17:25
17/9/2020

O pomoc dla firmy na czas pandemii można łatwo zawnioskować przez internet. I dobrze, bo biurokracja w tej sytuacji nie jest wskazana. Niestety, serwis praca.gov.pl umożliwia każdemu złożenie wniosku w imieniu dowolnego przedsiębiorcy. A ponieważ we wniosku można podać dowolne konto bankowe, także takie nienależące do przedsiębiorcy w imieniu którego wniosek jest składany, to oznacza, że można podkraść cudzą dotację. Co gorsza, wedle zdobytych przez nas informacji, ktoś już najwyraźniej to próbuje takich wyłudzeń.

Naszym zdaniem system wnioskowania o pomoc publiczną związaną z zapobieganiem skutkom COVID-19 powinien zostać odrobinę uszczelniony. Obecnie posiada sporą lukę i tylko od czujności urzędników może zależeć, czy przedsiębiorca zostanie okradziony z przysługującej mu dotacji, czy nie.

Ktoś złożył za mnie wniosek!

Pewien nasz znajomy (nazwijmy go Artur) chciał się zalogować na konto w serwisie praca.gov.pl. Nie udało się od raz, choć hasło miał zapisane w menedżerze haseł. Po kilku resetach haseł wreszcie dostał się na konto i wtedy spotkała go przykra niespodzianka. Okazało się, że ktoś złożył w jego imieniu wniosek o udzielenie pożyczki na pokrycie bieżących kosztów prowadzenia działalności, czyli tzw. pożyczki covidowej.

Wniosek został prawidłowo złożony, ale:

  1. Podany we wniosku numer konta nie należał do firmy naszego znajomego, a zatem gdyby doszło do wypłaty pożyczki to pieniądze dostałby ktoś inny.
  2. Wniosek został podpisany profilem zaufanym ePUAP przez Volodymyra L., człowieka w żaden sposób nie związanego z firmą.
wniosek

Fragment wniosku z podpisem Volodymyra

Artur przyjrzał się dokumentacji dołączonej do wniosku i zauważył, że pan Volodymyr załączył upoważnienie ze sfałszowanym podpisem. Co więcej, podany we wniosku numer paszportu Artura nie zgadzał się z prawdziwym.

Wniosek złożony o 14:45 czyli 15 minut przed zamknięciem Urzędu. Urząd ma dwa dni do wypłaty pożyczki czyli akurat do piątku. Nie wiem czy coś takiego widzieliście przed. Ale jeżeli w tak łatwy sposób można to obchodzić to mogą być dużo ludzi narażonych. Na razie zgłosiłem na Policje i będę do urzędu dzwonił żeby zablokowali płatność – pisał Artur.

Włamanie? Niekoniecznie

Arturowi i nam początkowo wydawało się, że ktoś mógł włamać się na jego konto w praca.gov.pl. Nie pasowały tylko dwie rzeczy. Po pierwsze, na koncie Artura jako reprezentant firmy widoczny był tylko on. Po drugie — osoba składająca wniosek posłużyła się własnym, a nie Artura, Profilem Zaufanym (czyli jednak nie miała pełnej kontroli nad kontem Artura?).

Postanowiliśmy samodzielnie przyjrzeć się sposobowi składania wniosku o pożyczki z tarczy dla przedsiębiorców. No i cóż… jeśli jakaś osoba składa wniosek w imieniu przedsiębiorcy to robi to ze swojego konta w praca.gov.pl, podając we wniosku dane firmy i dołączając upoważnienie (takie właśnie, jak to załączone przez pana Volodymyra, w formie skanu). Co się zatem stanie, jeśli dowolna osoba złoży wniosek w imieniu dowolnego przedsiębiorcy?

Jeden z naszych redaktorów sprawdził to. Przygotował sobie upoważnienie (tzn. napisał, podpisał, zeskanował) podając w upoważnieniu zmyślone numery dowodów. Następnie zalogował się na praca.gov.pl i wysłał wniosek w imieniu pewnego zaprzyjaźnionego przedsiębiorcy, nie mając do tego żadnego upoważnienia (poza tym, które sam sfabrykował). Wniosek wysłał się prawidłowo – przynajmniej tak to wyglądało z punktu widzenia wysyłającego.

Niedługo później pracownik zaprzyjaźnionego przedsiębiorcy, który został wzięty na celownik, otrzymał taką wiadomość e-mail…

Wszystko wskazywało na to, że wniosek został “prawidłowo” złożony. Gdyby ten wniosek został zrealizowany, pieniądze trafiłyby na konto wskazane we wniosku i nasz redaktor stałby się bogatszy o pieniądze pochodzące od polskich podatników.

“Mogłam to sobie podpisać sama”

Przyglądając się tej sprawie rozmawialiśmy też z osobami, które w imieniu jeszcze innej firmy składały podobne wnioski. Jedna z tych osób zagadnięta o sprawę powiedziała od razu…

Ogólnie to upoważnienie które tam podpięłam mogłabym sobie podpisać sama (…) Szef w żaden sposób nie akceptował przypisania (mojego konta) do (konta firmy)

Co ciekawe, ta sama osoba zorientowała się, że po złożeniu wniosku otrzymuje powiadomienia na swoją prywatną skrzynkę o tym, że na koncie pracodawcy zostały wykonane różne operacje. Ta osoba tylko wysyłała upoważnienie do konkretnego wniosku i tak naprawdę pracodawca nie akceptował jej w systemie jako przedstawiciela firmy, a wygląda na to, że system praca.gov.pl nadał tej osobie uprawnienia do “wszystkich” spraw związanych z pracodawcą.

Składanie wniosku w serwisie praca.gov.pl jest bardzo przyjazne. Możesz sam sobie wystawić upoważnienie!

Mamy problem

Podsumujmy – serwis praca.gov.pl pozwala złożyć wniosek o pożyczkę w imieniu dowolnego przedsiębiorcy ale upoważnienie (skan) można podrobić, a nawet jeśli nie jest podrobione, to składający wniosek nabywa uprawnienia do “całości” konta przedsiębiorcy i ma wgląd w pozostałe sprawy.

Pieniądze, jeśli będą wypłacone, trafią  na konto wskazane we wniosku. Oczywiście to od urzędu zależy, czy wniosek zostanie zrealizowany (może być odrzucony z różnych przyczyn). Wiemy, że niektórzy urzędnicy są bardzo czujni i pewnie w przynajmniej niektórych przypadkach nabiorą uzasadnienia i skontaktują się z przedsiębiorcą. Wiemy też, że niestety są zapracowani i mogą — chcąc szybko pomagać firmom w kiepskiej kondycji finansowej — przymknąć oko i zrezygnować z biurokracji. Rozmawialiśmy z kilkoma przedsiębiorcami, którzy skorzystali z tej formy pomocy i bywali zaskoczeni szybką i bezproblemową realizacją wniosku. To niewątpliwie zaleta. Ale jak pokazuje działanie Pana Volodymyra, może też być wadą.

Czy w takiej sytuacji istnieje ryzyko, że pieniądze z pożyczki pójdą na inne konto? Jak najbardziej, zresztą Artur pokazał, że najwyraźniej była choć jedna próba złośliwego wykorzystania tego mechanizmu. Szczęście w nieszczęściu, że pozyskana tą metodą “pożyczka” z Urzędu Pracy, w przeciwieństwie do innych form pomocy “z Tarczy” jest bezzwrotna, czyli nawet jeśli ktoś wyłudzi ją w Waszym imieniu, to przynajmniej nie będzie trzeba jej oddawać za jakiś czas…

Teoretycznie podpisanie wniosku Profilem Zaufanym wskaże sprawcę. Niestety w praktyce można założyć Profil Zaufany na tzw. słupa (np. na osobę bezdomną) i wtedy po sprawcy pozostanie tylko numer konta (który też może być założony na słupa). Sfałszowanie upoważnienia jest przestępstwem, ale nie mówmy proszę, że problem nie istnieje “bo to by było nielegalne“.

Uważamy, że mechanizm stworzony w serwisie praca.gov.pl jest wadliwy i być może niewielką zmianą uda się tę wadę wyeliminować. Wystarczy, aby pracodawca akceptował wnioski lub pieniądze przekazywane były tylko na oficjalne rachunki bankowe firm, z których przynajmniej część urzędy znają (lub mogą pozyskać z odpowiedniego rejestru). Próby wykorzystania tej wady w celu nadużyć sugerują, że należy już teraz ostrzec przed niebezpieczeństwem, co niniejszym robimy. Powiadomiliśmy też oczywiście o sprawie Ministerstwo Rodziny, Pracy i Polityki Społecznej. Czekamy na komentarz z jego strony.

Co robić? Jak żyć?

Warto zalogować się na konto praca.gov.pl i sprawdzić, czy nikt nie złożył wniosków w waszym imieniu. Jeśli złożył, pozostaje wam kontakt z urzędem (niestety w systemie nie przewidziano możliwość wycofania wniosku. UPDATE: wycofać wniosek można, jak sugeruje jeden z Czytelników, wysyłając od urzędu kolejne pismo z prośbą o wycofanie wniosku). Od razu ostrzegamy, że prawdopodobnie nie zrobicie tego w chwili pisania i publikowania tego tekstu (akurat teraz praca.gov.pl ma jakąś awarię). W ostatnich kilkudziesięciu minutach widzieliśmy 4 różne komunikaty błędów.

Jeśli znajdziecie u siebie próby nadużycia, koniecznie dajcie nam znać!

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. Urzędy skarbowe dostały jakiś czas temu dostęp do systemu STIR i ok kilku tygodni wzywają przedsiębiorców do uzupełnienia rachunków bankowych w CEIDG. Stad sądzę że mają już sporą większość rachunków bankowych w bazie. Konto VAT-owca można sprawdzić na stronie https://www.podatki.gov.pl/wykaz-podatnikow-vat-wyszukiwarka/ gorzej z nie-vatowcami bo tam ich nie ma.

    • Mieć tylko nadzieję, że kiedyś będą korzystać z dobrodziejstwa danych które już posiadają.

      Mają z CEIDG dostęp do mejli, telefonów, numerów kont – jak coś we wniosku się nie zgadza to od razu kontakt i pewnie sporo przypadków można by z automatu wychwycić.

  2. No no, skoro są konta firmowe “biała lista” to sorry. Czyja to wina? PANA T? Czy ustawa naszego rządu załatwiła by wszystko? I zwolnila urzędników z odpowiedzialności za błędy?

    • @Kazik

      W sensie że ustawka?

  3. No tak, ale jeśli potem w ramach kontroli wyjdzie że przedsiębiorca złożył wniosek o pomoc bezzasadnie, to urząd upomni się o zwrot dotacji, pożyczki, czy co to tam jest, od niego.
    Znaczy jeśli ktoś złoży wniosek w imieniu przedsiębiorcy i podając konto nienależące do przedsiębiorcy, to i tak można mieć kontrolę i zostać wezwanym do zwrotu nienależnej dotacji.

    Nie podoba mie sie tyn ficzer.

  4. W artukule jest jeden drobny blad – jest możliwość wycofania wniosku. Robi sie to przez wyslanie pisma do urzedu z prośbą o wycofanie. Również elektronicznie, przez ten sam portal.

  5. A do tego należy dodać, że w ostatnim czasie można zaobserwować pewien wzmożony wysyp akcji “łapania słupów” – znaną metoda podszywania się pod firmy (znane i istniejące) zatrudniające pracowników zdalnych z sektora konsultingowego (a także IT) – i żądania przesłania dowolnej (niewielkiej) kwoty w ramach rekrutacji – by potem założyć konto na taką osobę i prać przez niego kasę aż miło. Ciekawe czy to jest również “w ramach walki z covid-em :) :P

  6. Nadal mi sieje komunikatami błędów. Tak, próbuję sprawdzić. Podnieśliście mi ciśnienie ;(

  7. Urząd ma 2 dni na wypłatę środków od momentu przyznania pożyczki, nie od momentu złożenia wniosku. Sam proces weryfikacji wniosku i dokumentów może trwać jak się nie mylę do 30 dni, słyszałem o przypadkach ze trwało to dłużej…

  8. Wierzycie że to przypadek??? :)

  9. A czy takie wyłudzenia są możliwe jeśli firma nie ma konta w tym serwisie?

    • Tak. Tzn jak nie ma to nie ale nie ma problemu żeby takie konto założyć.
      Ubiegając się o dofinansowanie do wynagrodzeń pracowników w imieniu mojego pracodawcy po prostu założyłam konto firmy używając mojego własnego profilu zaufanego. Żadnej weryfikacji możliwości reprezentacji firmy – utwórz konto i już.
      Złożenie wniosku działało na tej samej zasadzie czyli składasz wniosek elektroniczny + upoważnienie. A tu już lecą kwoty w grubych tysiącach – 3 miesiące dofinansowań. Rozliczenie wniosku po tych 3 miesiącach także elektronicznie.

      Dalej w sumie też fajnie. Wniosek składało się wybierając profil firmy (tylko tam był dostępny). Ale już comiesięczne oświadczenia z danymi osobowymi pracowników itp można było wysłać tylko za pośrednictwem prywatnego profilu bo jedyną opcją był formularz “pismo do urzędu” dostępny wyłącznie dla osoby indywidualnej.

      Czyli:
      – jak się zwolnię to nadal będę mieć dostęp do wszystkich tych danych
      – jak mnie potrąci samochód to pracodawca nie będzie wiedział co wysłałam (bo to na moim prywatnym koncie).

    • Tak z ciekawości… podpisujesz się jako Filip a w komentarzu używasz formy żeńskiej “-łam”?

    • @Tomek

      Tam jest podpis @Ola

  10. Mam taką propozycję, żeby wprowadzić dodatkowe zabezpieczenie oprócz nielegalności fałszowania upoważnień: przepis mówiący, że pożyczki pobrane nielegalnie podlegają zwrotowi. Jedno zdanie, a wpędzi przestępców w długi! :)

    • Mądrego to i poczytać miło! :)

    • @Marek

      Sprecyzuj, zwrotowi przez kogo.

      Bo one już teraz podlegają zwrotowi, przez okradzionego.

    • Wyłudzone pożyczki powinny być zwracane Z ODSETKAMI! To dopiero byłby bat na złodziei.

    • I jeszcze by im można dowalić 50% wkładu własnego i kazać wykupić ubezpieczenie, to już w ogóle by się nie pozbierali :)

    • Kościół straszy czymś gorszym niż pierdel i odsetki, bo nie-do-ominięcia! Czym? Piekłem. I co? Niesamowite… też się nie boją, hehe :)

  11. Niemożliwe, w wiadomościach pokazywali, że to nie jest takie proste. O zobaczcie sami:
    https://www.youtube.com/watch?v=dwiQi6PiYmk

  12. Stukot, jako nie-przedsiębiorca nie interesowałem się tematem tych pożyczek, ale z artykułu wynika, że jednak nie podlegają. Wszystko wskazuje na to, że najgorsze co może spotkać ofiary, to trudności z pobraniem prawdziwej podwyżki i to jest wskazane w artykule jako powód do optymizmu ;)

    • @Marek

      Problemem jest to, że ktoś może na moje konto nakłamać, że przysługuje mu pomoc (wpisując do wniosku niezgodne z prawdą dane o kondycji firmy) i pobrać ją, gdy mi nie przysługuje. W tej chwili pomoce są przyznawane z nie aż tak dużą weryfikacją wniosków, ale przewidziane i zapowiedziane są kontrole czy danemu przedsiębiorcy rzeczywiście pomoc przysługiwała (opis np tu https://zus.pox.pl/zus/koronawirus-kontrola-zus-po-epidemii-tarcza-antykryzysowa-do-weryfikacji.htm).

      Czyli jeśli ktoś złoży wniosek podszywając się pod przedsiębiorcę, który by go nie złożył, wiedząc że nie spełnia warunków, kontrola wykaże że nie spełniał warunków i przedsiębiorca zostanie wezwany do zwrotu pomocy publicznej. Pieniędzy nigdy nie widział, bo zostały wypłacone na konto oszusta, ale w systemie będzie że je pobrał, więc ma zwrócić. I potem powodzenia w udowadnianiu że nie jest się wielbłądem.

  13. […] Więcej informacji nt. wyłudzania dotacji „anty-covidowych” można znaleźć [tutaj]. […]

  14. Zwróćcie uwagę, że pozytywne złożenie wniosku przez praca.gov.pl nie jest równe z pozytywnym jego rozpatrzeniem. To tylko pierwszy krok, nieco podobny do przyjęcia wniosku wpływającego pocztą (w kopercie też może być upoważnienie).
    Urzędnicy weryfikują poprawność wniosku i wychwytują takie kwiatki.
    Faktem jest, że sito na praca.gov.pl mogłoby mieć nieco mniejsze oczka, ale nie demonizowałbym tego.

  15. Ale dlaczego takie zeskanowane upoważnienie miałoby być *cokolwiek* warte? Przecież cała ta zabawa z tymi profilami i podpisami elektroniczymi do czegoś służy, więc chyba nikt teraz nie stwierdził ‘aa podpisu kwalifikowanego nie trzeba, skan wystarczy’…?

  16. Nie do końca macie rację:

    “Szczęście w nieszczęściu, że pozyskana tą metodą “pożyczka” z Urzędu Pracy, w przeciwieństwie do innych form pomocy “z Tarczy” jest bezzwrotna, czyli nawet jeśli ktoś wyłudzi ją w Waszym imieniu, to przynajmniej nie będzie trzeba jej oddawać za jakiś czas…”

    Zgodnie z umową:

    “Pożyczka podlega umorzeniu pod warunkiem, że Pożyczkobiorca przez okres 3 miesięcy od dnia jej udzielenia,będzie prowadził działalność gospodarczą. “

  17. Tak z 10 lat temu podobna funkcjonalność była w ZUSowskim płatniku, każdy mógł podpisać deklaracje podpisem kwalifikowanym, a ZUS wychodził z założenia, że skoro ktoś się podpisał, to miał do tego prawo.

  18. Jakby nie mogli dać normalnego papierowego, z wielomianem na ostatniej stronie…
    ;)

  19. Buhaha… 2 dni to ma teoretycznie Pani Basia z księgowości żeby puścić przelew, od momentu jak Pani Czesia pozytywnie rozpatrzy wniosek przedsiębiorcy o pożyczkę. W rzeczywistości trwa to od miesiąca do nieskończoności.

  20. Jestem vatowcem ale mojego rachunku tam nie znajdziesz. Nie ma przymusu zakładania konta firmowa dla JDG.

    • Naprawdę?
      Czy to oznacza że Urzędy Skarbowe wzywają do uzupełniania informacji o rachunkach tylko niektóre firmy?

    • … do czasu pierwszej faktury w split payment. A wtedy musisz mieć konto firmowe, bo w prywatnym nie ma opcji posiadania osobnego subkonta VAT.

  21. Jedna centralna baza do zarządzania swoimi prawami do brania / pożyczania / zgody na pożyczki itp:

    proste to jest niesłychanie:

    za pomocą profilu/banku/… loguje się na swoje konto i mogę:
    zablokować pożyczki na okres jaki mi się podoba
    odblokować sobie pożyczkę w określonym podmiocie zaufania publicznego
    określić maksymalną sumę pożyczki
    jakakolwiek pożyczka wypłacona jakiemukolwiek słupowi w tym okresie sugeruje i przenosi odpowiedzialność na firmę udzielającą pożyczki – zamiotłoby to globalnie cały interes

    a bik – niech się pocałuje – raporty se generujcie sami

    a wszystko to proste jest jak nie wiem co
    a i domyślnie, żeby nie było tak jak z dialerami, gsm’ami i innymi naciągaczami
    defaultowo pożyczka jest niemożliwa…
    pozdrowienia dla wrednych dzieci staruszków, operatorów sieci komórkowych(transfery za 1500pln i płatne numery)
    bez pozdrowień

  22. […] cudzą dotację. Co gorsza, ktoś już najwyraźniej to próbuje takich wyłudzeń. O sprawie pisze niebezpiecznik.pl serwis praca.gov.pl pozwala złożyć wniosek o pożyczkę w imieniu dowolnego przedsiębiorcy ale […]

  23. Państwo z dykty i wiadomo jeszcze z czego.

  24. Państwo z kartonu… biała lista, rejestracja ratunków i upoważnień w CEDIG a przychodzi co do czego, to kwitek papierowy załatwia wszystko…

  25. Ministerstwo przesłało 25.08.2020 do urzędników pismo pocztą wewnętrzną (Intranet) o poniższej treści:
    Uprzejmie informuję, że Powiatowy Urząd Pracy w Piasecznie złożył do Prokuratury zawiadomienie o możliwości popełnienia przestępstwa przez sześciu obcokrajowców, którzy złożyli jako pełnomocnicy firm również prowadzonych przez obcokrajowców wnioski o pożyczkę przyznawaną na podstawie art. 15zzd ustawy z dn. 2 marca 2020r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 i innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z2020 r., poz. 374 z późn.zm). Urząd podejrzewa, że osoby te działały na podstawie sfałszowanych pełnomocnictw. W nawiązaniu do powyższej informacji zwracam uwagę na potrzebę szczególnej ostrożności przy realizacji wniosków złożonych przez pełnomocników, aby przeciwdziałać próbom wyłudzeń pieniędzy przyznawanych w ramach Tarczy Antykryzysowej.

  26. […] wysyłać wnioski przez praca.gov.pl (np. o pożyczkę COVID-ową) […]

  27. […] okazji przypomnimy, że we wrześniu tego roku pisaliśmy o próbach wyłudzenia pożyczek z “Tarczy”. To był problem Ministerstwa Rodziny i Polityki Społecznej, które do tej pory nie skomentowało […]

  28. […] wysyłać wnioski przez praca.gov.pl (np. o pożyczkę COVID-ową) […]

  29. […] łączyło się z niedoróbkami w innych rządowych serwisach, co z kolei pozwalało np. na wyłudzanie pożyczek z “Tarczy” albo dostęp do niejawnych danych przedsiębiorców (to tylko niektóre […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: