Stan prawny: aktualny (marzec 2026)

KSeF obowiązkowo funkcjonuje od początku lutego 2026 roku, a oszuści już zdążyli go wykorzystać. Zaledwie cztery dni po uruchomieniu systemu Ministerstwo Finansów wydało oficjalne ostrzeżenie przed fałszywymi wiadomościami e-mail podszywającymi się pod urzędy skarbowe. To sygnał, że digitalizacja fakturowania otwiera nowe pole do nadużyć – i że każdy przedsiębiorca musi wiedzieć, jak się przed nimi chronić.

Dlaczego KSeF jest atrakcyjnym tematem dla cyberprzestępców

Wdrożenie Krajowego Systemu e-Faktur to największa zmiana w obiegu dokumentów finansowych od lat. Przedsiębiorcy spodziewają się komunikatów z urzędów skarbowych, instrukcji dotyczących logowania, informacji o gotowości systemu. Właśnie na tę czujność – a raczej jej chwilowy brak – liczą oszuści.

Cyberprzestępcy doskonale wiedzą, że:

• każda firma musiała lub musi dostosować się do KSeF,
• część przedsiębiorców wciąż nie jest pewna, jak system działa i czego się spodziewać,
• pośpiech i stres związany z nowymi przepisami sprawiają, że łatwiej kliknąć w link lub otworzyć załącznik bez weryfikacji nadawcy.

Rodzaje oszustw wokół KSeF

1. Phishing e-mail – fałszywe „powiadomienie od naczelnika urzędu skarbowego”

To najbardziej rozpowszechniony typ ataku, który pojawił się już 4 lutego 2026 roku. Przedsiębiorcy z całej Polski otrzymali wiadomości e-mail wyglądające jak urzędowa korespondencja.

Schemat wiadomości:

• Temat: „Powiadomienie od Naczelnika Urzędu Skarbowego” lub podobny
• Treść: pytanie o stopień przygotowania do korzystania z KSeF, propozycja szkolenia lub wsparcia informacyjnego
• Nadawca: adres podszywający się pod urząd skarbowy (np. US Warszawa Praga lub Mazowiecki Urząd Skarbowy), różniący się od oryginalnego jedną literą
• Załącznik: plik z rozszerzeniem .iso lub .img zamiast PDF – jego otwarcie może doprowadzić do kradzieży danych lub przejęcia kontroli nad komputerem

Oficjalne stanowisko MF: Ministerstwo Finansów potwierdziło, że urzędy skarbowe nie wysyłają próśb o potwierdzenie gotowości do KSeF drogą mailową ani nie przesyłają w ten sposób powiadomień z załącznikami.

2. Fałszywe faktury (scam) wystawiane bezpośrednio w KSeF

KSeF działa na zasadzie automatycznego przypisywania faktur do nabywcy na podstawie numeru NIP. Oznacza to, że każdy podmiot zarejestrowany w systemie może wystawić fakturę na dowolny NIP – a dokument automatycznie pojawi się na koncie firmy.

Co istotne: przedsiębiorca nie ma możliwości odrzucenia faktury przed jej przypisaniem do konta w KSeF. Fałszywy dokument wygląda dokładnie tak samo jak prawdziwy – i przy dużym wolumenie faktur łatwo go przeoczyć, a następnie omyłkowo opłacić.

Ważna zasada: sama obecność faktury w KSeF nie powoduje automatycznie skutków podatkowych. Dopiero jej ujęcie w księgach i rozliczeniach może je wywołać. To oznacza, że regularna weryfikacja dokumentów przychodzących jest kluczowa.

Jak rozpoznać fałszywą wiadomość lub fakturę

Sygnały ostrzegawcze w wiadomości e-mail

Sygnały ostrzegawcze przy fakturach w KSeF

• Faktura pochodzi od nieznanego podmiotu, z którym firma nie współpracuje
• Brak możliwości kontaktu z wystawcą faktury
• Błędy w opisie usługi lub towarów, nienaturalnie krótki termin płatności
• Dane kontrahenta są błędne lub niemożliwe do weryfikacji w rejestrze VAT

Co zrobić, gdy otrzymasz podejrzaną wiadomość lub fakturę

W przypadku podejrzanego e-maila:

1. Nie otwieraj załącznika – szczególnie plików .iso, .img, .exe
2. Nie klikaj w żadne linki zawarte w wiadomości
3. Nie odpisuj na wiadomość ani nie podawaj żadnych danych
4. Zadzwoń na infolinię KAS: 22 330 03 30, aby zweryfikować, czy urząd rzeczywiście się kontaktował
5. Zgłoś incydent do CERT Polska (cert.pl) – platformy służącej do zgłaszania zagrożeń w zakresie cyberbezpieczeństwa
6. Poinformuj pracowników działu księgowości i obsługi finansowej

W przypadku podejrzanej faktury w KSeF:

1. Nie opłacaj dokumentu bez weryfikacji
2. Skontaktuj się z podanym na fakturze wystawcą – telefonicznie, nie przez dane z e-maila
3. Sprawdź wystawcę na białej liście podatników VAT (podatki.gov.pl)
4. Jeśli potwierdzisz, że faktura jest fałszywa – zgłoś nadużycie do Krajowej Administracji Skarbowej (funkcja zgłaszania nadużyć będzie dostępna w KSeF 2.0)
5. Skonsultuj się z biurem rachunkowym w celu oceny skutków podatkowych

Jak chronić firmę przed oszustwami wokół KSeF – praktyczne zasady

• Ustal w firmie procedurę weryfikacji faktur – każda nowa faktura od nieznanego kontrahenta powinna przejść przez dodatkową weryfikację przed zatwierdzeniem do zapłaty
• Szkol pracowników – szczególnie tych, którzy mają dostęp do KSeF i obsługują przychodzące dokumenty
• Ogranicz krąg osób z uprawnieniami w KSeF – im mniej osób ma dostęp do konta firmowego, tym mniejsze ryzyko pomyłki lub wyłudzenia
• Regularnie sprawdzaj historię faktur w systemie – wyłap nieznane dokumenty zanim trafią do rozliczeń
• Aktualizuj oprogramowanie – wtyczki i programy do obsługi KSeF powinny być zawsze w najnowszej wersji

Pamiętaj: co robi, a czego nie robi prawdziwy urząd skarbowy

Bezpieczeństwo finansowe firmy w erze KSeF

KSeF upraszcza obieg faktur, ale jednocześnie tworzy nowe ryzyka, przed którymi warto się zabezpieczyć już teraz. Regularna weryfikacja dokumentów, świadome zarządzanie uprawnieniami w systemie i szybka reakcja na podejrzane wiadomości to dziś elementy nie tylko dobrej praktyki, ale i ochrony płynności finansowej firmy.

Biuro Prawno-Rachunkowe Skorupiński oferuje kompleksową obsługę prawną i księgową, która obejmuje również doradztwo w zakresie bezpiecznego wdrożenia nowych regulacji podatkowych.