Ley antifraude 2021 (VERIFACTU) - Programas informáticos

[antoine0]

Cita:

Empezado por Neftali [Germán.Estévez]

No creo que haya que usar firmas ni hashes dentro del propio programa

Sí, hay que usar huellas / hashes: mira al artículo 12; también a la letra ñ) del 10.1, dónde se especifica

Cita:

ñ) El número y, en su caso, la serie de la factura anterior, la fecha de expedición y parte de la huella o «hash» del registro de facturación de alta correspondiente a la factura anterior, cuando no se trate de la primera factura expedida.

Se deduce que hay al mínimo una huella en todos los registros (salvo el primero).

Una cosita interesante es que en el artículo 11 (registros de anulación, cuando el 10 es para los registros normales) no hay un equivalente a la ñ. Entonces las anulaciones no están encadenadas por construcción (sigue de aplicación el 8.2 b que manda encadenar). Supongo que es por qué estos registros pueden ir opcionalmente mezclados con los normales en algunos sistemas (cuando los abonos se consideran como una forma más de factura).

[Neftali [Germán.Estévez]]

Cita:

Empezado por antoine0

Sí, hay que usar huellas / hashes: mira al artículo 12; también a la letra ñ) del 10.1, dónde se especifica
...

Creo que estás mezclando cuando se habla de registros, los que son de la propia aplicación, con los "registros de facturación" que se envían a la administración.

Cuando habla de esto:
Artículo 9.Generación del registro de facturación de alta

Se está refiriendo no a tu factura en BD, sino que ese "registro de facturación de alta" es el elemento que tú debes generar (XML, JSON,...) y que será enviado a la AEAT. Ese registro/fichero sí que va firmado, lleva encadenamiento, hash,...

Por eso luego habla de:
Artículo 11.Generación y contenido del registro de facturación de anulación

Lo mismo. Eso se refiere al XML/JSON que tú debes generar y envias cuando anulas una factura. En tu sistema la información de anulación no tiene porqué tener TODA la información que ahí se detalla. Piensa que tú para una anulación en tu sistema es posible que sólo necesites el ID de la factura inicial y FECHA de aulación y lo que ahí te pide es todo lo que se detalla en el artículo 11. Eso te está indicando que NO SE REFIERE a tu registro de BD, sino al "registro que envías".

Aquí deja claro que "el registro de facturación" NO ES tu registro de la Base de Datos, que tú puedes guardarlo como te convenga, sino a los ficheros que tú generas y envias a la administración:

Asimismo, los registros de facturación de alta y de anulación a que se refieren los mencionados
artículos deberán ser firmados electrónicamente. Esta firma electrónica no será obligatoria para
los sistemas informáticos que realicen la remisión de todos los registros de facturación a la
Agencia Estatal de Administración Tributaria según lo indicado en los artículos 15 y 16 de este
Reglamento

[ermendalenda]

El tema de garantizar los eventos es para mi el tema más complicado que nos han dejado ypodemos ir exponiendo ideas para no perdernos en generar infinitos datos intratables.
Hay que tener en cuenta:
-Estructura de los eventos para guardar en una base de datos
-Modo de garantizar la inviolabilidad de los registros.
-Que datos son propensos de grabar, ya que es tontería guardar la marcacion de las facturas, anulaciones etc ya que ya está guardada por otro lado y ya en si es un evento.
Por ejemplo:
¿Una empresa externa a la que le enviemos los eventos por webservice puede ser garantía de inviolabilidad?
Generar xmls o json firmados de miles de eventos va a tener una ocupación tremenda y manejar la petición de datos a través de esos ficheros firmados no es muy práctica, y generar una bd paralela para pedir los datos no es garantía de nada.
Vamos a intentar ser pragmáticos y buscar entre todos soluciones para esta problemática. Me parece absurdo este paso que dejan una puerta abierta a que cada uno decida que es un evento. Deslizar un dedo por la pantalla es un evento de mouse. Pulsar un producto y después eliminarlo es un evento más lógico de grabar. Fichar una entrada o salida de usuario por tener un módulo en el mismo software de facturación para el control horario, también es un evento, pero no es competencia de hacienda, ya que ese evento puede ser de un usuario que no factura, un limpiador, un cocinero.
Pienso que falta regulación y va a crear una laguna que para los informáticos se va a traducir en intranquilidad.

[antoine0]

No creo equivocarme.

Hablo siempre de los registros de facturación de alta o de anulación, colectivamente llamados registros de facturación en el reglamento (¿hay más tipos posible?)
No creo que el formato de estos registros siga descrito en el reglamento más allá de ser una compilación de varios datos (art.8) o elemento de información (art. 9-11). De hecho, creo que la forma puede variar según las operaciones que se realizan. Lo que se pide es que la compilación siga siempre integre e inalterable, y que se pudiera demostrar.

Dentro de las operaciones está subir los registros a Hacienda (art. 15.1). Esta vía soluciona efectivamente gran parte del problema (art. 16.2 dice que «cumplen por diseño» el 8.2), elimina la firma digital, quedando en practica solo el tema de la huella, arreglar el 10.1 ñ (datos de la factura anterior), generar el QR y, last but not least, la log, ya que todas las demás cosas deben existir en cualquier sistema de facturación actualmente conforme; además evidentemente de empezar con una base claramente limpia (dónde no se puede trastear con los datos, dónde las facturas se graban de una sola vez etc.)

En tal caso, la DFÚ (última página) promete un O.M. que definirá (apartados a, c, d, e y g) la huella, la forma de dichos registros cuando se suben y un largo etc. Dicho de otra manera, falta mucho para entrar en detalle.
Por ejemplo, yo leía que la huella, parte del registro descrito en el artículo 10, está sometida al art. 8.1 b y por tanto debe ser generado en el momento de la emisión de la factura, un momento que veo distintamente anterior a la subida del registro a Hacienda. Pero es cierto que tu lectura, que se genere la huella solo en el momento de subir los datos, actuando directamente sobre el registro en la forma que se envía a Hacienda, se puede defender.

Sin embargo, yo me planteaba sobre todo en el caso opuesto, cuando no se suben los registros a Hacienda, que para mi es lo más probable en un primer tiempo, es decir, antes que los informáticos de Hacienda hayan puesto en marcho el nuevo sistema y que se haya estabilizado las especificaciones de la O.M.

[Zento]

Os veo muy pesimistas... Dos cosas que me daban miedo y con las que me quedo más tranquilo:

• Con una declaración responsable del desarrollador, suficiente. Nos ahorramos que nos auditen el código y los costes que hubiera conllevado.
• Según la disposición adicional tercera, si tu programa soporta SII, ya tienes la mitad de la faena hecha, pero creo que de incluir el hash de la anterior no nos libramos, y algo de complicación técnica nos van a incorporar.

[ermendalenda]

Cita:

Empezado por Zento

Os veo muy pesimistas... Dos cosas que me daban miedo y con las que me quedo más tranquilo:

• Con una declaración responsable del desarrollador, suficiente. Nos ahorramos que nos auditen el código y los costes que hubiera conllevado.
• Según la disposición adicional tercera, si tu programa soporta SII, ya tienes la mitad de la faena hecha, pero creo que de incluir el hash de la anterior no nos libramos, y algo de complicación técnica nos van a incorporar.

El pesimismo está fundado en que hay mucho trabajo que hacer en relativamente poco tiempo, ya que no podemos dejar de lado otros proyectos que son más productivos para las empresas, se pueden dar otros enfoques que lea viene bien a ciertas empresas pero no a todas, unos dicen que es una oportunidad de venta, pero no puede ser optimismo para todos. Depende de las circunstancias de cada uno

[[newtron]]

A ver... una idea tontuna que me pasa por la cabeza.


Según quiero entender lo que quieren es que el fichero donde se guardan los eventos no se pueda manipular pero no dicen cómo hacerlo ni con qué técnicas. ¿Sería una tontería ir metiendo registros con los textos encriptados en una tabla y luego poner un visor desde el programa para verlo o exportarlo? De esta manera los datos no se podrían tocar pero si visualizar y sería algo relativamente fácil de implementar.


Por otro lado, el tema de enviar los datos creo que no es obligatorio, ¿no?.



Saludos.

[keys]

Cita:

Empezado por newtron

A ver... una idea tontuna que me pasa por la cabeza.


Según quiero entender lo que quieren es que el fichero donde se guardan los eventos no se pueda manipular pero no dicen cómo hacerlo ni con qué técnicas. ¿Sería una tontería ir metiendo registros con los textos encriptados en una tabla y luego poner un visor desde el programa para verlo o exportarlo? De esta manera los datos no se podrían tocar pero si visualizar y sería algo relativamente fácil de implementar.


Por otro lado, el tema de enviar los datos creo que no es obligatorio, ¿no?.



Saludos.

Habrá que esperar a que diga algo hacienda, para ver si establece la forma de hacer las cosas o no. En cuanto a los eventos, si tu los metes en una base de datos con un usuario y contraseña ya estas garantizando que no se puedan modificar desde fuera. Luego lo tendrás que gestionar en tu programa.

Los datos no son obligatorio que los envíe el contribuyente, pero entiendo que si es obligatorio que el programa permita realizar el envío. Ya que hacienda le puede solicitar las facturas para una inspección, y eso habrá que hacerlo en el formato que defina hacienda o eso me ha parecido entender.

De todas formas creo que lo mejor es esperar a que hacienda (que somos todos) empiece a sacar cosas. Aunque se puede ir adelantando algo.

[antoine0]

Cita:

Empezado por newtron

... quieren es que el fichero donde se guardan los eventos no se pueda manipular pero no dicen cómo hacerlo ni con qué técnicas.

Es que no estás leyendo el documento correcto. Éste es un texto legislativo, que fija el marco dentro del cual actúan los inspectores, entre otras cosas. Dice cosas importantes, como por ejemplo que no hay que certificarse, basta con declaración responsable. El documento técnico que esperas será la orden ministerial (leed la última página).

Cita:

¿Sería una tontería ir metiendo registros con los textos encriptados en una tabla y luego poner un visor desde el programa para verlo o exportarlo? De esta manera los datos no se podrían tocar pero si visualizar y sería algo relativamente fácil de implementar.

Esto se llama seguridad por la oscuridad, en el mundo de la seguridad y el universitario está muy mal visto, y me imagino que a Hacienda no le hará ninguna gracia.
Hasta yo esperaría en un par de años una consulta vinculante que efectivamente lo prohíba.

Cita:

Por otro lado, el tema de enviar los datos creo que no es obligatorio, ¿no?

De lo que he leído, no, no lo es. Implica firma electrónica de cada registro, pero los datos se quedan dentro de las empresas. Y deben existir acceso sencillo y rápido a los registros en supuesto de control.

Un compañero mío me hizo remarcar que el objetivo de todo eso es dar a Hacienda un acceso directo a los datos de facturación de las empresas (mismo objetivo general que el S.I.I.)
Leyendo el reglamento con esta visión, hay dos vías: si se suben los registros o se usa la aplicación web de Hacienda, pues los datos de las facturas están en un fichero que gestiona Hacienda, se puede analizar por todos los lados sin demora, objetivo conseguido.
En el otro caso, hay varias provisiones en el texto que demuestran el objetivo de Hacienda: las más claras son el art. 14 de la pág. 16, y pág. 12 art. 8.2 a), 4ª alinea (subrayo yo):

Cita:

Además, el sistema informático deberá permitir a la Administración tributaria el acceso inmediato y, en su caso, extracción de todos o parte de los datos registrados.

[antoine0]

Cita:

Empezado por ermendalenda

... no podemos dejar de lado otros proyectos que son más productivos para las empresas, ...

Me parece raro que lo ves de esta manera.
De mi punto de vista, esto va a generar un MONTÓN de trabajo para las empresas que se dedican a este negocio, ya que básicamente todo las empresas españolas deben actualizarse, en un espacio de tiempo breve.
Es cierto que hay otras opciones como ir a por el cloud que serán seguramente privilegiadas e incentivadas (con los multimillonarios fondos europeos y la «digitalización»), pero quedará mucho pastel para repartirse. Hasta el punto que, si no se demora el proyecto, creo que dentro de varios meses es posible que veamos una «crisis» cuando el calendario apretará un poco más y empezará a escasear los informáticos, con la consecuente subida de los precios para las empresas que no se habrán asegurado en tiempo, y entonces un aluvión de dinero para las empresas de informática (y también después un bajón cuando la bonanza se acabará y otra crisis para 2026 debida al crecimiento brutal pero corto, pero esto será otra cosa). ¡Y también más dinero para los informáticos! O siga, un nuevo efecto Euro, aunque en menor escala.

Para las empresas de desarrollo, incluso las pequeñas, ahora es el momento de contratar y formar personal nuevo para poder hacer frente a la subida el año que viene; efectivamente es una inversión, entonces no es productivo a (muy) corto plazo. Pero los que se dedican a esto deben saber a veces invertir para ¡recoger más ganancias más tarde!

[Neftali [Germán.Estévez]]

Cita:

Empezado por Zento

Os veo muy pesimistas...

Cita:

Empezado por ermendalenda

El pesimismo está fundado en que hay mucho trabajo que hacer en relativamente poco tiempo

Yo también os veo pesimistas y "ansiosos"
Hay que esperar, por ahora con lo que hay no se puede hacer nada en la práctica. He intentar hacer algo ahora creo que puede generar una pérdida de tiempo después.

Hay que esperar a que definan y concreten protocolos, formatos de fichero, documentación, ejemplos, entornos de pruebas,...y todo lo necesario para poder implementar esto dentro de las distintas aplicaciones.

En cuanto al tiempo, si es necesario ampliarán plazos como han hecho en el pais vasco. Los colegios profesionales y las asociaciones empresariales, presionaron para que así fuera. Pueden multar a un 2% de las empresas si no llegan a plazo, pero no pueden multar al 30% de las empresas si los plazos no han sido los adecuados.

Paciencia, paciencia, paciencia,...

[luci5]

Hola buenas,

He estado leyendo el borrador de la ley y algunos artículos de blogs al respecto. Por ahora, llego a la conclusión que es más fregado de lo que parece, o más fregao que el Ticket BAI. Yo entiendo que no sólo afecta a los sistemas de facturación sino a la gestión empresarial en general:

Cita:

Artículo 8: Requisitos de los sistemas informáticos que registren y documenten las entregas de bienes y prestaciones de servicios

1. Los sistemas informáticos a que se refiere el artículo 1 de este Reglamento y que se utilicen
para registrar y documentar las entregas de bienes y prestaciones de servicios deberán garantizar
la integridad, conservación, accesibilidad, legibilidad, trazabilidad, e inalterabilidad de los registros
de facturación regulados en los artículos 9, 10 y 11 de este Reglamento.

El sistema informático deberá cumplir los siguientes requisitos, que deberán realizarse de forma
automatizada:

a) Por cada entrega de bienes o prestación de servicios deberá generar, de forma simultánea o
inmediatamente anterior a la expedición de la factura, un registro de facturación de alta.

b) El sistema informático deberá tener capacidad de remitir información a la Administración
tributaria de forma continuada, segura, correcta, íntegra, automática, consecutiva, instantánea y
fehaciente todos los registros de facturación generados por medios electrónicos, en particular los
registros de facturación a que se refieren los artículos 9, 10 y 11 de este Reglamento

Imagina que tienes una app que es sólo para gestionar servicios, booking o pedidos... ¿Esta app, por narices, a partir de ahora también tendrá que contemplar procesos de facturación, o enlace a un sistema tercero, y cumplir con las exigencias técnicas (y la responsabilidad que conlleva)?

Cita:

Empezado por Zento

Os veo muy pesimistas... Dos cosas que me daban miedo y con las que me quedo más tranquilo:

• Con una declaración responsable del desarrollador, suficiente. Nos ahorramos que nos auditen el código y los costes que hubiera conllevado.
  .

Aunque tu declares de buena fe que tu software cumple 100% con la normativa, porque así lo crees, eso no nos va a eximir de culpa en caso de fallo o incumplimiento. ¿Cómo estás seguro 100% que tu software cumple a raja tabla? Puedes tener un bug o no haber contemplado una situación o haber interpretado la norma de manera distinta. Dada la responsabilidad que ello conlleva, básicamente porque las sanciones son 6 cifras, ¿tendremos que contratar un seguro de responsabilidad? ¿hacer auditorías? Aunque no sea obligatorio, pero por seguridad.

Cita:

Empezado por afxe

No sé si os está pasando... pero ayer mismo almorcé con un colega de profesión (autónomo independiente, con no muchas instalaciones) y le pregunté cómo llevaba lo de la nueva normativa, el bloqueo de facturas, el concepto de Verifactu... y, no sólo no tenía ni idea, sino que pensaba que me estaba quedando con él. Y a medida que le explicaba, más pensaba que era mentira. Al final, no lo convencí, me dijo... "si eso es verdad, lo van a estar aplazando durante años... más años de los que llevan intentando quitar los módulos". Hasta ahora, los clientes reaccionan con indignación, pero casi ninguno con incredulidad.

Hay empresas tecnológicas que están tramitando las ayudas y el cheque tic para poner firewalls, antivirus, webs... y no tienen ni idea de lo que se viene encima... pero para colmo, es que ni las empresas pequeñas y desarrolladores independientes lo saben.

Si no es por foros como este... ¿dónde se está dando a conocer esta información? ¿en entrevistas a cadenas autonómicas? Quitando el BOE, por supuesto, que todo el mundo lee durante el desayuno, aunque sólo te dejan claro la multa que te van a poner si no haces inmediatamente lo que te dicen que dirán que hagas.

Totalmente. Esto del proyecto del reglamento yo me he enterado hace unos días por casualidad. Hay muchísima gente del sector y responsable de empresas de desarrollo que no están al tanto de lo que viene en un futuro. Y lo que es peor, creo que muchos desarrolladores de ecommerces creen que esto no va con ellos, cuando también están incluidos. Entra cualquier sistema informático, sea una web, app móvil o software de escritorio.

Lo que veo complicado que pasará con las aplicaciones open source. ¿Quién se responsabiliza?



A ver si la AEAT abre un buzón de consultas, como se hizo en el País Vasco con Ticket BAI.

[ermendalenda]

Y añade cando tengan que empezar a meter números de series de facturas, rectificativas, rectificativas de simplificadas, recapitulativas, sustitutivas, recapitulativas de simplificadas. Divertisimo

[Neftali [Germán.Estévez]]

Cita:

Empezado por luci5

...Imagina que tienes una app que es sólo para gestionar servicios, booking o pedidos... ¿Esta app, por narices, a partir de ahora también tendrá que contemplar procesos de facturación, o enlace a un sistema tercero, y cumplir con las exigencias técnicas (y la responsabilidad que conlleva)?

Si tu aplicación no factura, no veo qué tiene que ver con la ley antifraude.

¿Cual era el sistema de facturación anterior en esa empresa?
El sistema que tuvieran anteriormente será el que se tenga que adaptar.

Si no tenían (y las hacían con excel, por ejemplo) pues la AEAT se supone que pondrá a disposición de los usuarios una aplicación gratuíta para hacer esas facturas que antes hacían "manualmente". Esa aplicación está pensada para "pocas" facturas.

Si el número es grande, pues tendran que adquirir una app. de facturación y en ese caso, tal vez tengas que adaptar la tuya para comunicarte con ella.

[ermendalenda]

Cita:

Empezado por Neftali [Germán.Estévez]

Si tu aplicación no factura, no veo qué tiene que ver con la ley antifraude.

¿Cual era el sistema de facturación anterior en esa empresa?
El sistema que tuvieran anteriormente será el que se tenga que adaptar.

Si no tenían (y las hacían con excel, por ejemplo) pues la AEAT se supone que pondrá a disposición de los usuarios una aplicación gratuíta para hacer esas facturas que antes hacían "manualmente". Esa aplicación está pensada para "pocas" facturas.

Si el número es grande, pues tendran que adquirir una app. de facturación y en ese caso, tal vez tengas que adaptar la tuya para comunicarte con ella.

De todas formas se va a liar gorda, esto va a tardar añossssss

[luci5]

Cita:

Empezado por Neftali [Germán.Estévez]

Si tu aplicación no factura, no veo qué tiene que ver con la ley antifraude.

¿Cual era el sistema de facturación anterior en esa empresa?
El sistema que tuvieran anteriormente será el que se tenga que adaptar.

Si no tenían (y las hacían con excel, por ejemplo) pues la AEAT se supone que pondrá a disposición de los usuarios una aplicación gratuíta para hacer esas facturas que antes hacían "manualmente". Esa aplicación está pensada para "pocas" facturas.

Si el número es grande, pues tendrán que adquirir una app. de facturación y en ese caso, tal vez tengas que adaptar la tuya para comunicarte con ella.

Pero leyendo el borrador no lo tengo tan claro que sea así. Creo que todo el tema técnico de trazabilidad, legibilidad, eventos, etc. va a por todo sistema de gestión, sea o no de facturación. Hace referencia también a: "Requisitos de los sistemas informáticos que registren y documenten las entregas de bienes y prestaciones de servicios". Dónde cada entrega o prestación de un servicio, tu sistema debe generar también una factura de alta. Es decir, el sistema que registre documentos de entregas o prestación de servicios debe realizar automáticamente una alta de factura. Por ejemplo, si tienes una app que gestiona proyectos o servicios, y no contempla nada de facturación, porque la empresa factura con un software a parte, según mi interpretación del borrador, la app de gestión de proyectos o servicios deberá o:
A) hacer facturas
B) enlazar con un software que cumpla con la normativa.

Y luego tu sistema, aunque no sea de facturación, también tendrá que cumplir con el tema de la trazabilidad, legibilidad, eventos y todo el rollo eso. Claro, porque podría darse el caso que un sujeto facture una parte de proyectos y los otros no y los borre, o por el tema de la trazabilidad de las operaciones facturadas...la verdad, no sé.

Cita:

De todas formas se va a liar gorda, esto va a tardar añossssss

Gorda es poco. Pero no creo que se demore muchísimo. Son directivas europeas de hace un porrón de años ya. Al menos en el País Vasco se pusieron las pilas y lo solución planteada es bastante lógica.

Y hoy he leído que en Europa quieren unificar el formato de las facturas electrónicas Se juntará el trabajo.

[antoine0]

Cita:

Empezado por luci5

He estado leyendo el borrador de la ley y algunos artículos de blogs al respecto. Por ahora, llego a la conclusión que es más fregado de lo que parece, o más fregao que el Ticket BAI. Yo entiendo que no sólo afecta a los sistemas de facturación sino a la gestión empresarial en general:

Nota 1: no soy letrado.
Nota 2: es un borrador; pueden mejorar la redacción de algunos puntos.
Veo que el nombre del futuro reglamento habla de los «sistemas [...] que soporten los procesos de facturación de empresarios y profesionales». Por tanto el ámbito no debería extenderse más allá de la «facturación» incluyendo su «soporte» (dos términos potencialmente amplios, como lo notas).
Y cómo es normal en una ley, el primer artículo define el objeto, es decir qué se entiende por «facturación».
Legalmente, todo lo que no entre dentro de esto no tiene que verse afectado por este reglamento. Y no veo cómo alguien puede obligar una app que gestiona pedidos (por ejemplo, Google Calendar) a entrar en el ámbito del reglamento.

Cita:

Empezado por luci5

Imagina que tienes una app que es sólo para gestionar servicios, booking o pedidos... ¿Esta app, por narices, a partir de ahora también tendrá que contemplar procesos de facturación, o enlace a un sistema tercero, y cumplir con las exigencias técnicas (y la responsabilidad que conlleva)?

Si no entra en el ámbito del reglamento (y por tu descripción, no creo qué entre), no, no tienen que contemplar o cumplir.