1. Пока не проведено внутреннее расследование, претензия к провайдеру выставлена быть не может.
2. Для проведения внутреннего расследования нужно руководителя ИТ-отдела обязать предоставить директору логи трафика за интересующий период.
3. Обратиться к провайдеру с просьбой предоставить логи за тот же период. Он
по закону обязан их предоставлять.
4. Найти рабочее место и виновного в превышении тарифов среди персонала магазина.
5. Если виновного установить не получится, то обратиться к провайдеру с просьбой оказать помощь в поиске хакера, который "взломал" сеть магазина и что-то туда закачал. С аналогичной просьбой обратиться в правоохранительные органы.
И чисто технический вопрос, внутренняя сеть на проводах или беспроводная? Потому что если беспроводная, то 200% что провайдер выставил реальный счет.