Ostatnio tłumaczyłem na chłopski rozum, na czym polega problem z KSeF, ale od tamtej pory odkryłem dodatkowe fakty. Wcześniej myślałem, że problem jest duży. Teraz wiem, że to architektoniczna katastrofa i całkowita ruina dla polskiej gospodarki. A na dodatek nie potrzeba żadnych audytów, by to udowodnić, wystarczy sama oficjalnie opublikowana dokumentacja systemu!
Spróbuję to jeszcze raz wyjaśnić tak prosto, jak się da — kontynuując moją analogię z budynkiem, by zrozumiał to każdy, kto nie interesuje się architekturą Internetu.
Wyobraźmy sobie polskie Ministerstwo Finansów jako ogromny budynek. W samym jego środku stoi wielki pancerny sejf. Każda firma w Polsce ma obowiązek wrzucać do niego swoje faktury, zanim w ogóle dotrą one do klienta.
Zanim jednak przedsiębiorca dojdzie do sejfu, musi przejść przez bramkę bezpieczeństwa przy wejściu do budynku. Stoją tam ochroniarze, którzy sprawdzają, czy ktoś nie wnosi niebezpiecznych przedmiotów (wirusów) albo czy tłum nie próbuje zablokować drzwi (ataki hakerskie DDoS).
W języku technicznym ta bramka nazywa się WAF (Web Application Firewall). W Polsce jako jedynym państwie na świecie obsługę tej bramki powierzono zagranicznej firmie — amerykańskiej Impervie należącej do francuskiego koncernu zbrojeniowo-wywiadowczego Thales, a dane z tej bramki są przetwarzane w dużym ośrodku obliczeniowym w Izraelu. To ich ochroniarze i ich skanery stoją na jedynych drzwiach do polskiego systemu.
Faza 1: Wejście
Przedsiębiorca wchodzący do urzędu niesie swoją fakturę w zaklejonej, pancernej kopercie (to się nazywa szyfrowanie aplikacyjne end-to-end (E2E)). W środku znajduje się właściwa treść dokumentu.
Ochroniarze na bramce z Impervy nie mogą otworzyć tej koperty. Jednak urząd nie obsługuje samych kopert. Obsługuje też pokwitowania, karty katalogowe i rewersy. Po przyjęciu dokumentu system wystawia takie kartki pomocnicze: numer KSeF, numer faktury, dane kontrahentów, daty i kwoty (metadane JSON). Te kartki nie są już zamknięte w pancernej kopercie. One krążą w systemie jako jawne informacje organizacyjne i są widoczne dla ochroniarzy. Myślałem, że na tym polega cały problem, bo z samego czytania takich kart katalogowych można zbudować pełną mapę naszej gospodarki.
Jednak zapomniałem o tym, że KSeF to nie jest tylko skrzynka odbiorcza!
Faza 2: Wyjście
Skoro sprzedawca wrzucił fakturę do pancernej skrzynki, to kupujący (albo jego księgowa) musi po nią przyjść. Przecież musi wiedzieć, za co ma zapłacić.
I tu dochodzimy do absurdu całego systemu.
Księgowa przychodzi do urzędu odebrać fakturę dla swojej firmy. Urzędnik wyciąga dokument z sejfu. Jednak ponieważ państwo nie posiada pancernych kopert dopasowanych do każdego obywatela i każdej księgowej (technologicznie to koszmar logistyczny), urzędnik wręcza jej tę fakturę po prostu do ręki, bez żadnej koperty.
Księgowa bierze tę jawną fakturę i idzie do wyjścia. A żeby wyjść, znów musi przejść przez tę samą bramkę bezpieczeństwa.
Ochroniarz z amerykańsko-izraelsko-francuskiej firmy zatrzymuje ją na bramce i sprawdza, co wynosi. I tym razem nie ma już żadnej pancernej koperty. Ochroniarz patrzy prosto w dokument. Widzi wszystko — każdą pozycję na fakturze, każdą kupioną śrubkę, każdą cenę, każdą usługę doradczą, każdą stawkę godzinową, często marżę. Widzi pełną treść każdego biznesu w Polsce w postaci całkowicie jawnej, bo musi analizować ruch, który wypływa z urzędu!
Państwo zmusza nas do pakowania faktur w drogie, szyfrowane koperty w drodze do urzędu po to, by na końcu wydać te dokumenty w formie otwartej. A na jedynych drzwiach wejściowych i wyjściowych postawiło obcą firmę, powiązaną z zagranicznymi wywiadami, która z natury swojej pracy musi patrzeć w każdy dokument przekraczający próg urzędu. I technicznie może te dane zapisywać, przetwarzać i analizować — żadne prawo ani umowa biznesowa tego nie uniemożliwiają.
Sejf jest dobry, koperty są drogie, ale na bramce stoi agent, który widzi wszystko, gdy to z sejfu wychodzi.
Czy to teraz jest jasno wyjaśnione? Jeśli czegoś nie rozumiecie, to spytajcie w komentarzu, a wyjaśnię to precyzyjniej, technicznie, wskazując moje audyty i opracowania. Bardzo proszę o pytania.
Grzegorz GPS Świderski
t.me/KanalBlogeraGPS
Twitter.com/gps65