Od 1 lutego wystawione faktury muszą zostać zarejestrowane w Krajowym Systemie eFaktur. Na tę chwilę dotyczy to podmiotów, których sprzedaż w roku ubiegłym wyniosła ponad 200 mln złotych. W przypadku pozostałych firm wymóg korzystania z KSeF nadejdzie z dniem 1 kwietnia. KSeF jest rozbudowanym systemem informatycznym – oprócz aplikacji dostępnej w przeglądarce i mobilnej, powstała gotowa biblioteka dla języków .NET i Java, która pozwala na integrację własnego oprogramowania z nowym systemem. Oczywiście do dyspozycji pozostaje również API.
Koncepcja KSeF powstała 5 lat temu, więc jeszcze za poprzedniego rządu. Projekt budzi niemal skrajne obawy związane z większą inwigilacją przedsiębiorców, ale też te dotyczące bezpieczeństwa danych. Wiadomy jest cel KSeF, a jest nim głęboka ingerencja państwa w stosunki między różnymi podmiotami gospodarczymi. Można się domyślić, że chodzi przede wszystkim o skuteczniejszą ściągalność podatków, aby zasilić niewydajny budżet, który w obecnym systemie jest przysłowiową studnią bez dnia. Pieniądze obywateli przeznaczane są na utrzymywanie rozbudowanej administracji urzędników i nierentownych instytucji, jak również na „wsparcie” innych państw. Zamiast wspierać przedsiębiorców, państwo zaczyna ich kontrolować. Niewykluczone, że KSeF w jakimś stopniu przyczyni się do zwiększenie czarnego rynku, ponieważ nie każdy będzie chciał ewidencjować faktury w ten właśnie sposób.
Ostatnio popularne stały się wpisy zawierające informacje o bezpieczeństwie tego systemu. Głównym tematem stała się Imperva. Część osób sprawdziła, że adres ksef.podatki.gov.pl wskazuje na adres 45.60.74.103 (CNAME rjdumbx.ng.impervadns.net), który z kolei wskazuje na lokalizację w Stanach Zjednoczonych. Pojawiły się głosy, że faktury będą zapisywane na serwerach w USA, a operator tej infrastruktury będzie miał do nich dostęp. Należy jednoznacznie stwierdzić, że te obawy nie są do końca właściwe.
Adres 45.60.74.103 znajduje się w ASN Incapsula Inc – to właśnie przedsiębiorstwo stojące za rozwiązaniem Imperva. Jest to dość powszechna usługa oferująca ochronę aplikacji przed atakami DDoS czy innymi zagrożeniami – WAF (po więcej informacji odsyłam do mojego artykułu o SafeLine). Zresztą sama domena podatki.gov.pl jest obsługiwana przez serwery DNS należące właśnie do Incapsula. Nie powinno być zaskoczeniem, że wiele rządowych domen kieruje na serwery znajdujące się poza Polską – warto zapoznać się z naszą analizą. Wykorzystanie takiej usługi jest całkowicie standardowym, a wręcz zalecanym podejściem.
Co prawda obsługa TLS jest na poziomie Imperva, co oznacza, że amerykański operator może odszyfrować ruch kierowany przez jego serwery. Trzeba jednak zauważyć, że analogiczne ryzyko występuje przy korzystaniu z Cloudflare, które wśród mniej doświadczonych osób jest uznawane jako „złoty środek” bezpieczeństwa. Oczywiście nieuprawiony dostęp do treści faktury jest znacznie większym zagrożeniem, natomiast tutaj to ryzyko jest ograniczone, ponieważ faktury są szyfrowane przed ich wysłaniem. Powoływanie się na „amerykański argument” akurat w tym przypadku jest błędne.
Nie jest to koniec uwag co do KSeF. Wczoraj, a więc dosłownie dzień po uruchomieniu KSeF (jako obowiązkowego dla części podmiotów), przed dłuższy czas nie działał Profil Zaufany, przez co logowanie do KSeF nie było możliwe. Co gorsze, zablokowało to dostęp także do innych usług zintegrowanych z PZ. Wydaje się, że nie przewidziano, że masowe logowanie do KSeF (chociażby w celu zwykłego sprawdzenia) spowoduje niedostępność kluczowej usługi, z której korzysta większość systemów administracji publicznej. Tutaj problemy wydajnościowe wystąpiły w de facto „zewnętrznej” usłudze (bo za Profil Zaufany odpowiada Centralny Ośrodek Informatyki), natomiast taka sytuacja nie świadczy o profesjonalizmie obu stron. Już pomijając, że wczoraj ministerstwo chwaliło się zalogowaniem ponad 150 tys. osób do systemu.
Już ponad 150 tysięcy użytkowników zalogowało się do KSeF⤵️ pic.twitter.com/4Z7ApUMaax
— Ministerstwo Finansów (@MF_GOV_PL) February 1, 2026
Ruch z Imperva po przefiltrowaniu żądania jest przekierowywany na inne serwery – zapewne te kontrolowane przez zespół CIRF. Nie ma jednak pewności, jakie faktycznie są to maszyny i gdzie się znajdują. Teoretycznie można uznać, że ujawnienie tych informacji będzie mieć wpływ na bezpieczeństwo, ale przecież wystarczy ogólnie wskazać podmiot odpowiedzialny za utrzymanie infrastruktury. Poza tym nie wiadomo, kto tak naprawdę będzie miał dostęp do treści faktur. Będzie to wyłącznie urzędnik z Ministerstwa Finansów/Urzędu Skarbowego czy również programista analizujący przyczynę zgłoszonego błędu?
Krajowy System eFaktur jest kontrowersyjny i powoduje wiele emocji – głównie słusznie negatywnych. Cieszy jednak, że obywatele zaczęli dostrzegać zagrożenia w takich systemach. Na portalu X czy tematycznych grupach, KSeF jest szeroko komentowany, ale trudno się dziwić, bo system ten oznacza naprawdę dużą zmianę.
wpDiscuz
