Prawdziwe zagrożenia ze strony e-podatków

Przy okazji zaostrzenia mechanizmów uwierzytelnienia i uproszczenia mechanizmu autoryzacji w Zakładzie Ubezpieczeń Społecznych w środowiskach IT przetoczyła się mała debata na temat potencjalnych zagrożeń związanych z oszustwami przy okazji składania różnego deklaracji podatkowych.

W przypadku deklaracji o podatku emerytalnym składanych do ZUS chodziło o to, że co prawda używamy certyfikatu kwalifikowanego ale bez pełnomocnictwa, takiego jak ZAW-E1 w e-Deklaracjach. Szczerze mówiąc, nie udało się wtedy nikomu podać prawdopodobnego scenariusza jak miałoby wyglądać ewentualne nadużycie tej "luki". Zamiast tego Ministerstwo Finansów chce znacznie uprości uwierzytelnienie deklaracji podatkowych.

To co w polskiej administracji publicznej jest sensacją na miarę drugiej dekady XXI wieku od dawna funkcjonuje w brytyjskim i amerykańskim systemie podatkowym. Warto zatem przyjrzeć się doświadczeniom amerykańskiego IRS (Internal Revenue Service) z elektronicznymi deklaracjami. W wydanym w ubiegłym roku poradniku instytucja ta ostrzega przed klasycznym phishingiem, rozsyłanym w postaci listów udających korespondencję z IRS. W najbardziej wyrafinowanej wersji maile zachęcają do podawania danych osobowych w najróżniejszych formularzach webowych, udających nieistniejące formularze podatkowe. W najprymitywniejszej - do kliknięcia na link, który próbuje uruchomić konia trojańskiego.

Jak widać nie ma to nic wspólnego ze scenariuszami w rodzaju "przestępca wyśle za mnie fałszywy formularz podatkowy i będę musiał w kopalni do końca życia odrabiać miliardowy podatek!", którymi straszono podczas dyskusji o rezygnacji z podpisu kwalifikowanego.

Zamiast tego Ministerstwo Finansów powinno z wyprzedzeniem, za pomocą mediów oraz stron z formularzami podatkowymi, edukować użytkowników zanim podobne akcje pojawią się w Polsce, zapewne w okolicach przyszłego roku lub dwóch.