Część I — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Braci Kowalskich

Grzegorz GPS Świderski, 28.02.2026

Od po­cząt­ku lu­te­go na­pi­sa­łem se­rię 10 no­tek blo­go­wy­ch o KSeF i uza­sad­ni­łem te­zy w ni­ch za­war­te so­lid­ny­mi au­dy­ta­mi tech­nicz­ny­mi. Wy­da­wa­ło­by się, że tam je­st już wszyst­ko, co po­trze­ba wie­dzieć o tej afe­rze. Otóż nie je­st wszyst­ko. Więc otwie­ram ko­lej­ną se­rię, w któ­rej opi­szę no­we kwe­stie zwią­za­ne z tą afe­rą szpie­gow­ską. Bę­dą co naj­mniej 4 od­cin­ki, a mo­że i wię­cej. I znów bę­dzie co­raz gru­biej. Więc śledź­cie mój pro­fil.

  Wy­obraź­my so­bie wol­ny ry­nek ja­ko par­tię po­ke­ra. Wy­gry­wa ten, kto ma lep­szą stra­te­gię, po­tra­fi ble­fo­wać i do­brze za­rzą­dza ka­pi­ta­łem. Te­raz wy­obraź­my so­bie, że je­den z gra­czy wi­dzi kar­ty prze­ciw­ni­ka w cza­sie rze­czy­wi­stym. On wy­gra na pew­no, nie­praw­daż? Tak wła­śnie wy­glą­da ry­nek, na któ­rym dzia­ła KSeF w obec­nej ar­chi­tek­tu­rze. Wy­tłu­ma­czę to do­kład­niej.


  Po jed­nej stro­nie gry ryn­ko­wej ma­my hi­po­te­tycz­ną fir­mę "Bra­cia Ko­wal­scy" — spraw­nie za­rzą­dza­ne­go, pol­skie­go dys­try­bu­to­ra. Po dru­giej stro­nie sie­dzi "Du­pont et Fils" – fran­cu­ski gi­gant. Obie fir­my sprze­da­ją ten sam asor­ty­ment, ma­ją po­dob­ne kosz­ty i wal­czą o ty­ch sa­my­ch od­bior­ców i do­staw­ców. Kon­ku­ru­ją wy­łącz­nie mar­żą, ra­ba­ta­mi i spraw­no­ścią lo­gi­stycz­ną. Obie dzia­ła­ją cał­ko­wi­cie le­gal­nie i po­słusz­nie wy­sy­ła­ją każ­dą fak­tu­rę do Kra­jo­we­go Sys­te­mu e-Fak­tur. Obie ma­ją rów­ne ka­wał­ki tor­tu ryn­ku w swo­jej bran­ży w Pol­sce.

  Za­łóż­my te­raz kon­kret­ną ar­chi­tek­tu­rę, któ­rą bar­dzo so­lid­nie uza­sad­ni­łem w mo­ich licz­ny­ch tech­nicz­ny­ch au­dy­ta­ch i kon­se­kwen­cję te­go. Fak­tu­ry w XML wy­sy­ła­ne do KSeF są szy­fro­wa­ne end-to-end, więc ope­ra­tor in­fra­struk­tu­ry po­śred­niej, czy­li Im­pe­rva na­le­żą­ca do fran­cu­skiej gru­py Tha­les, ich nie wi­dzi. Jed­no­cze­śnie me­ta­da­ne JSON po­zo­sta­ją jaw­ne dla tej in­fra­struk­tu­ry i obej­mu­ją mię­dzy in­ny­mi NIP-y, na­zwy pod­mio­tów, da­ty ope­ra­cyj­ne, ty­py do­ku­men­tów oraz kwo­ty net­to, VAT, brut­to oraz wa­lu­tę. W au­dy­ta­ch nie­zbi­cie udo­wod­ni­łem, że te da­ne są jaw­ne dla Im­pe­rvy. Za­łóż­my też, że ten stru­mień me­ta­da­ny­ch tra­fia do ana­li­ty­ków wspo­ma­ga­ją­cy­ch Du­pont. Zo­bacz­my, jak ta­ka asy­me­tria in­for­ma­cji za­bi­ja pol­ską fir­mę w trzech szyb­ki­ch ak­ta­ch.

Akt I: Prze­świe­tle­nie kosz­tów

  Żad­na fir­ma han­dlo­wa nie prze­trwa, je­śli kon­ku­ren­cja po­zna jej rytm za­ku­pów, wo­lu­me­ny i re­al­ny koszt za­to­wa­ro­wa­nia. Me­ta­da­ne nie mu­szą po­da­wać cen jed­nost­ko­wy­ch, że­by da­ło się je od­two­rzyć. W bran­ża­ch o stan­dar­do­wym asor­ty­men­cie, sta­bil­ny­ch cen­ni­ka­ch i po­wta­rzal­ny­ch ko­szy­ka­ch za­ku­po­wy­ch wy­star­czy znać do­staw­cę, da­ty i kwo­ty, że­by z du­żą do­kład­no­ścią osza­co­wać ra­ba­ty, pro­gi ilo­ścio­we i fak­tycz­ny po­ziom mar­ży, ja­ki zo­sta­je Ko­wal­skim.

  Ana­li­ty­cy Du­pont wi­dzą, u ko­go Ko­wal­scy ku­pu­ją, kie­dy ku­pu­ją i na ja­kie kwo­ty. Wi­dzą se­zo­no­wo­ść, wi­dzą sko­ki za­to­wa­ro­wa­nia, wi­dzą, kie­dy Po­la­cy są pod ścia­ną, a kie­dy ma­ją od­de­ch. Dzię­ki te­mu Du­pont zna próg bó­lu Ko­wal­ski­ch, czy­li ce­nę, po­ni­żej któ­rej Po­la­cy za­czy­na­ją sprze­da­wać ze stra­tą al­bo na gra­ni­cy ze­ra.

Akt II: Atak snaj­per­ski na ba­zę klien­tów

  Zdo­by­cie lo­jal­nej ba­zy do­staw­ców i od­bior­ców to la­ta pra­cy han­dlow­ców, bu­do­wa­nia re­la­cji i wiel­kie kwo­ty wy­da­ne na mar­ke­ting. Sys­tem KSeF od­da­je to wszyst­ko za dar­mo. Al­go­ryt­my ana­li­zu­ją­ce jaw­ny ru­ch przez KSeF ścią­ga­ją li­stę wszyst­ki­ch NIP-ów na­byw­ców, któ­rym Ko­wal­scy wy­sta­wia­ją fak­tu­ry.

  Du­pont nie strze­la na oślep. Al­go­rytm wy­li­cza, że zgod­nie z za­sa­dą Pa­re­to 20% klien­tów Ko­wal­ski­ch ge­ne­ru­je 80% ich ob­ro­tów. Fran­cu­zi wi­dzą do­kład­ne kwo­ty net­to i da­ty wy­sta­wie­nia do­ku­men­tów. Wie­dzą, że naj­więk­szy klient Ko­wal­ski­ch za­ma­wia to­war za­wsze w dru­gi wto­rek mie­sią­ca za oko­ło 150 ty­się­cy zło­ty­ch. W po­nie­dzia­łek ra­no han­dlo­wiec z Du­pont dzwo­ni do te­go klien­ta z ofer­tą szy­tą na mia­rę — gwa­ran­tu­ją­cą ten sam to­war, ale o 3% ta­niej. Ko­wal­scy z mie­sią­ca na mie­siąc tra­cą klu­czo­wy­ch kon­tra­hen­tów, nie ma­jąc po­ję­cia, skąd Fran­cu­zi wie­dzą, do ko­go i z ja­ką ce­ną ude­rzyć.

Akt III: Za­bój­stwo płyn­no­ści fi­nan­so­wej

  Ostat­nim gwoź­dziem do trum­ny je­st znisz­cze­nie lo­gi­sty­ki. Me­ta­da­ne to te­le­me­trycz­ny za­pis bi­cia ser­ca przed­się­bior­stwa. Al­go­ryt­my Du­pont ana­li­zu­ją rytm znacz­ni­ków cza­su (da­ty ope­ra­cji, da­ty prze­sy­łu do­ku­men­tów do sys­te­mu). Wi­dząc na­gły wzro­st war­to­ści fak­tur za­ku­po­wy­ch u Ko­wal­ski­ch, Fran­cu­zi wie­dzą: Po­la­cy wła­śnie po­tęż­nie za­to­wa­ro­wa­li ma­ga­zyn przed se­zo­nem. Ma­ją za­mro­żo­ną go­tów­kę.

  To ide­al­ny mo­ment na atak. Du­pont ogła­sza w tym sa­mym ty­go­dniu po­tęż­ną, agre­syw­ną pro­mo­cję na ryn­ku, tnąc mar­że do ze­ra. Wszy­scy od­bior­cy rzu­ca­ją się na to­war Fran­cu­zów. To­war w ma­ga­zy­nie Ko­wal­ski­ch nie ro­tu­je, a ter­mi­ny płat­no­ści dla ich do­staw­ców nie­ubła­ga­nie się zbli­ża­ją. Po­ja­wia­ją się za­to­ry płat­ni­cze. Zde­spe­ro­wa­ni Ko­wal­scy mu­szą ra­to­wać się dro­gi­mi kre­dy­ta­mi ob­ro­to­wy­mi, któ­ry­ch kosz­ty osta­tecz­nie to­pią ren­tow­no­ść ich biz­ne­su.

Epi­log

  Po kil­ku­na­stu mie­sią­ca­ch dzia­ła­nia sys­te­mu Bra­cia Ko­wal­scy ogła­sza­ją upa­dło­ść. Pra­cow­ni­cy lą­du­ją na bru­ku, a wie­lo­let­ni pol­ski ka­pi­tał wy­pa­ro­wu­je. Wła­ści­cie­le są prze­ko­na­ni, że po pro­stu prze­gra­li w ryn­ko­wym star­ciu z za­chod­nim gi­gan­tem, któ­ry miał być mo­że lep­szy mo­del biz­ne­so­wy. Urzęd­ni­cy Mi­ni­ster­stwa Fi­nan­sów od­no­to­wu­ją suk­ces — wszyst­kie fak­tu­ry z pro­ce­su upa­dło­ścio­we­go i wy­prze­da­ży ma­jąt­ku spły­nę­ły do KSeF bez za­kłó­ceń, w ułam­ku se­kun­dy, ide­al­nie uszczel­nia­jąc sys­tem po­dat­ko­wy.

  Tym­cza­sem fir­ma Du­pont, po wy­eli­mi­no­wa­niu naj­więk­sze­go pol­skie­go kon­ku­ren­ta, po ci­chu pod­no­si ce­ny na ca­łym kra­jo­wym ryn­ku. W ten spo­sób Du­pont mo­że wy­koń­czyć nie tyl­ko pol­skie fir­my pry­wat­ne, ale też wszyst­kie pań­stwo­we, w tym zbro­je­nio­we. Po pro­stu wy­wiad fran­cu­ski mo­że wes­przeć ko­go chce, tak by zban­kru­to­wać do­wol­ne­go kon­ku­ren­ta. Mo­że na­wet wy­kań­czać fran­cu­skie fir­my, ale ta­kie, któ­re nie są po­wią­za­ne z obec­ną wła­dzą we Fran­cji.

  To nie do­tknie tyl­ko pol­ski­ch biz­nes­me­nów i pol­skie fir­my, czy to pry­wat­ne, czy pań­stwo­we, to do­tknie wszyst­ki­ch Po­la­ków. Każ­dy z nas od­czu­je ban­kruc­two na­szy­ch firm. Do­kład­nie ta­ki bę­dzie sku­tek KSeF. Nie bę­dzie u nas wol­ne­go ryn­ku, w ogó­le nie bę­dzie ryn­ku i biz­ne­su, bę­dzie tyl­ko że­ro­wi­sko dla firm wspie­ra­ny­ch przez ob­ce wy­wia­dy, któ­re wi­dzą me­ta­da­ne KSeF po­przez bram­kę WAF fir­my Im­pe­rva.

  W dru­giej czę­ści opi­szę, co Bra­cia Ko­wal­scy mo­gli­by zro­bić, by się nie dać tak ograć, by pod­jąć tę nie­rów­ną wal­kę z Du­pon­tem i nie dać mu in­for­ma­cji da­ją­cy­ch ryn­ko­wą prze­wa­gę.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65

PS1. Za­ło­że­nie jaw­ny­ch me­ta­da­ny­ch JSON (NIP-y, kwo­ty, da­ty) po­twier­dza mój au­dyt tech­nicz­ny: informacje-lokalne.pl. XML E2E chro­ni tre­ść fak­tu­ry, ale me­ta­da­ne HTTP/JSON po ter­mi­na­cji TLS nie.

PS2. A tu ma­cie wszyst­kie od­cin­ki mo­jej poprzednij se­rii, w któ­ry­ch to wszyst­ko do­kład­nie opi­su­ję:

PS3. A tu audyty techniczne:

Ta­gi: KSeF gps65, go­spo­dar­ka, biz­nes, Wol­ny Ry­nek, Im­pe­rva, cy­ber­bez­pie­czeń­stwo, Pol­ska, wy­wiad, szpie­go­stwo.

NASZ_HENRY
Jakub Krysiewicz daje mniej techniczny opis afery KSeF 😉

tysol.pl

"Tysol" podaje co należy teraz zrobić: pięć konkretnych kroków

W trybie natychmiastowym przełączyć usługę WAF na zarządzaną przez polski podmiot, z polskim kapitałem, działający na terenie Polski. Jeśli jest to niemożliwe KseF MUSI zostać wyłączony! Dodatkowo należy przeprowadzić niezależny audyt cyberbezpieczeństwa. Nie przez Aplikacje Krytyczne, ale przez niezależną firmę audytorską z doświadczeniem w infrastrukturze krytycznej. Raport powinien być publiczny. Obejmować powinien architekturę WAF, przepływy danych, potencjalne punkty dostępu dla podmiotów trzecich.

Integracja białej listy z KSeF. System powinien automatycznie weryfikować, czy wystawca faktury jest aktywnym podatnikiem VAT i czy jego rachunek bankowy widnieje na białej liście. To minimum, które powinno było istnieć od startu.

Mechanizm odrzucania faktur. Odbiorca musi mieć techniczną możliwość odrzucenia faktury od podmiotu, z którym nie prowadzi relacji handlowej, zanim dokument zostanie uznany za doręczony. Obecny model automatycznego doręczenia bez akceptacji jest fundamentalnie wadliwy.

Publikacja raportu o ataku DDoS. CERT Polska lub CSIRT GOV powinny opublikować raport potwierdzający lub zaprzeczający twierdzeniom ministra Domańskiego o ataku z 17 państw. Twierdzenie o cyberataku na infrastrukturę krytyczną państwa nie może pozostawać wyłącznie w sferze wypowiedzi medialnych.

Kontrola parlamentarna. Minister Finansów powinien stanąć przed komisją sejmową lub senacką i odpowiedzieć na pytania o architekturę bezpieczeństwa, dostęp do danych, rolę podmiotów zagranicznych w infrastrukturze KSeF. Blokowanie takich przesłuchań, jak 18 lutego w Senacie, podważa zaufanie do systemu bardziej niż jakikolwiek atak hakerski.

Weryfikacja kontrwywiadowcza procesu wyboru dostawcy. ABW, w ramach ustawowych kompetencji ochrony infrastruktury krytycznej, powinna przeprowadzić weryfikację procesu decyzyjnego, który doprowadził do uzależnienia centralnego systemu fiskalnego państwa od zagranicznego podmiotu realizującego funkcję terminacji ruchu sieciowego.

Weryfikacja powinna obejmować: (a) identyfikację osób odpowiedzialnych za decyzję architektoniczną, (b) ocenę, czy rozważono alternatywy krajowe lub sojusznicze, (c) analizę, czy proces wyboru uwzględniał wymogi bezpieczeństwa państwa wynikające z klasyfikacji KSeF jako infrastruktury krytycznej.

Owocnego czytania 🌼