Wprowadzenie faktur elektronicznych miało zapewnić wiele korzyści. Do najważniejszych należy oszczędność pieniędzy (od 2 do 3 zł na jednej fakturze) i czasu (dokument dociera do odbiorcy błyskawicznie, a nie - jak w przypadku tradycyjnej poczty - po 2, 3 dniach), gwarancja bezpieczeństwa, możliwość masowego wystawiania faktur i rozwiązanie problemów z piętrzącymi się papierowymi kopiami. Okazuje się jednak, że pomimo tego faktury elektroniczne przyjmują się w Polsce wolno i z oporami. Niewielkie zainteresowanie jest po części wynikiem zawarcia w rozporządzeniu zapisu o kwalifikowanym (potocznie zwanym "bezpiecznym') podpisie elektronicznym, jako niezbędnym elemencie e-faktury. Zgodnie z rozporządzeniem, aby wystawić i przesłać e-fakturę, potrzebna jest pisemna zgoda jej odbiorcy. Wystawca elektronicznej faktury musi podpisać ją kwalifikowanym podpisem elektronicznym, równoważnym z podpisem odręcznym. A to oznacza zakup specjalnego czytnika, kart kryptograficznych i oprogramowania do składania e-podpisu, czyli mówiąc językiem portfela - jakieś 400 - 600 zł plus ok. 150 - 200 zł rocznie na odnowienie certyfikatu. Dla dużego przedsiębiorstwa, wystawiającego kilkaset faktur miesięcznie jest to wydatek niewielki, zwracający się prawie natychmiast (przy oszczędnościach 2-3 zł na jednej fakturze, wynikających z braku konieczności drukowania dokumentu, pakowania go do koperty i naklejania znaczka). Dla niej w zasadzie. Inaczej w przypadku małej firmy, która wystawia góra 30 faktur w miesiącu. Dla niej koszty wdrożenia e-faktury w krótkim okresie przewyższają korzyści z jej stosowania.

Zainteresowanie: 0,21 procent?

Liczba wystawionych do tej pory w Polsce certyfikatów według różnych szacunków wynosi od 4 tys. do nawet 7,5 tysiąca (przy około 3,5 milionach zarejestrowanych firm). Wystawiły je cztery podmioty, które mają prawo do certyfikacji i udostępniania kwalifikowanego e-podpisu: Unizeto Technologies, Krajowa Izba Rozliczeniowa, Polska Wytwórnia Papierów Wartościowych i TP Internet, które obsługują kolejno systemy: Certum, Szafir, Sigillum i Signet. Zdaniem Polskiej Izby Informatyki i Telekomunikacji narzucenie obowiązku stosowania kwalifikowanego podpisu elektronicznego jest stanowczo zbyt dużym wymaganiem. To rozwiązanie stwarza wysokie bariery dla małych i średnich firm zwłaszcza z powodu kosztów - uważa Wacław Iszkowski, prezes PIIT.

Wymóg stosowania kwalifikowanego podpisu elektronicznego może zaskakiwać tym bardziej, że na terenie Unii Europejskiej dopuszcza się inne, tańsze w zastosowaniu sposoby potwierdzania autentyczności dokumentu, takie jak np. zwykły podpis elektroniczny czy znakowanie czasem. Takie elektroniczne poświadczenie daty (Time Stamping) jest równoznaczne z poświadczeniem notariusza, a jednocześnie o wiele od niego tańsze (kilka firm w Polsce świadczy tego typu usługi). Przykładowe koszty to 25 groszy za poświadczenie dokumentu, usługodawcy oferują także opłaty ryczałtowe. Zasada działania znakowania czasem polega na łączeniu się aplikacji klienta z Centrum Autoryzacji i przesłaniu do niego zaszyfrowanego wycinka dokumentu. CA sprawdza czy skrót ten spełnia wszystkie wymagania, następnie oznacza go dokładnym czasem i odsyła do aplikacji klienta. Trzeba jednak w tym miejscu zaznaczyć, że znakowanie czasem nie określa daty utworzenia dokumentu, a jedynie potwierdza, że w danym czasie istniał dokument o określonej postaci. Taka forma jest dopuszczalna w krajach Unii Europejskiej.

EDI dla zamkniętych grup

U nas, poza podpisywaniem e-faktur kwalifikowanym podpisem elektronicznym, w ramach zamkniętych grup użytkowników można stosować system EDI (ang. Electronic Data Interchange - elektroniczna wymiana dokumentów). Koncepcja EDI powstała ponad 30 lat temu, kiedy to komputery były bardzo drogie, a połączenia modemowe miały bardzo niską przepustowość. Początki były trudne, jednak coraz więcej przedsiębiorstw zaczęło przekonywać się do tego typu rozwiązań. Pierwszym sektorem, który zaczął stosować system EDI był transport - przewoźnicy morscy, kolejowi i powietrzni. Tony papieru wytwarzane przez ten sektor musiały być przewożone na duże odległości i tam przepisywane, co generowało spory procent błędów. EDI było wybawieniem. Zasada działania systemu jest prosta: firmy zostają podłączone do sieci operatora EDI, która umożliwia sprawną obsługę dokumentów elektronicznych. Przy pomocy własnego systemu informatycznego kupujący tworzy zamówienie, które jest następnie konwertowane na format wspólny dla całej sieci. Odbywa się to szybko i automatycznie, bez pośrednictwa człowieka, a więc w ten sposób eliminuje się ryzyko błędu ludzkiego. Zamówienie przesyłane jest poprzez sieć do dostawcy i tam ponownie konwertowane na jego własny format wewnętrznego systemu informatycznego. Po realizacji zamówienia dostawca wystawia i przesyła fakturę do kupującego w podobny sposób (patrz. rys.1). System EDI redukuje czas potrzebny do przetworzenia informacji przez człowieka do minimum, ponieważ większość procesów odbywa się automatycznie. Jednocześnie eliminuje konieczność kopiowania danych z dokumentów papierowych lub ręcznego wprowadzania danych, ponieważ dane te są pobierane z bazy, w której juz wcześniej zostały zatwierdzone.

Niebezpieczny podpis

12 października 2005 r. polski rynek obiegła wiadomość o wykryciu przez szczecińską firmę G DATA Software sp. z o.o. kilku luk w oprogramowaniu służącym do podpisu elektronicznego, sprzedawanym przez czołowe polskie punkty certyfikujące. Ich odkrycie może poważnie nadszarpnąć wiarę w bezpieczeństwo stosowania faktur elektronicznych i e-podpisu. Poprzez ingerencję w aplikację oszust może podmienić faktury, a użytkownik co innego zobaczy na ekranie monitora, a co innego podpisze - i to podpisze kwalifikowanym podpisem elektronicznym, równoważnym z podpisem własnoręcznym.

- Oprócz tego istnieje możliwość ataku nie ingerując w aplikację. Jedną z takich technik jest napisanie własnego drivera filtrowego dla systemu plików - tłumaczą pracownicy firmy G DATA Software. - Należy tu nadmienić, że rozwiązanie to jest bardzo trudne do wykrycia, ponieważ w systemie operacyjnym Windows działa kilka takich sterowników (np. programy antywirusowe, programy do nagrywania płyt i inne posiadają na swoje potrzeby tego typu sterowniki). Jeszcze tego samego dnia na stronach internetowych firm, w których oprogramowaniu odnaleziono luki, pojawiło się ostre sprostowanie na rewelacje firmy G DATA. Czytając jednak tę informację trudno nie dostrzec, że właściwie producent aplikacji do składania podpisu elektronicznego przyznaje, że sforsowanie zabezpieczeń jest możliwe i w dodatku dziecinnie proste: Atak, o którym donosi G DATA potrafi przeprowadzić przeciętnie zdolny student informatyki, któremu udostępni się swoją stacje roboczą. (...) Należy z całą mocą podkreślić, że proces składania podpisu na niezabezpieczonym komputerze jest narażony na wiele więcej niebezpieczeństw niż tylko to, na które wskazuje G DATA."

A więc tylko komputer dobrze zabezpieczony programem antywirusowym, firewallem i bóg wie jeszcze czym, może posłużyć za platformę do wystawiania e-faktur i stosowania podpisu elektronicznego. Co wobec tego tym drugim sposobem ataku za pomocą drivera filtrowego, o którym pisze G DATA?

Dwa rodzaje faktur

Zastrzeżenia odnośnie do regulacji prawnych budzi też zapis w rozporządzeniu Ministra Finansów mówiący o tym, że "faktury przesłane w formie elektronicznej powinny być przechowywane przez ich wystawcę oraz odbiorcę w formie elektronicznej". Stwarza to podstawy, by sądzić, że faktura papierowa i faktura elektroniczna to dwa różne dokumenty, które nie mogą być stosowane przemiennie. Nie wolno przesyłać elektronicznych korekt oraz duplikatów do faktur wystawionych wcześniej w formie papierowej. Wystawienie choćby jednej e-faktury wiąże się także z przechowywaniem jej kopii na dyskietce, płycie CD, lub innym nośniku cyfrowym. Rozporządzenie mówi także, że e-faktury powinny być przechowywane w Polsce, w sposób umożliwiający organom podatkowym lub organom kontroli skarbowej, na ich żądanie, pełny i ciągły dostęp drogą elektroniczną do przechowywanych faktur...

Wszędzie na świecie, gdzie wprowadzono faktury elektroniczne w bardziej przyjaznej formie, okazały się one czynnikiem w pewien sposób stymulującym wymianę handlową. Oszczędność na kosztach dodatkowych, oszczędność czasu, wyeliminowanie błędów i łatwy dostęp do kopii faktur sprawiły, że e-faktura stawiana jest za przykład jednego z ważniejszych wdrożeń technologicznych w dużych, ale także średnich i małych firmach. W Polsce pewną barierą na start stały się ceny rozwiązań do obsługi podpisu kwalifikowanego. Nie można jednak nazbyt demonizować czynnika kosztów? Czy e-faktury to rozwiązanie faktycznie tańsze i wygodniejsze dla wszystkich bez wyjątku firm? Wszystko zależy od zainteresowania przedsiębiorstw taką formą "komunikacji" z klientami i kontrahentami. Na pytanie czy elektroniczne faktury przyjęły się na polskim rynku przyjdzie nam zaczekać kilka lub kilkanaście miesięcy.