KSeF i dane z faktur. Skarbówka uspokaja, eksperci ostrzegają przed ryzykiem

• KSeF coraz bliżej, ale obawy narastają
• Prywatna spółka przy systemie e-faktur
• Resort finansów: „To nieprawda”
• Eksperci: szyfrowanie nie eliminuje ryzyka
• Bezpieczeństwo KSeF pod lupą
• Sejm o KSeF: rząd zapewnia o gotowości systemu, opozycja ostrzega przedsiębiorców

KSeF coraz bliżej, ale obawy narastają

Im bliżej 1 lutego, czyli daty wejścia w życie obowiązkowego Krajowego Systemu e-Faktur (KSeF), tym więcej wątpliwości dotyczących ochrony danych przedsiębiorców. Alarm w tej sprawie podniósł jeden z użytkowników popularnego portalu internetowego, wskazując na sposób zabezpieczenia systemu obsługiwanego przez Ministerstwo Finansów.

Jak opisał w poniedziałkowym wydaniu „Dziennik Gazeta Prawna”, resort finansów korzysta z rozwiązań oferowanych przez prywatny podmiot, który – zdaniem internauty – może mieć dostęp do danych przetwarzanych w KSeF.

Prywatna spółka przy systemie e-faktur

Chodzi o amerykańską spółkę Imperva, specjalizującą się w cyberbezpieczeństwie, należącą do francuskiego koncernu Thales. Według publikacji „DGP” rozwiązania tej firmy są wykorzystywane przy zabezpieczaniu systemu e-Faktur.

To właśnie ten fakt wzbudził największe kontrowersje. W ocenie internauty oznaczałoby to możliwość wglądu nieuprawnionych osób w informacje o tym, kto wystawia faktury, na jakie kwoty oraz kto w danej firmie posiada uprawnienia do korzystania z KSeF.

Resort finansów: „To nieprawda”

Ministerstwo Finansów stanowczo odrzuca te zarzuty. Jak podkreśla, wykorzystywane rozwiązania bezpieczeństwa – w tym tzw. WAF Cloud (Web Application Firewall) – nie mają dostępu do treści faktur.

„Żadne systemy bezpieczeństwa, w tym rozwiązania typu WAF Cloud (Web Application Firewall), nie mają dostępu do treści faktur, ponieważ mogą one widzieć wyłącznie zaszyfrowane dane i nie posiadają kluczy do ich odszyfrowania. Klucze mamy tylko my. Tylko system KSeF posiada możliwość odszyfrowania faktury poprzez metody szyfrowania wykorzystywane przez Ministerstwo Finansów z użyciem unikatowego klucza” – cytuje stanowisko resortu „Dziennik Gazeta Prawna”.

Eksperci: szyfrowanie nie eliminuje ryzyka

Mimo zapewnień ministerstwa, część ekspertów ds. cyberbezpieczeństwa pozostaje sceptyczna. Ich zdaniem sam fakt szyfrowania danych nie oznacza pełnej ochrony przed wyciekami.

Adrian Lapierre, dyrektor zarządzający w firmie ITrust, zwraca uwagę, że zastosowane mechanizmy nie zapobiegają w pełni atakom hakerskim. Jak zauważa, historia pokazuje, że nawet zaawansowane systemy zabezpieczeń mogą zostać złamane.

Ekspert porównuje sytuację do szyfru Enigmy, który przez długi czas uchodził za nie do złamania. W jego ocenie mechanizm ryzyka w przypadku KSeF jest podobny – nie chodzi o dostęp „tu i teraz”, lecz o możliwość przełamania zabezpieczeń w przyszłości.

VAT 2026. Komentarz

Bezpieczeństwo KSeF pod lupą

Dyskusja wokół Krajowego Systemu e-Faktur pokazuje, że obawy przedsiębiorców dotyczą nie tylko obowiązków administracyjnych, ale także ochrony wrażliwych danych biznesowych. Choć resort finansów zapewnia o pełnym bezpieczeństwie systemu, eksperci wskazują, że wraz z centralizacją danych rośnie również skala potencjalnych zagrożeń.

Wraz ze startem KSeF temat bezpieczeństwa informacji może stać się jednym z głównych punktów debaty między administracją publiczną a środowiskiem przedsiębiorców.

Sejm o KSeF: rząd zapewnia o gotowości systemu, opozycja ostrzega przedsiębiorców

Przypomnijmy, że 22 stycznia br. w Sejmie wiceminister finansów, szef Krajowej Administracji Skarbowej (KAS) Marcin Łoboda przedstawiał informację na temat aktualnego stanu wdrożenia Krajowego Systemu e-Faktur (KSeF). „To system, który w znacznym stopniu przyczyni się do zwiększenia bezpieczeństwa obrotu gospodarczego oraz automatyzacji procesów księgowych i przyspieszenia obiegu dokumentów między kontrahentami” - podkreślił szef KAS. Przedstawił harmonogram i szczegóły prac nad systemem w ostatnich dwóch latach. Zacznie funkcjonować on od 1 lutego.

Zaznaczył, że od 26 stycznia br. infolinia KSeF dla przedsiębiorców będzie dostępna całodobowo. „Pragnę zapewnić, że wszystkie obszary Krajowego Systemu e-Faktur, tak jak przy wszystkich dużych projektach informatycznych, zostały przygotowane sumiennie i z należytą starannością. Efekt prac IT w postaci środowiska produkcyjnego AP KSeF 2.0 jest gotowy” - przekazał posłom szef KAS.

Kluby PiS, Konfederacji i Konfederacji Korony Polskiej złożyły wnioski o odrzucenie informacji przedstawionej przez wiceministra finansów. Janusz Kowalski (PiS) zwrócił uwagę na - jego zdaniem - małą liczbę pobranych certyfikatów, czyli specjalnych plików, które od 1 lutego 2026 roku będą używane do uwierzytelniania firmy w systemie e-faktur. „Za chwilę przedsiębiorcy nie będą mogli odbierać faktur, które od 1 lutego br., wystawią im duże firmy za prąd, za energię, za gaz, czy za usługi telekomunikacyjne” - przekonywał przedstawiciel PiS. Stwierdził, że aplikacja KSeF 2.0 pokazuje różne błędy. „Nie uzupełniają się dane sprzedawcy, trzeba wpisywać swoje dane ręcznie, opisy pól są niejasne dla przedsiębiorców (...) bardzo łatwo jest o pomyłkę, system nie pilnuje prawidłowej długości rachunku bankowego” - dodał Kowalski. Poseł PiS przywołał stanowisko Pracodawców RP skierowane do ministra finansów i gospodarki Andrzeja Domańskiego, w którym organizacja apeluje o przesuniecie terminu wdrażania KSeF.

Poseł Lewicy Arkadiusz Sikora ocenił, że KSeF może być największym problem dla małych firm i jednoosobowych działalności gospodarczych. „Mamy obawy, czy w przypadku firm pracujących nad patentami, nowymi technologami, dane z faktur nie wydostaną się na zewnątrz” - powiedział.

Poseł KO Artur Jarosław Łącki pytał, czy ministerstwo myśli o tym, żeby przedłużyć abolicję dla firm do 2027 r. „Uważam, że ludzie będą mieli problem z waszym systemem i ten system odbije się na działalności małych i średnich przedsiębiorstw, które nie będą miały pieniędzy, żeby to robić (wdrożyć system KSeF). Jeśli już wprowadzamy ten system, to złagodźmy skutki - przedłużmy abolicję na 2027 r.” - apelował Łącki. Poseł Konfederacji Witold Tumanowicz stwierdził z kolei, że KSeF w przypadku awarii i błędu może stać się zagrożeniem dla każdej firmy; może oznaczać, kary i utratę płynności finansowej.

Wiceminister Łoboda podkreślił, że środowisko produkcyjne systemu KSeF 2.0 zostało udostępnione już 15 października 2025 r., a od trzeciego listopada przedprodukcyjne środowisko aplikacji. „Właściwie jest to jeden do jednego w stosunku do tego co wejdzie od 1 lutego br.” - podkreślił. Poinformował, że przetestowano 6,5 mln wejść do systemu. Dodał, że bezpieczeństwo systemu KSeF ma trzy poziomy. „Bezpieczeństwo systemu, bezpieczeństwo danych w systemie i bezpieczeństwo przedsiębiorcy. Ograniczona liczba osób będzie miała całkowity dostęp do systemu KSeF” - zapewnił.

Łoboda zaznaczył, że każdy z pracowników w przypadku prowadzenia czynności sprawdzających, kontroli podatkowej czy celno-skarbowej musi dostać indywidualną zgodę, na wejście tylko na konkretne dane. „Te osoby, które będą miały dostęp do wszystkich danych, to jest kilkadziesiąt osób w całym kraju, będą musiały dostać certyfikat przynajmniej o klauzuli tajne” - podkreślił Łoboda. Dodał, że funkcjonowanie KSeF będzie monitorowane. „Nie wykluczamy przedłużenia abolicji czy niekarania przedsiębiorców za błędy związane z funkcjonowaniem FSeF. Wszystko zależy od tego jak nasi przedsiębiorcy sobie poradzą” - poinformował Łoboda.

1 lutego 2026 r. rusza Krajowy System e-Faktur (KSeF) służący do wystawiania faktur w obrocie między przedsiębiorcami. System wchodzi w życie etapami: od 1 lutego 2026 r. dla firm, których obrót w 2024 r. przekraczał 200 mln zł. Mniejsze firmy obowiązek ten obejmie od 1 kwietnia 2026 r. Dla mikroprzedsiębiorców przewidziano okres przejściowy – od kwietnia do grudnia 2026 r. nie będą oni musieli wystawiać e-faktur, jeśli ich miesięczna sprzedaż nie przekracza 10 tys. zł brutto.