Od momentu startu obowiązkowego KSeF oszuści zaczęli rozsyłać fałszywe faktury PDF z kodami QR, które imitują dokumenty z Krajowego Systemu e-Faktur. Kody mogą prowadzić do nieistniejących dokumentów, sfałszowanych stron lub – co groźniejsze – do prawdziwych wpisów w KSeF, które jednak nie przechodzą pełnej weryfikacji szczegółów. W artykule pokazujemy, jak krok po kroku zweryfikować autentyczność faktury, jakie sygnały ostrzegawcze powinny zapalić czerwoną lampkę i w jaki sposób system ERP z integracją KSeF automatycznie chroni firmę przed tego typu wyłudzeniami.
Jak wygląda schemat oszustwa na fałszywy kod QR do KSeF?
Od 1 lutego 2026 roku każda faktura przekazywana poza systemem KSeF – mailem jako PDF lub w formie wydruku – musi zawierać kod QR umożliwiający weryfikację dokumentu w Krajowym Systemie e-Faktur. Oszuści szybko nauczyli się to wykorzystywać.
W praktyce spotykamy się z dwoma scenariuszami. W pierwszym firma otrzymuje fakturę PDF od kontrahenta, z którym od lat nie współpracuje. Dokument wygląda profesjonalnie – zawiera kod QR, numer KSeF i informację o wygenerowaniu w jednym z popularnych systemów księgowych. Po zeskanowaniu kodu QR link prowadzi jednak do środowiska produkcyjnego KSeF, a portal jednoznacznie wskazuje, że taki dokument nie istnieje. Weryfikacja w Portalu Podatnika KSeF potwierdza: faktura jest fikcyjna.
Drugi scenariusz jest bardziej wyrafinowany. Kod QR na fakturze faktycznie prowadzi do wpisu w KSeF – na pierwszy rzut oka faktura wydaje się autentyczna. Dopiero po wprowadzeniu szczegółowych danych dokumentu (kwota należności, data wystawienia, NIP nabywcy) okazuje się, że KSeF nie odnajduje takiego dokumentu. Oszust liczy na to, że sam widok pozytywnej weryfikacji QR wystarczy, by księgowość uruchomiła przelew.
Dlaczego sam kod QR nie gwarantuje autentyczności faktury?
Kod QR na fakturze z KSeF to graficzna reprezentacja linku weryfikacyjnego – zawiera adres zasobu w systemie Ministerstwa Finansów, datę wystawienia, NIP sprzedawcy i identyfikator dokumentu. Zeskanowanie go pozwala sprawdzić, czy faktura istnieje w KSeF i czy jej dane są zgodne z oryginałem zapisanym w systemie.
Problem polega na tym, że oszuści mogą wygenerować kod QR prowadzący do sfałszowanej strony imitującej portal KSeF, do nieistniejącego dokumentu w prawdziwym systemie lub do innego dokumentu niż ten wskazany na fakturze PDF. Prawdziwy kod QR z KSeF powinien prowadzić wyłącznie na domenę rządową (ksef.podatki.gov.pl). Każdy inny adres to sygnał ostrzegawczy.
Co istotne, sama obecność faktury w KSeF nie wywołuje jeszcze żadnych skutków podatkowych. Skutki podatkowe powstają dopiero w momencie zaksięgowania dokumentu i ujęcia go w rozliczeniach. To oznacza, że firmie nic nie grozi, dopóki nie zaksięguje i nie opłaci fałszywego dokumentu – ale wymaga to czujności na każdym etapie obiegu faktury.
Jak krok po kroku zweryfikować podejrzaną fakturę?
Każda faktura PDF otrzymana poza systemem KSeF powinna przejść podstawową procedurę weryfikacyjną, zanim zostanie zaksięgowana. Oto kluczowe kroki:
Pierwszym działaniem powinno być zeskanowanie kodu QR i sprawdzenie, czy link prowadzi na oficjalną domenę rządową (ksef.podatki.gov.pl). Jeśli adres URL wskazuje na inną stronę – to prawdopodobnie próba oszustwa.
Następnie warto zalogować się do Portalu Podatnika KSeF i wyszukać dokument nie tylko po numerze, ale również po szczegółowych danych: kwocie należności, dacie wystawienia i NIP nabywcy. Pozytywna weryfikacja samego QR to za mało – dopiero pełne dopasowanie szczegółów potwierdza autentyczność.
Kolejnym krokiem jest sprawdzenie, czy faktura została automatycznie pobrana przez system ERP zintegrowany z KSeF. Jeśli system ERP nie pobrał dokumentu, a firma otrzymała go mailem lub pocztą – to powinien być pierwszy sygnał do weryfikacji, zanim dokument trafi do księgowania.
Na końcu warto zweryfikować samego kontrahenta: czy firma faktycznie z nim współpracuje, czy dane na fakturze (numer konta, adres, NIP) zgadzają się z danymi w bazie kontrahentów i czy wystawca jest osiągalny pod wskazanymi danymi kontaktowymi.
W jaki sposób system ERP z integracją KSeF chroni przed wyłudzeniami?
Ręczna weryfikacja każdej faktury jest czasochłonna i podatna na błędy – szczególnie w firmach przetwarzających dziesiątki lub setki dokumentów dziennie. Dlatego kluczową rolę w ochronie przed fałszywymi fakturami odgrywa system ERP z pełną integracją z KSeF.
Asseco ERP z usługą Businesslink automatycznie pobiera faktury zakupowe bezpośrednio z KSeF. Oznacza to, że dokumenty trafiają do systemu wyłącznie z zaufanego źródła – Krajowego Systemu e-Faktur – a nie z poczty elektronicznej czy niezweryfikowanych kanałów. Jeśli Businesslink nie pobrał danego dokumentu, jest to wyraźny sygnał, że faktura otrzymana inną drogą wymaga natychmiastowej weryfikacji w Portalu Podatnika.
System automatycznie porównuje dane z faktury (NIP kontrahenta, kwoty, daty) z bazą kontrahentów i historią transakcji, co pozwala szybko wychwycić dokumenty od nieznanych podmiotów lub z nietypowymi kwotami. Dodatkowo automatyzacja procesu eliminuje ryzyko, że fałszywy dokument przejdzie niezauważony w dużym wolumenie faktur.
Zasada jest prosta: faktura, której nie ma w KSeF i która nie została pobrana przez Businesslink, nie powinna być księgowana bez uprzedniej, ręcznej weryfikacji jej autentyczności.
Chcesz zabezpieczyć firmę przed fałszywymi fakturami? Sprawdź, jak Asseco ERP z modułem Businesslink automatyzuje pobieranie i weryfikację faktur z KSeF – [umów się na prezentację] lub [skontaktuj się z nami].
FAQ
Czy faktura, która pojawi się w KSeF, jest zawsze prawdziwa? Nie. W KSeF może pojawić się faktura fikcyjna wystawiona celowo przez oszusta – wystarczy, że zna NIP nabywcy. Sama obecność dokumentu w KSeF nie oznacza, że transakcja miała miejsce. Dlatego każda faktura od nieznanego kontrahenta wymaga dodatkowej weryfikacji.
Co zrobić, gdy otrzymam podejrzaną fakturę w KSeF? Ministerstwo Finansów zaprojektowało w API KSeF 2.0 mechanizm zgłaszania faktur scamowych do Krajowej Administracji Skarbowej. Na chwilę obecną ta funkcjonalność nie jest jeszcze wdrożona w Aplikacji Podatnika – resort zapowiedział jej uruchomienie w kolejnych aktualizacjach systemu. Tymczasem podejrzane faktury można zgłaszać za pośrednictwem formularza na stronach MF.
Jak odróżnić pomyłkę od próby wyłudzenia? Błędna faktura (np. z pomyłkowym NIP) to pomyłka formalna, którą sprzedawca koryguje fakturą korygującą do zera. Faktura scamowa to dokument od podmiotu, z którym firma nigdy nie współpracowała, za transakcję, która nie miała miejsca – często z krótkim terminem płatności i brakiem możliwości kontaktu z wystawcą.
Czy Businesslink w systemach Asseco ERP automatycznie odrzuca fałszywe faktury? Businesslink pobiera z KSeF wyłącznie dokumenty, które faktycznie zostały tam zarejestrowane. Jeśli ktoś prześle fałszywą fakturę PDF mailem, a dokument nie istnieje w KSeF – Businesslink go nie pobierze. Ten brak pobrania jest sam w sobie sygnałem ostrzegawczym dla działu księgowości.
