Faktura elektroniczna w Vattenfall

Submitted by Lukasz on Tue, 2009-06-09 22:00

Natknąłem się ostatnio na rozwiązanie faktur elektronicznych oferowane dla klientów firmy energetyczną Vattenfall. Nie jestem wprawdzie jednym z nich, ale po zapoznaniu się z poświęconym e-fakturom serwisem internetowym nasunęło mi się kilka spostrzeżeń.

Rozwiązanie działająca w firmie Vattenfall zakłada, że e-faktury wysyłane są jako załącznik w formacie PDF do wiadomości e-mail. W treści wiadomości znajduje się między innymi odsyłacz do systemu płatności internetowych, za pośrednictwem którego można dokonać płatności.

Wymagania

Zgodnie z obowiązującymi przepisami, e-faktury powinny być zabezpieczone w sposób zapewniający autentyczność ich pochodzenia i integralność ich treści. Formalnie zabezpieczenie takie daje (wymagany według rozporządzenia) kwalifikowany podpis elektroniczny, w praktyce jednak znaczna część użytkowników nie będzie wiedziała, jak go obsłużyć. W związku z tym należy zastosować jakiś inny mechanizm zabezpieczający. Chyba najbardziej intuicyjnym rozwiązanie to udostępnienie efaktur na stronie WWW w odpowiednim serwisie transakcyjnym - zaufanie użytkowników do takich serwisów zostało już dość mocno zakorzenione wśród internautów choćby dzięki bankowości internetowej. Taki sposób dystrybucji e-faktur stosuje między innymi Google w swojej usłudze AdWords, zawierzając bezpieczeństwo przesyłanych danych protokołowi SSL. Oczywiście usługa AdWords działa poza granicami naszego kraju i w jej przypadku obowiązują inne wymagania prawne, niż ma to miejsce u nas.

W polskim porządku prawnym konieczne jest przechowywanie e-faktur przez co najmniej 5 lat od chwili ich wystawienia i umożliwienia wglądu w e-faktury organom kontroli skarbowej. Obowiązek przechowywania ma zarówno wystawca, jak i odbiorca. O ile można domniemywać, że wystawca wysłane e-faktury będzie składować i odpowiednio je zabezpieczy, to w przypadku indywidualnego odbiorcy nie jest to aż tak oczywiste.

Z wymogu przechowywania przez co najmniej 5 lat i stosowania kwalifikowanego podpisu elektronicznego wynika pośrednio konieczność konserwowania wartości dowodowej. Podpis złożony jest bowiem przy użyciu certyfikatu kwalifikowanego ważnego maksymalnie 2 lata; po upływie tego czasu przestaje być on ważny (bardziej precyzyjnie: nie ma możliwości ustalenia, czy podpis został złożony w czasie ważności certyfikatu), chyba, że zastosuje się jakieś mechanizmy konserwacji.

Ryzyka w rozwiązaniu Vattenfall

Ze względu na wysyłanie e-faktur mailem rozwiązanie zaproponowane przez Vattenfall jest podatne na atak, polegający na wysłaniu przez atakującego fałszywych wiadomości e-mail zawierających faktury. Atakujący może liczyć na to, że:
* odbiorca nie otworzy faktury, skorzysta jedynie z linka do płatności i np. poda numer karty kredytowej
* odbiorca otworzy fakturę, ale nie będzie pobierał dedykowanej aplikacji i weryfikował złożonego podpisu, po czym kliknie na link do płatności lub opłaci fakturę bezpośrednio
* odbiorca w otrzymanym e-mailu znajdzie link do aplikacji "weryfikującej", która tak naprawdę będzie zawierać wirusa, konia trojańskiego itp.

Odbiorca e-faktur, nie stosując odpowiednich mechanizmów archiwizacji i konserwacji dokumentów, ponosi ryzyko utraty e-faktury (np. w wyniku awarii dysku). O ile w przypadku odbiorców indywidualnych ryzyko to nie niesie za sobą istotnych skutków, to w przypadku podmiotów gospodarczych może to oznaczać zakwestionowanie odliczeń podatkowych.

FAQ Vattenfall

Vattenfall na swojej stronie opublikował najczęściej zadawane pytania. Niestety, niektóre umieszczone tam zapisy budzą kolejne wątpliwości.

Dopuszczamy możliwość elektronicznego wyrażenia zgody na e-fakturę i e-płatność, gdy konfigurujesz swój produkt korzystając z konfiguratora produktów.

Zgodnie z obowiązującymi przepisami, zgoda na otrzymywanie e-faktur musi być złożona w formie pisemnej lub z wykorzystaniem podpisu elektronicznego. Powyższy zapis jest więc daleko idącym uproszczeniem.

Autentyczność podpisanej e-faktury będziesz mógł potwierdzić na naszej stronie WWW.

W sekcji Weryfikacja autentyczności e-faktury znajduje się instrukcja weryfikacji, wymagająca pobrania instalacji dedykowanej aplikacji weryfikującej na komputer odbiorcy. Powyższy zapis jest zatem mocno nieprecyzyjny.

Czy można zrezygnować z e-faktury lub e-płatności?

(...) Jeżeli korzystasz z On-line Komfortowo lub Produktu Zielonego, ze zmianą elektronicznego sposobu otrzymywania i płacenia rachunków musisz poczekać do momentu wygaśnięcia okresu trwania Twojej umowy.

Akceptacja e-faktur może zostać wycofana w każdym momencie. W takim przypadku wystawca traci prawo do wystawiania e-faktur.

Tags:

  • Share/Save

Comments

Paweł Krawczyk (not verified)

Fri, 2009-06-12 09:26

Wydaje mi się, że najpoprawniejszym mechanizmem udostępniania e-faktur na dzień dzisiejszy byłoby wystawianie po HTTPS plików PDF z embedowanym podpisem złożonym przy pomocy jakiegoś popularnego certyfikatu (np. Thawte) oraz dołączonym zewnętrznym podpisem kwalifikowanym. Oczywiście, poprawny nie koniecznie musi oznaczać rozsądny w tym przypadku, ale takie mamy prawo :)

Add new comment

More information about text formats

Filtered HTML

  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <small>
  • Lines and paragraphs break automatically.

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.