Certyfikat KSeF – jak uzyskać? Nowe zasady uwierzytelniania

Od 2026 roku przedsiębiorcy korzystający z Krajowego Systemu e-Faktur muszą przygotować się na istotne zmiany. Ministerstwo Finansów wprowadza nowy sposób logowania i podpisywania dokumentów – obok dotychczasowych tokenów pojawi się certyfikat KSeF. To rozwiązanie ma zwiększyć bezpieczeństwo, uprościć proces uwierzytelnienia oraz usprawnić wystawianie faktur. Poniżej wyjaśniamy, czym jest certyfikat KSeF, jak go uzyskać i kto może z niego korzystać.

Do czego służy certyfikat KSeF? Nowe metody uwierzytelniania KSeF

Certyfikat KSeF to elektroniczny dokument służący do uwierzytelniania użytkownika w Krajowym Systemie e-Faktur oraz do podpisywania faktur wystawianych w nim. W praktyce zastąpi on dotychczasowe tokeny, które są wykorzystywane do autoryzacji użytkowników i aplikacji zewnętrznych. Aby móc wystawiać i odbierać faktury ustrukturyzowane w KSeF, trzeba przejść proces uwierzytelnienia.

Nowe zasady uwierzytelniania wchodzą w życie 1 lutego 2026 r. Od tego momentu przedsiębiorcy będą mogli korzystać z obu metod: tokenów i certyfikatów. Natomiast od 1 stycznia 2027 r. jedyną formą uwierzytelniania w KSeF będzie właśnie certyfikat KSeF. Zobacz inny artykuł na temat: kiedy wchodzi obowiązkowy KSeF.

Wraz z wprowadzeniem certyfikatów KSeF zmianie ulega sposób komunikacji między systemami księgowymi a KSeF. Oprogramowanie Comarch jest już zgodne z nowym interfejsem API KSeF 2.0, dzięki czemu logowanie i podpisywanie faktur odbywa się automatycznie, zgodnie z najnowszymi standardami Ministerstwa Finansów.

Rodzaje certyfikatów KSeF

Istnieją dwa typy certyfikatów KSeF, różniące się wykorzystaniem: certyfikat typu 1 (uwierzytelnienie) i typu 2 (offline). Oba rodzaje będą generowane osobno. Nie będzie można wykorzystać jednego certyfikatu KSeF dla obu zastosowań. Dla ułatwienia, certyfikaty obu typów będą miały w atrybucie CN (commonName) w systemie dopisek „uwierzytelnianie” lub „offline”.

Dzięki takiemu rozwiązaniu przedsiębiorcy zachowają ciągłość pracy nawet w razie problemów technicznych po stronie systemu rządowego.

Rodzaj certyfikatu KSeF	Do czego służy	Zastosowanie
Certyfikat uwierzytelniający	Umożliwia zalogowanie się do systemu KSeF i potwierdzenie tożsamości użytkownika.	Na co dzień, podczas standardowej pracy z systemem.
Certyfikat do wystawiania faktur offline	Pozwala wystawić fakturę, gdy system KSeF jest czasowo niedostępny (np. awaria lub przerwa techniczna).	W sytuacjach wyjątkowych, kiedy faktury są później automatycznie przesyłane do KSeF.

W praktyce certyfikaty KSeF będą obsługiwane bezpośrednio w systemach finansowo-księgowych. Oprogramowanie Comarch w zakresie KSeF już dziś umożliwia integrację z API KSeF 2.0, dzięki czemu użytkownicy będą mogli zarządzać dostępem i autoryzacją w KSeF bez konieczności logowania do rządowego portalu.

Inne metody uwierzytelniania w KSeF

Choć certyfikat KSeF ma stać się głównym sposobem logowania, wciąż będzie można korzystać z innych form uwierzytelniania.

Profil zaufany (ePUAP)

Bezpłatne narzędzie do potwierdzania tożsamości online, wykorzystywane również w kontaktach z administracją publiczną.

Kwalifikowany podpis elektroniczny

Płatna forma uwierzytelnienia, uznawana w całej Unii Europejskiej. Od października 2025 r. w ramach usługi mObywatel można skorzystać z 5 darmowych podpisów kwalifikowanych miesięcznie (do 5 MB każdy).

Pieczęć kwalifikowana

Używana głównie przez spółki i instytucje do podpisywania dokumentów w imieniu firmy.

Token

Dotychczasowa metoda uwierzytelniania w KSeF, która będzie działać równolegle z certyfikatem do końca 2026 r.

Każda z tych metod ma zastosowanie w zależności od skali działalności i liczby osób korzystających z systemu. Co ważne, większość wymienionych metod jest obsługiwana w systemach Comarch – zarówno przy pracy online, jak i w trybie offline. Dzięki temu przedsiębiorca może sam zdecydować, który sposób logowania jest dla jego firmy najwygodniejszy.

Certyfikaty KSeF a tokeny – do kiedy obowiązują?

Zgodnie z harmonogramem Ministerstwa Finansów:

do 31 grudnia 2026 r. – dopuszczalne są obie formy uwierzytelniania: certyfikat i tokeny;
od 1 stycznia 2027 r. – tokeny zostaną wycofane, a dostępnymi sposobami autoryzacji pozostaną: certyfikat KSeF, profil zaufany, kwalifikowany podpis elektroniczny i pieczęć kwalifikowana.

Warto wiedzieć, że certyfikaty i tokeny nie są od strony funkcjonalnej równoważne. Token zawiera przypisane w systemie użytkownikowi uprawnienia, które są stwierdzane w chwili jego generowania.

Z kolei głównym założeniem certyfikatów KSeF jest to, że stanowią one wyłącznie środek uwierzytelnienia w systemie – podobnie jak np. podpis kwalifikowany. Oznacza to, że ich zadaniem jest wyłącznie potwierdzenie tożsamości użytkownika lub systemu łączącego się z KSeF. Certyfikaty nie zawierają informacji o uprawnieniach.

Jak uzyskać certyfikat KSeF?

Certyfikat KSeF można uzyskać od 1 listopada 2025 roku, w Module Certyfikatów i Uprawnień (MCU). Cała procedura odbywa się online. Generowanie certyfikatów w MCU jest rozwiązaniem tymczasowym, które ma działać do końca stycznia 2026 r. Od lutego 2026 r. funkcjonalność będzie dostępna w API KSeF 2.0 oraz w Aplikacji Podatnika KSeF 2.0. Co istotne, uprawnienia nadane w MCU zostaną przeniesione do nowych systemów.

Certyfikat KSeF będzie ważny maksymalnie 2 lata od daty jego wygenerowania lub od daty wskazanej przez podatnika jako początkowej jego obowiązywania.

Po uzyskaniu certyfikatu warto zintegrować go z systemem ERP. W rozwiązaniach Comarch instalacja i przypisanie certyfikatu do użytkownika odbywa się automatycznie, bez potrzeby ręcznej konfiguracji.

Instrukcja jak uzyskać certyfikat KSeF – krok po kroku

Zaloguj się do KSeF za pomocą profilu zaufanego, podpisu kwalifikowanego lub tokena.

Wejdź w zakładkę „Certyfikaty KSeF”.

Wybierz typ certyfikatu, który chcesz pobrać – uwierzytelniający lub do fakturowania offline.

Złóż wniosek o wydanie certyfikatu. Dane podane w formularzu muszą być zgodne z danymi identyfikującymi użytkownika uwierzytelnionego w KSeF w momencie składania wniosku.

Po poprawnym przetworzeniu dokumentu certyfikat KSeF zostanie wydany i będzie gotowy do pobrania.

Pobierz certyfikat i zapisz go w bezpiecznym miejscu.

Zainstaluj certyfikat w programie księgowym lub systemie finansowym firmy. W oprogramowaniu Comarch instalacja odbywa się automatycznie.

Kto może uzyskać certyfikat KSeF?

Certyfikat KSeF może być wydany:

osobom fizycznym, zgłoszonym w zawiadomieniu ZAW-FA (Zawiadomienie o uprawnieniach do KSeF);
osobom fizycznym mającym uprawnienia właścicielskie;
podatnikom niebędącym osobą fizyczną mającym uprawnienia właścicielskie, posługującym się pieczęcią elektroniczną do uwierzytelnienia w KSeF.

W zależności od tego, komu przypisany jest certyfikat, różni się zakres odpowiedzialności i sposób jego wykorzystania.

Certyfikat KSeF dla osoby fizycznej
Certyfikat wydany na osobę fizyczną zawiera dane identyfikacyjne wnioskującego – imię, nazwisko, NIP (w przypadku jednoosobowych działalności gospodarczych) lub PESEL (jeżeli osoba fizyczna ma uprawnienia do korzystania z KSeF). Uprawnia on do logowania i wystawiania faktur w imieniu własnym lub w ramach działalności gospodarczej.
Certyfikat KSeF zawierający dane osoby fizycznej może być używany tylko przez tę konkretną osobę i nie może być przekazywany innym użytkownikom.
W praktyce oznacza to, że właściciel jednoosobowej działalności może samodzielnie uwierzytelniać się w KSeF i podpisywać faktury ustrukturyzowane swoim certyfikatem.
Certyfikat KSeF dla podmiotu
W przypadku firm, spółek i instytucji możliwe jest wydanie certyfikatu na NIP podmiotu po uwierzytelnieniu się za pomocą pieczęci kwalifikowanej.
Wówczas:
- certyfikat jest przypisany do firmy, a nie do konkretnej osoby;
- podmiot decyduje, kto może z niego korzystać (np. księgowa albo biuro rachunkowe);
- firma odpowiada za bezpieczne przechowywanie, przekazywanie i unieważnianie certyfikatu.
W sytuacji, gdy fakturę wystawi pracownik posługujący się certyfikatem wydanym na NIP spółki, to w KSeF widoczne będą wyłącznie dane spółki, a nie osoby wystawiającej dokument.
Natomiast jeśli spółka wyda osobne certyfikaty swoim pracownikom, to w KSeF widoczne będą dane osoby fizycznej, która wystawiała dokument, działając w imieniu spółki.
W oprogramowaniu Comarch administratorzy mogą w prosty sposób nadawać lub cofać uprawnienia związane z certyfikatami, np. dla pracowników. Rozwiązanie to minimalizuje ryzyko błędów i pozwala na szybkie reagowanie w razie utraty dostępu lub rotacji personelu.

Harmonogram wdrożenia nowego systemu uwierzytelniania

Dla ułatwienia przedstawiamy najważniejsze daty wdrożenia nowego modelu uwierzytelniania w KSeF:

Listopad 2025 r. – rusza możliwość składania wniosków o certyfikat KSeF w MCU.
Luty 2026 r. – certyfikaty można uzyskać już tylko w API KSeF 2.0 oraz w Aplikacji Podatnika KSeF 2.0.
1 lutego 2026 r. – certyfikaty KSeF zaczynają obowiązywać, ale nadal można używać tokenów.
1 stycznia 2027 r. – koniec ważności tokenów, które zostaną zastąpione certyfikatami KSeF.

Podsumowanie

Wprowadzenie certyfikatów KSeF to krok w stronę większego bezpieczeństwa i standaryzacji w obrocie fakturami elektronicznymi. Dzięki nowemu systemowi przedsiębiorcy zyskają prostsze uwierzytelnienie, możliwość pracy offline i pełną kontrolę nad tym, kto korzysta z systemu w imieniu firmy.

Warto już teraz przygotować się do zmian – złożyć wniosek o certyfikat, sprawdzić zgodność swojego oprogramowania i wysłać zespół na szkolenia KSeF. Wybór systemu z pełną integracją KSeF, takiego jak Comarch ERP, to najprostszy sposób na bezpieczne i bezbłędne przejście na KSeF.

Jak przygotować firmę do uwierzytelniania w KSeF?: Zacznij od złożenia wniosku o certyfikat KSeF i sprawdzenia, czy Twój system finansowo-księgowy umożliwia jego instalację i obsługę. W rozwiązaniach Comarch certyfikat można zintegrować z kontem użytkownika bezpośrednio w systemie, dzięki czemu proces uwierzytelnienia odbywa się automatycznie.
Jak pobrać certyfikat KSeF?: Najpierw należy zalogować się do KSeF profilem zaufanym, tokenem lub podpisem kwalifikowanym. Następnie trzeba złożyć wniosek w zakładce „Certyfikaty KSeF”. Po jego przetworzeniu certyfikat KSeF zostanie wydany i będzie można go pobrać.
Od kiedy certyfikat KSeF będzie obowiązkowy?: Od 2027 roku certyfikaty całkowicie zastąpią tokeny i staną się podstawową formą uwierzytelniania systemowego (API). Będą działać równolegle do innych metod logowania, takich jak profil zaufany czy podpis kwalifikowany.
Jak długo jest ważny certyfikat KSeF?: Certyfikat jest ważny 2 lata od daty wydania lub od daty wskazanej przez podatnika.
Co zrobić, gdy certyfikat KSeF wygaśnie?: Po upływie ważności należy złożyć wniosek o wydanie nowego certyfikatu. System automatycznie unieważni poprzedni dokument.