Ані смартфон, ані планшет не можуть бути касою - exellio
ГоловнаМатеріалиАні смартфон, ані планшет не можуть бути касою

Ані смартфон, ані планшет не можуть бути касою

Що відбувається сьогодні у світі фіскальних рішень? Як довго триватиме “війна” класичних та програмних РРО? До яких маніпуляцій та навіть шахрайства може призвести незахищеність даних пРРО? Про те, чого не почути з сюжетів новин, нам детально розповів виконавчий директор Асоціації “Українські електроніка, комп’ютери, касові апарати” (УкрЕККА) Василь Васильович Маціпура.

Пане Василю, яке Ваше бачення фіскалізації? Як змінився ринок РРО з початком роботи програмних рішень?

Цей вкрай не популярний інструмент податкової політики – фіскалізація всіх розрахункових операцій в Україні планувалася вже не один раз. На початку 2000-них, у 2005-му, 2012-му, 2015-му. Але кожного разу черговому президенту не вистачало політичної волі. Розтягувати цей процес секторально, по групах, за якимись критеріями (технічно складні побутові товари, лікарські засоби, ювелірні вироби, площа торгового приміщення тощо) недоцільно, – завжди найдеться, хто скаже: «а чому ми?».

Трохи статистики. За даними Державної податкової служби (ДПС) наразі в Україні експлуатується 308 000 реєстраторів розрахункових операцій (РРО). Щодня класичні РРО генерують і передають на сервери ДПС понад 17 млн. розрахункових документів. Обсяг розрахункових операцій, зареєстрованих через РРО становить понад 1 трильйон гривень на рік, із них податки на споживання понад 200 млрд.грн. Щорічно вводиться в експлуатацію понад 40 тис. нових РРО.

Враховуючи ці дані, для забезпечення всіх підприємців фіскальними рішеннями в період масової фіскалізації відповідно до Закону № 128 “Про внесення змін до Закону України “Про застосування реєстраторів розрахункових операцій у сфері торгівлі, громадського харчування та послуг” та інших законів України щодо детінізації розрахунків у сфері торгівлі та послуг” (близько 1 млн. РРО), розробка і впровадження програмного РРО справді була актуальним вирішенням ситуації. Але ж при цьому треба було чітко розуміти як поставлена задача, як захистити податкову інформацію, як захистити підприємців від бажаючих поласувати чужим, яким має бути функціонал, хто розробляє і впроваджує ці рішення, хто і як контролюється виконання ними фіскальних функцій, як і ким має забезпечуватись кібербезпека цієї системи. 

Очевидно, що в такій розгалуженій інформаційно-комунікаційній системі неприпустимі ніякі проміжні ланки обробки інформації (проміжні сервери) між програмним РРО та податковою, що кваліфікований підпис обов’язковий і захищений на токені (касир прийшов зі своїм токеном, підписав документи та відправив, звірили з АЦСК час та підпис – все чітко та зрозуміло. Відкривалось вікно можливостей. Але в міжвідомчій робочій групі, яка була створена Міністерством фінансів до нас не дослухались і, як наслідок, сьогоднішні програмні рішення (пРРО) не можуть належним чином виконувати фіскальні функції, вони не забезпечують належний захист інформації та надійність роботи, а інколи взагалі «заточені» для зловживань, спотворення податкової інформації, обману споживачів.

Законотворці, прогнозуючи недостатню надійність системи передбачили офлайн-режим роботи пРРО. Але ж ніхто при цьому не акцентує увагу, що офлайн режим – це не працює/недоступний фіскальний сервер податкової, а не у випадку відсутності інтернет-зв’язку в точці продажу. І це дуже суттєвий момент. Без інтернет зв’язку неможливо накласти на документ цифровий підпис і кваліфіковану позначку часу через те, що недоступний АЦСК. Складається враження, що автори законопроекту, закладаючи  під режим офлайн програмного РРО такий величезний проміжок часу (до 36 годин за один сеанс, але не більше 168 годин протягом календарного місяця!) для відновлення роботи фіскального сервера, з самого початку знали, що надійно вся ця система не працюватиме. 

Припустимо, 1 млн. програмних РРО відпрацювати свої 12 годин в офлайн-режимі, зібрали 50 млн. документів і після відновлення роботи фіскального сервера всі одночасно почали передавати розрахункові документи, створені в режимі офлайн до ДПС. Фіскальний сервер має надіслати відповідь «дані отримав», відповіді немає, – каса знову посилає ті ж самі дані. Кількість запитів зростає, сервер не встигає обробляти цю чергу. Будь-який сервер від такого шаленого навантаження знову “ляже” – це класична DDoS атака. Все, коллапс! Торгівля стала! 

Звісно, сьогодні можна вирішити всі технічні проблеми. Приміром, поставити дата-центри як у Google, все правильно організувати. Але, враховуючи, що Кабінет Міністрів не встановив порядок перевірки програмних РРО на виконання фіскальних функцій, які він затвердив, наразі маємо на ринку масу ніким не перевірених, часто недосконалих, з помилками програмних рішень, які будуть щось надсилати до ДПС. Давайте виходити з наших реалій: при тому рівні як працює IT служба ДПС, кабінет платника податків, весь їхній софт – це технічно та організаційно нереально. Отже забезпечення належного захисту і передачі податкової інформації до ДПС при мільйонному парку пРРО – велике питання, відповідь на яке ми отримаємо наступного року.

Залишається лише сподіватись, що здоровий глузд переможе популізм, вистачить політичної волі, закони встоять, техніка не підведе й з нового 2022 року Україна забезпечить належний облік податків на споживання, сплачених покупцями.

І тут ми маємо вже іншу проблему. В деяких наших постачальників фіскальної техніки склади вже пусті. А попит у листопаді-грудні буде великий. Усі наші виробники разом пообіцяли, що до кінця року зможуть поставитидо 60 тис РРО. Тут навіть калькулятор не потрібен, щоб порахувати нестачу традиційного рішення для всіх бажаючих. На жаль, гострий дефіцит електронних компонентів на світових ринках, збільшення в рази їх вартості і термінів поставок, дефіцит обігових коштів унеможливлюють суттєве зростання виробництва класичних РРО. 

Як Ви бачите розвиток фіскального обладнання у найближчі 2-3 роки? 

Припустимо ситуацію, що з тих підприємців, які мають за законом з січня 2022 року фіскалузуватись, і хотіли б встановити саме класичний РРО, але з вищезазначених причин не зможуть його вчасно придбати, будуть змушені підключити програмний реєстратор. Який процес потім відбуватиметься? Людина намучиться із пРРО місяць, другий, третій і зрештою стане в чергу на апаратний РРО. А коли купить – невідомо. 

Тому виникає логічне питання: чому б виробникам апаратних РРО не зробити новий пристрій в тій самій “коробці”, але з передачею даних за протоколом програмних РРО. Коли є захищена память, є де зберігати ключі, можна отримати відповідний звіт, не треба проходити ДП «СВЦ», НБУ, УкрМетрТестСтандарту, технічну комісію ДПС та інші процедури на шляху включення моделі РРО чи версії внутрішнього програмного забезпечення до державного реєстру РРО. Створити таку собі програмну апаратну касу. І це не суперечить чинному законодавству, оскільки в статті 2 Закону Про застосування РРО визначено, що програмний РРО може бути реалізований на будь-якому пристрої (прим. Exellio – “програмний реєстратор розрахункових операцій – програмний, програмно-апаратний або програмно-технічний комплекс у вигляді технологічного та/або програмного рішення, що використовується на будь-якому пристрої та в якому фіскальні функції реалізовані через фіскальний сервер контролюючого органу і який призначений для реєстрації розрахункових операцій при продажу товарів (наданні послуг), операцій з торгівлі валютними цінностями в готівковій формі та/або реєстрації кількості проданих товарів (наданих послуг), операцій з приймання готівки для виконання платіжних операцій. Контролюючий орган забезпечує безоплатне програмне рішення для використання суб’єктом господарювання”). 

І не треба буде мучитися з планшетами і смартфонами. Оскільки у кожного девайса є своє пряме призначення. Тому ані смартфон, ані планшет не може бути касою.

Який з цих девайсів довго протримається в робочому стані, коли щодня буде безперервно працювати по 12 годин? Тому про смартфон мова не йде взагалі. Під фіскальний реєстратор має бути спроектований окремий спеціальний захищений електронний пристрій з основними функціями: реєстрація операцій і створення розрахункових документів, визначення бази оподаткування, розрахунок податків на споживання, зберігання, передача і захист податкової інформації.

Який може бути майбутній розподіл ринку між класичними та програмними РРО?

Прогрес не зупинити. Архітектура класичних РРО склалася на кінець минулого століття. Українські виробники увібрали у свої рішення все найпрогресивніше, що було в цій сфері на той час. У 2013 була впроваджена онлайн передача усіх даних про зареєстровані розрахункові операції в ДПС. Фактично нічого не змінилось, але минуло понад 20 років. А в наших реаліях двадцять років – це дуже багато часу. Згадайте телефон кінця 90-тих років і порівняйте його з сучасними апаратами. Це абсолютно різні можливості. А наші класичні РРО шляхом оновлення версій внутрішнього програмного забезпечення успішно вирішують усі задачі, які регулярно постають внаслідок змін нормативно-правової бази (акцизний податок, коди УКТ ЗЕД, заокруглення, електронна акцизна марка, QR-код в чеку). РРО протягом 7-ми років зберігає автентичну, належним чином захищену копію податкової інформації, що гарантує захист інтересів підприємця в разі виникнення конфліктів із споживачами чи з ДПС. 

Міжнародні організації, що об’єднують більшість розвинених країн, зокрема, Міжнародний валютний фонд (IMF) та Організація економічного співробітництва та розвитку (OESD), зазначають, що немає іншого способу зібрати непрямі податки на кінцеве споживання, ніж застосування спеціальних захищених комунікаційних пристроїв – так званих Communication cash register (комунікаційні касові апарати), саме такі РРО використовуються в Україні з 2013 року.

Щодо розподілу ринку?

У різних країнах свій сценарій реалізації фіскального контролю. Але POS-системи використовуються в точках продажу всіх країн світу. Це не фіскальні системи, а системи обліку власника магазина, але традиція видавати чек є, навіть якщо він не фіскальний. США – не фіскальна держава, Німеччина до цього року так само була не фіскальною. При цьому платити податки на споживання має місце у всіх розвинених країнах світу. «Учёт, контроль, плюс электрификация» – все просто. Залишилося виконати перші два пункти.

Хочеться підкреслити, що ніхто не зазіхає на гроші бізнесменів – вони як заробляли, так і зароблятимуть, податкові ставки не змінюються, але податки мають платити чесно і всі!

Як Асоціація оцінює програмні РРО?

Я з першого дня “за” програмні РРО. Це нормальне сучасне рішення. Але за умови, що вони правильно спроектовані, розроблені і впроваджені. Якби з самого початку розробники державної фіскальної програми прислухались до наших порад, можна було запровадити дієве функціональне  рішення, написане з урахуванням 30-річного досвіду, прошите під POS-системи, які сьогодні використовуються українськими підприємцями тощо.

Тобто це має бути не програмка в телефоні чи планшеті, а спеціальний захищений програмно-технічний пристрій з дотриманням усіх необхідних законодавчих вимог щодо податкових зобов’язань, захисту інформації та захисту прав споживачів. 

Припустимо, що такий програмно-апаратний вітчизняний реєстратор з’явиться, тоді відпаде потреба в ЦСО?

А ви знаєте хоча б один складний програмно-апаратний комплекс, в якому реалізовано кілька десятків нормативно-правових актів, що працює щоденно по 12-18 годин і не потребує технічного обслуговування? Манікюрні ножнички теж іноді необхідно гострити, а гребінець для волосся чистити. Телефон і планшет теж треба регулярно обслуговувати (що роблять далеко не всі) і ремонтувати.

Дійсно, з часом не буде такої потреби в рудиментарних функціях ЦСО (очистити від пилу, вигнати тарганів, відремонтувати кабелі й т.п.). Але при цьому попит на консультаційну, сервісну підтримку, ІТ-шні послуги, навчання персоналу, налаштування, узгодження роботи програмних і технічних засобів буде безумовно збільшуватись.

Тільки якісна консультаційно-сервісна підтримка спростить життя як користувачам і виробникам РРО, так і державним структурам. 

На жаль, на сьогодні далеко не всі сервісні центри здатні забезпечити належний рівень інформаційно-консультаційної підтримки користувачів в частині нормативно-правової бази застосування РРО, впровадження сучасних програмно-технічних комплексів автоматизації обліку в торгівлі, тобто комплексне інформаційно-технічне забезпечення бізнесу, на яке очікують користувачі та власники торгових бізнесів. У будь-якому разі, бізнес все одно буде корпоратизуватися та укрупнюватися, і слабші відпадуть. Від цього нікуди не дітись.

У чому, на Вашу думку, перевага чи недоліки пРРО у порівнянні з класичними реєстраторами?

Ідея застосування сучасних технологій і засобів для фіскального обліку, на мою думку, є абсолютно правильною. Але її реалізація в Україні шляхом масового впровадження незахищених програмних засобів (програмних РРО) –  абсолютно неправильна.

Ще три роки назад ми пропонували Мінфіну та  ДПС наше бачення концепції розвитку системи фіскального контролю. Ми пропонували застосовувати в РРО “асиметритричні ключі” (примітка Exellio – метод асиметричного шифрування даних, що передбачає використання двох ключів – відкритого і закритого). Технологія шифрування, яку зараз використовують, вже застаріла, їй понад 30 років. Ті дані, які створює каса й передає до ДПС, зашифровані модулем MB SAM національної системи електронних платежів «Простір», прочитати їх може тільки Національний банк, який генерує ключі, або сам касовий апарат. Більше ніхто! Тобто Нацбанк ставить у РРО свій шифрувальний модуль, каса шифрує дані та передає їх через еквайринг в систему «Простір» НБУ, там вони розшифровуються і передаються до системи обліку даних РРО (СОД РРО) ДПС вже у розшифрованому вигляді.

Асиметричні ключі дозволять всім, у кого є сертифікат відкритого ключа (як цифровий підпис), ці дані прочитати. Вони елементарно, без суттєвих змін в апаратній частині, можуть бути застосовані в класичних РРО. Тоді вся система значно спрощується. У програмних РРО якраз застосовані асиметричні ключі, там передбачений цифровий підпис. Але спочатку в законі (прим. Exellio – ЗУ Про застосування РРО, розділ 2, стаття 3) мова йшла виключно про кваліфікований цифровий підпис. Це той, який створений кваліфікованими засобами цифрового підпису. А кваліфікований засіб – це той, в якому ключі зберігаються в захищеному сховищі, яке унеможливлює їх копіювання, так звані токени – флешка зі спеціальним софтом, де лежать ці ключі, і підписувач вставляє цю флешку в порт, вводить пароль, підписує, а потім забирає її з собою, щоб ніхто інший не мав доступу до ключів. 

Потім дозволили використовувати удосконалений електронний цифровий підпис, вимоги до захисту якого законом «Про електронні довірчі послуги» не встановлені. У свою чергу деякі розробники пРРО створюють сервери, де зберігається вся інформація їх користувачів, у тому числі ключі шифрування даних і паролі до них. Тобто все відбувається на проміжному сервері, оскільки так швидше працювати. Виходить, що програмний РРО – це лише пристрій введення/виведення, просто як екран з клавіатурою. Все рахується на сервері розробника програми. При цьому користувач пРРО зобов’язаний завантажити свої ключі (електронний підпис) на цей сервер, який відповідно зберігає і паролі до них. І це становить пряму загрозу для підприємця, оскільки через хакерську атаку ці ключі можуть опинитися в будь-кого і потім підписати від імені людини будь-які документи. Тож це абсолютно дилетантский підхід. Проміжні сервери, на яких зберігаються фіскальні чеки – це можливість для махінацій.

У клієнта немає жодних даних (немає копії даних) після того, як він через пРРО передав їх до ДПС. Тобто відсутній зворотній зв’язок. Як йому створити Z-звіт в кінці зміни, коли, наприклад, сервер податкової знаходиться в офлайні? Де взяти тоді дані для цього звіту? І подібних питань дуже багато. 

Чому важливо фіскалізувати всіх підприємців? І чи реально це зробити на практиці?

Після того, як пройде велика фіскалізація, з 1 січня 2022 року, наступним кроком з боку держави треба запустити глобальну рекламну кампанію на кшталт: “Купив – отримай чек!”. Вони мають не рекламувати свій програмний РРО “E-Receipt”, а пояснювати суспільству: “люди, ви платите податки – захищайте їх!”. Як каже перше правило банкіра: «захищай свої інвестиції!». А податки – це інвестиції в майбутнє, в нормальну країну, у ваших дітей, у вашу пенсію. Оце треба навчити робити – захищати себе: “дайте фіскальний чек; дайте папірець, пришліть на і-мейл; візьміть чек, а потім перевірте його на сайті ДПС, чи дійшли сплачені вами податки до казни? Необхідно розробити систему мотивації населення. Змінити свідомість людей – покупців і продавців, щоб алгоритм «купив=заплатив податки=отримав чек=податки надійшли в бюджет» став суспільним стандартом на рівні підсвідомості. 

Це абсолютно реально. На жаль, виробники класичних РРО не зможуть в повному обсязі задовольнити потреби ринку найближчим часом, плюс проблеми з комплектацією виробництва електронними компонентами, зумовлені глобальним дефіцитом на світових ринках. 

Чи перенесуть дату фіскалізації ФОПів чи ні?

За словами голови податкового комітету Верховної Ради Данила Гетманцева, коли минулого року у грудні депутати ухвалили Закон України “Про внесення змін до Податкового кодексу України та інших законів України щодо лібералізації застосування РРО…” № 1017-ІХ через пандемію COVID-19, це було останнім відтермінуванням. Тому я вважаю, що велика фіскалізація все ж таки відбудеться. Ми хочемо жити в європейській державі? Чи в Сомалі? Відповідь очевидна. Тоді у нас іншого шляху просто не існує!