El Ministerio de Hacienda guarda una serie de datos e información en las plataformas Administración Tributaria Virtual (ATV) y Tecnología de Información para el Control Aduanero (TICA).
Ambos sistemas están fuera de servicio como parte de los protocolos de seguridad implementados despues de un hackeo contra el ministerio en la madrugada del lunes 18 de abril.
En el portal ATV, en el que los contribuyentes presentan la declaración de diversos impuestos, se encuentran datos del perfil del contribuyente, tales como el nombre, la cédula jurídica o física, la actividad económica a la que se dedica, el domicilio, teléfonos, correos electrónicos o representantes legales.
Además, también custodia las declaraciones de impuestos presentadas, los comprobantes de pago, las notificaciones de cobro administrativo y otros mensajes que se envían a los contribuyentes. También se guardan los comprobantes electrónicos durante cierto periodo de quienes utilizan el sistema de facturación electrónica del Ministerio de Hacienda.
Asimismo, es el medio para obtener la llave criptográfica para los comprobantes electrónicos que se usa en otros medios de facturación.
“Con el acceso al ATV, se podrían presentar declaraciones tributarias falsas, creando obligaciones tributarias indebidamente o rectificar declaraciones presentadas previamente, para crear créditos fiscales inexistentes”, comentó Mariela Hernández, socia de Ecija Legal especialista en derecho tributario.
El TICA, por su parte, resguarda y ejecuta de manera general todas las transacciones a nivel aduanero. Posee información relacionada a importaciones y exportaciones, regímenes especiales, el transportista internacional que entra o sale del país, y se domicilian cuentas bancarias para pagos de impuestos y cargos asociados a esos movimientos comerciales. A través de ese sistema se gestionan las declaraciones únicas aduaneras (DUAs), el medio para declarar lo que se importa y lo que se exporta.
Además, hay un histórico de varios años donde una parte de la información general de las transacciones sí es de consulta pública, hay imágenes de documentación que solo la DGA puede acceder y guarda con confidencialidad.
LEA MÁS: Hackeo a Hacienda: ¿qué es el ‘ransomware’ de Conti y cómo protegerse de ciberdelincuentes?
Riesgos
En una entrevista televisiva la noche del lunes 18 de abril, el ministro de Hacienda, Elian Villegas, manifestó que aún la institución no tenía un diagnóstico sobre el daño que provocó el ciberataque en términos de la información en riesgo. Villegas agregó que los dos son sistemas que cuentan con datos proporcionados por los contribuyentes “para cosas específicas”.
El jerarca contó que durante la tarde del lunes se liberó una información de la Dirección General de Aduanas, relacionada a los criterios que usa ese ente para decidir si inspeccionar o no un cargamento.
No obstante, Hernández advirtió que la filtración de información tributaria -de haberse presentado- es grave porque se trata de información confidencial, protegida así por el artículo 24 de la Constitución Política. Estos datos pueden ser considerados sensibles pues reflejan la situación socioeconómica de su titular y de las empresas.
Para Silvia González, socia de impuestos y legal de Grant Thornton, el riesgo de una posible filtración dependerá de cada contribuyente.
“(El contribuyente) deberá analizar el perjuicio que le puede causar el revelar dicha información, no es posible cuantificar o dar una respuesta con certeza, pues hay estadísticas o referencias de mercado que cada quien maneja internamente. Asimismo, deberá comprobarse la fidelidad de la información filtrada, ya que no se puede demostrar que sea la real y por el contexto en que se obtuvo la información no es fácil que se divulgue en un medio legal”, explicó la especialista.
LEA MÁS: Hackers afinan puntería para dirigir ataques de “ransomware” a víctimas más rentables
Las declaraciones del impuesto al valor agregado (IVA) revelan las ventas y compras mensuales que las compañías y las personas físicas tienen. Por su parte, con los DUAs se puede determinar cuál fue el valor de las mercancías que se importaron.
Aún se desconoce la fecha en la que se restablecerá el servicio de las dos plataformas. González recomendó estar preparados con los borradores de la información para subir las correspondientes declaraciones. No solo está pendiente la declaración de IVA, sino otras obligaciones como las retenciones en la fuente sobre salarios y remesas al exterior, rentas de capital mobiliario, rentas de capital inmobiliario, entre otras.
Las dos abogadas coincidieron en que Hacienda deberá emitir la normativa correspondiente para eliminar el cobro a los contribuyentes recargos por intereses, mora y sanciones por el atraso.
“Cualquier día de estos en que el sistema se vuelva a restablecer plenamente se iniciará el pago del IVA”, dijo el ministro en la entrevista televisiva.
Hacienda esperaba el lunes recaudar ¢80.000 millones en impuestos, pero solo se recibieron ¢7.000 pues se tuvo que bajar el sistema tras el ataque.