Uvođenje eRačuna kao obveznog elementa fiskalizacije u novom nacrtu Zakona o fiskalizaciji dočekano je s velikim interesom i prepoznato kao značajan korak u borbi protiv sive ekonomije. Čak je i oporba pozdravila ovaj prijedlog, ističući njegove potencijale za povećanje transparentnosti i učinkovitosti poslovanja. Ipak, unatoč širokoj podršci digitalizaciji, nacrt Zakona sadrži ozbiljan propust koji bi mogao imati dalekosežne posljedice po sigurnost sustava i korisnika. Na to upozorava predsjednik Uprave servisa mojeRačun, Marko Emer, koji ističe kako zakonodavac nije predvidio obveznu policu osiguranja profesionalne odgovornosti za pružatelje IT usluga, kao ni policu osiguranja od cyber napada. Bez tih ključnih sigurnosnih mehanizama, digitalna infrastruktura ostaje ranjiva, a krajnji korisnici izloženi potencijalnim financijskim i pravnim rizicima.

U Saboru smo od zakonodavca čuli što se očekuje od Fiskalizacije 2.0, ali i što od novog zakona mogu očekivati poduzetnici, između ostaloga to je ozbiljno administrativno rasterećenje kroz ukidanje brojnih poreznih obrazaca. O čemu je ovdje riječ u praktičnom smislu, uvode li se neke obveze koje poduzetnici do sada nisu imali?

Glavna obveza je potpuna zamjena papirnatih računa strukturiranim elektroničkim računom, uz tek poneku iznimku koja je izrijekom propisana. Poduzetnici će s 1. siječnja 2026. godine razmjenjivati eRačune čak i za plaćanja putem PayPal-a ili drugih servisa, a da bi to mogli u razdoblju od 1. rujna do 31. prosinca 2025. godine moraju odabrati informacijskog posrednika i način dostavljanja i fiskalizacije eRačuna. Novost je i to da se uvodi jedinstvena klasifikacija roba i usluga na razini cijele Hrvatske, a za nepravilnu primjenu predviđene su kazne. Preporuka je nas informacijskih posrednika, ali i zakonodavca, da se s pripremom za uvođenje eRačuna krene odmah kako bi se smanjio pritisak na sustav u rujnu i početkom godine kad krene primjena.

Zakon uvodi široku obvezu razmjene eRačuna i definira uspostavu centralnog adresara u koji će obveznici eRačuna upisivati svoje pristupne točke. Riječ je o novom pojmu pa možete li objasniti što je pristupna točka i što se konkretno očekuje od poreznih obveznika vezano uz nju?

Prema definiciji iz Zakona, pristupna točka je porezni obveznik ili informacijski posrednik koji ispunjava sve tehničke uvjete za razmjenu eRačuna i/ili fiskalizaciju eRačuna, kao i eIzvještavanje ili uslugu metapodatkovnih centara. U praksi, svi porezni obveznici razmjenjivat će eRačune putem pristupnih točaka koje su obvezne omogućiti sigurnu razmjenu podataka između izdavatelja i primatelja eRačuna tako da osiguraju standardizirane formate, protokole i interoperabilnost između različitih sustava. Pojednostavljeno, servis mojeRačun (MER) kao pristupna točka svojih korisnika posredovat će eRačune primateljima na drugu (ili vlastitu) pristupnu točku osiguravši pritom da su usklađeni s EU normom, potpisani aplikativnim certifikatom i ovjereni vremenskim žigom, odnosno potpuno usklađeni sa Zakonom o fiskalizaciji.

Hoće li informacijski posrednici nuditi usluge fiskalizacije u sklopu postojećih usluga koje su, barem trenutno, uglavnom besplatne za primatelje ili i tu možemo očekivati promjenu tržišnog pristupa?

Stupanjem na snagu Zakona o fiskalizaciji nema više onih subjekata koje trenutno zovemo samo „primatelji“. Ovdje, naravno, ne govorimo o B2C i krajnjem kupcu, iako će i oni primati eRačune. S novim Zakonom eRačun neće imati alternativu i od 1. siječnja 2027. godine obuhvatit će i paušalne obrtnike u smislu obveze slanja, no zaprimanje postaje obvezno za sve stupanjem na snagu, što znači da će se svi subjekti morati upisati u Evidenciju obveznika fiskalizacije, odabrati pristupnu točku putem koje će zaprimati i slati eRačune te, u konačnici, uspostaviti eArhiv. Već dugo upozoravamo da se eRačuni čuvaju u izvornom XML formatu u sigurnom i kontroliranom eArhivom, što je sada dodatno propisano kao obveza zamjene papirnate arhive elektroničkom. Poslovni subjekti mogu je uspostaviti i sami, uvažavajući stroge uvjete očuvanja vjerodostojnosti pošljatelja, cjelovitosti sadržaja i nepromjenjivosti, ili je ugovoriti zajedno s uslugom eRačuna za nekoliko eura mjesečno, što je posebice prihvatljivo za male poduzetnike koji nemaju vlastite servere i uspostavljene stroge protokole informacijske sigurnosti.

Struka već duže vrijeme upozorava na veliku razliku između informacijskih posrednika na tržištu, primarno što se tiče sigurnosti i kvalitete usluge. Prema predstavljenom Zakonu o fiskalizaciji, odgovornost posrednika bit će i veća nego do sada, no u samom nacrtu Zakona nisu detaljno propisani uvjeti provedbe informacijske sigurnosti. Je li riječ o propustu s obzirom na to da su kibernetički napadi svakodnevna pojava, odnosno hoće li korisnici biti zaštićeni od propusta informacijskih posrednika s obzirom na to što je trenutno propisano predloženim Zakonom?

DIZAJN BUDUĆNOSTI

Od ideje do utjecaja: Kako obrazovanje u dizajnu stvara generaciju vizualnih inovatora

E-mobilnost bez prepreka

Revolucija u punjenju električnih vozila: Charge Pro donosi pametnu kontrolu i uštedu za tvrtke

Zakonom je propisano da odobreni informacijski posrednici moraju posjedovati važeći certifikat ISO/IEC 27001 koji potvrđuje da je uspostavljen sustav upravljanja informacijskom sigurnošću i zaštita podataka od neovlaštenog pristupa i manipulacije. Propisana je i obveza provedbe testa sukladnosti i dostava dokumentacije o mjerama zaštite osobnih podataka, upravljanju sustavima i opsegu usluga koje pružaju. Što se tiče provedbe mjera kibernetičke sigurnosti, navodi se kako će se provjeravati je li informacijski posredni usklađen s odredbama propisa o kibernetičkoj sigurnosti. Međutim, ono što smatram spornim je izostanak odredbe o obveznom osiguranju od profesionalne odgovornosti ili, još važnije, police za zaštitu od cyber napada. Imamo situaciju gdje će stotine tisuća uređaja putem pristupne točke biti povezane s najvažnijim financijskim informacijskim sustavima u državi, a istovremeno ne uvjetujemo informacijskim posrednicima spremnost da osiguraju pokriće za kibernetičke rizike i štete povezane s obradom i zaštitom podataka. Liječnik ili odvjetnik moraju imati policu profesionalne odgovornosti i to se ne ostavlja na procjenu klijentu. U ovom slučaju, tvrtke bi trebale procijeniti koji je informacijski posrednik pouzdan i radi li prema pravilima struke, što je rizik koji se ne smije dopustiti jer mnogi od njih nisu nikada ni poslali eRačun. Osim toga, Europska unija propisuje obvezu police profesionalne odgovornosti radi zaštite potrošača i stabilnosti tržišta za mnoge profesije i sektore, između ostaloga i za pružatelje platnih usluga kao što je MER, pa se bez police osiguranja nismo mogli upisati u Registar pružatelja platnih usluga  i izdavatelja elektroničkog novca. S obzirom na količinu podataka koji će se svakodnevno prenositi u sustave Porezne uprave, a ovdje govorimo o računima vrijednim stotine milijardi eura jer se samo putem MER-a mjesečno „prebaci“ eRačuna vrijednih oko četiri milijarde, pitanje je tko će snositi odgovornost ako se dogodi cyber napad. Oko sigurnosti ne bi trebalo biti debate jer smo u nedavnoj prošlosti imali prilike vidjeti da nema neprobojnih sustava kada su „padale“ tvrtke poput INA-e i nekih banaka. Prema trenutnom nacrtu, odgovornost je na korisniku, što je ozbiljan sigurnosni propust jer mnogi još ne razumiju ni što je informacijski posrednik, a kamoli jesu li njihovi podaci u eArhivu sigurni. Kad Zakon stupi na snagu, poduzetnici će većinom gledati kako proći najjeftinije, neće birati po kvaliteti usluge i razini sigurnosti koju pruža jer ne razumiju, niti bi trebali razumjeti, procese koje informacijski posrednik mora provoditi. Nažalost, mnogi će shvatiti ozbiljnost problema tek kada ostanu bez svojih podataka. Podsjetit ću da mi već 12 godina podsjećamo na obvezu eArhiva, a barem 65% naših korisnika je još prošli mjesec „printalo“ svoje račune. To vam je pokazatelj kakva je razina svjesnosti na tržištu i koliko je ozbiljan problem prepustiti tvrtkama odabir sigurnog informacijskog posrednika koji posluje po najvišim sigurnosnim standardima.

Kod eRačuna u javnoj nabavi sporilo se oko toga treba li državna financijska agencija sudjelovati u tržišnoj utakmici, a s novim Zakonom o fiskalizaciji stiže još jedan „informacijski posrednik“ koji se stvara javnim sredstvima. Riječ je Poreznoj upravi i aplikaciji MIKROeRačun. Je li se moglo donijeti učinkovitije rješenje od ovog, kako su već neki stručnjaci komentirali, „državnog monopola“?

Idealno rješenje bi bilo da svi na tržištu rade svoj posao, što je struka već elaborirala na primjeru Centralne platforme i nepoštene tržišne utakmice. Ovdje je problematično da je nadzorno tijelo ujedno i pružatelj usluge pa se postavlja pitanje gdje je granica u ovlastima. Osim toga, hoće li novi informacijski posrednik nabavljati usluge povjerenja (certifikate) po istoj cijeni kao i ostali informacijski posrednici ili će i tu imati prednost? To su pitanja na koja ćemo ubrzo dobiti odgovor. Vjerujem da se kroz neki oblik vaučera, poput onih za digitalizaciju MSP-a, ili kroz središnju nabavu ne bi narušavalo tržišno nadmetanje i stvarali novi državni monopoli koji će se morati financirati sredstvima iz državnog proračuna.

Kako se informacijski posrednici pripremaju za Zakon? S obzirom na to da je MER integriran u gotovo sve računovodstvene programe na tržištu, jeste li već započeli koordinaciju s proizvođačima kako biste poduzetnicima i računovodstvenim servisima olakšali potpuni prijelaz na eRačun? Jeste li definirali svoju ulogu u prilagodbi novom Zakonu, odnosno što korisnici mogu očekivati od vas, a što će ipak morati sami poduzeti?

MER sustav u potpunosti je spreman za Zakon o fiskalizaciji tako da poduzetnici mogu već danas isprobati slati eRačune iz svojih računovodstvenih programa ili isprobati besplatnu aplikaciju za slanje eRačuna Kreiraj te siguran i kontroliran eArhiv.