היבטים בתפעול מערכת חשבוניות ישראל ברשות המיסים

​מבוא

חשבונית מס שקיבל עוסק עבור הוצאה שהוציא מאפשרת לו לנכות את מס התשומות הכלול בה ממס העסקאות שבו הוא חייב וכתוצאה מכך להקטין את חבותו במע"ם. נוסף על כך, החשבונית מהווה אסמכתה להתרת ההוצאה ועקב כך להקטנת הכנסתו של נישום החייבת במס הכנסה בהתאם להוראות הדין. 

חשבונית פיקטיבית היא חשבונית שהוצאה שלא כדין בגין מכר או שירות ואשר בה מוצגת עסקה שלא בוצעה בפועל, או צדדים לעסקה שאינם הצדדים השותפים לה, או סכום שאינו משקף את העסקה בפועל. השימוש בחשבוניות פיקטיביות נועד להקטין את החבות במע"ם ואת ההכנסה החייבת לצורכי מס הכנסה.

מידי שנה בשנה מופצות במשק הישראלי חשבוניות פיקטיביות בהיקפים של מיליארדי שקלים. תופעת ההפצה והניכוי של חשבוניות פיקטיביות הולכת ומתרחבת, גורמת נזק כבד לקופת המדינה, מנוצלת לעיתים למימון פעילות עבריינית של משפחות פשע ולמימון טרור ופוגעת בהרתעה. נוסף על כך התופעה יוצרת עיוותי תחרות ואי-שוויון בשוק: עסקים המתחמקים ממס באמצעות חשבוניות פיקטיביות זוכים ליתרון בלתי הוגן, משום שתשלום מס מופחת באמצעות ניכוי המע"ם הכלול בחשבוניות פיקטיביות או הכרה בהוצאה לצורך הקטנת ההכנסה החייבת מאפשרים להם להוזיל מחירים ביחס לעסקים הפועלים כחוק ובכך לפגוע בהם. 

רשות המיסים בישראל (להלן - רשות המיסים או הרשות) מנסה להיאבק בתופעת החשבוניות הפיקטיביות כבר יותר משני עשורים. בסקר סיכונים של הרשות לשנת 2022 נכללה תופעת החשבוניות הפיקטיביות בקטגוריית סיכון "עסקי/אסטרטגי" ודורגה בין עשרת הסיכונים בדרגה הגבוהה ביותר הקיימים ברשות.

כחלק מניסיונות התמודדותה של רשות המיסים ובהמשך לעבודת הוועדה ליישום המודל הצ'יליאני ולוועדה לבחינת פיתוח מודל מניעתי החלה הרשות בשנת 2018 לפתח את פרויקט "חשבוניות ישראל" (להלן - חשבוניות ישראל), המאפשר ניהול חשבוניות מס ודיווח עליהן בצורה מקוונת והפעלת מערך בקרה על החשבוניות באמצעות מספרים שיוקצו לחשבוניות מס מקוונות, כבר בשלב הפקת חשבונית המס מהעוסקים ללקוחותיהם.

​בהתאם לחוק ההתייעלות הכלכלית (תיקוני חקיקה להשגת יעדי התקציב לשנות התקציב 2023 ו-2024), התשפ"ג-2023, והתיקון לחוק מס עורך מוסף, התשל"ו-1975 (להלן - חוק מע"ם או החוק), ביום 1.1.24 החלה רשות המיסים להקצות באמצעות מערכת חשבוניות ישראל מספרי הקצאה לחשבוניות מס שערכן עולה על 25,000 ש"ח במתווה שיורד על פני חמש פעימות, כך שמ-1.1.28 תידרש הקצאת מספר לכל חשבונית שערכה עולה על 5,000 ש"ח (להלן - התקרה). החל מיום 5.5.24 עוסק מורשה נדרש לקבל מרשות המיסים מספר הקצאה ייחודי לכל חשבונית מס שערכה מעל התקרה שנקבעה כבר בעת הפקתה כתנאי לניכוי מס התשומות הגלום באותה חשבונית. רשות המיסים רשאית להחליט שלא להקצות מספר לחשבונית מס אם יש לה יסוד סביר לחשש שחשבונית המס הוצאה שלא כדין. משמעותה המעשית של אי-הקצאת מספר לחשבונית מס היא שמקבל החשבונית אינו יכול לנכות את מס התשומות הכלול בה. בכך מבטיחה רשות המיסים כי לא ייגרם לקופה הציבורית נזק הנובע מניכוי מס תשומות שלא כדין, גם אם החשבונית שהוצאה פיקטיבית. 

ההחלטה שלא להקצות מספר לחשבונית מס תישלח למבקש באופן מיידי בהודעה מקוונת ובה יצוינו, בין היתר, העילה להחלטה וזכות העוסק לשימוע בתוך שני ימי עסקים מיום שליחת ההחלטה. המנהל יחליט בבקשה בתוך יום עסקים אחד מתום השימוע. העוסק רשאי להשיג על ההחלטה שלא להקצות מספר לחשבונית בתוך 30 ימים מקיום השימוע או במועד מאוחר יותר שהתיר המנהל מטעמים מיוחדים.

מבקר המדינה מציין לחיוב את יוזמתה של רשות המיסים לפתח ולהטמיע את מערכת חשבוניות ישראל, המשמשת כלי בקרה מרכזי על חשבוניות מס ומאפשרת לרשות לזהות בזמן אמת חשבוניות בעלות מאפיינים חריגים, למנוע הקצאת מספר לחשבוניות אלה ולחסום מראש את השימוש בהן לצורך ניכוי מס, עד לבירור מלא של נסיבות הוצאתן.

בעקבות ביקורת קודמת שנעשתה ברשות המיסים בנושא טיפול רשות המיסים בתופעת החשבוניות הפיקטיביות (להלן - הביקורת הקודמת) התפרסם בינואר 2024 דוח מבקר המדינה בנושא "טיפול רשות המיסים בתופעת החשבוניות הפיקטיביות" (להלן - הדוח הקודם). בדוח נכלל פרק בנושא "פרויקט הקצאת חשבוניות ישראל".

בחודשים האחרונים הצטבר במשרד מבקר המדינה מידע בנוגע למערכת חשבוניות ישראל ולהקצאת מספרים לחשבוניות פיקטיביות שהוצאו על שמם של עוסקים לגיטימיים, בין היתר באמצעות גניבת זהויות של עוסקים ושינוי של פרטי עוסקים במערכות רשות המיסים כמו מספרי טלפון, כתובות, כתובות דואר אלקטרוני ופרטי מורשי הקצאה. 

נוכח הנזק המיידי העלול להיגרם לקופת המדינה בהיקפים הנאמדים במיליארדי ש"ח בשנה כתוצאה מהפצה וניכוי חשבוניות פיקטיביות, לרבות הוצאות חשבוניות פיקטיביות על שמם של עוסקים לגיטימיים, משרד מבקר המדינה ערך בחודשים יולי עד ספטמבר 2025 בדיקה בנוגע למידע על תפעול מערכת חשבוניות ישראל ובנוגע לליקויים הרלוונטיים שעלו בביקורת הקודמת כדי שרשות המיסים תפעל לתיקונם המיידי. בדיקות השלמה בוצעו בחודשים ינואר עד אפריל 2026.

גניבת זהויות של עוסקים לגיטימיים

לצורך בקשת מספר הקצאה לחשבונית מס במערכת חשבוניות ישראל נדרש להזדהות באזור האישי שבאתר רשות המיסים. הרשמה ראשונית לאזור האישי במערכת ההזדהות מתבצעת בתהליך הזדהות דו-שלבי. בשלב הראשון המשתמש נדרש לענות על שאלות זיהוי המחולקות לשתי רמות: רמת זיהוי קלה ורמת זיהוי גבוהה. בבדיקה נמצאו מקרים שבהם התגלו פרצות אבטחת מידע שבאמצעותן בוצעו גניבת זהויות במערכת ההזדהות. רשות המיסים מסרה כי לאחר גילוי הפרצות השונות היא פעלה לסגירתן. עוד מסרה הרשות כי פעלה להסיר אתרים זדוניים באמצעות פניות למערך הסייבר וכן פעלה להעלות את המודעות בציבור באמצעות פרסום אזהרות רשמיות ברשתות החברתיות ובאתר שלה במרשתת.

אף שרשות המיסים משקיעה ופועלת רבות בתחום הסייבר (מרכז תפעול אבטחת מידע [SOC] הפעיל 24 שעות ביממה ומבדקי חדירה לתשתיות ולאפליקציות) ובתחום ניהול הסיכונים תוך מיפוי הסיכונים לשם קביעת פעולות בתוכניות העבודה ויצירת שגרות עבודה מתאימות, ניכר שניסיונות החדירה והפריצה למערכת ההזדהות שבאתר שלה הולכים וגוברים. בבדיקה הועלו פרצות שהתגלו במערכת ההזדהות ואשר איפשרו לתוקפים לבצע פעולות תוך עקיפת מנגנוני ההגנה, לרבות גניבת זהויות של עוסקים לגיטימיים, הפקת חשבוניות על שמם וקבלת מספרי הקצאה לחשבוניות שהוצאו כאמור שלא כדין, וזאת בלי שניתנה לגבי אותן פרצות התרעה על פעולה חריגה בזמן אמת.

הועלה כי בכל הנוגע למקרים של גניבת זהויות של עוסקים לגיטימיים שנמצאו בבדיקה, רשות המיסים פעלה רק בדיעבד בעקבות תלונות על התחברות של מתחזים למערכותיה לאחר שאושרו להם מספרי הקצאה לחשבוניות.

על רשות המיסים להגביר את יכולותיה לפעול באופן עיתי ויזום למניעת גניבת זהויות של עוסקים לגיטימיים וביצוע פעולות על שמם במערכת חשבוניות ישראל. על הרשות לפתח וליישם מנגנוני זיהוי מוקדם של פעילות חריגה, לרבות פעולות להגברת האבטחה מפני גישה בלתי מורשית, ניטור התנהגות מתקדם ויצירת התראות פרואקטיביות קודם אישור מספרי הקצאה. נוסף על כך, מומלץ כי הרשות תשקול שיתופי פעולה הדוקים יותר עם גורמי אבטחת מידע ממשלתיים וחיצוניים ותבצע בדיקות שוטפות במטרה לצמצם את פוטנציאל הפגיעה ולהבטיח כי תהליכי האבטחה מותאמים להתגברות המתמשכת באיומי הסייבר וגניבת הזהויות של משתמשי מערכת חשבוניות ישראל. עוד מומלץ כי רשות המיסים תערוך בחינה מסודרת ומקיפה של מערכת ההזדהות במטרה לאתר פרצות, נקודות תורפה וחולשות תפקודיות וטכנולוגיות, ובהתאם לכך תגבש תוכנית פעולה מקיפה לשדרוג המערכת, הכוללת טיפול שיטתי בנקודות התורפה, חיזוק מנגנוני האימות וההרשאה, הטמעת אמצעי בקרה מתקדמים וקביעת לוחות זמנים ברורים לביצוע.

רשות המיסים מסרה בתשובתה מיום 14.1.26 כי קיימת "הסלמה משמעותית בהיקף ובחומרת הפשיעה המקוונת, כאשר ארגונים פיננסיים ובנקים ניצבים בחזית המאבק מול ניסיונות פישינג מתוחכמים. גורמים עוינים פועלים ללא הרף במטרה לגנוב זהויות ולחדור למערכות רגישות, מציאות המציבה אתגרים חסרי תקדים לאבטחת המידע ולשמירה על אמון הציבור. כגוף האמון על מאגרי מידע קריטיים ורגישים, וביתר שאת בפרויקט חשבוניות ישראל, רשות המיסים מצטרפת לקו הגנה זה מתוך הבנה עמוקה כי מדובר באיום אסטרטגי מחריף. הרשות מכירה בצורך להגיב במהירות וביעילות, תוך השקעה מתמדת בטכנולוגיות הגנה מתקדמות, במטרה להגן על המשתמשים ובכך להבטיח את תקינות פעילותה אל מול נוף האיומים המשתנה. בתוך כך, ביצעה רשות המיסים שורה של פעולות כדי להתמודד עם המציאות המורכבת שבה גורמים עוינים פועלים ללא לאות לביצוע פעולות זדוניות". הרשות הוסיפה כי היא עושה מאמץ לזהות בזמן אמת בקשות הקצאה שלגביהן עולה כי קיים חשש לגניבת זהות, וזאת במקביל לטיפול בדיעבד. במקרה כזה המערכת נחסמת באופן אוטומטי להזדהות. כפועל יוצא כאשר העוסק האמיתי ינסה גם הוא להזדהות ולבקש מספרי הקצאה הוא יגלה כי אינו יכול לעשות כן, ולאחר שיפנה ליחידת הבקרה או לשירות לקוחות הוא יופנה על ידם להזדהות פיזית מלאה במשרד האזורי וביצוע רישום לקוח מחדש. עוד מסרה הרשות כי היא עושה מאמץ לשלוח התרעות על כל פעילות חריגה במגוון פעולות בזמן אמת ככל שניתן וכי הוסיפה מנגנוני מניעה והתרעה ללקוחות בזמן אמת.

הביקורת הקודמת:

מבקר המדינה, דוח שנתי של מבקר המדינה - ינואר 2024, "טיפול רשות המיסים בתופעת החשבוניות הפיקטיביות" (2024)

מדי שנה בשנה מופצות במשק הישראלי חשבוניות פיקטיביות בהיקפים של מיליארדי שקלים. תופעת ההפצה והניכוי של חשבוניות פיקטיביות הולכת ומתרחבת, גורמת נזק כבד לקופת המדינה, מנוצלת למימון פעילות עבריינית של משפחות פשע ולמימון טרור ופוגעת בהתראה. כחלק מניסיונות ההתמודדות עם תופעת החשבוניות הפיקטיביות הקימה רשות המיסים את מערכת חשבוניות ישראל, המאפשרת ניהול ודיווח חשבוניות מס בצורה מקוונת והפעלת מערך בקרה על החשבוניות באמצעות הקצאת מספר אישור לחשבוניות מס מקוונות, כבר בשלב הוצאת חשבונית המס מהעוסקים ללקוחותיהם.

מבקר המדינה מציין לחיוב את יוזמתה של רשות המיסים לפתח ולהטמיע את מערכת חשבוניות ישראל, המשמשת כלי בקרה מרכזי על חשבוניות מס ומאפשרת לרשות לזהות בזמן אמת חשבוניות בעלות מאפיינים חריגים, למנוע הקצאת מספר לחשבוניות אלה ולחסום מראש את השימוש בהן לצורך ניכוי מס, עד לבירור מלא של נסיבות הוצאתן.

חרף חשיבותה הלאומית והמערכתית של מערכת חשבוניות ישראל משרד מבקר המדינה העלה חולשות מבניות ובקרתיות המהוות פרצות העלולות לשמש גורמים עברייניים להפצת חשבוניות פיקטיביות ולניכוי מס תשומות שלא כדין תוך עקיפת המנגנונים שהמערכת נועדה להבטיח מלכתחילה. החולשות הוצגו בפני רשות המיסים לצורך הטיפול בהן. נוסף על כך שילובם של כשלי בקרה, חולשת אבטחת מידע והיעדר תגובה בזמן אמת במערכת ההזדהות באתר רשות המיסים עלולים לאפשר למערכות המדינה לשמש, הלכה למעשה, כלי בידי גורמים עברייניים תוך פגיעה ישירה באינטרס הציבורי וביציבות הכלכלית של המשק.

על רשות המיסים להגביר את יכולותיה לפעול באופן מניעתי בכל הנוגע למניעת גניבת זהויות של עוסקים לגיטימיים וביצוע פעולות על שמם במערכת חשבוניות ישראל, לפעול לסגירת כלל הפרצות שהתגלו במערכת חשבוניות ישראל, לבצע בחינה חוזרת של ארכיטקטורת האבטחה והבקרה ולוודא כי יוטמעו בה מנגנונים מתקדמים שימנעו באופן אפקטיבי כל אפשרות לעקיפת מערכת חשבוניות ישראל לצורך הפצה וניכוי של חשבוניות פיקטיביות. 

מומלץ כי רשות המיסים תערוך בחינה מסודרת ומקיפה של מערכת חשבוניות ישראל, במטרה לאתר פרצות, נקודות תורפה וחולשות תפקודיות וטכנולוגיות, ובהתאם לכך תגבש תוכנית פעולה מקיפה לשדרוג המערכת, הכוללת טיפול שיטתי בנקודות התורפה, חיזוק המנגנונים וההרשאות, הטמעת אמצעי בקרה מתקדמים וקביעת לוחות זמנים ברורים לביצוע.

על רשות המיסים לפתח מנגנון אכיפה ייעודי המכוון כנגד עוסקים המנכים חשבוניות פיקטיביות ולפעול למיצוי הכלים האזרחיים והפליליים כנגדם. אכיפה ממוקדת ומתמשכת כנגד מנכי חשבוניות פיקטיביות תפחית את התמריץ הכלכלי לשימוש בחשבוניות פיקטיביות ותקטין את תופעת ההפצה והניכוי של חשבוניות פיקטיביות.

על רשות המיסים לעשות שימוש שיטתי בהעלאת שיעור ניכוי מס במקור או ביטול הפטור מניכוי מס במקור ככלי מהיר ויעיל למאבק בהפצה ובניכוי חשבוניות פיקטיביות אשר יגרום לירידה מיידית במוטיבציה של העוסקים המנכים להשתמש בחשבוניות פיקטיביות.