Wszystkie artykuły
    Poradnik29 maja 20268 min

    Certyfikat KSeF: co to jest, jak go uzyskać i dlaczego zastąpi token

    Zespół FakturaFlowPraktycy automatyzacji KSeF dla biur rachunkowych w Polsce.

    Token KSeF to rozwiązanie przejściowe. Od 1 stycznia 2027 r. zostaje wycofany, a jego miejsce zajmuje certyfikat KSeF. Dla biura, które właśnie układa procedury na lata, to nie ciekawostka, tylko termin w kalendarzu. W tym przewodniku wyjaśniamy, czym certyfikat różni się od tokenu, jakie ma typy, jak go uzyskać i jak przygotować się na zmianę, zanim stanie się obowiązkowa.

    Czym jest certyfikat KSeF

    Certyfikat KSeF to elektroniczne poświadczenie tożsamości, służące do uwierzytelnienia się w systemie. Najważniejsza różnica wobec tokenu kryje się w tym, czego certyfikat NIE robi: sam w sobie nie przenosi żadnych uprawnień. Działa jak podpis kwalifikowany, czyli potwierdza, kim jesteś, a nie co możesz zrobić.

    To odwrotnie niż token, który niesie w sobie konkretne uprawnienia zadeklarowane w chwili jego wygenerowania. W modelu certyfikatów uprawnienia nadaje się osobno, w samym KSeF, dla identyfikatora podatkowego (NIP lub PESEL) powiązanego z certyfikatem. Certyfikat nie jest też przypisany do jednego kontekstu, więc tej samej osoby można użyć w różnych rolach, jeśli ma odpowiednie uprawnienia.

    Dwa typy certyfikatu

    Certyfikat KSeF występuje w dwóch typach i, co istotne, jeden certyfikat może mieć tylko jeden typ. Nie da się wystawić certyfikatu łączącego obie funkcje.

    • Typ 1, uwierzytelnienie. Służy do logowania się do KSeF, zarówno w sesji interaktywnej, jak i wsadowej. To podstawowy certyfikat do codziennej pracy.
    • Typ 2, offline. Wymagany do oznaczania faktur kodem potwierdzającym tożsamość wystawcy przy wystawianiu w trybach offline (offline24, niedostępność, awaria). Tego typu certyfikat nie służy do uwierzytelnienia, tylko do podpisania faktury offline. Piszemy o tym szerzej w artykule o trybach offline KSeF.

    Praktyczny wniosek: biuro, które chce być przygotowane i na codzienną pracę, i na awarię systemu, potrzebuje certyfikatów obu typów.

    Jak uzyskać i wygenerować certyfikat krok po kroku

    Certyfikaty wnioskuje się elektronicznie. Od listopada 2025 r. do końca stycznia 2026 r. generowano je w Module Certyfikatów i Uprawnień (MCU), dostępnym wyłącznie przez przeglądarkę pod adresem mcu.mf.gov.pl. Od lutego 2026 r. wnioskowanie o certyfikat i jego pobieranie są dostępne także w API KSeF 2.0 oraz w Aplikacji Podatnika KSeF 2.0.

    Sam proces składa się z kilku etapów:

    1. Uwierzytelnienie. Logujesz się jako podatnik lub osoba uprawniona, na przykład Podpisem Zaufanym, kwalifikowanym podpisem elektronicznym albo kwalifikowaną pieczęcią elektroniczną.
    2. Sprawdzenie limitów. System sprawdza, ile certyfikatów możesz jeszcze uzyskać.
    3. Złożenie wniosku. Dane do wniosku odczytywane są z certyfikatu użytego do uwierzytelnienia. Wniosek składa się wyłącznie we własnym imieniu, a próba podmiany danych skutkuje odrzuceniem.
    4. Pobranie certyfikatu. Po przetworzeniu wniosku certyfikat jest gotowy do pobrania.

    Certyfikat osobisty a certyfikat na firmę

    To rozróżnienie ma duże znaczenie dla biura obsługującego wielu klientów i własnych pracowników.

    Certyfikat osoby fizycznej (na przykład jednoosobowej działalności) jest osobistym poświadczeniem tożsamości. Nie wolno go przekazywać innym osobom, możesz korzystać z niego tylko Ty.

    Certyfikat wydany na firmę (spółkę z kwalifikowaną pieczęcią) nie jest powiązany z konkretną osobą. Spółka może go przekazać wybranym pracownikom. To droga, którą biuro jako podmiot może wyposażyć zespół w certyfikaty firmowe.

    Niezależnie od tego, dostęp do KSeF klientów porządkuje się przez uprawnienia. Biuro nie musi nadawać uprawnień każdemu pracownikowi osobno, jeśli otrzyma uprawnienie na poziomie podmiotu z możliwością dalszego delegowania. Co ważne, ważność certyfikatu jest niezależna od uprawnień: odebranie księgowej dostępu do jednego klienta nie unieważnia jej certyfikatu.

    Ważność, odnawianie i unieważnianie

    Certyfikat KSeF jest ważny nie dłużej niż 2 lata od daty wytworzenia lub od wskazanej przez podatnika daty początkowej. Można posiadać więcej niż jeden certyfikat, a podmiot uwierzytelniony certyfikatem może wnioskować o kolejny.

    Certyfikat może zostać unieważniony przez właściciela, na przykład w razie kompromitacji klucza prywatnego. Po upływie ważności występuje się o nowy certyfikat w tym samym trybie wnioskowania. Dlatego datę ważności warto wpisać do kalendarza biura, tak samo jak pilnuje się terminów podpisów kwalifikowanych.

    Harmonogram zmiany: token i certyfikat

    DataCo się dzieje
    1 listopada 2025 r.Uruchomienie MCU, generowanie certyfikatów przez przeglądarkę
    1 lutego 2026 r.Wnioskowanie o certyfikat w API KSeF 2.0 i Aplikacji Podatnika; uwierzytelnianie certyfikatem i tryby offline dostępne
    do 31 grudnia 2026 r.Token i certyfikat działają równolegle
    1 stycznia 2027 r.Z dwóch metod pozostają wyłącznie certyfikaty KSeF; token zostaje wycofany

    Co biuro powinno zrobić już teraz

    1. Wydaj certyfikaty z wyprzedzeniem. Nie czekaj do końca 2026 r. ani do pierwszej awarii. Przygotuj certyfikaty typu 1 dla codziennej pracy i typu 2 pod tryby offline.
    2. Uporządkuj uprawnienia. Skoro certyfikat nie niesie uprawnień, zadbaj o ich nadanie i delegowanie w KSeF, najlepiej na poziomie podmiotu.
    3. Zaplanuj migrację z tokenów. Jeśli dziś pracujesz na tokenach, potraktuj 2026 rok jako okres przejściowy i przejdź na certyfikaty, zanim staną się jedyną opcją. Jak działają same tokeny, opisujemy w artykule o tokenie KSeF.
    4. Pilnuj ważności. Dwa lata mijają szybciej, niż się wydaje. Wpisz daty do kalendarza biura.

    Najczęstsze pytania

    Od kiedy obowiązuje certyfikat KSeF?

    Wnioskować o certyfikat można od 1 listopada 2025 r. w Module Certyfikatów i Uprawnień, a od 1 lutego 2026 r. także w API KSeF 2.0 i Aplikacji Podatnika KSeF. Od 1 stycznia 2027 r. certyfikat pozostaje jedyną metodą uwierzytelnienia tego typu, gdy token zostaje wycofany.

    Jak wygenerować certyfikat KSeF?

    Logujesz się jako podatnik lub osoba uprawniona (Podpisem Zaufanym, kwalifikowanym podpisem lub pieczęcią), składasz wniosek we własnym imieniu, a po jego przetworzeniu pobierasz certyfikat. Robisz to w Module Certyfikatów i Uprawnień, w Aplikacji Podatnika KSeF lub przez API.

    Czy certyfikat KSeF jest płatny?

    Wniosek składa się w bezpłatnych narzędziach Ministerstwa Finansów (Moduł Certyfikatów i Uprawnień, Aplikacja Podatnika KSeF, API), bez konieczności zakupu komercyjnego oprogramowania.

    Jak długo ważny jest certyfikat KSeF?

    Nie dłużej niż 2 lata od daty wytworzenia lub od wskazanej przez podatnika daty początkowej. Po upływie ważności występuje się o nowy certyfikat w tym samym trybie.

    Czym certyfikat różni się od tokenu?

    Token niesie w sobie uprawnienia zadeklarowane w chwili generowania. Certyfikat jest wyłącznie środkiem uwierzytelnienia i sam nie nadaje uprawnień, które trzeba nadać osobno w KSeF. Token działa do końca 2026 r., a certyfikat zostaje docelowo.

    Podsumowanie

    Certyfikat KSeF to docelowa metoda uwierzytelnienia, która od 1 stycznia 2027 r. zastąpi token. Różni się od niego zasadniczo: jest wyłącznie poświadczeniem tożsamości i nie niesie uprawnień, które nadaje się osobno. Występuje w dwóch typach (uwierzytelnienie i offline), jest ważny do 2 lat i wydaje się go we własnym imieniu, przy czym certyfikat firmowy można rozdzielić między pracowników. Biuro, które wyda certyfikaty obu typów, uporządkuje uprawnienia i zaplanuje odejście od tokenów jeszcze w 2026 roku, wejdzie w 2027 bez przerwy w pracy z KSeF.

    Wypróbuj za darmo

    Sprawdź swoją fakturę, zanim odrzuci ją KSeF

    Wgraj XML faktury w walidatorze FakturaFlow i zobacz konkretne błędy zanim plik trafi do Krajowego Systemu e-Faktur. Bez konta, bez instalacji, pliki nie opuszczają Twojej przeglądarki.

    Sprawdź fakturę za darmo Cockpit dla biura

    Walidator XML FA(3) · Konwerter PDF → XML · 3 użycia dziennie za darmo