W 2024 roku Krajowa Administracja Skarbowa wykryła 291 633 fikcyjne faktury VAT, z których większość znalazła się w obrocie jeszcze przed końcem 2023 roku. Pod względem ilościowym były to przede wszystkim dokumenty wystawione przez firmy z branży tekstylnej, a pod kątem wartościowym z firm kosmetycznych. Zagrożenie spowodowane fałszywymi fakturami dosięga jednak wielu sektorów i firm.

 

Puste faktury to fałszywe dokumenty księgowe, np. na usługi lub towary, które nigdy nie zostały dostarczone. Oszuści wykorzystują różne techniki do wyłudzenia zapłaty za takie faktury.

 

W listopadzie 2018 roku złodzieje podszywający się pod producenta samolotów, które latają w PLL LOT, przesłali tej firmie podrobioną fakturę. Oszustwa nie udało się wykryć na czas i linie lotnicze przelały złodziejom 700 tysięcy dolarów, z czego udało się później odzyskać tylko 200 tysięcy.

 

Wchodząca w skład Polskiej Grupy Zbrojeniowej spółka Cenzin, dostarczająca m.in. sprzęt wojskowy, lotniczy i morski, w 2019 roku również padła ofiarą ataku. Cyberprzestępca podszył się pod czeskiego dostawcę i w sfałszowanej wiadomości e-mail powiadomił o zmianie numeru konta. Firma dokonała płatności na podstawiony rachunek, tracąc w ten sposób 4 miliony złotych.

 

Przykłady te obrazują, że fałszywe faktury mogą dotknąć nawet największe firmy z sektorów wrażliwych z perspektywy bezpieczeństwa narodowego i interesów gospodarczych państwa.

   

Według badania przeprowadzonego przez Allianz Trade w 2024 roku, 45% badanych organizacji zetknęło się z próbą oszustwa fakturowego. W celu wyłudzenia pieniędzy od ofiary przestępcy stosują podrobione dokumenty typu:

 

• Faktura od fałszywego dostawcy – przestępcy imitują korespondencję między firmami. Wysyłają do działu finansowego ofiary fakturę od znanego kontrahenta z informacją o rzekomej zmianie numeru konta bankowego. Ofiara, przekonana, że płaci prawdziwemu dostawcy, przelewa środki na rachunek oszustów.


• Faktura z nadwyżką – oszuści wystawiają fakturę na kwotę wyższą niż należna, licząc, że płatność przejdzie bez weryfikacji.


• Faktura na fikcyjne usługi lub towary – polega na wystawieniu faktury za świadczenie, które nie miało miejsca. Przestępcy mogą próbować zmanipulować wiadomość w taki sposób, żeby faktura wyglądała np. jak zaległa płatność.


• Faktura z przechwyconego konta e-mail (Business Email Compromise) – to cyberprzestępstwo, w którym przestępcy uzyskują dostęp do firmowego konta e-mail i wykorzystują je do wysłania fałszywych faktur znanym kontrahentom.


• Przepisana faktura – oszustwo wymaga uzyskania dostępu do komputera jednej ze stron transakcji. Polega na zmianie danych faktury przed jej wysłaniem lub po odebraniu w taki sposób, żeby po jej opłaceniu pieniądze trafiły na konto przestępcy.


• Zduplikowana faktura – w tym scenariuszu oszuści wystawiają fakturę dwa razy za tę samą usługę lub towar. Mają nadzieję, że ofiara nie zorientuje się w sytuacji i ponownie przeleje środki na ich konto.

 

W większości przypadków przestępcy liczą na brak czujności ze strony ofiary.

   

W firmach, w których opłaca się duże liczby faktur, łatwo paść ofiarą oszustwa. Wychwycenie ataku wymaga czujności i wiedzy. Jak sprawdzić, czy faktura jest prawdziwa?

 

• Weryfikacja numeru NIP – powinien być aktywny i przypisany do wystawcy faktury. Można go zweryfikować w bazie CEIDG, KRS lub VIES (dla podmiotów unijnych).


• Sprawdzenie rachunku bankowego – można go zweryfikować na tzw. białej liście podatników VAT. Konto musi być powiązane z NIP-em wystawcy.


• Porównanie danych kontrahenta z wcześniejszymi fakturami – zmiany w nazwie firmy, adresie, formie prawnej lub innych danych, bez wcześniejszego powiadomienia, mogą wskazywać na próbę oszustwa.


• Weryfikacja adresu e-mail nadawcy – adres powinien pochodzić z oficjalnej domeny firmy. Fałszywe faktury często są wysyłane z domen bardzo podobnych, ale nieautentycznych. Walidacji powinny podlegać zatem zarówno domeny, jak i konkretne adresy wskazane w umowie i upoważnione do wysyłki faktur.


• Analiza wyglądu faktury – różnice i niespójności w układzie, szacie graficznej, języku lub fontach mogą świadczyć o tym, że dokument nie pochodzi z oficjalnego źródła.


• Kontakt z kontrahentem znanym wcześniej kanałem – w przypadku wątpliwości najlepiej zadzwonić lub napisać na znany adres e-mail, by potwierdzić dane z faktury.

 

W przypadku, gdy nawet jeden element na fakturze wzbudza wątpliwości, lepiej wstrzymać płatność do czasu potwierdzenia autentyczności dokumentu.

   

Fakturę, która wzbudza podejrzenia co do autentyczności, nie można ignorować ani traktować jako zwykłej pomyłki. W pierwszej kolejności należy wstrzymać płatność i powiadomić wewnętrzny dział finansowy lub księgowy. Osoby odpowiedzialne za kontrolę dokumentów muszą przeanalizować dokument zgodnie z ustalonymi procedurami. Organizacja powinna wiedzieć, jak udowodnić pustą fakturę, żeby uniknąć strat finansowych i potencjalnych konsekwencji prawnych.

 

Po potwierdzeniu, że dokument jest fałszywy, sprawę należy zgłosić do najbliższego komisariatu policji, przekazując oryginał faktury, korespondencję z oszustem i inne zgromadzone dowody. Takie naruszenie można zgłosić również na stronie incydent.cert.pl.

 

Warto również poinformować Krajową Administrację Skarbową, zwłaszcza jeśli faktura zawiera nieprawdziwe dane podatkowe lub może być wykorzystywana do wyłudzenia podatku VAT. Zgłoszenia można dokonać anonimowo przez formularz na stronie KAS. Taką fake fakturę można także zgłosić do Urzędu Ochrony Konkurencji i Konsumentów.

 

W przypadku, gdy fałszywa faktura została już opłacona, firma powinna niezwłocznie zawiadomić swój bank, by zablokować transakcję lub złożyć reklamację. Im szybciej to zrobi, tym większa jest szansa na odzyskanie środków.

   

Chcąc zabezpieczyć firmę przed pustymi fakturami, należy opracować procedury weryfikacji takich dokumentów. Powinny one obejmować sprawdzanie wszystkich danych przed dokonaniem płatności, nawet w przypadku znanych kontrahentów. Trzeba też upewnić się, że towary lub usługi zostały rzeczywiście dostarczone przez wystawcę faktury.

 

Pracownicy zajmujący się przyjmowaniem i realizacją faktur powinni przejść szkolenie z zakresu oszustw fakturowych, w trakcie którego zdobędą wiedzę o tym, gdzie zgłosić fałszywe faktury, jak rozpoznać podrobione dokumenty i jakie są związane z tym procedury. Dzięki temu będą w stanie skutecznie rozpoznać zagrożenie i mu zapobiec, zanim firma poniesie straty.

 

Warto także wdrożyć środki techniczne z zakresu cyberbezpieczeństwa pomagające w walce z oszustami. Solidna ochrona poczty elektronicznej utrudnia przeprowadzenie ataku phishingowego i przemycenie do systemu fałszywej faktury. Usługa Netia Managed UTM zapewnia z kolei ochronę przed większością cyberzagrożeń, które mogłyby skutkować np. przepisaniem faktury lub przejęciem firmowych adresów e-mail.

 

Wdrożone zabezpieczenia należy regularnie testować i można w tym celu wykorzystać usługę Netia Phishing-On-Demand, w ramach której nasi specjaliści od cyberbezpieczeństwa dokonają ataku w kontrolowanych warunkach. Należy też przeprowadzać regularne testy podatności i audyty stosowanych zabezpieczeń.