Sprzeniewierzenie aktywów to najczęstszy rodzaj oszustwa korporacyjnego – stanowi ponad 50 proc. wszystkich zgłoszonych przypadków. Przestępstwa najczęściej popełniają pracownicy z wieloletnim stażem, znający procedury i cieszący się zaufaniem w przedsiębiorstwie. Przed takimi zdarzeniami chronią firmy specjalistyczne ubezpieczenia sprzeniewierzenia – Crime, które obejmują działania nieuczciwych pracowników, oszustwa i nieautoryzowane transfery funduszy.
Sprzeniewierzenie aktywów to najczęstszy rodzaj oszustwa korporacyjnego – stanowi 52 proc. wszystkich zgłoszonych przypadków, wynika z raportu KPMG „Global profiles of the fraudster”. W ramach tej kategorii przestępstw najczęściej (50 proc. przypadków) dochodzi bezprawnego wykorzystania dla osobistych korzyści aktywów powierzonych przez firmę. Na drugim miejscu znajdują się oszustwa związane z zamówieniami (38 proc.) – polegają na zmowie z dostawcą w celu ustalenia fałszywie wysokich cen.
Statystyczny sprawca to mężczyzna w wieku 36–55 lat (67,5 proc. przypadków), z co najmniej sześcioletnim stażem pracy (65 proc.), często na stanowisku kierowniczym. Do najczęstszych nadużyć dochodzi w działach: operacyjnym (32 proc.), finansowym (25 proc.), biurze CEO (25 proc.) i zakupowym (23 proc.). W ponad połowie przypadków sprawcy działają grupowo, najczęściej w zespołach liczących od 2 do 5 osób.
– To pokazuje, jak duże zagrożenie pochodzi z wewnątrz organizacji. Ugruntowana pozycja zaufanych pracowników sprawia, że nieraz długo pozostają poza podejrzeniami. Skalę problemu w Polsce pokazują tegoroczne dane Grupy BIK – niemal 32 proc. firm MŚP doświadczyło prób oszustów finansowych oraz ZPF i EY Polska – w sektorze finansowym 46,7 proc. instytucji dostrzega wzrost nadużyć. Zgodnie z danymi BIK o 5. przedsiębiorca wskazuje ryzyko fraudów wewnętrznych jako realne. W kontrze do potrzeb znajduje się świadomość ubezpieczeniowa krajowych firm, które wciąż rzadko sięgają po ochronę na wypadek sprzeniewierzenia. Polisa zapewnia odszkodowanie po szkodzie, a sam etap przed zawarciem umowy pozwala na audyt ryzyka i ocenę procedur. Dzięki temu firma wie, gdzie są jej słabe punkty – mówi Mateusz Manuszak, broker ubezpieczeniowy w Attis Broker.
Jakie ubezpieczenie na wypadek sprzeniewierzenia?
Odpowiedzią na rosnące zagrożenie sprzeniewierzeniem są specjalistyczne ubezpieczenia crime. Te produkty pokrywają bezpośrednie straty finansowe poniesione przez firmę w wyniku szerokiego katalogu nieuczciwych działań.
– Ubezpieczenie zapewnia ochronę przed szerokim zakresem zagrożeń związanych ze sprzeniewierzeniem – na wypadek „klasycznej” kradzieży dokonanej przez pracownika, przez skomplikowane operacje fraudowe po wykorzystanie inżynierii społecznej, powodującej utratę rzeczy, środków pieniężnych lub papierów wartościowych. Kluczowa cecha tych produktów polega na tym, że obejmuje działania osób wewnątrz organizacji – pracowników, praktykantów, stażystów, personelu tymczasowego, a nawet współpracowników na umowach cywilnoprawnych oraz osoby z zewnątrz niebędące pracownikami. Ochrona obejmuje szkody ujawnione w okresie ubezpieczenia i zgłoszone ubezpieczycielowi przed końcem okresu ubezpieczenia. To ubezpieczenie zapewnia odszkodowanie równe poniesionej stracie finansowej, a także inne koszty wygenerowane w związku ze szkodą – wyjaśnia Mateusz Manuszak z Attis Broker.
Warto zaznaczyć, że z uwagi na specyfikę ryzyka sprzeniewierzenia oraz intencję pokrywania szkód istotnie wpływających na organizację ubezpieczyciele stosują podniesione poziomy udziałów własnych w wypłacanym odszkodowaniu, niespotykane standardowo w innych rodzajach ubezpieczeń. Wartości udziałów własnych idące w dziesiątki tysięcy a nawet setki tysięcy złotych nie powinny być tutaj zaskoczeniem. Paradoksalnie nie jest to też ubezpieczenie ekstremalnie drogie. Stawki składek zaczynają się od poziomu kilkunastu promili od sumy ubezpieczenia.
Zakres ochrony może obejmować m.in. oszustwa wewnętrzne (np. sprzeniewierzenie i kradzież mienia przez pracowników, fałszerstwa, podrobienia), oszustwa zewnętrzne (inżynieria społeczna, np. ataki podszywające się za prezesa, fałszowanie faktur, kradzież), a także utratę funduszy lub zwiększone należności (np. nieautoryzowane transakcje , nieuprawniony dostęp generujący koszty telekomunikacyjne). Co istotne, ubezpieczenia te standardowo pokrywają również koszty dodatkowe – od wynagrodzeń audytorów, prawników i specjalistów IT, przez wydatki na łagodzenie szkód wizerunkowych i ochronę reputacji firmy w mediach.
Dlaczego polisa cyber to za mało?
Wiele firm, inwestując w cyberbezpieczeństwo i wykupując polisy cyber, ma poczucie kompleksowej ochrony przed oszustwami. Jednak standardowe ubezpieczenie cyber nie pokrywa strat wynikających z nieuczciwości pracowników polegającej na kradzieży i ich działalności fraudowej. Nawet wtedy, gdy przestępcy wykorzystali kanały elektroniczne i nowoczesne technologie.
Obrazuje to przykład pracownika, który otrzymuje fałszywy e-mail – rzekomo od prezesa – z prośbą o pilny przelew. Oszuści wykorzystują AI do podrobienia stylu komunikacji. Pracownik w dobrej wierze przelewa środki. Mimo wykorzystania technologii, działanie klasyfikowane jest jako sprzeniewierzenie, nie cyberatak. Problem pogłębia rozwój usług phishing-as-a-service (PhaaS) – gotowych narzędzi, dzięki którym nawet osoby bez wiedzy technicznej mogą przeprowadzać wyrafinowane ataki.
– Polisy cyber chronią przed skutkami cyberataków na infrastrukturę IT firmy – przede wszystkim włamaniami hakerskimi, ransomware, kradzieżą danych czy przerwami w działalności spowodowanymi atakiem na systemy. Jednak sama polisa cyber to za mało, gdy źródłem szkody jest np. nieuczciwy pracownik lub podmiot wykorzystujący socjotechnikę. W takich przypadkach, nawet jeśli przestępcy użyli kanałów cyfrowych, szkoda nie jest klasyfikowana jako cyberatak na systemy. Dlatego firmy potrzebują również innej, przypisanej stricte do fraudów ochrony – podsumowuje Mateusz Manuszak z Attis Broker.
Wojciech Boczoń
