Wszystkie artykuły
    Poradnik25 kwietnia 20266 min

    Token KSeF krok po kroku: jak wygenerować i co zmieni się od 2027 r.

    Zespół FakturaFlowPraktycy automatyzacji KSeF dla biur rachunkowych w Polsce.

    Token KSeF to klucz autoryzacyjny, który pozwala biuru rachunkowemu wysyłać faktury w imieniu klienta. Bez niego każda wysyłka wymagałaby ręcznego logowania klienta do Portalu Podatnika. W tym przewodniku pokazujemy krok po kroku, jak token wygenerować, gdzie go wkleić oraz jak odnowić, zanim wygaśnie.

    Czym jest token KSeF?

    Token KSeF to długi ciąg znaków (kilkadziesiąt liczb i liter) wydawany przez Ministerstwo Finansów konkretnemu podatnikowi. Token działa jak hasło aplikacyjne: pozwala dowolnemu systemowi zewnętrznemu (np. FakturaFlow) wykonywać operacje w KSeF w imieniu danego NIP, bez konieczności znajomości hasła do konta podatnika.

    Format tokenu jest stały: YYYYMMDD-EC-HEX-HEX-NN|nip-XXXXXXXXXX|HEX. Pierwszy człon zawiera datę wystawienia, drugi typ (EC oznacza token), trzeci identyfikator. Środkowa sekcja (po pionowej kresce) potwierdza, do jakiego NIP-u token jest powiązany.

    Po co biuro rachunkowe potrzebuje tokenu klienta?

    Biuro rachunkowe wystawia faktury w imieniu wielu klientów, ale każda z nich musi trafić do KSeF z autoryzacją tego konkretnego klienta (jego NIP). Bez tokenu biuro musiałoby logować się do Portalu Podatnika osobno dla każdego klienta i ręcznie wgrywać pliki XML. Z tokenem wystarczy wkleić go raz w systemie obsługi, a od tego momentu cała wysyłka działa automatycznie.

    Krok po kroku: generowanie tokenu w Portalu Podatnika

    Token może wygenerować właściciel firmy (osoba fizyczna prowadząca działalność lub osoba uprawniona w spółce) po zalogowaniu się na swoje konto w Portalu Podatnika. Jeśli to klient biura, najczęstszy scenariusz to przesłanie mu instrukcji. W skrócie:

    1. Klient loguje się na ksef.podatki.gov.pl używając Profilu Zaufanego, e-Dowodu lub kwalifikowanego podpisu.
    2. Wybiera kontekst NIP swojej firmy (jeśli ma kilka kontekstów).
    3. W menu wybiera "Tokeny" i klika "Wygeneruj token".
    4. Wybiera zakres uprawnień (zalecamy "Wystawianie faktur" oraz "Dostęp do faktur"; pełne uprawnienia są niepotrzebne i zwiększają ryzyko w razie wycieku).
    5. Po zatwierdzeniu Portal wyświetli token jednorazowo. Klient musi go skopiować od razu, ponieważ system nie pozwoli zobaczyć go ponownie.
    6. Klient przesyła token do biura, najlepiej kanałem szyfrowanym (np. wewnętrzna wiadomość w panelu klienta, nie zwykły e-mail).

    Zakresy uprawnień tokenu

    Token można wygenerować z różnymi zakresami uprawnień. Najczęściej spotykane:

    • Wystawianie faktur pozwala wysyłać faktury do KSeF w imieniu klienta. To podstawowe uprawnienie wymagane przez biuro rachunkowe.
    • Dostęp do faktur pozwala pobierać UPO oraz archiwum wysłanych faktur. Razem z poprzednim zapewnia pełny obieg dokumentu.
    • Zarządzanie uprawnieniami pozwala nadawać innym użytkownikom dostęp do KSeF danego podatnika. To uprawnienie tylko dla właściciela. Biuro nie powinno o nie prosić.

    Jak długo ważny jest token?

    Wygenerowany token KSeF pozostaje ważny do czasu jego unieważnienia przez właściciela (źródło: MF FAQ KSeF 2.0). Token nie ma więc sztywnej daty wygaśnięcia liczonej w dniach, ale jest automatycznie unieważniany w chwili utraty powiązanych z nim uprawnień. W środowisku testowym ważność tokenu wynosi około 24 godzin, co czasem zaskakuje deweloperów testujących integrację.

    Jest jednak druga, ważniejsza data graniczna, opisana w następnej sekcji.

    Co zmieni się od 2027 r.: koniec tokenów, początek certyfikatów

    To część, o której łatwo zapomnieć przy konfiguracji na dziś, a która przesądza o tym, czy proces w biurze przetrwa zmianę zasad. Tokeny KSeF będą działały tylko do końca 2026 r. Ministerstwo Finansów potwierdza to wprost: „Od 1 lutego 2026 r. możliwe jest (...) korzystanie zarówno z certyfikatów KSeF jak i tokenów. Docelowo od 1 stycznia 2027 r. z tych dwóch rozwiązań pozostaną wyłącznie certyfikaty KSeF" (źródło: MF, Certyfikaty KSeF).

    W praktyce oznacza to trzy okresy:

    • Do 31 stycznia 2026 r. uwierzytelnianie odbywa się dotychczasowymi metodami (podpis i pieczęć kwalifikowana, Profil Zaufany, token).
    • Od 1 lutego do 31 grudnia 2026 r. tokeny i certyfikaty KSeF działają równolegle. To okres przejściowy, w którym warto zacząć wydawać certyfikaty, nie czekając na ostatni moment.
    • Od 1 stycznia 2027 r. tokeny przestają działać. Pozostają certyfikaty KSeF (oraz podpis i pieczęć kwalifikowana).

    Token a certyfikat: to nie to samo

    Najważniejsza różnica, która zmienia sposób pracy biura: token niesie w sobie uprawnienia, a certyfikat służy wyłącznie do uwierzytelnienia. MF opisuje to tak: „certyfikaty stanowią wyłącznie środek uwierzytelnienia w systemie, podobnie jak np. podpis kwalifikowany". Uprawnienia (przeglądanie i wystawianie faktur) nadaje się więc osobno, dla identyfikatora podatkowego zapisanego na certyfikacie, i to one decydują, co dana osoba może zrobić w KSeF.

    Pozostałe praktyczne różnice:

    • Ważność. Certyfikat KSeF jest ważny nie dłużej niż 2 lata od daty wytworzenia. Token nie ma takiego limitu, ale i tak znika z końcem 2026 r.
    • Dwa typy certyfikatu. Certyfikat typu 1 służy do uwierzytelniania (sesja interaktywna i wsadowa). Certyfikat typu 2 jest wymagany do oznaczania faktur w trybach szczególnych: offline24, niedostępności systemu oraz w trybie awaryjnym. Tego token nie potrafił, więc certyfikat typu 2 to realna nowa możliwość, a nie tylko zamiennik.
    • Skąd go wziąć. Certyfikaty KSeF można wnioskować od 1 listopada 2025 r., a od 1 lutego 2026 r. są dostępne w aplikacji Podatnika i przez API.

    Co powinno zrobić biuro już teraz

    1. Traktuj token jako rozwiązanie tymczasowe. Konfiguruj go do bieżącej wysyłki, ale nie buduj procedury na lata wyłącznie wokół tokenów.
    2. Zaplanuj wydanie certyfikatów KSeF w 2026 r., najlepiej własnych certyfikatów biura, zanim nadejdzie grudniowy szczyt prac.
    3. Przetestuj certyfikat typu 2 pod tryby offline, zanim trafisz na pierwszą awarię KSeF w realnej wysyłce.

    Jak wkleić token w FakturaFlow

    Po założeniu konta w FakturaFlow i dodaniu pierwszego klienta:

    1. Wejdź w Klienci, otwórz profil klienta.
    2. Przejdź do zakładki KSeF.
    3. W polu "Token KSeF" wklej cały ciąg znaków przesłany przez klienta (razem z separatorami i sekcją |nip-XXX|).
    4. Kliknij "Sprawdź połączenie". System weryfikuje token testowym zapytaniem do KSeF i potwierdza, że jest aktywny.
    5. Zapisz.

    Token jest przechowywany w bazie zaszyfrowanej w spoczynku (AES-256, na poziomie infrastruktury Supabase) z dostępem ograniczonym przez Row Level Security do członków Twojego biura. Pracownicy spoza Twojej organizacji nie widzą tokenu, nawet jeśli mają konto w FakturaFlow.

    Co zrobić, gdy token wygaśnie?

    FakturaFlow wyświetla ostrzeżenie 30 dni przed wygaśnięciem tokenu każdego klienta. Otrzymujesz wtedy e-mail z listą klientów, którym kończy się ważność tokenu. Wystarczy poprosić ich o wygenerowanie nowego (procedura jak wyżej) i wkleić go w miejsce starego. Stary token automatycznie wygaśnie.

    Jeśli klient zwleka z odnowieniem tokenu i ten faktycznie wygaśnie, wszystkie próby wysyłki faktur dla tego NIP zwrócą błąd autoryzacji 401. W artykule o najczęstszych błędach KSeF opisujemy, jak rozpoznać ten konkretny przypadek i co zrobić.

    Najczęstsze pytania

    Czy mogę używać jednego tokenu dla kilku klientów?

    Nie. Token jest sztywno powiązany z konkretnym NIP-em (widać go w środkowej sekcji ciągu). Dla każdego klienta biura potrzebujesz osobnego tokenu wygenerowanego z jego konta.

    Czy klient widzi, co biuro robi z jego tokenem?

    Tak. Każda operacja wykonywana z użyciem tokenu jest logowana w Portalu Podatnika danego klienta. Klient w każdej chwili widzi listę wysłanych faktur i może odebrać uprawnienia tokenu (co spowoduje natychmiastowe wygaśnięcie).

    Czy można odzyskać zapomniany token?

    Nie. Portal Podatnika wyświetla token tylko raz, w chwili generowania. Jeśli klient go zgubił, musi wygenerować nowy.

    Podsumowanie

    Token KSeF to fundament codziennej pracy biura rachunkowego z e-fakturami. Im lepszy proces zbierania, archiwizacji i odnawiania tokenów, tym mniej przerw w wysyłce. Skonfiguruj go raz dla każdego klienta i pamiętaj o cyklu odnawiania (najlepiej w kalendarzu klienta, na 30 dni przed terminem). FakturaFlow pomoże, monitorując ważność tokenów we wszystkich klientach jednocześnie.

    Wypróbuj za darmo

    Sprawdź swoją fakturę, zanim odrzuci ją KSeF

    Wgraj XML faktury w walidatorze FakturaFlow i zobacz konkretne błędy zanim plik trafi do Krajowego Systemu e-Faktur. Bez konta, bez instalacji, pliki nie opuszczają Twojej przeglądarki.

    Sprawdź fakturę za darmo Cockpit dla biura

    Walidator XML FA(3) · Konwerter PDF → XML · 3 użycia dziennie za darmo