Certyfikat KSeF – jak i gdzie go uzyskać oraz do czego służy?

Certyfikat KSeF (Krajowy System e-Faktur) to cyfrowa pieczęć – specjalny plik, który od 1 lutego 2026 roku będzie używany do uwierzytelniania firmy w systemie e-faktur. Jego zadaniem będzie identyfikowanie firmy, tak aby nikt nie mógł się pod nią podszyć, a także umożliwianie wystawiania faktur w trybie offline. Do końca 2026 roku przedsiębiorcy będą mieli wybór, czy chcą uwierzytelnić się w KSeF za pomocą dotychczas stosowanych tokenów, czy są gotowi na wdrożenie certyfikatów. W artykule wyjaśniamy, po co jest certyfikat KSeF i jak go uzyskać.

Czym jest certyfikat KSeF?

Po dniu 1 lutego 2026 roku certyfikat KSeF będzie stanowił jedną z metod – obok tokenów, których los jest jednak przesądzony – uwierzytelnienia się w Krajowym Systemie e-Faktur. Będzie wymagany do oznaczenia faktury kodem umożliwiającym potwierdzenie tożsamości wystawcy przy wystawianiu faktur w trybach szczególnych: offline24, offline (niedostępność systemu) oraz awaryjnym.

Certyfikaty działają podobnie jak podpis kwalifikowany czy pieczęć elektroniczna – pozwalają jednoznacznie zweryfikować, kto wystawił fakturę lub zalogował się do systemu.

Ministerstwo Finansów wyodrębniło dwa podstawowe typy certyfikatów KSeF.

Pierwszy rodzaj służy do uwierzytelniania się w KSeF osobom pracującym w systemach KSeF i korzystających z niego za pośrednictwem Krajowego Systemu e-Faktur.
Drugi rodzaj służy do wystawiania faktur w trybie offline, gdy nie można połączyć się z systemem z powodu braku dostępu do internetu lub przerwy w działaniu systemu.

Gdy zajdzie konieczność wystawienia faktury offline – niezależnie od przyczyny – certyfikat umożliwi oznaczenie faktury specjalny kodem QR lub linkiem potwierdzającym tożsamość wystawcy.

Do czego służy certyfikat KSeF?

Certyfikaty KSeF będą służyły do uwierzytelniania się w systemie. Stanowić będą kluczowy element systemu e-faktur w Polsce.
System certyfikatów ma za zadanie ujednolicić sposób identyfikacji użytkowników i umożliwić pełną automatyzację logowania bez konieczności każdorazowego używania podpisu kwalifikowanego.
Prawidłowo wystawiony certyfikat będzie potwierdzał tożsamość przedsiębiorstwa i utrudni podszywanie się pod firmę.
Certyfikaty umożliwią fakturowanie także w razie awarii systemu KSeF lub braku połączenia z internetem.
Wszystko to ma zwiększyć bezpieczeństwo, stabilność i ciągłość fakturowania.

Jak uzyskać certyfikat KSeF?

Certyfikaty KSeF są generowane online przez Moduł Certyfikatów i Uprawnień (MCU).

W pierwszej kolejności użytkownik musi się zalogować do MCU z wykorzystaniem wybranej metody autoryzacji: profilu zaufanego, certyfikatu kwalifikowanego z NIP lub PESEL albo certyfikatu kwalifikowanego bez tych danych.
Następnie użytkownik wskazuje identyfikator podatnika (NIP, numer VAT-UE lub identyfikator wewnętrzny).
Po przeprowadzeniu uwierzytelnienia użytkownik składa wniosek o certyfikat za pomocą specjalnego formularza. Wskazuje w nim m.in.:
- typ certyfikatu (podpis linku do weryfikacji wystawcy lub uwierzytelnienie w systemie KSeF),
- jego nazwę własną,
- datę początku ważności (jeśli nie dokona wyboru, ważność liczona będzie od dnia wydania).
Po zatwierdzeniu wniosku użytkownik będzie mógł pobrać gotowy certyfikat. Należy zachować go w bezpiecznym miejscu.

Każdorazowo po zalogowaniu się do MCU użytkownik ma możliwość:

zarządzać uprawnieniami użytkowników systemu,
składać wnioski o certyfikaty,
pobierać wydane certyfikaty.

Zapisz się do newslettera

Zostaw swój adres e-mail i otrzymuj raz w tygodniu poradniki wspierające rozwój Twojej firmy

Harmonogram zmian

Zmiany w zakresie uwierzytelniania w KSeF nie zaczną obowiązywać z dnia na dzień: cały proces potrwa półtora roku. Można w nim wyróżnić następujące kluczowe momenty:

Od 1 listopada 2025 r. przedsiębiorcy i osoby uprawnione mogą składać wnioski o certyfikaty w Module Certyfikatów i Uprawnień (MCU).
Od listopada 2025 r. do końca stycznia 2026 r. wszystkie certyfikaty będą wydawane wyłącznie za pośrednictwem MCU.
1 lutego 2026 r. ruszy nowa wersja systemu – KSeF 2.0. Od tego dnia możliwe będzie logowanie przy użyciu certyfikatów typu 1 oraz wystawianie faktur w trybie offline z wykorzystaniem certyfikatów typu 2.
Przez cały 2026 rok przedsiębiorcy będą mogli uwierzytelniać się za pomocą tokenów lub certyfikatów KSeF, w zależności od preferencji (więcej piszemy o tym w dalszej części artykułu).
31 grudnia 2026 r. to ostatni dzień ważności tokenów.
Od 1 stycznia 2027 r. jedynym sposobem uwierzytelniania w KSeF staną się certyfikaty KSeF.

Niezależnie od tego, że KSeF startuje 1 lutego 2026 r., Ministerstwo Finansów umożliwiło wcześniejszy dostęp do MCU, tak aby przedsiębiorcy mogli zaplanować proces nadawania i zarządzania uprawnieniami w KSeF 2.0. Mogą wykorzystać ten czas, aby:

dostosować swoje procedury i systemy IT;
upewnić się, że wszystko działa zgodnie z przepisami;
zwiększyć bezpieczeństwo i kontrolę nad dostępem do danych i dokumentów.

Bezpieczeństwo certyfikatów KSeF

Certyfikaty KSeF zawierają dane osobowe lub firmowe. Aby uniemożliwić nieuprawniony dostęp innych osób, należy upewnić się, że:

z certyfikatu zawierającego dane osobowe osoby fizycznej korzysta wyłącznie ta osoba;
certyfikaty przypisane do firm (np. spółek) nie są powiązane z konkretnymi pracownikami.

Firmy powinny mieć jasne zasady dotyczące pobierania, przekazywania, używania, oraz unieważniania certyfikatów.

Limity wydawanych certyfikatów

Jedną z metod zwiększenia bezpieczeństwa certyfikatów KSeF w procesie uwierzytelniania jest wprowadzenie limitu liczby aktywnych i nowych certyfikatów, jakie może posiadać jeden użytkownik lub podmiot. Liczba certyfikatów zależy od formy organizacyjnej użytkownika i wynosi:

maksymalnie dwa aktywne i dwa nowe dla osoby fizycznej z identyfikatorem PESEL,
do stu aktywnych i stu nowych dla osoby fizycznej z NIP,
do stu aktywnych stu nowych dla podmiotu niebędącego osobą fizyczną,
maksymalnie dwa aktywne i dwa nowe dla podmiotu uwierzytelniającego się tzw. odciskiem palca.

Ponadto Ministerstwo Finansów wprowadziło limit żądań wydania certyfikatów w okresie 30 dni. Limit ustalono na poziomie:

sześciu dla identyfikatora PESEL,
trzystu dla identyfikatora NIP,
sześciu dla uwierzytelnienia opartego na tzw. odcisku palca.

Tokeny a certyfikaty KSeF

Obecnie firmy korzystające z KSeF mogą uwierzytelniać się za pomocą tokenów, czyli unikalnych kluczy dostępu przypisanych do użytkownika. Token zawiera w sobie przypisane uprawnienia i nie ma ograniczonego czasu ważności. Po 1 stycznia 2026 roku, kiedy wdrożony zostanie system KSeF 2.0, zadanie to będzie pełnił również certyfikat KSeF.

Do 1 stycznia 2027 roku tokeny i certyfikaty KSeF będą działały równolegle, ale po tym terminie tokeny zostaną wyłączone i jedynym sposobem uwierzytelnienia staną się certyfikaty.

12-miesięczny okres przejściowy przedsiębiorcy powinni przeznaczyć na wdrożenie się do nowego sposobu uwierzytelniania w KSeF.

Od 1 lutego 2026 r. obie metody będą działać równolegle, co pozwoli przedsiębiorcom płynnie przejść na nowe rozwiązanie. Okres przejściowy potrwa do końca roku, a od 1 stycznia 2027 r. jedynym obowiązującym sposobem uwierzytelniania w KSeF staną się certyfikaty.

Jeżeli masz wątpliwości dotyczące certyfikatów KSeF lub samego funkcjonowania Krajowego Systemu e-Faktur, skorzystaj ze wsparcia doświadczonej kancelarii rachunkowej TaxCoach. Prowadzimy efektywną księgowość dla JDG, spółek i fundacji. Skontaktuj się z naszym doradcą!

Jeśli zainteresował Cię ten wpis, sprawdź naszą ofertę i przeczytaj jak możemy Ci pomóc:

Zapoznaj się z ofertą

Podsumowanie

FAQ

Co w sytuacji, gdy przedsiębiorca nie wyrobi certyfikatu KSeF?

Firmy nieposiadające certyfikatu będą mogły w dalszym ciągu logować się do KSeF za pomocą Aplikacji Podatnika, korzystając z profilu zaufanego lub podpisu kwalifikowanego. Brak certyfikatu uniemożliwi jednak integrację systemu księgowego z platformą KSeF Ministerstwa Finansów (przez API 2.0) i nie wystawi faktur w trybie offline.

Czy certyfikaty KSeF unieważniają tokeny?

Obecnie firmy korzystające z KSeF mogą uwierzytelniać się za pomocą tokenów, czyli unikalnych kluczy dostępu przypisanych do użytkownika. Do końca 2026 roku tokeny i certyfikaty KSeF będą działały równolegle, ale po tym terminie tokeny zostaną wyłączone i jedynym sposobem uwierzytelnienia staną się certyfikaty.

Jak firma może uzyskać certyfikat KSeF?

Wniosek o przyznanie certyfikatu składa się za pośrednictwem Modułu Certyfikatów i Uprawień z wykorzystaniem kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej. Ze względów bezpieczeństwa w procesie uwierzytelniania wprowadzono limit liczby aktywnych i nowych certyfikatów, jakie może posiadać jeden użytkownik lub podmiot.

Zaciekawił Cię ten wpis?

Zapisz się do naszego bezpłatnego newslettera, będziemy Ci raz w tygodniu wysyłać informacje o nowych wpisach.

adres e-mail*

* Wyrażam zgodę na przetwarzanie podanych wyżej danych osobowych oraz ich przekazanie do spółek powiązanych w celu przesyłania informacji promocyjnych, ofert handlowych i innych działań marketingowych na podany adres e-mail i numer telefonu przez Taxcoach sp. z o.o., ul. Wierzbięcice 44A/40A, 61-568 Poznań. Szczegóły znajdują się w Polityce prywatności oraz Podmioty powiązane.

Umów się na bezpłatną konsultację

Rozwijaj firmę dzięki rachunkowości połączonej z doradztwem:

Pomoc w założeniu firmy

Wsparcie doradcy podatkowego

Wsparcie dyrektora finansowego

lub

Przejdź do kontaktu

adres e-mail*

numer telefonu*

*Wyrażam zgodę na przetwarzanie moich danych w celu odpowiedzi na moje zapytanie. Więcej w Polityce prywatności.

Wyrażam zgodę na przetwarzanie podanych wyżej danych osobowych oraz ich przekazanie do spółek powiązanych w celu przesyłania informacji promocyjnych, ofert handlowych i innych działań marketingowych na podany adres e-mail i numer telefonu przez Taxcoach sp. z o.o., ul. Wierzbięcice 44A/40A, 61-568 Poznań. Szczegóły znajdują się w Polityce prywatności oraz Podmioty powiązane.