"bromden" <b...@p...gazeta.pl> wrote in message
news:3CAB116A.CA51DD52@poczta.gazeta.pl...
> > Klucz prywatny do podpisu elektronicznego mam tylko ja i nikt za mnie
> > transakcji nim nie podpisze ;-))
>
> dokladnie!
> nawet zus to zrozumial,
> proste i eleganckie,

HA! HA! HA!
ZUS tego nie rozumie, a ci ktorzy to wszystko zaprojektowali pozostawili w
systemie dziurę kompromitującą cały potwornie pogmatwany i trudny do
zrozumienia przez zwyklych ludzi system certyfikatów ZUS.

Dowód:
Jeden z moich klientow otrzymał wezwanie do wyjasnienia dlaczego nie
przeslał dokumentów rozliczeniowych do ZUS za 4 miesiace ub. roku. Problem w
tym, ze klient twierdził, ze je przeslał, ma nawet potwierdzenia, ktore
zreszta do ZUSu wysłał jako dowód. Poczatkowo wydawalo się, ze ZUS jakoś
zgubił (skasował) te dokumenty (przesłane elektronicznie!). W koncu jednak
okazalo się, ze nie - potwierdzenia dotyczyły dokumentów innej firmy.
Wyjasnienie bylo proste. Mój klient ma 2 firmy a pani wysylająca dokumenty
przez pomyłkę po prostu zaszyfrowała je dwukrotnie - dwoma różnymi
certyfikatami i wysłała do ZUS. Inaczej mówiąc dwukrotnie wyslała te same
dokumenty, raz prawidłowo, drugi raz szyfrujac je innym certyfikatem,
zamiast dokumentów prawidlowych.
Dowcip polega na tym, ze najpierw wysłała te zaszyfrowane teoretycznie
nieprawidlowo a dopiero potem te zaszyfrowane poprawnie. Pod pojeciem
szyfrowania rozumiem tu oczywiście nie tylko szyfrowanie ale i podpis
elektroniczny. I te pierwsze, podpisane przez obcą firmę zostały przyjete i
potwierdzone jako "przetworzone poprawnie". Te drugie juz do bazy nie
weszły, bo miały ten sam numer i w bazie juz były - ale tez wg potwierdzenia
zostały "przetworzone poprawnie".

Na pytanie do ZUSu jak to możliwe, iż potwierdzono jako poprawne dokumenty
podpisane przez inna firmę padła odpowiedź - taka sytuacja jest mozliwa
dlatego, że biura podatkowe mają prawo podpisywać dokumenty swoich klientów
swoim własnym certyfikatem. Rzeczywiscie, mam innego klienta, biuro
podatkowe, ktore tak robi w przypadku kilkudziesięciu swoich klientów. Ale
opisywanemu wczesniej klientowi ZUS nie wydał zgody na podpisywanie
dokumentów obu firm jednym certyfikatem - poniewaz biurem podatkowym nie są.
Nakazał wyrobienie osobnych certyfikatow dla każdej z firm. Niestety system
ZUSu tego, czy certyfikat nalezy do biura podatkowego NIE SPRAWDZA. Każdy
moze przesłac cudze dokumenty i podpisac je własnym certyfikatem, byle były
formalnie poprawne. Zresztą nawet sprawdzanie tego czy podpis należy do
biura podatkowego to jeszcze za mało - trzeba by miec listy tych płatników,
ktorych dokumenty dane biuro ma prawo wysyłać.

Teraz:

Zalożę sobie firme-krzak, wyrobie certyfikat a następnie wyślę jakieś
bzdurne dokumenty rozliczeniowe (formalnie poprawne) za Hutę Sendzimira albo
jakąś inną znienawidzoną przeze mnie firmę - podpisane moim certyfikatem.
Zrobię to na tyle szybko (na poczatku miesiąca), zeby moje dokumenty weszły
do bazy ZUSu jako pierwsze. A za rok Huta Sendzimira bedzie miała poważne
kłopoty, np. milionową niedopłatę. Huta moze sobie z tym poradzi ale juz mój
sąsiad nie. Zanim wszystko wyjasni kontrola z ZUSu go zniszczy.

PiK