Rozmawiamy z Romanem Łożyńskim, dyrektorem Centrum Informatyki Resortu Finansów (CIRF) – jednostki podległej Ministrowi Finansów i Gospodarki, odpowiedzialnej za utrzymanie i rozwój systemów informatycznych resortu, służących m.in. do poboru podatków, ewidencji i analiz danych podatkowych.
Fundacja Think!: KSeF centralizuje ogromne ilości danych o obrotach i transakcjach w całym kraju. Jakie mechanizmy bezpieczeństwa chronią tę bazę przed atakami z zewnątrz i błędami ludzkimi?
Roman Łożyński: Ministerstwo Finansów prowadzi wiele zadań w zakresie cyfryzacji. W procesie tym udział bierze także CIRF. Stosujemy standardowe narzędzia używane przez duże organizacje – chronimy brzeg sieci, mamy własne polityki i systemy zabezpieczające przed atakami DDoS. Wykorzystujemy w tym celu ochronę wielowarstwową, dzięki czemu „odsuwamy” atakującego od naszej infrastruktury, by ataki były mitygowane na narzędziach nie należących bezpośrednio do niej. Metodę przetestowaliśmy w ramach akcji e-PIT na początku 2025 r. Mogę powiedzieć w dużym uproszczeniu, że odparliśmy około miliona ataków o różnej skali i poziomie zaawansowania i żaden poważny nie przedostał się przez zabezpieczenia. Część prób była automatyczna lub trywialna, ale co najmniej kilkaset to były zorganizowane ataki, ale one również zakończyły się niepowodzeniem dla atakujących.
Jaki był cel tych ataków? Pozyskanie danych podatników?
Częste są ataki DDoS, których celem jest zablokowanie możliwości świadczenia usług. Doświadczaliśmy zarówno ataków wolumetrycznych (wysycenie łącza), jak i ataków na usługi DNS. Wszystkie, nawet kilkugodzinne ataki skutecznie zmitygowaliśmy – bez wpływu na działanie usług podatkowych. Współpracujemy na bieżąco z krajowymi CSIRT-ami (CSIRT ABW, CSIRT MON itd.), wymieniamy dane i korzystamy ze tych instytucji. Ta współpraca realnie podnosi odporność na ataki.
Wielu przedsiębiorców obawia się, że KSeF zwiększa ryzyko ujawnienia wrażliwych informacji handlowych.
Moim zdaniem jest odwrotnie. Papierową fakturę można skopiować bez śladu w dowolnej liczbie egzemplarzy. Cyfrowe repozytoria podnoszą poprzeczkę – dokumenty są zaszyfrowane, a każdy dostęp do nich jest rejestrowany (wymóg RODO). Ryzyko wycieku istnieje zawsze, ale nie jest większe niż dziś, a kontrola dostępu jest lepsza niż w obiegu papierowym.
W jaki sposób system chroni dane firm przed wyciekiem i dostępem konkurencji do informacji o kontrahentach? Kto ma wgląd do faktur w KSeF?
Mamy rozbudowany system uprawnień i monitoringu. Uprawnienia otrzymują wyłącznie osoby upoważnione, a każdy dostęp jest logowany. Pracownicy urzędów skarbowych mają dostęp na podstawie upoważnień – tak jak do tej pory. Zmienia się jedynie forma tych dokumentów – pojawiają się w postaci cyfrowej.
Czy urzędnik może zajrzeć do każdej faktury, czy dostęp jest technicznie ograniczony do konkretnych przypadków (np. kontroli)?
Tak jak dotychczas – na podstawie upoważnień. Każdy wgląd jest rejestrowany i dostępny do weryfikacji przez przedsiębiorcę.
Czy przedsiębiorca ma gwarancję, że dane nie przepadną, a działalność nie zostanie zablokowana?
KSeF to rejestr faktur. Prowadzimy stałą politykę kopii zapasowych. System działa w architekturze wysokiej dostępności – dane są równolegle zapisywane w dwóch ośrodkach, a dodatkowo wykonujemy backupy (kopie odmiejscowione). Prawdopodobieństwo utraty danych wskutek awarii jest w praktyce zerowe.
Firmy handlowe przetwarzają tysiące faktur miesięcznie, w tym wiele zwrotów towarów). Jak KSeF poradzi sobie z obsługą dużej liczby korekt faktur VAT, szczególnie w branżach e-commerce, gdzie procesy są bardzo dynamiczne?
W KSeF nie ma „anulowania” faktur – stosuje się faktury korygujące (w tym korektę „do zera”). Korekty pozycji działają normalnie: faktura pierwotna i korygująca są widoczne z numerami KSeF, a bilans sprzedaży uwzględnia korekty.
Wydajność systemu KSeF 2.0 wg stanu na dziś spełnia wymagania MF. Nasze testy wskazują nawet wyższą wydajność zarówno dla wysyłania, jak i pobierania dokumentów. Oczywiście życie zweryfikuje te dane.
Co w przypadku awarii Internetu lub dłuższego braku łączności? Czy są regulacje w przepisach?
W razie awarii KSeF informacja pojawi się w BIP MF – wtedy podatnicy mogą wystawiać faktury papierowe lub w swoich systemach i po usunięciu awarii mają 7 dni na ich wysłanie przez API w trybie offline. Przewidzieliśmy też tryb „offline24” – gdy problem z łącznością dotyczy podatnika. Data wystawienia może różnić się do 24 h od daty rejestracji w KSeF; rejestrujemy oba znaczniki czasu, by unikać sporów.
Dodatkowo – do 31 grudnia 2026 r. nie są przewidywane kary za spóźnienia w wysyłaniu faktur. Czyli jest to takie odroczenie po to, abyśmy wszyscy ustabilizowali się w tym systemie.
Część firm zgłasza, że po testach integracji zmiany w API wymusiły ponowne wdrożenia. Czy CIRF wprowadzi stabilny harmonogram aktualizacji? Gdzie publikowane są informacje techniczne?
Od 30 czerwca (API KSeF 2.0) zaszły bodajże dwie modyfikacje – nie powinny wymagać pełnej reintegracji, raczej korekt parametrów. Staramy się komunikować zmiany z wyprzedzeniem, w określonych terminach. Informacje są publikowane na stronie https://ksef.gov.pl oraz na środowiskach GitHub (dokumentacja, biblioteki dla .NET i Javy). Wiele firm już skorzystało z możliwości integracji i obserwujemy wysokie wolumeny przesłanych danych testowych.
Warto dodać: KSeF 2.0 to nowy system z rozbudowanym interfejsem API – powstał w oparciu o ustalenia z przedsiębiorcami (załączniki, ewidencjonowanie płatności). Rozwiązano też ograniczenia wydajnościowe poprzedniej wersji. 15 października osiągnęliśmy kamień milowy wdrożenia KSEF 2.0 – udostępniono kolejne środowisko testowe API, oraz włączono mechanizmy cyberbezpieczeństwa.
Czy CIRF analizuje koszty wdrożenia KSeF po stronie firm (finansowe i organizacyjne)? Czy będą formy wsparcia dla MŚP?
CIRF buduje i utrzymuje systemy, ale by obniżyć koszty mikroprzedsiębiorców, powstają darmowe aplikacje: Aplikacja Podatnika oraz E-mikrofirma. Pozostali przedsiębiorcy poniosą koszty podobne jak do tej pory przy każdej aktualizacji oprogramowania – związane z utrzymaniem swoich systemów fakturowania (aktualizacje jak co roku). Resort finansów prowadzi szkolenia (informacje m.in. w urzędach skarbowych), a na https://ksef.gov.pl udostępniono podręcznik KSEF 2.0. Dodatkowo działają środowiska integracyjne do testów wysyłania i pobierania faktur.
Jakie korzyści z KSeF są najbardziej realne dla przedsiębiorców? Czy system rzeczywiście skróci kontrole, przyspieszy zwroty VAT i ograniczy liczbę błędów w rozliczeniach?
Po pierwsze – „depapieryzacja”: znika obowiązek przechowywania segregatorów; państwo zapewnia przechowywanie faktur przez 10 lat. Po drugie – nie ma duplikatów: w KSeF zawsze mamy oryginał, więc nie da się zgubić faktury. Po trzecie – automatyzacja: numer KSeF i ustandaryzowane formaty dokumentów ułatwiają integrację z systemami ERP lub FK, co przyspiesza księgowanie i zmniejsza liczbę błędów. Być może jeszcze nie wszyscy wdrożą u siebie procesy automatyzacji od 1 lutego 2026, ale po jakimś czasie od uruchomienia KSEF 2.0 te procedury zaczną być widoczne jako korzyść po stronie przedsiębiorcy. Wdrożenie KSEF 2.0 wiąże się także ze skróceniem czasu na zwrot VAT do 40 dni.
