Tylko Polska jako jedyna na świecie oddała na tacy wszystkie dane o swojej gospodarce obcym wywiadom. Tak to wygląda w innych krajach:
Systemy B2B clearance na świecie z infrastrukturą WAF
| Kraj | System clearance | Operator | WAF/Infrastruktura sieciowa | Model |
|---|---|---|---|---|
| 🇵🇱 POLSKA | KSeF | MF/KAS | ⚠️ Imperva (Thales, FR/USA) | Clearance |
| 🇮🇹 Włochy | SDI | Sogei (100% państwowa) | Własna (in-house) | Clearance |
| 🇷🇴 Rumunia | RO e-Factura | ANAF (państwowa) | Własna (państwowa) | Clearance |
| 🇭🇺 Węgry | NAV Online Számla | NAV (państwowy) | Własna (NAV) | Real-time reporting |
| 🇹🇷 Turcja | e-Fatura (TRA/GİB) | TRA (państwowa) | Własna (centralna TRA) | Clearance |
| 🇷🇸 Serbia | eFaktura (SEF) | Ministerstwo Finansów | Unifiedpost (BE) platforma + Oracle Cloud | Clearance |
| 🇬🇷 Grecja | myDATA | AADE (państwowa) | Własna (AADE) | Real-time reporting |
| 🇭🇷 Chorwacja | Fiscalization 2.0 (eRačun) | Porezna uprava (państwowa) | Własna + Fina (B2G) | Clearance |
| 🇧🇪 Belgia | Mercurius/Peppol | FPS Finance | Peppol (zdecentralizowany) | Peppol |
| 🇺🇦 Ukraina | URTI | State Tax Service | Własna (URTI państwowa) | Clearance VAT |
| 🇲🇩 Mołdawia | e-Factura | SFS (państwowa) | Własna (SFS) | Clearance |
| 🇲🇰 Macedonia Płn. | e-Faktura | PRO (państwowy) | Własna (PRO) | Clearance (CTC) |
| 🇦🇱 Albania | Central Invoice Platform | DPT + AKSHI (państwowe) | Własna (CIS) | Clearance |
| 🇷🇺 Rosja | e-Invoice (FTS) | Federal Tax Service | Własna + ~50 EDEOs | Clearance |
| 🇲🇽 Meksyk | CFDI (SAT) | SAT (państwowy) | PAC (prywatni certyfikatorzy), infrastruktura SAT | Clearance |
| 🇨🇴 Kolumbia | DIAN e-invoice | DIAN (państwowa) | Własna (DIAN) | Clearance |
| 🇸🇦 Arabia Saudyjska | ZATCA FATOORA | ZATCA (państwowa) | Własna (ZATCA infrastruktura) | Clearance |
| 🇫🇷 Francja | Chorus Pro / PPF | AIFE (państwowa agencja) | Własna (AIFE infrastruktura) | B2G: Clearance, B2B (2026): Reporting |
| 🇧🇷 Brazylia | NF-e, NFS-e | SEFAZ (stanowe) + Receita Federal | Własna (SEFAZ infrastruktura) | Pre-clearance |
| 🇨🇱 Chile | SII DTE | SII (Servicio Impuestos Internos) | Własna (SII platforma) | Clearance |
| 🇵🇪 Peru | SEE (SUNAT) | SUNAT + OSE (opcjonalni operatorzy) | SUNAT własna + prywatni OSE | Clearance |
| 🇮🇳 Indie | IRP e-invoicing | NIC (National Informatics Centre) + 5 prywatnych IRP | NIC (państwowy) + 5 licencjonowanych IRP | Clearance |
Słowniczek pojęć używanych w tabelce
Modele systemów e-faktur
Clearance (Pre-clearance)
- System, w którym każda faktura musi być zatwierdzona przez rząd przed wysłaniem do odbiorcy
- Proces: Firma → Rząd (walidacja) → Odbiorca
- Rząd widzi fakturę w czasie rzeczywistym (real-time)
- Przykłady: Polska (KSeF), Włochy (SDI), Arabia Saudyjska (ZATCA), Meksyk (CFDI)
- Najbardziej inwazyjny model – pełna kontrola państwa nad transakcjami B2B
Real-time reporting
- Faktura wysyłana bezpośrednio między firmami, ale metadane/kopia trafiają do rządu w czasie rzeczywistym
- Proces: Firma → Odbiorca + równolegle → Rząd (raportowanie)
- Grecja (myDATA), Węgry (NAV) – rząd dostaje hash/digest, nie pełną treść
- Mniej inwazyjny niż clearance
Peppol (Post-audit)
- Zdecentralizowany model wymiany peer-to-peer przez sieć access points
- Bez centralnego węzła rządowego (rząd dostaje dane później, w audytach)
- Belgia, kraje skandynawskie – wolność wyboru dostawcy
- Najmniej inwazyjny model
CTC (Continuous Transaction Controls)
- Ogólny termin dla clearance + real-time reporting – systemy kontroli transakcji w czasie rzeczywistym
Operatorzy i instytucje
MF – Ministerstwo Finansów (polskie)
KAS – Krajowa Administracja Skarbowa (Polska)
ANAF – Agenția Națională de Administrare Fiscală (Rumuńska Krajowa Agencja Administracji Fiskalnej)
NAV – Nemzeti Adó- és Vámhivatal (Węgierski Krajowy Urząd Podatkowy i Celny)
TRA/GİB – Turkish Revenue Administration / Gelir İdaresi Başkanlığı (Turecki Urząd Podatkowy)
AADE – Independent Authority for Public Revenue (Grecka Niezależna Agencja Dochodów Publicznych)
SAT – Servicio de Administración Tributaria (Meksykański Urząd Administracji Podatkowej)
DIAN – Dirección de Impuestos y Aduanas Nacionales (Kolumbijski Urząd Podatków i Ceł)
ZATCA – Zakat, Tax and Customs Authority (Saudyjski Urząd Zakatu, Podatków i Ceł)
AIFE – Agence pour l’Informatique Financière de l’État (Francuska Agencja Informatyki Finansowej Państwa)
Sogei – Società Generale d’Informatica S.p.A. (Włoska państwowa firma IT, 100% własność Ministerstwa Gospodarki)
SEFAZ – Secretaria da Fazenda (Brazylijski stanowy urząd finansowy – każdy stan ma własny)
SII – Servicio de Impuestos Internos (Chilijski Urząd Podatków Wewnętrznych)
SUNAT – Superintendencia Nacional de Aduanas y de Administración Tributaria (Peruwiański Krajowy Urząd Ceł i Administracji Podatkowej)
NIC – National Informatics Centre (Indyjskie Krajowe Centrum Informatyczne – agencja rządowa IT)
FPS Finance – Federal Public Service Finance (Belgijska Federalna Służba Publiczna Finansów)
Modele prywatne/hybrydowe
PAC (Proveedores Autorizados de Certificación) – Meksyk
- Prywatne firmy autoryzowane przez SAT do certyfikowania/stemplowania CFDI
- Walidują strukturę XML, dodają pieczęć cyfrową SAT
- Nie są reverse proxy – działają jako punkty walidacji dokumentów
- Firma wybiera PAC, ale SAT kontroluje listę autoryzowanych
OSE (Operadores de Servicios Electrónicos) – Peru
- Prywatni operatorzy walidacji (opcjonalni)
- Alternatywa dla bezpośredniego SUNAT
- Tylko walidują faktury, nie przechwytują całego ruchu jak WAF
IRP (Invoice Registration Portal) – Indie
- 6 portali (1 państwowy NIC + 5 prywatnych licencjonowanych)
- Rejestrują faktury w czasie rzeczywistym, generują IRN (Invoice Reference Number)
- Prywatne IRP licencjonowane przez GST Council – nie są zagranicznym WAF
EDEO (Electronic Document Exchange Operator) – Rosja
- ~50 prywatnych operatorów wymiany dokumentów
- Pod nadzorem FTS (Federal Tax Service)
- Lokalni (rosyjscy) dostawcy, nie zagraniczne firmy
Technologie sieciowe
WAF (Web Application Firewall)
- Firewall warstwy aplikacji (HTTP/HTTPS)
- Filtruje ruch, blokuje ataki (SQL injection, XSS, DDoS)
- W kontekście KSeF: Imperva działa jako reverse proxy terminujący TLS
- Widzi odszyfrowany ruch HTTP (metadane JSON) przed backendem MF
Reverse proxy
- Serwer pośredniczący między klientem a serwerem docelowym
- W KSeF: Imperva odbiera żądania od firm → odszyfrowuje TLS → przekazuje do MF
- TLS termination = rozpakowuje szyfrowanie, widzi plaintext
TLS termination
- Proces kończenia (terminowania) szyfrowanego połączenia TLS/SSL na proxy
- Po terminacji: ruch w plaintext między proxy a backendem
- Kluczowy dla KSeF: Imperva odszyfrowuje, widzi JSON z NIP/kwotami
In-house
- Infrastruktura budowana i zarządzana wewnętrznie (przez państwo)
- Przeciwieństwo outsourcingu do firm zewnętrznych
- Włochy (Sogei), Rumunia (ANAF) – wszystko własne
E2E encryption (End-to-End)
- Szyfrowanie od nadawcy do odbiorcy bez pośredników z dostępem
- KSeF API 2.0 deklaruje E2E dla treści faktur, ale nie dla metadanych JSON odpowiedzi
Podsumowanie kluczowej różnicy
Model standardowy (21 krajów):
Firma → [Własny/kontrolowany WAF państwa] → Rząd → Odbiorca
- Rząd kontroluje WAF, zero zagranicznych firm z dostępem
Model polski (unikatowy):
Firma → [Imperva/Thales FR/USA – TLS termination] → MF → Odbiorca
- Zagraniczna firma cybersecurity widzi metadane (NIP, kwoty, status) w plaintext JSON
Tabela wszystkich dużych firm świadczących usługi WAF
Kluczowe obserwacje
1. Polska – JEDYNY przypadek obcego WAF z intel-gathering
- Imperva/Thales = jedyna zagraniczna firma cybersecurity z pełnym TLS termination i dostępem do metadanych JSON
- Wszystkie inne kraje: własne lub kontrolowane przez rząd
2. Meksyk – model hybrydowy PAC (unikatowy)
- PAC (Proveedores Autorizados de Certificación) = prywatne firmy certyfikujące CFDI
- ALE: PAC tylko stemplują/certyfikują, nie pełnią roli reverse proxy WAF
- SAT kontroluje infrastrukturę centralną, PAC działają jako autoryzowane punkty walidacji
- Różnica od Polski: PAC nie przechwytują całego ruchu sieciowego, tylko walidują dokumenty już zaszyfrowane
3. Peru – OSE (opcjonalni walidatorzy)
- OSE (Operadores de Servicios Electrónicos) = prywatni dostawcy walidacji (opcjonalnie)
- Alternatywa dla bezpośredniego SUNAT
- Różnica od Polski: Firmy wybierają OSE dobrowolnie, nie jest to obowiązkowy reverse proxy dla całego systemu
4. Indie – 6 IRP (w tym 5 prywatnych)
- NIC (National Informatics Centre) = państwowy IRP (pierwszy)
- 5 prywatnych IRP licencjonowanych przez rząd (GST Network, IRIS, Karza, etc.)
- Różnica od Polski: IRP tylko rejestrują/walidują faktury w JSON, nie są WAF przechwytującym TLS
5. Serbia – Unifiedpost jako wykonawca
- Jak wcześniej: platforma pod kontrolą rządu, nie reverse proxy
Finalna weryfikacja: Polska absolutnie unikatowa
Na 22 przeanalizowane kraje z clearance B2B:
✅ 21 krajów = własna państwowa infrastruktura WAF/sieciowa LUB model z kontrolą rządu (PAC/OSE/IRP działają jako walidatorzy, nie reverse proxy)
❌ 1 kraj (Polska) = zagraniczna firma cybersecurity (Imperva/Thales) jako reverse proxy z TLS termination, widząca metadane JSON (NIP, kwoty, status)
Potwierdzenie tezy audytów: Polska jest globalnie jedynym krajem clearance B2B oddającym kontrolę warstwy sieciowej (WAF) obcej firmie z dostępem do metadanych gospodarczych.
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65
PS. Poprzednie części:
- Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość.
- Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie.
- Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza.
- Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel!
- Część V. Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty!
- Część VI. KSeF – wyjaśnienie technicznych i praktyczne przykłady
- Część VII. Jakie metadane widzi Imperva?
- Część VIII. Co jeszcze widzi Imperva?
- Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach!
Tagi: gps65, KSeF, JPK, finanse, gospodarka, podatki, biznes, państwo, wywiad.