Krajowy System e-Faktur to kolejny etap na drodze cyfryzacji przedsiębiorstw. Celem wprowadzenia KSeF są ułatwienia dotyczące obiegu dokumentów handlowych wykorzystywanych w obrocie gospodarczym. Każdy przedsiębiorca będzie mógł wystawiać, przeglądać i odbierać faktury online, a Ministerstwo Finansów otrzyma łatwy i szybki dostęp do rozliczeń danej firmy. Niektórzy zastanawiają się czy oraz w jakim stopniu dokumenty tworzone i wysyłane elektronicznie oraz dane w nich zawarte są bezpieczne. Jakie są zagrożenia wynikające z KSeF i jak można je zmniejszyć? Co zagraża bezpieczeństwu danych w KSeF?
Rodzaje zagrożeń na jakie narażone jest KSeF – bezpieczeństwo danych
Z uwagi na to, że Krajowy System e-Faktur ma zawierać wrażliwe dane to będzie cały czas narażony na ataki ze strony hakerów, którzy będą chcieli pozyskać dane w nim zawarte, dlatego ich zabezpieczenie jest najważniejszą czynnością jaką trzeba wykonać. Atak hakerów to tylko jeden punkt na liście zagrożeń. Konsekwencją ataku może być wyciek danych, czego bardzo obawia się duża część przedsiębiorców. Jednak samo wprowadzenie systemów zabezpieczających w KSeF może okazać się niewystarczające, dlatego zaleca się, aby przedsiębiorcy dodatkowo wprowadzili w swoich firmach pewne zmiany odnośnie procedur w nich obowiązujących. Niestety wiąże się to z koniecznością poniesienia większych nakładów finansowych, co może wykraczać poza możliwości niektórych firm. Kolejnym zagrożeniem mogą być błędy popełniane przez ludzi, dlatego ważne jest, aby przedsiębiorcy przeprowadzali szkolenia pracowników w zakresie korzystania z KSeF. Problemem mogą okazać się też występujące czasami awarie systemu KSeF, co jest nieuniknione, a także momenty, kiedy system nie będzie prawidłowo działał z uwagi na jego przeciążenie.
Atak hakerów i wyciek danych osobowych
Konsekwencją wycieku danych może być naruszenie prywatności przedsiębiorców i ich klientów. Aby temu zapobiec system KSeF ma być objęty szeregiem różnorodnych zabezpieczeń w rodzaju certyfikatów SSL, a także wieloetapowych mechanizmów uwierzytelniania. Jednak pomimo tak zaawansowanych zabezpieczeń zaleca się, aby przedsiębiorcy sami dodatkowo zwrócili uwagę na to czy ich systemy są odpowiednio chronione i na bieżąco aktualizowali oprogramowanie. W tym celu przedsiębiorca może zlecić co pewien okres czasu audyt bezpieczeństwa, który powinna przeprowadzić firma zewnętrzna.
W firmach mogą też zostać naruszone dane poufne. Okres przechowywania dokumentów ustrukturyzowanych w systemie wynosi 10 lat. Przez ten czas może zdarzyć się, że dostęp do faktur będą miały niepowołane osoby trzecie, chociaż z zasady do takiej sytuacji nie powinno dojść. Z KSeF będą mogły korzystać jedynie osoby upoważnione w ramach nadanych im uprawnień w dokładnie określony sposób. Samo uwierzytelnianie ma być wieloetapowe, co oznacza, że korzystanie z systemu przez osoby nieupoważnione jest praktycznie zerowe.
Błędy na fakturze
Innym zagrożeniem mogą być błędy powstałe podczas przetwarzania danych, co w konsekwencji może doprowadzić do pomyłki na fakturze przez co do organu skarbowego trafią nieprawidłowe informacje. Co prawda jest to mało prawdopodobne, ale jakiś niewielki procent ryzyka istnieje. Po wystawieniu faktury Krajowy System e-Faktur ma sprawdzać nie tylko uprawnienia osoby wystawiającej fakturę, ale również zgodność struktury pliku ze wzorem logicznym e-faktury. Dzięki temu ewentualne błędy zostaną wyłapane praktycznie od razu i taki dokument zostanie odrzucony. W przypadku pomyłki w kwocie podatku lub dacie sprzedaży nabywca będzie mógł wystawić fakurę korygującą. Zostały też opracowane procedury postępowania w przypadku wpisania błędnego numeru NIP.
Zabezpieczenie danych w KSeF
System dba o bezpieczeństwo danych już od momentu rejestracji i logowania do KSeF. Każdy użytkownik jest bardzo dokładnie weryfikowany. Zarejestrować się i logować będzie mogła jedynie osoba posiadająca nadane uprawnienia między innymi do wystawiania faktur. Na początku użytkownik będzie musiał przejść przez etap uwierzytelnienia i autoryzacji. Dopiero po pomyślnej weryfikacji otrzyma dostęp do wszystkich funkcjonalności systemu. Uwierzytelnianie dokonywane jest za pomocą jednego z wymienionych sposobów: profilu zaufanego, podpisu kwalifikowanego lub pieczęci kwalifikowanej. Posługiwać się nimi mogą podatnicy będący osobami fizycznymi. Przedsiębiorcy niebędący osobami fizycznymi otrzymają dostęp od naczelnika urzędu skarbowego po wcześniejszym zgłoszeniu takiej chęci. W tym celu powinni wysłać zawiadomienie na druku ZAW-FA służące do nadawania i odbierania danej osobie uprawnień pozwalających na korzystanie z platformy KSeF. Niektóre podmioty będą posiadały certyfikaty kwalifikowane z NIP-em firmy, dzięki którym będą mogły korzystać z uwierzytelnienia w podobny sposób jak osoby fizyczne. Przedsiębiorca mając konto podatnika w KSeF będzie posiadał możliwości pozwalające mu nadawać uprawnienia do korzystania z systemu wskazanym przez siebie osobom lub biurom rachunkowym działającym na jego zlecenie.
wystawiania faktur ustrukturyzowanych przez nabywcę w imieniu podatnika.
Bezpieczeństwo KSeF – opinia Ministerstwa Finansów
Ministerstwo Finansów odpowiadając na obawy podatników dotyczące bezpieczeństwa podkreśla, że system z uwagi na zastosowane procedury jest dobrze zabezpieczony, ponieważ:
wyklucza anonimowy dostęp do systemu, gdyż dostęp mają jedynie zweryfikowani, uwierzytelnieni użytkownicy
zostały wdrożone rozwiązania minimalizujące ryzyko nieautoryzowanego dostępu do systemu przez podmioty publiczne odpowiedzialne za przechowywanie danych
każda faktura ustrukturyzowana otrzymuje indywidualny numer identyfikacyjny, co uniemożliwia wszelkie fałszowania i modyfikacje.
Podsumowanie - bezpieczeństwo danych w KSeF
System KSeF został wyposażony w wieloetapowe zabezpieczenia, dzięki którym ryzyko związane z użytkowaniem systemu przez osoby niepowołane zostało ograniczone do minimum. Wszelkie błędy jak i pomyłki popełniane przy wystawianiu faktur będzie można usunąć poprzez wystawienie faktury korygującej.
Dane w KSeF będą przetwarzane na bieżąco, co oznacza, że użytkownicy będą wystawiać i otrzymywać faktury od kontrahentów w czasie rzeczywistym. Wszystkie dane zawarte w systemie należą do danych wrażliwych i nie mogą trafić w ręce osób trzech do tego nieupoważnionych, dlatego w celu bezpieczeństwa danych w KSeF będą cały czas przeprowadzane szczegółowe testy bezpieczeństwa. Wszelkie czynności jak i komunikacja z serwerem ma odbywać się w sposób szyfrowany. Wprowadzony mechanizm uwierzytelniania pozwala na właściwą weryfikację tożsamości użytkownika. System KSeF będzie dostępny przez cały czas, 24 godziny na dobę 7 dni w tygodniu.
