KSeF- czy centralna baza faktur zagraża bezpieczeństwu?

Krajowy System e-Faktur (KSeF), który ma ruszyć 1 lutego 2026 r., to bez wątpienia rewolucja w rozliczeniach VAT. Jednocześnie budzi poważne obawy specjalistów od bezpieczeństwa państwa. Gigantyczna, aktualizowana w czasie rzeczywistym baza wszystkich transakcji biznesowych w Polsce może stać się celem ataków hakerskich, wycieków danych lub nawet sabotażu. W dobie wojny hybrydowej i rosnącej liczby cyberataków na polskie instytucje ryzyko wydaje się realne, a potencjalne skutki – trudne do oszacowania.

Co dokładnie znajdzie się w KSeF?

Od lutego 2026 r. każda faktura ustrukturyzowana trafiać będzie do centralnego repozytorium prowadzonego przez Krajową Administrację Skarbową. System zarejestruje nie tylko kwoty i kontrahentów, ale też szczegóły transakcji: środek transportu, miejsce dostawy, warunki płatności czy nawet opis towaru. W efekcie powstanie pełny, minutowy obraz polskiej gospodarki – od zakupów cateringu po dostawy surowców dla zakładów zbrojeniowych.

Takie dane to prawdziwy skarb nie tylko dla fiskusa, ale również dla obcych służb wywiadowczych. Wiedza o tym, kto, kiedy i po jakiej cenie dostarcza komponenty do produkcji karabinów czy amunicji, może ułatwić identyfikację słabych punktów w łańcuchu dostaw sektora obronnego. Podobnie informacje o dostawcach paliwa, energii czy usługach dla infrastruktury krytycznej.

Ryzyko ataku i paraliżu gospodarki

Zablokowanie KSeF – np. atakiem DDoS lub ransomware – oznaczałoby natychmiastowe zatrzymanie możliwości wystawiania faktur. A bez faktury nie ma płatności, nie ma rozliczeń, nie ma obrotu gospodarczego. Jeden udany atak mógłby sparaliżować znaczną część rynku.

Równie groźny jest wyciek. Dane z KSeF mogłyby posłużyć zarówno wywiadowniom państwowym, jak i prywatnym wywiadowniom gospodarczym do szantażu, nieuczciwej konkurencji czy sabotażu.

Czy system został sprawdzony pod kątem bezpieczeństwa państwa?

Jak ustaliła „Rzeczpospolita”, do listopada 2025 r. żadna z państwowych służb odpowiedzialnych za cyberbezpieczeństwo (Wojska Obrony Cyberprzestrzeni, ABW, NASK, policja) nie przeprowadziła kompleksowych testów KSeF pod kątem zagrożeń dla bezpieczeństwa narodowego. Agencja Bezpieczeństwa Wewnętrznego ograniczyła się do opiniowania przepisów, a właściwe testy bezpieczeństwa mają ruszyć dopiero po 15 listopada – na wersji testowej systemu.

Ministerstwo Finansów zapewnia, że system jest dobrze zabezpieczony, działa monitoring dostępu (system PAM), a po wykryciu ewentualnych luk będą one usuwane jeszcze w 2025 r. Resort podkreśla też współpracę z NASK i ABW oraz zdolność przetwarzania nawet 20 mln faktur na godzinę w szczycie.

Eksperci pozostają jednak sceptyczni. Wskazują, że w cyberwojnie nie ma 100-procentowych zabezpieczeń, a najsłabszym ogniwem zawsze jest człowiek – w tym przypadku ponad 2 tysiące urzędników KAS z dostępem do systemu.

Propozycje ekspertów – co jeszcze da się zrobić przed startem?

Specjaliści ds. bezpieczeństwa sugerują kilka pilnych działań:

• Wyłączenie z KSeF branż szczególnie wrażliwych (zbrojeniowa, paliwowa, energetyczna) lub przynajmniej anonimizację części danych.
• Objęcie całego repozytorium ochroną kontrwywiadowczą i powierzenie zarządzania instytucjom wyspecjalizowanym w bezpieczeństwie.
• Wprowadzenie zaostrzonych procedur weryfikacji osób tworzących i rozwijających oprogramowanie KSeF.
• Rozważenie decentralizacji lub hybrydowego modelu przechowywania danych strategicznych.

W Kancelarii Prawnej Jackowski pomagamy przedsiębiorcom przygotować się do obligatoryjnego KSeF, wdrożyć bezpieczne integracje z systemami księgowymi oraz ocenić ryzyka związane z przetwarzaniem danych w centralnej bazie.

Jeśli potrzebujesz porady prawnej skontaktuj się z nami!

autor: Gabriel Jackowski (za legalis.pl)