Interpelacja nr 14719

do ministra finansów i gospodarki

w sprawie bezpieczeństwa związanego z obrotem certyfikatami i tokenami w Krajowym Systemie e-Faktur

Zgłaszający: Janusz Kowalski

Data wpływu: 20-01-2026

Model funkcjonowania Krajowego Systemu e-Faktur opiera się na wykorzystaniu certyfikatów i tokenów uwierzytelniających, które w praktyce zapewniają dostęp do kluczowych funkcji systemu, w tym do wystawiania faktur oraz wglądu w dokumentację sprzedażową podatnika. Oznacza to, że przejęcie takiego narzędzia dostępowego może skutkować pełnym podszyciem się pod podatnika w obrocie gospodarczym.

W praktyce certyfikat KSeF staje się odpowiednikiem uniwersalnego klucza do systemu fakturowania. Jego nieuprawnione użycie może prowadzić do wystawiania fikcyjnych faktur, generowania pozornych zobowiązań podatkowych, a w konsekwencji do wyłudzeń podatku VAT. Skala potencjalnych nadużyć nie wynika przy tym z luk w prawie, lecz z samej konstrukcji systemu, który przenosi istotne ryzyka bezpieczeństwa na użytkowników końcowych.

Szczególne wątpliwości budzi sposób przechowywania i wykorzystywania certyfikatów w praktyce obrotu gospodarczego. W wielu podmiotach certyfikaty są przechowywane lokalnie, bez odpowiednich zabezpieczeń, instalowane na wielu stanowiskach roboczych lub przekazywane zewnętrznym biurom rachunkowym. Taki model użytkowania utrudnia kontrolę nad dostępem, rozmywa odpowiedzialność oraz zwiększa ryzyko naruszeń przepisów o ochronie danych osobowych.

Należy również zauważyć, że znaczna część użytkowników KSeF nie posiada wystarczającej wiedzy z zakresu cyberbezpieczeństwa, aby samodzielnie ocenić ryzyka związane z obrotem certyfikatami i tokenami. W efekcie system, który w założeniu ma zwiększać szczelność i bezpieczeństwo rozliczeń podatkowych, może generować nowe, trudne do wykrycia nadużycia, a także ryzyka reputacyjne dla państwa jako administratora centralnej infrastruktury fakturowania.

W świetle powyższego proszę o udzielenie odpowiedzi na poniższe pytania:

  1. Czy Ministerstwo Finansów przeprowadziło analizę ryzyk związanych z kradzieżą lub nieuprawnionym użyciem certyfikatów i tokenów KSeF, a jeżeli tak – jakie konkretne zagrożenia zostały w niej zidentyfikowane oraz jakie mechanizmy ograniczania tych ryzyk zaproponowano?
  2. Czy Ministerstwo Finansów realizowało lub planuje realizować dedykowane działania informacyjne lub szkoleniowe skierowane do użytkowników KSeF w zakresie bezpiecznego zarządzania certyfikatami i tokenami, a jeżeli tak – jakie są ich zakres, forma oraz grupa docelowa?
  3. Czy Ministerstwo Finansów planuje wdrożyć obowiązkowe minimalne standardy przechowywania i używania certyfikatów KSeF przez podatników, w szczególności w zakresie ich zabezpieczenia, liczby stanowisk dostępowych oraz przekazywania certyfikatów podmiotom zewnętrznym?
  4. Czy w ramach funkcjonowania KSeF przewidziano rozwiązania pozwalające jednoznacznie ustalić, kto faktycznie posługiwał się certyfikatem w przypadku wystawienia faktur bez wiedzy lub zgody podatnika?
  5. Czy Ministerstwo Finansów zakłada wprowadzenie mechanizmów umożliwiających podatnikom szybkie zablokowanie lub unieważnienie certyfikatu KSeF, bez paraliżowania bieżącej działalności gospodarczej, w przypadku podejrzenia jego przejęcia lub nieuprawnionego użycia?