Про програмні РРО і загрози національній безпеці

Тема застосування касових апаратів (реєстраторів розрахункових операцій, або РРО) є однією з найпопулярніших у діалозі з владою для бізнесу, особливо малого. Восени 2019 року відбулася масштабна законодавча зміна - були прийняті закони, які зробили застосування РРО обов'язковим для суб'єктів господарювання на спрощеній системі оподаткування, обліку і звітності (спрощенців, переважна більшість з яких є фізичними особами-підприємцями, ФОПами. Після декількох відтермінувань, через поступове розширення сфери застосування, РРО стали обов'язковими для більшості ФОПів, які реалізують товари і надають послуги. Весь цей процес супроводжувався обіцянками влади (перш за все - депутатів, Мінфіну, ДПС) про те, що на додаток до класичних дорогих, складних і забюрократизованих РРО з'являться нові, програмні, які підприємцям можна буде просто встановлювати на свої смартфони, реєструвати за простою процедурою в податковій і без всяких додаткових витрат спокійно працювати. Було обіцяне якісне безкоштовне рішення - програмний РРО від податкової.

Одночасно підприємцями, експертами, за участі ДПС, була зроблена важлива робота: був розроблений і в березні 2020 року опублікований на сайті ДПС детальний опис відкритого програмного інтерфейсу (API) взаємодії з фіскальним сервером контролюючого органу (ФСКО), центральним елементом системи, з яким могли б працювати програмні РРО від незалежних розробників. Стали з'являтися такі розробки, почалося тестування, з 20 квітня 2020 вся система почала потроху працювати.

За чотири роки, які минули з того часу, відбувались різні зміни, частина з яких були позитивні (наприклад, уточнення і скасування ряду застарілих норм, які не стосуються програмних РРО, а також відміна чотирьох штрафів за тематикою РРО, які залишилися з минулого), але були і відверто шкідливі (наприклад, запровадження товарного обліку для спрощенців, який став підставою для найбільшої кількості накладених штрафів по РРО за останні три роки). Але, можна стверджувати, що програмні РРО працюють, кількість їх вже значно перевищує кількість старих РРО, варіанти програмних РРО можна знайти на будь яку потребу - від простенького безкоштовного рішення від ДПС до повноцінних сучасних рішень, які інтегрують з програмним РРО платіжний термінал для сплати банківською карткою, і ще більш потужні системи, які застосовують торговельні мережі та платіжні системи для формування значних потоків чеків як для власної мережі, так і (наприклад) для великих Інтернет-магазинів.

Старі РРО стали стрімко втрачати велику частину ринку, їх виробники невгамовно боролися всі останні роки і продовжують боротися зараз проти програмних РРО, відшукуючи будь які можливості зупинити прогрес. Тут можна згадати історію самих касових апаратів, паперову контрольну стрічку, поступовий перехід на цифрові рішення, і власне головну суттєву особливість старого РРО - роботу без постійного зв'язку з центральними серверами податкової. Так вони спроектовані, бо в 1995 році в Україні (і в світі) не було не тільки смартфонів, не було ні швидкісного мобільного зв'язку, ні широкосмугового Інтернету, все це з'явилося значно пізніше. Звичайно, технічний прогрес, нові можливості ведуть до зміни технологій. Автівки витісняють волів і кінні брички, тепер кататися на конях і в каретах - це хобі і розвага, але ніяк не базова виробнича чи сервісна потреба. Електронна пошта витіснила телеграф (в Україні припинення надання послуг телеграфу відбулося 1 березня 2018 року). Те саме відбувається і з РРО - зручні, прості, недорогі чи безкоштовні програмні РРО тіснять стару технологію, і цей процес неминучий. Але не безболісний.

Прихильники старих РРО (їх виробники, які стрімко втрачають доходи) захищаються, як можуть. Нарешті спроміглися. В програмних РРО була знайдена «загроза національній безпеці». Міністерство фінансів сплатило КПІ 260 тисяч гривень платників податків за проведення дослідження програмних РРО на предмет ризиків, які вони містять. На жаль, прочитати це дослідження ні розробникам програмних РРО, ні експертам, ні підприємцям ніяк не вдасться. КПІ і Мінфін вирішили засекретити це дослідження, воно має гриф «для службового користування», і просто не доступне. На базі цього дослідження Мінфін створив робочу групу, до якої увійшли переважно працівники самого Мінфіну (включаючи аж двох заступників міністра), ДПС, і п'ятеро невідомих представників СБУ (в наказі про створення робочої групи немає ні посад, ні прізвищ, просто п'ять разів написано «Служба безпеки України (за згодою)». Цікаво, що Мінфін запрошує надати пропозиції по подоланню загроз, тільки… Тільки самі загрози - невідомі. Не сформульовані для відкритого обговорення. Не опубліковані. Як і що можна запропонувати - залишається лише здогадуватись. До речі, таке засекречування викликало справедливе публічне обурення деяких народних депутатів, але це ні до чого не призвело.

Спостерігаючи за розвитком подій і за діяльністю робочої групи Мінфіну-СБУ, спостерігаючи за полемікою, за уривками і відлуннями обговорень, можна зробити висновок, що «загрозу національній безпеці» дослідники знайшли в «режимі офлайн» програмних РРО. Стверджується, що зловмисний підприємець може видавати чеки в режимі офлайн, а потім не передавати їх в ДПС, або передавати фальшиві чеки (наприклад, не на повну суму). А от на старих РРО так начебто не можна, бо «все дуже захищено». І тут же вже починаються пропозиції:

• Заборонити програмні РРО всім, крім спрощенців;

• Заборонити програмні РРО при торгівлі підакцизними товарами;

• Заборонити офлайн на програмних РРО взагалі;

• Повернути ведення паперових книг обліку розрахункових операцій і підклеювання в них звітних чеків.

Цікаві пропозиції, які заслуговують на увагу. Перші дві - чиста боротьба виробників старих РРО за повернення своїх виробів на ринок, за свою долю. Але тут можна згадати, що у нас в Україні є такий сегмент, де законом напряму заборонено застосування програмних РРО - це продаж пального на АЗС (і там працюють виключно старі РРО, вартістю по 75 тис. грн кожен). Можливо, на ринку пального немає зловживань? Всі чеки видаються? Відсутні фальшиві чеки? Тут точно немає ніяких «загроз національній безпеці»? Виявляється, що все набагато гірше: бо «дослідження КПІ» начебто досліджує якісь «потенційні можливості», а профільний комітет парламенту - регулярно збирається і розглядає масові зловживання на ринку пального, і більше половини часу приділяє саме фальшивим чекам, невидачі чеків, зловживанням в секторі, де застосовуються виключно старі РРО, а не програмні. Втрати депутати комітету вголос оцінюють на рівні ста мільярдів гривень на рік. Критикують податкову, ДФС (коли вона ще існувала), БЕБ, силовиків, голова комітету показує чеки (видані старими РРО), але з 2019 року так нічого і не змінилося, зловживання (масові і справжні, а не «потенційно можливі») - всі так само продовжуються. Тобто, «старі РРО» ніякі загрози і вразливості не долають.

Повністю те саме можна сказати і про книги ОРО. Вони вже були обов'язкові. І підклеювання чеків було обов'язкове. Це нічому не допомагало, просто був ще один об'єкт перевірки - підклеєний чек чи ні, чи він вже вицвів чи ще щось видно, і чи не надрукований цей чек після опівночі, на наступний день (це теж було «велике порушення»). Тобто, що в тому звітному чеку, чи всі чеки видані - не можливо було перевірити, фальсифікуєш і ухиляєшся - головне було правильно все підклеїти.

Нарешті, щодо повної заборони офлайну. Тут взагалі якесь шарахання від депутатів. Закон про застосування РРО чітко обмежує офлайн, надаючи право використовувати його виключно у разі відсутності зв'язку програмного РРО з фіскальним сервером, в межах 168 годин на місяць. Депутати зняли це обмеження на період воєнного стану, звичайно ж, кілька великих мереж почали масово застосовувати режим офлайн просто тому, що він працює швидше і черга на касі рухається без затримок, і от тепер виникає ідея заборонити цей режим взагалі, замість повернутися до розумного обмеження в часі і контролювати мережі, які зловживають офлайном. Спортивний коментатор, напевне, тут би вигукнув: «Ні, такі пропозиції - нам не потрібні!», і був би абсолютно правий.

Можемо перейти до опису реальних невигаданих проблем. Перша і головна - неефективність використання наявних ресурсів на державному боці. Ні триста податківців, ні триста бебівців, ні навіть триста надпотужних спартанців в масштабах країни не зможуть побороти зловживання, так само як і просто видача чеків. Для реального зрушення потрібні додаткові заходи.

Перш за все, повинна працювати аналітична система. Чеки мають не просто надходити до серверів ДПС і складатись там, з максимально можливими операціями «переглянути вручну» або «сформувати якийсь витяг вручну». Має працювати справжня аналітика, по обсягах, по об'єктах, по мережах, в динаміці, в порівнянні, у взаємодії з іншими даними, які є у ДПС (наприклад, СЕАПДВ), у митниці, інших державних структур. На основі такого аналізу має формуватись справжній реальний зважений перелік ризиків і ризикових точок, яких має бути стільки, скільки зможуть опрацювати податківці наявними ресурсами. Не 80% всіх підприємців мають бути ризиковими, і об'єктами для візитів мають бути не перукарні і кафешки, що дуже люблять податківці (а потім скаржаться, що їх не вистачає). Ніякої справжньої аналітики - просто немає, незважаючи на періодичні доручення і обіцянки її зробити до кінця чергового року.

Наступний важливий компонент - це громадський контроль. Сьогодні у покупця є можливість перевірити чек, але після цього не можна зробити нічого - заклики «присилати в телеграм» це щось зовсім несерйозне. Немає справжнього чеку - має бути можливість направити скаргу/звернення через електронний кабінет або додаток «Моя податкова», з обліком, реакцією, повним логом того, що ж далі відбулося. Цього також немає. Це не про лотерею і не про кешбек, які тим більше не можуть запрацювати, поки немає сформованого каналу нормальної подачі звернень щодо невидачі чеків. Якщо з 600 млн чеків, які зараз видаються щомісяця (можна припустити, що десь 400 млн - не видаються, або не потрапляють в податкову) громадянами буде перевірено лише 0, 001% - це буде вже більше, ніж можуть перевірити всі 300 касовиків-податківців.

Важливо також зняти всі сумніви і припинити спекуляції навколо питання, що фіскальний сервер податкової працює незадовільно. Для цього потрібно, щоб він дійсно працював якісно, безперервно, з мінімальними затримками і помилками, і щоб в цьому можна було пересвідчитися користувачам: онлайнова статистика роботи фіскального сервера має бути публічно доступна (і робота в цьому напряму вже ведеться). Це стосується як власне самого фіскального сервера, так і іншої інфраструктури, які задіяна в процесі фіскалізації, зокрема АЦСК (чеки підписуються як з боку програмного РРО, так і з боку фіскального сервера). Надійна безперервна робота фіскального сервера і публічно доступна статистика його роботи не дозволять обґрунтовувати роботу в офлайні «проблемами на державному боці», зробить використання такого режиму недоцільним.

Можливо, доцільно розглянути додаткові технічні рішення, перейти від підписання кваліфікованим підписом на обмін парами ключів, як це роблять банки і платіжні системи без втрати захисту і надійності, а замість мітки часу застосовувати локальний час фіскального сервера - це зробить непотрібним долучення до процесів АЦСК, тобто підвищить надійність, спростить і значно прискорить обмін чеками.

Завершуючи, доцільно згадати і про старі РРО. Вже можна було б їх значно вдосконалити - відмовитись від застарілої, проблемної і непотрібної «технології НБУ», перевести обмін чеками на пряму взаємодію з серверами податкової. Дивно в 2024 році читати пояснення, що чеки від старих РРО потрапляють в податкову «протягом шести днів», за наявності гігабітних оптоволоконних ліній онлайнових комунікацій. Така затримка унеможливлює миттєву перевірку чеку, як це відбувається при застосуванні програмних РРО, і є потужною підставою для масових зловживань зі старими РРО, які були і до появи програмних РРО, не подолані і досі.

*Дана публікація відображає особисту думку автора і може не збігатися з позицією редакції Think Brave