Eksperci o fałszywych narracjach z sieci: KSeF nie służy inwigilacji ani handlowi danymi [ANALIZA]
Uruchomienie KSeF wywołało w sieci falę nieprawdziwych informacji, m.in. że system miałby służyć inwigilacji podatników, umożliwiać obcym służbom dostęp do danych lub pozwalać na ich sprzedaż przez urzędników. Z analizy przepisów i opinii ekspertów wynika, że są to fałszywe narracje.
Jedna z dezinformacji, która pojawiła się w mediach społecznościowych sugeruje, że część infrastruktury Krajowego Systemu e-Faktur (KSeF), która należy do systemu z USA, miałaby umożliwić amerykańskim służbom dostęp do danych polskich podatników. Jak ustalił „Dziennik Gazeta Prawna”, chodzi o amerykańską spółkę Imperva, należącą do francuskiego koncernu Thales, która oferuje rozwiązania WAF (Web Application Firewall) – zaporę sieciową chroniącą aplikacje i strony WWW poprzez filtrowanie, monitorowanie i blokowanie złośliwego ruchu oraz ochronę przed atakami DDoS.
Niezależny konsultant i badacz z Department of War Studies na King’s College London dr Łukasz Olejnik powiedział PAP, że „ochrona przed DDoS to konieczność, więc nie ma możliwości, by takiego krytycznego systemu nie chronić”. – Dostawcy technologii ochrony anty-DDoS mają dostęp do ruchu sieciowego. W dobrze zaprojektowanym systemie nie obejmowałoby to jednak treści wrażliwych, takich jak np. faktury – wyjaśnił PAP.
Dodał, że nawet inspekcja ruchu sieciowego w postaci odszyfrowanej nie powinna dawać możliwości wglądu w faktyczną treść danych. – Potrzebne jest więc dodatkowe szyfrowanie w warstwie wyższej, którego nie da się „zdjąć” po drodze w sieci – zaznaczył, podkreślając, że jest to technicznie możliwe, choć nie może potwierdzić, czy zostało wdrożone również w KSeF.
Komentarz w tej sprawie przekazało Ministerstwo Finansów „Dziennikowi Gazecie Prawnej” 26 stycznia. – Żadne systemy bezpieczeństwa, w tym rozwiązania typu WAF Cloud (Web Application Firewall), nie mają dostępu do treści faktur, ponieważ widzą jedynie zaszyfrowane dane i nie posiadają kluczy do ich odszyfrowania. Klucze mamy tylko my. Tylko system KSeF posiada możliwość odszyfrowania faktury przy użyciu metod szyfrowania stosowanych przez Ministerstwo Finansów z wykorzystaniem unikatowego klucza – głosi stanowisko MF.
Inną powtarzaną w sieci dezinformacją jest twierdzenie, że KSeF rzekomo służy inwigilacji. Informacjom tym zaprzeczył 28 stycznia wiceminister finansów i zastępca szefa Krajowej Administracji Skarbowej Zbigniew Stawicki podczas konferencji prasowej poświęconej systemowi. – Dane w KSeF nie ulegną zmianie w porównaniu z tym, do czego organy mają dostęp obecnie. Zmienia się wyłącznie sposób ich gromadzenia i przetwarzania, a nie zakres – podkreślił.
Z kolei, jak podaje Ministerstwo Finansów w swoim komunikacie dostępnym na stronie internetowej, KSeF ma pomóc państwu chronić przedsiębiorców przed nieuczciwą konkurencją bez konieczności przeprowadzania kontroli w firmach i żądania od nich dodatkowych dokumentów. Dane w KSeF pozwolą administracji skarbowej działać szybciej, a jednocześnie skuteczniej chronić uczciwych przedsiębiorców. – KSeF nie jest narzędziem służącym do inwigilacji – deklaruje resort.
Narracje przekazywane w sieci na temat KSeF sugerują również, że urzędnicy mieliby możliwość sprzedawania danych podatników. Szczególną popularność zdobyło nagranie opublikowane 23 stycznia na TikToku. Autor materiału twierdzi w nim, że „zna Pana, co chce składać oferty urzędnikom” rzekomo w celu zakupu danych firm. Jak mówi, „Pan jest z Białorusi i czeka, aż wejdzie KSeF”, aby kupować dane od urzędników „którzy za chwilę chcą odejść na emeryturę”. Wideo na TikToku zdobyło niemal 38 tys. wyświetleń, a udostępnione na jednym z wpisów na platformie X – 58,5 tys. Materiał był również powielany na Facebooku.
Dr Olejnik wytłumaczył, że „każde logowanie i wgląd w dokumenty muszą być odnotowane”. – Technicznie urzędnik musi mieć możliwość wglądu w dane, bo inaczej obieg gospodarczy lub śledztwa nie byłyby możliwe – powiedział PAP ekspert z zakresu cyberbezpieczeństwa. Dodał, że podobna kontrowersja jest obecnie we Francji, gdzie podejrzewano urzędniczkę tamtejszego fiskusa o wgląd w deklaracje i udostępnianie tych danych przestępcom. – Tutaj konieczna jest audytowalność. Przedsiębiorcy powinni więc wierzyć, że tak to działa i że ewentualne próby nadużyć zostaną wykryte – podkreślił.
Dyrektor Centrum Informatyki Resortu Finansów Roman Łożyński powiedział w rozmowie z PAP, że dostęp do danych będą mieli tylko ci pracownicy KAS, którzy przejdą określone procedury w zakresie udostępniania danych, np. w związku z prowadzonym przez nich postępowaniem. – Ruch oczywiście jest logowany; zapisywany po to, aby było wiadomo, kto uzyskał dostęp i co robi w systemie – podkreślił szef CIRF.
Również według informacji zamieszczonych na oficjalnej stronie internetowej Krajowego Systemu e-Faktur administracja skarbowa nie ma stałego wglądu w działalność podatników. Dostęp pracowników KSeF do danych będzie możliwy wyłącznie za zgodą przełożonego i tylko w ściśle określonych sytuacjach, takich jak czynności sprawdzające lub kontrolne. Każdy taki dostęp ma być ponadto monitorowany i podlegać audytowi.
Krajowy System e-Faktur w pierwszym etapie obejmuje wyłącznie największe firmy, czyli te, które w 2024 r. miały obroty przekraczające 200 mln zł. Według szacunków Ministerstwa Finansów takich firm jest około 4,2 tys. W drugim etapie, który rozpocznie się 1 kwietnia br., system obejmie pozostałe przedsiębiorstwa – z wyjątkiem najmniejszych, które mają zostać objęte KSeF od 1 stycznia 2027 r.
Weronika Moszpańska (PAP)
wm/ bst/ pś/ mhr/ grg/
