TFL Glasnik:
G. Tadej Nared, ste soustanovitelj in predsednik uprave Združenja slovenskih certificiranih etičnih hekerjev SICEH. Poglaviten povod za ta intervju je bil vaš prispevek na našem seminarju Poslovna forenzika. A vedno najprej vprašam: na kaj v dosedanji karieri ste najbolj ponosni?

Tadej Nared:
Predvsem na hiter razvoj in uveljavitev Fundacije SICEH v informacijskovarnostni skupnosti kljub nenaklonjenosti v okolju, predvsem v zakonskem okolju v Sloveniji. To je nekaj, kar me še vedno žene naprej, da predvsem prostovoljno opravljam to delo. Po drugi strani sem ponosen na zelo hitro rast članstva fundacije, še posebno glede na to, da na tem področju vlada globalno pomanjkanje kadrov, ki trenutno znaša dva milijona ljudi. Ta dispariteta se bo še povečevala in je zato naših 30 članov za slovensko okolje impresivna številka.

TFL Glasnik:
Združenje etičnih hekerjev – ali je to sploh mogoče? Na prvi pogled se zdi nemogoča kombinacija. Kaj počnete? Kako to počnete? Kako potekajo vaše aktivnosti? Pomanjkanje kadrov na področju IT nas vse po malem straši.

Tadej Nared:
Področje kibernetske varnosti je zelo hitro rastoče področje in ga prepreda vrsta različnih specifik. V osnovi bi lahko govorili o preverjanju aplikacij, recimo spletnih strani, mobilnih aplikacij in tako naprej. Lahko bi govorili o preverjanju omrežij, preverjanju človeškega dejavnika in usposobljenosti za realne kibernetske grožnje danes. Treba je razumeti, da se je v zadnjih dvajsetih letih situacija spremenila na način, da vse naše okolje, tudi bivanjsko, vodi informacijska tehnologija, medtem pa percepcija, da smo tako podrejeni informacijski tehnologiji, ni tako splošno sprejeta.

To velja zlasti v luči varnostnega stališča. Če bi primerjali, koliko denarja investiramo v preprečevanje tako imenovanega fizičnega kriminala v primerjavi s kibernetskim kriminalom, ki nenehno raste in na neki način dosega nepojmljive številke, je nesorazmerje očitno. Po oceni Europola je bila leta 2013 globalna škoda iz naslova kibernetskega kriminala 900 milijard evrov – v državah EU 265 milijard evrov. Ta znesek se je do leta 2015 povečal na tri tisoč milijard dolarjev na globalni ravni in perspektive napovedujejo povečanje na šest tisoč milijard dolarjev do leta 2021. Prva frontna linija v boju proti kibernetskemu kriminalu so etični hekerji in specialisti informacijske varnosti.

Investiranje v kibernetsko varnost raste, a te naložbe še zdaleč ne sledijo dejanskemu stanju. Ocena za leto 2020 je okoli 230 milijard dolarjev, kar je v primerjavi z dejansko škodo izjemno malo.

Na kratko: pogosto opravljamo družbeno koristno delo, pogosto prostovoljno. Etični heker je globalno uveljavljen termin za osebo, ki tehnologijo preizkuša z namenom, da jo izboljša, in naročnika posledično zavaruje, namesto da tehnologijo zlorabi z namenom, da bi nekomu škodoval, kot počnejo zlonamerni hekerji.

TFL Glasnik:
Težko si predstavljamo številke na tisoče milijard, a zadnjič ste omenili, da je ta obseg škode večji, kot je skupna svetovna trgovina belega blaga, orožja in trgovine z vsemi prepovedanimi drogami skupaj. Grozljivo.

Tadej Nared:
V naši fundaciji ves čas opozarjamo na to dispariteto in smo predvsem vokalni podpornik vpeljave dobrih kibernetskih praks tudi v Slovenijo. Zavzemamo se, da je treba mladim entuziastom, jaz jim rečem mladi znanstveniki, ustvariti primerno zakonsko okolje, da bodo lahko opravljali svoje delo, in da se odpravi negativna medijska percepcija do poklica etičnega hekerja. Že v osnovi je teh ljudi izjemno malo. Tudi vsak tehnolog ali programer ne bo postal heker, saj ravno slednji odkrije nepravilnost, ki jo drugi naredijo pri pisanju aplikacij ali konfiguriranju sistemov. Gre za izjemno specifično znanje, učenje in delo pa zahtevata ogromno časa.

TFL Glasnik:
Ali vaša fundacija podpira razvoj etičnih hekerjev? Torej skrbite, reciva, za zakonski okvir – kako naj sploh delujejo, čeprav je to vse skupaj zelo v zraku.

Tadej Nared:
Zagotovo nimamo takšne moči, da bi dejansko vplivali na zakone, imamo pa v praksi dosleden etični kodeks, po katerem se ravnamo, in bolj izkušeni člani vodijo mlade talente, ki pridejo k nam, v smeri etičnega razvoja in jim ponudijo določeno specifično znanje. Po članski prijavi in po našem kodeksu se posamezniki tudi zavežejo, da bodo v določenem času opravili certifikat iz določenega segmenta kibernetske varnosti, tako da spremljamo njihov razvoj. Enkrat na mesec se dobimo, pogovorimo se o stvareh in glede na povratne informacije sem prepričan, da opravljamo dobro delo.

TFL Glasnik:
Etični hekerji morajo biti zaščiteni, saj so neke vrste žvižgači; vsi poznamo Edwarda Snowdna. Kako in kam posredujete informacije, ki jih pridobite? Če se recimo dela kakšna škoda, če odkrijete prevare in podobno.

Tadej Nared:
Najprej bi dejal, da obstaja razlika med žvižgači kot takšnimi in etičnimi hekerji. Ni nujno, da žvižgač zlorabi tehnologijo, saj lahko pridobi podatke na vrsto načinov in ne nujno s kibernetskimi sredstvi oziroma z nenamensko uporabo informacijske tehnologije. Etični heker se navadno definira na način, da vdira v sisteme po naročilu in z dovoljenem naročnika, prav tako niso cilj podatki kot takšni, temveč le identifikacija ranljivosti, ki bi krajo podatkov ali zlorabo sistema omogočila. Definicija je sicer lahko zaobjeta širše, posledično pa je v zahodnem svetu sprejeta dobra praksa, ki se ji reče odgovorno poročanje o varnostnih ranljivostih, kar lahko konkretiziram na dveh slovenskih primerih.

To sta primera Tetra in Ajpes. Pri primeru Tetra naj poudarim, da gospod Ornig ni naš član in se ne strinjamo, na kakšen način je odkrito varnostno ranljivost v komunikacijskem sistemu in protokolu, ki so ga uporabljali tako policija kot vojska, razkril. Še manj se strinjamo z načinom, kako je reagirala država. Na konkretnem primeru je omenjeni gospod Sloveniji naredil uslugo s tem, da je preprečil nadaljnje zlorabe.

Naivno je pričakovati, da je bil slovenski študent prvi, ki je ob vseh tajnih službah prvi kaj odkril. Dober dokaz je primer slovenske arbitraže. Primer prisluhov se še vedno vleče, preprosto pa bi ga preprečila uporaba enkripcije, ki je danes uporablja vsak najstnik z aplikacijami, kot sta telegram ali signal.

Na primeru Ajpesa je bila ugotovljena izjemno banalna ranljivost, ki se šteje za eno osnovnih – to je ranljivost SQL-vrivanja, kar je posledično pomenilo možnost odtoka ali kraje velike količine podatkov. Oseba, ki je anonimna, je s prijavo v praksi rešila Slovence oziroma 170.000 uporabnikov Ajpesa pred krajo podatkov. Dodatno gre omeniti, da je naivno pričakovati, da je ta posameznik med vsemi kibernetskimi napadi, ki vsakodnevno potekajo na spletu, prvi, ki je takšno ranljivost odkril. Še zlasti če pomislimo, da je bilo zadnje Ajpesovo preverjanje aplikacije po podatkih portala Pod črto opravljeno leta 2013 – v štirih letih se je lahko zgodilo marsikaj.

V luči tega si želimo, da bi se v slovensko zakonodajo vnesel model odgovornega poročanja o varnostnih ranljivostih, ko lahko določena oseba, ki ugotovi ranljivost določenega sistema, aplikacije in podobno, nekemu koordinatorju, kot je recimo SI-CERT, ali nevladni organizaciji, kot je SICEH, sporoči to varnostno ranljivost brez strahu, da ga bodo zato kazensko preganjali. Potem se dogovorno z entiteto, ki je ranljiva, podatek o ranljivosti razkrije šele, ko je ranljivost odpravljena.

TFL Glasnik:
Prej ste omenili žvižgače.

Tadej Nared:
Menim, da podlago za objavo takšnega člena že imamo; to je 260. člen KZ, ki zadeva izdajo tajnih podatkov. Mislim, da je model odgovornega razkrivanja varnostnih ranljivosti določenega informacijskega sistema manj drastičen, kot govori ta člen. Ta nekako oprosti posameznika, žvižgača, ki bi razkril določen tajni podatek pod določenimi pogoji, če je to v širšem interesu javnosti. Če pogledamo primer Tetra ali Ajpes, sem prepričan, da je ta javni interes jasno izražen. Neetično bi bilo molčati o zadevah, ne pa jih razkrivati, dodatno ne gre za tajne podatke, temveč za podatek o ranljivosti informacijskega sistema, kjer bi se v primeru, da bi imeli prijavitelji ranljivosti ustrezno zaščito, takšni podatki objavili šele po vnaprej dogovorjenem času.

TFL Glasnik:
Ali lahko pojasniva, kaj se je dogajalo v Ajpesu. Brali smo, da je šlo za vdor, vi pa pravite, da je prav, da se je to zgodilo.

Tadej Nared:
Treba je razumeti, da večino varnostnih ranljivosti raziskovalci odkrijejo naključno. Ko se določena spletna stran podre ali se obnaša drugače od pričakovanega, vi rečete 'aha, to pa ne deluje', varnostni raziskovalec pa razume, zakaj takšna stran ne deluje, in potem preprosto preveri, ali pri zadevi dejansko gre za to, za kar on meni, da gre, po slovenski zakonodaji pa se to po 221. členu kazenskega zakonika obravnava kot vdor ali poskus vdora v informacijski sistem. Za to je zagrožena zaporna kazen.

TFL Glasnik:
Ne more pa varnostni raziskovalec tej entiteti sporočiti, kaj je ugotovil, in podati poročila?

Tadej Nared:
SI-CERT že dolga leta služi kot recimo temu buffer na tem področju, medtem ko v odmevnih primerih lahko naredijo, kolikor pač lahko. To je treba nujno spremeniti. Naj povem za konkretni primer Pentagona, ki ima zagotovo več kritičnih informacij kot vsa Slovenija skupaj, kjer že nekaj časa vodijo program, s katerim vabijo najrazličnejše raziskovalce in hekerje, naj preverijo njihovo infrastrukturo, in jih za vsako najdeno ranljivost tudi dejansko nagradijo.

Department of Defence je po uspešnem programu, ko so že v prvih nekaj minutah našli ranljivost, v prvih šestih urah pa več kot dvesto ranljivosti, s pomočjo katerih bi lahko tuje zlonamerne entitete vdrle v Pentagon, program razširil še na Hack the Marine Corps, Hack the Airforce itd. Gre za razliko v mentaliteti, ki daje preverjene rezultate, zaradi izjemno slabe splošne ozaveščenosti in pretečih realnih kibernetskih groženj pa je nujno model odgovornega razkrivanja varnostnih ranljivosti iz individualnih odločitev za dobre prakse zaobjeti širše in model prenesti v zakonodajo.

TFL Glasnik:
Se pravi, midva lahko zdaj pozoveva vsa podjetja, naj pozovejo etične hekerje, naj poskusijo vdirati v njihove informacijske sisteme, da ugotovimo, kako dobro so varovani?

Tadej Nared:
Poenostavljeno to drži oziroma se priporočamo. Vsako podjetje naj na svoji spletni strani objavi politiko odgovornega razkrivanja varnostnih ranljivosti in naj pove, kateri deli njihove infrastrukture so na voljo za preverjanje, ter doda, da če bodo raziskovalci odkrili kakršno koli napako, proti njim ne bodo sprožili kazenskega pregona – celo kakšna nagrada se jim obeta.

TFL Glasnik:
To bi bil čisto nov pogled. Menim, da je treba to v Sloveniji šele ozavestiti. V podjetjih smo čisto odvisni od naših IT-inženirjev. Človek bi rekel, da na neki način opravljate misijonarsko delo.

Tadej Nared:
Mogoče bi se res lahko imel za nekakšnega evangelista …

TFL Glasnik:
Povejte mi še to oziroma naj vas spomnim na še eno vašo primerjavo na naši konferenci o poslovni forenziki o BDP v EU.

Tadej Nared:
Dal sem primerjavo, da EU ustvarja 22 odstotkov globalnega BDP, utrpi pa blizu 30 odstotkov globalne škode zaradi kibernetskih napadov.

TFL Glasnik:
Še bolj zanimivo je bilo, da je 8,1 odstotka slovenskega BDP namenjenih za zdravstvo, kibernetski kriminal pa stane države EU približno 6,73 odstotka BDP. Torej tudi nam kibernetski kriminal pobere skoraj toliko, kot je delež za zdravstvo.

Tadej Nared:
Če bi vprašali pristojne, bi to zagotovo zanikali, vendar podatki večinoma izvirajo iz statistike SI-CERT, kjer pa obravnavajo le primere, kjer jim oškodovanci vdor, napad ali oškodovanje dejansko prijavijo. Velika večina napadov ostaja neprijavljena, še toliko več nezaznana. Tako so obravnavali 2700 primerov v minulem letu, v zadnjih šestih letih pa 142 napadov na spletne aplikacije, kar so v temelju precej smešni podatki glede na realno frekvenco napadov. Nočem kritizirati SI-CERT, ki ima zelo dobro ekipo, in če bi bil namesto Gorazda Božiča direktor kdo drug, bi bilo stanje po mojem precej klavrno. S sredstvi, ki jih imajo na razpolago, opravljajo zelo dobro delo, bi pa v Sloveniji potrebovali bistveno več ljudi, bistveno več sredstev in predvsem bistveno več ozaveščenosti o problemu v širši javnosti.

TFL Glasnik:
Tudi ozaveščanja od najmlajših do najstarejših je premalo. Še zavedamo se ne, kako smo ranljivi.

Tadej Nared:
To bi ponazoril z nesorazmerjem med vzhodnim in zahodnim svetom. Kitajska začne vzgajati hekerje zelo zgodaj, v osnovni šoli jih začnejo selekcionirati in vsak od teh hekerjev ima svojo lastno designirano hosteso, ki skrbi za njegovo dobro počutje, medtem ko on raziskuje in se uči. Pri nas pa po pravilu samo pišemo kazenske ovadbe zoper ljudi, ki si drznejo opozoriti, da stvari niso tako svetle, kot jih predstavljajo.

TFL Glasnik:
Tukaj nas čaka še veliko dela.

Tadej Nared:
Pred koncem bi izpostavil še en primer. V zadnjem času se je veliko govorilo o GDPR, kar vpliva tudi na spletno in drugo poslovanje marsikaterega podjetja. A če ta določila pogledamo od blizu in tudi če odmislimo, da v primeru napada in kraje podatkov v osnovi GDPR kaznuje žrtev kaznivega dejanja, je EU s to regulativo ustvarila zanimiv fiasko. Pri crowdsourced preverjanju ranljivosti najdena ranljivost SQL-vrivanja stane podjetje 500 dolarjev. Po GDPR pa je podjetje zaradi vdora in kraje podatkov, kar bi lahko bil rezultat takšne ranljivosti, lahko kaznovano tudi s 4 odstotki letnega prometa. Če malo pretiravam in za primer vzamem L'Oreal, ki ima več kot 26 milijard prometa na leto, so 4 odstotki kar velik znesek.

To v praksi pomeni, da je EU tujim kriminalnim združbam dala v roke neke vrste pnevmatsko kladivo za povzročanje škode v evropskih podjetjih. Kitajski heker odkrije takšno ranljivost, prevzame podatkovno bazo in začne izsiljevati: bazo bomo objavili, če ne plačate … Na politični in zakonodajni ravni gre v bistvu za pomanjkanje zavedanja o realnostih kibernetskega sveta in sprejemajo mnoge odločitve, ne da bi dejansko razumeli, kaj te odločitve prinašajo na dolgi rok.

Morda bi dodal še to, da tukaj govorimo o informacijski tehnologiji kot takšni, saj smo tudi v Sloveniji že 20 let sredi intenzivnega razvoja in je treba razumeti, da prihajajo roboti. Do leta 2025 bo imela ameriška vojska več robotiziranih enot kot vojakov. Te robote bo vodila umetna inteligenca, druge države pa temu sledijo. Osebno spremljam subvencije na gospodarskem področju, tudi o subvencijah temu ali onemu tekstilnemu podjetju, ki se vedno izkažejo kot zgrešene. Ne razumemo pa, da robotom ni treba priti v Slovenijo, da prevzamejo delo pridnim šiviljam v Muri, saj kitajsko podjetje samo priklopi novo halo robotov, pa je rezultat enak.

Zaostajamo že na področju informacijske varnosti, v luči kibernetske varnosti in robotike pa smo sploh na zelo nizki ravni, torej predvsem v smislu razumevanja kibernetske varnosti v odnosu do neizogibne robotizacije sodobne družbe in razumevanja kibernetske varnosti tudi kot področja, kjer tehnologija pospešeno postaja del nas samih. Kibernetska varnost pa že danes pove, ali lahko neko podjetje ali celo država preživi ali ne. Da o primerih kritične infrastrukture ne govorim posebej. Energetski sistemi so bili narejeni pred desetletji in že v osnovi niso bili dizajnirani za vzpon informacijske tehnologije, zdaj pa se vsi priklapljajo na internet, kar prinaša celo vrsto novih nevarnosti.

TFL Glasnik:
In na koncu, kaj je vaše sporočilo Slovencem?

Tadej Nared:
Naj začnejo lastno kibernetsko varnost jemati resno, naj se izobražujejo in naj elektronskih naprav ne jemljejo samo kot nekaj, kar uporabljajo, temveč kot podaljšek sebe, kar v praksi dejansko so.

Pogovarjala se je: Zlata Tavčar
Foto: Katja Kodba, KoKa Press

piše: Silva Koritnik Rakela, univ. dipl. ekon, Izobraževalna hiša Cilj

Davkoplačevalci lahko v publikaciji Letno poročilo Finančne uprave republike Slovenije 2017 (FURS, februar 2018) preberemo, da je bilo v letu 2017 pobranih 15,55 milijarde evrov prihodkov za vse blagajne javnega financiranja, kar je približno 920 milijonov evrov oziroma 6,3 odstotka več, kot so znašali pobrani prihodki v letu 2016. Posebej izstopa davek od dohodkov pravnih oseb s 167 milijonov evrov več vplačanimi prihodki oziroma 27,8-odstotno rastjo. Ali so pričakovanja še večja?

piše: Nace Potočnik, revija Odvetnik št. 4(87)/2018

Odvetništvo v slovenskem pravnem prostoru je kot del pravosodja samostojno in neodvisno. Storitve odvetništva opravljajo odvetniki (pravni strokovnjaki), ki svojo dejavnost opravljajo kot svobodni poklic ter za svoje delo odgovarjajo stranki. Pravne podlage za delovanje odvetništva predstavljajo določila Ustave RS (137. člen), Zakon o odvetništvu (ZOdv), Kodeks odvetniške poklicne etike, Odvetniška tarifa (OT) ter številni avtonomni akti Odvetniške zbornice Slovenije (OZS). Pri tem ne gre spregledati niti mednarodnih listin in veljavnih aktov, pri čemer so najpomembnejše direktive EU.

Odvetniki se, v skladu s 5. členom Zakona o davku na dodano vrednost (ZDDV-1), štejejo za davčne zavezance, kadar neodvisno opravljajo katerokoli ekonomsko dejavnost, ne glede na namen ali rezultat opravljanja dejavnosti. Pri tem so svojim strankam za opravljene storitve (na primer zastopanje stranke pred sodnim organom) dolžni izdajati t. i. specificiran račun oziroma obračun storitev.

Specificiran račun mora vsebovati zneske odvetniških stroškov za posamezne storitve in izdatke, kratek opis dejstev glede posameznih storitev, opis izdatkov ipd. ter obračun davka na dodano vrednost (DDV) po splošni stopnji 22 odstotkov. V povezavi z navedenim ni dvoma, da se omenjeni davek obračuna od opravljene storitve, zastavlja pa se vprašanje, ali je odvetnik dolžan enako ravnati tudi pri materialnih stroških in drugih izdatkih, ki nastanejo v zvezi z opravljanjem storitve.

Višje sodišče v Ljubljani je na sejah z dne 20. junija 2018 sprejelo sklepa, ki ugotavljata, da se DDV od materialnih stroškov odvetnika ne obračunava oziroma priznava (sklepa sta že pravnomočna). Taka odločitev je diametralno nasprotna sodni praksi, ki je na tem področju večinska oziroma, od uveljavitve nove OT v letu 2015 naprej, enotna in ustaljena.

Zakonodaja in sodna praksa

Pravno podlago za odločanje o materialnih stroških oziroma njihovem uveljavljanju v slovenskem pravnem prostoru predstavljajo zlasti ZOdv, OT in ZDDV-1.

ZOdv v prvem odstavku 20. člena odkazuje na neposredno uporabo OT, s tem ko določa, da »[s]odišča in drugi organi uporabljajo [v postopkih] pri odločanju o določitvi plačila in povračilu stroškov odvetniškega zastopanja […] odvetniško tarifo«, pri čemer odvetniški stroški predstavljajo skupno ceno odvetniških storitev in izdatkov, ki so potrebni za izvršitev dela in so povečani za DDV (kadar je odvetnik davčni zavezanec v Republiki Sloveniji), dolžna pa jih je plačati stranka oziroma naročnik storitve. Navedeno pomeni, da je sodišče, kadar odloča v konkretnih primerih, vezano na uporabo področne zakonodaje v obliki ZOdv oziroma OT kot hierarhično podrejenega (podzakonskega) akta, vse ob subsidiarni in smiselni uporabi določil ZDDV-1, ki dopolnjujejo področja, ki jih ZOdv ne ureja (na primer splošna stopnja DDV v višini 22 odstotkov, zajeta v prvem odstavku 41. člena ZDDV-1). Izpostaviti je treba, da iz določila 2. člena OT jasno izhaja, da se DDV obračuna ne le od odvetniških storitev, temveč tudi od izdatkov, ki se pojavijo odvetniku pri izvrševanju dela (naročila).

Sodna praksa v zvezi z obravnavano problematiko je vse od začetka veljavnosti OT v letu 2015 enotna. Sodišča se v svojih odločbah ne sprašujejo, kako je z obračunavanjem DDV v okviru odvetniške specifikacije, ampak uporabljajo avtomatizem, seveda izhajajoč iz ZOdv in posredno OT, ter DDV obračunajo od obeh, tj. od odvetniških storitev in materialnih stroškov.

Kot je bilo že omenjeno, je Višje sodišče v Ljubljani s sklepom v zadevi II Cp 1337/2018 z dne 20. junija 2018 ter s sklepom v zadevi II Cp 1338/2018 z dne 20. junija 2018 (oba sta z dnem izdaje postala pravnomočna) vpeljalo drugačno sodno prakso. V obrazložitvi je namreč zapisalo, da »se DDV od materialnih stroškov ne obračuna. OT v 2. odstavku 2. člena res določa, da se DDV obračuna od odvetniških storitev in izdatkov, vendar je navedena določba v nasprotju z določili ZDDV-1, zato je sodišče ni bilo dolžno uporabiti (exceptio illegalis).« V opombah je dodalo še, da se DDV, v skladu ZDDV-1, obračunava le od opravljanja storitev, ki jih davčni zavezanec izvede v okviru opravljanja svoje ekonomske dejavnosti na ozemlju Slovenije za plačilo (3. točka prvega odstavka 3. člena in 14. do 17. člen ZDDV-1).

Stališče pritožbenega sodišča, izraženo v sklepih (ki sta prima facie mogoče celo trivialne oziroma obrobne narave, po skrbnejšem pregledu pa seveda nikakor ne), s seboj prinaša očiten odklon od uveljavljene sodne prakse sodišč nižjih in pritožbenih stopenj ter nenazadnje tudi od sodne prakse Vrhovnega sodišča RS, katerega ena izmed glavnih nalog je, da skrbi za enotno sodno prakso in s tem za zagotovitev enakosti pred zakonom, skladno s 109. členom Zakona o sodiščih. Čeprav Vrhovno sodišče v obrazložitvi sodbe z dne 30. maja 2018 način obračunavanja DDV neposredno zgolj omeni, s tem, ko pojasni v izreku obseženo odločitev sodišča ter tako omogoči preizkus pravilnosti le-te, pa je končni znesek revizijskih stroškov določen v II. točki izreka sodbe in kot tak pravnomočen ter za stranke zavezujoč. Zaradi navedenega je treba tudi postopanje sodnikov (kot je razvidno iz obrazložitve) pri odmeri DDV od materialnih stroškov šteti za povsem upoštevno in merodajno.

Celoten članek je dostopen za naročnike!

mag. Robert Horvat, vir: revija SIR*IUS, številka 5/2018

Prvega januarja letos je začel veljati novi Mednarodni standard računovodskega poročanja MSRP 15 - Prihodki iz pogodb s kupci, ki v računovodenje prihodkov prinaša precej pomembnih novosti. Ker se nekaj novosti nanaša tudi na računovodenje popustov, ki jih podjetja odobravajo svojim kupcem, v prispevku podrobno in s praktičnimi primeri predstavljamo, kako je treba po novem računovoditi popuste, da bo to skladno z zahtevami novega standarda.

1. UVOD

1. januarja letos je začel veljati novi Mednarodni standard računovodskega poročanja MSRP 15 – Prihodki iz pogodb s kupci. Standard se v več pogledih pomembno odmika od dosedanjih rešitev računovodenja prihodkov, pri čemer se veliko novosti nanaša tudi na računovodenje popustov, ki jih podjetja odobravajo svojim kupcem. Glavnina sprememb, ki jih MSRP 15 prinaša v tej zvezi, je povezana s spremembami pravil za pogodbe, v katerih dogovorjena kupnina (nadomestilo) ni opredeljena fiksno, in s spremembami pravil za pogodbe, ki poleg prodanega blaga in/ali storitev vključujejo tudi obljube (možnost) popustov za dodatno blago in/ali storitve. Medtem ko smo v prvem delu prispevka obravnavali računovodenje sprotnih/tekočih in naknadnih popustov, v drugem delu prispevka prikazujemo računovodenje popustov za dodatno blago in/ali storitve, kot so opredeljeni v MSRP 15.B39 do 15.B41.

2. RAČUNOVODENJE POPUSTOV ZA DODATNO BLAGO IN/ALI STORITVE

Popusti za dodatno blago in/ali storitve so popusti, pri katerih se pravica do popusta, ki jo kupec pridobi oziroma pridobiva s sklenitvijo pogodbe, ne nanaša na blago in/ali storitve v tej pogodbi, ampak na blago in/ali storitve, ki ga/jih bo kupec šele (morda) kupil (tako imenovano dodatno blago in/ali storitve). Gre za popuste z veljavnostjo za prihodnje nakupe/pogodbe, zato jih lahko označimo tudi kot prospektivne popuste.

MSRP 15.B40 določa, da se ob sklenitvi prodajne pogodbe kupcu dana možnost pridobitve dodatnega blaga in/ali storitev po znižani ceni ali brezplačno pripozna kot posebna, torej ločena izvršitvena obveza takšne pogodbe, kadar kupcu daje stvarno pravico, ki je brez njene sklenitve ne bi prejel. Ker menimo, da je za pravilno interpretacijo in uporabo tega določila ključno pravilno razumevanje pojma stvarna pravica, prvi del razlage namenjamo razčiščevanju tega vprašanja. V izvirniku standarda v angleškem jeziku se namreč namesto pojma stvarna pravica uporablja pojem materialna pravica (angl. material right), ki ima po našem mnenju širši pomen. Pridevnik materialen se namreč lahko razlaga tudi kot pomemben/relevanten. V angleškem jeziku tako "material right" ne pomeni samo stvarne, ampak tudi pomembno/relevantno pravico. Če to sprejmemo, pomeni, da se ob sklenitvi prodajne pogodbe kupcu dana možnost pridobitve dodatnega blaga in/ali storitev po znižani ceni ali brezplačno pripozna kot posebna, torej ločena izvršitvena obveza te pogodbe, kadar kupcu daje ne le stvarno, ampak tudi pomembno/relevantno pravico, ki je (ceteris paribus) ne bi prejel brez sklenitve te pogodbe. Iz strokovnih gradiv, ki jih na temo "material right" v povezavi z MSRP 15.B40 najdemo na spletu, lahko razberemo, da se presoja, ali je neka pogodbena pravica kupca do pridobitve dodatnega blaga in/ali storitev po znižani ceni pomembna/relevantna ("materialna"), povezuje predvsem z oceno njenega vpliva na nakupno obnašanje tega kupca. Če lahko utemeljeno pričakujemo, da je zaradi nje verjetnost njegovih dodatnih nakupov večja, potem velja, da je kriterij pomembnosti/relevantnosti ("materialnosti") izpolnjen. Če ne, potem ne gre za pomembno/relevantno ("materialno") pravico, in se zato zanjo ne pripozna samostojna oziroma ločena izvršitvena obveza.

Čeprav na prvi pogled majhna, menimo, da je za pravilno razumevanje in uporabo MSRP 15.B40 takšna dopolnitev še kako pomembna. Pomeni namreč, da ob sklenitvi pogodbe kupcu dana možnost pridobitve dodatnega blaga in/ali storitev po znižani ceni velja kot stvarna/materialna pravica samo takrat, ko je zaradi nje verjetnost, da bo do dodatnih nakupov dejansko prišlo, večja, kot bi bila, če kupec te pogodbe (ceteris paribus) ne bi sklenil, zaradi česar ne bi dobil takšne možnosti za nakup dodatnega blaga in/ali storitev s popustom. Da bi bil ta pogoj lahko izpolnjen, mora biti kupcu dana ugodnost ob nakupu dodatnega blaga in/ali storitev večja, kot bi jo imel, če pogodbe, s katero je takšno ugodnost pridobil, ne bi sklenil. Podjetje mora zato pri svoji presoji pomembnosti/relevantnosti takšne pravice/ugodnosti upoštevati tudi vse ostale popuste, ki so kupcu na voljo neodvisno od sklenitve navedene pogodbe. Prav tako mora podjetje pri tovrstni presoji upoštevati tudi predhodne posle z istim kupcem, s katerimi je ta morebiti že pridobil enako ali podobno pravico/ugodnost za nakupe dodatnega blaga in/ali storitev. Že pridobljena pravica se namreč ne more še enkrat upoštevati kot stvarna/materialna pravica v kasnejših pogodbah. Pa si poglejmo, kaj to pomeni v praksi.

Primer 9

Podjetje sklene s kupcem pogodbo o prodaji izdelka A, katerega prodajna cena znaša 100.000 evrov. Kupec hkrati s to pogodbo pridobi tudi možnost kasnejšega nakupa izdelka B s 50-odstotnim popustom, veljavnega en mesec. Podjetje sicer izdelek B redno prodaja po prodajni ceni 50.000 evrov. Upoštevaje MSRP 15.B40, možnost za kasnejši nakup izdelka B s popustom šteje kot stvarna/materialna pravica samo, če je ugodnost v višini 50-odstotnega popusta večja, kot bi jo kupec imel za nakup izdelka B, če ne bi pred tem sklenil pogodbe za nakup izdelka A. Če bi tako na primer podjetje za izdelek B v obdobju veljavnosti popusta vsem kupcem ponujalo enak, torej 50-odstotni popust, neodvisno od tega, ali so pred tem kupili izdelek A ali ne, to pomeni, da pogodba za izdelek A ne vsebuje stvarne/materialne pravice za nakup izdelka B, saj je popust, ki ga s takšno pogodbo prejme kupec, enak popustu, ki ga za izdelek B dobi vsak kupec, tudi če pred tem s podjetjem ni sklenil nobene pogodbe.

Pomembno drugačna pa je situacija, ko je 50-odstotni popust za nakup izdelka B na voljo samo kupcem, ki so pred tem s podjetjem sklenili pogodbo za nakup izdelka A ali kak drug enakovreden nakupni posel. V tem primeru je namreč ugodnost v višini 50-odstotnega popusta za izdelek B bistveno večja, kot bi jo kupec imel, če ne bi prej sklenil pogodbe za nakup izdelka A. Tako je izpolnjen osnovni pogoj za pripoznanje popusta kot stvarne/materialne pravice, s tem pa tudi kot ločene izvršitvene obveze znotraj pogodbe za nakup izdelka A.

Tako kot na vse druge ugotovljene izvršitvene obveze posamezne pogodbe je po določilih MSRP 15 tudi na takšno obvezo treba razporediti del skupne transakcijske cene sklenjene pogodbe. Standard v tej zvezi predpisuje metodo samostojnih prodajnih cen, kar pomeni, da mora podjetje najprej oceniti samostojno prodajno ceno ugotovljene stvarne/materialne pravice, nato pa na njeni osnovi na izvršitveno obvezo razporediti sorazmeren del skupne transakcijske cene pogodbe. Pri tem mora podjetje iz ocene samostojne prodajne cene stvarne/materialne pravice izločiti učinke vseh popustov, ki jih kupec izdelka B lahko dobi, tudi če prej ne sklene pogodbe za nakup izdelka A.

V konkretnem primeru podjetje vsem kupcem v opazovanem obdobju nudi 20-odstotni popust na izdelek B, neodvisno od tega, ali so pred tem sklenili s podjetjem kakšno pogodbo ali ne. Kot stvarna/materialna pravica v tem primeru velja zgolj popust v višini 30 odstotkov. To pa zato, ker je samo 30 odstotkov popusta tisti popust, za katerega lahko trdimo, da ga kupec ne bi prejel, če pred tem ne bi sklenil pogodbe za nakup izdelka A. Popust v višini 20 odstotkov je namreč kupcu na voljo neodvisno od sklenitve predhodne pogodbe za izdelek A. Podjetje mora pri oceni samostojne prodajne cene ugotovljene stvarne/materialne pravice upoštevati tudi, kakšna je verjetnost, da bo kupec možnost za nakup izdelka B dejansko izkoristil.

Celoten članek je dostopen za naročnike revije SIR*IUS!