Секрет информационной безопасности продаж в онлайн-кассе

В июле 2016 года в России был запущен один из самых масштабных ИT-проектов нашего времени, путем внесения изменений в положения Федерального закона № 54-ФЗ («О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт»). По новым правилам все кассовые аппараты должны с 1 июля 2017 года передавать электронные копии чеков онлайн в налоговую. Также это касается интернет-магазинов, принимающие к оплате банковские карты, равно как и большинство офлайн-магазинов, которые должны с помощью онлайн-кассы формировать фискальный чек и отправлять его покупателю на указанный им e-mail или телефон.

Подробнее о том, как онлайн-касса может повысить уровень информационной безопасности продаж:

1.​ Разработка инструмента информационной безопасности

2.​ Преимущества использования онлайн-касс

3.​ Иностранный опыт

4.​ Система регулирования онлайн-касс и народный контроль

5.​ Обмен информации и его участники

6.​ Защита от угроз и схем мошенничества

7.​ Перспектива развития внедрения онлайн-касс

 

Разработка инструмента информационной безопасности

Стремление Правительства уменьшить долю теневой экономики дало толчок к разработке инструментов контроля над выручкой предприятий торговли и сферы услуг, осуществляющих расчеты с населением. В число приоритетных задач закономерно вошел полный учет данных о продажах, который должен помочь государству не только выявлять или прогнозировать зоны нарушений в применении кассовой техники, но и отслеживать уровень цен на социально значимые товары.

Крайне важно было также разработать удобный и юридически значимый механизм коммуникации между ФНС России, торговыми организациями и потребителями – на базе информационных технологий.

Преимущества использования онлайн-касс

В результате внесения изменений в положения Федерального закона № 54-ФЗ торговые предприятия приобретают:

• снижение недобросовестной конкуренции за счет равных условий для ведения бизнеса;

• уменьшение налоговых проверок благодаря поступлению в ФНС информации о продажах в онлайн-режиме;

• отмену обязательного заключения договоров с центрами технического обслуживания (ЦТО) благодаря новым опциям: самостоятельно ставить на учет, снимать с учета, перерегистрировать кассовые решения через личный кабинет на сайте ФНС;

• возможность контролировать своих продавцов и пресекать случаи воровства.

Население тоже получает определенные выгоды от нового порядка использования касс. В частности, это дополнительный импульс для эффективного применения закона «О защите прав потребителей» благодаря:

• контролю цен на социально значимые товары;

• возможности проверить легальность кассового чека через бесплатное мобильное приложение ФНС;

• быстрой обработке сигналов о нарушениях в предоставлении чека за счет их онлайн-передачи непосредственно налоговой.

Иностранный опыт

Инициативу российских властей нельзя назвать уникальной. Фискальное законодательство, определяющее работу контрольно-кассовой техники (ККТ), существует уже во многих странах. Например, в 2005 г. использовать мобильный Интернет для сбора информации о продажах начала Южная Корея. Вскоре аналогичный опыт – применение кассовых аппаратов, подключенных через GPRS к налоговым органам, – переняли Швеция, Сербия и ряд государств Восточной Европы. Как показала практика, это было правильным шагом. Так, в 2012 г., благодаря новой системе передачи фискальных данных от ККТ налоговые поступления в Македонии выросли на 17%, налогооблагаемая база в Болгарии увеличилась на 30%. А в Грузии за аналогичный период декларируемая выручка поднялась на 65%!

Система регулирования онлайн-касс и народный контроль

В России, как уже отмечалось, применение онлайн-касс регулируется № 54-ФЗ в редакции № 290-ФЗ от 03.07.2016, а также принятыми в соответствии с ним подзаконными актами. Среди последних особенно важен приказ ФНС России от 21.03.2017 № ММВ-7-20/229 об утверждении форматов фискальных документов. В законе прописано несколько значимых дат:

• с 01.02.2017 в ФНС России разрешено регистрировать только онлайн-кассы;

• до 01.07.2017 на онлайн-кассы должны были перейти все предприятия-налогоплательщики, которые ранее уже применяли ККТ;

• до 01.07.2018 онлайн-кассы должны начать использовать налогоплательщики, которые ранее не обязаны были это делать. Это касается и предприятий, применяющие такие спецрежимы налогообложения, как ЕНВД и «Патент», а также владельцы торговых автоматов. Изменения 54-ФЗ - это самая глобальная реформа в ритейле за последние 10 лет.

Если раньше № 54-ФЗ регулировал расчеты с помощью наличных и платежных карт, то сейчас к последним добавились все электронные средства платежа. Среди них и популярный в последнее время электронный кошелек. С июля 2018 г. проведенные посредством него оплаты тоже должны быть фискализированы.

Ключевое техническое изменение – «онлайнизация» касс. Иначе говоря, теперь в момент расчета каждый чек должен отправляться в электронном виде ФНС через оператора фискальных данных (ОФД). Поэтому установленная в кассу ЭКЛЗ (электронная контрольная лента защищенная) была заменена фискальным накопителем (ФН) – это устройство, которое шифрует и подписывает чек так называемым фискальным признаком, необходимым для защиты данных от корректировки. Оно позволяет также хранить все сформированные кассой чеки, получать и хранить подтверждения ОФД об их приеме. Как и у ЭКЛЗ, срок действия у ФН не бесконечен – его необходимо менять. При этом для малого бизнеса, применяющего спецрежим (без продажи подакцизных товаров), предусмотрен свой бюджетный вариант ФН. Допустимый срок его эксплуатации не стандартные 13 месяцев, как у ФН для остальных торговых предприятий, а 36.

С введением поправок в № 54-ФЗ у всех торговых предприятий появилась обязанность передавать в чеке не только стоимость покупок, но и их названия. Это необходимо ФНС для лучшего контроля над соблюдением цен на социально значимые товары и охраны интересов потребителей. Правда, пока от такой обязанности освобождены индивидуальные предприниматели, применяющие специальные режимы налогообложения – ЕНВД, «Патент», УСН и ЕНСХ, не продающие подакцизный товар. Им разрешено не отражать номенклатуру в чеке до 01.02.2021 (п. 17, ст. 7 Закона № 290-ФЗ от 03.07.2017). Однако микро- и малым предприятиям уже сейчас следует серьезно задуматься над автоматизацией своих продаж. Тем более что обладание актуальной информацией о продажах и их структуре в электронном виде позволяет точнее анализировать результаты деятельности, стабилизировать бизнес и даже повышать его конкурентоспособность.

Еще одно важное изменение, продиктованное обновленным № 54-ФЗ, отражено в разъяснительном письме Минфина от 28.04.2017 № 03-01-15/26324. Согласно ему с 1 июля 2017 г. торгово-сервисные предприятия обязаны выдавать чек физическому лицу, которое провело оплату товаров/услуг через отделения банка или мобильный банк. Самые острые вопросы в связи с этим: что считать моментом расчета и в какой момент формировать кассовый чек? Позиция регулирующего органа определялась законом о защите прав потребителей (п. 3, ст. 16.1). Предприятие получает данные от кредитной организации (банка) – оформляет чек.

Теперь онлайн-магазины, принимая оплату через Интернет посредством электронных средств платежа, обязаны отправлять покупателю электронный чек на e-mail или мобильный, указанные в заказе. Чек должен быть выслан непосредственно в момент расчета.

Что касается потребителей, то по запросу они могут получить в момент расчета не только бумажный, но и электронный чек. Кроме того, ФНС разработала для них бесплатное мобильное приложение «Проверка чеков», которое есть и в Google Play, и в AppStore. Приложение анализирует отсканированный с чека QR-код и оценивает его корректность. При обнаружении нарушения пользователь может мгновенно отправить соответствующее уведомление ФНС. Народный контроль – одно из важнейших изменений, привнесенных поправками в № 54-ФЗ.

Обмен информации и его участники

Рассмотрим типовую схему процесса обмена информации и его участников.

1. Покупатель подходит с товаром на кассу, кассир пробивает товар и оформляет чек. Контрольно-кассовая техника передает информацию о расчете в установленный внутри фискальный накопитель. Тот формирует электронный вариант чека с фискальным признаком и «возвращает» его ККТ. ККТ печатает бумажный чек с фискальным признаком.

2. ККТ передает электронную версию чека с фискальным признаком оператору фискальных данных. Тот получает чек, проверяет его подлинность и отправляет в ККТ подтверждение о получении чека или отказ, если подлинность чека не подтвердилась.

3. База электронных чеков накапливается в ОФД и с определенной периодичностью поступает в ФНС России. Важно: если ККТ отправила чек, но ответ от ОФД не поступил, отправка продолжается с определенной периодичностью, пока данный чек не будет принят или окончательно отклонен ОФД.

Защита от угроз и схем мошенничества

На пути к честной конкуренции часто возникает нежелание самих предприятий платить налоги и соответственно применять кассу, фиксирующую все без исключения продажи. Передача подробной информации в ФНС делает бизнес таких организаций прозрачнее и увеличивает риски их налоговой проверки. Впрочем, модель злоумышленника может быть представлена не бизнесом как таковым, а кассиром, занижающим выручку с целью присвоить себе денежные средства. С учетом этого ФСБ России и ФНС России перед введением нового порядка применения касс разработали совместный документ – «Модель угроз информационной безопасности фискальных данных, средств и систем обработки данных». В качестве основных объектов защиты в нем были обозначены:

• фискальные данные на всех этапах жизненного цикла;

• контрольно-кассовая техника как инструмент формирования фискальных данных;

• автоматизированные системы сбора, обработки и хранения информации;

• автоматизированные системы электронной регистрации ККТ.

Как показала правоприменительная практика, основное нарушение в сфере использования ККТ – это невыдача покупателю кассового чека или его оформление с заниженной суммой. Так, на предприятиях порой использовалось устройство для печати чека, которое либо не являлось кассой, либо не соответствовало закону: аппарата не было в реестре ККТ, или в нем отсутствовали необходимые элементы, или было изменено программное обеспечение. Нередко мошенничество подразумевало наличие второй, «черной» кассы для осуществления расчетов в обход основной, «правильной».

В итоге покупатели получали чек с достоверной информацией, но он не фиксировался в системе и не предъявлялся к учету на предприятии торговли. Проверить же подлинность такого чека у потребителя не было возможности.

Сейчас все изменилось. Сканируя QR-код с чека, покупатель инициирует проверку его подлинности в мобильном приложении от ФНС сразу по восьми параметрам:

• регистрационному номеру кассы;

• дате совершения расчета;

• времени совершения расчета;

• сумме расчета;

• фискальному признаку документа (чека);

• признаку расчета;

• заводскому номеру фискального накопителя;

• порядковому номеру фискального документа.

Если чек не проходит проверку, приложение сообщает об этом покупателю, и тот может одним кликом отправить эту информацию в ФНС. Кроме того, приложение позволяет потребителю оперативно уведомить налоговую о некорректном оформлении чека, скажем, о частичном отражении в нем приобретенных товаров.

Еще одно распространенное нарушение: «скручивание» памяти в кассе, позволяющее занизить выручку, а значит, уменьшить налогооблагаемую базу. Достигалось это изменением программного или программно-аппаратного состава ККТ силами технических специалистов. Недекларируемые возможности закладывали в свои устройства и сами производители оборудования – это помогало им увеличить объемы реализации товара. Теперь же система защищена на трех уровнях: в самой кассе, на стороне ОФД и на стороне ФНС – с помощью более современной системы шифрования, соответствующей требованиям ГОСТ Р 34.12 2015, а также ФСБ России к средствам криптографической защиты фискальных данных в контрольно-кассовых машинах класса К1. Если кто-то все-таки сумеет подкрутить данные в кассе, то на стороне ОФД или ФНС это будет обнаружено и чек не пройдет проверку. Защита от недекларированных возможностей отслеживается на этапе сертификации кассы в экспертной организации. Кроме того, проводится оценка влияния в ФСБ РФ. Для защиты от выпуска дублирующей продукции или контрафакта ФНС ведет реестр экземпляров касс и фискальных накопителей.

При передаче данных по общедоступным телекоммуникационным сетям связи возникают риски нарушения целостности фискальных данных и перехвата конфиденциальной информации. Для обеспечения сохранности данных и предотвращения их утечки третьим лицам в системе криптографической защиты (фискальном накопителе, ОФД, ФНС) предусмотрен режим по шифрованию передаваемой информации. Чтобы предотвратить нарушение целостности данных, был разработан протокол взаимодействия между ККТ и информационной (автоматизированной) системой ОФД, между ОФД и системой ФНС. Основными требованиями к протоколам стали:

• асинхронные процессы выдачи чеков и передачи фискальных данных в ОФД;

• завершение передачи данных подтверждением от ОФД;

• передача кассой данных в ОФД до завершения их приема;

• защита квитанции, отправленной ОФД;

• аутентификация источника данных;

• гарантия целостности и конфиденциальности сообщений;

• обеспечение протоколирования событий;

• поддержка версионности протокола.

Онлайн-кассы станут важным элементом в системе учета продаж маркированной продукции, обеспечивая дополнительную защиту прав потребителей.

Перспектива развития внедрения онлайн-касс

Эксперты рынка полагают, что внедрение онлайн-касс, позволит увеличить объемы налоговых поступлений в бюджет. Поводом для такого оптимизма являются, в частности, результаты маркировки меховых изделий в России. Менее чем за год, с момента запуска системы чипирования, легальный оборот соответствующих товаров, по данным ФНС, увеличился в пять раз.

Со временем онлайн-кассы будут для государства не только инструментом контроля над сбором налогов, но и важным инструментом в системе учета продаж маркированной продукции, обеспечивая дополнительную защиту прав потребителей. Повысится ответственность населения, его вовлеченность в контроль над продажами. Это позволит вывести из тени еще больше недобросовестных предприятий, изменит привычное ведение бизнеса и в целом будет способствовать оздоровлению экономики, а также упростит коммуникацию между всеми участниками рынка торговли.