Szukaj
Wykop ten artykuł Dołącz do nas na Facebooku
REKLAMA

Ważne informacje w serwisie:




Artykuły: Facebook

10.08.2021

Czy e-faktury będą bezpieczne?

Od 1 października ma rozpocząć się proces wprowadzania elektronicznych form rozliczeń między kontrahentami. E-faktury mają zastąpić całkowicie dotychczasowe formy ewidencji do roku 2023. To słuszne rozwiązanie oprócz oczywistych korzyści, takich jak uszczelnienie systemu podatkowego czy uproszczenie rozliczeń między kontrahentami, niesie ze sobą także poważne zagrożenia, przede wszystkim dla przedsiębiorców i ich firm. Należy tu podkreślić zagrożenie cyberatakami hakerskimi, a także duże zagrożenie nadmierną inwigilacją i możliwością szpiegostwa przemysłowego. Czy nowy system ewidencji będzie całkowicie bezpieczny? - pytają posłowie Ministra Finansów.

Interpelacja nr 24922 do ministra finansów w sprawie bezpieczeństwa faktur elektronicznych

Szanowny Panie Ministrze,

od 1 października ma rozpocząć się proces wprowadzania elektronicznych form rozliczeń między kontrahentami. E-faktury mają zastąpić całkowicie dotychczasowe formy ewidencji do roku 2023. To słuszne rozwiązanie oprócz oczywistych korzyści, takich jak uszczelnienie systemu podatkowego czy uproszczenie rozliczeń między kontrahentami, niesie ze sobą także poważne zagrożenia, przede wszystkim dla przedsiębiorców i ich firm. Należy tu podkreślić zagrożenie cyberatakami hakerskimi, a także duże zagrożenie nadmierną inwigilacją i możliwością szpiegostwa przemysłowego.

W związku z powyższym proszę o odpowiedź na następujące pytania:

  1. Czy w świetle ostatnich wydarzeń, świadczących o tym, że Polska jest ofiarą udanych ataków hakerskich, ministerstwo może dać gwarancję polskim przedsiębiorcom, że nowy system ewidencji będzie całkowicie bezpieczny?
  2. Jakie kroki zostały podjęte, aby wykluczyć możliwość ewentualnego przekazywania przez urzędników informacji do konkurencji tego podatnika, który wystawia fakturę?
  3. Jak ministerstwo zamierza rozwiązać problem możliwych strat biznesowych, jakie mogą ponieść przedsiębiorcy, których dane zostaną ukradzione lub nielegalnie przekazane?

Posłowie:
Mirosława Nykiel, Joanna Frydrych, Ewa Kołodziej

25 czerwca 2021 r.

Odpowiedź na interpelację nr 24922 w sprawie bezpieczeństwa faktur elektronicznych

Szanowna Pani Marszałek,

odpowiadając na interpelację nr 24922 Pań posłanek Mirosławy Nykiel, Joanny Frydrych oraz Ewy Kołodziej z 2 lipca 2021 roku w sprawie bezpieczeństwa faktur elektronicznych, przedstawiam poniższe wyjaśnienia.

Pytanie 1. Czy w świetle ostatnich wydarzeń, świadczących, że Polska jest ofiarą udanych ataków hakerskich Ministerstwo może dać gwarancję polskim przedsiębiorcom, że nowy system ewidencji będzie całkowicie bezpieczny?

Na wstępie zwracam uwagę, że oceny bezpieczeństwa systemów teleinformatycznych określonych instytucji na mocy przepisów ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych1 dokonuje Agencja Bezpieczeństwa Wewnętrznego (ABW). Dodatkowo Szef ABW jest zobowiązany do prowadzenia rejestru zdarzeń naruszających bezpieczeństwo systemów teleinformatycznych, o których mowa w art. 5 ust. 1 pkt 2a ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu2. W przypadku odnotowania zdarzenia naruszającego bezpieczeństwo wskazanych systemów ich administratorzy obowiązani są do niezwłocznego zgłaszania incydentu do Zespołu CERT.GOV.PL za pomocą poczty elektronicznej (incydent@cert.gov.pl) lub telefonicznie (48 22 58 58 833)3.

Ponadto wszystkie podmioty publiczne realizujące zadania w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne4 zobowiązane są do wdrożenia systemu zarządzania bezpieczeństwem informacji, gwarantującego wysoki standard zapewnienia bezpieczeństwa danych.

Natomiast rozporządzenie o Krajowych Ramach Interoperacyjności5 reguluje niezbędne działania wchodzące w skład takiego systemu - w tym zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegające m.in.: na minimalizowaniu ryzyka utraty informacji w wyniku awarii i ochronie przed błędami, utratą czy nieuprawnioną modyfikacją. Spełnienie wymogów określonych we wskazanym rozporządzeniu, daje odpowiedni poziom bezpieczeństwa dla Krajowego Systemu e-Faktur (KSeF).

Projektowany system będzie przechodził szczegółowe testy bezpieczeństwa. Podatność na potencjalne ataki będzie także obserwowana podczas planowanego okresu testowego - od października do grudnia br. oraz w trybie ciągłym w trakcie jego działania produkcyjnego. Gromadzone dane będą multiplikowane oraz zapisywane w kopiach zapasowych, aby zabezpieczyć się przed ich utratą (także w mało prawdopodobnych, nadzwyczajnych sytuacjach awariisprzętowej). Zarówno dane, jak i komunikacja będą szyfrowane. Autoryzacja w systemie będzie zabezpieczona na najwyższych dostępnych poziomach. W celu uwierzytelnienia zakłada się bowiem bezpieczeństwo systemu certyfikatów kwalifikowanych, profilu zaufanego oraz dodatkowych mechanizmach kryptografii opartej o klucze symetryczne i asymetryczne.

Pytanie 2. Jakie kroki zostały podjęte, aby wykluczyć możliwość ewentualnego przekazywania przez urzędników informacji do konkurencji tego podatnika, który wystawia fakturę?

Dostęp do danych szczegółowych będzie możliwy w ściśle określonych sytuacjach - tj. w toku czynności kontrolnych, sprawdzających, w trakcie postępowania podatkowego oraz w celu prowadzenia działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk pozostających we właściwości Krajowej Administracji Skarbowej (KAS), jak również dla efektywniejszej analizy ryzyka, do których KAS zobowiązana jest ustawowo6.

Należy zaznaczyć, że dostęp do danych KSeF będzie reglamentowany i każdorazowo poprzedzony koniecznością złożenia wniosku o nadanie określonych uprawnień w systemie dla wskazanego pracownika KAS. Wniosek o dostęp do tego rodzaju danych będzie podpisywany przez kierownika jednostki wnioskującej i warunkowany realizacją określonych zadań służbowych przez pracownika. Każdorazowy wgląd do danej faktury przez uprawnionego pracownika będzie na bieżąco monitorowany w systemie, opatrzony dodatkowo wyraźnymi zgodami przełożonych - po uprzednim uzasadnieniu celu poboru danych oraz będzie cyklicznie audytowany.

W tym miejscu należy też wskazać na rozwiązania już funkcjonujące na gruncie Działu VII ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa7, zgodnie z którymi pracownicy organów KAS są obowiązani do zachowania tajemnicy skarbowej. Zachowanie tajemnicy skarbowej obowiązuje również po ustaniu zatrudnienia. Dodatkowo do przestrzegania tajemnicy skarbowej obowiązane są odpowiednio inne osoby, którym udostępniono informacje objęte tajemnicą skarbową, chyba że na ich ujawnienie zezwala przepis prawa.

Za ujawnienie informacje objętych tajemnicą skarbową, zgodnie z art. 306 Ordynacji Podatkowej, przewidziana jest kara pozbawiania wolności do lat 5, a gdy sprawca czynu działania nieumyślnie - do lat 2.

Pytanie 3. Jak Ministerstwo zamierza rozwiązać problem możliwych strat biznesowych, jakie mogą ponieść przedsiębiorcy, których dane zostaną ukradzione, lub nielegalnie przekazane?

Zgodnie z treścią art. 417 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny8 za szkodę wyrządzoną przez niezgodne z prawem działanie lub zaniechanie przy wykonywaniu władzy publicznej odpowiedzialność ponosi Skarb Państwa lub jednostka samorządu terytorialnego lub inna osoba prawna wykonująca tę władzę z mocy prawa.

Na podstawie wskazanego przepisu istnieje zatem możliwość wyrównania poniesionych strat jak również utraconych korzyści. W takich przypadkach niezbędne jest jednak zaistnienie ogólnych przesłanek, o których mowa w art. 361 Kodeksu cywilnego - czyli adekwatnego związku przyczynowego pomiędzy szkodą a zaistniałym zdarzeniem. Ciężar dowodu co do tych przesłanek spoczywa na poszkodowanym.

Sekretarz stanu w Ministerstwie Finansów
Magdalena Rzeczkowska

Warszawa, 3 sierpnia 2021 r.

1 Tekst jedn. Dz. U. 2019 r., poz. 796 z późn. zm.

2 Tekst jedn. Dz. U. z 2020 r. poz. 27 z późn. zm.

3 W celu uproszczenia zgłaszania zdarzeń na stronie internetowej www.cert.gov.pl umieszczony jest formularz, który po wypełnieniu należy wysłać pod wskazany adres e-mail.

4 Art. 2 ustawy (tekst jedn. Dz. U. z 2021 r. poz. 670 z późn. zm.)

5 Zgodnie z § 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jedn. Dz. U. z 2017 r., poz. 2247), podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

6 Art. 2 ust. 1 pkt 10 ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (tekst jedn. Dz. U. z 2021 r., poz. 422 z późn. zm.)

7 Tekst jedn. Dz. U z 2020 r., poz. 1325 z późn. zm.

8 Tekst jedn. Dz. U z 2020 r., poz. 1740 z późn. zm.

 

 

Ostatnie artykuły z tego działu

Wszystkie artykuły z tego działu »

rozwiń wszystkie »Wasze komentarze

skomentuj

dodaj nowy komentarz

komentarz:
podpis:
 

Drodzy Użytkownicy podatki.biz. Choć czytamy uważnie Wasze komentarze, nie odpowiadamy na pytania w kwestiach szczegółowych. Zadając je, kierujecie je nie do nas, a do innych Użytkowników podatki.biz. Jeżeli chcecie wyjaśnić lub rozwiązać jakiś problem, zachęcamy do skorzystania z naszego forum dyskusyjnego - www.podatki.biz/forum

Zespół podatki.biz