Uwierzytelnienie w KSeF - sposoby autoryzacji w systemie

Spis treści

Krajowy System e-Faktur zmienia sposób prowadzenia działalności gospodarczej w Polsce, wprowadzając obowiązkowe wystawianie faktur elektronicznych. Wbrew powszechnym opiniom, system ten w głównej mierze dotyczy przedsiębiorców, a nie biur rachunkowych, ponieważ to przedsiębiorcy są odpowiedzialni za wystawianie faktur w ramach swojej działalności gospodarczej. Aby móc korzystać z KSeF i nadawać uprawnienia osobom trzecim lub biurom rachunkowym, konieczne jest przeprowadzenie procesu autoryzacji w systemie.

KSeF to zewnętrzny system rządowy wymagający obowiązkowej autoryzacji przed uzyskaniem dostępu do funkcji. Proces uwierzytelnienia jest niezbędny zarówno dla przedsiębiorców, jak i osób trzecich otrzymujących uprawnienia. System oferuje kilka metod autoryzacji dostosowanych do różnych typów użytkowników

Uwierzytelnienie w KSeF może odbywać się na różne sposoby, w zależności od rodzaju podmiotu i jego preferencji. Dostępne są zarówno metody bezpłatne, jak i płatne, umożliwiające elastyczne podejście do autoryzacji. Każda metoda ma swoje specyficzne zastosowanie i ograniczenia, które warto poznać przed dokonaniem wyboru.

Dostępne sposoby uwierzytelnienia w KSeF

System KSeF oferuje różnorodne metody autoryzacji, które zostały dostosowane do potrzeb różnych typów użytkowników. Wybór odpowiedniej metody zależy od rodzaju podmiotu prowadzącego działalność gospodarczą oraz preferencji dotyczących bezpieczeństwa i kosztów.

Podstawowe sposoby uwierzytelnienia obejmują profil zaufany, kwalifikowany podpis elektroniczny oraz kwalifikowaną pieczęć elektroniczną z numerem NIP. Każda z tych metod ma swoje specyficzne zastosowanie i jest dedykowana określonemu typowi użytkowników.

Profil zaufany stanowi bezpłatną metodę autoryzacji dostępną dla osób fizycznych. Kwalifikowany podpis elektroniczny oraz pieczę elektroniczna to metody płatne, wymagające zakupu odpowiednich certyfikatów. Wybór metody powinien uwzględniać zarówno koszty, jak i specyfikę prowadzonej działalności

Dodatkowo system umożliwia autoryzację za pomocą tokenów dostępu, które stanowią uniwersalną metodę uwierzytelnienia. Tokeny to ciągi znaków alfanumerycznych generowane bezpośrednio z poziomu KSeF, które można przypisać konkretne uprawnienia bez wskazywania konkretnej osoby otrzymującej dostęp.

Metoda autoryzacji	Typ podmiotu	Koszt	Zastosowanie
Profil zaufany	Osoba fizyczna	Bezpłatny	Przedsiębiorcy i osoby trzecie
Podpis kwalifikowany	Osoba fizyczna	Płatny	Przedsiębiorcy i osoby trzecie
Pieczęć z NIP	Spółki	Płatny	Podmioty niebędące osobami fizycznymi
ZAW-FA	Spółki	Bezpłatny	Nadanie uprawnień osobie fizycznej
Token	Wszyscy	Bezpłatny	Uniwersalna metoda autoryzacji

Tokeny uznawane są za uniwersalną metodę autoryzacji, ponieważ nie wymagają podania danych osobowych i mogą być używane przez różne typy użytkowników. Jednak ich uniwersalność niesie ze sobą pewne ryzyka związane z bezpieczeństwem, o których należy pamiętać przy ich wykorzystywaniu.

Uwierzytelnienie osób fizycznych w KSeF

Osoby fizyczne korzystające z systemu KSeF mogą znaleźć się w dwóch różnych sytuacjach, które determinują sposób autoryzacji. Pierwszą grupę stanowią przedsiębiorcy prowadzący jednoosobową działalność gospodarczą, którzy posiadają pełne uprawnienia właścicielskie w systemie. Drugą grupę tworzą osoby trzecie, takie jak księgowe z biur rachunkowych czy pracownicy firm odpowiedzialni za wystawianie faktur.

Autoryzacja przedsiębiorców prowadzących działalność jednoosobową

Przedsiębiorcy będący osobami fizycznymi automatycznie otrzymują najszerszy zakres uprawnień w systemie KSeF, określany jako uprawnienia właścicielskie. Oznacza to pełny dostęp do wszystkich danych znajdujących się na koncie oraz możliwość wykonywania wszystkich dostępnych czynności w systemie.

Uprawnienia właścicielskie obejmują pełny dostęp do faktur sprzedaży i zakupu, możliwość generowania tokenów dostępu oraz nadawania uprawnień innym osobom. Przedsiębiorcy mogą również zarządzać wszystkimi ustawieniami konta i konfigurować integracje z systemami zewnętrznymi

Dla przedsiębiorców prowadzących jednoosobową działalność gospodarczą dostępne są dwie główne metody uwierzytelnienia:

Profil zaufany - bezpłatna metoda autoryzacji
Kwalifikowany podpis elektroniczny - płatna metoda wymagająca zakupu certyfikatu

Profil zaufany stanowi najpopularniejszy wybór ze względu na brak kosztów i prostotę użytkowania. Przedsiębiorcy posiadający profil zaufany mogą bezpośrednio podpisywać metadane generowane w systemach księgowych, dokonując jednoczesnej autoryzacji w KSeF bez konieczności każdorazowego logowania się do systemu rządowego.

Przedsiębiorca prowadzący sklep internetowy może zintegrować swój system księgowy z KSeF używając profilu zaufanego. Po jednorazowej konfiguracji wszystkie faktury będą automatycznie przesyłane do systemu rządowego bez konieczności ręcznego logowania się przy każdej operacji.

Alternatywnie przedsiębiorcy mogą korzystać z tokenów dostępu, które oferują większą elastyczność w zarządzaniu uprawnieniami. Aby wygenerować token, konieczne jest wcześniejsze uwierzytelnienie w KSeF za pomocą profilu zaufanego lub podpisu kwalifikowanego.

Autoryzacja osób trzecich w systemie KSeF

Osoby fizyczne inne niż przedsiębiorca mogą uzyskać dostęp do konta przedsiębiorcy w KSeF na podstawie nadanych uprawnień. Dostępne są dla nich trzy metody autoryzacji, które umożliwiają różny poziom dostępu i bezpieczeństwa.

Metody autoryzacji dla osób trzecich obejmują:

Profil zaufany - bezpatna metoda wymagająca posiadania własnego profilu zaufanego
Własny podpis kwalifikowany - płatna metoda zapewniająca najwyższy poziom bezpieczeństwa
Token dostępu - bezpłatna metoda oferująca największą elastyczność

Token dostępu nie jest przypisany do konkretnej osoby fizycznej, co oznacza brak informacji w systemie KSeF o tym, kto konkretnie z niego skorzystał. Utrudnia to weryfikację dostępu do konta przedsiębiorcy i może stwarzać problemy z kontrolą uprawnień

Największe wyzwanie związane z tokenami dotyczy ich bezpieczeństwa. Tokeny składają się z ciągów znaków i nie są w żaden sposób zabezpieczone przed kopiowaniem lub udostępnianiem. Oznacza to, że osoba posiadająca token może go przekazać innym bez wiedzy właściciela konta.

Przedsiębiorcy chcący nadać uprawnienia osobom trzecim muszą wygenerować token bezpośrednio na stronie Krajowego Systemu e-Faktur. Osoba fizyczna otrzymująca token wgrywa go do swojego systemu księgowego i uzyskuje dostęp do KSeF przedsiębiorcy w zakresie uprawnień przypisanych do danego tokena.

Uwierzytelnienie spółek i podmiotów niebędących osobami fizycznymi

Spółki i inne podmioty prawne nie posiadają uprawnień właścicielskich w rozumieniu przysługującym osobom fizycznym. W związku z tym nie ma możliwości bezpośredniego logowania się do KSeF za pomocą profilu zaufanego, który jest dedykowany wyłącznie osobom fizycznym.

Dla podmiotów niebędących osobami fizycznymi dostępne są dwie główne metody uwierzytelnienia, które umożliwiają uzyskanie dostępu do systemu i nadawanie uprawnień osobom fizycznym działającym w imieniu spółki.

Kwalifikowana pieczęć elektroniczna z numerem NIP

Pierwszą metodą autoryzacji dla spółek jest wykorzystanie kwalifikowanej pieczęci elektronicznej z numerem NIP. Jest to metoda płatna, wymagająca zakupu odpowiedniego certyfikatu od uprawnionego dostawcy usług zaufania.

Kwalifikowana pieczęć elektroniczna z numerem NIP umożliwia bezpośrednią autoryzację spółki w systemie KSeF. Certyfikat musi być wydany na konkretny podmiot z określonym numerem NIP i może być używany wyłącznie przez uprawnione osoby działające w imieniu tego podmiotu

Pieczęć elektroniczna jest szczególnie przydatna w przypadku nadawania uprawnień innym podmiotom, a nie konkretnym osobom fizycznym. Taka sytuacja występuje często przy współpracy z biurami rachunkowymi, gdzie uprawnienia przypisuje się do numeru NIP biura, a nie do konkretnej księgowej czy właściciela biura.

Formularz zgłoszeniowy ZAW-FA

Drugą, bezpłatną metodą autoryzacji dla spółek jest złożenie formularza zgłoszeniowego ZAW-FA w odpowiednim urzędzie skarbowym. Ta metoda umożliwia nadanie uprawnień konkretnej osobie fizycznej do działania w imieniu spółki w systemie KSeF.

Proces składania formularza ZAW-FA ma określone ograniczenia i specyfikę:

Jeden formularz ZAW-FA może dotyczyć tylko jednej osoby fizycznej
Osoba zgłoszona otrzymuje uprawnienia do zarządzania uprawnieniami w KSeF
Po otrzymaniu uprawnień może nadawać dostęp kolejnym osobom bezpośrednio w systemie
Kolejne osoby mogą autoryzować się za pomocą profilu zaufanego lub podpisu elektronicznego
Zgłoszona osoba może generować tokeny dostępu dla innych użytkowników

Osoba zgłoszona za pomocą formularza ZAW-FA staje się swoistym administratorem spółki w systemie KSeF. Może dowolnie nadawać i odbierać uprawnienia innym osobom oraz generować tokeny dostępu. To rozwiązanie jest szczególnie praktyczne w spółkach z kilkoma wspólnikami

W spółce z ograniczoną odpowiedzialnością z dwoma wspólnikami jeden z nich może zostać zgłoszony na formularzu ZAW-FA i otrzymać uprawnienia założycielskie. Następnie może nadać uprawnienia drugiemu wspólnikowi bezpośrednio w systemie KSeF, gdzie ten będzie autoryzować się za pomocą swojego profilu zaufanego.

Nadawanie uprawnień biurom rachunkowym

Specyficzną sytuacją jest nadawanie uprawnień biurom rachunkowym jako podmiotom, a nie konkretnym osobom fizycznym. W takim przypadku uprawnienia przypisuje się do numeru NIP biura rachunkowego, co wymaga odpowiedniej metody uwierzytelnienia.

Biuro rachunkowe otrzymujące uprawnienia przypisane do swojego numeru NIP musi korzystać z kwalifikowanej pieczęci elektronicznej z numerem NIP do autoryzacji w systemie. Nie ma możliwości użycia profilu zaufanego czy podpisu elektronicznego osoby fizycznej, ponieważ uprawnienia zostały nadane podmiotowi, a nie konkretnej osobie.

Anonimowy dostęp do pojedynczych e-faktur

System KSeF wprowadził nie tylko zmiany w sposobie wystawiania faktur, ale także usprawnienia w obiegu dokumentów w obrocie gospodarczym. Na koncie każdego podatnika znajdują się zarówno wystawione przez niego faktury sprzedaży, jak i faktury kosztowe wystawione na jego firmę przez kontrahentów.

Ustawodawca przewidział sytuacje, w których nie każdy podmiot będzie miał pełny dostęp do systemu KSeF. Dotyczy to szczególnie osób fizycznych nieprowadzących działalności gospodarczej oraz podmiotów zagranicznych, które mogą potrzebować dostępu do konkretnych faktur bez konieczności pełnej autoryzacji w systemie.

Anonimowy dostęp do KSeF umożliwia pobranie pojedynczej e-faktury bez konieczności posiadania uprawnień do systemu. Funkcja ta jest szczególnie przydatna dla nabywców będących osobami fizycznymi lub podmiotami zagranicznymi, którzy nie posiadają kont w systemie

Aby skorzystać z anonimowego dostępu do pojedynczej faktury, należy podać następujące dane na stronie rządowej Krajowego Systemu e-Faktur:

Numer identyfikujący fakturę w systemie KSeF
Numer faktury zgodny z dokumentem
NIP lub numer innego identyfikatora nabywcy, albo informację o jego braku
Imię i nazwisko lub nazwę nabywcy, albo informację o braku tych danych
Kwotę należności ogółem z faktury

Osoba fizyczna kupująca samochód od dealera może otrzymać fakturę elektroniczną wystawioną w KSeF. Pomimo braku własnego konta w systemie może pobrać fakturę anonimowo, podając wymagane dane identyfikacyjne na stronie rządowej systemu.

Anonimowy dostęp stanowi ważne uzupełnienie systemu KSeF, zapewniające dostępność dokumentów dla wszystkich uczestników obrotu gospodarczego, niezależnie od ich statusu w systemie. Funkcja ta eliminuje bariery w dostępie do faktur elektronicznych i zapewnia płynność obiegu dokumentów.

Nowy certyfikat KSeF od lutego 2026 roku

System KSeF przechodzi przez kolejny etap rozwoju, który przyniesie istotne zmiany w metodach uwierzytelnienia. Od 1 lutego 2026 roku zostanie wprowadzona nowa metoda autoryzacji w postaci certyfikatu KSeF, który będzie służył zarówno do logowania, jak i do weryfikacji uprawnień nadanych przez podatników.

Certyfikat KSeF będzie wymagany przy wystawianiu faktur w trybach szczególnych, takich jak offline24, tryb offline oraz tryb awaryjny. Umożliwi oznaczenie faktury kodem potwierdzającym tożsamość wystawcy, co zwiększy bezpieczeństwo całego systemu

Nowy certyfikat stanowi elektroniczne poświadczenie tożsamości, podobne do certyfikatów kwalifikowanych obecnie używanych w systemie. Zawiera dane osoby fizycznej lub podmiotu i może być wydany wyłącznie osobie uprawnionej do jego pobrania i używania.

Harmonogram wprowadzenia certyfikatu KSeF:

Od 1 listopada 2025 roku - możliwość składania wniosków o wydanie certyfikatu
Od 1 lutego 2026 roku - obowiązkowe używanie certyfikatu w trybach szczególnych
Okres ważności - 2 lata od daty wydania
Odnowienie - konieczność składania nowego wniosku przed upływem ważności
Zakres zastosowania - logowanie, weryfikacja uprawnień, tryby offline

Certyfikat zawierający dane osoby fizycznej może być wydany wyłącznie tej konkretnej osobie, która jako jedyna będzie mogła go pobrać i używać. To rozwiązanie zwiększy bezpieczeństwo systemu i umożliwi precyzyjną identyfikację użytkowników wykonujących operacje w KSeF.

Bezpieczeństwo i zarządzanie tokenami dostępu

Tokeny dostępu stanowią uniwersalną metodę autoryzacji w KSeF, ale ich wykorzystanie wymaga szczególnej ostrożności ze względu na specyficzne ryzyka bezpieczeństwa. Token to ciąg znaków alfanumerycznych, który nie zawiera żadnych zabezpieczeń przed kopiowaniem czy udostępnianiem nieupoważnionym osobom.

Wygenerowany token należy traktować jak hasło dostępu do konta przedsiębiorcy w KSeF. Każda osoba posiadająca token może uzyskać dostęp do systemu w zakresie przypisanych uprawnień, niezależnie od tego, czy została do tego upoważniona przez właściciela konta

Główne zagrożenia związane z tokenami obejmują:

Możliwość kopiowania i przekazywania bez wiedzy właściciela
Brak identyfikacji konkretnej osoby korzystającej z tokena
Trudności w kontrolowaniu, kto faktycznie ma dostęp do systemu
Niemożność wycofania dostępu konkretnej osoby bez zmiany tokena
Ryzyko wykorzystania tokena przez nieuprawnione osoby trzecie

Aby zminimalizować ryzyka związane z tokenami, przedsiębiorcy powinni:

Generować oddzielne tokeny dla różnych osób lub zastosowań
Regularnie zmieniać tokeny, szczególnie przy zmianie personelu
Ograniczać uprawnienia przypisane do tokenów do niezbędnego minimum
Prowadzić dokumentację dotyczącą wydanych tokenów
Monitorować aktywność w systemie KSeF pod kątem podejrzanych operacji

Podsumowanie metod uwierzytelnienia

Wybór odpowiedniej metody uwierzytelnienia w KSeF zależy od typu podmiotu, preferencji bezpieczeństwa oraz dostępnych zasobów finansowych. Każda metoda ma swoje zalety i ograniczenia, które należy uwzględnić przy podejmowaniu decyzji.

Podmiot	Profil zaufany	Podpis kwalifikowany	Pieczęć z NIP	ZAW-FA	Token
Osoba fizyczna - przedsiębiorca	Tak	Tak	Nie	Tak	Tak
Osoba fizyczna - osoba trzecia	Tak	Tak	Nie	Nie	Tak
Spółka	Nie	Nie	Tak	Tak	Tak
Biuro rachunkowe	Nie	Nie	Tak	Nie	Tak

Metody bezpłatne (profil zaufany, ZAW-FA, token) są najczęściej wybierane przez małych przedsiębiorców i osoby rozpoczynające korzystanie z systemu. Metody płatne (podpis kwalifikowany, pieczęć elektroniczna) oferują wyższy poziom bezpieczeństwa i są preferowane przez większe podmioty oraz te działające w branżach wymagających szczególnych standardów bezpieczeństwa.

Token dostępu jest nadawany bezpośrednio po zalogowaniu do Krajowego Systemu e-Faktur i stanowi uniwersalną metodę autoryzacji dostępną dla wszystkich typów użytkowników. Jednak jego uniwersalność wiąże się z dodatkowymi wymogami bezpieczeństwa i kontroli dostępu

Przyszłość uwierzytelnienia w KSeF będzie ewoluować w kierunku większego bezpieczeństwa i precyzyjniejszej identyfikacji użytkowników. Wprowadzenie certyfikatu KSeF w 2026 roku stanowi kolejny krok w tym kierunku, oferując nowe możliwości autoryzacji przy jednoczesnym zachowaniu kompatybilności z istniejącymi metodami.

Najczęstsze pytania

Czy mogę korzystać z profilu zaufanego do autoryzacji w KSeF jako spółka?

Nie, profil zaufany jest dostępny wyłącznie dla osób fizycznych. Spółki muszą korzystać z kwalifikowanej pieczęci elektronicznej z numerem NIP lub złożyć formularz ZAW-FA w celu nadania uprawnień osobie fizycznej, która następnie może autoryzować się profilem zaufanym.

Ile osób mogę zgłosić jednym formularzem ZAW-FA?

Jeden formularz ZAW-FA może dotyczyć tylko jednej osoby fizycznej. Jeśli chcesz nadać uprawnienia kilku osobom, musisz złożyć osobny formularz dla każdej z nich lub skorzystać z możliwości nadawania uprawnień bezpośrednio w systemie KSeF przez osobę już uprawnioną.

Czy token dostępu ma określony czas ważności?

System KSeF umożliwia generowanie tokenów z określonymi ramami czasowymi, ale szczegóły dotyczące czasu ważności zależą od konfiguracji ustawionej podczas generowania tokena. Warto regularnie sprawdzać status tokenów i odnawiać je w razie potrzeby.

Czy mogę cofnąć uprawnienia nadane przez token bez zmiany tokena?

Token nie pozwala na selektywne cofanie uprawnień konkretnym osobom, ponieważ nie identyfikuje użytkowników. Aby ograniczyć dostęp, należy wygenerować nowy token z odpowiednimi uprawnieniami i dezaktywować poprzedni.

Kiedy będzie dostępny nowy certyfikat KSeF i czy zastąpi obecne metody autoryzacji?

Wnioski o certyfikat KSeF będzie można składać od 1 listopada 2025 roku, a od 1 lutego 2026 roku będzie wymagany w trybach szczególnych. Certyfikat nie zastąpi obecnych metod autoryzacji, ale uzupełni je o dodatkowe możliwości, szczególnie w trybach offline i awaryjnym.