Podľa etických hackerov má eKasa fatálne bezpečnostné nedostatky.
Nový systém online prepojenia registračných pokladníc na finančnú správu, tzv. eKasa umožňuje obchádzať platenie daní omnoho jednoduchšie a v oveľa väčšej miere, ako staré registračné pokladnice. Na základe vlastných zistení o tom informuje Investigatívne centrum Jána Kuciaka (ICJK).
Funkčnosť nových pokladníc pre ICJK preverili etickí hackeri zo spoločnosti Nethemba. "Súčasné riešenie má fatálne bezpečnostné nedostatky a pokladáme ho za menej bezpečné, ako predošlé," konštatuje Pavol Lupták z tejto spoločnosti.
eKasa je jeden celok pozostávajúci z dvoch častí - pokladničného programu a chráneného dátového úložiska (CHDÚ). Tento systém by mohol fungovať, keby softvér používal na komunikáciu s chráneným úložiskom šifrované spojenie, upozorňuje ICJK.
Pôvodne to tak malo byť, požiadavka bola medzi podmienkami certifikácie, ktorú museli získať výrobcovia pokladníc od finančnej správy. Neskôr však daniari od tohto nároku ustúpili. Práve preto je podľa ICJK možné novú eKasu obísť.
Etickí hackeri z firmy Nethemba v rámci testovania systému napísali emulátor, ktorý sa spojí s chráneným úložiskom, skopíruje ho a ďalej sa pred pokladnicou tvári ako modul CHDÚ. Následne môže používateľ napríklad vytlačiť pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy. Zároveň nahradí identifikačné údaje pokladne náhodnými znakmi, takže spätne ju už nie je možné identifikovať.
"Ak si budete takýto doklad overovať cez portál finančnej správy, nezistíte, že doklad je neplatný, dostanete len hlásenie, že doposiaľ nebol zaregistrovaný," vysvetľuje centrum.
Ďalšia možnosť je opakovaná tlač originálneho dokladu. Emulátor dokáže vytlačiť ten istý legálny doklad, so správnymi údajmi a regulárne zaregistrovaný na portáli finančnej správy, opakovane. Ten istý nákup si tak môžu dať do nákladov aj desiatky podnikateľov.
Šanca, aby kontrolór zistil, že dvaja podnikatelia kúpili ten istý tovar v tom istom čase v tom istom obchode, je podľa ICJK v praxi nulová.
"V tomto prípade sme sa samotného systému ani nedotkli a nijaký zásah nie je spätne žiadnym spôsobom preukázateľný. Náš emulátor môžete spustiť aj z virtuálneho disku a po vypnutí počítača po ňom neostane žiadna stopa. Aj keby vám finančná správa alebo polícia zhabala celý systém, nenašli by v ňom nič, čím by vám mohli dokázať podvod," upozornil na nedostatky systému Lupták.
Emulátor v súčasnosti nie je nikde voľne k dispozícii, ani neexistuje vo forme užívateľsky jednoducho inštalovateľnej a spustiteľnej aplikácie. V prostredí predajcov pokladníc sa však podľa ICJK začína hovoriť o tom, že podobné aplikácie by mohli byť na čiernom trhu už čoskoro k dispozícii.
Finančná správa: Informácie nie sú pravdivé
Medializované informácie o nefunkčnosti online prepojenia elektronických registračných pokladníc (ERP) na finančnú správu nie sú pravdivé. Uviedol to na brífingu generálny riaditeľ sekcie boja proti podvodom a analýzy rizík Finančného riaditeľstva SR Ladislav Hanniker.
Vyjadrenia zástupcov spoločnosti Nethemba je podľa Hannikera potrebné uviesť na správnu mieru. "Pevne veríme, že vyjadrenia tejto spoločnosti vyplývajú iba z neznalosti samotného systému a nie sú motivované súkromnými pohnútkami niektorých dodávateľov pokladničných riešení, ktorí nezískali certifikáciu pre eKasu," povedal.
"Vyjadrenia spoločnosti o tom, že doteraz boli pokladnice vybavené špeciálnou fiškálnou pamäťou, do ktorej sa ukladali denné uzávierky a dáta sa do nej dali iba zapisovať, následne ich mazať alebo meniť nebolo možné, nie sú pravdivé. Práve pri klasických registračných pokladniciach sme totiž identifikovali, že existujú pokladnice s modifikovateľným fiškálnym modulom. Často sa na modifikovaní fiškálnych modulov podieľali niektoré 'servisné organizácie'. Napríklad pri jednej z kontrol sme zistili, že priemerná hodnota krátenia tržieb za rok na zadržaných pokladniciach bola vo výške 190- tisíc eur. A práve s cieľom zamedziť takému obchádzaniu systému sme zaviedli eKasu," priblížil.
Finančná správa vydala materiál, v ktorom upresňuje a definuje rôzne podmienky fungovania online registračných pokladníc. Tento materiál vznikal od konca novembra 2018 a pôvodne vôbec neobsahoval povinnosť šifrovania. "Chránené dátové úložisko však nemá žiaden podstatný vplyv na bezpečnosť eKasa systému. Údaje na finančnú správu sa totiž neodosielajú cez CHDU, ale priamo z pokladnice. Pokladnica posiela informácie rovnocenne do CHDU aj na finančnú správu."
"K zmieňovaným výhradám ICJK, respektíve spoločnosti Nethemba uvádzame aj nasledovné, že spoločnosť odstránila časť certifikovaného zariadenia (CHDU). Vynechala tak zo systému dôležitý prvok a vytvorila 'pokladnicu', ktorá nie je v súlade so zákonom (prišlo k úmyselnému a ľahko identifikovateľnému zásahu). Zároveň si k celému systému pripojila obyčajnú tlačiareň a takto sa snaží dokázať, že eKasa a konkrétne CHDU je nesprávne. Takéto konanie je teda postavené na tom, že niekto vystaví doklad, ktorý dá zákazníkovi a tento doklad nepošle na server eKasa. Takéto konanie by však bolo zo strany finančnej správy rýchlo odhalené," upozornil.
Okrem výstupov z analytických systémov finančnej správy podľa neho platí, že ak ktokoľvek vytlačí doklad z pokladnice, ktorý osoba overuje cez Aplikáciu over doklad a takýto doklad aplikácia vyhodnotí ako nenájdený, finančná správa informáciu o takomto doklade má a čaká na jeho prijatie.
V prípade, ak takýto doklad finančnej správe nie je doručený, finančná správa situáciu okamžite preveruje. Pri takomto preverení zistí, z akého dôvodu bol vydaný "fiktívny" doklad - či prišlo k technickej chybe, alebo je cieľom úmyselné obchádzanie zákona.
"To platí aj pre pokladnice, ktoré nevydávajú pokladničné doklady. V prípade, ak daňový subjekt nezasiela na finančnú správu doklady online, javí sa v systéme finančnej správy ako neaktívny a finančná správa takéto správanie okamžite preveruje. Preto ak nastane situácia, akú opisuje ICJK, resp. spoločnosť Nethemba, že podnikateľ vytlačí pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy, finančná správa má nástroje, ktorými preverí, prečo sa tak stalo," vysvetlil.
Finančná správa má vraj lepšie mechanizmy
Podčiarkol, že práve preto je eKasa dôležitá. Oproti predošlému systému má totiž finančná správa v súčasnosti omnoho širšie mechanizmy na identifikovanie nepoctivého konania. "Podstata spočíva v tom, že takéto konanie vieme odhaliť, čo bolo pri používaní ERP prakticky nemožné," podčiarkol.
"Môžeme ubezpečiť, že cieľom certifikácie a chráneného dátového úložiska je dodať na trh zariadenia, ktoré sú bezpečné, ak sa používajú tak, ako sú certifikované," dodal.
"Sme pripravení stretnúť sa so zástupcami spoločnosti Nethemba, respektíve ICJK a podrobnú správu o posúdení bezpečnosti eKasy od tejto spoločnosti prekonzultovať a uviesť na správnu mieru aj osobne. Finančná správa zároveň opakuje, že cieľom eKasy je eliminovať podvody na DPH. Preto vyzýva všetkých, aby prestali spochybňovať zavádzanie online-izácie pokladníc, ak majú záujem na eliminácii daňových podvodov," dodal Hanniker.
Sledujte Televízne noviny vo full HD a bez reklám na Voyo
