Przelew, który poszedł donikąd

O białej liście, split payment i pieniądzach zamrożonych w próżni

To był piątek, godzina szesnasta. Najgorszy możliwy moment na katastrofę.

Pani Karolina, właścicielka małej sieci kwiaciarni, zadzwoniła z płaczem.

— Przelałam sto dwadzieścia tysięcy. Na złe konto. I nie mogę ich odzyskać.

Anatomia błędu

Historia wyglądała tak: pani Karolina kupowała kwiaty od holenderskiego importera, który miał spółkę w Polsce. Duże zamówienie przed Dniem Kobiet. Faktura na sto dwadzieścia tysięcy brutto, w tym VAT dwadzieścia dwa tysiące.

Księgowa — nowa, pracowała drugi miesiąc — zrobiła przelew na rachunek z faktury. Tylko że...

Tylko że sprawdziła białą listę VAT. I numer konta na fakturze nie zgadzał się z tym na białej liście. Zadzwoniła do dostawcy, ktoś jej podyktował „prawidłowy" numer.

Ten numer należał do oszusta.

Jak to się stało?

Email od dostawcy przyszedł z adresu, który wyglądał prawie identycznie. Zamiast „import-flora.pl" było „import-fl0ra.pl". Zero zamiast litery O. Klasyczny phishing.

Ktoś włamał się na skrzynkę dostawcy, przechwycił fakturę i podmienił dane bankowe. Potem czekał. Gdy księgowa zadzwoniła z pytaniem, oszust odebrał.

Sto dwadzieścia tysięcy poszło na konto słupa w małym banku spółdzielczym. Wyciągnięte w gotówce w ciągu dwóch godzin.

Piątek po szesnastej

Zadzwoniłem do banku pani Karoliny. Gorąca linia dla firm, zgłoszenie fraudu. Grzeczna pani wyjaśniła:

— Możemy wysłać prośbę o zwrot, ale bank odbiorcy nie ma obowiązku zablokować środków. Jeśli już zostały wypłacone... przykro mi.

Potem zadzwoniłem do banku, w którym było konto oszusta. Tam nie chcieli rozmawiać — ochrona danych, nie jestem stroną.

Policja? Zgłoszenie przyjęte. Sprawa trafi do wydziału cyberprzestępczości. Czas oczekiwania na jakiekolwiek działanie — miesiące.

Trzy problemy naraz

Pani Karolina straciła nie tylko pieniądze. Miała teraz:

Problem pierwszy: Nie zapłaciła prawdziwemu dostawcy. Kwiaty nie przyjadą. Dzień Kobiet za tydzień.

Problem drugi: Zapłaciła na konto spoza białej listy. Według przepisów, nie może odliczyć VAT-u od tej faktury — dwadzieścia dwa tysiące w plecy. Dodatkowo staje się solidarnie odpowiedzialna za VAT dostawcy.

Problem trzeci: Jako że kwota przekraczała piętnaście tysięcy, powinna użyć split payment. Nie użyła. Kolejna sankcja.

Jeden przelew. Trzy katastrofy.

Co zrobiliśmy?

Najpierw — ratowanie Dnia Kobiet. Zadzwoniłem do prawdziwego dostawcy, wyjaśniłem sytuację. Zgodził się wysłać towar na odroczony termin płatności, gdy pokazaliśmy zgłoszenie policyjne.

Potem — minimalizacja strat podatkowych. Złożyliśmy zawiadomienie ZAW-NR do urzędu skarbowego w ciągu siedmiu dni od przelewu. Ten dokument ratuje przed sankcją za przelew poza białą listę. Nie odzyskasz pieniędzy, ale przynajmniej możesz odliczyć VAT.

Split payment? Tu nie było ratunku. Sankcja dwudziestu dwóch tysięcy — w teorii. W praktyce urząd nałożył pięć tysięcy po odwołaniu i wyjaśnieniu okoliczności. To był pierwszy taki przypadek w firmie, nie było złej woli.

Co zmieniliśmy?

Nowe procedury bezpieczeństwa:

1. Każda zmiana numeru konta wymaga weryfikacji telefonicznej — ale na numer z umowy, nie z emaila.
2. Przelewy powyżej dziesięciu tysięcy zatwierdza właścicielka osobiście.
3. Domeny wszystkich kontrahentów sprawdzamy przed odpowiedzią na email.
4. Biała lista VAT weryfikowana automatycznie przez system księgowy — nie ręcznie.

Pani Karolina ostatecznie straciła dwadzieścia siedem tysięcy: pięć sankcji, dwadzieścia dwa tysiące VAT którego nie odzyskała od oszusta, plus koszty prawne. Sto dwadzieścia tysięcy przepadło bezpowrotnie. Ubezpieczenie OC działalności nie obejmowało phishingu.

Morał

Tamta księgowa pracuje gdzie indziej. Nie dlatego, że ją zwolniono — sama odeszła. Nie mogła znieść poczucia winy.

Ale prawda jest taka: to nie był jej błąd. To był błąd systemu, który nie przewidział weryfikacji. Oszust był profesjonalistą. Wyglądało to idealnie.

Dziś biała lista to nie formalność. To ostatnia linia obrony.

Zanim klikniesz „wyślij" przy dużym przelewie — zadzwoń. Ale na numer, który sam znalazłeś.

→ Chcesz sprawdzić, czy Twoja firma ma zabezpieczenia przed tego typu oszustwami? Umów się na audyt procedur płatniczych. Lepiej zapobiegać niż płakać nad przelanym mlekiem — dosłownie.