Budući da je Marko Rakar u svojoj objavi na linku Sigurnost fiskalizacije 2.0 – Mračni blog koju su prenijeli i neki drugi mediji u Hrvatskoj direktno prozvao tvrtku PostLink d.o.o. ukazujući na navodne sigurnosne propuste u servisu za razmjenu digitalnih računa Sveračun, želimo odgovoriti na tvrdnje koje je gospodin Rakar iznio.
Gospodin Rakar tvrdi da se na sustav Sveračun prijavio lako. To je istina jer je PostLink ciljano razvio servis s najjednostavnijom registracijom kako bi našim korisnicima omogućio brz i jednostavan pristup platformi i brzo i jednostavno poslovanje.
Gospodin Rakar tvrdi da je preko PostLinkova servisa Sveračun moguće poslati račun bilo kome koristeći lažne podatke prilikom registracije. I to je točno, baš kao što je i danas moguće poslati račun bilo kojoj pravnoj ili privatnoj osobi e-mailom, poštom ili čak taj račun osobno dostaviti na nečiju adresu, neovisno jeste li registrirana tvrtka ili prevarant koji se nazvao Pero Djetlić (ime koje je gospodin Rakar koristio prilikom stvaranja lažnog računa). Baš kao što provjera ispravnosti računa ili kredibilitet pošiljatelja tog računa nije zadatak Googlea (ako se, naprimjer, koristi slanje računa g-mailom) ili Hrvatske pošte ako se šalje na fizičku adresu, tako nije ni zadatak posrednika provjeravati račune koji se šalju i pravne subjekte koji ih šalju. Zadatak je to osobe ili tvrtke koja račun zaprimi. Za očekivati je da će oni znati jesu li naručili uslugu za koju im se račun izdaje i jesu li poslovali s tvrtkom koja im račun šalje, bila ona stvarna ili lažna kao u slučaju eksperimenta gospodina Rakara.
Ako bi gospodin Rakar bez ikakve provjere platio račun koji mu ispostavi Pero Djetlić ili tvrtka s kojom nije imao nikakav poslovan odnos, to bi bio dokaz ozbiljnosti poslovanja osobe koja se predstavlja stručnjakom za sigurnost. Mi na takav način ne podcjenjujemo poduzetnike u Hrvatskoj.
Kad bismo mi, primjerice, iz tvrtke PostLink fakturirali račun gospodinu Rakaru, bio on digitalni ili fizički, na milijun eura za PR usluge što ga ovim tekstom promoviramo, bi li se gospodin Rakar zapitao odakle račun za uslugu koja nije dogovorena od tvrtke s kojom ne surađuje ili bi ga samo platio?
Čak i kad bi ga platio, gospodin Rakar bi bio žrtva prevare, ali samo zahvaljujući vlastitoj naivnosti što nikako nije odgovornost posrednika koji mu je račun dostavio. Tu prevaru bi, naravno, upravo gospodin Rakar bio dužan prijaviti nadležnim institucijama.
Ovaj eksperiment gospodina Rakara bilo je moguće napraviti zato što Fiskalizacija 2.0 još nije na snazi. Od 1. siječnja 2026. godine, kada slanje digitalnih računa postane obaveza za sve obveznike sustava PDV-a, mijenjaju se i pravila autentifikacije.
Proces registracije započinje odabirom informacijskog posrednika. Potpisivanjem ugovora o poslovnoj suradnji između tvrtke i informacijskog posrednika realizira se prvi korak njihove međusobne poslovne suradnje. Na temelju tog prvog koraka informacijski posrednik prosljeđuje informaciju o svojem novom korisniku Poreznoj upravi iz koje nakon toga šalju poveznicu na službenu e-mail adresu te tvrtke navedenu na trgovačkom sudu te poziva ovlaštenu osobu tvrtke da u aplikaciji porezne uprave odabere informacijskog posrednika kojem dodjeljuje ulogu zaprimanja fiskaliziranih računa. Važno je naglasiti da za zaprimanje eRačuna može biti odabran samo jedan informacijski posrednik. Nakon toga korisnik odabire jednog ili više informacijskih posrednika preko kojega, odnosno kojih, će slati svoje izlazne račune te realizirati proces fiskalizacije te eIzvještavanja.
Dakle od 1.1. 2026. godine odabir i sigurnosna potvrda informacijskog posrednika se događa na platformi Porezne uprave čime se jamči sigurnost unosa i potvrde informacijskog posrednika.
A Sveračun korisnicima nudi i dodatan element sigurnosti korištenja sustava kroz 2FA autentifikaciju.
I, za kraj, dobili smo informaciju da Pero Djetlić šalje račune tvrtkama pa koristimo priliku da upozorimo poduzetnike – ako dobijete račun na kojem je kao pošiljatelj naveden Pero Djetlić, ne plaćajte ga! U pitanju je vjerojatno prevara.