Interpelacja w sprawie architektury komunikacyjnej KSeF oraz jej wpływu na suwerenność danych i bezpieczeństwo centralnego systemu fiskalnego państwa
Data wpływu: 2026-01-23
Co to jest interpelacja? To formalne pytanie posła do organu władzy (np. ministra) w konkretnej sprawie publicznej.
Przeglądaj też tematy interpelacji, profile posłów i druki sejmowe.
Poseł Janusz Kowalski wyraża zaniepokojenie architekturą komunikacyjną KSeF, wskazując na potencjalne ryzyka związane z wykorzystaniem zewnętrznej warstwy pośredniej i jej wpływem na bezpieczeństwo danych oraz suwerenność systemu. Pyta Ministerstwo Finansów o analizę tych ryzyk oraz o alternatywne rozwiązania architektoniczne.
HTML źródłowy dostępny także bez JavaScript
Interpelacja w sprawie architektury komunikacyjnej KSeF oraz jej wpływu na suwerenność danych i bezpieczeństwo centralnego systemu fiskalnego państwa Interpelacja nr 14817 do ministra finansów i gospodarki w sprawie architektury komunikacyjnej KSeF oraz jej wpływu na suwerenność danych i bezpieczeństwo centralnego systemu fiskalnego państwa Zgłaszający: Janusz Kowalski Data wpływu: 23-01-2026 W toku publicznych zapowiedzi dotyczących Krajowego Systemu e-Faktur podkreślano, że ma on być rozwiązaniem bezpiecznym, suwerennym oraz opartym na infrastrukturze państwowej.
W kontekście centralnego charakteru KSeF – jako systemu gromadzącego dane o obrocie gospodarczym całego kraju – kwestia architektury technicznej i modelu przetwarzania danych ma znaczenie fundamentalne, nie tylko podatkowe, lecz również ustrojowe i infrastrukturalne. Dostępne publicznie informacje techniczne, w szczególności analiza rekordów DNS oraz charakterystyka połączeń z API KSeF, wskazują, że komunikacja pomiędzy podatnikami a systemem KSeF realizowana jest z wykorzystaniem zewnętrznej warstwy pośredniej typu WAF/CDN, obsługiwanej przez globalnego dostawcę komercyjnego.
Oznacza to, że ruch sieciowy nie jest zestawiany bezpośrednio pomiędzy infrastrukturą podatnika a infrastrukturą Ministerstwa Finansów, lecz przechodzi przez element należący do podmiotu trzeciego. Z perspektywy architektury bezpieczeństwa rodzi to szereg istotnych konsekwencji technicznych. W modelu, w którym pośrednik pełni funkcję reverse proxy lub zapory aplikacyjnej, dochodzi do terminacji połączeń TLS poza infrastrukturą państwową. Taki układ oznacza techniczną możliwość odszyfrowywania ruchu, obsługi certyfikatów oraz dostępu do nagłówków i danych kontekstowych transmisji.
Niezależnie od deklarowanego modelu organizacyjnego, sama architektura tworzy możliwość wglądu w dane operacyjne. Komunikacja z KSeF opiera się na mechanizmach tokenowych oraz kontekstach uprawnień. Przechodzenie takiej komunikacji przez zewnętrzną warstwę pośrednią powoduje, że widoczne stają się identyfikatory sesji, zakresy autoryzacji oraz wzorce odwołań do systemu. Nawet bez analizy treści faktur, same metadane pozwalają na wnioskowanie o relacjach gospodarczych, wolumenach obrotu, częstotliwości transakcji oraz strukturze aktywności podmiotów gospodarczych.
W praktyce bezpieczeństwa informacyjnego metadane te stanowią pełnoprawną kategorię danych wrażliwych. Dodatkowym aspektem jest kwestia jurysdykcji prawnej. W przypadku korzystania z infrastruktury należącej do podmiotu podlegającego prawu państwa trzeciego, pojawiają się wątpliwości co do reżimu prawnego, któremu podlegają przetwarzane dane, w tym potencjalnych obowiązków udostępnienia danych na podstawie regulacji takich jak CLOUD Act. Są to zagadnienia znane z innych projektów publicznych w Unii Europejskiej i nie mają charakteru hipotetycznego. Opisane ryzyka mają charakter systemowy i architektoniczny.
Nie dotyczą one oceny intencji czy wiarygodności konkretnego dostawcy, lecz faktu, że centralny system fiskalny państwa – zawierający dane o obrotach całej gospodarki – opiera się na infrastrukturze pośredniej, która technicznie stanowi element krytyczny dla jego funkcjonowania. Taki model rodzi również zależność operacyjną: awaria, spór prawny lub zmiana warunków świadczenia usług przez dostawcę pośredniego może bezpośrednio przełożyć się na dostępność KSeF w skali całego kraju. W tym kontekście KSeF należy postrzegać nie wyłącznie jako narzędzie podatkowe, lecz jako element infrastruktury państwowej.
Oznacza to konieczność jednoznacznego rozstrzygnięcia kwestii suwerenności danych, jurysdykcji, modelu zaufania oraz odporności systemu na ryzyka zewnętrzne. Bezpieczeństwo takiego systemu nie wynika z deklaracji, lecz z przyjętych rozwiązań architektonicznych.
W świetle powyższego proszę o udzielenie odpowiedzi na poniższe pytania: Czy Ministerstwo Finansów potwierdza, że komunikacja pomiędzy podatnikami a interfejsami API Krajowego Systemu e-Faktur jest realizowana z wykorzystaniem zewnętrznej warstwy pośredniej typu WAF/CDN należącej do podmiotu trzeciego, a jeżeli tak – jaki jest dokładny zakres funkcji pełnionych przez ten podmiot w architekturze systemu KSeF?
Poseł Janusz Kowalski kwestionuje brak precyzji w przepisach dotyczących dostępu podmiotów publicznych do danych z Krajowego Systemu e-Faktur (KSeF), wyrażając obawę o ochronę danych przedsiębiorców. Pyta o konkretny zakres danych udostępnianych podmiotom innym niż KAS oraz o mechanizmy kontroli i nadzoru nad tym dostępem.
Poseł Janusz Kowalski pyta o funkcjonowanie pełnomocnictw w postępowaniach podatkowych, szczególnie w kontekście interpretacji pełnomocnictwa szczególnego i ogólnego. Zwraca uwagę na potrzebę wprowadzenia pełnomocnictwa "rodzajowego" obejmującego określone kategorie spraw podatkowych i pyta o plany legislacyjne Ministerstwa Finansów w tym zakresie.
Poseł Janusz Kowalski pyta o możliwość zaliczenia do kosztów uzyskania przychodu wydatków na okulary korekcyjne dla przedsiębiorców, szczególnie w kontekście pracy przy komputerze. Podkreśla niespójność obecnych przepisów, gdzie pracodawcy mogą finansować okulary dla pracowników, a przedsiębiorcy nie mogą ich odliczyć.
Poseł pyta o interpretację ulgi termomodernizacyjnej w kontekście wydatków na modernizację dachu, kwestionując zawężające podejście organów podatkowych, które wyklucza z ulgi elementy pokrycia dachowego. Domaga się doprecyzowania przepisów i analizy wpływu obecnej interpretacji na efektywność ulgi.
Projekt ustawy zakłada wprowadzenie dobrowolności stosowania Krajowego Systemu e-Faktur (KSeF) dla mikro-, małych i średnich przedsiębiorstw (MŚP). Nowelizacja ma na celu odciążenie tych podmiotów od kosztów związanych z wdrożeniem i funkcjonowaniem obowiązkowego KSeF, który według wnioskodawców stanowi dodatkowe obciążenie i ryzyko dla najmniejszych firm. Autorzy argumentują, że KSeF jest niedopracowany, zagraża stabilności gospodarki i narusza zasadę zaufania do przedsiębiorcy. Zmiana ta ma być trwała i niezależna od czasowych zwolnień, przywracając stan zgodny z prawem UE, które chroni dobrowolność wyboru formy faktury.
Projekt ustawy wprowadza zmiany w ustawie Ordynacja Podatkowa oraz w szeregu innych ustaw podatkowych, mające na celu uszczelnienie systemu podatkowego, usprawnienie kontroli podatkowych i postępowań podatkowych oraz dostosowanie przepisów do aktualnych potrzeb i praktyki. Kluczowe zmiany obejmują m.in. modyfikacje zasad dotyczących nadpłat podatkowych, terminy zwrotów, procedury zaliczania wpłat, a także definicje i obowiązki związane ze schematami podatkowymi (MDR). Celem zmian jest m.in. zwiększenie efektywności poboru podatków, ograniczenie możliwości unikania opodatkowania oraz zapewnienie większej jasności i spójności przepisów podatkowych. Nowelizacja ma także na celu dostosowanie polskich przepisów do prawa Unii Europejskiej w zakresie raportowania schematów podatkowych.
Projekt ustawy wprowadza obowiązek stosowania kas rejestrujących przez przewoźników i operatorów publicznego transportu zbiorowego wykonujących przewozy w transporcie kolejowym od 1 kwietnia 2027 roku. Dodatkowo, warunek otrzymania dopłaty (z art. 55 ust. 11 pkt 2 ustawy o publicznym transporcie zbiorowym) będzie stosowany wobec tych podmiotów również od 1 kwietnia 2027 roku. Ustawa wchodzi w życie z dniem następującym po ogłoszeniu, ale z mocą wsteczną od 1 stycznia 2026 r. Ma to na celu uszczelnienie systemu rozliczeń i ewidencji w transporcie kolejowym.
Projekt ustawy zakłada odroczenie obowiązku stosowania Krajowego Systemu e-Faktur (KSeF) dla mikroprzedsiębiorców o dwa lata, tj. do 31 grudnia 2027 r. Celem jest uniknięcie dodatkowych kosztów związanych z wdrożeniem i funkcjonowaniem KSeF dla najmniejszych firm, które często wystawiają faktury ręcznie i nie odnajdują się w transformacji cyfrowej. Wnioskodawcy argumentują, że obowiązkowy KSeF dla mikroprzedsiębiorców może doprowadzić do zamknięcia firm i negatywnie wpłynąć na gospodarkę. Odroczenie ma dać czas na okrzepnięcie systemu i spokojne przygotowanie się mikroprzedsiębiorców.
Projekt ustawy nowelizuje ustawę o wymianie informacji podatkowych z innymi państwami oraz niektóre inne ustawy. Zmiany dotyczą głównie doprecyzowania procedur z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT) w odniesieniu do dostawców usług w zakresie kryptoaktywów, nakładając na nich obowiązek stosowania środków bezpieczeństwa finansowego wobec klienta. Dodatkowo, ustawa wprowadza zmiany w odniesieniu do okresów sprawozdawczych, ustalając datę graniczną dla niektórych z nich na 31 grudnia 2027 r. Celem nowelizacji jest uszczelnienie systemu wymiany informacji podatkowych i dostosowanie go do zmieniającego się krajobrazu finansowego, w szczególności w kontekście kryptoaktywów.