Łańcuch dowodowy dla dokumentów cyfrowych: czego rzeczywiście wymagają audytorzy i organy podatkowe
Dowody rzeczowe mają łańcuch dowodowy: rejestr każdej osoby, która je obsługiwała, kiedy i dlaczego. Łańcuch dowodzi, że dowód nie został naruszony między momentem zabezpieczenia a jego przedstawieniem. Sądy odmawiają dopuszczenia dowodów rzeczowych bez takiego łańcucha.
Dokumenty cyfrowe mają ten sam problem, a w większości jurysdykcji UE obowiązują identyczne wymagania. Pytanie nie brzmi, czy dokument jest gdzieś przechowywany. Pytanie brzmi, czy można udowodnić, co się z nim działo od chwili jego powstania do dnia dzisiejszego.
Co oznacza łańcuch dowodowy dla dokumentu
Łańcuch dowodowy dla dokumentu cyfrowego oznacza możliwość wykazania:
- Dokumentu powstał w określonym momencie
- Każda kolejna modyfikacja, etap przetwarzania, konwersja lub przesłanie zostały zarejestrowane
- Każdy krok można przypisać konkretnemu podmiotowi (osobie, systemowi, usłudze)
- Żaden krok nie został pominięty ani zmieniony po fakcie
- Dokument prezentowany dziś jest tym samym dokumentem, który przeszedł przez te etapy
W przypadku obiektu fizycznego posiadanie ustalane jest poprzez fizyczne przekazania. W przypadku dokumentu cyfrowego ustala się je na podstawie dowodów kryptograficznych: skrótów, sygnatur czasowych i podpisanych wpisów audytowych.
Czego wymagają unijne organy podatkowe
Wymagania różnią się w zależności od kraju, ale mają wspólną strukturę.
Niemcy (GoBD): Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern definiuje, że elektronicznie archiwizowane dokumenty muszą być chronione przed zmianami, muszą być odszukiwalne, a stan pierwotny musi być możliwy do odtworzenia. Kluczowym pojęciem jest „Unveränderbarkeit” (niezmienność): dokumenty muszą być archiwizowane w sposób technicznie uniemożliwiający lub przynajmniej wykrywalny jakiekolwiek późniejsze zmiany. GoBD wymaga również, aby sam proces archiwizacji był udokumentowany, co oznacza, że łańcuch od oryginalnego dokumentu do archiwum musi być identyfikowalny.
Francja (DGFiP): Direction Générale des Finances Publiques wymaga, aby faktury elektroniczne były przechowywane w oryginalnej formie, z gwarancją integralności zapewnioną środkami technicznymi. W przypadku faktur otrzymanych w formacie PDF lub hybrydowym gwarancja integralności musi obejmować cały okres przechowywania (sześć lat dla dokumentów księgowych, dziesięć lat dla umów).
Niderlandy (Belastingdienst): Wymagany jest siedmioletni okres przechowywania z możliwością weryfikacji. Wytyczne Belastingdienst dotyczące archiwizacji elektronicznej wyraźnie stanowią, że dokument musi być możliwy do odtworzenia w czytelnej formie, a integralność dokumentu musi być możliwa do wykazania.
Belgia: FPS Finance dostosowuje się do dyrektywy UE 2006/112/WE: autentyczność pochodzenia, integralność treści i czytelność muszą być zagwarantowane. Zastosowane środki techniczne (EDI, podpis elektroniczny lub ścieżka audytowa) muszą być udokumentowane.
Wspólny mianownik: samo archiwizowanie dokumentu nie wystarczy. Konieczne jest również archiwizowanie dowodów integralności.
Czego rzeczywiście szukają audytorzy
Gdy audytor żąda dokumentu, zazwyczaj chce ustalić:
- Dokument jest autentyczny (nie sfabrykowany po fakcie)
- Dokument nie został zmieniony od momentu jego utworzenia lub otrzymania
- Dokument był przetwarzany w sposób zgodny z zadeklarowanymi procedurami
W kontrolach podatkowych centralne znaczenie mają dwa pierwsze punkty. W kontrolach zgodności (RODO, NIS2, regulacje branżowe) równie ważny jest często trzeci punkt.
Audytorzy co do zasady nie akceptują odpowiedzi „proszę mi zaufać”. Szukają technicznych mechanizmów kontrolnych, które sprawiają, że sfabrykowanie lub zmiana są wykrywalne. Mechanizmy, które ich satysfakcjonują, to:
Niezmienne sygnatury czasowe od zaufanej strony trzeciej. Sygnatura czasowa wygenerowana samodzielnie nie stanowi niezależnego dowodu. Sygnatura od zaufanego organu (kwalifikowanego TSA zgodnego z RFC 3161) już tak. Więcej o tym, jak to działa w praktyce, znajdziesz w artykule RFC 3161 timestamps explained.
Dzienniki audytowe, których nie można retroaktywnie modyfikować. Plik dziennika na własnym serwerze, do którego masz wyłączny dostęp, nie jest niezależnym dowodem. W przypadku ścieżki audytowej, gdzie każdy wpis jest kryptograficznie powiązany z poprzednim (łańcuch skrótów), modyfikacja dowolnego wcześniejszego wpisu unieważnia wszystkie kolejne. Audytor może to zweryfikować lokalnie.
Dokumentacja zgodności z formatem. Jeśli twierdzisz, że faktura była zgodna z EN16931 w dniu jej wysłania, potrzebujesz raportu walidacyjnego z tamtego dnia, a nie walidacji przeprowadzonej dziś. Raport musi być przechowywany razem z dokumentem.
Mechanizm łańcucha skrótów
Łańcuch skrótów implementuje ścieżkę audytową zabezpieczoną przed naruszeniami. Każdy wpis zawiera:
- Dane zdarzenia (co się stało, kto, kiedy)
- Skrót dokumentu w danym momencie
- Skrót poprzedniego wpisu
Entry 1: {event: "created", actor: "api:tenant-1", time: "2026-03-01T09:00:00Z",
docHash: "sha256:a3f...", prevHash: "0000...0000"}
entryHash: sha256(Entry 1 data) = "sha256:7c2..."
Entry 2: {event: "validated", actor: "system", time: "2026-03-01T09:00:01Z",
docHash: "sha256:a3f...", prevHash: "sha256:7c2..."}
entryHash: sha256(Entry 2 data) = "sha256:b19..."
Entry 3: {event: "timestamped", actor: "tsa:qualified-eu", time: "2026-03-01T09:00:02Z",
docHash: "sha256:a3f...", prevHash: "sha256:b19..."}
entryHash: sha256(Entry 3 data) = "sha256:f44..."Jeśli ktoś zmieni wpis 2 (na przykład aktor lub czas), skrót wpisu 2 ulega zmianie. Wartość prevHash we wpisie 3 przestaje pasować. Łańcuch jest przerwany. Audytor obliczający łańcuch od wpisu 1 wykryje niespójność.
Jest to ta sama zasada, co w blockchainie, ale zastosowana do ścieżek audytowych dokumentów bez narzutu związanego z rozproszonym rejestrem. Łańcuch jest liniowy, deterministyczny i weryfikowalny za pomocą implementacji SHA-256.
Przepaść między „przechowywaniem” a „udowodnieniem”
Większość systemów zarządzania dokumentami oferuje przechowywanie z kontrolą dostępu. Niektóre udostępniają historię wersji. Nieliczne dostarczają dowodów.
Problem polega na tym, że system, w którym tylko ty kontrolujesz dziennik audytowy, nie zapewnia niezależnych dowodów integralności tego dziennika. Jeśli możesz usuwać lub edytować wpisy dziennika, sceptyczny audytor nie może na nim polegać.
Mechanizmy zamykające tę lukę to zewnętrzna kotwica (kwalifikowana sygnatura czasowa RFC 3161 od TSA, którego sam nie obsługujesz), integralność łańcucha skrótów (dzięki czemu modyfikacja dziennika jest wykrywalna) oraz archiwizacja na poziomie formatu (PDF/A-3, aby dokument nie degradował się ani nie był renderowany inaczej z upływem czasu).
Są to składniki Legal Evidence Pack. Paczka dowodowa to jednostka dowodowa, którą przedstawiasz, gdy audytor żąda dokumentu.
Okresy przechowywania według rodzajów dokumentów (przegląd dla UE)
| Rodzaj dokumentu | Okres przechowywania | Kluczowa jurysdykcja |
|---|---|---|
| Faktury VAT | 7 lat | Niemcy (GoBD), Niderlandy |
| Faktury VAT | 10 lat | Francja, Belgia |
| Umowy | 10 lat (handlowe) | Większość państw UE |
| Dokumenty pracownicze | Czas zatrudnienia + 5-10 lat | Zależy od kraju |
| Dokumenty księgowe | 10 lat | Większość państw UE |
| Dokumentacja medyczna | 10-30 lat | Znaczące różnice |
| Zamówienia publiczne | 5-10 lat po zakończeniu umowy | Dyrektywa UE 2014/24/UE |
Okres przechowywania zaczyna biec w różnych momentach, zależnie od rodzaju dokumentu i jurysdykcji. W przypadku faktur zazwyczaj od końca roku podatkowego, w którym faktura została wystawiona, a nie od daty faktury.
SealDoc i łańcuch dowodowy
SealDoc rejestruje ścieżkę audytową opartą na łańcuchu skrótów dla każdego dokumentu przechodzącego przez jego potok. Łańcuch zaczyna się od momentu utworzenia dokumentu, obejmuje każdy etap przetwarzania (walidację, konwersję, podpisanie, archiwizację) i jest zakotwiczony sygnaturą czasową RFC 3161 od kwalifikowanego europejskiego TSA.
Ścieżka audytowa jest eksportowana jako część Legal Evidence Pack. Każdy wpis jest weryfikowalny maszynowo niezależnie od systemów SealDoc. Jeśli Twoja organizacja przechowuje dokumenty przez dziesięć lat, a SealDoc nie będzie już istnieć w roku ósmym, paczka dowodowa pozostaje niezależnie weryfikowalna: łańcuch jest obliczany na podstawie skrótów dokumentów, a sygnatura czasowa RFC 3161 jest weryfikowana względem publicznego certyfikatu TSA, który jest publicznie dostępny.
Ta niezależność jest właśnie istotą rozwiązania. Dowody uzależnione od dalszego funkcjonowania podmiotu je wystawiającego nie są wiarygodnymi długoterminowymi dowodami.