מבקר המדינה: חולשות במערכת רשות המסים מאפשרות גניבת מידע וזהויות של עסקים

פרצות במערכת ההזדהות ברשות המסים מאפשרות לתוקפים לעקוף את מנגנוני ההגנה באתר הרשות ולבצע גניבת זהויות של עוסקים לגיטימיים, הפקת חשבוניות על שמם וקבלת מספרי הקצאה לחשבוניות שהוצאו שלא כדין, וזאת בלי שניתנה לגבי אותן פרצות התרעה על פעולה חריגה בזמן אמת.

את תמונת המצב הזאת בנוגע לגניבת מידע וזהויות של נישומים באתר רשות המסים מתאר מבקר המדינה מתניהו אנגלמן בדוח מיוחד. מהביקורת עולה כי במרבית המקרים של גניבת זהויות של עוסקים לגיטימיים, רשות המסים פעלה רק בדיעבד בעקבות תלונות על התחברות של מתחזים למערכותיה לאחר שאושרו להם מספרי הקצאה לחשבוניות.

● רשות המסים מערערת על חיובה בהחזר מאות מיליוני שקלים לקבלנים
● בג"ץ הציע לכנסת: תקיימו הצבעה חוזרת על מבקר המדינה

בפברואר השנה חשף גלובס לראשונה את שיטת הפעולה החדשה של ארגוני הפשיעה במטרה לעקוף את מנגנוני הבקרה של תוכנית "חשבוניות ישראל", שנלחמת בתופעת החשבוניות הפיקטיביות: הסתננות למערכות החשבונאות של חברות פעילות והטמעת חשבוניות פיקטיביות בהיקפי עתק של עשרות מיליוני שקלים בתוך מחזורי פעילות לגיטימיים. השיטה כוללת פריצה לאזורים האישיים באתר GOV.IL של נושאי משרה בחברות לגיטימיות ושימוש בזהויותיהם כדי להסתנן למערכות החשבוניות הארגוניות - מגמה שצוברת תאוצה בחודשים האחרונים.

כעת, מציף גם מבקר המדינה את התופעה וקובע, כי אף שרשות המסים משקיעה ופועלת רבות בתחום הסייבר ובתחום ניהול הסיכונים - ניסיונות החדירה והפריצה למערכת ההזדהות שבאתר שלה הולכים וגוברים. "על רשות המסים להגביר את יכולותיה לפעול באופן עיתי ויזום למניעת גניבת זהויות של עוסקים לגיטימיים וביצוע פעולות על שמם במערכת חשבוניות ישראל", כתב אנגלמן בדוח.

פרצות אבטחת מידע באתר רשות המסים

רפורמת "חשבוניות ישראל", שנכנסה לתוקף במאי 2024 לאחר פיילוט קצר, נועדה להילחם במכת המדינה של "החשבוניות הפיקטיביות" ולבלום חשבוניות שלא עומדת מאחוריהן עסקה אמיתית, או שפרטיהן זויפו או נופחו. על פי המנגנון, עוסק שלא יקבל מספר הקצאה בזמן אמת מרשות המסים, לא יוכל לקזז את המע"מ ואף לא להכיר בחשבונית כהוצאה מוכרת במס הכנסה. בהמשך, פועלת הרשות גם בהליכים פליליים ומנהליים נגד עסקים שבמסגרת חסימת החשבוניות שלהם נחשף כי הנפיקו חשבוניות פיקטיביות.

בין ינואר לדצמבר 2025 הופקו 15 מיליון חשבוניות באמצעות מערכת חשבוניות ישראל, בהיקף של 763 מיליארד שקל. סכום העסקאות הפיקטיביות שנבלם ונחשף בעקבות הרפורמה נאמד בכ-42 מיליארד שקל - סך ההיקף הכספי של החשבוניות שנדחו באמצעות מערכת חשבוניות ישראל (בין ינואר לדצמבר 2025), שהינן 5.5% מתוך סך ההיקף של החשבוניות שהופקו (62,000 מתוך 15 מיליון חשבוניות).

בכל שבוע נחסמות כ־1,000 חשבוניות חשודות של כ־150 עוסקים שונים. בעקבות כך, נפתחו עשרות תיקים ביחידות החקירה והשומה.

ואולם, כפי שנחשף בגלובס, הלחץ המערכתי אילץ את ארגוני הפשיעה לחשב מסלול מחדש ולפתח שיטות חדשות ומתוחכמות לגזול מיליארדים מקופת המדינה באמצעות חשבוניות פיקטיביות; המרכזית שבהן, כאמור, היא פריצה למערכות הנהלת החשבונות של עסקים לגיטימיים ואמינים והנפקת חשבוניות פיקטיביות מתוכן.

מהביקורת עולה, כי הרשות מתקשה להתמודד עם התופעה, וכאמור מטפלת ברוב המקרים רק בדיעבד לאחר שהעבריינים כבר הסתננו למערכות החשבונות הלגיטימיים וניצלו אותן לרעה.

איך זה קורה? לצורך בקשת מספר הקצאה לחשבונית מס במערכת חשבוניות ישראל נדרש להזדהות באזור האישי שבאתר רשות המסים. הרשמה ראשונית לאזור האישי במערכת ההזדהות מתבצעת בתהליך הזדהות דו-שלבי. בשלב הראשון המשתמש נדרש לענות על שאלות זיהוי המחולקות לשתי רמות: רמת זיהוי קלה ורמת זיהוי גבוהה. בבדיקת המבקר התגלו פרצות אבטחת מידע שבאמצעותן בוצעו גניבת זהויות במערכת ההזדהות.

המבקר מציין בדוח, כי "בבדיקה נמצאו מקרים המעידים על חולשות במערכת חשבוניות ישראל, המהוות פרצות לעבריינים לצורך הפצה וניכוי של חשבוניות פיקטיביות". בין היתר, נמצא כי במערכת חשבוניות ישראל קיימות חולשות מבניות וחולשות בקרה העלולות לשמש גורמים עברייניים להפצת חשבוניות פיקטיביות ולניכוי מס תשומות שלא כדין תוך עקיפת המנגנונים שהמערכת נועדה להבטיח מלכתחילה.

מרשות המסים נמסר בתגובה, כי "כגוף האמון על מאגרי מידע קריטיים ורגישים, וביתר שאת בפרויקט חשבוניות ישראל, רשות המסים פועלת מתוך הבנה עמוקה לכך שפשיעה מקוונת בכלל, וגניבת זהויות בפרט, הינן איום אסטרטגי מחריף. במסגרת זו, אנו שולחים ככל שניתן התרעות על כל פעילות חריגה במגוון פעולות בזמן אמת והוספנו לאחרונה מנגנוני מניעה והתרעה ללקוחות בזמן אמת.

"בנוסף, אנו מקיימים פעילות הסברה ענפה במטרה להזהיר את הציבור מפני ניסיונות פישינג. במקביל, כאשר עולה חשד לגניבת זהות המערכת נסגרת אוטומטית להזדהות וכאשר העוסק האמיתי פונה ליחידת הבקרה או לשירות לקוחות, הוא מופנה להזדהות פיזית מלאה במשרד האזורי וביצוע רישום לקוח מחדש. הרשות מכירה בצורך להמשיך להגיב במהירות וביעילות, תוך השקעה מתמדת בטכנולוגיות הגנה מתקדמות, במטרה להגן על המשתמשים".

עבריינים מקימים חברות חדשות לצורך הסוואה

המבקר בדק בנוסף האם טופלו ליקויים עליהם התריע בביקורת קודמת משנת 2024 בנוגע לפעולות שהרשות אמורה לנקוט למניעת תופעת החשבוניות הפיקטיביות, סיכול וטיפול בחשודים בהפצה ובניכוי של חשבוניות פיקטיביות. בבדיקת המעקב נמצא, כי גם כיום רשות המסים לא מבצעת די פעולות כנגד עוסקים המנכים חשבוניות פיקטיביות שלגביהם עלו התרעות במערכת, אף שניתן להקטין את הנזק לקופת המדינה אם לא יותר ניכוי מס התשומות הכלול בחשבוניות אלה במסגרת טיפול שומתי, לרבות בהיבט הפלילי, ואף שחלק ניכר מהם פעיל ובר ענישה.

עוד צוין בדוח הקודם בנושא, כי חרף האפשרות להטלת העיצום הכספי על ידי רשם החברות, חשודים בהפצת חשבוניות פיקטיביות רוכשים מניות בחברות קיימות בלי לדווח לרשם החברות על השינוי, לצורך הסוואת ההפצה של החשבוניות הפיקטיביות, או שעדכון רשם החברות נעשה בדיעבד, לאחר הפצת החשבוניות הפיקטיביות. סכום העיצום הכספי הוא קטן לעומת התגמול שיכול בעל חברה לקבל עבור העברת מניותיו לאדם אחר, שבכוונתו להפיץ חשבוניות פיקטיביות באמצעות אותה החברה.

בבדיקת המעקב עלה, כי גם כיום עבריינים ממשיכים להשתמש במנגנון הקמת חברות חדשות ובחילופי בעלי מניות בחברות קיימות תוך כדי דיווח בדיעבד לרשם החברות, לצורך הסוואת ההפצה של חשבוניות פיקטיביות.