TVRTKA PostLink, oglasila se nakon što je stručnjak za računalnu sigurnost Marko Rakar u svojoj objavi na blogu ustvrdio da je u njihovu servisu za razmjenu digitalnih računa Sveračun uočio ozbiljne sigurnosne propuste.

Iz PostLinka poručuju da su Rakarove tvrdnje rezultat "režiranog eksperimenta" te da su registracija i slanje računa u sustavu namjerno jednostavni.

Valja podsjetiti da je tvrtka PostLink jedan od informacijskih posrednika preko kojih će se, kada obveze iz novog zakona počnu u potpunosti vrijediti od 1. siječnja 2026., slati računi krajnjim kupcima. Inače, ta tvrtka je u vlasništvu HP - Hrvatska pošta d.d., koja je dioničko društvo u vlasništvu Republike Hrvatske.

Ukratko, iz PostLinka kažu da sve što je Rakar objavio stoji, ali da je odgovornost na provjeri podataka ionako na korisniku. Također, iz PostLinka tvrde da novi sustav Fiskalizacije 2.0 još nije u primjeni, ali na službenim stranicama Porezne 14. studenog ove godine objavljeno je da je web servis za fiskalizaciju "dostupan za korištenje u produkcijskom okruženju".

Što kažu iz PostLinka?

Odgovor PostLinka na Rakarovu objavu koju smo jučer prenijeli prenosimo u nastavku.

"Budući da je Marko Rakar u svojoj objavi na linku Sigurnost fiskalizacije 2.0 – Mračni blog koju su prenijeli i neki drugi mediji u Hrvatskoj direktno prozvao tvrtku PostLink d.o.o. ukazujući na navodne sigurnosne propuste u servisu za razmjenu digitalnih računa Sveračun, želimo odgovoriti na tvrdnje koje je gospodin Rakar iznio. 

Gospodin Rakar tvrdi da se na sustav Sveračun prijavio lako. To je istina jer je PostLink ciljano razvio servis s najjednostavnijom registracijom kako bi našim korisnicima omogućio brz i jednostavan pristup platformi i brzo i jednostavno poslovanje. 

Gospodin Rakar tvrdi da je preko PostLinkova servisa Sveračun moguće poslati račun bilo kome koristeći lažne podatke prilikom registracije. I to je točno, baš kao što je i danas moguće poslati račun bilo kojoj pravnoj ili privatnoj osobi e-mailom, poštom ili čak taj račun osobno dostaviti na nečiju adresu, neovisno jeste li registrirana tvrtka ili prevarant koji se nazvao Pero Djetlić (ime koje je gospodin Rakar koristio prilikom stvaranja lažnog računa).

Baš kao što provjera ispravnosti računa ili kredibilitet pošiljatelja tog računa nije zadatak Googlea (ako se, naprimjer, koristi slanje računa g-mailom) ili Hrvatske pošte ako se šalje na fizičku adresu, tako nije ni zadatak posrednika provjeravati račune koji se šalju i pravne subjekte koji ih šalju. Zadatak je to osobe ili tvrtke koja račun zaprimi. Za očekivati je da će oni znati jesu li naručili uslugu za koju im se račun izdaje i jesu li poslovali s tvrtkom koja im račun šalje, bila ona stvarna ili lažna kao u slučaju eksperimenta gospodina Rakara", navode iz PostLinka.

"Rakar je mogao napraviti eksperiment jer Fiskalizacija 2.0 još nije na snazi"

"Ako bi gospodin Rakar bez ikakve provjere platio račun koji mu ispostavi Pero Djetlić ili tvrtka s kojom nije imao nikakav poslovan odnos, to bi bio dokaz ozbiljnosti poslovanja osobe koja se predstavlja stručnjakom za sigurnost. Mi na takav način ne podcjenjujemo poduzetnike u Hrvatskoj. 

Kad bismo mi, primjerice, iz tvrtke PostLink fakturirali račun gospodinu Rakaru, bio on digitalni ili fizički, na milijun eura za PR usluge što ga ovim tekstom promoviramo, bi li se gospodin Rakar zapitao odakle račun za uslugu koja nije dogovorena od tvrtke s kojom ne surađuje ili bi ga samo platio? 

Čak i kad bi ga platio, gospodin Rakar bi bio žrtva prevare, ali samo zahvaljujući vlastitoj naivnosti što nikako nije odgovornost posrednika koji mu je račun dostavio. Tu prevaru bi, naravno, upravo gospodin Rakar bio dužan prijaviti nadležnim institucijama. 

Ovaj eksperiment gospodina Rakara bilo je moguće napraviti zato što Fiskalizacija 2.0 još nije na snazi. Od 1. siječnja 2026. godine, kada slanje digitalnih računa postane obaveza za sve obveznike sustava PDV-a, mijenjaju se i pravila autentifikacije", dodaju iz PostLinka.

"Ako dobijete račun na kojem je pošiljatelj Pero Djetlić, ne plaćajte ga"

"Proces registracije započinje odabirom informacijskog posrednika. Potpisivanjem ugovora o poslovnoj suradnji između tvrtke i informacijskog posrednika realizira se prvi korak njihove međusobne poslovne suradnje. Na temelju tog prvog koraka informacijski posrednik prosljeđuje informaciju o svojem novom korisniku Poreznoj upravi iz koje nakon toga šalju poveznicu na službenu e-mail adresu te tvrtke navedenu na trgovačkom sudu te poziva ovlaštenu osobu tvrtke da u aplikaciji porezne uprave odabere informacijskog posrednika kojem dodjeljuje ulogu zaprimanja fiskaliziranih računa. Važno je naglasiti da za zaprimanje eRačuna može biti odabran samo jedan informacijski posrednik. Nakon toga korisnik odabire jednog ili više informacijskih posrednika preko kojega, odnosno kojih, će slati svoje izlazne račune te realizirati proces fiskalizacije te eIzvještavanja. 

Dakle od 1.1. 2026. godine odabir i sigurnosna potvrda informacijskog posrednika se događa na platformi Porezne uprave čime se jamči sigurnost unosa i potvrde informacijskog posrednika.  

A Sveračun korisnicima nudi i dodatan element sigurnosti korištenja sustava kroz 2FA autentifikaciju.   

I, za kraj, dobili smo informaciju da Pero Djetlić šalje račune tvrtkama pa koristimo priliku da upozorimo poduzetnike – ako dobijete račun na kojem je kao pošiljatelj naveden Pero Djetlić, ne plaćajte ga! U pitanju je vjerojatno prevara", zaključuju u svom priopćenju koje su nam poslali.

Rakarov test

Podsjetimo, jučer smo prenijeli Rakarovu objavu s njegova bloga u kojoj je, da bi dokazao razmjere problema, proveo jednostavan test na servisima dvojice informacijskih posrednika: eRačun Hrvatske pošte (PostLink d.o.o.) i Tvoj-Eračun (OmniSight d.o.o.).

U oba slučaja uspio se registrirati koristeći privremenu, lažnu e-mail adresu i OIB bilo kojeg poslovnog subjekta, pa čak i onog koji je obrisan iz sustava. Nikakva provjera identiteta nije provedena - nitko ga nije nazvao niti tražio ijedan dokument.

Odmah nakon registracije, sustav mu je omogućio slanje eRačuna u ime tvrtke čiji je OIB koristio.

To znači, piše Rakar, da se doslovno bilo tko danas može prijaviti na servis, primjerice, Hrvatske pošte, predstaviti se kao INA ili Pliva i početi slati lažne račune na stvarne adrese, nadajući se da će netko nasjesti i platiti. Na jednom od lažnih računa čak je uspio navesti IBAN registriran u Poljskoj, a na drugom se servisu registrirao pod imenom "Pero Djetlić".