Blog

Certyfikat KSeF to cyfrowe narzędzie kryptograficzne potwierdzające tożsamość użytkownika lub podmiotu, potrzebne m.in. do logowania i wystawiania faktur offline. Można go uzyskać, składając wniosek po zalogowaniu się na swoim koncie KSeF. Sprawdź, czym dokładnie są certyfikaty KSeF, komu są potrzebne, jak je zdobyć, jak długo są ważne i w jaki sposób nimi zarządzać.

Czym są certyfikaty KSeF?

Certyfikaty KSeF to cyfrowe narzędzia kryptograficzne wydawane przez Centrum Certyfikacji Ministerstwa Finansów, które służą do potwierdzenia tożsamość osoby lub podmiotu korzystającego z KSeF. Działają podobnie jak podpis kwalifikowany czy pieczęć elektroniczna – pozwalają jednoznacznie zweryfikować, kto wystawił fakturę lub zalogował się do systemu.

Resort Finansów podzielił je na dwa podstawowe typy. Ten pierwszy służy do uwierzytelniania się w KSeF, zarówno przez osoby pracujące bezpośrednio w systemie KSeF oraz korzystające z niego poprzez zintegrowane z Krajowym Systemem e-Faktur oprogramowanie, np. system ERP.

Typ drugi jest z kolei przeznaczony do wystawiania faktur offline, gdy system jest niedostępny albo w firmie braknie Internetu. W takim przypadku certyfikat pozwala oznaczyć fakturę specjalnym kodem QR lub linkiem, który umożliwia potwierdzenie tożsamości wystawcy. Każdy typ będzie wydawany osobno – nie istnieje bowiem jeden certyfikat obejmujący oba zastosowania. Dla ułatwienia rozróżnienia, w nazwie certyfikatu znajdzie się dopisek „uwierzytelnianie” lub „offline”.

System certyfikatów ma ujednolicić sposób identyfikacji użytkowników i umożliwić pełną automatyzację logowania bez konieczności każdorazowego używania podpisu kwalifikowanego. Ma to zwiększyć bezpieczeństwo, stabilność i ciągłość fakturowania, również w razie awarii czy braku połączenia z Internetem.

Jak uzyskać certyfikat KSeF?

Od 1 lutego 2026 r. wnioski o wydanie certyfikatu KSeF można składać po zalogowaniu się na swoje konto KSeF na stronie https://ap.ksef.mf.gov.pl/web/ w zakładce Certyfikat > Wnioskuj o certyfikat.  W oknie, które się otworzy wystarczy już tylko:

• określić rodzaj certyfikatu,
• nadać odpowiednią nazwę i hasło,
• zatwierdzić zmiany przyciskiem Generuj.

Warto wiedzieć, że KSeF 2.0  oraz Aplikacja Podatnika KSeF 2.0 służą nie tylko do składania wniosków o certyfikaty, ale także do nadawania i zarządzania uprawnieniami użytkowników systemu KSeF 2.0. W praktyce oznacza to, że zanim firma zacznie korzystać z nowych certyfikatów, powinna w tym module potwierdzić lub odnowić swoje uprawnienia.

Aby zalogować się do KSeF, użytkownik może wybrać jedną z trzech metod:

• profil zaufany (rozwiązanie bezpłatne),
• certyfikat kwalifikowany zawierający NIP lub PESEL,
• lub certyfikat kwalifikowany bez NIP i PESEL, w takim przypadku uwierzytelnienie odbywa się przy użyciu tzw. odcisku palca

Wniosek o certyfikat mogą złożyć samodzielnie m.in. osoby fizyczne zgłoszone w ZAW-FA, osoby posiadające uprawnienia właścicielskie, a także podatnicy niebędący osobami fizycznymi (np. spółki) – po uwierzytelnieniu się kwalifikowaną pieczęcią elektroniczną.

Jak wygląda proces nadania certyfikatu KSeF?

Procedura nadawania certyfikatu KSeF odbywa się w pełni elektronicznie na koncie podatnika w KSeF 2.0 i składa z kilku etapów. W pierwszej kolejności użytkownik musi zalogować się do KSeF, wybierając metodę autoryzacji – profil zaufany, certyfikat kwalifikowany z NIP lub PESEL albo certyfikat kwalifikowany bez tych danych (tzw. „odcisk palca”).

Następnie określa kontekst logowania, czyli wskazuje identyfikator podatnika (NIP, numer VAT-UE lub identyfikator wewnętrzny). W przypadku logowania podpisem lub pieczęcią kwalifikowaną konieczne jest pobranie tzw. żądania autoryzacyjnego, podpisanie go własnym certyfikatem, a następnie przesłanie z powrotem do aplikacji w formacie .xml lub .xades.

Po pomyślnym uwierzytelnieniu użytkownik przechodzi do złożenia wniosku o certyfikat. W formularzu wskazuje m.in.:

• przeznaczenie (typ) certyfikatu,
• jego nazwę własną (np. „Certyfikat I – oddział B”),
• oraz opcjonalnie datę początku ważności (jeśli nie zostanie podana, ważność liczona będzie od dnia wydania).

Na końcu, po zatwierdzeniu wniosku, można pobrać gotowy certyfikat i zachować go w bezpiecznym miejscu – np. w firmowym repozytorium IT.

Ważność i zarządzanie certyfikatami KSeF

Każdy certyfikat KSeF ma określony termin ważności – maksymalnie dwa lata. Okres ten jest liczony od daty wskazanej we wniosku jako początek obowiązywania certyfikatu, a jeśli jej nie podano – od dnia jego wydania. W tym czasie może być używany zgodnie z nadanymi uprawnieniami. Warto pamiętać, że certyfikatu nie da się użyć przed 1.02.2026 r. ani przez datą rozpoczęcia jego ważności. Jeśli firma planuje rozpocząć korzystanie z certyfikatów dopiero od lutego 2026 r., powinna wpisać tę datę jako początek okresu obowiązywania już na etapie wniosku.

Nowy certyfikat można uzyskać najwcześniej na miesiąc przed wygaśnięciem poprzedniego. Z tego względu Ministerstwo Finansów zaleca, aby firmy wprowadziły wewnętrzne procedury kontrolowania terminów ważności i odnowień – dzięki temu mogą uniknąć przerw w możliwości logowania czy wystawiania faktur.

Limity liczby certyfikatów

Dla zachowania bezpieczeństwa systemowego wprowadzono limity liczby aktywnych i nowych certyfikatów, jakie może posiadać jeden użytkownik lub podmiot:

• osoba fizyczna z identyfikatorem PESEL – maks. 2 aktywne i 2 nowe (do użycia po wygaśnięciu obecnych),
• osoba fizyczna z NIP – do 100 aktywnych i 100 nowych,
• podmiot niebędący osobą fizyczną (np. spółka z NIP) – do 100 aktywnych i 100 nowych,
• podmiot uwierzytelniający się tzw. odciskiem palca (bez NIP/PESEL) – maks. 2 aktywne i 2 nowe.

Dodatkowo Ministerstwo Finansów wprowadziło limit żądań wydania certyfikatów w okresie 30 dni, który wynosi:

• 6 dla identyfikatora PESEL,
• 300 dla identyfikatora NIP,
• 6 dla uwierzytelnienia opartego na tzw. „odcisku palca”.\

Co, jeśli firma nie wyrobi certyfikatu?

Firmy nieposiadające certyfikatu będą mogły logować się do KSeF za pomocą Aplikacji Podatnika – korzystając z takich metod uwierzytelnienia, jak profil zaufany lub podpis kwalifikowany. Trzeba jednak pamiętać, że bez certyfikatu firma nie zintegruje swojego systemu księgowego z platformą KSeF Ministerstwa Finansów (przez API 2.0) i nie wystawi faktur w trybie offline – do tego potrzebny jest bowiem certyfikat typu 2.

Tokeny a certyfikaty KSeF – co się zmienia i od kiedy?

Obecnie firmy korzystające z KSeF mogą uwierzytelniać się również za pomocą tokenów, czyli unikalnych kluczy dostępu przypisanych do użytkownika. Po wdrożeniu nowego systemu KSeF 2.0 pojawi się jednak alternatywa – certyfikaty KSeF, które z czasem całkowicie zastąpią tokeny.

Od 1 lutego 2026 r. obie metody będą działać równolegle, co pozwoli przedsiębiorcom płynnie przejść na nowe rozwiązanie. Okres przejściowy potrwa do końca roku, a od 1 stycznia 2027 r. jedynym obowiązującym sposobem uwierzytelniania w KSeF staną się certyfikaty.

Choć na pierwszy rzut oka oba narzędzia spełniają podobną funkcję, różnią się zakresem i sposobem działania. Token zawiera w sobie przypisane uprawnienia i nie ma ograniczonego czasu ważności. Certyfikat KSeF jest z kolei narzędziem czysto identyfikacyjnym – potwierdza tożsamość użytkownika, ale nie przenosi jego uprawnień. Dzięki temu można go używać w różnych kontekstach, np. logując się w imieniu kilku firm, o ile użytkownik posiada odpowiednie prawa w systemie. Certyfikaty mają również określony okres ważności (do dwóch lat) oraz limity liczby aktywnych dokumentów, co zwiększa bezpieczeństwo i ułatwia kontrolę dostępu w większych organizacjach.

źródło: symfonia.pl