Fuente: CIAT, 10 agosto, 2022
A las 2 de la madrugada, una oficial de seguridad del ministerio toma conciencia. Las llamadas a sus colegas empiezan. La incredulidad de lo que está sucediendo hacía más difícil de aceptar que el riesgo del ataque informático se había materializado y venía a gran escala. El objeto del ataque no fue un servidor, no fueron los sistemas de la administración tributaria, no fue ni siquiera la capacidad de gestión del ministerio. Literalmente, era el país el que estaba siendo atacado.
Entre las consecuencias directas del ataque para la administración tributaria vino inmediatamente la necesidad de analizar otras posibles intromisiones o intervenciones, los sistemas transaccionales fueron suspendidos. Esto significaba que no era posible, por ejemplo, inscribir contribuyentes, recibir y procesar declaraciones o recibir pagos. También que no se podía utilizar los sistemas para realizar pagos, incluyendo los pagos a proveedores. El almuerzo diario de los niños en las escuelas públicas era solo uno de los servicios que podrían haber sido interrumpidos, pero uno que nos ayuda a entender la enorme amenaza.
Sin embargo, el almuerzo diario de los niños en las escuelas, y los otros servicios y funciones del Estado no se detuvieron. La administración tributaria estableció que los 1000 grandes contribuyentes debían pagar sus impuestos aún sin los sistemas transaccionales operativos, utilizando para ello el formulario D-110, que no se usaba desde cuando las declaraciones de impuestos se hacían de forma manual. Se buscaba así asegurar la recaudación de la mayor parte de los ingresos, y para que funcione, se requería el apoyo decidido de los grandes contribuyentes, la banca y, por supuesto, los funcionarios de la administración. La medida funcionó. Fue una respuesta extraordinaria con un resultado extraordinario. Un enfoque distinto del cumplimiento cooperativo, que es bueno compartir…. y la razón de este post.
Un par de años antes, una sentencia judicial había obligado a la administración tributaria a publicar ciertos datos sobre los grandes contribuyentes. Con independencia de lo que el lector piense —si prima el secreto fiscal y la responsabilidad de resguardar la información de los contribuyentes, o el interés público por conocer los detalles de la contribución de los grandes contribuyentes, o el monitoreo de las actuaciones de la administración incluyendo los elementos que determinaron la selección de contribuyentes—, se estableció un cambio que afectaría probablemente el relacionamiento entre la administración y ese grupo de contribuyentes. Un reto o una oportunidad según se mire. Para la administración tributaria fue claramente una oportunidad, con un enfoque cooperativo y de servicios, permitiendo que las relaciones con los grandes contribuyentes mejoraran a partir de esta etapa de diálogo, lo que demostró ser determinante para lo que vendría después.
El fin de semana siguiente a la publicación del decreto que habilitaba el formulario D-110 fue, como es fácil imaginar, agitado. Se contactaron individualmente a los contribuyentes, se instruyó sobre el formulario, se interactuó con los bancos donde estos serían recibidos en ventanilla, algo que no ocurría hace años, algo que probablemente los nuevos cajeros no habían nunca visto y encontrarían anacrónico y raro. Se contactaron a auditores y gremios de contadores. Los funcionarios de la administración tributaria con la memoria histórica sobre los procesos y procedimientos manuales, junto a los de informática con la memoria de los antiguos desarrollos, se sumaron a la operación, entrenando a los nuevos. Se crearon hojas electrónicas, se habilitaron cuentas, se restauraron respaldos, se intercambiaron colectivamente seguramente cientos de llamadas y miles de mensajes. Se entregaron y recibieron los formularios y; se hicieron y recibieron los pagos de esos contribuyentes. El control vendrá después.
La experiencia nos recuerda la necesidad de escribir con buena letra en todo lo relacionado a la seguridad, al gobierno de datos y a los procesos de gestión de esos datos. No solo hay que tener una política de respaldos, ejecutarla y probarla. Hay que tener un plan de continuidad de negocio que, como ya nos lo había confirmado los últimos dos años, debe ir más allá de los sistemas de información e incluir los procesos y el rol de las personas. Pero, fundamentalmente, es bueno asimilar la idea que ver a la administración y a los administrados como dos partes enfrentadas en una confrontación permanente es una visión limitada y limitante.
Tal vez lo vivido y muy brevemente descrito en estas líneas nos ayuda, como nos lo decía en San José el Director General de Tributación de Costa Rica, a cimentar la importancia de desarrollar y consolidar una cultura de servicios que inicia por conocer a los contribuyentes y establecer una plataforma diferenciada de relacionamiento con los distintos contribuyentes. Hoy, pasada la mayor parte de la tempestad, podemos comentar la historia con una sonrisa, similar a la que tenía una funcionaria de la administración, responsable del registro de contribuyentes, cuanto nos contaba la alegría que sintieron en su área cuando regresaron a ver las pantallas de los sistemas de información operativas y en sus máquinas.
Un ejemplo más de ciudadanía que nos llega desde Costa Rica. ¡Pura vida!
Saludos y suerte
Fuente: CIAT.
¡El país bajo ataque!