Zadzwoń
Zatłoczone biurko w firmie księgowej z komputerem wyświetlającym fakturę, w tle kolaż logo telekomunikacyjnych i energetycznych

Fałszywa nazwa sprzedawcy w KSeF. Czy oszust może podszyć się pod dużą firmę?

Stan prawny i techniczny na 8 lipca 2026 roku

Krajowy System e Faktur ma uporządkować obieg dokumentów, ograniczyć liczbę błędów i utrudnić ukrywanie fikcyjnych transakcji. Obecność faktury w państwowym systemie może jednak wywołać niebezpieczne przekonanie, że dokument został sprawdzony przez administrację skarbową i dlatego można mu zaufać.

To założenie jest błędne.

Opisany scenariusz, w którym oszust wystawia fakturę z nazwą znanego operatora telekomunikacyjnego, dostawcy energii albo innej dużej firmy, jest częściowo realny. Nie jest to jednak luka pozwalająca zalogować się do KSeF jako dowolna korporacja. Problem polega na tym, że KSeF potwierdza techniczne pochodzenie dokumentu od podmiotu posługującego się określonym NIP, ale nie potwierdza, że opisana na fakturze transakcja rzeczywiście miała miejsce.

Co KSeF sprawdza przed przyjęciem faktury

Ministerstwo Finansów wyjaśnia, że przed nadaniem numeru KSeF system sprawdza zgodność pliku XML z obowiązującym wzorem faktury oraz to, czy osoba wysyłająca dokument posiada odpowiednie uprawnienia. System nie wymaga natomiast akceptacji faktury przez nabywcę. Dokument jest uznawany za otrzymany, gdy zostanie mu nadany numer KSeF. Ministerstwo wprost informuje również, że system może przyjąć fakturę zawierającą błędy rachunkowe, ponieważ nie weryfikuje poprawności takich obliczeń.

Oznacza to, że KSeF nie jest elektronicznym odpowiednikiem pracownika działu zakupów. System nie sprawdza umowy, zamówienia, wykonania usługi, dostawy towaru ani tego, czy nabywca zna wystawcę. Nie ocenia też, czy kwota odpowiada wcześniejszym ustaleniom stron.

KSeF potwierdza przede wszystkim, że dokument został przesłany przez osobę działającą w określonym kontekście i posiadającą odpowiednie uprawnienia. Dostęp do systemu wymaga uwierzytelnienia, między innymi przez Login.gov.pl, profil zaufany, aplikację mObywatel, bankowość elektroniczną albo certyfikat. Użytkownik wskazuje również kontekst podmiotu, w którym zamierza pracować.

Nie można więc po prostu wpisać NIP dużej firmy i zacząć wystawiać faktur w jej imieniu bez odpowiednich uprawnień. Oszust może natomiast działać w imieniu własnej firmy albo podmiotu kontrolowanego przez tak zwanego słupa.

Czy można wpisać nieprawdziwą nazwę sprzedawcy

To najważniejszy punkt całego scenariusza.

Aktualna instrukcja Aplikacji Podatnika KSeF pokazuje osobne pole na NIP sprzedawcy oraz osobne pole tekstowe na jego imię, nazwisko lub nazwę. Obok znajduje się przycisk pozwalający pobrać informacje o sprzedawcy z bazy GUS po podaniu NIP. Dokumentacja przedstawia pobranie danych jako funkcję dostępną dla użytkownika. Nie wskazuje, że nazwa zawsze musi zostać automatycznie pobrana ani że ręcznie wpisany tekst jest porównywany z rejestrem przed przyjęciem faktury.

W połączeniu z oficjalną informacją, że system sprawdza zgodność pliku ze strukturą oraz uprawnienia wysyłającego, prowadzi to do istotnego wniosku. Na podstawie publicznej dokumentacji istnieje wiarygodne ryzyko przyjęcia dokumentu, na którym prawidłowy NIP rzeczywistego wystawcy występuje obok mylącej albo nieprawdziwej nazwy handlowej.

Nie oznacza to, że oszust staje się w KSeF znanym operatorem lub dostawcą energii. NIP nadal prowadzi do rzeczywistego podmiotu, który przesłał dokument. Fałszywa nazwa może jednak wprowadzić w błąd pracownika, jeżeli program księgowy pokazuje przede wszystkim nazwę, a NIP ukrywa w szczegółach dokumentu.

Jest to zatem bardziej luka w sposobie prezentowania i obsługi faktur niż przejęcie tożsamości podatkowej dużej firmy.

Dlaczego masowe wysyłanie faktur może być skuteczne

Faktura wystawiona w KSeF nie wymaga zatwierdzenia przez odbiorcę, aby pojawiła się w jego systemie. Wystawca może wskazać NIP nabywcy, a dokument zostanie udostępniony temu podmiotowi. Sam fakt pojawienia się faktury na liście dokumentów zakupowych nie dowodzi więc istnienia zobowiązania.

W praktyce oszust nie musi przekonać wszystkich odbiorców. Wystarczy, że w dużej grupie przedsiębiorstw znajdzie się kilka organizacji, w których proces płatności jest nadmiernie zautomatyzowany.

Ryzyko rośnie, gdy faktury są księgowane bez powiązania z zamówieniem, pracownik widzi znaną nazwę i typową usługę, a następnie tworzy paczkę przelewów na podstawie danych pobranych bezpośrednio z dokumentu. Faktura za telefon, energię, gaz, hosting albo usługi internetowe może wyglądać wiarygodnie, ponieważ podobne zobowiązania rzeczywiście regularnie pojawiają się w większości firm.

KSeF umożliwia umieszczenie na fakturze pełnego numeru rachunku, na który ma zostać dokonana płatność. Pole rachunku jest częścią struktury danych dotyczących płatności.

Jeżeli program finansowy bez dodatkowej kontroli wykorzysta rachunek z otrzymanej faktury, oszust może próbować skierować płatność na własne konto.

Dlaczego biała lista nie zawsze zatrzyma takie oszustwo

W przedstawionym wariancie oszust nie musi podawać przypadkowego rachunku. Może użyć konta należącego do kontrolowanej przez siebie firmy i zgłoszonego do administracji skarbowej.

Wykaz podatników VAT pozwala sprawdzać między innymi numer konta, NIP, REGON i nazwę podmiotu. Zawiera rachunki związane z prowadzoną działalnością, wskazane w zgłoszeniu identyfikacyjnym albo aktualizacyjnym i potwierdzone przy wykorzystaniu systemu STIR.

Techniczna wersja białej listy umożliwia potwierdzenie występowania określonej pary, czyli NIP oraz numeru rachunku.

Jeżeli na fakturze znajduje się prawdziwy NIP firmy oszusta oraz rachunek należący do tej samej firmy, taka para może przejść automatyczną kontrolę. Jednocześnie w polu z nazwą może znajdować się określenie przypominające nazwę dużej marki.

Biała lista nie potwierdza wówczas, że rachunek należy do znanego operatora. Potwierdza jedynie, że rachunek jest przypisany do NIP widocznego na dokumencie. Pełne sprawdzenie rekordu ujawni inną nazwę prawną, ale automatyczna weryfikacja ograniczona wyłącznie do pary NIP i rachunek może stworzyć fałszywe poczucie bezpieczeństwa.

Dlatego komunikat „rachunek znajduje się na białej liście” nie powinien być traktowany jako wystarczające potwierdzenie tożsamości kontrahenta.

Czy łatwo założyć firmę i od razu korzystać z KSeF

Działalność gospodarczą można zarejestrować przez internet. Nie oznacza to jednak, że rejestracja jest anonimowa. Wniosek składany online wymaga zalogowania przez Login.gov.pl i podania danych identyfikacyjnych przedsiębiorcy.

Dla jednoosobowej działalności gospodarczej dostęp do KSeF jest możliwy od razu między innymi przy użyciu profilu zaufanego albo podpisu kwalifikowanego. W przypadku spółek konieczne może być użycie pieczęci kwalifikowanej albo złożenie formularza ZAW FA.

Firma na słupa nie jest więc całkowicie anonimowym tworem. Za podmiotem stoi konkretna osoba, jej dane albo użyte przez nią środki uwierzytelnienia. Nie eliminuje to jednak ryzyka wykorzystywania osób podstawionych, przejętych danych lub skradzionych dostępów.

Obowiązek wystawiania faktur w KSeF wszedł w życie od 1 lutego 2026 roku dla firm, których sprzedaż w 2024 roku przekroczyła 200 milionów złotych z VAT, oraz od 1 kwietnia 2026 roku dla pozostałych przedsiębiorców. Do końca 2026 roku działa ułatwienie dla podmiotów, których miesięczna sprzedaż dokumentowana fakturami nie przekracza 10 tysięcy złotych brutto. Podmioty te mogą jeszcze wystawiać dokumenty poza KSeF.

W praktyce podmiot posiadający NIP, właściwe uprawnienia i dostęp do systemu może technicznie rozpocząć wystawianie dokumentów bardzo szybko.

Czy jest to realna luka

Najuczciwsza odpowiedź brzmi: jest to realny scenariusz oszustwa, ale nie należy opisywać go jako możliwości wystawienia faktury z NIP dużej firmy bez jej uprawnień.

KSeF utrudnia podszywanie się pod cudzy NIP, ponieważ dostęp opiera się na uwierzytelnieniu i uprawnieniach. Nie zabezpiecza jednak przedsiębiorcy przed zapłatą faktury dotyczącej nieistniejącej transakcji. Nie zastępuje umowy, zamówienia ani procedury akceptacji kosztu.

Potencjalną słabością jest możliwość zbudowania przekonującego dokumentu, na którym NIP i rachunek prowadzą do rzeczywistej firmy oszusta, ale widoczna nazwa, opis usługi oraz wygląd wizualizacji sugerują znanego dostawcę. Jeżeli odbiorca zaufa samej obecności faktury w KSeF i nie porówna NIP z nazwą prawną kontrahenta, może wykonać przelew na prawidłowo zarejestrowany rachunek niewłaściwego podmiotu.

W takim przypadku KSeF nie zostaje przełamany. Zostaje wykorzystane zaufanie użytkownika do państwowego systemu.

Jak przedsiębiorcy powinni się zabezpieczyć

Najważniejszą zasadą powinno być oddzielenie odbioru faktury od zgody na jej zapłatę. Pojawienie się dokumentu w KSeF nie może automatycznie tworzyć zatwierdzonego zobowiązania.

System finansowy powinien porównywać NIP wystawcy z kartoteką zaakceptowanych dostawców. Faktura od nowego NIP powinna zostać zatrzymana do ręcznej weryfikacji, nawet gdy widnieje na niej znana nazwa.

Nazwa prawna pobrana z białej listy lub rejestru GUS powinna być zestawiana z nazwą z faktury. Znacząca niezgodność musi powodować alert. Trzeba oczywiście uwzględniać skróty, marki handlowe i nazwy oddziałów, ale znana marka połączona z NIP zupełnie innej firmy powinna skutkować natychmiastowym zablokowaniem płatności.

Rachunek do przelewu powinien pochodzić z zatwierdzonej kartoteki kontrahenta, a nie bezpośrednio z pojedynczej faktury. Zmiana numeru konta wymaga osobnego potwierdzenia przy użyciu danych kontaktowych znanych z wcześniejszej współpracy.

W przypadku faktur za energię, gaz lub usługi telekomunikacyjne warto sprawdzać numer klienta, numer umowy, punkt poboru, okres rozliczeniowy oraz zgodność kwoty z wcześniejszymi rachunkami. Nowy numer rachunku albo nowy NIP przy pozornie stałej usłudze powinien zatrzymać przelew.

KSeF zwiększa wiarygodność techniczną dokumentu. Nie gwarantuje jednak wiarygodności gospodarczej transakcji. To rozróżnienie powinno znaleźć się w procedurach każdej firmy, która automatyzuje księgowanie i płatności.

Materiały rządowe

  1. Pytania i odpowiedzi dotyczące KSeF 2.0
  2. Jak uzyskać dostęp do KSeF
  3. Terminy obowiązkowego wystawiania faktur w KSeF
  4. Wykaz podatników VAT, czyli biała lista
  5. Rejestracja działalności gospodarczej w CEIDG
  6. Instrukcja Aplikacji Podatnika KSeF 2.0

Fakty kluczowe

FAQ

Na czym polega ryzyko fałszywej nazwy sprzedawcy w KSeF?

Ryzyko wynika z możliwości wystawienia faktury, na której prawidłowy NIP rzeczywistego wystawcy zestawiony jest z mylącą lub nieprawdziwą nazwą handlową. Jeśli program księgowy eksponuje głównie nazwę, pracownik może błędnie uznać dokument za pochodzący od znanego dostawcy.

Czy oszust może wystawić fakturę w KSeF z NIP dużej firmy bez jej zgody?

Nie, ponieważ KSeF wymaga uwierzytelnienia i odpowiednich uprawnień powiązanych z danym podmiotem. Nie wystarczy wpisać NIP dużej firmy, aby zacząć wystawiać w jej imieniu faktury. Oszust może działać jedynie w imieniu własnej firmy lub podmiotu kontrolowanego przez słupa.

Co dokładnie weryfikuje KSeF przed nadaniem numeru fakturze?

KSeF sprawdza zgodność pliku XML z obowiązującym wzorem faktury oraz to, czy wysyłający posiada wymagane uprawnienia. System nie weryfikuje poprawności obliczeń rachunkowych ani nie potwierdza istnienia rzeczywistej transakcji, umowy czy zamówienia między stronami.

Dlaczego biała lista nie zawsze ochroni przed takim oszustwem?

Biała lista potwierdza, że wskazany numer rachunku jest przypisany do konkretnego NIP, ale nie weryfikuje, czy należy on do znanego operatora, którego nazwa widnieje na fakturze. Jeśli oszust użyje własnego, prawidłowo zgłoszonego konta i NIP, para NIP–rachunek może przejść automatyczną kontrolę, tworząc fałszywe poczucie bezpieczeństwa.

Jakie środki ostrożności powinna wdrożyć firma, aby ograniczyć to ryzyko?

Firma powinna oddzielić sam odbiór faktury od zgody na jej zapłatę i blokować automatyczne zatwierdzanie kosztów tylko na podstawie obecności dokumentu w KSeF. System finansowy powinien porównywać NIP z kartoteką dostawców, weryfikować spójność nazwy z rejestrami oraz korzystać z rachunku z kartoteki kontrahenta, a nie z pojedynczej faktury.

Od kiedy i dla kogo obowiązkowe jest wystawianie faktur w KSeF?

Od 1 lutego 2026 roku obowiązek dotyczy firm, których sprzedaż w 2024 roku przekroczyła 200 milionów złotych z VAT, a od 1 kwietnia 2026 roku obejmuje pozostałych przedsiębiorców. Do końca 2026 roku firmy z miesięczną sprzedażą fakturową nieprzekraczającą 10 tysięcy złotych brutto mogą nadal wystawiać faktury poza KSeF.

Nowoczesne biuro z księgowym pracującym na laptopie, analizującym cyfrowe faktury i raporty VAT w kontekście KSeF
Ekspert ds. AI i nowych technologii
Specjalizuje się w sztucznej inteligencji, automatyzacji i nowoczesnych technologiach wspierających rozwój biznesu oraz cyfrową transformację firm.
Wszystkie artykuły autora →

📚 Źródła i więcej

Oficjalne źródła do tematu artykułu:

Gotowy na KSeF z Ewidencją Faktur?

Zacznij bezpłatnie — plan START za darmo.

Zacznij za darmo