Wprowadzenie Krajowego Systemu e-Faktur (KSeF) jest przełomowe w procesie cyfryzacji przedsiębiorstw w Polsce. Niemniej jednak, wraz z tym postępem, mogą się pojawić nowe wyzwania dotyczące ochrony danych oraz zarządzania ryzykiem w firmach. Jak wygląda kwestia bezpieczeństwa w systemie KSeF i jakie są zagrożenia w związku z jego wdrożeniem? Odpowiadają eksperci Symfonii.
Od 1 lipca 2024 r. Krajowy System e-Faktur (KSeF) stanie się obowiązkowy. Oznacza to, że za niecały rok faktury ustrukturyzowane będzie można wystawiać wyłącznie przez rządową platformę. Wprowadzenie nowego systemu jest ogromnym wyzwaniem dla przedsiębiorstw, zarówno w związku z kosztami, które wynikają z implementacji systemu, czasem i zmianami w organizacji pracy, a także ze względu na technologie i skuteczne dbanie o bezpieczeństwo danych.
Współcześnie cyberataki, które często mają na celu pozyskanie wrażliwych danych, stanowią jedno z głównych zagrożeń dla firm. Państwowy instytut badawczy NASK odpowiedzialny za zapewnienie bezpieczeństwa w obszarze internetowym, od stycznia 2023 roku do 20 kwietnia tego roku zanotował blisko 85,5 tysiąca zgłoszeń związanych z zagrożeniami cyberbezpieczeństwa, reagując na 24 tysiące incydentów. Taka rzeczywistość skłania wiele osób do refleksji nad bezpieczeństwem Krajowego Systemu e-Faktur (KSeF).
Dostęp do danych w KSeF
Zanim przedsiębiorcy zaczną korzystać z KSeF, muszą przejść proces uwierzytelnienia i autoryzacji w systemie. Dopiero wtedy uzyskają dostęp do przeglądania, wystawiania i odbierania e-faktur. Mogą także nadać te uprawnienia konkretnym osobom fizycznym działającym w ich imieniu lub podmiotom, na przykład biurom rachunkowym. Dzielą się one na trzy rodzaje:
- nadawanie, zmiana lub odbieranie uprawnień do korzystania z KSeF (uprawnienia administracyjne);
- wystawianie lub dostęp do e-Faktur (obsługa bieżąca);
- wystawiania faktur ustrukturyzowanych przez nabywcę w imieniu podatnika (art. 106d ust.1 ustawy o VAT).
Przedsiębiorcy, osoby fizyczne prowadzące działalność gospodarczą, mogą przejeść proces i uwierzytelnienia i autoryzacji prościej, z wykorzystaniem profilu zaufanego lub podpisu kwalifikowanego. Przedsiębiorcy, którzy nie są osobami fizycznymi np. spółki z o.o., mogą uzyskać dostęp do KSeF, zgłaszając naczelnikowi urzędu skarbowego zawiadomienie (ZAW-FA) o nadaniu lub odebraniu uprawnień do korzystania z platformy dla konkretnej osoby. W ten sposób wyznaczany jest administrator, który będzie zarządzać uprawnieniami pracowników do KSeF. Niektóre podmioty prawne posiadają certyfikaty kwalifikowane z NIP firmy, te również można wykorzystać do uwierzytelnienia analogicznie jak w przypadku osoby fizycznej, korzystając z prostszej ścieżki ustanowienia administratora uprawnień.
- Ministerstwo Finansów zapewnia nas, że nie powinniśmy martwić się o kwestię bezpieczeństwa KSeF. Wynika to po pierwsze z samej konstrukcji KSeF, która wyklucza anonimowy dostęp. To konkretne, znane z imienia i nazwiska osoby uzyskają dostęp do faktur ustrukturyzowanych. Po drugie, podmioty publiczne odpowiedzialne za przechowywanie danych są zobligowane do wdrożenia rozwiązań, które zminimalizują ryzyko nieautoryzowanego dostępu do e-faktur. Co więcej, każda faktura ustrukturyzowana, czyli e-faktura wystawiana w ramach systemu KSeF, posiada indywidualny numer identyfikacyjny, który ma uniemożliwić próby ich fałszowania lub modyfikowania – mówi Bogdan Zatorski, kierownik ds. analiz biznesowych i wymagań prawnych w Symfonii.
Jakie wyzwania pojawiają się w związku z wdrożeniem systemu KSeF?
Pomimo deklaracji Ministerstwa Finansów dotyczących bezpieczeństwa danych, nie można wykluczyć pewnych wyzwań i potencjalnych zagrożeń, takich jak:
Zmiany w procesach i procedurach w firmie. Wprowadzenie KSeF do firmy mogą wymagać przeprowadzenia wewnętrznych zmian w organizacji pracy, które z kolei mogą okazać się czasochłonne i wiązać się z pewnymi nakładami finansowymi.
Szkolenie pracowników. Skuteczne wdrożenie KSeF będzie wymagało zorganizowania odpowiednich szkoleń dla pracowników. Tego rodzaju szkolenia mogą wydłużyć proces wdrożenia i wiązać się z pewnymi kosztami.
Ryzyko błędów. Jak w przypadku wdrożenia każdego nowego systemu, również w przypadku KSeF wzrasta ryzyko popełniania błędów. Słabe przygotowanie pracowników do obsługi KSeF może przyczynić się do powstawania nieprawidłowości.
Problemy z integracją oprogramowania. Integracja KSeF z istniejącym oprogramowaniem księgowym może stanowić wyzwanie, wymagając dodatkowych nakładów pracy i środków finansowych.
Ryzyko awarii. Awarie KSeF mogą stanowić poważne zagrożenie dla firm, szczególnie jeśli wystąpią w trakcie procesu przesyłania faktur. W takiej sytuacji, przedsiębiorstwa mogą napotkać trudności w przekazywaniu faktur do kontrahentów, co może skutkować opóźnieniami w płatnościach i wpłynąć negatywnie na relacje biznesowe. Dłuższe utrzymywanie się awarii może także generować trudności w prowadzeniu księgowości oraz zarządzaniu finansami przedsiębiorstwa.
- Aby skutecznie uniknąć ewentualnych kłopotów, należy podejść do wdrożenia KSeF z dużą dbałością o szczegóły. Konieczne jest staranne planowanie, przygotowanie oraz stałe monitorowanie procesów obsługi faktur. W celu minimalizacji ryzyk, istotne jest regularne aktualizowanie zarówno oprogramowania zapewniającego integrację z KSeF, jak i systemów operacyjnych komputerów czy serwerów, na których pracujemy. Warto przypomnieć, że każde urządzenie w firmie powinno mieć zainstalowane oprogramowanie antywirusowe z aktualnymi „szczepionkami", czyli najświeższymi bazami wirusów. Dobrą praktyką, jest również zadbanie o regularny, najlepiej codzienny, backup danych z systemów. Daje nam to pewność, że zawsze mamy dostęp do dokumentów, a w przypadku awarii laptopa, serwera, dysku lub zainfekowania komputera wirusem, mamy możliwość szybkiego odtworzenia naszych systemów – dodaje Konrad Bień, kierownik ds. bezpieczeństwa systemów w Symfonii.
Mimo wyzwań i ryzyka obowiązek wprowadzenia w firmie KSeF to krok w kierunku bardziej efektywnej i zautomatyzowanej obsługi procesów finansowych. Odpowiednio przeszkoleni pracownicy oraz odpowiedzialna implementacja z pewnością przyczynią się do osiągnięcia poziomu bezpieczeństwa danych zgodnego z wymogami obecnego środowiska cyfrowego. To nowoczesne narzędzie ma potencjał nie tylko do usprawnienia działań przedsiębiorstw, lecz także do ochrony informacji w sposób, który zgodny jest z najwyższymi standardami.