Muito se tem falado ultimamente sobre cibersegurança, decorrente dos mais recentes ciberataques a organizações de grande visibilidade pública, contudo os ataques informáticos têm atingindo de forma transversal todas as organizações e sectores, tendo em 2021 duplicado as denúncias de cibercrime recebidas pela Procuradoria-Geral da República (PGR).
O aumento do cibercrime apesar de ter sido impulsionado pela pandemia, já se afigurava como uma tendência crescente, dada a forte digitalização e uso de tecnologia por parte das organizações nas suas mais variadas operações e interações com terceiros, o que abarca inevitavelmente a função financeira e fiscal.
Como é sabido, toda a faturação, contabilidade, gestão de tesouraria, reporting estatutário e fiscal, assenta em um ou mais sistemas/ programas de faturação e de contabilidade, que tendencialmente estão interligados com outros sistemas (quer de clientes, fornecedores, entidades públicas, etc.).
A transformação digital de toda a administração pública, incluindo a Autoridade Tributária (AT), tem impulsionado que todas as comunicações, registos e arquivos, tenham por base comunicações eletrónicas, que requerem acessos a diferentes sistemas/ programas informáticos e plataformas online.
A implementação desta “digitalização” foi acompanhada por um forte dimensão regulatória (em Portugal e fora), principalmente sobre os meios informáticos e sobre a forma de os utilizar na função financeira e fiscal, veja-se a título de exemplo:
- A emissão de faturação requer um programa certificado (pela AT), que deve obedecer a um conjunto de requisitos plasmados na legislação, que visam dar garantias sobre a integralidade e fiabilidade da informação;
- A comunicação periódica de faturação, movimentos de mercadorias e inventários, das organizações para a AT deve ser salvaguardado através de ficheiros estruturados (exemplo SAF-T (PT)) e/ou através de webservices, cujo formato e conteúdo é regulado e estipulado em legislação;
- O registo contabilístico e respetivo documento de suporte, inerentes ao sistema/ programa de contabilidade, deve cumprir com a demais legislação em vigor no que concerne ao registo e arquivo no formato digital;
- Todo o reporte fiscal assenta em formato, comunicação e arquivo eletrónico na AT devidamente regulamentado, e cuja atualização é permanente;
- A faturação eletrónica é uma dimensão obrigatória (pelo menos para a administração pública) cuja regulamentação europeia foi ajustada para o contexto nacional;
- O arquivo eletrónico de documentação de suporte à faturação e registos contabilísticos tem que obedecer aos requisitos incluídos na legislação nacional;
Um facto não menos importante é que o não cumprimento da regulamentação em vigor em termos de sistemas e comunicações eletrónicas tem coimas e penalidades associadas, de acordo com o regime geral das infrações tributárias.
O que tudo isto significa é que um cenário de ciberataque, que viole e cause estragos nos sistemas, base de dados e backups das organizações no âmbito financeiro e fiscal, acarreta riscos e custos severos para a função financeira e fiscal. Ou seja, o risco não se cinge ao que é mais publicitado, ou seja, a operacionalidade de serviço ao cliente e ou perigo de acesso a dados de cliente, mas também existem impactos relevantes ao nível da função financeira e fiscal, tanto no seu reporte estatutário e de gestão, como ao nível do seu reporte fiscal.
As medidas de cibersegurança são no fundo práticas com vista à proteção de computadores, redes, sistemas e dados contra acesso, alteração ou destruição não intencional ou não autorizada. As organizações tipicamente relegam para as funções de IT a gestão destas medidas que tendem a não refletir as necessidades particulares previstas na regulamentação em vigor para os sistemas/programas da função financeira e fiscal e que requerem medidas e planos de contingência específicos em matéria de cibersegurança.
Qual o risco que a função financeira e fiscal enfrenta, pela não existência de um plano de cibersegurança que tenha em conta as suas necessidades? Vejamos:
- Quando existe a corrupção da base de dados de um sistema de faturação certificado, é necessário seguir protocolos específicos de acordo com o quadro regulamentar tributário, tanto ao nível de sistemas como de práticas. Em caso de incumprimento, existe impacto tanto para a certificação do sistema de faturação, como da comunicação (ex: SAF-T) da sua faturação à AT. Ou seja, a ocorrência de incidentes desta natureza, requer respostas específicas por parte dos sistemas de faturação de acordo com a legislação em vigor e a sua não conformidade pode acarretar coimas e entraves aos processos de faturação certificada com clientes, que deve ser cronologicamente sequencial;
- Quando existe corrupção adicional das bases de dados de backup, existem também cenários a seguir de acordo com a legislação em vigor que têm que ser previstos em termos de sistemas e práticas de faturação. E mais uma vez, a não conformidade pode acarretar coimas e restrições para toda a operação da função financeira e fiscal;
- Quando existe violação e corrupção da base de dados do arquivo de documentos contabilísticos, têm que existir práticas em conformidade com a legislação que garantam não só a capacidade para continuar a contabilização (incluindo fecho de contas, reconciliação e apuramentos), como para demonstrar todos os factos e evidências contabilísticas e fiscais em sede de uma inspeção fiscal. Este facto é bastante relevante, pois como é sabido o arquivo de dados, que em grande medida já se encontra em suporte digital, deve ser mantido durante 10 anos e pode ser requerido pela Autoridade tributária em qualquer momento, em sede de inspeção;
- Quando existe violação no acesso e dos dados comunicados com bancos e autoridade tributária (seja ao nível declarativo ou outro, com relevo para o reporte e/ou sua evidência) tem que se acautelar o acesso aos mesmos de forma a poderem ser apresentados e corroborados em sede de inspeção e/ou como evidências para pedidos de reembolsos e/ou recuperação de IVA. Neste sentido, importa salvaguardar as garantias de prova tanto para o passado, como para a operação corrente e futura;
- Quando existe um ataque que afeta o sistema de faturação e contabilístico, que apesar de certificado (ou seja, endereçando um conjunto de requisitos legais), foi customizado por diversas operativas internas especificas de uma organização, a recuperação do mesmo, tem que passar por garantir o cumprimento dessas mesmas funcionalidades entretanto customizadas salvaguardando a documentação apropriada para a entrega à AT em caso de solicitação;
- Em caso de ciberataque, todo o arquivo digital (documentos) indexados às transações contabilísticas no sistema de contabilidade, deve ser salvaguardado, para garantir a capacidade de leitura das imagens (documentos) através de mecanismos apropriados de acordo com a legislação;
- Entre outros.
Dado que as questões de foro regulatório relevantes para a função financeira e fiscal, dificilmente têm a atenção devida em matéria de cibersegurança, cabe ao CFO, responsável financeiro e fiscal da organização, incorporar as suas necessidades nos planos de cibersegurança da organização. Não o fazer vai impactar o cumprimento da legislação vigente, com todas as consequências que dai decorre.
O CFO deve por isso garantir apoio profissional para a implementação de um plano e medidas de cibersegurança para a função financeira e fiscal. Este apoio deve ser visto como incremental face ao plano e medidas de cibersegurança existentes, ou seja não é fundamental que seja implementado conjuntamente com as restantes medidas de cibersegurança, dado que é específico a práticas e sistemas de informação de suporte à função financeira e fiscal.
Em traços gerais um plano de cibersegurança para a função financeira e fiscal, inclui medidas de prevenção e remediação, designadamente:
- Teste e avaliação dos processos e sistemas de informação de suporte à função financeira e fiscal (acessos, geração, registo e arquivo de informação fiscal e financeira), relativamente aos requisitos da legislação que tem que cumprir perante perda ou corrupção do sistema, bases de dados e backups em cenários de ciberataque. É preciso notar que nem todos os sistemas de informação, contemplam estes requisitos, derivado da falta de atualizações, customizações ou mesmo falta de implementação;
- Com base no plano de testes realizados aos sistemas e processos de suporte da função financeira e fiscal, identificar gaps, que tenham que ser implementados. Isto pode incluir atualizações, configurações adicionais aos sistemas de faturação e contabilidade, e/ou processos que se deva garantir em cenários de ciberataque;
- Rever o plano, medidas de contingências e controlos de cibersegurança da organização de forma a identificar elementos adicionais de relevância de acordo com a legislação fiscal;
- Implementar e documentar as medidas planeadas de forma concertada com base em equipas multidisciplinares, realizando testes e realizando a atualização do plano e medidas de cibersegurança.
Esta atuação vai permitir incluir nos planos de segurança de informação e medidas operacionais de cibersegurança, os elementos relevantes de acordo com a legislação, e a ter em conta perante incidentes de perda e corrupção de dados.
Para o CFO os ganhos são evidentes:
- Reduz o risco e materialidade de custos face a cenário de ciberataque (mas também de outros incidentes onde ocorre perda e corrupção de informação);
- Aumenta controlo sobre os sistemas e processos da área financeira e fiscal;
- Permite continuar e aprofundar a digitalização da função financeira e fiscal com risco controlado;
- Inibe problemas reputacionais perante autoridades tributárias e outros stakeholders, face ao incumprimento da legislação em vigor;
- Reduz tempos de recuperação da operativa da função financeira e fiscal em caso de ciberataque.