Grupa Lufthansa informuje agentów IATA w Polsce, że pracuje nad wdrożeniem rozwiązania umożliwiającego agentom IATA w Polsce wystawianie faktur w KSeF w imieniu linii lotniczych z tej grupy (LH, LX, OS, SN) opartego na tokenach. Publikujemy komentarz branżowy dotyczący tej kwestii.
Czym są tokeny?
Token jest narzędziem kryptograficznym generowanym przez podmiot objęty obowiązkiem KSeF (w naszym przypadku: linię lotniczą), które – po przekazaniu innym podmiotom (w naszym przypadku: biurom podróży, agentom IATA) – umożliwia im wykonywanie określonych czynności w KSeF (na przykład: wystawiania faktur w kontekście danej linii lotniczej).
Token jest ciągiem znaków, rodzajem klucza, który jeden podmiot przekazuje innemu, upoważniając go w ten sposób do wykonywania w KSeF czynności określonych w momencie generowania tokenu.
Tokeny są wycofywaną z użycia spuścizną z pierwszej wersji KSeF. Korzystanie z nich będzie możliwe tylko do końca 2026 roku (!)
Konsekwencje korzystania z tokenów
Obecnie, jedynym rozwiązaniem KSeF stosowanym w relacjach: linia lotnicza – agent IATA, jest nadawanie uprawnień (przez linię lotniczą – agentom IATA – do wystawiania faktur w KSeF w imieniu danej linii lotniczej). Jest to standardowe rozwiązanie i jedyne, które będzie funkcjonować po 2026 r. Wprowadzenie przez Lufthansa Group tokenów wymusi przystosowanie systemów informatycznych wykorzystywanych przez agentów IATA do alternatywnej formy komunikacji z KSeF: z użyciem tokenów. Będzie to tymczasowe rozwiązanie, które przestanie działać z końcem roku 2026. Biorąc pod uwagę czas konieczny na dostosowanie systemów informatycznych do tego wymogu, będzie więc funkcjonować przez zaledwie kilka miesięcy.
Koszty przystosowania systemów informatycznych do tego rozwiązania pokryją agenci IATA.
Każda linia z Grupy Lufthansa będzie musiała wygenerować i dostarczyć (w bezpieczny sposób) tokeny wszystkim agentom IATA w Polsce. Proces ten musi się w całości dokonać przed końcem czerwca 2026 r. (bo potem tworzenie nowych tokenów w KSeF nie będzie już możliwe).
Wdrożenie komunikacji z KSeF z użyciem tokenów będzie wymagało oddzielnej (dla każdej linii) konfiguracji we wszystkich systemach mid-office wykorzystywanych przez wszystkich agentów IATA w Polsce.
Po wygaśnięciu tokenów konieczne będzie ponowne nadanie uprawnień wszystkim agentom IATA przez wszystkie linie lotnicze z grupy Lufthansa i kolejna zmiana konfiguracji systemów mid-office.
Zagrożenia
1. Czas
Pomysł z wdrożeniem KSeF za pomocą wychodzących z użycia tokenów opiera się na założeniu, że jest to rozwiązanie tymczasowe – na zaledwie kilka miesięcy, bo IATA – do końca 2026 roku – opracuje, przetestuje i wdroży własne rozwiązanie, które będzie w pełni funkcjonalną, alternatywną bramką KSeF, a wszystkie działające na polskim rynku systemy mid-office się z nią zintegrują.
Naszym zdaniem, to założenie jest nierealne.
Jedynym znanym w branży wdrożeniem alternatywnej bramki KSeF przeznaczonej do sprzedaży agencyjnej, jest rozwiązanie zbudowane przez PKP IC. Prace nad nim – przed uruchomieniem – trwały przez co najmniej półtora roku, a pierwsza specyfikacja techniczna została przesłana biurom i dostawcom mid-office rok przed produkcyjnym uruchomieniem systemu (który, dodajmy, nadal ma sporo błędów i braków). W wypadku rozwiązania, które podobno jest przygotowywane przez IATA (doniesienia mówią o rozszerzeniu funkcjonalności modułu SIS – elementu portalu IATA) żadne specyfikacje nie są jeszcze znane. Nie ma środowiska testowego. Nie istnieje także publicznie dostępny opis planowanej funkcjonalności tego systemu.
Takiego opóźnienia nie da się nadrobić w terminie, a tym bardziej: nie da się dostosować do niego systemów mid-office w tak krótkim czasie. Rozwiązanie, o którym mowa, nie będzie więc automatyczną bramką KSeF umożliwiającą wysyłkę faktur z poziomu systemów mid-office. W najlepszym razie, będzie to internetowy formularz umożliwiający manualne wystawienie faktury w KSeF w imieniu wskazanej linii lotniczej.
2. Nowi (zarejestrowani po 30 czerwca 2026 r.) agenci IATA nie będą mieli możliwości wystawiania faktur w KSeF w imieniu linii z Grupy Lufthansa
Tokeny można tworzyć tylko do końca czerwca 2026 roku. Nowe biura IATA; zarejestrowane po 30 czerwca 2026 roku, nie będą więc mogły wystawiać faktur w imieniu linii z grupy Lufthansa, ponieważ wygenerowanie dla nich tokenów KSeF nie będzie już możliwe.
3. Ryzyko operacyjne niepowodzenia projektu IATA
Rozważmy konsekwencje scenariusza, w którym rozwiązanie KSeF (SIS?) przygotowywane przez IATA dla agentów w Polsce nie ruszy w przewidywanym terminie, lub nie spełni podstawowego wymagania rynku, którym jest automatyczny interfejs z systemami mid-office. Co będzie musiała zrobić Grupa Lufthansa w takim przypadku?
Odpowiedź jest tylko jedna: Lufthansa Group będzie musiała nadać swoim agentom uprawnienia do wystawiania faktur w KSeF w jej imieniu. Czyli zrobić to, co od początku zrobił LOT.
Czemu w ogóle tokeny, skoro wystarczy nadać uprawnienia?
PLL LOT rozwiązał problem faktur wystawianych przez agentów IATA w jego imieniu nadając agentom odpowiednie uprawnienia w KSeF. Zrobił to, ponieważ rozumiał, że tokeny wychodzą z użycia i ponieważ nadawanie uprawnień jest prostsze i bezpieczniejsze niż generowanie i przesyłanie tokenów. Projekt się powiódł: rynek przyjął i wdrożył to rozwiązanie. Na dzień, kiedy pisany jest ten komentarz, wszystkie biura IATA korzystające z eKNF wystawiają faktury w imieniu PLL LOT w oparciu o nadane im uprawnienia.
Grupa Lufthansa stawia jednak na tokeny…
Porównanie obu rozwiązań: uprawnienia w KSeF versus tokeny
| Porównywana cecha lub funkcjonalność | Uprawnienia w KSeF | Tokeny | Która metoda jest lepsza? |
|---|---|---|---|
| Nadawanie uprawnień | Nadawane w aplikacji podatnika KSeF | Tworzone w aplikacji podatnika KSeF | Uprawnienia – bo nie wymagają zapisywania poufnych danych tokenów poza KSeF |
| Możliwość określenia zakresu uprawnień | Można określić zakres uprawnień (np.: tylko wystawianie faktur) oraz wskazać podmiot uprawniony (podając jego NIP) | Można określić zakres uprawnień (np.: tylko wystawianie faktur), lecz nie można wskazać podmiotu uprawnionego. Tokenem może się posłużyć każdy, kto wejdzie w jego posiadanie. | Uprawnienia – bo może z nich skorzystać tylko podmiot uprawniony, uwierzytelniony w KSeF, co jest zgodne z zasadami minimalnych uprawnień obowiązującymi w normach bezpieczeństwa dla systemów informacyjnych (PCI DSS, ISO27001) |
| Przekazywanie uprawnień | Żadna akcja nie jest wymagana. Po nadaniu uprawnień w KSeF podmiot uprawniony może natychmiast zacząć z nich korzystać | Token należy przesłać podmiotowi, który będzie z niego korzystał. Trzeba to zrobić w sposób bezpieczny, ponieważ jeśli trafi w ręce osoby niepowołanej, może zostać użyty w celu wyrządzenia szkody wystawcy | Uprawnienia – bo nie wymagają przesyłania poufnych danych poza KSeF i może z nich skorzystać tylko podmiot uprawniony, co minimalizuje ryzyko dla linii. |
| Konfiguracja w systemach mid-office | Agent IATA oznacza w systemie mid-office daną linię jako “objętą obowiązkiem KSeF” | Agent IATA wprowadza otrzymany token do systemu mid-office i oznacza daną linię jako “objętą obowiązkiem KSeF” | Uprawnienia – bo nie wymagają przechowywania w systemach mid-office tokena, który – w razie kradzieży danych – może zostać wykorzystany w celach przestępczych (np.: do wystawiania fałszywych faktur VAT) |
| Ograniczenia czasowe na nadawanie uprawnień | Bez ograniczeń. Uprawnienia można nadać w dowolnym momencie | Nadanie uprawnień poprzez wygenerowanie tokena będzie możliwe tylko do końca czerwca 2026. Po tym okresie nie będzie możliwe utworzenie nowego tokena w KSeF. Nowe biura IATA, które powstaną po 30 czerwca 2026 roku nie będą miały możliwości wystawiania faktur w imieniu linii lotniczych z grupy Lufthansa, ponieważ nie będzie już można wygenerować dla nich tokenów. | Uprawnienia – bo będzie można je nadawać przed i po 30 czerwca 2026 oraz w kolejnych latach. |
| Trwałość rozwiązania | Bez ograniczeń. Uprawnienia są docelowym rozwiązaniem, które jest i będzie podstawą funkcjonowania KSeF | Do końca 2026 roku. Po tym czasie, dalsze posługiwanie się tokenami będzie niemożliwe i konieczne będzie nadanie uprawnień wszystkim podmiotom, które wcześniej korzystały z tokenów. | Uprawnienia – bo raz nadane będą funkcjonować bez żadnych ograniczeń czasowych i można je będzie nadawać w dowolnym czasie. |
W naszym sześciopunktowym porównaniu nadawanie uprawnień w KSeF wygrywa sześć do zera z rozwiązaniem opartym o Tokeny.
Konkluzje
Naszym zdaniem, Grupa Lufthansa popełnia błąd przygotowując się do wdrożenia KSeF dla swoich agentów w oparciu o tokeny. Jest to niepotrzebne, tymczasowe rozwiązanie, które niesie ze sobą większy nakład pracy, większe koszty dla obu stron, oraz bardzo poważne ryzyko niepowodzenia.
Drodzy Agenci IATA, Kiedy skontaktuje się z Wami przedstawiciel Lufthansa Group z pytaniem o tokeny, podziękujcie serdecznie tę propozycję i poproście – w zamian – o nadanie w KSeF uprawnień na Wasz NIP. Argumenty za takim właśnie rozwiązaniem przedstawiliśmy na tej stronie.
