Bezsporne fakty
Zanim przejdziemy do analizy skutków KSeF, musimy ustalić fundament. W świecie cyfrowym nie da się niczego ukryć na stałe – systemy zostawiają ślady, które informatycy potrafią odczytać bez pytania rządu o zgodę. Oto co wiemy na 100%:
- Fakt 1: Dane przesyłane od użytkownika do bazy danych KSeF nie trafiają bezpośrednio do polskiego rządu. Kiedy twój program księgowy wysyła fakturę do KSeF, nie łączy się bezpośrednio z serwerem w Warszawie. Każdy może to sprawdzić, badając tzw. rekordy DNS (cyfrowy spis adresów Internetu). KSeF korzysta z aliasów (CNAME) wskazujących na domeny infrastruktury Imperva: *.impervadns.net. To cyfrowe podwórko firmy Imperva należącej do grupy Thales.
- Fakt 2: Bramka WAF stoi poza jurysdykcją Polski, nawet jeśli fizyczne węzły edge mogą znajdować się w różnych krajach. Adresy IP, które obsługują ruch KSeF, nie należą do polskich dostawców ani do resortu finansów. Należą do globalnej sieci firmy Imperva. Zanim twoja faktura trafi na serwer w Polsce (gdzie faktycznie jest przechowywana), musi przejść przez infrastrukturę brzegową tego dostawcy.
- Fakt 3: To nie jest tylko pusta rura. Ministerstwo Finansów oficjalnie potwierdza, że system jest chroniony przez WAF Cloud (Web Application Firewall w chmurze). To kluczowa informacja: WAF nie jest biernym kablem, to aktywny skaner, który musi odpakować przesyłkę, by sprawdzić, czy nie jest ona atakiem hackerskim. Bez tego odpakowania (tzw. terminacji SSL), ochrona WAF po prostu nie działa.
- Fakt 4: Właścicielem bramki jest francuski gigant zbrojeniowy. Firma Imperva, pierwotnie amerykańska, została w grudniu 2023 roku ostatecznie przejęta przez grupę Thales. Thales to nie jest zwykły software-house. To strategiczny koncern francuski, ściśle powiązany z tamtejszym rządem, obsługujący systemy obronne, wywiadowcze i kryptograficzne.
- Fakt 5: Milczenie w komunikatach. W żadnym oficjalnym komunikacie Ministerstwa Finansów z 2025 i 2026 roku nie pada nazwa "Thales" ani "Imperva". Resort używa ogólników typu "krajowa infrastruktura" (odnosząc się do miejsca zapisu danych), pomijając fakt, że klucze do bramy wejściowej (przepływu danych) trzyma podmiot zagraniczny.
Paradoks Ślepego Strażnika
Gdyby KSeF stosował pełne szyfrowanie end-to-end (E2E) — od komputera przedsiębiorcy aż do serwera Ministerstwa Finansów (MF) w Polsce — infrastruktura Imperva/Thales widziałaby wyłącznie zaszyfrowany strumień danych. W takim scenariuszu klasyczny Web Application Firewall (WAF) aplikacyjny traci zdolność pełnej inspekcji warstwy aplikacyjnej, czyli dokładnie tej funkcji, dla której jest uzasadniany: wykrywania złośliwego kodu, ataków logicznych i nadużyć protokołu.
WAF to nie jest tylko tarcza, to jest też skaner. Tarcza (DDoS Protection) może odbijać ciosy na ślepo, ale WAF musi wiedzieć, co jest w środku pakietu, żeby wyłapać wirusy czy też np. SQL Injection.
Aby WAF mógł realnie chronić system przed hakerami, musi widzieć i analizować ruch na poziomie aplikacyjnym, co oznacza terminację TLS lub równoważny mechanizm pośrednictwa, który daje bramce pełną kontrolę nad ruchem HTTP, niezależnie od ewentualnego dodatkowego szyfrowania payloadu faktury. Skoro Ministerstwo Finansów twierdzi, że komponenty WAF Cloud nie posiadają kluczy do odszyfrowania faktury, to oznacza, że pełne szyfrowanie E2E nie obejmuje całej ścieżki komunikacji aż do logiki aplikacyjnej KSeF, lecz kończy się wcześniej – na brzegu, zanim dane trafią do właściwej logiki systemu.
MF w komunikatach o KSeF próbuje uciekać w semantykę, twierdząc, że treść faktur może być dodatkowo szyfrowana aplikacyjnie. Nawet jeśli tak jest, to nie zmienia to faktu, że brzeg systemu widzi pełny strumień komunikacji, jego strukturę, metadane, rytm, wolumen i punkty decyzyjne. Taka wiedza stanowiłaby istotną przewagę konkurencyjną, gdyby była wykorzystywana komercyjnie.
MF samo podkreśla, że system KSeF ma możliwość odszyfrowania faktury poprzez metody szyfrowania wykorzystywane przez MF z użyciem unikatowego klucza. To jednak dotyczy szyfrowania przy zapisie w bazie, a nie tego, co dzieje się ze strumieniem komunikacji na brzegu – tam i tak widoczne są nagłówki, struktura protokołu i metadane.
Security through Obscurity
Bezpieczeństwo przez Ukrywanie — to w informatyce nazwa dla jednej z najgorszych praktyk projektowych. Jeżeli architektura jest solidna i suwerenna, publikuje się jej specyfikację, granice zaufania i model zagrożeń, by mogła zostać zweryfikowana przez niezależnych ekspertów. Tak robią twórcy protokołów, które są realnie audytowane przez niezależne zespoły – jak w przypadku Signal, gdzie zarówno protokół, jak i model zagrożeń są publicznie opisane i weryfikowane. Jeżeli Ministerstwo Finansów milczy o roli Imperva/Thales i o tym, gdzie dokładnie kończy się szyfrowanie, to nie dlatego, że nie ma o czym mówić, lecz dlatego, że odpowiedź jest politycznie niewygodna.
Jurysdykcja zamiast włamania
W cyberbezpieczeństwie przyjmuje się prostą zasadę: każdy podmiot, który technicznie może mieć dostęp do danych lub kontroli ruchu, należy traktować jak podmiot mający ten dostęp. Jeżeli infrastruktura Imperva/Thales obsługuje terminację TLS lub certyfikaty brzegowe dla KSeF, to z punktu widzenia służb państw, pod których jurysdykcją ta firma działa, dostęp do danych nie wymaga włamania. Wystarczy decyzja prawna wobec operatora bramki.
W realnym świecie chmury nie trzeba się włamywać do serwera w Polsce – wystarczy decyzja prawna wydana wobec operatora WAF w jego macierzystej jurysdykcji. Tak właśnie działają przepisy w stylu CLOUD Act w USA czy analogiczne mechanizmy w innych państwach. I to jest sedno problemu.
Jeżeli ministerstwo twierdzi, że francuski strażnik jest ślepy (bo nie ma kluczy), to przyznaje, że system jest bezbronny. Jeżeli twierdzi, że system jest bezpieczny (bo WAF działa), to przyznaje, że francuski strażnik widzi wszystko. Wybierzcie sami, która wersja bardziej was niepokoi.
Przykłady praktyczne
Poniższe przykłady mają charakter czysto hipotetyczny. Pokazuję, jak mogłyby wyglądać realne konsekwencje tego, gdyby w przeszłości zagraniczne służby państwowe miały dostęp do telemetrii fakturowej całej polskiej gospodarki – takiej, jaką dziś centralizuje KSeF.
Przypadek 1. Airbus Helicopters i zerwany kontrakt Caracal
W 2016 roku Polska zerwała negocjacje z Airbus Helicopters dotyczące zakupu śmigłowców Caracal. Decyzja ta wywołała gwałtowny kryzys dyplomatyczny z Francją. Padały oskarżenia o brak wiarygodności, Francja wstrzymywała kontakty polityczne, a sprawa stała się symbolem konfliktu interesów między polskim państwem a francuskim przemysłem zbrojeniowym.
Gdyby w tamtym czasie istniał KSeF w obecnym kształcie, a infrastruktura brzegowa systemu była obsługiwana przez podmiot podlegający jurysdykcji francuskiej, strona francuska nie musiałaby znać treści żadnej faktury, aby mieć przewagę negocjacyjną. Wystarczyłaby wiedza o tym, kiedy i w jakim tempie rosną koszty polskich podwykonawców zbrojeniowych, które spółki mają problemy płynnościowe, gdzie występują opóźnienia płatnicze oraz które zakłady są wąskim gardłem w łańcuchu dostaw wojska.
Taka wiedza pozwalałaby precyzyjnie ocenić, czy Polska ma realną zdolność do samodzielnego serwisu i utrzymania alternatywnego sprzętu, czy też w praktyce będzie zmuszona wrócić do zachodniego dostawcy – i na jakich warunkach. To nie jest wywiad wojskowy. To jest czysta analiza fakturowa przemysłu.
Przypadek 2. Programy morskie: Miecznik i Orka
Francuskie koncerny zbrojeniowe – w tym Thales oraz Naval Group – od lat są aktywnymi uczestnikami rozmów i ofert dotyczących polskich programów morskich, takich jak fregaty Miecznik czy okręty podwodne Orka. Są to kontrakty wieloletnie, obejmujące nie tylko zakup platform, ale też serwis, modernizacje, uzbrojenie i elektronikę.
W hipotetycznym scenariuszu, w którym strona francuska miałaby dostęp do zagregowanych danych z KSeF, mogłaby bez żadnego włamania wiedzieć, czy polski przemysł stoczniowy i zbrojeniowy jest w stanie udźwignąć offset, czy rosną koszty komponentów, kiedy pojawiają się opóźnienia w płatnościach dla podwykonawców oraz które firmy zaczynają tracić płynność w kluczowych momentach realizacji programu.
To dokładnie ta wiedza, która pozwala w negocjacjach powiedzieć: albo bierzecie nasz system, albo program się opóźni. Nie dlatego, że ktoś kogoś szantażuje. Dlatego, że jedna strona zna ekonomiczny puls drugiej, a druga go nie zna.
Przypadek 3. Amunicja i presja czasu po 2022 roku
Po 2022 roku Polska gwałtownie zwiększyła zamówienia na amunicję, serwis sprzętu i modernizację uzbrojenia. W takim momencie kluczowe stają się tempo płatności, zdolności produkcyjne i dostępność komponentów. Gdyby zagraniczny podmiot miał dostęp do bieżącej telemetrii fakturowej całego sektora obronnego, widziałby w czasie rzeczywistym, kiedy system zaczyna się zapychać, gdzie kończą się zapasy i które linie produkcyjne są przeciążone.
To jest wiedza, która pozwala ustawić ceny, harmonogramy i warunki kontraktów z chirurgiczną precyzją. I do jej uzyskania nie potrzeba żadnego szpiegowania dokumentów wojskowych. Wystarczą faktury.
Przypadek 4. Rynek detaliczny: Carrefour, Biedronka, Dino.
Francuska sieć Carrefour od lat ma w Polsce problem strukturalny. Przegrywa cenowo z portugalską Biedronka (należącą do Jerónimo Martins) oraz z dynamicznie rosnącym polskim Dino. Sklepy są zamykane, format się nie broni, a sieć balansuje na granicy opłacalności.
Załóżmy hipotetycznie, że w tej sytuacji francuskie służby dysponują zagregowaną wiedzą z KSeF – nie treścią faktur, lecz pełną telemetrią handlu detalicznego w Polsce: wolumenami zakupów u dostawców, rytmem dostaw, sezonowością, zmianami cen transferowych, opóźnieniami płatności i relacjami pomiędzy producentami żywności, logistyką a sieciami handlowymi.
Taka wiedza pozwalałaby zrekonstruować rzeczywistą strukturę kosztową Biedronki i Dino – nie z raportów rocznych, lecz w czasie rzeczywistym. Można by dokładnie zobaczyć:
- kiedy Biedronka zaczyna podnosić ceny u dostawców, bo traci marżę,
- w których regionach Dino jest najbardziej wrażliwe na wzrost kosztów transportu,
- które produkty są liderami strat i kiedy są subsydiowane innymi kategoriami,
- w jakich momentach sieci są zmuszone akceptować gorsze warunki handlowe.
Z taką wiedzą Carrefour mógłby prowadzić chirurgicznie precyzyjną wojnę cenową. Nie szeroką, kosztowną i ryzykowną, lecz punktową: dokładnie w tych kategoriach, regionach i okresach, w których konkurencja jest najsłabsza. Mógłby czasowo zejść poniżej kosztów tam, gdzie wie, że Biedronka lub Dino nie mają już marginesu, by odpowiedzieć. Mógłby renegocjować umowy z tymi samymi dostawcami, wiedząc, kto jest pod ścianą, a kto nie.
To nie jest teoria spiskowa. To jest asymetria informacyjna. Firma, która zna rytm faktur całego rynku, nie musi zgadywać strategii konkurencji – ona ją widzi. A konkurenci, którzy tej wiedzy nie mają, reagują z opóźnieniem, często za późno.
W takim hipotetycznym scenariuszu Carrefour nie potrzebowałby żadnych tajnych danych ani szpiegowania dokumentów. Wystarczyłoby, że życzliwe mu służby trzymają klucze do bramki, przez którą przechodzi cały strumień danych handlowych w Polsce, i uznałyby, że warto tę wiedzę wykorzystać, by odbudować pozycję własnej sieci kosztem konkurentów.
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65
PS. Poprzednie części:
- Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość.
- Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie.
- Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza.
- Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel!
- Część V. Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty!
Dane medyczne w NFZ też są chronione. Zdrowi nie muszą się obawiać.