W 2008 kilkuset podatników złożyło PIT przez Internet a w 2009 prawie 80 tysięcy. Zniesienie wymogu e-podpisu było główną przyczyną tak gwałtownego wzrostu. Okazało się, że brak podpisu elektronicznego po stronie płatnika nie spotęgował głównych zagrożeń dla tej operacji tj. złożenia PITu za inną osobę bez jej wiedzy lub złożenia PITu a potem wyparcia się tego faktu. Twórcy systemu przyjęli, że te zagrożenia można skutecznie zminimalizować przez wykorzystanie unikalnej wiedzy podatnika o danych personalnych i kwocie przychodu z roku poprzedniego. Podpis elektroniczny jest nadal stosowany, ale tylko do potwierdzenia odbioru poprawnie wypełnionego PITu.
Zupełnie inaczej postąpiono w przypadku programu Płatnik, który jest używany do składania deklaracji do ZUS drogą elektroniczną. Po wielu latach stosowania zwykłego e-podpisu z kluczami szyfrującymi przechowywanymi na dysku zdecydowano się zmusić płatników do zakupu za kilkaset złotych zestawów do bezpiecznego podpisu kwalifikowanego pomimo faktu, że do tej pory nie wykryto ani jednego nadużycia wykorzystującego słabości dotychczas stosowanego e-podpisu.
Wykorzystanie kwoty przychodu z poprzedniego roku do uwierzytelnienia osoby składającej PIT przez Internet tworzy nowe problemy bezpieczeństwa. Kwota przychodu może być zweryfikowana centralnie lub lokalnie, czyli:
- w specjalnie utworzonej centralnej bazie danych wszystkich płatników zawierającej rekordy z co najmniej dwoma polami (PESEL, kwota przychodu w 2008), albo
- poprzez przesłanie kwoty przychodu z każdego złożonego elektronicznie PITa wraz numerem PESEL do odpowiedniego urzędu skarbowego w celu potwierdzenia zgodności
Gdyby baza danych z numerami PESEL i kwotami przychodu wszystkich płatników wyciekła na zewnątrz to powstałoby wiele poważnych zagrożeń. Taka baza jest bardzo atrakcyjna (nie tylko dla biznesu HR i świata przestępczego) i nie powinna powstać pod żadnym pozorem. Na podstawie pobieżnej analizy systemu elektronicznego składania PITów i długości czasu operacji sprawdzania złożonych danych można wnioskować, że jest wykorzystywana jakaś mutacja drugiego sposobu weryfikacji kwoty przychodu.
Jednak jest bardzo prawdopodobne, że PITy złożone przez Internet są trzymane na serwerze (dla backupu, późniejszej weryfikacji integralności i błędów, etc.). Zatem wszyscy, którzy złożyli PIT drogą elektroniczną powinni wziąć pod uwagę ewentualność, że w jakieś formie istnieje zbiór elektroniczny z ich numerami PESEL i kwotami przychodów.
Szkoda, że twórcy sytemu nie dostrzegli tych zagrożeń. Można je łatwo wyeliminować np. żądając podania ostatnich 4 cyfr zamiast całej kwoty przychodu. Albo stosować sumy kontrolne SHA lub podobne zamiast kwoty przychodu (przekształcenie kwoty przychodu w sumę kontrolną odbywałoby się w wewnątrz oprogramowania przed wysłaniem PITu do serwera).
O innych nieporozumieniach dotyczących stosowania e-podpisu pisałem tutaj.