Szczegóły audytu ABW w sprawie KSeF (stan na 11 grudnia 2025 r.) Audyt bezpieczeństwa Krajowego Systemu e-Faktur (KSeF) przeprowadzany przez Agencję Bezpieczeństwa Wewnętrznego (ABW) jest odpowiedzią na rosnące obawy dotyczące cyberbezpieczeństwa systemu przed jego obowiązkowym wdrożeniem (1 lutego 2026 r. dla dużych firm). Na podstawie aktualnych raportów medialnych (głównie z listopada 2025 r.), audyt ten jest częścią szerszego cyklu weryfikacji przez służby specjalne, ale jego szczegóły pozostają niejawne ze względów bezpieczeństwa. Nie znaleziono nowych dyskusji na platformie X w tym temacie (brak wyników wyszukiwania po 1 listopada 2025 r.), co sugeruje, że informacje pochodzą głównie z oficjalnych źródeł i prasy. Poniżej podsumowanie kluczowych aspektów – sytuacja jest dynamiczna, z naciskiem na brak pełnej transparentności. Kto przeprowadza audyt? Podmiot: Agencja Bezpieczeństwa Wewnętrznego (ABW) – instytucja odpowiedzialna za ochronę infrastruktury krytycznej państwa, w tym systemów IT o strategicznym znaczeniu dla gospodarki i bezpieczeństwa narodowego. ABW działa na zlecenie Ministerstwa Finansów (MF) i we współpracy z Centrum Informatyki Resortu Finansów (CIRF). Zleceniodawca: MF, w odpowiedzi na interpelacje poselskie (np. od Konfederacji) i apele organizacji biznesowych (ZPP), które podkreślają ryzyko ataków hakerskich na centralną bazę KSeF (przewidywane 2,5 mld faktur rocznie). Kontekst: Audyt ABW jest jednym z kilku – wcześniej w 2024 r. zewnętrzny audyt SoftIQ wykazał krytyczne błędy, co przesunęło termin wdrożenia. ABW skupia się na aspektach bezpieczeństwa, których nie pokryły wcześniejsze testy (np. przez NASK czy Wojska Obrony Cyberprzestrzeni). Kiedy audyt? Rozpoczęcie: Planowany po 15 listopada 2025 r., po uruchomieniu testowej wersji systemu (środowisko demo KSeF 2.0 aktywne od października 2025 r.). Do 11 listopada 2025 r. audyt nie wystartował, co potwierdza "Rzeczpospolita" – system nie przeszedł pełnej weryfikacji przez służby cyberbezpieczeństwa (w tym ABW, NASK, CBZC Policji i Wojska Obrony Cyberprzestrzeni). Realizacja: Trwa na przełomie listopada i grudnia 2025 r. (stan na 11 grudnia: brak potwierdzenia zakończenia; prace wdrożeniowe KAS trwają równolegle). Dyrektor CIRF, Roman Łożyński, zapewnił, że współpraca z ABW nie ograniczy się do testów wstępnych, ale obejmie monitoring po starcie. Czas trwania: Nieujawniony, ale szacunkowo 4–6 tygodni (podobnie jak wcześniejsze audyty), z symulacjami ataków i testami obciążeniowymi. Audyt ma być zakończony przed produkcyjnym startem (styczeń 2026 r.). Zakres audytu Główne obszary: Ocena odporności na cyberataki (np. DDoS, phishing, ataki na API i XML), szyfrowanie danych (tokeny, certyfikaty KSeF) oraz ryzyka dla bazy centralnej (potencjalny "prezent dla obcych wywiadów", jak ostrzega prof. Modzelewski). Weryfikacja architektury IT pod kątem luk bezpieczeństwa, śladów dostępu (każde użycie KSeF ma zostawiać logi) i zgodności z normami (np. ISO 27001). Symulacje scenariuszy: Ataki hakerskie, awarie totalne (7–15 dni offline) i fraud (fikcyjne faktury). Specyfika: Szczegóły niejawne – ABW nie publikuje raportów publicznych. Audyt obejmuje testy w środowisku demo, z fokusem na ochronę danych przedsiębiorców (NIP/PESEL, obroty). MF podkreśla "zaawansowane zabezpieczenia", ale eksperci z "Rzeczpospolitej" krytykują opóźnienia: system o znaczeniu krytycznym powinien być audytowany od etapu budowy. Wykluczenia: Nie obejmuje audytu legislacyjnego (brak rozporządzeń MF ws. pobierania faktur) ani biznesowego (wpływ na MŚP). Raport i wyniki Termin raportu: Oczekiwany na początek 2026 r. (przed 1 lutego), po zakończeniu prac wdrożeniowych KAS. Pełny raport niejawny (dla MF i Sejmu), z publicznym podsumowaniem w BIP MF (podobnie jak w 2024 r.). Wyniki mogą wpłynąć na dalsze odroczenie terminu (ZPP żąda przesunięcia o rok). Oczekiwane efekty: Zalecenia do poprawek (np. wzmocnienie MCU – Modułu Certyfikatów i Uprawnień). Wstępne zapewnienia MF: System rejestruje każde zapytanie, co ułatwia wykrywanie nadużyć. Status na 11 grudnia: Brak opublikowanych wyników – audyt prawdopodobnie w toku. "Rzeczpospolita" z 27 listopada 2025 r. alarmuje, że bez audytu ABW wdrożenie grozi "paraliżem gospodarki". Konsekwencje i reakcje Ryzyka: 80% firm niegotowych (raport RetailTech 2025), wzrost fraudów (o 15–20% wg analogii do SdI we Włoszech). Brak audytu przed startem zwiększa obawy o cyberataki na infrastrukturę krytyczną. Reakcje: MF i CIRF: Uspokajają o śladach dostępu i współpracy z ABW; planują infolinię KSeF od stycznia 2026 r. Eksperci i biznes: Krytyka w "Rzeczpospolitej" i CRN (12 listopada 2025 r.) – "KSeF to łakomy kąsek dla hakerów". Interpelacje poselskie żądają wstrzymania. Optymiści: Audyt wzmocni system, redukując oszustwa VAT o 30–50%. Zalecenia: Firmy powinny testować demo KSeF 2.0, wdrożyć własne BCP i monitorować BIP MF. Jeśli wyniki audytu będą negatywne, spodziewajcie się kolejnego odroczenia. Sytuacja ewoluuje – brak nowych danych na X sugeruje ciszę medialną. Śledź oficjalne źródła dla aktualizacji. Źródła: crn.pl (12.11.2025), rp.pl (27.11.2025), payload.pl (11.11.2025); gov.pl (aktualizacje z 2025 r.).

ALT: a penguin is holding a saw and cutting a coin with the letter b on it