W ostatnich dniach temat KSeF przestał być wyłącznie podatkowo-techniczny. Stał się sporem o zaufanie: czy państwowy system e-faktur jest bezpieczny, kto ma wgląd w dane z faktur i czy nie jest to „inwigilacja w czasie rzeczywistym”. Ministerstwo Finansów i KAS zareagowały briefingami 27–28 stycznia, wprost nazywając część przekazów dezinformacją.
Poniżej porządkujemy fakty, bo w dyskusji mieszają się trzy różne sprawy: bezpieczeństwo infrastruktury, dostęp urzędników do danych oraz ryzyko „pośredników” technologicznych.
Dlaczego temat bezpieczeństwa KSeF wybuchł tuż przed startem
KSeF rusza obowiązkowo etapami, ale od 1 lutego 2026 r. system wchodzi w realny obieg dla największych firm, a równolegle wszyscy przedsiębiorcy mają odbierać faktury w KSeF.
To właśnie perspektywa centralizacji ogromnej liczby dokumentów oraz widoczności procesów zakupowo-sprzedażowych w jednym miejscu podbiła emocje. Dodatkowym paliwem stały się wpisy w mediach społecznościowych i uproszczenia typu „skarbówka ma wszystko na żywo”, które – jak wynika z komunikacji MF – stały się bezpośrednim powodem konferencji i publikacji wyjaśnień.
Serwery KSeF w Polsce i „infrastruktura krytyczna” – co deklaruje MF
W oficjalnych wyjaśnieniach MF podkreśla trzy elementy, które mają budować zaufanie do systemu:
- KSeF działa wyłącznie na serwerach znajdujących się w Polsce i opiera się na krajowej infrastrukturze oraz zapleczu technologicznym.
- Do zabezpieczenia danych mają być użyte narzędzia szyfrowania i kryptografii będące częścią infrastruktury Ministerstwa Finansów.
- KSeF został wpisany do rejestrów systemu infrastruktury krytycznej, co – w ujęciu resortu – oznacza objęcie najwyższymi standardami bezpieczeństwa.
MF przypomina też, że system był testowany nie tylko wydajnościowo, ale i pod kątem cyberbezpieczeństwa oraz odporności na awarie, a prace miały być prowadzone we współpracy ze służbami bezpieczeństwa państwa.
W relacjach z konferencji prasowych pojawia się dodatkowe zapewnienie: system jest „gotowy i bezpieczny”, a resort nie widzi zagrożenia wyciekiem danych.
Bez limitów dokumentów
Czy skarbówka ma stały, 24‑godzinny wgląd w faktury w KSeF
To jeden z najczęściej powtarzanych mitów – i ten, do którego MF odnosi się wprost.
W komunikacji na portalu KSeF pada jednoznaczne stwierdzenie: administracja skarbowa nie ma stałego, 24‑godzinnego wglądu w działalność podatnika; dostęp do danych w KSeF ma się odbywać wyłącznie w określonych sytuacjach, np. w ramach czynności sprawdzających lub kontrolnych, i wymagać zgody przełożonego, a każda czynność ma być monitorowana i audytowana.
W podobnym tonie MF podkreśla, że KSeF nie jest narzędziem służącym do inwigilacji, a zmienia się sposób gromadzenia i przetwarzania danych, nie zaś ich zakres w porównaniu z tym, co organy już dziś mogą pozyskiwać w ramach procedur.
W praktyce spór często bierze się stąd, że „możliwość dostępu w toku czynności” bywa mylona z „ciągłym podglądem”. To nie to samo – i właśnie tę różnicę MF próbuje dziś komunikacyjnie domknąć.
Dostęp urzędników do danych: uzasadnienie, akceptacje, procedury
Druga część obaw dotyczy nie tyle tego, czy dostęp istnieje, ale jak jest kontrolowany.
Według komunikatów MF informacje w KSeF nie są publiczne, a ich wykorzystanie ma się odbywać według ściśle kontrolowanych procedur. Wprost wskazano też, że uprawniony urzędnik, który chce uzyskać dostęp do informacji, musi go uzasadnić i posiadać wielostopniowo zatwierdzone uprawnienia.
Równolegle, w debacie medialnej pojawia się wątek „porządkowania dostępu” po stronie skarbówki. „Rzeczpospolita” pisze o pracach KAS nad jednolitą polityką bezpieczeństwa oraz o tym, że dostęp urzędników ma być ograniczony.
To ważne, bo dla przedsiębiorców pytanie brzmi dziś nie tylko „czy system jest bezpieczny”, ale także „jak państwo będzie rozliczane z korzystania z tak wrażliwego narzędzia”.
Prywatny dostawca przy KSeF: skąd wzięły się kontrowersje i co odpowiada resort
Trzecia oś sporu jest najbardziej „internetowa”, ale nie można jej zbyć wzruszeniem ramion. W ostatnich dniach wrócił zarzut, że przy obsłudze zabezpieczeń KSeF wykorzystywane są rozwiązania prywatnego podmiotu – w publikacjach pada nazwa Imperva (należąca do Thales) – i że to mogłoby oznaczać ryzyko wglądu w dane.
Resort odrzuca ten tok rozumowania. Z cytowanych stanowisk MF wynika, że narzędzia klasy WAF (Web Application Firewall) mają nie widzieć treści faktur, bo widzą jedynie zaszyfrowane dane i nie posiadają kluczy do odszyfrowania, a możliwość odszyfrowania ma mieć tylko sam KSeF.
Jednocześnie część ekspertów cyberbezpieczeństwa wskazuje, że samo szyfrowanie nie jest magiczną tarczą, bo ryzyko może dotyczyć nie tylko „odczytania po drodze”, ale także prób ataków na cały ekosystem i przełamywania zabezpieczeń w czasie.
Dla firm praktyczny wniosek jest prosty: warto rozdzielać dwa pytania – czy zewnętrzny dostawca ma „legalny” dostęp do treści oraz czy system jako całość jest odporny na ataki. To drugie pytanie nigdy nie ma odpowiedzi w rodzaju „na zawsze tak”.
Co to oznacza dla firm: bezpieczeństwo KSeF zaczyna się od uprawnień i procesów
Nawet jeśli uznać, że infrastruktura państwa jest przygotowana, największym ryzykiem operacyjnym w firmach bywa nie „haker z zewnątrz”, tylko chaos w dostępach i odpowiedzialnościach.
W KSeF kluczowe są role i uprawnienia: kto może wystawiać, kto może przeglądać, kto zarządza uprawnieniami i kto ma dostęp do narzędzi uwierzytelniania. Oficjalna baza wiedzy przypomina, że w systemie funkcjonują różne typy uprawnień (m.in. do nadawania/zmiany/odbierania uprawnień oraz do wystawiania i dostępu do faktur).
Praktyczna checklista bezpieczeństwa dla przedsiębiorcy przed wejściem w KSeF:
- Zasada minimalnych uprawnień: dostęp tylko dla osób, które realnie muszą pracować na fakturach (księgowość, upoważnione osoby w zakupach/sprzedaży).
- Rozdzielenie ról: osoba zarządzająca uprawnieniami nie powinna być tą samą osobą, która masowo wystawia lub akceptuje faktury, jeśli firma ma taką możliwość organizacyjną.
- Procedura offboardingu: natychmiastowe odebranie uprawnień przy zmianie stanowiska/odejściu pracownika lub zakończeniu współpracy z biurem rachunkowym.
- Rejestr dostępów i regularny przegląd: cykliczna weryfikacja listy osób z uprawnieniami (np. raz w miesiącu/kwartale).
- Bezpieczne „kanały” dostępu: uporządkowane korzystanie z podpisu kwalifikowanego/profilu zaufanego i wewnętrzne zasady obchodzenia się z narzędziami uwierzytelniania.
To są działania, które firma może zrobić sama, bez czekania na kolejne komunikaty – i które realnie obniżają ryzyko.
Jak rozmawiać o KSeF wewnątrz firmy, żeby nie nakręcać paniki
W wielu firmach KSeF wywołuje napięcie nie w księgowości, tylko w działach handlowych, zakupach i w zarządzie: „czy konkurencja lub urząd zobaczy, komu sprzedajemy i za ile”.
W komunikacji wewnętrznej warto trzymać się faktów, które da się obronić:
- dane w KSeF nie są publiczne, a dostęp ma być procedowany i kontrolowany;
- MF deklaruje brak stałego „podglądu 24/7”, a czynności urzędnicze mają być monitorowane i audytowane;
- spór o prywatne rozwiązania bezpieczeństwa dotyczy przede wszystkim obaw o pośredników, ale resort deklaruje, że treści faktur pozostają zaszyfrowane.
Taki „pakiet faktów” zwykle wystarcza, by uspokoić emocje, nie składając obietnic bez pokrycia.
FAQ: bezpieczeństwo KSeF – pytania, które dziś padają najczęściej
Czy KSeF jest narzędziem inwigilacji firm
MF odpowiada wprost: nie, a zmienia się sposób gromadzenia danych, nie ich zakres.
Czy urzędnik może sobie „przeglądać faktury” dowolnej firmy
Z komunikacji MF wynika, że nie: dostęp ma wymagać uzasadnienia i wielostopniowo zatwierdzonych uprawnień.
Czy skarbówka ma stały wgląd w faktury w trybie 24/7
Według komunikatów portalu KSeF – nie; dostęp ma być sytuacyjny (czynności sprawdzające/kontrolne), z wymogiem zgody przełożonego i audytem czynności.
Czy prywatna firma ma dostęp do treści faktur w KSeF
W ostatnich publikacjach pojawia się wątek narzędzi bezpieczeństwa (WAF) i dostawcy rozwiązań, ale resort – w cytowanych stanowiskach – zaprzecza, by narzędzia te miały dostęp do treści faktur, wskazując na szyfrowanie i brak kluczy poza KSeF.
