KSeF: Token vs Certyfikat – różnice i zagrożenia

Wraz z wdrożeniem Krajowego Systemu e-Faktur (KSeF) przedsiębiorcy coraz częściej spotykają się z pojęciami token oraz certyfikat (podpis/pieczęć elektroniczna). Choć w potocznym języku bywają używane zamiennie, w rzeczywistości są to dwa zupełnie różne mechanizmy bezpieczeństwa.

Różnica nie polega wyłącznie na technologii. Najważniejsza jest odpowiedzialność prawna i poziom ryzyka, szczególnie wtedy, gdy przedsiębiorca przekazuje dostęp do systemu biuru rachunkowemu lub dostawcy oprogramowania.

Najprościej:

Certyfikat potwierdza tożsamość firmy lub osoby. Token potwierdza jedynie, że ktoś ma aktualnie prawo wykonać operację w systemie. Czym jest TOKEN KSeF TOKEN to specjalny ciąg znaków generowany po zalogowaniu się do KSeF (np. Profilem Zaufanym lub e-dowodem). Jest on odpowiednikiem czasowej przepustki do systemu.

Charakterystyka:

działa tylko przez określony czas można go w każdej chwili unieważnić służy do komunikacji programu księgowego z KSeF nie potwierdza tożsamości właściciela firmy wymaga połączenia z internetem i aktywnej sesji można mieć wiele tokenów jednocześnie na tokenach można nadawać różne zakresy uprawnień W praktyce TOKEN mówi systemowi:

„Ta aplikacja lub użytkownik może teraz wykonać operacje w imieniu podatnika”.

Nie mówi natomiast:

„To właśnie ta konkretna osoba lub firma wystawiła dokument”.

Token identyfikuje uprawnienie, a nie osobę.

Czym jest certyfikat KSeF Certyfikat to cyfrowy odpowiednik dowodu osobistego połączonego z podpisem odręcznym, wydany przez zaufaną instytucję (centrum certyfikacji).

Charakterystyka:

potwierdzenie dane właściciela (osoby lub firmy ), działa na podstawie aktywnego dostępu do logowania , pozwala na podpisanie dokumentów w sposób prawnie obsługiwany, jest przypisany do właściciela, zawiera dane geograficzne oraz klucz kryptograficzny, posiada okres ważności, może być nie wymagany, ale wymaga procedury administracyjnej, w KSeF może być ograniczone: 1 certyfikat do pracy online, 1 certyfikat do pracy w trybie offline umożliwia uruchomienie (nośnik, karta, plik zarejestrowany hasłem), korzystanie z matematycznie kontrolowanego autora, W systemie KSeF certyfikat służy do podpisywania faktur oraz uwierzytelniania aplikacji. WAŻNE !

Dokument podpisany certyfikatem jest prawnie przypisany do właściciela certyfikatu.

System nie ma wątpliwości, kto go wystawił.

Certyfikat identyfikuje konkretną osobę, której nadano uprawnienia.

Ważna informacja praktyczna o certyfikatach KSeF Certyfikaty również można unieważniać. Nie jest to jednak operacja prosta organizacyjnie.

W KSeF:

można mieć tylko 1 certyfikat do pracy online oraz 1 certyfikat do pracy offline Jeżeli certyfikat zostanie unieważniony (np. po odejściu pracownika), trzeba:

wygenerować nowy certyfikat i podmienić go we wszystkich systemach, integracjach i programach , w których był używany (ERP, program księgowy, integratory, automatyczne wysyłki). Dlatego utrata kontroli nad certyfikatem jest problemem nie tylko bezpieczeństwa, ale także ciągłości działania firmy.

Przekazanie TOKENA jakie niesie ze sobą ryzyko? Token działa jak tymczasowa przepustka. Osoba, która go posiada, może:

wysłać fakturę, odebrać faktury, sprawdzić dokumenty. Ale:

nie może podszyć się pod przedsiębiorcę poza systemem, po wygaśnięciu token przestaje działać, można go natychmiast anulować, można wygenerować nowy bez wpływu na inne systemy. Przykład 1 Klient przekazuje token pracownikowi lub biuru rachunkowemu do pobierania faktur zakupowych. Jeżeli współpraca się kończy — przedsiębiorca unieważnia token w KSeF i pracownik/biuro natychmiast traci dostęp.

Skutek: kontrola nad systemem wraca do właściciela firmy.

Przykład 2 Pracownik przez pomyłkę wysłał fakturę z błędną kwotą. Odpowiedzialność operacyjna istnieje, ale system nie traktuje biura jako właściciela tożsamości podatnika — była to operacja w aktywnej sesji.

Przekazanie certyfikatu i realne zagrożenia! Przekazanie certyfikatu to zupełnie inna sytuacja.

To odpowiednik przekazania:

podpisu odręcznego pieczątki firmowej dowodu osobistego w jednym Osoba posiadająca certyfikat może podpisywać dokumenty w imieniu firmy i system uzna je za autoryzowane przez właściciela.

Co może się wydarzyć Wystawienie faktur sprzedaży bez wiedzy przedsiębiorcy Wystawienie korekt Wysłanie dokumentów do urzędu skarbowego Udzielenie pełnomocnictw w systemach Dostęp do danych kontrahentów I najważniejsze:

system KSeF uzna, że zrobiła to firma — nie pracownik.

Przykład 3 – bardzo realny Przedsiębiorca przekazuje certyfikat informatycznemu integratorowi „do konfiguracji systemu”.

Integrator zachowuje kopię pliku.

Po kilku miesiącach:

wystawiane są fikcyjne faktury sprzedaży trafiają do KSeF urząd skarbowy widzi legalnie podpisane dokumenty Dla administracji: faktury wystawił przedsiębiorca.

Udowodnienie kradzieży certyfikatu jest trudne i długotrwałe.

Przykład 4 Pracownik posiadający certyfikat klienta odchodzi z pracy i zakłada własną działalność.

Ma nadal kopię certyfikatu, wcześniejsza firma go nie unieważnia.

Może:

pobierać faktury firmy, znać kontrahentów, widzieć ceny i marże. To nie jest już naruszenie systemu – to jest legalny dostęp z punktu widzenia KSeF, ponieważ użyto prawidłowego podpisu kryptograficznego.

To nie jest włamanie. To jest legalne logowanie poprawnym podpisem kryptograficznym.

Przykład 5 – konsekwencje podatkowe Ktoś wystawia faktury sprzedaży na 1 000 000 zł używając certyfikatu.

Urząd skarbowy:

nalicza VAT, nalicza podatek dochodowy, wszczyna kontrolę. Pierwszym adresatem postępowania jest właściciel firmy, ponieważ podpis elektroniczny matematycznie potwierdza jego tożsamość.

Dlaczego nie należy przekazywać certyfikatu Certyfikat powinien:

należeć do konkretnej osoby być zabezpieczony nie być kopiowany nie być przechowywany przez biuro rachunkowe ani informatyka Najbezpieczniejszy model:

firma nadaje uprawnienia, pracownik używa własnego certyfikatu, system księgowy korzysta z tokenów. TOKEN to narzędzie operacyjne. CERTYFIKAT to tożsamość prawna. Przekazanie tokena oznacza:

„Pozwalam Ci działać w systemie”.

Przekazanie certyfikatu oznacza:

„Możesz podpisywać dokumenty jako ja”.

Z punktu widzenia bezpieczeństwa i odpowiedzialności podatkowej jest to jedna z najważniejszych decyzji organizacyjnych przy wdrożeniu KSeF.