Problemy legalności faktury elektronicznej

Zbyt wysokie wymagania wobec faktur elektronicznych w Polsce prowadzą do faktycznej dyskryminacji polskich przedsiębiorstw. Kontrahent nie może wliczyć w koszty jako faktury wydruku ze strony polskiej firmy, a z zagranicznej - owszem. Przy okazji staram się też rozważyć różne scenariusze zagrożenia dla e-faktur oraz sposoby ich ochrony.

Otrzymałem właśnie odpowiedź z programu Google AdWords. Pytałem na jakiej podstawie prawnej mogę odliczać VAT z faktur wystawianych przez przedsiębiorstwo Google Ireland i przesyłanych w ten sposób, że Google wystawia fakturę u siebie na stronie, a ja ją drukuję. Odpowiedź brzmi następująco:

Gwarantujemy, że nasze faktury online spełniają wszystkie wymagania w zakresie faktur wystawianych w państwach Unii Europejskiej. Faktury online wystawiane w ramach programu AdWords są zgodne z Artykułem 226 Dyrektywy 2006/112/WE, obowiązującej dyrektywy w sprawie wspólnego systemu podatku od wartości dodanej, który określa formalne wymogi dla faktur VAT. Postanowienia niniejszego artykułu zostały włączone do przepisów dotyczących podatku VAT w Polsce. Prosimy o zapoznanie się z Rozporządzeniem z dnia 25 maja 2005 r. Dz. U. nr 95, poz. 798 krajowych przepisów. Zapewniamy Państwa, że wydruk faktury online jest ważnym dokumentem, honorowanym przez władze skarbowe w Państwa kraju. W związku z powyższym w świetle posiadanej przez nas wiedzy: faktury wystawiane przez Google Ireland nie podlegają regulacjom wzmiankowanym w Pana pytaniu, faktury wystawiane przez Google Ireland mogą stanowić podstawę odliczenia podatku VAT. (odpowiedź mailem na moje zapytanie #232224427, patrz także podobna odpowiedź na zapytanie klienta)

W praktyce odbywa się to w sposób następujący - przedsiębiorca loguje się na stronie Google AdWords, w historii płatności znajduje odpowiednią pozycję, klika na link i drukuje mu się faktura. Nie jest to faktura elektroniczna w rozumieniu polskiego prawa - jest to zwykła faktura papierowa, tyle że "przesłana" do przedsiębiorcy drogą elektroniczną. Tymczasem w stosunku do przedsiębiorstw polskich taki właśnie sposób przesyłania (udostępniania) faktur zakwestionował w niedawnym wyroku mazowiecki Wojewódzki Sąd Administracyjny (u Vagli: "Nie tylko chodzi o PDF i serwis internetowy, ale również o odbiorcę elektronicznej faktury"). Sąd uznał:

Dokument wydrukowany z serwera sprzedawcy, ale niepotwierdzony tzw. podpisem kwalifikowanym, nie daje nabywcy prawa do odliczenia podatku wynikającego z tej faktury. Taki dokument nie spełnia wymogów przewidzianych dla faktur elektronicznych.

Opisana procedura jest jednak stosowana przez polskich przedsiębiorców powszechnie, co wiadomo z komentarzy w grupach dyskusyjnych. Niektórzy przedsiębiorcy anonimowo przyznają się do wystawiania klientom faktur na serwerze, oficjalnie tylko "w celach informacyjnych". Kontrahenci drukują je, licząc że nikt nie będzie wnikał czy faktura przyszła pocztą czy po HTTP. Inne firmy oferują fakturę do wydruku na stronie, a za "kopię przesłaną pocztą" pobierają dodatkową opłatę (np. IPfon.pl pobiera 4,99 zł).

Papierowa czy elektroniczna?

Można się zastanawiać, czy przypadkiem takiej faktury nie należy traktować jako "zwykłej" a nie "elektronicznej", jako elektroniczny traktując tylko sposób jej przesłania. Niestety, w jednej z interpretacji (Vagla: "Generowanie faktur w formacie PDF, wydruki ze strony") Urząd Skarbowy pisze wyraźnie:

W świetle powołanych przepisów, stwierdzić należy, iż podatnik jest zobowiązany do wystawienia faktury VAT w formie papierowej, oryginał której wydaje kupującemu w takiej formie w jakiej została wystawiona.

Ja to rozumiem tak: jeśli do swojego segregatora wpinam fakturę papierową, to taką samą muszę wydrukować dla kupującego ("oryginał") i wysłać pocztą. Jeśli do klienta wysyłam PDF, to również u siebie muszę zapisać e-fakturę jako PDF i to zgodnie ze wszystkimi wymaganiami dla e-faktur. Na poziomie semantycznym to oczywiście logiczne. Mniej logiczne jest że:

  • polski przedsiębiorca może sobie zgodnie z prawem odliczyć VAT od faktury wystawionej przez firmę irlandzką na stronie WWW,
  • ale złamie prawo jeśli zrobi to z udostępnioną dokładnie tak samo fakturą firmy polskiej.

Czy nie jest to dyskryminacja i to narzucana przez rodzime przepisy? Oczywiście powyższe rozważania są prawdziwe pod warunkiem, że stanowisko Google jest słuszne. Nie mam kompetencji by go zweryfikować.

Co na to Dyrektywa 2001/115/EC?

Europejska Dyrektywa o fakturach elektronicznych (2001/115/EC) mówi o kwestiach bezpieczeństwa tyle:

Państwa Członkowskie dopuszczają wysyłanie faktur drogą elektroniczną, pod warunkiem że autentyczność pochodzenia i integralność treści są zagwarantowane: bezpiecznym podpisem elektronicznym"

Tylko że w angielskojęzycznym oryginale wcale nie ma "bezpiecznego podpisu elektronicznego" (w rozumieniu polskim), tylko "advanced electronic signature". W praktyce oznacza to tyle, że minimalnym warunkiem ochrony autentyczności i integralności faktury z punktu widzenia Dyrektywy i przy europejskim rozumieniu "zaawansowanego podpisu" byłoby podpisanie jej dowolnym certyfikatem i dowolnym programem (np. Acrobat, MS Word, OpenOffice2...). Ale nawet to nie jest wymogiem ścisłym, bo jak czytamy dalej:

dopuszcza się przesyłanie faktur innymi środkami elektronicznymi, pod warunkiem zatwierdzenia tych środków przez dane Państwo (Państwa) Członkowskie

Takie zapisy podane w Dyrektywie pozostawiają wiele swobody interpretacyjnej w zależności od konkretnych potrzeb i praktyki w danym kraju. W Polsce potrzeby sa bardzo konkretne - obniżenie kosztów działalności przez ułatwienie fakturowania. I są one realizowane - głównie niezgodnie z prawem - przez wysyłanie faktur tak jak opisano powyżej. A praktyka? Otóż z niestety jakakolwiek legalna praktyka została w Polsce zarżnięta na wejściu przez spowodowanie, że jest ona albo ekonomicznie opłacalna, albo zgodna z prawem - ale nie i jedno i drugie.

style="display:block"
data-ad-client="ca-pub-8618780985613063"
data-ad-slot="1635613299"
data-ad-format="auto">

E-faktura w Polsce

Polskie rozporządzenie o fakturze elektronicznej zostało stworzone na podstawie najbardziej restrykcyjnego i - jak pokazuje praktyka - najbardziej nieużywalnego zapisu, który również stanowi według Dyrektywy dopuszczalny wariant:

Państwa Członkowskie mogą zażądać, by bezpieczny podpis elektroniczny był oparty na certyfikacie kwalifikowanym i złożony przy użyciu bezpiecznego urządzenia

Dlaczego korzystanie z podpisu kwalifikowanego w tym konkretnym zastosowaniu jakim są faktury elektroniczne jest niepraktyczne pisałem już w Security Standard). Zastanówmy się teraz, jakie intencje przyświecały twórcom Dyrektywy że dodali oni do niej bardzo konkretną specyfikację tego, co ma być chronione.

Państwa Członkowskie dopuszczają wysyłanie faktur drogą elektroniczną, pod warunkiem że autentyczność pochodzenia i integralność treści są zagwarantowane

W tym miejscu właściwie można byłoby postawić kropkę i pozwolić przedsiębiorcy (lub Państwu Członkowskiemu) wybrać taki sposób gwarancji jaki on sam uzna za odpowiedni dla swojego profilu ryzyka. Kto uważa że to wystarczy, ten wysyła mailem niepodpisany plik XLS/ODS, ktoś inny z poziomu Excela czy OpenOffice podpisuje plik z użyciem niekwalifikowanego certyfikatu Thawte albo PGP, a jeszcze ktoś - certyfikatu kwalifikowanego. Warto zauważyć, że Dyrektywa nie mówi o "poświadczeniu autorstwa faktury", co jednoznacznie sugerowałoby podpis elektroniczny rozumiany jako podpis osoby fizycznej. Autorstwo konkretnej osoby w przypadku faktury ma niewielki sens. Dlatego Dyrektywa mówi o ochronie "autentyczności pochodzenia i integralności", czyli o zapewnieniu:

  • że faktura wyszła faktycznie z danej firmy,
  • że numer konta na niej podany jest autentyczny.

I te funkcje są zapewnione przez "nieoficjalne" środki stosowane dzisiaj. W Polsce robi to, niezgodnie z prawem, wiele małych i średnich firm. Firmy irlandzkie robią to legalnie. Konkretnie Google Ireland chroni autentyczność i integralność faktury przez udostępnienie jej na serwerze dostępnym przez SSL (potwierdzona autentyczność serwera) i wyłącznie po zalogowaniu się loginem i hasłem. Czy w przypadku faktury elektronicznej konieczne jest także zapewnienie, że wystawca nie wyprze się jej przy kontroli krzyżowej, co uzasadniałoby wymóg stosowania podpisu kwalifikowanego? Nie wiem, na temat takiego ataku musiałby się wypowiedzieć ktoś ze skarbówki. Ale należałoby zadać sobie pytanie czy w takim razie skarbówka nie boi się takiego wyparcia ze strony wystawcy zagranicznego, dopuszczając jego fakturę wydrukowaną ze strony WWW?

Elektroniczna vs papierowa

A może należałoby po prostu traktować identycznie fakturę elektroniczną i papierową jako różne reprezentacje tego samego dokumentu? Kolejną barierą w stosowaniu faktur elektronicznych jest bowiem konieczność wprowadzenia w firmie dwóch oddzielnych systemów archiwizacji dokumentów. Jeśli mam otrzymywać faktury elektroniczne od jednego tylko wystawcy to absolutnie mi się to nie opłaca. Cytując pewnego przedsiębiorcę z którym rozmawiałem:

Jesli klient na 100 faktur, będzie dostawał 1-3 faktury elektroniczne, to nie będzie zachwycony, bo z tego tytułu będzie miał same kłopoty. Co innego, gdyby w formie elektronicznej dostawał 90% faktur.

Sensowna regulacja w tej sprawie mogłaby wyglądać tak:

  1. faktura może istnieć w postaci papierowej lub elektronicznej - w obu przypadkach jest odwzorowaniem informacji przechowywanej w jakimś systemie F-K,
  2. jeśli faktura jest przesyłana w formie elektronicznej to musi być zapewniona autentyczność jej pochodzenia oraz integralność - na przykład przez certyfikat SSL serwera lub plik podpisany elektronicznie,
  3. jeśli faktura jest przechowywana w formie elektronicznej to autentyczność jej pochodzenia oraz integralność musi być zapewniona przez podpis elektroniczny (pliku, lub systemu - patrz rozwiązania typu Long-Term Archive and Notary Services (LTANS))

Konkretne scenariusze:

  • faktura wypisywana ręcznie lub drukowana z systemu F-K i wysyłana pocztą - jej droga kończy się w punkcie 1; autentyczność i moc dowodowa zachowana przez środki tradycyjne takie jak papier, pieczątka, kwitki z poczty.
  • faktura generowana elektronicznie, wysyłana mailem lub udostępniana przez WWW i drukowana - jej droga kończy się na punkcie 2; autentyczność zachowana przez serwer SSL lub podpis pliku; w pierwszym przypadku (wydruk z WWW) problem z mocą dowodową, w drugim zapewniana przez podpis.
  • faktura generowana elektronicznie, przesyłana jakkolwiek i przechowywana elektronicznie - jej droga kończy się na punkcie 3 - autentyczność jak w punkcie 2, moc dowodowa zapewniana przez podpis pliku lub mechanizm typu LTANS.

Rozwiązanie to jest bardzo elastyczne, bo nie uzależnia ani wystawcy ani odbiorcy od określonej formy dokumentu. W praktycznej implementacji powinno też pozwolić samodzielny wybór lub gradację poziomu ochrony - a konkretnie wybór rodzaju certyfikatu. Moc dowodowa jest nadal chroniona przez artykuły 6 i 8 ustawy o podpisie elektronicznym. Jedyną słabością tego schematu jest relatywnie mała moc dowodowa dokumentu wydrukowanego ze strony w punkcie II. Nie mam danych do oceny praktycznego znaczenia tego kryterium oraz stopnia zagrożenia przezeń generowanego. Należałoby odpowiedzieć na pytania:

  • czy zaprzeczenie wystawieniu faktury może być w jakiś sposób opłacalne?
  • jaka jest realna szansa takiego ataku?
  • jak można to przyrównać do faktury papierowej i czy w tym przypadku były precedensy?
  • na jakiej podstawie akceptowane są w takim razie wydruki faktur wystawionych za granicą?

"Drukowalny podpis elektroniczny"

Jeśli faktycznie opisany problem jest z punktu widzenia skarbówki istotny, to moc dowodową można zapewnić przez podpis elektroniczny dodawany do dokumentu elektronicznego w postaci tekstu BASE64, bitmapy lub kodu kreskowego tak, by po wydrukowaniu możliwe było jego ponowne zeskanowanie i weryfikacja. Takie rozwiązanie oparte o XML jest wykorzystywane w Austrii (trustview secure viewer) i pozwalać zachować moc dowodową podpisu przy wielokrotnych konwersjach między formą elektroniczną i drukowaną. Podobny schemat oparty o bitmapy stworzono w Korei.

Gotowa funkcjonalność dołączania do tekstu kodu kreskowego jest zaimplementowana w wielu aplikacjach i bibliotekach - na przykład w Adobe Acrobat (w 10 minut udało mi się zrobić prosty przykład "pdf417 signed.pdf" z kodowaniem typu PDF 417, z moim podpisem Sigillum) czy aplikacjach firmy HDF.

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

A Google Adwords jest inna sprawa, bo tam nie masz faktury z VAT. Traktujesz to jako dostawe wewnatrzwspolnotowa a wiec dokumenty w ktorych najpierw naliczasz VAT, a pozniej odliczasz.

Ja się nie znam na wewnątrzwspólnotowych, ja po prostu nie rozumiem dlaczego papierek wydrukowany ze strony Google jest dla US dobry, a wydrukowany ze strony polskiego operatora VoIP jest zły.

Pawle,
Jaką odpowiedzialność może ponieść firma i z jakiego tytułu - która stworzy oprogramowanie do podpisywania faktur i wystawi na nie 'deklarację zgodności' z ustawą (bo chyba to jest wymagane by taką aplikację uznać za bezpieczne urządzenie - prawda?). Jakie to niesie ze sobą konsekwencje?

Odpowiedzialność jest taka, że jeśli ktoś (np. konkurencja) zakwestionuje zgodność aplikacji z ustawą to firma, która wystawiła na nią deklarację zgodności będzie musiała wykazać przed sądem że dołożyła starań by taką zgodność zapewnić - na przykład przedstawi wyniki zewnętrznego audytu pod kątem zgodności.

Plik PDF w ogóle nie jest świetle polskiego prawa fakturą. Faktura może być albo papierowa (odpowiednie rozporządzenie określa co się musi znaleźć w dokumencie aby był on fakturą), albo elektroniczna - znów rozporządzenie, w tym bezpieczny podpis. W wyroku sądu, który komentuje Vagla, chodziło o to, że przedsiębiorca księgował PDFy, które nie są fakturą, więc nie mógł on ich księgować. Co innego gdyby ów przedsiębiorca te faktury wydrukował! Obowiązek wystawienia (wydrukowania, bo dopiero od tego momentu można mówić o fakturze) faktury spoczywa na tym, kto świadczy usługę. Jeżeli usługodawca upoważni odbiorcę usługi do wystawienia faktury w swoim imieniu (tj. udostępni jej plik PDF), a odbiorca faktury nie wydrukuje, to faktura taka nie istnieje w świetle przepisów polskiego prawa, a odpowiedzialność (także karną) za ten fakt ponosi sprzedający.

Cytat: "Plik PDF w ogóle nie jest świetle polskiego prawa fakturą. Faktura może być albo papierowa (odpowiednie rozporządzenie określa co się musi znaleźć w dokumencie aby był on fakturą), albo elektroniczna - znów rozporządzenie, w tym bezpieczny podpis."

Wszystko prawda, tylko jedno ale, w większości przypadków nikt nie przedstawia do kontroli "faktur" - plików PDF, ale ich wydruki, a tu różnica, pomiędzy fakturą wystawioną zgodnie z przepisami o VAT a wydrukowaną z pliku PDF przez odbiorcę, jest żadna.
Teraz TPSA przysłała mi też ofertę elektronicznych faktur w PDF, ale z certyfikatem [na domowy użytek].

"Różnica, pomiędzy fakturą wystawioną zgodnie z przepisami o VAT a wydrukowaną z pliku PDF przez odbiorcę, jest żadna."

Jest to prawda, ale nie zapominaj, że obowiązek wystawienia faktury ma sprzedawca. Kupującemu nie wolno wystawić (wydrukować) za niego faktury, chyba że został on do tego wcześniej przez sprzedawcę upoważniony. Jeżeli kupujący ma upoważnienie, lecz faktury nie wydrukuje, ale za to sprzedawca zaksięguje kopię, to w przypadku kontroli okaże się że jest to kopia nieistniejącej faktury (bo pdf u klienta to nie faktura) i odpowie za to sprzedawca.

A co z sytuacją gdy: "Wydrukowałem i wysłałem oryginał zwykłym listem ale widać nie doszedł..."  

Oryginał faktury może być tylko jeden. Jeżeli twierdzimy, że wysłaliśmy oryginał faktury pocztą, to nie możemy jednocześnie twierdzić, że upoważniliśmy odbiorcę do wystawienia tej faktury w swoim imieniu (czyli że wysłaliśmy mu PDFa żeby sobie wydrukował).

Faktycznie, nie widać sposobu żeby uniknąć ryzyka. Jak widać firmy jednak ryzykują. Tym bardziej warto rozwiązać w końcu problem e-faktur.Zastanawiam się skąd bierze się tak silne przywiązanie do dokładnie jednego egzemplarza "oryginału" oraz wymogu oznaczania "oryginałów" oraz "kopii".Przecież po to jest m.in. numer i data wystawienia faktury, żeby jednoznacznie ją identyfikować i stwierdzić, czy ktoś tej samej faktury nie odliczał parę razy.

No i to jest problem - faktura dzieli się na oryginał, oryginalną kopię, a później jeszcze duplikaty, a na końcu na ksera tychże (przy czym ksero oryginału nie jest jego kopią ani duplikatem). Sprawę rozwiązywałoby po prostu używanie pojęcia egzemplarz faktury, oraz określenie co go jednoznacznie identyfikuje.

Faktura wydrukowana na papierze przez wystawcę i przesłana bez jego podpisu do odbiorcy, w momencie wzięcia jej do ręki przez kontrolę podatkową/skarbową nie jest bardziej wiarygodna od faktury wydrukowanej z pliku pdf. Wiem to z autopsji. Po czym mam poznać w tym momencie, że jedna jest bardziej wiarygodna od drugiej, mogą wyglądać wręcz jednakowo.