Nie daj się złapać na „NFZ”: jak zabezpieczyć placówkę przed socjotechniką i utrzymać ciągłość działania
Kolejna fala podszywania się pod Narodowy Fundusz Zdrowia to nie tylko problem pacjentów. To realne ryzyko dla procesów administracyjnych i rozliczeń w placówkach, które funkcjonują w oparciu o oficjalne kanały komunikacji z NFZ. Z perspektywy zarządu liczy się teraz szybkie porządkowanie procedur i dyscyplina weryfikacji każdej wiadomości „z Funduszu”.
Niniejszy tekst porządkuje fakty, wskazuje obszary niepewności i proponuje praktyczny standard działania dla właścicieli i managerów. Celem jest ograniczenie ryzyka naruszeń, utrzymanie ciągłości operacyjnej i uniknięcie opóźnień w prawdziwej korespondencji z NFZ.
Fala podszyć pod Fundusz: fakty, które mamy, i czego wciąż nie wiemy
Oficjalny komunikat Centrali NFZ ostrzega przed próbami wyłudzeń przez telefon, SMS i e‑mail. Kluczowy przekaz jest jednoznaczny: Fundusz nie żąda haseł, danych logowania, numerów kart, kodów BLIK i nie kieruje do płatności przez linki. Tego typu prośby należy traktować jako próbę oszustwa.
Na moment publikacji brakuje potwierdzonych danych o skali zjawiska, jego geografii czy najczęstszych wektorach ataku. Nie wskazano także konkretnych fałszywych domen. Oznacza to, że ostrożność musi obejmować każdy nietypowy kontakt „na NFZ” – bez założenia, że problem dotyczy tylko jednej formy komunikacji.
Nie ma oficjalnego potwierdzenia, że ataki są celowane w świadczeniodawców w wątkach kontraktowych i rozliczeniowych. Taki scenariusz jest jednak realny i powinien zostać przewidziany w procedurach, aby nie dopuścić do wyłudzeń czy nieuprawnionych zmian w systemach.
Dlaczego dyrektor i właściciel muszą reagować teraz
Zamieszanie komunikacyjne zwiększa liczbę wątpliwości po stronie personelu i ryzyko błędnych decyzji „pod presją”. Z jednej strony grozi to kliknięciem w złośliwy link, z drugiej – całkowitym ignorowaniem prawdziwych pism, co może skutkować przegapieniem terminów i komplikacjami umownymi.
Placówki muszą więc działać dwutorowo: wzmacniać odporność na socjotechnikę i jednocześnie utrzymywać drożność oficjalnych ścieżek. Niezbędna jest spójna, krótka procedura weryfikacji, jasna ścieżka eskalacji oraz decyzje „z góry” co do reagowania na kontrole i wezwania.
W tle warto pamiętać, że wzrost zapytań do oddziałów wojewódzkich i infolinii NFZ może chwilowo wydłużyć weryfikacje. Tym bardziej liczy się porządek wewnętrzny i cierpliwość, zamiast pochopnych działań na podstawie niezweryfikowanych informacji.
Standard weryfikacji korespondencji z NFZ – wersja do wdrożenia od ręki
Poniższy schemat może być zapisany w instrukcji, przekazany rejestracji, rozliczeniom, działowi prawnemu i IOD. Chodzi o maksymalnie proste zasady, które dają się zastosować w każdej sytuacji:
- Zatrzymaj kliknięcie. NFZ nie prosi o hasła, kody, numery kart, loginy ani o płatność przez link. Każda taka prośba to sygnał ostrzegawczy.
- Sprawdź nadawcę i treść. Oficjalna domena to nfz.gov.pl. Uważaj na literówki i „bliźniacze” adresy. Nie otwieraj plików .exe, .zip ani linków do płatności. Pisma urzędowe powinny mieć właściwą formę i podpis elektroniczny.
- Weryfikuj u źródła. Zadzwoń do właściwego OW NFZ na numer z oficjalnej strony lub BIP, a nie na numer z wiadomości. Potwierdź, czy dana sprawa została faktycznie wysłana.
- Ufaj tylko oficjalnym kanałom. Za wiążące uznawaj komunikaty i wezwania publikowane przez BIP, SZOI/Portal Świadczeniodawcy lub ePUAP.
- Eskaluj i dokumentuj. Każdy przypadek zgłaszaj do IOD/IT, wpisuj do rejestru zdarzeń, blokuj podejrzane skrzynki do czasu wyjaśnień i rozsyłaj ostrzeżenie wewnętrzne z przykładem wiadomości.
Kontrole i wizyty „z urzędu”: zasady wpuszczania i bezpieczna odmowa
Osoby podające się za kontrolerów mogą próbować uzyskać dostęp do dokumentacji. Wpuszczaj wyłącznie po okazaniu upoważnienia do kontroli i legitymacji służbowej. Dokumenty udostępniaj w zakresie wynikającym z upoważnienia i w bezpiecznym miejscu.
W razie wątpliwości masz prawo do natychmiastowego kontaktu z OW NFZ i do wstrzymania czynności do czasu potwierdzenia tożsamości oraz zakresu kontroli. Krótki, spisany scenariusz postępowania dla personelu administracyjnego zapobiega nerwowym decyzjom.
Forma wizyty nie zwalnia z obowiązku weryfikacji. To również dotyczy telefonów „z kontroli”, które nakazują ekspresowe dostarczenie dokumentów przez nieznane linki lub prywatne skrzynki e‑mail.
Recepcja pod presją: krótkie scenariusze, które ratują dane
Telefon do rejestracji z pilną prośbą o kody BLIK lub dane logowania to klasyka socjotechniki: presja czasu, groźba sankcji, podszycie się pod autorytet. Personel front desk powinien znać „zdania bezpieczeństwa”, np. „Zatrzymuję zgłoszenie i przekazuję je do weryfikacji w administracji”.
Warto wyznaczyć jasną ścieżkę eskalacji: od rejestracji do przełożonego, dalej do IOD/IT, bez przełamywania zasad poufności. Krótkie, cykliczne mini-szkolenia i przykłady aktualnych prób wyłudzeń budują pamięć mięśniową i skracają czas reakcji.
Jeżeli rejestracja jest także punktem kontaktu dla kontrolerów, pracownicy muszą wiedzieć, że brak upoważnienia lub niezgodność dokumentów oznacza kulturalną odmowę i niezwłoczną weryfikację w OW NFZ.
Gdy podejrzany link już kliknięto: pierwsze godziny po incydencie
Reaguj w minutach, nie w godzinach. Odłącz zainfekowaną stację od sieci, zablokuj konta pocztowe zaangażowane w incydent i wymuś zmianę haseł w systemach powiązanych (SZOI/Portal, P1, eWUŚ), zachowując logi do analizy.
Zgłoś zdarzenie do IOD i działu IT. Oceń, czy doszło do naruszenia ochrony danych osobowych pacjentów i czy zachodzi obowiązek notyfikacji organu nadzorczego oraz zawiadomienia osób, których dane dotyczą. Lepiej wykonać staranną analizę niż minimalizować skutki „na oko”.
Po opanowaniu sytuacji sprawdź logi dostępu do systemów medycznych i poczty pod kątem anomalii, przeprowadź krótką lekcję wyniesionych wniosków i odśwież plan reagowania na incydenty: kontakty, role, kroki izolacji, wzory komunikatów.
Rozliczenia, portale i P1: zero wyjątków poza oficjalnymi kanałami
Wszelkie prośby o „pilne korekty”, „dopłaty”, „zwroty” czy „aktywacje” przekazywane SMS‑em, e‑mailem lub telefonem poza SZOI/Portalem Świadczeniodawcy i ePUAP należy traktować jako podejrzane, dopóki nie zostaną potwierdzone w OW NFZ. To podstawowy warunek ochrony rozliczeń i reputacji.
Uwagę zwracają również oferty „dofinansowań z NFZ/UE/KPO przez NFZ” z opłatą weryfikacyjną lub prośbą o dane finansowe. Weryfikuj je wyłącznie w oficjalnych publikatorach właściwych instytucji. NFZ nie prowadzi naborów dotacyjnych przez SMS/e‑mail z linkami do płatności.
Jeśli chcesz wzmocnić kontrolę wewnętrzną w obszarze sprawozdawczości i rozliczeń, rozważ uporządkowanie ról, obiegu dokumentów i testy scenariuszy „pilnych korekt”. W tym zakresie pomocne może być wsparcie merytoryczne, np. rozliczenia z NFZ, aby ustandaryzować decyzje i zredukować ryzyko błędów pod presją czasu.
Co dalej: sygnały ostrzegawcze i komunikacja z pacjentem
Śledź bieżące komunikaty Centrali i OW NFZ o sposobach weryfikacji i wzorach pism. Zwracaj uwagę na ostrzeżenia CERT Polska i Policji dotyczące kampanii „na NFZ”. Każdą próbę podszycia dokumentuj w wewnętrznym rejestrze i udostępniaj personelowi przykłady podejrzanych wiadomości.
Regularnie przeglądaj logi dostępu do SZOI/Portalu, P1 i skrzynek pocztowych w poszukiwaniu nietypowych prób logowania. Krótkie testy phishingowe oraz „refresh” szkoleń dla rejestracji, rozliczeń i kadr działają lepiej niż jednorazowe, długie kursy. Jeżeli trzeba, przeprowadź wewnętrzny przegląd procesów lub zewnętrzny audyt procedur i bezpieczeństwa z naciskiem na komunikację z instytucjami publicznymi.
Nie zapominaj o pacjentach. Prosty komunikat w poczekalni i na stronie internetowej, że placówka ani NFZ nie prosi telefonicznie o kody BLIK, dane kart czy „dopłaty” za świadczenia i e‑recepty, zmniejsza skuteczność oszustw i odciąża recepcję. Dodaj zalecenie, by nie klikać w linki „na NFZ” i w razie wątpliwości dzwonić na oficjalny numer oddziału lub placówki.
Źródło
https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/uwaga-kolejna-fala-oszustw-na-nfz,8939.html