Od startu Krajowego Systemu e-Faktur w sieci krąży wiele nieprawdziwych informacji o tej platformie. Można spotkać tezy, jakoby system miał służyć m.in. inwigilacji podatników lub umożliwiać dostęp do danych obcym służbom. Jaka jest prawda? Odpowiedzi przynosi analiza przepisów i opinie ekspertów.
Wprowadzenie Krajowego Systemu e-Faktur (KSeF) uruchomiło lawinę wielu wręcz sensacyjnych informacji. W internecie można było przeczytać m.in. że KSeF został wprowadzony w celu inwigilowania podatników. Pojawiały się opinie, że nowy system umożliwia obcym służbom dostęp do danych, a urzędnicy będą mieli do nich nieograniczony dostęp, co pozwoli im na handel wrażliwymi danymi. Z analiz przepisów i opinii ekspertów pytanych przez PAP wynika, że są to fałszywe narracje.
Czy KSeF umożliwia dostęp do danych obcym służbom?
W mediach społecznościowych powielana jest dezinformacja, która sugeruje, że część infrastruktury KSeF, która należy do systemu ze Stanów Zjednoczonych, miałaby umożliwić amerykańskim służbom dostęp do danych polskich podatników. „Dziennik Gazeta Prawna” ustalił, że chodzi o amerykańską spółkę Imperva, która należy do francuskiego koncernu Thales. Oferuje ona rozwiązania Web Application Firewall (WAF) – zaporę sieciową chroniącą aplikacje i strony WWW poprzez filtrowanie, monitorowanie i blokowanie złośliwego ruchu oraz ochronę przed atakami DDoS.
Na ten temat wypowiedział się dr Łukasz Olejnik, niezależny konsultant i badacz z Department of War Studies na King’s College London. Powiedział on PAP, że „ochrona przed DDoS to konieczność, więc nie ma możliwości, by takiego krytycznego systemu nie chronić”.
– Dostawcy technologii ochrony anty-DDoS mają dostęp do ruchu sieciowego. W dobrze zaprojektowanym systemie nie obejmowałoby to jednak treści wrażliwych, takich jak np. faktury – uważa dr Łukasz Olejnik.
Zaznaczył, że nawet inspekcja ruchu sieciowego w postaci odszyfrowanej nie powinna dawać możliwości wglądu w faktyczną treść danych.
– Potrzebne jest więc dodatkowe szyfrowanie w warstwie wyższej, którego nie da się „zdjąć” po drodze w sieci – podkreślił ekspert.
Ministerstwo Finansów (MF) zareagowało na informacje o rzekomym dostępie obcych służ do danych KSeF.
„Żadne systemy bezpieczeństwa, w tym rozwiązania typu WAF Cloud (Web Application Firewall), nie mają dostępu do treści faktur, ponieważ widzą jedynie zaszyfrowane dane i nie posiadają kluczy do ich odszyfrowania. Klucze mamy tylko my. Tylko system KSeF posiada możliwość odszyfrowania faktury przy użyciu metod szyfrowania stosowanych przez Ministerstwo Finansów z wykorzystaniem unikatowego klucza” – czytamy w stanowisku MF.
KSeF jako narzędzie inwigilacji?
W internecie powtarzana jest również narracja, że KSeF rzekomo służy inwigilacji. Informacjom tym wiceminister finansów i zastępca szefa Krajowej Administracji Skarbowej Zbigniew Stawicki zaprzeczył podczas konferencji prasowej jeszcze przed startem systemu.
– Dane w KSeF nie ulegną zmianie w porównaniu z tym, do czego organy mają dostęp obecnie. Zmienia się wyłącznie sposób ich gromadzenia i przetwarzania, a nie zakres – podkreślił Zbigniew Stawicki.
Jak podkreśla Ministerstwo Finansów w komunikacie dostępnym na swojej stronie internetowej, KSeF ma przede wszystkim pomóc państwu chronić przedsiębiorców przed nieuczciwą konkurencją bez konieczności przeprowadzania kontroli w firmach i żądania od nich dodatkowych dokumentów. Dane w KSeF pozwolą administracji skarbowej działać szybciej, a jednocześnie skuteczniej chronić uczciwych przedsiębiorców.
– KSeF nie jest narzędziem służącym do inwigilacji – podkreśla resort finansów.
Czy urzędnicy będą handlowali danymi z KSeF?
Kolejna powtarzana w social mediach narracja dotycząca KSeF dotyczy tego, że urzędnicy mieliby możliwość sprzedawania danych podatników. Szczególną popularność zyskało nagranie opublikowane 23 stycznia na TikToku. Jego autor mówi, że „zna Pana, co chce składać oferty urzędnikom” rzekomo w celu zakupu danych firm. Dodaje, że „pan jest z Białorusi i czeka, aż wejdzie KSeF”, aby kupować dane od urzędników „którzy za chwilę chcą odejść na emeryturę”. Filmik zdobył dużą liczbę wyświetleń na TikToku i udostępnień na platformie X.
„Każde logowanie i wgląd w dokumenty muszą być odnotowane” – odpowiedział dr Łukasz Olejnik.
– Technicznie urzędnik musi mieć możliwość wglądu w dane, bo inaczej obieg gospodarczy lub śledztwa nie byłyby możliwe – mówił dla PAP.
Zaznaczył, ze podobna dezinformacja była niedawno popularna we Francji. Urzędniczkę tamtejszego fiskusa podejrzewano o wgląd w deklaracje i udostępnianie tych danych przestępcom.
– Tutaj konieczna jest audytowalność. Przedsiębiorcy powinni więc wierzyć, że tak to działa i że ewentualne próby nadużyć zostaną wykryte – podkreślił ekspert od cyberbezpieczeństwa.
Dostęp do danych będą mieli tylko ci pracownicy KAS, którzy przejdą określone procedury w zakresie udostępniania danych, np. w związku z prowadzonym przez nich postępowaniem – powiedział w rozmowie z PAP dyrektor Centrum Informatyki Resortu Finansów (CIRF) Roman Łożyński.
– Ruch oczywiście jest logowany. Zapisywany po to, aby było wiadomo, kto uzyskał dostęp i co robi w systemie – podkreślił szef CIRF.
Dostęp tylko w ściśle określonych sytuacjach i za zgodą szefa
Zgodnie z informacjami zamieszczonymi na oficjalnej stronie internetowej Krajowego Systemu e-Faktur, administracja skarbowa nie ma stałego wglądu w działalność podatników. Dostęp pracowników KSeF do danych będzie możliwy wyłącznie za zgodą przełożonego i tylko w ściśle określonych sytuacjach, takich jak czynności sprawdzające lub kontrolne. Każdy taki dostęp ma być ponadto monitorowany i podlegać audytowi.
Krajowy System e-Faktur w pierwszym etapie obejmuje wyłącznie największe firmy, czyli te, które w 2024 r. miały obroty przekraczające 200 mln zł. Według szacunków Ministerstwa Finansów takich firm jest około 4,2 tys.
W drugim etapie, który rozpocznie się 1 kwietnia, system obejmie pozostałe przedsiębiorstwa – z wyjątkiem najmniejszych, które znajdą się w nim od 1 stycznia 2027 r.
Źródła: PAP, MF
Na podstawie jakie przepisu prawnego organ państwa ma prawo zmusić przedsiębiorcę do posiadania profilu zaufanego, posługiwania się komputerem, posiadania dostępu do internetu, posiadania smartfona czy też telefonu komórkowego, obsługiwania bankowości elektronicznej? Dlaczego nie wolno mi wystawić faktury/rachunku na druczku papierowym? Komu to przeszkadza? Dlaczego nagle okazuje się się, że zwykły rachunek nie jest już dowodem księgowym? Dlaczego kogoś, kto ma zarejestrowaną JDG i dorabia sobie po prostu od lat do pracy etatowej/emerytury/renty/NŚK traktuje się nagle niczym ogromną korporację? Ten system dyskryminuje najmniejszych i zmusi ich z końcem roku 2026 do rezygnacji z prowadzonej JDG.