LAF_LOGO_BN_1

Ley antifraude de software, ¿Y ahora como cumplo la ley y el reglamento?. Riesgos de la auto-certificación.

Riesgos auto certificacion

Lo primero que debemos trasladar a todos nuestros lectores y clientes es que nos sentimos orgullosos que todas las acciones y controles que llevamos trabajando desde Septiembre de 2021 sigan estando totalmente alineadas con la ley y reglamento aprobado ayer día 6 de diciembre de 2023. Como hemos ido explicando en numerosos webinars, charlas, congresos, artículos, … nuestra base como auditores de otras homologaciones y certificaciones, entre ellas ser el líder en homologaciones de digitalización certificada de facturas con la AEAT, nos ha permitido trasladar solidos consejos y recomendaciones a nuestra base de mas de 100 clientes auditados.

De esta manera nuestros clientes que han seguido e implementado nuestros controles tienen un 85% del trabajo realizado. Entonces, ¿qué ocurre con los nuevos clientes y contactos que no habéis iniciado el proceso y que ahora estáis de nuevo contactando con nosotros?

Ley antifraude de software, ¿Y ahora como cumplo la ley y el reglamento?. Riesgos de la auto-certificación.

Lo primero que debemos entender es que la ley no es solo el reglamento y consta de seis epígrafes que afectan directamente al fabricante del software. Los cuatro primeros epígrafes que se describen a continuación afectan directamente a procesos de facturación, contables y de gestión de los mismos y serán gravemente sancionados fabricante o distribuidor (desde el 11 de noviembre de 2021) si:

a)  permitan llevar contabilidades distintas en los términos del artículo 200.1.d) de esta Ley;

b)  permitan no reflejar, total o parcialmente, la anotación de transacciones realizadas;

c)   permitan registrar transacciones distintas a las anotaciones realizadas;

d)  permitan alterar transacciones ya registradas incumpliendo la normativa aplicable;

Si cumplo con el reglamento, ¿cumplo con la ley al completo? La respuesta fue y es que obviamente no. El reglamento como tal, definitivo desde hace pocas horas, afecta directamente a los dos últimos epígrafes de la ley y principalmente esta enfocado a los procesos de facturación, simplificadas, ordinarias, rectificativas/abonos y anulativas, sancionando al fabricante o distribuidor cuando:

e)  no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley;

f)   no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados.

Por tanto debemos cumplir ley en su totalidad para poder estas Compliance con la ley antifraude. Algunas cuestiones que todos ya sabemos son el registro de eventos, copias de seguridad, comunicación online, Código QR, campos obligatorios a proteger con XML, etc pero existen otras cuestiones que no están implícitas en la ley y reglamento como son:

  1. Como aseguramos el registro de eventos.
  2. Como nos afecta el RD1619/2012 de facturaicón.
  3. Como protegemos nuestras instalaciones ante el clonado o acciones ilegales que afecten a la ley.
  4. Que ocurre con las instalaciones on-premise y Cloud-SaaS, que requisitos ante la ley y controles debemos impementar.
  5. Como hacemos que nuestros clientes asuman parte de su responsabilidad?
  6. Que pasa si un programador introduce un bug que afecta a la ley?
  7. Que ocurre si en atención al cliente o sporte eliminan facturas o las modifican de un cliente final?

Estas y otras preguntas que no exponemos aquí tienen un impacto importante en el cumplimiento de la ley.

De nuevo, la ley ya da nuevo la razón al concepto de controles que permitan la violación de la ley que ya hablábamos en este post y el reglamento confirma que el software estará en situación de fraude cuando:

  • Facilitan, mediante utilidades digitales diseñadas específicamente para la evasión o defraudación tributaria, la ocultación de la verdadera realidad económica y tributaria de sus usuarios, omitiendo y alterando los datos reales, o interpolando o adicionando datos ficticios. En estos casos los sistemas informáticos a menudo integran módulos o utilidades creados por sus productores con esta finalidad específica.
  • En otros casos, los sistemas informáticos presentan vulnerabilidades que permiten, a otras personas o al propio interesado, la incorporación de otros programas (denominados parches de tipo phantomware o zapper, entre otros) tendentes a permitir la sustitución de los datos reales por otros alterados.

Es decir, tal y como nosotros llevamos dos años trasladando a nuestros clientes, existen situaciones donde (extraído de nuestro post de 11/10/2021 aquí):

Nivel 1 sancionable. Intencional.

Funcionalidades que podrían ser interpretadas por el órgano sancionador que intencionalmente permitan las malas prácticas que a su vez habiliten situaciones de fraude o caja B. Por ejemplo, supongamos que la creación y borrado de una empresa no deja rastro en el software, permitiendo trabajar con contabilidades en paralelo, entre otros…

Nivel 2 sancionable. Mala práctica por diseño.

Aquel software que permita manipulaciones no pensadas estrictamente para el fraude pero sí que podría ser aprovechado por el usuario, como por ejemplo eliminar una factura ya enviada o impresa, en un estado de ya emitida y registrada, entre otros…

Nivel 3 sancionable. Por ausencia de controles.

Supongamos que una instalación puede accederse directamente y saltando toda la seguridad a los datos almacenados en la base de datos y en una factura modificar los importes, sin dejar rastro ni alerta de esa alteración de una transacción ya realizada, entre otros…

Riesgos de la Auto-certificación

La auto certificación en la ley anti fraude que busca evitar la caja B presenta varios riesgos, especialmente comparada con la certificación realizada por una tercera organización. Aquí algunos de los riesgos principales:

Falta de Objetividad: La auto certificación puede carecer de la objetividad necesaria. Una empresa podría pasar por alto o minimizar ciertas infracciones o prácticas inadecuadas en su sistema de facturación.

Riesgo de Incumplimiento: Existe el riesgo de que las empresas no cumplan con todos los requisitos legales si se auto certifican. Esto puede deberse a la falta de conocimiento o a la intención de evadir ciertas normativas.

Credibilidad Reducida: La certificación por parte de terceros generalmente ofrece mayor credibilidad ante los reguladores y otras partes interesadas. La auto certificación puede ser vista con escepticismo, especialmente en industrias donde la transparencia financiera es crucial.

Vulnerabilidad a Errores y Fraude: Al auto certificarse, una empresa podría ser más vulnerable a errores inadvertidos o incluso a prácticas fraudulentas dentro de su sistema de facturación, ya que no hay una verificación externa.

Actualizaciones y Mejores Prácticas: Como auditores estamos al día con las últimas regulaciones y mejores prácticas, proporcionando un nivel de conocimiento y experiencia que puede que no se encuentre internamente.

Responsabilidad Legal y Reputacional: En caso de irregularidades, la auto certificación puede llevar a consecuencias legales más severas y daños reputacionales, ya que la empresa no podría demostrar que tomó todas las medidas necesarias para asegurar la conformidad con la ley.

Recomendación

La auto certificación a esta compleja ley y reglamento no debe ser asumida por una empresa de desarrollo sino debe ser acompañada por un auditor experto, como nosotros, con mas de 100 auditorias realizadas en esta materia y con amplia experiencia en otras auditorias de la AEAT. Contacte con nosotros en este enlace para solicitar su propuesta de auditoria experta en ley antifraude y reglamento.

¡TE AYUDAMOS!

Por favor, activa JavaScript en tu navegador para completar este formulario.
Te afecta como:
¿En qué te ayudamos?

Cláusula informativa Normativa de Privacidad