9:37
21/2/2019

Dostęp do PIT-ów online odbywa się na podstawie danych, które mogą być znane nie tylko podatnikowi. To wydawało się dobrym pomysłem kilka lat temu, kiedy trzeba było spopularyzować usługę nawet kosztem poziomu bezpieczeństwa. Teraz mamy zaszłość technologiczną pozwalającą na nieuprawniony dostęp do danych osobowych. Ta zaszłość nie zostanie usunięta całkowicie, choć pewne poprawki będą. 

Problemowy sposób logowania

Zacznijmy odpoczątku. Do systemu “Twój ePIT”, który pozwala na elektroniczne wysyłanie deklaracji podatkowych, można się zalogować na dwa sposoby: przez Profil Zaufany albo (alternatywnie) przez “dane podatkowe”.

Logowanie do serwisu ePIT

Logowanie przez Profil Zaufany nie budzi żadnych zastrzeżeń, natomiast logowanie przez “dane podatkowe” wymaga podania numeru PESEL albo NIP, a także danych z formularzy PIT – przychodu za  rok 2017 oraz przychodów za rok 2018, np. tych podanych w formularzu PIT-11.

W mediach już pisano o tym, że ten drugi sposób logowania jest dziurawy, bowiem dane podatkowe mogą poznać osoby inne niż obywatel, którego PIT dotyczy. Mówiąc ściślej

  • numery PESEL mają charakter osobisty, ale podajemy je różnym osobom i mogą one figurować np. w KRS.
  • Numery NIP rozdajemy często na prawo i lewo. Są one również dostępne w CEIDG w przypadku osób, które prowadzą lub prowadziły działalność.
  • Przychody za rok 2017 może znać nasz pracodawca (jeśli nie dorabialiśmy gdzieś na boku) lub księgowy.
  • Przychody za rok 2018 wpisane w formularzu PIT-11 zna każdy, kto wystawiał dla nas taki formularz.

Spotkaliśmy się również z sugestiami, że informacje o osobach publicznych zawarte w ich oświadczeniach majątkowych mogą służyć do zalogowania się do ePIT. Tego akurat nie jesteśmy pewni bo w oświadczeniach majątkowych wskazane są dochody, które nie są dokładnie tym samym co przychody w rozumieniu prawa podatkowego. Ustalenie przychodów na podstawie deklarowanych dochodów wcale nie byłoby łatwe i obawiamy się, że byłoby obarczone dużym ryzykiem błędu. Inna rzecz, że oświadczenia majątkowe za rok 2018 składa się do 30 kwietnia tego roku.

Potencjalne skutki

Skoro jednak dane do logowania nie są znane wyłącznie osobie uprawnionej, może dojść do zalogowania się do serwisu ePIT przez osobą nieuprawnioną w celu:

  • zapoznania się z informacjami na temat osoby (np. na temat jej współmałżonka, dodatkowych źródeł dochodu lub celu, na który ktoś przekazał swój 1%),
  • podmienienia numeru konta, na który ma być przekazany zwrot podatku.

W wielu przypadkach pracodawcy i księgowi nie posiadają wszystkich informacji niezbędnych do zalogowania się. Niemniej takie sytuacje są możliwe np. jeśli dana osoba w roku 2017 pracowała tylko u jednego pracodawcy, a w roku 2018 zaczęła sobie gdzieś dorabiać. Pracodawca teoretycznie może się zalogować na ePIT i mieć wgląd w to, co powinno stanowić tajemnicę skarbową. To, że naruszenie tajemnicy jest możliwe tylko w niektórych przypadkach nie oznacza, że problemu nie ma.

Czy to znaczy, że mamy mega lukę zagrażającą wszystkim?

Zanim odpowiemy na to kluczowe pytanie, przedstawimy wam jeszcze garść informacji, które trzeba wziąć pod uwagę przed dokonaniem ostatecznej oceny.

Dług technologiczny, polityka i samo życie

W Polsce już od kilku lat stosuje się autoryzację ePIT-ów opartą o dane z formularzy PIT. Dlaczego nikt nie narzekał? Ponieważ Polska nie była tygrysem informatyzacji. Wiele osób nie miało Profilu Zaufanego, a Ministerstwu Finansów zależało na popularyzacji rozliczeń online. Dopiero z czasem Profil Zaufany oddzielono od ePUAP-u i wprowadzono możliwość “zaufania go” poprzez bankowość online (bez wizyty w urzędzie). Teoretycznie dziś moglibyśmy porzucić logowanie się do ePIT przez kwoty z formularzy, bo każdy może mieć Profil Zaufany. Podkreślamy – teoretycznie.

W praktyce wiele osób mogłoby się zdenerwować gdyby się okazało, że oto nagle od tego roku trzeba sobie Profil Zaufany założyć (nadal wiele osób nie wie jak to zrobić i nie wszyscy mają konta w bankach, które to umożliwiają). Zgadujemy też, że obecna Minister Finansów nie chce być pierwszą, za czasów której spadły słupki popularności ePIT-ów. Tak by się niewątpliwie stało, gdyby logowanie do systemu oparto wyłącznie na Profilu Zaufanym.

Przyznamy, że nawet w redakcji mieliśmy z tym tematem pewien problem. Część z nas uważa, że logowanie do ePIT powinno następować wyłącznie po Profilu Zaufanym. Część wyrażała zdanie, że być może należy zostawić logowanie po kwotach z formularzy, ale po wprowadzeniu innych usprawnień np. wprowadzając jakieś powiadomienia o tym, że ktoś niepowołany mógł logować się na naszego ePIT-a, albo wprowadzając historię logowań.

Jak to jest w innych krajach?

Polska nie jest jedynym krajem, gdzie coś takiego funkcjonuje. Wiedzieliśmy, że również w USA można logować się do e-deklaracji na podstawie danych obywatela. Spytaliśmy o sprawę pewnego znajomego, który obecnie mieszka za oceanem.

Generalnie są dwa sposoby na rozpoznanie “obywatela”. Ten najbardziej ogólny to Social Security Number (SSN), który jest wydawany na prośbę zainteresowanego i w razie utraty dokumentu może być wydany ponownie. Dokument sam w sobie jest mało ważny, bo to po prostu numer, ale SSN jest nadawany co najwyżej dwukrotnie. Tutaj istotna sprawa: generalnie SSN nikomu nie podajesz, to jest coś takiego jak osobisty PIN i jest on używany kiedy np. chcesz mieć telefon, zakładasz konto w banku albo internet w domu, z tym że podajesz go przy zakładaniu, a potem do weryfikacji za każdym razem będziesz pytany jedynie o ostatnie 4 cyfry, bo to jest przechowywane w danej firmie (z tego co wiem, nie mogą przechowywać SSN w całości, natomiast początkowo cały numer służy do weryfikacji człowieka, np. historii kredytowej). SSN podaje się także w zeznaniu podatkowym i jako taki wystarcza do weryfikacji w systemach online.

Druga możliwość, jeśli ktoś nie ma SSN, to tax identification number (TIN), który można sobie wyrobić w skarbówce (Internal Revenue Service). To jest dla ludzi, którzy nie mają z jakichś powodów SSN. W tym wypadku zgłaszasz się z dokumentami w odpowiedniej placówce i dostajesz numer. TIN w zeznaniu podatkowym jest traktowany zamiennie z SSN. Co ciekawe, żeby wyrobić SSN, Twój pobyt musi być legalny, w przypadku TIN już niekoniecznie i dlatwego ludzie, którzy są nielegalnie, ale chcą mieć legalną pracę, mogą wyrobić TIN i płacić podatki mimo nielegalnego statusu :-) Taka jedna z ciekawostek w USA

Podkreślmy raz jeszcze – w USA numer SSN jest traktowany jako bardziej sekretny niż nasz PESEL i NIP. To jednak nie oznacza, że Amerykanie nigdy nie mieli problemu z tego typu autoryzacją. Już od 2014 roku głośnym tematem w USA są tzw. tax refund frauds, czyli kradzieże tożsamości dokonane w celu wyłudzenia zwrotu podatku. W sieci znajdziecie m.in. raport Treasury Inspector General for Tax Administration, który opisuje skalę problemu w roku 2016. Liczby robią wrażenie.

As of March 5, 2016, the IRS reports that it identified 42,148 tax returns with $227 million claimed in fraudulent refunds and Final Report issued on March 31, 2016 prevented the issuance of $180.6 million (79.6 percent) in fraudulent refunds.

Czy Amerykę po prostu na to stać? Pewnie tak, ale zauważcie – oni sporządzają podobne raporty i podają je do wiadomości opinii publicznej. Na bieżąco sprawdzają czy naprawdę ich na to stać. Jeśli wiecie jak to wygląda w jeszcze innych krajach – zachęcamy do komentowania.

Teraz wróćmy do Polski, gdzie Ministerstwo Finansów niestety jest trochę mniej przejrzyste.

Reakcje na lukę – Ministerstwo Finansów milczy

Kwestia luki w ePIT została dostrzeżona przez naszych Czytelników (pisaliście do nas o tym), chwilę później przez Dziennik Gazetę Prawną, Fundację Panoptykon, a potem zajęły się nią różne rozgłośnie radiowe i telewizyjne. Przy okazji zwrócono uwagę na komunikat Ministerstwa Finansów o tym, że do Polaków rozsyłana są oszukańcze e-maile związane z ePIT-ami. Dość szybko w różnych mediach rozgorzała dyskusja, w którą wciągnięto również nas.

Z Polsatem rozmawialiśmy dość długo. Telewidzowie zobaczyli z tego jedno zdanie (takie są prawa telewizji, rozumiemy to). W każdym razie podkreślaliśmy, że:

  • ministerstwo musi dokonywać oceny ryzyka,
  • możliwe, że ministerstwo świadomie zgodziło się na podwyższony poziom ryzyka w zamian za udogodnienia dla obywateli,
  • usługę można poprawić np. wprowadzając blokadę logowania po danych podatkowych dla osób, które chcą używać wyłącznie Profilu Zaufanego.

Przyznamy, że ze swojej strony również zajęliśmy się tematem i wysłaliśmy do Ministerstwa Finansów kilka pytań. Chcieliśmy wiedzieć m.in., czy Ministerstwo Finansów nie planuje jakichś zmian podnoszących bezpieczeństwo. Nawet zasugerowaliśmy jakie zmiany mogłyby to być, ale piłka była bo stronie Ministerstwa.

Do chwili napisania tego tekstu Ministerstwo nie odpowiedziało na nasze pytania, ale… zareagowało.

Ministerstwo wprowadza poprawki

Temat został dostrzeżony przez Urząd Ochrony Danych Osobowych i słusznie, bo przecież nieautoryzowany dostęp do ePIT to problem z jego działki. UODO wysłał pismo do MF, w którym przyzpomniał, że RODO wymaga dokonania oceny ryzyka.

Ministerstwo Finansów właściwie udzieliło już odpowiedzi na swojej stronie. Zapewniło, że usługa przed wdrożeniem przeszła pozytywnie audyt bezpieczeństwa teleinformatycznego. Co jednak istotniejsze, usługa “Twój ePIT” ma być rozszerzona o dodatkowe funkcjonalności, a mianowicie o:

  • historię logowania,
  • dodatkowy element autoryzacyjny
  • możliwość wskazania Profilu Zaufanego jako wyłącznego sposobu dostępu do usługi (to sugerowaliśmy także w pytaniach do MF)

Dodatkowym elementem autoryzacyjnym będzie podanie dodatkowej informacji z PIT za 2017 r. tj. kwoty nadpłaty lub kwoty podatku do zapłaty.

Liczymy, że te zmiany zostaną wprowadzone jak najszybciej.

Jestem podatnikiem. Co robić? Jak żyć?

Sugerujemy poczekać z wysłaniem ePIT-a do czasu poprawienia usługi. Zyskacie pewność, że nikt nie wysłał “złośliwej” korekty.

Przypominamy również, że luki w systemach e-administracji to tylko jeden problem. Innym problemem jest wasze osobiste bezpieczeństwo. Ktoś może próbować np. uruchomić phishing, którego celem będzie uzyskanie danych dostępowych do Profilu Zaufanego, albo danych podatkowych (włącznie z nowym dodatkowym elementem). Ministerstwo Finansów informowało już o fałszywych e-mailach na temat rzekomego błędu w deklaracji podatkowej. Takie problemy istnieją niezależnie od luk.

Ludzie robią z PIT-ami różne rzeczy. Niektórzy je skanują i przechowują w katalogach, do których jest dostęp z sieci publicznej. Takie rzeczy też widzieliśmy.

Bywało gorzej

To nie jest żadne pocieszenie, ale kiedyś ZUS miał poważniejszą wpadkę, która również dotyczyła autoryzacji po kwotach z formularzy – zob. Dane polskich przedsiębiorców można było przez 2 lata wykradać z ZUS-u. Dziurę łatano 4 miesiące…

Aktualizacja 22.02.2019 10:52

Ministerstwo Finansów odpowiedziało na nasze pytania. Dowiedzieliśmy się, że od 21 lutego usługa Twój e-PIT została rozszerzona o “dodatkowy element autoryzacyjny” a historia logowania i logowanie wyłącznie po Profilu Zaufanym ma być wprowadzone “w najbliższych dniach”.

Przy okazji Ministerstwo odniosło się do czegoś jeszcze. Spytaliśmy bowiem o maile, jakie wysłano do niektórych podatników w okolicach 15 lutego. Wyglądały one tak.

Autentyczny mail z Ministerstwa Finansów

Ta korespondencja naprawdę wyszła z Ministerstwa, a link prowadził do strony podatki.gov.pl. Tylko czy reklamowanie usługi w ten sposób było rozsądne? Owszem, mailing o charakterze informacyjnym nie jest zły, ale zachęcanie do logowania się na stronie, do której link przysłano e-mailem, może wyrabiać u podatników niezbyt bezpieczne nawyki.

Odnosząc się do tej sprawy w odpowiedzi dla Niebezpiecznika ministerstwo napisało.

15 lutego br. (zaraz po uruchomieniu usługi) do podatników, którzy jako źródło do kontaktu podali adres mailowy, został wysłany mail z informacją o udostępnionym PIT-37 za rok 2018. Była to jednorazowa sytuacja. Warto podkreślić, że jedynym i oficjalnym adresem, z którego był wysyłany e-mail to: epit.podatki@mf.gov.pl

Później w rozmowie telefonicznej MF doprecyzowało, że wysyłka maili trwała 15, 16 i 17 lutego.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

64 komentarzy

Dodaj komentarz
  1. To już za późno bo system działa. Zanim wprowadzą poprawki to będzie pewnie w 2030 r.

  2. Dodatkowo znając sam PESEL można złośliwe komuś bez profilu zaufanego blokować codziennie dostęp do e-PITu – podając PESEL i błędne kwoty 3 razy tego samego dnia.

    • No właśnie nie mogę się zalogować od wczoraj. Wczoraj próbowałem logować się o 20 -> 3 próby i ban (spróbuj jutro), dzisiaj sprawdziłem o 19 i od razu ban (3 błędne próby logowania “do jutra”) czy ja muszę odczekać dokładnie 24h, a jeśli spróbuję wcześniej się zalogować to od razu dostaję bana na 24h?
      podatki.gov.pl nie chcą mi odpowiedzieć, bo: “Czat z konsultantem Krajowej Informacji Skarbowej dostępny jest od poniedziałku do piątku w godzinach od 8:00 do 16:00. Rozmowa odbywa się z wykorzystaniem specjalnego formularza online.”

  3. Tak naprawdę to – możliwość wskazania Profilu Zaufanego jako wyłącznego sposobu dostępu do usługi (to sugerowaliśmy także w pytaniach do MF) jest najwłaściwszym rozwiązaniem.

    Dodatkowo z PITów z ubiegłych lat mają nr telefonu i email (jeśli ktoś podbał), mogą informować o tym że ktoś się zalogował do ePIT

  4. “SSN nikomu nie podajesz”
    z wyjątkiem
    “kiedy np. chcesz mieć telefon, zakładasz konto w banku albo internet w domu”
    czyli prawdopodobnie dowolnym firmom, z którymi podpisujesz umowę, nie tylko typu bank.
    Faktycznie strasznie bezpieczny system: jedno hasło (ok, nazwijmy login hasłem) do wszystkiego, niezmienne.
    Nawet jeśli jest nieco rzadziej używane niż nasz PESEL to różnicy jakościowej nie widzę.

    • SSN nie jest nadrukowany na każdym dokumencie, który posiadasz, łącznie z biletem lotniczym, w przeciwieństwie do PESEL. Po drugie, nie może być przechowywany. To, czy rzeczywiście nie jest, to sprawa drugorzędna. Przecież i tak na końcu chodzi o identyfikację ludzika i tak długo, jak musisz go gdzieś podać, zawsze będzie problem. Tylko po co nadawać numery identyfikacyjne, których nie można użyć?

    • Może różnica jest w tym, że SSN nie jest czterocyfrowym kodem dodawanym do Twojej daty urodzenia + suma kontrolna

    • Bo to jest bardzo praktyczny naród.

    • > SSN nie jest nadrukowany na każdym dokumencie, który
      > posiadasz, łącznie z biletem lotniczym, w przeciwieństwie
      > do PESEL.

      To raz. Dwa: SSN można bez większego problemu zmienić. A PESEL-u nie. Po trzecie, SSN jest długi i losowy, a PESEL jest krótki i bardzo przewidywalny.

      Należy zlikwidować numery PESEL, powrócić do NIP-u (tylko co celów podatkowych).
      Zdaję sobie sprawę że to karkołomne wyzwanie, bo na tym numerze opiera się działanie całego państwa polskiego.

      Ale co innego zrobić? Co innego zrobić by przestali cierpieć ci których PESEL wyciekł a oszuści stale biorą na nich kolejne pożyczki??

    • Do 2011 pierwsze trzy (z 9) cyfry ssn były związane z biurem w którym wyrabiales ssn, a kolejne dwie były generowane w pulach. Ostatnie 4 były generowane inkrementacyjnie. Od 2011 wprowadzono randomizacje.

      Ssn, pomimo iż nie jest wydrukowany na żadnym dokumencie poza karta ssn, jest dość publiczny. Banki, operatorzy telefoniczni/internetu. Ostatnie 4 cyfry używa się często jako identyfikatora/hasła, często wstukując jako kod dtmf albo mówiąc reprezentantowi banku przez telefon.

      Nie polecam :-) są tutaj też ubezpieczenia od “identity theft”, które pokrywają m.in. kradzieże ssnu i skutki z tym związane.

    • > Należy zlikwidować numery PESEL, powrócić do NIP-u (tylko co celów podatkowych).
      > Zdaję sobie sprawę że to karkołomne wyzwanie, bo na tym numerze opiera się działanie całego państwa polskiego.

      Problem nie leży w PESELu jako takim – bo samo istnienie unikalnego identyfikatora nadawanego obywatelom wcale nie jest głupie.

      Problem nie polega też na tym, że zbyt wiele osób i instytucji zna PESEL, tylko na tym, że jest on wykorzystywany jako hasło do uwierzytelniania.

      Należy po prostu przyjąć, że PESEL jest informacją praktycznie jawną (a w każdym razie – wcale nie bardziej tajną, niż nasze imię i nazwisko, imiona rodziców, czy adres zamieszkania), którą zna tysiące osób. To, że ktoś zna PESEL Jana Kowalskiego, wcale nie znaczy, że jest Janem Kowalskim!

    • > Problem nie leży w PESELu jako takim – bo samo istnienie
      > unikalnego identyfikatora nadawanego obywatelom wcale
      > nie jest głupie.

      Owszem, problem leży *RÓWNIEŻ* w tym, że istnieje unikalny identyfikator, który łączy dane z różnych baz. Jest rzeczą złą, że – dzięki unikalnemu identyfikatorowi właśnie – cała informacja jaką państwo (i nie tylko państwo) przechowuje w bazach o danej osobie może być łatwo połączona w jedno.

      > Problem nie polega też na tym, że zbyt wiele osób i instytucji
      > zna PESEL, tylko na tym, że jest on wykorzystywany
      > jako hasło do uwierzytelniania.
      > (…)
      > To, że ktoś zna PESEL Jana Kowalskiego, wcale nie
      > znaczy, że jest Janem Kowalskim!

      Pełna zgoda że PESEL nie powinien być nigdy używany do uwierzytelniania, ale to tylko część problemu.

      > Należy po prostu przyjąć, że PESEL jest informacją praktycznie
      > jawną (a w każdym razie – wcale nie bardziej tajną, niż nasze
      > imię i nazwisko, imiona rodziców, czy adres zamieszkania),
      > którą zna tysiące osób.

      Nie zgadzam się. Uważam, że w kontaktach obywatela z państwem jedyne dane, które powinny być wymagane, to imię, nazwisko i numer dowodu/paszportu. Nawet daty urodzenia na formularzach być nie powinno (jest w 99% wypadków niepotrzebna) – wystarczy że bedzie nadrukowana na dokumencie tożsamości i przechowywana w ewidencji dowodów osobistych.

      Adres zamieszkania winien być informacją poufną, pańśtwo powinno przechowywać w bazie tylko adres do doręczeń i _co_do_zasady_ w ogóle nie interesować się tym, gdzie dana osoba mieszka.

  5. w sumie problem autoryzacji dochodem z zeszłego roku dotyczy ludzi, którzy dostają jeden pit-11, czyli mają jednego pracodawcę, gdy w danym roku podatkowym migruje się między pracodawcami to problemu nie ma, bo tylko nikt inny nie zna zna sumy ze wszystkich pitów

    • Nie. Tak nie jest. Sprawdzałem, bo akurat za ubiegły rok mam pit-11 od trzech pracodawców. Wystarczy podać jedną kwotę. Zresztą to akurat ułatwienie, bo jeden z pracodawców do tej pory nie przysłał mi swojego p11 i byłem mile zaskoczony, że US już ma wszystkie dane i rozliczenie jest pełne. Jak poprawią bezpieczeństwo to ePIT jest naprawdę przydatną, ułatwiającą życie usługą.

    • no teraz to ja już wiem, wczoraj mało monitora nie rozwaliłem jak wpisywałem sumę przychodu i mnie blokowało, no i niepotrzebnie czekałem na wszystkie pity11, aczkolwiek sumę mogłoby też akceptować

    • Problem nie dotyczy tylko ePit-u. Od dawna przedsiębiorca może deklaracje VAT czy PIT składać elektronicznie do autoryzacji używając tylko kwoty przychodu z PIT za poprzedni rok. To samo od niedawna z JPK. Problem w tym, że przychód ten na ogół jest znany nie tylko przedsiębiorcy, ale też innym ludziom wewnątrz firmy (np. niezadowolony księgowym wyrzucony z pracy…). PITa wymagać będzie też bank do decyzji kredytowej. Czyli “hasło” autoryzujące dane podatkowe jest z definicji SKOMPROMITOWANE I NIE MA MOŻLIWOŚCI JEGO ZMIANY!!! To jest bardzo zła sytuacja. Czy wiadomo czy ministerstwo planuje jakąś poprawę w kwestii autoryzacji PIT, VAT, JPK dla przedsiębiorców?

  6. jak można się dowiedzieć, czy ktoś za nas wysłał “złośliwą korektę”?

    • Z zakładki “złożone dokumenty”

  7. Damian Maj? :D

  8. Najgorsze jest to ,że wcale minie to nie zaskoczyło.

  9. Niestety Pit już rozliczyłem ale codzienne rano 3 razy loguje się błędnie na żonę aby zablokować możliwość podejrzenia pitu 37 przez wścibskiego pracodawcę lub księgową.

  10. Głupie społeczeństwo wybiera głupich rządzących…
    Głupi rządzący tworzą głupie urzędy…
    Głupie urzędy tworzą głupie rozwiązania…
    Jaki z tego wniosek?
    Wszystko jest głupie.

  11. Istnieje dość popularny, fatalny zwyczaj. Pracodawcy zbieraja od pracowników PITy roczne w celu ustalenia prawa do korzystania z Zakładowego Funduszu Świadczeń Socjalnych.
    A to oznacza, że jeśli dorabiasz na boku to Twój pracodawca i tak może znać dane o dochodach…

    • Nigdy tak nie miałem jak mówisz. Kolejni pracodawcy zbierali jedynie moje deklaracje, oświadczenia, że “jest tak i tak, a dochód wynosi tyle a tyle”. Nigdy, żaden, również mój obecny pracodawca nie żądał PIT-ów mojego czy żony. Zawsze wystarczyło moje oświadczenie na prostym formularzu.

    • To prawda, niektórzy pracodawcy próbują wymagać zeszłorocznej deklaracji podatkowej, ale nie trzeba się na to zgadzać, wtedy z automatu wpadasz do grupy o najwyższych dochodach, bo nie udowodniłeś, że masz niższe: https://kadry.infor.pl/kadry/wynagrodzenia/dzialalnosc_socjalna/51835,Czy-pracownik-nieujawniajacy-dochodow-moze-korzystac-z-zfss.html Sprawdziłem to w praktyce na sobie. Jak dla mnie to niewielka cena za zachowanie prywatności.

    • @up – zgadza się. U mnie też tak jest, że jak ktoś nie chce (czy po prostu zgapi się i nie zdąży podać widełek dochodu) to wpada do grupy o najwyższych dochodach i tym samym dostaje najniższe świadczenie.

  12. Nie prościej dla przestępcy wysłać papierową korektę pit-a pocztą lub w pitomacie? Sądzicie, że grafolodzy sprawdzają podpisy? Wtedy wystarczy (nip || pesel) i adres zamieszkania.

  13. “Ministerstwo Finansów zapewniło, że usługa przed wdrożeniem przeszła pozytywnie audyt bezpieczeństwa teleinformatycznego.”
    Co za idiota zrobił ten audyt bezpieczeństwa skoro system ma tak poważne luki ? A może żaden audyt nie został wykonany? W każdym razie MF informując tak szybko po uruchomieniu systemu o zamierzonych zmianach przyznaje się do błędu.
    Drodzy dziennikarze sugeruję wniosek o udostępnienie informacji publicznej i sprawdzenie kto wziął pieniądze za tak beznadziejnie zrobiony audyt.

    “Dodatkowym elementem autoryzacyjnym będzie podanie dodatkowej informacji z PIT za 2017 r. tj. kwoty nadpłaty lub kwoty podatku do zapłaty.”
    Wprowadzenie kwoty nadpłaty/do zapłaty jako dodatkowe zabezpieczenie jest krokiem w dobrym kierunku bo zawęża grono osób, które będą miały dane potrzebne do zalogowania. Nadal jednak informacja taka może być w posiadaniu naszego księgowego i każdego kto włamie się/ma dostęp do komputera naszego księgowego. Tym bardziej, że w wielu przypadkach warto zlecić księgowemu sprawdzenie naszych PITow z powodu ograniczeń systemu e-PIT:
    “Twój e-PIT” z pułapkami. Sprawdź dokładnie, co w PIT wpisała skarbówka. Możesz mieć sporo do stracenia
    Więcej: http://www.tokfm.pl/Tokfm/7,103090,24471083,twoj-e-pit-z-pulapkami-sprawdz-dokladnie-co-w-pit-wpisala.html
    Maciej Samcik na swoim blogu informuje, że kiedy ręcznie sprawdził swój PIT to „Z 500 zł niedopłaty (e-PIT), zrobiło się 500 zł nadpłaty (ręcznie).
    https://subiektywnieofinansach.pl/nasze-pit-y-policzone-przez-urzednikow-sa-juz-w-internecie-jak-sie-do-nich-dostac-testujemy-system-twoj-e-pit/

    “możliwość wskazania Profilu Zaufanego jako wyłącznego sposobu dostępu do usługi (to sugerowaliśmy także w pytaniach do MF)”
    Wszystko pięknie tylko jak miałoby się odbywać to wskazanie Profilu Zaufanego?
    Jeśli takie wskazanie miałoby się odbywać poprzez Profil Zaufany to co z bezpieczeństwem osób, które nie mają/nie chcą mieć Profilu Zaufanego? Moim zdaniem takie wskazanie powinno odbywać się poprzez zmodyfikowany formularz ZAP- 3 złożony poprzez Profil Zaufany lub osobiście w Urzędzie Skarbowym. Idealnie byłoby jednak gdyby z systemu e-PIT można było skorzystać tylko poprzez Profil Zaufany a obywatele, którzy cenią sobie wygodę musieliby złożyć deklarację, że chcą się logować w łatwiejszy sposób.

    O tym jak dewastujące dla obywateli może być przejęcie danych podatkowych przez oszusta świadczy poniższy artykuł:
    W Łęczycy urzędniczka skarbowa wyłudziła kredyty na dane 170 osób
    https://dzienniklodzki.pl/w-leczycy-urzedniczka-skarbowa-wyludzila-kredyty-na-dane-170-osob/ar/12910455

    Podsumowując może się okazać, że system e-PIT, który miał obniżyć koszty funkcjonowania państwa i ułatwić życie obywatelom przyniesie efekty odwrotne od zamierzonych.
    1) Luki w zabezpieczeniach mogą doprowadzić do tego, że wielu obywateli padnie ofiarą kradzieży tożsamości. Przysporzy to pracy policji, prokuraturze, sądom itd. Za to wszystko zapłaci Państwo = podatnicy. Nie mówiąc już o tym, że te organy mogłyby w tym czasie zajmować się czymś innym.
    2) Błędy w obliczeniach podatku w systemie e-PIT mogą spowodować, że wiele PITów zostanie rozliczonych błędnie. Urzędy Skarbowe będą musiały wezwania do składania wyjaśnień, obywatele będą musieli robić korekty zeznań. Ciekawe co w sytuacji gdy dojdzie do niedopłaty ? – podatnik będzie musiał zapłacić odsetki karne?
    Ministerstwo Finansów nie przemyślało wielu rzeczy.

    Mam nadzieję, że zespół Niebezpiecznik.pl zachęci MF to zapoznania się z tym artykułem i komentarzami pod nim.

  14. Założenie profilu zaufanego jest proste. Można go potwierdzić w wielu miejscach, również w bankach, w których nie mamy konta. Wtedy, oczywiście, trzeba to zrobić osobiście. Takie osobiste potwierdzenie trwa jakieś 5 minut.

    • Dolicz do tego konieczność dotarcia do takowego banku, stania w korkach, znalezienia miejsca parkingowego, odczekania w kolejkach itp., a z owego 5 minut robi się znacznie więcej, częściej liczone w godzinach niż w minutach.

    • Kenjiro – może jeszcze napiszesz, że na potwierdzenie PZ potrzeba nie kilku godzin, a kilku dni, czy tygodni? :) Nie przesadzaj. Zdecydowana większość osób ma kontakt z bankiem, placówką banku czy swoim urzędem gminy/miasta, więc niejako przy okazji załatwiania innych spraw może bez problemu potwierdzić PZ. Nie popadajmy w skrajności. Mi potwierdzenie PZ zajęło kiedyś w banku niecałe 10 minut, a nie kilka godzin jak sugerujesz. Nie rób z ludzi inwalidów :)

    • Założenie Profilu Zaufanego wymaga podania państwu swojego numeru telefonu komórkowego, w dodatku musi on być działający bo służy jako 2FA – i dlatego nie mam PZ i nie chcę mieć.

      Przy nieograniczonym dostępie służb do wszystkich miejsc w których byłem nie życzę sobie, by państwo wiedziało że ten telefon należy do mnie (karta SIM nie jest zarejestrowana na moje dane a i telefon noszę ze sobą rzadko)

    • No i fajnie ale jak rozliczasz się z żoną to już żony epuapem nie zalogujesz :
      cyt ministerstwa :”W odpowiedzi na zgłoszenie informujemy, iż usługa Twój e-PIT przy rozliczeniu za 2018 r. nie przewiduje uwierzytelniania małżonka za pomocą profilu zaufanego. “

  15. Oszustwa dokonane na podatnikach mają duży potencjał. Uczmy się na błędach innych np Australijczyków:

    Scam alerts from Australian Taxation Office
    https://www.ato.gov.au/general/online-services/identity-security/scam-alerts/

    Scammers steal over $800,000 during November 2018
    https://www.ato.gov.au/Media-centre/Media-releases/Scammers-steal-over-$800,000-during-November/

  16. “[…] możliwe, że ministerstwo świadomie zgodziło się na podwyższony poziom ryzyka w zamian za udogodnienia dla obywateli,[…]”

    Chyba obniżony poziom bezpieczeństwa… Błąd w wypowiedzi dla Polsatu.

  17. Najlepsze że, nie prowadząc działalności gospodarczej dostajemy komunikat o prowadzeniu działalności w roku poprzednim i informację o tym że pit trzeba złożyć starą metodą :)

  18. A co z takimi przypadkami:

    1) Dostęp do kont osób, które jeszcze nie podjęły pracy np. studenci lub są bezrobotne. Czy podając “dane podatkowe” o wartości ZERO, uzyska się dostęp do ich danych osobowych, teleadresowych, bankowych? Bardzo niepoważne jest obwarowanie logowania do portalu polem daty urodzenia, bo wynika ona z pola PESEL, zapewne dla większości populacji. Natomiast nasz PESEL znają także inne osoby/firmy i to wcale nie muszą być podmioty zaufania publicznego.

    2) Dostęp do kont dzieci z nadanym już PESELEM.

  19. Przyznam, że cały ten szum totalnie nie trafia w problem. Wasz artykuł niestety też powiela ten sam schemat myślenia.

    Po pierwsze to żadna dziura, a funkcjonalność. Słabo bezpieczna, ale na Boga, nic nowego, co wymaga nagłej zmiany w systemie i pisania dziesiątek artykułów.

    A co do samych ryzyk, to totalnie nietrafione. Pracodawca już ma te informacje, które rzekomo mają z ePITa „wyciekać”. Pracownicy co roku składają oświadczenia, chociażby do funduszu świadczeń pracowniczych.

    Za to jest inny ciekawszy wektor: dla grupy ofiar w wieku do 20kilku lat łatwo zenumerować PESEL a kwota będzie w dużej części 0.00. A dalej już można wspomóc ulubioną fundację

    • @Kk “Po pierwsze to żadna dziura…”
      Parafrazując “Panieeee, dziura większo niż w dupie”

      @Kk “Pracodawca już ma te informacje, które rzekomo mają z ePITa „wyciekać”. Pracownicy co roku składają oświadczenia, chociażby do funduszu świadczeń pracowniczych.”
      Na oświadczeniu możesz napisać co chcesz. Pracodawca nie ma jak tego sprawdzić. Brak mu podstawy prawnej by pracodawca małżonka udzielił jakiejkolwiek informacji. Zaniżenie kwoty nie jest sankcjonowane przez prawo. W razie złapania za rękę, a w zasadzie przyznania się, musisz zwrócić nienależną część świadczeń (np gruszki)

      @Kk “Za to jest inny ciekawszy wektor: dla grupy ofiar w wieku do 20kilku lat łatwo zenumerować PESEL a kwota będzie w dużej części 0.00. A dalej już można wspomóc ulubioną fundację”
      Nie, nie można. Dochód ZERO=ZALICZKA ZERO=NALEŻNY PODATEK ZERO= 1% na OPP ZERO

    • @minus1 Chyba nigdy nie wypełniałeś PITa elektronicznie – kwoty służące do uwierzytelnienia, o których mowa dotyczą jeszcze poprzedniego roku, czyli PIT składany w 2019, dotyczy 2018, a dane uwierzytelniające są za 2017. Od momentu uwierzytelnienia możesz DOWOLNIE modyfikować wartości dochodów w deklaracji, a co za tym idzie wartość 1% może wynosić więcej niż 0zł. Jeszcze prostszym językiem – możesz wejść po PESELu 13-latka z kwotą 0.00 za 2017 i ustawić mu dochody 50000000zł za 2018 i 1% z tego dać na ulubioną fundację (przykładów celowo nie podaję).

      Za oświadczenie nieprawdy grożą sankcje wbrew temu, co twierdzisz (polecam lekturę chociażby art. 286 kk). Ale to fakt, nie ma prawnych prawnych podstaw do weryfikacji oświadczenia przez pracodawcę. Niemniej – to, że można wpisać wszystko nie znaczy, że tak się dzieje. Nawet jeśli zgrubnie wartości się zgadzają (powiedzmy do 10-tek złotych), to naprawdę nie widzę powodu, by pracodawcy miało to przeszkadzać tak bardzo, by weryfikował PITy pracownikom.

      Powiem to jeszcze raz, bo po komentarzach sądząc inni nadal nie czują ryzyka – problemem nie jest naruszenie poufności tych informacji przez pracodawcę, a raczej ich integralności na dużą skalę.

  20. “W Polsce już od kilku lat stosuje się autoryzację ePIT-ów opartą o dane z formularzy PIT. Dlaczego nikt nie narzekał?”

    Już odpowiadam. Dotychczas służyło to głównie wysyłaniu danych. Teraz zaś służy również odbieraniu danych. Różnica kolosalna

  21. Norwegia: logowanie do wszelkich spraw urzędowych za pomocą tokenu bankowego lub sparowanego numeru telefonu, ew kodów jednorazowych papierowych lub smsowych. Sposobów kilka. Wymagane posiadanie stałego numeru “pesel” by korzystać z tokenu lub telefonu.

  22. Dodatkowy element autoryzacyjny został wprowadzony – dziś rano już pytało o dane z PIT 37 (zwrot/dopłata).

    P.s.
    Wystarczyły dane z dowolnego PIT 11 a nie całość – tak wiec dowolny pracodawca mógł zobaczyć dane zarobkowe z innych źródeł. Ihmo ktoś kto ma dostęp do wielu pracowników, mógł na podstawie ściągniętych danych wyprofilować grupę osób, zarabiających najwiecej i do nich kierować ataki wyłudzające pieniądze.

  23. Identyfikacja kwotami stosowana w e-Deklaracjach była wystarczająca, bo nie było istotnych zagrożeń:
    – wypełnione formularze dostępne były tylko lokalnie, a nie zdalnie, więc nie można było naruszyć tajemnicy skarbowej z dowolnego komputera w sieci.
    – nie było możliwości wskazania numeru konta do zwrotu, więc nie można było przekierować zwrotu z dowolnego komputera w sieci.
    MF nie zaktualizowało analizy ryzyka i dopuściło do powstania poważnych podatności. Fuszerka.

    • co najwyżej 1% mógł ktoś se przekierować

  24. A teraz moje ulubione… osoby składające PIT po raz pierwszy… ktoś widzi jakieś zagrożenie ułatwiające atak? ;)

    • Właśnie!
      Ministerstwo przez tak słąbą autoryzację doprowadziło, że każdy kto składa PIT po raz pierwszy (albo po kilku latach od ostatniego PIT-u – np. po powrocie z zagranicy, gdzie się było rezydentem i rozliczało z tamtejszą skarbówką) jest zagrożony wyciekiem – wystarczy znać PESEL a w rubryki kwot wpisać zera.

      Po pierwszem, nie wolno zmuszać do rozliczania się przez Internet, jednak zachętą do tego nie może być umożliwianie masowego naruszania tajemnicy skarbowej. A do tego dopuściło ministerstwo. I nie mówcie że “komu się będzie chciało to robić”, bo to żaden argument. Jest zasranym obowiązkiem państwa strzec danych podatkowych mieszkańców jak źrenicy oka. Podobnie jak umożliwić rozliczenie papierowe każdemu, który po prostu woli przez Internet się nie rozliczać.

      Tłumaczenia ministerstwa typu “wprowadzimy możliwość sprawdzenia kto się logował” są kuriozalne. To ich zadaniem jest pilnować bezpieczeństwa (w tym porządnej autoryzacji użytkownika) a nie podatnika. Poza tym to działanie już po fakcie – kiedy ktoś się już zapoznał z moimi podatkami, więc doszło do naruszenia tajemnicy prawnie chronionej.

      Wreszcie, w dobie WiFi, darknetu i proxy namierzanie sprawcy jest trudne, a czasem wprost niemożliwe.

    • Już na to wskazywałem. Nie tylko składający po raz pierwszy ale także podatnicy nie osiągający dochodu. IMHO kwestią czau jest gdy ktoś odpali
      TOR + skośny VPN + python (socket+generator pesel) + 0 + 0 (kwoty za 2 poprzednie lata)
      i narobi ludziom bajzlu

    • Już nie odpali, możliwość podawania zer została zablokowana.

    • I tym samym zawęziło to grono osób, które mogą skorzystać z ePIT :D:D:D
      Wykluczeni cyfrowo :D:D:D

    • @up – Jeeezuu… To aż rozczulające jak Polacy lubią sobie wymyślać płotki do przeskoczenia w sytuacjach, gdzie normalny człowiek cieszy się, że ich nie ma :). Kiedyś nie było Internetu i jakoś ludzie żyli, teraz jest i też jest problem, ha ha :).

      Co zrobi taki człowiek “wykluczony cyfrowy”… Ja bym po prostu skorzystał z jednego z wielu dostępnych programów do rozliczenia. Tak jak robiłem to od lat. Strasznie skomplikowane, prawda?

  25. Patrząc na polskie prawo, urzędy i polityków boję się KAŻDEJ “cyfryzacji” w naszym nieszczęśliwym kraju :(

  26. zwracam uwagę, że pracodawca czy księgowy to osoby raczej poważne a oglądając nasz PIT dokonałyby poważnego przestępstwa

    naprawdę sądzicie że ktoś by się na to zdecydował by dowiedzieć się że 1% przekazałem na schronisko dla psów?

    • jeszcze sekretarka która pity wysyła admin co ma dostęp do bazy tej księgowej i cholera wie kto jeszcze

    • > zwracam uwagę, że pracodawca czy księgowy to osoby raczej poważne

      Albo sobie jaja robisz albo nie poznałeś jeszcze żadnego Janusza biznesu.

      > naprawdę sądzicie że ktoś by się na to zdecydował by
      > dowiedzieć się że 1% przekazałem na schronisko dla psów?

      Nic nie sądzę. Po prostu wara innym od informacji o moich podatkach, cokolwiek tam jest. Tak trudno to zrozumieć ćwierćinteligentom w MF??

  27. Mam nadzieje, że Ministerstwo Finansów jest w stanie wyłapać sytuacje gdy dla więcej niż dwóch numerów PESEL podano to samo konto do zwrotu nadpłaty.
    W przypadku gdy dla dwóch numerów PESEL podano to samo konto system powinien jakoś sprawdzać, że dotyczy to małżeństwa.
    Gdyby jakiś oszust chciał zgarnąć zwroty podatku to niech się chociaż trochę napracuje i będzie zmuszony założyć osobne konto dla każdego podatnika – ofiary.
    Chociaż jak pokazuje cytowany wyżej przykład wyłudzenia 170 kredytów w Łęczycy, założenie 170 trefnych kont nie jest wielkim problemem.

    • Ooo, wreszcie sensowny komentarz.
      Nie jestem pewien czy przypadkiem numeru konta nie podaje się w innej deklaracji (jeśli mnie pamięć nie myli, tak było jeszcze kilka lat temu).

  28. Logowanie tylko przez Profil Zaufany wydaje się być postępem. Nie jestem jednak pewien czy to zapewni bezpieczeństwo podatnikom.

    Przeczytałem wszystko co niebezpiecznik.pl ma pod tagiem Profil Zaufany i martwi mnie sprawa procedury zmiany telefonu, który służy do odbierania smsów autoryzacyjnych poruszona pod koniec poniższego artykułu:
    https://niebezpiecznik.pl/post/najwazniejszy-system-e-administracji-nie-ma-zabezpieczenia-ktore-ma-niemal-kazdy-e-sklep/
    Czy ktoś wie jak wygląda ta wymagana autoryzacja? Niebezpiecznik.pl miał co do tego wątpliwości.

    Nie znalazłem jeszcze opisu żadnego oszustwa, gdzie oszust przejął Profil Zaufany ofiary, ale przeczytałem opisy kilku przypadków przejęcia kont w bankach – również tych, które umożliwiają założenie PZ (zwykle takie sprawy nie przedostają się do mediów). Ostatnim takim przypadkiem była sprawa klienta mBanku Józefa Kruka opisana przez Wyborczą:
    https://www.money.pl/pieniadze/kradziez-tozsamosci-przestepcy-grasuja-i-pozbawiaja-oszczednosci-zycia-6341569338521729a.html
    W tej historii oszuści opróżnili konto ofiary, zaciągnęli na dane ofiary 9 kredytów, zawarli umowy z operatorami tel komórkowej.
    Po przejęciu konta nic nie stoi na przeszkodzie aby do tej listy dołączyć przejęcie/założenie PZ, złożenie/skorygowanie PITu w którym oszust ubiega się o wszystkie możliwe ulgi i wskazuje do zwrotu konto bankowe nad którym ma kontrolę.
    Jeśli podatnik – ofiara się zorientuje, że coś takiego miało miejsce to wyjaśni sprawę w Urzędzie Skarbowym. Gorzej jeśli tego nie zauważy i US zrobić zwrot na konto oszusta.

    • > Logowanie tylko przez Profil Zaufany wydaje się być postępem.
      > Nie jestem jednak pewien czy to zapewni bezpieczeństwo podatnikom.

      Uwierzytelnianie tylko przez numer PESEL i kwoty zostało wybrane przez MF po to, by jak najwięcej ludzi rozliczało się przez Internet. Taki sposób jest z założenia niebezpieczny, ale wprowadzenie opcji “loguj mnie tylko przez Profil Zaufany” wymaga uprzedniego działania przez podatnika, a zatem nadal pozostawia możliwość pierwszego niebezpiecznego logowania.

  29. Ciekawe, jak w przyszłym roku będziemy się logowali – bo przecież dane z poprzedniego formularza będą tylko w e-PIT, do którego się nie zalogujemy bez danych w nim przechowywanych.
    Przydałaby się możliwość wydrukowania, albo pobrania pdf z e-pit, co częściowo rozwiązuje ten problem.

    • Przecież jest możliwość wydrukowania. Jak wydrukujesz swojego PIT-a to wyskakuje potem “pobierz UPO”. Ja mam inny problem. Nie mogę zalogować się, jeśli mam kwotę niedopłaty / nadpłaty 0 (zero). Trzeba wybrać jakąś wartość różną od zera. A profilu nie zamierzam zakładać.

  30. Słaby system, a propozycje uszczelnienia jeszcze słabsze. Bo jaką ochronę stanowi historia logowań, oglądana po fakcie albo przez niektórych w ogóle nie odwiedzana? Aż prosi się tu o 2FA, przecież dane podatników i tak wszystkie mają.

    • Mam wrażenie,że większość nie chce aby to dobrze uszczelnić bo przestanie być wygodnie.

      Ministerstwo Finansów mogłoby wprowadzić zasadę, że po podaniu nowego rachunku do zwrotów
      1) przychodzi powiadomienie email i sms o wprowadzeniu nowego rachunku
      2) przez 30 dni na nowy rachunek nie można wysłać żadnego zwrotu
      3) po 30 dniach email i sms, że nowy rachunek jest aktywny
      Procedura zmiany adresu email i nr tel do sms powinna być również dobrze przemyślana aby oszust nie zmienił najpierw danych kontaktowych a potem nr rachunku – tak aby powiadomienia nie dotarły do podatnika.
      Jeśli ktoś utraci kontrolę nad swoim emailem i telefonem (nastąpi kradzież tożsamości) 30 dni powinno wystarczyć aby sprawdzić swoje dane w Urzędzie Skarbowym.

  31. No a ja mam jeszcze ciekawszy problem z systemem E-PIT. otóż w swoim czasie prowadziłem działalność gospodarczą która jest zawieszona. w tym momencie na stronie głównej panelu mam dwie możliwości złożenia pitów – oczywiście dla działalności a nie dla użytkownika indywidualnego. Na chacie nic nie wiedzą, coż chyba starą szkołą trzeba będzie po prostu wylać poleconym.

Odpowiadasz na komentarz Jan

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: