Prawdziwe zagrożenie dla e-podatków

Przy okazji zaostrzenia mechanizmów uwierzytelnienia i uproszczenia mechanizmu autoryzacji w ZUS w środowiskach IT przetoczyła się mała debata na temat potencjalnych zagrożeń związanych z oszustwami przy okazji składania różnego deklaracji podatkowych.

W przypadku deklaracji o podatku emerytalnym składanych do ZUS chodziło o to, że co prawda używamy certyfikatu kwalifikowanego ale bez pełnomocnictwa, takiego jak ZAW-E1 w e-Deklaracjach. Szczerze mówiąc, nie udało się wtedy nikomu podać prawdopodobnego scenariusza jak miałoby wyglądać ewentualne nadużycie tej "luki". Zamiast tego Ministerstwo Finansów chce znacznie uprościć uwierzytelnienie deklaracji podatkowych.

To co w polskiej administracji publicznej jest sensacją na miarę drugiej dekady XXI wieku od dawna funkcjonuje w brytyjskim i amerykańskim systemie podatkowym. Warto zatem przyjrzeć się doświadczeniom amerykańskiego IRS (Internal Revenue Service) z elektronicznymi deklaracjami.

W wydanym w ubiegłym roku poradniku instytucja ta ostrzega przed klasycznym phishingiem, rozsyłanym w postaci listów udających korespondencję z IRS.

W najbardziej wyrafinowanej wersji maile zachęcają do podawania danych osobowych w najróżniejszych formularzach webowych, udających nieistniejące formularze podatkowe. W najprymitywniejszej - do kliknięcia na link, który próbuje uruchomić konia trojańskiego.

Jak widać nie ma to nic wspólnego ze scenariuszami w rodzaju "przestępca wyśle za mnie fałszywy formularz podatkowy i będę musiał w kopalni do końca życia odrabiać miliardowy podatek!", którymi straszono podczas dyskusji o rezygnacji z podpisu kwalifikowanego.

Zamiast tego Ministerstwo Finansów powinno z wyprzedzeniem, za pomocą mediów oraz stron z formularzami podatkowymi, edukować użytkowników zanim podobne akcje pojawią się w Polsce, zapewne w okolicach przyszłego roku lub dwóch.

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Co pewien czas mam okazję się wypowiedzieć na łamach tego portalu. Ostatnio broniłem ZUS w związku z brakiem pełnomocnictw - jak widać dotychczas sprawdziło się.
Jeśli chodzi o deklaracjie PIT-37 to podstawowym elementem je zabezpieczającym nie jest stosowanie podpisu elektonicznego składającego się z danych osobowych i kwoty zeszłorocznego zeznania podatkowego. Najważniejszym elementem jest konieczność złożenia tej deklaracji. Czyli w scenariuszu, w którym złożona jest tylko jedna deklaracja - ryzyko, że ona jest fałszywa jest minimalne.
Natomiast jeżeli urząd dostał wiele deklaracji i ma wątpliwości, która z nich jest prawdziwa - to wzywa obywatela do ustalenia właściwej. Tym bardziej, że na papierze dzieje się to samo i jest tylko bazgroł, który nazywamy podpisem.
Ten mechanizm jest właściwy dla PIT-37 - bo ryzyko związane z nadłużyciami jest niewielkie, tym bardziej, że wszystkie dane i tak fiskus posiada.
Trochę inaczej wygląda sprawa w deklaracjach otrzymywanych od przedsiębiorców, tam obowiązek ich przygotowania jest co miesiąc, opóźnienia zdarzają się dość często i istnieje większe ryzyko nadużyć związanych z tymi deklaracjami. Dlatego aby wprowadzić tego typu uproszczenia trzeba wykonać analizę, która wskaże rozwiązanie stanowiące sensowny balans pomiędzy kosztami a ryzykiem. Swoją drogą zapowiedziana rezygnacja z ZAW-ek dla deklaracji sygnowanych bezpiecznym podpisem będzie ruchem w dobrą stronę, który w mojej opinii nie zwiększa ryzyka nadłużyć.

Co do ZUS miał Pan oczywiście rację. Jeśli chodzi o inne deklaracje to co miesiąc składam elektronicznie VAT-7 i nie bardzo potrafię sobie wyobrazić jakieś ryzyko z tym związane. Jeśli ktoś złoży drugą, fałszywą deklarację to będą złożone dwie za jeden miesiąc, co skończy się wezwaniem do wyjaśnienia. Oczywiście, podstawą do jakichkolwiek rozważań jest analiza ryzyka przeprowadzona przez MF, które ma wszystkie dane wejściowe w ręku.