Jak zapewnić autentyczność i integralność faktury elektronicznej?

Zgodnie z obowiązującym od stycznia 2011 rozporządzeniem o fakturach elektronicznych autentyczność i integralność można zapewnić za pomocą innych środków niż EDI i podpis kwalifikowanych. Czyli jakich?

Środkiem technicznym wprowadzonym w celu ochrony autentyczności i integralności dokumentów elektronicznych jest podpis elektroniczny. Rozporządzenie obowiązujące do 2011 roku dopuszczało stosowanie tylko jego najsilniejszej wersji — podpisu kwalifikowanego. Jego nieprzydatność do fakturowania elektronicznego wynikała z następujących cech:

  • Przywiązanie do osoby fizycznej, podczas gdy w przypadku faktury wystarczająca jest ochrona z dokładnością do firmy, czyli organizacji. Nie da się uzyskać certyfikatu kwalifikowanego na firmę, więc w praktyce podpis musiała składać jedna wyznaczona osoba. Jej nieobecność wymagała w teorii posiadania zapasowych certyfikatów dla innych osób, a w praktyce była rozwiązywana przez traktowanie jej karty i certyfikatu jako "przechodniego". Jest to oczywiście sprzeczne z ideą podpisu kwalifikowanego i prawem.
  • Konieczność ręcznej autoryzacji podpisu. Podpis kwalifikowany z założenia powinien być składany ręcznie (kod PIN), przez konkretną osobą i na konkretnym dokumencie o znanej treści. Nie da się go osadzić w systemie finansowo-księgowym tak, by podpis pod fakturami był składany w pełni automatycznie. Firmy promujące podpis kwalifikowane naginały interpretację ustawy w ten sposób, by możliwe było składanie podpisu kwalifikowanego np. pod porcją 5 tys. faktur po jednorazowym wpisaniu PIN. Nawet jeśli było to zgodne z prawem, to moim zdaniem było niezgodne z założeniami podpisu kwalifikowanego.
  • Brak możliwości stosowania klasycznego oprogramowania biurowego, typu Excel, Word czy Acrobat. Podpis kwalifikowany wymaga oprogramowania posiadającego "deklarację zgodności". Wymienione programy jej nie posiadają. Posiadają ją jedynie udostępniane przez centra certyfikacji "programy do podpisywania", które są moim zdaniem tragicznie niewygodne, oraz niektóre systemy specjalizowane do wystawiania faktur elektronicznych. W rezultacie mieliśmy sytuację, w której do fakturowania nie możemy stosować oprogramowania, które logicznie się tutaj narzuca, a musimy stosować oprogramowanie, które się do tego nie nadaje. Prowadziło to do absurdalnych sytuacji, gdy "zgodna z prawem" faktura elektroniczna przychodziła w postaci "gołego" (niepodpisanego wewnątrz) pliku PDF, a podpis był załączony w oddzielnym pliku i weryfikowany oddzielnym programem, którego rzecz jasna nikt nie sprawdzał.

Jak widać, rozwiązanie obowiązujące w latach 2005-2011 było postawione na głowie, wbrew zdrowemu rozsądkowi i w sposób mocno nadmiarowy w stosunku do unijnej dyrektywy o fakturach elektronicznych. Nowelizacja z 2011 roku rozwiązała większość z tych problemów.

Jak to zrobić poprawnie?

Zgodnie z nowym rozporządzeniem faktura elektroniczna musi mieć jedynie zapewnioną autentyczność i integralność. W rozporządzeniu wymienia się dwie techniki przykładowe, które na pewno je zapewniają ale katalog jest otwarty. To znaczy wystawca faktur może stosować wszystkie techniki, które zapewniają autentyczność i integralność faktury, ryzykując jedynie to, że jego wybór zostanie zakwestionowany podczas kontroli skarbowej.

Uwaga: od 2013 obowiązuje nowe rozporządzenie dotyczące faktur elektronicznych

Według niektórych dość skrajnych interpretacji autentyczność i integralność zapewni nawet wysłanie "gołego" pliku PDF emailem. Można tutaj budować dialektyczne wywody dlaczego znany adres email zapewnia autentyczność, a protokół TCP – integralność, ale moim zdaniem nie tędy droga. Zwłaszcza, że z nowym rozporządzeniem zrobienie tego zgodnie z zasadami sztuki jest łatwiejsze niż kiedykolwiek przedtem.

Autentyczność i integralność faktury elektronicznej można teraz zapewniać za pomocą podpisu elektronicznego składanego z pomocą zwykłych certyfikatów komercyjnych. Certyfikaty te można uzyskać za darmo (StartSSL) lub kupić za kilkadziesiąt złotych w polskich (jako certyfikat niekwalifikowany albo komercyjny) lub zagranicznych centrach certyfikacji (tzw. email certificate). Te certyfikaty mają następujące zalety jeśli chodzi o podpisywanie faktur elektronicznych:

  • Nie są przechowywane na karcie elektronicznej, mogą być przechowywane w systemie Windows lub w magazynie certyfikatów Acrobata, nie muszą być zabezpieczone kodem PIN — podpis może być składany całkowicie automatycznie.
  • Mogą być używane w każdym programie biurowym (Excel, Word, OpenOffice, Acrobat) czy pocztowym (Windows LiveMail, Thunderbird).
  • Dostępny jest szereg darmowych lub tanich bibliotek pozwalających na automatyzację składania podpisu pod dokumentami (np. iText dla plików PDF).

W tej sytuacji generowanie faktury elektronicznej w małych i średnich firmach ogranicza się do stosowania klasycznych narzędzi biurowych, które w większości posiadają wbudowane funkcje podpisu elektronicznego. Jeśli mamy zainstalowany w systemie "zwykły" certyfikat (ja mam np. od StartSSL) to programy takie jak Excel, Word czy OpenOffice będą go widzieć automatycznie i umożliwiać podpisanie nim każdego dokumentu jako części procesu zapisywania jego ostatecznej wersji. I tak funkcje podpisu są w różnych programach dostępne w następujących miejscach:

  • OpenOffice wersje 2 i nowsze — menu Plik → Podpisy cyfrowe → Dodaj
  • Microsoft Office starsze wersje (2002, XP) — menu Narzędzia → Opcje → Bezpieczeństwo → Podpisy cyfrowe → Dodaj
  • Microsoft Office nowsze wersje (2007, 2010) — menu Plik → Informacje → Ochrona dokumentu → Dodaj podpis cyfrowy
  • Adobe Acrobat — menu Advanced → Sign & Certify → Certify without visible signature (to najprostszy sposób, w rzeczywistości funkcje te są o wiele bardziej rozbudowane)

W załącznikach poniżej można znaleźć wszystkie wymienione formaty plików z podpisem złożonym za pomocą certyfikatu StartSSL. Podpisane pliki można przesłać kontrahentowi już dowolnie — emailem. Można również umieścić pliki z fakturami w serwisie takim jak Wuala, w katalogach dzielonych z poszczególnymi kontrahentami. Zapewni to po pierwsze łatwość wymiany faktur, po drugie – co bardzo istotne – kopię zapasową i po trzecie łatwy i szybki dostęp dla urzędu skarbowego w trybie on-line (§7 rozporządzenia).

Na koniec chciałbym jeszcze zastrzec, że wymienione techniki zapewniają autentyczność i integralność dokumentów elektronicznych na poziomie, który moim zdaniem jest w zupełności odpowiedni dla faktur elektronicznych. Nie mogę jednak zagwarantować, że interpretacja ta będzie podzielana przez wszystkie urzędy skarbowe w całym kraju. Co więcej, poruszam tutaj tylko kwestię autentyczności i integralności, nie zajmując się innymi wymaganiami z rozporządzenia (zgoda, udostępnianie itd).

Jeśli planujemy duże wdrożenie faktur elektronicznych to najlepiej po prostu wystąpić o interpretację indywidualną, opisując w jaki sposób faktury elektroniczne są wystawiane i podpisywane.

Wydaje mi się, że przyszłość należy tutaj do oprogramowania finansowo-księgowego, które w końcu może w łatwy i tani sposób dodać funkcje fakturowania elektronicznego, a zwłaszcza do serwisów online (w stylu i-Faktura). Wyposażenie ich w funkcje fakturowania elektronicznego zgodnie z opisanymi powyżej technikami zapewnienia autentyczności i integralności dałoby im ogromną przewagę konkurencyjną.

AttachmentSize
dokument_testowy.docx18.22 KB
dokument_testowy.odt11.51 KB
dokument_testowy_1.pdf46.9 KB
dokument_testowy.doc89.5 KB

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Obecnie najbardziej intuicyjnym i user-friendly oprogramowaniem do zarządzania elektronicznymi fakturami są Symfonia e-Dokumenty. Możliwość dodania podpisu elektronicznego z pliku, karty, magazynu lub utworzenia nowego, bezpieczne zarządzanie podpisami, integracja z innymi aplikacjami tejże firmy, bezpieczne przechowywanie faktur, wszystko w pełni zgodne z obowiązującą ustawą. Polecam!

Moim zdaniem sposób jest dobry, ale mimo wszystko to jest strzelanie z armaty do wróbla - wymogi zapewnienia autentyczności i integralności dotyczą też faktur papierowych, odnośnie których zdanie "można tutaj budować dialektyczne wywody dlaczego znany adres sprzedawcy i listonosz zapewniają autentyczność, a papier – integralność, ale moim zdaniem nie tędy droga" brzmi oryginalnie :-)

Ja siłą rzeczy patrzę na to z punktu widzenia swojej branży czyli bezpieczeństwa teleinformatycznego. Pojęcia autentyczność i integralność mają tutaj określone precyzyjnie znaczenia (powtórzone zresztą w ustawie) i istnieją powszechnie przyjęte techniki ich zapewniania.

Szersza dyskusja wymagań bezpieczeństwa dla faktur elektronicznych jest zresztą przedstawiona tutaj:

http://ipsec.pl/problemy-legalno%C5%9Bci-faktury-elektronicznej.html

Główny powód dla zapewnienia autentyczności pochodzenia i integralności faktur to potencjalne zagrożenie phishingiem - zwłaszcza, że takie ataki pojawiały się w przeszłości, tylko że w wersji papierowej (!).

Natomiast wydaje mi się istotne, by w tych rozważaniach nie zabrnąć zbyt daleko i nie stracić z pola widzenia tego, czym w rzeczywistości jest faktura. Jest ona dokumentem potwierdzającym prawo do odliczenia podatku VAT i kwotę naliczoną z drugiej strony. Sama koncepcja faktury wywodzi się ze świata papierowego i w świecie elektronicznym należy moim zdaniem dokonać radykalnej przebudowy tej koncepcji.

No i jest jeszcze jeden sposób na radykalne rozwiązanie problemu fakturowania - zrezygnować z podatku VAT :)

W dyrektywie UE jest mowa o dowolnych metodach kontroli biznesowej, więc ustalony adres email + PDF pewnie się obronią, zwłaszcza że w tą stronę idą interpretację.

Osobiście korzystam z własnoręcznie wygenerowanego certyfikatu OpenPGP, ale nawet to wydaje mi się przesadą (z tym że wolę przesadzić niż dowiedzieć się za parę lat że od dawna nie wystawiłem faktury :))

Co do rezygnacji z podatku VAT, chętnię podpiszę petycję :)