Varovanie28. apríl 20267 min čítania

Vibe-codnuté Access Pointy: prečo sú hrozbou pre slovenský Peppol trh

Od prvého januára 2027 už nebude na výber. Každá firma v krajine bude musieť faktúrovať partnerom elektronicky cez Peppol — európsku sieť, cez ktorú dnes putujú dokumenty od Holandska po Maltu. A pretože sa do hry nedá nastúpiť bez poštára, ktorý vás do siete pripojí, trh poskytovateľov rastie zo dňa na deň. Finančná správa zverejňuje dva zoznamy: zoznam certifikovaných doručovateľov a zoznam kandidátov v procese akreditácie. Keď si ich prelistujete, niečo vám začne biť do očí. Niektoré z aplikácií, ktoré sa o miesto pri stole uchádzajú, boli zjavne poskladané za pár víkendov pomocou jazykového modelu. Pekné stránky, moderný dizajn, sľuby o súlade s pravidlami — ale za fasádou nie je ani stopa po tom, že by autor niekedy čítal Peppol špecifikáciu alebo vedel, čo Access Point vlastne robí.

Nikoho v texte nebudeme menovať. Cieľ je iný: upozorniť firmy a integrátorov, že byť na zozname kandidátov ešte nič neznamená — a že prevádzka digitálneho poštára sa fakt nedá zvládnuť cez víkend s pomocou ChatGPT.

🧠Rozdiel, ktorý rozhoduje

AI v rukách inžiniera vs. AI v rukách laika

Aby bolo hneď jasno: tento článok nie je proti AI. Aj ePošťák, na ktorom pracujeme my, sa píše s pomocou jazykových modelov — to dnes robí každý serióznejší softvérový tím v krajine. Otázka nestojí tak, či niekto použil AI. Otázka stojí tak, kto ju použil — a či vie, čo robí.

Skúsený programátor je s AI ako tesár, ktorému ste do dielne priniesli silnejší elektrický hoblík. Robí tú istú prácu, ktorú by zvládol aj rukou — len rýchlejšie. Vidí, keď nástroj zaberie do dreva nesprávne. Pozná moment, keď AI vymyslí riešenie, ktoré sa po mesiacoch v prevádzke vypomstí. Hotová aplikácia má potom všetko, čo má mať: kontroly vstupov, ošetrenie chýb, sledovanie prevádzky, plán pre prípad výpadku, testy, dokumentáciu.

Druhá situácia: ten istý hoblík dáte do rúk niekomu, kto nikdy v živote nepracoval s drevom. Vyrobí stôl. Stôl bude možno aj pekný. Pohľadom rozdiel nepoznáte. Až keď naň položíte ťažký taniere, zistíte, že nohy nie sú zapustené, ale nalepené. Takto vyzerá vibe-coded aplikácia: dashboard, prihlásenie, marketingová stránka, dokumentácia — všetko je tam, kým systém nedostane prvý reálny náraz. A v Peppol sieti, kde dennodenne lietajú milióny dokumentov medzi krajinami, ten náraz príde skôr ako neskôr.

Pri digitálnom poštárovi je rozdiel medzi profesionálom a hobby projektom obzvlášť bolestivý, pretože chybu už neviete potichu vrátiť späť. Faktúra, ktorá odišla so zlými údajmi, je v sieti a odberateľ ju má. Validačné pravidlo, ktoré nikto nenaprogramoval, spôsobí, že na Finančnú správu odchádza chybný report. A bez serverového sledovania prevádzky sa o probléme dozviete tak, že vám raz ráno zazvoní telefón — od nahnevaného zákazníka, alebo v horšom prípade rovno z daňového úradu.

⚠️Anatómia hrozby

Prečo je vibe-coded Access Point reálne riziko

Digitálny poštár nie je len aplikácia, do ktorej zadáte IČO a stlačíte tlačidlo. Je to infraštruktúra, cez ktorú vašej firme prejdú stovky až tisíce faktúr ročne, často so šesťcifernými alebo sedemcifernými sumami. Predstavte si, čo sa stane, keď táto infraštruktúra beží na kóde, ktorému nikto skúsený nikdy nepozrel pod kapotu.

  • Stratená alebo duplicitná faktúra. Bez ochrany pred dvojitým odoslaním — povinnej súčasti SAPI štandardu — stačí jeden sieťový výpadok a odberateľovi príde tá istá faktúra dvakrát, alebo nepríde vôbec.
  • Faktúra v zlých rukách. Bez poriadnej kontroly oprávnení sa k vašim faktúram môže dostať útočník alebo iný klient toho istého poskytovateľa. Tento typ chyby je u rýchlo postavených aplikácií veľmi bežný — autor jednoducho nedomyslel, kto má čo vidieť a kto nie.
  • Tichý výpadok. Bez sledovania prevádzky sa o tom, že váš poštár nedoručil faktúru, dozviete o týždeň — vtedy, keď klient zatelefonuje, prečo nedostal úhradu.
  • Únik dát. Faktúry obsahujú obchodné vzťahy, sumy, čísla účtov, údaje o zamestnancoch a klientoch. Bez ISO 27001 — povinnej pre všetkých Peppol AP od 1. júla 2027 — a bez serióznej bezpečnosti sú tieto dáta v ohrození. Keď k úniku dôjde, povinnosť ohlásiť to úradom (GDPR) padá na vás ako prevádzkovateľa, aj keď chyba bola u poskytovateľa.
  • Nedoručená legálna povinnosť. Od 2027 je B2B Peppol povinný. Ak váš poskytovateľ AS4 doručenie nezvládne, FS SR za nedoručenú faktúru postihuje vás, nie poskytovateľa.
  • Migrácia pod tlakom. Keď vibe-coded poskytovateľ skončí — či už preto, že nedostal akreditáciu, vyčerpal kapitál, alebo si autor uvedomil, že tomu nerozumie — budete musieť pod časovým tlakom prejsť k inému, často s desiatkami tisíc faktúr v archíve a bez garancie, že sa dajú bezbolestne preniesť.
🛡️Na čo si dať pozor

Konkrétne signály pri výbere digitálneho poštára

Marketingové stránky všetkých kandidátov vyzerajú podobne — moderný dizajn, sľuby o súlade s predpismi, obrázky pekného prostredia. Cez fasádu sa dá pozrieť cez konkrétne otázky a signály, ktoré naozaj rozhodujú o tom, či je za poskytovateľom skutočná infraštruktúra alebo len rýchlo vygenerovaná kostra.

⚠️

Nereálne nízke ceny pri plnohodnotnom Peppol AP

Prevádzka certifikovaného Peppol Access Pointu znamená ročné poplatky OpenPeppol, povinný ISO 27001 audit od júla 2027, AS4 infraštruktúru, nepretržité sledovanie prevádzky, pohotovosť inžiniera 24/7, právne poradenstvo a archiváciu faktúr na roky dopredu. Ak vám niekto ponúka plnohodnotný digitálny poštár za zlomok týchto reálnych nákladov, niečo z toho zoznamu odpadlo. Otázka pre vás: ktoré z toho chýba? A čo to bude znamenať pre vaše faktúry, keď to bude potrebné?
⚠️

Krátka história a žiadny viditeľný tím za projektom

Pozrite si, kto za firmou stojí. Koľko má rokov skúseností s prevádzkou IT systémov, s platobnými systémami alebo v regulovaných oblastiach? Akú má verejnú stopu — predchádzajúce projekty, mená ľudí v tíme, blog, referencie? Firma bez viditeľnej histórie a bez ľudí, na ktorých sa dá spojiť, je signál — najmä keď ide o infraštruktúru, ktorá má držať vaše faktúry päť rokov dopredu.
⚠️

„V akreditácii“ alebo „prešli sme testovaním“ ako jediný dôkaz kvality

Testbed je vstupenka, nie známka kvality. Overuje len, že technické odosielanie a prijímanie funguje. Neoveruje validáciu podľa §74 zákona o DPH, archiváciu, obnovu po výpadku, bezpečnostnú zrelosť ani kvalitu integračného rozhrania. Poskytovateľ, ktorý ako jedinú referenciu uvádza „prešli sme všetkými testovacími scenármi“, ukazuje, že urobil minimum.
⚠️

Žiadna verejná stránka so stavom služby, žiadna zmluva s konkrétnymi číslami

Vážny poskytovateľ má verejnú stránku, kde vidíte reálnu dostupnosť služby (nie marketingových „99,99 %“) a v zmluve má jasne zapísané, akú dostupnosť garantuje, ako rýchlo reaguje na výpadky a čo dostanete, keď podmienky poruší. Ak takáto zmluva chýba alebo sú jej podmienky vágne, znamená to, že poskytovateľ neplánuje brať zodpovednosť, keď príde výpadok.
⚠️

Žiadny plán pre ISO 27001 — najsilnejší filter na trhu

Uistite sa, že váš digitálny poštár ISO/IEC 27001 certifikát už má, alebo má jasný, dátumovaný plán, ako ho získa do 1. júla 2027. Toto bude od nového roka základná požiadavka pre všetkých Peppol Access Pointov a podľa nás je to najefektívnejší filter, ktorý oddelí seriózneho poskytovateľa od vibe-coded aplikácie.

ISO 27001 audit pozerá hlboko pod kapotu: pravidlá zaobchádzania s rizikami, kontrola prístupov, šifrovanie, sledovanie prevádzky, postup pri bezpečnostných incidentoch, plán na obnovu prevádzky po výpadku, výber dodávateľov, personálne procesy. Poskytovateľ, ktorý si aplikáciu vygeneroval cez víkend pomocou AI, týmto auditom jednoducho neprejde — nemá to ako spísať, ako zaviesť ani ako udržať. Auditor sa neuspokojí s tým, že „máme heslo na produkčný server“.

Otázka pre kandidáta: máte ISO 27001? Ak nie, do kedy budete mať a kto je auditor? Plán bez konkrétnych termínov a bez mena auditora znamená, že to reálne ešte neriešia — a to je vážny signál.

Tejto téme sme sa venovali podrobnejšie v článkoch ISO 27001 povinnosť pre digitálnych poštárov od 2027 a Koľko stojí stať sa digitálnym poštárom (vrátane ISO auditu).

⚠️

Vyhýbavé odpovede na technické otázky

Spýtajte sa kandidáta: „Čo sa stane, keď cieľový Access Point je nedostupný a faktúru sa nepodarí doručiť?“, „Ako máte zabezpečené, že keď zlyhá sieť a klient pošle tú istú faktúru znova, nevzniknú dve?“, „Kde sú archivované moje faktúry a ako ich obnovíte, keď spadne hlavný server?“ Inžinier, ktorý vie, čo robí, vám odpovie konkrétne. Niekto, kto aplikáciu len opísal AI, vám pošle marketingový text alebo odbočí na inú tému.
⚠️

Žiadna reálna referencia, len pilot a demo

Pýtajte si konkrétnu slovenskú firmu, ktorá poskytovateľa už používa a má za sebou aspoň niekoľko tisíc reálnych Peppol transakcií — odoslaných aj prijatých, validovaných v ostrých podmienkach. Nie demo, nie pilot, nie „testovacia prevádzka“. Skutočná produkcia s reálnym klientom.
⚠️

Neexistujúci alebo nejasný export dát

Vaše faktúry musia ostať vaše. Spýtajte sa: „Ako vyzerá export všetkých mojich faktúr, keď s vami skončíme? V akom formáte? Za aký čas?“ Ak odpoveď znie „napíšte nám na podporu“ alebo „pošleme vám tabuľku“, ste na poskytovateľovi závislí. Pripravený poskytovateľ má export priamo v aplikácii (UBL XML, PDF, tabuľka) — všetko si stiahnete sami, kedykoľvek, bez asistencie.
🔍Čo Finančná správa kontroluje

FS SR sa pri akreditácii pozerá len na testbed

Predpoklad pre akreditáciu digitálneho poštára na Slovensku je úspešný OpenPeppol testbed — sériu scenárov, ktoré overujú, že žiadateľ vie cez AS4 protokol odoslať a prijať UBL dokument a vrátiť technické potvrdenia (MLR/AP/RE).

Testbed je nutná podmienka — ale je to strop, nie strop kvality. Overuje len, že transport vrstva (Oxalis, alebo iná Java AP knižnica) funguje. Neoveruje:

  • kvalitu integračného API, ktoré integrátori reálne používajú,
  • správnosť validácie podľa §74 zákona o DPH,
  • retentenciu dokumentov a obnova po výpadku pri výpadku,
  • bezpečnostnú konfiguráciu (TLS, šifrovanie pri odpočinku, MFA),
  • súlad s ISO/IEC 27001 (povinné pre všetkých Peppol AP od 1. júla 2027 — viac v článku ISO 27001 pre digitálnych poštárov),
  • kontinuitu prevádzky, nepretržité sledovanie prevádzky, pohotovosť inžiniera, záznam o všetkých zmenách a archiváciu.

Inými slovami: poskytovateľ môže prejsť testbedom a stále prevádzkovať aplikáciu, ktorej kód napísal jeden človek za víkend pomocou AI generátora, bez akejkoľvek kontroly, bez sledovania prevádzky a bez plánu, čo robiť keď sa veci pokazia.

🚧Rýchlo poskladaná aplikácia

Ako to vyzerá v praxi

Vibe-coded je výraz, ktorý vznikol v komunite vývojárov a označuje aplikáciu, ktorá je rýchlo poskladaná pomocou AI nástrojov. Vyzerá moderne, má pekný marketing — ale za fasádou chýba skutočné pochopenie odboru. Autor nedokáže vysvetliť, prečo systém niečo robí takto a nie inak, pretože sa to nikdy reálne nezamyslel — len akceptoval prvú odpoveď, ktorú mu ponúkol asistent.

Pri digitálnom poštárovi to môže vyzerať takto:

⚠️

Marketing tvrdí „SAPI-SK kompatibilné“, realita je iná

Slovenský štandard SAPI je verejný a presne definuje tvar požiadaviek, povinné polia, formát chybových odpovedí a stavové kódy. Rýchlo poskladaná aplikácia má koncové body s tými istými názvami, ale za nimi sa skrýva nedotiahnutá kostra: vstupy nie sú riadne kontrolované, chybové odpovede majú náhodný tvar, povinné hlavičky sú voliteľné. Marketing je v poriadku, napojenie na cudziu aplikáciu v praxi nefunguje.
⚠️

Konkrétny príklad: aplikácia, ktorá vám dovolí napísať si vlastné Peppol ID

Nemenujeme nikoho. Ale jeden z aktuálnych kandidátov má v nastaveniach toto:

Screenshot z konkurenčnej aplikácie: pole Peppol Participant ID je voľný textový vstup s placeholderom 9945:SK2020000000
Skutočný screenshot z prostredia jedného z verejne dostupných digitálnych poštárov v procese akreditácie. Pole „Peppol Participant ID“ je voľný textový vstup, placeholder ponúka schému 9945:SK2020000000.

Pole Peppol Participant ID je tu ako obyčajný textový vstup. Bez kontroly, bez väzby na DIČ firmy, bez čokoľvek. Placeholder navrhuje schému 9945:SK2020000000 — ktorá pre Slovensko nikdy neplatila.

A teraz prečo je to vážne. Slovenské Peppol Participant ID je v špecifikácii pevne dané v jednej jedinej forme: 0245:DIČ. Žiadne iné schémové prefixy, žiadne kreatívne variácie. Identifikátor musí byť v aplikácii pevne zostavený z DIČ firmy, ktoré poskytovateľ overil pri registrácii cez Finančnú správu. Nesmie sa dať prepísať. A už vôbec sa do toho poľa nesmie dostať cudzie číslo — pretože v ten moment môže firma odoslať faktúru pod identitou niekoho iného, alebo začne prijímať faktúry, ktoré jej nepatria.

A teraz to najlepšie. Ten istý poskytovateľ má aj onboarding wizard, ktorý nového používateľa prevedie prvými krokmi. Tam zase pole „Peppol Participant ID“ s úplne iným placeholderom:

Screenshot z onboarding wizardu toho istého kandidáta: pole Peppol Participant ID s placeholderom 0106:SK2020123456 a popisom 'Formát: 0106:SK2020123456'
Onboarding wizard toho istého poskytovateľa. Tu aplikácia odporúča schému 0106:SK2020123456 — ktorá v Peppol katalógu identifikátorov tiež neexistuje a pre Slovensko nikdy neplatila.

Dve obrazovky tej istej aplikácie. Dva rôzne nesprávne formáty. Žiadna z nich nezodpovedá tomu, čo Peppol reálne vyžaduje pre Slovensko — 0245:DIČ. Autor evidentne nečítal slovenskú špecifikáciu, ani Peppol Policy for use of Identifiers, kde je presne napísané, ktoré schémy sú platné. AI mu vygenerovala formulár, on doplnil „nejaké“ čísla a šiel ďalej.

A nejde tu len o toto jedno pole. Tu ide o nebezpečný precedens. Ak takéto pole prejde do produkcie u kandidáta, ktorý sa uchádza o akreditáciu, znamená to, že rovnaké zhovievavé „nech si používateľ dosadí, čo chce“ prešlo aj cez ďalšie kontrolné body, ktoré nevidíme: validáciu vstupov na API, kontrolu oprávnení, formát chybových odpovedí, ošetrenie sieťových výpadkov, archiváciu, šifrovanie, reportovanie na Finančnú správu. Toto pole nie je bug — je to ukážka, ako celá aplikácia vznikla: niekto ju vibe-codol bez toho, aby čítal čokoľvek, a čo prešlo do živej verzie, je to, čomu jazykový model nepovedal nie.

Ak sa reálne rozhodnete pre takéhoto digitálneho poštára, nečakajte, že vám raz pošle faktúru bez toho, aby sa cestou niečo nezlomilo. Drobnosti, ktoré špecifikácia rieši explicitne, ale tu chýbajú, sa časom prejavia — faktúry, ktoré nedôjdu; odoslania, ktoré skončia v chybovej hláške bez vysvetlenia; identifikátory, pod ktorými vás protistrana nenájde. A keď k tomu raz dôjde, nebudete to riešiť so support tímom, ktorý vie, čo robí — budete to riešiť s človekom, ktorý napíše do AI „aký je problém“ a pošle vám to, čo mu vypľuje.

Ruky preč od takéhoto poskytovateľa. Niet kde si overiť, či to, čo dnes funguje aspoň na pohľad, bude fungovať aj pri prvom skutočnom probléme.

Dávajte si veľký pozor, koho si volíte ako digitálneho poštára. Ak v nastaveniach uvidíte voľné textové pole pre Peppol ID, je to signál, že autor slovenskú špecifikáciu nečítal — a je len otázkou času, kedy sa to prejaví na vašich faktúrach.

⚠️

Žiadny plán pre incident, výpadok ani obnovu prevádzky

Skutočný digitálny poštár vie, čo sa stane keď spadne databáza, keď zlyhá doručenie cez Peppol sieť, keď klient pošle prílohu väčšiu ako gigabajt alebo keď príde hromadný útok. Rýchlo poskladaný poskytovateľ vám to nepovie — pretože to nikdy neriešil a nikto sa ho na to nepýtal.
⚠️

Nereálne nízke ceny bez pokrytia nákladov

Prevádzka certifikovaného Peppol Access Pointu znamená ročné poplatky OpenPeppol, audit ISO 27001, infraštruktúru, nepretržité sledovanie prevádzky, pohotovosť inžiniera, právnu prípravu a archiváciu. Ak vám niekto ponúka plnohodnotného digitálneho poštára za zlomok týchto nákladov, niečo z toho zoznamu odpadlo. Otázka pre vás: ktoré z toho chýba a čo to bude znamenať pre vaše faktúry, keď to bude potrebné?
⚠️

Citlivé dáta v rukách firmy, ktorá nemá žiadnu históriu

Vaše fakturačné dáta sú citlivé — obsahujú obchodné vzťahy, sumy, čísla účtov, údaje o klientoch. Po zatvorení poskytovateľa zostávajú v rukách niekoho, kto si aplikáciu pred pol rokom vygeneroval. Pozrite si verejnú stopu firmy: predchádzajúce projekty, ako dlho pôsobí, či už niekedy spravovala citlivé dáta klientov, aké má referencie. Bez týchto vecí neviete, komu zverujete päťročný archív faktúr.
💥Dôsledky pre klienta

Čo sa môže stať keď to dopadne zle

Toto nie je teória. Pri zle navrhnutom digitálnom poštárovi môžete reálne naraziť na:

  • Stratenú alebo duplicitnú faktúru. Ak aplikácia nemá idempotency kontrolu, jedna sieťová chyba a faktúra ide odberateľovi dvakrát — alebo vôbec.
  • Nedoručenú legálnu povinnosť. Od 2027 je Peppol povinný. Ak váš poskytovateľ AS4 doručenie nezvládne, FS SR za nedoručenú faktúru postihuje vás, nie poskytovateľa.
  • Únik citlivých dát. Bez ISO 27001 a bez serióznej bezpečnosti sú vaše obchodné údaje v ohrození. Keď k bezpečnostnej udalosti dôjde, povinnosť ohlásiť to úradom (GDPR) padá na vás ako prevádzkovateľa, aj keď chyba bola u poskytovateľa.
  • Slepú stenu pri probléme. Keď príde problém v 2027 a poskytovateľ nemá tím podpory, inžiniera v pohotovosti ani jasný postup, dostanete iba automatickú odpoveď a budete čakať dni, kým sa niekto ozve — ak vôbec.
  • Migráciu pod tlakom. Ak váš poskytovateľ skončí (nedostane akreditáciu, vyčerpá peniaze alebo sa jednoducho zatvorí), budete musieť prejsť k inému — často s desiatkami tisíc faktúr v archíve a bez záruky, že ich exportuje vo formáte, ktorý sa dá bezbolestne preniesť.
✉️Záver

Akreditácia je len začiatok

Tento článok nemá nikoho odhovoriť od konkrétneho mena. Má upozorniť, že trh sa práve teraz triedi — a rozdiely v kvalite budú väčšie, ako mnohé firmy očakávajú. Kto bude v januári 2027 v zozname akreditovaných poštárov, nemusí byť ten istý poskytovateľ, ku ktorému sa dá v pokoji prihlásiť na päť rokov dopredu — a páliť na ňom svoju fakturáciu.

Pri výbere sa preto netreba pozerať len na pekné stránky. Pozrite sa na tím za projektom. Na históriu firmy. Na to, či poskytovateľ vie do očí povedať, prečo robí veci tak, ako ich robí, a čo urobí, keď niečo zlyhá. Ak namiesto odpovede dostanete marketingovú frázu, je to signál — a vy si zaslúžite radšej hľadať ďalej.

ePošťák staviame tak, aby vaše faktúry prešli bez komplikácií — dnes, o päť rokov, aj keď sa niečo pokazí. Náš prístup k veci nájdete v článkoch o ISO 27001 povinnosti pre digitálnych poštárov a o reálnych nákladoch na prevádzku Peppol Access Pointu.

začnite

Aktivujte si Peppol schránku zdarma

Registrácia trvá 1 minútu. Bez viazanosti, bez kreditnej karty.

Bezplatne do konca roka 2026

Platí pre webové rozhranie (portál). Enterprise API pre integrátorov sa účtuje podľa objemu dokumentov.

Mám záujem