Plata facturilor pare un proces banal: primești documentul, apeși "plătește" și banii pleacă către furnizor. Tocmai această rutină face frauda cu facturi modificate atât de periculoasă, infractorii mizează pe automatismul firmelor și pe lipsa unor verificări simple.
Spre deosebire de multe escrocherii online care vizează consumatorii individuali, această schemă lovește adesea companii sau persoane care gestionează plăți frecvente și sume mari. Rezultatul? Bani virați către conturi controlate de alții, relații comerciale afectate și un drum lung - adesea fără final fericit - pentru recuperarea prejudiciului.
În acest articol îți explic metodele (de care știm) prin care funcționează acest tip de fraudă, care sunt semnalele de alarmă și ce proceduri poți să pui în practică pentru a reduce riscul unor astfel de fraude la minim.
Acesta este doar unul dintre multele tipuri de fraude online care circulă în România, iar infractorii devin din ce în ce mai activi și vin cu metode noi de a-ți lua banii din cont. Dacă vrei un ghid pas-cu-pas pe care să-l adaptezi echipei tale încât să se protejeze de astfel de fraude, vezi articolul complet: Fraudele online în România: cum funcționează și cum te poți proteja".
Frauda are de obicei două fețe: fie intervine un actor extern care interceptează comunicările (de exemplu, prin e-mail compromis), fie implică o persoană din interiorul organizației (insider fraud). Iată fluxul tipic:
Exemple reale arată că prejudiciile pot ajunge la zeci de mii de euro, iar recuperarea completă a sumelor este, în multe cazuri, imposibilă din cauza transferurilor rapide și a traseelor complexe pe care le urmează fondurile.
Frauda cu facturi modificate este o amenințare reală pentru companii și pentru persoanele care gestionează plăți. Nu este nevoie de scenarii sofisticate pentru ca un atac să reușească - destulă este o procedură laxă sau o confirmare lipsă. Protecția vine din proceduri clare, controale tehnice și din cultura organizațională: dacă ai stabilit reguli și le aplici consecvent, riști mult mai puțin.
Spre deosebire de multe escrocherii online care vizează consumatorii individuali, această schemă lovește adesea companii sau persoane care gestionează plăți frecvente și sume mari. Rezultatul? Bani virați către conturi controlate de alții, relații comerciale afectate și un drum lung - adesea fără final fericit - pentru recuperarea prejudiciului.
În acest articol îți explic metodele (de care știm) prin care funcționează acest tip de fraudă, care sunt semnalele de alarmă și ce proceduri poți să pui în practică pentru a reduce riscul unor astfel de fraude la minim.
Acesta este doar unul dintre multele tipuri de fraude online care circulă în România, iar infractorii devin din ce în ce mai activi și vin cu metode noi de a-ți lua banii din cont. Dacă vrei un ghid pas-cu-pas pe care să-l adaptezi echipei tale încât să se protejeze de astfel de fraude, vezi articolul complet: Fraudele online în România: cum funcționează și cum te poți proteja".
Cum funcționează frauda cu facturi modificate
Frauda are de obicei două fețe: fie intervine un actor extern care interceptează comunicările (de exemplu, prin e-mail compromis), fie implică o persoană din interiorul organizației (insider fraud). Iată fluxul tipic:
- Interceptarea e-mailurilor: Atacatorii infiltrează conturile de e-mail ale furnizorilor sau ai partenerilor și trimit clienților facturi "modificate" în care schimbă IBAN-ul cu unul controlat de ei.
- Compromiterea furnizorului: Uneori escrocii compromit site-ul sau portalul unui furnizor și modifică datele de plată acolo.
- Înlocuire directă: Un angajat intern, cu acces la sistemul de facturare, schimbă detaliile bancare pentru a redirecționa încasările către un cont personal.
- Plata neconfirmată: Contabilul sau persoana responsabilă efectuează plata fără verificări suplimentare, iar banii pleacă în contul greșit.
Exemple reale arată că prejudiciile pot ajunge la zeci de mii de euro, iar recuperarea completă a sumelor este, în multe cazuri, imposibilă din cauza transferurilor rapide și a traseelor complexe pe care le urmează fondurile.
Semne de alarmă și vulnerabilități frecvente
- Schimbări bruște ale IBAN-ului: Furnizorul anunță, fără avertisment prealabil, un cont nou pentru plăți.
- E-mailuri trimise de pe adrese ce seamănă, dar nu coincid exact (ex.: office @ furnizor. com vs office @ furnizor-ro. com).
- Lipsa confirmării telefonice atunci când apare un IBAN nou.
- Proceduri interne slabe: o singură persoană autorizează facturile și efectuează plățile.
- Lipsa jurnalelor de audit în softuri: imposibilitatea de a verifica cine și când a modificat o factură.
Măsuri practice pentru prevenție (pentru firme și persoane responsabile cu plățile)
- Implementează politici clare de verificare a plăților: orice modificare de date bancare trebuie confirmată telefonic la numărul oficial al furnizorului (nu la numărul primit în e-mailul suspect).
- Segregarea atribuțiilor: persoana care verifică facturile nu ar trebui să fie aceeași care autorizează plata. Astfel se reduce riscul de fraudă internă.
- Proceduri de onboarding și verificare furnizori: cereți certificat de înregistrare, contract, CUI și detalii verificabile. Păstrați o listă cu contactele oficiale.
- Folosiți semnături digitale și canale securizate: semnătura electronică sau portalurile B2B reduc riscul modificărilor neautorizate.
- Configurați controale în softul de contabilitate: restricții de editare, istoricul modificărilor (audit trail) și alerte pentru schimbări de IBAN.
- Educați personalul: training regulat pentru echipele financiare despre tiparele de fraudă, exemple concrete și pași de urmat.
- Verificări suplimentare pentru plăți mari: unanimă confirmare prin două canale (ex.: e-mail + apel telefonic) pentru sumele peste o limită stabilită.
- Securitate IT: protejarea conturilor de e-mail cu parole puternice, MFA (autentificare multi-factor), SPF/DKIM/DMARC pentru domenii, ca să reduci riscul de spoofing sau interceptare.
Ce faci dacă ai fost victima unei astfel de fraude
- Contactează imediat banca: solicită blocarea transferului sau inițierea unei proceduri de returnare (chargeback/recall) deși rezultatul nu e garantat, timpul este esențial.
- Păstrează toate dovadăile: e-mailuri, fișiere PDF cu facturi, extrase bancare, acestea sunt necesare pentru reclamații și anchete.
- Raportează la autorități: depune plângere la poliție și, dacă este cazul, la DIICOT; anunță și ANAF/ANPC dacă situația o cere.
- Anunță partenerii: informează-ți furnizorii și clienții, pentru a evita contaminarea lanțului.
- Evaluează intern procedurile: fă un audit al proceselor financiare și corectează vulnerabilitățile descoperite.
Frauda cu facturi modificate este o amenințare reală pentru companii și pentru persoanele care gestionează plăți. Nu este nevoie de scenarii sofisticate pentru ca un atac să reușească - destulă este o procedură laxă sau o confirmare lipsă. Protecția vine din proceduri clare, controale tehnice și din cultura organizațională: dacă ai stabilit reguli și le aplici consecvent, riști mult mai puțin.


