KSeF, Taxilla i mgła dezinformacji

Na kanale youtubowym "Nam Zależy" Witold Gadowski postawił następującą tezę:

"...tym bardziej, że metadanymi z systemu KSeF zarządza na przykład firma Taxilla. Zadałem sobie trud, żeby sprawdzić, czym jest firma Taxilla. Firma Taxilla jest zarejestrowana w stanie Delaware w Stanach Zjednoczonych. To jest taki raj podatkowy, podobny jak kanton Zuk w Szwajcarii. Jest to firma, która siedzibę operacyjną ma w Indiach i to w jakimś takim pod jakimś dość podejrzanym adresem. Jest wymieniony tylko szef tej firmy. Nie, nie mamy struktury udziałowców tej firmy. Firma jest praktycznie, można powiedzieć, firmą "krzak" z punktu widzenia formalnego, jeżeli chcemy ją sprawdzić. I teraz ta firma będzie zarządzała wszystkimi metadanymi pochodzącymi z krajowego systemu e-faktur. Proszę mi powiedzieć, czy to jest bezpieczne?"

  To, że Witold Gadowski nie zweryfikował faktów, które można sprawdzić w kilka minut, kompromituje jego warsztat dziennikarza śledczego. W sprawie KSeF pomieszał dwa różne poziomy problemu: systemowe ryzyko wynikające z architektury państwowej oraz poboczny temat prywatnych dostawców oprogramowania.

  Taka narracja nie wyjaśnia afery, lecz ją zaciemnia. W efekcie istotny problem, jak choćby możliwość budowania mapy polskiej gospodarki na podstawie metadanych czy analiza architektury przepływu danych przez francusko-amerykańsko-izraelską Impervę, zostaje przykryty chaosem, półprawdami i nieistotnymi dygresjami o jednej z wielu prywatnych firm. Niezależnie od intencji autora, skutek jest jeden: ułatwia to ośmieszanie i podważanie merytorycznych obaw dotyczących KSeF.

Dziennikarstwo śledcze czy produkcja mgły?

  Dziennikarz, który nie odróżnia państwowego rdzenia KSeF od prywatnego oprogramowania typu middleware, nie prowadzi śledztwa — on produkuje mgłę. A mgła w takich sprawach działa zawsze na korzyść tych, którzy chcą, by opinia publiczna przestała rozumieć, gdzie leży realne ryzyko. Nie twierdzę, że Gadowski świadomie dezinformuje — on opowiada o sprawie krytycznie ważnej dla państwa językiem człowieka, który nie zadał sobie trudu, by poprawnie rozpoznać architekturę systemu.

  Nie trzeba być niczyim agentem, by odegrać rolę użyteczną dla dezinformacji. Wystarczy pomylić rzeczy ważne z pobocznymi. Właśnie tak zabija się debatę o cyfrowym bezpieczeństwie państwa: nie przez frontalne zaprzeczenie zagrożeniom, lecz przez zalanie ich mieszaniną faktów, skrótów myślowych i zwykłych bzdur.

Co faktycznie powinien był ustalić dziennikarz śledczy?

  Punktem wyjścia powinno być ustalenie rzeczy podstawowej. Taxilla nie jest częścią państwowej infrastruktury KSeF i nie występuje w publicznie dostępnych materiałach KSeF jako operator tego systemu. W istocie państwo udostępnia API KSeF 2.0, publikuje dokumentację techniczną i wprost zachęca firmy oraz dostawców oprogramowania do integracji. To oznacza, że prywatni vendorzy istnieją obok KSeF jako warstwa pośrednia, a nie jako państwowy rdzeń systemu.

  Taxilla sama przedstawia się właśnie jako taki prywatny dostawca typu RegTech. Oferuje platformę pośredniczącą, która pozwala firmom połączyć ich systemy ERP z rządowym API KSeF, zautomatyzować tworzenie e-faktur, walidację, raportowanie i dostosowanie do zmian regulacyjnych. Sama więc opisuje swoją rolę jako middleware do compliance i integracji, a nie jako operator państwowego systemu.

  Jeśli jakaś firma kupi oprogramowanie Taxilli i oprze na nim swoją komunikację z KSeF, to Taxilla może przetwarzać dane tej firmy. Nie wynika z tego jednak, że zarządza metadanymi całego KSeF. To są dwie zupełnie różne tezy. Pierwsza opisuje zwykłą relację klient–vendor. Druga byłaby twierdzeniem o pozycji systemowej wobec państwowej infrastruktury. Publicznie dostępne materiały nie dają podstaw do takiego przeskoku.

Delaware, Zug i publicystyczna mitologia

  Osobny poziom kompromitacji dotyczy opowieści Gadowskiego o Delaware i kantonie Zuk. Delaware nie jest żadną egzotyczną dziurą poza prawem ani dowodem na firmę krzak. To jedna z najbardziej typowych jurysdykcji inkorporacyjnych w USA. Stan Delaware wymaga od korporacji składania rocznych raportów i płacenia podatków. Delaware jest jurysdykcją szczególnie przyjazną biznesowi i to jest słuszne i godne pochwały. Robienie z tego sensacyjnego argumentu na poziomie "firma z Delaware", więc coś śmierdzi, jest po prostu kompromitujące.

  Podobnie z Zugiem. To kanton znany z niskich podatków i wysokiej atrakcyjności dla biznesu. Szwajcarskie źródła same piszą o jego rekordowo niskich stawkach i długiej reputacji miejsca przyjaznego podatkowo. Jednak nawet gdyby ktoś chciał to nazwać rajem podatkowym, nie byłby to jeszcze żaden argument kompromitujący. Byłaby to co najwyżej informacja, że dana jurysdykcja mniej rabuje podatników niż inne. Dla mnie to nie wada, tylko zaleta. Problemem nie są niskie podatki ani konkurencja jurysdykcji. Problemem jest używanie takich skojarzeń jako zasłony dymnej zamiast analizy technicznej architektury KSeF.

Czym Taxilla jest naprawdę?

  Według publicznie dostępnych materiałów firmowych Taxilla jest prywatnym dostawcą rozwiązań compliance i e-invoicing dla segmentu enterprise. Na swoich stronach komunikuje integracje z systemami takimi jak SAP, Oracle, Microsoft Dynamics czy NetSuite oraz przedstawia swoją ofertę jako bezpieczną, zautomatyzowaną i skalowalną. Deklaruje też standardy SOC 2 Type II i ISO 27001. Są to oczywiście deklaracje samej spółki, a nie niezależny audyt, ale pokazują one realny profil rynkowy firmy, a nie obraz anonimowego bytu wyjętego znikąd.

  To samo dotyczy jej pochodzenia. Publiczne profile i materiały firmowe wiążą Taxillę z rejestracją w Delaware oraz z zapleczem operacyjnym w Hyderabadzie w Indiach. Sama obecność w tych jurysdykcjach nie jest dowodem fikcyjności, przestępczości ani przejęcia polskiego systemu państwowego. Bardziej trafny opis brzmi: prywatny vendor RegTech działający międzynarodowo i sprzedający rozwiązania dla dużych organizacji.

  Założycielem i CEO Taxilli jest Pavan Peechara. Publiczne źródła wskazują, że jest osobą pochodzenia i najpewniej narodowości indyjskiej. Jego aktualnego obywatelstwa nie da się jednak rzetelnie potwierdzić na podstawie dostępnych publicznie źródeł.

Gdzie leży rzeczywisty ciężar sprawy?

  Sedno problemu KSeF nie leży w tym, że istnieją prywatni integratorzy. To jest zjawisko normalne i wręcz przewidziane przez sam model wdrożenia API. Sedno leży gdzie indziej: w obowiązkowej architekturze przepływu danych do państwowego systemu przez prywatną firmę Imperva, w warstwie brzegowej WAF obsługującej ten ruch, w jurysdykcji (amerykańsko-francuskiej) oraz w tym, jakie metadane są widoczne na tej ścieżce. To jest poziom systemowy. To jest poziom, który dotyczy wszystkich użytkowników KSeF, a nie tylko tych, którzy dobrowolnie wybiorą jakiegoś prywatnego vendora takiego jak Taxilla.

  Dlatego mieszanie państwowego rdzenia KSeF z jedną prywatną firmą middleware nie wyjaśnia sprawy, lecz ją rozmywa. Jeśli ktoś chce uczciwie opisać architekturę ryzyka, musi najpierw odróżnić poziom obowiązkowy od poziomu opcjonalnego. Musi odróżnić państwową platformę od rynku komercyjnych pośredników. Musi odróżnić infrastrukturę wspólną dla wszystkich od prywatnego narzędzia, z którego korzysta tylko część firm. Gadowski tego nie zrobił.

  Taxilla jest tylko jednym z wielu komercyjnych graczy w ekosystemie integracji z KSeF. Ministerstwo Finansów samo zakłada istnienie takiego rynku, publikując dokumentację, środowiska testowe i wsparcie dla integratorów. Sugerowanie, że Taxilla zarządza metadanymi całego państwowego systemu, jest równie sensowne jak twierdzenie, że producent klienta pocztowego zarządza całą infrastrukturą Internetu.

  Problem z wypowiedzią Gadowskiego polega na tym, że jest źle rozpoznana architektonicznie. A kiedy ktoś źle rozpoznaje architekturę problemu, to produkuje mgłę. I ta mgła staje się później najlepszym sprzymierzeńcem wszystkich tych, którzy chcą, by prawdziwe ryzyka KSeF utonęły w publicystycznym bełkocie. Gadowski po prostu uczestniczy w budowaniu fikcyjnego lasu, w którym będzie ukryty liść z prawdziwą aferą KSeF.

  To, co wyżej napisałem, to są fakty. A teraz moje spekulacje. Moim zdaniem Gadowski tego w ogóle nie zbadał, żadnego śledztwa nie przeprowadził, żadnego trudu sobie nie zadał, tylko dostał informację od swoich informatorów i ją powtarza. A to nie są jacyś bierni donosiciele, to są służby, które wrzucają takie cynki by manipulować opinią publiczną tak, by siać mgłę informacyjną, by istota problemu KSeF utonęła w setkach bzdurnych teorii spiskowych.

Najnowsze audyty

• https://www.mpolska24.pl/post/21091/audyt-infrastruktury-sieciowej-bramka-waf-systemu-ksef-20
• https://www.mpolska24.pl/post/21092/audyt-techniczny-jawnosc-metadanych-faktur-ksef-w-json-na-bramce-waf-obslugiwanej-przez-imperve
• https://www.mpolska24.pl/post/21095/audyt-techniczny-ksef-szyfrowanie-e2e-faktury-xml

Seria "Niewidzialna pętla #KSeF"

• Część I — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Braci Kowalskich: https://x.com/gps65/status/2027695957404438661
• Część II — niewidzialna pętla KSeF: jak Kowalscy mogą obronić się przed inwigilacją: https://x.com/gps65/status/2027801393688408375
• Część III — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Stomil: https://x.com/gps65/status/2028407529588334856
• Część IV — niewidzialna pętla KSeF: dlaczego utajniona umowa z Impervą jest nic niewarta: https://x.com/gps65/status/2028864704911646941
• Część V — niewidzialna pętla KSeF: Wojna wywiadów, niemiecki szantaż i globalny odwet na polskim biznesie: https://x.com/gps65/status/2029892532633530718

Seria thrillerowa o KSeF:

• Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: https://x.com/gps65/status/2015871765449265250
• Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: https://x.com/gps65/status/2016184516973564198
• Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: https://x.com/gps65/status/2016570837877297349
• Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: https://x.com/gps65/status/2016802079839306028
• Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: https://x.com/gps65/status/2018702913363722476
• Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady z branży militarnej i spożywczej: https://x.com/gps65/status/2019001534294503450
• Część VII. Jakie metadane o ruchu widzi Imperva?: https://x.com/gps65/status/2021301951787332041
• Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: https://x.com/gps65/status/2023001255132434749
• Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym, że szybkie pingi o niczym nie świadczą, bo to chmura: https://x.com/gps65/status/2023032191282733315
• Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: https://x.com/gps65/status/2023332070253084940
• A tu o tym, że firmę Imperva założył Shlomo Kramer: https://x.com/gps65/status/2020933273078071423

__________________

SKANDAL! Donald Tusk ujawnił nielegalnie informacje o przelewach! <- poprzednia notka

na­stęp­na not­ka ->

__________________

Ta­gi: KSeF, gps65, go­spo­dar­ka, biz­nes, Im­pe­rva, c­yber­bez­pie­czeń­stwo, Pol­ska, wy­wiad