Dlaczego oszustwa płatnicze są problemem każdej firmy
Wyobraź sobie, że Twój dział rozrachunków z dostawcami otrzymuje wiadomość e-mail. Wygląda dokładnie jak wiadomość od długoletniego dostawcy – to samo logo, to samo zakończenie, ten sam znajomy ton. Wiadomość informuje, że dane bankowe dostawcy uległy zmianie i prosi o przekierowanie kolejnej płatności na nowe konto. Płatność zostaje zrealizowana. Tydzień później prawdziwy dostawca dzwoni z pytaniem, dlaczego faktura jest zaległa. Do tego czasu pieniądze zniknęły.
To nie jest hipotetyczny scenariusz. Zdarza się to firmom na całym świecie każdego dnia.
Oszustwa płatnicze nie dotyczą wyłącznie banków czy firm inwestycyjnych. Dotyczą każdej firmy, która płaci dostawcom, rozlicza faktury lub otrzymuje płatności od klientów. A jednym z najbardziej praktycznych narzędzi dostępnych do walki z nimi jest kod LEI – coś, o czym większość zwykłych przedsiębiorstw nigdy nie słyszała.
Skala oszustw płatniczych jest uderzająca
Oszustwa płatnicze nie są marginalnym problemem. Według Association for Financial Professionals 76% organizacji doświadczyło próby lub faktycznego oszustwa płatniczego w 2025 roku. Oznacza to, że dwie na trzy firmy napotykają próby oszustwa w danym roku.
Ataki są precyzyjnie wymierzone w osoby zajmujące się codziennymi fakturami i płatnościami: księgowych, menedżerów finansowych i pracowników działu zakupów. Według raportu FBI dotyczącego przestępczości internetowej z 2024 roku kompromitacja służbowej poczty elektronicznej spowodowała straty w wysokości 2,77 miliarda dolarów wyłącznie w Stanach Zjednoczonych w 2024 roku, w ramach 21 442 zgłoszonych incydentów. A to tylko przypadki, które zostały zgłoszone.
Jak działają oszustwa płatnicze: trzy powszechne schematy
Wszystkie formy oszustw płatniczych mają jeden wspólny warunek: oszust odnosi sukces, ponieważ ofiara nie może szybko zweryfikować tożsamości kontrahenta.
Oszustwa fakturowe i podszywanie się pod dostawców
Oszust identyfikuje regularnego dostawcę w Twojej sieci i wysyła fakturę, która wygląda identycznie jak autentyczna. Tylko dane bankowe są inne. W wielu przypadkach nie jest potrzebny dostęp do systemu. Wystarczą publicznie dostępne informacje, podobny adres e-mail i odrobina cierpliwości. Mniejsze firmy są szczególnie narażone, ponieważ zazwyczaj mają mniej formalnych kroków weryfikacyjnych.
Kompromitacja służbowej poczty elektronicznej
Kompromitacja służbowej poczty elektronicznej, czyli BEC, jest bardziej wyrafinowana i bardziej szkodliwa. Oszust uzyskuje dostęp do konta e-mail Twojego dostawcy, monitoruje korespondencję przez tygodnie i wkracza w dokładnie odpowiednim momencie – tuż przed terminem płatności dużej faktury. Zmieniane są tylko dane płatności, a pieniądze trafiają na niewłaściwe konto.
To, co sprawia, że jest to trudne do wykrycia, to fakt, że wiadomość pochodzi z autentycznego adresu e-mail, jest kontynuacją prawdziwego wątku rozmowy i nie zawiera żadnych technicznych oznak oszustwa. Standardowe filtry zabezpieczeń poczty elektronicznej tego nie zatrzymują.
Tworzenie fałszywych dostawców
Oszust tworzy fikcyjną firmę, rejestruje ją, buduje stronę internetową i składa ofertę. Firma podpisuje umowę, płaci zaliczkę, a dostawca znika. Ten schemat zazwyczaj celuje w większe organizacje z bardziej złożonymi procesami zakupowymi.
We wszystkich trzech przypadkach ofiara nie była w stanie wiarygodnie zweryfikować, z kim faktycznie ma do czynienia. Nazwa firmy nie jest unikalnym identyfikatorem, a oszuści celowo wykorzystują tę lukę.
Dlaczego weryfikacja tożsamości jest tak trudna
Numery rejestracyjne są specyficzne dla danej jurysdykcji. Estoński numer rejestracyjny firmy nic nie znaczy dla niemieckiego banku czy partnera w Singapurze. Każdy kraj stosuje własny format, własny rejestr i własny język. W biznesie transgranicznym oznacza to, że weryfikacja tożsamości kontrahenta wymaga powolnej, ręcznej pracy.
Nazwy firm nie są unikalne. Wiele jurysdykcji zezwala na podobne, a nawet identyczne nazwy w różnych krajach. Oszuści rejestrują firmy, których nazwy bardzo przypominają znane organizacje i polegają na tym, że zapracowane zespoły finansowe mogą nie zauważyć różnicy.
Co faktycznie pokazuje kod LEI
Kod LEI, czyli Legal Entity Identifier, to 20-znakowy unikalny identyfikator, który może uzyskać każdy podmiot prawny na świecie. GLEIF, Global Legal Entity Identifier Foundation, prowadzi publiczną bazę danych zawierającą zweryfikowane i aktualne informacje dla każdego zarejestrowanego podmiotu.
Wyszukiwanie LEI zwraca następujące informacje:
Dane Poziomu 1 („kto jest kim”): nazwa prawna, zarejestrowany adres, kraj i jurysdykcja, numer rejestracyjny firmy i rejestr, typ podmiotu, status LEI (Aktywny lub Wygasły) oraz historia zmian w rejestrze.
Dane Poziomu 2 („kto kogo posiada”): bezpośrednia jednostka dominująca i ostateczna jednostka dominująca w ramach struktury korporacyjnej.
Czego wyszukiwanie LEI nie pokazuje: danych konta bankowego, numerów kontaktowych ani osób fizycznych. Zrozumienie tego jest ważne dla prawidłowego korzystania z narzędzia.
Baza danych LEI jest bezpłatna, otwarta i nie wymaga rejestracji. Jest dostępna pod adresem GLEIF LEI Search.
Jak LEI działa przeciwko oszustwom w praktyce
Weryfikacja ręczna w trzech krokach
Krok 1 – Poproś o kod LEI od każdego nowego dostawcy. Dodaj jedno pole do procesu wdrażania dostawców: kod LEI. Jest to standardowa część należytej staranności wobec kontrahenta, którą coraz więcej firm stosuje obecnie jako rutynową praktykę.
Krok 2 – Zweryfikuj kod w bazie danych GLEIF. Wprowadź kod LEI na stronie GLEIF LEI Search lub skorzystaj z narzędzia wyszukiwania LEI na naszej stronie internetowej. Natychmiast zobaczysz nazwę prawną, adres siedziby i numer rejestracyjny firmy. Porównaj te dane z tym, co widnieje na fakturze lub umowie. Jeśli wszystko się zgadza, tożsamość jest potwierdzona. Jeśli nie, to wyraźny sygnał ostrzegawczy.
Zwróć również uwagę na status LEI. Aktywny oznacza, że dane są aktualne i zweryfikowane. Wygasły oznacza, że podmiot nie odnowił swojego LEI, a dokładność danych jest niepewna. Wygasły LEI jest sam w sobie sygnałem ryzyka, którego nie należy pomijać.
Krok 3 – Traktuj każdą zmianę danych bankowych jako proces dwuetapowy. LEI nie pokazuje informacji o koncie bankowym, więc nie może w pełni zastąpić ręcznego sprawdzenia w tej sytuacji. Ale nadal pomaga. Jeśli otrzymasz prośbę o zmianę danych płatności, najpierw zweryfikuj za pomocą LEI, czy nadawca jest tym, za kogo się podaje. Następnie zadzwoń do dostawcy bezpośrednio, używając numeru kontaktowego już znajdującego się w Twoich zapisach, a nie numeru podanego w nowej wiadomości. Te dwa kroki razem obejmują najbardziej powszechne scenariusze oszustw fakturowych.
Automatyczna weryfikacja dla większych organizacji
Dla większych organizacji zarządzających setkami dostawców i przetwarzających duże wolumeny płatności ręczne kontrole są zbyt wolne. To właśnie tutaj LEI staje się szczególnie wartościowy, ponieważ jest to ustrukturyzowany, czytelny maszynowo format danych.
GLEIF udostępnia publiczne API, które umożliwia bezpośrednią integrację danych LEI z oprogramowaniem korporacyjnym. Platforma rozrachunków z dostawcami lub system zarządzania dostawcami może automatycznie odpytywać bazę danych GLEIF dla każdego nowego kontrahenta, porównywać wyniki z istniejącymi zapisami i oznaczać wszelkie rozbieżności do przeglądu przez człowieka. Weryfikacja tożsamości odbywa się w tle, bez konieczności ręcznego wyszukiwania przez kogokolwiek.
LEI w ramach regulacyjnych
Kod LEI nie jest tylko dobrowolnym narzędziem. Organy regulacyjne na całym świecie zaczęły łączyć go bezpośrednio z bezpieczeństwem płatności i zapobieganiem oszustwom.
Rozporządzenie UE w sprawie płatności natychmiastowych wymaga od wszystkich dostawców usług płatniczych w strefie euro weryfikacji nazwy odbiorcy przed przetworzeniem przelewów natychmiastowych od października 2025 roku. Rozporządzenie uznaje LEI jako narzędzie do automatyzacji dopasowywania numeru IBAN do nazwy posiadacza konta. To bezpośrednio zmniejsza ryzyko oszustw związanych z autoryzowanymi przelewami płatniczymi, gdzie środki są wysyłane na konto kontrolowane przez oszusta. Więcej szczegółów na ten temat można znaleźć w naszym artykule o LEI i weryfikacji odbiorcy płatności.
Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy (FATF) zaktualizowała swój międzynarodowy standard przejrzystości płatności, Zalecenie 16, w czerwcu 2025 roku. Zgodnie ze zmienionym standardem płatności transgraniczne powyżej 1000 euro lub dolarów muszą zawierać zweryfikowane informacje zarówno o zleceniodawcy, jak i beneficjencie. Gdy stroną jest podmiot prawny, LEI jest jednym z akceptowanych identyfikatorów. Standard wchodzi w pełni w życie w 2030 roku.
Co Twoja firma może zrobić już dziś
Uzyskaj kod LEI dla swojej firmy. Posiadając LEI, możesz udostępniać zweryfikowany identyfikator partnerom, umieszczać go na fakturach i umowach oraz używać go jako dowodu, że Twoja firma jest tym, za kogo się podaje. Ma to największe znaczenie w transakcjach transgranicznych, gdzie Twój kontrahent może nie znać Twojego lokalnego rejestru przedsiębiorstw. Rejestracja zajmuje kilka minut, a LEI jest wydawany niemal natychmiast: zarejestruj swój kod LEI.
Wymagaj LEI od swoich dostawców. Dodaj jedno pole do procesu wdrażania dostawców. Weryfikacja jest bezpłatna i zajmuje sekundy. Jeśli dane się zgadzają, masz potwierdzenie. Jeśli nie, masz podstawy do zadawania pytań przed dokonaniem płatności.
Zastosuj zasadę zmiany danych bankowych. Każda prośba o zmianę danych płatności powinna wymagać dwóch potwierdzeń: sprawdzenia LEI i telefonu na numer kontaktowy już znajdujący się w Twoich zapisach. Ta pojedyncza zasada zapobiegłaby większości klasycznych przypadków oszustw fakturowych.
Umieść swój LEI na swoich fakturach. Pomaga to Twoim partnerom zweryfikować Twoją tożsamość i sygnalizuje, że Twoja firma poważnie traktuje przejrzystość.
Podsumowanie
Większość oszustw płatniczych odnosi sukces, ponieważ tożsamość kontrahenta jest trudna do szybkiej i wiarygodnej weryfikacji. Kod LEI odnosi się do jednego konkretnego i bardzo powszechnego słabego punktu: pojedynczy, globalnie unikalny, publicznie weryfikowalny identyfikator sprawia, że oszustwo jest znacznie trudniejsze do przeprowadzenia. Mniejsze firmy mogą przeprowadzić kontrolę ręcznie w ciągu sekund. Większe organizacje mogą całkowicie zautomatyzować ten proces.
Jeśli Twoja firma nie posiada jeszcze kodu LEI, jego uzyskanie jest najprostszym krokiem, jaki możesz podjąć już dziś, aby poprawić bezpieczeństwo swoich płatności: zarejestruj swój kod LEI.
Jeśli Twój kod LEI wymaga odnowienia, możesz to zrobić tutaj: odnów swój kod LEI.