Podvodné emaily: Kdo nese odpovědnost v případě úspěšného útoku podvodníků?

Jaký přístup by tedy mělo zaujmout vedení společnosti k této potencionální hrozbě? A kdo nese odpovědnost v případě úspěšného útoku podvodníků? Informace poskytla Klára Přenosilová, advokátní koncipientka Schaffer & Partner.

V aktuální vlně podvodných emailů firmy čelí útokům s následujícím scénářem: sekretářka nebo účetní obdrží email od osoby, která se vydává za ředitele či vysokého manažera společnost, a je dotázána, zdali lze určitou peněžní částku převést na konkrétní zahraniční bankovní účet. Pokud obdrží „ředitel“ kladnou odpověď, zadá sekretářce či účetní pokyn, aby peníze převedla. Jestliže zaměstnanec pokynu vyhoví, podvodníci mají vyhráno – jejich útok byl úspěšný.Útočníci budou úspěšní především u středně velkých a větších obchodních společností, v nichž ředitelé a manažeři nepřicházejí s řadovými zaměstnanci do denního kontaktu a jednotlivá oddělení pracují víceméně samostatně. V takovém případě totiž zpravidla nedojde k situaci, kdy by si účetní či sekretářka pokyn osobně potvrdila s vedoucím zaměstnancem, čímž by došlo k odhalení podvodu.Zdařilý útok znamená pro obchodní společnosti škodu, neboť vylákané peníze zpravidla skončí na bankovních účtech v zahraničí a společnost se k nim zpravidla již nikdy nedostane. Odpovědnost za způsobenou škodu v takových případech nese samozřejmě v prvé řadě samotný útočník, který peníze neoprávněně ze společnosti vylákal. Útočník svým jednáním bude zpravidla naplňovat skutkovou podstatu trestného činu/přečinu podvodu. Pokud došlo při útoku i k nabourání firemní emailové schránky skutečného ředitele či manažera, hrozí útočníkovi trestní stíhání také pro další trestné činy. Co se týče odpovědnosti zaměstnance, který provedl samotný převod peněž, za své jednání zpravidla odpovědný nebude, ledaže by jednal v přímém rozporu s vnitřními pravidly či úmyslně. Povolán k odpovědnosti však může být naopak manažer či ředitel společnosti, který odpovídá za vedení a vnitřní uspořádání společnosti. Těmto osobám může být po právu kladeno za vinu, že dopředu nezajistili odpovídající interní kontrolní mechanismy, které by předcházely vzniku škod. Na pozoru by tak měli být především vedoucí pracovníci, kteří současně působí jako jednatelé, členové představenstva popřípadě v určitých případech i prokuristé společnosti.

Osoba působící ve společnosti jako člen statutárního orgánu nebo prokurista je totiž podle zákona povinna jednat s péčí řádného hospodáře. To znamená, že má jednat tak odpovědně a svědomitě a vynakládat takovou péči o majetek společnosti, kterou by jinak věnovala svému vlastnímu majetku. V rámci péče řádného hospodáře je tedy manažer povinen implementovat vhodná preventivní opatření, zabraňující vzniku škod na majetku společnosti. Dle velikosti a struktury firmy by proto měli odpovědní vedoucí pracovníci a členové statutárního orgánu (či prokuristé) v jedné osobě nastavit jasné a účinné interní kontrolní mechanismy. Zaměřit by se přitom měli zejména na kontrolní pravidla při provádění peněžních transakcí a zavést specifická opatření pro převody a platby vyšších peněžních částek. Vhodný se může být například mechanismus, kdy peněžní transakce nad určitý limit a mimo obvyklé platby (např. ověření dodavatelé) autorizují současně dva zástupci společnosti. O jaké konkrétní osoby se bude jednat, pak záleží na vnitřním uspořádání společnosti. Pokud by nastavena žádná pravidla a kontrolní mechanismy nebyly, mohlo by takové opomenutí vedoucího pracovníka být vyhodnoceno jako porušení povinnosti jednat s péčí řádného hospodáře. Za takové situace by společnost byla oprávněna požadovat po manažerovi či řediteli náhradu škody ve výši platby, kterou útočník podvodně vylákal. Zde je nutné zdůraznit, že tato sankce se uplatní pouze pro manažery a ředitele, kteří současně zastávají funkci člena statutárního orgánu či prokuristy.

Témata:  počítače,  hackeři