La facturacio electronica obligatoria esta a punt de convertir-se en realitat per a totes les empreses espanyoles. La Llei Crea i Creix i el reglament Verifactu (vigent des del juliol de 2025) estableixen que totes les empreses i autonoms han d’emetre factures electroniques verificables i amb garantia d’integritat. Al mateix temps, els sistemes de punt de venda (TPV) gestionen milers de transaccions amb targeta que contenen dades financeres sensibles.
Aquests dos sistemes son objectius prioritaris per als ciberdelinquents: contenen dades financeres, permeten el frau directe i sovint estan menys protegits que altres parts de la infraestructura. Aquest article t’explica com protegir-los adequadament.
El nou marc normatiu de facturacio electronica
Llei Crea i Creix
La Llei 18/2022, de creacio i creixement d’empreses, estableix l’obligatorietat de la facturacio electronica entre empreses (B2B) a Espanya. El calendari d’implantacio es:
- Empreses amb facturacio > 8M EUR: Obligatori des de juliol de 2025.
- Resta d’empreses i autonoms: Obligatori des de juliol de 2026.
Reglament Verifactu
El sistema Verifactu (Reial Decret 1007/2023) estableix els requisits tecnics que han de complir els sistemes informatics de facturacio:
- Registre inalterable: Cada factura ha de generar un registre que no es pot modificar ni esborrar.
- Encadenament de registres: Cada registre esta vinculat a l’anterior mitjancant un hash criptografic (similar a una blockchain).
- Signatura electronica: Els registres han d’estar signats digitalment.
- Enviament a l’AEAT: Les dades de facturacio s’envien a l’Agencia Tributaria de forma automatica o sota demanda.
- Codi QR: Cada factura ha d’incloure un codi QR per a la seva verificacio.
Implicacions de seguretat de Verifactu
El sistema Verifactu te implicacions directes en ciberseguretat:
Integritat de les dades: El sistema d’encadenament garanteix que no es poden manipular factures antigues sense que es detecti. Aixo protegeix contra el frau intern.
Certificats digitals: Necessitaras un certificat digital vigent per signar les factures. Protegir la clau privada d’aquest certificat es critic.
Connexio amb l’AEAT: El teu sistema de facturacio es connectara amb els servidors de l’Agencia Tributaria. Aquesta connexio ha de ser segura (HTTPS/TLS).
Software homologat: Nomes podras usar software de facturacio que compleixi els requisits Verifactu. Aixo redueix el risc d’usar programari insegur.
Amenaces als sistemes de facturacio
1. Frau en factures (BEC aplicat a facturacio)
L’atacant intercepta o suplanta correus entre l’empresa i els seus clients/proveidors per modificar els numeros de compte bancari a les factures.
Escenari: Reps una factura aparentment del teu proveidor habitual. Tot sembla correcte excepte que el numero de compte bancari ha canviat. Si pagues sense verificar, els diners van al compte de l’atacant.
Prevencio:
- Verifica sempre per telefon qualsevol canvi de compte bancari.
- No confiis unicament en el correu electronic per a comunicacions financeres.
- Implementa un procediment de doble verificacio per a pagaments.
2. Ransomware contra el sistema de facturacio
Un atac de ransomware que xifra el sistema de facturacio pot paralitzar completament les operacions de l’empresa: no pots facturar, no pots cobrar, no pots emetre nous pressupostos.
Prevencio:
- Copies de seguretat independents del sistema de facturacio.
- Pla de contingencia: saber com facturar manualment si el sistema cau.
- Assegurar que el proveidor de software te plans de recuperacio.
3. Robatori de certificats digitals
El certificat digital que uses per signar factures electroniques es un actiu de gran valor. Si un atacant obte la teva clau privada, pot signar factures fraudulentes en nom teu.
Prevencio:
- Emmagatzema el certificat digital en un dispositiu segur (token USB criptografic o HSM).
- No comparteixis el certificat entre diversos ordinadors.
- Renova el certificat abans de la seva caducitat.
- Revoca immediatament un certificat si sospites que ha estat compromes.
4. Vulnerabilitats al software de facturacio
Qualsevol programari te vulnerabilitats. Un sistema de facturacio desactualitzat pot ser explotat per accedir a les dades financeres o manipular factures.
Prevencio:
- Mante el software de facturacio sempre actualitzat.
- Si es software al nuvol (SaaS), verifica que el proveidor te mesures de seguretat adequades.
- Si es software local, assegura que esta en un equip protegit i actualitzat.
Seguretat en TPV (Terminals Punt de Venda)
Que es PCI DSS i per que t’afecta
Si la teva empresa accepta pagaments amb targeta (fisica o online), has de complir amb el Payment Card Industry Data Security Standard (PCI DSS). L’incompliment pot suposar:
- Multes de les marques de targeta (Visa, Mastercard).
- Responsabilitat per frau si les dades dels clients es veuen compromeses.
- Perdua del dret a acceptar pagaments amb targeta.
Nivells de compliment PCI DSS per a PIMEs
| Nivell | Volum de transaccions/any | Requisits |
|---|---|---|
| Nivell 4 (majoria de PIMEs) | Menys de 20.000 (e-commerce) o 1M (presencial) | Questionari d’autoavaluacio (SAQ) |
| Nivell 3 | 20.000 - 1M (e-commerce) | SAQ + escaneig trimestral |
| Nivell 2 | 1-6M | SAQ + escaneig trimestral |
| Nivell 1 | Mes de 6M | Auditoria externa anual |
La majoria de PIMEs es troben al Nivell 4 i nomes han de completar un SAQ i mantenir bones practiques basiques.
Amenaces especifiques als TPV
Skimming: Dispositius fisics que es col.loquen sobre el lector de targetes per capturar les dades. Habitual en caixers automatics pero tambe en TPV de comerc.
Malware de TPV (RAM scraping): Programari maliciós que extreu les dades de la targeta de la memoria del terminal durant la transaccio. Va ser la causa de les grans bretxes de Target i Home Depot.
Atacs a la xarxa del TPV: Si el TPV esta connectat a la mateixa xarxa que els ordinadors de l’empresa, un atacant que comprometi un ordinador pot arribar al TPV.
Intercepcio de comunicacions: Si la connexio entre el TPV i el processador de pagaments no esta xifrada, les dades es poden interceptar.
Mesures de seguretat per al TPV
Xarxa separada: Connecta el TPV a una xarxa (VLAN) diferent de la dels ordinadors de treball. El TPV nomes ha de comunicar-se amb el processador de pagaments, no amb Internet general.
Actualitzacions del firmware: Mante el firmware del TPV actualitzat. El teu proveidor de serveis de pagament (acquirer) hauria de gestionar-ho.
Inspeccio fisica regular: Revisa setmanalment el TPV per detectar dispositius de skimming (peces soltes, elements afegits, cables estranys).
No emmagatzemis dades de targeta: Mai guardis numeros de targeta complets, CVV o dades de la banda magnetica. Si necessites cobraments recurrents, utilitza tokenitzacio a traves del teu proveidor de pagaments.
Recepts: No imprimeixis el numero complet de la targeta als rebuts. Nomes les ultimes 4 xifres.
Acces restringit: Nomes personal autoritzat ha de poder accedir fisicament al TPV i al seu panell de configuracio.
Checklist de seguretat per a facturacio i pagaments
Facturacio electronica
- Software de facturacio homologat Verifactu
- Certificat digital protegit (token USB o acces restringit)
- Copies de seguretat independents de les dades de facturacio
- Protocol de verificacio per a canvis de compte bancari
- Doble autoritzacio per a pagaments superiors a un llindar
- Software actualitzat a l’ultima versio
- Connexio segura (HTTPS) amb l’AEAT
TPV i pagaments amb targeta
- TPV en xarxa separada (VLAN) dels ordinadors
- Firmware del TPV actualitzat
- Inspeccio fisica setmanal del terminal
- No s’emmagatzemen dades completes de targeta
- Rebuts amb nomes les 4 ultimes xifres
- Acces fisic restringit al terminal
- Questionari SAQ PCI DSS completat anualment
Proveidors de facturacio electronica segurs
Quan triis un software de facturacio electronica, valora aquests criteris de seguretat:
| Criteri | Que buscar |
|---|---|
| Compliment Verifactu | Certificacio o declaracio de compliment |
| Xifrat de dades | Xifrat en repos (AES-256) i en transit (TLS 1.2+) |
| Copies de seguretat | Backups automatics diaris amb retencio minima de 30 dies |
| Autenticacio | MFA disponible per als usuaris |
| Auditoria d’accessos | Registre de qui accedeix a que i quan |
| Centre de dades | Ubicat a la UE (compliment RGPD) |
| SLA de disponibilitat | Minim 99,5% |
| Suport | Suport en espanyol amb temps de resposta definit |
Conclusio
La facturacio electronica obligatoria i els pagaments digitals son una realitat irreversible. Protegir aquests sistemes no es opcional: un incident en el sistema de facturacio pot paralitzar l’empresa i un incident al TPV pot exposar les dades financeres dels teus clients.
Les mesures basiques (software actualitzat, certificats protegits, xarxa segmentada, verificacio de pagaments) son suficients per a la majoria de PIMEs. Implementa-les avui per estar preparat quan l’obligatorietat de la facturacio electronica arribi a la teva empresa.
Aquest article es de caracter educatiu i no constitueix un servei professional de ciberseguretat ni assessorament fiscal. Consulteu un especialista certificat per a solucions especifiques a la vostra empresa.
