Uwierzytelnienie w KSeF – po co, czym i dla kogo?
Do korzystania z KSeF, przedsiębiorca nie będzie musiał zakładać nowego konta w systemie. Wymagane jest jednak potwierdzenie tożsamości i posiadanych uprawnień. To właśnie rola uwierzytelnienia - system musi wiedzieć, że po drugiej stronie jest właściwa osoba lub podmiot działający w imieniu firmy. Dzięki temu wystawianie i odbieranie faktur nie jest anonimowe, a sprzedawca i nabywca zyskują pewność, że dokumenty wystawiają wyłącznie osoby lub podmioty do tego uprawnione.
W praktyce oznacza to wybór jednej z metod przewidzianych w rozporządzeniu o korzystaniu z KSeF - takiej, która potwierdzi tożsamość i uprawnienia użytkownika. W tym artykule wyjaśniamy, jak działa uwierzytelnienie w KSeF oraz czym różnią się poszczególne metody uwierzytelnienia.
Tabela metod uwierzytelniania.
Pamiętaj!
Szczególnym przypadkiem w KSeF jest uwierzytelnienie się osoby fizycznej w kontekście podmiotu niebędącego osobą fizyczną (np. osoba fizyczna uprawniona przez spółkę z.o.o. uwierzytelnia się w kontekście tej spółki). Taka osoba jako sposobu uwierzytelnienia używa metod dedykowanych osobom fizycznym (tj. Podpis Zaufany/Węzeł krajowy, kwalifikowany podpis elektroniczny, token, certyfikat KSeF).
Podpis Zaufany i Węzeł krajowy (login.gov)
Podpis Zaufany to bezpłatny środek identyfikacji elektronicznej służący do potwierdzania tożsamości w usługach administracji i podpisywania dokumentów; może go założyć każda osoba z numerem PESEL oraz pełną lub ograniczoną zdolnością do czynności prawnych, a ważność wynosi 3 lata z możliwością przedłużenia.
Od 1 kwietnia 2026 r. KSeF umożliwi uwierzytelnienie przez Węzeł Krajowy (login.gov.pl), w tym metodami:
- Podpis Zaufany
- aplikacja mObywatel
- logowanie bankowe
- e-Dowód.
Rozwiązanie to będzie dostępne w ramach bezpłatnych narzędziach opublikowanych przez Ministerstwo Finansów, takich jak np. Aplikacja Podatnika KSeF.
Kwalifikowany podpis elektroniczny.
To metoda uwierzytelnienia w KSeF przeznaczona dla osób fizycznych i ma taką samą moc prawną jak podpis własnoręczny. Podpis potwierdzony jest certyfikatem kwalifikowanym, który weryfikuje tożsamość podpisującego. Z narzędzia może korzystać wyłącznie osoba, do której przypisany jest certyfikat - nie wolno udostępniać karty kryptograficznej ani danych dostępowych osobom trzecim. KSeF akceptuje podpisy kwalifikowane zarówno z NIP/PESEL, jak i bez tych identyfikatorów. W pierwszym przypadku nie są potrzebne dodatkowe formalności.
Ważne! W drugim trzeba zgłosić do KSeF unikalne dane powiązane z certyfikatem przez formularz ZAW-FA (dla podatnika lub osoby przez niego uprawnionej) albo elektronicznie w narzędziach zintegrowanych z API KSeF 2.0 czy w Aplikacji Podatnika KSeF. Po wprowadzeniu tych danych w systemie możliwe jest skuteczne uwierzytelnienie podpisem kwalifikowanym bez identyfikatora podatkowego NIP ani numeru PESEL.
Kwalifikowana Pieczęć Elektroniczna.
To metoda uwierzytelniania w KSeF przeznaczona dla podmiotów niebędących osobami fizycznymi. Jest to odpowiednik podpisu elektronicznego, który reprezentuje organizację – można go porównać do tradycyjnej pieczątki, ma on jednak postać cyfrową. Zalecane jest, by pieczęć używana w KSeF zawierała NIP podatnika, ponieważ wtedy działania w systemie są przypisywane właścicielowi pieczęci (np. spółce), a nie pracownikowi, który jej użył. Jeżeli pieczęć nie zawiera NIP, nadal można się nią uwierzytelnić po zgłoszeniu danych unikalnych powiązanych z certyfikatem pieczęci – w formularzu ZAW-FA lub elektronicznie przez narzędzia zintegrowane z API KSeF 2.0 albo Aplikację Podatnika KSeF. Po wprowadzeniu i przetworzeniu tych danych uwierzytelnienie pieczęcią bez NIP jest możliwe.
Sprawdź, co potrafi WorkTime Expert: automatyczne rozliczenia i wiele więcej!
Token.
To alfanumeryczny ciąg znaków generowany w KSeF po uwierzytelnieniu (Podpisem Zaufanym, podpisem kwalifikowanym lub pieczęcią kwalifikowaną), przypisany do podatnika lub użytkownika oraz nadanych mu uprawnień. Służy do szybkiego logowania i uwierzytelniania w aplikacjach zintegrowanych z KSeF (zarówno w sesjach interaktywnych, jak i wsadowych), bez konieczności każdorazowego podpisywania operacji.
Token nie ma z góry określonego terminu ważności, tzn. obowiązuje do momentu jego unieważnienia. Możliwe jest wygenerowanie dowolnej liczby tokenów i precyzyjnie określenie ich zakresu uprawnień. Token dla osoby fizycznej identyfikuje w systemie konkretną osobę, a token wygenerowany przez spółkę (np. po uwierzytelnieniu pieczęcią) identyfikuje podmiot. Generowanie tokena jest możliwe w Aplikacji Podatnika KSeF lub w programach komercyjnych zintegrowanych z API KSeF.
Ważne!
Ze względów bezpieczeństwa Aplikacja Podatkowa KSeF wyświetla wygenerowany token tylko jeden raz, a możliwość generowania i używania tokenów ma wygasnąć z końcem 2026 r. Dodatkowo w Aplikacji Podatnika KSeF nie będzie możliwe uwierzytelnienie się za pomocą tokena.
Certyfikat KSeF.
To cyfrowe narzędzie kryptograficzne Ministerstwa Finansów, które potwierdza tożsamość osoby lub podmiotu i umożliwia bezpieczne, zautomatyzowane korzystanie z KSeF. Występuje w dwóch typach: Typ 1 – do uwierzytelniania (działa w sesji interaktywnej i wsadowej) oraz Typ 2 – do wystawiania faktur w trybie OFFLINE (oznacza fakturę kodem/QR, potwierdzając tożsamość wystawcy).
Certyfikat Typu 1 - (uwierzytelnianie) – cyfrowy certyfikat służący do logowania i potwierdzania tożsamości w KSeF. Po uwierzytelnieniu użytkownik (osoba lub podmiot) wykonuje czynności zgodnie z nadanymi w systemie uprawnieniami. Działa zarówno w sesji interaktywnej, jak i wsadowej. System uwzględnia uprawnienia przypisane do identyfikatora podatkowego zapisanych na certyfikacie (NIP, PESEL) oraz ich powiązanie, dzięki czemu można działać w ramach uprawnień nadanych na oba identyfikatory – niezależnie od tego, na który z nich wystawiono certyfikat.
Certyfikat Typu 2 – (wystawianie faktur offline) – certyfikat ten wymagany jest do oznaczenia faktury kodem umożliwiającym potwierdzenie tożsamości wystawcy przy wystawianiu faktur w trybie OFFLINE (tj. w trybie offline24, offline-niedostępność systemu, trybie awarii KSeF).
Potwierdzenie tożsamości wystawcy należy rozumieć tu jako:
- potwierdzenie tożsamości osoby, jeśli był on wydany na osobę fizyczną
- identyfikację konkretnego podmiotu np. spółki, jeśli był on wydany na podmiot inny niż osoba fizyczna. Certyfikaty KSeF zapewnią więc ciągłość procesu fakturowania niezależnie od okoliczności zewnętrznych, z uwagi na ich wykorzystanie w przypadku faktur wystawianych OFFLINE.
Rodzaje certyfikatów KSeF.
Ważne! Certyfikaty KSeF obu typów będą generowane osobno. Nie będzie możliwe wygenerowanie jednego certyfikatu KSeF obejmującego jednocześnie dwa zastosowania. Dodatkowo aby uzyskać certyfikat KSeF należy złożyć wniosek. Będzie to możliwe od 1 listopada 2025 r. za pośrednictwem Modułu Certyfikatów i Uprawnień (MCU), który zostanie udostępniony w domenie KSeF. MCU umożliwi również nadawanie uprawnień użytkownikom przyszłego systemu KSeF 2.0. Funkcjonalności MCU będą dostępne wyłącznie z poziomu przeglądarki, nie będą dostępne z poziomu API.
Okres ważności certyfikatu KSeF
Certyfikat KSeF będzie ważny nie dłużej niż 2 lata od:
- daty podanej we wniosku o wydanie certyfikatu KSeF
- od daty wydania certyfikatu KSeF (obsłużenia wniosku o wydanie certyfikatu KSeF), jeśli we wniosku nie podano daty początkowej, od której ma być on ważny.
Bezpieczeństwo i odpowiedzialność w przypadku Certyfikatu KSeF
Certyfikaty KSeF to elektroniczne poświadczenia tożsamości - zawierają dane osoby wnioskującej lub podmiotu, dlatego certyfikat wydany na osobę fizyczną może zamówić, pobrać i używać wyłącznie ta osoba, a udostępnianie go innym jest niedopuszczalne. Certyfikaty wydane na podmiot (np. spółkę) nie są przypisane do konkretnych pracowników, więc odpowiedzialność za ich dystrybucję i użycie spoczywa na organizacji. Firma powinna mieć procedury ewidencjonowania, przekazywania, wykorzystywania i unieważniania certyfikatów, aby zapewnić ich pełną rozliczalność.
Tokeny i Certyfikaty KSeF – co i od kiedy?
Od 1 lutego 2026 r. przedsiębiorcy mogą korzystać równolegle z certyfikatów KSeF i tokenów, a docelowo – od 1 stycznia 2027 r. – pozostaną wyłącznie certyfikaty KSeF.
Ważne! Rozwiązania nie są funkcjonalnie równoważne - Token zawiera uprawnienia podatnika określone w chwili jego wygenerowania, podczas gdy certyfikat KSeF (typ 1) jest wyłącznie środkiem uwierzytelnienia (jak podpis kwalifikowany) i sam w sobie nie przenosi uprawnień.
Tabela - cechy tokenów i ceftyfikatów.
Słownik pojęć.
Kontekst uwierzytelnienia - to identyfikator podmiotu, wskazywany na etapie uwierzytelnienia w systemie. W imieniu tego podmiotu wykonywane są określone działania w KSeF.
Certyfikat KSeF - to cyfrowe narzędzie kryptograficzne potwierdzające tożsamość osoby lub podmiotu, które jest wydawane przez Centrum Certyfikacji Ministerstwa Finansów. Posiadanie takiego certyfikatu pozwoli na bezpieczne, wydajne i zautomatyzowane korzystanie z KSeF.
Sesja wsadowa – to tryb wysyłki, w którym wiele faktur łączy się w jedną „paczkę” i przesyła do KSeF jednorazowo. Paczka musi zostać podpisana (Podpis Zaufany, kwalifikowany podpis lub kwalifikowana pieczęć) - brak podpisu lub podpis osoby nieupoważnionej powoduje odrzucenie. Wymaga fizycznej obecności osoby uprawnionej w momencie wysyłki i jest efektywna przy dużych wolumenach, ale mniej elastyczna operacyjnie.
Sesja interaktywna – to tryb, w którym system (np. program do fakturowania) uwierzytelnia się w KSeF tokenem wygenerowanym przez osobę/podmiot uprawniony i może wysyłać faktury bez każdorazowego podpisu oraz bez fizycznej obecności tej osoby. Rozwiązanie to jest bardziej elastyczne i sprzyja automatyzacji (wysyłka na bieżąco, pojedynczo lub strumieniowo) - token przypisany do osoby wygasa wraz z odebraniem jej uprawnień, a token wygenerowany na pieczęć obowiązuje do jego unieważnienia.
Nie wiesz co wybrać? Chętnie pomożemy!
Dowiedz się jak rozpocząć pracę z WorkTime Expert.
FAQ - najczęściej zadawane pytania
Jakie firmy korzystają z aplikacji WorkTime Expert?
- Kancelarie prawne i adwokackie doceniają WorkTime Expert przede wszystkim za możliwości konfiguracji dowolnych form rozliczeń i konfigurowalne raporty dla klientów.
- Firmy doradcze, szczególnie doradcy podatkowi wykorzystują zaawansowane analityki.
- Biura rachunkowe ewidencjonują prace dodatkowe i konsultacje telefoniczne, a także rozliczają usługi abonamentowe "za sztukę" (np. za liczbę dokumentów) wyznaczając rentowność poszczególnych abonamentów.
- Architekci mierzą czas zleceń dodatkowych, wyjazdy na obiekty oraz czasy poszczególnych etapów projektowania.
- Aplikacja świetnie sprawdza się również w firmach produkcyjnych i szkoleniowych.
Jak wygląda wdrożenie WorkTime Expert?
WorkTime Expert wdrażasz w jeden dzień. Wdrożenie nie przeszkadza w codziennej działalności firmy. Aplikacja obsługiwana na komputerze / laptopie nie wymaga instalacji - działa przez przeglądarkę (polecamy Mozilla Firefox, Google Chrome lub Microsoft Edge). Po prostu zakłasz konto dla swojej firmy, dodajesz pracowników i działa. Konfiguracja ustawień trwa 15 minut.
Jak rozpocząć pracę z WorkTime Expert?
Samodzielnie tworzysz konto dla swojej firmy. To prosty proces, który trwa mniej niż 5 minut. Nasi eksperci pomogą Ci skonfigurować wszystkie potrzebne opcje. Przez 14 dni możesz bezpłatnie przejrzeć i przetestować wszystkie funkcje i możliwości.
Na jak długo zawierana jest umowa?
Nie podpisujemy żadnych specjalnych umów. Warunki współpracy precyzują Regulamin i Polityka prywatności. Możesz zrezygnować w każdej chwili - po prostu nie opłacasz kolejnego abonamentu.
Jakie dane dostarczy mi WorkTime Expert?
Z WorkTime Expert otrzymasz czytelne raporty w PDF i Excel z danymi o czasie pracy, przychodach i kosztach oraz dane dotyczące pracy poszczególnych pracowników. W dodatkowych modułach dostępne są również dane o urlopach i zwolnieniach. Obliczone dane analityczne, pomogą Ci w wyznaczaniu odpowiedniego kursu w stronę większej rentowności.