KSeF (Krajowy System e-Faktur) to filar cyfryzacji polskich rozliczeń podatkowych, ale certyfikaty bezpieczeństwa dostawcy technologii nie są równoznaczne z gwarancją pełnej ochrony danych. Analiza architektury i jurysdykcji pokazuje, że mimo spełniania formalnych standardów, istnieją techniczne i prawne możliwości dostępu do wrażliwych informacji.
Certyfikaty i standardy – co naprawdę gwarantują?
Thales prezentuje zestaw renomowanych certyfikatów, m.in. FedRAMP (standard zgodności dla rozwiązań chmurowych używanych przez administrację USA) oraz PCI-DSS (standard bezpieczeństwa branży płatniczej), a także wdrożoną separację obowiązków w procesach operacyjnych. To ważne zabezpieczenia proceduralne, ale nie dowód na brak technicznych możliwości dostępu do danych.
Dla jasności przedstawiamy, co te standardy obejmują:
- FedRAMP – ramy oceny ryzyka i autoryzacji rozwiązań chmurowych w administracji publicznej USA;
- PCI-DSS – wymogi ochrony danych płatniczych (np. segmentacja, monitoring, kontrola dostępu);
- Separacja obowiązków – podział uprawnień tak, by jedna osoba nie miała pełnej kontroli nad systemem.
Certyfikacja potwierdza zgodność z procesami, nie zaś „niemożliwość” wglądu w dane. Audyty weryfikują procedury i architekturę, a nie realny, ciągły brak dostępu na poziomie możliwości technologicznych.
Architektura systemu – reverse proxy i terminacja TLS
W KSeF cała komunikacja z API przechodzi przez reverse proxy/WAF firmy Imperva (należącej do Thales). To nie jest pasywny przekaźnik ruchu – w tym punkcie następuje terminacja TLS, czyli zakończenie szyfrowania.
Ruch jest odszyfrowywany poza infrastrukturą państwową, ponieważ certyfikaty i klucze warstwy transportowej obsługuje dostawca. Taka topologia odpowiada scenariuszowi Adversary-in-the-Middle (MITRE ATT&CK T0830): formalnie filtracja i ochrona, lecz technicznie – potencjalny wgląd w przesyłane treści lub metadane.
Dwuwarstwowe szyfrowanie – fikcja czy rzeczywistość?
Resort finansów deklaruje użycie end-to-end encryption (E2EE): faktura ma być szyfrowana kluczem publicznym KSeF już po stronie podatnika, a WAF – nawet po terminacji TLS – widzi jedynie wewnętrzną, dodatkową warstwę szyfru.
Według dostępnych informacji pełne E2EE „od podatnika do serwerów MF” nie zostało wdrożone w sposób eliminujący ryzyka metadanych i inspekcji pośredniej. Skutkiem jest to, że obecna konfiguracja może ujawniać metadane i – zależnie od implementacji – umożliwiać analizę ruchu na poziomie WAF.
Dla czytelności zestawiamy założenia i praktyczne ryzyka w jednym miejscu:
| Aspekt | Założenie/komunikat | Ryzyko w praktyce |
|---|---|---|
| Terminacja TLS | Szyfrowany ruch jest bezpieczny podczas transmisji | Odszyfrowanie następuje u dostawcy WAF, więc węzeł pośredni widzi treść warstwy aplikacyjnej (o ile brak dodatkowego szyfrowania E2EE) |
| E2EE | Faktury są szyfrowane kluczem KSeF po stronie podatnika | Niewystarczające E2EE pozostawia widoczne metadane i nie eliminuje możliwości analizy ruchu |
| WAF/Reverse proxy | Warstwa ochronna filtruje i blokuje zagrożenia | Punkt technicznego dostępu do strumienia danych i metadanych na brzegu systemu |
| Certyfikacje | Zgodność z FedRAMP/PCI-DSS gwarantuje bezpieczeństwo | Potwierdzają procesy, nie fizyczną niemożliwość wglądu w dane |
Problem jurysdykcji – CLOUD Act i dostęp służb
Jurysdykcja ma znaczenie tak samo jak technologia. Thales posiada silną obecność w USA i podlega CLOUD Act (2018), który umożliwia amerykańskim organom żądanie danych od podmiotów objętych ich prawem – nawet jeśli dane są przechowywane poza terytorium USA.
W praktyce oznacza to, że w razie prawomocnego nakazu sądowego dostawca może zostać zobligowany do udostępnienia informacji, co wprowadza ryzyko ingerencji niezależne od polskiej jurysdykcji i stawia KSeF w potencjalnej kolizji z interesem państwowym lub biznesowym.
Szczególne ryzyka metadanych
Nawet przy zaszyfrowanych fakturach metadane mogą pozostać dostępne. Według charakterystyki warstw sieciowych i aplikacyjnych, dostawca WAF może obserwować m.in.:
- kto komunikuje się z KSeF i kiedy,
- wielkość i rytm transferów danych,
- wzorce aktywności poszczególnych podmiotów,
- kto w danej firmie ma uprawnienia do KSeF i w jakim zakresie.
Takie informacje mają wartość strategiczną – pozwalają wnioskować o skali działalności, sezonowości, zmianach operacyjnych czy węzłach decyzyjnych w organizacjach.
Porównanie z innymi krajami UE
Na tle UE Polska jest wyjątkiem: warstwa WAF/reverse proxy w newralgicznym systemie fiskalnym jest obsługiwana przez podmiot zagraniczny. W wielu krajach stosuje się rozwiązania własne lub krajowe w krytycznych elementach łańcucha bezpieczeństwa, ograniczając ekspozycję na obcą jurysdykcję.
Problemy architektoniczne znane od lat
Audyt zlecony przez Ministerstwo Finansów wskazał istotne mankamenty projektowe, w tym wpływ na wydajność, odporność i rozwój systemu. Jak ujęto to w raporcie:
„błędy w architekturze IT, które przełożyły się na aspekty takie jak wydajność KSeF, jego odporność oraz zdolność do utrzymania i dalszego rozwoju systemu”
To wskazuje na problem systemowy, a nie incydentalny – potwierdzony również planowanymi przerwami technicznymi (np. 26–31 stycznia 2026) jako próbą testów odporności.
Konkluzja praktyczna
Certyfikaty Thales gwarantują procedury i procesy, nie fizyczną niemożliwość dostępu do danych. Teoretycznie warstwy ochrony – E2EE, szyfrowanie transportowe, separacja obowiązków – budują wielopoziomową tarczę.
W praktyce węzeł pośredni obsługiwany przez zagraniczną firmę i objęty obcą jurysdykcją pozostaje potencjalnym punktem wglądu w strumień danych i metadanych – bez potrzeby włamania do serwerów państwowych.
Dla przedsiębiorstw oznacza to zarządzanie, a nie wyeliminowanie ryzyka: akceptację, że udział w KSeF wiąże się z kalkulowanym poziomem ekspozycji. Certyfikacje są ważnym elementem układanki, ale nie dają pewności, że wrażliwe dane podatkowe (faktury, marże, struktury kontraktów) pozostaną definitywnie poza zasięgiem podmiotów trzecich, w tym tych działających pod amerykańskim szyldem.
