Duża zmiana w wystawianiu faktur

1 lutego wystartował państwowy Krajowy System e-Faktur 2.0 (KSeF). To platforma, która umożliwia wystawianie i otrzymywanie faktur drogą elektroniczną. Dzięki jej zastosowaniu wszystkie faktury będą wystawiane w wersji cyfrowej i automatyczne przekazywane do systemu. Za jego pomocą będą musieli je odbierać adresaci faktur (również ci, którzy ich nie wystawiają). 

Korzystanie z KSeF jest obecnie obowiązkowe dla dużych przedsiębiorców, tj. mających w 2024 roku obrót wyższy niż 200 mln zł, oraz odbierających faktury. Pozostali przedsiębiorcy będą musieli korzystać z systemu od 1 kwietnia bieżącego roku. 

Wyjątkiem są najmniejsze firmy, których łączna sprzedaż jest dokumentowana fakturami o wartości równej lub mniejszej niż 10 tys. zł miesięcznie. Ich obowiązek używania platformy obejmie od początku przyszłego roku. Warto też zaznaczyć, że wystawianie faktur w KSeF na rzecz osób prywatnych, czyli zwykłych konsumentów, pozostało dobrowolne.

Internauci alarmują: Amerykanie mają dostęp do informacji z KSeF

Jeszcze przed wprowadzeniem pełnej wersji KSeF, czyli w czasie, gdy obowiązywała wersja testowa platformy, w serwisach społecznościowych pojawiły się głosy zwracające uwagę na jej infrastrukturę techniczną. Wątpliwości użytkowników wzbudził fakt, że zgodnie z danymi DNS portal korzysta z narzędzi firmy Imperva.

Twierdzą, że ma to dawać amerykańskiej firmie dostęp do informacji przechowywanych w KSeF (np. 1, 2). Dodatkowo jej serwery mają znajdować się w Stanach Zjednoczonych, co według komentujących oznacza, że dane przechowywane w systemie są przetwarzane poza Europą. 

Bosak ostrzega: to wyprowadzanie danych poza Polskę

Podobnie sprawę skomentowali posłowie Konfederacji. Poseł Ryszard Wilk wyraził obawę, że Amerykanie mogliby wyłączyć system KSeF jednym przyciskiem.

Z kolei Krzysztof Bosak w serwisie X stwierdził, że „KSeF to wyprowadzanie danych Polaków poza Polskę”. Do wpisu dołączył nagranie z telewizyjnego występu, w którym wskazywał, że system realizuje prywatna firma należąca do francuskiego koncernu Thales. 

KSeF to wyprowadzanie danych Polaków poza Polskę. pic.twitter.com/AWD5VGiCYU

— Krzysztof Bosak 🇵🇱 (@krzysztofbosak) February 8, 2026

Na antenie Polsat News dodał również, że Imperva była wcześniej izraelskim przedsiębiorstwem, w związku z czym posiada całe zaplecze badawczo-rozwojowe w Izraelu. – Robimy rzecz, której nie zrobiły inne państwa europejskie. Inne państwa europejskie trzymają infrastrukturę, serwery, systemy logowania, uwierzytelniania u siebie. Nawet jeżeli współpracują z sektorem prywatnym – podsumował [czas nagrania: 00:38]. 

Imperva. Skąd pochodzi?

Rzeczywiście, wspomniana wcześniej firma należy do francuskiej korporacji Thales, której częściowym udziałowcem jest rząd Republiki Francuskiej. Działalność grupy Thales koncentruje się na produkcji uzbrojenia i sprzętu lotniczego oraz projektowaniu rozwiązań z zakresu cyberbezpieczeństwa.

Imperva została przez tę korporację zakupiona pod koniec 2023 roku. Wcześniej należała do amerykańskiej grupy Thoma Bravo, która odkupiła ją od izraelskich założycieli. 

Jak informuje firma, jej biura rozwoju są rozsiane po całym świecie. Główne kampusy tego typu znajdują się nie tylko w Izraelu, lecz także w Indiach i Ameryce Północnej. Z kolei siedziba Impervy mieści się w Stanach Zjednoczonych. 

Do czego służy narzędzie Impervy?

Imperva oferuje usługi z zakresu cyberbezpieczeństwa – skupia się na ochronie aplikacji przed atakami. Jak wynika z analizy odpowiedzi serwera KSeF, zastosowane w nim narzędzie należące do tej firmy to zapora WAF (ang. Web Application Firewall). 

Używa się jej do wykrywania i zatrzymywania ataków na strony internetowe i interfejsy API. Zapora pozwala także na wykrywanie niestandardowych zachowań użytkowników (np. botów) na podstawie żądań HTTP/HTTPS, a w efekcie – na ich blokowanie.

Jaką opcję wykorzystano w przypadku KSeF?

Na podstawie dostępnych danych dotyczących systemu KSeF nie możemy w jednoznaczny sposób stwierdzić, w jaki sposób zaimplementowano w nim zaporę WAF. Nie można jednoznacznie określić fizycznej lokalizacji serwera na podstawie wartości DNS.

Wszystko zależy od tego jak to zostało zaprojektowane, ale na bazie przytoczonych „dowodów” nie da się wysnuć jednoznacznie tych wniosków, co op.

— Niebezpiecznik (@niebezpiecznik) January 21, 2026

Jak twierdzi Mateusz Chrobok, pytany przez nas ekspert ds. cyberbezpieczeństwa, bez dokładnej wiedzy o infrastrukturze wykorzystywanej przez ministerstwo trudno jest ze stuprocentową pewnością potwierdzić, że serwer znajduje się w Polsce, chociaż „wiele na to wskazuje”, np. brak dużych opóźnień w przesyle pakietów. 

Pojawiające się w przestrzeni publicznej informacje dotyczące rzekomego dostępu do KSeF zagranicznych firm są nieprawdziwe.
🔗 https://t.co/PEA9eifa40 pic.twitter.com/qdB6UCaT4N

— Ministerstwo Finansów (@MF_GOV_PL) February 9, 2026

A co, gdyby serwery znajdowały się poza Polską?

Nawet gdyby serwery systemu KSeF nie znajdowały się w kraju, należy pamiętać o tym, że informacje przekazywane za jego pomocą są szyfrowane. Jak zapewnia ministerstwo, narzędzia wykorzystywane do kryptografii są częścią resortowej infrastruktury.

W związku z tym nikt poza Ministerstwem Finansów i Gospodarki nie ma dostępu do treści faktur. Przekazywane dane są zaszyfrowane, a w klucze do ich odszyfrowania wyposażony jest wyłącznie system KSeF – deszyfracja poza MF zdaniem resortu nie jest możliwa.

Resort nie komentuje rozwiązań ze względu na bezpieczeństwo

Zwróciliśmy się do Ministerstwa Finansów z prośbą o ustosunkowanie się do wątpliwości narastających wokół bezpieczeństwa systemu KSeF. Spytaliśmy, czy serwer zabezpieczeń WAF znajduje się fizycznie w Polsce i czy te zabezpieczenia zostały zaimplementowane w trybie on-premises.

W odpowiedzi poinformowano, że szczegóły dotyczące architektury technicznej kluczowych systemów nie są ujawniane. 

Kontroluj polityków!

Patrz władzy na ręce i wspieraj niezależność.

Wpłacam