Miksi maksupetos on jokaisen yrityksen ongelma
Kuvittele, että ostovelkatiimisi vastaanottaa sähköpostiviestin. Se näyttää täsmälleen samalta kuin pitkäaikaisen toimittajan viesti: sama logo, sama allekirjoitus, sama tuttu sävy. Viestissä kerrotaan, että toimittajan pankkitiedot ovat muuttuneet, ja pyydetään ohjaamaan seuraava maksu uudelle tilille. Maksu suoritetaan. Viikkoa myöhemmin todellinen toimittaja soittaa ja kysyy, miksi lasku on maksamatta. Silloin rahat ovat jo kadonneet.
Tämä ei ole hypoteettinen skenaario. Se tapahtuu yrityksille ympäri maailmaa joka päivä.
Maksupetos ei koske vain pankkeja tai sijoituspalveluyrityksiä. Se koskee jokaista yritystä, joka maksaa toimittajille, selvittää laskuja tai vastaanottaa maksuja asiakkailta. Yksi käytännöllisimmistä työkaluista sen torjumiseksi on LEI-koodi, josta useimmat tavalliset yritykset eivät ole koskaan kuulleet.
Maksupetoksen laajuus on huomattava
Maksupetos ei ole marginaalinen ongelma. Association for Financial Professionalsin mukaan 76 % organisaatioista koki maksupetosyrityksiä tai todellisia maksupetoksia vuonna 2025. Tämä tarkoittaa, että kaksi kolmesta yrityksestä kohtaa petosyrityksiä minä tahansa vuonna.
Hyökkäykset kohdistuvat juuri niihin henkilöihin, jotka käsittelevät päivittäisiä laskuja ja maksuja: kirjanpitäjiin, talouspäälliköihin ja hankintahenkilöstöön. FBI:n vuoden 2024 Internet Crime Reportin mukaan yrityssähköpostin vaarantaminen aiheutti 2,77 miljardin dollarin tappiot pelkästään Yhdysvalloissa vuonna 2024, 21 442 ilmoitetun tapauksen osalta. Ja nämä ovat vain ilmoitettuja tapauksia.
Miten maksupetos toimii: kolme yleistä menetelmää
Kaikilla maksupetoksen muodoilla on yksi yhteinen edellytys: petturi onnistuu, koska uhri ei voi nopeasti vahvistaa vastapuolen henkilöllisyyttä.
Laskupetos ja toimittajan identiteettivarkaus
Petturi tunnistaa verkostossasi säännöllisen toimittajan ja lähettää laskun, joka näyttää identtiseltä aidolta. Vain pankkitiedot ovat erilaiset. Monissa tapauksissa järjestelmään pääsyä ei tarvita. Julkisesti saatavilla oleva tieto, samankaltainen sähköpostiosoite ja kärsivällisyys riittävät. Pienemmät yritykset ovat erityisen alttiita, koska niillä on yleensä vähemmän muodollisia vahvistusvaiheita käytössä.
Yrityssähköpostin vaarantaminen
Yrityssähköpostin vaarantaminen eli BEC on kehittyneempi ja vahingollisempi. Petturi saa pääsyn toimittajasi sähköpostitilille, seuraa kirjeenvaihtoa viikkojen ajan ja puuttuu asiaan juuri oikealla hetkellä, juuri ennen suuren laskun erääntymistä. Vain maksutiedot muutetaan, ja rahat menevät väärälle tilille.
Tämän havaitsemisen vaikeuttaa se, että viesti tulee aidosta sähköpostiosoitteesta, seuraa todellista keskusteluketjua eikä sisällä teknisiä petoksen merkkejä. Tavalliset sähköpostin tietoturvasuodattimet eivät pysäytä sitä.
Väärennetyn toimittajan luominen
Petturi perustaa kuvitteellisen yrityksen, rekisteröi sen, rakentaa verkkosivuston ja jättää tarjouksen. Yritys allekirjoittaa sopimuksen, maksaa ennakkomaksun, ja toimittaja katoaa. Tämä menetelmä kohdistuu yleensä suurempiin organisaatioihin, joilla on monimutkaisemmat hankintaprosessit.
Kaikissa kolmessa tapauksessa uhri ei kyennyt luotettavasti vahvistamaan, kenen kanssa se todellisuudessa oli tekemisissä. Yrityksen nimi ei ole yksilöllinen tunniste, ja petturit hyödyntävät tätä aukkoa tarkoituksellisesti.
Miksi henkilöllisyyden vahvistaminen on niin vaikeaa
Rekisteröintinumerot ovat lainkäyttöaluekohtaisia. Viron yritysrekisterinumero ei merkitse mitään saksalaiselle pankille tai kumppanille Singaporessa. Jokainen maa käyttää omaa muotoaan, omaa rekisteriään ja omaa kieltään. Rajat ylittävässä liiketoiminnassa tämä tarkoittaa, että vastapuolen henkilöllisyyden vahvistaminen vaatii hidasta, manuaalista työtä.
Yritysten nimet eivät ole yksilöllisiä. Monet lainkäyttöalueet sallivat samankaltaiset tai jopa identtiset nimet eri maissa. Petturit rekisteröivät yrityksiä, joiden nimet muistuttavat läheisesti tunnettuja organisaatioita, ja luottavat siihen, että kiireiset taloushallinnon tiimit eivät välttämättä huomaa eroa.
Mitä LEI-koodi tosiasiallisesti näyttää
LEI-koodi eli Legal Entity Identifier on 20-merkkinen yksilöllinen tunniste, jonka mikä tahansa oikeushenkilö maailmassa voi hankkia. GLEIF, Global Legal Entity Identifier Foundation, ylläpitää julkista tietokantaa, joka sisältää vahvistetut ja ajantasaiset tiedot jokaisesta rekisteröidystä yksiköstä.
LEI-haku palauttaa seuraavat tiedot:
Tason 1 tiedot (“kuka on kuka”): virallinen nimi, rekisteröity osoite, maa ja lainkäyttöalue, yritysrekisterinumero ja rekisteri, yksikön tyyppi, LEI-tila (aktiivinen tai vanhentunut) sekä tietueen muutoshistoria.
Tason 2 tiedot (“kuka omistaa kenet”): välitön emoyhtiö ja lopullinen emoyhtiö yritysrakenteessa.
Mitä LEI-haku ei näytä: pankkitilin tietoja, yhteystietoja tai luonnollisia henkilöitä. Tämän ymmärtäminen on tärkeää työkalun oikeaa käyttöä varten.
LEI-tietokanta on ilmainen, avoin eikä vaadi rekisteröitymistä. Se on saatavilla osoitteessa GLEIF LEI Search.
Miten LEI toimii petoksia vastaan käytännössä
Manuaalinen vahvistus kolmessa vaiheessa
Vaihe 1 — Pyydä LEI-koodi kaikilta uusilta toimittajilta. Lisää yksi kenttä toimittajien käyttöönottoprosessiisi: LEI-koodi. Tämä on vakio-osa vastapuolen due diligence -menettelyä, jota yhä useammat yritykset nyt soveltavat vakiokäytäntönä.
Vaihe 2 — Vahvista koodi GLEIF-tietokannasta. Syötä LEI-koodi osoitteessa GLEIF LEI Search tai käytä LEI-hakutyökalua verkkosivustollamme. Näet välittömästi virallisen nimen, rekisteröidyn osoitteen ja yritysrekisterinumeron. Vertaa näitä laskulla tai sopimuksessa näkyviin tietoihin. Jos kaikki täsmää, henkilöllisyys on vahvistettu. Jos ei, se on selkeä varoitusmerkki.
Kiinnitä huomiota myös LEI-tilaan. Aktiivinen tarkoittaa, että tiedot ovat ajankohtaiset ja vahvistetut. Vanhentunut tarkoittaa, että yksikkö ei ole uusinut LEI-koodiaan ja tietojen tarkkuus on epävarma. Vanhentunut LEI on itsessään riskisignaali, jota ei pidä jättää huomiotta.
Vaihe 3 — Käsittele jokainen pankkitietojen muutos kaksivaiheisena prosessina. LEI ei näytä pankkitilin tietoja, joten se ei voi täysin korvata manuaalista tarkistusta tässä tilanteessa. Mutta se silti auttaa. Jos saat pyynnön muuttaa maksutietoja, vahvista ensin LEI:n avulla, että lähettäjä on se, joksi hän väittää olevansa. Soita sitten toimittajalle suoraan käyttäen yhteystietoa, joka on jo tiedoissasi, ei viestin mukana toimitettua numeroa. Nämä kaksi vaihetta yhdessä kattavat yleisimmät laskupetosskenaariot.
Automaattinen vahvistus suuremmille organisaatioille
Suuremmille organisaatioille, jotka hallinnoivat satoja toimittajia ja käsittelevät suuria maksumääriä, manuaaliset tarkistukset ovat liian hitaita. Tässä LEI:stä tulee erityisen arvokas, koska se on jäsennelty, koneluettava tietomuoto.
GLEIF tarjoaa julkisen API:n, jonka avulla LEI-tiedot voidaan integroida suoraan yrityksen ohjelmistoihin. Ostovelkojen hallinta-alusta tai toimittajien hallintajärjestelmä voi automaattisesti kysellä GLEIF-tietokannasta jokaisen uuden vastapuolen tiedot, verrata tuloksia olemassa oleviin tietueisiin ja merkitä poikkeamat ihmisen tarkastettavaksi. Henkilöllisyyden vahvistus tapahtuu taustalla ilman, että kenenkään tarvitsee hakea manuaalisesti.
LEI sääntelykehyksessä
LEI-koodi ei ole vain vapaaehtoinen työkalu. Sääntelyviranomaiset ympäri maailmaa ovat alkaneet yhdistää sen suoraan maksuturvallisuuteen ja petosten ehkäisyyn.
EU:n pikasiirtoasetus on vaatinut kaikkia euroalueen maksupalveluntarjoajia vahvistamaan maksunsaajan nimen ennen pikasiirtojen käsittelyä lokakuusta 2025 lähtien. Asetus tunnustaa LEI:n työkaluksi IBAN:in automaattiseen täsmäyttämiseen tilinomistajan nimen kanssa. Tämä vähentää suoraan valtuutettujen maksupetoksien riskiä, joissa varat lähetetään petturin hallitsemalle tilille. Lisätietoja tästä löydät artikkelistamme LEI ja maksunsaajan vahvistus.
Financial Action Task Force (FATF) päivitti kansainvälisen maksujen läpinäkyvyysstandardinsa, suosituksen 16, kesäkuussa 2025. Uudistetun standardin mukaan yli 1 000 euron tai dollarin rajat ylittäviin maksuihin on sisällytettävä vahvistetut tiedot sekä maksun lähettäjästä että saajasta. Jos osapuoli on oikeushenkilö, LEI on yksi hyväksytyistä tunnisteista. Standardi tulee täysimääräisesti voimaan vuonna 2030.
Mitä yrityksesi voi tehdä tänään
Hanki LEI-koodi yrityksellesi. LEI:n avulla voit jakaa vahvistetun tunnisteen kumppaneille, sisällyttää sen laskuihin ja sopimuksiin sekä käyttää sitä todisteena siitä, että yrityksesi on se, joksi se väittää olevansa. Tämä on tärkeintä rajat ylittävissä liiketoimissa, joissa vastapuolellasi ei välttämättä ole minkäänlaista tuntemusta paikallisesta yritysrekisteristäsi. Rekisteröityminen kestää muutaman minuutin ja LEI myönnetään lähes välittömästi: rekisteröi LEI-koodisi.
Vaadi LEI toimittajiltasi. Lisää yksi kenttä toimittajien käyttöönottoprosessiisi. Vahvistus on ilmainen ja kestää sekunteja. Jos tiedot täsmäävät, sinulla on vahvistus. Jos eivät, sinulla on perusteet esittää kysymyksiä ennen maksun suorittamista.
Ota käyttöön pankkitietojen muutossääntö. Jokainen pyyntö muuttaa maksutietoja tulisi vaatia kaksi vahvistusta: LEI-tarkistus ja puhelu yhteystietoon, joka on jo tiedoissasi. Tämä yksittäinen sääntö olisi estänyt suurimman osan klassisista laskupetoksista.
Sisällytä LEI-koodisi laskuihisi. Tämä auttaa kumppaneitasi vahvistamaan henkilöllisyytesi ja osoittaa, että yrityksesi suhtautuu läpinäkyvyyteen vakavasti.
Yhteenveto
Useimmat maksupetokset onnistuvat, koska vastapuolen henkilöllisyyttä on vaikea vahvistaa nopeasti ja luotettavasti. LEI-koodi käsittelee yhtä erityistä ja hyvin yleistä heikkoa kohtaa: yksittäinen maailmanlaajuisesti yksilöllinen, julkisesti vahvistettava tunniste tekee petoksesta huomattavasti vaikeampaa toteuttaa. Pienemmät yritykset voivat suorittaa tarkistuksen manuaalisesti sekunneissa. Suuremmat organisaatiot voivat automatisoida prosessin kokonaan.
Jos yrityksellänne ei vielä ole LEI-koodia, sen hankkiminen on yksinkertaisin askel, jonka voitte ottaa tänään maksujenne turvallisuuden parantamiseksi: rekisteröi LEI-koodisi.
Jos LEI-koodisi vaatii uusimista, voit tehdä sen täällä: uusi LEI-koodisi.