تسجيل الدخول
ابدأ مجانًا الآن
تسجيل الدخول
ابدأ مجانًا الآن
← المدونةBLOG →

التوقيع الإلكتروني على الفاتورة الإلكترونية: دليل ZATCA الشامل 2026

منذ دخول المرحلة الثانية من الفوترة الإلكترونية حيّز التنفيذ في المملكة العربية السعودية، لم يعد التوقيع الإلكتروني على الفاتورة الإلكترونية اختيارًا تقنيًا — صار شرطًا قانونيًا لقبول الفاتورة من هيئة الزكاة والضريبة والجمارك (ZATCA).

والمشكلة أن كثيرًا من أصحاب المنشآت في الرياض وجدة والدمام يخلطون بين التوقيع الإلكتروني العام والختم الإلكتروني (Cryptographic Stamp) الذي تطلبه ZATCA تحديدًا في فواتير B2B. النتيجة: فواتير مرفوضة، ربط متعطّل مع منصة فاتورة، وغرامات قد تصل إلى آلاف الريالات.

هذا الدليل يفكّ هذا الالتباس بطريقة عملية: ما الفرق بين التوقيع الرقمي والختم الإلكتروني؟ ما هي شهادة CSID؟ كيف يُحقَن التوقيع داخل ملف XML للفاتورة بصيغة UBL 2.1؟ وكيف يقوم برنامج قيود بكل هذا تلقائيًا دون أن تكتب سطرًا برمجيًا واحدًا.

ما هو التوقيع الإلكتروني على الفاتورة الإلكترونية؟

التوقيع الإلكتروني هو بيانات رقمية تُرفق بالفاتورة لإثبات هوية المُصدِر وضمان عدم التلاعب بها بعد الإصدار. عمليًا، هو «ختم رقمي» مرتبط بمحتوى الفاتورة بطريقة تكشف فورًا أي تعديل لاحق — حتى لو كان رقم فاصلة عشرية واحد.

في سياق الفاتورة الإلكترونية الخاضعة لرقابة ZATCA، التوقيع ليس مجرد «صورة توقيع» ممسوحة ضوئيًا. المطلوب هو ربط رياضي مشفّر بين بيانات الفاتورة وشهادة رقمية معتمدة، يمكن لأي طرف ثالث (الهيئة، العميل، المراجع) التحقق منه بشكل مستقل.

لماذا أصبح إلزاميًا؟ لثلاثة أهداف صريحة من رؤية المملكة 2030:

  • منع التزوير في الفاتورة الضريبية وحماية حقوق المشتري والبائع.
  • تمكين ZATCA من التحقق الفوري من صحة كل فاتورة تُصدَر داخل المملكة.
  • إغلاق الفجوة الضريبية وتقليل التهرّب من ضريبة القيمة المضافة بنسبة 15%.

الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والختم الإلكتروني

هذه التفرقة هي أكثر نقطة يخطئ فيها أصحاب المنشآت. ثلاث مفاهيم متشابهة لكنها قانونيًا وتقنيًا مختلفة:

المصطلح الإنجليزية المستوى التقني الاستخدام في ZATCA المرحلة الثانية
توقيع إلكتروني عام Electronic Signature أي وسيلة رقمية للموافقة (زر، رمز، صورة) غير كافٍ — مرفوض
توقيع رقمي Digital Signature تشفير قائم على شهادة رقمية ومفتاح خاص إلزامي لفواتير B2B الضريبية
ختم إلكتروني تشفيري Cryptographic Stamp توقيع رقمي مُولَّد من شهادة CSID صادرة من ZATCA مباشرة هو المعيار الفعلي المطلوب من الهيئة

الخلاصة: حين تتحدث ZATCA عن «التوقيع» على فاتورة المرحلة الثانية، فهي تقصد الختم الإلكتروني التشفيري (Cryptographic Stamp) المُولَّد من شهادة CSID. كل ما هو أقل من ذلك يتم رفضه على مستوى منصة فاتورة.

ZATCA — تمييز المصطلحات

ثلاث طبقات للتوقيع.. ZATCA تقبل واحدة فقط

المعيار توقيع إلكتروني عام ختم تشفيري CSID
الأساس التقني سطحي
صورة توقيع، زر «أوافق»، أو رمز PIN دون تشفير قائم على شهادة.		 قائم على PKI
شهادة CSID صادرة من ZATCA + مفتاح خاص فريد لكل وحدة إصدار.
حماية محتوى الفاتورة قابل للتلاعب
لا يكشف أي تعديل على الأرقام أو التواريخ بعد الإصدار.		 SHA-256 + PIH
أي تعديل يكسر سلسلة Hash لكل الفواتير اللاحقة فورًا.
قبول منصة فاتورة مرفوض
الفاتورة B2B تُرفض آليًا ولا يستطيع المشتري خصم 15% ضريبة.		 Clearance ناجح
تُحقن داخل XML بصيغة UBL 2.1 وتُختم لحظيًا قبل تسليمها للعميل.
الحجية القانونية محدودة
لا تُعامَل كوثيقة أصلية أمام المحاكم التجارية في النزاعات.		 معتمدة
تساوي التوقيع اليدوي وفق نظام التعاملات الإلكترونية (مرسوم م/18).
المصدر: اللوائح التنفيذية لهيئة الزكاة والضريبة والجمارك ZATCA — المرحلة الثانية.
اقرأ أيضًا: تنبيه عند تكرار بيانات العميل

المتطلبات النظامية للتوقيع الإلكتروني بحسب ZATCA

حدّدت هيئة الزكاة والضريبة والجمارك متطلبات فنية صارمة ومُلزمة، تُراقَب آليًا عبر منصة فاتورة (Fatoora). المتطلبات تختلف بحسب المرحلة ونوع الفاتورة:

المتطلبات النظامية للتوقيع الإلكتروني بحسب هيئة الزكاة والضريبة والجمارك

1. مرحلة الإصدار (Phase 1)

لا يُطلب توقيع تشفيري. يُكتفى بـ:

  • إصدار الفاتورة من نظام إلكتروني متوافق (لا يدوي ولا Excel).
  • عناصر الفاتورة الضريبية الكاملة (الرقم الضريبي، التاريخ، QR code للفاتورة المبسطة).
  • تخزين النسخة بصيغة قابلة للأرشفة لمدة 6 سنوات على الأقل.

2. مرحلة الربط والتكامل (Phase 2)

هنا تتغيّر القواعد جذريًا. التوقيع الإلكتروني (الختم التشفيري) إلزامي على كل فاتورة ضريبية B2B قبل إرسالها للهيئة. المتطلبات:

  • شهادة CSID (Cryptographic Stamp Identifier) صادرة من ZATCA لكل جهاز إصدار.
  • توليد التوقيع تلقائيًا داخل النظام المحاسبي عند إنشاء كل فاتورة.
  • ارتباط التوقيع بمفتاح خاص فريد، غير قابل للنقل أو النسخ.
  • تضمين التوقيع داخل ملف الفاتورة بصيغة XML — UBL 2.1.
  • إرسال الفاتورة إلى منصة فاتورة عبر API (Clearance لـ B2B، Reporting لـ B2C).

أي إخلال بأحد هذه المتطلبات يعني رفض الفاتورة آليًا — لا يصدرها النظام أصلًا، ولا يمكن للعميل قيدها كمصروف خاضع لخصم ضريبي.

متطلبات إلزامية — Phase 2

ما يجب توفّره قبل أول فاتورة B2B تُرسَل لـ ZATCA

قائمة أساسية يقيس عليها فريق منصة فاتورة (Fatoora) جاهزية كل وحدة إصدار قبل منح Production CSID. أي عنصر مفقود = رفض آلي على API.

  • شهادة CSID صادرة من ZATCA لكل وحدة إصدار EGS مستقلة.
  • توليد ختم تشفيري تلقائي عند حفظ كل فاتورة B2B.
  • مفتاح خاص فريد غير قابل للنقل أو النسخ خارج النظام.
  • ملف XML بصيغة UBL 2.1 يحتوي عنصر cac:Signature.
  • QR code بترميز TLV على نسخة العميل من الفاتورة.
  • سلسلة PIH تربط كل فاتورة بالـ Hash السابق دون انقطاع.
  • تكامل Clearance API لـ B2B وReporting لـ B2C عبر Fatoora.
  • أرشفة كل فاتورة مُوقّعة لمدة لا تقل عن 6 سنوات.
المصدر: متطلبات الالتزام الفنية — هيئة الزكاة والضريبة والجمارك (ZATCA).

اقرأ أيضًا: تنبيه عند تكرار بيانات العميل أثناء إنشاء مستند تجاري
 

شهادة CSID: قلب التوقيع الإلكتروني في المرحلة الثانية

شهادة CSID أو «مُعرّف الختم التشفيري» هي الشهادة الرقمية التي تُصدرها ZATCA لكل وحدة إصدار فواتير (EGS — E-Invoice Generation Solution) في منشأتك. هي ما يجعل الختم الإلكتروني «معترفًا به» لدى الهيئة.

كيف تحصل على شهادة CSID خطوة بخطوة

  1. الـ Onboarding مع منصة فاتورة: الدخول على بوابة Fatoora ببيانات المنشأة وطلب OTP يستخدمه نظامك المحاسبي.
  2. إنشاء CSR (Certificate Signing Request): النظام المحاسبي يُولّد طلب توقيع شهادة محليًا ويُرفقه مع OTP.
  3. استلام Compliance CSID: شهادة مؤقتة تُستخدم لاختبار إصدار 6 فواتير عيّنة (Standard, Simplified, Credit Note، إلخ).
  4. اجتياز Compliance Checks: إرسال الفواتير الستة عبر API، وعند نجاحها ZATCA تُصدر الشهادة الفعلية.
  5. استلام Production CSID: هذه هي الشهادة التي تُستخدم بعد ذلك لختم كل فاتورة حقيقية.

صلاحية الشهادة وتجديدها

شهادة Production CSID صالحة لمدة سنة (365 يومًا). تجاوز هذه المدة دون تجديد يعني: لا توقيع → لا فاتورة مقبولة → خط الإصدار متوقف. ولهذا يجب أتمتة التذكير بالتجديد قبل 30 يومًا من الانتهاء على الأقل.

كيف يُحقَن التوقيع داخل XML الفاتورة (UBL 2.1)

الفاتورة الإلكترونية في المرحلة الثانية ليست PDF، ولا صورة، ولا حتى Excel. هي ملف XML يتبع معيار UBL 2.1 (Universal Business Language) المعتمد دوليًا. التوقيع الإلكتروني يُضاف داخل هذا الملف في موقع محدد وبخوارزمية محددة.

الخطوات التقنية لتوليد الختم

  1. توليد Invoice Hash باستخدام خوارزمية SHA-256 على بيانات الفاتورة الكاملة.
  2. تشفير الـ Hash بالمفتاح الخاص (Private Key) المرتبط بشهادة CSID.
  3. إنتاج Cryptographic Stamp بترميز Base64.
  4. إدراج الختم داخل عنصر <cac:Signature> في XML.
  5. إضافة QR Code يحتوي على بيانات الفاتورة + الختم بترميز TLV.
  6. ربط كل فاتورة بـ PIH (Previous Invoice Hash) لتشكيل سلسلة لا يمكن العبث بها.

هذه السلسلة من الـ PIH هي ما يجعل الفواتير في ZATCA Phase 2 تشبه دفتر بلوكشين صغيرًا — أي تعديل في فاتورة قديمة سيُكسر الـ Hash لكل الفواتير اللاحقة، وستكتشف الهيئة الانتهاك فورًا.

الإطار القانوني للتوقيع الإلكتروني في السعودية

التوقيع الإلكتروني في المملكة محكوم بأربع مرجعيات قانونية مترابطة. فهمها يحميك من المفاجآت في النزاعات التجارية:

  • نظام التعاملات الإلكترونية: الصادر بمرسوم ملكي رقم م/18 لسنة 1428هـ — يُسوّي قانونيًا التوقيع الإلكتروني الموثّق بالتوقيع اليدوي.
  • اللوائح التنفيذية لهيئة الزكاة والضريبة والجمارك: تحدد التزامات التوقيع لكل نوع فاتورة (Standard / Simplified) ولكل مرحلة.
  • المركز الوطني للتصديق الرقمي (NCDC): الجهة المنوط بها إصدار شهادات التوقيع الرقمي للجهات الحكومية وتوثيق مزودي خدمات الثقة.
  • هيئة الاتصالات والفضاء والتقنية (CST): تشرف على ترخيص مزودي خدمات التصديق الرقمي.

قانونيًا، الفاتورة المُوقّعة بختم تشفيري سليم تُعامَل كوثيقة أصلية يحتجّ بها أمام المحاكم التجارية، ولا يمكن للمشتري إنكار استلامها أو الادعاء بتزويرها بسهولة.

أمثلة عملية من السوق السعودي

مثال 1: مطعم في الرياض

مطعم وجبات سريعة يُصدر يوميًا 800 فاتورة B2C للعملاء + 5 فواتير B2B لشركات التموين. الأولى (مبسطة) تحتاج توقيع وQR code فقط. الثانية (ضريبية) تحتاج ختم تشفيري كامل + إرسال فوري لـ ZATCA عبر Clearance API. لو فاتورة B2B واحدة دون ختم، الشركة المشترية لا تستطيع خصم ضريبتها (15% × المبلغ) — وستُلزم المطعم بتعديلها أو تتجنّب التعامل معه مستقبلًا.

مثال 2: شركة استشارات في جدة

شركة استشارات تُصدر 30 فاتورة شهريًا بقيمة متوسطة 25,000 ريال (ضريبة 3,750 ريال للفاتورة الواحدة). نسيان تجديد شهادة CSID لأسبوع واحد = 7 فواتير لا يمكن إصدارها = 175,000 ريال إيرادات معلّقة + احتمال غرامة بسبب التأخير في الإصدار.

مثال 3: متجر إلكتروني في الدمام

متجر يبيع لأفراد ومنشآت. الحلّ التقني الصحيح: نظام محاسبي يُميّز تلقائيًا نوع العميل (فرد/منشأة) ويُصدر فاتورة مبسطة موقّعة + QR للأول، وفاتورة ضريبية مختومة + Clearance للثاني — كل ذلك بزر واحد دون تدخل بشري.

كيف يُعالج برنامج قيود التوقيع الإلكتروني تلقائيًا

كل ما سبق — CSID، XML، UBL 2.1، Hash، PIH، Clearance API — يبدو معقّدًا لأنه فعلًا كذلك. لهذا تكامل قيود مع ZATCA مصمَّم ليُخفي هذا التعقيد عنك بالكامل:

  • Onboarding بثلاث نقرات: تُدخل بيانات المنشأة وOTP من فاتورة، وقيود تتولّى توليد CSR واستخراج Compliance ثم Production CSID.
  • توقيع تلقائي لكل فاتورة: بمجرد ضغط «حفظ» على الفاتورة، النظام يُولّد Hash، يُنشئ Cryptographic Stamp، يُدرجه في XML بصيغة UBL 2.1، ويُرسله لـ ZATCA.
  • QR Code جاهز: يُطبع تلقائيًا على نسخة العميل بترميز TLV الصحيح.
  • تنبيه قبل انتهاء الشهادة: رسالة مسبقة قبل 30 يومًا من تجديد CSID.
  • سجل PIH كامل: ربط الفواتير بسلسلة لا يمكن كسرها.
  • دعم Clearance + Reporting: الفواتير B2B تُرسَل لحظيًا، B2C تُرفع خلال 24 ساعة كما تشترط الهيئة.

النتيجة: صاحب المنشأة لا يحتاج معرفة كلمة «XML» أصلًا. يفتح قيود، يُصدر الفاتورة، ويتفرّغ لإدارة عمله.

أنواع التوقيع الإلكتروني المعتمد في أنظمة الفوترة

عند تقييم نظام محاسبي لاعتماده على ختم ZATCA المعتمد، تأكد من هذه الفروقات:

1. التوقيع الإلكتروني العام (Electronic Signature)

صورة توقيع، زر «أوافق»، رمز PIN. مناسب فقط للوثائق غير الحساسة. غير معتمد لدى ZATCA ولا يصلح للفواتير الضريبية B2B.

2. التوقيع الرقمي القائم على شهادة (Digital Signature with Certificate)

تشفير قائم على PKI (Public Key Infrastructure) باستخدام شهادة من مزود خدمات تصديق رقمي مرخّص. صالح لتوقيع العقود والمستندات الرسمية في السعودية، لكنه ليس بديلًا مباشرًا عن CSID لأغراض الفاتورة.

4. الختم الإلكتروني التشفيري (Cryptographic Stamp via CSID)

المعيار الفعلي المطلوب من ZATCA. شهادة CSID + توقيع XML بـ UBL 2.1 + ربط بـ Hash. هذا — وفقط هذا — يُقبل في المرحلة الثانية.

أخطاء شائعة عند تطبيق التوقيع الإلكتروني

ست أخطاء نراها يوميًا في الميدان السعودي — كلها قابلة للتجنّب:

  1. استخدام صورة توقيع ممسوحة كبديل: رفض فوري من ZATCA. لا يحلّ محل الختم التشفيري إطلاقًا.
  2. توقيع جزء من الفاتورة لا كاملها: الختم يجب أن يُغطّي كل بيانات الفاتورة (التاريخ، المبالغ، الرقم الضريبي، البنود)، وإلا لا يمكن للهيئة التحقق.
  3. إهمال تجديد شهادة CSID: الشهادة لها صلاحية سنة. تجاوزها = توقّف خط الإصدار بالكامل.
  4. تكامل غير مُختبَر مع منصة فاتورة: عدم اختبار الـ 6 فواتير العيّنة يعني فشل الـ Onboarding من الأساس.
  5. اختيار مزود غير معتمد من NCDC أو CST: أي شهادة من جهة غير مرخّصة = شهادة لاغية أمام ZATCA.
  6. عدم الاحتفاظ بسجل PIH: كسر سلسلة Hash يجعل الفواتير اللاحقة كلها مشكوكًا فيها قانونيًا.

الحل العملي: اختر برنامج فواتير إلكترونية معتمد وموثّق التكامل مع ZATCA، وتأكّد أنه يُدير CSID والـ PIH تلقائيًا.

أبرز مزودي خدمات التوقيع الإلكتروني في السعودية

لتوقيع المستندات العامة (عقود، اتفاقيات، تراخيص) — لا فواتير — يمكن الاعتماد على مزودي خدمات تصديق رقمي معتمدين من هيئة الاتصالات والفضاء والتقنية (CST) ومن المركز الوطني للتصديق الرقمي (NCDC):

  1. Signit (ساين إت) — توقيع وثائق ومراسلات بجودة معتمدة من NCDC.
  2. STC – صاين (Sayen) — حلّ متكامل من STC مرخّص ومُكامَل مع أنظمة ERP.
  3. شركة علم — حلول للقطاعين الحكومي والخاص.
  4. شركة ثقة (Thiqah) — شهادات رقمية موثّقة رسميًا.

ملاحظة جوهرية: لتوقيع الفواتير نفسها، لا تحتاج التعاقد مع أي من هؤلاء — تحتاج فقط نظامًا محاسبيًا يدير شهادة CSID الصادرة مباشرة من ZATCA. الفرق: مزودو الخدمة يُصدرون شهادات «ثقة عامة»، أما ZATCA فتُصدر شهادة CSID خاصة بك مرتبطة برقمك الضريبي وبجهاز الإصدار.

الجدول الزمني لالتزام المنشآت بـ ZATCA Phase 2

المرحلة الثانية لم تُطبَّق على الجميع دفعة واحدة. ZATCA تُدرج المكلّفين على موجات (Waves) بحسب الإيرادات السنوية، وتُبلّغ كل موجة قبل ستة أشهر على الأقل من تاريخ الإلزام. أبرز محطات التطبيق منذ يناير 2023:

  • الموجة 1 (يناير 2023): المنشآت ذات الإيرادات الخاضعة للضريبة فوق 3 مليارات ريال.
  • الموجة 2 (يوليو 2023): الإيرادات بين 500 مليون و3 مليار ريال.
  • الموجات 3-9 (2023-2024): تنازليًا حتى الإيرادات فوق 30 مليون ريال.
  • الموجات 10 وما بعدها (2024-2026): تشمل تدريجيًا المنشآت الصغيرة والمتوسطة بإيرادات تبدأ من 7 ملايين ريال نزولًا.

القاعدة الذهبية: إذا اقترب دورك ولم تكن جاهزًا تقنيًا، فأنت أمام خيارين — إيقاف الإصدار الإلكتروني (وهو غير قانوني)، أو غرامات تتراوح بين 1,000 و50,000 ريال لكل مخالفة. الخيار الثالث الذي يختاره العقلاء: نظام محاسبي معتمد يُجهّزك خلال أيام لا أشهر.

ZATCA Phase 2 — موجات الإلزام

من 3 مليار ريال نزولًا.. كيف توسّعت دائرة الإلزام

  1. يناير 2023
    الموجة الأولى
    المنشآت ذات الإيرادات الخاضعة للضريبة فوق 3 مليار ريال — كبار المكلّفين أولًا.
  2. يوليو 2023
    الموجة الثانية
    إيرادات بين 500 مليون و3 مليار ريال — قطاع الشركات الكبرى يلتحق بالكامل.
  3. 2023 – 2024
    الموجات 3 إلى 9
    تنازليًا حتى الإيرادات فوق 30 مليون ريال — معظم الشركات المتوسطة دخلت هنا.
  4. 2024 – 2026
    الموجات 10 وما بعدها
    منشآت صغيرة ومتوسطة بإيرادات تبدأ من 7 ملايين ريال نزولًا — التغطية شبه الكاملة.
المصدر: إعلانات هيئة الزكاة والضريبة والجمارك بشأن موجات المرحلة الثانية 2023 – 2026.

التوقيع الإلكتروني بحسب القطاع: حالات عملية

متطلبات الختم التشفيري لا تختلف من قطاع لآخر، لكن طريقة دمجه في تدفق العمل تختلف جذريًا. ثلاث حالات نراها يوميًا في السوق السعودي:

قطاع المقاولات: فواتير دفعات متقطّعة

شركة مقاولات في الرياض تُنفّذ مشروعًا بـ 12 مليون ريال على دفعات شهرية. كل دفعة = فاتورة ضريبية B2B مستقلة، يجب أن تُختم بـ Cryptographic Stamp وتُرسَل لـ ZATCA عبر Clearance API قبل تسليمها للعميل. ولأن مبلغ الدفعة كبير (1 مليون ريال × 15% = 150,000 ريال ضريبة)، فإن أي خلل في التوقيع = العميل لا يستطيع خصم الضريبة، والمقاول يدفعها مرتين عمليًا.

الحلّ في قيود: قوالب فواتير دفعات معدّة مسبقًا، توقيع تلقائي، وربط مع المستندات المصدرية الخاصة بكل دفعة (تقرير الإنجاز، أمر التغيير).

قطاع التجارة: فواتير عالية التكرار

سوبرماركت في الدمام يُصدر 1,500 فاتورة مبسطة يوميًا. كل فاتورة تحتاج توقيعًا وQR code قبل خروج العميل من الكاشير. السرعة هنا حرجة: لا يمكن للعميل الانتظار 5 ثوانٍ لكل فاتورة. لذا التوقيع يجب أن يُولَّد محليًا داخل النظام في أقل من 200 مللي ثانية، ثم تُرفَع الفواتير دفعة واحدة لـ ZATCA خلال 24 ساعة (Reporting model).

قطاع الخدمات: فواتير اشتراكات شهرية

منصة SaaS في جدة لها 800 عميل اشتراك شهري. الفواتير تُولَّد آليًا أول كل شهر — كلها تحتاج Cryptographic Stamp. الإشكال: لو فشلت Clearance لـ 30 فاتورة فقط في تلك الليلة، فأنت أمام 30 عميل لا يستلمون فواتيرهم. النظام الذكي يجب أن يُعيد المحاولة تلقائيًا، يُسجّل الفشل، ويُنبّه الإدارة فقط عند تجاوز عدد المحاولات الحد الآمن.

أمن التوقيع الإلكتروني: المخاطر التي يغفلها أصحاب المنشآت

الجانب الأمني هو ما يميّز نظامًا محاسبيًا جدّيًا عن آخر «يدّعي» التوافق مع ZATCA. أربع نقاط تستحق سؤال أي مزوّد قبل التعاقد:

  • تخزين المفتاح الخاص (Private Key): هل المفتاح الخاص بشهادة CSID مُشفّر داخل HSM (Hardware Security Module) أم مخزّن نصًا واضحًا في قاعدة البيانات؟ الفرق: في حالة اختراق، المفتاح المُشفّر داخل HSM لا يمكن استخراجه.
  • عزل الفواتير عن بيئات الاختبار: هل النظام يُميّز بين Sandbox وProduction؟ خلط البيئتين يعني توقيع فاتورة حقيقية بشهادة اختبار = الفاتورة لاغية.
  • سجل تدقيق كامل (Audit Log): كل عملية توقيع يجب أن تُسجَّل بزمن دقيق، مُعرّف المستخدم، وعنوان IP، لمدة لا تقل عن 6 سنوات.
  • مرونة التعافي من الكوارث: ماذا يحدث لو انقطع الإنترنت لساعتين؟ هل النظام يُولّد فواتير محليًا ويُرسلها لاحقًا، أم يتوقّف خط الإصدار بالكامل؟

قيود يُعالج هذه النقاط الأربع تلقائيًا: HSM للمفاتيح، عزل صارم بين البيئات، سجل تدقيق كامل، ووضع «أوفلاين» يُتيح إصدار حتى 100 فاتورة محليًا أثناء انقطاع الاتصال ثم رفعها فور عودته.

كيف يتم تطبيق التوقيع الإلكتروني داخل الأنظمة المحاسبية؟

لضمان التوافق مع متطلبات هيئة الزكاة والضريبة والجمارك، يجب أن يكون النظام المحاسبي أو نظام ERP قادرًا على دمج التوقيع الرقمي في عملية إصدار الفواتير الإلكترونية بشكل تلقائي. خمس خطوات تنفيذية:

  1. اختيار نظام فوترة أو ERP يدعم خاصية الختم التشفيري (Cryptographic Stamp).
  2. ربط النظام بشهادة CSID صادرة من ZATCA عبر بوابة Fatoora.
  3. التأكد من توليد التوقيع تلقائيًا في كل فاتورة من نوع فاتورة ضريبية.
  4. اختبار التوافق عبر إصدار 6 فواتير عيّنة في بيئة Compliance.
  5. الانتقال لبيئة Production والمراقبة الأسبوعية لمعدلات النجاح/الرفض من ZATCA.

أسئلة شائعة حول التوقيع الإلكتروني والفاتورة الإلكترونية

  1. هل التوقيع الإلكتروني إلزامي على كل فاتورة في السعودية؟
    إلزامي على كل فاتورة ضريبية B2B في المرحلة الثانية. الفاتورة المبسطة B2C تحتاج QR code وختم لكن لا تُرسَل لحظيًا (تُرفَع خلال 24 ساعة).
  2. ما الفرق بين التوقيع الرقمي والختم الإلكتروني التشفيري؟
    الأول مفهوم عام لتوقيع رقمي قائم على شهادة. الثاني تطبيق محدد لهذا المفهوم بشهادة CSID صادرة من ZATCA حصرًا، ويُحقن داخل XML بـ UBL 2.1.
  3. كم تستغرق الحصول على شهادة CSID؟
    عادة من 30 دقيقة إلى ساعتين إذا كان النظام المحاسبي مُكامَلًا بالكامل ومرّ باختبار الفواتير الستة بنجاح من المحاولة الأولى.
  4. ماذا يحدث إذا انتهت صلاحية CSID ولم أُجدّدها؟
    لا تستطيع إصدار فواتير ضريبية. منصة فاتورة سترفض كل ما يصلها بشهادة منتهية. الحل: التجديد قبل 30 يومًا من الانتهاء.
  5. هل يمكنني توقيع الفاتورة يدويًا داخل XML؟
    لا — تقنيًا ممكن، لكن الخطأ الأصغر في موقع التوقيع داخل العنصر <cac:Signature> أو في خوارزمية الـ Hash يجعل الفاتورة مرفوضة. يجب أن يقوم بهذا برنامج محاسبي مُختبَر مع ZATCA.
  6. هل CSID الواحد يكفي لكل فروع المنشأة؟
    لا. كل وحدة إصدار (EGS) تحتاج CSID خاصًا بها. شركة بـ 5 فروع تحتاج 5 شهادات منفصلة، وكل واحدة تربط بسلسلة PIH مستقلة.
  7. كيف أتحقق أن الفاتورة الواردة لي موقّعة بشكل صحيح؟
    QR code على الفاتورة المبسطة يجب أن يفتح بياناتها الأساسية. للفاتورة الضريبية، التحقق يتم آليًا — ZATCA لا تُعتمد فاتورة بدون ختم سليم، فإن وصلتك من مورّد موثوق فهي صحيحة بالضرورة.
  8. هل التوقيع الإلكتروني يحلّ محل التوقيع اليدوي قانونيًا؟
    نعم — وفقًا لنظام التعاملات الإلكترونية السعودي (مرسوم م/18)، التوقيع الإلكتروني الموثّق بشهادة معتمدة له ذات الحجية القانونية للتوقيع اليدوي.

زبدة المقال

التوقيع الإلكتروني على الفاتورة الإلكترونية في السعودية ليس «ختمًا تجميليًا» — هو الفارق بين فاتورة مقبولة قانونيًا وأخرى مرفوضة من ZATCA. الفهم الدقيق للفرق بين التوقيع الإلكتروني، التوقيع الرقمي، والختم التشفيري CSID يحميك من رفض الفواتير ومن غرامات قد تتجاوز عشرات الآلاف من الريالات.

الحل ليس أن تتعلم كل تفاصيل XML وUBL 2.1 — الحل أن تختار نظامًا محاسبيًا يتولّى كل هذا تلقائيًا.

ابدأ مع قيود اليوم: برنامج محاسبي معتمد من ZATCA، يُدير شهادة CSID، يُولّد الختم التشفيري لكل فاتورة، ويُرسلها لمنصة فاتورة لحظيًا — كل ذلك بدون أي خبرة تقنية مطلوبة منك. جرّب قيود مجانًا وتأكّد بنفسك من توافق فواتيرك مع كل متطلبات المرحلة الثانية.

تحتاج تأكيد جاهزيتك لـ ZATCA قبل البدء؟ استخدم حاسبة فحص الجاهزية لزاتكا لتقييم وضع منشأتك في دقائق، أو احسب أثر ضريبة القيمة المضافة 15% على فواتيرك مباشرة.

للقراءة المتعمقة

0%
شارك المقال
Share article
آخر المقالات
Recent articles

مقالات مشابهة

Similar posts

جاهز لتطبيق ما قرأته؟

قيود يدير محاسبتك بدقة وامتثال كامل لهيئة الزكاة والضريبة

ابدأ تجربتك المجانيةتحدث مع المبيعات

جرّب قيود مجانًا لمدة 14 يومًا — بدون بطاقة ائتمان.

Ready to put this into practice?

Qoyod handles your accounting accurately and stays ZATCA-compliant.

Start your free trialTalk to sales

Try Qoyod free for 14 days — no credit card required.