Zmiana, której nie widać w przepisach
W ostatnich tygodniach rozmawiałem z kilkunastoma dyrektorami finansowymi i prezesami średnich firm produkcyjnych. Pytałem o KSeF. Odpowiedzi były podobne: „Mamy to pod kontrolą. Księgowość współpracuje z IT, system ERP jest gotowy, idziemy na czas."
Żaden z nich nie wspomniał o bezpieczeństwie.
To zrozumiałe. KSeF jest prezentowany jako projekt podatkowy — cyfryzacja fakturowania, automatyzacja rozliczeń, walka z oszustwami VAT. Przepisy mówią o strukturach XML, terminach przesyłania, karach za niezgodność. Nic o tym, że przez jeden centralny system będą przepływać dane opisujące całą działalność handlową polskiej gospodarki.
A przecież właśnie to się dzieje. Około dwóch milionów podmiotów zacznie przesyłać do jednego miejsca informacje o swoich kontrahentach, cenach, wolumenach, terminach płatności. Dla firmy handlowej to pełny obraz operacji. Dla producenta — mapa łańcucha dostaw. Dla analityka z odpowiednim dostępem — możliwość odtworzenia kondycji finansowej, strategii cenowej i zależności biznesowych praktycznie każdej firmy w kraju.
Wartość tych danych wykracza daleko poza ich znaczenie podatkowe.
Perspektywa, która umyka
Ministerstwo Finansów zapewnia o zabezpieczeniach systemu. Wiceminister Łoboda wskazał niedawno, że pełny dostęp do danych KSeF będzie miało „kilkadziesiąt osób w całym kraju" z certyfikatem o klauzuli „tajne". System ma trzy poziomy bezpieczeństwa. ABW przeprowadzi audyt.
Te zapewnienia dotyczą jednak tylko jednej strony równania — infrastruktury państwowej. Pomijają drugą, równie istotną: każdą firmę, która z tą infrastrukturą się łączy.
Każda integracja systemu ERP z KSeF to nowy punkt styku. Nowe miejsce, w którym przechowywane są dane uwierzytelniające. Nowa ścieżka, którą może podążyć atakujący. I nowa odpowiedzialność, która spoczywa nie na Ministerstwie Finansów, lecz na przedsiębiorcy.
RODO tego nie zmienia — firma pozostaje administratorem danych przetwarzanych przez system. Odpowiedzialność za ich ochronę nie przenosi się na państwo tylko dlatego, że państwo dostarczyło infrastrukturę.
Anatomia ryzyka
Przyjrzyjmy się, jak w praktyce wygląda integracja z KSeF w typowej średniej firmie.
System ERP łączy się z API Ministerstwa Finansów. Do uwierzytelnienia używa tokena lub certyfikatu — ciągu znaków lub klucza kryptograficznego, który potwierdza tożsamość podmiotu. Ten token musi być gdzieś przechowywany. W konfiguracji systemu. Na serwerze. Czasem w pliku, do którego dostęp ma więcej osób, niż powinien.
Kto w firmie wie, gdzie dokładnie znajduje się ten token? Kto ma do niego dostęp? Co się stanie, gdy pracownik IT, który konfigurował integrację, odejdzie z firmy? Czy ktoś unieważni jego dostęp? Czy w ogóle istnieje procedura, która to przewiduje?
W większości firm, z którymi rozmawiam, odpowiedzi na te pytania są niepewne lub nieistniejące.
To nie jest zarzut wobec konkretnych organizacji. To obserwacja systemowa. KSeF został wdrożony jako projekt podatkowy, więc firmy traktują go jak projekt podatkowy. Dział księgowości definiuje wymagania, dział IT je realizuje, zarząd zatwierdza budżet. Nikt nie pyta działu bezpieczeństwa, bo nikt nie myśli o tym w kategoriach bezpieczeństwa.
Tymczasem każdy token to potencjalny klucz do danych całej firmy. Każda źle zabezpieczona integracja to otwarte drzwi.
Wartość, której nie widać w bilansie
Spróbujmy na chwilę przyjąć perspektywę kogoś, kto chciałby te drzwi wykorzystać.
Dostęp do konta KSeF firmy produkcyjnej pozwala pobrać historię wszystkich faktur. Z tej historii można odtworzyć listę dostawców i odbiorców, strukturę cen i marż, sezonowość sprzedaży, zależności od kluczowych kontrahentów. Można oszacować kondycję finansową przez analizę terminów płatności. Można zidentyfikować słabe punkty w łańcuchu dostaw.
Dla konkurenta to bezcenna wiedza strategiczna. Dla podmiotu przygotowującego wrogie przejęcie — materiał do wyceny i negocjacji. Dla aktora państwowego zainteresowanego sektorem obronnym lub energetycznym — mapa zależności, których nie znajdzie w żadnym publicznym rejestrze.
Polska jest jednym z najintensywniej atakowanych cybernetycznie krajów świata. W pierwszej połowie 2025 roku wykryto u nas więcej ataków ransomware niż w Stanach Zjednoczonych. KSeF — jako centralny punkt agregacji danych gospodarczych — staje się naturalnym celem. Nie dlatego, że system jest źle zabezpieczony, lecz dlatego, że koncentruje wartość w jednym miejscu.
Słabe ogniwo
Atakujący rzadko uderzają w najlepiej chronione punkty. Szukają drogi najmniejszego oporu. W ekosystemie KSeF tą drogą nie jest infrastruktura Ministerstwa Finansów. Jest nią firma, która łączy się z tą infrastrukturą przez pośpiesznie skonfigurowaną integrację.
Eksperci od bezpieczeństwa wskazują na powtarzający się wzorzec: organizacje realizują integracje z KSeF w pośpiechu, stosując konta techniczne o nadmiernych uprawnieniach i niewystarczająco zabezpieczone interfejsy API. To tworzy podatny grunt pod ataki na łańcuch dostaw oprogramowania — kompromitacja jednego dostawcy systemu ERP może otworzyć dostęp do danych fakturowych setek jego klientów.
Jest też prostszy scenariusz, który nie wymaga żadnego włamania do systemów.
Pracownik księgowości otrzymuje e-mail: „PILNE: Błąd uwierzytelnienia w KSeF. Twoje faktury nie zostały przesłane. Kliknij tutaj, aby zweryfikować dane logowania." Wiadomość wygląda wiarygodnie. Pracownik jest pod presją terminów. Boi się kar za błędy. Klika.
Phishing „na KSeF" już trwa. Powszechność obowiązku — dwa miliony podmiotów — sprawia, że praktycznie każda firma jest potencjalnym celem. Scenariusze są przewidywalne: fałszywe komunikaty o problemach z uwierzytelnieniem, wiadomości o konieczności aktualizacji certyfikatów, powiadomienia o błędach wymagające „natychmiastowej weryfikacji". Wszystkie prowadzące do stron wyłudzających dane lub instalujących złośliwe oprogramowanie.
Ministerstwo Finansów nie wysyła e-maili z linkami do logowania. Ale ilu pracowników w Twojej firmie o tym wie?
Dowiedz się więcej o bezpieczeństwie w Twojej organizacji
Potrzebujesz wsparcia w ocenie bezpieczeństwa integracji z KSeF?
Pytanie o odpowiedzialność
W tradycyjnym projekcie IT odpowiedzialność jest jasna. Dział IT wdraża system, odpowiada za jego działanie. W projekcie podatkowym odpowiedzialność też jest jasna — dział finansowy zapewnia zgodność z przepisami.
KSeF łączy oba światy, ale dodaje trzeci wymiar, który nie mieści się w żadnym z nich. Wymiar bezpieczeństwa informacji.
Kto w firmie powinien przeprowadzić ocenę ryzyka integracji z KSeF? Kto powinien zweryfikować, czy dostawca oprogramowania ERP ma odpowiednie certyfikacje bezpieczeństwa? Kto powinien opracować procedury reagowania na incydent — na sytuację, w której ktoś uzyskuje nieautoryzowany dostęp do danych fakturowych firmy?
W większości organizacji te pytania nie padły, bo nikt nie pomyślał, żeby je zadać. KSeF to przecież projekt podatkowy.
Co robią ci, którzy myślą inaczej
Firmy, które traktują KSeF jako projekt bezpieczeństwa, podejmują działania wykraczające poza minimalną zgodność z przepisami.
Zaczynają od inwentaryzacji: gdzie przechowywane są dane uwierzytelniające, kto ma do nich dostęp, jakie uprawnienia mają konta techniczne. Weryfikują dostawcę oprogramowania — pytają o certyfikacje, o politykę reagowania na incydenty, o to, gdzie przechowuje dane klientów.
Szkolą pracowników, którzy będą korzystać z systemu. Nie w obsłudze interfejsu, lecz w rozpoznawaniu prób manipulacji. Uczą ich, jak wygląda prawdziwy komunikat z Ministerstwa Finansów, czego nigdy nie poprosi oficjalna korespondencja, komu zgłaszać podejrzane wiadomości.
Przygotowują procedury reagowania. Co zrobić, gdy wykryjesz nieautoryzowany dostęp? Kto podejmuje decyzje? Jak szybko możesz zidentyfikować zakres potencjalnego wycieku? Jak komunikujesz się z kontrahentami, których dane mogły zostać narażone?
Wyznaczają osobę odpowiedzialną. Nie za „wdrożenie KSeF" — to robi IT i księgowość. Za bezpieczeństwo integracji. Za nadzór nad tym, czy zabezpieczenia działają, czy procedury są przestrzegane, czy ludzie wiedzą, co robić.
Koszt zaniechania
Można argumentować, że to przesada. Że ryzyko jest teoretyczne, a koszty dodatkowych zabezpieczeń realne. Że firmy radziły sobie do tej pory i poradzą sobie nadal.
Rozważmy jednak scenariusze, które przestają być teoretyczne w momencie, gdy dwa miliony podmiotów zaczyna przesyłać dane do jednego systemu.
Atakujący uzyskuje dostęp do tokena. Pobiera historię faktur. Sprzedaje dane konkurencji lub żąda okupu. Firma staje przed dylematem: zapłacić, czy ryzykować upublicznienie informacji o kontrahentach i cenach. Niezależnie od decyzji, naruszenie RODO oznacza potencjalne kary do 4% rocznego obrotu i obowiązek powiadomienia wszystkich, których dane zostały narażone.
Albo inny scenariusz: atakujący nie kradnie danych, lecz wystawia fałszywe faktury w imieniu firmy. Kontrahenci otrzymują wezwania do zapłaty, które wyglądają autentycznie — bo technicznie są wystawione przez właściwy podmiot w KSeF. Chaos w rozliczeniach, tygodnie wyjaśnień, zniszczone relacje biznesowe.
Albo najprostszy: ransomware przez phishing. Pracownik klika w link „aktualizacja KSeF". Złośliwe oprogramowanie szyfruje systemy finansowe. W okresie obowiązkowego KSeF firma nie może wystawiać faktur. Paraliż operacyjny trwa, dopóki nie zapłacisz okupu lub nie odtworzysz systemów z kopii zapasowych — o ile je masz.
Zmiana perspektywy
Ten artykuł nie ma na celu wywoływania paniki. KSeF to projekt, który niesie realne korzyści — usprawnienie rozliczeń, ograniczenie oszustw podatkowych, automatyzację procesów, które do tej pory wymagały ręcznej pracy.
Chodzi o coś innego. O zmianę sposobu myślenia o tym, czym KSeF naprawdę jest.
Nie jest tylko zmianą w przepisach podatkowych. Nie jest tylko projektem IT. Jest fundamentalną zmianą w architekturze przepływu informacji, która tworzy nowe ryzyka obok nowych możliwości.
Firmy, które potraktują go wyłącznie jako obowiązek do spełnienia, mogą spełnić ten obowiązek i jednocześnie otworzyć lukę, o której istnieniu nie będą wiedzieć — do momentu, gdy ktoś ją wykorzysta.
Firmy, które potraktują go jako projekt bezpieczeństwa informacji, podejmą działania, które wykraczają poza minimalną zgodność. Zainwestują w przygotowanie zamiast płacić za naprawę.
W cyberbezpieczeństwie to nie jest kwestia „czy", lecz „kiedy". KSeF podnosi stawkę dla wszystkich graczy. Pytanie brzmi: czy Twoja firma jest przygotowana na grę, w którą właśnie wchodzi?
Na koniec: trzy pytania do zarządu
Zanim zamkniesz ten artykuł, rozważ trzy pytania, które warto zadać na najbliższym spotkaniu kierownictwa:
- Kto w naszej organizacji jest odpowiedzialny za bezpieczeństwo integracji z KSeF? Nie za wdrożenie — za bezpieczeństwo. Jeśli odpowiedź brzmi „nikt konkretny" lub „to część obowiązków IT", masz lukę w strukturze odpowiedzialności.
- Czy wiemy, gdzie przechowywane są dane uwierzytelniające do KSeF i kto ma do nich dostęp? Jeśli odpowiedź wymaga sprawdzenia — a tym bardziej jeśli nikt nie wie, kogo zapytać — masz lukę w kontroli dostępu.
- Co zrobimy, jeśli ktoś uzyska nieautoryzowany dostęp do naszego konta w KSeF? Jeśli nie ma procedury, nie ma wyznaczonych osób, nie wiadomo, jak komunikować się z kontrahentami — masz lukę w zdolności reagowania.
Te trzy pytania nie wymagają budżetu ani zewnętrznych konsultantów. Wymagają tylko decyzji, że warto je zadać.
KSeF wchodzi za kilka dni. Czas na odpowiedzi jest teraz.
Kluczowe daty:
1 lutego 2026 — KSeF obowiązkowy dla podmiotów o obrotach powyżej 200 mln zł
1 kwietnia 2026 — KSeF obowiązkowy dla pozostałych podatników VAT
31 grudnia 2026 — wygaśnięcie tokenów jako metody uwierzytelniania
1 stycznia 2027 — wyłącznie certyfikaty KSeF, początek egzekwowania kar
Prawidłowy adres Aplikacji Podatnika: ksef.podatki.gov.pl
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
