reklama
Rozliczanie deklaracji podatkowych nie należy do najprzyjemniejszych czynności, jakie muszą wykonywać Polacy. Obecnie, dzięki specjalnym programom, które pozwalają na przekazanie dokumentu i otrzymanie weryfikatorów oraz potwierdzeń, jest to znacznie prostsze i – jak deklarują twórcy narzędzi – bezpieczne. Wygląda jednak na to, że nie zawsze.
Jedna z naszych czytelniczek zasygnalizowała nam problem związany z systemem e-pity. Wedle jej ostatnich doświadczeń, w systemie brakuje weryfikacji adresu e-mail, na który wysyłane jest UPO, czyli Urzędowe Poświadczenie Odbioru stanowiące dowód na przesłanie druku PIT przez internet. Dokument ten zawiera dane takie jak PESEL, adres Urzędu Skarbowego, ID naszej deklaracji oraz jej status. Okazuje się jednak, że za sprawą jednej pomyłki może trafić w niepowołane ręce.
Pomyłka w adresie e-mail – zgłoszenie czytelniczki
Nasza czytelniczka, która nigdy dotąd nie korzystała z systemu e-pity.pl, otrzymała kilka dni temu trzy wiadomości e-mail dotyczące cudzej e-deklaracji. Pierwsza z nich zawierała informację o wypełnieniu dokumentu, godzinę wykonania tej czynności oraz komunikat o wysyłce do systemu e-Deklaracje Ministerstwa Finansów. Druga informowała o negatywnej weryfikacji deklaracji z powodu błędu w danych autoryzacyjnych. Trzecia zaś obejmowała wspomniane już UPO, komunikat o pomyślnej wysyłce i plik w którym znajduje się m.in. PESEL oraz adres Urzędu Skarbowego nieznanej osoby, ID deklaracji oraz jej status. Otrzymaliśmy od niej zrzut ekranu – oczywiście z zamazanymi danymi osoby, na którą wystawiono dokument.
I choć znajdujące się w nim dane mogą nie stanowić dla przeciętnego użytkownika danych osobowych, nigdy nie wiemy do kogo mogła trafić ta wiadomość. Odbiorcom mógł być bowiem np. pracownik kancelarii komorniczej lub straży miejskiej, który może po numerze PESEL ustalić tożsamość osoby.
Problem został zgłoszony przez naszą czytelniczkę na infolinię systemu, gdzie poproszono o usunięcie plików oraz zadeklarowano, że jej adres zniknie z systemu, by nie otrzymywała w przyszłości takich wiadomości. Usłyszała również, że samo UPO jest wysyłane automatycznie, nie przez system e-pity.pl, a Ministerstwo Finansów.
Wydaje się jednak, że nie jest to rozwiązanie tegoż problemu – w takiej sytuacji ktoś mógłby za pomocą swoje adresu e-mail, który najprawdopodobniej został błędnie wpisany, odzyskać dane do konta użytkownika i mieć dostęp do wszystkich danych oraz deklaracji.
Komentarz od e-pity.pl
Poprosiliśmy o komentarz w tej sprawie biuro e-file odpowiedzialne za program e-pity.pl. Przedstawiciel działu Obsługi Klienta potwierdził, że e-maile trafiły do naszej czytelniczki w skutek wpisania błędnego adresu poczty internetowej przez osobę chcącą otrzymać elektroniczne potwierdzenie wysyłki PITu.
Jak czytamy w odpowiedzi:
“W oknie wysyłki e-Deklaracji użytkownicy mogą opcjonalnie wpisać swój adres e-mail, jeśli chcą, żeby na ten adres były wysłane maile ze statusem wysyłki ich deklaracji i z ich odebranym UPO wystawionym przez serwer Ministerstwa Finansów. To jest dodatkowa opcja w naszym programie, gdyż UPO i status e-Deklaracji odbiera się również w samym programie e-pity i są widoczne przy każdej wysyłanej deklaracji”.
Od przedstawicielki Biura Obsługi Klienta dowiedzieliśmy się, że adres mailowy biura pojawia się w polu nadawcy tego typu wiadomości, tylko dlatego, że “serwer jedynie pośredniczy w wysłaniu tego typu maili”. Zapewniono nas, że jeśli pojawiają się podobne sygnały od klientów, dany adres mailowy jest blokowany, aby inna osoba nie mogła już wysyłać w przyszłości takich maili używając tego adresu na swoim komputerze w programie e-pity.
Komentarz rady prawnego
Jak owa sytuacja wygląda w świetle prawa? Według radcy prawnego, Agnieszki Grzesiek-Kasperczyk z kancelarii MyLo – ekspert w dziedzinie ochrony danych osobowych i twórca kursu on-line „RODO w marketingu” – osoba tworząca system e-pity powinna lepiej zadbać o to, by wyeliminować opisaną w powyżej sytuację. RODO w art. 25 wprowadza zasadę tzw. privacy by design, czyli konieczność uwzględniania ochrony danych osobowych już w fazie projektowania.
Art. 25 RODO stanowi:
“Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.”
Wedle Grzesiek-Kasperczyk w opisywanej sytuacji ewidentnie tego zabrakło, ponieważ nie ma żadnego mechanizmu, który zmniejszałby prawdopodobieństwo przesłania obcej osobie danych poufnych (podatkowych) innej osoby przez pomyłkę. Jak twierdzi, ze stanu wiedzy technicznej i standardów funkcjonujących w internecie raczej w oczywisty sposób wynika konieczność zastosowania w takim przypadku modelu double opt-in.
W większości serwisów internetowych, jeśli mamy gdzieś po raz pierwszy podać hasło (ustawić sobie hasło w danej witrynie czy systemie), to wymagane jest jego dwukrotne podanie (aby wyeliminować pomyłkę). Wydaje się, że czasami przy podawaniu adresu e-mail również wymagane jest dwukrotne jego wpisanie. A już na pewno w wielu sytuacjach wymagane jest – jeśli został podany adres e-mail – kliknięcie link potwierdzający, który otrzymujemy na e-mail.
Radca prawny zaznacza, że jeśli już przy czymś tak trywialnym jak zapisanie się na newsletter, branża internetowa jest zgodna, że dobrą praktyką jest model opt-in, to zupełnie nie zrozumiałe jest, dlaczego przy czynności o wiele bardziej doniosłej (składanie PITu), takiego modelu nie zastosowano.
Jakie mogą być konsekwencje takiego błędu?
Ekspert od RODO twierdzi, że w prawdzie otrzymanie przez obcą osobę wyłącznie numeru PESEL wraz z informacją o tym, że została złożona deklaracja podatkowa – raczej nie jest przydatne (tzn. ta osoba raczej nie może tego wykorzystać w żaden sposób), jednak nigdy nie wiemy, „na kogo trafi” – nie wiemy, kto będzie odbiorcą feralnej wiadomości. Być może będzie to osoba, która posiada możliwość przypisania numeru PESEL do konkretnego imienia i nazwiska.
Grzesiek-Kasperczyk podkreśla, że jeśli prawdą jest, że po otrzymaniu opisywanych e-maili odbiorca jest w stanie resetować hasło i w ten sposób uzyskać dostęp do pełnej treści deklaracji podatkowych złożonych przez osobę, która popełniła omyłkę – konsekwencje mogą być bardzo poważne. Dane finansowe nie są wprawdzie w świetle RODO tzw. danymi wrażliwymi (tak jak stan zdrowia, czy preferencje polityczne). W powszechnym obrocie jednak dane finansowe są traktowane jako niezwykle wrażliwe. Ich poufność w opinii eksperta powinna być chroniona w największy stopniu – a w opisanej sytuacji tego zabrakło.
Komentarz specjalisty IT
O kilka słów komentarza poprosiliśmy także specjalistę od zabezpieczeń i IT, który chce pozostać anonimowy. Wedle niego, w przypadku narzędzi powiązanych z tak bardzo wrażliwymi informacjami jak deklaracje PIT, a także z danymi osobowymi, sytuacja w której tego typu maile wysyłane są na cudze adresy jest niedopuszczalna. Podobnie jak radca sprawny, specjalista podkreśla problem pozyskania dostępu do konta.
“A co gdyby spróbowała osoba, do której przypadkowo trafiły wiadomości chciała odzyskać hasło do konta mając przypisany swój adres e-mail do cudzych deklaracji? Tego typu system musi brać pod uwagę, że ludzie popełniają błędy jak np. podanie nieprawidłowego adresu e-mail. System nie powinien więc nigdy domniemywać poprawności danych i przekazywać tak wrażliwych danych bez potwierdzenia przez odbiorcę, iż to on jest właściwym adresatem takiej wiadomości.”
Wyobraża on sobie poprawne działanie systemu na przykład w taki sposób, że użytkownik na ekranie otrzymuje kod jednorazowy, a jednocześnie na podany adres e-mail wiadomość z linkiem aktywacyjnym. Wchodząc na podany adres WWW weryfikuje się przepisując tenże kod jednorazowy i dopiero wtedy otrzymuje poufne informacje na skrzynkę pocztową. Sytuacja jak obecnie jest w opinii specjalisty niedopuszczalna – szczególnie w kontekście, gdy komentarz firmy odpowiedzialnej za system sugeruje, iż może nie być ona jednostkowym przypadkiem. Zadaje on także ważne pytanie – “skoro tego typu zdarzenia zdają się być powtarzalne – pozostaje pytanie: dlaczego nikt z tym jeszcze nic nie zrobił?”.
Miejmy więc nadzieję, że twórcy narzędzia, dla dobra jego użytkowników i bezpieczeństwa danych, rozważą wprowadzenie dodatkowych zabezpieczeń, dzięki którym uda się uniknąć tego typu sytuacji w przyszłości.
Sprostowanie przesłane do redakcji przez firmę e-file:
Odnosząc się do artykułu „Niedokładne zabezpieczenie w systemie e-pity może spowodować otrzymanie cudzych danych osobowych” chcę podkreślić, że usługa wysyłki UPO na adres e-mail osoby wypełniającej deklarację jest usługą dobrowolną, zależną od woli podatnika.
Opisana sytuacja ma miejsce w przypadku pomyłki (literówki) którą popełnia użytkownik wpisując błędny adres zamiast swojego, co skutkuje przesłaniem UPO i TYLKO UPO na cudzy adres e-mail.
Dokument UPO nie zawiera danych osobowych, gdyż nr PESEL takową nie jest, co potwierdza także ekspert. Nie zawiera także jak jest cytowane dalej “danych poufnych (podatkowych)”.
Twierdzenie, że mail może trafić do pracownika kancelarii komorniczej czy straży miejskiej i w ten sposób mogą być ustalone dane osobowe osoby, do której jest on przypisany jest nadużyciem, gdyż pracownicy tych instytucji nie mogą dowolnie z tych baz korzystać – dozwolone jest to wyłącznie w celach służbowych. Nawet jeśli by to zrobili i tak nie uzyskają tą drogą cyt. ”danych poufnych (podatkowych)”.
Komentarz specjalisty IT nie dotyczy opisywanego zdarzenia. Jak już zostało wspomniane nie dotyczy cyt. „narzędzia powiązanego z tak wrażliwymi informacjami jak deklaracje PIT, a także z danymi osobowymi (…)” Dane użytkowników aplikacji są przechowywane wyłącznie na ich komputerach. Nie można zatem odzyskać hasła do konta użytkownika mając przypisany swój adres e-mail do cudzych deklaracji, ponieważ w opisywanej sytuacji nie ma konta użytkownika.
Zarówno sytuacja opisana przez Panią Ekspert i Pana specjalistę IT, jest hipotezą autorów i nie dotyczy absolutnie programu e-pity, co można by wnioskować z artykułu. W aplikacji e-pity ani serwisie e-pity.pl nie ma obecnie konta e-pity, gdzie dzięki adresowi e-mail i funkcji odzyskaj hasło, można by było pozyskać dane z PIT użytkownika. Danych tych nie można pozyskać także w żaden inny sposób, ponieważ ich fizycznie w e-pity.pl NIE ma. Wszystkie dane przechowywane są wyłącznie na urządzeniu Klienta i jedyna możliwość ich nieautoryzowanego pozyskania to włamanie się do komputera/urządzenia użytkownika.
Przechowywaniu deklaracji na koncie użytkownika służy inna, nie związana opisaną w artykule funkcją – wysyłką UPO na mail użytkownika usługa – Dysk e-pity, uruchomiona w kwietniu br.. Za jej pomocą użytkownik ma możliwość przechowywania swoich deklaracji PIT oraz UPO, na bezpiecznym Dysku e-pity, na którym założenie konta, odbywa się poprzez weryfikację w modelu opt-in, a ze względu na zachowanie najwyższego poziomu bezpieczeństwa usługa wykonana została w technologii Microsoft Azure. Korzysta z niej m.in Ministerstwo Finansów. To najbardziej bezpieczne i wszechstronne rozwiązanie chmurowe na rynku, którego niezawodność została potwierdzona licznymi certyfikatami (m.in. CSA, ITAR, CJIS, HIPAA czy IRS 1075) – w tym atestem poziomu 5 („Level 5”) Departamentu Obrony USA. Microsoft Azure stosuje międzynarodowe normy zarządzania bezpieczeństwem informacji (ISO 27018), zapewniając najwyższy poziom bezpieczeństwa danych w myśl wchodzącego w życie RODO (Rozporządzenia o Ochronie Danych Osobowych). Microsoft Azure jako pierwsza platforma na świecie wdrożyła standard kontroli danych – międzynarodową normę poufności danych w chmurze ISO/IEC 27018! Spełnia ona surowe normy polityki dostępu, zapewniając wieloskładnikowe uwierzytelnianie, wielopoziomowe szyfrowanie i replikację danych.
Jacek Wawrowski
Prezes Zarządu e-file sp. z o.o.