RKSV — caisses certifiées et Belegerteilungspflicht
La Registrierkassensicherheitsverordnung (RKSV), entrée en vigueur le 1ᵉʳ avril 2017, est l'équivalent autrichien du décret français « anti-fraude TVA » de 2016. Toute caisse enregistreuse au-delà de certains seuils doit être inviolable (Sicherheitsmodul), enregistrée auprès du BMF via FinanzOnline, et émettre un ticket de caisse signé + QR-code à chaque transaction.
Historique — 3 vagues 2016-2017
- 2015-2016 — adoption. Le BMF, sous pression européenne et après le « rapport mémoire fiscal » 2014, lance le paquet anti-fraude liquidités. BGBl II 410/2015 publié en décembre 2015.
- 1ᵉʳ janvier 2016 — vague 1. Obligation d'utiliser une caisse électronique (Registrierkasse) au-delà des seuils. Encore sans exigence d'inviolabilité technique. Phase de « tolerance ».
- 1ᵉʳ juillet 2016 — Belegerteilungspflicht. Obligation d'émettre un ticket de caisse à chaque transaction cash, par tous les commerçants — pas seulement ceux soumis à la caisse certifiée.
- 1ᵉʳ avril 2017 — vague 2. Activation des exigences techniques : Sicherheitsmodul certifié, inscription FinanzOnline, QR-code signé. Fin de la tolérance.
- 2018-2026 — stabilisation. Pas de nouvelle vague structurelle. Quelques mises à jour techniques (RKSV-Novelle 2019, compatibilité mobile, signature ECDSA renforcée).
Seuils — qui est concerné
- Caisse obligatoire : entreprise au CA annuel > 15 000 € et chiffre d'affaires en espèces (Barumsatz) > 7 500 €. Les deux conditions cumulatives.
- Caisse certifiée RKSV : tout commerce assujetti à l'obligation de caisse doit utiliser une caisse conforme RKSV (Sicherheitsmodul + FinanzOnline + QR-code).
- Belegerteilungspflicht : obligation d'émettre un ticket pour toutes les ventes en espèces, sans seuil. Concerne aussi les petits commerces qui n'ont pas l'obligation de caisse (= ils peuvent tenir un livre à la main).
- Périmètre élargi : commerce alimentaire, restauration, hôtellerie, coiffure, taxis, kiosques, marchés Volksfest. Exemption pour ventes mobiles éloignées sans installation fixe (Kalte Hand Regelung, § 131b Abs 5 BAO), jusqu'à 30 000 € de CA.
- Hors périmètre : Bauernmarkt en pleine nature, pourboires, dons, prestations sociales sans facturation.
Belegerteilungspflicht — obligation de remettre un reçu
La Belegerteilungspflicht est un devoir réciproque :
- Côté commerçant : obligation d'émettre un ticket contenant nom du commerçant, adresse, date/heure, montant, taux TVA, et — si caisse RKSV — QR-code signé.
- Côté client : obligation d'accepter et de conserver le ticket jusqu'à la sortie du local (Belegannahmepflicht). En théorie passible d'amende, en pratique jamais appliqué.
- Objectif : rendre traçable chaque transaction cash. Le ticket et la caisse signée doivent permettre à la Finanzpolizei (police fiscale) de reconstruire le journal des ventes en cas de contrôle.
Sicherheitsmodul + QR-code
Le cœur technique de la RKSV est le Sicherheitsmodul — un module cryptographique (smartcard, HSM ou cloud signing service) qui signe chaque ticket :
- Signature ECDSA P-256. Chaque ticket reçoit une signature numérique basée sur les données du ticket + hash chaîné avec le ticket précédent. Toute modification rétrospective casse la chaîne.
- QR-code obligatoire. Le QR contient le payload complet sous forme compactée — préfixe protocole, ID caisse, numéro de ticket, timestamp, montants par taux TVA, CA cumulé chiffré, signature.
- Prestataires certifiés. A-Trust (filiale RTR), Globaltrust, Cybertrust — chaque module Sicherheitsmodul provient d'un prestataire enregistré auprès du BMF.
- Journal de données (DEP). Le journal Datenerfassungsprotokoll contient l'intégralité des tickets de l'exercice. Doit être conservé 7 ans, exportable au format XML normalisé E132.
_R1-AT0_DEMO-CASH001_42_2026-05-19T15:24:31_18.30_0.00_0.00_2.70_0.00_AT1234567890_W3hWSjQ4UXBuVk8...
└─────┬─────┘└────┬────┘└┬┘└─────┬─────┘└──┬──┘└──┬──┘└──┬──┘└──┬──┘└──┬──┘└─────┬─────┘└────┬─────┘
│ │ │ │ │ │ │ │ │ │ │
préfixe cash-ID Belg# timestamp 20% 13% 10% 0% spé encrypted signature
protocol turnover SHA-256 Inscription FinanzOnline et journal mensuel
- Inscription initiale : chaque caisse RKSV est enregistrée sur FinanzOnline (formulaire « Registrierkasse anmelden »), avec son numéro de série, son fabricant et son Sicherheitsmodul associé.
- Ticket de démarrage (Startbeleg). Premier ticket émis après inscription : montant 0 €, validé via FinanzOnline et l'application gratuite « BMF Belegcheck ». Confirme que la chaîne de signature est opérationnelle.
- Ticket de fin de mois (Monatsbeleg). Émis le dernier jour de chaque mois, montant 0 €, sert d'ancrage temporel.
- Ticket d'exercice (Jahresbeleg). Émis au 31 décembre, à conserver et à valider avant le 15 février N+1 via Belegcheck. Élément central du contrôle annuel.
- Export DEP : tout contrôle Finanzpolizei demande l'export du DEP. Les caisses certifiées proposent un export conforme E132 (XML structuré + signatures).
Sanctions — Finanzpolizei et amendes
- Défaut de caisse certifiée : jusqu'à 5 000 € d'amende par contrôle (BAO § 51).
- Défaut de QR-code conforme : 2 500 € en moyenne.
- Non-émission de ticket (Belegerteilungspflicht) : avertissement au premier contrôle, amende dès le second.
- Fraude caractérisée : redressement TVA + impôt sur les sociétés + Strafzuschlag (majoration pénale) jusqu'à 200 % du montant éludé.
- Suspension d'activité. En cas de récidive caractérisée, la Finanzpolizei peut ordonner la fermeture temporaire de l'établissement.
Pièges courants
- Confondre Registrierkasse et caisse RKSV. Toute caisse électronique n'est pas conforme RKSV : il faut le Sicherheitsmodul homologué + l'inscription FinanzOnline.
- Oublier le Jahresbeleg. Émettre mais ne pas valider via Belegcheck dans les délais expose à une amende automatique.
- Sicherheitsmodul partagé entre plusieurs caisses. Possible (cloud mode) mais demande déclaration explicite. Un module utilisé hors déclaration entraîne rejet contrôle.
- Migration de caisse mal documentée. Changement de logiciel ou de matériel impose un Außerbetriebnahme (désinscription) + nouvelle inscription. Beaucoup négligent l'étape de désinscription.
- Croire que les caisses cloud sont exemptes. Les caisses cloud (Vectron, ready2order, Helloleo) sont aussi soumises à la RKSV. Elles intègrent Sicherheitsmodul cloud signé via A-Trust.