Po naszych publikacjach Ministerstwo Finansów podjęło działania uszczelniające logowanie do nowej usługi.
To słuszny krok – mówią eksperci, ale zgodnie twierdzą, że system autoryzowania dostępu za pomocą danych podatkowych zawsze będzie obarczony pewnym ryzykiem.
– Całkowicie bezpieczny jest wyłącznie sposób logowania za pomocą profilu zaufanego – uważa Marek Kwietko-Bębnowski, doradca podatkowy.

Wąskie gardło

Wprowadzenie nowych zabezpieczeń to reakcja na nasze artykuły: „Wytrych zwany Twój e-PIT”, „Twój e-PIT umożliwia dostęp do tajemnicy skarbowej” (DGP nr 36/2018) oraz „Fiskus uszczelni, UODO żąda wyjaśnień” (DGP nr 37/2018).
Dla przypomnienia, ujawniliśmy, że przyjęty początkowo przez MF sposób logowania do systemu, oparty tylko na dwóch danych podatkowych (tj. łącznej kwocie przychodów z 2017 r. i jednym przychodzie z 2018 r.) pozwala na wgląd do rocznych PIT osobom trzecim, czyli np. pracodawcom (w pewnym zakresie także byłym), kadrowym, księgowym). Co gorsza – możliwa jest ingerencja w cudze zeznanie podatkowe.
O tym, że takie działania mogą być uznane za przestępstwo informowaliśmy w artykule „Luka w Twój e-PIT istnieje, ministerstwo podjęło działania” (DGP nr 37/2018).

Kolejny element

System jest już poprawiany. Od czwartku działa dodatkowy element autoryzacyjny – kwota nadpłaty lub podatku do zapłaty z deklaracji za 2017 r. Słowem, nie wystarczy wpisać tylko łączną kwotę przychodów z 2017 r. i jeden przychód z 2018 r. Konieczne jest podanie jeszcze jednej kwoty.
– Dodatkowy parametr w postaci kwoty nadpłaty lub niedopłaty podatku za 2017 r. na pewno ograniczy ryzyko dostępu osobom nieuprawnionym do zeznań innych podatników – komentuje Marek Gadacz, partner, doradca podatkowy w CRIDO.

Skąd go wziąć

Wiele osób pyta jednak, co mają zrobić, gdy nie pamiętają wykazanej kwoty dopłaty lub niedopłaty podatku, bo np. składali w 2017 r. zeznanie elektronicznie.
Jak tłumaczy Paweł Jurek, rzecznik prasowy Ministerstwa Finansów, przypomnienie sobie takiej informacji nie powinno być problemem. – System e-Deklaracje opiera się na aplikacji, która wymagała instalacji na domowym komputerze, a podatnik ma wgląd do zeznań składanych nawet wiele lat wstecz – przypomina rzecznik.
Dodaje, że nie jest to jedyny sposób sprawdzenia kwoty żądanej przy logowaniu. – Jeżeli podatnik robił przelew z banku do urzędu skarbowego lub otrzymał tą samą drogą zwrot podatku, to wystarczy sprawdzić kwotę w historii operacji – podpowiada Paweł Jurek.

Ryzyko pozostaje

Zdaniem ekspertów nowy element nie wyeliminuje ryzyka w stu procentach. Nadal pozostanie teoretyczna możliwość przechwycenia danych i nieuprawnionego logowania się w usłudze.
– Można wyobrazić sobie sytuację, w której ktoś postronny, mając dane z PIT-11 za 2017 r., poprawnie wyliczy podatek do zapłaty lub zwrotu i uzyska wgląd w zeznanie podatnika – mówi Marek Gadacz.
Tego samego zdania jest Piotr Liss, doradca podatkowy, partner w RSM Poland. – Jeśli pracownik w 2017 r. nie korzystał z żadnych ulg i odliczeń, wspólnego rozliczenia z małżonkiem i nie miał innych płatników, to w takim wypadku wyliczenie kwoty do zapłaty czy zwrotu za 2017 r. nie przedstawia np. pracodawcy większego problemu – stwierdza doradca.

Profil zaufany

Według ekspertów najbezpieczniejsze wydaje się pozostawienie tylko profilu zaufanego e-PUAP jako wyłącznego sposobu dostępu do usługi Twój-ePIT.
Ministerstwo Finansów raczej jednak tego nie przewiduje – wynika z naszych informacji. Zostanie natomiast uruchomiona dodatkowa funkcjonalność, polegająca na możliwości wskazania – przez samego podatnika – profilu zaufanego jako wyłącznego sposobu dostępu do usługi.
Paweł Jurek wyjaśnia, że resort nie chce całkowicie rezygnować z możliwości dostępu do systemu z użyciem danych podatkowych. Powód – profil zaufany posiada stosunkowo niewielki procent osób.
– Zależy nam natomiast na tym, aby z usługi Twój e-PIT mogła korzystać jak największa liczba podatników – mówi Paweł Jurek. Resort ma obawę, że pozostawienie tylko profilu zaufanego wykluczyłoby z dostępu do usługi wielu z nich.
– Każdemu, kto posiada profil zaufany, chcemy jednak dać możliwość wyboru i wskazania profilu zaufanego jako jedynego sposobu dającego dostęp do konta w systemie Twój e-PIT – podkreśla Paweł Jurek.
Argumentację resortu rozumie Marek Kwietko-Bębnowski.
– Chcąc upowszechnić usługę dla jak najszerszego grona podatników, także tych niekorzystających z profilu zaufanego, musimy chyba pogodzić się z tym, że nigdy nie osiągniemy pełnej poufności danych przy alternatywnych sposobach logowania do systemu – mówi ekspert.

Dane o logowaniach

Usługa Twój e-PIT zostanie rozszerzona o jeszcze jedną nową funkcję - historię logowania. Pozwoli ona użytkownikowi zobaczyć wszystkie próby wejścia do systemu. Informacje będą zawierać m.in. dokładne daty i czas oraz sposób i miejsce (region, miasto), z którego nastąpiło logowanie.
– Wszystkie dodatkowe funkcjonalności z pewnością ograniczą zapędy nieuczciwych osób do wglądu w zeznania innych podatników – komentuje Piotr Liss.
Uważa jednak, że Ministerstwo Finansów powinno ujawnić instytucję, która dokonując audytu usługi Twój e-PIT, przepuściła tak wielką lukę.
– Kładzie się to cieniem na wszystkich e-usługach oraz danych przechowywanych przez MF. Wciąż otwarte pozostają pytania, czy nasze dane są faktycznie bezpieczne i czy instytucja certyfikująca weryfikowała także inne systemy – zastanawia się Piotr Liss.
Chcąc zobaczyć swoje zeznanie na Portalu Podatkowym, trzeba dodatkowo wpisać nadpłatę lub niedopłatę za 2017 r.