Javili se iz firme čiji je servis eRačuna Rakar kritizirao

TVRTKA OmniSight, oglasila se nakon što je stručnjak za računalnu sigurnost Marko Rakar u svojoj objavi na blogu ustvrdio da je u njihovu servisu za razmjenu digitalnih računa Tvoj Eračun uočio ozbiljne sigurnosne propuste.

Iz Omnisighta navode da su takve tvrdnje netočne i nepotpune, te naglašavaju da Fiskalizacija 2.0 trenutno nije u produkciji i da u sustavu ne postoji nijedan stvarni račun.

U odgovoru na Rakarov blog navode da je Rakar provodio testiranje u fazi u kojoj sustav još nije operativan te da takvi eksperimenti ne predstavljaju stvarni sigurnosni rizik. 

S druge strane, Porezna je ranije ovog mjeseca na svojim službenim stranicama objavila da je web servis za fiskalizaciju "dostupan za korištenje u produkcijskom okruženju". Također, obveze iz novog zakona o fiskalizaciji počet će u potpunosti vrijediti od 1. siječnja 2026.

Priopćenje tvrtke Omnisight

Priopćenje tvrtke Omnisight prenosimo u nastavku.

"U odnosu na navode iz članka objavljenog pod rubrikom „Index Vijesti dana 25. studenog 2025., naslova: "Rakar: Testirao sam novi sustav eRačuna i otkrio golem propust" , u kojem se sugerira da Fiskalizacija 2.0 predstavlja sigurnosne rizike za poduzetnike , ističemo da takve tvrdnje nisu utemeljene na važećim propisima i ne uzimaju u obzir sve sigurnosne i zakonske mehanizme koji su već ugrađeni u sustav, prema službenom priopćenju Porezne uprave objavljenom 27.11.2025..

Ipak, ova rasprava otvara dva važna pitanja: našu odgovornost za sigurnost vlastitih podataka te realan pogled na stanje sustava - gdje smo danas i što nas čeka od 1. siječnja 2026..

Odgovornost i potreba za stalnom pažnjom

Prijevare, zlouporabe i pokušaji manipulacije podacima postoje otkako postoje i podaci. Svaka nova tehnologija otvara nove prilike za napredak, ali i nove rizike od zlouporabe. Fiskalizacija 2.0 neće sama od sebe "odraditi posao" umjesto nas i dalje moramo održavati sigurnosnu higijenu:

• koristiti jake lozinke i dvofaktorsku autentifikaciju
• ne dijeliti pristupne podatke
• redovito pratiti sustavne obavijesti i promjene
• biti oprezni s neovlaštenim zahtjevima ili neuobičajenim aktivnostima.

Testiranje vs. produkcija - gdje smo danas?

Važno je istaknuti ključnu činjenicu: sustav Fiskalizacija 2.0 trenutačno nije u produkciji. Sustav je još u testnoj fazi, ne u produkcijskoj, kako se u predmetnom članku pogrešno navodi. Testiranje zajednički provode ovlašteni informacijski posrednici i Porezna uprava.

Ciljevi testiranja su:

• provjera tehničke kompatibilnosti različitih programskih rješenja
• provjera protokola, formata i sigurnosnih mehanizama
• otkrivanje i otklanjanje tehničkih poteškoća prije ulaska u produkciju.

Tijekom testiranja primjenjuju se isključivo testni podaci, a ne stvarni poslovni podaci, čime se osigurava da nijedan poslovni subjekt nije izložen riziku. Kao što Porezna uprava naglašava, testna faza postoji kako bi se otkrili nedostaci prije nego što sustav postane obvezujući. Produkcija započinje 1. siječnja 2026..

Izbor informacijskog posrednika - prvi sloj sigurnosti

U sustavu Fiskalizacija 2.0 svaki poduzetnik zadržava potpunu kontrolu nad time tko obrađuje njegove račune. Putem aplikacije FiskAplikacija poduzetnik mora:

• odabrati ovlaštenog informacijskog posrednika
• autorizirati ga u sustavu
• nadzirati sve transakcije koje posrednik obavlja u njegovo ime.

Bez tih koraka, slanje i primanje fiskalnih računa neće biti moguće. Drugim riječima nitko ne može slati račune "u tuđe ime" bez ovlaštenja, a sustav će svaku sumnjivu aktivnost odmah prijaviti na mail adresu registriranu na sudskom registru (službena mail adresa subjekta).

Tehnički i pravni mehanizmi zaštite

Sustav se oslanja na više razina zaštite – tehničke, pravne i regulatorne.

Tehničke mjere:

• kriptografska zaštita i TLS komunikacija: svi eRačuni su šifrirani
• evidencija aktivnosti i revizijski trag: svaki postupak se bilježi i može se provjeriti
• automatske autorizacijske provjere
• obvezna registrirana e-adresa u sudskom registru za sve izdavatelje i primatelje računa
• automatske obavijesti u slučaju pokušaja korištenja tuđeg OIB-a
• dodatne provjere putem Bon.hr (valjanost OIB-a, adresa, status subjekta).

Pravne i regulatorne mjere:

• informacijski posrednici bit će, sukladno Zakonu o kibernetičkoj sigurnosti, "ključni subjekti", što znači da su obvezni provoditi stroge mjere, prijavljivati incidente i podlijegati nadzoru.
• Zakon o fiskalizaciji propisuje obvezu posrednika da posjeduju certifikat ISO/IEC 27001, čime se osigurava primjena međunarodnih sigurnosnih standarda.
• odgovornost za ispravnost fiskalizacije, identiteta subjekta i vjerodostojnost računa je jasno definirana zakonom kroz Zakon o fiskalizaciji, Opći porezni zakon, Zakon o PDV-u i druge propise.

Sve ove mjere tvore sustav koji je zakonski, tehnički i organizacijski zaštićen.

Činjenice vs. senzacionalizam

Kada se sagleda cjelina, postaje jasno da tvrdnje o "kompromitiranom sustavu" ili "riziku od zlouporabe" zanemaruju temeljnu činjenicu: testna faza nije produkcija. Testna faza postoji da bi se pronašli i uklonili tehnički problemi – upravo kako profesionalan razvoj i treba funkcionirati.

Nijedan stvarni račun nije u sustavu, nijedan poslovni subjekt nije izložen riziku i nijedna zlouporaba u produkciji jednostavno nije moguća bez autorizacije poduzetnika.

Što poduzetnici trebaju učiniti kako bi bili spremni

Za sigurnu i jednostavnu pripremu za 1. siječnja 2026., preporučujemo sljedeće:

• pratite službene objave Porezne uprave i koristite isključivo službene informacije
• odaberite i autorizirajte ovlaštenog informacijskog posrednika u FiskAplikaciji
• redovito provjeravajte sustavne obavijesti i notifikacije
• osigurajte da je vaša službena e-adresa registrirana u sudskom registru
• educirajte zaposlenike o sigurnom postupanju s podacima, lozinkama i fiskalnim obvezama.

Bez želja za ikakvih prepirkama i potragom za senzacionalističkim marketingom, Tvoj e-Račun ostaje predan pružanju stabilnih, sigurnih i tehnološki naprednih rješenja koja podupiru digitalizaciju poslovanja svih naših korisnika. U svom radu OmniSight d.o.o. pridržava se najviših sigurnosnih standarda, zakonskih zahtjeva i najboljih industrijskih praksi, s jasnim ciljem: zaštita podataka i osiguravanje neprekinutog poslovanja svakog klijenta.

Korisnicima smo dostupni za sva pitanja, podršku i savjetodavne usluge, a sve aktivnosti usmjerene su prema pružanju pouzdane usluge i potpunoj transparentnosti", navodi se u priopćenju tvrtke Omnisight.