do ministra cyfryzacji, ministra finansów i gospodarki, ministra obrony narodowej
w sprawie ujawnienia ryzyk związanych z Krajowym Systemem e-Faktur oraz podjęcia pilnych działań korygujących i naprawczych
Zgłaszający: Krzysztof Tuduj, Michał Wawer, Witold Tumanowicz, Krzysztof Mulawa
Data wpływu: 09-02-2026
Szanowni Panowie Ministrowie,
w związku z wprowadzaniem i rozszerzaniem obowiązków związanych z Krajowym Systemem e-Faktur (KSeF) zwracam się z wnioskiem o wyczerpujące wyjaśnienia oraz przedstawienie planu minimalizowania ryzyk, które w praktyce narażają podmioty zajmujące się obrotem gospodarczym oraz bezpieczeństwo państwa polskiego. Poniższe uwagi powstają na podstawie praktycznych zgłoszeń z rynku, analiz prawnych i doniesień medialnych dotyczących realnych problemów, które mogą doprowadzić do poważnych szkód ekonomicznych oraz prawnych. Zdecydowanie nie są to wszystkie ryzyka związane z wdrożeniem KSeF-u.
Po pierwsze - zakres gwarancji wynikających z art. 106m ust. 5 pkt 3 ustawy o podatku od towarów i usług (Dz. U. 2004 Nr 54 poz. 535), zgodnie z którym faktury ustrukturyzowane otrzymywane przez podatnika przy użyciu KSeF są traktowane jako zachowujące autentyczność pochodzenia i integralność treści.
W praktyce stwarza to paradoks prawny. Ustawodawca zapewnia, że faktury z KSeF mają status „autentycznych” i „integralnych”, jednak system nie rozwiązuje problemu wystawiania faktur błędnych, omyłkowych, albo wystawionych świadomie w związku z nieistniejącymi (fikcyjnymi) transakcjami w celu wyłudzenia zapłaty od odbiorcy. W sytuacji sporu między stronami (np. sprzedawca wystawia fakturę korygującą, a nabywca jej nie akceptuje) może dojść do paraliżu rozliczeniowego. Wywołuje to pytanie: czy administracja państwowa poprzez nadanie statusu autentyczności i integralności nie przerzuca na przedsiębiorcę/odbiorcę obowiązku wykazywania, że dany dokument mimo oznaczeń w KSeF jest wadliwy lub nierzetelny, a więc dotyczy nieistniejącej transakcji? Jeśli tak, jakie procedury odwoławcze i zabezpieczenia prawne zostaną zagwarantowane? System nie umożliwia anulowania („skasowania”) takiej faktury a jedynie jej zgłoszenie, pod warunkiem, że przedsiębiorca lub obsługujące go biuro rachunkowe w ogóle ją zidentyfikuje w gąszczu pozostałych wpływających faktur, których sam nie może autoryzować i wyrazić zgody na ich przyjęcie. Absurd tej sytuacji polega na tym, że Ministerstwo Finansów z góry zakłada, iż faktury wprowadzane do KSeF będą uczciwe, rzetelne i bezbłędne, a odbiorca zawsze będzie przyjmował wszystko w ciężar kosztów swojej działalności.
Przyjmijmy sytuację hipotetyczną: Zdenerwowany obywatel na złość rządzącej partii zacznie brać faktury opłacone gotówką podając NIP (ogólnodostępny) Kancelarii Prezesa Rady Ministrów lub podając NIP dowolnego innego podmiotu. Taka faktura trafi zatem do KSeF oraz bezpośrednio do odbiorcy bez możliwości jej wycofania. Racjonalnym będzie tu założenie, iż w skali kraju takich sytuacji będzie więcej niż pojedyncze przypadki, a faktury będą dotyczyły kontrowersyjnych rzeczy i/lub usług. Ponadto taka osoba mając wszelkie potrzebne dane do wyszukania w KSeF danej faktury lub posiadająca odpowiedni kod QR może ją udostępnić np. mediom, żeby wzbudzić kontrowersje i szum medialny. Czy system ma jakiekolwiek zabezpieczenia, które zablokują takie działania? Na ten moment absolutnie nie.
Po drugie - bezpieczeństwo informacji gospodarczych i ryzyko wycieku danych wrażliwych.
Na przestrzeni wielu lat KSeF ma stać się centralnym repozytorium miliardów dokumentów finansowych. Jednocześnie eksperci i przedsiębiorcy zgłaszali wątpliwości co do poziomu zabezpieczeń, mechanizmów wykrywania nadużyć i praktyk dostępu. Zwracam uwagę, że system centralny o takiej skali stwarza atrakcyjny cel dla ataków hakerskich oraz - przy braku wystarczających mechanizmów kontroli dostępu i audytu - ryzyko nieuprawnionego ujawnienia informacji dotyczących m.in. kontraktów krytycznych z punktu widzenia bezpieczeństwa państwa polskiego np. sektor obronny, militaria, infrastruktura krytyczna, energetyka. Dane jednostek o znaczeniu strategicznym są szczególnie narażone na ataki i próby pozyskania przez obcy wywiad. Organy administracji państwowej publikowały stanowiska odpierające te zarzuty, jednak opisane obawy pozostają realne i wymagają niezależnej, transparentnej weryfikacji bezpieczeństwa systemu przez strony trzecie. Ponadto wyciek informacji stworzy realne zagrożenie dla konkurencyjności polskich przedsiębiorców. Szczególnie jeśli chodzi o firmy zagraniczne, w tym również finansujące terroryzm i/lub dokonujące prania brudnych pieniędzy, które bardzo chętnie przyjmą wszelkie informacje o kosztach, przychodach i relacjach konkurencji. Przedsiębiorcy mają uzasadnioną obawę, że informacje - kto kupuje od kogo i za ile będą wyciekać z systemu i powodować nierówną konkurencję. Proszę o informację o pełnych wynikach niezależnych testów penetracyjnych i audytów bezpieczeństwa przeprowadzonych wobec KSeF oraz planie naprawczym dla usterek zgłaszanych publicznie, a także o informacje, czy istnieje lub powstanie w najbliższym czasie plan awaryjny na wypadek wycieku danych krytycznych z perspektywy bezpieczeństwa państwowego? Najlepsze z punktu widzenia bezpieczeństwa byłoby wyłącznie podmiotów o znaczeniu strategicznym z obowiązku uczestnictwa w KSeF.
Po trzecie - system techniczny i organizacyjny KSeF zmienia codzienne obowiązki prowadzących działalność gospodarczą.
Konieczność nauki obsługi platformy, integracji systemów księgowych, raportowania i obsługi błędów generuje realne koszty zarówno finansowe (np. wdrożenia, oprogramowanie, wsparcie techniczne), jak i czasowe (przekierowanie pracy właścicieli i pracowników z działalności operacyjnej na zadania ewidencyjno-deklaracyjne). Przedsiębiorcy sygnalizują, że takie obowiązki obciążają szczególnie mikro i małe firmy, obniżając ich konkurencyjność, w tym zwłaszcza w porównaniu z jednostkami zagranicznymi, które nie są zobowiązane do wystawiania faktur w KSeF, a dostarczają towary i/lub usługi na rynek polski. Nowe obowiązki zwiększają ryzyko błędów prowadzących do potencjalnych przyszłych sankcji administracyjnych i komplikacji dla przedsiębiorców. Ten problem był szeroko sygnalizowany w mediach i raportach branżowych. Ponadto, jeżeli system technicznie będzie napotykał problemy i awarie, a przedsiębiorcy z tego tytułu będą zmuszeni wystawiać faktury w standardowej formie poza KSeF, powstanie chaos i jeszcze większy nieład podsycony irytacją społeczeństwa. W konsekwencji prowadzi to do realnego zagrożenia, iż mikro, mali i średni przedsiębiorcy będą woleli zamknąć swoje działalności i świadczyć pracę na rzecz dużych podmiotów, często z zagranicznym, a nie polskim kapitałem. Taka sytuacja mocno dotknie gospodarki naszego kraju wpływając na spadek PKB, naruszy bezpieczeństwo państwa polskiego oraz przyczyni się do wzrostu bezrobocia. To nie jest czarnowidztwo, to logiczny ciąg przyczynowo-skutkowy działań podejmowanych przez organy administracji państwowej. W efekcie KSeF, który ma uszczelnić system podatkowy realnie przełoży się na obniżenie wpływów budżetowych i rozwój tzw. szarej strefy oraz wzrost bezrobocia, którego likwidacja – z perspektywy dnia dzisiajszego – spowoduje nieuzasadnione wydatki budżetowe.
Po czwarte - sytuacja osób prowadzących działalność nierejestrowaną i mikroprzedsiębiorców.
Choć KSeF docelowo ma obsługiwać transakcje B2B, to praktyka rynkowa (wymagania kontrahentów) może zmusić drobnych dostawców do rejestracji i obsługi KSeF-u, jeżeli odbiorca zażąda wystawienia faktury ustrukturyzowanej. Grozi to zwiększeniem obciążeń administracyjnych zarówno po stronie KSeF jak i tych podmiotów, a jednocześnie - paradoksalnie - może zachęcać część osób do szukania „szybszych” i nierejestrowanych form rozliczeń poza oficjalnym obiegiem, co zwiększy skalę tzw. szarej strefy. Perspektywa przedsiębiorcy: „Po co mam angażować czas, żeby rejestrować się w KSeF i wystawiać tam fakturę, rozliczmy się w gotówce bez faktury”. Takie ryzyko jest już przedmiotem komentarzy i dyskusji praktyków oraz ekspertów z różnych dziedzin.
Po piąte - nadawanie i używanie numeru KSeF jako identyfikatora płatności oraz procedura dla płatności zbiorczych.
Zapowiedź obowiązku podawania numeru KSeF w tytule przelewu oraz konieczność wygenerowania zbiorczego identyfikatora dla płatności dotyczących wielu faktur stwarza znaczące obciążenia operacyjne i ryzyko błędów w rozliczeniach. W sytuacji, gdy płatność jest wykonywana zbiorczo za kilka faktur, konieczne będzie zwrócenie się do KSeF o nadanie numeru zbiorczego, co dodatkowo obciąży administracyjnie system i wydłuży czas realizacji przelewu. Taka mechanika może prowadzić do opóźnień w księgowaniach, problemów z uznaniem płatności i w efekcie do zagrożenia płynności finansowej sprzedawców, a także do wątpliwości w kwestii prawa do odliczenia VAT naliczonego u kupujących. Czy organy administracji państwowej naprawdę wierzą, że przedsiębiorcy będą posługiwali się numerem KSeF realizując przelewy? Nawiązując do poprzednich argumentów, przedsiębiorcy ograniczą rozliczenia elektroniczne i wrócą do używania gotówki. Im bardziej ten obowiązek będzie egzekwowany, tym bardziej organy administracji państwowej pogorszą nastroje społeczne, które już teraz są burzliwe i tym mniej będzie „uczciwych” podatników.
Po szóste - procedury korygowania dokumentów.
Zmiany prawne przewidują sukcesywną likwidację not korygujących i zastąpienie ich wyłącznie fakturami korygującymi, co w praktyce oznacza, że błahą (formalną) korektę, która dotychczas mogła być dokonana prostą notą korygującą, będzie trzeba rozliczać jako nową fakturę korygującą w systemie KSeF. To tym bardziej obciąży system, który będzie takie dane przechowywał 10 lat licząc od końca roku, w którym zostały wprowadzone. Należy tu również zaznaczyć, że przedsiębiorcy nie mieli i nie mają możliwości wystawienia faktury w warunkach testowych, żeby nauczyć się na własnym przypadku jak działa system, a co za tym idzie nie są przygotowani do poprawnego użytkowania KSeF już w pierwszych dniach jego obowiązywania. Grozi to chaosem operacyjnym i „zaśmieceniem” systemu błędnymi dokumentami oraz wielokrotnymi korektami w pierwszych miesiącach obowiązywania KSeF. Czy organy administracji państwowej przewidziały jak ogromne będą to bazy danych i czy jest w stanie zagwarantować ich utrzymanie oraz bieżącą obsługę? Aktualnie nawet o wiele mniejsze bazy i rejestry państwowe (np. e-PIT) napotykają problemy techniczne.
Po siódme - dostęp do faktur przez osoby trzecie i możliwość ich wyszukania po znanych parametrach.
Obecne reguły dostępu (tj. faktura identyfikowana i pobierana po numerze identyfikującym, NIP, wartość itp.) rodzą obawy, że osoba mająca informacje o danych wymaganych w procesie wyszukiwania może uzyskać dostęp do faktury bez wiedzy i zgody właściciela danych. Co więcej, jest to możliwe również po zeskanowaniu kodu QR z faktury bez żadnego uwierzytelnienia. Należy jednoznacznie wyjaśnić użytkownikom, jakie mechanizmy kontroli dostępu i logowania zdarzeń (audit-trail) są wprowadzone, kto ma prawo przeglądać dokumenty i w jakich okolicznościach, oraz jakie sankcje i środki powiadamiania są przewidziane na wypadek nieautoryzowanego dostępu. Zwracam się o udostępnienie szczegółowych reguł nadawania uprawnień i trybu powiadamiania przedsiębiorcy o próbach dostępu do dokumentów dotyczących jego działalności.
Po ósme - kwestia certyfikatów dostępu do KSeF a odpowiedzialność za działania użytkowników.
W obecnym modelu uwierzytelniania w KSeF jednym z kluczowych elementów technicznych jest certyfikat KSeF, który ma służyć potwierdzeniu tożsamości podmiotu lub osoby w systemie i umożliwiać wykonywanie operacji związanych z elektronicznym wystawianiem faktur. Certyfikaty te mogą być wydawane na podmiot (firmę) - identyfikowany zazwyczaj przez NIP - lub na osobę fizyczną - identyfikowaną np. poprzez PESEL - w zależności od sposobu uwierzytelnienia w systemie. Taki mechanizm uwierzytelnienia rodzi jednak istotne ryzyko proceduralne: w praktyce przedsiębiorcy często przekazują jeden certyfikat firmowy wielu pracownikom i księgowym, którzy działają na różnych stanowiskach i wykonują różne operacje w KSeF - np. wystawianie faktur, korygowanie danych czy zgłaszanie oraz realizacja płatności. Ponieważ certyfikat wydany na podmiot wskazuje jedynie firmę jako całość, a nie konkretną osobę wykonującą daną czynność, system KSeF nie rejestruje jednoznacznie, kto w imieniu firmy wykonał daną operację. Takie podejście uniemożliwia późniejsze wyodrębnienie odpowiedzialności konkretnej osoby za ewentualny błąd, nadużycie lub naruszenie przepisów wynikających z niewłaściwego wystawienia lub przetworzenia faktury. Z punktu widzenia praktyki prawnej i podatkowej oznacza to, że jeżeli dojdzie do błędu w treści faktury lub do działania sprzecznego z przepisami prawa podatkowego i/lub karno-skarbowego, to system KSeF nie będzie w stanie jednoznacznie wskazać osoby odpowiedzialnej za ten błąd, co w efekcie uniemożliwi organom podatkowym, organom kontrolnym lub samemu przedsiębiorcy wyciągnięcie konsekwencji wobec konkretnego użytkownika. W praktyce rodzi to paradoks prawny: brak możliwości przypisania błędu do konkretnego użytkownika może działać na korzyść sprawcy błędu, a na niekorzyść uczciwego podatnika, ponieważ odpowiedzialność organizacyjna (firmowa) nie zastępuje odpowiedzialności indywidualnej w sytuacjach naruszeń podatkowych lub cyberbezpieczeństwa. Takie rozwiązanie stwarza również potencjalne przyzwolenie do celowych nadużyć wewnątrz organizacji, ponieważ osoba korzystająca z certyfikatu nie ponosi jednoznacznej odpowiedzialności za swoje działania w systemie, co obniża poziom dyscypliny i prawidłowej kontroli wewnętrznej, kluczowej z punktu widzenia szeroko rozumianej transparentności i uczciwości.
Po dziewiąte - zdolność instytucji państwowych do skutecznego nadzoru i egzekucji obowiązków na podstawie ogromnego wolumenu danych.
Istnieją uzasadnione wątpliwości, czy obecne struktury administracji publicznej (w tym mechanizmy kontroli i personel techniczny) są przygotowane do nadzoru i merytorycznego przetwarzania setek milionów dokumentów rocznie, a także do skutecznego wykrywania i reagowania na nieprawidłowości. Wszak prawo ma działać prewencyjnie, a żeby mogło spełniać taką funkcję musi być należycie egzekwowane. Nie można dopuścić do powstania tzw. martwych przepisów, które nie spełniają żadnej innej funkcji i nie przynoszą dla państwa polskiego korzyści podatkowych, a wręcz, jak w tym przypadku, wpływają na rozwój zachowań niepożądanych z perspektywy budżetu państwa. Szczególnie w sytuacjach jak opisana powyżej, gdzie nie ma możliwości przypisania odpowiedzialności do konkretnego użytkownika będącego osobą fizyczną, a działającą w ramach tzw. podmiotu zbiorowego. Sytuacje empiryczne związane z trudnościami we wdrażaniu i egzekwowaniu obowiązków m.in. w odniesieniu do składania sprawozdań finansowych do KRS pokazują, że administracja państwowa mierzy się z wieloma wyzwaniami i już teraz nie jest w stanie im w pełni podołać.
Po dziesiąte - kontekst sprawozdawczości podatkowej.
Zmiany w sposobie raportowania jednolitego pliku kontrolnego w podatkach dochodowych (JPK-CIT/PIT) oraz ich zbieżność czasowa z pełnym wdrożeniem KSeF stwarzają ryzyko kumulacji nowych obowiązków. Na rynku pojawiają się postulaty wydłużenia terminów adaptacyjnych i stopniowego wdrożenia kolejnych obowiązków raportowych lub ich całkowitego oddalenia. Należy tu podkreślić, iż te wymogi wchodzą w życie w okresie kiedy przedsiębiorcy i księgowi zajęci są przygotowaniami do sporządzenia sprawozdań finansowych za ubiegły rok. Takie nawarstwienie się obowiązków jest niewyobrażalnie obciążające i doprowadzi do upadku/likwidacji wielu firm lub spowoduje świadome uchybienia i nieprawidłowości w rozliczeniach z budżetem.
Uważam, że obowiązkiem ustawodawcy i administracji jest zapewnienie, by cyfryzacja procesów podatkowych i wdrażanie nowych rozwiązań działała dla przedsiębiorców, a nie przeciwko nim. Celem zmian powinno być zwiększenie przejrzystości i efektywności systemów podatkowych, a nie powodowanie ryzyka masowych nadużyć, protestów, pogorszenia nastrojów społecznych i co najważniejsze powstania realnego zagrożenia dla stabilności polskiej gospodarki. Brak odpowiednich zabezpieczeń prawnych i technicznych w KSeF może skutkować utratą zaufania do systemu, pogorszeniem warunków prowadzenia działalności gospodarczej, a w skrajnych przypadkach - wzrostem bezrobocia i migracją przedsiębiorczości do tzw. szarej strefy.
W związku z powyższym proszę Panów Ministrów o udzielenie odpowiedzi na następujące pytania:
Z wyrazami szacunku
Krzysztof Tuduj
Poseł na Sejm RP