Ley antifraude 2021 (VERIFACTU) - Programas informáticos

[antoine0]

Cita:

Empezado por Neftali [Germán.Estévez]

"La integridad e inalterabilidad de los datos registrados se asegurará utilizando cualquier proceso técnico fiable que garantice el carácter fidedigno y completo de los registros de facturación desde que hayan sido grabados en el sistema informático"
=> Entiendo que habrá que utilizar certificado/firma con todo lo que se envíe (JSON/XML/...).

Es cierto que hay que usar certificados (o equivalente como cl@vePIN) para transmitir cualquier cosa a Hacienda, para autenticarse; de no ser así, eventualmente cualquier mengano podría remitir documentación en nombre de fulano; y entonces fulano podría decir a Hacienda que no es lo suyo, y así evadir cualquier control Entonces se precisa HTTPS/TLS con certificado de cliente. Nada nuevo aquí.

Pero lo citado no se refiere a eso; se refiere a los mecanismos dentro de la aplicación (o de la base de datos).
Y aunque se pueden usar firmas electrónicos para cada registro grabado, no creo que sea siempre necesario, sobre todo por dos razones: 1, en términos de CPU, no sale gratis la firma electrónica; y 2, para firmar de forma completamente automática, la clave privada debe ser bajo el control del proceso automatizado, la cual cosa crea un potencial agujero de seguridad; qué atrae más complejidad, lo contrario del efecto buscado. Imaginad la diferencia en termino de código y de debug entre:

1. Calcular (eventualmente en un disparador) el hash SHA-2 de los datos de un registro más las referencias y huella del registro anterior (que crea el encadenamiento);
   o
2. engancharse con un módulo HSM externo para grabar cada registro en la base de datos

Yo sé con cuál de los dos prefiero lidiar

[Neftali [Germán.Estévez]]

Cita:

Empezado por antoine0

Pero lo citado no se refiere a eso; se refiere a los mecanismos dentro de la aplicación (o de la base de datos).

La integridad e inalterabilidad de los registros de facturación de forma que, una vez registrados
los datos de facturación, éstos queden protegidos contra cualquier acción que comprometa la
exactitud, autenticidad y completitud de los datos almacenados, de manera que ninguno de los
datos registrados pueda ser alterado, ni por el propio sistema informático, ni por el usuario ni por
ningún dispositivo, sistema o programa informático o electrónico externo.

El sistema informático no dispondrá de ninguna funcionalidad que permita, de forma presencial o
remota, alterar u ocultar los datos originales previamente registrados.


Tienes razón, esto se refiere a los mecanismos desde tu aplicación (ya he dicho que lo había leído rápido), pero debería bastar con algo básico; No creo que haya que usar firmas ni hashes dentro del propio programa (a lo más si lo deseas, puedes encriptar BD, aunque poersonalmente no me gusta si no es estrictamente obligatorio).
1) Tu aplicación no debe permitir hacer "cosas raras" (B)
2) Una vez modificados los datos y enviados, tu aplicación no debe permitoir modificarlos.
3) Debes proteger el acceso a la Base de Datos (SGBD) con usuario/contraseña, de forma que nadie desde fuera pueda acceder a los datos y cambiarlos.

Con eso te aseguras esa integridad e inalterabilidad.

[antoine0]

Cita:

Empezado por Neftali [Germán.Estévez]

No creo que haya que usar firmas ni hashes dentro del propio programa

Sí, hay que usar huellas / hashes: mira al artículo 12; también a la letra ñ) del 10.1, dónde se especifica

Cita:

ñ) El número y, en su caso, la serie de la factura anterior, la fecha de expedición y parte de la huella o «hash» del registro de facturación de alta correspondiente a la factura anterior, cuando no se trate de la primera factura expedida.

Se deduce que hay al mínimo una huella en todos los registros (salvo el primero).

Una cosita interesante es que en el artículo 11 (registros de anulación, cuando el 10 es para los registros normales) no hay un equivalente a la ñ. Entonces las anulaciones no están encadenadas por construcción (sigue de aplicación el 8.2 b que manda encadenar). Supongo que es por qué estos registros pueden ir opcionalmente mezclados con los normales en algunos sistemas (cuando los abonos se consideran como una forma más de factura).

[Neftali [Germán.Estévez]]

Cita:

Empezado por antoine0

Sí, hay que usar huellas / hashes: mira al artículo 12; también a la letra ñ) del 10.1, dónde se especifica
...

Creo que estás mezclando cuando se habla de registros, los que son de la propia aplicación, con los "registros de facturación" que se envían a la administración.

Cuando habla de esto:
Artículo 9.Generación del registro de facturación de alta

Se está refiriendo no a tu factura en BD, sino que ese "registro de facturación de alta" es el elemento que tú debes generar (XML, JSON,...) y que será enviado a la AEAT. Ese registro/fichero sí que va firmado, lleva encadenamiento, hash,...

Por eso luego habla de:
Artículo 11.Generación y contenido del registro de facturación de anulación

Lo mismo. Eso se refiere al XML/JSON que tú debes generar y envias cuando anulas una factura. En tu sistema la información de anulación no tiene porqué tener TODA la información que ahí se detalla. Piensa que tú para una anulación en tu sistema es posible que sólo necesites el ID de la factura inicial y FECHA de aulación y lo que ahí te pide es todo lo que se detalla en el artículo 11. Eso te está indicando que NO SE REFIERE a tu registro de BD, sino al "registro que envías".

Aquí deja claro que "el registro de facturación" NO ES tu registro de la Base de Datos, que tú puedes guardarlo como te convenga, sino a los ficheros que tú generas y envias a la administración:

Asimismo, los registros de facturación de alta y de anulación a que se refieren los mencionados
artículos deberán ser firmados electrónicamente. Esta firma electrónica no será obligatoria para
los sistemas informáticos que realicen la remisión de todos los registros de facturación a la
Agencia Estatal de Administración Tributaria según lo indicado en los artículos 15 y 16 de este
Reglamento

[ermendalenda]

El tema de garantizar los eventos es para mi el tema más complicado que nos han dejado ypodemos ir exponiendo ideas para no perdernos en generar infinitos datos intratables.
Hay que tener en cuenta:
-Estructura de los eventos para guardar en una base de datos
-Modo de garantizar la inviolabilidad de los registros.
-Que datos son propensos de grabar, ya que es tontería guardar la marcacion de las facturas, anulaciones etc ya que ya está guardada por otro lado y ya en si es un evento.
Por ejemplo:
¿Una empresa externa a la que le enviemos los eventos por webservice puede ser garantía de inviolabilidad?
Generar xmls o json firmados de miles de eventos va a tener una ocupación tremenda y manejar la petición de datos a través de esos ficheros firmados no es muy práctica, y generar una bd paralela para pedir los datos no es garantía de nada.
Vamos a intentar ser pragmáticos y buscar entre todos soluciones para esta problemática. Me parece absurdo este paso que dejan una puerta abierta a que cada uno decida que es un evento. Deslizar un dedo por la pantalla es un evento de mouse. Pulsar un producto y después eliminarlo es un evento más lógico de grabar. Fichar una entrada o salida de usuario por tener un módulo en el mismo software de facturación para el control horario, también es un evento, pero no es competencia de hacienda, ya que ese evento puede ser de un usuario que no factura, un limpiador, un cocinero.
Pienso que falta regulación y va a crear una laguna que para los informáticos se va a traducir en intranquilidad.

[antoine0]

No creo equivocarme.

Hablo siempre de los registros de facturación de alta o de anulación, colectivamente llamados registros de facturación en el reglamento (¿hay más tipos posible?)
No creo que el formato de estos registros siga descrito en el reglamento más allá de ser una compilación de varios datos (art.8) o elemento de información (art. 9-11). De hecho, creo que la forma puede variar según las operaciones que se realizan. Lo que se pide es que la compilación siga siempre integre e inalterable, y que se pudiera demostrar.

Dentro de las operaciones está subir los registros a Hacienda (art. 15.1). Esta vía soluciona efectivamente gran parte del problema (art. 16.2 dice que «cumplen por diseño» el 8.2), elimina la firma digital, quedando en practica solo el tema de la huella, arreglar el 10.1 ñ (datos de la factura anterior), generar el QR y, last but not least, la log, ya que todas las demás cosas deben existir en cualquier sistema de facturación actualmente conforme; además evidentemente de empezar con una base claramente limpia (dónde no se puede trastear con los datos, dónde las facturas se graban de una sola vez etc.)

En tal caso, la DFÚ (última página) promete un O.M. que definirá (apartados a, c, d, e y g) la huella, la forma de dichos registros cuando se suben y un largo etc. Dicho de otra manera, falta mucho para entrar en detalle.
Por ejemplo, yo leía que la huella, parte del registro descrito en el artículo 10, está sometida al art. 8.1 b y por tanto debe ser generado en el momento de la emisión de la factura, un momento que veo distintamente anterior a la subida del registro a Hacienda. Pero es cierto que tu lectura, que se genere la huella solo en el momento de subir los datos, actuando directamente sobre el registro en la forma que se envía a Hacienda, se puede defender.

Sin embargo, yo me planteaba sobre todo en el caso opuesto, cuando no se suben los registros a Hacienda, que para mi es lo más probable en un primer tiempo, es decir, antes que los informáticos de Hacienda hayan puesto en marcho el nuevo sistema y que se haya estabilizado las especificaciones de la O.M.

[Zento]

Os veo muy pesimistas... Dos cosas que me daban miedo y con las que me quedo más tranquilo:

• Con una declaración responsable del desarrollador, suficiente. Nos ahorramos que nos auditen el código y los costes que hubiera conllevado.
• Según la disposición adicional tercera, si tu programa soporta SII, ya tienes la mitad de la faena hecha, pero creo que de incluir el hash de la anterior no nos libramos, y algo de complicación técnica nos van a incorporar.

[ermendalenda]

Cita:

Empezado por Zento

Os veo muy pesimistas... Dos cosas que me daban miedo y con las que me quedo más tranquilo:

• Con una declaración responsable del desarrollador, suficiente. Nos ahorramos que nos auditen el código y los costes que hubiera conllevado.
• Según la disposición adicional tercera, si tu programa soporta SII, ya tienes la mitad de la faena hecha, pero creo que de incluir el hash de la anterior no nos libramos, y algo de complicación técnica nos van a incorporar.

El pesimismo está fundado en que hay mucho trabajo que hacer en relativamente poco tiempo, ya que no podemos dejar de lado otros proyectos que son más productivos para las empresas, se pueden dar otros enfoques que lea viene bien a ciertas empresas pero no a todas, unos dicen que es una oportunidad de venta, pero no puede ser optimismo para todos. Depende de las circunstancias de cada uno

[luci5]

Hola buenas,

He estado leyendo el borrador de la ley y algunos artículos de blogs al respecto. Por ahora, llego a la conclusión que es más fregado de lo que parece, o más fregao que el Ticket BAI. Yo entiendo que no sólo afecta a los sistemas de facturación sino a la gestión empresarial en general:

Cita:

Artículo 8: Requisitos de los sistemas informáticos que registren y documenten las entregas de bienes y prestaciones de servicios

1. Los sistemas informáticos a que se refiere el artículo 1 de este Reglamento y que se utilicen
para registrar y documentar las entregas de bienes y prestaciones de servicios deberán garantizar
la integridad, conservación, accesibilidad, legibilidad, trazabilidad, e inalterabilidad de los registros
de facturación regulados en los artículos 9, 10 y 11 de este Reglamento.

El sistema informático deberá cumplir los siguientes requisitos, que deberán realizarse de forma
automatizada:

a) Por cada entrega de bienes o prestación de servicios deberá generar, de forma simultánea o
inmediatamente anterior a la expedición de la factura, un registro de facturación de alta.

b) El sistema informático deberá tener capacidad de remitir información a la Administración
tributaria de forma continuada, segura, correcta, íntegra, automática, consecutiva, instantánea y
fehaciente todos los registros de facturación generados por medios electrónicos, en particular los
registros de facturación a que se refieren los artículos 9, 10 y 11 de este Reglamento

Imagina que tienes una app que es sólo para gestionar servicios, booking o pedidos... ¿Esta app, por narices, a partir de ahora también tendrá que contemplar procesos de facturación, o enlace a un sistema tercero, y cumplir con las exigencias técnicas (y la responsabilidad que conlleva)?

Cita:

Empezado por Zento

Os veo muy pesimistas... Dos cosas que me daban miedo y con las que me quedo más tranquilo:

• Con una declaración responsable del desarrollador, suficiente. Nos ahorramos que nos auditen el código y los costes que hubiera conllevado.
  .

Aunque tu declares de buena fe que tu software cumple 100% con la normativa, porque así lo crees, eso no nos va a eximir de culpa en caso de fallo o incumplimiento. ¿Cómo estás seguro 100% que tu software cumple a raja tabla? Puedes tener un bug o no haber contemplado una situación o haber interpretado la norma de manera distinta. Dada la responsabilidad que ello conlleva, básicamente porque las sanciones son 6 cifras, ¿tendremos que contratar un seguro de responsabilidad? ¿hacer auditorías? Aunque no sea obligatorio, pero por seguridad.

Cita:

Empezado por afxe

No sé si os está pasando... pero ayer mismo almorcé con un colega de profesión (autónomo independiente, con no muchas instalaciones) y le pregunté cómo llevaba lo de la nueva normativa, el bloqueo de facturas, el concepto de Verifactu... y, no sólo no tenía ni idea, sino que pensaba que me estaba quedando con él. Y a medida que le explicaba, más pensaba que era mentira. Al final, no lo convencí, me dijo... "si eso es verdad, lo van a estar aplazando durante años... más años de los que llevan intentando quitar los módulos". Hasta ahora, los clientes reaccionan con indignación, pero casi ninguno con incredulidad.

Hay empresas tecnológicas que están tramitando las ayudas y el cheque tic para poner firewalls, antivirus, webs... y no tienen ni idea de lo que se viene encima... pero para colmo, es que ni las empresas pequeñas y desarrolladores independientes lo saben.

Si no es por foros como este... ¿dónde se está dando a conocer esta información? ¿en entrevistas a cadenas autonómicas? Quitando el BOE, por supuesto, que todo el mundo lee durante el desayuno, aunque sólo te dejan claro la multa que te van a poner si no haces inmediatamente lo que te dicen que dirán que hagas.

Totalmente. Esto del proyecto del reglamento yo me he enterado hace unos días por casualidad. Hay muchísima gente del sector y responsable de empresas de desarrollo que no están al tanto de lo que viene en un futuro. Y lo que es peor, creo que muchos desarrolladores de ecommerces creen que esto no va con ellos, cuando también están incluidos. Entra cualquier sistema informático, sea una web, app móvil o software de escritorio.

Lo que veo complicado que pasará con las aplicaciones open source. ¿Quién se responsabiliza?



A ver si la AEAT abre un buzón de consultas, como se hizo en el País Vasco con Ticket BAI.