do ministra finansów i gospodarki
w sprawie dostępu zagranicznych podmiotów i służb do faktur polskich przedsiębiorców w ramach Krajowego Systemu e-Faktur
Zgłaszający: Bartłomiej Pejo
Data wpływu: 24-06-2026
Szanowny Panie Ministrze,
eksperci do spraw cyberbezpieczeństwa zidentyfikowali lukę w architekturze Krajowego Systemu e-Faktur (KSeF). Analiza oficjalnej dokumentacji technicznej dowodzi, że rząd oddał wgląd w newralgiczne dane gospodarcze zagranicznemu podmiotowi, co rodzi potężne zagrożenie dla suwerenności cyfrowej naszego kraju.
Problem dotyczy kierunku przesyłania danych z systemu KSeF do podatnika. O ile wysyłanie dokumentów do Ministerstwa Finansów chroni szyfrowanie end-to-end, o tyle w drodze powrotnej architektura ta wykazuje fundamentalne braki. Pojedyncze faktury wracają do przedsiębiorców jako pliki XML, które chroni jedynie standardowy tunel HTTPS. Ministerstwo Finansów umieściło na wejściu do systemu bramkę WAF, którą obsługuje zagraniczna firma Imperva. To właśnie w tym miejscu następuje terminacja TLS. Oznacza to, że zagraniczny pośrednik widzi ruch HTTP po odszyfrowaniu.
Przez zagraniczną infrastrukturę w sposób jawny przepływają metadane JSON. Zawierają one numery NIP, nazwy podmiotów, kwoty brutto i netto, daty oraz numery faktur. Eksperci wskazują, że te dane wystarczą, aby podmioty trzecie mogły całkowicie zmapować polską gospodarkę.
Co więcej, mechanizm eksportu paczek faktur, choć wykorzystuje szyfrowanie, również nie chroni danych przed bramką WAF. Ponieważ to klient podaje parametry szyfrowania w żądaniu, bramka mająca dostęp do tokenu autoryzacyjnego Bearer może technicznie wykonać własne żądanie w kontekście klienta. Infrastruktura może zatem zamówić paczkę, zaszyfrować ją własnym kluczem i odczytać wszystkie szczegóły dowolnych faktur, w tym dokumenty firm zbrojeniowych i ich dostawców. Taki mechanizm wymaga celowego działania, ale system pozostawia na nie otwartą furtkę.
Firma Imperva to pozakrajowy podmiot, który należy do francuskiego koncernu Thales, realizującego zadania o charakterze zbrojeniowym i wywiadowczym. Powierzenie tak strategicznego punktu infrastruktury zagranicznej firmie chmurowej wg ekspertów stwarza ryzyko, że obce służby wywiadowcze uzyskają nieograniczony dostęp do tajemnic handlowych całej polskiej gospodarki.
Działając na podstawie mandatu poselskiego, kieruję do Pana Ministra następujące pytania:
Z wyrazami szacunku
Bartłomiej Pejo
Poseł na Sejm RP