nawet procedur antyfraudowych, gdzie tworzone są algorytmy oceny ryzyka. Mając te informacje, przekazuje je na zewnątrz i tworzy lukę w zabezpieczeniach, przez którą może wejść każdy. To może być nie tylko pracownik sfrustrowany lub pomijany w awansach. Może to być też osoba, którą grupa przestępcza dostarczyła firmie. Takich pracowników nazywamy „kretem” lub „intruderem”

Jak się podstawia firmie kreta?

Można śledzić, czy firma szuka nowych pracowników, i podstawić kogoś do procesu rekrutacyjnego. Czasami może to być osoba ze sfałszowanym CV. Może się również zdarzyć, że nie ma potrzeby wprowadzania kogoś z zewnątrz. Kretem może być świetny pracownik uzależniony od oszustów przez narkotyki bądź długi. Zorganizowane grupy dysponują werbownikami, czyli osobami, które krążą w różnych środowiskach i ich jedynym zadaniem jest zaprzyjaźnianie się z interesującymi ludźmi. Ostatnio przy okazji spotkania z jednym ze znanych biznesmenów odkryłem, że osoba zatrudniona jako szofer z wynajętej przez jego firmę wypożyczalni limuzyn jest powiązana z półświatkiem.

Był to czysty przypadek. Widziałem zaskoczenie, kiedy powiedziałem mu o tym. Usłyszałem potem od niego, że to zupełnie nieszkodliwy człowiek, „tylko kierowca”. Zadałem jedno pytanie: „Czy rozmawiasz przez telefon przy kierowcy?”, „Czy zna twój rozkład dnia oraz wie, z kim się spotykasz?”– odpowiedział twierdząco. Stwierdziłem: „W takim razie on i jego przyjaciele, których nie chciałbyś poznać, wiedzą stanowczo za dużo”.

Jak się przed tym bronić?

Pierwszym krokiem powinien być audyt bezpieczeństwa, który pokaże realne zagrożenia i ryzyka, miejsca, w których są słabe punkty w organizacji, jej operacjach, w otoczeniu firmy oraz wokół kluczowych osób. Potem najprostszym rozwiązaniem jest stworzenie w firmie komórki lub biura antyfraudowego. Do takiego biura angażowani są pracownicy firmy, którzy wykazują się dobrą znajomością zachowań klientów, oraz specjalnie dobrane osoby spoza struktury. Osoby te zostają przeszkolone, wyposażone w narzędzia, po czym zajmują się monitorowaniem transakcji i kluczowych procesów.

Następnie dostosowuje się do tego procedury, dzięki czemu do biura spływają informacje na przykład o rozpoczęciu współpracy z klientem. Każdy niepokojący sygnał, taki jak opóźnienie płatności lub zaległości, jest tam analizowany.

Instytucje finansowe stać na biura i systemy antyfraudowe, ale średniej lub małej firmy już raczej nie.

Są systemy antyfraudowe bardzo drogie i są mniej kosztowne. Najpierw trzeba zrobić audyt. I zorientować się w zagrożeniach. W zależności od branży i wielkości firmy można zastosować różne narzędzia i rozwiązania. W niektórych przypadkach problem może rozwiązać prosta aplikacja; można kupić którąś z już dostępnych na rynku albo stworzyć ją od nowa, dostosowując do potrzeb firmy. Można tez zdecydować się na outsourcing. Łatwiej jest zaangażować firmę, która przejmie na siebie opiekę antyfraudową nad firmą.

Nie ma branży, której nie dałoby się w odpowiedni sposób przygotować, a inwestycja w bezpieczeństwo, w zarządzanie ryzykiem fraudu, oszustwa, wyłudzenia – najszybciej się zwraca. Jeżeli kosztuje to nawet sto lub dwieście tysięcy, to jeden fraud przechwycony przez zastosowane zabezpieczenia zwraca koszt całej inwestycji. Każdej firmie, w zależności od jej skali i skali jej operacji, potrzebne są narzędzia, bazy danych, specjaliści i wymiana informacji z odpowiednimi instytucjami.

Banki wymieniają miedzy sobą informacje o zagrożeniach. Firmy też powinny?

Banki mają swój system wymiany informacji zgodny z obowiązującym prawem, instytucje finansowe również mają kanały wymiany informacji o podejrzeniach czy zidentyfikowanych osobach prowadzących nieuczciwe działania. Prawo jednak chroni tego typu dane.

Chroni oszustów?

Niestety słabo chroni ofiarę, a sprawcy doskonale wykorzystują prawo, by chronić swój proceder i tożsamość. Regulacje prawne utrudniają przeciwdziałanie oszustwom, ponieważ oszust zdaje sobie sprawę, że może oszukać kogoś nawet na wiele milionów i wymknąć się wymiarowi sprawiedliwości, dokonując tego w taki sposób, by przed sądem trudno było mu udowodnić, że działał z bezpośrednim zamiarem przestępstwa.

Przypadki, gdy sprawca oszustwa trafia do więzienia, są nieliczne, tymczasem stygmatyzacja związana z karą więzienia znacznie utrudniałaby działanie oszustom. Gdy ktoś dostaje karę w zawieszeniu, zwykłemu człowiekowi jest trudno to odkryć, przez co oszust czuje się zupełnie bezkarny, bo jego dane i informacja, że został skazany, są chronione. Bardzo trudno dotrzeć do wyroków sądowych, akt sprawy. Dochodzi do paranoicznej sytuacji – człowiek, który oszukał firmę, może trafić do niej z powrotem jako pracownik. Zdarzały się takie przypadki, bo firma nie wiedziała, że ją oszukał, a nawet, że został za to skazany.

Co firma może zrobić, żeby tego uniknąć?

Radziłbym współpracę ze specjalistami i organami ścigania. Gdy zgłasza się ktoś, kto proponuje kupno kosztów, uczciwy przedsiębiorca powinien poprosić pracownika o spisanie informacji i zawiadomić policję albo prokuraturę. Organy ścigania w Polsce działają przede wszystkim dzięki zgłoszeniom ze strony obywateli. nawet jeżeli my wiemy o jakimś procederze i uda się nam ominąć oszusta, kilkunastu innych się nabierze. Musimy być wyczuleni i nie bać się zgłaszać.

Ale różne badania pokazują też, że zgłaszać oszustw nikt nie chce. Czemu?

Zgłoszeń jest coraz mniej, bo są kosztowne dla firmy. Zgłoszenie dodatkowo zwiększa ryzyko. Nawet gdy złapię w moim biurze włamywacza na gorącym uczynku, muszę złożyć zawiadomienie. Muszę więc przerwać pracę, pojechać na policję i przedstawić swoje dane, z którymi złodziej się za chwilę zapozna. Już tu rodzi się pierwsze ryzyko, gdyż przestępca wie, kto na niego złożył zawiadomienie. W moim interesie nie jest więc wcale obywatelska postawa. Na koniec dowiem się, że prokurator umorzył sprawę, bo złodziej nic nie ukradł, gdyż go złapałem. Jeśli dojdzie do sprawy sądowej, sąd będzie dociekał, czy firma zrobiła wszystko, co możliwe, żeby do oszustwa nie doszło. Firma musi więc upublicznić to, na co wydała miliony złotych, czyli swój system ochrony.

Drugi powód jest taki, że w polskim społeczeństwie jest ciche przyzwolenie na podobne praktyki. Trzeci – że niestety ludzie wstydzą się mówić, iż padli ofiarą oszusta albo że w przestępcze praktyki zostali wciągnięci nieświadomie. Jest jeszcze czwarty powód. Zdecydowana większość firm nie chciałaby, żeby ktokolwiek dowiedział się, iż nastąpiła u nich próba wyłudzenia, a sprawcą był – powiedzmy – ich dyrektor zarządzający. Załatwiają wszystko po cichu, bojąc się utraty reputacji. Jeden fatalny przypadek może sprawić, że klienci zmienią postrzeganie firmy.

Ministerstwo Finansów walczy z wyłudzeniami VAT i twierdzi, że ściągalność się poprawia. Wpływy do budżetu są większe. Czy rzeczywiście jest lepiej?

Powiem szczerze – nie wiem. Jeżeli padają firmy, które nie zapłaciły jakiejś kwoty VAT, to w przyszłości nie zapłacą innych podatków, które dotąd płaciły. Jakie korzyści będą z tego, że urząd skarbowy ściągnie w tym roku 20 mln zł, ale nie ściągnie 120 mln zł w przyszłym roku? Jeśli po początkowym wzroście wpływów nagle nastąpi gwałtowne załamanie, będzie to znaczyło, że proces chorobowy, który doprowadził do niskich wpływów z tytułu VAT, trwa lub przeniósł się w inny rejon. Będzie to sygnał, że walka była skuteczna tylko krótkookresowo.

Czy to znaczy, że walka państwa z wyłudzeniami jest bez sensu?

Działania Generalnego Inspektora Informacji Finansowej w kierunku sprawdzania spółek wirtualnych były jak najbardziej słuszne pod względem operacyjnym. Osiągnęły wymierny skutek, co nie znaczy, że takich działań nie podejmowano już wcześniej. Główni sprawcy zdążyli się jednak wycofać ze środkami i najważniejszymi dla siebie ludźmi.

W moim przekonaniu osoby, które wyłapuje się teraz, to wyłącznie ofiary, wykorzystane czasem zupełnie nieświadomie przez zawodowych oszustów, jako – powiedzmy – generatory kosztów lub słupy. Dlatego tak ważne jest, żeby firmy w odpowiednim momencie podejmowały działania kontrolne, żeby sprawdzić – w swoim własnym interesie – czy za ich plecami pracownicy nie dorabiali sobie tego rodzaju działaniami.

Ojcowie chrzestni są nietykalni?

Rozpierzchli się, przyczaili lub po prostu przerzucili zainteresowanie i działania do innych branż. Wcale nie zniknęli. Tworzą nowe przedsięwzięcia, patrzą, w którym miejscu prawo daje im możliwość ukrycia ich rzeczywistego celu. I tam działają. Chcąc nie chcąc, kilku z nich poznałem. Niektórzy obecnie są na długich, ciepłych wakacjach, pływają jachtami na Karaibach lub na Morzu Śródziemnym, czekając, aż sytuacja się uspokoi. Mogą spokojnie działać zdalnie i jest to dla nich bezpieczniejsze i bardziej efektywne.

Skala wyłudzeń VAT w Polsce jest szacowana na kwotę ok. 40 mld zł rocznie, i to od kilku lat, więc mają kolosalne majątki, a wyprane pieniądze wprowadzone zostały już na polskie i zagraniczne konta. Świadomość, że zorganizowane grupy wyłudziły z budżetu takie pieniądze, nie powinna żadnym organom w Polsce dać spokoju.

Jaki będzie ich następny ruch?

Gdy grupa działała w określonej branży, na przykład paliwowej bądź surowców żelaznych, i w branży tej zdziesiątkowano takie firmy, odcięto słupy, złapano płotki, które idą siedzieć lub zostają wypuszczone za kaucją, oszuści mogą przerzucić się na branże, które nie są kontrolowane. Wyłudzać VAT można wszędzie.

Kto jest teraz najbardziej narażony na oszustwa?

Gastronomia, kluby fitness, osiedlowe sklepy – każda niemal firma może służyć do wyłudzeń. Jeżeli tworzy się gdzieś dziura legislacyjna bądź kompetencyjna, natychmiast pojawiają się osoby wyłudzające. Firmy, które nie pilnują swoich faktur, nie zwracają uwagi na to, co dzieje się w środku. Duże sieci franczyzowe mogą być zupełnie nieświadomym źródłem kolejnego ogniska, które pozwoli zaistnieć oszustom.

Czyli Generalny Inspektor Informacji Finansowej jest w tej walce skazany na klęskę?

Bez przesady. Nazwałbym to nie klęską, ale malejącą skalą sukcesów. Wykrywanie fraudów powinno być dokonywane we współpracy z organami międzynarodowymi, przeznaczonymi do tej działalności. W Unii działa biuro antyfraudowe OLAF, które zajmuje się między innymi ściganiem oszustw związanych z VAT. Ma również powstać stanowisko prokuratora europejskiego, który miałby nadrzędną pozycję w stosunku do prokuratorów generalnych państw, koncentrowałby się na ściganiu dużych międzynarodowych oszustw, miałby prawo narzucić instytucjom, które ścigają oszustwa, pewne działania, miałby stosownych specjalistów opłacanych lepiej niż w Polsce. Przepływ informacji też byłby zdecydowanie szybszy. Gdyby Polska w to weszła, coś naprawdę mogłoby się zacząć dziać.

Rozmawiał Jacek Ramotowski