Interpelacja nr 18034

do ministra finansów i gospodarki

w sprawie dostępu zagranicznych podmiotów i służb do faktur polskich przedsiębiorców w ramach Krajowego Systemu e-Faktur

Zgłaszający: Bartłomiej Pejo

Data wpływu: 24-06-2026

Szanowny Panie Ministrze,

eksperci do spraw cyberbezpieczeństwa zidentyfikowali lukę w architekturze Krajowego Systemu e-Faktur (KSeF). Analiza oficjalnej dokumentacji technicznej dowodzi, że rząd oddał wgląd w newralgiczne dane gospodarcze zagranicznemu podmiotowi, co rodzi potężne zagrożenie dla suwerenności cyfrowej naszego kraju.

Problem dotyczy kierunku przesyłania danych z systemu KSeF do podatnika. O ile wysyłanie dokumentów do Ministerstwa Finansów chroni szyfrowanie end-to-end, o tyle w drodze powrotnej architektura ta wykazuje fundamentalne braki. Pojedyncze faktury wracają do przedsiębiorców jako pliki XML, które chroni jedynie standardowy tunel HTTPS. Ministerstwo Finansów umieściło na wejściu do systemu bramkę WAF, którą obsługuje zagraniczna firma Imperva. To właśnie w tym miejscu następuje terminacja TLS. Oznacza to, że zagraniczny pośrednik widzi ruch HTTP po odszyfrowaniu.

Przez zagraniczną infrastrukturę w sposób jawny przepływają metadane JSON. Zawierają one numery NIP, nazwy podmiotów, kwoty brutto i netto, daty oraz numery faktur. Eksperci wskazują, że te dane wystarczą, aby podmioty trzecie mogły całkowicie zmapować polską gospodarkę.

Co więcej, mechanizm eksportu paczek faktur, choć wykorzystuje szyfrowanie, również nie chroni danych przed bramką WAF. Ponieważ to klient podaje parametry szyfrowania w żądaniu, bramka mająca dostęp do tokenu autoryzacyjnego Bearer może technicznie wykonać własne żądanie w kontekście klienta. Infrastruktura może zatem zamówić paczkę, zaszyfrować ją własnym kluczem i odczytać wszystkie szczegóły dowolnych faktur, w tym dokumenty firm zbrojeniowych i ich dostawców. Taki mechanizm wymaga celowego działania, ale system pozostawia na nie otwartą furtkę.

Firma Imperva to pozakrajowy podmiot, który należy do francuskiego koncernu Thales, realizującego zadania o charakterze zbrojeniowym i wywiadowczym. Powierzenie tak strategicznego punktu infrastruktury zagranicznej firmie chmurowej wg ekspertów stwarza ryzyko, że obce służby wywiadowcze uzyskają nieograniczony dostęp do tajemnic handlowych całej polskiej gospodarki.

Działając na podstawie mandatu poselskiego, kieruję do Pana Ministra następujące pytania:

  1. Czy Ministerstwo Finansów potwierdza, że architektura systemu KSeF pozwala zagranicznej bramce WAF na techniczny wgląd w jawne metadane JSON oraz na odszyfrowanie pełnych faktur XML w drodze powrotnej do podatnika?
  2. Jakie mechanizmy kontrolne wdrożyło Ministerstwo Finansów, aby zagwarantować, że firma Imperva oraz inne podmioty zagraniczne nie logują, nie analizują i nie przekazują dalej danych z polskiego obrotu gospodarczego?
  3. Czy polskie służby specjalne opiniowały wybór zagranicznego operatora bramki WAF dla tak krytycznego systemu i czy wydały w tej sprawie wiążące rekomendacje?
  4. Jeśli odpowiedzi są twierdzące to jakie konkretne i natychmiastowe działania podejmie minister finansów i gospodarki, aby zamknąć opisaną lukę bezpieczeństwa i uchronić polskie firmy, w tym sektor zbrojeniowy, przed potencjalną inwigilacją ze strony obcych wywiadów?

Z wyrazami szacunku

Bartłomiej Pejo
Poseł na Sejm RP