Dlaczego KSeF stał się nowym celem cyberprzestępców
Krajowy System e-Faktur (KSeF) to centralna platforma administracji skarbowej służąca do wystawiania, otrzymywania i przechowywania faktur ustrukturyzowanych. Jej główne cele to przyspieszenie rozliczeń między firmami, uszczelnienie systemu podatkowego oraz pełna cyfryzacja obiegu dokumentów sprzedażowych. W praktyce oznacza to, że coraz większa część obrotu gospodarczego w Polsce przechodzi przez jeden, państwowy system teleinformatyczny.
Obowiązkowe i masowe korzystanie z KSeF powoduje, że miliony przedsiębiorców, biur rachunkowych i księgowych zaczynają regularnie logować się do nowego narzędzia, otrzymywać powiadomienia i przetwarzać dane w oparciu o kanały elektroniczne. Każda taka zmiana – zwłaszcza wymuszona przez przepisy – jest wyjątkowo atrakcyjna dla cyberprzestępców, którzy próbują wykorzystać brak doświadczenia użytkowników i naturalne zamieszanie organizacyjne.
Wiceminister finansów i wiceszef Krajowej Administracji Skarbowej Zbigniew Stawicki zwracał niedawno uwagę, że skala fikcyjnych faktur w Polsce rośnie w tempie lawinowym. W 2025 r. wykryto ponad 376 tys. fikcyjnych faktur, czyli około 30 proc. więcej niż rok wcześniej. Jednocześnie liczba kontroli celno-skarbowych spada, co oznacza, że przestępcy coraz częściej próbują wykorzystywać nowe narzędzia i luki w procesach, w tym także związane z e-fakturowaniem.
KSeF ma w długim terminie ograniczać nadużycia dzięki pełnej ścieżce audytu dokumentów i ich centralnemu rejestrowi. Jednak w krótkim i średnim okresie pojawia się efekt uboczny: gwałtowny wzrost liczby wiadomości, komunikatów i procesów, które można wiarygodnie podszyć pod administrację skarbową. Przestępcy bardzo szybko zaczęli wykorzystywać znane logo, terminologię podatkową, nazwy urzędów oraz narrację o „obowiązkowym przejściu na KSeF”, aby wyłudzać dane logowania, dane osobowe oraz pieniądze.
Najbardziej narażone na oszustwa są małe i średnie firmy, biura rachunkowe oraz działy księgowości i IT, które nie dysponują rozbudowanymi zespołami cyberbezpieczeństwa. W wielu przedsiębiorstwach za obsługę KSeF odpowiada jedna osoba, łącząca tę funkcję z wieloma innymi obowiązkami. Brakuje sformalizowanych procedur, szkoleń z socjotechniki i narzędzi do filtrowania podejrzanych wiadomości. To właśnie w takich środowiskach fałszywe maile „na KSeF”, scamowe faktury czy fałszywe strony logowania mają największą szansę powodzenia.
Rosnąca liczba ostrzeżeń publikowanych przez Ministerstwo Finansów i Krajową Administrację Skarbową potwierdza, że nie są to zagrożenia hipotetyczne. Kilka dni po starcie KSeF pojawiły się pierwsze zmasowane kampanie phishingowe, a w kolejnych tygodniach administracja publiczna informowała o nowych próbach podszywania się pod urzędy skarbowe, KAS oraz dostawców systemów finansowo–księgowych. Przedsiębiorcy powinni traktować te sygnały jako stały element krajobrazu ryzyka, a nie przejściowy „szum” związany jedynie z uruchomieniem systemu.
Najczęstsze scenariusze oszustw związanych z KSeF: od fałszywych maili po scamowe faktury
Oszustwa związane z KSeF przybierają kilka powtarzalnych form. Choć ich treść i szata graficzna mogą się zmieniać, istota mechanizmu pozostaje podobna: wywołać presję czasu, wprowadzić odbiorcę w błąd co do nadawcy, skłonić do kliknięcia linku lub otwarcia załącznika, a następnie przejąć dane lub doprowadzić do nieuprawnionej płatności.
Pierwszy, obecnie jeden z najczęstszych scenariuszy dotyczy wiadomości e-mail podszywających się pod urzędy skarbowe, Ministerstwo Finansów lub KAS. W ostatnich miesiącach wiele firm otrzymało maile o rzekomym „sprawdzeniu gotowości do korzystania z KSeF”, „pilnym obowiązku aktualizacji dostępu” lub „możliwości bezpłatnego szkolenia z KSeF”. W treści pojawia się zachęta do otwarcia załącznika z „powiadomieniem naczelnika urzędu” albo kliknięcia w link w celu potwierdzenia danych.
Charakterystyczne elementy takich wiadomości to:
- użycie oficjalnie brzmiących nazw urzędów i departamentów,
- odwołania do przepisów o KSeF i obowiązkach podatnika,
- presja czasu („odpowiedz w ciągu 24 godzin”, „brak reakcji spowoduje blokadę dostępu”),
- załączniki o nazwach sugerujących dokument urzędowy (np. „powiadomienie_urzad_skarbowy.pdf.zip”),
- brak możliwości łatwego zweryfikowania nadawcy lub kontaktu telefonicznego.
Drugi scenariusz to fałszywe logowania. Przestępcy rozsyłają linki prowadzące do stron łudząco podobnych do panelu logowania do KSeF, profilu zaufanego, bankowości elektronicznej lub innych systemów rządowych. Użytkownik, przekonany, że kontaktuje się z zaufaną instytucją, wpisuje login, hasło, numer PESEL, dane certyfikatu lub kod SMS, które natychmiast trafiają do przestępców. Tak przejęte dane mogą posłużyć do zalogowania się do prawdziwego systemu, nadania nowych uprawnień w KSeF, zmiany numerów rachunków czy nawet wyprowadzenia środków z konta firmowego.
Trzeci, coraz poważniejszy problem to scamowe faktury w KSeF. Wraz z upowszechnieniem faktur ustrukturyzowanych rośnie liczba dokumentów pojawiających się na kontach firm każdego dnia. Wśród nich mogą znaleźć się faktury za usługi, których nigdy nie zamawiano, lub od kontrahentów, z którymi przedsiębiorca nigdy nie współpracował. Liczą na to, że w gąszczu dziesiątek prawdziwych dokumentów jedna podejrzana faktura „prześlizgnie się” i zostanie opłacona.
Jak ostrzegają eksperci księgowi, sygnałami ostrzegawczymi w przypadku takich faktur są między innymi:
- nieznany kontrahent, z którym firma nie prowadziła dotychczas relacji handlowych,
- opis usługi lub dostawy niespójny z profilem działalności firmy,
- błędy językowe lub rażące niedociągnięcia formalne w treści faktury,
- bardzo krótki, nietypowo agresywny termin płatności,
- brak możliwości kontaktu z wystawcą pod wskazanymi danymi.
Czwarty scenariusz dotyczy podszywania się pod dostawców oprogramowania księgowego i systemów ERP. Przedsiębiorcy otrzymują maile informujące o „koniecznej aktualizacji integracji z KSeF”, „nowej wtyczce bezpieczeństwa” czy „modernizacji połączenia z rządowym systemem”. Załączony link prowadzi do formularza, w którym użytkownik proszony jest o podanie loginów, haseł, certyfikatów lub tokenów API. W innej wersji ataku instalowana jest złośliwa aktualizacja, która umożliwia późniejsze przejęcie komunikacji między systemem księgowym a KSeF.
Ministerstwo Finansów oraz Krajowa Administracja Skarbowa w oficjalnych komunikatach podkreślają, że opisane powyżej przypadki są już realnie odnotowanymi próbami wyłudzeń, a nie teoretycznymi scenariuszami. Przestępcy wykorzystują zarówno phishing mailowy, jak i fałszywe strony oraz fikcyjne faktury, dlatego ochrona wymaga połączenia wiedzy technicznej, ostrożności organizacyjnej i dobrze zaprojektowanych procedur wewnętrznych.
Jak weryfikować maile, SMS-y i komunikaty „na KSeF”, MF i KAS
Skuteczna obrona przed oszustwami zaczyna się od rutynowej, ale konsekwentnej weryfikacji każdego komunikatu, który odwołuje się do KSeF, Ministerstwa Finansów, KAS czy urzędów skarbowych. Nawet najlepiej przygotowany system informatyczny nie zastąpi zdrowego rozsądku użytkownika, który na co dzień odbiera maile i SMS-y.
Kluczowym krokiem jest dokładne sprawdzenie adresu e-mail nadawcy. Przestępcy często stosują subtelne literówki lub zamiany znaków w domenach, licząc na to, że odbiorca nie wychwyci różnicy. Przykładowo adres w stylu „us.warszawa.prage@mf.gov.pl” może na pierwszy rzut oka wyglądać wiarygodnie, choć prawidłowa nazwa urzędu to „us.warszawa.praga@mf.gov.pl”. Podobnie fałszywa domena „mazowikie.kas.gov.pl” ma imitować oficjalny adres „mazowieckie.kas.gov.pl”. Różnica jednej litery lub przestawionych znaków bywa jedynym sygnałem, że mamy do czynienia z podszywaniem się.
Analogiczne zasady dotyczą adresów stron www. Zanim użytkownik zaloguje się do systemu lub poda jakiekolwiek dane, powinien samodzielnie wpisać adres w przeglądarce lub skorzystać z zakładki, a nie klikać w linki z wiadomości. Należy sprawdzić, czy domena kończy się na „gov.pl” w przypadku serwisów administracji, oraz zwrócić uwagę na certyfikat bezpieczeństwa (kłódka przy adresie). Strony z drobnymi literówkami, dodatkowym znakiem lub nietypową końcówką domeny to sygnał alarmowy.
Podstawowa zasada brzmi: nie otwierać załączników i nie klikać linków z niespodziewanych wiadomości, zwłaszcza jeśli pojawia się w nich presja czasu, groźba sankcji lub obietnica szybkiej korzyści. W razie jakichkolwiek wątpliwości autentyczność komunikatu należy potwierdzić bezpośrednio w oficjalnym kanale – telefonicznie w lokalnym urzędzie skarbowym, poprzez infolinię KAS lub korzystając z oficjalnych stron administracji, do których adres wpisujemy samodzielnie.
Osoby, które chcą szerzej zgłębić mechanizmy socjotechniki stosowane w mailach „na KSeF” oraz poznać przykłady fałszywych wiadomości, mogą sięgnąć po materiał „Fałszywe maile „na KSeF”. Jak bezpiecznie korzystać z e-faktur i nie dać się oszukać”, w którym krok po kroku omówiono najczęstsze chwyty stosowane przez oszustów.
Istotnym elementem obrony jest także współpraca z działem IT lub zewnętrznym administratorem systemów. Każdy podejrzany mail, SMS lub strona logowania powinny zostać zgłoszone specjalistom, którzy mogą je przeanalizować, zablokować w filtrach antyspamowych i wykorzystać w celach szkoleniowych. W przypadku stwierdzenia próby ataku warto skorzystać z platform CERT, służącej do zgłaszania incydentów cyberbezpieczeństwa. Zgłoszenia te pomagają instytucjom publicznym szybciej identyfikować nowe kampanie phishingowe i ostrzegać innych użytkowników.
Bezpieczne logowanie i korzystanie z rządowych narzędzi KSeF w praktyce
Bezpieczeństwo w KSeF zaczyna się od sposobu logowania. System wspiera różne metody uwierzytelniania, takie jak Profil Zaufany, kwalifikowany podpis elektroniczny, dedykowane tokeny oraz oficjalna aplikacja mobilna. Każda z nich zapewnia wysoki poziom ochrony, pod warunkiem, że użytkownik korzysta z nich w sposób przemyślany.
Nadrzędną zasadą jest unikanie logowania się do KSeF poprzez linki przesyłane w mailach czy SMS-ach. Dane uwierzytelniające – loginy, hasła, PIN-y, kody jednorazowe – powinny być wpisywane wyłącznie na stronach, do których użytkownik przechodzi zaufaną ścieżką: wpisując adres ręcznie, korzystając z własnych zakładek w przeglądarce lub z oficjalnych aplikacji pobranych z wiarygodnych sklepów.
W firmie konieczne jest także świadome zarządzanie uprawnieniami do KSeF. Dostęp nie powinien być nadawany wszystkim pracownikom „na wszelki wypadek”. Zamiast tego warto stosować zasadę minimalnych uprawnień – każda osoba dostaje tylko taki zakres możliwości, jaki jest niezbędny do wykonywania jej zadań. Inne uprawnienia powinien mieć pracownik wystawiający faktury, inne osoba zatwierdzająca płatności, a jeszcze inne administrator techniczny odpowiedzialny za integrację systemów.
Bezwarunkowo należy unikać udostępniania danych logowania osobom trzecim, nawet jeśli przedstawiają się jako „pomoc techniczna” czy „opiekun z urzędu”. Żaden organ administracji ani rzetelny dostawca oprogramowania nie żąda podawania haseł, kodów SMS czy kluczy prywatnych.
Istotne jest także regularne aktualizowanie oprogramowania, zarówno systemów księgowych zintegrowanych z KSeF, jak i aplikacji mobilnych. Aplikacje powinny być pobierane wyłącznie z oficjalnych sklepów (Google Play, App Store), a przed instalacją warto sprawdzić nazwę wydawcy, liczbę pobrań i opinie użytkowników. Instalowanie aplikacji z nieznanych źródeł znacząco zwiększa ryzyko infekcji złośliwym oprogramowaniem.
Więcej o praktycznym korzystaniu z rządowej aplikacji mobilnej KSeF, w tym o dostępnych ustawieniach bezpieczeństwa, można znaleźć w materiale „KSeF 2.0 w praktyce: jak świadomie korzystać z rządowej aplikacji mobilnej”.
Dla właścicieli małych firm przydatna może być prosta, codzienna „checklista logowania”, pozwalająca upewnić się, że korzystają z prawdziwego KSeF, a nie jego fałszywej kopii:
- przed zalogowaniem samodzielnie wpisz adres systemu w przeglądarce lub użyj zapisanej zakładki,
- sprawdź, czy adres kończy się na „gov.pl” i czy obok widoczna jest kłódka certyfikatu,
- upewnij się, że logujesz się z własnego, znanego urządzenia, objętego ochroną antywirusową,
- nigdy nie podawaj danych logowania po przejściu z linku w mailu lub SMS-ie,
- czasem wyloguj się i zaloguj ponownie z innej przeglądarki lub urządzenia, aby wychwycić ewentualne anomalie,
- regularnie monitoruj historię logowań, jeśli system to umożliwia, oraz listę nadanych uprawnień w KSeF.
Procedury w firmie: jak szkolić pracowników i uszczelnić obieg faktur
Nawet najbardziej ostrożny właściciel firmy nie zabezpieczy organizacji, jeśli pozostali pracownicy nie będą działać według jasnych, spójnych zasad. Ochrona przed oszustwami „na KSeF” wymaga podejścia systemowego, obejmującego procesy obiegu dokumentów, szkolenia oraz wsparcie techniczne.
Punktem wyjścia jest opracowanie wewnętrznych procedur dotyczących wystawiania, odbioru i akceptacji faktur. Warto precyzyjnie określić, kto odpowiada za weryfikację kontrahenta (np. sprawdzenie w bazach podatników VAT), kto weryfikuje numer rachunku bankowego (np. w wykazie podatników VAT), a kto zatwierdza płatności. Dobrą praktyką jest wprowadzenie progów akceptacji – wyższe kwoty wymagają dodatkowego potwierdzenia przez osobę z wyższego szczebla zarządzania.
Księgowym i pracownikom działów zakupów można udostępnić proste checklisty, które przypominają, jakie elementy faktury w KSeF powinny zostać każdorazowo zweryfikowane. Wśród typowych punktów kontrolnych znajdują się:
- zgodność danych kontrahenta z danymi w systemach referencyjnych i wewnętrznych,
- opis usługi lub towaru spójny z zamówieniem oraz działalnością firmy,
- numer rachunku bankowego zgodny z wcześniej stosowanym lub zweryfikowany w oficjalnym rejestrze,
- termin płatności mieszczący się w standardach współpracy,
- historia relacji handlowej – czy to pierwszy dokument od danego podmiotu, czy element stałej współpracy.
Niezbędnym uzupełnieniem są regularne szkolenia z phishingu i socjotechniki dla pracowników. Powinny one obejmować praktyczne przykłady maili podszywających się pod KSeF, MF i KAS, analizę podejrzanych stron logowania oraz omówienie najczęstszych błędów użytkowników. Materiały szkoleniowe warto aktualizować wraz z pojawianiem się nowych kampanii oszustw.
Istotna jest także rola działu IT lub zewnętrznego dostawcy usług informatycznych. Do jego zadań należy konfiguracja filtrów antyspamowych, blokowanie znanych niebezpiecznych domen, monitorowanie logów systemowych oraz reagowanie na zgłoszone incydenty. Każde podejrzane zdarzenie – np. próba logowania z nietypowej lokalizacji, nagłe nadanie nowych uprawnień w KSeF czy seria nieudanych logowań – powinno być analizowane i dokumentowane.
Dokumentowanie incydentów i sposobów reakcji to element szerszej polityki bezpieczeństwa informacji. Dzięki temu firma uczy się na własnych doświadczeniach i może stopniowo uszczelniać procedury. Dobre praktyki w zakresie KSeF warto łączyć z innymi obowiązkami raportowo–podatkowymi, takimi jak JPK czy rozliczenia w estońskim CIT, ponieważ te same dane księgowe i procesy kontrolne są wykorzystywane wielokrotnie. Praktyczne powiązania między raportowaniem a limitami przychodów w estońskim CIT opisano szerzej w materiale „JPK_KR_PD a estoński CIT: praktyczny przewodnik po limicie przychodów od 2026 roku”.
Co zrobić po kliknięciu w złośliwy link lub otwarciu podejrzanego załącznika
Nawet w najlepiej zorganizowanych firmach może dojść do sytuacji, w której ktoś kliknie w złośliwy link lub otworzy niebezpieczny załącznik powiązany z KSeF. Kluczowe jest wtedy szybkie i uporządkowane działanie. Zatajanie incydentu lub próby „cichego” jego naprawienia na własną rękę zwykle tylko pogarszają sytuację.
Po pierwsze, należy natychmiast odłączyć potencjalnie zainfekowane urządzenie od sieci – wyłączyć Wi-Fi, odłączyć kabel LAN, zamknąć połączenia VPN. Celem jest powstrzymanie ewentualnego rozprzestrzeniania się złośliwego oprogramowania w sieci firmowej oraz uniemożliwienie zdalnego dostępu do systemu przez atakującego.
Po drugie, nie wolno samodzielnie eksperymentować z „czyszczeniem” systemu, usuwaniem plików czy instalowaniem przypadkowych programów antywirusowych. Takie działania mogą utrudnić późniejszą analizę incydentu i zatarć ślady, które są niezbędne do ustalenia zakresu szkód. Właściwą reakcją jest niezwłoczne poinformowanie przełożonego oraz działu IT lub zewnętrznego dostawcy usług informatycznych.
Jeśli istnieje ryzyko wycieku danych osobowych lub finansowych, o incydencie powinien zostać poinformowany także administrator bezpieczeństwa informacji lub inspektor ochrony danych. W wielu przypadkach konieczne może być przeprowadzenie formalnej analizy naruszenia ochrony danych osobowych i – w razie potrzeby – zgłoszenie go odpowiednim organom nadzorczym.
Kolejnym krokiem jest zmiana haseł do najważniejszych systemów – w szczególności do KSeF, poczty elektronicznej oraz bankowości elektronicznej – z bezpiecznego, niezainfekowanego urządzenia. W miarę możliwości należy przejrzeć logi logowania i zestawienia ostatnich operacji w tych systemach, aby wychwycić ewentualne nieautoryzowane działania.
Incydent powinien zostać zgłoszony do platformy CERT oraz – w zależności od okoliczności – do Krajowej Administracji Skarbowej, policji czy banku. W przypadku podejrzenia, że dane bankowe mogły zostać przejęte, konieczny jest natychmiastowy kontakt z instytucją finansową w celu zablokowania lub monitorowania podejrzanych transakcji.
W firmie warto przeprowadzić przegląd ostatnich operacji w KSeF i systemach finansowo–księgowych. Należy sprawdzić, czy nie nadano nowych uprawnień użytkownikom, nie dodano nowych rachunków bankowych lub nie wystawiono i nie wysłano nieautoryzowanych faktur. Jeśli takie działania zostaną wykryte, trzeba je niezwłocznie odwrócić (np. odebrać uprawnienia, skorygować dokumenty) i udokumentować.
Dobrym zwyczajem jest przygotowanie krótkiego raportu powłamaniowego, opisującego przebieg zdarzenia, zastosowane środki zaradcze i wnioski na przyszłość. Dokument ten powinien stać się podstawą aktualizacji procedur bezpieczeństwa oraz materiałem szkoleniowym dla pracowników. Wiele instytucji publicznych zachęca przedsiębiorców do zgłaszania przypadków oszustw, traktując je jako ważne źródło wiedzy o nowych metodach działania cyberprzestępców.
Jak budować długoterminową odporność firmy na oszustwa związane z KSeF
Oszustwa związane z KSeF nie są jedynie „chorobą wieku dziecięcego” nowego systemu. Doświadczenia z innych krajów pokazują, że przestępcy konsekwentnie wykorzystują każdą nową regulację podatkową i każde nowe narzędzie cyfrowe. Wraz ze wzrostem dojrzałości systemu ewoluują metody ataków – od prostych maili phishingowych po zaawansowane kampanie łączące socjotechnikę z technikami malware.
Dlatego firmy powinny myśleć o ochronie przed oszustwami „na KSeF” w perspektywie wieloletniej. Fundamentem jest kultura bezpieczeństwa w organizacji, w której zgłaszanie podejrzeń jest normą, a pracownicy nie są karani za zachowanie nadmiernej ostrożności. Lepiej, aby księgowy trzy razy upewnił się, czy faktura lub mail są prawdziwe, niż żeby z obawy przed krytyką podjął ryzykowną decyzję.
Niezbędne są cykliczne przeglądy procedur związanych z KSeF oraz aktualizacja wewnętrznych instrukcji wraz ze zmianami przepisów i funkcjonalności systemu. Każda nowa opcja w KSeF – na przykład możliwość zgłaszania nadużyć czy ukrywania podejrzanych faktur – powinna zostać opisana w regulaminie obiegu dokumentów i odpowiednio wdrożona w praktyce.
Kluczową rolę odgrywają także inwestycje w kompetencje cyfrowe pracowników finansów i księgowości. Oprócz szkoleń z obsługi samego KSeF, e-podpisu czy aplikacji mobilnych, warto zadbać o regularne warsztaty z cyberbezpieczeństwa, rozpoznawania phishingu i zasad bezpiecznego korzystania z poczty elektronicznej. Współczesny księgowy coraz częściej musi łączyć wiedzę podatkową z podstawami bezpieczeństwa IT.
Długoterminowa odporność wymaga ścisłej współpracy pomiędzy zarządem, księgowością a działem IT. Polityki bezpieczeństwa nie mogą istnieć wyłącznie na papierze – muszą być projektowane z udziałem wszystkich zainteresowanych stron, uwzględniać realia pracy działu finansowego oraz obowiązujące przepisy, a następnie konsekwentnie egzekwowane.
Wreszcie, firmy powinny na bieżąco monitorować komunikaty i ostrzeżenia publikowane przez Ministerstwo Finansów, Krajową Administrację Skarbową, CERT oraz inne instytucje publiczne. To właśnie tam najczęściej pojawiają się pierwsze informacje o nowych falach oszustw, przykładach fałszywych maili czy ostrzeżenia dotyczące konkretnych domen internetowych. Włączenie obserwacji tych komunikatów do codziennej rutyny działu księgowego i IT jest prostym, a zarazem bardzo skutecznym elementem strategii obrony.
Opisane wyżej zasady i procedury można traktować jako minimum bezpieczeństwa, które powinna wdrożyć każda firma korzystająca z KSeF. Najrozsądniejsze jest podejście etapowe: rozpoczęcie od najprostszych kroków – jak weryfikacja maili, ostrożność przy logowaniu i jasna procedura reagowania po kliknięciu w podejrzany link – a następnie stopniowe budowanie kompleksowej polityki bezpieczeństwa danych i systemów finansowych. W świecie, w którym podatki i rozliczenia coraz mocniej przenoszą się do sfery cyfrowej, taka inwestycja w bezpieczeństwo staje się nie tyle opcją, co warunkiem stabilnego funkcjonowania przedsiębiorstwa.