ОДНА БІДА НЕ ПРИХОДИТЬ
Як СЕА ПДВ стала майданчиком для хакерських крадіжок податкового кредиту розповідає Голова Комітету з питань запобігання та протидії корупції, контрабанді та з питань діяльності органів фінансових розслідувань та податкової міліції Громадської ради при ДФС України Дмитро ЮРОВСЬКИЙ.
Як це стало загальновідомим, у тому числі і через повідомлення у ЗМІ, у червні 2016 року, через формування великих обсягів фіктивного податкового кредиту, майже повністю було зупинено відшкодування ПДВ платникам податків, що викликало численні їх скарги та негативний резонанс у суспільстві.
Коли у 2014 року агітували за СЕА ПДВ як панацею від фіктивного податкового кредиту й гарантію автоматичного відшкодування ПДВ всім-всім-всім, деякі скептики, серед яких був і автор цієї статті, подавали слабкий голос про те, що ані з депонуванням, ані без депонування грошових коштів СЕА ПДВ запроваджувати в нашій країні, де традиційно «що впало – те пропало» апріорі не варто, принаймні поки що, тому що будь-яка державна новація потягне за собою лише нові проблеми! А замість СЕА, якщо ми вже вирішили залишати ПДВ як основний бюджетоутворювальний податок (а фактично – непрямий податок на споживання, яке, звісно, в країні надмірне і його потрібно обкласти податком, що абсолютно очевидно, бо «забагато українці споживають» – та найбільш складний в адмініструванні, найбільш корумпований та найбільш ефективний з погляду викрадення державних грошей), потрібно:
Перше – скасувати податкові накладні (такого собі «українського слоненяти», якого більше немає в жодній країні світу … хто ж іще, окрім Миколи Азарова, міг придумати видавати накладну на податок? – не на товар, роботу, послугу – а на податок …) та запровадження замість реєстру податкових накладних реєстру інвойсів.
Друге – запровадження єдиного транзитного казначейського рахунку для сплати й відшкодування ПДВ і перерахування до «державного зведеного бюджету» щомісячного сальдо за цим рахунком, після відшкодування ПДВ та повернення решти ПДВ імпортерам при скасуванні рішень про коригування митної вартості.
Третє – запровадження електронних камеральних щомісячних перевірок всіх 100 % ПДВ-звітності.
Замість усього цього очевидного спрощення нам створили новий дивовижний, небачений ніде у світі «електронний сервіс» СЕА ПДВ – ось так «завітами Миколи Яновича» наша податкова система живе й до сьогодні, розвиваючи та вдосконалюючи його!
Але це ще було б півбіди, якби не крадіжки податкового кредиту на казначейських електронних ПДВ-рахунках … Що робить підприємство, якщо вранці, продивляючись банк, бухгалтер бачить несанкціоноване списання грошових коштів? – він поспішає до банку, блокує операції на рахунку, подає заяву та вимагає повернення викрадених хакерами грошей, що банк – після відповідної перевірки (за участі клієнта та незалежного експерта) і зобов’язаний зробити! Що робить підприємство, якщо бухгалтер, не вірячи власним очам, бачить зменшення податкового кредиту на казначейському електронному рахунку та купу дрібних податкових накладних, зареєстрованих вночі від імені платника податку та ім’я абсолютно невідомих йому «контрагентів»? … – про це читайте далі …
Зазначене шахрайство, яке виникло через деякий нетривалий час після запровадження СЕА ПДВ, полягає в такому: шахраї шахрайським способом отримують електронні ключі для підпису податкових накладних у СЕА ПДВ окремих платників податків, які мають великі залишки податкового кредиту з ПДВ. Таким чином, отримавши доступ до СЕА ПДВ, шахраї реєструють від імені платника податку в СЕА ПДВ фіктивні податкові накладні на ім’я фіктивних фірм, таким чином зменшуючи (фактично – викрадаючи) податковий кредит потерпілих платників податків. Таке явище є численним, а викрадені суми податкового кредиту в СЕА ПДВ нараховують десятки мільйонів гривень. Часто це відбувається в неробочий час та/або у вихідні дні. Помітивши зникнення податкового кредиту в СЕА ПДВ, платник податків звертається зі скаргою по податкової інспекції, у якій він перебуває на обліку та до органів податкової міліції. Податкова інспекція відповідає платнику податків, що операції на рахунках СЕА ПДВ знаходиться за межами її компетенції та належить до компетенції органів державного казначейства, податкова міліція не вносить до реєстру та не береться за розслідування кримінальних проваджень за такими заявами, посилаючись на брак у них слідчої компетенції відповідно до КПК України. Платники податків звертаються до органів поліції, до слідчої компетенції яких, відповідно до КПК України, належить розслідування зазначених кримінальних правопорушень (злочинів), передбачених ст. 190 КК України, – але фактично справи не розслідуються, оскільки слідчі поліції не мають необхідного фаху для їх розслідування та доступу до необхідних електронних баз даних. Кінець кінцем платники податків залишаються сам на сам із проблемою зниклого (викраденого) податкового кредиту, а шахраї залишаються безкарними та продовжують свою шахрайську діяльність з викрадення податкового кредиту ПДВ у сумлінних платників податків та «торгівлі» таким фіктивним податковим кредитом. Хто цим займається здогадатись неважко …
Окреслена проблематика є нагальною, такі випадки є численними, про передані до суду обвинувальні висновки щодо злочинців нам невідомо, методики розслідування таких кримінальних проваджень у правоохоронних органів немає, шкода, завдана шахрайськими діями платників податків, вимірюється мільйонами гривень та не відшкодовується ані органами Держказначейства, у яких відкриті електронні ПДВ-рахунки платників податків, ані за рахунок майна шахраїв. Страждає від таких дій насамперед середній та великий бізнес, що негативно впливає на інвестиційну привабливість України, її репутацію як надійної держави, яка йде шляхом реформ, а запроваджені державою електронні сервіси є безпечними та надійними для користувачів.
Вирішення цього питання лежить у площині співпраці та взаємодії одночасно декількох державних органів:
Перше. Удосконалити електронний модуль підписання податкової накладної, внести зміни до регламенту роботи СЕА ПДВ у частині підписання податкової накладної шляхом запровадження необхідних запобіжних заходів:
- встановити час роботи СЕА ПДВ у режимі здійснення операцій (операційному режимі) в робочі дні (наприклад з 8.00 до 20.00);
- встановити, що інший час у робочі дні (наприклад з 2.00 до 7.00) та у неробочі дні СЕА ПДВ працює лише в режимі демонстрації даних, без можливості здійснення операцій;
- передбачити, наприклад, як додатковий запобіжний механізм направлення коду для підписання кожної податкової накладної на адресу електронної пошти платника податків, яка вноситься в систему поданням заяви платника податків до податкової інспекції, що обслуговує, і потребує верифікації.
Друге. В Україні діє декілька акредитованих центрів сертифікації ключів, у т. ч. Акредитований центр сертифікації ключів Інформаційно-довідкового департаменту ДФС та Акредитований центр сертифікації ключів Державної казначейської служби України. Відповідно до постанови КМУ № 1451 від 28.10.2004 р., акредитація здійснюється Мін’юстом України, який також відповідає за нормативно-правове забезпечення діяльності центрів.
Слід удосконалити Регламент акредитованих центрів сертифікації ключів у частині видачі дублікату електронного ключа як ризикованої операції центру, що потребує додаткової верифікації повноважень фізичної особи, що звернулась за отриманням дублікату ключа від імені юридичної особи у разі якщо ця фізична особа є іншою, ніж фізична особа, яка отримувала електронний ключ від імені юридичної особи до цього.
Третє. За аналогією з установами банків, Держказначейство має нести відповідальність за стан коштів, що обліковуються в СЕА ПДВ, – так само як банки несуть відповідальність перед клієнтами за стан коштів на рахунках клієнтів і відшкодовують клієнтам викрадені суми у разі хакерських атак або інших несанкціонованих клієнтом втручань. Враховуючи те, що обмежений доступ до СЕА ПДВ, крім Держказначейства, має також ДФС України, при цьому нормативно-правове забезпечення обох цих державних органів здійснює Мінфін України, нагальною є потреба розробки та прийняття наказу Мінфіну про порядок спільних дій податкової інспекції, де обліковується платник податків, та Держказначейства у разі виявлення факту несанкціонованого втручання в роботу СЕА ПДВ, який має передбачати:
- порядок звернення платника податків із заявою про несанкціоноване втручання до його рахунку в СЕА ПДВ;
- порядок проведення спільного службового розслідування податковою інспекцією та Держказначейством за такою заявою, а також порядок надання для цілей такого розслідування інформації акредитованим центром сертифікації ключів;
- порядок прийняття рішення за такою заявою та порядок поновлення не санкціоновано знятих сум з рахунку платника податків у СЕА ПДВ у разі, якщо підтвердиться, що це сталось не з вини платника податків, – держава має взяти на себе відповідальність за відшкодування втрачених платниками податкових коштів у державних електронних системах, якщо це сталось з вини державного органу або з причини недосконалості захисту системи від несанкціонованого втручання.
Заслуговує на увагу та можливе запозичення певних розділів також досвід Національного банку України у частині забезпечення інформаційної безпеки рахунків у банківських установах, а саме: Міжнародний стандарт ISO/IEC 31000:2009 «Управління ризиками – Принципи та керівництво», Міжнародний стандарт ISO/IEC 27005:2008 «Управління інформаційними ризиками», постанова Правління НБУ № 474 від 28.10.2010 р. «Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України», Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України.
Крім того, згідно з п.201.1. ст.201 Податкового кодексу України, платник податку зобов’язаний скласти податкову накладну в електронній формі з дотриманням умови щодо реєстрації у порядку, визначеному законодавством, електронного підпису уповноваженої платником особи та зареєструвати її в Єдиному реєстрі податкових накладних у встановлений цим Кодексом термін. А оскільки шахраї не є уповноваженими особами платника податків, то зареєстровані ними податкові накладні є такими, що не відповідають вимогам норм Податкового кодексу України. Враховуючи зазначене, такі «податкові накладні» підлягають вилученню з ЄРПН за заявою платника податку і суми податкового кредиту на рахунку мають бути відповідно приведені у первісний стан. Оскільки такі «податкові накладні» не можуть вважатись зареєстрованими в ЄРПН. І, як наслідок, не є підставою для формування податкового кредиту в покупців.
Отже, м’яч знов на половині поля ДФС, Мінфіну, Мін’юсту й законодавців!