Sprawdź czy księgowość Twojej firmy nie wycieka produkcyjnych faktur do Internetu [KSeF]

Zgłosił się do nas czytelnik z pewnej bardzo dużej firmy, który zauważył że tysiące prawdziwych faktur z jego firmy może pobrać każdy, kto zna zaledwie NIP firmy. Numer NIP posiada każda firma w Polsce i można go łatwo zlokalizować (np. prostym zapytaniem Google).

W tym momencie potrzebujemy krótkiego wyjaśnienia czym jest system KSeF (Krajowy System e-Faktur). To nowy, centralny system, z którego będą musieli korzystać wszyscy polscy przedsiębiorcy wystawiający faktury. Obowiązuje od lutego 2026 (większe firmy) / od kwietnia 2026 (wszystkie firmy). Innymi słowy będą tam znajdowały się wszystkie faktury wystawiane w Polsce.

Termin przejścia na produkcję nadchodzi dużymi krokami, więc warto wszystko solidnie oraz odpowiednio wcześniej przetestować. Dostępny mamy centralny system testowy, do którego można się zalogować pod adresem: https://web2te-ksef.mf.gov.pl/

Dla niecierpliwych – przechodzimy do sedna problemu: w testowym serwisie można zalogować się, podając NIP dowolnej firmy w Polsce (bez hasła czy innych danych uwierzytelniających) i uzyskać dostęp do danych, na których testowała ona fakturowanie (w KSeF). Jeśli testowała na danych produkcyjnych – to dostęp do danych produkcyjnych. Jeśli robiła sobie żarty (wiadomo jak jest z danymi testowymi) – to widać żarty. Cały proces logowania wygląda w następujący sposób:

Krok pierwszy:

Krok drugi:

Krok trzeci:

Dalej wygląda to np. w ten sposób:

Po zalogowaniu widoczne są również szczegóły faktur – mogą tam się znaleźć takie dane jak:

• Dane osobowe
• Dane kontrahentów
• Ceny usług / produktów
• Informacje / komentarze o usługach / produktach

W testowym systemie widać również zdefiniowanych użytkowników (jeśli dana firma ich zdefiniowała; system pozwala na zakładanie użytkowników o różnych poziomach dostępu).

Co zrobić kiedy zorientowałem się, że moja firma użyła danych produkcyjnych do testów?

Odpowiedź nasuwa się od razu – usunąć te dane. Jednak KSeF ze swojej natury nie pozwala na usuwanie danych. Raz wystawiona faktura zostaje tam „do końca świata”. Środowisko testowe również nie pozwala na usuwanie danych.

Co więc robić? Firma która zgłosiła się do nas, poprosiła Ministerstwo Finansów o ręczne usunięcie danych ze środowiska testowego. Dane zostały usunięte.

Do Ministerstwa przesłaliśmy kilka pytań, w szczególności właśnie dotyczących usuwania danych:

[sekurak] Jakie czynności powinna podjąć firma, która wykryła, że ww. systemie umieściła dane o charakterze produkcyjnym? (KSeF prawdopodobnie nie posiada funkcji usuwania faktur)

[Ministerstwo Finansów – MF] Resort Finansów jest przygotowany na obsługę tego typu zdarzeń. Firma, która nieświadomie umieści dane rzeczywiste powinna zgłosić ten fakt telefonicznie do konsultanta Krajowej Administracji Skarbowej lub za pomocą Formularza zgłoszeniowego KSeF (https://ksef.podatki.gov.pl/kontakt-zadzwon-lub-napisz/). Wówczas szybko będzie można podjąć działania mające na celu usunięcie danych.

Danych mojej firmy nie ma w systemie testowym – mogę spać spokojnie?

I tak i nie. Pamiętajmy, że w dowolnej chwili Wasz dział testów / księgowości może uzupełnić system testowy kolejnymi danymi. Warto uświadomić testerów / dział księgowości żeby pracowali na danych w pełni testowych.

Dodatkowo – mniej więcej od momentu zgłoszenia problemu / kontakcie z Ministerstwem przez wspomnianą w tekście firmę – na każdej podstronie testowego systemu KSeF pojawiło się ostrzeżenie o konieczności korzystania ze zanonimizowanych danych.

Wcześniej ostrzeżenie było dostępne w innym – mniej widocznym miejscu. Ministerstwo Finansów w przesłanych do nas odpowiedziach ostrzega o tym problemie (wytłuszczenia poniżej – od sekurak)

[MF] Podkreślamy, że każda firma powinna również zadbać o zapewnienie odpowiednich regulacji wewnętrznych oraz szkolenia swoich pracowników, mające na celu ograniczenie tego typu zdarzeń. Dokładne opisy środowisk znajdują się w dokumentacji systemu KSeF.

Przekazanie faktur, które zawierają rzeczywiste dane firmy do środowiska testowego KSeF, może być traktowane w firmie jako wyciek danych. Kluczowym jest więc również uświadomienie pracowników o konsekwencjach takiego działania.

Pracownicy firm powinni mieć świadomość, że umieszczają dane produkcyjne w środowisku testowym, czyli w środowisku do tego nie przeznaczonym, publikują (udostępniają) dane rzeczywiste.

Poniżej informacja do czego służy środowisko i czego w nim robić nie wolno: (…)

Korzystanie ze środowiska testowego oznacza brak skutków prawnych – wszystkie operacje są wyłącznie testowe, dane powinny być fikcyjne, a dokumenty nie mają mocy prawnej.

Czego nie wolno robić w środowisku testowym KSeF:

• Nie używaj prawdziwych danych (np. realnych NIP, PESEL, danych kontrahentów, kwot) – zalecane są dane fikcyjne, bo testy są widoczne dla innych użytkowników;
• Nie wykonuj testów wydajnościowych – serwer testowy nie jest przeznaczony do obciążeniowych prób (np. masowe wysyłanie faktur);
• Nie zakładaj, że dane będą trwałe – środowisko testowe jest okresowo czyszczone, więc nie służy do archiwizacji.

Dodatkowe pytania, które zadaliśmy Ministerstwu Finansów

[sekurak] Czy funkcja anonimowego logowania się do testowego systemu z wykorzystaniem tylko numeru NIP jest zamierzona?

[MF] Tak takie dzianie jest zamierzone,. Środowisko testowe ma na celu, żeby wszystkie zainteresowane podmioty zapoznały się z tym, jak będzie funkcjonował system KSeF 2.0. Taki sposób logowania nie wymaga założenia/posiadania firmy i zapewnia możliwość swobodnego dostępu do systemu.

Należy zwrócić również uwagę na fakt iż Ministerstwo Finansów uruchomiło wyższe środowisko – przedprodukcyjne Demo, które wprowadza ograniczenia i wymaga posiadania rzeczywistych danych logowania.

[sekurak] Czy w systemie produkcyjnym planowana jest funkcja – dostępna dla administratorów – dzięki której można uzyskać dostęp do logów dostępowych platformy (kto / kiedy / z jakiego adresu IP / w jakim zakresie uzyskiwał dostęp do danych)?

[MF] Tak, system KSeF 2.0 informuje poprzez Aplikację Podatnika użytkowników o historii sesji. W historii sesji istnieje możliwość sprawdzenia szczegółów wysyłki faktur.

[sekurak] Czy wszystkie dane z testowego serwisu są po pewnym czasie automatycznie usuwane? Jeśli tak, to po jakim czasie?

[MF] Tak, dane z testowego środowiska są usuwane automatycznie, w określonych w wewnętrznych procedurach odstępach czasu.

[sekurak] Czy planują Państwo realizować testy penetracyjne (testy bezpieczeństwa) produkcyjnej platformy KSEF? Jeśli tak, to w jakim terminie?

[MF] Tak, oczywiście. Wskazane testy są wykonywane od początku prac nad systemem KSeF 2.0 w trybie ciągłym. Testom poddawane są wszystkie jego komponenty oraz będą wykonywane na etapie dalszego wytwarzania systemu jak również później, okresowo, na etapie utrzymania.

~Michał Sajdak