☐ 1. Отправитель совпадает с карточкой контрагента: домен и Reply-To такие же, как в прошлых письмах/договоре.
 
☐ 2. Банковские реквизиты без изменений: IBAN/банк/страна = тем, что в базе. Любое расхождение → стоп и проверка по телефону из договора.
 
☐ 3. Параметры платежа в норме: сумма/валюта/ставка НСО/срок оплаты соответствуют договору и истории; формат номера счёта и дата также не выбиваются.
 
☐ 4. Вложение типовое и безопасное: обычный PDF с извлекаемым текстом; без ZIP/HTML/EXE и «скачайте счёт по ссылке».

☐ 1. Адрес отправителя и домен: нет «маскировки» — кириллица в домене, лишние буквы, похожие символы (app1e вместо apple); имя и e-mail согласованно выглядят.
 
☐ 2. Поля ответа: Reply-To и Return-Path не уводят на новый/сторонний адрес.
 
☐ 3. Стиль письма как обычно: тема, язык, подпись, формат вложения совпадают с предыдущими коммуникациями.
 
☐ 4. Юридические данные в счёте: наименование, регистрационный номер, VAT-номер совпадают с данными в программе.
 
☐ 5. IBAN и банк: страна банка логична для контрагента; новые реквизиты подтверждены через известный канал. Фразы «сменили банк/аудит/санкции/срочно» → дополнительная проверка.
 
☐ 6. Получатель счёта — именно ваша компания: юридическое лицо, адрес, контакт верны.
 
☐ 7. Нумерация и даты: формат номера счёта и хронология реалистичны; нет скачков назад/вперёд относительно истории.
 
☐ 8. Состав и ставки НСО: позиции, единицы, ставки и льготы соответствуют договорённостям и типу товара/услуг; нет «странных» скидок/предоплат.
 
☐ 9. Проверка вложений: PDF открывается, текст копируется/ищется; размер адекватен; внутри нет активного контента/встроенных внешних ссылок. Если ссылка есть — открывать копированием (не кликаем), проверив домен.
 

☐ Новые банковские реквизиты без дополнительного подтверждения по проверенному каналу связи.
 
☐ «Срочно оплатить сегодня» от «директора/партнёра», не совпадающее с планом платежей.
 
☐ Вложения в нестандартных форматах (ZIP/HTML/EXE) или ссылки на «облако» неизвестного домена.