Das Unternehmen PostLink, das den digitalen Rechnungsdienst Sveračun verwaltet, reagierte auf einen Blogbeitrag von Marko Rakar, einem Experten für Computersicherheit, mit dem Titel ‚Die Sicherheit der Fiscalization 2.0 – Ein dunkler Blog‘, der von zahlreichen Medien aufgegriffen wurde, in dem er auf das Fehlen von Mindeststandards für die Sicherheit von Informationsvermittlern im E-Rechnungssystem hinwies.
In seinem Beitrag erklärte Rakar, dass er sich bei zwei Diensten, darunter Sveračun, mit einer temporären E-Mail-Adresse und einer beliebigen OIB, einschließlich der OIB eines gelöschten Unternehmens, registrierte. Er gab sich dann als ‚Pero Djetlić‘ aus, generierte und sendete eine E-Rechnung, um zu demonstrieren, dass die Identität des Nutzers nicht verifiziert wird. Er behauptete, dass er in beiden Fällen Rechnungen ‚ohne nachfolgende Verifizierung‘ senden durfte.
In ihrer Antwort auf Rakars Behauptungen betonte PostLink, dass es zutrifft, dass die Registrierung bei Sveračun einfach ist, da der Dienst absichtlich entwickelt wurde, um den Nutzern schnellen Zugang und einfache Geschäftsabläufe zu ermöglichen.
Sie bestätigten auch, dass es technisch möglich ist, eine Rechnung mit falschen Daten zu senden, betonen jedoch, dass dies nicht spezifisch für digitale Vermittler ist, da es auch heute noch möglich ist, eine Rechnung per E-Mail, Post oder persönliche Übergabe zu senden, unabhängig davon, ob man ein registriertes Unternehmen ist oder sich als Pero Djetlić ausgibt, den Namen, den Rakar bei der Registrierung verwendete. Informationsvermittler, so erklären sie, haben wie Google oder Hrvatska pošta nicht die rechtliche Befugnis, Geschäftsbeziehungen zwischen dem Absender und dem Empfänger zu überprüfen oder die Authentizität jeder Rechnung zu verifizieren.
Die Zahlung von Rechnungen liegt in der Verantwortung des Empfängers
PostLink betont, dass die Überprüfung der Authentizität und Richtigkeit der Rechnung immer in der Verantwortung des Empfängers liegt, nicht des Vermittlers. Wenn jemand eine Rechnung an ein Unternehmen bezahlt, mit dem er noch nie Geschäfte gemacht hat, ohne eine Verifizierung vorzunehmen, glauben sie, dass dies ausschließlich in der Verantwortung des Empfängers liegt, nicht des Vermittlers, der die Rechnung übermittelt hat.
Das Unternehmen erklärt, dass Rakars Experiment möglich ist, weil die Fiscalization 2.0 noch nicht in Kraft ist, und dass sich die Regeln für Authentifizierung und Sicherheitsanforderungen erst ab dem 1. Januar 2026 ändern werden.
In diesem Zusammenhang gaben sie eine technische Beschreibung des Prozesses, der im neuen Fiskalisierungssystem gelten wird:
– Der Registrierungsprozess beginnt mit der Auswahl eines Informationsvermittlers. Durch die Unterzeichnung eines Kooperationsvertrags zwischen dem Unternehmen und dem Informationsvermittler wird der erste Schritt ihrer gegenseitigen Geschäftszusammenarbeit realisiert. Basierend auf diesem ersten Schritt leitet der Informationsvermittler Informationen über seinen neuen Nutzer an die Steuerverwaltung weiter, von der aus sie dann einen Link an die offizielle E-Mail-Adresse des im Handelsregister eingetragenen Unternehmens senden und die autorisierte Person einladen, den Informationsvermittler in der Anwendung der Steuerverwaltung auszuwählen, dem sie die Rolle des Empfangs von fiskalisierten Rechnungen zuweisen. Es kann nur ein Informationsvermittler für den Empfang von E-Rechnungen ausgewählt werden. Danach wählt der Nutzer einen oder mehrere Vermittler aus, über die er seine ausgehenden Rechnungen senden und den Prozess der Fiskalisierung und E-Berichterstattung realisieren wird – erklärte PostLink.
