Renald Rista, ish-drejtor i IT në Drejtorinë e Përgjithshme të Tatimeve ka dhënë një intervistë të gjatë për gazetarin Blendi Fevziu, ku tregon gjithçka ndodhi me serverin e tatimeve dhe të dhënat e rëndësishme të kësaj drejtorie. Në këtë intervistë, që publikohet për herë të parë nga Opinion.al, Rista tregon për njerezit që morën gjithë të dhënat konfidenciale të tatimeve si dhe per raportet me Drejtoreshen e Pergjithshme te Tatimeve.
Zoti Rista si nisi historia e Tatimeve?
Këtu i referohemi datës 15 në këtë datë është paraqitur një grup kontrollues në Ministrinë e Financave, të cilët erdhën në Drejtorinë e Përgjithshme të Tatimeve, për të kontrolluar mënyrën se si funksiononte serveri i Tatimeve.
Çfarë ka sistemi elektronik i Tatimeve?
Sistemi elektoronik i Tatimeve teorikisht mban çdo gjë, që është ruajtur në format elektronik nga viti 1996 deri më sot.
Pra nga viti 1996, ka çdo deklarim të bërë?
Po çdo deklarim të bërë nga biznesi. Bizneset deklaratat më parë i bënin në letër, të cilat më pas dixhitalizohesh, hidheshin në format elektronik për lehtësi përpunimi.
Sa servera kanë tatimet?
Tatimet kanë 34 servera aktivë, që mbajnë të dhëna aktive.
Mbajnë të njëjtat të dhëna apo të dhëna të ndryshme?
Jo mbajnë të dhëna të ndryshme. Sistemi i tatimeve është i organizuar me disa sisteme, ka mbi 25 sisteme të ndryshme, por që kryesori është ai i tatimpagueseve dhe individëve, i cili është sistem i decentralizuar.
Çfarë ka brenda këtij sistemi?
Brenda tij, përmbahen të gjitha deklaratat që ka bërë biznesi, të gjithë librat e shitjes dhe blerjes, pra gjithë aktitiviteti ekonomik që ka kryer biznesi.
Edhe individët?
Po edhe individët, po ashtu ka edhe të dhënat kush inspektor e ka kontrolluar, kur e ka kontrolluar, përmban edhe të dhëna konfidenciale të administratës.
Çdo të thotë të dhënat konfidenciale të administratës?
Marrëdhënia midis inspektorëve apo punonjësve të Tatimeve, nuk është e dhënë që del në publik apo që shfaqet. Në këtë server të madh ndodhen të gjitha deklarimet e biznesit dhe të qytetarëve nga 1996 deri tani.
Pra është i vetmi vend ku ruhen këto të dhëna apo ruhen edhe në vende të tjera?
Serveri bazë i Tatimeve është serveri i shpërndarë, që do të thotë është në drejtoritë rajonale, nëpër rrethe por përveç tyre ndodhet edhe në qendër. Çdo natë ka proçedura automatike që marrin të dhëna nga rrethet dhe centralizohen në qendër.
Këto të dhëna gjenden që janë në qendër gjenden edhe në rrethe?
Të gjitha të dhënat e rretheve ndodhen në qendër, dmth tek Tirana nuk gjenden të dhënat e Durrësit. Të dhënat e gjithë rretheve, gjenden në Drejtorinë e Përgjithshme.
Po ky sistem që i ruan të gjitha të dhënat, ka një kopje?
Ka një kopje në Drejtorinë e Përgjithshme të Tatimeve, në server të tjerë, por edhe në kaseta.
Në këtë sistem janë të shënuara deklarimet e bizneseve apo dhe gjobat e biznesit?
Të gjitha.
Që do të thotë nëse dikush ndërhyn në këtë server dhe tenton të fshijë një gjobë për një biznes të caktuar mund ta bëj?
Është veprim shumë i pamundur në qendër, pasi gjobat ndodhen në drejtoritë rajonale. Teorikisht që të ndryshohet një e dhënë në ato sisteme, do të duhet që ajo të ndryshohet në drejtoritë rajonale të rretheve edhe në kaseta edhe në letrat që janë deklaruar, pasi çdo veprim në sistem është i deklaruar në letra.
Atëherë i bie që kemi 5 kopje, përfshirë edhe letrat?
Po…
Ky server që ka këto të dhëna, sipas ligjit kush ka të drejtë ta aksesojë?
Sipas ligjit të dhënat tatimore shihen vetëm nga administrata tatimore dhe nga askush tjetër. Tatimet kanë qenë edhe në një kalvar të gjatë me KLSH-në, të cilët nuk i lejonin të hynin të shihnin të dhënat për një tatim pagues të cilin ata bënin hetimet.
Pra Tatimet janë të vetmet që kanë të drejtë. Të dhënat përveç ligjit të mbrojtjes së tatimeve, mbrohen edhe nga Komisioneri për Mbrojtjen e të dhënave Personale?
Përveç ligjit të Komisionierit të Mbrojtjes së të Dhënave Personale, ka edhe ligjin specifik të Tatimeve që është ligji 99/20 për proçedurat tatimore. Sanksionon vetëm administratën tatimore dhe pjesëtarët e administratës tatimore mund të konsultohen me këto të dhëna dhe ka një formë shumë specifike se si mund të dalin.
Si dalin?
Një e dhënë e dalë quhet kur kanë një marrëveshje nëpërmjet dy institucioneve shtetërore. Tatimet dhe doganat kanë një marrëveshje, të cilët shkëmbejnë të dhëna me njëri-tjetrin.
Ka të drejtë Ministri i Financave dhe Kryeministrit të kërkojë informacione për këto të dhëna?
Mund të kërkojnë informacione, raporte që janë pjesë e detyrave të tyre por jo të aksesojnë drejtpërdrejtë në to.
Kush ka të drejtë të aksesojë drejtpërdrejtë?
Vetëm punojësit e administratës të Tatimeve.
Të cilët mund të hyjnë direkt në server?
Jo kanë programe të veçanta por s’mund të hyjnë drejtëpërdrejtë të prekin të dhënat.
Po IT-të mund ti prekin të dhënat?
As ata nuk janë personat përgjegjës, janë drejtoritë shumë specifike. P.sh Drejtoria e Regjistrimit, merret vetëm me të dhënat e regjistrimit, ç’regjistrimit, ndryshim të dhënash e bën vetëm kjo drejtori. Gjobat bëhen një pjesë automatikisht, një pjesë i bën inspektori i vlerësimit, apo ai që është në terren.
Kush është marrë me ngritjen e sistemit dhe kontrollin e tij?
Ka filluar gjithçka në vitin 1995, ka qenë një grup pune që kryesohej nga Banka Botërore, kanë qenë edhe disa ekspertë nga pala shqiptare dhe ata e ngritën bazën e këtij sistemi.
Aktualisht ka të huaj që mbikëqyrin sistemin?
Aktualisht ka asistencë të huaj që vjen nga FMN dhe që asiston vit për vit për zhvillimet që kryehen. Ka një zhvillim të ri në Tatime po bëhet një investim prej 10 milion euro për blerjen e një sistemi komplet të ri, që 25 sistemet të mblidhen në një të vetëm. Ky ka filluar në fillim të vitin 2013 dhe është në proçes.
Drejtoresha e Përgjithshme e Tatimeve ka thënë se sistemi nuk ishte I sigurt, iu ka dhënë username-in dhe paswordin në dorë në një letër? Çfarë ka ndodhur realisht?
Unë jam thirrur katër ditë përpara se të fillonte kontrolli, jam prezantuar për herë të parë me Drejtoreshën e Përgjithshme të Auditit dhe këshilltarin e Ministrit, më kanë prezantuar një problem që mund të ndodhte në sistemin e deklarimit elektronik në një nga sistemet, ku nga jashtë mund të futeshin deri tek baza e të dhënave. Prezantimi ishte që mund të futeshin deri tek të dhënat, pasi për ti marrë apo ndryshuar është tjetër tematikë.
Por si arrinin të hynin?
Këshilltari i Ministrit kishte stimuluar një formë nga ku kishte nxjerrë username dhe paswordin e database.
Nëse dikush merr usename dhe paswordin e të dhënave personale, mund ti ndryshojë ato?
Ai ishte username i database, teorikisht me atë username mund të futesh deri në database. Se sa ishin praktikisht mundësitë për tu futur ne nuk arritëm të bënim analizë.
Nuk bëtë analizë, por teorikisht nëse hyn në database mund të ndërhysh?
Patjetër.
Në momentin që morët vesh që username dhe passëord ishin të aksesueshëm, cili ishte reagimi juaj?
Faqet ku aksesohen këto sisteme nga publiku, kanë disa adresa shumë specifike dhe kërkova pikërisht adresën se ku ishte gjetur kjo mangësi, në mënyrë që unë ta evitoja. S’mu bë prezente.
U interesuat kush e kishte marrë username dhe password pa qenë i brendshëm?
Jo përsa kohë vinte nga Këshilltari i Ministrit.
Biseduat për sigurinë e sistemit pas kësaj?
Biseduam madje unë kam marrë një letër me disa pika të shkruara, se cilat do të ishin temat që do të diskutoheshin në të ardhmen.
Kjo ka ndodhur në datën 12 nëntor. Pas sa ditësh ju thirrën në zyrën e Drejtoreshës së Përgjithshme?
Pas 3 ditësh jam thirrur në zyrën e Drejtoreshës, ku jam prezantuar me këshilltarin e Kryeministrit (kështu mu prezantua në atë moment) dhe i dërguari nga Ministri, i cili do kryente disa punë dhe veprime në Drejtorinë e Përgjithshme.
Kishte autorizim nga Ministri?
Unë nuk kam parë asnjë dokument.
Po ju lejoni në zyrat e IT-së njerëz pa identifikim, mund të bëhet pa urdhër të Drejtoreshës?
Po mund të bëhet..
Dhe urdhri i Drejtoreshës ishte …
Urdhri i Drejtoreshës ishte këta persona janë të dërguar nga Kryeministri dhe Ministri, duhet të hyjnë në sistem dhe të shohin se si funksionon ai.
Vetëm të shohin si funksionon?
Kështu mu prezantua në fillim. Nga diskutimet që patëm në tavolinë dukej qartë se nuk e kishin idenë mbi strukturën dhe sistemet që ishin në Tatime, ku diskutonin mbi një hard disc të jashtëm ku mund të merrnin informacionet.
Pra donin një hardisc që të kopjonin, çdo gjë që ndodhej në server?
Ata prezupozonin që e kishin një hardisc. Arsyen se kuptova asnjëherë këtu filluan gjithë debatet. Marrje e atyre të dhënave, jo marrja por konsultimi i atyre të dhënave kërkon një leje ose autorizim të posaçëm. Nga Drejtoresha e Përgjithshme më është dërguar akses, që ai të hynte brenda pasi ishte dërguar nga Kryeministri, kam patur edhe debate me këtë personin që quhej Ermal Beqiri, tek i cili minimalisht deklaratat e konfidencialitetit.
Pra ju kërkuan të kopjojnë të gjitha të dhënat që ndodhen në server?
Po. Ideja ishte të bëhej një backup.
Për çfarë i donin këto të dhëna?
Unë nuk e dija që këto të dhëna do dilnin jashtë institucionit, kur diskutojmë të bëhet një “backup” ai bëhet brenda institucionit dhe deri këtu mund të ishim në në nivele të pranueshme.
Nuk ju dhanë asnjë info pse i donin ato të dhëna?
Jo.
Si u veprua më pas?
Unë kam kërkuar 4 specialistë IT të ishin prezentë gjatë gjithë kohës të shoqëronin këta personat e auditit, ishte Ermal Beqiri dhe tre persona të tjerë që unë nuk i njihja fare, mu prezantuan nga kompani private.
Persona nga kompani private?
Po.
Ç’donin këta persona në serverin e përgjithshëm të Tatimeve?
Të thirrur me urdhër të Ministrit për të asistetuar.
Persona privat jo punonjës të shtetit?
Jo zyrtar të shtetit.
Persona privat që hyjnë në serverin e tatimeve?
Po.
Me urdhër të ministrit?
Po.
Hyjnë, po pastaj?
Kam caktuar 4 persona të IT, ti mbikqyrnin dhe ti monitoronin gjatë aktivitetit që do të kryenin. Kam marrë vesh ditën e nesërme kur jam larguar nga institucioni që ata kanë punuar gjithë natën dhe kanë dalë në orën 7 të mëngjesit.
Kanë kopjuar të gjitha të dhënat?
Kanë filluar kopjimin ditën e parë, kanë kopjuar një set të dhënash pasi atje ndodheshin 44 servera në total me të dhëna tatimore dhe jo tatimore.
Çfarë ka patur ky set që është kopjuar?
Përmbante të gjitha të dhënat apo detajet nga viti ‘96 për deklaratat tatimore, detaje teknike që nuk kanë të bëjnë me një tatimpagues po kanë të bëjnë me administratën, performancë punë të administratës brenda, çështje në hetim nga hetimi tatimor, etj.
Deri këtu arriti kopjimi?
Kopjimi zgjati 3 ditë. Filloi të premten rreth orës 5 pasdite dhe ka përfunduar të dielën rreth orës 10 të darkës. U kopjuan të gjithë serverat.
Për çfarë duheshin këto të dhëna?
Fusha e përdorimit të tyre është shumë e gjerë.
Përshembull?
Mund të ecim me një supozim, që personat që i përdorin, këto të dhëna mund ti përdorin për të orientuar tregun.
Në ç’kuptim?
Dinë se me kë shet dhe me kë ka marrëdhënie tregtare një biznes, dhe për atë biznes që duan të adaptojnë mund ti ndërpresin ose të ndërhyjnë në linjat e furnizimit, tek klienti fundor.
Është e lejueshme që këto të dhëna që kopjohen të kalojnë në institucione të tjera të shtetit apo kjo bëhet vetëm me një marrëveshje të veçantë?
Vetëm me një marrëveshje të veçantë.
Që në këtë rast mungonte?
Nuk ka patur ndonjë marrëveshje midis institucioneve. Ministria e Financave ka sjellë persona të cilët nuk janë punonjës të brendshëm të administratës, të cilët me hardisqet dhe infot kanë dalë jashtë Tatimeve. Ato të dhëna siç janë kopjuar, mund të kopjoheshin edhe njëherë tjetër, pra mund të dubloheshin.
Ju po thoni që 18 vjet deklarime biznesi dhe të individëve në Shqipëri, janë dubluar dhe janë në duart e personave?
Nuk e di destinacionin, por janë të kopjuara dhe janë jashtë institucionit.
Kishte ndodhur më parë kjo ngjarje?
Nuk ka ndodhur më parë, madje as në historitë e shteteve të tjera nuk kam dëgjuar ndonjë rast të tillë.
Atëherë çështja shtrohet përse në momentin që po kopjohej një hardisc tjetër, sistemi tregoi probleme në datat e deklarimeve?
Kjo ka ndodhur pasi ka përfunduar kopjimi, duke mos pasur njohuri nga sistemet se si janë të organizuar, sesi është struktura dhe lidhja e tyre.
A punonin me IT tuaja?
IT ishin vetëm për të shoqëruar nuk kanë vepruar asnjëherë, nuk kanë qenë ata aktivë në punë.
Si pasojë e mosnjohjes së sistemit ka ndodhur problem?
Po si pasojë e mosnjohjes së mënyrës së funksionimit, ditën e hënë që i bie pas kopjimit, filluan të dukeshin pasojat e para. Bizneset deklaronin datën 17, ju dilte data 21.
Krijonte problem?
Patjetër që po…
Çfarë problemesh?
Të gjithë ata që kishin datën e ndryshuar, jo datën kur kishin deklaruar penalizoheshin merrnin një gjobë automatike nga sistemi, gjobë që nuk mund të hiqet as me apelin tatimor.
Që do të thotë personi e ka bërë deklarimin në kohë, por në server për arsye të defektit rezultonte me një datë tjetër dhe gjobitej. Kjo gjobë nuk hiqet as kur e keni ju gabimin?
Edhe në rast se është faji i administrates, ajo gjobë mbetet mund të ketë proçedura për ankimim dhe spontim të kësaj gjobe. Domethënë në rast se gjoba është 10 mijë lekë, mund ti vendoset një vlerë minus 10 mijë lekë, që të kompesohet.
Defekti në datë ishte njëri prej tyre, i dyti ishte bllokimi i plotë i serverit dhe pamundësia e njerëzve për të deklaruar. Kjo nga se erdhi?
Tre ditë më vonë po flasim nga datat 17-20, evidentohet një ndërhyrje në të dhënat dhe pikërisht tek deklarimi elektronik. Këtu po flasim për një nga sistemet jo të gjitha. Të gjitha deklaratat që i përkisnin deri në dt 20, deklarimi elektronik e ka filluar punën e tij në vitin 2009. Nga 2009 deri në 20 dhjetor 2013, nuk ekzistonin më deklaratat. Kjo ishte ndërhyrja e parë vizualisht nga ne.
Ishin fshirë apo…?
Fshirë, ndërhyrë, spostuar nuk di ta them.
Sa deklarata ishin?
4.3 milion deklarata.
4.3 milion deklarata të individëve dhe bizneseve nuk ekzistonin më?
Nuk ekzistonin më.
Ekzistojnë ndërkohë?
Patjetër janë rikuperuar, nga backup.
Janë rikuperuar të plota?
Të plota.
Përse ato kohë nuk rezultonin në serverin qëndror?
Ajo ishte një ndërhyrje nga persona që nuk e kishin idenë se si funksionon i gjithë mekanizmi.
Të gjitha këto deklarata janë bërë për të fshirë?
Të gjitha deklaratat që ndodheshin tek sistemi elektronik, i deklarimit elektronik. Çdo darkë transferoheshin tek sistemi i brendshëm, i cili është i shpërndarë nëpër rrethe. Praktikisht aty të humbura konsideroheshin vetëm deklaratat e 20 ditëve të fundit, që ishin transferuar në rrethe.
Këto humbën?
Jo u rekuperuan.
Pra gjithçka u rekuperua?
Po
Në filmimet del deputeti Spartak Braho, ju keni biseduar me z. Braho?
Jo nuk patur dijeni derisa kam parë videon.
Në argumentet që ju ishin thënë juve, ishte që këta persona vinin nga Kryeministri dhe Ministri?
Po për të kontrolluar sistemin e IT.
Deputeti Braho ka thënë që patur një sistem të madh në sistemin e Tatimeve, keni një ide nëse ka ndërhyrë dikush tjetër në server?
Jo.
Ka pasur tentativa për të fikuar apo shtuar gjoba për biznesin në sistem apo është e pamundur?
Proçesi i gjobave i shtimit dhe heqjes është një proçes normal që ndodh në Tatime edhe sot e kësaj dite, por që ndodh në Drejtoritë Rajonale, jo në serverin qëndror.
Reflektohet në serverin qëndror?
Patjetër.
Në gjykimin tuaj pse i kanë dashur këto të dhëna?
Është shumë e vështirë të imagjinoj, se ç’mund të kenë patur në mendje. Por këto të dhëna janë thesar për shtetin dhe mund të gjejnë përdorim në shumë gjëra.
A keni bërë kallëzim në Prokurori?
Po kam bërë.
Si qëlloi që ju arrestuan?
Ndërhyrja në server, është konsideruar sikur e kam bërë unë. Me vendim të drejtoreshës së Përgjithshme, e cila bëri kallëzim dhe unë u arrestova.
Sa persona janë ndaluar?
Janë ndaluar rreth 24 persona. Unë dhe një person tjetër nga një kompani private u arrestuam.
Përse duhej të asistonte një person i një kompanie private?
Sistemi i deklarimit elektronik është financuar nga USAID, prej 5 vitesh është zhvilluar nga një kompani shqiptare, me fondet e USAID dhe ajo kompani kishte ata dizenjues që e njohin sistemin.
Këta persona mund të hynin pa një leje nga Drejtoresha?
Këta kanë patur një autorizim të veçantë, i cili i autorizonte të hynin në server specifik, të firmosur nga përgjegjësi i sektorit të infrastrukturës, nga unë, nga personi që kërkonte aksesin dhe nga Drejtori i Përgjithshëm.
Pas arrestimit sa kohë qëndruat?
Tre ditë.
Pastaj?
Pastaj shkuan më gjykatë, e cila e vlerësoi urdhrin e arrestit të paligjshëm, duke qenë se rreth nesh po zhvillohet hetimi, jemi me detyrim paraqitje.
Dhe ju keni bërë një kundër padi në Prokurorinë e Tiranës?
Kam shpjeguar faktin e ngjarjeve që kanë ndodhur, ku në bindjen time njëra është pasoja dhe tjetra ajo e datës 15 dhe 17 është shkaku fillestar. Nuk shihja aktivitet nga Prokuroria që të shtriheshin edhe tek historia e mëparshme, për këtë jam detyruar ta riformulojë ngjarjen dhe të bëj kallëzim në Prokurori.
Përse dolët në konferencë shtypi së bashku me Kryeministrin Berisha?
Fakti që u arrestuam, u mbajtëm në polici për tre ditë. 22 veta u shoqëruan atë natë në polici, një incident shumë i rëndë ndodhi dhe asnjë se mori vesh. Nuk pati asnjë deklaratë as nga policia, as nga Ministria as nga Drejtoria e Përgjithshme e Tatimeve. Madje kam dëgjuar në lajme kur iu riktheva historisë, kam dëgjuar që ishin arrestuar disa pa patentë.
Pra emri juaj nuk figuronte, derisa dolët në gjykatë?
Jo.
Kërkuat shpjegime për këtë?
Jo.
Dhe kur dolët me kusht pse dolët në konferencë me Kryeministrin Berisha?
Për të bërë publike të gjitha ngjarjet që kishin ndodhur.
Mund ta bënit dhe vete…
Ishte vendimi i momentit.
Dhe nga ai moment e deri tani jeni kontaktuar nga Prokuroria?
Nga Prokuroria jam kontaktuar mbi 10 herë, kam dhënë deklarimet e kam furnizuar me dokumentacionin dhe gjithë dhe gjërat e nevojshme për atë ngjarje.
Ju mendoni që serveri i tatimeve është praktikisht i paprekshëm, pra asgjë s’mund të zhduket dhe shtohet përfundimisht pa lenë gjurmë?
Pa lënë gjurmë nuk mund të bëhet ndonjë veprim, mund të kryhen veprime nga inspektorët që janë nëpër rrethe përveç katastrofës.
Të gjitha këto deklarime megjithëse janë të kopjuara diku tjetër janë të garantuara?
Po si informacion është i garantuar ndodhet në Drejtorinë e Përgjithshme të Tatimeve.
Dhe një kopje tjetër ju nuk e dini se ku ndodhet?
Jo.