Článek
V pátek dopoledne jsem seděla nad frontou faktur a hlídala uzávěrku. Šéf mi psal z auta, ať to pošlu ještě dnes kvůli skontu, aby nám v pondělí nepřerušili dodávky. Do e‑mailu dorazila faktura od našeho stálého dodavatele v PDF, navazovala na předchozí objednávku a obsahovala jen poznámku o aktualizaci účtu. Stáhla jsem ji, zadala platbu a v mobilní aplikaci ji bez přemýšlení potvrdila otiskem prstu. Byla jsem v klidu a myslela si, že to jako vždy zůstane čekat na druhý podpis.
Telefonát, jiný IBAN a marné zastavení platby
Za hodinu mi volala účetní dodavatele, že zachytili podezřelý e‑mail se „změnou účtu“ odeslaný z jejich adresy, a ptala se, jestli jsme na něj něco neposlali. Otevřela jsem znovu to PDF a všimla si, že IBAN byl jiný, než mívají. Přepnula jsem do bankovnictví a místo „čeká na schválení“ se zobrazovalo „provedena“. Volala jsem do banky, jestli to jde zastavit. Nešlo. Platba proběhla okamžitě; prý můžeme maximálně podat žádost o vrácení přes banku příjemce a doufat, že ji tam hned neposlali dál.
Když se šéf vrátil, šla jsem za ním a všechno mu řekla. Třásly se mi ruce a moc jsem litovala, že jsem to potvrdila. Připomněl mi směrnici, že jakoukoli změnu účtu ověřujeme telefonicky. Namítla jsem, že ten e‑mail přišel z jejich skutečné adresy a navazoval na naši konverzaci. Dodavatel nám po telefonu potvrdil, že účet neměnili a že poslední týdny řeší podezřelé e‑maily. Předali jsme to našemu externímu IT a současně jsme podali trestní oznámení. Neměli jsme v tu chvíli jiné možnosti.
Skutečný důvod: vypnutý druhý podpis a důsledky
IT technik si vyžádal původní zprávu a prošel hlavičky. Řekl, že e‑mail opravdu přišel z jejich domény. Nejpravděpodobnější bylo, že mají kompromitovanou schránku a někdo v ní čeká na faktury, aby v PDF vyměnil IBAN. Pořád jsem ale nechápala, proč ta platba nečekala na druhý podpis jako obvykle. Šéf se nadechl a řekl, že minulý týden nechal druhý podpis dočasně vypnout, aby mohl z mobilu posílat urgentní platby. „Chtěl jsem to hned vrátit, nějak jsem na to zapomněl,“ dodal. Došlo mi, že proto stačilo moje rychlé potvrzení v mobilu a už se s tím nedalo nic dělat.
Večer jsme seděli nad čísly a řešili, kdo co ponese. Ve mně se míchal stud a vztek, protože jsem nevolala ověřit účet, a on zase neřekl, že změnil nastavení a platby jdou hned. Nakonec jsme sepsali písemnou dohodu o srážkách ze mzdy v zákonném limitu, a to po dohodě a bez nátlaku. Zbytek ponese firma. Okamžitě jsme znovu zapnuli druhý podpis. Zavedli jsme pravidlo telefonického ověření každé změny účtu – volat na číslo z rámcové smlouvy nebo z oficiálního webu, ne na kontakt z e‑mailu. A zakázali jsme posílání faktur na soukromé adresy, aby se nám nerozmělňovala kontrola.
Další dny byly náročné. Dodavatel řešil zabezpečení schránek a audit přístupů, my jsme rušili staré zvyky a nastavovali rutiny, které jsme dosud obcházeli. U mě to znamenalo napsat si tučně do kontrolního seznamu: žádný nový účet bez telefonátu a žádná platba automaticky. Když dnes přikládám prst na potvrzení, vím přesně, co tím spouštím. Než to udělám, dvakrát zkontroluji, komu tím potvrzením vlastně posílám peníze. A když si nejsem jistá, zvednu telefon, i kdyby to mělo znamenat, že faktura odejde až v pondělí.
