BRATISLAVA - Pre podvodníkov zrejme nastala zlatá doba, a to o nej ani nemuseli tušiť. Projekt eKasa, ktorý je už súčasťou života slovenských obchodníkov, je pre štát zjavne nebezpečnejší, ako predchádzajúci spôsob. Uskutočniť podvod je v tomto prípade totiž oveľa jednoduchšie ako kedykoľvek predtým. Dokonca sa ani nemusíte pohybovať v kruhoch hackerov.
So škandalóznym zistením prišilo Investigatívne centrum Jána Kuciaka. Problém s rôznymi predajcami, ktorí okrádali štát na DPH, mali vyriešiť nové registračné pokladnice. Tie sú napojené na servery a automaticky registrujú každý nákup. Na prvý pohľad ide o moderné riešenie, ktoré podvodníkom skomplikuje ich plány. Všetko je však inak.
Aktualizované 15:10 Stanovisko Finančného riaditeľstva SR
Medializované informácie o nefunkčnosti online prepojenia elektronických registračných pokladníc (ERP) na finančnú správu, tzv. eKasa nie sú pravdivé. Uviedol to na brífingu generálny riaditeľ sekcie boja proti podvodom a analýzy rizík Finančného riaditeľstva SR Ladislav Hanniker v reakcii na ICJK.
Vyjadrenia zástupcov spoločnosti Nethemba je podľa Hannikera potrebné uviesť na správnu mieru. "Pevne veríme, že vyjadrenia tejto spoločnosti vyplývajú iba z neznalosti samotného systému a nie sú motivované súkromnými pohnútkami niektorých dodávateľov pokladničných riešení, ktorí nezískali certifikáciu pre eKasu," povedal.
"Vyjadrenia spoločnosti o tom, že doteraz boli pokladnice vybavené špeciálnou fiškálnou pamäťou, do ktorej sa ukladali denné uzávierky a dáta sa do nej dali iba zapisovať, následne ich mazať alebo meniť nebolo možné, nie sú pravdivé. Práve pri klasických registračných pokladniciach sme totiž identifikovali, že existujú pokladnice s modifikovateľným fiškálnym modulom. Často sa na modifikovaní fiškálnych modulov podieľali niektoré 'servisné organizácie'. Napríklad pri jednej z kontrol sme zistili, že priemerná hodnota krátenia tržieb za rok na zadržaných pokladniciach bola vo výške 190.000 eur. A práve s cieľom zamedziť takému obchádzaniu systému sme zaviedli eKasu," priblížil.
"K zmieňovaným výhradám ICJK, respektíve spoločnosti Nethemba uvádzame aj nasledovné, že spoločnosť odstránila časť certifikovaného zariadenia (CHDU). Vynechala tak zo systému dôležitý prvok a vytvorila 'pokladnicu', ktorá nie je v súlade so zákonom (prišlo k úmyselnému a ľahko identifikovateľnému zásahu). Zároveň si k celému systému pripojila obyčajnú tlačiareň a takto sa snaží dokázať, že eKasa a konkrétne CHDU je nesprávne. Takéto konanie je teda postavené na tom, že niekto vystaví doklad, ktorý dá zákazníkovi a tento doklad nepošle na server eKasa. Takéto konanie by však bolo zo strany finančnej správy rýchlo odhalené," upozornil.
Overovanie fiktívnych dokladov
Okrem výstupov z analytických systémov finančnej správy podľa neho platí, že ak ktokoľvek vytlačí doklad z pokladnice, ktorý osoba overuje cez Aplikáciu over doklad a takýto doklad aplikácia vyhodnotí ako nenájdený, finančná správa informáciu o takomto doklade má a čaká na jeho prijatie. V prípade, ak takýto doklad finančnej správe nie je doručený, finančná správa situáciu okamžite preveruje. Pri takomto preverení zistí, z akého dôvodu bol vydaný "fiktívny" doklad - či prišlo k technickej chybe, alebo je cieľom úmyselné obchádzanie zákona.
"To platí aj pre pokladnice, ktoré nevydávajú pokladničné doklady. V prípade, ak daňový subjekt nezasiela na finančnú správu doklady online, javí sa v systéme finančnej správy ako neaktívny a finančná správa takéto správanie okamžite preveruje. Preto ak nastane situácia, akú opisuje ICJK, resp. spoločnosť Nethemba, že podnikateľ vytlačí pre zákazníka doklad, ktorý systém nikdy neodošle na portál finančnej správy, finančná správa má nástroje, ktorými preverí, prečo sa tak stalo," vysvetlil.
Podčiarkol, že práve preto je eKasa dôležitá. Oproti predošlému systému má totiž finančná správa v súčasnosti omnoho širšie mechanizmy na identifikovanie nepoctivého konania. "Podstata spočíva v tom, že takéto konanie vieme odhaliť, čo bolo pri používaní ERP prakticky nemožné," podčiarkol. "Môžeme ubezpečiť, že cieľom certifikácie a chráneného dátového úložiska je dodať na trh zariadenia, ktoré sú bezpečné, ak sa používajú tak, ako sú certifikované," dodal.
"Sme pripravení stretnúť sa so zástupcami spoločnosti Nethemba, respektíve ICJK a podrobnú správu o posúdení bezpečnosti eKasy od tejto spoločnosti prekonzultovať a uviesť na správnu mieru aj osobne. Finančná správa zároveň opakuje, že cieľom eKasy je eliminovať podvody na DPH. Preto vyzýva všetkých, aby prestali spochybňovať zavádzanie online-izácie pokladníc, ak majú záujem na eliminácii daňových podvodov," dodal Hanniker.
Podvody sú vraj ľahšie
Stav je však podľa ICJK taký, že podvodníci majú oveľa ľahšiu prácu, keď si chcú nelegálne "privyrobiť". Situáciu analyzovali etickí hackeri zo spoločnosti Nethemba. „Súčasné riešenie má fatálne bezpečnostné nedostatky a pokladáme ho za menej bezpečné ako predošlé,“ tvrdí Pavol Lupták zo spomínanej spoločnosti.
Princíp je jednoduchý. Pokladnice sú počítače napojené na tlačiareň. Nová eKasa nedisponuje fiškálnou pamäťou ako kedysi a úložisko, na ktoré sa ukladajú nákupy, sa skrátene nazýva CHDÚ. V ňom sa údaje nedajú modifikovať a vymazať. Pokladnica ich automaticky odosiela finančnej správe. Problém však je, že so spomínaným úložiskom (CHDÚ) softvér nekomunikuje šifrovaným spôsobom. Pôvodne sa to tak malo aplikovať, no neskôr daniari z tohto nároku odstúpili.
Kde začína podvod
V súčasnosti sa podľa Luptáka dá obísť eKasa takým spôsobom, ktorý zvládne aj dieťa, ktoré vie narábať s počítačovou myšou. Tvrdí, že v princípe ani nejde o hack. „Nepotrebovali sme zasiahnuť do softvéru pokladnice ani do hardvéru chráneného úložiska,“ argumentuje Lupták. V tomto kontexte vytvorili jednoduchý emulátor, ktorý sa spojí s chráneným úložiskom. Ten následne skopíruje dáta a ďalej sa správa ako modul CHDÚ. „Pôvodné CHDÚ môžete odpojiť a odložiť,“ hovorí Lupták.
Takýto emulátor poskytuje potenciálnym podvodníkom prakticky všetko, čo by si mohli priať. V programe sa dá pohodlne odklikať každá jedna položka a následne sa dá aj vytlačiť doklad pre zákazníka. Ten systém nikdy neodošle do finančnej správy, pretože ide len o emulátor. Ten sa postará o to, aby takéto dáta zahodil a neodoslal ich spomínanej štátnej inštitúcie. Bežný zákazník tak nemá ani najmenšiu šancu rozoznať takýto doklad od toho falošného. Pri hľadaní dokladu prídete len k hláseniu, že doklad nebol zaregistrovaný.
Aj tu si ale hackeri dokázali poradiť. V tomto prípade sa podvodníkom ponúka možnosť opakovanej tlače originálneho dokladu. Emulátor dokáže tento istý doklad vytlačiť so správnymi údajmi a v systéme finančnej správy je regulérne zaregistrovaný, a to aj niekoľkokrát. Kontrola pri takomto spôsobe nič nezistí a zhodnotí, že je v poriadku. Dvaja podnikatelia tak môžu nakúpiť ten istý tovar v tom istom čase a v tom istom obchode, no v praxi na to kontrola s takmer stopercentnou pravdepodobnosťou nepríde.
Za starých čias to bolo bezpečnejšie
Lupták tento systém hodnotí ako krok späť oproti starému systému pokladníc. „Nový systém eKasy má fatálnu chybu vo svojom dizajne a je vlastne úplne zbytočný. Staré pokladnice boli v každom ohľade lepšie zabezpečené proti zneužitiu,“ tvrdí Lupták zo spoločnosti Nethemba. Zároveň tvrdia, že použili modul CHDÚ od firmy CHDU, s.r.o., ktorý má používať asi polovica všetkých certifikovaných pokladníc. Firma s týmto názvom je na slovenskom trhu len od februára tohto roku. Nikdy predtým vraj v tejto oblasti nepodnikala.
Lupták zároveň tvrdí, že aj v prípade šifrovanej komunikácie by si podvodníci našli cestu. „Fatálna chyba v bezpečnostnom dizajne eKasy sa dá čiastočne opraviť len tak, že systém bude vynucovať šifrovanú komunikáciu medzi pokladničným softvérom a chráneným dátovým úložiskom. Aj tak by sa systém dal hacknúť, ale to by sme už museli zasiahnuť do jeho kódu, čo by sa dalo zistiť,“ tvrdí Lupták. V doterajšom prípade však žiadny zásah nie je nutný a podvod možno vykonať aj bez neho. To v praxi znamená, že aj keby vám finančná správa zhabala celé zariadenie, nenašli by v ňom žiadny dôkaz o tom, že ste spáchali podvod.
Opozícia vyzýva Pellegriniho na zodpovednosť
Problém už stihla okomentovať aj opozčná strana Obyčajní ľudia a nezávislé osobnosti. Eduard Heger hodnotí systém ako deravý a pripomína, že na jeho slabé stránky už v minulosti upozorňovali.
VIDEO Tlačová konferencia Eduarda Hegera a Petra Kremského
eKasa totiž podľa Hegera funguje bez toho, aby zapisovala údaje. „Dovoľuje podvodníkom neukladať bloky v samotnej pokladni a taktiež dovoľuje neposielať bloky na finančnú správu,“ informuje Heger. Podľa neho štát priniesol riešenie, ktoré bude ďalej okrádať rozpočet a zvyšovať daňovú medzeru z výberu DPH, ktorá sa za posledné roky nezlepšila. „A dnes je tu nástroj, ktorý medzeru bude ešte viac zvyšovať. Tento systém nemal byť vôbec uvedený do života,“ skonštatoval Heger.
VIDEO Na zistenia reagovala aj Demokratická strana
Situáciu na sociálnej sieti skritizoval aj šéf SaS Richard Sulík. V jeho slovách sa ocitol hlavne predseda vlády Peter Pellegrini. Práve on stál pri programe informatizačného rozvoja krajiny v minulých rokoch.