Cyberbezpieczeństwo w KSeF – niedoceniane ryzyko systemowe

Jednym z rzadziej poruszanych, a jednocześnie kluczowych aspektów wdrażania Krajowego Systemu e-Faktur (KSeF) są zagrożenia związane z cyberbezpieczeństwem oraz niska świadomość użytkowników w zakresie ochrony narzędzi dostępowych do systemu. Dotyczy to w szczególności tokenów oraz certyfikatów wykorzystywanych do uwierzytelniania w systemie.

W praktyce wielu użytkowników traktuje certyfikaty KSeF jedynie jako element techniczny – plik niezbędny do działania systemu – nie dostrzegając ich faktycznego znaczenia ani konsekwencji, jakie może przynieść ich utrata, skopiowanie czy przejęcie przez osoby trzecie. Tymczasem certyfikat stanowi w istocie cyfrowy klucz umożliwiający dostęp do systemu fakturowania oraz wykonywanie określonych operacji w imieniu przedsiębiorstwa.

Takie podejście do narzędzi uwierzytelniających jest szczególnie ryzykowne w środowisku, w którym korzystanie z systemu ma charakter powszechny i obejmuje również podmioty nieposiadające rozbudowanego zaplecza informatycznego ani specjalistycznych kompetencji w obszarze cyberbezpieczeństwa. Dla wielu małych i średnich przedsiębiorstw zarządzanie certyfikatami oraz zabezpieczanie dostępu do systemów informatycznych stanowi zupełnie nowy obszar odpowiedzialności.

Brak odpowiedniej wiedzy i procedur bezpieczeństwa po stronie użytkowników zwiększa podatność na różnego rodzaju zagrożenia. Mogą to być m.in. ataki phishingowe, złośliwe oprogramowanie przechwytujące certyfikaty lub inne formy ingerencji w systemy finansowo-księgowe przedsiębiorstw. W przypadku skutecznego ataku możliwe staje się m.in. nieautoryzowane wystawianie faktur, uzyskanie dostępu do wrażliwych danych gospodarczych czy zakłócenie bieżącego funkcjonowania firmy.

Konsekwencje takich incydentów mogą wykraczać jednak poza indywidualny interes poszczególnych podatników. W sytuacji, gdyby doszło do masowych naruszeń bezpieczeństwa lub powtarzających się incydentów związanych z przejęciem dostępu do systemu, mogłoby to poważnie osłabić zaufanie do KSeF jako narzędzia państwowego.

W szerszej perspektywie zagrożone byłoby również postrzeganie stabilności regulacyjnej państwa oraz zdolności administracji publicznej do bezpiecznego wdrażania systemów o charakterze powszechnym i obowiązkowym. Z tego względu kwestie cyberbezpieczeństwa oraz edukacji użytkowników powinny stanowić jeden z kluczowych elementów procesu wdrażania i funkcjonowania Krajowego Systemu e-Faktur.

W związku z powyższym Ministerstwo Finansów otrzymało poniższe pytania:

1. Czy Ministerstwo Finansów przeprowadziło analizę poziomu świadomości użytkowników Krajowego Systemu e-Faktur w zakresie bezpiecznego posługiwania się certyfikatami i innymi narzędziami uwierzytelniającymi?
2. Jakie konkretne ryzyka cyberbezpieczeństwa Ministerstwo identyfikuje w związku z powszechnym wykorzystywaniem certyfikatów KSeF przez podmioty nieposiadające specjalistycznej wiedzy informatycznej?
3. Czy Ministerstwo Finansów przewiduje, że przejęcie certyfikatu KSeF przez osoby trzecie może skutkować nieautoryzowanym wystawianiem faktur oraz innymi nadużyciami o istotnych konsekwencjach podatkowych i gospodarczych?
4. W jaki sposób Ministerstwo zamierza ograniczyć ryzyko ataków phishingowych, malware oraz innych zagrożeń skierowanych w systemy księgowe przedsiębiorców korzystających z KSeF?
5. Czy Ministerstwo bierze pod uwagę, że kumulacja niskiego poziomu adopcji KSeF, problemów technicznych oraz incydentów bezpieczeństwa może trwale podważyć zaufanie przedsiębiorców do tego systemu, a w szerszej perspektywie osłabić wiarygodność państwa jako regulatora i organizatora procesów cyfrowych?

Ministerstwo Finansów w odpowiedzi wskazało iż:

1. Czy Ministerstwo Finansów przeprowadziło analizę poziomu świadomości użytkowników Krajowego Systemu e-Faktur w zakresie bezpiecznego posługiwania się certyfikatami i innymi narzędziami uwierzytelniającymi?

Ministerstwo Finansów kładzie ogromny nacisk na kampanie informacyjną dotycząca korzystania z KSeF oraz na bezpieczeństwo danych. Szeroko prowadzona kampania informacyjna oraz komunikowane informacje mają na celu uświadomienie użytkowników o ewentualnych konsekwencjach nieprawidłowego/niewłaściwego używania narzędzi autoryzujących.

Warto wskazać w tym obszarze na przykład na treść komunikatu opublikowanego 9 grudnia 2025 r. na stronie Ministerstwa Finansów gdzie zawarto informacje dotyczące bezpieczeństwa danych:

UWAŻAJ! Oszuści mogą spróbować wyłudzić poufne dane i narazić cię na poważne
konsekwencje finansowe i prawne. Dlatego:

1. traktuj tokeny jak dane szczególnie wrażliwe,
2. nie udostępniaj ich osobom nieupoważnionym,
3. zachowaj szczególną czujność wobec prób wyłudzenia dostępu do tokenów. Ministerstwo Finansów apeluje, żeby tokeny i dane do logowania do MCU traktować z taką samą uwagą jak dane logowania do bankowości elektronicznej czy karty płatnicze. Nie przekazuj ich osobom nieuprawnionym.

Bezpieczeństwu KSeF poświęcone są również organizowane konferencje prasowe Kierownictwa Ministerstwa Finansów. Szczegółowe komunikaty i tezy komunikowane na briefingach prasowych dostępne są na stronie Ministerstwa Finansów (link: Bezpieczeństwo i dezinformacja w obszarze KSeF – Ministerstwo Finansów – Portal Gov.pl).

2. Jakie konkretne ryzyka cyberbezpieczeństwa Ministerstwo identyfikuje w związku z powszechnym wykorzystywaniem certyfikatów KSeF przez podmioty nieposiadające specjalistycznej wiedzy informatycznej?

Informujemy, że udostępnienie szczegółowych informacji dotyczących ryzyk z obszaru cyberbezpieczeństwa mogłoby stanowić potencjalny wektor ataku oraz prowadzić do obniżenia poziomu bezpieczeństwa systemu. Przedmiotowy system ma charakter kluczowy z punktu widzenia wrażliwości danych w nim przetwarzanych, a obowiązujące procedury bezpieczeństwa oraz regulacje wewnętrzne jednoznacznie wykluczają możliwość ujawniania tego typu informacji podmiotom trzecim.

3. Czy Ministerstwo Finansów przewiduje, że przejęcie certyfikatu KSeF przez osoby trzecie może skutkować nieautoryzowanym wystawianiem faktur oraz innymi nadużyciami o istotnych konsekwencjach podatkowych i gospodarczych?

Kwestie bezpieczeństwa KSeF są kluczowe dla Ministerstwa Finansów. Szczegółowe informacje w tym zakresie omówiono w odpowiedzi na punkt 1.

4. W jaki sposób Ministerstwo zamierza ograniczyć ryzyko ataków phishingowych, malware oraz innych zagrożeń skierowanych w systemy księgowe przedsiębiorców korzystających z KSeF?

KSeF nie generuje nowego wektora ataku, a nawet go niweluje, ponieważ faktury poza ustawowo określonymi wyjątkami nie będą rozsyłane mailowo, a będą przekazywane za pośrednictwem KSeF. Ministerstwo Finansów nie jest organem właściwym do rozpatrywania zagrożeń użytkowników. Zgłoszenia w tym zakresie należy kierować do właściwego CSIRT.

5. Czy Ministerstwo bierze pod uwagę, że kumulacja niskiego poziomu adopcji KSeF, problemów technicznych oraz incydentów bezpieczeństwa może trwale podważyć zaufanie przedsiębiorców do tego systemu, a w szerszej perspektywie osłabić wiarygodność państwa jako regulatora i organizatora procesów cyfrowych?

Wszelkie działania komunikacyjne dokonywane na etapie wdrażania KSeF mają na celu zwiększanie świadomości o KSeF. Dodatkowo, co kluczowe, zbudowanie systemu w sposób bezpieczny i zgodnie z najwyższymi standardami, wpłynie na wysoki poziom adopcji KSeF oraz zdecydowanie zmniejszy problemy techniczne oraz ograniczy incydenty bezpieczeństwa.

Do zabezpieczenia danych w KSeF używane są narzędzia szyfrowania i kryptografii, które są częścią infrastruktury Ministerstwa Finansów. KSeF, z uwagi na wrażliwość danych w nim przetwarzanych, podlega najwyższym standardom bezpieczeństwa.

System jest stabilny i został zaprojektowany w sposób umożliwiający obsługę w ciągu godziny takiej liczby faktur, która zwykle jest wystawiana w ciągu doby. KSeF był regularnie poddawany licznym testom, w tym testom wydajnościowym, bezpieczeństwa oraz odporności na awarie. Został także przetestowany w zakresie cyberbezpieczeństwa. KSeF spełnia również wymogi w zakresie ochrony danych osobowych. Wdrożenie KSeF poprzedzone jest również prowadzoną na ogromną skalę kampanią informacyjną.

Wypracowane, finalne rozwiązania prawne, techniczne i biznesowe są efektem szerokich konsultacji przeprowadzonych w 2024 r. i 2025 r. z udziałem rynku, w tym podatników, branży IT, księgowych, przedstawicieli JST, oraz organizacji zrzeszających przedsiębiorców. W konsultacjach wzięło udział 10 tysięcy podmiotów. Były to największe, przeprowadzone w historii resortu finansów konsultacje rozwiązań prawnych i biznesowych. W przygotowanych rozwiązaniach uwzględniono większość postulatów zgłoszonych w toku konsultacji. Szczegółowe odniesienie do wszystkich zgłoszonych postulatów zostało przedstawione w raportach z konsultacji, które są publicznie dostępne.

Wdrażanie systemu przebiegało zgodnie z przyjętym i podawanym do publicznej wiadomości harmonogramem, zarówno w kwestii technicznej jak i biznesowo-prawnej.

Przypominamy, że za 2026 r. nie będzie żadnych sankcji ani kar za błędy związane ze stosowaniem KSeF. Jest to czas dla nas wszystkich, aby wspólnie przejść przez proces wdrożenia, co pozwoli w pełni skorzystać z zalet systemu. Dzięki odroczeniu sankcji podatnicy będą mieli więcej czasu na dostosowanie się do nowych regulacji bez obawy o negatywne konsekwencje. Administracja skarbowa w pierwszych miesiącach funkcjonowania obowiązkowego KSeF będzie skupiała swoje działania na edukowaniu podatników oraz będzie wspierała ich w prawidłowym wypełnianiu nowego obowiązku.