Profil Zaufany nie udźwignął KSeF na starcie. Nie wszyscy w rządzie byli tym zaskoczeni

W momencie startu z początkiem lutego systemu Krajowego Systemu e-Faktur, służącego do wystawiania i odbierania faktur elektronicznych, część użytkowników miała problem z zalogowaniem się. Sam KSeF, jak słyszymy, działał poprawnie. Problem pojawił się w kwestii uwierzytelnienia użytkowników. Najczęściej próbowano to robić za pośrednictwem Profilu Zaufanego (PZ).

W ostatni poniedziałek, jeszcze przed południem, Ministerstwo Cyfryzacji (MC) przyznało, że "duże zainteresowanie KSeF 2.0 spowalnia działanie Profilu Zaufanego". Resort zasugerował też, że "osoby korzystające z usług administracji publicznej w celach niezwiązanych z KSeF mogą, jeśli to możliwe, skorzystać z alternatywnych metod identyfikacji".

Kilka godzin później komunikat wydało także Ministerstwo Finansów i Gospodarki (MFiG). "W dniu dzisiejszym (2 lutego br. - przyp. red.) osoby wykorzystujące Profil Zaufany do logowania się do KSeF, mogły napotkać na czasowe utrudnienia. Obecnie Profil Zaufany jest dostępny. Fakt ten nie wpłynął na liczbę faktur wpływających do systemu" - zapewnił resort.

Z ustaleń money.pl wynika, że problem, który pojawił się przy uruchamianiu KSeF, był zdiagnozowany wcześniej. Wykazać to miały przeprowadzone w styczniu testy PZ, wskazujące, że ta metoda uwierzytelniania użytkowników może się okazać niewydolne w przypadku KSeF w stosunku do realnych potrzeb. Jednocześnie, jak słyszymy, na zespołach roboczych nikt prawidłowo nie oszacował faktycznego ruchu, jaki wywoła uruchomienie KSeF.

Resort Krzysztofa Gawkowskiego miał wobec tego uznać, że jeśli na szali będzie utrzymanie dostępności Profilu Zaufanego w ogóle, zacznie ręcznie ograniczać dostęp do KSeF poprzez tę drogę uwierzytelniania.

Czy resort cyfryzacji ostrzegł ministra Andrzeja Domańskiego o nadchodzącym problemie? Tu historia zaczyna się komplikować. W Ministerstwie Finansów słyszymy zapewnienia, że problem na pewno nie był sygnalizowany drogą oficjalną. - Trudno więc powiedzieć, czy była świadomość problemu, ale na pewno powinna była być - przyznaje rozmówca z resortu.

Pytamy więc w Ministerstwie Cyfryzacji.

Informacje były przekazywane na poziomie roboczym, z jednej strony o prognozowanym ruchu, z drugiej strony informacja o tym, jaki ruch jest możliwy do obsłużenia. Ten ruch nie został po jednej stronie doszacowany, po drugiej stronie również nie było takich informacji - powiedział w środę w programie "Tłit" Wirtualnej Polski Dariusz Standerski, wiceminister cyfryzacji.

Jak dodał, testy wydajnościowe przechodziły na poziomie deklarowanym, ale poziom rzeczywisty okazał się dużo wyższy. - Ja oczywiście nie wysyłałem oficjalnych pism do pana ministra Domańskiego, ponieważ również nie zgłaszano mi w zespole, by ruch miał być większy, bo on sam otrzymywał informacje, że ten ruch będzie 5-6 razy mniejszy niż w rzeczywistości, więc przygotowaliśmy się na ten mniejszy wolumen - przyznał wiceminister.

Co do domniemanych ostrzeżeń ze strony MC o wąskim gardle, jakim okazał się PZ, słyszymy ze strony MFiG, że przed startem dużych systemów zwykle występują zastrzeżenia ze strony partnerów z zewnątrz. - Były próby systemu w końcówce stycznia i nie pokazywały problemów - zauważa nasz rozmówca. Natomiast zarówno ze strony MF jak i MC słychać, że nikt nie myśli o szukaniu winnych - obie instytucje współpracują na spokojnie w rozwiązywaniu problemów, bez intencji doprowadzenia do politycznej eskalacji. 

Od informatora znającego kulisy prac zespołów roboczych słyszymy jednak, że temat wydajności PZ był poruszany, przynajmniej na tym szczeblu.

Wyporność PZ to około 37 tys. prób logowania na godzinę. Z reguły średnia to około 11 tys. prób. Specjaliści szacowali, że po uruchomieniu KSeF ruch wzrośnie do 40-50 tysięcy, a więc już wtedy jasne było, że to więcej niż maksymalna przepustowość Profilu Zaufanego. Faktycznie okazało się, że ruch jest osiem razy większy - tłumaczy rozmówca zorientowany w procesie przygotowań do uruchomienia KSeF.

Narzeka też, że można było odnieść wrażenie, iż głównym zmartwieniem miało być to, jak sprawę rozegrać wizerunkowo, gdyby doszło do poważnej wpadki i któryś z resortów miałby za to wziąć odpowiedzialność. - Co gorsza, na ten rok nie dosypano pieniędzy na rozwój PZ, dzięki czemu mógłby udźwignąć zwiększony ruch w momencie tak dużego wdrożenia jak KSeF - dodaje nasz rozmówca.

Niezależnie od problemów komunikacyjnych na linii MC-MFiG, nasze rządowe źródła donoszą o kolejnych zagrożeniach i "wąskich gardłach" w kontekście dostępu do KSeF. Dodatkową komplikacją w momencie uruchomienia nowego systemu resortu finansów był przeprowadzany w tym czasie atak typu DDoS na rządowy Profil Zaufany. - To normalne przy tak dużej operacji wdrożeniowej. Wtedy też zaczyna działać system "antyDDos", który zrzuca ten ruch, zaczynając od ruchu zagranicznego. Może się jednak zdarzyć, że zrzuci kogoś próbującego się zalogować w kraju - tłumaczy rozmówca z rządu.

Słyszymy również, że chwilowo pewnym wyzwaniem okazuje się metoda pozyskiwania dostępu dużych firm do KSeF (dla nich system jest obowiązkowy w pierwszej kolejności). Przy czym chodzi tu zarówno o aspekt dotyczący obłożenia samego PZ, jak i przyznawania dostępu do KSeF.

Jak twierdzi nasz rozmówca znający temat - problem ma charakter "kaskadowy".

Cztery tysiące dużych firm musiało ściągnąć wniosek ze strony MFiG, wypełnić go i złożyć w urzędach skarbowych. Dopiero tam urzędnicy sobie odklikują, że to ta osoba i nadaje uprawnienia do korzystania z KSeF w imieniu reprezentowanej przez nią firmy. Każda z tych osób musi potem użyć swojego PZ przy logowaniu do KSeF, by się uwierzytelnić. Po zalogowaniu do KSeF taka osoba może sobie wyrobić certyfikat i logować przez system księgowy firmy. I dać uprawnienia kolejnym pracownikom, a to przyczyniło się do obciążenia PZ - tłumaczy rozmówca.

Przekonuje też, że niektórzy urzędnicy mieli opóźniać wręcz proces przyznawania uprawnień dla spółek, właśnie po to, by nie przeciążać systemu, a zwłaszcza Profilu Zaufanego. - Znam przypadki, że jeszcze teraz (wtorek, 3 lutego - przyp. red.) niektórzy nie mają dostępu do KSeF - przekonuje nasz rozmówca.

W odpowiedzi na nasze pytania Ministerstwo Cyfryzacji uspokaja, że sytuacja wraca do normy. - Potwierdzamy bardzo dobrą współpracę z Ministerstwem Finansów. System po początkowych, przejściowych problemach, został ustabilizowany. Dzięki współpracy zespołów MC i MF udało odeprzeć atak DDoS, który miał miejsce w poniedziałek w godzinach porannych - odpowiedziała nam Anna Kuska z biura komunikacji resortu cyfryzacji.

Z kolei ze strony resortu finansów słuchać, że problemy wynikały z przeciążenia jednej z dostępnych metod logowania, czyli Profilu Zaufanego, który docelowo nie będzie najważniejszą ścieżką dostępu do systemu (np. firmy korzystają z systemów księgowych po uzyskaniu certyfikatu). Sam system KSeF był sprawny i nieprzeciążony.

- Był projektowany na znacznie większe obciążenie, system jest gotowy, żeby w ciągu godziny przyjąć tyle faktur, ile normalnie ma trafić w ciągu doby - mówi nasz rozmówca z MF. Jak słyszymy, testy przeprowadzane w końcówce stycznia nie wykazywały potencjalnych problemów. Co więcej, z obserwacji resortu wynika, że w tych godzinach, kiedy występowały problemy z logowaniem przez PZ, do KSEF wpływało więcej faktur niż w okresach bez zaburzeń, ponieważ użytkownicy z alternatywnymi metodami logowania pracowali w systemie bez problemów. 

Resort finansów liczy, że w kolejnych dniach sytuacja znacząco się poprawi, już we wtorek było znacznie lepiej niż w poniedziałek.

Pracujemy na bieżąco, jesteśmy w stałym kontakcie z MC, co godzinę mamy update’y na temat funkcjonowania KSeF i PZ. Wygląda na to, że z tego wychodzimy. Mamy już wyraźnie niższy ruch niż we wtorek o tej samej godzinie - słyszymy w resorcie finansów.

Swoje rachuby rozmówca opiera także na tym, że Profil Zaufany to tylko jedna z dostępnych metod dostępu do systemu, choć jest ważny zwłaszcza dla użytkowników przeprowadzających pierwszą rejestrację, ale większość rynku korzysta z pionów księgowości, oprogramowania lub platform e-fakturowych, które nie wymagają stosowania PZ. Przy rutynowym używaniu KSeF podpis elektroniczny będzie konieczny dla tych, którzy chcą korzystać z systemu za pomocą komputera stacjonarnego czy laptopa, a nie aplikacji w smartfonie czy na tablecie i nie mają podpisu kwalifikowanego. W takim przypadku w każdej sesji będą musieli weryfikować się za pomocą PZ.  

Nie wszyscy w koalicji czują się najwyraźniej przekonani uspokajającymi komunikatami, jakie płyną ze strony resortów. "Składam interpelację do MFiG o stabilność systemu i odpowiedzialność za awarie. Kluczowe pytanie: czy zakres danych zbieranych w KSeF jest niezbędny i bezpieczny? Gdy otrzymam odpowiedź, szybko o niej poinformuję" - oświadczyła posłanka PSL Urszula Pasławska.

Niepokój części naszych rozmówców budzi fakt, że w połowie miesiąca udostępniona będzie możliwość rozliczenia ePIT za zeszły rok. To również będzie wymagać uwierzytelnienia Profilem Zaufanym, tyle że pierwszy raz będzie się to odbywać z jednoczesnym funkcjonowaniem KSeF. Ale nasz rozmówca z MC twierdzi, że ryzyko paraliżu przy rozliczeniach podatkowych jest niewysokie. - Osoby, które terach logują się w KSeF, już tam zostaną, będą zalogowane. Nie będą więc obciążać Profilu Zaufanego w takim stopniu jak ostatnio. Poza tym samo rozliczanie ePIT jest rozłożone w czasie, co spowoduje "rozsmarowanie" tego wzmożonego ruchu na PZ - wyjaśnia rozmówca.

Tomasz Żółciak i Grzegorz Osiecki, dziennikarze wp.pl i money.pl