Salt la conținut
factcurier
EN
← Blog

De ce contează criptarea datelor contabile (și de ce WhatsApp nu e suficient)

· factcurier
securitateGDPRcriptarecontabilitate

Gândește-te la ultimele 3 luni de comunicare cu contabilul tău. Ai trimis facturi, extrase bancare, contracte de muncă, state de plată. Probabil pe WhatsApp, poate pe email, poate pe ambele. Poate ai și un folder partajat pe Google Drive.

Acum gândește-te ce ar putea face un competitor cu acele informații. Sau un angajat nemulțumit. Sau un hacker care sparge o bază de date.

Nu e paranoia. E o conversație pe care prea puțini antreprenori din România o au.

Ce trimiți de fapt contabilului tău

Hai să punem pe hârtie tot ce circulă între tine și contabil într-un an fiscal. Lista e mai lungă decât crezi:

Documente financiare:

  • Facturi emise — cu prețurile tale exacte, adaosurile, discounturile
  • Facturi primite — cu furnizorii tăi, prețurile lor, condițiile de plată
  • Extrase bancare — fiecare leu care intră și iese din firmă
  • Chitanțe și bonuri fiscale
  • Contracte cu furnizorii — inclusiv condițiile negociate

Documente de personal:

  • Contracte de muncă — cu salariile fiecărui angajat
  • State de plată — cât câștigă fiecare, bonusuri, deduceri
  • Acte de identitate (CNP, adresă, serie CI)
  • Adeverințe medicale
  • Certificate de naștere ale copiilor (pentru deduceri)

Documente strategice:

  • Balanțe de verificare — imaginea completă a afacerii
  • Situații financiare — profit, pierdere, active, datorii
  • Previziuni de cash flow (dacă le faci)
  • Contracte de împrumut

Pune toate astea la un loc și ai o radiografie completă a afacerii tale. Știi cât câștigă fiecare angajat, cât plătești fiecărui furnizor, ce marjă ai pe fiecare produs, câți bani ai în bancă și câți datorezi.

Un competitor cu acces la aceste date ar ști exact unde să te lovească — ar putea oferi prețuri mai mici furnizorilor tăi, ar putea recruta angajații cu oferte calibrate pe salariile lor actuale, ar putea licita sub costurile tale reale.

Iluzia WhatsApp

„Dar WhatsApp are criptare end-to-end!” — da, are. Și e un lucru bun. Dar hai să vedem ce înseamnă asta în practică pentru comunicarea cu contabilul.

Ce face WhatsApp bine

Mesajele sunt criptate în tranzit — nimeni nu le poate citi între telefonul tău și telefonul contabilului. Nici Meta, nici operatorul de telefonie, nici un hacker pe aceeași rețea WiFi. Asta e real și e valoros.

Ce nu face WhatsApp

1. Backup-urile nu sunt criptate implicit

Când faci backup pe Google Drive sau iCloud, mesajele se stochează necriptate (sau criptate cu cheia Google/Apple, nu cu a ta). Asta înseamnă că oricine are acces la contul tău Google poate citi tot istoricul. WhatsApp a adăugat opțiunea de backup criptat, dar nu e activată implicit și puțini o folosesc.

2. Meta are acces la metadata

Chiar dacă nu citește mesajele, Meta știe: cu cine vorbești, cât de des, la ce ore, ce fișiere trimiți (dimensiune, tip). Pentru o companie care face bani din date, asta e valoros.

3. Screenshot-urile există

Orice persoană din conversație poate face screenshot și trimite mai departe. Nu e un defect al criptării — e o realitate a comunicării digitale. Dar pe WhatsApp, nu ai niciun control sau log al acestor acțiuni.

4. Amesteci personal cu profesional

Pe același WhatsApp unde trimiți contracte de muncă cu CNP-uri, trimiți și poze de la petrecerea de sâmbătă. Același telefon pe care îl lași deblocat pe masă la restaurant, pe care îl împrumuți copilului să se joace, pe care îl conectezi la WiFi-ul hotelului.

5. Fără audit trail

Dacă cineva șterge un mesaj sau un fișier, a dispărut. Nu ai log, nu ai versionare, nu poți demonstra ce s-a trimis și când. Într-o dispută fiscală sau un control ANAF, asta poate fi o problemă.

Alternativa „email + atașamente”

E și mai rău. Email-ul standard (fără PGP sau S/MIME, pe care nimeni nu le folosește) nu are criptare end-to-end. Mesajele trec prin servere în clar. Fișierele stau în inbox-uri ani de zile, adesea fără autentificare în doi pași.

Și totuși, mulți contabili primesc documente pe email. CNP-uri, salarii, contracte — toate în clar, într-un inbox protejat de parola „contabil2024”.

Ce înseamnă criptare end-to-end, pe limba omului

Criptarea end-to-end (E2E) înseamnă că datele sunt transformate în cod pe dispozitivul tău și decodate doar pe dispozitivul destinatarului. Nimeni altcineva — nici compania care oferă serviciul, nici administratorul serverului, nici un hacker care interceptează traficul — nu poate citi conținutul.

Imaginează-ți că trimiți o scrisoare într-un seif. Doar tu și destinatarul aveți cheia. Poștașul transportă seiful, dar nu-l poate deschide. Nici primăria, nici poliția (fără un mandat prin care te obligă pe tine să dai cheia), nici cel care construiește seiful.

Ce protejează E2E:

  • Conținutul mesajelor și fișierelor
  • Împotriva interceptării în tranzit
  • Împotriva accesului neautorizat pe servere
  • Împotriva angajaților curioși ai furnizorului de serviciu

Ce NU protejează E2E (singură):

  • Împotriva cuiva care are acces fizic la telefonul/calculatorul tău
  • Împotriva screenshot-urilor sau copierilor manuale
  • Împotriva phishing-ului (dacă dai parola, criptarea nu te mai ajută)

Criptarea e o componentă esențială, nu o soluție magică. Dar fără ea, totul e în clar — și asta e inacceptabil pentru date financiare.

GDPR și comunicarea contabil-client

Aici lucrurile devin juridic interesante. Și surprinzător de puțin discutate.

Ce spune GDPR

Regulamentul General privind Protecția Datelor (GDPR) se aplică oricărei entități care procesează date cu caracter personal ale cetățenilor UE. Datele pe care le trimiți contabilului — CNP-uri, adrese, salarii — sunt date cu caracter personal. Unele (adeverințe medicale) sunt chiar date sensibile.

GDPR impune:

  • Minimizarea datelor — colectezi doar ce ai nevoie
  • Securitatea procesării — protejezi datele cu măsuri tehnice adecvate
  • Limitarea stocării — nu păstrezi datele mai mult decât e necesar
  • Responsabilitate — poți demonstra că respecți regulile

Ce se întâmplă în practică

Firmele de contabilitate sunt operatori asociați sau persoane împuternicite conform GDPR. Teoretic, trebuie să existe un acord de procesare a datelor (DPA) între tine și contabil. În practică, aproape nimeni nu are așa ceva.

Când trimiți un contract de muncă pe WhatsApp, încalci probabil:

  • Art. 32 GDPR — obligația de a asigura securitatea procesării prin mijloace tehnice adecvate
  • Art. 5(1)(f) — principiul integrității și confidențialității

Nimeni nu a fost amendat în România pentru asta. Încă. Dar GDPR-ul nu a fost scris pentru „când se va întâmpla”, ci pentru „înainte să se întâmple”.

Amenzile sunt reale

Autoritatea Națională de Supraveghere a Protecției Datelor (ANSPDCP) a dat amenzi de milioane de euro în România. Companiilor mari, deocamdată. Dar regulamentul se aplică identic și unui SRL cu 3 angajați care trimite state de plată pe email necriptat.

Maximul teoretic: 20 milioane euro sau 4% din cifra de afaceri globală — oricare e mai mare.

Scenarii concrete de risc

Să ieșim din teorie. Iată situații care se întâmplă — indiferent de platforma folosită:

Scenariul 1: Angajatul care pleacă supărat

Ai un angajat cu acces la grupul de WhatsApp unde se discută cu contabilul. Îl concediezi. Are tot istoricul de mesaje — facturi, salarii, contracte. Din frustrare, trimite screenshot-uri cu salariile colegilor pe un forum anonim. Rezultat: demotivare internă, potențial demisii, zero consecințe juridice pentru fostul angajat (dificil de dovedit cine a publicat).

Asta nu e o problemă doar de WhatsApp — orice aplicație pe un telefon deblocat e vulnerabilă la screenshot-uri. Diferența e în controlul accesului: pe WhatsApp nu poți revoca accesul retroactiv la conversație, dar nu te iluziona că vreo platformă poate preveni un screenshot deja făcut.

Scenariul 2: Phishing pe contabil

Contabilul primește un email „de la ANAF” care cere să se logheze. Introduce credențialele. Atacatorul are acum acces la email-ul contabilului, unde stau documentele a 50 de firme. Asta s-a întâmplă deja — nu e ipotetic.

Aici criptarea end-to-end ajută real: chiar dacă un atacator accesează serverul de email, datele dintr-o platformă E2E rămân criptate pe server. Dar dacă phishing-ul vizează direct platforma (orice platformă), criptarea nu te mai salvează — atacatorul are credențialele tale.

Scenariul 3: Controlul ANAF neașteptat

ANAF cere istoric de comunicare cu contabilul. Pe WhatsApp, mesajele vechi au fost șterse, fișierele au expirat. Nu poți demonstra ce documente ai transmis și când. Pe email, totul e acolo, dar și lucruri care nu ar trebui să fie.

Aici un audit trail (log complet al transmisiilor) face diferența reală — nu criptarea în sine, ci evidența clară a ce s-a trimis, când, și cine a confirmat.

Ce ar trebui să facă o platformă de contabilitate

Dacă ne uităm la riscurile de mai sus, o platformă profesională de comunicare contabilă ar trebui să ofere:

  1. Criptare end-to-end reală — nu doar în tranzit, ci și pe servere
  2. Separare clară personal/profesional — canal dedicat, nu WhatsApp
  3. Acces controlat — doar persoanele autorizate văd documentele
  4. Audit trail — log complet al cine a trimis ce și când
  5. Retenție controlată — documentele se păstrează cât e nevoie, nu pentru totdeauna
  6. Fără acces al platformei la date — furnizorul serviciului nu poate citi documentele tale

Astea nu sunt cerințe exotice. Sunt cerințe de bază pentru orice sistem care gestionează date financiare sensibile. Băncile le respectă. Firmele de audit le respectă. Doar în contabilitatea firmelor mici toată lumea se preface că WhatsApp e suficient.

Ce face factcurier diferit (și ce nu)

Să fim onești despre ce rezolvă și ce nu rezolvă criptarea noastră.

factcurier folosește protocolul Matrix — un protocol deschis, auditat public, bazat pe aceeași criptografie ca Signal (Olm/Megolm). Documentele sunt criptate pe dispozitivul tău și decriptate doar de contabil. Serverele noastre nu pot citi conținutul.

Ce rezolvă asta real:

  • Nimeni de la factcurier nu poate citi datele tale — nici noi, nici un angajat curios, nici un hacker care ar sparge serverul
  • Dacă comunici pe un canal separat de WhatsApp, datele tale contabile nu mai stau lângă pozele de la grătar și conversațiile cu prietenii
  • Ai un audit trail complet — ce s-a trimis, când, de cine

Ce NU rezolvă:

  • Dacă cineva are telefonul tău deblocat, poate citi datele din factcurier exact ca din WhatsApp
  • Screenshot-urile și copierile manuale funcționează pe orice platformă
  • Phishing-ul te poate compromite pe orice serviciu — dacă dai parola, criptarea e irelevantă
  • Un angajat cu acces legitim poate vedea datele cât timp are acces — revocarea nu șterge ce a văzut deja

Ideea de bază: datele contabile merită cel puțin același nivel de protecție pe care îl ai la internet banking. factcurier oferă asta. Dar nicio platformă nu e un scut magic împotriva tuturor riscurilor.

Ce poți face acum — 5 pași practici

Chiar dacă nu folosești factcurier sau altă platformă securizată, poți îmbunătăți imediat securitatea comunicării cu contabilul:

1. Activează backup-ul criptat pe WhatsApp

Setări → Chat-uri → Backup chat → Backup criptat end-to-end → Activează. Durează 30 de secunde și protejează istoricul din cloud.

2. Folosește un canal separat pentru contabilitate

Nu trimite documente financiare pe același WhatsApp personal. Creează un grup dedicat sau folosește email-ul firmei (nu cel personal).

3. Activează autentificarea în doi pași

Pe email, pe WhatsApp, pe SPV, pe tot. E cea mai simplă și mai eficientă măsură de securitate. Nu o ignora.

4. Cere contabilului un acord de procesare date (DPA)

Dacă contabilul procesează date personale ale angajaților tăi (și o face), GDPR-ul cere un acord scris. Nu trebuie să fie complicat — 2-3 pagini cu: ce date, cât timp, cum le protejează, ce se întâmplă la încetarea contractului.

5. Fă un inventar al datelor transmise

Uită-te la conversația cu contabilul din ultimele 3 luni. Notează ce tipuri de documente ai trimis. Gândește-te cine mai are acces la acea conversație. Dacă te sperie răspunsul, e momentul să schimbi ceva.

Concluzie

Criptarea datelor contabile nu e despre paranoia sau conformitate excesivă. E despre faptul că datele financiare ale afacerii tale sunt cele mai valoroase informații pe care le ai — și le trimiți pe canale care nu au fost construite pentru asta.

WhatsApp e excelent pentru coordonări rapide și conversații personale. Nu e un instrument profesional pentru transferul de date financiare sensibile. Email-ul e și mai puțin potrivit.

Soluția nu e să nu mai comunici digital cu contabilul — e să folosești canale construite cu securitatea ca prioritate, nu ca bonus. Fie că e factcurier sau altceva, asigură-te că datele tale financiare sunt protejate cel puțin la fel de bine ca banii din contul bancar.

Pentru că, în cele din urmă, informațiile despre bani valorează adesea mai mult decât banii înșiși.