Spider's Web to redakcja uwikłana politycznie tak jak cała branża IT!

8 maja 2026 Marcin Kusz opublikował w Spider's Web artykuł pod tytułem:

„Imperva - to ona "pilnuje" faktur KSeF. Czym jest ta zagraniczna firma?”.

To pierwszy i jedyny od kilku miesięcy tekst w mainstreamie, który nie powołuje się na moje audyty i artykuły, a samodzielnie odkrywa istnienie firmy Imperva jako operatora bramki WAF dla KSeF. Wszystko to opisuje rzetelnie i fachowo.

Pomija jednak kwestię kluczową: przez bramkę WAF firmy Imperva po terminacji TLS przepływają niezaszyfrowane metadane w formacie JSON obejmujące numery NIP sprzedawcy i nabywcy, pełne nazwy podmiotów, dokładne kwoty netto, VAT i brutto, walutę transakcji, numer i typ faktury oraz daty operacyjne.

Trudno uwierzyć, by autor tekstu technologicznego, który poprawnie opisał rolę WAF-a, nie zauważył publicznie udokumentowanego endpointu zwracającego jawne metadane faktur. Sprawdzenie, jakie dane zwracają endpointy API 2.0 KSeF, jest trywialnie proste — dokumentacja jest publiczna, dostępna na rządowych stronach, wystarczy ją otworzyć.

Dziennikarz z dorobkiem ponad 1600 artykułów technologicznych, który zrozumiał rolę WAF-a po stronie Impervy, nie mógł nie wiedzieć, że terminacja TLS oznacza widoczność dokładnie tego, co dokumentacja Ministerstwa Finansów sama deklaruje jako odpowiedź endpointu. Nie jako zaszyfrowany blob XML, lecz jako jawny JSON, w każdym zapytaniu, w czasie rzeczywistym.

Co więcej — fakt o JSON jest łatwiejszy do udowodnienia niż fakt o Impervie. Ten drugi wymagał audytu i samodzielnej pracy śledczej. Pierwszy wymaga jedynie linku do dokumentacji MF i jednego zdania o tym, czym jest terminacja TLS. Ryzyko procesowe takiej publikacji jest minimalne, bo każdy element jest weryfikowalny z publicznych źródeł rządowych. A mimo to fakt drugi w artykule się nie pojawił.

I nie mógł się pojawić! Z powodu, który wynika z samej konstrukcji tekstu. Kusz kończy artykuł tak:

„Imperva to potężne narzędzie, a korzystanie z niego ma technologiczne uzasadnienie. Wpuszczenie zewnętrznej tarczy do ochrony aplikacji to sprawdzony w branży sposób na odpieranie zmasowanych ataków, z którymi wyłącznie państwowe serwery mogłyby sobie szybko nie poradzić. Jeśli dodamy do tego solidne szyfrowanie faktur po stronie klienta, ryzyko wycieku danych staje się marginalne. KSeF może być pod wieloma względami zaprojektowany rozsądniej, niż wynika to z najbardziej histerycznych wpisów w sieci.”

To zakończenie wymaga pominięcia faktu o JSON. Z faktem o JSON się nie obroni — bo teza: „ryzyko marginalne” staje się jawnym fałszem w momencie, w którym czytelnik widzi, że po stronie WAF-a w plaintext mamy NIP, nazwę, kwoty i daty każdej faktury każdego polskiego przedsiębiorcy.

Pominięcie nie jest więc niedopatrzeniem warsztatowym ani brakiem miejsca w tekście. Jest funkcjonalne wobec ramy interpretacyjnej całego artykułu. Nie muszę rozstrzygać, czy było to świadome. Wystarczy stwierdzić, że funkcjonalny efekt jest taki sam: temat został dopuszczony do mainstreamu w wersji pozbawionej najostrzejszego technicznego faktu.

Można by argumentować, że redakcja zwyczajnie obawiała się politycznych konsekwencji — żądań sprostowania ze strony MF, telefonu rzecznika do redakcji, presji na naczelnego, etykietowania jako „medium opozycji”.

Ten argument jednak upada. Imperva to nie jest temat lekki. MF trzyma obecność tego kontrahenta w tajemnicy do tego stopnia, że odmówiło jej potwierdzenia nawet w oficjalnej odpowiedzi na interwencję poselską posła Skalika. Spider's Web jest pierwszą i jedyną redakcją w mainstreamie, która od kilku miesięcy w ogóle użyła słowa „Imperva” w kontekście KSeF. Polityczne konsekwencje publikacji tego faktu były groźne — a redakcja na nie jednak poszła.

Pytanie więc brzmi: skoro nie bali się ujawnić faktu, który MF aktywnie zatajało przed Sejmem, dlaczego bali się dodać drugi fakt, weryfikowalny wprost z publicznej dokumentacji rządowej? Cena polityczna pierwszego była nieporównanie wyższa. Cena drugiego była już zapłacona z chwilą publikacji pierwszego. Hipoteza: „bali się reakcji” nie tłumaczy więc niczego.

Tłumaczy natomiast inna hipoteza, znacznie spójniejsza z dowodami. Nie chodziło o powstrzymanie publikacji — chodziło o ukształtowanie ramy. Dopuszczono ujawnienie istnienia kontrahenta, ale wymuszono utrzymanie konkluzji: „ryzyko marginalne”. Mechanizm tego ukształtowania mógł być różny: przedpublikacyjna konsultacja z MF lub Impervą pod pozorem fact-checkingu, interwencja redaktora prowadzącego, wreszcie autocenzura autora świadomego, że jego artykuł pójdzie, o ile nie będzie miał ostrza. Funkcjonalny rezultat każdego z tych wariantów jest ten sam: medium użyto do uwiarygodnienia pojawienia się tematu w przestrzeni publicznej w postaci nieszkodliwej dla MF.

To jest klasyczny wzorzec kontrolowanego ujawnienia. Lepiej, by sprawa wypłynęła w wersji: „rozsądnie zaprojektowane”, „ryzyko marginalne”, niż żeby wypłynęła w wersji: „systemowy wyciek metadanych polskich przedsiębiorców do firmy zagranicznej w czasie rzeczywistym”. Pierwszy wariant rozbraja temat. Drugi go zapala.

Wniosek jest twardy. W tej sprawie Spider's Web nie zadziałał jako niezależne medium. Zadziałał jako kanał łagodzący — być może świadomie, być może pod naciskiem, być może w wyniku autocenzury. Mechanizm pozostaje otwarty. Rezultat nie.

Artykuł, mimo że jest poprawny we wszystkim, co napisano, jest manipulacją przez to, czego nie napisano. Jak to świadczy o redakcji Spider's Web? Są politycznie uwikłani, nie są obiektywnym medium. I to można uogólnić na większość mediów i firm IT!

Grzegorz GPS Świderski

https://Twitter.com/gps65

https://t.me/KanalBlogeraGPS

PS. A tu moje audyty KSeF:

Seria "Niewidzialna pętla #KSeF"

Część I — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Braci Kowalskich: https://x.com/gps65/status/2027695957404438661
Część II — niewidzialna pętla KSeF: jak Kowalscy mogą obronić się przed inwigilacją: https://x.com/gps65/status/2027801393688408375
Część III — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Stomil: https://x.com/gps65/status/2028407529588334856
Część IV — niewidzialna pętla KSeF: dlaczego utajniona umowa z Impervą jest nic niewarta: https://x.com/gps65/status/2028864704911646941
Część V — niewidzialna pętla KSeF: Wojna wywiadów, niemiecki szantaż i globalny odwet na polskim biznesie: https://x.com/gps65/status/2029892532633530718

Seria thrillerowa o KSeF:

Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: https://x.com/gps65/status/2015871765449265250
Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: https://x.com/gps65/status/2016184516973564198
Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: https://x.com/gps65/status/2016570837877297349
Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: https://x.com/gps65/status/2016802079839306028
Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: https://x.com/gps65/status/2018702913363722476
Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady z branży militarnej i spożywczej: https://x.com/gps65/status/2019001534294503450
Część VII. Jakie metadane o ruchu widzi Imperva?: https://x.com/gps65/status/2021301951787332041
Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: https://x.com/gps65/status/2023001255132434749
Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym, że szybkie pingi o niczym nie świadczą, bo to chmura: https://x.com/gps65/status/2023032191282733315
Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: https://x.com/gps65/status/2023332070253084940
A tu o tym, że firmę Imperva założył Shlomo Kramer: https://x.com/gps65/status/2020933273078071423