Fakturační podvody a phishing na OSVČ. Jak poznat past a nepřijít o peníze
Operátor Vodafone spustil aplikaci, která má chránit uživatele před podvodnými hovory a zprávami, a podle zprávy serveru e15 je o českou technologii zájem i v zahraničí. Zpráva je dobrým připomenutím jedné nepříjemné reality. Podvodníci se dnes už dávno nezaměřují jen na seniory a soukromé účty. Stále častěji míří na živnostníky a malé firmy, protože tam se pohybují reálné faktury, vyšší částky a lidé, kteří spěchají a platí rychle. Pro OSVČ, která si vede účetnictví sama nebo s externí účetní, je proto ochrana před podvody stejně důležitá jako správně vyplněné přiznání.
Proč jsou OSVČ vděčným cílem
Živnostník obvykle nemá firemní IT oddělení ani schvalovací kolečko na platby. Fakturu vidí, otevře, zaplatí. Právě této rychlosti podvodníci využívají. Znají běžné pracovní návyky, umí napodobit vzhled e-mailu od dodavatele nebo banky a spoléhají na to, že v návalu práce nikdo nekontroluje každé číslo účtu. Čím víc dodavatelů a subdodávek máte, tím hůř rozpoznáte, že jedna faktura z desítky je falešná.
Druhým důvodem je dostupnost dat. Jméno, IČO, adresa i mnohdy i bankovní spojení jsou u OSVČ veřejně dohledatelné v obchodním rejstříku a v registru plátců DPH. Podvodník si tak snadno vytáhne informace, které mu dodají věrohodnost. Když vám pak zavolá a odříká vaše správné IČO, působí to důvěryhodně, i když jde o čirý podvod.
Nejčastější scénáře, na které narazíte
Nejrozšířenější je takzvaný podvod se změnou čísla účtu. Přijde e-mail, který vypadá jako od vašeho stálého dodavatele, s informací, že si změnil bankovní spojení a příští platbu máte poslat jinam. Číslo účtu je pochopitelně podvodníkovo. Pokud platbu odešlete bez ověření, peníze jsou většinou nenávratně pryč.
Druhým typem je falešná faktura za službu, kterou jste si nikdy neobjednali. Bývají to smyšlené zápisy do katalogů firem, prodloužení domény nebo registrace ochranné známky. Faktura vypadá oficiálně, má logo i variabilní symbol a spoléhá na to, že ji v účetnictví jen tak proplatíte mezi ostatními.
Třetí kategorií je phishing mířený na přihlašovací údaje. Zpráva se tváří jako od banky, datové schránky nebo finanční správy a vyzývá vás, abyste se přihlásili přes přiložený odkaz a něco urgentně potvrdili. Cílem je získat vaše heslo nebo číslo platební karty. Stejnou logikou fungují i podvodné SMS, které tvrdí, že máte nedoplatek na dani nebo nevyzvednutou zásilku.
Jak podvod poznat dřív, než zaplatíte
Základní pravidlo zní, že cokoli vás tlačí k rychlé platbě nebo k přihlášení pod hrozbou sankce, je podezřelé. Seriózní instituce vám nikdy nepošlou odkaz s výzvou k okamžitému zadání hesla. Finanční správa komunikuje s podnikateli primárně přes datovou schránku, ne přes SMS s odkazem. To si můžete kdykoli ověřit na oficiálních stránkách Finanční správy.
U změny bankovního spojení platí jednoduchá zásada. Nikdy neměňte číslo účtu dodavatele jen na základě e-mailu. Zvedněte telefon a zavolejte na kontakt, který už máte ověřený z dřívější spolupráce, nikoli na číslo uvedené v podezřelé zprávě. Pár minut ověření vás může ušetřit ztráty v řádu desítek tisíc.
Kontrolujte i drobnosti. Adresa odesílatele bývá u podvodů mírně pozměněná, například jedno písmeno navíc nebo jiná koncovka domény. Text často obsahuje kostrbatou češtinu, obecné oslovení bez vašeho jména a variabilní symbol, který nesedí na žádnou vaši objednávku. Když něco nesedí, raději nereagujte a fakturu si nechte ověřit.
Co dělat, když už jste naletěli
Pokud jste odeslali platbu na podvodný účet, jednejte okamžitě. Zavolejte své bance a požádejte o zastavení nebo zpětné stažení platby. Čím dřív banku kontaktujete, tím větší je šance, že peníze ještě nestihly odejít z účtu příjemce. Podvod následně nahlaste na Policii České republiky, ideálně s veškerou dokumentací, tedy s e-maily, fakturou i potvrzením o platbě.
Když šlo o phishing a vy jste někam zadali heslo, ihned si ho změňte, a to všude, kde jste stejné heslo používali. U bankovnictví aktivujte dodatečné ověření a sledujte pohyby na účtu. Doporučení, jak postupovat při kybernetickém incidentu, i aktuální varování před rozšířenými podvody najdete na stránkách Národního úřadu pro kybernetickou a informační bezpečnost.
Prevence, která se vyplatí každé živnosti
Nejlepší obranou je systém, ne jen ostražitost. Zaveďte si pravidlo, že každou platbu nad určitou částku před odesláním jednou zkontrolujete proti objednávce. Používejte silná a různá hesla a všude, kde to jde, zapněte dvoufaktorové ověření. Faktury přijímejte pokud možno do jednoho kanálu, ať se vám nemíchají s reklamou a spamem.
Pokud spolupracujete s účetní, domluvte se s ní na jednoduchém pravidle. Jakoukoli změnu bankovního spojení dodavatele nebo neobvyklou urgentní platbu spolu vždy ověříte, než se peníze odešlou. Účetní vidí vaše platby s odstupem a často podvod odhalí dřív než vy, protože jí nesedí do zavedeného vzorce plateb.
Podvody se budou zdokonalovat a nové aplikace operátorů jsou vítaná pomoc, samotné vás ale neochrání. Rozhodující je, aby ve vašem podnikání existoval jednoduchý návyk zastavit se a ověřit, kdykoli vás někdo tlačí zaplatit hned.
Časté otázky
Musím podvodnou fakturu, kterou jsem nezaplatil, někam hlásit?
Nemusíte ji platit ani na ni reagovat. Pokud se ale opakuje nebo vás někdo pod pohrůžkou vymáhání nutí k platbě, podání na policii má smysl, protože pomáhá dohledat organizované skupiny.
Jak poznám pravou zprávu od finanční správy?
Finanční správa s podnikateli komunikuje hlavně přes datovou schránku a nikdy nežádá zadání hesla přes odkaz v SMS nebo e-mailu. Při pochybnostech ověřte kontakt na oficiálním webu finanční správy, ne přes odkaz ze zprávy.
Vrátí mi banka peníze, když jsem zaplatil na podvodný účet?
Není to zaručené, ale rychlá reakce šance výrazně zvyšuje. Okamžitě volejte banku a požádejte o zastavení platby, souběžně podejte trestní oznámení.
Vyplatí se kvůli podvodům platit externí účetní?
Externí účetní není záruka proti podvodu, ale přináší druhý pár očí a odstup. Neobvyklou platbu nebo změnu účtu často zachytí dřív, protože sleduje vaše finanční toky jako celek.