2013-01-05

Alguém acorde, Ficheiro SAF-T e privacidade



Para quem não sabe, estou a trabalhar na área de software de gestão, e como tal, os meus últimos meses têm sido vividos um pouco à volta do ficheiro SAF-T.

Antes de mais, o que é um ficheiro SAF-T e a certificação de documentos:

Um software certificado coloca uma assinatura digital nas suas faturas, que, sem vos aborrecer com os detalhes técnicos, garante que a fatura não é modificada depois de emitida. 
O ficheiro SAF-T era, até 1 de Janeiro de 2013, um ficheiro de auditoria, que era fornecido ao inspector das finanças nos (muito raros) eventos de inspecção das finanças. Este ficheiro sozinho garante que a empresa não foge aos impostos (cruzando com dados multibanco e bancários), não altera os valores e dados das suas faturas e é ainda possível conferir mais uma série de dados. Os ficheiros SAF-T são gerados no momento, e podem ser gerados para períodos de tempo diferentes (1 ano, 1 mês, etc)

O que está dentro de um ficheiro SAF-T? 

  • Os dados gerais da empresa (morada, nome, nif, conservatória, etc)
  • Dados de todos os clientes da empresa (Nome, morada, contacto telefónico, email, nif)
  • Informação de todos os produtos ou serviços vendidos pela empresa (referencia, designação do produto)
  • Dados de faturação (para cada fatura:  data, hora, cliente e nif do cliente, produtos vendidos, valor, valor de iva, etc, etc)
O que acontecia até 1 de Janeiro ? Muitas empresas usavam os talões e vendas a dinheiro, cujo cliente é "consumidor final" e o nif é 99999990, ou seja, informação genérica.


O que aconteceu em 1 de Janeiro? Muito:
  1. Toda e qualquer transacção tem de ter emissão de fatura. Ou seja, os dados da fatura passam para o saf-t com o nº de contribuinte e nome do cliente. Existem as faturas simplificadas que podem ser feitas a um "consumidor final" mas podem ser usadas em apenas casos restritos
  2. Todos os SAF-T de todas as empresas nacionais são enviados para as finanças mensalmente
Vou dar um exemplo:
O Sr. Foo acordo num belo dia de férias de verão. Toma o pequeno almoço no café da esquina (fatura 1) e vai ali á sede do partido X pagar a sua cota mensal (fatura 2). Passa pelo templo da sua religião e paga o dízimo (fatura 3). Almoça no seu restaurante favorito (fatura 4), vai ao cinema ver um filme  (fatura 5), compra 2 "brinquedos" na sexshop da esquina (fatura 6) e janta uma mariscada á beira mar (fatura 7).

No fim do mês, as 7 empresas envolvidas no dia do Sr. Foo vão enviar o ficheiro SAF-T para as finanças, e lá vai a informação:
  • O que o Sr. Foo comeu nessa manhã, a que horas e em que local.
  • Qual a sua filiação política, e onde costuma pagar as cotas. 
  • A sua religião.
  • O que almoçou, a que horas, e em que local.
  • Que viu o filme Y.
  • Comprou "brinquedos" na loja tal.
  • Jantou uma mariscada, a que horas e em que local.
Isto num dia. Ao fim de um mês, passam a ter os hábitos de cada cidadão, ao fim de um ano? Têm na mão a vida de uma pessoa. Querem mais? Dois informáticos acabados de sair do curso, com acesso a estes dados rapidamente conseguiam fazer cruzamento de dados. Cruzando por exemplo, o Sr. Foo com a sua esposa, Sr.ª Boo:
  • Tomou o pequeno almoço com a esposa, pois foram 2 cafés e 2 croissants, isto porque a Sr.ª Boo comprou a "Maria" 30 minutos depois no quiosque a 50M do café. (todas as transacções têm de ter uma fatura, tudo é seguido)
  • Ela não pagou cotas políticas ou religiosas, o Sr. Foo está nisso sozinho. (cruzamento das faturas do Sr. Foo e Sr.ª Boo)
  • Não almoçaram juntos. Almoço foi 1 menu MacDonalds do Sr. Foo  e a Sr.ª Boo tem uma fatura de almoço no mesmo dia a 150km de distância.  (cruzamento das faturas do Sr. Foo e Sr.ª Boo)
  • O filme era sobre che guevara. Isto, aliado á filiação política e religiosa torna o Sr. Foo alguém a seguir no futuro. (Descrição dos artigos vai no ficheiro SAF-T)
  • A Sr.ª Boo continua com faturas a 150km de distância, os "brinquedos" e a mariscada para 2 ao jantar sugerem uma amante.
E se o Sr. Foo fosse o líder da oposição? Ou dono de uma empresa a concorrer num negócio do estado? Ou o presidente da república? Ou juiz num processo contra um deputado do partido do governo? Sou apenas eu que vê o PERIGO no envio de todas as faturas emitidas em portugal, mensalmente para o estado?

E quem tem estas bases de dados? É uma empresa privada? Quem está à frente disto, quem vai garantir a privacidade dos dados? Alguém acorde por favor, alguém nos defenda!

Os meus receios não ficam por aqui.O ficheiro SAF-T é guardado em plain text! Um curioso informático que ligue o wireless no centro comercial quando a farmácia está a enviar um saft apanha isto(parcial, o ficheiro saf-t inclui, por exemplo, os dados do customer 149):


SystemEntryDate>2012-12-14T19:27:53
        CustomerID>149
        ShipTo />
        ShipFrom />
        Line>
          LineNumber>1
          ProductCode>177
         ProductDescription>Viagra
         Quantity>1
          UnitOfMeasure>Un
          UnitPrice>370
          TaxPointDate>2012-12-14
         Description>Viagra
          CreditAmount>370



Isto não é só ridiculo como grave! Não vi um deputado falar sobre isto. Não vi ninguém preocupado com a constituição:

Artigo 35.º
Utilização da informática
 1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificação e actualização, e o direito de conhecer a finalidade a que se destinam, nos termos da lei.
3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.
4. É proibido o acesso a dados pessoais de terceiros, salvo em casos excepcionais previstos na lei.

 Alguém acorde por favor, alguém nos defenda!

36 comments:

neca said...

Uau! Grande analise! Eye opener

neca said...

Uau! Grande analise! Eye opener

ArabianShark said...

Espera lá, houve uma coisa que eu não percebi: Estás a querer dizer que, a ajuizar pelas novas regras, não posso ir a Portugal comprar um berlinde ou um Pirulito engarrafado sem ter que dizer ao indivíduo atrás do balcão o meu nome e informação fiscal? Subitamente, vem-me à mente uma imagem de uma arrecadação cheia de frascos herméticos com pedaços de tecido impregnados com o cheiro de indesejáveis a quem possamos ter que atiçar os pastores alemães, à lá STASI...

Peres said...

O plano é muito bom Arabian.
Agora, toda e qualquer transacção económica tem de ser acompanhada por uma fatura em Portugal. E acontece que és aliciado a dar os teus dados, se não vê:

5% do valor do IVA que pagues ganhas como desconto no IRS se deres os teus dados (por agora, apenas aplicável a restauração, mecânicos, hoteis e cabeleireiros).

Do lado do comerciante, ele é obrigado por lei a pedir-te o nif.

A mim assusta-me muito ver isto a decorrer e quase ninguém vê o potencial disto.

Senhor de vermelho com barbas said...

Cheers

Vieste em boa altura que estava com curiosidade em saber o que se estava a passar com isto.

Já agora um bocadinho de background:

1. Ha uns anos nos estados unidos isto deu um escandalo (mas com cartoes de credito) porque ligavas-te ao Wifi das lojas e tiravas alguns milhares de dados de cartoes de credito - so tinhas que puxar uns ficheiros de um servidor na rede. Mais tarde isto fez com que a VISA cobrasse coimas a empresas que não pretegiam/apagavam os dados.

2. Hvaia sistemas de transacção (cujo nome não me recordo) em que para desbloquar a informação completa era preciso que todas as partes estivessem envolvidas (banco, loja e consumidor) - e.g.as finanças até podiam saber que tu compraste algo numa loja especifica, mas sem a tua chave a a do comerciante não conseguiam saber o que.

Sabes o que é que a lei diz sobre a entrega dos ficheiros as finanças? teem mesmo que o fazer todos os meses? E empresas sem ligação a Internet?

PS: troco cerveja pelo NIF de deputados


Peres said...

A entrega tem de ser mensal, até dia 25 do mês seguinte à emissão da fatura (O saf-t de janeiro é entregue até dia 25 de Fevereiro).

Se não tens internet, podes meter numa pen e levar até onde tenhas internet, isso eles estão-se borrifando.

Por cá, a quantidade de informação que vai no saf-t é brutal, a meu ver, um completo big brother.

Sintra said...

Entao e aqui para o estrangeiro? Posso falar-lhes ingles e dizer que nao tenho nada disso do NIF?

Peres said...

O portuga emite tem de emitir fatura a mesma Sintra :p

CMF said...

Sintra, acredita que no Canadá, o Governo consegue lixar-te de maneiras mais interessantes :)


Peres, não peças factura e paga em Bitcoins :P Assim já vai por baixo do balcão :)

Sintra said...

Mas posso fingir que nao tenho NIF, certo?

ArabianShark said...

Isso não será fraude, Sintra?

Sernhor que enfia o barrete vermelho said...

Penso que não será fraude não dar o NIF - é claro que não deves conseguir descontar nor IRS, já agora o valor máximo que retiras do IRS penso ser 250€.

A proposito andam umas discussões engraçadas á volta do pessoal de retalho e pequenos estabelecimentos - http://pt.invoicexpress.com/blog/contabilidadefacturacao/factura-simplificada-novas-regras-facturacao/



Peres said...

Está o verdadeiro Caos. E a AT deixou de atender chamadas na sua linha de suporte. Estive 4 horas a ouvir música em fila de espera até a chamada "cair".

ArabianShark said...

Odeio quando fazem isso...!

CMF said...

Percebem agora a razão pela qual ter um Governo grande, dá sempre asneira?

Sou sincero, nunca percebi o sistema de "pagar impostos primeiro" para "obter descontos no IRS depois".
A malta está sempre à caça da melhor forma de conseguir descontar mais, para recuperar o que lhes foi roubado.

É tão fofo ter um governo que acha que sabe o que é melhor para o país... Não temos capitalismo, não temos socialismo... enfim, "temos o estado a que chegamos", lol

Alex said...

Ok, também passei os ultimos 2 meses com a cabeça à volta da implementação das novas regras de facturação, e apesar de haver alguma verdade nisto, nem tudo é.

Existem Facturas e Facturas Simplificadas. A diferença da primeira para a segunda, é que a segunda não precisa de nome nem NIF. Existe um valor máximo para as simplificadas (100€ ou 1000€, depende se são produtos ou serviços), mas o objectivo é substituir as vendas a dinheiro, facturas-recibo, e outros pseudo-documentos que permitem facturar sem facturar.

Existem dois métodos de comunicar o SAFT. O primeiro é uma extracção manual que depois é enviada para o site das finanças através de um form web seguro por SSL. A segunda é utilizando o serviço de envio automático da AT, que além de ser encriptado, usa um sistema de segurança adicional que é completamente desnecessário e só dá dificuldades de implementação por não ser standard. Nos dois casos não ha risco dos dados serem "snifados" do ar. O conteúdo do SAFT não estar encriptado não é mais problemático do que o conteúdo da própria base de dados do software de facturação não estar.

O novo regime é complexo de implementar, mal documentado, e está a dar centenas de problemas aos nossos clientes. O maior medo que eles tem é o de alguém nas finanças pegar na lista de clientes deles e vender à concorrência. É mais invasivo, sim, mas o artigo é sensacionalista em comparação com a realidade.

Sintra said...

Pois mas eu nao vivendo em Portugal nao tenho interesse nenhum em descontar no IRS.

Peres said...

Alex, trabalhas na realidade do ficheiro SAF-T. O web-form seguro não é solução. O que impede um estagiário na tua empresa de tirar o saf-t e vender à concorrência? Ou chatagear clientes high-profile? Ou vender ao correio da manha? Plain-text não é aceitável.

O limite da "fatura simplificada" também não. 100 euros nos serviços é ridículo. Farmácias, clínicas, ginásios facilmente passam esse valor. A campanha de "incentivo" a pedir fatura com nif não fornece ás pessoas os dados todos:

"Peça fatura com o nif, assim conseguimos seguir toda a sua vida"

Estou só à espera do dia até ao primeiro anónimo aceder á BD dos saf-t das finanças.


Eu said...

A conclusão já a tinha tirado eu.
e digo como a resolvi.
1- Assumi que nao vou recuperar 250 euros de IRS.
2 - Nas minhas facturas coloco SEMPRE o nif do 1º Ministro.
Nif: 177142430
Nome:Pedro Passos Coelho

O estado, além de saber de saber a origem dos meus rendimentos agora tambem quer saber onde eu os gasto

Anonymous said...

É XML, sim não é por isso que os vais ver numa rede wireless...

A exportação de SAF-T é standard, não é feita por tugas, e já existe à bastante tempo...

Quanto às bases de dados, tens toda a razão, mas provavelmente o google já sabe tudo sobre a tua vida privada e a que horas vês o teu porno ;)

Anonymous said...

Juntem a isto os ficheiros obrigatoriamente entregues nas Finanças, contendo os movimentos realizados pelos clientes com transacções electrónicas.

Privacy, where are you???

CP said...

Gostei da solução do Jorge Alves :D

Anonymous said...

A factura é de emissão obrigatória. O Cliente só fornece o NIF se pretender abater 1% do valor pago no barbeiro, no hotel, na oficina ou no restaurante. Portanto acho que o autor do post é que nos está a tentar adormecer...

Anonymous said...

A sensibilidade dos dados aqui exposta levanta algumas preocupações. Todavia existem outros elementos mais preocupantes e bem mais antigos.
COm as facturas só existe uma entidade com capacidade de cruzar os dados, a AT. No uso do multibanco / VISA quantas entidades podem cruzar dados para além do Fisco? São inumeras, para além dos dados aqui serem muito mais detalhados.
O uso de telemoveis e a geolocalização já utilizada em tribuanis?
De cada vez que se compra um bilhete de avião para os EUA, é obrigatório o uso de VISA. Para quê? para poderem serem transmitidos de imediato os dados pessoais e financeiros do viajante para o FBI.
Alguém aí mostrou preocupação com isto em Portugal. Outros países fazem o mesmo por esse mundo fora, sendo a maioria dos casos na Europa. Estou agora a recordar-me de Itália.
Estes argumentos a colocar a STASi no mesmo saco leva-nos então a desconfiar sumáriamente dos Googles e Facebooks que por aí andam a expor e a espiar os dados de tudo e de todos.
António Cabrita

ArabianShark said...

Eh, pá, se querem atacar o autor do post ou outros utilizadores registados, usando a sua própria identidade online, tenham a decência de não postar anonimamente.

Anonymous said...

Desculpa, mas ninguem é obrigado a dar o numero de contribuinte em circunstancia alguma, o sr. Foo dá porque vai querem os "beneficios fiscais" dessa factura.
Informa-te melhor.
Vou postar em anonimo por razões de privacidade claro.

Peres said...

Ninguém te aponta uma arma, mas o "benifício fiscal" está só a começar.

O próprio decreto de lei:
3 — Os adquirentes que pretendam beneficiar do
incentivo devem exigir ao emitente a inclusão do seu
número de identificação fiscal nas faturas.

LSantos said...

grande filme...
cabe a cada um de nós dar a volta ao testo e agir de forma diferente.
desde o inicio do ano, só pedi a inclusão do nº em duas facturas.
pedi factura para peças de um citroen c3, logo vão assumir que tenho um. azar, não tenho....tenho um seat hehehehe
toda a gente expõe a sua vida privada no facebook e equivalentes e não vejo ninguém preocupado.
por outro lado, caso nos acusem de um crime, ter pago uma factura a 100km de distância iliba-nos.
fake!!! eu posso matar aqui e pedir a alguém que use o meu nº a kilómetros de distância....

tantos fantasmas.... povinho calimero que mete dó...

Anonymous said...

Se a transação é encriptada não vejo o perigo do cenário do webcafe. MAS se me dizes que o ficheiro é guardado numa BD não encriptado isso é perigoso! As Finanças fazem uma coisa destas? A CNPD sabe disto?
Já agora, não é também perigoso usar um plugin java para enviar um ficheiro destes, tendo em conta as notícias recentes sobre o java?

Anonymous said...

Se toda a gente pedir facturas, as empresas são obrigadas a pagar os impostos a que fogem constantemente. Se todos pagassem, eu pagaria menos! Mas até agora, "só paga importos quem é parvo" (Durão Barroso). Eu acrescento: e quem não pode mesmo fugir. Só pagam os trabalhadores por conta de outrem, mesmo assim só alguns, outros ganham parte do seu ordenado "por fora". Esta medida das facturas é insuficiente, porque os benefícios fiscais não são aliciantes, mas pode ajudar em alguma coisa, não venham com manobras de diversão, muita gente coloca a sua vida no Facebook e não se preocupa...

ó biê lá said...
This comment has been removed by the author.
ó biê lá said...

Podem sempre não dar o NIF e o nome e o SAFT escreve NIF = 'Desconhecido'. Além disso a fatura é emitida na mesma e válida em sede de IRC. Não vejo grandes medos com isto. Aliás, nem estou a ver as finanças a verem o SAFT. Não o faziam até agora...vão continuar sem o fazer.

Outra dica... o NIF 123456789 funciona! Também trabalho com o SAFT.

o ficheiro vai em XML mas facilmente editável em NOTEPAD.

Fernando Gouveia said...

O autor deste post é informático. Percebe de software de gestão, comunicação electrónica de dados, encriptação (e os perigos da falta dela) e data mining. O autor deste post é um 'geek', portanto.
Assim, a teoria da conspiração que nos apresenta à volta das novas facturas electrónicas está bem fundamentada e é credível...
... até àquela cena em que o marido infiel pede* factura em seu nome das despesas (sex shop, restaurante, hotel) que faz quando está com a amante. Presumo que também tenha pago com Multibanco ou Visa, para a mulher encontrar os movimentos nos extractos bancários...
Definitivamente, os 'geeks' não percebem nada de facadas no matrimónio.


* Ao contrário do que é dito, o cliente não é obrigado a pedir factura, muito menos a indicar o seu NIF, e muitíssimo menos a indicar o seu nome. O comerciante, no entanto, é obrigado a emitir factura. Se o cliente indicar NIF, pode usá-la em sede de IRS (e o comerciante em sede de IRC); se o cliente não indicar NIF, não a pode usar em sede de IRS (mas o comerciante continua a ter de usá-la em sede de IRC). Obviamente, havendo indicação de NIF é possível chegar ao nome do cliente, mesmo que ele não conste da factura (que por isso se chama simplificada).

Silvia Correia said...

Estou a trabalhar em proteção de dados pessoais. Será que me podem enviar as vossas opiniões? Obrigado

Marco Reis said...

Bom dia
Deparei-me hoje mesmo com esta questão, e confirmo o dito no post.
Sou um utilizador informático com alguma curiosidade e então, antes de enviar o ficheiro saft-pt, resolvi abri-lo recorrendo a um programa de edição de ficheiros .xml (neste caso o xml notepad, gratuito, da microsoft).
Pensava eu que o ficheiro levava, entre outros dados do documento, a data da compra e valor total, por NIF, se o mesmo for indicado.
Mas não, qual não é o meu espanto ao ver que a descrição utilizada pela empresa para o produto/serviço, vai tal e qual no ficheiro saft (ou seja, se compro uma camisola às riscas, e a linha de fatura diz "camisola às riscas" é assim que vai a informação), outro exemplo (se o café onde vou utiliza a descrição "café cheio", vai lá escrito "café cheio").
Tive logo esta mesma preocupação descrita no post e questionei-me sobre o facto de ninguém (neste caso a CNPD) ainda ter levantado a questão.
Além disso, existe outra coisa, vai também o número de telefone e e-mail do contribuinte que efetuou a compra, ou seja quem não deu o nº telefone à Autoridade Tributária, esqueça..., pois agora eles vão ficar a saber, acedendo ao ficheiro saft da empresa onde esse contribuinte fez compras!
Não que eu tenha algo a esconder e até congratulo o trabalho feito pela AT no combate à evasão fiscal, mas atendendo a grandes questões que se levantam todos os dias sobre este assunto da privacidade, este parece-me demasiado óbvio para que ninguém se aperceba do que está a acontecer.
Além de que julgo que a AT podia fazer este mesmo trabalho sem ter de recolher esta informação (descrição do produto, telefone, e-mail...), que nada tem a ver com a recolha dos impostos resultantes das vendas.

APC said...

TU estás a trabalhar nesse ficheiro? É que este mesmo texto aparece - ipsis verbis, começando por essa mesma frase - em vários outros blogs.
Tks