Faktury offline w KSeF. Oszuści mogą podrobić kody QR

Jak oszuści wykorzystają kody QR

Problem mogą mieć np. konsumenci (dla których faktury mogą, lecz nie muszą być wystawiane w KSeF), a także podmioty niemające w Polsce siedziby ani stałego miejsca prowadzenia działalności. Może on spotkać także zwykłych przedsiębiorców, którzy przy awarii KSeF powinni otrzymać faktury w postaci elektronicznej, zgodne z ministerialnym wzorem faktury ustrukturyzowanej, opatrzone dwoma kodami QR (art. 106nf ust. 3 ustawy o VAT).

Eksperci obawiają się, że każdą z tych sytuacji mogą wykorzystać oszuści, którzy na fakturach wystawianych offline będą zamieszczać kody QR prowadzące do fałszywych dokumentów.

- Kodem QR można opatrzyć dowolną fakturę. Może to zrobić np. oszust w celu wyłudzenia płatności – przestrzega Piotr Kępisty, doradca podatkowy i autor bloga Zrozumvat.pl.

Potwierdza to Bartosz Nowak, starszy konsultant w dziale doradztwa podatkowego EY. - Dowolna osoba może wkleić dowolny kod QR z innej faktury do PDF-a faktury offline i ją wysyłać np. mailem. Odbiorca, który zeskanuje kod, nie będzie miał podstaw, by wątpić, że otrzymał prawidłowy dokument. W rezultacie zapłaci, tyle że oszustowi – mówi ekspert.

Podobne obawy ma Adrian Lapierre, dyrektor zarządzający w ITrust. - Niezależnie od tego, czy faktura jest w KSeF czy nie, zeskanowanie drugiego kodu QR pozwoli sprawdzić tylko uprawnienia wystawcy faktury. Nie będzie nawet widać, kto ją wystawił, ani kto podpisał, a więc nie będzie wiadomo, na jakiej podstawie system zawiadamia o pozytywnej weryfikacji – wskazuje ekspert.

MF zmieniło zdanie

O tym, że Ministerstwo Finansów zrezygnowało z wymogu, aby kod QR II zapewniał integralność faktury w KSeF, można się przekonać, czytając nową wersję dokumentacji technicznej, udostępnioną w serwisie Github.

Takie stanowisko jest sprzeczne nie tylko z brzmieniem przepisów ustawy o VAT (art. 106nda ust. 6 pkt 2, który wejdzie w życie 1 lutego 2026 r.). Przeczy również treści podręcznika KSeF (strona 74) oraz materiałów udostępnianych na stronach resortu. Wszędzie tam mowa jest o kodzie QR, który ma zapewnić „autentyczność pochodzenia i integralność treści” faktury offline.

Dlaczego w nowej wersji dokumentacji technicznej KSeF nie ma już o tym mowy? Spytaliśmy o to ministerstwo, ale do zamknięcia tego wydania DGP nie otrzymaliśmy odpowiedzi.

Po co kod QR

Aktualne stanowisko MF sprawia, że wraca pytanie, które padało już w trakcie konsultowania przepisów o KSeF - czy w ogóle potrzebny jest drugi kod QR.

O dwóch odrębnych kodach QR mowa jest w art. 106nda ust. 6 ustawy o VAT. Pierwszym będą oznaczane wizualizacje zarówno faktur wystawianych online, jak i offline. Nie budzi on większych kontrowersji. Obawy są do drugiego kodu, którym będą oznaczane faktury wystawiane w ramach jednego z trzech trybów offline.

Będą je otrzymywać przede wszystkim szczególni nabywcy, a więc podmioty, których nie dotyczą obowiązki związane z KSeF. Będą to np. konsumenci oraz podmioty, które nie mają na terytorium Polski siedziby działalności gospodarczej ani stałego miejsca prowadzenia takiej działalności (art. 106gb ust. 4 ustawy).

Aby taki nabywca mógł sprawdzić otrzymaną fakturę, wystawca będzie musiał oznaczyć ją dwoma kodami QR. Po zeskanowaniu drugiego z nich nabywca zobaczy fakturę w KSeF i będzie mógł zweryfikować zawarte w niej dane. Drugi kod QR znajdzie się też na wizualizacji faktury wystawianej przedsiębiorcom w trakcie awarii KSeF.

Za każdym razem drugi kod ma umożliwić „zapewnienie autentyczności pochodzenia i integralności treści tej faktury” – wynika z art. 106nda ust. 6 pkt 2 ustawy. Już widać jednak, że praktyka rozminie się z teorią.

Problem z autentycznością…

O problemie z zapewnieniem autentyczności faktury już pisaliśmy - w artykule „Będzie problem z weryfikacją części faktur w Krajowym Systemie e-Faktur VAT” (DGP nr 228/2025). Chodzi o sprawdzenie, czy certyfikat KSeF wystawcy faktury jest aktywny i czy wystawca ma uprawnienia do wystawiania faktur w imieniu podatnika.

… i integralnością

Teraz dochodzi drugi problem, związany z zapewnieniem integralności treści faktury offline. Udostępniona przez MF nowa wersja dokumentacji technicznej wskazuje, że drugi kod QR nie zapewni integralności, a więc nie potwierdzi, że na fakturze nie zmieniono danych.

Jak z tego wybrnąć? - Najlepiej, jeżeli nabywca samodzielnie sprawdzi każde pole na fakturze – mówi Adrian Lapierre. Wyjaśnia, że tylko to zabezpieczy przed oszustwem polegającym na nałożeniu QR z innej faktury - scamowej.

- Technika może sprawdzić dokument, człowiek musi sprawdzić wydruk – mówi ekspert ITrust.

Inne rozwiązania były możliwe

Jest przekonany, że realizacja pierwotnych założeń MF była możliwa. Zeskanowanie drugiego kodu QR mogłoby zapewniać integralność faktury. - Ale pod jednym warunkiem – mówi Adrian Lapierre - system musiałby sprawdzać dokument XML, a nie tylko „dowód osobisty wystawcy", jak to ma miejsce teraz. - Należało w tym celu wykorzystać podpis elektroniczny na takich zasadach, jakie funkcjonują już obecnie – twierdzi ekspert.

Takie pytania już padały

W trakcie konsultowania przepisów o KSeF Izba Informatyki i Telekomunikacji podkreślała, że wprowadzenie drugiego kodu QR jest regulacją nadmiarową, a ponadto wymaga „modyfikacji layoutu faktury i zmiany w wielu systemach podatników”. Wątpliwości w tym zakresie zgłaszały również inne organizacje. MF odrzuciło wtedy zgłaszane uwagi.

- To klasyczny przykład, jak trudno czasem pogodzić wymogi prawa podatkowego z ograniczeniami technologicznymi systemu KSeF. Dopiero w praktyce, przy pracach nad wdrożeniem systemu, okazało się, że MF nie ma możliwości realizacji funkcjonalności, która została założona na gruncie prawniczo-biznesowym – komentuje Bartosz Nowak.

Jest przekonany, że lepiej najpierw konsultować się ze specjalistami IT - aby upewnić się, czy dana funkcjonalność, mapowanie, konfiguracja czy struktura danych jest możliwa do wdrożenia. – To lepsze niż składać obietnice dotyczące rozwiązań, których realizacja w praktyce okazuje się niemożliwa – puentuje ekspert EY.