FOTO: EY

Identiteedivargus ning selle tulemusena toimepandud pettused on pidevalt kasvav probleem. See ei puuduta mitte üksnes eraisikuid, vaid petturid kasutavad lihtsaid skeeme ka ettevõtetelt raha välja petmiseks. CFO fraud on üks kasvavaid pettuse vorme, mille puhul kasutatakse organisatsiooni või finantsjuhi identiteeti, et lasta teha raamatupidajatel ülekandeid petturiga seotud libakontodele.

Kuidas skeem toimib?

Peamiselt esineb kahte liiki pettusi. Osad pettused pannakse toime ettevõtte juhi või tegevdirektori e-kirja kontode kaaperdamise teel. Vastavalt kontolt saadetakse panga ülekannete eest vastutavale töötajale või raamatupidajale e-kiri palvega kanda kiiremas korras raha etteantud pangakontole. Teine viis pettuse toimepanemiseks on ettevõtte suuremate koostööpartnerite elektrooniliste postkastide kaaperdamine. Sellisel juhul teavitab pettur e-kirjas, et kootööpartneri arveldusarve number on muutunud, ning palub seda edaspidi arvete tasumisel arvesse võtta. Nii võib pettus jääda varjatuks pikaks ajaks ning ilmneda alles mitme kuu möödumisel, näiteks juhul, kui hankija tuvastab, et seni hea maksekäitumisega klient on jätnud ootamatult talle väljastatud arved tasumata. Võlgnevuse avastamise ajaks on tehtud aga petturi kontole ülekandeid juba kümnetes kui mitte sadades tuhandetes eurodes.

Miks see skeem toimib?

Pangakonto vahetamise või erakorralise ülekande tegemise põhjuseid võib olla mitmeid. Avastatud juhtumitest saab välja tuua kaks kõige sagedamini kasutatavat versiooni:

  • Tuuakse välja ülekannete laekumise probleemid.
  • Palutakse muuta arveldusarve number uue vastu, kuna ettevõte on vahetanud panka või avanud uue arvelduskonto.

Ettevõtte tegevjuhilt või healt koostööpartnerilt vastava palvega kirja saanud töötaja, näiteks raamatupidaja, selles enamasti ohtu ei aima ja probleemi ei näe, sest kirjale võib olla usaldusväärsuse suurendamiseks lisatud ettevõtte logo ja korrektsed kontaktandmed. Kirja sisu ise on üldjuhul usutav, loogiline ning kahtlusi mittetekitav.

Lisaks sellele ei teosta Eesti pangad alates 2014. aastast SEPA maksete puhul enam arveldusarve ja nime vastavuskontrolli, vaid maksekorralduse täitmisel juhindub pank ainult märgitud kontonumbrist. See loob petturile võimaluse kasutada õiget nime, kuid vale arveldusarve numbrit, et mitte ülekande sooritajas kahtlusi tekitada.

Kuidas pettur tegutseb?

Kaaperdatud kontot kasutav pettur tegutseb üldjuhul ettevaatlikult ning tema sammud on põhjalikult etteplaneeritud, seejuures varem saadetud (petu)kirjad kas kustutatakse või hoitakse suhtlus peidetud kaustades. Samuti on selliste juhtumite puhul täheldatud, et pettur jälgib tähelepanelikult juhtide kalendrit ja ärireisidel viibimise aegu. Üldjuhul saadetaksegi petukirju palvega sooritada kiire ülekanne just juhi lähetuses viibimise ajal. E-kirjas võidakse rõhutada tehingu kiireloomulisust, konfidentsiaalset iseloomu, olulisust uue koostööpartneri saamisel või muud erakorralist olukorda.

Mida ettevõte saaks teha?

Toome välja mõned pettuseriski maandavad soovitused, mida võiks organisatsioonis rakendada:

  • Helistage üle ning küsige suulist kinnitust arveldusarve muutmise kohta. Vältida tuleb konkreetse e-kirja all olevaid kontaktandmeid ning kasutada vaid ettevõtte andmebaasis olevaid ametlikke kontakte.
  • Kehtestage ettevõttes pangaülekannete topeltkinnitamise nõue alates kindlast piirmäärast. Topeltkinnituste ajal või kinnitusringist tekkiva viivituse tulemusena on suurem tõenäosus, et pettus avastatakse.
  • Kehtestage ettevõttes topeltkinnitused ka hankijate/tarnijate andmete muutmisel (ettevõtte aadress, ärinimi, arveldusarve number). Samuti määrake piiratud volitused töötajale, kellel on õigus ainuisikuliselt hankijate/tarnijate andmeid muuta.

Organsatsiooni meilikontodesse häkkimine, variisikute kasutamine, valekliendina esinemine toob ettevõtetele kahju sadu miljoneid eurosid. Lihtsate sisekontrollimeetmete rakendamine võib aga eelnimetatud pettuseid ennetada ning aidata ära hoida potentsiaalset kahju.

Autor: Teet Tamme, EY pettuste uurimise spetsialist