Najave hitnih izmjena Općeg poreznog zakona izazvale su lavinu reakcija u javnosti, ponajprije zato što se, kako je predstavljeno, radi o izmjenama koje bi Poreznoj upravi dale ovlasti veće od policijskih. Poreznici bi tako mogli kopirati sadržaj čitavog računala te diskove, zahtijevati šifre i lozinke, i to ne samo od osoba nad kojima se obavlja nadzor, već i od “drugih osoba koje raspolažu dokumentima”.
To je toliko široko da se u praksi može odnositi na apsolutno svakoga tko na svojem računalu ima dokument ili informaciju koja je Poreznoj upravi potencijalno zanimljiva.
Posebno je zabrinjavajuće to što, prema prijedlogu zakona, koji je u savjetovanju s javnošću te bi trebao biti hitno donesen prvog dana nove godine, za sve te radnje Porezna uprava ne treba nikakav službeni nalog.
Saborski zastupnik Mosta Nikola Grmoja nazvao je to najvećim, i dosad neviđenim, udarom na privatnost građana. Neki su otišli toliko daleko da su cijelu stvar nazvali apsurdnim, pitali se je li to šala, živimo li u doba Orwellove 1984., je li možda sve izmišljotina umjetne inteligencije… Kako stvari stoje, nije, već Porezna uistinu priprema veliki udar na utajivače poreza, a novim zakonom mogla bi dohvatiti i vrlo velike ovlasti te golemu količinu podataka građana.
Zdravko se ujutro probudio i nije mogao navući hlače: ‘Noga mi je bila veća za jednu trećinu’
Bez naloga
Zanimljivo je da se Italija često percipira kao zemlja mafije i korupcije, no čak ni njihova financijska policija (Guardia di Finanza) ne smije povlačiti takve dokumente bez sudskog naloga. Jedina zemlja koja će od iduće godine imati ovlasti kao i Hrvatska jest Indija. Mjere kao da su prekopirane, samo se ne zna tko je od koga kopirao. To je, inače, drugi problem s prekomjernim ovlastima države na koji oporba upozorava u samo nekoliko tjedana; prvi se odnosio na pregledavanje sadržaja WhatsApp-a, s opravdanjem da će se raditi o zakonu na razini cijele EU, kao i da je cilj tih mjera prije svega sprečavanje raspačavanja dječje pornografije preko WhatsAppa, široko korištene mreže za komuniciranje.
Upravo WhatsApp, pokazalo se u više kaznenih postupaka – i to nad nekim od najmoćnijih ljudi države, poput u procesu istrage protiv bivšeg ministra zdravstva Vilija Beroša u koruptivnim radnjama s Hrvojem Petračem i sinovima te Sašom Pozderom, komunikacije Josipe Pleslić (ex Rimac) s državnim odvjetnicima i slično – naširoko se koristio kako bi se “zameo trag”. Mnogi i danas koriste opciju “nestajućih” poruka, smatrajući kako su tako sigurni, no digitalni forenzičari bez ikakvih poteškoća skidaju s računala i mobitela sve, pa i “nestale” poruke.
No oni za to moraju imati sudski nalog – dakle, najprije sumnju na kazneno djelo, pa pokretanje istrage, i tek onda ishođenje sudskog naloga za mjere tajnog praćenja i prisluškivanja, koje uključuju i digitalnu forenziku. Porezna uprava to, po novome, neće morati imati. Štoviše, onima koji ne daju šifre i lozinke mogu “opaliti” kaznu do 66 tisuća eura. Nakon što je dio medija i političara “skočio na noge”, Porezna uprava pokušala je dosta nemušto opravdati izmjenu. Do te mjere da je dio komentatora pitao je li stranica Porezne “hakirana”, kada pišu takve besmislice. “Izmjene i dopune OPZ-a nalaze se na javnom savjetovanju koje omogućuje stručnoj javnosti i građanima davanje primjedbi i komentara. OPZ se odnosi na pravne i fizičke osobe koje obavljaju djelatnost, a ne na građane”, naveli su, što ostaje potpuno nejasno, jer se u prijedlogu zakona izričito spominju “druge osobe koje…”.
Građani ili osobe
Dakle, zakonskom izmjenom obuhvaćeni su svi građani (točnije “osobe”) koji imaju informacije, a ne samo oni koji “obavljaju djelatnost”. To je ujedno izazvalo i zanimljiv komentar da građani mogu prestati plaćati porez, jer, očito, nisu porezni obveznici niti “osobe” u novom zakonskom tekstu. Porezna dalje tvrdi kako ne dobivaju nove ovlasti nego se “prilagođavaju digitalnom načinu poslovanja”. “Detaljnije se propisuje sam postupak izuzimanja i kopiranja podataka, uz navođenje formulacije, prema kojoj se mogu koristiti samo podaci koji izravno ili neizravno utječu na poreznu obvezu. Neutemeljena je tvrdnja da će se građanima oduzimati računala te ključevi i šifre”, dodali su.
Opet nelogično, jer u prijedlogu zakona izričito stoji da porezno tijelo može “kopirati podatke u elektroničkom obliku i izvršiti ili zatražiti izradu vjerodostojne kopije cijelog medija i zatražiti ključeve za šifriranje ili lozinke za šifriranje, ako su potrebni za pristup podacima ili čitljivost podataka“. Taj apsurd komentirao je na LinkedInu odvjetnik Vlaho Hrdalo, s dozom ironije. “U pokušaju da se popegla fijasko poznat kao ‘dajte nam šifre za sve’, Porezna uprava izdala je priopćenje u kojem je napisala potpuni nonsens da se Opći porezni zakon ne odnosi na građane, već samo na poduzetnike.
Iz toga slijedi da ako vam kao građaninu Porezna uprava bude htjela zaračunati porez na nekretnine, porez na dohodak, porez na promet nekretnina ili pokrenuti bilo koji drugi porezni postupak koji rezultira poreznim rješenjem po OPZ-u, slobodno im recite da se taj zakon na vas ne primjenjuje jer oni sami tako kažu. Ne samo to, sve fizičke osobe u Hrvatskoj upravo su prestale biti porezni obveznici, jer članak 1. stavak 1. OPZ-a kaže da isti “uređuje odnos između poreznih obveznika i poreznih tijela”. Ako se OPZ, dakle, ne odnosi na građane, onda građani više nisu porezni obveznici, i ne moraju plaćati porez”, napisao je Hrdalo.
Pitanje ustavnosti
Ono što građani mogu jest štititi svoje podatke i održavati “digitalnu higijenu”. “Nemojte misliti da bi država ili neke kriminalne organizacije mogle ukrasti ili hakirati vaše podatke. Razmišljajte kao da to već čine”, kaže naš sugovornik. S napomenom da ni na koji način ne podržavamo počinitelje kaznenih djela niti sugeriramo kako da se od države prikriju porezna dugovanja, treba ipak reći kako su osobni podaci građana osjetljivo pitanje, te da građani imaju pravo znati kako se zaštititi od upada u njih, čak i ako se radi o (očito spornim i dvojbenim), zakonskim rješenjima koja još nisu na snazi. Razgovarali smo, stoga, s nizom stručnjaka kojima je sigurnost podataka posao, te koji savjetuju klijente, poslovne i privatne osobe, kako maksimalno sačuvati informacije o sebi.
“Ovo što navodite znači jednu vrlo ozbiljnu promjenu u odnosu na dosadašnji režim. Novi zakon proširuje krug obveznika dostave podataka – dosad su to bili samo porezni obveznici i računovođe, a sada će to biti i ‘druge osobe koje raspolažu dokumentima’. To može uključivati praktički svakoga tko posredno ili neposredno dođe u posjed poslovne dokumentacije ili informacija – primjerice, informatičke servise, hosting tvrtke, pa i treće osobe koje slučajno imaju dokument. Najzvučniji dio je mogućnost da Porezna uprava kopira elektroničke podatke, napravi vjerodostojnu kopiju cijelog medija (primjerice, hard diska, servera, clouda), zatraži lozinke ili ključeve za dešifriranje. I sve to bez obaveze da postoji sudski ili službeni nalog – što otvara ogromno pitanje ustavnosti i zaštite prava na privatnost. U kaznenom postupku policija ili DORH za takve radnje trebaju odobrenje suda. No porezna bi, ako zakon prođe ovako, imala daleko šire ovlasti od policije u pogledu pristupa privatnim podacima, i to u upravnom, a ne kaznenom postupku. Drugim riječima, Porezna bi mogla doći, zatražiti cijeli disk i lozinku, i to ne samo od tvrtke, nego i od “druge osobe koja raspolaže dokumentima” – što u praksi može biti itko tko je imao doticaj s poslovanjem. To su dosta ozbiljni elementi nadzora, ali bez sudskog filtera. Ako prođe u ovom obliku, može se očekivati da će biti osporavano pred sudovima”, rekao nam je jedan vodeći svjetski stručnjak za sigurnost na internetu, pod uvjetom anonimnosti.
Hrvatski pravni stručnjak ukazao nam je, pak, na to kako se Agencija za zaštitu osobnih podataka oglasila rekavši kako, prema njihovom mišljenju, izmjene zakona nisu sporne, pa s te strane ne treba očekivati da bi se preko AZOP-a moglo zakon prijaviti kao povredu famoznog europskog GDPR-a.
Prema važnosti
Živimo u zemlji staračkog stanovništva, među kojima je velik broj onih koji se računalima i pametnim telefonima ne znaju služiti ni za najosnovnije potrebe, a kamoli da razmišljaju o sigurnosti svojih podataka na disku ili internetu. HNB već razmatra “digitalni euro”, dok stariji još računaju u kunama… Stoga je nužno računalno opismenjavanje građana, no državi to očito nije u interesu, jer bi tada građani sami znali kako se zaštititi od potencijalne zlouporabe državnih ovlasti. Sustav ovdje, naime, polazi od premise da državi moramo vjerovati te kako, ako oni procijene da su im neki podaci potrebni, onda jesu.
Ono što svi već danas mogu učiniti kako bi izbjegli neželjene upade u privatne razgovore, jest početi razmišljati što je nužno dijeliti na internetu. Treba poći od spoznaje da je većina stvari koje napravimo na internetu naš “digitalni otisak”, koji je forenzičarima jednako zanimljiv kao i otisak prsta. Mnogi su odavno odustali od konvencionalnih tekućih i žiro-računa u bankama, te ih zamijenili online računima kao što je Revolut. Radi se o računu koji ima svoj IBAN, no sjedište mu je u Litvi, pa hrvatske porezne vlasti teže mogu ući u trag tome novcu, iako Revolut zadržava pravo blokiranja računa te može tražiti dokaz o porijeklu imovine.
Sve je popularniji AirCash, hrvatski proizvod koji je zapravo poput kartice mobitela na bonove, odnosno, na njega uplaćujete i s njega potom trošite bez ikakva nadzora, uključujući kupnju te plaćanje režija. AirCash ne traži dokaz o porijeklu, također nije vidljiv Fini te se ne ovršuje. Honorare i naknade moguće je primati na Revolut, no plaće se moraju isplaćivati na tekuće račune. AirCash broj računa možete dati prijateljima da vam uplate novac, no rijetkost je da će to učiniti poslodavac. I AirCash i Revolut traže od vas osobne podatke, no država nema pravo uvida u te podatke i takve online novčanike, barem zasad, no s novim zakonom sve postaje moguće. Sve ide u smjeru da će oni koji imaju veće količine novca za koji ne žele da se zna, gotovinu najsigurnije čuvati kao nekad u – čarapama.
Učiteljica o zabrinjavajućem trendu u školama: ‘Oskudno je i predstavlja veliki problem’
Najbrža zaštita
Dobra vijest je da se osnovnim mjerama svatko može zaštititi, a za to nisu potrebne ni velike tehničke vještine niti skupi programi. Sada je možda došlo vrijeme da podatke, poput brojeva bankovnih računa i slično, uklonite sa svojih mobitela, a aplikacije banaka prestanete koristiti. Tu se savjetuje posjedovanje dva uređaja, bilo da se radi o mobitelima, bilo o laptopima. Jedan koristite isključivo za poslovne svrhe, a drugi privatne, te nemojte na istim uređajima koristiti iste aplikacije, od bankovnih, do onih za dopisivanje. Možete se koristiti i najopćenitijom tehnikom tajnih službi, a to je da podatke držite samo na računalu koje nije spojeno na Internet. Šifre za sve svoje usluge i račune nemojte automatski “spremati” u mobitel, radije ih upamtite ili čuvajte na sigurnom mjestu.
No, ako na to niste spremni, prvi korak je shvatiti da vaš mobitel ili računalo nisu samo “stroj”, nego produžetak vašeg života. U njima su spremljene poruke s obitelji, dokumenti o zdravlju, pristupi bankama, pa i privatne fotografije. Upravo zato je važno da mobitel i računalo tretirate kao sef. Sef se ne ostavlja otključan, a tako ni vaši uređaji ne smiju biti nezaštićeni. Lozinka tipa “123456” ili “ime ljubimca” nije nikakva zaštita. Svi osjetljivi dokumenti i komunikacija trebaju biti šifrirani; za email i poruke preporučuju se servisi poput ProtonMaila ili Signala, a za datoteke lokalno ili u cloudu alati, poput VeraCrypta ili Cryptomatora. Lozinke moraju biti jake i jedinstvene za svaki račun, uz aktiviranu višefaktorsku autentikaciju, s pomoću tokena ili jednostavnih aplikacija, poput Authyja.
Financijski podaci trebaju biti razdvojeni – osobni i poslovni računi, a digitalni trag minimaliziran, uz sigurnije preglednike i ograničeno dijeljenje podataka na internetu. Kada vam računalo ili mobitel javlja da postoji nova verzija sustava, to je popravak rupa u sigurnosti. Ako ne ažurirate uređaj, držite širom otvoren prozor kroz koji oni mogu ući. Iako je nekima naporno stalno klikati “update”, to je najbrža zaštita.
Isti princip
Banke, osiguravajuće kuće i državne institucije nikada ne traže lozinke preko e-maila, osim ako se ne usvoji novi Opći porezni zakon, što će biti apsurdno. Pravilo koje treba usvojiti jest – ako poruka zvuči hitno, prijeteće ili predobro da bi bila istinita, vjerojatno je lažna. Na mobitelu ili računalu svaki korisnik ima svoju “digitalnu osobnu iskaznicu”. To su podaci, poput imena, adrese, broja kartice, fotografija ili poruka. Ako ti podaci dospiju u tuđe ruke, posljedice mogu biti ozbiljne.
Velik dio “upada” u naša računala može se spriječiti korištenjem ‘proxyja’, VPN (virtualna privatna mreža) sustava. Postoje besplatni, poput najčešće korištenog Proton VPN, ali i oni koji se plaćaju, a koji su ipak sigurniji. U svakom slučaju, jednostavno se instaliraju na računalo te dalje rade tiho “u pozadini”. Njihov je posao sakriti vašu trenutačnu lokaciju. Naime, pri spajanju na internet, svaki korisnik dobiva svoju jedinstvenu IP adresu, koja se bazira na temelju servera kojem ste pristupili. Dakle, ako koristite mrežu u omiljenom kafiću, sustav će vas odmah locirati tamo. Ako koristite svoju mobilnu mrežu, sustav će vas locirati prema najbližoj baznoj stanici teleoperatera.
S pomoću VPN sustava zaobilaze se takvi podaci te je vaše računalo spojeno na server u, primjerice, Japanu. Dalje, ono što je postalo jasno iz medijskih napisa i osnovnog znanja o digitalnim istražiteljima jest to da ništa za što želite da bude privatno ne treba nikada i ni na koji način završiti u sustavu. To znači slanje SMS poruka, poruka preko WhatsAppa, Facebooka… Spomenimo slučaj mladog Matije Mašale, ubojice iz predsjedničke Počasno-zaštitne bojne, koji je ubojstvo dogovarao misleći da je siguran na chatu videoigrice. Nije bio. Iako to nije financijsko pitanje, već teško kazneno djelo, ipak ukazuje na to kako država ima moćne mehanizme otkrivanja svih aktivnosti na internetu, a sada ih namjerava i koristiti. Dakle, sve što ne želite da otkriju drugi, sačuvajte izvan interneta.
Nižu se reakcije nakon poteza vlasnice psa: ‘To je bolesno i nastrano’
Želite li potpunu sigurnost, ne stavljajte ništa kompromitirajuće
Nije tajna da diplomati pri svakom, pa i benignom sastanku, ostavljaju svoje mobitele ispred prostorije. Mobiteli nas danas “slušaju”, i to uistinu nije teorija zavjere, nego način kako funkcioniraju algoritmi da bi nam ponudili najbolje oglase. Ako nas slušaju da bi nam prodali piletinu na akciji, slušaju nas i zbog mnogo ozbiljnijih razloga. Također, današnjom tehnologijom jednostavno je moguće samo preko fotografije doznati čitavu povijest neke kuće, vikendice – i to od početka gradnje pa do toga je li iznajmljivana.
Tako su svojedobno “pali” srednjerangirani dužnosnici u BiH, koji su tvrdili da nemaju imovine, a luksuzne vile iznajmljivali su na aplikacijama. Pravilo je jednostavno, želite li sigurnost na internetu, na njega ni ne postavljajte išta kompromitirajuće, a za razmjenu poruka koristite, ako morate, sigurnije usluge, kao što su Telegram i Signal. I do tog se sadržaja može doći, ali ipak teže.
