Księgowość, kadry i płace – Kraków, Małopolska - Accountix
Saldeo
Symfonia
wFirma

KSeF – certyfikaty i tokeny

Kompleksowy poradnik techniczny (część 2 cyklu KSeF)

Certyfikaty i tokeny w KSeF odpowiadają za techniczne połączenie systemów księgowych z Krajowym Systemem e-Faktur.
Bez nich nie jest możliwe prawidłowe wystawianie, odbieranie ani pobieranie faktur z KSeF.

To druga część naszego cyklu poradników KSeF.
W pierwszej części omawialiśmy logowanie i uwierzytelnienie w KSeF.
Poniżej wyjaśniamy jak działają certyfikaty i tokeny, czym się różnią oraz na co szczególnie uważać.

Certyfikat KSeF a klucz prywatny (.key) – kluczowe różnice

Podczas generowania certyfikatu KSeF powstają dwa różne pliki, które bardzo często są ze sobą mylone.

Klucz prywatny certyfikatu – plik .key

  • jest generowany tylko jeden raz,

  • należy go pobrać i zapisać od razu,

  • nie da się go pobrać ani wygenerować ponownie.

Bez pliku .key:

  • nie da się wgrać certyfikatu do programu księgowego lub platformy,

  • nie da się połączyć systemu z KSeF,

  • certyfikat widoczny w KSeF nie będzie działał technicznie.

➡️ Utrata pliku .key oznacza konieczność wygenerowania nowego certyfikatu.

Certyfikat KSeF (część publiczna)

  • jest publiczną częścią certyfikatu,

  • zawiera informację, kto działa w KSeF,

  • pozostaje widoczny w systemie,

  • może zostać wygenerowany ponownie.

⚠️ Sam certyfikat bez klucza (.key) nie wystarcza do pracy z KSeF.

🧠 Najprościej:

  • certyfikat = tożsamość,

  • klucz (.key) = możliwość działania.

Rodzaje certyfikatów KSeF

Certyfikat do uwierzytelnienia i podpisywania faktur

To podstawowy certyfikat używany w codziennej pracy z KSeF.
Służy do:

  • połączenia systemu z KSeF,

  • podpisywania faktur danymi wystawcy,

  • wysyłania faktur sprzedażowych,

  • pobierania faktur kosztowych,

  • dosyłania do KSeF faktur wystawionych offline.

Certyfikat do wystawiania faktur w trybie offline

Tryb offline KSeF oznacza:

  • wystawienie faktury bez połączenia z KSeF (np. awaria Internetu),

  • obowiązek późniejszego przesłania faktury do systemu.

W praktyce:

  • wystawienie faktury offline → certyfikat offline,

  • późniejsza wysyłka do KSeF → certyfikat uwierzytelniający,

  • do pełnej obsługi trybu offline potrzebne są oba certyfikaty.

Na kogo może być wystawiony certyfikat KSeF?

Certyfikat może być wystawiony:

  • na podmiot (NIP) – np. spółkę lub firmę,

  • na osobę fizyczną (PESEL) – właściciela JDG, pracownika, biuro rachunkowe.

⚠️ Certyfikat wystawiony na osobę fizyczną zawiera numer PESEL.
Z tego względu wymaga szczególnej dbałości o bezpieczeństwo.

📌 Rekomendacja:
Przy generowaniu certyfikatu na PESEL warto zastrzec numer PESEL.

Token KSeF – czym jest i do czego służy?

Token KSeF służy do autoryzacji systemów i aplikacji (API).

Najważniejsze cechy tokenu:

  • jest wyświetlany tylko raz przy generowaniu,

  • nie można go później podejrzeć,

  • jest ważny do końca 2026 roku,

  • nie zastępuje certyfikatu – certyfikaty są nadal obowiązkowe.

Zakres tokenu – na co zwrócić uwagę?

Podczas generowania tokenu należy zaznaczyć jego zakres, np.:

  • wystawianie faktur,

  • przeglądanie faktur,

  • zarządzanie uprawnieniami,

  • zarządzanie jednostkami podrzędnymi.

➡️ Jeżeli token ma być używany np. na platformie biura rachunkowego do wystawiania faktur, musi mieć zaznaczony odpowiedni zakres, w przeciwnym razie połączenie nie zadziała.

Tokeny w praktyce – aktualna sytuacja rynkowa

  • niewiele systemów obsługuje obecnie tokeny i certyfikaty KSeF 2.0,

  • pełna funkcjonalność pojawi się u wielu dostawców dopiero pod koniec stycznia / od 1 lutego,

  • najpewniejszym i docelowym rozwiązaniem pozostają certyfikaty.

Gdzie generować certyfikaty i tokeny KSeF?

Na dzień dzisiejszy certyfikaty i tokeny generujemy wyłącznie przez stronę:

👉 mcu.mf.gov.pl

  • nie korzystamy z wersji demo ani przedprodukcyjnych,

  • generowanie w środowiskach testowych nie daje skutków prawnych.

📅 Od 1 lutego generowanie właściwych certyfikatów i tokenów będzie możliwe również bezpośrednio w KSeF.

Certyfikaty i tokeny KSeF 2.0 – ważne doprecyzowanie

  • certyfikaty KSeF 2.0 obowiązują od 1 lutego,

  • można je wygenerować wcześniej, ale nie wszystkie systemy je obsłużą,

  • tokeny KSeF 2.0 w wielu systemach będzie można dodać dopiero pod koniec stycznia / od 1 lutego.

⚠️ Zbyt wczesne dodanie certyfikatu lub tokenu może powodować komunikat:

„certyfikat / token niepoprawny”
mimo że został wygenerowany prawidłowo.

Czy trzeba nadawać uprawnienia biuru rachunkowemu w KSeF?

👉 Nie zawsze – zależy to od modelu współpracy.

Gdy firma korzysta z platformy biura rachunkowego

  • certyfikaty firmy są wgrywane na platformę,

  • platforma łączy się z KSeF automatycznie,

  • faktury są wysyłane i pobierane cyklicznie,

  • biuro rachunkowe nie potrzebuje osobnych uprawnień w KSeF.

Gdy firma nie korzysta z platformy

  • firma samodzielnie pobiera faktury z KSeF,

  • dokumenty są przekazywane do biura rachunkowego,

  • odpowiedzialność za kompletność danych leży po stronie firmy.

Podsumowanie – certyfikaty i tokeny KSeF

  • certyfikaty są podstawą technicznej pracy z KSeF,

  • klucz .key jest niezbędny do działania certyfikatu,

  • token ma charakter pomocniczy i zależny od zakresu,

  • uprawnienia dla biura rachunkowego nie zawsze są wymagane,

  • kluczowe jest dobranie właściwego modelu obsługi KSeF.

Kolejna część cyklu KSeF

W części 3 omówimy:

  • uprawnienia w KSeF,

  • kiedy są wymagane,

  • komu je nadać,

  • jak uniknąć najczęstszych błędów.

Wsparcie we wdrożeniu KSeF

Jeśli chcesz mieć pewność, że:

  • certyfikaty i tokeny,

  • integracja z systemem księgowym,

  • model współpracy z biurem rachunkowym

zostaną wdrożone prawidłowo i bezpiecznie, zapraszamy do kontaktu.

🌐 www.accountixpl.com
📞 883-243-353
✉️ kontakt@accountixpl.com

Accountix Biuro Rachunkowe - Agnieszka Ficek
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.