Bezpieczeństwo danych w KSeF: Jak chronione są Twoje informacje?

Przestępcy internetowi za cel często biorą sobie pozyskanie wrażliwych danych. To główne zagrożenie także w kontekście implementacji KSeF. Ryzyko potencjalnych problemów potwierdzają dane upublicznione przez państwowy instytut badawczy NASK. W okresie od stycznia do 20 kwietnia 2023 roku NASK zanotował niemal 85,5 tys. zgłoszeń związanych z zagrożeniem cyberbezpieczeństwa. Zareagował na 24 tys. incydentów w obrębie bezpieczeństwa danych. Zabezpieczenie KSeF jest priorytetem i jednocześnie jedną z obaw przedsiębiorców. Czy dane w nim będą bezpieczne? 

Już przy rejestracji i logowaniu się do systemu KSeF każdy użytkownik jest weryfikowany. Sprawdzana się jego tożsamość i nadane uprawnienia, m.in. do wystawiania faktur ustrukturyzowanych. System wymaga przejścia procesu uwierzytelnienia i autoryzacji, a dopiero wówczas uzyskuje się dostęp do jego funkcjonalności. Uwierzytelnianie odbywa się z wykorzystaniem profilu zaufanego lub podpisu czy pieczęci kwalifikowanej. Posługują się nimi podatnicy będący osobami fizycznymi, natomiast przedsiębiorcy, którzy nimi nie są, uzyskają bezpiecznie dostęp do KSeF po zgłoszeniu takiej chęci naczelnikowi urzędu skarbowego za pomocą zawiadomienia na druku ZAW-FA. To zawiadomienie dotyczące nadania lub odebrania uprawnień do korzystania z platformy KSeF konkretnej osobie. Pozwala na wyznaczenie administratora do zarządzania uprawnieniami pracowników w systemie.

W praktyce wygląda to w ten sposób, że niektóre podmioty prawne mają certyfikaty kwalifikowane z NIP firmy czy mogą skorzystać z uwierzytelnienia w podobnym trybie jak w przypadku osób fizycznych. 

Przedsiębiorca będący właścicielem konta podatnika w KSeF może nadawać uprawnienia do korzystania z systemu konkretnym osobom fizycznym lub podmiotom, takim jak biura rachunkowe działające na jego zlecenie. Może on:

• nadawać, zmieniać lub odbierać uprawnienia administracyjne służące do korzystania z KSeF,
• wystawiać lub udostępniać e-faktury,
• wystawiać faktury ustrukturyzowane przez nabywcę w imieniu podatnika. 

Ministerstwo Finansów uspokaja, że KSeF jest bezpieczne w użytkowaniu, ponieważ:

• wyklucza anonimowy dostęp – dostęp do faktur ustrukturyzowanych uzyskują tylko konkretne osoby;
• istnieje konieczność wdrożenia rozwiązań minimalizujących ryzyko nieautoryzowanego dostępu do e-faktur przez podmioty publiczne odpowiedzialne za przechowywanie danych;
• każda faktura ustrukturyzowana ma nadany indywidualny numer identyfikacyjny, uniemożliwiający podjęcie prób jej fałszowania i modyfikowania. 

Pomimo istniejących systemów zabezpieczających dane i użytkowników korzystających z KSeF pojawiają się pewne zagrożenia, które zwiększają ryzyko wykorzystywania systemu. Związane są one między innymi z tym, że skuteczne wdrożenie KSeF będzie wymagało poniesienia wysokich nakładów. Potrzebne będą konkretne zmiany w procesach i procedurach wewnątrz firm, które rodzą ryzyko pomyłek i problemów. Będzie trzeba zorganizować szkolenia pracowników, a błędy ludzkie są kolejnym zagrożeniem dla sprawności działania systemu KSeF. 

Istnieje ryzyko błędów, które może wynikać z braku lub niedostatecznego przygotowania pracowników do obsługi KSeF. Kolejnym są problemy z integracją dotychczas wykorzystywanego w firmie oprogramowania księgowego z KSeF czy ryzyko awarii – system będzie mocno obciążony, kiedy tysiące przedsiębiorców w jednym momencie będą z niego korzystać.

Dla zabezpieczenia swoich danych i systemów firmowych warto przede wszystkim postawić na poszerzenie wiedzy pracowników, którzy będą mieli najwięcej do czynienia z KSeF. Należy podejść do kwestii wdrożenia systemu z dbałością o każdy szczegół. Konieczne staje się staranne zaplanowanie wdrożenia, najlepiej jeszcze w fazie, kiedy z systemu KSeF można korzystać na zasadzie dobrowolności. 

W celu minimalizowania ryzyk związanych z kradzieżą informacji trzeba koniecznie aktualizować oprogramowanie zapewniające integrację z KSeF oraz systemów operacyjnych komputerów i serwerów w firmie. Na sprzęcie musi być zainstalowane aktualne oprogramowanie antywirusowe. Przedsiębiorcy powinni zadbać też o wykonywanie backupu danych z systemu.

Przetwarzanie danych w KSeF następuje na bieżąco. Użytkownicy wystawiają faktury strukturyzowane i odbierają je od kontrahentów. Dane pozostające w systemie są wrażliwe i nie mogą trafić w niepowołane ręce.

KSeF regularnie przechodzi szczegółowe testy bezpieczeństwa. Dane w nim i komunikacja z systemem są szyfrowane, a autoryzacja w pełni zabezpieczona. Twórcy wprowadzili mechanizm uwierzytelnienia, który umożliwia odpowiednią weryfikację tożsamości użytkownika.

KSeF jest utrzymywany przez Centrum Informatyki Resortu Finansów (CIRF) i dostępny 24 godziny na dobę 7 dni w tygodniu.