Uprawnienia w KSeF - krytyczny aspekt wdrożenia przez przyszłych użytkowników
Od 1 lipca 2024 r. niemalże każdego podatnika dotknie Krajowy System e-Faktur. KSeF stanowi zupełnie nowe podejście do kwestii e-faktur. Jego wprowadzenie wymaga odpowiedniego przygotowania zarówno od strony rozliczeń VAT, jak i od strony procesów okołopodatkowych. Takim procesem może być zarządzanie uprawnieniami. Skomplikowana natura systemu oraz potrzeba zapewnienia bezpieczeństwa danych sprawiają, że zarządzanie uprawnieniami staje się jednym z najbardziej krytycznych aspektów jego wdrożenia.
Uprawnienia jako funkcja w KSeF
Faktury ustrukturyzowane są wystawiane teraz, dla tych stosujących dobrowolnie i będą wystawiane dla tych, którzy za kilka miesięcy zaczną stosować je obowiązkowo przy użyciu Krajowego Systemu e-Faktur prowadzonego przez Szefa Krajowej Administracji Skarbowej. To jednak nie wszystkie funkcje tego systemu. Ten bowiem w myśl art. 106nd ustawy o podatku od towarów i usług służy m. in. do:
- nadawania, zmiany lub odbierania uprawnień do korzystania z Krajowego Systemu e-Faktur;
- powiadamiania podmiotów o nadanych uprawnieniach do korzystania z Krajowego Systemu e-Faktur lub ich odebraniu;
- uwierzytelnienia oraz weryfikacji uprawnień do korzystania z Krajowego Systemu e-Faktur, posiadanych przez podmioty uprawnione;
- powiadamiania podmiotów innych niż uprawnione o braku uprawnień do korzystania z Krajowego Systemu e-Faktur.
Pozostałe funkcje opisuje dodatkowo doradca podatkowy Tomasz Krywan w komentarzu praktycznym pt.: E-faktury i Krajowy System e-Faktur.
Rodzaje, sposoby i modele nadawania uprawień
W KSeF występują uprawnienia do:
- nadawania, zmiany lub odbierania uprawnień do korzystania z Krajowego Systemu e-Faktur;
- wystawiania lub dostępu do faktur ustrukturyzowanych;
- wystawiania faktur w imieniu i na rzecz podatnika będących fakturami ustrukturyzowanymi.
Podstawowym sposobem nadawania, zmiany lub odbierania uprawnień do korzystania z Krajowego Systemu e-Faktur jest dokonywanie tego za pomocą oprogramowania interfejsowego.
Drugi sposób polega na złożeniu w postaci papierowej do właściwego naczelnika urzędu skarbowego zawiadomienia ZAW-FA . Jak wskazuje doradca podatkowy Tomasz Krywan ten sposób umożliwia jedynie nadawanie lub odbieranie uprawnień do korzystania z Krajowego Systemu e-Faktur. Nie umożliwia natomiast zmiany uprawnień do korzystania z Krajowego Systemu e-Faktur.
Uprawnionych do korzystania z Krajowego Systemu e-Faktur jest osiem grup podmiotów. Wskazuje je Tomasz Krywan autor przytoczonego już komentarza praktycznego pt.: E-faktury i Krajowy System e-Faktur. Z kolei modele uprawnień dla poszczególnych podmiotów opisuje Minister Finansów w poradniku pt.: Uprawnienia KSeF - rodzaje, modele i zasady nadawania oraz odbierania uprawnień.
Uwierzytelnienie i autoryzacja
Ważnym aspektem w temacie uprawnień jest uwierzytelnianie się w KSeF. Ten system oparty jest bowiem na modelu poświadczeń. Oznacza to, że wymagane jest uwierzytelnienie i autoryzacja danej osoby w systemie. To też kluczowe procesy dla zapewnienia bezpieczeństwa i skuteczności operacyjnej przedsiębiorstw. Czym więc jest uwierzytelnienie a czym autoryzacja? Oba terminy objaśnia Adrian Lapierre w poradniku pt.: KSeF - uprawnienia i autoryzacja (zagadnienia techniczne). Jak wskazuje autor uwierzytelnienie jest to proces, w którym użytkownik udowadnia, kim jest, zazwyczaj poprzez podanie nazwy użytkownika i hasła lub użycie podpisu elektronicznego. Uwierzytelnienie polega więc na potwierdzeniu tożsamości użytkownika lub systemu. Z kolei autoryzacja dotyczy przyznawania uprawnień uwierzytelnionym użytkownikom lub systemom. Po uwierzytelnieniu system decyduje, jakie działania, zasoby lub operacje są dostępne dla danego użytkownika.
Sposoby uwierzytelniania
KSeF umożliwia uzyskanie do niego dostępu (uwierzytelnienie) na cztery poniższe sposoby:
- profilem zaufanym
- z wykorzystaniem podpisu elektronicznego
- elektroniczną pieczęcią kwalifikowaną
- za pomocą tokena autoryzacyjnego.
Adrian Lapierre opisuje wszystkie te sposoby wskazując jednocześnie ich wady i zalety. Autor poradnika jednocześnie podpowiada, którą formę uwierzytelniania do KSeF wybrać choćby z uwagi na charakter i formę prowadzenia działalności gospodarczej.
Waga precyzyjnego zarządzania uprawnieniami
Zrozumienie i prawidłowe zarządzanie uprawnieniami jest kluczowe dla bezpiecznego wdrożenia KSeF. Uprawnienia definiują, kto i w jakim zakresie ma dostęp do danych i funkcji systemu, co bezpośrednio wpływa na integralność i poufność przechowywanych informacji. Błędne wdrożenie uprawnień może prowadzić do nieautoryzowanego dostępu, co zwiększa ryzyko naruszenia bezpieczeństwa informacji. Ponadto, precyzyjne zarządzanie uprawnieniami umożliwia monitorowanie i audyt aktywności użytkowników, co jest kluczowe dla wykrywania i reagowania na incydenty związane z bezpieczeństwem. Wreszcie, niewłaściwe zarządzanie uprawnieniami może prowadzić do naruszeń przepisów i potencjalnych sankcji. Dlatego właściwe wdrożenie uprawnień jest nie tylko kwestią techniczną, ale również biznesową i prawną. Na te wszystkie elementy zwracał uwagę Adrian Lapierre w trakcie szkolenia online pt.: Wdrożenie KSeF - zagadnienia techniczne. Zapraszam do wysłuchania nagrania.
Na te elementy wdrożenia i zarządzania uprawnieniami zwraca uwagę także doradca podatkowy Monika Brzostowska w komentarzu praktycznym pt.: Wpływ KSeF na wewnętrzne procesy w biurze rachunkowym i w przedsiębiorstwie. Według autorki zarówno biura rachunkowe, jak i przedsiębiorstwa powinny podjąć kluczową decyzję – kto będzie zajmował się wystawianiem faktur w KSeF, a kto ich odbieraniem. To pytanie jest decydujące, w aspekcie ustalenia procesów wewnątrzfirmowych. Warto byłoby zastanowić się nad wdrożeniem odpowiednich procedur w zakresie nadawania, odbierania uprawnień.
Michał Malinowski
Senior Product Manager
Księgowość i Podatki