Co to właściwie jest Imperva?
Żeby zrozumieć problem prawny, musimy najpierw zrozumieć, z jakim podmiotem Polska w ogóle ma do czynienia.
Imperva Inc. to spółka zarejestrowana w stanie Kalifornia, USA, założona w 2002 roku przez byłych oficerów izraelskiej jednostki wywiadowczej Unit 8200 — tej samej, która odpowiada m. in. za słynne operacje Stuxnet i Pegasus. Centrum badawczo-rozwojowe Impervy, zatrudniające około 500 inżynierów, do dziś znajduje się w Izraelu. W 2018 roku firma została kupiona przez amerykański fundusz private equity Thoma Bravo za kilka miliardów dolarów (różne źródła różnie podają). Następnie w grudniu 2023 roku Thales — francuski koncern lotniczo-obronny, jeden z kluczowych dostawców uzbrojenia i systemów wywiadowczych dla armii francuskiej — kupił Impervę od Thoma Bravo za około 3,6 miliarda dolarów.
Mamy więc podmiot z korzeniami w izraelskim wywiadzie wojskowym, z prawną rejestracją w USA i z właścicielem będącym filarem francuskiego kompleksu militarno-przemysłowego. Polska być może podpisała z nim umowę cywilnoprawną zakazującą ujawniania danych. Zobaczmy teraz, co ta umowa znaczy w zderzeniu z twardym prawem publicznym trzech państw.
Pierwszy klucz: CLOUD Act i jurysdykcja USA
W 2018 roku Kongres Stanów Zjednoczonych uchwalił "Clarifying Lawful Overseas Use of Data Act", znany powszechnie jako CLOUD Act. Ustawa ta rozwiązała jeden z największych problemów prawnych ery cyfrowej: co się dzieje, gdy dane fizycznie są przechowywane za granicą, ale ich właścicielem jest amerykańska spółka?
Odpowiedź jest prosta i brutalna: nie ma znaczenia, gdzie dane leżą. Liczy się to, kto je kontroluje.
Jeśli podmiot jest zarejestrowany w USA lub prowadzi tam działalność, rząd federalny może wydać nakaz sądowy nakazujący wydanie danych — niezależnie od tego, na jakiej ziemi fizycznie stoją serwery, i niezależnie od treści umów cywilnoprawnych zawartych z podmiotami zagranicznymi. CLOUD Act to prawo publiczne federalne, które w hierarchii źródeł prawa stoi wyżej niż każda umowa handlowa. Imperva Inc. jako spółka zarejestrowana w Kalifornii nie może przeciwstawić się nakazowi federalnemu, powołując się na klauzulę poufności z Polską. Sąd federalny takim argumentem po prostu się nie przejmie.
Co więcej, procedura może być objęta klauzulą tajności, co oznacza, że Imperva nie tylko musi wydać dane, ale w określonych przypadkach nie ma nawet prawa poinformować polskiego Ministerstwa Finansów, że do przekazania doszło. Polska umowa być może leży na stole w tajnej kancelarii. Niemniej CLOUD Act zmiata ją z planszy.
Drugi klucz: Thales i bezpośrednia linia do Paryża
CLOUD Act daje klucz do drzwi rządowi USA. Jednak jest jeszcze drugi klucz — i ten jest w pewnym sensie groźniejszy, bo nie zostawia nawet śladu postępowania sądowego.
Od grudnia 2023 roku Imperva należy do grupy Thales. Thales to nie jest zwykła prywatna spółka. Francuski skarb państwa, pośrednio przez Dassault Aviation i CEA, jest znaczącym akcjonariuszem Thales. Oczywiście jak zawsze znaczącym akcjonariuszem Thalesa jest też BlackRock (czyli kierownik kuli ziemskiej, który swoje macki ma wszędzie). Firma Thales jest jednym z głównych dostawców systemów wywiadowczych, radarowych i komunikacyjnych dla Direction Générale de la Sécurité Extérieure (DGSE) — francuskiego odpowiednika CIA. Innymi słowy: Thales to jeden z najważniejszych kontraktorów obronno-wywiadowczych Francji, mocno powiązany kapitałowo i operacyjnie z francuskim aparatem państwowym.
Prawo francuskie — w szczególności "Loi de Programmation Militaire" (LPM) oraz przepisy o dostępie służb specjalnych do danych przechowywanych przez operatorów — daje organom Republiki Francuskiej szerokie uprawnienia do żądania danych od podmiotów działających na terytorium Francji lub kontrolowanych przez podmioty zarejestrowane we Francji.
Jednak jest jeszcze coś ważniejszego niż formalne przepisy. Thales/Imperva to teraz jeden organizm korporacyjny. Przepływ informacji wewnątrz grupy kapitałowej nie wymaga nakazu sądowego — wymaga jedynie decyzji zarządczej lub rozmowy telefonicznej między odpowiednimi szczeblami korporacji. Zewnętrzny obserwator nie zobaczy nic: żadnego postępowania sądowego, żadnego nakazu, żadnej notyfikacji dla strony polskiej. Z punktu widzenia audytu wyglądałoby to jak rutynowy wewnętrzny transfer danych operacyjnych w ramach grupy.
Trzeci klucz: serwery Thales/Imperva analizujące dane stoją w Izraelu
Każdy dział Thalesa może bez zgody i wiedzy polskiego rządu dostać dostęp do logów z metadanymi polskiej gospodarki takimi jak: NIP sprzedawcy i odbiorcy, pełne nazwy podmiotów, kwoty netto, VAT i brutto, waluta, numer faktury, daty operacyjne i typ faktury co pozwala w czasie rzeczywistym zmapować cała biznes w Polsce. Nie ma możliwości, by wywiad izraelski nie skorzystał z takiej okazji. Przypominam, że jest to wywiad, który był zdolny do tajnego wprowadzenia mini ładunków wybuchowych do pagerów i mikrofalówek organizacji Hezbollah i doprowadził do ich wybuchów w jednym momencie w 2024 roku, rozrywając dłonie, oczy i jaja libańskim i syryjskim chirurgom co wyłączyło z akcji 1500 bojowników — 42 osoby zginęły, a 4000 zostało rannych.
Trzy klucze. Trzy rządy. I jedna biedna, goła Polska.
Podsumujmy sytuację hipotetycznych Kowalskich, prawdziwego Stomilu i każdej innej firmy raportującej do KSeF w kontekście struktury właścicielskiej Impervy:
Rząd USA ma legalny, wymuszalny sądownie dostęp do danych przechowywanych przez Impervę jako spółkę zarejestrowaną w Kalifornii. Rząd Francji ma strukturalny, niewidoczny z zewnątrz dostęp do tych samych danych poprzez sieć powiązań właścicielskich i operacyjnych grupy Thales. Wywiad Izraela przetwarza te dane na swoich serwerach. Te trzy dostępy istnieją niezależnie od siebie, działają niezależnie od treści polskiej umowy i mogą być realizowane bez wiedzy Ministerstwa Finansów.
Nie twierdzę, że te rządy aktywnie i na co dzień przeglądają faktury polskiej gospodarki. Twierdzę coś innego i precyzyjniejszego: Polska stworzyła system, w którym trzy obce wywiady dysponują techniczną i prawną zdolnością dostępu do pełnego obrazu polskiej gospodarki, a polska umowa cywilnoprawna nie stanowi dla tej zdolności żadnej przeszkody.
W analizie ryzyka bezpieczeństwa narodowego to wystarczy. Ryzyko nie polega wyłącznie na tym, że coś się już dzieje — polega na tym, że istnieje gotowa infrastruktura dostępu, której nikt nie może skutecznie zablokować.
Dlaczego to, co robi Polska, jest wyjątkiem na tle Europy?
Ten kontekst staje się jeszcze bardziej niepokojący, gdy zestawimy go z tym, jak inne państwa europejskie podeszły do problemu e-fakturowania.
Francja obsługuje swój system fakturowania (Chorus Pro) poprzez AIFE — agencję rządową. Infrastruktura jest zarządzana przez podmioty krajowe. Rumunia potraktowała e-faktury jako kwestię bezpieczeństwa narodowego i powierzyła system wojskowej służbie łączności STS. Włochy i Hiszpania korzystają z rządowych lub ściśle nadzorowanych krajowych platform. Dotyczy to wszystkich państw na świecie oprócz Polski. Innymi słowy: każde poważne państwo zrozumiało, że system, przez który przepływa obraz całej gospodarki krajowej, musi pozostawać pod suwerenną kontrolą. Polska jest jedynym krajem na świecie, który powierzył tę funkcję prywatnemu podmiotowi zagranicznemu o tak skomplikowanej i wrażliwej strukturze właścicielskiej.
Warto dodać jeden ironiczny szczegół: Francja, korzystając z własnego systemu raportowania faktur obsługiwanego przez własne agencje rządowe, chroni swoje dane gospodarcze nawet przed Impervą (bo w niej dane widzą jeszcze Amerykanie i Izraelczycy). Jednocześnie Imperva — jako część Thalesa — może mieć dostęp do danych polskich firm, w tym do danych dotyczących przetargów, zamówień publicznych i kontrahentów polskiego sektora zbrojeniowego.
Epilog: umowa, która nie chroni
Ministerstwo Finansów publicznie deklaruje pełną kontrolę nad infrastrukturą, jednak audyty techniczne (m. in. analiza DNS, nagłówków i terminacji TLS) pokazują, że warstwa WAF działa w modelu czysto chmurowym Impervy, a nie on-premise.
Kiedy Ministerstwo Finansów mówi, że Imperva nie jest operatorem danych, tylko dostawcą warstwy ochronnej, ma technicznie rację — WAF nie przetwarza treści faktur XML, bo są one zaszyfrowane aplikacyjnie E2E. Jednak jak pokazałem w poprzednich częściach i audytach, problem nie leży w treści faktur, tylko w metadanych JSON, które po terminacji TLS są jawne dla infrastruktury pośredniej, a to obejmuje: numery NIP, nazwy podmiotów, daty, kwoty, typy dokumentów.
Polska umowa z Impervą być może zakazuje ujawniania tych metadanych. Jednak CLOUD Act pozwala rządowi USA ten zakaz prawnie wymusić do uchylenia. Struktura Thales pozwala to zrobić bez jakiegokolwiek formalnego postępowania sądowego.
Polskie firmy mogą myśleć, że ich dane są chronione umową. Ich dane są chronione umową tak samo, jak sejf jest chroniony zamkiem, do którego klucz mają wywiady trzech innych państw. A zatem nie są chronione. Jeśli wywiad któregokolwiek z tych państw uzna, że jakaś ich firma powinna pokonać na rynku jakąś polską, to jej w tym pomoże. Jeśli można przy użyciu armii zbombardować inne państwo, to tym bardziej można w nim dowolny biznes przejąć. Wywiad właśnie do tego służy — do pokonania innego państwa przy użyciu informacji o nim.
Nawet gdyby sam premier Tusk okazał się szpiegiem i wszelką swoją wiedzę przekazywał obcym wywiadom, to i tak nie przekaże tylu informacji, ile Polska oddała na tacy wywiadom USA, Francji i Izraela poprzez KSeF. Jeśli się tym nie przejmujemy, bo to nasi sojusznicy, to lepiej od razu ogłosić się kolejnym stanem USA — wtedy przynajmniej nasz rodzimy biznes mógłby się rozwijać. Po co nam pośrednicy typu Tusk? Nie lepiej od razu uznać za naszego przywódcę Trumpa, Macrona czy Netanjahu?
PS1. Ponieważ tu działa chaotycznie kasujący komentarze bot, którego działanie tłumaczę tu: https://naszeblogi.pl/75398-algorytm-ktory-nie-rozumie-portalu, to poniżej można tylko krótko, emocjonalnie, bez sensu komentować, a jeśli komuś zależy na merytorycznej dyskusji, to zapraszam na X.
PS2. A tu macie wszystkie odcinki mojej serii, w których to wszystko dokładnie opisuję:
- Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: https://x.com/gps65/status/2015871765449265250
- Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: https://x.com/gps65/status/2016184516973564198
- Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: https://x.com/gps65/status/2016570837877297349
- Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: https://x.com/gps65/status/2016802079839306028
- Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: https://x.com/gps65/status/2018702913363722476
- Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady z branży militarnej i spożywczej: https://x.com/gps65/status/2019001534294503450
- Część VII. Jakie metadane o ruchu widzi Imperva?: https://x.com/gps65/status/2021301951787332041
- Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: https://x.com/gps65/status/2023001255132434749
- Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym że szybkie pingi o niczym nie świadczą, bo to chmura: https://x.com/gps65/status/2023032191282733315
- Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: https://x.com/gps65/status/2023332070253084940
- A tu o tym, że firmę Imperva założył Shlomo Kramer: https://x.com/gps65/status/2020933273078071423
Audyty techniczne:
- Francja https://informacje-lokalne.pl/audyt-techniczny-francja-2026-02-05/
- Węgry https://informacje-lokalne.pl/audyt-techniczny-wegry-2026-02-11/
- Włochy https://informacje-lokalne.pl/audyt-techniczny-wlochy-2026-02-05/
- Rumunia https://informacje-lokalne.pl/audyt-techniczny-rumunia-2026-02-05/
- Hiszpania https://informacje-lokalne.pl/audyt-techniczny-hiszpania-2026-02-05/
- Albania https://informacje-lokalne.pl/audyt-techniczny-albania-2026-02-11/
- Turcja https://informacje-lokalne.pl/audyt-techniczny-turcja-2026-02-12/
- Rosja https://informacje-lokalne.pl/audyt-techniczny-rosja-2026-02-12/
- Ukraina https://informacje-lokalne.pl/audyt-techniczny-ukraina-2026-02-12/
- Argentyna https://informacje-lokalne.pl/audyt-techniczny-argentyna-2026-02-16/
- Kolumbia https://informacje-lokalne.pl/audyt-techniczny-kolumbia-2026-02-16/
- Chile https://informacje-lokalne.pl/audyt-techniczny-chile-2026-02-16/
- Meksyk https://informacje-lokalne.pl/audyt-techniczny-meksyk-2026-02-16/
- Brazylia https://informacje-lokalne.pl/audyt-techniczny-brazylia-2026-02-16/
- Polska https://informacje-lokalne.pl/audyt-techniczny-polska-2026-02-05/
- Polska https://informacje-lokalne.pl/audyt-techniczny-ksef-raport-pelny-2026-02-06/
- Polska https://informacje-lokalne.pl/raport-techniczny-ksef-uzupelniajacy-2026-02-11/
- Polska https://informacje-lokalne.pl/audyt-techniczny-jawnosc-metadanych-json-w-ksef-przy-terminacji-tls-przez-imperva-2026-02-15/
Apel do ekspertów cyberbezpieczeństwa:
Odpowiedzi wirtualnych ekspertów cyberbezpieczeństwa:
- deepseek: https://informacje-lokalne.pl/odpowiedz-eksperta-cyberbezpieczenstwa-deepseek-2026-02-18/
- Perplexity Pro Sonar: https://informacje-lokalne.pl/odpowiedz-eksperta-cyberbezpieczenstwa-perplexity-pro-sonar-2026-02-18/
- Grok 4.1 Thinking: https://informacje-lokalne.pl/odpowiedz-eksperta-cyberbezpieczenstwa-grok-4-1-thinking-2026-02-18/
- Gemini 3 Pro: https://informacje-lokalne.pl/odpowiedz-eksperta-cyberbezpieczenstwa-gemini-3-pro-2026-02-18/
- Claude Sonnet 4.6: https://informacje-lokalne.pl/odpowiedz-eksperta-cyberbezpieczenstwa-claude-sonnet-4-6-2026-02-18/
__________________
Część III — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Stomil. <- poprzednia notka
następna notka ->
__________________
Tagi: KSeF gps65, gospodarka, biznes, Wolny Rynek, Imperva, cyberbezpieczeństwo, Polska, wywiad, szpiegostwo
Komentarze
Pokaż komentarze