Wprowadzenie KSeF spowodowało lawinę nieprawdziwych informacji w internecie, w tym twierdzeń, jakoby system ten miał służyć śledzeniu podatników, dawać obcym służbom wgląd do informacji lub umożliwiać sprzedaż danych przez pracowników administracji. Z analizy regulacji prawnych i ekspertyz wynika, że są to nieprawdziwe twierdzenia.
Jedna z mylnych informacji, która pojawiła się w mediach społecznościowych, sugeruje, że fragment infrastruktury Krajowego Systemu e-Faktur (KSeF), należący do systemu ze Stanów Zjednoczonych, miałby dawać amerykańskim agencjom rządowym dostęp do danych polskich podatników. Jak ustalił „Dziennik Gazeta Prawna”, chodzi o amerykańską firmę Imperva, będącą częścią francuskiego koncernu Thales, która dostarcza rozwiązania WAF (Web Application Firewall) – zaporę sieciową zabezpieczającą aplikacje i strony WWW przez filtrowanie, kontrolowanie i blokowanie złośliwego ruchu oraz obronę przed atakami DDoS.
Amerykańska zapora i klucze deszyfrujące
Niezależny doradca i naukowiec z Department of War Studies na King’s College London dr Łukasz Olejnik powiedział PAP, że „ochrona przed DDoS jest niezbędna, zatem nie ma opcji, by tak ważnego systemu nie chronić”.
Reklama
Zobacz także
Sprawdź: system do zarządzania fakturami, dokumentami, archiwizacją i KSeF. Oferta specjalna dla użytkowników Bankier.pl
Dostawcy technologii ochrony anty-DDoS mają dostęp do ruchu sieciowego. W odpowiednio zaprojektowanym systemie nie obejmowałoby to jednak treści poufnych, takich jak np. faktury – objaśnił PAP.
Dodał, że nawet analiza ruchu sieciowego w formie niezaszyfrowanej nie powinna umożliwić wglądu w rzeczywistą treść informacji. – Wymagane jest więc dodatkowe szyfrowanie w warstwie wyższej, którego nie można „usunąć” po drodze w sieci – zaznaczył, podkreślając, że jest to technicznie wykonalne, chociaż nie może zagwarantować, czy zostało zastosowane również w KSeF.
Komentarz w tej kwestii przekazało Ministerstwo Finansów „Dziennikowi Gazecie Prawnej” 26 stycznia. – Żadne systemy bezpieczeństwa, w tym rozwiązania typu WAF Cloud (Web Application Firewall), nie mają dostępu do treści faktur, gdyż widzą jedynie zaszyfrowane informacje i nie dysponują kluczami do ich rozszyfrowania. Klucze posiadamy tylko my. Jedynie system KSeF ma możliwość rozszyfrowania faktury przy użyciu metod szyfrowania stosowanych przez Ministerstwo Finansów z wykorzystaniem unikalnego klucza – oznajmia stanowisko MF.
„To nie jest instrument do szpiegowania”
Kolejną powtarzaną w sieci fałszywą informacją jest twierdzenie, że KSeF jakoby służy inwigilacji. Informacjom tym zaprzeczył 28 stycznia wiceminister finansów i zastępca szefa Krajowej Administracji Skarbowej Zbigniew Stawicki podczas konferencji prasowej poświęconej systemowi.
Dane w KSeF nie zmienią się w porównaniu z tym, do czego organy mają dostęp obecnie. Zmienia się jedynie sposób ich gromadzenia i przetwarzania, a nie zakres – zaakcentował.
Z kolei, jak informuje Ministerstwo Finansów w swoim komunikacie udostępnionym na stronie internetowej, KSeF ma pomóc państwu zabezpieczać przedsiębiorców przed nieuczciwą konkurencją bez konieczności przeprowadzania kontroli w firmach i żądania od nich dodatkowych dokumentów. Dane w KSeF umożliwią administracji skarbowej działać szybciej, a jednocześnie skuteczniej chronić uczciwych przedsiębiorców. – KSeF nie jest instrumentem służącym do szpiegowania – zapewnia resort.
Pogłoski z TikToka a nadzór urzędników
Doniesienia przekazywane w internecie na temat KSeF sugerują również, że urzędnicy mieliby możliwość handlu danymi podatników. Szczególną popularność zyskało nagranie zamieszczone 23 stycznia na TikToku. Autor materiału utrzymuje w nim, że „zna Pana, co chce składać oferty urzędnikom” rzekomo w celu nabycia danych firm. Jak mówi, „Pan jest z Białorusi i czeka, aż wejdzie KSeF”, aby kupować dane od urzędników „którzy za chwilę chcą przejść na emeryturę”. Wideo na TikToku zdobyło blisko 38 tys. wyświetleń, a udostępnione na jednym z postów na platformie X – 58,5 tys. Materiał był również rozpowszechniany na Facebooku.
Dr Olejnik wyjaśnił, że „każde logowanie i wgląd w dokumenty muszą być rejestrowane”. – Technicznie urzędnik musi mieć możliwość wglądu w dane, bo inaczej obrót gospodarczy lub dochodzenia nie byłyby możliwe – powiedział PAP ekspert z dziedziny cyberbezpieczeństwa. Dodał, że podobna polemika ma miejsce obecnie we Francji, gdzie podejrzewano urzędniczkę tamtejszego fiskusa o wgląd w deklaracje i udostępnianie tych danych przestępcom. – Tutaj niezbędna jest audytowalność. Przedsiębiorcy powinni więc wierzyć, że tak to funkcjonuje i że ewentualne próby nadużyć zostaną wykryte – podkreślił.
Dyrektor Centrum Informatyki Resortu Finansów Roman Łożyński powiedział w rozmowie z PAP, że dostęp do informacji będą mieli tylko ci pracownicy KAS, którzy przejdą określone procedury w zakresie udostępniania informacji, np. w związku z prowadzonym przez nich postępowaniem. – Ruch naturalnie jest logowany; zapisywany po to, aby było wiadome, kto uzyskał dostęp i co robi w systemie – podkreślił szef CIRF.
Również zgodnie z informacjami umieszczonymi na oficjalnej stronie internetowej Krajowego Systemu e-Faktur administracja skarbowa nie ma stałego wglądu w działalność podatników. Dostęp pracowników KSeF do danych będzie możliwy jedynie za zgodą przełożonego i tylko w konkretnie określonych przypadkach, takich jak czynności sprawdzające lub kontrolne. Każdy taki dostęp ma być ponadto monitorowany i podlegać kontroli.
Krajowy System e-Faktur w pierwszym etapie obejmuje wyłącznie największe firmy, czyli te, które w 2024 r. miały obroty przekraczające 200 mln zł. Według kalkulacji Ministerstwa Finansów takich firm jest około 4,2 tys. W drugim etapie, który rozpocznie się 1 kwietnia br., system obejmie pozostałe przedsiębiorstwa – z wyjątkiem najmniejszych, które mają zostać objęte KSeF od 1 stycznia 2027 r.
Weronika Moszpańska (PAP)
wm/ bst/ pś/ mhr/