PostLink odgovorio Rakaru: ‘Nije naš posao loviti Pere Djetliće’

Tvrtka PostLink, koja upravlja servisom za razmjenu digitalnih računa Sveračun, reagirala je na blog-post Marka Rakara, stručnjaka za računalnu sigurnost, pod naslovom ‘Sigurnost fiskalizacije 2.0 – Mračni blog’, koji su prenijeli brojni mediji, a u kojem je upozorio na nepostojanje minimalnih sigurnosnih standarda za informacijske posrednike u sustavu e-računa.

Naime, u svojoj objavi Rakar je naveo da se registrirao na dva servisa, među njima i na Sveračun, koristeći privremenu e-mail adresu i bilo koji proizvoljan OIB, uključujući i OIB brisanog subjekta. Potom je, predstavljajući se kao ‘Pero Djetlić’, generirao i poslao e-račun kako bi pokazao da se identitet korisnika ne provjerava. Tvrdio je da mu je u oba slučaja bilo omogućeno slanje računa ‘bez ikakve naknadne provjere’.

U svom odgovoru na Rakarove navode iz PostLinka su istaknuli da je točno da se na Sveračun moguće prijaviti jednostavno, jer je servis namjerno razvijen tako da korisnicima omogući brz pristup i jednostavno poslovanje.

Potvrdili su i da je tehnički moguće poslati račun koristeći lažne podatke, ali naglašavaju da to nije specifično za digitalne posrednike jer je i danas moguće poslati račun e-mailom, poštom ili osobnom dostavom, neovisno o tome jeste li registrirani subjekt ili se predstavljate kao Pero Djetlić, ime koje je Rakar koristio prilikom registracije. Informacijski posrednici, navode, jednako kao Google ili Hrvatska pošta, nemaju zakonsku ovlast provjeravati poslovne odnose između pošiljatelja i primatelja niti provjeravati istinitost svakog računa.

Plaćanje računa je odgovornost primatelja

Iz PostLinka naglašavaju da je provjera vjerodostojnosti i ispravnosti računa uvijek na primatelju, a ne na posredniku. Ako bi netko bez provjere platio račun subjektu s kojim nikada nije poslovao, smatraju da bi to bila isključivo odgovornost primatelja, a ne posrednika koji je račun dostavio.

Tvrtka objašnjava da je Rakarov eksperiment moguć zato što Fiskalizacija 2.0 još nije na snazi, a tek od 1. siječnja 2026. mijenjaju se pravila autentifikacije i sigurnosni zahtjevi.

U tom kontekstu naveli su i tehnički opis postupka koji će vrijediti u novom sustavu fiskalizacije:

- Proces registracije započinje odabirom informacijskog posrednika. Potpisivanjem ugovora o poslovnoj suradnji između tvrtke i informacijskog posrednika realizira se prvi korak njihove međusobne poslovne suradnje. Na temelju tog prvog koraka informacijski posrednik prosljeđuje informaciju o svojem novom korisniku Poreznoj upravi, iz koje nakon toga šalju poveznicu na službenu e-mail adresu tvrtke navedenu na trgovačkom sudu te pozivaju ovlaštenu osobu da u aplikaciji Porezne uprave odabere informacijskog posrednika kojem dodjeljuje ulogu zaprimanja fiskaliziranih računa. Za zaprimanje e-računa može biti odabran samo jedan informacijski posrednik. Nakon toga korisnik odabire jednog ili više posrednika preko kojih će slati svoje izlazne račune te realizirati proces fiskalizacije i e-izvještavanja - naveli su iz Postlinka.

Ne plaćajte Peri Djetliću

Poručili su  i da se ‘od 1. siječnja odabir i sigurnosna potvrda informacijskog posrednika događa na platformi Porezne uprave, čime se jamči sigurnost unosa i potvrde posrednika’ te da ‘Sveračun korisnicima već sada nudi dodatni element sigurnosti kroz 2FA autentifikaciju’.

Svoju reakciju završili su ironičnom napomenom upućenom korisnicima: ‘Dobili smo informaciju da Pero Djetlić šalje račune tvrtkama pa koristimo priliku da upozorimo poduzetnike - ako dobijete račun na kojem je kao pošiljatelj naveden Pero Djetlić, ne plaćajte ga! U pitanju je vjerojatno prevara.’

Podsjetimo, Rakar je u svojoj objavi među ostalim upozorio da računi sadrže poslovno osjetljive podatke te da bi kompromitacija informacijskog posrednika mogla omogućiti uvid u tokove poslovanja ili čak potencijalne manipulacije, poput promjene IBAN-a.Istaknuo je da postojeći propisi za posrednike ne uključuju obvezne sigurnosne standarde te da je, po njegovom mišljenju, to ozbiljan sustavni propust u dizajnu nadolazećeg režima fiskalizacije. Podsjetio je da je tijekom eSavjetovanja o fiskalizaciji predlagao uvođenje minimalnih tehničkih sigurnosnih uvjeta, osobito u kontekstu obveza koje proizlaze iz NIS2 direktive, no da su ti komentari odbijeni. Rakarova objava otvorila je intenzivnu raspravu o tome gdje završava odgovornost informacijskih posrednika, a gdje počinje odgovornost korisnika i regulatora.