Categories
eDržava Internet

Sigurnost fiskalizacije 2.0

Sigurnost računalnih sustava je jedna od mojih zona interesa kojoj posvećujem puno pažnje, a sam koncept računalne sigurnosti je iz dana u dan sve kompleksniji budući da gotovo da i nema segmenta života ili poslovanja koje nije zahvaćeno. S druge strane, “bad actors” (ili hakeri :), vitalno su zainteresirani kompromitirati računala i računalne sustave iz najrazličitijih pobuda koje mogu biti čisto samodokazivanje tehničkih znanja, preko ciljanog upada u sustave kako bi se došlo do pojedinih podataka ili kompromitacija istih u različite namjene. Proboj i kompromitacija poslovnih računalnih sustava pojedinačno je najveća prijetnja trgovačkim društvima svugdje u svijetu pa tako i kod nas. ACFE (čiji sam član i jedan od osnivača domaće podružnice) redovito radi istraživanja koja jasno ukazuju na opasnost kompromitacije računalnih sustava (nedavno smo dovršili i prvo regionalno istraživanje i podaci su u najmanju ruku zanimljivi, ovih dana ide i javna objava).

Tu negdje dolazimo i do problematike fiskalizacije koje uskoro postaje obvezna za sve poslovne subjekte u RH. U trenucima kada se provodilo eSavjetovanje o prijedlogu zakona o fiskalizaciji bio sam postavio nekoliko komentara koji se odnose na apsolutno nepostojanje bilo kakvih smislenih sigurnosnih standarda ili minimalne barijere za tvrtke koje se bave posredovanjem u isporuci eRačuna.

Ako pogledate primjerice druge industrije, poput telekoma, banaka, osiguravajućih i drugih financijskih društava, svi oni u zakonima koji reguliraju njihovu djelatnost imaju zadane elementarne kriterije računalne sigurnosti, kao i odgovarajuće agencije koje nadziru suglasnost i sigurnost tih sustava (HAKOM, HNB, HANFA). Informacijskim posrednicima nije nametnut nikakav pa čak niti minimalni standard i jedino što se provjerava je sukladnost razmjene elektroničkih računa i poruka koje su propisane zakonom. Zakonodavca nimalo ne zanima informacijska sigurnost informacijskih posrednika, te danas uz malo ChatGPT-a, kreativnog kodiranja i vi možete postati informacijski posrednik. Tijekom eSavjetovanja, a obzirom na obveze koje proizlaze iz NIS2, predlagao sam (a u biti molio), da se postave barem minimalni tehnički uvjeti u pogledu informatičke sigurnosti prema informacijskim posrednicima. Komentari su odbijeni, a usmeno preneseni stav je otprilike bio: “neka cvate tisuću cvjetova”.

Moje je mišljenje kako račune treba smatrati oblikom ugovora, u njemu se nalaze svi kritični podaci koji govore o poslovnom odnosu između dvije strane. Navedeno je što je, kada i kako isporučeno, po kojim cijenama i kojim uvjetima plaćanja. Ne znam kako vama, no po meni, svi elementi računa su vrhunska poslovna tajna svakog pravnog subjekta. Sve što treba znati o vašem poslovanju je moguće iscrpiti pregledom računa (od popisa klijenta, komparativnih prednosti, karakteristika robe i usluga, do cijena, rabata, volumena i slično). Vrlo uskoro, ti podaci će početi nesmetano kolati između vas, preko jednog ili više informacijskih posrednika da bi u konačnici stiglo u poslovni sustav vašeg klijenta. Svaka od tih točaka predstavlja računalni sustav koji je podložan sigurnosnoj kompromitaciji i posljedicama koje iz njih proizlaze.

Kako sam redovito zvan na intervenciju u situacijama kada dođe do kompromitacije računalnog sustava, te kako su greške uvijek iste i ponavljaju se, u više navrata sam pisao o tipičnim prijevarnim situacijama kao i o minimalnim mjerama koje možete poduzeti da bi sebe i svoje sustave učinili barem malo otpornijima.

Kada krene fiskalizacija 2.0, svoje račune ćete putem odabranog posrednika slati svojim krajnjim kupcima. To otprilike znači da će vaš informacijski posrednik (i to u realnom vremenu) imati gotovo sto postotni uvid u prihodnu stranu vaše bilance (i isto to na rashodnoj strani). To uključuje ukupni popis vaših kupaca, gore spomenute uvjete i rokove plaćanja, kao i količine i karakteristike robe ili usluga koje ste im isporučili. Kompromitacija tih podataka (preuzimanje kontrole nad računalnim sustavom posrednika) znači da ti podaci odjednom počnu slobodno kolati internetom (npr. vaša konkurencija može proučiti s kime poslujete i pod kojim kriterijima), to može značiti da bi kompromitacijom poslovnog sustava informacijskog posrednika u nekome času mogli biti onemogućeni (barem privremeno) u slanju ili zaprimanju eRačuna. A u nekom najcrnjem scenariju, zainteresirana strana bi mogla preuzeti kontrolu nad informacijskim posrednikom i programski krenula mijenjati primjerice brojeve bankovnih računa na koje je potrebno platiti račun (slična situacija se već dogodila u susjednoj Mađarskoj, nažalost ne uspijevam pronaći referencu na tu situaciju, no slanje prijevarnih računa je dobro poznata kriminalna shema). Neke od rizika koji proizlaze iz korištenja eRačuna navodi i KPMG u svojem advisoryu.

No, kako kod nas nema nikakvih pa ni minimalnih standarda, da bi napravili prijevarni račun ne morate čak niti hakirati sustav. Neki od informacijskih posrednika uopće ne rade niti minimalne provjere autentičnosti pošiljatelja. Pokušao sam kreirati dva subjekta na dva odvojena informacijska posrednika, prvi od njih je servis eRačuna Hrvatske pošte (dakle javnog trgovačkog društva u vlasništvu Republike Hrvatske, konkretnije PostLink d.o.o.), a drugi je servis Tvoj-Eračun u vlasništvu tvrke OmniSight d.o.o..

U oba ova posrednika moguće je ulogirati se bez apsolutno ikakve provjere identiteta osobe/pravne osobe koja je kreirala korisnički account. U oba slučaja sam se registrirao s privremenom i slučajno kreiranom email adresom, no daleko je zanimljivije da sam mogao odabrati bilo koji OIB bilo kojeg poslovnog subjekta da bi dovršio registraciju. Odmah sam bio u mogućnosti poslati eRačun (dakle bez ikakve naknadne provjere, nitko nije niti nazvao i pitao, nijedan dokument nije trebao biti razmijenjen, nula). Oba računalna sustava ne radi ama baš nikakvu provjeru pa je tako recimo moguće ulogirati se koristeći nepostojeći ili izbrisani OIB (što sam i učinio), te je tako moguće poslati račun bilo kome koristeći bilo koje podatke (uočite da sam na eRačunu HR Pošte iskoristio IBAN račun koji je registriran u Poljskoj, dok sam se na drugom servisu registrirao kao Pero Djetlić). To otprilike znači da se ne morate niti truditi kompromitirati posrednika kada nikakve provjere ne postoje. Dakle, doslovno danas se možete ulogirati u servis HR Pošte i kreirati korisnički račun primjerice INA-e ili Plive i početi slati račune u nadi da će biti plaćeni.

Ovo je informacijsko-sigurnosni horror na kojeg sam upozoravao i nevjerojatno je da je toliko jednostavno kompromitirati posrednika i cijeli fiskalizacijski proces (primjerice, zamislite da se netko zlonamjeran prijavi u ime vaše tvrtke i pošalje niz računa, vi ćete biti ti koji ćete poreznoj upravi objašnjavati što se dogodilo, a ne zlonamjernik). Uočavam u sustavu fiskalizacije još nekoliko “spornih” točaka koje predstavljaju očigledne sigurnosne rizike.

Dodatno, a to je vrlo očigledno, ovdje slutim i anticipiram jedno zanimljivo javno-privatno partnerstvo, sasvim je očigledno kako su eRačun servisi Hrvatske pošte i OmniSighta identični (postoje minimalne funkcionalne razlike), ali se vizualno ne razlikuju niti u jednom jedinom elementu te je očigledno riječ o dva totalno identična programska rješenja. Kako je riječ o servisima a ne o aplikaciji koju kupite, u dobroj domaćoj tradiciji (a HR Pošta je to radila više puta), za pretpostaviti je kako se ovdje radi o koordiniranom naporu da se zauzme što veći dio tržišnog kolača a kako bi se kasnije, nakon 1. siječnja kada fiskalizacija i krene, moglo napraviti “preuzimanje” koje je očigledno odavno dogovoreno mimo svih uobičajenih kriterija.

Kroz informacijske posrednike će vrlo uskoro početi kolati računi čija će suma biti u milijardama EUR-a, iako račun nije novac, riječ je o povjerljivim informacijama i mora postojati barem minimalno povjerenje u sustav i sigurnost da je zaprimljeni račun stigao od autenticiranog pošiljatelja, te da je neizmijenjen zaprimljen u vaš poslovni sustav. ISO27001 očigledno nije jamstvo sigurnosti. Fiskalizacija kako trenutno funkcionira to ne omogućava, teret sigurnosti je prebačen na informacijske posrednike od kojih neki nemaju očigledno niti minimalne mjere, a rizik poslovanja je isključivo na vama kao njihovim korisnicima. Mali checkbox koji kliknete nije provjera. Ako ste obveznik fiskalizacije, morate potrošiti barem minimum vremena da se uvjerite kako vaš posrednik udovoljava minimalne sigurnosne kriterije, da vaši korisnički računi udovoljavaju sigurnosne kriterije (složeni password i 2FA autentikacija) a čak i ako to imate, morate u svojoj organizaciji već danas kreirati poslovne procese kroz koje ćete provjeravati autentičnost i točnost zaprimljenih računa – dok su ovakve situacije moguće, ulaznom eRačunu jednostavno ne smijete vjerovati.

Disclaimer: sve ovo sam napravio samo i isključivo da bih dokazao poantu, za dokazivanje koncepta koristio sam poslovne subjekte u kojima sam odgovorna osoba, osim u slučaju Hrvatske pošte gdje sam iskoristio OIB brisanog poslovnog subjekta. Nažalost, na servisima ne postoji mogućnost zatvaranja usluge i brisanja pa korisničke račune nisam uspio odmah i zatvoriti (ali pretpostavljam da će se to dogoditi vrlo brzo). Također, odmah po objavi sam obavijestio i nadležne u Poreznoj Upravi i MUP-u kako bi i oni bili upoznati s problemom.

Misao dana:
If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.

Share the post "Sigurnost fiskalizacije 2.0"

  • Facebook
  • X
Categories
Business Priroda i društvo

Umjesto zaključka sažetak situacije o švicarskom franku – Konverzija nije obeštećenje! – XV

Ovo je petnaesti i posljednji tekst iz serije, uvodni tekst i linkove na prvi dio serijala možete pronaći ovdje, uvodni tekst za (ovaj) drugi dio serijala nalazi se ovdje. Cijeli drugi dio možete downloadati i kao PDF dokument.

Domaći sudovi na svim razinama (kao i Europski sudovi, ali i sudovi drugih EU zemalja) utvrdili su kako su pojedine odredbe ugovora o kreditima (i leasingu) u cijelosti ništetne, osobito odredbe o promjenjivim kamatnim stopama, valutnoj klauzuli i naplaćenim naknadama. Ove tri ništetne odredbe po zakonu, stručnoj literaturi ali i argumentaciji koje same banke koriste u sudskim postupcima konstituiraju bitno obilježje tj. bitni sastojak ugovora o kreditu i bez tih odredbi ugovora o kreditu on više nije održiv.

Restitucija znači povrat nepošteno stečenog – vraćanje preplaćenih iznosa i obračun zateznih kamata. Konverzija, s druge strane, bila je politički mehanizam da se CHF krediti prebace u eure i stabilizira bankarski sustav, bez namjere da obešteti potrošače. Banke tvrde da je konverzija istodobno bila i obeštećenje, no sudska praksa i ova serija tekstova jasno pokazuje i dokazuje da je njome potrošačima vraćen tek dio štete – u prosjeku četvrtina onoga što bi im pripalo restitucijom. Financijska vještačenja pokazuju da je restitucija u prosjeku četiri puta veća od izračuna konverzije.

Banke, iako su se u početku protivile, koriste zakon o konverziji kako bi uvjerile javnost i sudove da su potrošači već obeštećeni, pritom naplatile troškove konverzije od države (kroz potpisanu nagodbu i ishode međunarodne arbitraže), te istovremeno pokušavaju obeshrabriti nove tužbe kako bi zadržale što je veći dio od 900 milijuna eura koliki je procijenjeni „trošak“ konverzije, a koje banke kroz odugovlačenje sudskih postupaka do današnjeg dana nisu isplatile oštećenim potrošačima. Zakon i sudska praksa (domaća i europska) jasno pokazuju da potrošači nisu izgubili pravo na restituciju potpisivanjem dodatka/aneksa o konverziji.

Jedan od mogućih raspleta jest i proglašenje pune ništetnosti CHF ugovora – što znači da bi se oni tretirali kao da nikada nisu ni postojali. Potrošač bi vratio samo glavnicu, a banka bi morala vratiti sve preplaćene kamate i naknade. Analize pokazuju da bi banke mogle podnijeti takav teret bez ugrožavanja stabilnosti sustava. Takav ishod već se nazire u Poljskoj i na europskim sudovima, a potom bi se mogao preliti i u Hrvatsku.

Ako imate ili ste imali kredit(e) u švicarskim francima (ili drugim valutama), Druga fundacija je i dalje zainteresirana za komisijski prijenos tražbine. Voljni smo raditi na tome da osiguramo vaše pravo na obeštećenje, neovisno o tome što je u međuvremenu nastupila zastara, a uključujući i pravo na utvrđenje potpune ništetnosti ugovora. Sve što treba napraviti je javiti nam se. Postupak ugovaranja je jednostavan i nakon toga Druga fundacija preuzima brigu (i troškove) sve do naplate od banke.

Misao dana:
So you think that money is the root of all evil. Have you ever asked what is the root of all money?

Share the post "Umjesto zaključka sažetak situacije o švicarskom franku – Konverzija nije obeštećenje! – XV"

  • Facebook
  • X
Categories
Business Priroda i društvo

O ukupnoj ništetnosti ugovora – Konverzija nije obeštećenje! – XIV

Ovo je četrnaesti tekst iz serije, uvodni tekst i linkove na prvi dio serijala možete pronaći ovdje, uvodni tekst za (ovaj) drugi dio serijala nalazi se ovdje. Cijeli drugi dio možete downloadati i kao PDF dokument.

Puno diskusije u javnom prostoru se posvetilo ukupnoj ništetnosti ugovora o CHF kreditima, no naši sudovi rijetko posežu za proglašenjem ukupne ništetnosti ugovora iako postoje i takve presude (a očekujemo da će ih u budućnosti biti i više). Ako sud odluči da je ugovor ništetan, to bi značilo da se pravni posao (u ovom slučaju kredit ili leasing) nikada nije ni dogodio, a svaka strana mora vratiti što je primila. U slučaju ugovora o kreditu u švicarcima, to bi značilo da potrošač banci mora vratiti (neotplaćeni) dio glavnice, dok bi banka morala potrošaču vratiti nepošteno stečene obračunate kamate. U provedbi tako utvrđenog ništetnog ugovora, izračunalo bi se tko je kome što platio, potom bi poput izračuna restitucije sučelili obveze jedne i druge strane a dobivenu razliku bi podmirio onaj tko je dužan (a u pravilu bi to bila banka). Druga fundacija je izradila ekonometrijski model izračuna ukupne ništetnosti ugovora i naša je procjena da bi banke, osobito uzevši u obzir postojeće rezerve, rezervacije i rekordne profitne margine, mogle podnijeti trošak proglašenja ukupne ništetnosti svih ugovora o CHF kreditima bez utjecaja na stabilnost financijskog sektora.

Ukupna ništetnost ugovora definirana je Zakonom obveznim odnosima koji kaže kako „Ugovor koji je protivan Ustavu Republike Hrvatske, prisilnim propisima ili moralu društva ništetan je, osim ako cilj povrijeđenog pravila ne upućuje na neku drugu pravnu posljedicu ili ako zakon u određenom slučaju ne propisuje što drugo.“.

Da bi utvrdili jesu li dijelovi i pojedine odredbe ugovora ništetne, potrebno je prvo utvrditi da li su suprotne Ustavu, propisima i moralu društva. Na ovo pitanje je razmjerno jednostavno odgovoriti – na današnji dan imamo utvrđenu ništetnost promjenjivih kamatnih stopa, valutne klauzule kao i naplatu mnogobrojnih naknada koje su banke naplaćivale svojim korisnicima. Neosporno je i na svim instancama testiranim sudskim odlukama odlučeno da su te odredbe ugovora nezakonite. Za ništetnost je važno utvrditi i namjera stjecatelja koja je mogla biti poštena ili nepoštena. Naime, moguće je i u neznanju sklopiti ništetni ugovor ili odredbu ugovora. U odlukama o ništetnosti promjenjivih kamatnih stopa, valutne klauzule i naknada banke su označene kao nepošteni stjecatelj jer su znale ili morale znati da je njihovo postupanje protivno zakonu, a najbolji indikator i svojevrsni „lakmus test nepoštenosti“  je što se sudskim odlukama na dosuđeni iznos koji treba vratiti obračunava zatezna kamata od datuma stjecanja (dana kada je potrošač platio banci) a ne od datume utvrđenja tj. presude. Sigurni smo da su ugovorne odredbe protivne Ustavu i propisu, a budući da su banke nepošteni stjecatelj tada je sasvim očigledno kako su takve odredbe i protivne moralu društva. Ovaj uvjet za utvrđenje ništetnosti je zadovoljen.

Zakon o obveznim odnosima isto tako kaže da „Ništetnost neke odredbe ugovora ne povlači ništetnost ugovora ako on može opstati bez ništetne odredbe i ako ona nije bila ni uvjet ugovora ni odlučujuća pobuda zbog koje je ugovor sklopljen.“. Prevedeno na svima razumljiv način – moramo ustanoviti da li utvrđenjem ništetnosti odredbi o promjenjivoj kamatnoj stopi, valutnoj klauzuli i naknadama ugovor može opstati. Nema dvojbe da je odlučujuća pobuda za potpisivanjem ugovora  – kredit. Potrošač je otišao u banku, jedinu ustanovu specijaliziranu u zakonom ovlaštenu za kreditiranje, s namjerom da ga banka kreditira, da mu pod određenim uvjetima isplati određenu sumu novca, a sve kako bi potrošač ostvario neki svoj cilj (kupio stan, uredio kuću, financirao nabavku automobila). Moramo za početak postaviti pomalo filozofsko pitanje, što kredit čini kreditom?

Zakon o potrošačkom kreditiranju u definicijama pojmova kaže da je kredit „ugovor u kojem vjerovnik odobrava ili obećava odobriti potrošaču kredit u obliku odgode plaćanja, zajma ili slične financijske nagodbe“, malo dalje u istome članku piše i da „ukupni troškovi kredita za potrošača uključuju kamate, naknade, poreze i sve druge naknade koje potrošač mora platiti u vezi s ugovorom o kreditu te koji su poznati vjerovniku“, da bi se u konačnici zaključilo kako „ukupan iznos koji plaća potrošač jest zbroj ukupnog iznosa kredita i ukupnih troškova kredita za potrošača“. Kreditiranje je pokriveno na sličan način i Zakonom o obveznim odnosima, a kako je to precizno navedeno u knjizi „Bankovni i financijski ugovori“ (izdavač NN, 2017., str. 566), bitni sastojci ugovora o kreditu su obveza banke da isplati novac, obveza primatelja da taj novac vrati (na ugovoreni način), te da na posuđeni novac plati kamatu/trošak. Ugovor se smatra sklopljenim kada su se stranke suglasile o bitnim sastojcima ugovora.

Ako smo proglasili ništetnim odredbe o promjenjivoj kamatnoj stopi, valuti i naknadama, što je od ugovora o kreditu uopće ostalo i možemo li to što je preostalo uopće zvati kreditom? Promatrajući zakonom propisane definicije (neovisno o tome koji tekst zakona promatrate, budući da su osnovne definicije istovjetne i kroz vrijeme gotovo nepromijenjene) kao i stručnu literaturu – pravnu i ekonomsku, sasvim je jasno da je ništetnošću gore spomenutih odredbi nestao bitni sastojak ugovora o kreditu, pa je posljedično nestala i odlučujuća pobuda zbog koje je ugovor o kreditu i sklopljen. Jasno je da bi potrošač rado ugovorio „kredit“ na koji ne mora platiti nikakav trošak ili kamatu, ali je isto tako sasvim jasno da vam pod tim uvjetima banka nikada kredit ne bi odobrila (da se izrazim na način kako to piše u zakonskom tekstu; banka ne bi imala odlučujuću pobudu sklopiti takav ugovor jer bi im onemogućio da ostvare profit koji je razlog njihovog djelovanja) – da bi ugovor opstao, obje strane moraju biti suglasne.

U predmetima koje vodi Druga fundacija, odvjetnici banaka često ističu kako su upravo kamate, valuta i naknade bitni element ugovora o kreditu bez kojega ugovor ne može opstati.

Slika 5 Izvadak iz očitovanja banke iz jednog od predmeta Druge fundacije

Slika 6 Izvadak iz očitovanja banke iz još jednog predmeta Druge fundacije

Da bi situacija bila dodatno zakomplicirana, na putu do proglašenja pune ništetnosti ugovora o CHF kreditima ispriječilo se i obvezujuće shvaćanje Vrhovnog suda Republike Hrvatske koje je odlučilo o ništetnosti odredbe o promjenjivoj kamatnoj stopi, ali na način da su dopustili da početna kamatna stopa iz ugovora o kreditu bude primijenjena na ukupno trajanje kredita iako tako nije ugovoreno. U obrazloženju izdvojenog mišljenja na reviziju Rev-259/2022 piše: „Prema odredbi čl. 247. ZOO ugovor je sklopljen kad su se stranke suglasile o bitnim sastojcima ugovora. Intervencijom (praksa sudova) kojom se bitni sastojci ugovora o kreditu mijenjaju na način da se umjesto odredbe o valutnoj klauzuli i promjenjivoj kamatnoj stopi obveze stranaka mijenjaju na način da se obveze određuju valutom HRK s fiksnom kamatnom stopom, negirano je citirano pravilo iz čl. 247. ZOO jer se o ovakvim bitnim sastojcima ugovora (izmijenjenim), ugovorne strane nisu suglasile u vrijeme sklapanja ugovora, a niti kasnije, dakle, nikad do sada (možda u budućnosti), što bi također trebalo biti neupitno s obzirom na broj sudskih premeta s ovom i njoj povezanom problematikom.“.

Presuda o ukupnoj ništetnosti ugovora o CHF kreditima ima malo, slična situacija je i u ostalim zemljama Europske unije koje se bore s istom problematikom kao i mi ovdje. Ipak, razloga za optimizam ima jer analizirajući presude sudova drugih Europskih zemalja, te Europskog suda za ljudska prava, dojam je kako se sudovi polagano ali sigurno kreću u smjeru utvrđivanja pune ništetnosti CHF ugovora. Najdalje je u tim postupcima stigla Poljska gdje banke kao i ovdje koriste istovjetne metode odugovlačenja i obeshrabrivanja, no sudske odluke na nacionalnoj i europskoj razini vode prema utvrđivanjem ništetnosti što se očekuje tijekom 2026. godine. Ta odluka će sasvim sigurno imati posljedice i na sve ostale, pa tako i na pravnu bitku koja se na hrvatskim sudovima vodi već petnaestak godina. Na utvrđivanje ništetnosti se ne primjenjuju zastarni rokovi, a pravovremena nagodba s potrošačem je jedini način da banke izbjegnu posljedice pune ništetnosti, baš kao što je to BNP Paribas napravio u Francuskoj.

Misao dana:
And the banks – hard to believe in a time when we’re facing a banking crisis that many of the banks created – are still the most powerful lobby. And they frankly own the place.

Share the post "O ukupnoj ništetnosti ugovora – Konverzija nije obeštećenje! – XIV"

  • Facebook
  • X