Fiskalizacija 2.0, prema Zakonu koji ju uređuje, omogućuje nastanak ogromnih sigurnosnih rizika kroz obvezu korištenja “informacijskih posrednika”, tvrdi Marko Rakar, informatički stručnjak i konzultant, koji je na svojem blogu objavio i zorni primjer opasnosti koje je Zakon previdio.
Problem, prema Rakaru, leži u tome što Zakonom nisu propisani nikakvi tehnički i sigurnosni uvjeti za informacijske posrednike. Osim što će to u praksi značiti da bi hakerima moglo biti vrlo lako doći do podataka o izdanim ili zaprimljenim računima pojedine tvrtke, potencijal za zlouporabu je još i veći, jer posrednici nisu dužni ni na koji način provjeravati podatke – identitet korisnika, pripada li predani OIB uistinu njemu, te tko je stvarni vlasnik IBAN-a navedenog na računu.
Ne treba ni hakirati
Slanje takozvanih prijevarnih računa – u kojem zlonamjerni akteri preuzmu kontrolu nad informacijskim posrednicima pa umjesto ispravnog IBAN-a postave svoj broj računa – jedna je od najčešćih digitalnih prevara, a hrvatsko rješenje dodatno ju je olakšalo, jer čak nije potrebno ni hakiranje.
Rakar kaže kako je na tu opasnost upozoravao još dok je novi Zakon bio u javnom savjetovanju, no da su njegove primjedbe u konačnici bile ignorirane. Zato je na svojem blogu objavio demonstraciju zlouporaba koje bi novi sustav mogao omogućiti.
Rakar je u svojoj demonstraciji kreirao dva poslovna subjekta na dva servisa eRačuna u Hrvatskoj, a u oba slučaja nije bilo nikakve provjere njegovog identiteta – registrirao se koristeči privremenu i nasumično kreiranu e-mail adresu.
Pročitajte više: Fiskalizacija 2.0 dolazi: Što donosi novi zakon i kako je pretvoriti u poslovnu prednost?
Laka prevara
Pri završetku registracije, mogao je unijeti OIB bilo kojeg poslovnog subjekta kao svoj, nakon čega je odmah – ponovno, bez ikakve provjere – bio u stanju slati račune u ime tog subjekta.
U prijevodu, mogao je unijeti OIB, primjerice, Gradske plinare, HRT-a, poslovne banke ili bilo kojeg subjekta, i slati račune u njihovo ime. Na jednom od dva servisa koristio je IBAN računa registriranog u Poljskoj, a na drugom servisu prijavio se kao Pero Djetlić – niti jedan sustav nije napravio nikakvu provjeru njegovog identiteta ili vlasništva nad OIB-om i računom.
“Dakle, doslovno danas se možete ulogirati u servis i kreirati korisnički račun primjerice INA-e ili Plive i početi slati račune u nadi da će biti plaćeni”, piše Rakar.
Rakar upozorava kako će svi obveznici fiskalizacije morati trošiti barem minimum vremena kako bi provjerili udovoljavaju li njihovi posrednici ikakvim sigurnosnim kriterijima, te sugerira kako bi bilo mudro već danas kreirati poslovne procese kroz koje će se provjeravati autentičnost i točnost zaprimljenih računa.
Kaže i kako je o svojoj demonstraciji već obavijestio MUP i Poreznu upravu, kako bi ih upozorio na moguća kršenja zakona koja će uslijediti nakon uvođenja obveze slanja eRačuna, no da još nije dobio povratnu reakciju.
Foto: Screenshot N1, Midjourney, Canva
