O elektronicznych fakturach po pół roku

Minęło pół roku. W prasie ukazują się artykuły podsumowujące te pół roku faktur elektronicznych. Środowisko jeszcze przed przyjęciem rozporządzenia sygnalizowało, że projekt może się nie przyjąć. Projekt, który następnie przyjął nazwę "Rozporządzenia Ministra Finansów z dnia 14 lipca 2005 r. w sprawie wystawiania oraz przesyłania faktur w formie elektronicznej, a także przechowywania oraz udostępniania organowi podatkowemu lub organowi kontroli skarbowej tych faktur (Dz. U. Nr 133, poz. 1119)". Trzeba zrobić coś z podpisem elektronicznym?

W dwóch tekstach opublikowanych dzień po dniu Rzeczpospolita krytycznie odnosi się do funkcjonowania faktur elektronicznych w Polsce. W pierwszym, Małe firmy rzadko korzystają z udogodnień, czytamy: "Faktury elektroniczne miały być ułatwieniem dla podatników VAT. Tymczasem właściwie nikt z nich nie korzysta". W drugim, zatytułowanym Faktury przez Internet to drogie udogodnienie: "Po pół roku obowiązywania nowych przepisów z elektronicznych faktur skłonne są korzystać głównie duże firmy. Liczą na oszczędność czasu i pieniędzy. Małe nie są nimi zainteresowane. Sprawdzają się przewidywania ekspertów co do niewielkiego zainteresowania korzystaniem z elektronicznego podpisu, który umieszczony na fakturach miał prowadzić do stopniowego odchodzenia od papierowej formy tych dokumentów. Ponieważ podpis ten musi mieć tzw. formę kwalifikowaną, co wiąże się z koniecznością uzyskania specjalnego klucza dostępu i wydatkami, mali przedsiębiorcy nie są zainteresowani wprowadzeniem elektronicznego fakturowania".

Pomińmy ten nieszczęsny "klucz dostępu", o którym pisze autor drugiego z tekstów... Prawdą jest, że część środowiska sugerowała podczas prac nad regulacjami polskimi, że stosowanie bezpiecznego podpisu elektronicznego w fakturach to zbyt daleko idąca fanaberia...

Dla przypomnienia: bezpieczny podpis elektroniczny – to podpis elektroniczny, który:

• jest przyporządkowany wyłącznie do osoby składającej ten podpis,
• jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
• jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna (weryfikacja podpisu w oparciu o kwalifikowany certyfikat)...

W efekcie tych prac uzyskaliśmy wspomniane Rozporządzenie Ministra Finansów z dnia 14 lipca 2005 r. w sprawie wystawiania oraz przesyłania faktur w formie elektronicznej, a także przechowywania oraz udostępniania organowi podatkowemu lub organowi kontroli skarbowej tych faktur (które weszło w życie 4 sierpnia 2005 roku, a wydano je na podstawie delegacji art. 106 ust. 10 i 11 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług - Dz. U. z 2004 r. Nr 54 , poz. 535 oraz z 2005 r. Nr 14, poz. 113 i Nr 90, poz. 756)

Pytań jest wiele. Co się będzie działo z elektroniczną fakturą jeśli wystawiający je kontrahenci będą mieli swoją siedzibę w innym kraju? Czy da się wystawić kilkaset tysięcy faktur elektronicznych jednocześnie (a jednocześnie spełnić wymóg, by podpisujący mógł zapoznać się z ich treścią przed aktem podpisania)? Co z przechowywaniem faktur (skoro trzeba przechowywać je - w pewnym uproszczeniu - przez 5 lat (a w praktyce do sześciu), a certyfikat wystawiany jest np. na lat 2)? Czy do wystawienia faktury konieczny jest bezpieczny podpis elektroniczny (czy musi być w ogóle podpis na fakturze)? Czy mogę wykorzystywać „bezpieczny podpis elektroniczny” pochodzący z Czech? Czy podczas kontroli organy podatkowe mogą żądać wydrukowania faktur (to w jakim sensie faktury elektroniczne mają być tańszym rozwiązaniem?). Jak będą weryfikować takie urzędy czeski podpis? Co ze standardami certyfikatów? Pytań jest sporo...

A jakie jest tło tego, co mamy dziś? Poniżej tylko kilka wskazówek (proszę nie oczekiwać wnikliwej analizy sytuacji).

Polskie regulacje oparte są niejako na Unijnych. By analizować prawne aspekty faktur elektronicznych trzeba oddać się wnikliwej lekturze takich aktów normatywnych jak VI Dyrektywa VAT 77/388/EEC z 17 maja 1977 roku w sprawie harmonizacji przepisów Państw Członkowskich dotyczących podatków obrotowych – wspólny system podatku od wartości dodanej: ujednolicona podstawa wymiaru podatku (wydana przez Radę Wspólnot Europejskich), jak Dyrektywa 2001/115/EC dotycząca fakturowania, Dyrektywa 1999/93/EC Parlamentu Europejskiego oraz Rady z dnia 13 grudnia 1999 r. w sprawie wspólnotowych zasad dotyczących podpisów elektronicznych (zwłaszcza zaś artykuł 2(2) – dotyczący podpisu elektronicznego), czy wreszcie Rekomendacja 94/820/EC z dnia 19 października 1994 r. w sprawie aspektów prawnych elektronicznej wymiany danych (EDI – electronic data interchange).

Na mocy VI Dyrektywy 77/388/EEC faktury mogą być przesyłane w formie papierowej lub drogą elektroniczną: pod warunkiem wyrażenia zgody przez klienta. W polskim Rozporządzeniu odpowiednikiem tej normy jest § 3 ust. 1. - warunek akceptacji formy elektronicznej przez odbiorcę faktury. Unia mówi - faktury przesłane drogą elektroniczną będą akceptowane przez Państwa Członkowskie pod warunkiem, iż zagwarantowana będzie autentyczność ich pochodzenia i rzetelność zawartych w nich informacji (w Polsce: integralność treści - §4 Rozporządzenia). Jak będzie zagwarantowana?

Po pierwsze... poprzez bezpieczny (w Polsce) podpis elektroniczny (advanced electronic signature - w Unii); Państwa Członkowskie mogą wymagać, aby bezpieczny (zaawansowany - jakby można było przetłumaczyć "advanced") podpis elektroniczny sporządzony był w oparciu o kwalifikowany certyfikat (qualified certificate) oraz przy zastosowaniu bezpiecznego urządzenia służącego do składania podpisu elektronicznego (secure-signature-creation device). W tym miejscu mógłbym na 20 stronach rozpisać się na temat sporów dotyczących regulacji związanych z "bezpiecznym urządzeniem"...

Drugim rozwiązaniem jest elektroniczna wymiana danych (EDI - definicję electronic data interchange znajdziemy w artykule 2 Rekomendacji Komisji 1994/820/EC). To rozwiązanie jest możliwe, gdy umowa dotycząca wymiany przewiduje zastosowanie procedur gwarantujących autentyczność pochodzenia i rzetelność danych...

Faktury mogą być też przesyłane przy użyciu innych środków elektronicznych, jednakże zainteresowane Państwo Członkowskie musiałyby takie "inne środki elektroniczne" zaakceptować, co się jeszcze nie stało.

Na Dyrektywa wspomina o "drodze elektronicznej": przesyłanie lub udostępnianie odbiorcy oraz przechowywanie przy użyciu urządzeń elektronicznych służących do przetwarzania (w tym: kompresji cyfrowej) i przechowywania danych oraz wykorzystanie transmisji przewodowej, radiowej, technologii optycznych lub innych środków elektromagnetycznych. W polskim Rozporządzeniu odpowiednikiem tego zapisu jest § 2.

Problem w tym, że wielu komentatorów wprost twierdzi, że polskie akty wykonawcze są sprzeczne z aktami normatywnymi, na podstawie których zostały wydane...

Zostawmy na chwilę przepisy. Na co zwracać uwagę zastanawiając się nad wdrożeniem jednego z dostępnych na rynku rozwiązań? Ja proponuje zwracać uwagę na neutralność technologiczna (coraz częściej systemy istniejące w firmach funkcjonują na platformach różnych platformach – MS Windosw, Linux, w firmach funkcjonują też "maki" - a dostawcy koncentrują się jedynie na windowsach). Zwracał bym też uwagę na kompatybilność rozwiązania z innymi, dostępnymi na rynku ofertami (jeśli mówimy o podpisie elektronicznym - możliwość odczytywania faktur, które wystawiono z wykorzystaniem certyfikatu innego dostawcy; chodzi o standardy stosowane w podpisach elektronicznych, które są wzajemnie niekompatybilne). Pytałbym również o ilość wdrożeń (lepiej nie być „królikiem doświadczalnym”, „pokażcie mi swoje portfolio” - jednak po co kopać leżącego?)

Nie polecam opierania faktur na bezpiecznych podpisach elektronicznych. Wiadomo, że przepisy w tym względzie muszą się zmienić. Wiadomo, że resort odpowiedzialny za gospodarkę pracuje nad taką nowelizacją, ale czeka na założenia opracowane przez „środowisko” - a tu nie ma zgody co do tego, jak należy takie opracowanie stworzyć. Wiadomo jednak jaka jest diagnoza: "...W świetle doświadczeń Ministerstwa Gospodarki i Pracy zebranych przez niemal dwa lata funkcjonowania ustawy o podpisie elektronicznym treść wielu przepisów tejże ustawy sformułowana została niejednoznacznie i nieprecyzyjnie, co ujawniło się zwłaszcza podczas przygotowywania aktów wykonawczych. Sformułowania przepisów zawierających delegacje nie do końca odpowiadają swoim zakresem kwestiom wymagającym uregulowania...".

Mamy też wnioski z raportu sporządzonego na zlecenie Komisji Europejskiej w odniesieniu do polskiej regulacji: "...Wskazano w nim między innymi na odmienność niektórych przyjętych w polskim prawie rozwiązań od regulacji wprowadzonych przez państwa członkowskie Unii Europejskiej, co może prowadzić do zarzutów o niezgodność z Dyrektywą, bądź jej niepełną implementację...".

W tych samych źródłach możemy przeczytać: "...kwalifikowane podmioty świadczące usługi w zakresie podpisu elektronicznego wydały od początku obowiązywania ustawy parę tysięcy certyfikatów kwalifikowanych. Na dzień dzisiejszy korzyści ze stosowania podpisu elektronicznego są niższe w stosunku do nakładów poniesionych na zakup sprzętu służącego do jego składania, popyt na rynku bardzo niski a obciążenia regulacyjne dla krajowych podmiotów świadczących te usługi znaczne..."

Z drugiej strony w praktyce każdy system może zostać uznany za spełniający wymogi EDI pod warunkiem, że jego konstrukcja i zastosowane procedury będą gwarantowały spełnienie wymogów określonych w Rozporządzeniu i zaleceniach Komisji Europejskiej (a więc autentyczność ich pochodzenia i rzetelność zawartych w nich informacji - integralność treści; ale też np. zapewnienie ochrony danych osobowych, zapewnienie odpowiedniego poziomu poufności - takiego jak dla dokumentów papierowych, konieczność stworzenia tzw. załącznika technicznego (Technical Anneks) do umowy, na podstawie której partnerzy handlowi wprowadzą między sobą elektroniczną wymianę danych)... EDI jest łatwiejsze do wdrożenia, chociaż też wymaga sporych nakładów organizacyjnych i technicznych. Jednk EDI ma ograniczny krąg zastosowania - mogą z niego korzystać jedynie partnerzy, którzy wcześniej się tak umówili, co w praktyce oznacza spójne "łańcuchy kontrachentów". EDI nie jest dla wszystkich...

Do upowszechnienia podpisu elektronicznego nie można stosować taktyki "wprowadźmy w maksymalnie wielu przepisach obowiązek dla obywateli korzystania z bezpiecznego podpisu elektronicznego, to dalej już pójdzie gładko" („wkłada” się te obowiązki gdzie się da, licząc na to, że obywatele będą zmuszeni do stosowania bezpiecznych podpisów w kontaktach z administracją - Kodeks Postępowania Administracyjnego, Ustawa o systemie ubezpieczeń społecznych...). Podpis powinien być dla obywateli, nie zaś odwrotnie.

Jednym z bardziej istotnych problemów jest stosowanie różnych standardów podpisu.

- CMS (Cryptographic Message Syntax), format definiowany przez normy ETSI TS 101 733 oraz RFC 3125 i RFC 3126.
- Format oparty o XML, definiowany przez normę ETSI TS 101 903 (XAdEs)
- PKCS7 binarny format będący podzbiorem CMS.

Trzeba to zmienić - być może na rzecz jednego i do tego otwartego. Czy postulować format oparty o XML? To oczywiście nie koniecznie spodoba się funkcjonującym na rynku kwalifikowanym podmiotom świadczącym usługi w zakresie podpisu elektronicznego...

Nie. Dziś na rynku nie ma monopolu. Mamy cztery firmy świadczące takie usługi... Prawdą jest, że ta działalność nie jest też koncesjonowana i że każdy, kto potrafi spełnić wymogi ustawy może się nią zająć. Problem w tym, że mamy w rozporządzeniu trzy możliwe standardy, którymi podzieliły się te cztery firmy (jak to możliwe, że jeden ze standardów się nie powtarza? Otóż występuje w dwóch wariantach – to odpowiedź na pytanie, oczywiście znacznie ją uprościłem - proszę więc o wybaczenie). Z formatu opartego na XML korzysta dziś Signet. Być może gdyby administracja publiczna zobligowana byłby do przyjmowania podpisu tylko w takim, a nie innym standardzie firma „złapałby Boga za nogi”, a inni musieliby się dostosować? Co ze swobodą działalności gospodarczej? To temat rzeka, ale podobno nigdy się nie wchodzi do tej samej rzeki...