Kelmusega ei ole kiäki rikkas saanu.
Eesti vanasõna.
Iga kett on täpselt nii tugev, kui tugev on selle kõige nõrgem lüli. Sama lugu on küberturvalisusega. Saad tunda end üksnes nii julgelt ja turvaliselt, kui täpselt oled küberhügieeni võtetest kinni pidanud. Aga ometi võid kuriteo ohvriks langeda ka siis, kui oled kõiki ohte vältinud.
Tõepoolest.
Ka need inimesed, kes teavad, et telefonikõne pangast või politseist kontodel toimuvate „kahtlaste tehingute“ kohta ei ole mõeldud mitte kahtlaste tehingute peatamiseks, vaid nende käivitamiseks.
Kes teavad, et ID-kaart, Smart-ID, mobiil-ID on elektroonilise identiteedi kandjad, mille koode teistele edasi ei anta ega avaldata.
Kes kunagi ei ava kahtlaseid kirju ega klõpsa lõksuks seatud linkidel.
Kes kaitsevad oma seadmeid salasõnade ja paroolidega, mida hoiavad enda teada.
Kes ei loo sotsiaalmeedias suhteid, mille eest teine pool raha küsib.
Kes on igati mõistlikud, hoolsad ja tähelepanelikud.
Jah, ka nende inimeste turvakett võib katkeda. Kohast, kus seda oodatagi ei oska, ja viisil, mida ette aimata ei tea.
Tuleb välja, et isegi kõige rangem reeglite järgimine ei pruugi olla piisav, sest nõrgim lüli on hoopis keegi teine. Keegi, kes enda küberhügieeni eest piisavalt ei hoolitse ja kelle kätte on jäänud ühe sinu virtuaalkeskkonna võti, s.o juurdepääs sinu kontole.
Ka need inimesed võivad leida end olukorrast, kus nende selja taga ja nende teadmata on tehtud tehinguid, mis toovad kaasa soovimatuid kohustusi ja võivad minna kalliks maksma. Lähevadki kalliks maksma, kui jälile ei saa, kes tegelikult koode kasutas ja kasu sai.
Oot! Aga koodid olid ju hoitud?! Olidki. Tuleb välja, et isegi kõige rangem reeglite järgimine ei pruugi olla piisav, sest nõrgim lüli on hoopis keegi teine. Keegi, kes enda küberhügieeni eest piisavalt ei hoolitse ja kelle kätte on jäänud ühe sinu virtuaalkeskkonna võti, s.o juurdepääs sinu kontole.
On virtuaalkeskkondi, mille kontole sisenemise ja seal tehingute tegemise õigus võib olla mitmel võrdväärsel kasutajal, näiteks internetipangad või e-MTA, s.o Maksu- ja Tolliameti e-teenuste keskkond.
E-MTA-s hakkaski 2020. aasta novembri lõpus hargnema kriminaalne lugu, mida tahan teiega jagada ja mis võiks olla vigade vältimise õppetükk kõikidele.
Kaks kogenud kelmi on aastate jooksul erinevatel ettekäänetel ja põhjustel saanud kümnetelt inimestelt kätte nende elektroonilise identiteedi kandjad. Enamasti ID-kaardid koos koodidega, mida kasutades avasid nad üle Euroopa mitmeid pangakontosid ja võtsid sadu laene, mida ei kavatsenudki tagasi maksta. Pettusega saadud raha kandsid kelmid jälgede segamiseks kontolt kontole, kuni mängisid maha või võtsid sularahas välja. Juba rutiiniks saanud kelmuste toimepanemise käigus jõudsid nad pisut erilisemale jahimaale.
Jõudsid raamatupidajana leiba teeniva inimeseni, kes soovis võtta laenu Facebooki-grupis „Laenud eraisikute vahel“. Laenu ta sai, aga see läks talle väga kalliks maksma, sest lahke laenu andmine oli kelmide seatud lõks, kuhu ohver pahaaimamatult sisse astus. Tegelik eesmärk ei olnud väljaantud raha protsendiga tagasi saada, vaid saada enda valdusesse järjekordne identiteet, mida kuritarvitada. Osavate suhtlejatena suutsid kelmid veenda laenuotsijat tegema endale Smart-ID, justkui see oleks laenu saamiseks vajalik. Kuna koodidega seotud telefoninumber oli kelmide oma, said Smart-ID kasutajaks hoopis nemad.
Loomulikult järgnes juba tavaks saanud tegevus ehk ohvri teadmata avati tema andmetega pangakonto, mida kelmid ise kasutama asusid, ja kontole kiirlaenu võtsid. Aga enne veel – taustakontroll. Kiirlaenu avalduse täitmiseks oli vaja teada töökohta ja andmeid otsides selgus nii ohvri amet kui tõik, et raamatupidajal on mitme äriühingu e-MTA kasutamise õigused. See oli puhas boonus ja avanenud võimalust ei lastud raisku minna, sest üks kelmidest teadis, kuidas on võimalik maksuhaldurile valeandmete esitamisega raha teha: tuleb tekitada ettemaksukontodele vabad vahendid ja need kiiresti kätte saada. Tööriist selleks oli olemas. Eksitusse viidud raamatupidajalt saadud Smart-ID-ga võisid kelmid teha e-MTA-s kõiki toiminguid, milleks raamatpidajalgi voli oli: esitada deklaratsioone, ümberkande- ja tagastustaotlusi.
Nende toimingute tegemisega hakatigi riigilt raha välja petma. Endi varjamiseks ja äriühingute e-MTA kontodel pettuslike tehingute tegemiseks kasutati volitatud raamatupidaja elektroonilist identiteeti ning kahte varem kaaperdatud elektroonilist identiteeti.
Igal maksumaksjal on e-MTA-s oma ettemaksukonto, kus tehakse rahalisi toiminguid. Sinna laekuvad kõik Maksu- ja Tolliametile kantud summad ning sealtkaudu toimub nõuete tasumine. Kui saldo on positiivne ehk ettemaksukonto jääk on kohustustest suurem, saab maksumaksja taotleda raha tagastamist pangakontole või paluda raha ümber kanda mõne teise isiku ettemaksukontole. Ettemaksukonto jääki suurendavad nii käibedeklaratsiooni tagastusnõuded, tasutud kohustuste vähendamisega vabanenud raha kui ka teise isiku ettemaksukontolt ümberkantud raha (https://www.emta.ee/ariklient/maksud-ja-tasumine/tasumine-volad/ettemaksukontod).
Selleks, et oleks mida tagasi nõuda ja ümber kanda, esitasid kelmid e-MTA-s äriühingute õigete andmetega deklaratsioonide asemele valede andmetega parandusdeklaratsioonid selliselt, et tasumisele kuuluv maksusumma vähenes. Kuna kõik maksud olid ausalt ja õigel ajal ära tasutud, siis kohustuste tagantjärele vähendamisel vabanes raha, mis suurendas äriühingute ettemaksukontode jääki.
Õigesti tasutud maksude ja alusetult vähendatud maksude vahest tekkinud ettemaksu endile saamiseks esitasid kelmid maksuhaldurile ümberkandetaotlused. Taas kasutati kavalusega saadud Smart-ID-d ja tehingud said tehtud, sest näiliselt taotles kannete tegemist selleks õigustatud isik.
Oma juhatuse liikme rollist ja raamatupidamisest teadis mees sama palju kui ettemaksukontodest ja e-MTA-st ehk ei teadnud midagi. Ometi läks äriühingu ettemaksukontol lahti vilgas tegutsemine ja laekunud raha kohta esitati kohe tagastustaotlused, et vabad vahendid kantaks pangakontodele. Mõistagi ei tegutsenud seal firmajuht, vaid tema elektroonilist identiteeti kuritarvitanud kelmid.
Maksumanipulatsioonide ohvriks langenud äriühingute kontodelt oli raha jõudnud kelmide kontrolli all olevatele ettemaksukontodele. Kirjade järgi kuulusid need osaliselt töövõimetule Valgas elavale kolme lapse emale ja ühele äriühingule, aga nende kasutamiseks vajalikud digitaalse autentimise vahendid olid kelmide käes. Nappi puudetoetust saav naine andis ise oma ID-kaardi koos koodidega kelmidele, et sellega raha tehtaks. Tehtigi. Kiirlaenude võtmisega. Väike osa rahast anti ID-kaardi omanikule „vaevatasuks“, aga kohustused jäeti täielikult ID-kaardi omaniku õlule. Saadud ID-kaardiga tegid kelmid veel Smart-ID, et naise identiteeti edaspidigi kuritarvitada ja loodud pangakontosid edasi kasutada. Omavoliliselt tehtud Smart-ID-ga tegutsetigi naise ettemaksukontol tema teadmata.
Teine ID-kaart saadi natuke napsulembeselt mehelt, kellest vormiti Balti Raamatupidamisteenused OÜ juhatuse liige. Oma juhatuse liikme rollist ja raamatupidamisest teadis mees sama palju kui ettemaksukontodest ja e-MTA-st ehk ei teadnud midagi. Ometi läks äriühingu ettemaksukontol lahti vilgas tegutsemine ja laekunud raha kohta esitati kohe tagastustaotlused, et vabad vahendid kantaks pangakontodele. Mõistagi ei tegutsenud seal firmajuht, vaid tema elektroonilist identiteeti kuritarvitanud kelmid.
Pangakontod, kuhu e-MTA-st tagastustaotluste alusel raha kanti, olid kelmid ise avanud ja tegid tehinguid, kuigi ükski konto polnud nende oma. Oma Belgia ja Leedu pankades olnud kontodele söandati raha kanda alles teisel-kolmandal ringil, et enda seost kuriteoga võimalikult palju varjata.
Maksu- ja Tolliameti e-keskkonnast äriühingute ettemaksukontodelt liikus raha kolmele Eesti ja ühele Belgia pangakontole. Edasi kanti raha omakorda Eesti kontode vahel, Eesti kontodelt Leedu kontodele ja ka teistele Belgia kontodele. Eesmärk ikka üks - peita raha jälgi. Lõpuks mängis üks süüdistatav suure osa kasiinos maha ja osa võeti sularahas pangakontodelt välja.
Kõiki parandusdeklaratsioonide esitamisega tekitatud vahendeid maksupetturitel e-MTA-st kätte saada ei õnnestunud, sest äriühingutele raamatupidamisteenust osutanud ettevõte avastas, et nende endise töötaja nime alt on tehtud kahtlaseid tehinguid, ning andis sellest maksuametile ja klientidele teada. Maksuhaldur blokeeris raamatupidaja juurdepääsu e-MTA-sse, aga kahju oli juba sündinud.
Maksupettuse toime panemise avastamiseni kulunud napi kuue päevaga jõudsid kelmid esitada kokku 121 parandusdeklaratsiooni, millega tekkis ettemaksu kokku 90 008,10 eurot, millest endi valdusesse saadi 48 828,98 eurot.
Sooduspinnase maksupettuseks lõi see, et osad äriühingud olid küll palunud lisada enda e-MTA konto kasutajaks uue raamatupidaja, aga teenuse osutamise lõpetanud raamatupidaja kasutajaõigused jäid sulgemata. Parimagi tahtmise juures ei oleks saanud kuriteo ärahoidmiseks midagi enamat teha äriühingud, kellele raamatupidaja osutas teenust sel ajal, kui tema identiteeti kuritarvitati.
Maksupettuse toime panemise avastamiseni kulunud napi kuue päevaga jõudsid kelmid esitada kokku 121 parandusdeklaratsiooni, millega tekkis ettemaksu kokku 90 008,10 eurot, millest endi valdusesse saadi 48 828,98 eurot.
Äriühingutel tuli kõik valeks parandatud deklaratsioonid uuesti esitada, et taastada manipulatsioonidele eelnenud õige olukord. Paratamatult tekkis deklaratsioonide õigeks parandamisega äriühingutele uuesti maksukohustus, sest osa vahenditest oli, küll äriühingute teadmata ja tahtmata, nende ettemaksukontodelt juba ära kantud. maksukuriteos kannatanuks tunnistatud Maksu- ja Tolliamet nõuab tekkinud vahe tasumist petturitelt.
Lahendust lugu veel saanud ei ole. Kuigi kelmid tunnistavad süüd ning prokuratuur oli jõudnud süüdistatavate ja nende kaitsjatega karistuse osas kokkuleppele, ei saanud kohus otsust langetada, sest kohtus üks süüdistatavatest loobus sõlmitud kokkuleppest. Asja tuleb hakata arutama üldmenetluses.
Mõne teise sarnase skeemi korral ei pruugi info kiiresti avalikuks tulla ja kadunud raha tagasinõudmine võib jääda ka inimese või äriühingu enda õlgadele. Alati ei pruugi olla üks osapool riigiasutus, mis on nõus tülika asjaajamise ja võimalikud kulud enda kanda võtma. Eriti keeruline on olukord juhul, kui pahatahtlik kelm jääb tuvastamata, kuid raha on juba kadunud – siis on seda pea võimatu tagasi saada. Seega on oluline, et kõiksugu keskkondades kontode omamisel tuleb mõelda läbi, kellel veel on ligipääs, kellel on õigused kontol toimetada ja millist kahju sellest võib tulla. Seda nii krediitkaardiandmete sisestamisel mõne veebipoe kasutajakontole kui ka e-maksuametis, internetipangas ja muude oluliste teenuste korral.
Igal ettevõttel on Maksu- ja Tolliameti e-keskkonnas ettemaksukonto, kuhu laekuvad kõik ettevõttelt sinna kantud summad, kuid ka tagastusnõuded. Ettemaksukontolt tasutatakse ettevõtte kohustusi. Selleks, et ettevõtjate jaoks raamatupidamist ning maksude tasumist võimalikult lihtsaks teha, on juhatuse liikmel võimalik anda ettevõtte raamatupidajale rollipõhine pakett, mis koosneb peamiste teenuste kasutamisõigustest, millega raamatupidajad iga kuu tegelevad. Sellise paketi andmine ei ole kohustuslik ning kõiki sinna kuuluvaid õigusi saab raamatupidajale anda ka eraldi. Ettevõtte juhatuse liige saab raamatupidajat volitades ise otsustada, milleks ta teda volitab ja mis teenustele ligipääsu annab. Ka paketina andes saab selle sisuga eelnevalt tutvuda ja seejärel otsustada, kas ikka soovitakse anda raamatupidajale nii palju õigused.
Esmakordsel sisenemisel kuvatakse e-keskkonnas e-MTA kõigile kasutajatele elektroonilise asjaajamise tingimused ja kord, kus muuhulgas rõhutatakse, et töösuhte lõppemisel on juhatuse liikmel kohustus peatada isiku, näiteks raamatupidaja, esindusõigus ja lõpetada tema pääsuõigused. Kui pääsuõiguseid ei lõpetata, siis on väga suur risk, et seda kasutatakse ära. Seetõttu on väga oluline, et töösuhte lõppemisel lõpetatakse ka selle isiku ligipääsud e-teenustele või juhatuse liikmete vahetumisel kontrolliksid uued juhatuse liikmed ettevõtte esindusõigused üle ja teeksid korrektiive, kui vaja.
Antud kaasus puudutab konkreetsemalt käibemaksu tagastusnõudeid, mis on iseenesest ettevõtluses üsna tavaline nähtus. Kui ettevõte toimetab Eesti turul, siis on tavapärane, et tal tekib käibemaksu tasumise kohustus. Küll aga on sõltuvalt ettevõtte tegevuse eripärast teatud juhtudel ka käibemaksu tagastusnõuete tekkimine tavapärane. Enamasti just perioodidel, mil ettevõttel on vaja soetada ettevõtluse tarbeks kaupu ja teenuseid rohkem, kui ta neid ise müüb. Nii näiteks on käibemaksu enammaksed tavapärased alustaval ettevõttel, kes alles soetab kaupu, teenuseid ja põhivara tegevuse käivitamiseks. MTAle esitatakse iga kuu keskmiselt ca 45 500 tagastusnõuet kogusummas 139 miljonit eurot.
Sageli tuleb ette olukordi, kus mõni üksik ettevõte proovib oma käibedeklaratsioonis valeandmete esitamisega tekitada alusetut tagastusnõuet ja seeläbi MTA-lt raha välja petta. Üldjuhul avastame taolised pettused kiiresti tänu pidevalt täiustatavale riskimudelile. Seejuures muudame oma riskikriteeriume võimalike tagastuspettuste tuvastamiseks üsna sageli, lähtudes mh uutest pettusetrendidest. Seega järgneb iga uue pettuse avastamisele enamasti ka riskimudeli täiendamine, et kõik taolised pettused avastada ja tõkestada.
Kuna käibemaksu tagastusnõuded laekuvad ettemaksukontole, siis on eriti oluline, et juhatuse liikmetel oleks selge ülevaade isikutest, kellel on kontol toimetamise volitused, ja millised on ta pääsuõigused. Ettemaksukonto on mõnevõrra sarnane ettevõtja pangakontoga, mille eest lasub vastutus ettevõtte juhatusel. Veel enam, et muuta ettevõtte asjaajamine võimalikult lihtsaks, saab e-MTAs teha ettemaksukontolt kandeid kolmandatele isikutele. Seetõttu on pääsuõiguste ja volitustega seonduvate ohtude teadvustamine äärmiselt oluline. Kuna oleme näinud, et ettevõtjatel jääb endiste töötajate pääsuõiguste lõpetamine kahe silma vahele, siis kaalume uute lahenduste loomist, mis suunaksid ettevõtjate tähelepanu võimalikele riskidele.