do ministra finansów i gospodarki
w sprawie Krajowego Systemu e-Faktur
Zgłaszający: Łukasz Osmalak, Kamil Wnuk, Żaneta Cwalina-Śliwowska, Sławomir Ćwik, Piotr Górnikiewicz, Bożenna Hołownia, Rafał Kasprzyk, Adam Luboński, Barbara Okuła, Barbara Oliwiecka, Norbert Pietrykowski, Marcin Skonieczka, Ewa Szymanowska, Wioleta Tomczak
Data wpływu: 19-12-2025
Szanowny Panie Ministrze,
po ostatniej aktualizacji systemu KSeF 2.0 oznaczonej wersją RC6.0 ujawnił się istotny rozdźwięk pomiędzy przepisami ustawy a faktycznym sposobem działania systemu Krajowego Systemu e-Faktur, w szczególności w zakresie określenia daty odbioru faktury przez jej odbiorcę. Zgodnie z aktualnym funkcjonowaniem KSeF nadanie fakturze numeru KSeF oraz uzyskanie przez nią statusu poprawnego przyjęcia i zakończenia przetwarzania nie jest równoznaczne z możliwością jej udostępnienia odbiorcy. Udostępnienie to może nastąpić w terminie późniejszym, a w przypadku awarii systemu – co miało już miejsce – nawet z opóźnieniem kilkudniowym. Powyższe podważa jednoznaczność ustawowej definicji daty otrzymania faktury i rodzi wątpliwości co do prawidłowego ustalania skutków prawnych z nią związanych.
Kolejnym problemem są opisane w dokumentacji KSeF publikowanej przez Ministerstwo Finansów tzw. Potwierdzenia transakcji. Dokumenty te mogą być wystawiane w sytuacji, gdy faktura nie otrzymała jeszcze numeru KSeF. Opatrywane są one dwoma kodami QR: pierwszym identyfikującym fakturę (zawierającym skrót pliku XML) oraz drugim opartym na podpisie z użyciem certyfikatu offline. Już sam fakt stosowania certyfikatu offline w sytuacji, gdy faktura nie jest wystawiana w trybie offline, budzi uzasadnione wątpliwości interpretacyjne. Dodatkowy problem powstaje w przypadku odrzucenia faktury przez system KSeF z przyczyn technicznych. W takiej sytuacji jedynym przewidzianym mechanizmem jest dokonanie korekty technicznej, która – zgodnie z obowiązującymi przepisami – dotyczy wyłącznie faktur wystawianych w trybie offline. Trudno jednak uznać „Potwierdzenie transakcji” za dokument wystawiony w tym trybie. Przesłanie poprawionej wersji struktury logicznej faktury (XML) powoduje natomiast, że kod QR1 umieszczony na „Potwierdzeniu transakcji” staje się bezprzedmiotowy i nieodzwierciedlający faktycznego stanu dokumentu.
Zgłaszanym przez użytkowników problemem jest również sposób weryfikacji kodów QR2 stosowanych zarówno na „Potwierdzeniach transakcji”, jak i na fakturach offline. Weryfikacja ta obejmuje m.in. sprawdzenie ważności certyfikatu, jednak dokonywana jest według stanu na moment weryfikacji, a nie na moment wystawienia faktury lub potwierdzenia. W konsekwencji, po wygaśnięciu lub unieważnieniu certyfikatu, system komunikuje błąd, mimo że w chwili wystawienia dokumentu certyfikat był ważny i poprawny. Taki mechanizm wprowadza w błąd co do faktycznej poprawności dokumentu. Z powyższym wiąże się kolejna kwestia – brak możliwości wskazania daty początkowej, od której certyfikat należy uznać za skompromitowany, odpowiadającej momentowi stwierdzenia kompromitacji klucza i jego nieuprawnionego wykorzystania. W obecnym stanie wszystkie dokumenty opatrzone kodem QR2 są traktowane jako poprawne aż do momentu formalnego unieważnienia certyfikatu w systemie, niezależnie od faktycznej daty wystąpienia incydentu bezpieczeństwa.
Poważne obawy budzą również obowiązujące limity wywołań API w zakresie kluczowych funkcji bezpieczeństwa, w szczególności dotyczących unieważniania certyfikatów (np. w przypadku ich kradzieży) oraz unieważniania uwierzytelnionych sesji. W sytuacji stwierdzenia nieautoryzowanego dostępu do systemu limity te mogą uniemożliwić natychmiastowe odcięcie dostępu, co w praktyce pozwala osobom nieuprawnionym na dalsze działania w systemie.
W związku z powyższym zwracam się do Pana Ministra z następującymi pytaniami:
1. Czy Ministerstwo Finansów planuje doprecyzowanie przepisów ustawy poprzez jednoznaczne określenie daty otrzymania faktury jako daty faktycznej możliwości jej pobrania przez odbiorcę, czy też zmianę sposobu działania systemu KSeF w celu dostosowania go do obecnych zapisów ustawowych?
2. Czy planowane są zmiany w zakresie korekt technicznych umożliwiające ich stosowanie wobec faktur wystawianych online w kontekście wykorzystania „Potwierdzeń transakcji”, bądź inne rozwiązania eliminujące problem odrzucenia faktury przez KSeF po wydaniu takiego potwierdzenia?
3. Czy przewiduje się modyfikację zasad weryfikacji kodów QR2 w taki sposób, aby wynik weryfikacji nie wprowadzał w błąd co do poprawności dokumentu, który w momencie wystawienia był podpisany ważnym certyfikatem?
4. Czy planowane jest wprowadzenie możliwości wskazywania daty początkowej kompromitacji certyfikatu, tak aby dokumenty wystawione po tej dacie były jednoznacznie uznawane za niewłaściwe?
5. Czy Ministerstwo Finansów rozważa zniesienie lub modyfikację limitów wywołań krytycznych funkcji API związanych z reagowaniem na incydenty bezpieczeństwa, w celu skutecznego minimalizowania skutków nieautoryzowanego dostępu do systemu KSeF?
6. Czy w przypadku konieczności zmian legislacyjnych lub istotnych modyfikacji funkcjonowania systemu KSeF przewidywane jest przesunięcie terminu wejścia w życie obowiązku korzystania z KSeF?