Od dłuższego czasu obserwuje proces wdrażania KSeF i mam coraz silniejsze wrażenie, ze projekt ten jest realizowany w sposób chaotyczny, reaktywny i bez rzetelnej debaty o konsekwencjach. Szczególnie niepokoi mnie brak poważnej rozmowy o bezpieczeństwie danych oraz ryzykach wynikających z centralizacji informacji o całej gospodarce.
Z jednej strony słyszymy hasła o “uszczelnianiu systemu”, “automatyzacji” i “nowoczesnym państwie”.
Z drugiej strony widzimy w praktyce:
- stale przesuwane terminy i zmieniane założenia,
- niestabilne API i częste modyfikacje struktur danych,
- przerzucanie kosztów wdrożenia, testów i odpowiedzialności na przedsiębiorców oraz dostawców oprogramowania.
To wszystko można jeszcze uznać za problemy organizacyjne. Znacznie poważniejszy jest jednak sam model architektoniczny systemu.
Centralizacja danych jako fundamentalny problem
KSeF to scentralizowany system gromadzący informacje o wszystkich fakturach i transakcjach w kraju, w tym:
- kto z kim handluje,
- co sprzedaje i kupuje,
- w jakich wolumenach,
- po jakich cenach,
- w jakich cyklach czasowych.
To nie są “zwykłe dane podatkowe”.
To pełna mapa relacji gospodarczych państwa, dostępna w zasadzie w czasie rzeczywistym.
I tu pojawia się pytanie, które w debacie publicznej jest moim zdaniem konsekwentnie pomijane:
Czy państwo jest w stanie realnie, długoterminowo i skutecznie zabezpieczyć tak wrażliwy, scentralizowany zbiór danych?
Nie mówimy o pojedynczym wycieku danych osobowych.
Mówimy o informacjach o całej gospodarce, które w razie kompromitacji:
- są bezcenne dla konkurencji,
- stanowią idealne narzędzie szpiegostwa gospodarczego,
- mogą być celem cyberataków inspirowanych przez inne państwa.
Lekcja z Francji i dlaczego większość krajów nie idzie ta droga
Warto tu wspomnieć, że Francja próbowała wdrażać podobne rozwiązania w zakresie powszechnego raportowania i e-fakturowania w modelu silnie scentralizowanym. Projekty te:
- napotkały poważne problemy techniczne,
- były wielokrotnie zmieniane,
- a finalnie zostały ograniczone i zmodyfikowane zamiast rozszerzane.
Co ważne - większość krajów UE nie wprowadza obowiązkowej, centralnej bazy wszystkich faktur w czasie rzeczywistym. Zamiast tego stosuje się:
- raportowanie okresowe,
- modele zdecentralizowane,
- ograniczony zakres przekazywanych danych,
- rozwiązania hybrydowe, które nie tworzą jednego punktu krytycznego.
Tymczasem w Polsce idziemy w kierunku maksymalnej centralizacji, bez publicznie dostępnych:
- niezależnych audytów bezpieczeństwa,
- jawnych modeli zagrożeń,
- scenariuszy “co jeśli system zostanie skompromitowany”,
- realnej odpowiedzialności za straty po stronie przedsiębiorców.
Argument “inne kraje tez tak robią” jest co najmniej na wyrost
Ten argument pojawia się bardzo często, ale:
- wiele krajów tego nie robi,
- cześć się z takich rozwiązań wycofała lub je ograniczyła,
- skala systemu, kontekst geopolityczny i poziom bezpieczeństwa są rożne.
Cyfryzacja nie jest celem sama w sobie.
Centralizacja wszystkiego “bo się da” również nim nie jest.
Na koniec - pytania do dyskusji
Nie jestem przeciwnikiem cyfryzacji ani walki z oszustwami podatkowymi.
Jestem przeciwnikiem wdrażania krytycznego systemu państwowego bez uczciwej rozmowy o ryzykach, których konsekwencje mogą być nieodwracalne.
Ciekaw jestem Waszych opinii:
- czy obawy o bezpieczeństwo KSeF są przesadzone?
- czy centralizacja danych gospodarczych to nieunikniona przyszłość?
- czy przykład Francji to realne ostrzeżenie?
- dlaczego temat bezpieczeństwa jest w tej debacie tak marginalizowany?
Jak to wygląda w firmach, które macie lub, w których pracujecie?
