Interpelacja nr 14690

do ministra finansów i gospodarki

w sprawie zagrożeń cyberbezpieczeństwa oraz ryzyk reputacyjnych państwa związanych z funkcjonowaniem Krajowego Systemu e-Faktur

Zgłaszający: Janusz Kowalski

Data wpływu: 18-01-2026

Jednym z pomijanych, a jednocześnie kluczowych aspektów wdrażania Krajowego Systemu e-Faktur są zagrożenia związane z cyberbezpieczeństwem oraz niska świadomość użytkowników w zakresie ochrony narzędzi dostępowych do systemu, w szczególności tokenów i certyfikatów.

W praktyce znaczna część użytkowników traktuje certyfikaty KSeF wyłącznie jako „pliki techniczne“, nie dostrzegając ich rzeczywistej funkcji ani konsekwencji ich utraty, skopiowania lub przejęcia przez osoby trzecie. Taki sposób postrzegania narzędzi uwierzytelniających jest szczególnie niebezpieczny w środowisku, w którym obowiązek korzystania z systemu ma charakter powszechny i dotyczy również podmiotów nieposiadających zaplecza informatycznego ani kompetencji w zakresie cyberbezpieczeństwa.

Brak odpowiedniej wiedzy i procedur bezpieczeństwa po stronie użytkowników zwiększa podatność na ataki phishingowe, złośliwe oprogramowanie przechwytujące certyfikaty oraz inne formy ingerencji w systemy finansowo-księgowe przedsiębiorców. Skutkiem takich incydentów może być nieautoryzowane wystawianie faktur, dostęp do wrażliwych danych gospodarczych oraz destabilizacja bieżącej działalności firm.

Ryzyka te mają jednak wymiar szerszy niż indywidualne interesy podatników. W przypadku masowych incydentów bezpieczeństwa może dojść do poważnego podważenia zaufania do KSeF jako narzędzia państwowego. W konsekwencji jest zagrożone również postrzeganie stabilności regulacyjnej państwa oraz zdolności administracji publicznej do bezpiecznego wdrażania systemów o charakterze powszechnym i obowiązkowym.

W świetle powyższego proszę o udzielenie odpowiedzi na poniższe pytania:

  1. Czy Ministerstwo Finansów przeprowadziło analizę poziomu świadomości użytkowników Krajowego Systemu e-Faktur w zakresie bezpiecznego posługiwania się certyfikatami i innymi narzędziami uwierzytelniającymi?
  2. Jakie konkretne ryzyka cyberbezpieczeństwa ministerstwo identyfikuje w związku z powszechnym wykorzystywaniem certyfikatów KSeF przez podmioty nieposiadające specjalistycznej wiedzy informatycznej?
  3. Czy Ministerstwo Finansów przewiduje, że przejęcie certyfikatu KSeF przez osoby trzecie może skutkować nieautoryzowanym wystawianiem faktur oraz innymi nadużyciami o istotnych konsekwencjach podatkowych i gospodarczych?
  4. W jaki sposób ministerstwo zamierza ograniczyć ryzyko ataków phishingowych, malware oraz innych zagrożeń skierowanych w systemy księgowe przedsiębiorców korzystających z KSeF?
  5. Czy ministerstwo bierze pod uwagę, że kumulacja niskiego poziomu adopcji KSeF, problemów technicznych oraz incydentów bezpieczeństwa może trwale podważyć zaufanie przedsiębiorców do tego systemu, a w szerszej perspektywie osłabić wiarygodność państwa jako regulatora i organizatora procesów cyfrowych?