Rumuński system RO e-Factura, podobnie jak polski KSeF i włoski SdI, działa w modelu scentralizowanego clearance. Jednak na poziomie technicznym jego architektura różni się od rozwiązania przyjętego w Polsce.
Rumunia – RO e-Factura
Audyt techniczny warstwy brzegowej i jurysdykcji
1. Kroki techniczne (PowerShell Windows: komenda → wynik)
Krok 1. DNS – CNAME
Sprawdzenie, czy bramka aplikacyjna systemu RO e-Factura jest aliasem do zewnętrznej infrastruktury CDN/WAF.
Resolve-DnsName app.anaf.ro -Type CNAME
Wynik:
Name: anaf.ro
Type: SOA
PrimaryServer: ns3
NameAdministrator: hostmaster.mfinante.ro
Brak rekordu CNAME. Zamiast aliasu do zewnętrznej infrastruktury zwracany jest rekord SOA domeny administracji skarbowej.
Krok 2. DNS – rekord A
Ustalenie, gdzie faktycznie trafia ruch sieciowy.
Resolve-DnsName app.anaf.ro -Type A
Wynik:
app.anaf.ro A 194.50.174.94
Adres IP należy do krajowej / instytucjonalnej puli adresowej, a nie do globalnych operatorów CDN/WAF.
Krok 3. Reverse DNS (PTR)
nslookup 194.50.174.94
Wynik:
Non-existent domain
Brak PTR jest typowy dla infrastruktury instytucjonalnej i nie wskazuje na obecność globalnego CDN.
Krok 4. HTTP HEAD – nagłówki odpowiedzi
Invoke-WebRequest -Uri https://app.anaf.ro -Method Head
Wynik (istotne elementy):
HTTP/1.1 200 OK
Keep-Alive: timeout=10, max=99
Connection: Keep-Alive
Content-Type: text/html
W nagłówkach brak jakichkolwiek fingerprintów CDN/WAF (Cloudflare, Akamai, Imperva).
Krok 5. TLS – certyfikat (terminacja połączenia)
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
$tcp = New-Object Net.Sockets.TcpClient("app.anaf.ro",443)
$ssl = New-Object Net.Security.SslStream($tcp.GetStream(),$false,({$true}))
$ssl.AuthenticateAsClient("app.anaf.ro")
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
$cert.Subject
$cert.Issuer
Wynik:
SUBJECT: CN=*.anaf.ro
ISSUER: CN=RapidSSL TLS RSA CA G1, O=DigiCert Inc, C=US
Certyfikat wildcard jest wystawiony bezpośrednio na domenę ANAF. Zewnętrzny podmiot pełni wyłącznie rolę urzędu certyfikacji.
2. Zestawienie wyników (techniczne)
| Element | Rumunia |
|---|---|
| System | RO e-Factura |
| Model | Centralny clearance |
| Audytowany host | app.anaf.ro |
| Bramka WAF / Edge | Brak wykrywalnej zewnętrznej bramki |
| Własność infrastruktury | ANAF / Ministerstwo Finansów |
| Charakter właściciela | Państwo rumuńskie |
| Jurysdykcja prawna | Rumunia / UE |
| Czy ruch przechodzi przez podmiot zagraniczny | NIE |
3. Wnioski opisowe
Rumuński system RO e-Factura, podobnie jak polski KSeF i włoski SdI, działa w modelu scentralizowanego clearance. Jednak na poziomie technicznym jego architektura różni się od rozwiązania przyjętego w Polsce.
Ruch sieciowy do systemu RO e-Factura trafia bezpośrednio do infrastruktury administracji skarbowej ANAF. Nie wykryto obecności zagranicznej bramki bezpieczeństwa (CDN/WAF), przez którą musiałby przechodzić cały ruch pomiędzy podatnikami a państwowym systemem fakturowania.
Oznacza to, że techniczna kontrola nad wejściem do systemu RO e-Factura znajduje się w całości w jurysdykcji rumuńskiej i unijnej. Zewnętrzne podmioty nie pośredniczą w transmisji danych ani w egzekwowaniu reguł dostępu do systemu.
Pod tym względem Rumunia, podobnie jak Włochy, zachowała pełną kontrolę państwową nad warstwą brzegową swojego systemu fakturowania elektronicznego, co stanowi istotny kontrast wobec architektury zastosowanej w polskim KSeF.