perjantai 11. joulukuuta 2009

Veronpalautuksia huijareille - vanhanaikaisesti?

STT:n tiedotteen ja verottajan sivujen mukaan huijarit ovat onnistuneet narauttamaan verottajan maksamaan veronpalautukset väärille tileille. Asian ovat uutisoineet ainakin Uusi Suomi ja Hesari.

Tiedotteen mukaan poliisi on vaitonainen tekotavasta ja
  • Verohallinnon tietokantoihin ei ole murtauduttu.
  • Kyse ei ole myöskään Verohallinnossa tapahtuneesta vilpillisestä toiminnasta.
Jos verohallinnon sisällä kukaan ei ole kusettanut eikä myöskään tietokantoihin murtauduttu, niin ainakin oma järkeni sanoo, että ainoa vaihtoehto on, että verottajalle on ujutettu valheellinen tilinumero ja verottaja on uskonut.

Tilinumeron ilmoittamisen verottajalle voi hoitaa joko netissä verkkopankkitunnusten avulla tai sitten perinteisellä paperilomakkeella. Jos "tietokantoihin ei ole murtauduttu", ja uhreja on eri puolilla Suomea, oletan, että myöskään verkkopankkitunnuksia ei ole anastettu. Ja sitäpaitsi jos saa verkkopankkitunnukset käsiinsä, niin ei ole mitään järkeä lähteä verkkopankkitunnuksilla kikkailemaan; paljon helpompaa on tyhjentää koko tili. Jäljelle jää siis verottajan paperilomakkeen käyttö.

Sinänsä erikoista on, että nettikeskustelukommenteissa (esimerkiksi Hesarin uutiseen liittyvissä) epäillään syylliseksi (tai rikoksentekovälineeksi) tietotekniikkaa. Itse veikkaan paljon perinteisempää tekotapaa, jonka kohta perustellen esitän.

Verottajan sivuilla löytyvään paperilomakkeeseen, jolla tilinumero ilmoitetaan verottajalle, vaaditaan seuraavat tiedot:
  • Sukunimi
  • Etunimi
  • Henkilötunnus
  • Tilinumero
  • Päivämäärä ja allekirjoitus
Kaikki edellämainitut tiedot - henkilötunnusta ja allekirjoitusta lukuunottamatta, on erittäin helppo selvittää. Nimet ja syntymäajat löytyvät helposti (esimerkiksi) verotoimistossa olevista mapeista, joissa on ihmisten julkiset verotiedot kenen tahansa selattavissa. Allekirjoituksen kanssa tilanne on hankalampi, mutta: olen melko varma, että verovirkailija ei (välttämättä) jaksa verrata tilinumeronmuutoslomakkeeseen tehtyä söherrystä vaikkapa edellisen veroilmoituksen söherrykseen. Varsinkin, jos edellistä veroilmoituslomaketta ei ole saatavilla, jos henkilö ei ole ikinä palauttanut veroilmoitusta.

Henkilötunnuksen loppuosa (syntymäajanhan sai verotoimiston mapista) on siis ainoa tieto, jonka etsimiseen joutuu käyttämään hieman vaivaa. "Tavallisen ihmisen" henkilötunnusta on vaikea saada mistään, paitsi jos hän on heittänyt hetunsa sisältäviä papereita taloyhtiön paperiroskikseen.

Sen sijaan yrittäjän hetu on helppo onkia selville: kaikkien yrittäjien (ja muiden vastuuhenkilöiden, esimerkiksi tilintarkastajan) henkilötunnukset löytyvät kaupparekisteristä, joka on julkinen rekisteri. Sieltä voi siis käydä kurkkaamassa uhrinsa henkilötunnuksen. Rekisterissä (ainakin paikan päällä PRH:n konttorilla) voi myös selata yritysten tilinpäätöstietoja ja perustamisasiakirjoja, joista voi kätevästi kopioida myös uhrin nimikirjoituksen.

Miten rikos on käytännössä toteutettu? Minä veikkaan, että seuraavasti:
  • Rikollinen menee kaupparekisteriin ja selailee itselleen vaikkapa sadan, eri puolilla Suomea asuvan yrittäjän henkilötiedot ja nimikirjoitusnäytteet.
  • Rikollinen askartelee verottajalle sata tilinumerolomaketta. Ne postitetaan pienissä erissä eri verotoimistoihin pitkän ajan kuluessa, ettei epäilyksiä herää.
  • Sitten nostetaan rahat omalta (tai jonkun mukaan ostetun epätoivoisen ihmisen) pankkitililtä veronpalautuspäivänä, ja jemmataan ne.
  • Rikos tulee ilmi, mutta rahat ovat jemmassa. Kärsitään tuomio, etsitään rahat jemmasta ja nautitaan niistä.
Jos uhreissa on muita kuin yrittäjiä, teoriani on osittain vesitetty. Silloin henkilötunnukset on hankittu jostain muusta sopivasta rekisteristä, epärehellistä työntekijää hyväksi käyttämällä. Esimerkiksi kännykkäliittymämyyjällä tai videoita vuokraavan R-kioskin työntekijällä on pääsy asiakasrekisteriin, jossa on henkilötunnukset.

Miten tällaisen rikoksen tekeminen tehtäisiin vaikeammaksi?

Moni varmasti ihmettelee perinteisen taivastelijakysymyksen "miten tämä voi olla mahdollista". Se on mahdollista siksi, että tällaisia rikoksia ei tehdä usein, minkä takia verottaja ei ole nähnyt aiheelliseksi parantaa tietoturvaansa.

Mielestäni olennainen virhe on tehty siinä, että henkilötunnusta käytetään "salasanana" viranomaisten asiakirjoissa ja muuallakin. Henkilötunnus ei kuitenkaan missään olosuhteissa saisi kelvata salasanaksi, koska siltä puuttuu eräs salasanalta vaadittava ominaisuus, eli vaihdettavuus. Nykyäänhän henkilötunnuksen saa vaihtaa vain sukupuolenvaihdosleikkauksen yhteydessä. Käytäntö on valitettavasti toinen: moni viranomainen kelpuuttaa henkilötunnuksen salasanaksi. Esimerkiksi lääkärissä käydessä ei kysytä henkilötodistusta, vaan vain henkilötunnus ilmoittautuessa riittää.

Ehdotan, että verottaja korjaa asian seuraavasti:
  • tilinumeron ilmoittaminen verottajalle sallitaan vain netin kautta verkkopankkitunnuksilla, tai
  • käymällä verottajan palvelupisteessä ja esittämällä henkilötodistus
Toinen vaihtoehto on, että tilinumeron muutoksesta verottaja lähettää aina kirjeen verovelvollisen väestötietojärjestelmään merkittyyn osoitteeseen. Jos tällainen kirje rapsahtaa postilaatikkoon ilman, että on ilmoittanut mitään verottajalle, hälytyskellot soivat.

Kirjoitukseni pääpointti ja motiivi: henkilötunnusta ja allekirjoitusta ei missään olosuhteissa - ainakaan sellaisissa, jossa pyöritellään isoja rahoja tai arkaluonteisia tietoja - saisi käyttää sellaisenaan asiakkaan tunnistamiseen.

Offtopic: verottaja voisi tehdä jotain noille kammottavan näköisille urleilleen. Silloin voisivat verotusta koskevat ohjeet löytyä Googlella ensimmäisten joukossa.

6 kommenttia:

  1. Laitoin vinkin myös verottajan palautelomakkeen kautta, saa nähdä mitä vastaavat.

    VastaaPoista
  2. Toisaalta aika paljon muitakin asioita voi hoitaa pelkällä allekirjoituksella postin välityksellä. Monet asiat menevät paljon vaikeammaksi jos tällaisista käytännöistä luovutaan. Kumpi painaa sitten vaakakupissa enemmän, siitä lienee useampi mielipide.

    Henkilökohtainen tapa suojautua tuota hyökkäystä vastaan on luonnollisesti vero-optimointi. Laskin alustavasti, että saan taas ensi vuodeksi yli 500 euroa korotonta lainaa verottajalta, niin en sitten jaksanut loppuvuodesta tilata enää uutta verokorttia.

    VastaaPoista
  3. Jälkimmäinen kappale: ei huono idea. Itsekään en ole veronpalautuksia saanut muutamaan vuoteen.

    En kannata kaikkien allekirjoituksella&postilla hoidettavien asioiden kieltämistä (vaikka ehkä sellaisen kuvan sai kirjoituksestani), vain tämän kyseisen.

    Jos on mahdollista pölliä toisten rahoja täyttelemällä hetuja paperilapuille, niin se reikä kannattaa tukkia.

    Toisaalta, onhan suklaapatukankin pölliminen kaupasta mahdollista, enkä ole vaatimassa suklaapatukoita lukkojen taakse. Eli sikäli olet oikeassa.

    VastaaPoista
  4. Joskus aikoinaan tuo verottajan lomake piti viedä henkilökohtaisesti verotoimistoon.
    Vitutti raskaasti, kun siellä ei sitten mitään henkilöpapereita kyselty.
    "Paska reissu, mutta tulipa tehtyä."

    VastaaPoista
  5. Poliisin älykkyysosamäärä ei riitä tällaisten asioiden ratkomiseen; jokunen vuosi sitten firmani äänetön yhtiömies laskutti firmani Y-tunnuksella ravintoloilta karaokekeikkoja ja laittoi laskuhin oman henkilökohtaisen tilinumeronsa, firmalleni kuuluvat rahat menivät siis hänen henkilökohtaiselle tililleen ja sille tielle jäivät. Sama äänetön yhtiömies "tekaisi" tyhjältä paperilta aloittaen, eli väärensi kokonaisen kauppakirjan, jolla hän myi firmaltani itselleen kahdet karaokelaitteet levyineen (arvo noin 40000 euroa), hän väärensi myös allekirjoitukseni siihen "kauppakirjaan". Tämä samainen äänetön yhtiömies myi sitten laitteet ja levyt toiselle karaokeyrittäjälle Lahdessa, joka taas pyöritti nillä karaokea mm Tuuloksen Kapakanmäellä. Lahden poliisin tutkinnanjohtaja Tapio Lehtonen tutki asiat eikä löytänyt niistä mitään rikosta, koska Tapio Lehtonen (siis asiaa tutkinut poliisi) on Tuuloksen Kapakanmäen anniskelulupien haltija.
    Eli tilinumeron vaihtaminen johonkin viralliseen paperiin, kuten lasku, veroilmoitus tms ei ole suoritetun tutkinnan mukaan rikos, kuten ei kauppakirjan väärentäminen, eikä kenenkään allekirjoituksen väärentäminen, eikä sellaisten asiakirjojen (väärennösten) esittäminen viranomaiselle.
    T: Lightyear Ohjelmapalvelut KY

    VastaaPoista