Marysia Janik
Krajowy System e-Faktur funkcjonuje w Polsce od 1 stycznia 2022 r. Póki co podatnicy mogą korzystać z niego na zasadzie dobrowolności. Od 1 lipca 2024 r. stanie się on obowiązkowy dla czynnych podatników VAT, a od 1 stycznia 2025 r. również dla podatników zwolnionych przedmiotowo i nieprzedmiotowo z VAT. W tym kontekście pojawia się wiele pytań, m.in. o bezpieczeństwo danych.
Do czego służy KSeF?
Podstawowym zadaniem, jakie spełnia KSeF, jest wystawianie, odbieranie oraz przechowywanie elektronicznych faktur ustrukturyzowanych. Oprócz tego platforma służy także do:
- nadawania uprawnień do korzystania z KSeF oraz do ich zmiany czy odbierania,
- informowania poszczególnych podmiotów o nadaniu lub odebraniu stosownych uprawnień,
- uwierzytelnienia i weryfikowania uprawnień,
- oznaczania e-faktur specjalnym numerem identyfikującym, który jest nadawany w KSeF,
- wysyłania różnych powiadomień podmiotom używającym platformy, np. o dacie i czasie odrzucenia faktury, jeśli nie jest zgodna ze wzorem faktury ustrukturyzowanej ustalonym przez Ministerstwo Finansów,
- analizowania i kontrolowania danych zamieszczanych na e-fakturach,
- informowania podmiotów innych niż podmioty uprawnione do korzystania z platformy o braku niezbędnych uprawnień.
Szyfrowanie danych w KSeF
Jak zapewnia Ministerstwo Finansów, wszystkie dane wysyłane do systemu i w nim przechowywane są bezpieczne. Zapewnieniu bezpieczeństwa służą rozmaite narzędzia – w tym szyfrowanie danych. Resort informuje, że autoryzacja w KSeF jest chroniona na możliwie najwyższym poziomie, a przypadków wycieku danych do tej pory nie odnotowano. Do uwierzytelnienia system wykorzystuje certyfikaty kwalifikowane, podpis zaufany, a ponadto dodatkowe mechanizmy kryptografii opartej o klucze symetryczne i asymetryczne. Na stronie podatki.gov.pl jest zamieszczona informacja o tym, że Krajowy System e-Faktur przeszedł audyt bezpieczeństwa.
Dostęp do danych w KSeF
Podmioty korzystające z KSeF muszą posiadać uprawnienia pozwalające na korzystanie z systemu. Oprócz tego obowiązuje wymóg uwierzytelnienia i autoryzacji przy logowaniu się do platformy. W celu zapewnienia bezpieczeństwa obrotu gospodarczego dostęp do KSeF uzyskuje się za pomocą:
- kwalifikowanego podpisu elektronicznego,
- kwalifikowanej pieczęci elektronicznej lub
- Podpisu Zaufanego.
Jeżeli przedsiębiorca niebędący osobą fizyczną nie posiada pieczęci kwalifikowanej, a chce uzyskać dostęp do KSeF, jest zobligowany do złożenia do naczelnika US zawiadomienia (ZAW-FA) o nadaniu lub odebraniu uprawnień do korzystania z KSeF. Wyznaczana jest wówczas osoba fizyczna zarządzająca uprawnieniami elektronicznie w KSeF. Są tez podmioty prawne posiadające certyfikaty kwalifikowane z NIP firmy. Jak się okazuje, takie certyfikatów można użyć do uwierzytelnienia – odbywa się to na takich samych zasadach, jak ma to miejsce w opisanym powyżej przypadku osoby fizycznej.
Ministerstwo Finansów zaręcza, że anonimowy dostęp do danych w KSeF jest absolutnie wykluczony, co wynika z konstrukcji platformy. Każdy podmiot loguje się do systemu z imienia i nazwiska. W omawianym kontekście nie bez znaczenia jest też to, że wszystkie podmioty publiczne, które odpowiadają za przechowywanie danych, mają obowiązek wprowadzania odpowiednich rozwiązań redukujących ryzyko nieuprawnionych, nieautoryzowanych dostępów do faktur ustrukturyzowanych. Warto przypomnieć również o tym, że wszystkie faktury elektroniczne wystawiane w KSeF są opatrzone indywidualny numer identyfikacyjny. Ma to zapobiegać próbom modyfikowania czy fałszowania tych dokumentów.
Wdrażanie KSeF a bezpieczeństwo danych
Resort finansów podkreśla, że należyte przygotowanie się do wdrożenia KSeF odgrywa niezmiernie ważną rolę, jeśli chodzi o kwestie związane z bezpieczeństwem danych. Skuteczność tego procesu jest podyktowana paroma istotnymi przesłankami. Opłaca się inwestować w szkolenia pracowników. Trzeba także przygotować się na zmiany w organizacji pracy, jakie poniekąd wymusi korzystanie z platformy. Ponieważ KSeF jest w Polsce nowym systemem, przy jego wdrażaniu mogą pojawić się błędy. Nieodzowne jest zatem podjęcie kroków – takich jak właśnie szkolenia pracowników etc. – mających zredukować prawdopodobieństwo powstania nieprawidłowości. Poza tym należy brać poprawkę na awarie systemu. Mogą być one sporym zagrożeniem szczególnie w sytuacji, kiedy dojdzie do nich podczas przesyłania faktur. Im dłużej trwa awaria, tym większe problemy generuje. Takiego ryzyka nie da się jednak wykluczyć, a przyczyn awarii bywa sporo. Z tego względu procesy obsługiwania faktur ustrukturyzowanych powinny być planowane ze starannością oraz na bieżąco monitorowane. Systematyczne aktualizowanie oprogramowania zapewniającego integrację z KSeF oraz systemów operacyjnych i serwerów, codzienny backup danych z systemów i używanie programów antywirusowych to kolejne działania efektywnie zapobiegające nieprawidłowościom. Jak więc widać, dbanie o bezpieczeństwo danych i prawidłowe działanie systemu w firmie w niemałych stopniu zależy od samych przedsiębiorców.
