Interpelacja w sprawie zagrożeń cyberbezpieczeństwa oraz ryzyk reputacyjnych państwa związanych z KSeF

Interpelacja posła Janusza Kowalskiego z dnia 18 stycznia 2026 roku w sprawie zagrożeń cyberbezpieczeństwa oraz ryzyk reputacyjnych państwa związanych z funkcjonowaniem Krajowego Systemu e-Faktur.

Jednym z pomijanych, a jednocześnie kluczowych aspektów wdrażania Krajowego Systemu e-Faktur są zagrożenia związane z cyberbezpieczeństwem oraz niska świadomość użytkowników w zakresie ochrony narzędzi dostępowych do systemu, w szczególności tokenów i certyfikatów.

W praktyce znaczna część użytkowników traktuje certyfikaty KSeF wyłącznie jako „pliki techniczne“, nie dostrzegając ich rzeczywistej funkcji ani konsekwencji ich utraty, skopiowania lub przejęcia przez osoby trzecie. Taki sposób postrzegania narzędzi uwierzytelniających jest szczególnie niebezpieczny w środowisku, w którym obowiązek korzystania z systemu ma charakter powszechny i dotyczy również podmiotów nieposiadających zaplecza informatycznego ani kompetencji w zakresie cyberbezpieczeństwa.

Brak odpowiedniej wiedzy i procedur bezpieczeństwa po stronie użytkowników zwiększa podatność na ataki phishingowe, złośliwe oprogramowanie przechwytujące certyfikaty oraz inne formy ingerencji w systemy finansowo-księgowe przedsiębiorców. Skutkiem takich incydentów może być nieautoryzowane wystawianie faktur, dostęp do wrażliwych danych gospodarczych oraz destabilizacja bieżącej działalności firm.

Ryzyka te mają jednak wymiar szerszy niż indywidualne interesy podatników. W przypadku masowych incydentów bezpieczeństwa może dojść do poważnego podważenia zaufania do KSeF jako narzędzia państwowego. W konsekwencji jest zagrożone również postrzeganie stabilności regulacyjnej państwa oraz zdolności administracji publicznej do bezpiecznego wdrażania systemów o charakterze powszechnym i obowiązkowym.

Mając na uwadze powyższe, poseł Janusz Kowalski zwrócił się o odpowiedź na następujące pytania:

1. Czy Ministerstwo Finansów przeprowadziło analizę poziomu świadomości użytkowników Krajowego Systemu e-Faktur w zakresie bezpiecznego posługiwania się certyfikatami i innymi narzędziami uwierzytelniającymi?

2. Jakie konkretne ryzyka cyberbezpieczeństwa ministerstwo identyfikuje w związku z powszechnym wykorzystywaniem certyfikatów KSeF przez podmioty nieposiadające specjalistycznej wiedzy informatycznej?

3. Czy Ministerstwo Finansów przewiduje, że przejęcie certyfikatu KSeF przez osoby trzecie może skutkować nieautoryzowanym wystawianiem faktur oraz innymi nadużyciami o istotnych konsekwencjach podatkowych i gospodarczych?

4. W jaki sposób ministerstwo zamierza ograniczyć ryzyko ataków phishingowych, malware oraz innych zagrożeń skierowanych w systemy księgowe przedsiębiorców korzystających z KSeF?

5. Czy ministerstwo bierze pod uwagę, że kumulacja niskiego poziomu adopcji KSeF, problemów technicznych oraz incydentów bezpieczeństwa może trwale podważyć zaufanie przedsiębiorców do tego systemu, a w szerszej perspektywie osłabić wiarygodność państwa jako regulatora i organizatora procesów cyfrowych?

Oto odpowiedź Ministerstwa Finansów z dnia 11 lutego 2026 roku:

1. Czy Ministerstwo Finansów przeprowadziło analizę poziomu świadomości użytkowników Krajowego Systemu e-Faktur w zakresie bezpiecznego posługiwania się certyfikatami i innymi narzędziami uwierzytelniającymi?

Ministerstwo Finansów kładzie ogromny nacisk na kampanie informacyjną dotycząca korzystania zKSeF oraz na bezpieczeństwo danych. Szeroko prowadzona kampania informacyjna oraz komunikowane informacje mają na celu uświadomienie użytkowników o ewentualnych konsekwencjach nieprawidłowego/niewłaściwego używania narzędzi autoryzujących.

Warto wskazać w tym obszarze na przykład na treść komunikatu opublikowanego 9 grudnia 2025 r. na stronie Ministerstwa Finansów gdzie zawarto informacje dotyczące bezpieczeństwa danych:

UWAŻAJ! Oszuści mogą spróbować wyłudzić poufne dane i narazić cię na poważne konsekwencje finansowe i prawne. Dlatego: traktuj tokeny jak dane szczególnie wrażliwe, nie udostępniaj ich osobom nieupoważnionym, zachowajszczególną czujność wobec prób wyłudzenia dostępu do tokenów.

Ministerstwo Finansów apeluje, żeby tokeny i dane do logowania do MCU traktować z taką samą uwagą jak dane logowania do bankowości elektronicznej czy karty płatnicze. Nie przekazuj ich osobom nieuprawnionym.

Bezpieczeństwu KSeF poświęcone są również organizowane konferencje prasowe Kierownictwa Ministerstwa Finansów. Szczegółowe komunikaty i tezy komunikowane na briefingach prasowych dostępne są na stronie Ministerstwa Finansów (link: Bezpieczeństwo i dezinformacja w obszarze KSeF - Ministerstwo Finansów - Portal Gov.pl).

2. Jakie konkretne ryzyka cyberbezpieczeństwa Ministerstwo identyfikuje w związku z powszechnym wykorzystywaniem certyfikatów KSeF przez podmioty nieposiadające specjalistycznej wiedzy informatycznej?

Informujemy, że udostępnienie szczegółowych informacji dotyczących ryzyk z obszaru cyberbezpieczeństwa mogłoby stanowić potencjalny wektor ataku oraz prowadzić do obniżenia poziomu bezpieczeństwa systemu. Przedmiotowy system ma charakter kluczowy z punktu widzenia wrażliwości danych w nim przetwarzanych, a obowiązujące procedury bezpieczeństwa oraz regulacje wewnętrzne jednoznacznie wykluczają możliwość ujawniania tego typu informacji podmiotom trzecim.

3. Czy Ministerstwo Finansów przewiduje, że przejęcie certyfikatu KSeF przez osoby trzecie może skutkować nieautoryzowanym wystawianiem faktur oraz innymi nadużyciami o istotnych konsekwencjach podatkowych i gospodarczych?

Kwestie bezpieczeństwa KSeF są kluczowe dla Ministerstwa Finansów. Szczegółowe informacje w tym zakresie omówiono w odpowiedzi na punkt 1 przedmiotowej interpelacji.

4. W jaki sposób Ministerstwo zamierza ograniczyć ryzyko ataków phishingowych, malware oraz innych zagrożeń skierowanych w systemy księgowe przedsiębiorców korzystających z KSeF?

KSeF nie generuje nowego wektora ataku, a nawet go niweluje, ponieważ faktury poza ustawowo określonymi wyjątkami nie będą rozsyłane mailowo, a będą przekazywane za pośrednictwem KSeF. Ministerstwo Finansów nie jest organem właściwym do rozpatrywania zagrożeń użytkowników. Zgłoszenia w tym zakresie należy kierować do właściwego CSIRT.

5. Czy Ministerstwo bierze pod uwagę, że kumulacja niskiego poziomu adopcji KSeF, problemów technicznych oraz incydentów bezpieczeństwa może trwale podważyć zaufanie przedsiębiorców do tego systemu, a w szerszej perspektywie osłabić wiarygodność państwa jako regulatora i organizatora procesów cyfrowych?

Wszelkie działania komunikacyjne dokonywane na etapie wdrażania KSeF mają na celu zwiększanie świadomości o KSeF. Dodatkowo, co kluczowe, zbudowanie systemu w sposób bezpieczny i zgodnie z najwyższymi standardami, wpłynie na wysoki poziom adopcji KSeF oraz zdecydowanie zmniejszy problemy techniczne oraz ograniczy incydenty bezpieczeństwa.

Do zabezpieczenia danych w KSeF używane są narzędzia szyfrowania i kryptografii, które są częścią infrastruktury Ministerstwa Finansów. KSeF, z uwagi na wrażliwość danych w nim przetwarzanych, podlega najwyższym standardom bezpieczeństwa. System jest stabilny i został zaprojektowany w sposób umożliwiający obsługę w ciągu godziny takiej liczby faktur, która zwykle jest wystawiana w ciągu doby. KSeF był regularnie poddawany licznym testom, w tym testom wydajnościowym, bezpieczeństwa oraz odporności na awarie. Został także przetestowany w zakresie cyberbezpieczeństwa. KSeF spełnia również wymogi w zakresie ochrony danych osobowych. Wdrożenie KSeF poprzedzone jest również prowadzoną na ogromną skalę kampanią informacyjną. Wypracowane, finalne rozwiązania prawne, techniczne i biznesowe są efektem szerokich konsultacji przeprowadzonych w 2024 r. i 2025 r. z udziałem rynku, w tym podatników, branży IT, księgowych, przedstawicieli JST, oraz organizacji zrzeszających przedsiębiorców. W konsultacjach wzięło udział 10 tysięcy podmiotów.

Były to największe, przeprowadzone w historii resortu finansów konsultacje rozwiązań prawnych i biznesowych. W przygotowanych rozwiązaniach uwzględniono większość postulatów zgłoszonych w toku konsultacji. Szczegółowe odniesienie do wszystkich zgłoszonych postulatów zostało przedstawione w raportach z konsultacji, które są publicznie dostępne pod adresem: https://legislacja.rcl.gov.pl/projekt/12391205/katalog/13092624#13092624 Wdrażanie systemu przebiegało zgodnie z przyjętym i podawanym do publicznej wiadomości harmonogramem, zarówno w kwestii technicznej jak i biznesowoprawnej. Przypominamy, że za 2026 r. nie będzie żadnych sankcji ani kar za błędy związane ze stosowaniem KSeF. Jest to czas dla nas wszystkich, aby wspólnie przejść przez proces wdrożenia, co pozwoli w pełni skorzystać z zalet systemu.

Dzięki odroczeniu sankcji podatnicy będą mieli więcej czasu na dostosowanie się do nowych regulacji bez obawy o negatywne konsekwencje. Administracja skarbowa w pierwszych miesiącach funkcjonowania obowiązkowego KSeF będzie skupiała swoje działania na edukowaniu podatników oraz będzie wspierała ich w prawidłowym wypełnianiu nowego obowiązku.

Źródło: www.sejm.gov.pl