„Ez az egész egy téboly. Fogalmam sincs, hogy most mit kellene tennünk” – kezdi a helyzetértékelést Nagy Andrea, a partikellékek nagy- és kiskereskedelmével is foglalkozó Funny Box Kft. ügyvezető igazgatója, aki az autójában bekapcsolt rádióból értesült róla: bajba kerülhetnek.

A cég e-kasszára átállásának története eddig sem volt problémamentes. Két boltjukba megrendelt Samsung pénztárgépek adásvételi szerződéseit késve kapták meg, és bár aztán a gépekre az előlegeket október 11-én átutálták, a rendelés visszaigazolása csak november 25-én érkezett meg. Abból a csávából még kikecmeregtek azzal, hogy ez utóbbihoz a NAV eredetileg november 15-ét szabta meg büntetlenséghez, de azt Nagy Andrea nem érti, hogy miként vonhatták vissza egy, már engedélyes gép zöld jelzését, pláne, hogy a Funny Boxnál azért ezt a modellt rendelték meg, mert az ügyviteli szoftverük gyártója ennek beszerzését javasolta a könyvelési rendszerük további, zökkenőmentes működése érdekében.

Van, ahol már online csilingel a kassza

Stiller Ákos

Az ügyvezető arra gondolni sem akar, hogy más modellt rendeljenek, azt azonban nehezményezi, hogy „a jelen helyzet értelmezésére vonatkozóan semmiféle információt nem kaptam sem a NAV-tól, sem a pénztárgép forgalmazójától”. Így most csak abba a korábban kiadott papirosba kapaszkodhat, amelyen a forgalmazó cég ígéri: március 31-ig leszállítja az online pénztárgépeket, és szabályosan beköti azokat az adóhatóság rendszerébe.

Az ügyvezetőjéhez hasonló fejtörővel akár 80-90 ezer kiskereskedő is szembesülhet. Igaz, az online pénztárgépek miatt rendőrségi forrásból származó értesülésünk szerint a hivatalban a rendőrség házkutatást tart hivatali visszaélés gyanújával. Az információt egyelőre nem erősítette meg a rendőrség.

Pénztárgép-engedélyek visszavonva

Mint azt korábban mi is megírtuk, január 23-án a Magyar Kereskedelmi Engedélyezési Hivatal (MKEH) visszavonta két online pénztárgépeket forgalmazó cég egy-egy e-kasszájának engedélyét. Az indoklás szerint bizonyították: az érintett pénztárgépek „lehetőséget teremtenek az adóelkerülésre, és rejtett funkciójuknak köszönhetően jogsértő célokra használhatók”. Az ALT Cash Kft. által forgalmazott SAM4S NR-300 ONLINE kódnevű pénztárgép, valamint a Japán Cash Company Kft. S&E NR-300 ONLINE nevű pénztárgépe valójában szinte teljes mértékben egy és ugyanaz a modell; ugyanabban a dél-koreai gyárban, ugyanazon a gyártósoron készülnek, csak más a nevük. (Van ilyen a piacon, sőt, igazából ez teljesen hétköznapi.) Korábban mindkét forgalmazó kapott engedélyt, most viszont egy újabb vizsgálat „funkcionális és biztonsági hiányosságokat” talált a gépekbe épített adóügyi ellenőrző egységben (AEE).

Az MKEH kiadott közleményében az áll, hogy ezekre a géptípusokra bár „számos megrendelést adtak le, ténylegesen csak néhány tucat gépet hoztak forgalomba”. A hivatal azt nem közölte, hogy a „számos” valójában azt jelenti, hogy a pénztárgépcserére kötelezettek legalább felét érintő döntést hoztak, de arra felhívta a figyelmet, hogy akik ilyen pénztárgépeket üzemeltetnek vagy ilyen gépekre szóló megrendeléssel rendelkeznek, azoknak „gondoskodniuk kell egy másik, engedéllyel rendelkező pénztárgép megvásárlásáról”.

A Japan Cash Company (JCC) az egyetlen engedélyes e-kasszájából mintegy tízezer darabot rendelt, az ALT Cash pedig a piacon mindenki által csak Samsungként ismert gyártmányokból összesen több mint 80 ezret. Mindkét cég régi motoros a szakmában, a kevésbé ismert JCC is több mint 10 éve működik ezen a területen. Homoki Péter kereskedelmi igazgató arra a kérdésre, hogy most mi lesz, csak széttárja a karjait, és a nagy sóhajt követően inkább csak bólint arra a felvetésre, hogy ez a döntés bedöntheti-e a céget. Egyelőre a megoldást keresik, és bár számos telefonhívást kaptak, eddig nem volt őrjöngő megrendelő, inkább csak óvatos érdeklődő, és az fel sem vetődött, hogy át akarnák verni az ügyfeleiket.

„Ezeket a gépeket jól ismerik a kereskedők, megbízhatók, régi tudáson alapulnak. Szerdán kaptuk meg az első 500 darabot, de csütörtökön az élesítésre gyakorlatilag már nem került sor, mivel a NAV-szerver „műszaki hiba” üzenettel nem engedte a rendszerbe kötni a kasszákat” – árulta el Homoki Péter.

A rendszer mozgásban van

A visszavont engedélyű két pénztárgép hétfőn még a JCC és az ALT Cash honlapján is megrendelhetőként szerepelt. Ezzel kapcsolatos felvetésünkre a JCC kereskedelmi igazgatója azt mondta, hogy olyan gyorsan történtek az események, hogy ennek korrigálására még nem volt idejük, de rendelni az ügy tisztázásáig már biztosan nem lehet náluk ebből a típusból. A két vállalat mostantól kényszerpályán fut, egyelőre a cégeknél próbálják felmérni a várható következményeket. Mivel a megrendelések éppen elkezdtek tömegével megérkezni, a helyzet kezelhetetlenné válása maga alá temetheti a cégeket.

Az elvileg ugyan járható út, hogy fellebbeznek a döntés ellen, és arra számítanak, hogy másodfokon, jogerősen visszavonható az egész indexálás. De egyrészt ez is időbe telik, másrészt valószínűbb, hogy ha a fellebbezés célt ér is, újra kell engedélyeztetniük a pénztárgépeket.

Az igazi probléma azonban valójában nem az, hogy rést találtak a pajzson, hanem az, hogy mikor. Ezek a készülékek korábban engedélyt kaptak, és ez alapján indult be a megrendelői és gyártói mechanizmus, és a piaci igények legnagyobb szeletét fedték volna le vele. A visszavont engedély így valakinek nagyon-nagyon sokba fog kerülni. Egy pénztárgép előállítási költsége zömmel 50-60 ezer forint közé lőhető be. Ha csak az alacsonyabb árral számolunk, 90 ezer pénztárgépre vetítve az 4,5 milliárd forint.  

A törés az törés

Az ALT Casht is megkerestük, de a cég telefonszámán telefoncsörgés és válaszadás helyett egy zongoraverseny hangjai szóltak egész nap. Hétfőn délelőtt aztán közleményt adtak ki, amelyben a vállalat "határozottan visszautasítja a feltételezést, hogy szándékosan olyan pénztárgépet fejlesztett, amivel csalni lehet". Az ügyvezető Madarász Jenő által szignált levélben az áll, hogy az ominózus pénztárgép "teljesíti a típusvizsgálat során az MKEH és NAV szakemberei által egyeztetett biztonsági szintet, de a felkért szakértők ezen túlmutató beavatkozást végeztek a pénztárgépen”. Madarász azt írta, hogy az MKEH által kirendelt hatósági műszaki szakértő "etikus hackelés" címén szétszedte a pénztárgépüket, és direktben csatlakozott egy számítógéppel az AEE-hez, amin keresztül a nyomtató képes volt manipulálni. Az ügyvezető szerint azonban – már azon túl, hogy szétszedték a gépet, és olyan beavatkozásokat követtek el rajta, aminek nyoma marad, illetve az erről automatikusan készülő naplózási fájl látszik a NAV szerverén is – ez a biztonsági rés programmódosítással napok alatt megszüntethető.

Az eleve érdekes, hogy a három független szakértő sikeres „white box” tesztje után (ez lényegében azt vizsgálta, hogy a készüléken futó szoftver rendelkezik-e a rendeletben előírt biztonsági paraméterekkel) az MKEH kirendelt még egy szakértőt – mondta egy neve elhallgatását kérő, a sikeres „törés” főbb részleteit ismerő forrás. A negyedik kontrollt végző cég produkálta az engedély visszavonását eredményező tesztet, a szakember szerint azonban a biztonsági rést úgy találták a készülékben, ahogyan nagy valószínűséggel az összes engedélyes pénztárgép feltörhető.

Hasonlata szerint az alkalmazott technika olyan volt, mintha egy forgalmi engedélyt kapott személyautót a hackerek azzal tettek volna a közlekedésre alkalmatlanná, hogy elvágják a fékvezetékeit. „A hatóság pedig arra hivatkozva, hogy a jármű nem képes fékezésre, visszavonná az engedélyét” – tette hozzá. Úgy véli, hogy ha a pénztárgépen a sérül plombát esetleg képes is volna hamisítani a csaló, azt, hogy a kassza szétszerelése után blokkol a rendszer, szerviz és szakember nélkül nem feloldható probléma. Pláne, hogy erről a blokkolásról értesítést kap a NAV is, így egy ilyen beavatkozás nem marad rejtve az adóhatóság elől, és így viszont ki is kiszűrhető. A szakember szerint bár „a törés az törés, és hibás készülék nem kerülhet forgalomba”, de az legalábbis véleményes, hogy ez a hackelési technika valójában mennyire tekinthető valódi biztonsági résnek.

Az ALT Cash hétfői közleményében is az áll, hogy a teszt irreális volt, és hogy "az ilyen mérvű átalakítás elleni átfogó védelem meghaladja a rendeletben előirt, a típusvizsgálat során az MKEH és a NAV munkatársaival egyeztetett védelmi szintet".

Munkabizottság, hátszél

Az ügyben legfelső szinten eljárni hivatott Nemzetgazdasági Minisztérium – feltehetőleg érezve a döntés súlyát, és annak várható következményeit – múlt szombatra összehívta az online pénztárgépek cseréjét felügyelő munkabizottságot. A rendkívüli ülésen részt vevő forrás azt mondta lapunknak, hogy a résztvevők 3 és fél órán át gyötörték egymást a helyzet kezelhetőségének keresésével, de csak addig jutottak el, hogy elfogadták: a kialakult helyzet miatt a pénztárgépcserére kötelezett kereskedők nem károsulhatnak.

Az egyik pénztárforgalmazó cégnél azt közölték lapunk kérdésre, hogy több viszonteladójuk, illetve megrendelőjük, kereskedők is azt jelezték, hogy levelet kaptak a NAV-tól, melyben arról értesítik őket, hogy a visszavont engedélyű pénztárgépek helyett választassanak másik modellt.

Az MKEH csütörtöki bejelentésére szinte azonnal megjelent az Országos Kereskedelmi Szövetség (OKSZ) közleménye is, amiben ugyanezt javasolják: azok a kereskedők, akiknek arra az engedélyvisszavont készüléktípusra volt megrendelésük, mielőbb rendeljenek új pénztárgépet. Vámos György főtitkár szerint nem is érdemes megvárni a visszavonás jogerőre emelkedését, hanem célszerű minél gyorsabban új gépet rendelni.

Hogy ez esetben mi lesz a már befizetett előlegekkel, és azt adott esetben mikor fizetik vissza, meglehetősen kérdéses. Vámos csak azt ígérte meg, hogy mivel a döntés több tízezer, döntően kisvállalkozást érinthet, az OSZK, ha kell, „kérni fogja a kormánytól a támogatási határidő módosítását”. (Az 50 ezer forintos, utólagos állami ártámogatáshoz elsősorban érvényes megrendelés kell. Aki október 1. után rendelte meg az e-kasszáját, annak január 31-ig kell beüzemelnie a készülékét, egyébként támogatás a február 28-ig rendszerbe állított online-pénztárgépekért kérhető abban az esetben, ha az ezt igénylő cég egy sor, korábban rögzített paraméternek is megfelel).

Az új kasszákon a kék fény szinte kötelező

Fülöp Máté

A visszavont engedélyek okozta helyzet rendezése érdekében hétfőn a NAV ismét lépett, és bejelentette, hogy azok a kereskedők, akiknek visszavont engedélyű gépekhez vannak kódjaik, lehetővé teszik az új megrendelés leadását. A végső, sakk-matt helyzetet jelentő döntést pedig az MKEH tette meg azzal, hogy hétfőn visszavonták a többi Samsung online kassza engedélyét is – illetve: két modell esetében elutasították a még folyamatban lévő engedélyezési eljárás folytatását. A hatóság honlapján hétfőn este jelent meg, hogy a SAM4S NR-240 ONLINE pénztárgép engedélykérelmét, ahogyan a SAM4S NR-440 ONLINE pénztárgépét is „funkcionális és biztonsági hiányosságok miatt” az MKEH Metrológiai Hatósága elutasította. Ugyanakkor arról is, hogy a SAM4S NR-270 ONLINE pénztárgép engedélyezési eljárása nincs folyamatban, bár az az ALT Cash kínálatában szerepel. Ezek alapján könnyű azt a következtetést levonni, hogy a dél-koreai gyártmányokat kizárják a magyar e-kassza-történetből.

Mi lesz most?

Ha jogos, ha nem a Samsung pénztárgépek kizárása, a kereskedőket mégis az érdekli a leginkább, hogy mi lesz most. Az biztos, hogy az engedély-visszavonásokkal a még fel sem állt rendszeren vágott lukat nem lehet pikk-pakk befedni. Tóth Tamás, az ECR Trade ügyvezetője szerint ha most 80 ezernél több megrendelő hoppon maradt, akkor az ő igényeik kielégítésének már a megkezdéséig is legalább 3 hónap múlva lehet csak hozzákezdeni, mivel az engedélyes gyártók és forgalmazók a már megrendelt és gyártás alatt lévő mennyiség kipipálását követően tudnak csak az újabb igényekre fókuszálni, ugyanakkor az alkatrészeket mind újra be kell szerezni a világpiacon.

„Nem tudom elképzelni hogy volna bárki is a piacon, aki most 80 ezer pénztárgépet be tud tolni a piacra, mert ha lenne ilyen szereplő, akkor már rég látszódna” – mondta Tóth Tamás. A saját cége példáját mondja: ha ma a már megrendelt mennyiségen felül kellene pénztárgépet adnia a piacra, akkor a február végéig kifutó saját, korábbi megrendelésének legyártása után hónapokig kellene várnia. „Az alkatrészeket ilyen mennyiségben sehol nem tudják csak úgy levenni a polcról, azok teljes körű beszerzése után indulhat csak a gyártás, aminek ráadásul minden gyártónál megvan a maga kapacitáshatára” – mondta az ügyvezető. Plusz csúszást jelent, hogy a legyártott kasszákat be kell üzemelni, rá kell kapcsolni az adóhatósági szerverre, márpedig az ECR-Trade, mely ez utóbbit a legkorábban kezdte el, bő egy hónap alatt 14 ezer készüléket tudott bekötni a rendszerbe.

Az első engedélyeket kapott Comp-csoport igazgatótanácsi tagja, Krzysztof Urbanowicz továbbra is tartja magát ahhoz a tervhez, amiről a hvg.hu-nak adott interjújában december elején beszélt. Azt mondja, hogy bár a részleteket nem ismeri, de nem nagyon lepte meg, hogy ázsiai gyártmánnyal van gond. „Ilyen már Lengyelországban is sokszor előfordult. Gyakran az történik, hogy az első évben jól működnek, aztán a következőben új gépet kell venni helyettük – és ez már nem is annyira olcsó, nem is beszélve arról, hogy esetleg a cseréig zárva kell tartani az üzletet” – mondta a lengyel szakember. Ezzel együtt is úgy látja, hogy számukra a 30 százalékos piaci részesedés megszerzése a reális. „Erre készültünk fel, ezt akarjuk elérni” – mondta. Hozzátéve: ha a piac úgy igényli, később annyi pénztárgépet szállítanak, amennyit a vevők megrendelnek.

Fellebbezésnek helye?

Az ügyben megkérdeztük az MKEH-t is, a hivatal írásos tájékoztatása szerint egy december 12-ei bejelentés után vizsgáltatták meg újra az adott készüléket, mivel abban az szerepelt, hogy "a gépeket olyan funkciókkal hirdetik a piacon, amelyekre nem volt engedély, és ami így illegális funkciónak minősülhet". A kirendelt  igazságügyi informatikai szakértő a gépeket december 21-én kapta meg, és a szakértői vizsgálat eredménye január 22-én vált véglegessé. Ez alapozta meg a forgalmazási engedélyek január 23-i visszavonását. Az MKEH állítja: "a probléma lényege, hogy egy olyan biztonsági rés van hagyva az adóügyi ellenőrző egység (AEE) szoftverében, amelyet megfelelően kihasználva a pénztárgépen a megtévesztésig nyugtának látszó bizonylatok nyomtathatók, és ezek jogsértően nem kerülnek letárolásra az AEE-ben. A tevékenység adóelkerülésre alkalmas."

Kérdésünkre hogy minden engedéllyel már rendelkező gépet újravizsgálnak-e, a hatóság nemleges választ adott. Azt írták, hogy mivel a „hiba” az AEE szoftverben van, az azonos AEE-vel rendelkező gépekre érvényes ez a probléma. "Más gépeknél más  protokoll van – ott ez a probléma irreleváns –, és egyébként is csak azoknál a pénztárgépeknél van meg az elvi lehetősége [ennek a hibának – a szerk.], ahol a kérdéses támadási pont az AEE burkolatán kívül helyezkedik el."

Rákérdeztünk arra is, hogy az „etikus hackelés” során mi történt pontosan. A plomba felbontásának szükségességét elismerték, azt azonban állítják, hogy "a forgalmazó tájékoztatásával szemben a pénztárgépet nem kellett szétszedni, és nem kellett a nyomtatót külön vezérleni" a hackeléshez. "A beavatkozás során a pénztárgép-szoftver helyébe lépve, az AEE-nek (nem a nyomtatónak) adott parancsokkal sikerült nyomtatni letárolás nélküli bizonylatokat, nyugtának látszó tárgyakat, ami adóelkerülésre alkalmas" – írta válaszában az MKEH, hozzátéve, hogy a pénztárgép a forgalmazó nyilatkozatával ellentétesen működhet, működtethető.

A hiba gyártói, forgalmazói elhárítására vonatkozó, illetve az esetleges felelősségre vonatkozó kérdésünkre az a válasz érkezett, hogy az MKEH jogalkalmazó hatóságként, a vonatkozó jogszabályok szerint jár el, ha a szoftvert kell módosítani, akkor az új hatósági eljárást kíván, de "a probléma súlyossága egyebekben is az azonnali visszavonást indokolja" – áll a válaszlevélben. Az elsőfokú hatóság határozata ellen 15 napon belül lehet fellebbezni, mivel azonban a döntést (az engedély visszavonását) igazságügyi informatikai vizsgálat alapozta meg, az MKEH úgy látja, hogy ha nem így lép fel az ügyben, akkor "a feltárt jogszabálysértő tényezők súlyosan veszélyeztethetik azon célok (többek között az állami adóbevételek növelése) elérését, amiért a kormány az online pénztárgépes rendszer bevezetése mellett döntött".