Cześć X. Imperva w Polsce jest unikatowa

Tylko Polska jako jedyna na świecie oddała na tacy wszystkie dane o swojej gospodarce obcym wywiadom. Tak to wygląda w innych krajach:

Systemy B2B clearance na świecie z infrastrukturą WAF

Kraj	System clearance	Operator	WAF/Infrastruktura sieciowa	Model
🇵🇱 POLSKA	KSeF	MF/KAS	⚠️ Imperva (Thales, FR/USA)	Clearance
🇮🇹 Włochy	SDI	Sogei (100% państwowa)	Własna (in-house)	Clearance
🇷🇴 Rumunia	RO e-Factura	ANAF (państwowa)	Własna (państwowa)	Clearance
🇭🇺 Węgry	NAV Online Számla	NAV (państwowy)	Własna (NAV)	Real-time reporting
🇹🇷 Turcja	e-Fatura (TRA/GİB)	TRA (państwowa)	Własna (centralna TRA)	Clearance
🇷🇸 Serbia	eFaktura (SEF)	Ministerstwo Finansów	Unifiedpost (BE) platforma + Oracle Cloud	Clearance
🇬🇷 Grecja	myDATA	AADE (państwowa)	Własna (AADE)	Real-time reporting
🇭🇷 Chorwacja	Fiscalization 2.0 (eRačun)	Porezna uprava (państwowa)	Własna + Fina (B2G)	Clearance
🇧🇪 Belgia	Mercurius/Peppol	FPS Finance	Peppol (zdecentralizowany)	Peppol
🇺🇦 Ukraina	URTI	State Tax Service	Własna (URTI państwowa)	Clearance VAT
🇲🇩 Mołdawia	e-Factura	SFS (państwowa)	Własna (SFS)	Clearance
🇲🇰 Macedonia Płn.	e-Faktura	PRO (państwowy)	Własna (PRO)	Clearance (CTC)
🇦🇱 Albania	Central Invoice Platform	DPT + AKSHI (państwowe)	Własna (CIS)	Clearance
🇷🇺 Rosja	e-Invoice (FTS)	Federal Tax Service	Własna + ~50 EDEOs	Clearance
🇲🇽 Meksyk	CFDI (SAT)	SAT (państwowy)	PAC (prywatni certyfikatorzy), infrastruktura SAT	Clearance
🇨🇴 Kolumbia	DIAN e-invoice	DIAN (państwowa)	Własna (DIAN)	Clearance
🇸🇦 Arabia Saudyjska	ZATCA FATOORA	ZATCA (państwowa)	Własna (ZATCA infrastruktura)	Clearance
🇫🇷 Francja	Chorus Pro / PPF	AIFE (państwowa agencja)	Własna (AIFE infrastruktura)	B2G: Clearance, B2B (2026): Reporting
🇧🇷 Brazylia	NF-e, NFS-e	SEFAZ (stanowe) + Receita Federal	Własna (SEFAZ infrastruktura)	Pre-clearance
🇨🇱 Chile	SII DTE	SII (Servicio Impuestos Internos)	Własna (SII platforma)	Clearance
🇵🇪 Peru	SEE (SUNAT)	SUNAT + OSE (opcjonalni operatorzy)	SUNAT własna + prywatni OSE	Clearance
🇮🇳 Indie	IRP e-invoicing	NIC (National Informatics Centre) + 5 prywatnych IRP	NIC (państwowy) + 5 licencjonowanych IRP	Clearance

Słowniczek pojęć używanych w tabelce

Modele systemów e-faktur

Clearance (Pre-clearance)

• • System, w którym każda faktura musi być zatwierdzona przez rząd przed wysłaniem do odbiorcy

• • Proces: Firma → Rząd (walidacja) → Odbiorca

• • Rząd widzi fakturę w czasie rzeczywistym (real-time)

• • Przykłady: Polska (KSeF), Włochy (SDI), Arabia Saudyjska (ZATCA), Meksyk (CFDI)

• • Najbardziej inwazyjny model – pełna kontrola państwa nad transakcjami B2B

Real-time reporting

• • Faktura wysyłana bezpośrednio między firmami, ale metadane/kopia trafiają do rządu w czasie rzeczywistym

• • Proces: Firma → Odbiorca + równolegle → Rząd (raportowanie)

• • Grecja (myDATA), Węgry (NAV) – rząd dostaje hash/digest, nie pełną treść

• • Mniej inwazyjny niż clearance

Peppol (Post-audit)

• • Zdecentralizowany model wymiany peer-to-peer przez sieć access points

• • Bez centralnego węzła rządowego (rząd dostaje dane później, w audytach)

• • Belgia, kraje skandynawskie – wolność wyboru dostawcy

• • Najmniej inwazyjny model

CTC (Continuous Transaction Controls)

• • Ogólny termin dla clearance + real-time reporting – systemy kontroli transakcji w czasie rzeczywistym​

Operatorzy i instytucje

MF – Ministerstwo Finansów (polskie) KAS – Krajowa Administracja Skarbowa (Polska) ANAF – Agenția Națională de Administrare Fiscală (Rumuńska Krajowa Agencja Administracji Fiskalnej) NAV – Nemzeti Adó- és Vámhivatal (Węgierski Krajowy Urząd Podatkowy i Celny) TRA/GİB – Turkish Revenue Administration / Gelir İdaresi Başkanlığı (Turecki Urząd Podatkowy) AADE – Independent Authority for Public Revenue (Grecka Niezależna Agencja Dochodów Publicznych) SAT – Servicio de Administración Tributaria (Meksykański Urząd Administracji Podatkowej) DIAN – Dirección de Impuestos y Aduanas Nacionales (Kolumbijski Urząd Podatków i Ceł) ZATCA – Zakat, Tax and Customs Authority (Saudyjski Urząd Zakatu, Podatków i Ceł) AIFE – Agence pour l’Informatique Financière de l’État (Francuska Agencja Informatyki Finansowej Państwa) Sogei – Società Generale d’Informatica S.p.A. (Włoska państwowa firma IT, 100% własność Ministerstwa Gospodarki) SEFAZ – Secretaria da Fazenda (Brazylijski stanowy urząd finansowy – każdy stan ma własny) SII – Servicio de Impuestos Internos (Chilijski Urząd Podatków Wewnętrznych) SUNAT – Superintendencia Nacional de Aduanas y de Administración Tributaria (Peruwiański Krajowy Urząd Ceł i Administracji Podatkowej) NIC – National Informatics Centre (Indyjskie Krajowe Centrum Informatyczne – agencja rządowa IT) FPS Finance – Federal Public Service Finance (Belgijska Federalna Służba Publiczna Finansów)

Modele prywatne/hybrydowe

PAC (Proveedores Autorizados de Certificación) – Meksyk

• • Prywatne firmy autoryzowane przez SAT do certyfikowania/stemplowania CFDI

• • Walidują strukturę XML, dodają pieczęć cyfrową SAT

• • Nie są reverse proxy – działają jako punkty walidacji dokumentów

• • Firma wybiera PAC, ale SAT kontroluje listę autoryzowanych

OSE (Operadores de Servicios Electrónicos) – Peru

• • Prywatni operatorzy walidacji (opcjonalni)

• • Alternatywa dla bezpośredniego SUNAT

• • Tylko walidują faktury, nie przechwytują całego ruchu jak WAF​

IRP (Invoice Registration Portal) – Indie

• • 6 portali (1 państwowy NIC + 5 prywatnych licencjonowanych)

• • Rejestrują faktury w czasie rzeczywistym, generują IRN (Invoice Reference Number)

• • Prywatne IRP licencjonowane przez GST Council – nie są zagranicznym WAF​

EDEO (Electronic Document Exchange Operator) – Rosja

• • ~50 prywatnych operatorów wymiany dokumentów

• • Pod nadzorem FTS (Federal Tax Service)

• • Lokalni (rosyjscy) dostawcy, nie zagraniczne firmy​

Technologie sieciowe

WAF (Web Application Firewall)

• • Firewall warstwy aplikacji (HTTP/HTTPS)

• • Filtruje ruch, blokuje ataki (SQL injection, XSS, DDoS)

• • W kontekście KSeF: Imperva działa jako reverse proxy terminujący TLS

• • Widzi odszyfrowany ruch HTTP (metadane JSON) przed backendem MF

Reverse proxy

• • Serwer pośredniczący między klientem a serwerem docelowym

• • W KSeF: Imperva odbiera żądania od firm → odszyfrowuje TLS → przekazuje do MF

• • TLS termination = rozpakowuje szyfrowanie, widzi plaintext

TLS termination

• • Proces kończenia (terminowania) szyfrowanego połączenia TLS/SSL na proxy

• • Po terminacji: ruch w plaintext między proxy a backendem

• • Kluczowy dla KSeF: Imperva odszyfrowuje, widzi JSON z NIP/kwotami

In-house

• • Infrastruktura budowana i zarządzana wewnętrznie (przez państwo)

• • Przeciwieństwo outsourcingu do firm zewnętrznych

• • Włochy (Sogei), Rumunia (ANAF) – wszystko własne

E2E encryption (End-to-End)

• • Szyfrowanie od nadawcy do odbiorcy bez pośredników z dostępem

• • KSeF API 2.0 deklaruje E2E dla treści faktur, ale nie dla metadanych JSON odpowiedzi

Podsumowanie kluczowej różnicy

Model standardowy (21 krajów): Firma → [Własny/kontrolowany WAF państwa] → Rząd → Odbiorca

• • Rząd kontroluje WAF, zero zagranicznych firm z dostępem

Model polski (unikatowy): Firma → [Imperva/Thales FR/USA – TLS termination] → MF → Odbiorca

• • Zagraniczna firma cybersecurity widzi metadane (NIP, kwoty, status) w plaintext JSON

Tabela wszystkich dużych firm świadczących usługi WAF

Firma	Kraj rejestracji firmy	Kraj właściciela	Struktura właścicielska	Kraje e-faktury B2B clearance
F5 (FFIV)	USA (Seattle, WA)	USA	Publiczna (Nasdaq), Vanguard/BlackRock ​	Brak potwierdzonych
Cloudflare (NET)	USA (San Francisco, CA)	USA	Publiczna (NYSE), Capital/Vanguard ​	Brak
AWS WAF	USA (Seattle, WA)	USA	Amazon.com ​	Brak rządowych
Imperva	USA (Austin, TX)	Francja	Thales Group ​	Polska (KSeF)
Azure WAF	USA (Redmond, WA)	USA	Microsoft ​	Brak
Akamai	USA (Cambridge, MA)	USA	Publiczna (Nasdaq: AKAM) ​	Brak potwierdzonych
Google Cloud Armor	USA (Mountain View, CA)	USA	Alphabet ​	Brak

Kluczowe obserwacje

1. Polska – JEDYNY przypadek obcego WAF z intel-gathering

• • Imperva/Thales = jedyna zagraniczna firma cybersecurity z pełnym TLS termination i dostępem do metadanych JSON

• • Wszystkie inne kraje: własne lub kontrolowane przez rząd

2. Meksyk – model hybrydowy PAC (unikatowy)

• • PAC (Proveedores Autorizados de Certificación) = prywatne firmy certyfikujące CFDI

• • ALE: PAC tylko stemplują/certyfikują, nie pełnią roli reverse proxy WAF

• • SAT kontroluje infrastrukturę centralną, PAC działają jako autoryzowane punkty walidacji

• • Różnica od Polski: PAC nie przechwytują całego ruchu sieciowego, tylko walidują dokumenty już zaszyfrowane

3. Peru – OSE (opcjonalni walidatorzy)

• • OSE (Operadores de Servicios Electrónicos) = prywatni dostawcy walidacji (opcjonalnie)

• • Alternatywa dla bezpośredniego SUNAT

• • Różnica od Polski: Firmy wybierają OSE dobrowolnie, nie jest to obowiązkowy reverse proxy dla całego systemu

4. Indie – 6 IRP (w tym 5 prywatnych)

• • NIC (National Informatics Centre) = państwowy IRP (pierwszy)

• • 5 prywatnych IRP licencjonowanych przez rząd (GST Network, IRIS, Karza, etc.)

• • Różnica od Polski: IRP tylko rejestrują/walidują faktury w JSON, nie są WAF przechwytującym TLS

5. Serbia – Unifiedpost jako wykonawca

• • Jak wcześniej: platforma pod kontrolą rządu, nie reverse proxy

Finalna weryfikacja: Polska absolutnie unikatowa

Na 22 przeanalizowane kraje z clearance B2B: ✅ 21 krajów = własna państwowa infrastruktura WAF/sieciowa LUB model z kontrolą rządu (PAC/OSE/IRP działają jako walidatorzy, nie reverse proxy) ❌ 1 kraj (Polska) = zagraniczna firma cybersecurity (Imperva/Thales) jako reverse proxy z TLS termination, widząca metadane JSON (NIP, kwoty, status) Potwierdzenie tezy audytów: Polska jest globalnie jedynym krajem clearance B2B oddającym kontrolę warstwy sieciowej (WAF) obcej firmie z dostępem do metadanych gospodarczych.

Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65

PS. Poprzednie części:

• • Czę­ść I. KSeF nie po­sze­rza in­wi­gi­la­cji. KSeF zwięk­sza roz­dziel­czo­ść.

• • Czę­ść II. Prak­ty­ka KSeF: Hurt­Pol kon­tra Ko­wal­ski i Sy­no­wie.

• • Czę­ść III. Ad­mi­ni­stra­tor KSeF. Czy­li gdzie na­praw­dę le­ży wła­dza.

• • Czę­ść IV. Tech­no­lo­gia KSeF – su­we­ren­no­ść koń­czy się tam, gdzie koń­czy się ka­bel!

• • Część V. Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty!

• • Część VI. KSeF – wyjaśnienie technicznych i praktyczne przykłady

• • Część VII. Jakie metadane widzi Imperva?

• • Część VIII. Co jeszcze widzi Imperva?

• • Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach!

• • Cześć X. Imperva w Polsce jest unikatowa

Tagi: gps65, KSeF, JPK, finanse, gospodarka, podatki, biznes, państwo, wywiad.