LAF_LOGO_BN_1

Cuidado con las soluciones o API que dicen cumplir con VERI*FACTU

En estos dias, en muchas auditorías que llevamos en curso, más de 120 empresas de desarrollo, como lideres absolutos en esta materia, nos consultan sobre soluciones que ofrecen API o similares para la implementación de la ley antifraude o de VERI*FACTU, aconsejando su contratación con promesas que estas API cumplen con la legislación.

Dado que la ley antifraude es lo suficientemente extensa como para plantearse algunas cuestiones que debéis exigir a estos proveedores vamos a incluir algunos puntos que, como empresas de desarrollo de soluciones de facturación no os podéis arriesgar cuando contratéis una plataforma API o similar.

Algunos consejos cuando evaluéis estas plataformas como opciones:

No existe ninguna plataforma actualmente que permita cumplir con la ley antifraude al completo.

Esto es asi porque la mayoría de las plataformas se comprometen a cumplir VERI*FACTU pero recordemos que la ley antifraude está compuesta por 4 epígrafes fuera del reglamento, que afecta a la facturación, contabilidad y procesos de gestión, el reglamento, cuyos requisitos van más allá de VERI*FACTU, RD1619/2012 y otros.

Consejo: Una plataforma API no hará que cumplas con la ley antifraude al 100% y necesitas igualmente cumplir con el resto del marco legal.

Certificado de cumplimiento VERI*FACTU

Supongamos que su software está instalado en 100 clientes. Según nuestra calculadora de sanciones esto supone una sanción orientativa por incumplimiento durante el primer año a la empresa de desarrollo de en torno a 1.2 millones de euros. ¿Vamos a dejar en manos de un tercero la posibilidad de esta sanción?

Consejo: Solicita por escrito que te entreguen un informe de un auditor independiente donde se indique claramente el cumplimiento de VERI*FACTU con las evidencias adecuadas que garanticen su funcionamiento.

Las plataformas API deben almacenar y custodias todos los registros XML durante el periodo obligatorio

Sabemos que la custodia de los ficheros XML es clave durante los años que el obligado tributario debe de conservarlos. Las empresas API deben garantizar su integridad y conservación, así como su cadena de custodia y retención durante estos años.

Consejo: Solicitar un informe de evaluación por un auditor tercero independiente que demuestre evidencias de los controles de seguridad pertinentes.

Comunicación basada en certificado electrónico

Si el sistema API va a almacenar los certificados y claves para ofrecer el servicio de comunicación de las facturas mediante VERI*FACTU este servicio debe cumplir con eIDAS y LSEC. Recordemos que un sistema que almacene certificados y claves esta sometido a ciertos niveles de seguridad que garanticen, por ejemplo, que las copias de seguridad que el sistema API realice, que tendrán los certificados y claves del obligado tributario, se conservan de una forma segura ya que si fueran utilizados por terceros estaríamos en una situación de suplantación de alta gravedad. Además recordemos que la legislación obliga a que los certificados y claves estén “bajo el control exhaustivo” del obligado tributario.

Si por el contrario se ofrece que la comunicación se realice con el certificado electrónico del prestatario del servicio se debe solicitar que se cumpla el marco legal en el que se basa esta situación.

Consejo: Solicitar cumplimiento legal e informe de tercera parte independiente que lo demuestre.

Conclusiones

El uso de API de terceros o repositorios de certificados de terceros no suponen, en ninguno de los casos que este auditor ha tenido conocimiento, el cumplimiento integro por parte de la empresa de desarrollo y su solución de la ley antifraude, estando igualmente obligado al cumplimiento del resto de cuestiones que la ley nos obliga, más allá de VERI*FACTU. Asi mismo antes de contratar una API que implemente VERI*FACTU se debe solicitar un informe de un tercero independiente que demuestre mediante evidencias que hay razones para confiar o de lo contrario estamos hablando de sanciones millonarias tanto para la empresa de desarrollo como para los obligados tributarios.

¡TE AYUDAMOS!

Por favor, activa JavaScript en tu navegador para completar este formulario.
Te afecta como:
¿En qué te ayudamos?

Cláusula informativa Normativa de Privacidad