606 954 593

Ley Antifraude de Software: ¿Cómo Cumplir con la Ley y el Reglamento? Los Riesgos de la Auto-Certificación.

Perito informatico judicial_2

08 Dec Ley Antifraude de Software: ¿Cómo Cumplir con la Ley y el Reglamento? Los Riesgos de la Auto-Certificación.

Posted at 10:26h in Articles, Blog, Ley antifraude by

Lo primero que queremos transmitir a todos nuestros lectores y clientes es que nos sentimos orgullosos de que todas las acciones y controles que hemos estado implementando desde septiembre de 2021 estén totalmente alineados con la ley y el reglamento aprobado ayer, 6 de diciembre de 2023. Como hemos explicado en numerosos webinars, charlas, congresos y artículos, nuestra base como auditores de otras homologaciones y certificaciones, incluyendo ser líderes en homologaciones de digitalización certificada de facturas con la AEAT, nos ha permitido ofrecer sólidos consejos y recomendaciones a nuestra base de más de 100 clientes auditados.

De esta manera, nuestros clientes que han seguido e implementado nuestros controles ya tienen realizado un 85% del trabajo. Entonces, ¿qué pasa con los nuevos clientes y contactos que no han iniciado el proceso y que ahora están contactándonos de nuevo?

Lo primero que debemos entender es que la ley no es solo el reglamento y consta de seis epígrafes que afectan directamente al fabricante del software. Los cuatro primeros epígrafes, que se describen a continuación, afectan directamente a procesos de facturación, contabilidad y gestión de los mismos y serán severamente sancionados tanto el fabricante como el distribuidor (desde el 11 de noviembre de 2021) si: a) Permiten llevar contabilidades distintas a lo estipulado en el artículo 200.1.d) de esta Ley; b) Permiten no reflejar, total o parcialmente, la anotación de transacciones realizadas; c) Permiten registrar transacciones distintas a las anotaciones realizadas; d) Permiten alterar transacciones ya registradas incumpliendo la normativa aplicable;

¿Cumplo con el reglamento y estos epígrafes? La respuesta fue y es que obviamente no. El reglamento en sí, definitivo desde hace pocas horas, afecta directamente a los dos últimos epígrafes de la ley y se centra principalmente en los procesos de facturación simplificada, ordinaria, rectificativa/abonos y anulativa, sancionando al fabricante o distribuidor cuando: e) No cumplen con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, según lo establecido en el artículo 29.2.j) de esta Ley; f) No certifican los sistemas, estando obligados a ello por disposición reglamentaria.

Por lo tanto, debemos cumplir con la ley en su totalidad para estar en cumplimiento con la ley antifraude. Algunas cuestiones que todos ya conocemos son el registro de eventos, las copias de seguridad, la comunicación en línea, el Código QR, los campos obligatorios protegidos con XML, etc., pero hay otras cuestiones que no están implícitas en la ley y el reglamento, como:

  1. Cómo aseguramos el registro de eventos.
  2. Cómo nos afecta el RD1619/2012 de facturación.
  3. Cómo protegemos nuestras instalaciones ante el clonado o acciones ilegales que afecten a la ley.
  4. Qué ocurre con las instalaciones on-premise y Cloud-SaaS, qué requisitos y controles debemos implementar.
  5. Cómo hacemos que nuestros clientes asuman parte de su responsabilidad.
  6. Qué pasa si un programador introduce un error que afecta a la ley.
  7. Qué ocurre si en atención al cliente o soporte eliminan facturas o las modifican de un cliente final.

Estas y otras preguntas no expuestas aquí tienen un impacto importante en el cumplimiento de la ley.

De nuevo, la ley da razón al concepto de controles que permiten la violación de la ley que ya discutíamos en este post y el reglamento confirma que el software estará en situación de fraude cuando:

  • Facilitan, mediante utilidades digitales diseñadas específicamente para la evasión o defraudación tributaria, la ocultación de la verdadera realidad económica y tributaria de sus usuarios, omitiendo y alterando los datos reales, o interpolando o adicionando datos ficticios. En estos casos, los sistemas informáticos suelen integrar módulos o utilidades creados por sus productores para este fin específico.
  • En otros casos, los sistemas informáticos presentan vulnerabilidades que permiten a terceros o al propio interesado incorporar otros programas (denominados parches de tipo phantomware o zapper, entre otros) que tienden a permitir la sustitución de los datos reales por otros alterados.

Es decir, tal como hemos estado comunicando a nuestros clientes durante dos años, existen situaciones donde (extraído de nuestro post del 11/10/2021 aquí): Nivel 1 sancionable: Intencional. Funcionalidades que podrían ser interpretadas por el órgano sancionador como que intencionalmente permiten las malas prácticas que habilitan situaciones de fraude o caja B. Por ejemplo, supongamos que la creación y borrado de una empresa no deja rastro en el software, permitiendo trabajar con contabilidades en paralelo, entre otros…

Nivel 2 sancionable: Mala práctica por diseño. Software que permite manipulaciones no pensadas estrictamente para el fraude pero que podrían ser aprovechadas por el usuario, como por ejemplo eliminar una factura ya enviada o impresa, en un estado de ya emitida y registrada, entre otros…

Nivel 3 sancionable: Por ausencia de controles. Supongamos que una instalación puede accederse directamente y saltando toda la seguridad a los datos almacenados en la base de datos y en una factura modificar los importes, sin dejar rastro ni alerta de esa alteración de una transacción ya realizada, entre otros…

Riesgos de la Auto-Certificación La auto-certificación en la ley antifraude que busca evitar la caja B presenta varios riesgos, especialmente en comparación con la certificación realizada por una organización externa. Aquí algunos de los riesgos principales: Falta de Objetividad: La auto-certificación puede carecer de la objetividad necesaria. Una empresa podría pasar por alto o minimizar ciertas infracciones o prácticas inadecuadas en su sistema de facturación. Riesgo de Incumplimiento: Existe el riesgo de que las empresas no cumplan con todos los requisitos legales si se auto-certifican. Esto puede deberse a la falta de conocimiento o a la intención de evadir ciertas normativas. Credibilidad Reducida: La certificación por parte de terceros generalmente ofrece mayor credibilidad ante los reguladores y otras partes interesadas. La auto-certificación puede ser vista con escepticismo, especialmente en industrias donde la transparencia financiera es crucial. Vulnerabilidad a Errores y Fraude: Al auto-certificarse, una empresa podría ser más vulnerable a errores inadvertidos o incluso a prácticas fraudulentas dentro de su sistema de facturación, ya que no hay una verificación externa. Actualizaciones y Mejores Prácticas: Como auditores, estamos al día con las últimas regulaciones y mejores prácticas, proporcionando un nivel de conocimiento y experiencia que puede no encontrarse internamente. Responsabilidad Legal y Reputacional: En caso de irregularidades, la auto-certificación puede llevar a consecuencias legales más severas y daños reputacionales, ya que la empresa no podría demostrar que tomó todas las medidas necesarias para asegurar el cumplimiento con la ley.

Recomendación La auto-certificación de esta compleja ley y reglamento no debe ser asumida por una empresa de desarrollo sino debe ser acompañada por un auditor experto, como nosotros, con más de 100 auditorías realizadas en esta materia y con amplia experiencia en otras auditorías de la AEAT. Contacte con nosotros en este enlace para solicitar su propuesta de auditoría experta en ley antifraude y reglamento.

ChatGPT can make mistakes. Co
Tags:
,
Print page