Kradzież pieniędzy z konta spółki (cyberatak) – co zrobić?
Wyobraź sobie typowy wtorek. Sprawdzasz poranny wyciąg bankowy swojej spółki z o.o., spodziewając się standardowych płatności od kontrahentów. Zamiast tego widzisz przelew na kilkadziesiąt tysięcy złotych na zagraniczne konto, którego nie rozpoznajesz. Serce podchodzi Ci do gardła. Dzwonisz do księgowej – ona nic o tym nie wie.
W tym momencie uświadamiasz sobie, że stało się najgorsze: cyberprzestępcy wyczyścili konto Twojej firmy. To nie jest tylko problem „informatyczny”. To sytuacja kryzysowa, która może doprowadzić do utraty płynności finansowej, braku środków na wynagrodzenia czy podatki, a w konsekwencji nawet do niewypłacalności. Co gorsza, jeśli jako członek zarządu nie dopełniłeś procedur bezpieczeństwa, możesz odpowiadać za tę stratę swoim prywatnym majątkiem.
Nie panikuj, ale działaj błyskawicznie. Ten artykuł to Twoja instrukcja ratunkowa. Jako adwokat przeprowadzę Cię przez procedurę prawną: od zgłoszenia, przez walkę z bankiem, aż po kwestie podatkowe i odpowiedzialność władz spółki.
1. Zgłoszenie na Policję i do Banku (reklamacja)
W przypadku kradzieży środków z rachunku bankowego firmy, czas nie gra na Twoją korzyść. Liczy się każda minuta. Twoim absolutnym priorytetem jest natychmiastowe poinformowanie banku o nieautoryzowanej transakcji.
Zadzwoń na infolinię, zablokuj dostęp do bankowości elektronicznej i karty płatnicze. Następnie musisz złożyć pisemną reklamację. Pamiętaj, że w relacji z bankiem spółka z o.o. nie jest traktowana jak konsument, ale jak profesjonalista. Przepisy ustawy o usługach płatniczych stawiają przed Tobą wyższe wymagania.
DO ZAPAMIĘTANIA: Bank ma obowiązek zwrócić kwotę nieautoryzowanej transakcji niezwłocznie (tzw. zasada D+1), CHYBA ŻE ma uzasadnione podejrzenie oszustwa ze strony płatnika lub zgłosi sprawę organom ścigania. W praktyce banki często odmawiają zwrotu, powołując się na „rażące niedbalstwo” klienta (np. udostępnienie loginu osobom trzecim).
Równolegle musisz złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa na Policji lub w Prokuraturze. Bez formalnego zgłoszenia i nadania sygnatury sprawie, Twoja pozycja w sporze z bankiem oraz przed Urzędem Skarbowym będzie bardzo słaba. Pamiętaj, że reprezentacja spółki z o.o. przy składaniu takich zawiadomień musi być zgodna z KRS – działajcie zgodnie z zasadami reprezentacji, aby zawiadomienie było skuteczne.
2. Odpowiedzialność zarządu za brak zabezpieczeń
Kradzież pieniędzy to cios dla spółki, ale może stać się też osobistym dramatem członków zarządu. Jeśli cyberatak udał się, ponieważ hasło do konta brzmiało „firma1234”, albo komputer księgowej nie miał aktualnego oprogramowania antywirusowego, wspólnicy mogą pociągnąć zarząd do odpowiedzialności.
Zgodnie z Kodeksem spółek handlowych, członek zarządu odpowiada za szkodę wyrządzoną spółce działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami umowy spółki, chyba że nie ponosi winy. Należyta staranność w dzisiejszych czasach obejmuje również cyberbezpieczeństwo.
WAŻNE: Zaniedbanie procedur bezpieczeństwa IT może zostać uznane za naruszenie obowiązku zachowania należytej staranności. W takiej sytuacji odpowiedzialność członków zarządu za utracone środki może być egzekwowana z ich majątku prywatnego na podstawie art. 293 KSH.
Historia z Kancelarii: „Droga faktura za prąd”
Jeden z moich klientów, Prezes zarządu spółki handlowej, otrzymał maila łudząco przypominającego wezwanie do zapłaty za prąd od dużego dostawcy energii. Kwota była niewielka – 300 zł. Prezes, chcąc szybko „załatwić temat”, kliknął w link w mailu i zalogował się do banku przez podstawioną stronę.
Następnego dnia z konta zniknęło 150 000 zł (limit dzienny). Bank odmówił zwrotu, twierdząc, że klient udostępnił dane logowania dobrowolnie (rażące niedbalstwo). Co gorsza, mniejszościowy wspólnik zagroził pozwem o działanie na szkodę spółki z o.o.. Sprawa była trudna. Udało nam się wykazać w sądzie, że strona hakerska była perfekcyjną kopią oryginału i nawet ostrożny przedsiębiorca mógł dać się nabrać, co pozwoliło odzyskać część środków od banku i oddalić roszczenia wspólnika. Jednak stres i koszty obsługi prawnej były ogromne.
3. Strata w środkach obrotowych – czy jest kosztem podatkowym?
Kiedy emocje opadną, pojawia się pytanie księgowej: „Szefie, jak mam to zaksięgować i czy to jest koszt uzyskania przychodu?”. Odpowiedź brzmi: to zależy.
Organy podatkowe stoją na stanowisku, że strata środków obrotowych w wyniku kradzieży może być kosztem podatkowym, ale pod pewnymi warunkami:
- Brak winy podatnika: Musisz udowodnić, że dochowałeś należytej staranności w zabezpieczeniu środków (np. miałeś procedury, antywirusy, szkolenia dla pracowników).
- Udokumentowanie straty: Nie wystarczy samo zgłoszenie. Najczęściej konieczne jest postanowienie o umorzeniu śledztwa przez Policję/Prokuraturę z powodu niewykrycia sprawcy. Dopiero taki dokument jest „twardym” dowodem dla Fiskusa.
Jeśli kradzież doprowadzi spółkę na skraj bankructwa, konieczne może być rozważenie radykalnych kroków, takich jak upadłość spółki z o.o., jednak prawidłowe zaliczenie straty w koszty może w niektórych przypadkach poprawić wynik podatkowy w tym trudnym okresie. Pamiętaj też, że zdarzenie to musi znaleźć odzwierciedlenie w dokumentacji rachunkowej, w tym w sprawozdaniu finansowym z działalności spółki.
4. Ubezpieczenie cybernetyczne
W obecnym stanie prawnym i technologicznym, tradycyjne ubezpieczenie OC działalności gospodarczej rzadko pokrywa straty wynikające z cyberataków (phishing, ransomware, CEO fraud). Towarzystwa ubezpieczeniowe często stosują wyłączenia dotyczące „szkód w cyberprzestrzeni”.
ADWOKAT RADZI: Przeanalizuj swoją polisę ubezpieczeniową. Jeśli obracasz dużymi środkami elektronicznie, rozważ dedykowaną polisę „Cyber”. Dobre ubezpieczenie pokrywa nie tylko skradzione środki, ale też koszty informatyków śledczych, obsługę prawną (w tym RODO, jeśli wyciekły dane klientów) oraz koszty przestoju firmy.
Pamiętaj, że decyzja o zakupie takiej polisy to również element dbałości zarządu o interesy spółki. Brak odpowiedniego zabezpieczenia, w przypadku ataku, może być argumentem dla wspólników chcących odwołać zarząd.
FAQ – Najczęściej zadawane pytania
1. Czy bank zwraca skradzione pieniądze firmie?
Banki często odmawiają zwrotu środków firmom, powołując się na art. 46 ustawy o usługach płatniczych. Twierdzą, że do transakcji doszło z winy umyślnej płatnika lub w wyniku jego rażącego niedbalstwa (np. podanie kodu SMS oszustom). W przeciwieństwie do konsumentów, przedsiębiorcy mają trudniejszą drogę dowodową. Często odzyskanie pieniędzy wymaga skierowania sprawy na drogę sądową i udowodnienia, że zabezpieczenia banku były niewystarczające, a działanie pracownika firmy nie nosiło znamion rażącego niedbalstwa.
2. Jak zaksięgować kradzież z konta?
Skradzione środki należy początkowo zaksięgować jako „Pozostałe rozrachunki” (roszczenie wobec sprawcy lub banku). Jeśli odzyskanie środków okaże się niemożliwe (np. po umorzeniu śledztwa i odmowie banku), kwotę tę przeksięgowuje się w „Pozostałe koszty operacyjne”. Aby uznać tę stratę za koszt uzyskania przychodu (KUP), należy posiadać protokół z Policji/Prokuratury potwierdzający zaistnienie przestępstwa i brak wykrycia sprawcy, a także sporządzić protokół szkody wewnątrz firmy, wykazujący brak winy w nadzorze nad środkami.
Twoja firma padła ofiarą cyberataku? Bank odmawia uznania reklamacji? Nie czekaj, aż sprawa się przedawni. Skontaktuj się z moją Kancelarią. Przeanalizujemy Twoją sytuację, sprawdzimy regulamin banku i pomożemy Ci walczyć o odzyskanie utraconych środków oraz zabezpieczyć zarząd przed odpowiedzialnością.
