Uvođenjem Fiskalizacije 2.0 od 1. siječnja 2026. u Hrvatskoj se sve poslovne transakcije između pravnih subjekata prebacuju na elektroničke račune, što znači da će milijardi eura vrijednosti računa prolaziti kroz informacijske posrednike. Svaki takav račun u B2B poslovanju sadrži kritične poslovne podatke, kao što su podaci o kupcima, cijene, rabati, rokovi plaćanja, količine i uvjeti isporuke, što u praksi znači da se kroz eRačune može isčitati gotovo cijela struktura poslovanja tvrtke.

Potencijalna kompromitacija sustava informacijskog posrednika znači da ti podaci mogu slobodno kolati Internetom, što otvara vrata za prijevare, špijunažu i poremećaje u poslovanju – piše na svojem blogu Marko Rakar, informatički stručnjak, koji potom otkriva kako je pronašao kritične propuste u sustavu Fiskalizacije 2.0.

Rizik lažnih računa

Kritičan problem u tom je sustavu činjenica da zakonodavac nije uveo nikakve obvezne sigurnosne standarde za informacijske posrednike, već se provjera svodi samo na tehničku usklađenost s formatom e-računa. U praksi, to znači da neki posrednici uopće ne provjeravaju autentičnost pošiljatelja. Drugim riječima, moguće je registrirati korisnički račun s privremenom email adresom i odabrati bilo koji OIB bilo kojeg poslovnog subjekta, bez dodatne provjere identiteta, dokumentacije ili potvrde.

Testiranjem dvaju servisa za e-račune Rakar je i u praksi pokazao je da se e-računi mogu poslati pod lažnim identitetom, čak i koristeći nepostojeći ili izbrisani OIB, pa čak i promijeniti brojeve bankovnih računa na koje se plaća – što širom otvara vrata za prevarantske kampanje slanja lažnih računa, u nadi da će oni biti plaćeni bez provjere. U jednom slučaju Rakar se uspio na sustav posrednika registrirati kao Pero Djetlić i kao takav, s fiktivnim identitetom, slati e-račune.

Nedostatak sigurnosnih barijera

Za razliku od banaka, telekoma i osiguravajućih društava, kojima su zakonom zadani elementarni sigurnosni standardi i nadzor agencija poput HNB-a, HAKOM-a i HANFE, informacijskim posrednicima u sustavu fiskalizacije nije nametnut niti minimalni sigurnosni okvir. Tijekom e‑savjetovanja o zakonu o fiskalizaciji predloženo je da se barem za posrednike uvedu osnovni tehnički uvjeti u pogledu informatičke sigurnosti, ali su ti prijedlozi odbijeni.

To znači da se sigurnost prepušta tržištu, a rizik od prijevara i kompromitacije ostaje isključivo na poslovnim subjektima koji koriste te usluge. Isto tako, to prebacuje veliku odgovornost na osobe zadužene za kontrolu prispjelih e-računa u tvrtkama, koji će morati ručno provjeriti baš svaki račun i svaki IBAN prije plaćanja, kako bi osigurali da podaci nisu lažni – ogroman je to problem s kojim će se deseci tisuća poduzetnika susretati već od siječnja.

S obzirom da fiskalizacija 2.0 trenutno ne osigurava pouzdanu autentifikaciju pošiljatelja, ulazni eRačuni ne smiju se automatski prihvaćati kao autentični. Obveznici fiskalizacije stoga moraju već sada u svojim organizacijama uspostaviti poslovne procese za provjeru autentičnosti i točnosti zaprimljenih računa, posebno kod promjena bankovnih računa i većih iznosa. To uključuje provjeru identiteta informacijskog posrednika, korištenje složenih lozinki i dvofaktorske autentifikacije, te redovitu kontrolu računa prije knjiženja i plaćanja – kad već država svojim rješenjem to nije osigurala.

Reagiranje PostLinka

Nedugo nakon Rakarove objave stiglo je i reagiranje jedne od prozvanih tvrtki, PostLink d.o.o., koja vodi servis Sveračun (u sklopu Hrvatske pošte). Oni među ostalim navode, kako slijedi:

"Baš kao što provjera ispravnosti računa ili kredibilitet pošiljatelja tog računa nije zadatak Googlea (ako se, naprimjer, koristi slanje računa g-mailom) ili Hrvatske pošte ako se šalje na fizičku adresu, tako nije ni zadatak posrednika provjeravati račune koji se šalju i pravne subjekte koji ih šalju. Zadatak je to osobe ili tvrtke koja račun zaprimi. Za očekivati je da će oni znati jesu li naručili uslugu za koju im se račun izdaje i jesu li poslovali s tvrtkom koja im račun šalje, bila ona stvarna ili lažna kao u slučaju eksperimenta gospodina Rakara. (…)

Ovaj eksperiment gospodina Rakara bilo je moguće napraviti zato što Fiskalizacija 2.0 još nije na snazi. Od 1. siječnja 2026. godine, kada slanje digitalnih računa postane obaveza za sve obveznike sustava PDV-a, mijenjaju se i pravila autentifikacije.

Proces registracije započinje odabirom informacijskog posrednika. Potpisivanjem ugovora o poslovnoj suradnji između tvrtke i informacijskog posrednika realizira se prvi korak njihove međusobne poslovne suradnje. Na temelju tog prvog koraka informacijski posrednik prosljeđuje informaciju o svojem  novom korisniku Poreznoj upravi iz koje nakon toga šalju poveznicu na službenu e-mail adresu te tvrtke navedenu na trgovačkom sudu te poziva ovlaštenu osobu tvrtke  da u aplikaciji porezne uprave odabere informacijskog posrednika kojem dodjeljuje ulogu zaprimanja fiskaliziranih računa. Važno je naglasiti da za zaprimanje eRačuna može biti odabran samo jedan informacijski posrednik. Nakon toga korisnik odabire jednog ili više informacijskih posrednika preko kojega, odnosno kojih, će slati svoje izlazne račune te realizirati proces fiskalizacije te eIzvještavanja.

Dakle od 1.1. 2026. godine odabir i sigurnosna potvrda informacijskog posrednika se događa na platformi Porezne uprave čime se jamči sigurnost unosa i potvrde informacijskog posrednika."

Napomenuli su i da Sveračun korisnicima nudi i dodatan element sigurnosti korištenja sustava kroz 2FA autentifikaciju.