Fiskalizacija 2.0: Na popisu posrednika tvrtke bez kapitala i iskustva

Rakar otvara sigurnosna pitanja, Hrdalo pravna, a PostLink tvrdi da će Fiskalizacija 2.0 donijeti provjere identiteta kroz Fisk aplikaciju

Kako se ovih dana kontinuirano govori o Fiskalizaciji 2.0, drugačiji pogled na nju pružio je odvjetnik Vlaho Hrdalo. Kako je napisao na svojim društvenim mrežama, Fiskalizacija 2.0 je rješenje u potrazi za problemom.

- Nije moguće identificirati valjan motiv za prisiljavanje gotovo svih poduzetnika da uvedu sustav koji nije besplatan i koji predstavlja rizik za otkrivanje poslovnih tajni (informacijski posrednici mogu čitati sadržaj računa). Utaja poreza je kod plaćanja s transakcijskog računa na transakcijski račun nemoguća, a argumenti poput 'neće više biti papirnatih računa' i 'neće više biti krivotvorenih računa' jednostavno ne stoje jer papirnatih računa u B2B već nema, a krivotvoriti je lakše digitalni dokument nego fizički – tvrdi Hrdalo.

I Hrdalo vidi problem s posrednicima te piše da informacijski posrednik, kojeg se ovim izmjenama Zakona o fiskalizaciji uvodi u priču, a kojeg se praktički mora angažirati može postati gotovo bilo tko. Zahvaljujući minimalnim kriterijima koje je Zakon propisao trenutno na službenom popisu ažuriranom 27. studenog 2025. imate tvrtku, piše Hrdalo, koja je osnovana 21. studenog 2025. (a jedan od uvjeta je pribavljanje ISO 27001 certifikata), tvrtku koja je j.d.o.o. s temeljnim kapitalom od dva eura te poljske, češke i finske tvrtke bez vidljive fizičke prisutnosti u Hrvatskoj.

- Kao šlag na torti, iza tri ili četiri takva društva stoji jedna te ista fizička osoba. Ako vam to nije dovoljno, eRačun dobivamo zahvaljujući EU paketu propisa koji se naziva ViDA i koji je usvojen prije svega nekoliko mjeseci, a koji tu obvezu nameće tek od 1. srpnja 2030. Kad Hrvatska to uvodi? 1. siječnja 2026. Možete li pogoditi koliko još EU članica bezuvjetno uvodi obavezni eRačun od 1. siječnja 2026. za baš sve PDV obveznike bez obzira na veličinu? – pita se Hrdalo.

Rakar vs PostLink
Podsjetimo, ovoga je tjedna društvene mreže rasplamsao blog-post Marka Rakara, stručnjaka za računalnu sigurnost, pod naslovom 'Sigurnost fiskalizacije 2.0 – Mračni blog' kojeg su prenijeli brojni mediji, a u kojem je upozorio na nepostojanje minimalnih sigurnosnih standarda za informacijske posrednike u sustavu e-računa.

Naime, u svojoj objavi Rakar je naveo da se registrirao na dva servisa, među njima i na Sveračun, koristeći privremenu e-mail adresu i bilo koji proizvoljan OIB, uključujući i OIB brisanog subjekta. Potom je, predstavljajući se kao ‘Pero Djetlić’, generirao i poslao e-račun kako bi pokazao da se identitet korisnika ne provjerava. Tvrdio je da mu je u oba slučaja bilo omogućeno slanje računa ‘bez ikakve naknadne provjere’.

Iz PostLinka, tvrtke u vlasništvu Hrvatske pošte, koja stoji iza Sveračuna već su reagirali na Rakarov blog istaknuvši da je točno se na Sveračun moguće prijaviti jednostavno, jer je servis namjerno razvijen tako da korisnicima omogući brz pristup i jednostavno poslovanje.

Potvrdili su i da je tehnički moguće poslati račun koristeći lažne podatke, ali naglašavaju da to nije specifično za digitalne posrednike jer je i danas moguće poslati račun e-mailom, poštom ili osobnom dostavom, neovisno o tome jeste li registrirani subjekt ili se predstavljate kao Pero Djetlić, ime koje je Rakar koristio prilikom registracije. Informacijski posrednici, navode, jednako kao Google ili Hrvatska pošta, nemaju zakonsku ovlast provjeravati poslovne odnose između pošiljatelja i primatelja niti provjeravati istinitost svakog računa.

Posrednici ne ulaze u sadržaj računa
Ipak, kontaktirali smo PostLink kako bismo utvrdili kakve točno sigurnosne značajke ovaj posrednik u Fiskalizaciji 2.0 nudi te hoće li uvesti dodatne sigurnosne mjere sada kada je pitanje sigurnosti u novim procesima koje donosi Fiskalizacija 2.0 glasnije nego ikada.

PostLink je i za Lider potvrdio da današnji sustavi razmjene računa, bilo fizičkom isporukom, e-mailom ili digitalnim kanalima, ne uključuju strogu provjeru identiteta pošiljatelja, što otvara prostor za malverzacije.

- Sveračun svojim korisnicima danas omogućuje brz i jednostavan način registracije, kako bi im olakšao početak digitalizacije. Uvođenjem Fiskalizacije 2.0 od 1. siječnja 2026. taj se problem trajno rješava. Autentifikacija i provjera korisnika obavljat će se kroz Fisk aplikaciju Porezne uprave. Tek nakon što oba informacijska posrednika (onaj koji šalje i onaj koji prima račun) unesu korisnika u FiskAplikaciju i korisnici to potvrde, račun će se moći fiskalizirati i poslati. Važno je naglasiti kako novi sustav neće spriječiti tvrtku A da tvrtki B pošalje netočan ili neispravan račun, no odgovornost provjere sadržaja uvijek je na primatelju računa – kažu nam iz PostLinka.

Naglasili su i da informacijski posrednik zakonski ne ulazi u sadržaj računa dok se računi generiraju i razmjenjuju u XML formatu te potpisuju aplikativnim certifikatom informacijskog posrednika. Uz to, dodaju, sustav se stalno unapređuje u skladu s rastućim sigurnosnim zahtjevima, a dodatnu razinu zaštite korisnicima već danas pruža dvofaktorska autentifikacija (2FA).

Što se tiče nekih budućih mjera nadogradnje sigurnosti, poručili su da kontinuirano prate  regulatorne i sigurnosne standarde kako bi osigurali najvišu razinu zaštite sustava i smanjili mogućnosti zlouporabe. Ipak, Sveračun ima nekoliko tisuća korisnika, uključujući male, srednje i velike sustave koji kroz platformu mjesečno razmjenjuju tisuće računa.

Digitalni poštari
Baš zato je, kažu, sustav arhitektonski i tehnički pripremljen za obradu više desetaka milijuna računa godišnje.

- Skalabilnost je ugrađena u samu strukturu platforme, što omogućuje brzo proširenje kapaciteta u skladu s rastom potražnje i zakonskim zahtjevima – navode iz PostLinka.

Napominju i da im je komunikacija s korisnicima svakodnevna i izrazito usmjerena na edukaciju, jer je razumijevanje novih fiskalnih procesa ključ za uspješan prelazak na Fiskalizaciju 2.0. Tim je obišao više od 20 gradova kroz radionice na kojima su korisnicima pojašnjavali sve elemente sustava i rješavali nedoumice, a paralelno kroz Sveračun Akademiju razvijaju vodiče, video-lekcije i praktične materijale dostupne u svakom trenutku. U tu svrhu formirali su i korisničku podršku od 20 stručnjaka koji su posvećeni tome da korisnicima pruže brzu i pouzdanu pomoć u svim fazama korištenja sustava.

Kao informacijski posrednik, Hrvatska pošta vidi svoju ulogu kao digitalnog 'poštara', prijenosnika računa između pošiljatelja i primatelja, bez uvida u njihov sadržaj ili međusobni odnos. Dakle, odgovornost za sumnjive račune, kako nam se čini, nije na njima.

Na kraju, podsjetimo, Rakar je u svojoj objavi među ostalim upozorio da računi sadrže poslovno osjetljive podatke te da bi kompromitacija informacijskog posrednika mogla omogućiti uvid u tokove poslovanja ili čak potencijalne manipulacije, poput promjene IBAN-a. Istaknuo je da postojeći propisi za posrednike ne uključuju obvezne sigurnosne standarde te da je, po njegovom mišljenju, to ozbiljan sustavni propust u dizajnu nadolazećeg režima fiskalizacije. Podsjetio je da je tijekom eSavjetovanja o fiskalizaciji predlagao uvođenje minimalnih tehničkih sigurnosnih uvjeta, osobito u kontekstu obveza koje proizlaze iz NIS2 direktive, no da su ti komentari odbijeni.