Od 1 lutego 2026 r. rusza obowiązkowy KSeF. Od tej daty najwięksi podatnicy muszą wystawiać faktury VAT za pomocą tego systemu ale odbiorcy tych faktur również od tej daty powinni mieć dostęp do KSeF. Ministerstwo Finansów wyjaśniło w Podręczniku KSeF 2.0 (Cz. I) na czym polega uwierzytelnienie się w KSeF i jak to zrobić.
rozwiń >
Obowiązkowy KSeF 2026 - harmonogram
Od 1 lutego 2026 r. zasadą stanie się wystawianie faktur wyłącznie w formie faktur ustrukturyzowanych, za pośrednictwem Krajowego Systemu e-Faktur. Jednak - jak wyjaśnia Ministerstwo Finansów, obowiązek wystawiania faktur w KSeF wchodzi stopniowo:
- od 1 lutego 2026 r. dla firm, które w 2024 r. miały sprzedaż powyżej 200 mln zł (z VAT),
- od 1 kwietnia 2026 r. dla pozostałych.
Ale do 31 grudnia 2026 r. można jeszcze wystawiać faktury poza KSeF (papierowe lub elektroniczne), jeśli w danym miesiącu suma sprzedaży z VAT na takich fakturach nie przekroczy 10 000 zł. Jeśli natomiast nastąpiłoby przekroczenie limitu 10 000 zł – wówczas obowiązek wystawiania faktur w KSeF wystąpi począwszy od faktury którą przekroczono limit 10 000 zł.
Natomiast od 1 lutego 2026 r. co do zasady wszyscy podatnicy będą musieli odbierać faktury przy użyciu KSeF, także jeśli nie wystawiają faktur przez ten system, lecz otrzymują je od kontrahentów.
Na konferencji prasowej w dniu 16 stycznia 2026 r. przedstawiciele Ministerstwa Finansów (Marcin Łoboda - wiceminister finansów i szef KAS oraz Zbigniew Stawicki - wiceminister finansów i wiceszef KAS) podkreślili, że KSeF dotyczy wyłącznie przedsiębiorców, a faktury konsumenckie – np. za telefon, prąd czy gaz – będą otrzymywane przed podatników tak jak dotychczas (czyli w formie papierowej, czy mailowej).
Ministerstwo Finansów w „Podręczniku KSeF 2.0” wskazuje, że od 1 lutego 2026 roku:
- nastąpi wdrożenie wersji obligatoryjnej systemu (KSeF 2.0),
- obowiązkowe będzie otrzymywanie faktur w KSeF dla wszystkich podatników (z wyjątkiem podmiotów, którzy otrzymują faktury w sposób uzgodniony),
- obowiązywać zacznie struktura logiczna FA(3),
- pojawi się możliwość wystawiania i przesyłania do KSeF faktur z załącznikiem (po uprzednim zgłoszeniu tego zamiaru w eUrzędzie Skarbowym),
- pojawi się możliwość wykorzystywania certyfikatów KSeF do uwierzytelniania w systemie (certyfikat typu 1) oraz do wystawiania faktur w trybie OFFLINE (certyfikat typu 2).
Uwierzytelnienie (logowanie) w KSeF
Ministerstwo Finansów wyjaśnia, że aby korzystać z Krajowego Systemu e-Faktur użytkownik nie musi zakładać konta w tym systemie. Korzystanie z KSeF wymaga jednak:
- weryfikacji posiadanych uprawnień oraz
- uwierzytelnienia się w systemie.
Uwierzytelnienie to potwierdzenie tożsamości danej osoby fizycznej lub podmiotu próbującego uzyskać dostęp do systemu. Dzięki wymogowi uwierzytelnienia wykonywane w KSeF działania nie są anonimowe, a sprzedawca i nabywca mają pewność, że faktury są wystawiane wyłącznie przez osoby lub podmioty do tego uprawnione.
Uwierzytelnienie podmiotów korzystających z KSeF wymaga użycia jednej z poniższych metod, określonych w rozporządzeniu w sprawie korzystania z KSeF:
1) Podpisu Zaufanego, a od 1 kwietnia 2026 r. środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego identyfikacji elektronicznej, o którym mowa w art. 21a ust. 1 pkt 2 lit. a ustawy o usługach zaufania oraz identyfikacji elektronicznej20 (tzw. Węzeł krajowy – SSO), albo
2) danych weryfikowanych za pomocą kwalifikowanego podpisu elektronicznego, jeżeli te dane pozwalają na identyfikację i uwierzytelnienie wymagane w celu realizacji usługi online, albo
3) danych weryfikowanych za pomocą kwalifikowanej pieczęci elektronicznej, jeżeli te dane pozwalają na identyfikację i uwierzytelnienie wymagane w celu realizacji usługi online, albo
4) certyfikatu KSeF wytworzonego po uwierzytelnieniu się podatnika lub podmiotu uprawnionego w sposób, o którym mowa wyżej,
– oraz weryfikacji posiadanych uprawnień.
Ministerstwo Finansów informuje, że do końca 2026 r. do uwierzytelniania się KSeF będzie można wykorzystać tzw. token tj. wygenerowany w systemie ciąg znaków alfanumerycznych (z wyłączeniem znaków interpunkcyjnych), przypisany do podatnika lub podmiotu uprawnionego i jego uprawnień.
Co bardzo ważne – konkretna metoda uwierzytelnienia w KSeF zależy od formy prawnej podmiotu korzystającego z KSeF.
Osoby fizyczne mogą uwierzytelnić się w KSeF za pomocą:
1) Podpisu Zaufanego, a od 1 kwietnia 2026 r. przy użyciu Węzła krajowego (SSO),
2) kwalifikowanego podpisu elektronicznego,
3) tokena (metoda dostępna do końca 2026 r.),
4) certyfikatu KSeF.
Natomiast podmioty niebędące osobą fizyczną (np. spółki z o.o.) mogą uwierzytelnić się w KSeF za pomocą:
1) kwalifikowanej pieczęci elektronicznej,
2) tokena (metoda dostępna do końca 2026 r.),
3) certyfikatu KSeF.
Jak wyjaśnia Ministerstwo Finansów, szczególnym przypadkiem jest uwierzytelnienie się w KSeF osoby fizycznej w kontekście podmiotu niebędącego osobą fizyczną (np. osoba fizyczna uprawniona przez spółkę z.o.o. uwierzytelnia się w kontekście tej spółki). Taka osoba fizyczna wykorzystuje metody uwierzytelnienia dedykowane osobom fizycznym (tj. Podpis Zaufany/Węzeł krajowy, kwalifikowany podpis elektroniczny, token, certyfikat KSeF).
Kontekst uwierzytelnienia (logowania)
Ministerstwo Finansów zwraca uwagę, że każde nawiązanie sesji w KSeF odbywa się w określonym kontekście logowania. Chodzi o to, że podczas uwierzytelnienia w KSeF należy zadeklarować identyfikator w imieniu, którego uwierzytelniony użytkownik będzie wykonywał działania w KSeF. A więc kontekst uwierzytelnienia to identyfikator podmiotu, wskazywany na etapie uwierzytelnienia w KSeF. W imieniu tego podmiotu wykonywane są określone działania w tym systemie.
Kontekstem uwierzytelnienia może być w szczególności:
- identyfikator podatkowy NIP podmiotu (np. NIP jednoosobowej działalności gospodarczej, spółki, JST, GV),
- unikalny identyfikator zakładu (oddziału) osoby prawnej lub innej wyodrębnionej jednostki wewnętrznej podatnika (tzw. identyfikator wewnętrzny/IDWew),
- identyfikator złożony NIP-VAT UE (w przypadku samofakturowania z podmiotem z UE),
- identyfikator brokera Peppol.
Po uwierzytelnieniu (zalogowaniu się) w KSeF w kontekście danego podmiotu aktywne stają się uprawnienia właściwe dla danego kontekstu logowania. Uwierzytelniona osoba lub podmiot może posiadać różne uprawnienia w ramach różnych kontekstów. Jeżeli podczas logowania zostanie wskazany określony identyfikator podmiotu np. NIP (kontekst), w ramach którego użytkownik nie posiada żadnych uprawnień, wówczas nie będzie on mógł uwierzytelnić się w systemie w kontekście tego podmiotu.
Dalszy ciąg materiału pod wideo
Przykładowo, w sytuacji, gdy w KSeF uwierzytelnia się:
1) osoba fizyczna lub podmiot, którzy będą wykonywali działania w systemie w swoim imieniu – jako kontekst uwierzytelnienia podają swój identyfikator podatkowy NIP (np. osoba prowadząca jednoosobową działalność gospodarczą lub spółka posługująca się pieczęcią kwalifikowana),
2) osoba fizyczna, która będzie wykonywała działania w systemie w imieniu innego podmiotu (jako np. pracownik, czy księgowa), jako kontekst uwierzytelnienia podaje identyfikator podatkowy NIP tego podmiotu (np. osoba fizyczna uwierzytelniająca się w systemie w imieniu spółki poda NIP spółki jako kontekst uwierzytelnienia),
3) nabywca (podatnik VAT czynny) wystawiający faktury w ramach samofakturowania - jako kontekst uwierzytelnienia podaje swój identyfikator podatkowy NIP (również, gdy fakturę wystawiać będzie osoba lub podmiot uprawniony przez tego nabywcę),
4) przedstawiciel podatkowy – jako kontekst uwierzytelnienia podaje swój identyfikator podatkowy NIP, również, gdy fakturę wystawiać będzie np. osoba uprawniona przez tego przedstawiciela podatkowego,
5) komornik sądowy lub organ egzekucyjny - jako kontekst uwierzytelnienia podaje swój identyfikator podatkowy NIP, również, gdy fakturę wystawiać będzie np. osoba uprawniona przez tego komornika lub przez ten organ egzekucyjny,
6) osoba fizyczna, która będzie wykonywała działania w systemie w imieniu członka Grupy Vat (GV) - jako kontekst uwierzytelnienia podaje identyfikator podatkowy NIP członka GV,
7) osoba fizyczna, która będzie wykonywała działania w systemie w imieniu jednostki podrzędnej jednostki samorządu terytorialnego (JST) - jako kontekst uwierzytelnienia podaje identyfikator podatkowy NIP jednostki podrzędnej JST,
8) osoba fizyczna, która będzie wykonywała działania w systemie w imieniu jednostki wewnętrznej podatnika - jako kontekst uwierzytelnienia podaje identyfikator wewnętrzny danej jednostki.
Ministerstwo Finansów dla zobrazowania kwestii kontekstu uwierzytelnienia przedstawia problem na kilku typowych przykładach:
Przykład 1. Metody oraz kontekst uwierzytelnienia w przypadku jednoosobowej działalności gospodarczej
Jan Kowalski (NIP 9999999999, PESEL 11111111116)) prowadzi jednoosobową działalność gospodarczą. Faktury w KSeF wystawia samodzielnie. Jan Kowalski posiada kwalifikowany podpis elektroniczny z identyfikatorem podatkowym NIP. Posiada także Podpis Zaufany. Chcąc uwierzytelnić się w KSeF w celu wystawienia faktury, w której jest sprzedawcą, Jan Kowalski powinien uwierzytelnić się w systemie w kontekście swojego NIP 9999999999. Podczas uwierzytelnienia w KSeF może użyć swojego podpisu kwalifikowanego z NIP lub Podpisu Zaufanego z PESEL.
Przykład 2. Metody uwierzytelnienia oraz kontekst uwierzytelnienia w przypadku jednoosobowej działalności gospodarczej
Jan Kowalski (NIP 9999999999) prowadzi jednoosobową działalność gospodarczą. Faktury w KSeF w jego imieniu wystawia pracownik Anna Nowak (PESEL 11111111116), która posiada kwalifikowany podpis elektroniczny z identyfikatorem podatkowym PESEL. Chcąc uwierzytelnić się w KSeF w celu wystawienia faktury w imieniu jednoosobowej działalności, Anna Nowak powinna uwierzytelnić się w systemie w kontekście NIP 9999999999. Podczas uwierzytelnienia w KSeF może użyć swojego podpisu kwalifikowanego z numerem PESEL 11111111116.
Przykład 3. Metody uwierzytelnienia oraz kontekst uwierzytelnienia w przypadku podmiotu niebędącego osobą fizyczną
Spółka jawna X (NIP 9999999999) posiada kwalifikowaną pieczęć elektroniczną. Pieczęcią kwalifikowaną w celu wystawiania faktur, dostępu do faktur, nadawania uprawnień i odbierania uprawnień w imieniu spółki posługują się wyłącznie wyznaczeni pracownicy spółki. Podczas uwierzytelnienia się w systemie pieczęcią kwalifikowaną spółki, pracownicy powinni podać jako kontekst uwierzytelnienia NIP spółki (9999999999).
Przykład 4. Metody uwierzytelnienia oraz kontekst uwierzytelnienia w przypadku podmiotu niebędącego osobą fizyczną
Księgowej Annie Nowak (NIP 1111111111), posiadającej podpis kwalifikowany z identyfikatorem podatkowym NIP, zostały nadane w KSeF przez:
1) spółkę jawną X (NIP 9999999999) - uprawnienia do wystawiania faktur i do dostępu do faktur,
2) spółkę z o.o. Y (NIP 8888888888) - uprawnienia do nadawania i odbierania uprawnień,
3) spółkę cywilną Z (NIP 7777777777) - uprawnienia do wystawiania faktur i do dostępu do faktur, uprawnienia do nadawania i odbierania uprawnień.
Księgowa Anna Nowak chcąc uwierzytelnić się w KSeF:
1) w celu wystawiania faktur i dostępu do faktur spółki jawnej X – powinna uwierzytelnić się w KSeF w kontekście NIP spółki jawnej X (NIP 9999999999),
2) w celu nadawania i odbierania uprawnień w imieniu spółki z o.o. Y – powinna uwierzytelnić się w KSeF w kontekście spółki z o.o. Y (NIP 8888888888),
3) w celu wystawiania faktur i dostępu do faktur spółki cywilnej Z oraz nadawania i odbierania uprawnień w jej imieniu – powinna uwierzytelnić się w KSeF w kontekście spółki cywilnej Z (NIP 7777777777).
Podczas uwierzytelnienia w KSeF w kontekście spółek X, Y, Z księgowa Anna Nowak może użyć swojego podpisu kwalifikowanego.
Przykład 5. Metody uwierzytelnienia oraz kontekst uwierzytelnienia w przypadku samofakturowania.
Spółka cywilna X (NIP 9999999999) dokonuje sprzedaży na rzecz osoby fizycznej Y prowadzącej jednoosobową działalność gospodarczą (NIP 3333333333). Strony mają zawartą umowę o samofakturowaniu. Spółka X w związku z tym nadała podatnikowi Y uprawnienie w KSeF do samofakturowania. Podatnik Y uwierzytelniając się w KSeF np. własnym podpisem kwalifikowanym, w celu wystawiania faktur w ramach samofakturowania powinien podać jako kontekst uwierzytelnienia własny NIP (3333333333).
Przykład 6. Metody uwierzytelnienia oraz kontekst uwierzytelnienia w przypadku samofakturowania z podmiotem UE.
Podatnik podatku od wartości dodanej (spółka niemiecka – posiadająca numer VAT UE DE271569167) otrzymał od polskiego podatnika (NIP 9999999999) uprawnienie do samofakturowania jako podmiot unijny, na dane unikalne powiązane z certyfikatem kwalifikowanej pieczęci elektronicznej wydanej na terytorium Niemiec, która nie zawiera identyfikatora podatkowego NIP. Spółka niemiecka uwierzytelniając się w KSeF celem wystawienia faktury w ramach samofakturowania wskaże kontekst uwierzytelnienia w postaci identyfikatora złożonego 9999999999-DE271569167 oraz użyje zagranicznej pieczęci kwalifikowanej.
Przykład 7. Metody uwierzytelnienia oraz kontekst uwierzytelnienia w przypadku jednostek wewnętrznych.
Spółka z o.o. (NIP 9999999999) po uwierzytelnieniu się w systemie wygenerowała identyfikator wewnętrzny tzw. IDWew (9999999999-11118) dla oddziału spółki. Wyznaczyła następnie osobę fizyczną (PESEL 11111111116), która będzie wykonywała działania w systemie w imieniu oddziału spółki (tj. administratora jednostki wewnętrznej). Administrator jednostki wewnętrznej chce nadać uprawnienia do wystawania faktur oraz do dostępu do faktur pracownikowi oddziału spółki (w ramach jednostki wewnętrznej). W związku z tym administrator uwierzytelnia się w KSeF swoim Podpisem Zaufanym w kontekście identyfikatora wewnętrznego 9999999999-11118.
Podpis Zaufany i Węzeł krajowy (login.gov)
Podpis Zaufany to środek identyfikacji elektronicznej. Jest to bezpłatne narzędzie służące do potwierdzania tożsamości w systemach elektronicznych administracji oraz podpisywania dokumentów. Wykorzystywany jest do kontaktów z administracją publiczną (urzędami, ministerstwami).
Podpis Zaufany może założyć każdy, kto posiada numer PESEL oraz pełną bądź ograniczoną zdolność do czynności prawnych. Profil Zaufany jest ważny przez 3 lata. Istnieje możliwość przedłużenia jego ważności.
Nie wolno udostępniać nikomu swojego podpisu (analogicznie jak nie przekazuje się nikomu swojego dowodu osobistego ani danych do logowania w bankowości elektronicznej).
Kompendium wiedzy na temat Podpisu Zaufanego jest dostępne na stronie: https://www.biznes.gov.pl/pl/portal/0074.
Od 1 kwietnia 2026 r. w KSeF zapewniona zostanie możliwość uwierzytelnienia się za pomocą Węzła krajowego (login.gov). W ramach Węzła krajowego dostępne będą następujące metody uwierzytelnienia:
1) Podpis Zaufany,
2) Aplikacja mObywatel,
3) Logowanie za pomocą bankowości elektronicznej,
4) E-Dowód.
Rozwiązanie to będzie wykorzystywane w bezpłatnych narzędziach do e-fakturowania, udostępnianych przez MF.
Uwierzytelnienie Węzłem krajowym możliwe będzie między innymi w Aplikacji Podatnika KSeF.
Kwalifikowany podpis elektroniczny
Jedną z metod uwierzytelnienia się w systemie dedykowaną dla osób fizycznych jest kwalifikowany podpis elektroniczny. Podpis kwalifikowany to podpis elektroniczny, który ma taką samą moc prawną jak własnoręczny podpis. Jest poświadczony certyfikatem kwalifikowanym, który pozwala na weryfikację tożsamości osoby posługującej się tym podpisem.
Podpisu kwalifikowanego może używać wyłącznie osoba fizyczna, do której certyfikat jest przyporządkowany. Nie wolno udostępniać narzędzia do składania podpisu (karty kryptograficznej) osobom trzecim.
Komplet informacji na temat funkcjonalności podpisu kwalifikowanego oraz zasad jego uzyskania można znaleźć pod adresem: https://www.biznes.gov.pl/pl/portal/0075.
Co istotne, KSeF akceptuje uwierzytelnienie podpisem kwalifikowanym, który posiada identyfikator podatkowy NIP lub PESEL jak również podpisem kwalifikowanym, który nie posiada identyfikatora podatkowego NIP ani numeru PESEL.
Ministerstwo Finansów wyjaśnia, że w przypadku kwalifikowanych podpisów zawierających identyfikator podatkowy NIP lub PESEL, którymi posługuje się podatnik (np. jednoosobowa działalność gospodarcza) lub osoba uprawniona przez podatnika (np. osoba fizyczna, której spółka nadała uprawnienia w KSeF) nie są wymagane żadne dodatkowe formalności, aby uwierzytelnienie w systemie takim podpisem było skuteczne.
Przy czym na rynku funkcjonują także certyfikaty kwalifikowane, które nie zawierają identyfikatora podatkowego NIP ani PESEL. Zdaniem MF, nie wyklucza to jednak uwierzytelnienia w KSeF i weryfikacji posiadanych uprawnień po użyciu podpisu weryfikowanego takim certyfikatem. W zależności jednak od przypadku należy wówczas:
1) zgłosić dane unikalne powiązane z certyfikatem kwalifikowanego podpisu elektronicznego, należącego do podatnika (osoby fizycznej) – w zawiadomieniu ZAW[1]FA,
2) zgłosić dane unikalne powiązane z certyfikatem kwalifikowanego podpisu elektronicznego, należącego do osoby fizycznej (wskazanej w cz. C zawiadomienia ZAW-FA) uprawnionej przez podatnika lub podmiotu niebędącego osobą fizyczną – w zawiadomieniu ZAW-FA,
3) zgłosić dane unikalne powiązane z certyfikatem kwalifikowanego podpisu elektronicznego, należącego do osoby fizycznej uprawnionej przez podatnika– w sposób elektroniczny, przy użyciu narzędzi komercyjnych zintegrowanych z API KSeF 2.0 lub przy użyciu Aplikacji Podatnika KSeF.
Dane unikalne powiązane z certyfikatem kwalifikowanego podpisu elektronicznego (zwane również „odciskiem palca podpisu”) to unikalny, cyfrowy identyfikator, wyznaczany z danego certyfikatu, po zastosowaniu funkcji skrótu kryptograficznego opartej na algorytmie SHA-256. Składa się z 64 znaków z przedziału od „0” do „9” oraz od „a” do „f”.
Po wprowadzeniu przez urzędnika danych z zawiadomienia ZAW-FA do systemu, a w przypadku zgłoszenia danych unikalnych podpisu elektronicznie (po przetworzeniu ich w systemie), możliwe będzie uwierzytelnienie się w KSeF przy użyciu podpisu niezawierającego identyfikatora podatkowego NIP ani numeru PESEL.
Przykład. Zgłoszenie danych unikalnych powiązanych z certyfikatem kwalifikowanego podpisu elektronicznego.
Spółka z siedzibą we Francji jest zarejestrowana jako podatnik VAT czynny w związku z dokonywaną na terytorium Polski sprzedażą. Spółka nie posiada w Polsce siedziby, ale posiada stałe miejsce prowadzenia działalności gospodarczej, które uczestniczy w dostawach towarów i świadczeniu usług, dla których wystawiane są faktury. Tym samym podlega obowiązkowi wystawiania faktur w KSeF i musi uwierzytelnić się w związku z tym w systemie. W imieniu spółki w KSeF działać będzie (tj. wystawiać faktury, mieć do nich dostęp, nadawać i odbierać uprawnienia) osoba fizyczna – księgowa (obywatelka Francji), która nie posiada identyfikatora podatkowego NIP ani PESEL. Posiada kwalifikowany podpis elektroniczny wydany na terytorium Francji, który także nie zawiera identyfikatora podatkowego NIP ani PESEL. Spółka nie posiada kwalifikowanej pieczęci elektronicznej. Spółka w celu umożliwienia księgowej uwierzytelnienia w KSeF oraz korzystania z KSeF w kontekście spółki, może złożyć zawiadomienie ZAW-FA, wskazując w szczególności w cz. C dane osoby fizycznej (księgowej) uprawnionej do korzystania z KSeF oraz dane unikalne powiązane z certyfikatem kwalifikowanym jej podpisu elektronicznego w cz. D.
Kwalifikowana pieczęć elektroniczna
Jedną z metod uwierzytelnienia się w KSeF, przeznaczoną dla podmiotów niebędących osobami fizycznymi jest kwalifikowana pieczęć elektroniczna. Pieczęć kwalifikowana to odpowiednik podpisu elektronicznego, ale reprezentujący organizację. Można go porównać do pieczątki firmowej, zawierającej dane przedsiębiorstwa, z tą różnicą jednak, że pieczęć elektroniczna ma postać cyfrową.
Kwalifikowana pieczęć elektroniczna używana w KSeF powinna zawierać identyfikator w postaci NIP podatnika. Ministerstwo wskazuje, że w momencie posługiwania się pieczęcią kwalifikowaną przez danego pracownika firmy np. w przypadku wystawienia faktury, w KSeF znajdą się dane właściciela pieczęci, czyli np. spółki, a nie konkretnej osoby, która tej pieczęci używa.
Podobnie jak ma to miejsce w przypadku kwalifikowanych certyfikatów podpisów elektronicznych bez atrybutu NIP i bez numeru PESEL, na rynku występują także kwalifikowane certyfikaty pieczęci elektronicznej niezawierające numeru identyfikacji podatkowej (NIP). Zdaniem Ministerstwa Finansów nie wyklucza to jednak uwierzytelnienia w KSeF i weryfikacji posiadanych uprawnień w związku z użyciem takiej pieczęci.
W zależności jednak od przypadku należy wówczas:
- zgłosić dane unikalne powiązane z certyfikatem kwalifikowanej pieczęci elektronicznej, należącej do podatnika (niebędącego osobą fizyczną) – w zawiadomieniu ZAW-FA,
- zgłosić dane unikalne powiązane z certyfikatem kwalifikowanej pieczęci elektronicznej, należącej do podmiotu uprawnionego przez podatnika – w sposób elektroniczny, przy użyciu narzędzi komercyjnych zintegrowanych z API KSeF2.0 lub przy użyciu Aplikacji Podatnika KSeF.
Dane unikalne powiązane z certyfikatem kwalifikowanej pieczęci elektronicznej (zwane również „odciskiem palca pieczęci”) to unikalny, cyfrowy identyfikator, wyznaczany z danego certyfikatu, po zastosowaniu funkcji skrótu kryptograficznego opartej na algorytmie SHA-256. Składa się z 64 znaków z przedziału od „0” do „9” oraz od „a” do „f”.
Po wprowadzeniu przez urzędnika danych z zawiadomienia ZAW-FA do systemu, a w przypadku zgłoszenia danych unikalnych pieczęci elektronicznej w sposób elektroniczny, po przetworzeniu ich w systemie, możliwe będzie uwierzytelnienie się w KSeF przy użyciu pieczęci niezawierającej identyfikatora podatkowego NIP.
Przykład 9. Zgłoszenie danych unikalnych powiązanych z certyfikatem kwalifikowanej pieczęci elektronicznej
Spółka niemiecka jest zarejestrowana w Polsce jako podatnik VAT czynny w związku z dokonywaną na terytorium kraju sprzedażą. Spółka nie posiada w Polsce siedziby ani stałego miejsca prowadzenia działalności gospodarczej, w związku z czym nie jest zobowiązana do wystawiania faktur w KSeF. Spółka chce jednak wystawiać faktury w KSeF dobrowolnie, w związku z czym potrzebuje uwierzytelnić się w systemie. Posiada kwalifikowaną pieczęć elektroniczną, wydaną na terytorium Niemiec, która nie zawiera polskiego identyfikatora podatkowego NIP spółki. Spółka w celu uwierzytelnienia się w KSeF kwalifikowaną pieczęcią elektroniczną oraz korzystania z KSeF, może złożyć zawiadomienie ZAW-FA, wskazując w szczególności w cz. B swoje dane jako podatnika oraz dane unikalne powiązane z certyfikatem kwalifikowanej pieczęci elektronicznej w cz. D. Nie wypełnia w tym przypadku cz. B zawiadomienia.
Certyfikat KSeF - dwa typy
Ministerstwo Finansów informuje, że certyfikat KSeF to cyfrowe narzędzie kryptograficzne potwierdzające tożsamość osoby lub podmiotu, które jest wydawane przez Centrum Certyfikacji Ministerstwa Finansów. Posiadanie takiego certyfikatu pozwoli na bezpieczne, wydajne i zautomatyzowane korzystanie z KSeF.
Uwierzytelnienie certyfikatem KSeF lub wykorzystanie certyfikatu KSeF podczas wystawiania faktur w trybie OFFLINE będzie możliwe od 1 lutego 2026 r.
Certyfikat będzie można wykorzystywać w narzędziach komercyjnych do wystawiania e Faktur, zintegrowanych z API KSeF 2.0.
Nie będzie natomiast możliwości uwierzytelnienia się certyfikatem w bezpłatnych narzędziach MF np. w Aplikacji Podatnika KSeF.
Będą funkcjonowały dwa typy certyfikatów KSeF:
1) Certyfikat KSeF typu 1 - przeznaczony będzie do uwierzytelniania się w systemie KSeF (jako jedna z dopuszczalnych metod). Po uwierzytelnieniu się osoba lub podmiot będą mogli wykonywać działania w systemie zgodnie z przypisanymi im w KSeF uprawnieniami. Uwierzytelnienie certyfikatem KSeF będzie możliwe zarówno w sesji interaktywnej jak również w sesji wsadowej. Po zalogowaniu się certyfikatem KSeF będą brane pod uwagę uprawnienia powiązane z identyfikatorem podatkowym (NIP, PESEL) zapisanym na tym certyfikacie. System będzie również uwzględniał powiązanie identyfikatorów NIP i PESEL. Oznacza to, że osoba fizyczna lub podmiot uwierzytelniony certyfikatem KSeF będą mogli działać w systemie w obrębie uprawnień nadanych na oba ww. identyfikatory podatkowe (niezależnie, na który identyfikator był wygenerowany certyfikat).
2) Certyfikat KSeF typu 2 wymagany jest do oznaczenia faktury kodem umożliwiającym potwierdzenie tożsamości wystawcy przy wystawianiu faktur w trybie OFFLINE (tj. w trybie offline24, offline-niedostępność systemu, trybie awarii KSeF). Potwierdzenie tożsamości wystawcy należy rozumieć tu jako:
- potwierdzenie tożsamości osoby, jeśli był on wydany na osobę fizyczną lub
- identyfikację konkretnego podmiotu np. spółki, jeśli był on wydany na podmiot inny niż osoba fizyczna.
Jak wyjaśnia MF - certyfikaty KSeF typu 2 zapewnią więc ciągłość procesu fakturowania niezależnie od okoliczności zewnętrznych, z uwagi na ich wykorzystanie w przypadku faktur wystawianych OFFLINE.
Ministerstwo informuje, że certyfikaty KSeF obu typów będą generowane osobno. Nie będzie możliwe wygenerowanie jednego certyfikatu KSeF obejmującego jednocześnie dwa zastosowania.
Dla ułatwienia rozróżnienia, certyfikaty obu typów będą miały w atrybucie CN (commonName) dopisek „uwierzytelnianie” lub „offline”, zależnie od ich zastosowania.
Jak uzyskać certyfikat KSeF w Module Certyfikatów i Uprawnień Centrum Certyfikacji Ministerstwa Finansów
Podatnicy i osoby lub podmioty przez nich uprawnione mogą występować o wydanie certyfikatu KSeF od 1 listopada 2025 r. Aby uzyskać certyfikat KSeF należy złożyć wniosek za pośrednictwem Modułu Certyfikatów i Uprawnień (MCU), który został udostępniony w domenie KSeF. Ministerstwo Finansów przygotowało Podręcznik użytkownika Modułu Certyfikatów i Uprawnień. MCU możliwia oczywiście również nadawanie uprawnień użytkownikom systemu KSeF 2.0 (obowiązkowego) wdrażanego od 1 lutego 2026 r.
Funkcjonalności MCU są dostępne wyłącznie z poziomu przeglądarki, nie są dostępne z poziomu API.
O certyfikat KSeF bez dodatkowych warunków mogą wystąpić:
- osoby fizyczne zgłoszone w zawiadomieniu ZAW-FA,
- osoby fizyczne posiadające uprawnienia właścicielskie,
- podatnicy niebędący osobą fizyczną posiadający uprawnienia właścicielskie, posługujący się pieczęcią elektroniczną do uwierzytelnienia w KSeF.
Konieczność ponownego nadania uprawnień w module MCU wystąpi w przypadku:
- osoby fizycznej, która nie została uprawniona na podstawie ZAW-FA w KSeF 1.0 do 31 października 2025 r.
- podmiotu, który otrzymał uprawnienia do KSeF do 31 października 2025 r.
Po ponownym nadaniu uprawnień w module MCU osoba fizyczna lub podmiot będą mogli wystąpić o certyfikat KSeF a następnie go pobrać.
Aby wystąpić o wydanie certyfikatu trzeba będzie uwierzytelnić się w KSeF jako podatnik lub osoba uprawniona np. za pomocą Podpisu zaufanego lub kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej.
Generowanie certyfikatów w MCU jest rozwiązaniem tymczasowym przewidzianym na okres od listopada 2025 r. do końca stycznia 2026 r. Od lutego 2026 r. funkcjonalność będzie dostępna w KSeF 2.0 oraz w Aplikacji Podatnika KSeF 2.0. Uprawnienia nadane w MCU zostaną przeniesione do KSeF 2.0, a więc i do Aplikacji Podatnika KSeF 2.0.
Okres ważności certyfikatu KSeF
Certyfikat KSeF będzie ważny nie dłużej niż 2 lata od:
• daty podanej we wniosku o wydanie certyfikatu KSeF lub
• od daty wydania certyfikatu KSeF (obsłużenia wniosku o wydanie certyfikatu KSeF), jeśli we wniosku nie podano daty początkowej, od której ma być on ważny.
Ministerstwo Finansów radzi, że warto zadbać o wprowadzenie odpowiednich procedur zarządzania certyfikatami w firmie. Należy również pamiętać o kontroli upływu terminów ważności certyfikatów KSeF i wnioskowaniu o kolejny certyfikat przed utratą ważności poprzedniego.
Przykład. Określenie daty ważności certyfikatu KSeF (we wniosku wskazano datę początkową)
Podatnik 10 listopada 2025 r. występuje o wydanie certyfikatu KSeF (typu 1). Składa w tym celu wniosek, w którym wskazuje, że datą początkową, od której ma być ważny certyfikat jest 1 lutego 2026 r. Wydanie certyfikatu nastąpiło 10 listopada 2025 r. W związku ze wskazaniem przez podatnika we wniosku daty początkowej, od której ma być ważny certyfikat KSeF, okres 2 lat będzie liczony od dnia 1 lutego 2026 r. , a nie od daty jego wydania (10 listopada 2025 r.).
Przykład. Określenie daty ważności certyfikatu KSeF (we wniosku nie wskazano daty początkowej)
Podatnik 31 marca 2026 r. występuje o wydanie certyfikatu KSeF (typu 2). Składa w tym celu wniosek, w którym nie wskazuje daty początkowej, od której ma być ważny certyfikat. Obsłużenie wniosku nastąpiło 1 kwietnia 2026 r. W związku z brakiem wskazania przez podatnika we wniosku daty początkowej, od której ma być ważny certyfikat KSeF, okres 2 lat będzie liczony od daty wydania certyfikatu KSeF, czyli od 1 kwietnia 2026 r.
Przykład. Określenie daty ważności certyfikatu KSeF (we wniosku nie wskazano daty początkowej)
Podatnik 15 lutego 2026 r. występuje o wydanie certyfikatu KSeF (typu 1). Składa w tym celu wniosek, w którym wskazuje, że datą początkową, od której ma być ważny certyfikat jest 1 marca 2026 r. Wydanie certyfikatu nastąpiło 15 lutego 2026 r. W związku ze wskazaniem przez podatnika we wniosku daty początkowej, od której ma być ważny certyfikat KSeF, okres 2 lat będzie liczony od dnia 1 marca 2026 r. , a nie od daty jego wydania (15 lutego 2026 r.). Warto przy tym zaznaczyć, że takiego certyfikatu nie da się użyć przed datą początku jego ważności, tzn. uwierzytelnienie się nim nie będzie możliwe przed datą i godziną wskazaną jako początek okresu ważności. W kolejnym dniu, 16 lutego 2026 r. podatnik występuje o wydanie certyfikatu KSeF (typu 2). Składa w tym celu wniosek, w którym nie wskazuje daty początkowej. Wydanie certyfikatu nastąpiło 16 lutego 2026 r. W związku z brakiem wskazania przez podatnika we wniosku daty początkowej, od której ma być ważny certyfikat KSeF, okres 2 lat będzie liczony od daty jego wydania tj. dnia 16 listopada 2026 r.
Certyfikat dla osoby fizycznej lub podmiotu
Certyfikat KSeF może być wydany:
- osobie fizycznej identyfikowanej po numerze NIP (np. jednoosobowa działalność gospodarcza) lub po numerze PESEL (np. pracownikowi firmy, pod warunkiem, że będzie posiadała jakiekolwiek uprawnienie do korzystania z KSeF).
- podmiotowi niebędącemu osobą fizyczną posiadającemu NIP np. spółce z o.o., po uwierzytelnieniu się za pomocą pieczęci kwalifikowanej.
Sposób zarządzania certyfikatami w firmie może być kształtowany dowolnie w zależności od potrzeb danej organizacji. Przykładowo, spółka po uwierzytelnieniu w KSeF pieczęcią kwalifikowaną na NIP spółki, będzie mogła zawnioskować, a następnie pobrać wiele certyfikatów wydanych na dane spółki (z uwzględnieniem funkcjonujących limitów dot. ilości możliwych do wygenerowania certyfikatów KSeF), po czym udostępnić je swoim pracownikom. W tej sytuacji, gdy fakturę wystawi osoba fizyczna posługująca się certyfikatem KSeF z identyfikatorem podatkowym NIP spółki (wydanym na spółkę), w KSeF widoczne będą wyłącznie dane spółki, a nie konkretnej osoby fizycznej, która fizycznie wystawiła tę fakturę.
Jeżeli natomiast certyfikaty zostaną wydane pracownikom spółki (na ich PESEL), to gdy fakturę wystawi osoba uwierzytelniona takim certyfikatem, w KSeF widoczne będą dane tej osoby fizycznej, która wystawiała tę fakturę, działając w imieniu spółki.
W przypadku osoby/podmiotu posiadającego kwalifikowany podpis/kwalifikowaną pieczęć elektroniczną bez identyfikatora NIP i PESEL, certyfikat może być wydany na tzw. dane unikalne powiązane z certyfikatem (tzw. odcisk palca podpisu) użytym do uwierzytelnienia.
Bezpieczeństwo posługiwania się certyfikatami KSeF
Certyfikaty KSeF są rodzajem elektronicznych poświadczeń tożsamości posiadacza, podobnie jak certyfikaty kwalifikowane. Zawierają one dane osobowe wnioskującego lub dane podmiotu. Z tego względu o certyfikat zawierający dane osoby fizycznej może wnioskować wyłącznie ta osoba. I tylko ta osoba może go pobrać, a następnie się nim posługiwać.
Ministerstwo Finansów podkreśla, że niedopuszczalne jest udostępnienie certyfikatu KSeF wydanego na daną osobę fizyczną, innej osobie fizycznej. Niedozwolone jest posłużenie się przez osobę fizyczną, certyfikatem KSeF należącym do innej osoby fizycznej.
Certyfikaty wydane na dane podmiotu np. spółki, nie są one powiązane z konkretnymi osobami - zatem odpowiedzialność za ich przekazywanie konkretnym pracownikom i posługiwanie się nimi przy pracy w KSeF leży po stronie podmiotu. W takim przypadku organizacja powinna zadbać o właściwą rejestrację i rozliczalność operacji pobierania, przekazywania, wykorzystywania i unieważniania tych certyfikatów.
Limity dotyczące certyfikatów KSeF
Każdy uwierzytelniony użytkownik ma możliwość wygenerowania:
1) w przypadku osoby fizycznej, która posługuje się identyfikatorem podatkowym PESEL - maksymalnie 2 aktywnych certyfikatów KSeF oraz 2 nowych do użycia dopiero po wygaśnięciu obecnego certyfikatu,
2) w przypadku osoby fizycznej, która posługuje się identyfikatorem podatkowym NIP - maksymalnie 100 certyfikatów wydanych na podstawie danych kwalifikowanego certyfikatu podpisu oraz 100 nowych do użycia dopiero po wygaśnięciu aktualnych,
3) w przypadku podmiotu niebędącego osobą fizyczną (identyfikator NIP) - co najwyżej 100 certyfikatów wydanych na podstawie danych kwalifikowanego certyfikatu pieczęci oraz 100 nowych do użycia dopiero po wygaśnięciu aktualnych,
4) w przypadku podmiotu, który uwierzytelnia się za pomocą certyfikatu, który nie posiada identyfikatora NIP/PESEL (zgłoszony tzw. dane unikalne powiązane z certyfikatem) - co najwyżej 2 aktywne oraz 2 nowe - do użycia dopiero po wygaśnięciu obecnego certyfikatu.
Nowy certyfikat, o którym mowa wyżej będzie mógł być wydany na miesiąc przed upływem okresu ważności najstarszego aktywnego certyfikatu. Jak wskazano wyżej, w celu uzyskania nowego certyfikatu konieczne będzie uwierzytelnienie w systemie (np. podpisem kwalifikowanym czy Podpisem Zaufanym). Podmiot/osoba uwierzytelniona ważnym certyfikatem KSeF także będzie mogła wnioskować o wydanie kolejnego certyfikatu.
Sposób generowania certyfikatów KSeF i zarządzania certyfikatami w spółce z o.o. - przykład
Spółka z o. o. (NIP 9999999999) uwierzytelniła się w KSeF za pomocą kwalifikowanej pieczęci elektronicznej, zawierającej NIP podatnika. Spółka jest siecią handlową, która posiada siedem oddziałów zlokalizowanych w różnych częściach Polski. Faktury sprzedażowe wystawiane są zawsze przez wyznaczonego pracownika danego oddziału (lub osobę ją zastępującą). W związku z powyższym spółka zawnioskowała o wydanie certyfikatów KSeF typu 1. W celu sprawowania kontroli nad procesem wystawiania faktur w firmie przyjęła zasadę, że jeden certyfikat KSeF będzie wykorzystywany wyłącznie w ramach jednego oddziału.
Finalnie wydanych zostało siedem certyfikatów KSeF, z których każdy zawierał NIP spółki, ale różniły się one między sobą nazwą własną:
• Nazwa pierwszego certyfikatu: „Certyfikat I – oddział A”
• Nazwa drugiego certyfikatu: „Certyfikat I – oddział B”
• Nazwa trzeciego certyfikatu: „Certyfikat I – oddział C”
• Nazwa czwartego certyfikatu: „Certyfikat I – oddział D”
• Nazwa piątego certyfikatu: „Certyfikat I – oddział E”
• Nazwa szóstego certyfikatu: „Certyfikat I – oddział F”
• Nazwa siódmego certyfikatu: „Certyfikat I – oddział G”.
Spółka udostępniła wydane certyfikaty wyznaczonym osobom. W opisanej sytuacji, w przypadku, gdy np. fakturę w imieniu spółki z o. o. , po uwierzytelnieniu się w KSeF certyfikatem o nazwie” Certyfikat I- oddział B” wystawi wyznaczony pracownik oddziału B lub osoba, która ją zastępuje, w KSeF widoczne będą dane spółki, a nie konkretnej osoby fizycznej (pracownika oddziału B).
Biorąc pod uwagę konieczność zapewnienia procesu wystawiania faktur w sposób ciągły, również podczas potencjalnych problemów z siecią Internet czy na wypadek prac serwisowych w KSeF, spółka zawnioskowała następnie o wydanie certyfikatów KSeF typu 2. W celu sprawowania kontroli nad procesem wystawiania faktur w firmie, podobnie jak w przypadku certyfikatów typu 1, przyjęła zasadę, że jeden certyfikat KSeF będzie wykorzystywany wyłącznie w ramach jednego oddziału. Finalnie wydanych zostało siedem certyfikatów KSeF, z których każdy zawierał NIP spółki, ale różniły się one między sobą nazwą własną:
• Nazwa pierwszego certyfikatu: „Certyfikat II – oddział A”
• Nazwa drugiego certyfikatu: „Certyfikat II – oddział B”
• Nazwa trzeciego certyfikatu: „Certyfikat II – oddział C”
• Nazwa czwartego certyfikatu: „Certyfikat II – oddział D”
• Nazwa piątego certyfikatu: „Certyfikat II – oddział E”
• Nazwa szóstego certyfikatu: „Certyfikat II – oddział F”
• Nazwa siódmego certyfikatu: „Certyfikat II – oddział G”.
Spółka udostępniła wydane certyfikaty wyznaczonym osobom. W opisanej sytuacji, w przypadku, gdy np. fakturę w trybie OFFLINE w imieniu spółki z o. o. będzie wystawiał wyznaczony pracownik oddziału B, posłuży się certyfikatem spółki o nazwie „Certyfikat II - oddział B”. Certyfikat wykorzysta do opatrzenia faktury kodem, dzięki czemu nabywca w 47 przypadku otrzymania faktury poza KSeF będzie miał możliwość weryfikacji czy fakturę w trybie OFFLINE wystawiła osoba lub podmiot do tej czynności uprawniony.
Sposób generowania certyfikatów KSeF i zarządzania certyfikatami w spółce cywilnej - przykład
Spółka cywilna (NIP 9999999999) prowadzi działalność usługową. Faktury sprzedażowe wystawiane są zawsze przez pracownika działu księgowości (lub osobę ją zastępującą), którym zostały nadane odpowiednie uprawnienia w KSeF. W związku z przyjętą wewnętrzną procedurą, spółka przyjęła zasadę, iż nie będzie występować o wydanie certyfikatów na swoim poziomie, lecz zrobią to bezpośrednio wyznaczeni pracownicy spółki. Tym samym księgowa oraz osoba ją zastępująca uwierzytelnili się w KSeF za pomocą Podpisu Zaufanego, a następnie zawnioskowali o wydanie certyfikatów KSeF obu typów (dla osoby fizycznej identyfikowanej numerem PESEL).
W przypadku certyfikatów wydawanych na osoby fizyczne wykluczone jest ich udostępnianie innym osobom fizycznym. W związku z powyższym księgowa jak również osoba ją zastępująca będą posiadać odrębne, indywidualne certyfikaty KSeF, przypisane do konkretnej osoby fizycznej. Finalnie wydane zostały cztery, następujące certyfikaty:
• Nazwa certyfikatu typu 1 dla księgowej: „Certyfikat I - Pracownik1”,
• Nazwa certyfikatu typu 2 dla księgowej: „Certyfikat II - Pracownik1”,
• Nazwa certyfikatu typu 1 dla osoby zastępującej: „Certyfikat I - Pracownik2”,
• Nazwa certyfikatu typu 2 dla osoby zastępującej: „Certyfikat II - Pracownik2”.
W opisanej sytuacji, w przypadku, gdy fakturę w imieniu spółki cywilnej po uwierzytelnieniu się w KSeF certyfikatem o nazwie” „Certyfikat I- Pracownik1” wystawi księgowa, w KSeF widoczne będą dane konkretnej osoby fizycznej (księgowej). W przypadku, gdy fakturę w trybie OFFLINE w imieniu spółki wystawi księgowa, posłuży się swoim certyfikatem o nazwie „Certyfikat II – Pracownik 1”. Certyfikat wykorzysta do opatrzenia faktury kodem, dzięki czemu nabywca w przypadku otrzymania faktury poza KSeF będzie miał możliwość weryfikacji czy fakturę w trybie OFFLINE wystawiła osoba lub podmiot do tej czynności uprawniony.
Maksymalna liczba żądań wydania certyfikatów KSeF dla danego identyfikatora w okresie ostatnich 30 dni nie może przekroczyć:
6 - dla certyfikatów indywidualnych wydawanych na numer PESEL,
300 - dla certyfikatów wydawanych na identyfikator podatkowy NIP,
6 - dla certyfikatów wydawanych na dane unikalne powiązane z certyfikatem kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej.
Działanie systemu przy przekroczeniu maksymalnej liczby żądań wydania certyfikatów KSeF - przykład
Jak Kowalski (PESEL 11111111116), który nie prowadzi działalności gospodarczej, jest pracownikiem firmy X, w której posiada uprawnienie do wystawiania faktur. 11 kwietnia 2026 r. uzyskał certyfikat KSeF (na numer PESEL), po czym go unieważnił. Czynności te powtórzył jeszcze pięć razy w okresie 12-24 kwietnia 2026 r. Przy siódmej próbie uzyskania certyfikatu KSeF, która miała miejsce 25 kwietnia 2026 r. , system zwrócił komunikat o przekroczeniu dozwolonej liczbie złożonych żądań. Wnioskowanie o wydanie kolejnego certyfikatu będzie więc możliwe najwcześniej po upływie 30 dni od dnia żądania wydania pierwszego certyfikatu KSeF.
Certyfikat KSeF a zakres uprawnień
Ministerstwo Finansów zaznacza, że certyfikaty KSeF to rozwiązanie elastyczne i dynamiczne. Dzięki nim proces wystawienia faktury będzie szybki i prosty. Jeden certyfikat będzie można wykorzystać do pracy w różnych kontekstach (tj. w ramach różnych podmiotów) i bez znaczenia dla jego ważności będą zmiany w zakresie uprawnień posiadanych przez właściciela certyfikatu. Uniemożliwienie użycia certyfikatu do uwierzytelnienia w systemie nastąpi jednak, gdy odebrane zostaną wszystkie uprawnienia nadane na identyfikator (NIP lub PESEL) właściciela certyfikatu.
Wpływ zmiany zakresu posiadanych uprawnień na ważność certyfikatu KSeF - przykład
Księgowa Anna Nowak (NIP 9999999999) prowadząca jednoosobową działalność gospodarczą dysponuje certyfikatem KSeF typu 1 (do uwierzytelnienia), wydanym po uwierzytelnieniu się w KSeF podpisem kwalifikowanym zawierającym jej identyfikator NIP. Księgowa obsługuje kilka firm, które nadały jej uprawnienia w KSeF:
• Firma X nadała Annie Nowak uprawnienie w KSeF do wystawiania faktur i do dostępu do faktur,
• Firma Y nadała Annie Nowak uprawnienie w KSeF do nadawania i odbierania uprawnień w KSeF,
• Firma Z nadała Annie Nowak uprawnienie w KSeF do dostępu do faktur.
W związku z powyższym, po uwierzytelnieniu się w systemie certyfikatem KSeF w swoim kontekście lub w kontekście firmy X, Y lub Z, Anna Nowak będzie mogła działać w KSeF w obrębie posiadanych uprawnień.
Jeżeli po określonym czasie firma Z odbierze Annie Nowak uprawnienia, to posiadany przez nią certyfikat KSeF nie ulegnie unieważnieniu. Podobnie będzie w przypadku, gdy Anna Nowak zdobędzie za pewien czas nowego klienta – firmę N , która nada jej w KSeF np. uprawnienia do wystawiania faktur i dostępu do faktur. Będzie ona mogła uwierzytelnić się w systemie przy użyciu certyfikatu KSeF w kontekście firmy N i działać w zakresie posiadanych uprawnień.
Jeżeli jednak wszyscy klienci (firma X, Y, Z, N) odebraliby uprawnienia księgowej Annie Nowak, wówczas będzie ona mogła uwierzytelnić się w systemie posiadanym certyfikatem KSeF wyłącznie w swoim kontekście.
Działania na certyfikatach KSeF
Każda uwierzytelniona w systemie osoba fizyczna lub uwierzytelniony podmiot będzie mógł wykonywać działania na swoich własnych certyfikatach. Możliwe będzie wyszukiwanie, pobranie listy certyfikatów, pobranie aktywnych certyfikatów oraz ich unieważnienie. Nie będzie możliwe wykonywanie jakichkolwiek operacji na certyfikatach należących do innych osób fizycznych lub podmiotów.
Możliwe będzie wyszukanie i pobranie danych certyfikatu KSeF. Opcja ta dotyczy wyłącznie certyfikatów wydanych uwierzytelnionemu użytkownikowi (osobie fizycznej/podmiotowi). Użytkownik będzie mógł uzyskać informację na temat:
• numeru seryjnego certyfikatu,
• nazwy własnej,
• typu certyfikatu KSeF,
• identyfikatora podmiotu właściciela certyfikatu,
• nazwy właściciela certyfikatu,
• statusu,
• okresu ważności (od-do),
• daty ostatniego użycia.
API pozwoli również na wyszukiwanie certyfikatów KSeF według następujących kryteriów:
• numer seryjny certyfikatu,
• nazwa własna,
• typ certyfikatu KSeF,
• status (A – aktywny, Z-zablokowany, U – unieważniony, W-wygasły) - Status Z to status przejściowy pomiędzy statusem A - aktywny, a U – unieważniony.
• data wygaśnięcia.
Możliwe będzie także unieważnienie wcześniej wydanego certyfikatu. Aby wystąpić z takim żądaniem konieczne będzie uwierzytelnienie się w systemie przy wykorzystaniu jednej z dostępnych metod: Podpis Zaufany, podpis kwalifikowany, pieczęć kwalifikowana czy certyfikat KSeF.
W przypadku unieważnienia certyfikatu KSeF typu 1, przy użyciu którego dana osoba lub podmiot są aktualnie uwierzytelnieni w systemie, nastąpi przerwanie sesji.
Certyfikaty KSeF a tokeny
W okresie fakultatywnym jedną z metod uwierzytelnienia w systemie były tokeny. Rozwiązanie to będzie funkcjonować do 31 grudnia 2026 r. Od 1 lutego 2026 r. możliwe będzie korzystanie zarówno z certyfikatów KSeF jak i tokenów. Docelowo od 1 stycznia 2027 r. z tych dwóch rozwiązań pozostaną wyłącznie certyfikaty KSeF. Ministerstwo Finansów informuje, że certyfikaty i tokeny nie są od strony funkcjonalnej równoważne. Token zawiera w sobie uprawnienia podatnika, które są deklarowane w momencie jego generowania. Certyfikaty KSeF nie są natomiast nośnikiem uprawnień. Kluczowym założeniem certyfikatów KSeF (typ 1) będzie to, że stanowią one wyłącznie środek uwierzytelnienia w systemie – podobnie jak np. podpis kwalifikowany.
Token - czym jest i do czego służy w KSeF
Ministerstwo Finansów wyjaśnia, że Token jest to wygenerowanym przez KSeF, po uwierzytelnieniu się podatnika lub podmiotu uprawnionego w systemie (Podpisem Zaufanym, podpisem kwalifikowanym lub pieczęcią kwalifikowaną), ciągiem znaków alfanumerycznych (z wyłączeniem znaków interpunkcyjnych), przypisanym do podatnika lub podmiotu uprawnionego i jego uprawnień.
Token może być wykorzystywany do przyspieszenia i ułatwienia procesu logowania się do KSeF. Zamiast każdorazowego uwierzytelniania się w KSeF np. podpisem kwalifikowanym, podatnik może wygenerować token i wykorzystywać go do uwierzytelniania w aplikacjach komercyjnych zintegrowanych z KSeF. Uwierzytelnienie tokenem w KSeF 2.0 od 1 lutego 2026 r. jest możliwe w ramach sesji interaktywnej jak i wsadowej.
KSeF nie określa czasu w jakim token jest ważny. Wygenerowany token pozostaje ważny do czasu jego unieważnienia przez użytkownika. Przy czym możliwość generowania i wykorzystywania tokenów wygaśnie z końcem 2026 r. Komplet informacji na temat tokenów dla potrzeb KSeF znajduje się w Podręczniku KSeF 2.0 (Cz. I).
Podstawa prawna: Rozporządzenie Ministra Finansów i Gospodarki z 12 grudnia 2025 r. w sprawie korzystania z Krajowego Systemu e-Faktur - Dziennik Ustaw z 18 grudnia 2025 r. - poz. 1815.
Źródło: Ministerstwo Finansów: Podręcznik KSeF 2.0 (Cz. I)
English (US) · 
Polish (PL) ·