Inne państwa Europy i świata — niezależnie od wielkości, budżetu i poziomu rozwoju administracji — zasadniczo zachowały krajową jurysdykcję nad warstwą brzegową albo korzystają z infrastruktury państwowej. Nawet tam, gdzie pojawia się chmura publiczna, nie jest to model polski, czyli dedykowany zagraniczny WAF-as-a-Service, który pośredniczy w ruchu do centralnego systemu faktur.
To fakty potwierdzone w audytach technicznych, które przeprowadziłem. Tak to wygląda:
Polska: KSeF — Operator WAF: Imperva (USA/Francja/Izrael, CLOUD Act)
Polska jest przypadkiem szczególnym. Krytyczne API KSeF stoi za zewnętrzną, komercyjną bramką Imperva. To tam następuje pośrednictwo reverse proxy i terminacja ruchu TLS dla warstwy aplikacyjnej. Imperva jest podmiotem z jurysdykcją USA, należy do francuskiego Thalesa i ma silne zaplecze operacyjne w Izraelu. Umowa cywilna Polski z dostawcą nie unieważnia CLOUD Act, nie blokuje nakazów objętych tajemnicą i nie przywraca Polsce wyłącznej kontroli prawnej nad bramką wejściową systemu fiskalnego.
Francja: Chorus Pro — Operator: AIFE + sprzęt F5 BIG-IP
Choć to francuski Thales jest właścicielem Impervy obsługującej bramkę WAF Polski, Francja dla własnego systemu faktur nie wybrała modelu chmurowego Impervy. Ruch terminowany jest wewnątrz krajowej infrastruktury administracji publicznej. Francuzi zachowują kontrolę nad warstwą kryptograficzną i brzegową, nie wpuszczając zewnętrznego pośrednika klasy WAF-as-a-Service do tunelu między podatnikiem a państwem.
Węgry: NAV Online Számla — Operator: węgierski edge + lokalne CA Microsec
Model wzorcowy pod kątem suwerenności. Węgrzy korzystają z własnej infrastruktury administracji podatkowej, lokalnych certyfikatów i krajowej warstwy brzegowej. Nie widać tam zewnętrznego pośrednika, który terminowałby ruch do systemu faktur poza jurysdykcją węgierską.
Włochy: SdI — Operator: SOGEI, państwowa spółka informatyczna Ministerstwa Gospodarki i Finansów
Pionier e-fakturowania w Europie postawił na model państwowy. Sistema di Interscambio jest zarządzany przez SOGEI, czyli dedykowaną spółkę publiczną obsługującą włoską administrację finansową. Włochy nie oddały bramki wejściowej systemu faktur globalnemu WAF-owi w chmurze.
Rumunia: RO e-Factura — Operator: ANAF / Ministerstwo Finansów
Rumunia oparła system na infrastrukturze własnej administracji skarbowej. Bramka wejściowa pozostaje pod kontrolą państwową, a nie pod kontrolą zagranicznego pośrednika terminującego ruch aplikacyjny. To model prostszy, mniej efektowny marketingowo, ale bardziej suwerenny.
Hiszpania: AEAT Sede — Operator: AEAT / Telefónica, Cloudflare co najwyżej w funkcji DNS
Hiszpania rozdzieliła funkcje. Globalny dostawca może pojawiać się w warstwie DNS, ale właściwy przesył danych i certyfikaty są utrzymywane przez hiszpańską administrację i krajową infrastrukturę telekomunikacyjną. To nie jest model polski, w którym aplikacyjna bramka bezpieczeństwa KSeF jest wystawiona przez zagraniczny WAF.
Albania: e-Invoice — Operator: AKSHI + sprzęt F5 BIG-IP
Albania, państwo znacznie mniejsze i biedniejsze od Polski, zastosowała model bardziej suwerenny. Państwo posiada własną infrastrukturę AKSHI i korzysta ze sprzętu F5 zainstalowanego we własnym środowisku. Profesjonalne urządzenia komercyjne nie są problemem, jeśli działają pod kontrolą państwa, a nie jako obca chmura pośrednicząca w ruchu.
Turcja: e-Belge — Operator: GIB, turecka administracja skarbowa
Turcja utrzymuje warstwę brzegową systemu e-dokumentów w strukturach własnej administracji podatkowej. Nie widać modelu, w którym ruch do centralnego systemu faktur byłby oddany zagranicznemu WAF-owi z terminacją TLS poza krajową kontrolą. Państwo autorytarne rozumie rzecz, której polscy decydenci udają, że nie rozumieją: bramka fiskalna to element suwerenności.
Rosja: FNS / nalog.ru — Operator: Federalna Służba Podatkowa i krajowa infrastruktura
Rosja utrzymuje systemy podatkowe w krajowej infrastrukturze, z lokalną kontrolą DNS, certyfikatów i operatorów. Można mieć dowolną opinię o państwie rosyjskim, ale technicznie nie oddało ono bramki wejściowej do systemu fakturowo-podatkowego komercyjnemu WAF-owi podlegającemu obcej jurysdykcji.
Ukraina: tax.gov.ua — Operator: ukraińska administracja podatkowa i lokalna infrastruktura
Ukraina, mimo wojny i wieloletniej presji cybernetycznej, utrzymuje warstwę brzegową systemów podatkowych w modelu administracyjnym. Widać lokalną infrastrukturę i krajową kontrolę, a nie oddanie krytycznego API e-fakturowania zagranicznej firmie bezpieczeństwa aplikacyjnego. To szczególnie kompromitujące dla Polski.
Argentyna: AFIP / ARCA — Operator: argentyńska administracja podatkowa
Argentyna utrzymuje system faktur elektronicznych w infrastrukturze administracji podatkowej. Bramka wejściowa nie jest wystawiona przez globalny WAF typu Imperva. To klasyczny model: państwo kontroluje własne narzędzia fiskalne.
Kolumbia: DIAN — Operator: DIAN + infrastruktura Microsoft Azure
Kolumbia jest wyjątkiem chmurowym, ale nie jest odpowiednikiem Polski. Widać ślady infrastruktury Microsoft Azure, więc nie można mówić o pełnej autarkii technologicznej. Różnica polega na tym, że nie jest to dedykowany WAF-as-a-Service firmy wywiadowczej terminujący ruch do systemu faktur w modelu Impervy. Kolumbia osłabia prostą tezę „wszyscy poza Polską są w pełni suwerenni”, ale nie obala tezy głównej: Polska oddała bramkę KSeF specyficznemu pośrednikowi klasy WAF.
Chile: SII DTE — Operator: Servicio de Impuestos Internos + lokalna infrastruktura
Chile utrzymuje system dokumentów podatkowych w administracji skarbowej. Warstwa brzegowa pozostaje pod kontrolą państwa i lokalnych rozwiązań technicznych. Nie widać modelu, w którym prywatny, zagraniczny WAF staje między podatnikiem a państwem jako obowiązkowy punkt wejścia do systemu.
Meksyk: SAT / CFDI — Operator: SAT + elementy infrastruktury Microsoft Azure
Meksyk także pokazuje ślady chmury publicznej, więc nie jest przykładem pełnej suwerenności technicznej. Ale znów: to nie jest model Impervy w KSeF. Nie mamy tu tego samego fingerprintu zewnętrznego WAF-as-a-Service, który przejmuje funkcję bramki aplikacyjnej systemu e-faktur. Meksyk jest przypadkiem chmurowym, Polska jest przypadkiem obcego pośrednika bezpieczeństwa aplikacyjnego na wejściu do fiskusa.
Brazylia: NF-e — Operator: SERPRO, federalna spółka informatyczna państwa
Brazylia, ogromne państwo federalne z masowym systemem faktur elektronicznych, postawiła na SERPRO — państwowego operatora IT. To model podobny do włoskiego SOGEI: skala jest wielka, ale kontrola pozostaje państwowa. Bramka systemu faktur nie jest oddana zagranicznej firmie terminującej ruch aplikacyjny.
Grecja: myDATA — Operator: AADE + infrastruktura Microsoft Azure
Grecja jest kolejnym przypadkiem, który wymaga uczciwego doprecyzowania. Widać ślady Microsoft Azure, więc nie należy przedstawiać jej jako modelu pełnej autarkii. Jednak także tutaj nie mamy polskiego modelu: krytycznego API e-fakturowania wystawionego przez Impervę jako zewnętrzny WAF/reverse proxy. Grecja korzysta z hyperscalera, Polska wpuściła na bramkę systemu fiskalnego firmę od cyberbezpieczeństwa, której sens działania polega na inspekcji ruchu.
Wniosek
Nie wszystkie państwa są idealnie suwerenne technologicznie. Kolumbia, Meksyk i Grecja pokazują, że administracje czasem korzystają z chmury publicznej. Niemniej Polska pozostaje przypadkiem osobnym i groźniejszym: krytyczne API KSeF działa za Impervą, czyli zewnętrznym WAF-as-a-Service, który technicznie pośredniczy w ruchu i prawnie nie podlega wyłącznie Polsce.
To nie jest tylko problem hostingu, cyberbezpieczeństwa czy umowy z dostawcą — to jest problem suwerenności państwa! Bo jeżeli bramka do centralnego systemu faktur państwa polskiego znajduje się pod techniczną kontrolą podmiotu zależnego od prawa USA, właścicielsko od Francji i operacyjnie związanego z Izraelem, to Polska nie ma już pełnej kontroli nad wejściem do własnego systemu fiskalnego. Polska jako jedyna na świecie oddała pełną mapę swojej gospodarki trzem obcym wywiadom.
PS. Tu wszystkie audyty techniczne:
- Francja https://informacje-lokalne.pl/audyt-techniczny-francja-2026-02-05/
- Węgry https://informacje-lokalne.pl/audyt-techniczny-wegry-2026-02-11/
- Włochy https://informacje-lokalne.pl/audyt-techniczny-wlochy-2026-02-05/
- Rumunia https://informacje-lokalne.pl/audyt-techniczny-rumunia-2026-02-05/
- Hiszpania https://informacje-lokalne.pl/audyt-techniczny-hiszpania-2026-02-05/
- Albania https://informacje-lokalne.pl/audyt-techniczny-albania-2026-02-11/
- Turcja https://informacje-lokalne.pl/audyt-techniczny-turcja-2026-02-12/
- Rosja https://informacje-lokalne.pl/audyt-techniczny-rosja-2026-02-12/
- Ukraina https://informacje-lokalne.pl/audyt-techniczny-ukraina-2026-02-12/
- Argentyna https://informacje-lokalne.pl/audyt-techniczny-argentyna-2026-02-16/
- Kolumbia https://informacje-lokalne.pl/audyt-techniczny-kolumbia-2026-02-16/
- Chile https://informacje-lokalne.pl/audyt-techniczny-chile-2026-02-16/
- Meksyk https://informacje-lokalne.pl/audyt-techniczny-meksyk-2026-02-16/
- Brazylia https://informacje-lokalne.pl/audyt-techniczny-brazylia-2026-02-16/
- Grecja https://informacje-lokalne.pl/audyt-techniczny-grecja-2026-03-07/
- Polska https://informacje-lokalne.pl/audyt-techniczny-polska-2026-02-05/
- Polska https://informacje-lokalne.pl/audyt-techniczny-ksef-raport-pelny-2026-02-06/
- Polska https://informacje-lokalne.pl/raport-techniczny-ksef-uzupelniajacy-2026-02-11/
- Polska https://informacje-lokalne.pl/audyt-techniczny-jawnosc-metadanych-json-w-ksef-przy-terminacji-tls-przez-imperva-2026-02-15/
__________________
Finansowa zajawka bagna wolnościowców <- poprzednia notka
następna notka -> To nie moja ręka!
__________________
Tagi: GPS65, KSeF, Audyt
Komentarze
Pokaż komentarze