Krystian Rosiński
Ignacy Zieliński
Od 1 lutego funkcjonuje Krajowy System e-Faktur (KSeF). Przedsiębiorcy jednak obawiają się, że mogą z niego wyciec dane pochodzące z ich faktur. A te, jak przekonuje Biznes Enter Kamil Sobolewski, główny ekonomista Pracodawców RP, są „tajemnicą zawodową, elementem przewagi konkurencyjnej i zarządzania przedsiębiorstwem”. Dlatego obawy o to, że urzędnicy będą „hasać” po systemie, trafiają na podatny grunt.
- Teza. Przedsiębiorcy obawiają się, że KSeF zapewni nieautoryzowany dostęp urzędników do ich poufnych danych. Niepokój wzmaga też ryzyko ewentualnego wycieku po np. ataku hakerskim na serwery Ministerstwa Finansów.
- Dowód. W internecie namnożyło się postów i informacji o ryzyku związanym z nieautoryzowanym dostępem do poufnych danych firm. O takiej obawie mówi nam również główny ekonomista Pracodawców RP.
- Efekt. Ministerstwo Finansów na ostatniej prostej musiało przeprowadzać kampanie informacyjne o tym, jak ma działać KSeF. W tym celu organizowało m.in. specjalne konferencje prasowe, wydłużało działanie urzędów i infolinii oraz „zasypywało” sieć grafikami o działaniu systemu.
KSeF startuje i budzi obawy przedsiębiorców. Spis treści
Od minionej niedzieli przedsiębiorcy są zobowiązani do korzystania z KSeF-u, choć nie do końca i nie w pełni. Najpierw bowiem system objął podmioty z obrotami w 2024 r. przekraczającymi 200 mln zł. Pozostałe firmy (także jednoosobowe działalności gospodarcze) dostały dwa miesiące więcej. Dopiero od 1 kwietnia będą musiały obowiązkowo wystawiać faktury wyłącznie przez KSeF. Mikroprzedsiębiorcy z obrotami rzędu do 10 tys. zł miesięcznie nowy obowiązek „nabędą” od początku 2027 r.
W praktyce jednak od 1 lutego wszystkie podmioty gospodarcze są zobowiązane do odbioru faktury w państwowym systemie. Czyli nie ma znaczenia to, że mikrofirma ma jeszcze czas, by wdrożyć się w tajniki KSeF-u. Jeśli np. kupuje coś od przedsiębiorstwa większego od siebie, to i tak bez tego systemu się nie obędzie, gdyż tylko tam będzie mogła odebrać fakturę.
A niejasności i zagmatwania jest więcej.
Jak państwo nie (do)informowało o KSeF-ie
O tym, że KSeF jest nieuchronny, wiemy co najmniej od kilku lat. Od początku 2022 r. istniała możliwość testowania systemu, a pierwotnie miał on wejść w życie od 1 lipca 2024 r. Mimo to nie można pozbyć się wrażenia, że państwo „zaspało” z promocją i informowaniem obywateli o nowym obowiązku. I kiedy wraz z nadejściem 2026 r. stało się jasne, że szereg nowych obowiązków wejdzie w życie, Ministerstwo Finansów wpadło w popłoch.
Konferencje, zapowiedzi tutoriali, poradników i filmików podpowiadających, jak korzystać z Krajowego Systemu e-Faktur, a do tego wydłużenie działania infolinii Krajowej Informacji Skarbowej (KAS) – to tylko kilka pomysłów MF-u na ostatniej prostej. Wszystkie są oczywiście chwalebnymi inicjatywami, ale spóźnionymi o wiele, wiele miesięcy.
Aż nasuwa się też myśl, że skoro państwo jest w stanie rozesłać 17 mln Poradników Bezpieczeństwa do skrzynek Polaków, to czy nie mogło przeprowadzić analogicznej akcji o KSeF-ie? Albo zorganizować ją w bardziej cyfrowy sposób, za sprawą kampanii reklamowych i informacyjnych.
Nie pomogło też wyłączenie dostępu do systemu tuż przed jego startem. W dniach 26-31 stycznia przedsiębiorcy nie mieli możliwości skorzystania z KSeF-u, gdyż zasoby informatyczne państwa potrzebowały czasu na migrację 5 milionów faktur z systemu 1.0 do wersji 2.0, która została udostępniona od 1 lutego.
To wszystko doprowadziło do zwiększenia niepokoju i podsycenia obaw związanych z nowym systemem. A do miana jednej z największych urasta ryzyko ujawnienia tajemnic handlowych i przewag konkurencyjnych rodzimych przedsiębiorców.
KSeF zrodził obawę o bezpieczeństwo danych
Obawę tę w mediach społecznościowych „nakręcają” politycy Konfederacji. Pod koniec stycznia w internecie zaroiło się od postów o tym, że urzędnicy skarbowi będą mogli przeglądać faktury dowolnego przedsiębiorcy według własnego widzimisię. A od tego do wycieku danych jest – ich zdaniem – już tylko krok.
Sławomir Mentzen, jeden ze współliderów tej partii oraz jej kandydat na prezydenta w ostatnich wyborach, idzie krok dalej i proponuje… otwarty dostęp do KSeF-u w przypadku podmiotów publicznych. W skrócie: urzędnicy mieliby udostępniać faktury w systemie, a dostęp do nich miałby mieć każdy obywatel. W ten sposób na bieżąco każdy mógłby weryfikować, czy przypadkiem nie dochodzi do „przepalania” publicznych pieniędzy.
„Wprowadzenie KSeF oznacza, że skarbówka ma dostęp do wszystkich faktur polskich firm w czasie rzeczywistym. Każdy krajowy zakup oraz każda sprzedaż są widoczne od razu dla urzędników. Skoro urzędnicy chcą wiedzieć wszystko, co się dzieje w firmach, to Polacy mają prawo wiedzieć, jak urzędnicy wydają nasze pieniądze” – pisze w uzasadnieniu swojego pomysłu.
I właśnie w tym fragmencie powołuje się na wspomnianą przez nas wcześniej obawę nieuprawnionego dostępu do danych przedsiębiorców i ich ewentualnego wycieku. A o tym, że ona rzeczywiście istnieje, zaświadczają słowa Kamila Sobolewskiego, głównego ekonomisty Pracodawców RP.
– Informacje o tym, jakie składniki firma kupuje, w jakiej cenie, w jakich ilościach i od kogo, a także komu i na jakich warunkach sprzedaje swoje produkty, stanowią tajemnicę zawodową, element przewagi konkurencyjnej i zarządzania przedsiębiorstwem – mówi rozmówca Biznes Enter.
Wskazuje, że przy tradycyjnym obiegu dokumentów ich treść zostawała pod ścisłą kontrolą wewnątrz firmy. Służby miały do nich wgląd wyłącznie podczas kontroli, ale weryfikowały wyłącznie ich wycinek. Teraz państwowe systemy będą zbierać wszystkie dane, a do tego archiwizować je na lata.
Wprowadzenie pełnego elektronicznego obiegu, którego właścicielem i operatorem jest państwo, oznacza, że w jednym systemie znajdą się liczne tajemnice handlowe firm. Ich ewentualne nieuprawnione wykorzystanie mogłoby poważnie naruszyć fundamenty funkcjonowania przedsiębiorstw. W branżach opartych na unikalnych recepturach czy rzadkich źródłach dostaw taka scentralizowana baza danych może budzić obawy. Powstanie tego systemu jest zatem nierozerwalnie związane z kwestią zaufania do instytucji państwowych.
Kamil Sobolewski, główny ekonomista Pracodawców RP w rozmowie z Biznes Enter
Precyzyjnie to wytłumaczył w rozmowie z Biznes Enter Jakub Bubas, partner w EY. – Raportujemy do systemu Ministerstwa Finansów tak naprawdę każdą naszą operację biznesową – wskazał. – Wszystko zaczęło się już prawie 10 lat temu, kiedy w 2016 r. weszły w życie jednolite pliki kontrolne (JPK), obejmujące swoim zakresem dane dotyczące rejestrów VAT, ksiąg rachunkowych, faktur sprzedaży czy rachunków bankowych. Ta digitalizacja i ten sposób raportowania dzisiaj doprowadziły nas właśnie do KSeF-u, do e-faktury – opisywał ten proces ekspert.
Całą rozmowę z Jakubem Bubasem możesz obejrzeć poniżej. Dalsza część artykułu pod materiałem wideo.
Wzrośnie ryzyko ataków hakerskich?
I to nawet nie chodzi o to, że trafi się jakiś nieuczciwy urzędnik, który np. będzie próbował „dorobić” na sprzedaży poufnych danych konkurentom (choć do tego wątku jeszcze wrócimy), ale o to, że KSeF jest systemem cyfrowym. A te z natury rzeczy są narażone na ataki hakerskie, których następstwem jest masowy wyciek danych.
– Historia zna przypadki, w których dochodziło do niepowołanego dostępu nawet w najlepiej strzeżonych systemach – mówi Sobolewski. – Wyobraźmy sobie sytuację, w której te informacje wyciekają do konkurencji lub podmiotów powiązanych z wrogimi reżimami. O takim incydencie możemy nie dowiedzieć się natychmiast, a ktoś przez lata mógłby podkopywać naszą kondycję gospodarczą – punktuje.
Zaznacza też, że do każdego rozwiązania technicznego należy mieć ograniczone zaufanie. Nawet jeśli stojące za nim podmioty wykazują się profesjonalizmem, to zawsze mogą wystąpić sytuacje nieprzewidziane.
Zwróciliśmy się do Ministerstwa Finansów z pytaniami dotyczącymi m.in. zabezpieczeń cyfrowych i tego, kto za nie odpowiada, a także związanymi z kwestią polityki bezpieczeństwa KSeF-u. Odpowiedź opublikujemy, jak tylko ją otrzymamy.
Wiceminister finansów Zbigniew Stawicki na konferencji prasowej w minionym tygodniu przekonywał, że resort już jakiś czas temu rozpoczął prace nad polityką bezpieczeństwa. – Zwracam uwagę na to, że klucz prywatny szyfrowania treści faktur znajduje się w urządzenia w infrastrukturze Ministerstwa Finansów i żadna firma zewnętrzna nie jest w stanie odszyfrować ich treści – dopowiedział z kolei dyrektor Centrum Informatyki MF Roman Łożyński.
Jak to jest z tym wglądem urzędników w dokumenty?
Wiarygodność urzędników też urasta do roli kluczowej w budowaniu zaufania do KSeF-u. Oddajmy tu znów głos głównemu ekonomiście Pracodawców RP.
Budowanie zaufania to proces trudny i wyjątkowo łatwy do zniweczenia. Informacje o pojedynczych urzędnikach skarbowych angażujących się w mechanizmy wyłudzeń podatku VAT czy głośne przypadki nadużyć podczas kontroli drobnych firm skutecznie podważają to zaufanie w wymiarze społecznym. W wymiarze biznesowym obawy dotyczą faktu, że każde zabezpieczenie można naruszyć. Nawet w bankach zdarzają się ataki i wycieki. W przypadku żywotnych danych firmy, których utrata oznacza ujawnienie tajemnic handlowych i metod działania, jest to sprawa delikatna.
Kamil Sobolewski, główny ekonomista Pracodawców RP w rozmowie z Biznes Enter
Krytycy KSeF-u wyrażają często obawę, że urzędnicy będą mogli swobodnie „hasać” po bazie danych pełnej poufnych danych przedsiębiorców. A nawet jeśli ujawnią tajemnicę skarbową, to grozi im za to nieporównywalnie niższa maksymalna kara niż przedsiębiorcom za wyłudzenie VAT-u (odpowiednio do 5 i do 25 lat).
W praktyce jednak nie będzie to takie proste. – Wszelkie informacje stanowiące tajemnicę skarbową, w tym informacje gromadzone w KSeF, muszą być przetwarzane w sposób ściśle wynikający z przepisów prawa, wyłącznie w związku z wykonywanymi zadaniami – podkreślił wiceminister Stawicki. Dodał, że przetwarzanie i udostępnianie danych w systemie jest uwarunkowane prawem, polityką bezpieczeństwa i instrukcjami obowiązującymi od dawna w KAS.
– Pracownik, który ma do wykonania zadanie służbowe, będzie wnioskował o dostęp np. do faktur (wyłącznie w określonym zakresie przedmiotowym i chronologicznym) i tylko taki dostęp zostanie mu udzielony przez przełożonego – zaznaczył.
Szerzej cały ten proces opisała Agata Jagodzińska, szefowa Związkowej Alternatywy w KAS (której pracowników Stawicki swoją drogą bronił). We wpisie na X podkreśliła, że żaden urzędnik nie będzie chciał „z ciekawości” podejrzeć faktur jakiejś firmy. Choćby przez fakt, że każdy ma indywidualny login do systemów informatycznych oraz aplikacji (w tym również do urządzeń peryferyjnych).
To oznacza, że jeśli urzędnik – nazwijmy go Kowalskim – bez zgody przełożonego i bez prowadzonych czynności wobec tej firmy chciałby zajrzeć np., jak sobie poczyna znienawidzony szwagier, to by się natychmiast „wkopał”. Każde tego typu zdarzenie – obojętnie czy autoryzowane przez kierownictwo KAS, czy nie – zostawia po sobie ślad w systemie i umożliwia szybkie ustalenie, że to właśnie ów Kowalski podejrzał poufne dane.
W związku z tym pracownicy nie mają możliwości ani motywacji, aby przeglądać dane podmiotów, wobec których nie prowadzą czynności służbowych (np. czynności sprawdzających czy kontroli). Każde nieuprawnione wejście do systemu byłoby natychmiast widoczne. Dodatkowo dostęp do danych konkretnej firmy w KSeF będzie objęty szczególnymi zabezpieczeniami i możliwy wyłącznie na podstawie uzasadnionego wniosku, zaakceptowanego przez przełożonych. Ewentualny wyciek danych – dzięki indywidualnym logowaniom i pełnemu monitoringowi – zostałby szybko i jednoznacznie zidentyfikowany.
Agata Jagodzińska, szefowa Związkowej Alternatywy w KAS we wpisie na X
Chociaż związkowczyni w rozmowie z Faktem wskazała, że dopiero na kilka dni przed startem systemu były ustalane są dokładne procedury ustalania zasad dostępu. – Moim zdaniem za późno. Także szkolenia dotyczące KSeF zostały przeprowadzone po „łebkach”. Ministerstwo Finansów zdecydowało, że mają być dyżury w urzędach skarbowych i w każdym mają być obsadzone po trzy stanowiska. Jednak często trafiają tam osoby, które nie mają wystarczającej wiedzy na temat KSeF. Jak zwykle to my, zwykli urzędnicy na dole bardziej się staramy niż ci na górze – podsumowała.
Czy rzeczywiście dane będą w pełni bezpieczne na serwerach obsługujących system KSeF, przekonamy się z całą pewnością w najbliższych dniach. Użytkownicy będą w sposób masowy testować jego wytrzymałość poprzez próbę dochowania nałożonych na nich nowych obowiązków. Jeśli więc coś miałoby się „wysypać”, to będzie miało ku temu okazję właśnie wtedy.
Nie da się jednak oprzeć wrażeniu, że całej tej paniki i atmosfery dałoby się uniknąć, gdyby od miesięcy informowano obywateli o nadchodzących zmianach i o tym, z czym się wiążą. Tu jednak wracamy do punktu wyjścia.
Krystian Rosiński, dziennikarz i wydawca Biznes Enter
Ignacy Zieliński, dziennikarz Biznes Enter
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.
Zdjęcie główne: Grafikę przygotowała Sandra Zięba