KSeF i ryzyko przejęcia dostępu do faktur przez nieuprawnione osoby

Wraz z wdrożeniem Krajowego Systemu e-Faktur zmienia się nie tylko sposób dokumentowania sprzedaży, ale także podejście do bezpieczeństwa danych i dostępu do systemu. Kluczową rolę odgrywają tutaj certyfikaty i tokeny uwierzytelniające, które w praktyce działają jak cyfrowe klucze – umożliwiają wystawianie faktur oraz dostęp do wrażliwych informacji finansowych przedsiębiorstwa.

To właśnie w tym miejscu pojawia się istotne ryzyko. Jeśli takie dane dostępowe zostaną przejęte przez nieuprawnione osoby, mogą zostać wykorzystane do działania w imieniu firmy – bez jej wiedzy. Skutki mogą być poważne: od wystawiania fikcyjnych faktur, przez tworzenie pozornych zobowiązań podatkowych, aż po potencjalne nadużycia związane z wyłudzeniami VAT.

Certyfikat przestaje być więc jedynie elementem technicznym – staje się narzędziem o ogromnym znaczeniu operacyjnym. Co ważne, zagrożenia nie wynikają tu z błędów w przepisach, ale raczej z konstrukcji systemu, który przenosi odpowiedzialność za bezpieczeństwo w dużej mierze na użytkowników.

W praktyce firmowej sposób przechowywania i wykorzystywania certyfikatów często pozostawia wiele do życzenia. Zdarza się, że są one instalowane na wielu urządzeniach, przechowywane lokalnie bez odpowiednich zabezpieczeń lub przekazywane podmiotom zewnętrznym, takim jak biura księgowe. Taki model utrudnia kontrolę nad dostępem i zwiększa ryzyko nieautoryzowanego użycia.

Dodatkowym wyzwaniem jest poziom wiedzy w zakresie cyberbezpieczeństwa. Wielu przedsiębiorców nie ma wystarczających kompetencji, by właściwie ocenić zagrożenia związane z zarządzaniem dostępami. W efekcie rozwiązanie, które miało zwiększyć bezpieczeństwo i szczelność systemu podatkowego, może jednocześnie generować nowe ryzyka – trudniejsze do wykrycia i potencjalnie bardziej dotkliwe w skutkach.

W świetle powyższego Ministerstwo finansów otrzymało nastepujące pytania:

1. Czy Ministerstwo Finansów przeprowadziło analizę ryzyk związanych z kradzieżą lub nieuprawnionym użyciem certyfikatów i tokenów KSeF, a jeżeli tak – jakie konkretne zagrożenia zostały w niej zidentyfikowane oraz jakie mechanizmy ograniczania tych ryzyk zaproponowano?
2. Czy Ministerstwo Finansów realizowało lub planuje realizować dedykowane działania informacyjne lub szkoleniowe skierowane do użytkowników KSeF w zakresie bezpiecznego zarządzania certyfikatami i tokenami, a jeżeli tak – jakie są ich zakres, forma oraz grupa docelowa?
3. Czy Ministerstwo Finansów planuje wdrożyć obowiązkowe minimalne standardy przechowywania i używania certyfikatów KSeF przez podatników, w szczególności w zakresie ich zabezpieczenia, liczby stanowisk dostępowych oraz przekazywania certyfikatów podmiotom zewnętrznym?
4. Czy w ramach funkcjonowania KSeF przewidziano rozwiązania pozwalające jednoznacznie ustalić, kto faktycznie posługiwał się certyfikatem w przypadku wystawienia faktur bez wiedzy lub zgody podatnika?
5. Czy Ministerstwo Finansów zakłada wprowadzenie mechanizmów umożliwiających podatnikom szybkie zablokowanie lub unieważnienie certyfikatu KSeF, bez paraliżowania bieżącej działalności gospodarczej, w przypadku podejrzenia jego przejęcia lub nieuprawnionego użycia?

Udzielając odpowiedzi Ministerstwo Finansów wskazało, iż:

Ad 1 Czy Ministerstwo Finansów przeprowadziło analizę ryzyk związanych z kradzieżą lub nieuprawnionym użyciem certyfikatów i tokenów KSeF, a jeżeli tak – jakie konkretne zagrożenia zostały w niej zidentyfikowane oraz jakie mechanizmy ograniczania tych ryzyk zaproponowano?

Ministerstwo Finansów podczas prac związanych z budową KSeF 2.0 przeprowadziło analizę ryzyka związaną z szeroko rozumianą kwestią dostępu do systemu. System został stworzony z uwzględnieniem najlepszych praktyk rynkowych, a dane przekazywane do KSeF są przechowywane w bezpiecznej infrastrukturze resortu finansów, spełniającej krajowe oraz branżowe standardy bezpieczeństwa. Dzięki temu dane są w pełni chronione przed dostępem osób nieuprawnionych oraz potencjalnymi zagrożeniami.

Ryzyka, które zostały zidentyfikowanie w toku prac, dotyczyły głównie kwestii przestrzegania odpowiednich zasad bezpieczeństwa przez użytkowników podczas pracy w systemie (posługiwania się np. tokenami, certyfikatami). Z tej przyczyny Ministerstwo Finansów wprowadziło mechanizm umożliwiający podatnikom szybkie unieważnienie tokenu i certyfikatu KSeF oraz w razie potrzeby odebranie nadanych uprawnień. Dodatkowo Ministerstwo Finansów szeroko komunikuje (w publikowanych materiałach i komunikatach) jak ważne jest przestrzeganie zasad bezpieczeństwa w posługiwaniu się tokenami i certyfikatami KSeF.

Ad 2 Czy Ministerstwo Finansów realizowało lub planuje realizować dedykowane działania informacyjne lub szkoleniowe skierowane do użytkowników KSeF w zakresie bezpiecznego zarządzania certyfikatami i tokenami, a jeżeli tak – jaki jest ich zakres, forma oraz grupa docelowa?

Ministerstwo Finansów realizuje i kontynuuje działania informacyjne oraz szkoleniowe dla użytkowników KSeF, obejmujące m.in. kwestie bezpiecznego korzystania z certyfikatów i tokenów. W szczególności należy zwrócić tu między innymi uwagę na:

• Komunikat MF z dnia 1 listopada 2025 r: Ministerstwo Finansów udostępniło Moduł Certyfikatów i Uprawnień w KSeF – Ministerstwo Finansów – Portal Gov.pl,
• Komunikat MF z dnia 9 grudnia 2025 r. Generowanie tokenów w Module MCU już dostępne – Ministerstwo Finansów – Portal Gov.pl,
• Treści zawarte w Podręczniku KSeF 2.0 cz. I (Pliki do pobrania KSeF 2.0 – KSeF (Krajowy System e-Faktur),
• Informacje dostępne na stronie KSeF w zakładce: Certyfikaty KSeF – KSeF (Krajowy System e-Faktur),

Ministerstwo Finansów podkreśla, że nacisk na kwestie związane z bezpiecznym posługiwaniem się certyfikatami KSeF był kładziony również podczas cyklu szkoleń „Środy z KSeF” (Środy z KSeF | Moduł IV – Moduł Certyfikatów i Uprawnień MCU).

Wszystkie powyższe działania miały charakter powszechny i były kierowane do wszystkich użytkowników systemów oraz integratorów programów. Dodatkowo kwestiom bezpieczeństwa zostały poświęcone dwa briefingi prasowe w Ministerstwie Finansów. Więcej informacji: Bezpieczeństwo i dezinformacja w obszarze KSeF – Ministerstwo Finansów – Portal Gov.pl

Ad 3 Czy Ministerstwo Finansów planuje wdrożyć obowiązkowe minimalne standardy przechowywania i używania certyfikatów KSeF przez podatników, w szczególności w zakresie ich zabezpieczenia, liczby stanowisk dostępowych oraz przekazywania certyfikatów podmiotom zewnętrznym?

Ministerstwo Finansów wydaje zalecenia i rekomendacje, podkreślając odpowiedzialność podatników za wdrożenie własnych polityk bezpieczeństwa IT. Firmy powinny mieć jasne zasady dotyczące pobierania, przekazywania, używania, oraz unieważniania certyfikatów. Dzięki temu każda operacja w KSeF będzie bezpieczna i możliwa do rozliczenia.

Ad 4 Czy w ramach funkcjonowania KSeF przewidziano rozwiązania pozwalające jednoznacznie ustalić, kto faktycznie posługiwał się certyfikatem w przypadku wystawienia faktur bez wiedzy lub zgody podatnika?

Certyfikaty KSeF są przypisane do konkretnej osoby lub podmiotu i nie powinny być przekazywane osobom nieupoważnionym. Udostępnianie certyfikatu oznacza przekazanie pełnego dostępu do systemu i danych podmiotu.

Certyfikaty wydane na dane osoby fizyczne umożliwiają ustalenie kto wykonał działanie w systemie tzn. kto jest właścicielem tego certyfikatu.

Natomiast w przypadku certyfikatu KSeF wydanego dla podmiotu np. spółki (na jego NIP) nie jest on powiązany z konkretną osobą, zatem bezpośrednia identyfikacja osoby nie nastąpi. W takiej sytuacji – o czym szeroko informowaliśmy (m.in. w Podręczniku KSeF oraz na stronie: https://ksef.podatki.gov.pl/informacje-ogolne-ksef-20/certyfikaty-ksef) – organizacja powinna zadbać o właściwą rejestrację i rozliczalność operacji pobierania, przekazywania, wykorzystywania i unieważniania tych certyfikatów. Odpowiedzialność za przekazywanie certyfikatów konkretnym pracownikom i posługiwanie się nimi przy pracy w KSeF leży po stronie podmiotu.

Ad 5 Czy Ministerstwo Finansów zakłada wprowadzenie mechanizmów umożliwiających podatnikom szybkie zablokowanie lub unieważnienie certyfikatu KSeF w przypadku podejrzenia jego przejęcia lub nieuprawnionego użycia, bez paraliżowania bieżącej działalności gospodarczej?

Ministerstwo Finansów wprowadziło mechanizm umożliwiający podatnikom szybkie unieważnienie certyfikatu KSeF. Podatnik po wystąpieniu następujących okoliczności:

• utraty nośnika z kluczem prywatnym,
• ujawnienia klucza prywatnego,
• stwierdzenia incydentu bezpieczeństwa mogącego skutkować ujawnieniem klucza prywatnego,
• zmiany danych Subskrybenta lub, w przypadku weryfikacji – braku możliwości potwierdzenia tożsamości Subskrybenta,
• złożenia przez Subskrybenta dyspozycji unieważnienia z przyczyn innych niż wymienione powyżej,
• rażącego złamania przez Subskrybenta zasad, określonych w polityce certyfikacji, powinien, zgodnie z procedurą (Procedura wydania certyfikatu CCK MF KSEF), unieważnić certyfikat KSeF poprzez darmową Aplikację Podatnika KSeF lub przez aplikację wykorzystującą dedykowaną do tego funkcjonalność API KSeF.

Wnioski o unieważnienie przetwarzane są niezwłocznie i są nieodwracalne, co minimalizuje ryzyko sparaliżowania bieżącej działalności gospodarczej.

W przypadku unieważnienia certyfikatu konieczne jest powtórne złożenie wniosku o wystawienie certyfikatu KSeF, które będzie również realizowane bezzwłocznie, aby do minimum ograniczyć wpływ tych operacji na bieżącą działalność przedsiębiorcy, którego dotyczą.