Wprowadzenie KSeF spowodowało lawinę mylnych wiadomości w internecie, w tym sugestie, że platforma ma rzekomo służyć do śledzenia podatników, umożliwiać służbom zza granicy dostęp do informacji lub zezwalać na ich sprzedaż przez funkcjonariuszy. Z analizy regulacji prawnych i ocen specjalistów wynika, że są to nieprawdziwe twierdzenia.
Jedna z dezinformacji, która pojawiła się w social mediach, sugeruje, że fragment infrastruktury Krajowego Systemu e-Faktur (KSeF), który przynależy do systemu ze Stanów Zjednoczonych, miałby umożliwiać amerykańskim organom dostęp do danych polskich płatników podatków. Jak ustalił „Dziennik Gazeta Prawna”, chodzi o amerykańską firmę Imperva, należącą do francuskiego koncernu Thales, która proponuje rozwiązania WAF (Web Application Firewall) – system bezpieczeństwa chroniący aplikacje i strony WWW poprzez filtrowanie, sprawdzanie i blokowanie niebezpiecznego ruchu oraz ochronę przed atakami DDoS.
Amerykańska ochrona i kody szyfrujące
Niezależny konsultant i analityk z Department of War Studies na King’s College London dr Łukasz Olejnik oznajmił PAP, że „ochrona przed DDoS to wymóg, więc nie ma możliwości, by takiego istotnego systemu nie zabezpieczać”.
Reklama
Zobacz także
Sprawdź: system do zarządzania fakturami, dokumentami, archiwizacją i KSeF. Oferta specjalna dla użytkowników Bankier.pl
Dostawcy technologii ochrony anty-DDoS mają dostęp do ruchu w sieci. W dobrze zaprojektowanym systemie nie obejmowałoby to jednak treści poufnych, takich jak np. faktury – objaśnił PAP.
Dodał, że nawet badanie ruchu sieciowego w formie rozszyfrowanej nie powinno dawać możliwości wglądu w rzeczywistą zawartość danych. – Potrzebne jest zatem dodatkowe szyfrowanie w warstwie wyższej, którego nie da się „usunąć” po drodze w sieci – zaznaczył, akcentując, że jest to technicznie osiągalne, chociaż nie może zapewnić, czy zostało zastosowane także w KSeF.
Stanowisko w tej sprawie przekazało Ministerstwo Finansów „Dziennikowi Gazecie Prawnej” 26 stycznia. – Żadne systemy bezpieczeństwa, w tym rozwiązania typu WAF Cloud (Web Application Firewall), nie mają dostępu do zawartości faktur, ponieważ widzą wyłącznie zakodowane dane i nie dysponują kodami do ich odkodowania. Kody mamy tylko my. Jedynie system KSeF posiada możliwość odkodowania faktury przy użyciu metod kodowania stosowanych przez Ministerstwo Finansów z użyciem indywidualnego klucza – brzmi komunikat MF.
„To nie jest instrument do śledzenia”
Kolejną powtarzaną w internecie dezinformacją jest przekonanie, że KSeF jakoby służy śledzeniu. Doniesieniom tym zaprzeczył 28 stycznia wiceminister finansów i zastępca szefa Krajowej Administracji Skarbowej Zbigniew Stawicki w trakcie konferencji prasowej poświęconej systemowi.
Dane w KSeF nie ulegną zmianie w zestawieniu z tym, do czego urzędy mają dostęp obecnie. Zmienia się wyłącznie metoda ich gromadzenia i przetwarzania, a nie zakres – podkreślił.
Z kolei, jak podaje Ministerstwo Finansów w swoim oświadczeniu udostępnionym na stronie internetowej, KSeF ma wspomóc państwu chronić przedsiębiorców przed nieuczciwą konkurencją bez potrzeby przeprowadzania kontroli w firmach i domagania się od nich dodatkowych dokumentów. Dane w KSeF umożliwią administracji skarbowej działać sprawniej, a jednocześnie efektywniej chronić uczciwych przedsiębiorców. – KSeF nie jest instrumentem służącym do śledzenia – oznajmia resort.
Pogłoski z TikToka a kontrola urzędników
Opowieści przekazywane w internecie na temat KSeF sugerują też, że urzędnicy mieliby możliwość sprzedawania danych podatników. Szczególną popularność zdobyło nagranie umieszczone 23 stycznia na TikToku. Autor materiału twierdzi w nim, że „zna Pana, co chce składać propozycje urzędnikom” rzekomo w celu nabycia danych firm. Jak mówi, „Pan jest z Białorusi i czeka, aż wejdzie KSeF”, aby nabywać dane od urzędników „którzy za moment chcą przejść na emeryturę”. Wideo na TikToku uzyskało blisko 38 tys. odtworzeń, a udostępnione na jednym z wpisów na platformie X – 58,5 tys. Materiał był też powielany na Facebooku.
Dr Olejnik wyjaśnił, że „każde logowanie i wgląd w dokumenty muszą być rejestrowane”. – Technicznie urzędnik musi mieć możliwość wglądu w dane, bo inaczej obieg gospodarczy lub dochodzenia nie byłyby możliwe – powiedział PAP ekspert z zakresu cyberbezpieczeństwa. Dodał, że podobna dyskusja jest obecnie we Francji, gdzie podejrzewano urzędniczkę tamtejszego fiskusa o wgląd w deklaracje i udostępnianie tych danych przestępcom. – Tutaj konieczna jest audytowalność. Przedsiębiorcy powinni więc wierzyć, że tak to działa i że ewentualne próby nadużyć zostaną wykryte – zaakcentował.
Dyrektor Centrum Informatyki Resortu Finansów Roman Łożyński powiedział w rozmowie z PAP, że dostęp do danych będą mieli tylko ci pracownicy KAS, którzy przejdą określone procedury w zakresie udostępniania danych, np. w związku z prowadzonym przez nich postępowaniem. – Ruch naturalnie jest logowany; zapisywany po to, aby było wiadomo, kto uzyskał dostęp i co robi w systemie – podkreślił szef CIRF.
Również według informacji zamieszczonych na oficjalnej witrynie internetowej Krajowego Systemu e-Faktur administracja skarbowa nie ma stałego wglądu w działalność podatników. Dostęp pracowników KSeF do danych będzie osiągalny wyłącznie za zgodą przełożonego i tylko w dokładnie określonych sytuacjach, takich jak czynności sprawdzające lub kontrolne. Każdy taki dostęp ma być ponadto nadzorowany i podlegać audytowi.
Krajowy System e-Faktur w początkowej fazie obejmuje jedynie największe firmy, czyli te, które w 2024 r. miały przychody przekraczające 200 mln zł. Według prognoz Ministerstwa Finansów takich firm jest około 4,2 tys. W drugiej fazie, która wystartuje 1 kwietnia br., system obejmie pozostałe przedsiębiorstwa – z wyjątkiem najmniejszych, które mają zostać objęte KSeF od 1 stycznia 2027 r.
Weronika Moszpańska (PAP)
wm/ bst/ pś/ mhr/