Ahogy megígértük olvasóinknak, megkerestük a Magyar Kereskedelmi Engedélyezési Hivatalt (MKEH), hogy tájékoztatást kérjünk a január 24-én bejelentett pénztárgépengedély-visszavonásokról. A hivatal illetékesétől kaptunk is információkat, melyek ugyan nem minden részletet tisztáznak, de valamivel világosabbá teszik, hogy pontosan mi is történt az elmúlt hetekben.
Elnyúló vizsgálat
Az MKEH közli, hogy a
...kérdéses engedélyek november 25-i kiadását követően december 12-én bejelentés érkezett a hivatalhoz, hogy a gépeket olyan funkciókkal hirdetik a piacon, amelyekre nem volt engedély, és ami így illegális funkciónak minősülhet. Az ellenőrzési eljárás megindítását és a forgalmazók által őrzött etalon pénztárgépek lefoglalását követően igazságügyi informatikai szakértőt rendeltünk ki, akinek a gépeket december 21-én átadtuk vizsgálatra. A szakértői vizsgálat eredménye január 22-én vált véglegessé. A fogalmazási engedélyek január 23-i visszavonást ez a szakértői vizsgálat alapozta meg, ennek alapján nyert megállapítást, hogy pénztárgép az AEE funkcionális és biztonsági hiányosságai miatt lehetőséget teremt az adóelkerülésre.
Szoftverhiba
Kérdésünkre, hogy pontosan mit is jelentenek ezek a „funkcionális és biztonsági hiányosságok”, az illetékes a következő választ adta:
Lényegében olyan biztonsági rés van hagyva az adóügyi ellenőrző egység (AEE) szoftverben, amelyet megfelelően kihasználva a pénztárgépen a megtévesztésig nyugtának látszó bizonylatok nyomtathatók, és ezek jogsértően nem kerülnek letárolásra az AEE-ben. A tevékenység adóelkerülésre alkalmas. Olyan rejtett funkcióról van szó, ami a jogszabály szerint lefolytatott engedélyezés során nem fedhető fel, hiszen az engedélyezési eljárás során a programok megfelelőségéről és a rejtett funkciótól való mentességéről a 48/2013. (XI. 15.) NGM rendelet szerint a white box tesztelők nyilatkoznak.
És egy nagyon fontos kiegészítés:
Jelzem továbbá, hogy a white box tesztelők az eljárásban érintett forgalmazó megbízásából, annak felkérésére adják ki a tanúsítványt.
AEE és soros port
Kíváncsiak voltunk arra is, hogy vajon más gépeknél folytattak-e ilyen, „hackeléses” vizsgálatot:
Mivel a „hiba” az AEE szoftverben van, az azonos AEE-vel rendelkező gépekre ez ugyanúgy igaz, és az elvégzett vizsgálatok alapján négy másik kérelmet azonnal el is utasítottunk. Más gépeknél eltérő protokoll van, ott ez a probléma irreleváns, és egyébként is csak azoknál a pénztárgépeknél van meg az elvi lehetősége, ahol a kérdéses támadási pont (soros port) az AEE burkolatán kívül helyezkedik el. A legtöbb kiskasszánál azonban olyan biztonságos – bár a jogszabály által kötelezően elő nem írt – megoldást választottak a fejlesztők, ahol az AEE és a pénztárgép logika egy gyárilag lezárt egységben helyezkedik el. Ugyanakkor a NAV-al együttműködve természetesen meg fogjuk vizsgálni az egyéb esetekben is további lehetséges a kockázati tényezőket.
Még tovább kell menni
Habár kérdések még maradtak azért (pl. az egyébként is feszes és az állandóan módosuló határidők szorította folyamat során miért tartott ilyen sokáig a kivizsgálás? a biztonsági tesztelés miért nem előírás? stb.), annyi azért világos, hogy komoly sara van a szoftverfejlesztőnek és a forgalmazónak egyaránt – ahogy egy blogoldalon egy anonim, de meglehetősen alapos elemzés ezt fel is tárta már. Vagyis felvethető a felelősség elől mereven elzárkózó, az AEE-t gyártó Videoton („az adott probléma nyilvánvalóan nem lehet semmilyen összefüggésben a vállalat által hozzáadott értékkel”), illetve a szoftvert fejlesztő Delta Informatika Zrt. szerepének tisztázása is. Ettől persze nem lesz az egész történet kevésbé szánalmas, sőt, még inkább egyértelmű, hogy rendszerszintű alapproblémák okozzák az anomáliákat, melyeket gondos tervezéssel és a megadottnál sokkal hosszabb kifutási idővel mind el lehetett volna kerülni, illetve az elmaradt tesztidőszakba beleszorítani.
Még várjuk az Alt Cash válaszait kérdéseinkre, amint megérkeztek, közöljük őket.
