bezpieczeństwo, podpis elektroniczny, firma, opinie
Dopuszczenie innych rozwiązań niż podpis kwalifikowany, archiwum z możliwością wyszukiwania oraz podział na okresy rozliczeniowe – to tylko niektóre z rewelacji jakie przynosi nowe rozporządzenie o e-fakturze, które Ministerstwo Finansów opublikowało przed świętami.
Ministerstwo, zgodnie z wcześniejszymi zapowiedziami, wprowadza od 1.01.2011 nowe rozporządzenie o fakturze elektronicznej. Podatnik będzie mógł wystawiać e-faktury pod warunkiem, że zapewni ich autentyczność (pewność od kogo pochodzą) i integralność (pewność, że nie uległy zmianie w czasie ich przesyłania/przechowywania), jednak – i tu nowość – nie narzuca, a jedynie wskazuje w jaki sposób można te dwa atrybuty zapewnić. To co jest wskazywane, jest już znane i krytykowane od 5 lat, a mowa tutaj o:
Ministerstwo nie wskazuje innych metod, ale eksperci nie mają złudzeń: nadal będzie to e-podpis, ale tym razem taki, który można mieć za 100zł, a nie 300 zł, lub taki który każdy może wygenerować sobie sam (w internecie znaleźć można wiele poradników jak to zrobić). Istnieją też wyspecjalizowane firmy, które udostępniają e-podpis wraz z oprogramowaniem do faktur dla MŚP za darmo, jak np. oprogramowanie MicroFV wraz z podpisem elektronicznym do e-faktur od Elektronicznie podpisani.pl. Oznacza to, że małe firmy mogą przestać obawiać się kosztów związanych z użyciem e-faktury, jednak nadal muszą posługiwać się specjalnie do tego celu przygotowanymi programami.
Co ciekawe, wydaje się również możliwe, by kontrolę autentyczności i integralności zrealizować w sposób procesowy, np. umożliwić, by Odbiorca faktury mógł zadzwonić na infolinie i spytać “czy dana faktura była mu wystawiana i przez kogo”. By zrealizować postulat integralności należałoby przedyktować przez telefon całą zawartość wystawionego dokumentu, jednak istnieją przesłanki by uznać to za jedno z możliwych rozwiązań.
Ministerstwo raczy nas również nowościami, czyli przechowywaniem faktur z podziałem na okresy rozliczeniowe oraz wyszukiwaniem. Powstaje więc wątpliwość, czy podatnik, który skrupulatnie umieszcza e-faktury w odpowiednich katalogach na swoim dysku, a system operacyjny umożliwia przeszukiwanie wewnątrz plików, to czy takie rozwiązanie spełnia wymogi rozporządzenia? Wydaje się, że tak. Warto nadmienić, że wymóg “dostępu on-line” do e-faktur został zniesiony dla faktur przechowywanych w kraju, co w konsekwencji sugeruje możliwość archiwizacji faktur również na płycie CD.
Jeden zapis jedynie niepokoi – paragraf 8:
Faktury przesłane w formie elektronicznej i przechowywane w tej formie udostępniane są organowi podatkowemu i organowi kontroli skarbowej w trybie umożliwiającym tym organom bezzwłoczny ich pobór i przetwarzanie danych w nich zawartych
Można by rzec, że ktoś z Ministerstwa zostawił sobie tzw. “backdoor”, czyli furtkę do tego, by każdego podatnika jak będzie trzeba – złapać. Co znaczy, przetwarzanie przez organ danych zawartych w fakturach? Czy wystarczy, że będą w stanie je odczytać na ekranie, czy wymagać będą danych w formie tekstowej? Excelu? CSV? nie wiadomo, ale wiadomo jedno – zapis ten interpretować można na wiele sposobów. Wyobrażam sobie np. sytuacje, w której przechowuje faktury w dokumencie PDF, a kontroler mówi mi, że nie może tego otworzyć w Excelu, żeby mu się ładnie wszystko podliczyło, więc nie może przetwarzać dostarczonych danych. Klops. Jak będzie w praktyce? Poczekajmy do pierwszych interpretacji Urzędów Skarbowych.
Sam dokument PDF nie można uznać za taki, który zapewnia integralność i autentyczność pochodzenia. Potrzebne są dodatkowe mechanizmy, pozwalające stwierdzić czy to co wysłał nadawca, jest tym co do mnie dotarło oraz czy to co dotarło pochodzi od podmiotu od którego podejrzewam, że pochodzi. Dlaczego tak? Jestem w stanie sobie wyobrazić, że przy masowym dostawcy (np. telekomunikacyjnym) ktoś rozsyła fałszywe faktury, zmieniając jedynie numer konta na fakturze. Brak zabezpieczeń stwarza pole do nadużyć, których bez wymienionych wyżej mechanizmów kontroli – nie moglibyśmy wykryć.
PDF musi zostać wzbogacony o możliwość weryfikacji pochodzenia i niezmienności treści – tylko taki może być uznany za zgodny z rozporządzeniem.
Nowe rozporządzenie to przede wszystkim możliwość stosowania innych mechanizmów kontroli bezpieczeństwa dokumentu (np. “zwykły” e-podpis), w tym również procesowych. Warto podpisać dwustronną umowę w której obie strony zgadzają się na uzgodnione mechanizmy, lub skorzystać z gotowych rozwiązań rynkowych.
Blog ten powstał jako odpowiedz na żenująco mało informacji dotyczących podpisu czy faktur elektronicznych jakie można znaleźć w polskim internecie. Publikowane informacje dotyczą praktycznego wykorzystania wspomnianych technologii. Zapraszam do czytania!
6 Responses to Analiza nowego rozporządzenia o e-fakturach
rkrol
Styczeń 2nd, 2011 at 19:47
nowe rozporządzenie stało się faktem i jest dostępne pod adresem: http://isap.sejm.gov.pl/DetailsServlet?id=WDU20102491661
Marek Sarna
Luty 7th, 2011 at 16:27
Równie łatwo można sfałszować faktury papierowe, wymóg zachowania integralności treści i autentyczności pochodzenia dotyczy również faktur papierowych a jakoś nikt nie wymaga specjalnych zabezpieczeń. Plik pdf, po wydrukowaniu, staje się normalną fakturą papierową. Nikt nie będzie w stanie stwierdzić na której drukarce został on wydrukowany, szczególnie po latach. Zupełnie nie rozumiem tego tępego uporu przed umożliwieniem przesyłania faktur w postaci plików pdf. W wielu krajach dopuszczalne jest przesyłanie faktur mailem i faksem i nikt nie robi problemu tam, gdzie go nie ma.
rkrol
Luty 7th, 2011 at 16:49
Łatwo sfałszować pojedyncze faktury papierowe, jednak robienie tego na skalę pociąga za sobą wysokie koszty dystrybucji. Nie mówimy tutaj o istocie na której drukarce zostało to wydrukowane (kto ją wydrukował), tylko czy w bezpieczny sposób została dostarczona do odbiorcy (czy droga gwarantowała, że nikt nie zmieni numeru konta w trakcie jej przesyłania).
Inne kraje np. Niemcy wprowadziły bardziej liberalne przepisy, np. dopuszczają przesyłanie faxem, *ale tylko wtedy gdy obie strony posługują się fizyczną maszyną dedykowaną do wiadomości FAX*, natomiast wymuszają dodatkowe zabezpieczenia jeśli któraś ze stron posługuje się faxem internetowym. Istnieją realne obawy centralnych instytucji finansowych co do możliwości masowych oszustw podatkowych w zakresie e-faktur i raczej trudno z nimi dyskutować.
Rozumiem, że za użyciem dokumentu PDF jako nośnika przemawia prostota jego użycia oraz zerowy koszt dystrybucji – trudno się z tym sprzeczać, jednak e-fakturę można mieć za niewielkie stosunkowo pieniądze (160zł rocznie), jak również istnieją proste w obsłudze narzędzia ułatwiające pracę z efakturą (http://facturo.pl), a dające pełną zgodność z rozporządzeniem oraz bezpieczeństwo stosowania.
Marek Sarna
Luty 7th, 2011 at 18:01
Rzecz polega na tym, że nikt nie jest w stanie odróżnić czy faktura przyszła poczta tradycyjną, czy też elektroniczną i następnie wydrukowana przez odbiorcę. Argumenty typu: mozna analizować tusz, papier etc. są zupełnie bezsensowne, bo można mieć wiele drukarek, drukować w różnych miejscach i ekspertyza mająca zidentyfikować drukarkę albo jest w ogóle niemożliwa (drukarka już nie istnieje) albo niesłychanie kosztowna. Dlatego też nie jestem w stanie zrozumieć czemu ma służyć uparte domaganie się jakichś szczególnych zabezpieczeń, skoro faktura papierowa nie jest zabezpieczona w ogóle. Oszustwa zawsze będą możliwe i od wykrywania i tępienia oszustw są odpowiednie służby. Nie ma żadnego powodu, aby wszystkich podatników traktować jak złodziei. Proszę to w końcu zrozumieć dwadzieścia lat po zmianie ustroju. Podatnik to nie jest już wróg ludu pracującego miast i wsi.
rkrol
Luty 7th, 2011 at 18:15
nie użyłem argumentu dot. analiz papieru czy tuszu, więc nie rozumiem dlaczego je Pan porusza :)
to, czy jesteśmy w stanie odróżnić kto wydrukował i kiedy pozostawiam w kwestii ekspertów w tej materii, jednak nie to jest istotą rzeczy. Istotne dla e-faktury jest to, że docelowo *ma być przechowywana w formie elektronicznej*. Po co nam stosy segregatorów na regałach czy w piwnicy? Jako ekspert od e-zabezpieczeń jestem w stanie Pana zapewnić, że zmiana informacji w dokumencie PDF to kwestia sekund, a operacja ta – jeśli nie są stosowane dodatkowe mechanizmy – jest niewykrywalna. Dosłownie. Z papierem już inaczej, bo nie wyobrażam sobie procesu, który pozwoliłby na niewykrywalną manipulację przy stosie segregatorów. To samo dotyczy przesyłu danych w porównaniu do przesyłki pocztowej. Na skalę.
oczywiście, spieramy się o politykę, czego wolałbym nie robić. Wskazuję jednak, że przesłanki do wymuszania zabezpieczeń są i zostały one wymyślone na gruncie europejskim, a nie krajowym. Oczywiście, w krajach skandynawskich przyjmuje się primo, że podatnik jest uczciwy, natomiast w UE zakłada się, że wśród tych uczciwych mas, są jednostki mniej uczciwe i im należy życie utrudnić. Zidentyfikowano potencjalne niebezpieczeństwo i postarano się je wyeliminować. Taka polityka.
Nie chciałbym być źle odebrany – nie staram się bronić wymyślonych procesów, a jedynie zrozumieć dlaczego takie, a nie inne rozwiązania zostały przewidziane.
Marek Sarna
Luty 7th, 2011 at 19:57
Wbrew temu, co Pan twierdzi, istotne są zarówno sposób przechowywania, jak i sposób przesyłania faktur.
Ja skupiłem się na sposobie przesyłania i twierdzę, że nie da się odróżnić faktury przesłanej poczta tradycyjna od przesłanej pocztą elektroniczną. Skoro tak, to można przesyłać elektronicznie, pod warunkiem, ze obie strony transakcji zgodnie zeznają, ze przesłały fakturę pocztą tradycyjną. Ale tu już wkraczamy na pola paranoi charakterystyczne dla naszego państwa, które lubuje się w zmuszaniu obywateli do karkołomnych sztuczek, zamiast zezwolić im na proste i uczciwe życie. I oczywiście kontrolować, czy obywatele nie nadużywają tego zaufania.
Nie ma takich zabezpieczeń, których nie można obejść. Ale, jak już pisałem, od ścigania przestępców są odpowiednie służby. Utrudnianie życia ludziom wcale nie zawsze prowadzi do zwiększonego bezpieczeństwa.