Pobierz darmowy audyt
Termin Aktualizacja: Czas czytania:

falszywy rachunek za prad

Jeden fałszywy mail z fakturą za prąd potrafi wyczyścić konto firmowe w 15 minut - oto jak rozpoznać oszustwo, zanim klikniesz.

W skrócie

Fałszywy rachunek za prąd to oszustwo: podrobiona faktura, SMS lub mail z wezwaniem do zapłaty za energię, z linkiem wyłudzającym dane lub przelew. Dla MŚP jedno kliknięcie może oznaczać utratę kilkudziesięciu tysięcy złotych z konta firmowego.

Czym jest fałszywy rachunek za prąd

Fałszywy rachunek za prąd – próba wyłudzenia pieniędzy lub danych osobowych przez oszustów podszywających się pod firmy energetyczne lub instytucje publiczne. Ministerstwo Klimatu i Środowiska oraz Urząd Regulacji Energetyki regularnie ostrzegają przed trzema głównymi formami tego oszustwa. Pierwsza i najczęstsza to fałszywy e-mail z załącznikiem PDF – cyberprzestępcy rozsyłają wiadomości informujące o rzekomych zaległościach w rachunkach za energię elektryczną, używając haseł o „pilnej dopłacie” lub „weryfikacji danych”. Jak wskazuje MKiŚ, ministerstwo nigdy nie wysyła wezwań do uregulowania rachunków za energię drogą mailową. Celem tych wiadomości jest wyłudzenie płatności lub przejęcie danych odbiorców.

Druga forma to SMS z linkiem do fałszywej strony płatności. Oszuści wysyłają na telefon komórkowy informację o nieopłaconym rachunku za energię elektryczną. W wiadomości znajduje się link, którego kliknięcie może skutkować instalacją złośliwego oprogramowania na urządzeniu lub przekierowaniem na stronę wyłudzającą dane logowania do bankowości. Policja ostrzega, by nigdy nie otwierać takich linków i nie podawać danych na stronach, do których prowadzą.

Trzecia forma to papierowe wezwanie do zapłaty wysyłane pocztą tradycyjną. Oszuści podszywają się pod pracowników firm dostarczających energię elektryczną i rozsyłają pisma z wezwaniem do uregulowania zaległości. Przed wykonaniem przelewu należy zawsze zweryfikować dane nadawcy – numer klienta, adres punktu poboru i numer rachunku bankowego – bezpośrednio u swojego sprzedawcy energii. URE podkreśla, że fałszywe wezwania mają na celu wyłudzenie płatności lub danych od odbiorców, i zaleca zachowanie szczególnej ostrożności przed wpłacaniem pieniędzy na podstawie jakiejkolwiek korespondencji, której autentyczności nie potwierdzono u źródła.

Jak rozpoznać fałszywą fakturę za energię

Jak rozpoznać fałszywy rachunek za prąd – 6 sygnałów ostrzegawczych

  1. Literówka w domenie nadawcy lub dziwny adres e-mail
    Oszuści wysyłają wiadomości z adresów łudząco podobnych do prawdziwych – np. “enea-platnosci.com” zamiast “enea.pl”. Ministerstwo Klimatu i Środowiska wskazuje, że cyberprzestępcy podszywają się pod instytucje publiczne i firmy energetyczne [1]. Przed kliknięciem sprawdź domenę znak po znaku.
  2. Brak numeru PPE, NIP lub nieprawidłowe dane odbiorcy
    Prawdziwa faktura za energię zawsze zawiera numer Punktu Poboru Energii (PPE) i NIP sprzedawcy. URE ostrzega, że fałszywe wezwania do zapłaty często zawierają błędne lub niekompletne dane identyfikacyjne odbiorcy [4]. Porównaj dane z ostatnią fakturą od swojego sprzedawcy.
  3. Link kierujący poza oficjalną stronę sprzedawcy
    Policja w Kłodzku ostrzega: w fałszywych SMS-ach i mailach znajdują się linki, których nie wolno otwierać – po kliknięciu na telefonie może zostać zainstalowane złośliwe oprogramowanie [2]. Zamiast klikać, wejdź ręcznie na stronę swojego sprzedawcy i sprawdź stan konta.
  4. Presja czasu – groźba odcięcia prądu w 24h
    Fałszywe wiadomości zawierają hasła o “pilnej dopłacie” i “natychmiastowym uregulowaniu” zaległości [3]. Prawdziwy sprzedawca energii musi wysłać wezwanie do zapłaty i odczekać ustawowy termin przed odłączeniem. Jeśli mail wymusza działanie w ciągu kilkunastu godzin – to manipulacja.
  5. Kwota niezgodna z historią rachunków
    Fałszywe faktury często opiewają na kwoty nieprzystające do rzeczywistego zużycia – albo podejrzanie niskie (by skłonić do szybkiej “dopłaty”), albo zawyżone. URE zaleca porównanie każdego wezwania z dotychczasowymi rachunkami i historią wpłat [4]. Nagły skok kwoty bez zmiany zużycia to czerwona flaga.
  6. Załącznik w formacie .exe, .zip lub .rar zamiast PDF
    Prawdziwa faktura przychodzi jako plik PDF lub jest dostępna w panelu klienta. Cyberprzestępcy rozsyłają wiadomości z załącznikami zawierającymi złośliwe oprogramowanie [3][4]. Nigdy nie otwieraj załączników z rozszerzeniami wykonywalnymi – legitymowany sprzedawca nie wysyła rachunków w archiwach ZIP.

Dlaczego MŚP traci więcej niż gospodarstwo domowe

Firmy z sektora MŚP płacą za energię elektryczną od 3 000 do 15 000 zł miesięcznie – kwoty, które nie wzbudzają alarmu w księgowości, bo mieszczą się w normalnym zakresie kosztów operacyjnych. Cyberprzestępcy wykorzystują ten fakt: fałszywy rachunek na 4 200 zł wygląda wiarygodnie obok prawdziwych faktur o zbliżonej wartości. Ministerstwo Klimatu i Środowiska ostrzega, że oszuści rozsyłają wiadomości e-mail informujące o rzekomych zaległościach, stosując hasła o pilnej dopłacie lub konieczności weryfikacji danych. Celem jest wyłudzenie płatności lub danych od odbiorców – jak potwierdza Urząd Regulacji Energetyki.

Mechanizm ataku na MŚP opiera się na trzech elementach: presji czasu, wiarygodnej kwocie i linku do fałszywej bramki płatniczej. Oszuści wysyłają SMS-y lub e-maile z informacją o nieopłaconym rachunku za energię elektryczną, a w wiadomości znajduje się link, którego nie wolno otwierać – po kliknięciu może zostać zainstalowane złośliwe oprogramowanie na urządzeniu. Policja w Kłodzku dokumentuje przypadki, w których kliknięcie takiego linku prowadziło do przejęcia dostępu do konta bankowego firmy. Dla jednoosobowej działalności utrata 5 000-10 000 zł z rachunku firmowego oznacza realny problem z płynnością.

Skala phishingu energetycznego rośnie, bo branża energetyczna daje oszustom naturalny pretekst – każda firma płaci za prąd, więc fałszywe wezwanie trafia w realne zobowiązanie. Przestępcy podszywają się zarówno pod dostawców energii, jak i pod instytucje publiczne, w tym ministerstwa. URE podkreśla, że coraz częściej narażeni jesteśmy na działania cyberprzestępców polegające na wysyłaniu fałszywych e-maili z informacją o braku uregulowania należności. MŚP, które nie ma dedykowanego działu IT ani procedur weryfikacji faktur za energię, stanowi łatwiejszy cel niż korporacja z wielopoziomową autoryzacją płatności.

Co zrobić gdy otrzymasz podejrzany rachunek

Co zrobić, gdy dostaniesz podejrzany rachunek za prąd – procedura krok po kroku

  1. Krok 1
    Nie klikaj żadnego linku i nie otwieraj załączników. Fałszywe maile i SMS-y zawierają odnośniki instalujące złośliwe oprogramowanie na telefonie lub komputerze [2]. Zamknij wiadomość, ale jej nie usuwaj – przyda się jako dowód.
  2. Krok 2
    Zaloguj się do eBOK swojego sprzedawcy energii bezpośrednio przez przeglądarkę (nie przez link z wiadomości). Porównaj kwotę, numer konta i termin płatności z danymi w podejrzanym rachunku. Rozbieżność w którymkolwiek polu oznacza próbę oszustwa.
  3. Krok 3
    Sprawdź numer PPE (Punkt Poboru Energii) i NIP sprzedawcy widniejące na rachunku. Prawidłowy numer PPE ma 18 cyfr i figuruje na każdej autentycznej fakturze oraz w umowie. Brak PPE, błędny NIP lub nieprawidłowe dane adresowe to sygnał fałszywki [4][5].
  4. Krok 4
    Zadzwoń na infolinię sprzedawcy pod numer z umowy lub z oficjalnej strony internetowej – nigdy pod numer podany w podejrzanej wiadomości. Potwierdź, czy firma faktycznie wysłała rachunek i czy istnieje zaległość na koncie odbiorcy [1][3].
  5. Krok 5
    Zgłoś incydent do CERT Polska na stronie incydent.cert.pl oraz na najbliższy komisariat Policji. Jeśli podejrzewasz, że oszust podszywa się pod sprzedawcę energii, złóż zawiadomienie również do URE, który monitoruje nadużycia na rynku energii elektrycznej [4]. Zachowaj wiadomość, zrzuty ekranu i potwierdzenia logowania jako materiał dowodowy.

Najczęstsze błędy firm przy weryfikacji rachunków

Najczęstsze błędy, które ułatwiają oszustom wyłudzenie płatności za fałszywy rachunek

  1. Brak procedury weryfikacji nowych rachunków przed przelewem
    Księgowość opłaca faktury na podstawie samego maila, bez porównania numeru konta z poprzednimi płatnościami ani kontaktu ze sprzedawcą energii. URE wskazuje, że oszuści liczą właśnie na automatyczne przetwarzanie – fałszywy dokument trafia do systemu i zostaje opłacony, zanim ktokolwiek sprawdzi dane nadawcy.
  2. Płacenie rachunków bezpośrednio z linku w mailu lub SMS
    Kliknięcie linku z wiadomości to najkrótsza droga do wyłudzenia. Policja w Kłodzku ostrzega, że link z SMS-a o nieopłaconym rachunku za energię może zainstalować złośliwe oprogramowanie na telefonie. Ministerstwo Klimatu potwierdza, że fałszywe maile zawierają hasła o pilnej dopłacie, by wymusić pochopną reakcję bez logowania do panelu klienta.
  3. Brak whitelisty zaufanych nadawców i numerów kont
    Firma bez listy zweryfikowanych adresów e-mail i rachunków bankowych swoich dostawców energii nie ma punktu odniesienia do porównania. Każdy nowy numer konta powinien uruchamiać procedurę potwierdzenia telefonicznego pod numer z umowy – nie z otrzymanej wiadomości.
  4. Ignorowanie zmiany numeru konta bankowego na fakturze
    Zmiana rachunku bankowego na dokumencie od stałego dostawcy to najsilniejszy sygnał oszustwa. URE podkreśla, że nie należy wpłacać pieniędzy na konta wskazane w podejrzanych wiadomościach. Każda zmiana numeru konta wymaga weryfikacji telefonicznej u sprzedawcy pod numer z podpisanej umowy.
  5. Brak zgłaszania prób oszustwa do CERT Polska i na policję
    Niezgłoszona próba wyłudzenia oznacza, że ten sam schemat trafi do kolejnych firm. Fałszywy mail lub SMS warto przesłać na adres cert.pl i zgłosić na policji. Ministerstwo Klimatu i Środowiska publikuje ostrzeżenia o aktywnych kampaniach phishingowych – brak zgłoszeń opóźnia reakcję służb i wydłuża czas działania oszustów.

Jak zabezpieczyć firmę przed fałszywymi rachunkami

Każdy przelew za energię powyżej 2 000 zł powinien przejść przez zasadę dwóch par oczu – jedna osoba przygotowuje płatność, druga ją zatwierdza po niezależnej weryfikacji danych odbiorcy. Cyberprzestępcy celowo wysyłają faktury na kwoty mieszczące się w typowym zakresie kosztów firmy, licząc na automatyczne przetworzenie przez księgowość. Wprowadzenie podwójnej autoryzacji eliminuje scenariusz, w którym pojedynczy pracownik pod presją czasu przelewa pieniądze na podstawione konto. Próg 2 000 zł to rozsądne minimum dla MŚP – firmy z wyższymi rachunkami mogą go podnieść, ale nie powinny rezygnować z reguły całkowicie.

Drugi filtr to weryfikacja numeru konta bankowego z umową lub panelem eBOK sprzedawcy. Urząd Regulacji Energetyki podkreśla, że fałszywe wezwania mają na celu wyłudzenie płatności lub danych od odbiorców – numer rachunku bankowego w podejrzanej fakturze nigdy nie powinien być jedynym źródłem informacji o tym, dokąd wysłać przelew. Przed każdą płatnością księgowość powinna porównać numer konta z danymi w podpisanej umowie dystrybucyjnej lub sprawdzić go bezpośrednio w elektronicznym biurze obsługi klienta swojego sprzedawcy. Jeśli numer się nie zgadza – płatność nie wychodzi, a faktura trafia do weryfikacji.

Trzecie zabezpieczenie to szkolenie pracowników z rozpoznawania phishingu. Ministerstwo Klimatu i Środowiska ostrzega, że oszuści podszywają się pod instytucje publiczne oraz firmy energetyczne, informując o rzekomych zaległościach i konieczności pilnej dopłaty. Materiały szkoleniowe publikowane przez CERT Polska zawierają aktualne przykłady fałszywych wiadomości i procedury zgłaszania incydentów. Dla firmy zatrudniającej 5-50 osób wystarczy jedno 30-minutowe szkolenie kwartalne połączone z wysyłką testowych wiadomości phishingowych – pracownik, który choć raz kliknie w symulowany link, znacznie lepiej rozpoznaje prawdziwe zagrożenie przy następnej próbie.

Najczęstsze pytania

Najczęstsze pytania

Czy dostawca prądu może odciąć energię bez uprzedzenia za niezapłacony rachunek?
Nie. Zgodnie z prawem energetycznym sprzedawca musi wysłać pisemne wezwanie do zapłaty i wyznaczyć co najmniej 14 dni na uregulowanie należności, zanim rozpocznie procedurę wstrzymania dostaw. Fałszywe rachunki często grożą natychmiastowym odcięciem – to sygnał ostrzegawczy, że masz do czynienia z oszustwem.
Gdzie zgłosić fałszywy rachunek za prąd podszywający się pod dostawcę energii?
Zgłoś incydent na Policję (art. 286 k.k. – oszustwo) oraz do CERT Polska na stronie incydent.cert.pl. URE zaleca również poinformowanie swojego faktycznego sprzedawcy energii, aby mógł ostrzec innych odbiorców. Jeśli fałszywy mail przyszedł z domeny instytucji publicznej, zgłoś to też do Ministerstwa Klimatu i Środowiska [1].
Czy mogę odzyskać pieniądze przelane na konto z fałszywego rachunku za energię?
Natychmiast skontaktuj się ze swoim bankiem i złóż dyspozycję recall (wycofania przelewu). Banki mają procedurę odzyskiwania środków, ale szanse maleją z każdą godziną – w ciągu pierwszych 24 godzin skuteczność jest najwyższa. Równolegle złóż zawiadomienie na Policji, bo dokumentacja policyjna przyspiesza procedurę bankową.
Jak zweryfikować, czy mail z rachunkiem za prąd jest prawdziwy, a nie phishingiem?
Sprawdź domenę nadawcy – oszuści używają domen wizualnie podobnych do oficjalnych, np. eon-energia.pl zamiast eon.pl. Nie klikaj linków w wiadomości; zaloguj się do eBOK dostawcy ręcznie wpisując adres w przeglądarkę i porównaj saldo. URE i Ministerstwo Klimatu ostrzegają, że legalni sprzedawcy nigdy nie żądają natychmiastowej płatności przez link w mailu [1][4].

Źródła

Bezpłatna konsultacja

Nie wiesz, od czego zacząć?
Oddzwonimy w 24 h.

Doradca (nie sprzedawca) zadzwoni i pomoże policzyć, czy w Twoim przypadku ma większy sens magazyn, czy zmiana sprzedawcy. Bez zobowiązań.

  • Bez kosztów
  • Bez subskrypcji
  • Maks. 1 telefon
  • Twoje dane zabezpieczone
Lub bezpośrednio do założyciela: [email protected] · Paweł Więsak, Prezes

Zostaw kontakt

Wypełnienie zajmuje 20 sekund.

9 cyfr, bez prefixu +48

Bezpłatna konsultacja

Prześlij fakturę - sprawdzimy, ile możesz zaoszczędzić.

Zostaw kontakt i ostatnią fakturę za prąd. Paweł przeanalizuje ją osobiście i oddzwoni z konkretną liczbą. Bez zobowiązań.

Paweł Więsak
Paweł Więsak Prezes EkoMocni - odpowiada osobiście
Nie chcesz wypełniać formularza?
WhatsApp Telegram 732 901 090

Zostaw kontakt

Wypełnienie zajmuje 20 sekund. Doradca, nie sprzedawca.

9 cyfr, bez prefixu +48

Faktury za prąd/gaz (opcjonalnie)
    Zobacz przykładowy audyt PDF
    Napisz do Pawła

    Sprawdzę Twoje rachunki i powiem, gdzie tracisz.

    Odpisuję osobiście, na spokojnie i bez schematu sprzedażowego. Nie musisz nic wiedzieć o rynku energii - od tego jestem ja.

    Paweł Więsak
    Paweł Więsak Prezes EkoMocni - odpowiada osobiście

    Wybierz swój komunikator

    Jeden klik - rozmowę prowadzimy tam, gdzie Ci wygodnie.

    Napisz na WhatsApp Najczęściej wybierany Napisz na Telegram Jeśli wolisz Telegram Lub zadzwoń 732 901 090 · PN-PT 8:00-18:00
    • Każda wiadomość trafia do mnie i ja na nią odpisuję. Po drodze nasza infolinia może dopytać o szczegóły, żeby przyspieszyć analizę.
    • Zwykle odpisuję tego samego dnia roboczego.
    • Faktury służą tylko do wyliczeń. Nie trafiają do firm energetycznych.

    Co wysłać: zdjęcie 2-3 ostatnich faktur za prąd i jedno zdanie o Twojej firmie. To wystarczy, żebym przygotował konkretną propozycję.

    Bez zobowiązań i bez prowizji. Dostajesz analizę i sam decydujesz, co dalej.