Category Archives: Ciberseguridad

Ha vuelto, ahora a ver qué trae

 

 

Con gran expectación recibimos la noticia del restablecimiento de la plataforma ATV desde el día de ayer, por parte del Ministerio de Hacienda. Un sistema fundamental en la relación digital entre contribuyente y el Ministerio.

De verdad que nunca se aprecia una prestación como cuando la misma se ha perdido… Nostálgicos momentos que tuvimos que mantener durante los dos últimos meses en los que retrocedimos a la era del “papel”.

Ahora es fundamental entender cuáles son las etapas de gestión de inicio de la plataforma ATV, que nos permita poner al día las diversas declaraciones pendientes, que durante este pasado oscuro preparamos desde el arcaico EDDI 7, a través de un formulario de pago D110.

La disposición inicial de la Administración era un plazo irracional de tres días para la entrega de información, pero se enmendó mediante la calendarización anunciada en conferencia de prensa por el señor ministro y su equipo el pasado viernes.

Se espera que más de un millón doscientas mil declaraciones ingresen en esta carga masiva, por lo que fue sensata la medida de poner en línea temporal y priorizar dicho proceso de una manera eficiente.

Los primeros en tener que poner en un corto plazo todas sus obligaciones tributarias en el sistema ATV son los grandes contribuyentes, que traen a la recaudación la mayor parte de los recursos fiscales a la caja única del Estado.

Fundamental recordar la escalación por etapas para los contribuyentes de la masividad, sea todos los demás contribuyentes, nos pongamos al día con las declaraciones del mes de marzo, del 20 al 24 de junio.

Las declaraciones del mes de abril corresponden la presentación en la semana que va del 27 de junio al 1 de julio, así como las declaraciones de mayo en la semana que va del 4 al 8 de julio. Cabe destacar que esto implica que la declaración que vence mañana 15, de junio no va por medio ATV sino va por el camino del papel con el recibo oficial de pago D 110.

En materia de declaraciones del IVA, sean las de los formularios D.104-2, corresponde la presentación ordenada de las declaraciones cronológicamente, para que se pueda hacer la correcta imputación de créditos y saldos acumulados en el sistema. Así no hay asuntos de acreditación de saldos de períodos anteriores que solo agravarían la condición de saldos de cuenta integral de cada contribuyente.

Tener en cuenta que la declaración de renta de sociedades inactivas se pasó para el 16 de agosto de este año. La declaración originalmente vencía el 15 de este mes, pero el nuevo plazo da tiempo para que los contribuyentes que aún no estaban preparados para declarar los años 2020 y 2021, puedan identificar el origen de los fondos que dieron pie a sus bienes y la bondad fiscal de estos, de modo que desactiven la presunción de incremento patrimonial no justificado del artículo 5 de la Ley del Impuesto sobre la renta.

Celebramos el regreso del sistema de gestión ATV, por todos los beneficios que implica, a pesar de toda aquella crítica que históricamente hacíamos a sus capacidades y prestaciones.

En la salida de esta larga noche oscura se acercan una diversidad de retos y oportunidades que debemos de recordar.

Aún no está en marcha el sistema TICA para las prestaciones del comercio internacional en exportaciones e importaciones. El Ministerio espera que retome funcionamiento en lo que resta del mes de junio.

El mensaje de tranquilidad que nos da el señor ministro, a su valor nominal parece el apropiado, para bajar las ansias de los contribuyentes en materia de la información rescatada y la encriptación de esta en bases de datos separadas de las que permiten la identificación del contribuyente. Tranquiliza, aunque, habiendo estado todos los sistemas y bases de datos por tanto tiempo en medio de un ambiente de secuestro, hoy desconocemos la profundidad de las vulnerabilidades generadas en la integridad de la información.

No podemos de manera ilusa creer que estamos frente a un grupo de “chicos traviesos.”

Hemos estado secuestrados por ciberdelincuentes, que no son primerizos y que eventualmente actuaban con anclas locales que les cooperaron en facilitar el descriptivo de las interrelaciones de los diversos sistemas que hay en el Ministerio de Hacienda.

Es fundamental que los procesos de investigación forense se lleven hasta las últimas consecuencias, para sentar las responsabilidades en cabeza de los funcionarios que incumplieron con el deber de probidad y diligencia que resultaron en el ciber secuestro del que hemos sido víctimas.

Esta investigación, aunque en manos del Ministerio de Ciencia y Tecnología, debe llevar su correlato paralelo en la fiscalía de la República. Las consecuencias penales no pueden quedar en el olvido, ya que el daño causado tiene previstas de privación de libertad que demandamos sean ejecutadas en pleno apego al sistema de derecho de nuestro país, con garantía a los posibles imputados, pero, más aún, con la garantía para todos los que hemos sufrido las consecuencias operativas de esa falta de cuidado o complicidad en última instancia.

A los contribuyentes les recomendamos estar preparados para la posible masividad de comprobaciones que pueda llevar a cabo la Administración Tributaria. Es obligación del sujeto pasivo cooperar con la construcción de los datos que puedan tener relevancia tributaria para los contribuyentes y para la Administración.

Un acto recomendable es la comprobación de los saldos de la cuenta integral luego de todas las cargas de declaraciones pendientes en el sistema. Para ello hay que tener un claro proceso de documentación de la situación fiscal propia para conciliar con la información que resulte en los saldos de la Administración.

También cabe recordar la conveniencia de llevar a cabo con un diagnóstico del cumplimiento de los deberes propios como pagador de impuestos. Este diagnóstico detectará riesgos y oportunidades para el cumplimiento tributario al menor de los costos alternativos posibles en el pleno cumplimiento de la normativa fiscal vigente. Le permite acceder de manera voluntaria, aunque extemporánea, a la regularización de declaraciones “riesgosas”, una calificación que debe, de preferencia, provenir de un tercero independiente, adecuadamente versado en la gestión de las relaciones jurídicas de la autodeterminación y autoliquidación de las obligaciones tributarias, tanto de impuestos directos como indirectos.

Inicia un proceso de gestión para la puesta en marcha del proyecto de Tributación Digital que ha tenido una demora imperdonable. Este sistema debe contar la seguridad informática requerida para la buena custodia y protección de la información de los contribuyentes, que es protegida por el Código de Normas y Procedimientos Tributarios y ha sido flagrantemente vulnerada por esta larga noche oscura del hackeo.

¡Vamos!

Salimos de la situación compleja pero no bajemos la guardia. Debemos tener una oportunidad de mejora en seguridad digital para ser prudentes, para que pongamos en marcha, los contribuyentes y por supuesto la Administración, sistemas de gestión de seguridad de la información que se adecuen a las nuevas prácticas del crimen organizado que va detrás del preciado valor de la información con altos elementos de sensibilidad para el quehacer de los agentes económicos.

 

Secuestrados ¿Qué debemos tener en cuenta?

La notica que conmociona al país es el ataque cibernético atribuido a la organización internacional Conti. Una organización que se dedica a la delincuencia informática y lucra con el rescate que pide al ente o entes atacados; así como, de la ulterior venta y tráfico de datos a otras organizaciones delictivas o no, que manejan inteligencia social. Según el uso que den esas entidades, puede ser un riesgo significativo para cada uno de los usuarios del sistema.

Como los sistemas vulnerados son diversos y en múltiples instituciones, tanto del gobierno central como entes desconcentrados, estamos claramente ante un problema de seguridad nacional.

Esta condición de seguridad nacional debió abordarse como tal desde un inicio. Es tarde para lamentar, pero oportuno dejar apuntado, la inexistencia de una comisión permanente para atención de este tipo de embates. No es el primero ni será el último.

Transcurrieron cuatro días para conformar una comisión para atender el gran reto que significa la vulneración de las bases de datos más sensibles de nuestro país, con información suya y mía.

La lentitud denota la tónica de la gestión pública, en particular de la saliente administración Alvarado Quesada y en concreto, en cabeza del señor Elián Villegas ministro de Hacienda, quien pretendió en un inicio hacer un manejo de sociología de masas a través de la minimización del problema. También dejó qué desea el MICITT, que como ente rector de la materia tecnológica no tuvo la gestión de un protocolo de prevención y manejo del riesgo cibernético.

Ríos de tinta se podrían verter sobre este tema, su manejo, el deber ser de la gestión de los datos de los ciudadanos de nuestro país, así como de empresas nacionales y multinacionales. No abono, pero no puedo dejar de mencionar el aumento literario del que se podría nutrir el cuadro de hechos con las diversas teorías de la conspiración que, por el tiempo de transición de gobierno, han echado al eco de campanas que suenan por diversas corrientes.

Hemos sido secuestrados y una o varias organizaciones cuentan con datos muy sensibles sobre las características de los perfiles financieros y en particular los tributarios de quienes somos agentes de la economía formal.

Claramente, quienes han sido omisos históricamente, son carentes de récord y, por tanto, reciben también como premio la hermética protección de sus datos como “premio social” a su incumplimiento.

Hay una gran responsabilidad al cumplimiento del deber de vigilancia que, sobre los funcionarios del Ministerio de Hacienda, así como otras instituciones vulneradas, recaerá por el deber de probidad en la función pública; misma que incluye el deber de diligencia, aspecto que queda al menos a hoy evidenciado, como un elemento ausente en el proteger información tan sensible de los contribuyentes.

El Código de Normas y Procedimientos Tributarios tutela el derecho del contribuyente de mantener por activa y por pasiva la garantía de la confidencialidad de la información, me permito al efecto la transcripción del artículo 117 del cuerpo legal:

“ARTÍCULO 117.-Carácter confidencial de las informaciones.

Las informaciones que la Administración Tributaria obtenga de los contribuyentes, responsables y terceros, por cualquier medio, tienen carácter confidencial; y sus funcionarios y empleados no pueden divulgar en forma alguna la cuantía u origen de las rentas, ni ningún otro dato que figure en las declaraciones, ni deben permitir que estas o sus copias, libros o documentos, que contengan extractos o referencia de ellas sean vistos por otras personas que las encargadas en la Administración de velar por el cumplimiento de las disposiciones legales reguladoras de los tributos a su cargo.”

De la transcripción me parece fundamental rescatar el concepto activo de la confidencialidad que reza que los funcionarios y empleados de la Administración no pueden divulgar la información, que es fundamental, para que el deber de iniciativa del contribuyente de declarar y cumplir el deber de cooperar con la Administración en el sistema de autodeterminación de obligaciones tributarias se cristalice y el sistema sea operativo.

También es indispensable resaltar el elemento pasivo de la confidencialidad, que se refiere a que dichos funcionarios no deben permitir – por acción u omisión – el acceso a esta información del contribuyente.

Hoy toda esta información está en el dominio público. Los secuestradores la han liberado ante la negativa a pagar el rescate, aspecto con el que concuerdo, aún ante el menos atípico y sospechoso descuento del 35% del monto original de diez millones de dólares.

Las consecuencias deben preocupar al ciudadano, contribuyente o no, pues el uso que se le puede dar a esta información es tan diverso que solo el tiempo nos revelará cuán profundo es el daño perpetrado por la negligencia de los funcionarios.

No se diga del costo reputacional del país y sus condiciones de idoneidad para el manejo de los negocios. Estábamos ya en un ambiente, de por sí de capi caída certeza jurídica, pero hoy, a las preocupaciones de los contribuyentes, debemos hacerle un llamado a la acción, no a una calma barata como la propuesta irresponsable en cabeza del Ministerio de Hacienda.

Por el contrario, les invitamos a trabajar activamente en dos frentes que son indudablemente fundamentales:

Primero, revisar su propia vulnerabilidad a posibles ataques cibernéticos ya sea desencadenados o no por este evento de magnitud inmensurable pero gravísima.

Segundo, iniciar de manera urgente e inmediata la construcción de expedientes de información que dan cuenta del cumplimiento de sus deberes tributarios. Lo esperable, una vez más, es que, para cada error de Hacienda, el que pague las consecuencias sea el contribuyente. No será extraño que, una vez estabilizados los sistemas del Ministerio y en concreto de Tributación, se empiecen a dar acciones tendentes a cobrar deudas inexistentes, así como las solicitudes generalizadas de información para reconstruir, contrastar o fiscalizar los datos que les dejen los secuestradores, después de los retoques que puedan quedar corrompiendo la integridad de información de los contribuyentes.

Es iluso pensar que el Ministerio de Hacienda va a dar una vuelta a la pagina y decir, empecemos con contadores a cero, a pesar de que algunas personas inescrupulosas especulan al respecto, dando señales en la dirección equivocada a los contribuyentes, incluidos algunos lamentables colegas, que se dicen tales, que están promoviendo cantos de sirena en los oídos de algunos que creen que los problemas tributarios se acabaron.

Una vez estabilizada la situación de carácter crítico, lo que ocurrirá no es el fin sino el inicio de los problemas de los contribuyentes con una Administración Tributaria que a “palos de ciego” empezará a tocar, golpear y perseguir a los contribuyentes. Avizoramos la necesidad de ser proactivos en la reconstrucción, recopilación y buen recaudo de los datos que prueben a favor de las obligaciones cumplidas en todos los impuestos y para todos los períodos no prescritos.

Lo único sensato de hacer es actuar en esa dirección. Bien vale el momento para que el contribuyente se asegure de contar con declaraciones integralmente bien elaboradas, con apego a derecho, así como con la certeza de integridad de lo declarado para que, de detectarse una omisión u error de cualquier tipo, se pueda remediar con la sana valoración de prudencia profesional.

Es realmente penoso ver cómo hay quienes se presentan como profesionales de la asesoría fiscal que andan de toca campanas, diciendo que esta acción nefasta salva a los contribuyentes de toda responsabilidad. No es de recibo, y debo mencionarlo para que personas de buena fe, que puedan escuchar estas afirmaciones de quienes se jactan de ser asesores fiscales, no caigan en la trampa de quedarse quietos y en condición de vulnerabilidad fiscal, para luego lucrar de su ignominiosa actitud, no vayan a creer que aquí acaba, sino que por seguro aquí empieza un nuevo capítulo de la vida fiscal del país.

La norma que protege por activa y por pasiva la confidencialidad de la información de los contribuyentes se ha vulnerado. A esos efectos, el sistema legal establece responsabilidad penal a los funcionarios que por acción u omisión hayan vulnerado, este que no es únicamente una garantía al contribuyente, sino un derecho humano recogido por la propia Constitución Política. Urgimos la acción inmediata del Ministerio Público para que se establezcan las responsabilidades penales a los funcionarios del Ministerio de Hacienda.

Por otra parte, instamos a la Sala Constitucional a reevaluar su velocidad, para fallar en estado de emergencia el recurso que ha dejado en “jaque” el proyecto de Tributación digital, que evidentemente, grupos de fraude fiscal organizado han pretendido se evite. La detección de las conductas delictivas del complejo delito tributario, serían muchísimo mas trazables y menos vulnerables a la precaria situación de los sistemas que hoy operan los hackers y los funcionarios de la Administración Tributaria.

Es tiempo de actuar, no se quede inmovilizado por el temor. Hay que dar fortaleza a la calidad de nuestros sustentos documentales de las declaraciones de impuestos y sus soportes. Un aspecto que es lo único que, en sus manos y en las mías como agentes económicos racionales, podemos hacer. No es tiempo de sentarse a ver qué hace el otro, sino tiempo de actuar en lo propio.

A las nuevas autoridades de la venidera Administración Chaves Robles, le reciben en alfombra roja en el Ministerio de Hacienda con urgente renovación de los cuadros de funcionarios. No podemos seguir exponiendo las finanzas públicas escuálidas a que estén en manos de funcionarios que se han lucido en demostrar su incapacidad.