Uwierzytelnienie w KSeF - sposoby autoryzacji i dostępu
PODATKI

Uwierzytelnienie w KSeF - sposoby autoryzacji i dostępu

Poznaj wszystkie sposoby uwierzytelnienia w KSeF dla osób fizycznych i spółek. Dowiedz się o autoryzacji przez profil zaufany, podpis elektroniczny i tokeny.

ZKF

Zespół Kultura Firmy

Redakcja Biznesowa

10 min czytania

Spis treści

Krajowy System e-Faktur (KSeF) wprowadza nowe wyzwania dla przedsiębiorców w zakresie autoryzacji i dostępu do systemu. Wbrew powszechnym opiniom, system ten w głównej mierze dotknie właśnie przedsiębiorców, a nie biura rachunkowe. Wynika to z faktu, że KSeF stanowi system do wystawiania faktur, a za ten proces w działalności gospodarczej odpowiada zazwyczaj przedsiębiorca. Aby móc nadać uprawnienia do wystawiania faktur osobom trzecim lub zapewnić dostęp do faktur dla biura rachunkowego, konieczne jest przeprowadzenie procesu autoryzacji w KSeF.

Proces uwierzytelnienia w systemie różni się w zależności od rodzaju podmiotu - czy jest to osoba fizyczna prowadząca działalność gospodarczą, czy spółka. Każdy z tych podmiotów ma dostęp do różnych metod autoryzacji, od bezpłatnych rozwiązań po płatne certyfikaty elektroniczne. Zrozumienie dostępnych opcji jest kluczowe dla prawidłowego funkcjonowania w nowym systemie fakturowania elektronicznego.

KSeF to zewnętrzny system rządowy wymagający przeprowadzenia procesu autoryzacji dla uzyskania dostępu do funkcji. Wygenerowany token do łączenia się z systemem należy chronić przed dostępem nieupoważnionych podmiotów trzecich. System umożliwia zarówno bezpłatne, jak i płatne metody uwierzytelnienia

Podstawowe sposoby uwierzytelnienia w KSeF

System KSeF oferuje trzy główne metody uwierzytelnienia, które różnią się w zależności od rodzaju podmiotu dokonującego autoryzacji. Wybór odpowiedniej formy uwierzytelnienia zależy od charakteru firmy i jej potrzeb w zakresie zarządzania uprawnieniami.

Pierwszą metodą jest profil zaufany, który stanowi bezpłatną opcję autoryzacji dostępną dla osób fizycznych. Ta forma uwierzytelnienia cieszy się największą popularnością ze względu na łatwość uzyskania i brak kosztów związanych z jej zastosowaniem. Profil zaufany można wykorzystać zarówno przez przedsiębiorców prowadzących jednoosobową działalność gospodarczą, jak i przez osoby trzecie, którym przedsiębiorca chce nadać dostęp do swojego konta w KSeF.

Drugą opcją jest kwalifikowany podpis elektroniczny, który wymaga poniesienia kosztów związanych z jego nabyciem. Ten sposób autoryzacji oferuje wyższy poziom bezpieczeństwa i może być wykorzystywany przez osoby fizyczne, które preferują bardziej zaawansowane rozwiązania techniczne lub mają szczególne wymagania dotyczące bezpieczeństwa dostępu do systemu.

Trzecią metodą jest kwalifikowana pieczęć elektroniczna z NIP-em, która przeznaczona jest wyłącznie dla podmiotów niebędących osobami fizycznymi. Ta forma autoryzacji jest niezbędna, gdy spółka chce nadać dostęp do swojego konta w KSeF innemu podmiotowi gospodarczemu, a nie konkretnej osobie fizycznej.

Autoryzacja w KSeF może również nastąpić za pomocą tokena będącego ciągiem znaków alfanumerycznych generowanym bezpośrednio z poziomu systemu. Do tokena można przypisać konkretne uprawnienia bez wskazywania konkretnej osoby. Token uznaje się za uniwersalną metodę autoryzacji, ponieważ nie wymaga podania danych osobowych

Uwierzytelnienie osób fizycznych w KSeF

Proces autoryzacji dla osb fizycznych w systemie KSeF może przebiegać w dwóch różnych scenariuszach, które zależą od roli danej osoby w działalności gospodarczej. Pierwszy scenariusz dotyczy przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą, który posiada pełne uprawnienia właścicielskie w systemie. Drugi scenariusz odnosi się do osób trzecich, takich jak księgowi z biur rachunkowych czy pracownicy firm odpowiedzialni za wystawianie faktur.

Autoryzacja przedsiębiorcy prowadzącego działalność

Przedsiębiorca prowadzący jednoosobową działalność gospodarczą jako osoba fizyczna automatycznie uzyskuje uprawnienia właścicielskie w KSeF. Oznacza to najszerszy możliwy zakres uprawnień i dostępu do danych znajdujących się w systemie oraz do wszystkich czynności, jakie można wykonać w ramach tej platformy.

Dla tej grupy użytkowników dostępne są dwie metody uwierzytelnienia:

  1. Profil zaufany - bezpłatna metoda autoryzacji
  2. Kwalifikowany podpis elektroniczny - płatna metoda wymagająca nabycia certyfikatu

Wykorzystanie profilu zaufanego pozwala przedsiębiorcy na proste zintegrowanie swojego konta z systemami księgowymi bez konieczności każdorazowego logowania się do Krajowego Systemu e-Faktur. Przedsiębiorca posiadający profil zaufany może za jego pomocą podpisać metadane wygenerowane bezpośrednio w systemie księgowym, dokonując jednocześnie autoryzacji w KSeF.

Przedsiębiorca może również posługiwać się tokenem w celu autoryzacji w KSeF. Aby wygenerować token, musi być już uwierzytelniony w systemie za pomocą profilu zaufanego lub kwalifikowanego podpisu elektronicznego. Token stanowi alternatywną metodę dostępu po pierwszorazowej autoryzacji

Autoryzacja osób trzecich

Osoby fizyczne inne niż przedsiębiorca mogą uzyskać dostęp do konta przedsiębiorcy w KSeF na trzy różne sposoby. Każda z tych metod ma swoje specyficzne zastosowania i ograniczenia, które należy uwzględnić przy wyborze odpowiedniej opcji autoryzacji.

Dostępne metody autoryzacji dla osób trzecich to:

  • Profil zaufany - bezpłatna metoda autoryzacji
  • Własny kwalifikowany podpis elektroniczny - płatna metoda
  • Token - bezpłatna metoda

Token jako metoda autoryzacji ma szczególny charakter, ponieważ nie jest przypisany do konkretnej osoby fizycznej. W konsekwencji w systemie KSeF nie znajduje się informacja o tym, jaka konkretnie osoba się nim posłużyła. Ta cecha tokena może utrudniać weryfikację, kto faktycznie posiada dostęp do konta przedsiębiorcy, ponieważ token jest jedynie ciągiem znaków i nie jest zabezpieczony przed kopiowaniem oraz udostępnianiem.

Przedsiębiorcy, którzy chcą posługiwać się tokenem w celu nadawania uprawnień w KSeF, muszą wygenerować go bezpośrednio na stronie Krajowego Systemu e-Faktur. Osoba fizyczna, która otrzymała od przedsiębiorcy token z nadanymi uprawnieniami, wgrywa go w systemie księgowym i dzięki temu uzyskuje dostęp do KSeF przedsiębiorcy w zakresie uprawnień przypisanych do tokena.

Księgowa z biura rachunkowego otrzymała od klienta token z uprawnieniami do wystawiania faktur w KSeF. Po wgraniu tokena do systemu księgowego może wystawiać faktury w imieniu przedsiębiorcy, ale w systemie KSeF nie ma informacji, że to właśnie ona wykonuje te czynności - widoczny jest tylko użyty token.

Uwierzytelnienie podmiotów niebędących osobami fizycznymi

Spółki i inne podmioty prawne nie mogą korzystać z profilu zaufanego, ponieważ nie występuje w ich przypadku "przedsiębiorca" posiadający uprawnienia właścicielskie w tradycyjnym rozumieniu. Ta różnica w strukturze prawnej wymusza zastosowanie innych metod uwierzytelnienia, które są dostosowane do specyfiki podmiotów gospodarczych.

Dla spółek dostępne są dwie główne metody uwierzytelnienia:

  1. Kwalifikowana pieczęć elektroniczna z NIP-em - metoda płatna
  2. Formularz zgłoszeniowy ZAW-FA - metoda bezpłatna

Formularz ZAW-FA jako metoda autoryzacji

Formularz ZAW-FA stanowi bezpłatną alternatywę dla spółek, które chcą nadać uprawnienia w KSeF konkretnej osobie fizycznej. Istotnym ograniczeniem tego rozwiązania jest możliwość zgłoszenia za pomocą jednego formularza tylko jednej osoby w urzędzie skarbowym.

Osoba zgłoszona przez formularz ZAW-FA otrzymuje szczególną pozycję w systemie - można ją porównać do administratora spółki w KSeF. Po nadaniu uprawnień do zarządzania może ona dowolnie nadawać i odbierać uprawnienia dla kolejnych osób fizycznych oraz generować tokeny dostępu dla różnych użytkowników systemu.

Praktyczne zastosowanie tego rozwiązania może wyglądać następująco: jeśli w spółce działają dwaj wspólnicy, jeden z nich może zostać zgłoszony na formularzu ZAW-FA i otrzymać uprawnienia założycielskie. Następnie może on nadać uprawnienia drugiemu wspólnikowi już wewnątrz systemu KSeF, gdzie ten drugi będzie autoryzować się za pomocą profilu zaufanego lub innej dostępnej metody.

Gdy spółka chce nadać dostęp do swojego konta w KSeF innemu podmiotowi, a nie konkretnej osobie fizycznej, w procesie nadawania uprawnień przypisuje je do NIP-u tego podmiotu. Uwierzytelnianie musi wówczas przebiegać z wykorzystaniem NIP-u, co wiąże się z koniecznością posługiwania się pieczęcią z NIP-em

Nadawanie uprawnień biurom rachunkowym

Szczególną sytuacją jest nadawanie uprawnień biurom rachunkowym jako podmiotom gospodarczym, a nie konkretnym osobom fizycznym pracującym w tych biurach. W takim przypadku proces autoryzacji wymaga przypisania uprawnień do NIP-u biura rachunkowego, co z kolei oznacza konieczność posługiwania się przez to biuro kwalifikowaną pieczęcią elektroniczną z NIP-em.

To rozwiązanie ma swoje zalety i wady. Z jednej strony pozwala na elastyczne zarządzanie dostępem na poziomie całego biura rachunkowego, z drugiej strony wymaga od biura poniesienia kosztów związanych z uzyskaniem i utrzymaniem kwalifikowanej pieczęci elektronicznej.

Porównanie metod uwierzytelnienia

Różne metody uwierzytelnienia w KSeF mają swoje specyficzne zastosowania i ograniczenia, które przedstawia poniższe zestawienie:

Metoda uwierzytelnieniaOsoby fizyczneSpółkiKosztUwagi
Profil zaufanyTakNieBezpłatnyNajpopularniejsza metoda
Podpis kwalifikowanyTakNiePłatnyWyższy poziom bezpieczeństwa
Pieczęć z NIP-emNieTakPłatnyDla podmiotów prawnych
Formularz ZAW-FATakTakBezpłatnyJedna osoba na formularz
TokenTakTakBezpłatnyGenerowany po autoryzacji

Anonimowy dostęp do KSeF

System KSeF wprowadził nie tylko zmiany w sposobie wystawiania faktur, ale również usprawnienia w obiegu dokumentów w obrocie gospodarczym. Na koncie podatnika gromadzone są zarówno wystawione przez niego faktury sprzedaży, jak i faktury kosztowe wystawione na jego firmę. Ta centralizacja dokumentów znacznie ułatwia zarządzanie obiegiem faktur i ich archiwizację.

Ustawodawca przewidział sytuacje, w których nie każdy podmiot będzie miał pełny dostęp do KSeF - może to dotyczyć osób fizycznych nieprowadzących działalności gospodarczej lub podmiotów zagranicznych. W odpowiedzi na te potrzeby umożliwiono anonimowy dostęp do pojedynczych e-faktur, który nie wymaga posiadania uprawnień do KSeF.

Aby skorzystać z anonimowego dostępu, na stronie rządowej Krajowego Systemu e-Faktur należy podać następujące dane:

  • Numer identyfikujący fakturę w KSeF
  • Numer faktury
  • NIP lub numer innego identyfikatora nabywcy albo informację o jego braku
  • Imię i nazwisko lub nazwę nabywcy albo informację o braku tych danych
  • Kwotę należności ogółem

Dzięki temu rozwiązaniu nabywca może odebrać wystawioną na niego fakturę bez konieczności logowania się do KSeF i bez potrzeby posiadania jakichkolwiek uprawnień w systemie.

Anonimowy dostęp do KSeF stanowi rozwiązanie dla podmiotów, które nie mają możliwości uzyskania pełnego dostępu do systemu. Wystarczy podanie podstawowych danych identyfikacyjnych faktury, aby móc ją pobrać. Ta funkcjonalność znacznie ułatwia dostęp do dokumentów dla wszystkich uczestników obrotu gospodarczego

Nowy certyfikat KSeF - zmiany od 2026 roku

Od 1 lutego 2026 roku w systemie KSeF zostanie wprowadzona nowa metoda uwierzytelniania w postaci certyfikatu KSeF. Ten elektroniczny certyfikat będzie służył zarówno do logowania się do systemu, jak i do weryfikacji uprawnień nadanych przez podatnika. Wprowadzenie nowego certyfikatu stanowi kolejny krok w rozwoju systemu i zwiększeniu jego bezpieczeństwa.

Certyfikat KSeF będzie również wymagany przy wystawianiu faktur w trybach szczególnych, takich jak:

  • Tryb offline24
  • Tryb offline (niedostępność systemu)
  • Tryb awaryjny

W tych trybach certyfikat umożliwi oznaczenie faktury kodem potwierdzającym tożsamość wystawcy, co zapewni dodatkowy poziom bezpieczeństwa i weryfikacji autentyczności dokumentów.

Ministerstwo Finansów informuje, że certyfikat KSeF stanowi elektroniczne poświadczenie tożsamości podobne do certyfikatów kwalifikowanych i zawiera dane osoby fizycznej lub podmiotu. Certyfikat zawierający dane osoby fizycznej może być wydany wyłącznie tej osobie, która jako jedyna może go pobrać i się nim posługiwać.

Wnioskować o wydanie certyfikatu KSeF będzie można od 1 listopada 2025 roku. Okres ważności certyfikatu wynosi 2 lata. Certyfikat będzie wymagany szczególnie przy pracy w trybach offline i awaryjnym systemu

Praktyczne aspekty implementacji

Wybór odpowiedniej metody uwierzytelnienia w KSeF powinien uwzględniać specyfikę działalności przedsiębiorcy oraz planowany sposób korzystania z systemu. Firmy, które planują intensywne korzystanie z automatyzacji procesów fakturowania, mogą preferować rozwiązania tokenowe ze względu na ich elastyczność i możliwość integracji z systemami księgowymi.

Z kolei przedsiębiorcy, którzy cenią sobie pełną kontrolę nad dostępem do systemu i chcą mieć szczegółową wiedzę o tym, kto i kiedy korzysta z ich konta w KSeF, mogą preferować autoryzację opartą na profilach zaufanych lub podpisach kwalifikowanych.

Biura rachunkowe obsługujące wielu klientów stoją przed szczególnym wyzwaniem związanym z zarządzaniem dostępami do różnych kont w KSeF. W ich przypadku kluczowe może okazać się wypracowanie standardowych procedur autoryzacji, które zapewnią bezpieczeństwo przy jednoczesnej efektywności obsługi klientów.

Małe biuro rachunkowe obsługujące 50 klientów może zdecydować się na model, w którym każdy klient nadaje uprawnienia konkretnej księgowej przez profil zaufany, podczas gdy większe biuro może preferować nadanie uprawnień całemu podmiotowi przez NIP i korzystanie z kwalifikowanej pieczęci elektronicznej.

Bezpieczeństwo i zarządzanie dostępem

Kwestie bezpieczeństwa odgrywaj kluczową rolę w systemie KSeF, szczególnie w kontekście zarządzania tokenami dostępu. Tokeny, choć oferują dużą elastyczność, wymagają szczególnej ostrożności w zarządzaniu, ponieważ nie są przypisane do konkretnych osób i mogą być łatwo skopiowane lub udostępnione.

Przedsiębiorcy powinni wypracować jasne procedury dotyczące:

  • Generowania tokenów i przypisywania im odpowiednich uprawnień
  • Okresowego przeglądu i aktualizacji uprawnień
  • Monitorowania aktywności w systemie KSeF
  • Reagowania na podejrzane lub nieuprawnione działania

Szczególną uwagę należy zwrócić na sytuacje, w których dochodzi do zmian w zespole obsługującym faktury - zarówno w firmie, jak i w biurze rachunkowym. W takich przypadkach konieczna może być aktualizacja uprawnień lub wygenerowanie nowych tokenów dostępu.

System KSeF rejestruje wszystkie działania wykonywane na koncie przedsiębiorcy, niezależnie od metody autoryzacji. Regularne przeglądanie logów aktywności pozwala na wykrycie nieprawidłowości i zapewnienie bezpieczeństwa danych. Szczególnie ważne jest monitorowanie działań wykonywanych za pomocą tokenów

Integracja z systemami księgowymi

Nowoczesne systemy księgowe oferują różne poziomy integracji z KSeF, które mogą wpływać na wybór optymalnej metody uwierzytelnienia. Niektóre rozwiązania pozwalają na bezpośrednią integrację z profilem zaufanym użytkownika, inne wymagają konfiguracji tokenów dostępu.

Przedsiębiorcy planujący automatyzację procesów fakturowania powinni skonsultować się z dostawcami swoich systemów księgowych w celu wyboru najlepszej metody autoryzacji. Kluczowe jest zapewnienie, aby wybrana metoda uwierzytelnienia była w pełni kompatybilna z używanym oprogramowaniem i nie powodowała problemów w codziennej pracy.

Warto również uwzględnić przyszłe potrzeby firmy - jeśli planowane jest rozszerzenie działalności lub zmiana sposobu organizacji pracy, wybrana metoda autoryzacji powinna być na tyle elastyczna, aby umożliwić łatwe dostosowanie do nowych wymagań.

Najczęstsze pytania

Czy mogę zmienić metodę uwierzytelnienia w KSeF po pierwszej autoryzacji?

Tak, możesz zmienić metodę uwierzytelnienia w dowolnym momencie. System pozwala na korzystanie z różnych metod autoryzacji równolegle, więc możesz na przykład używać zarówno profilu zaufanego, jak i tokenów dostępu w zależności od sytuacji.

Czy token dostępu ma ograniczony czas ważności?

Tak, tokeny generowane w KSeF mają określony czas ważności. Po jego upływie konieczne jest wygenerowanie nowego tokena. Dokładny okres ważności zależy od ustawień systemu i może być różny w zależności od typu uprawnień przypisanych do tokena.

Co się stanie, jeśli stracę dostęp do profilu zaufanego?

W przypadku utraty dostępu do profilu zaufanego możesz skorzystać z alternatywnych metod autoryzacji, takich jak kwalifikowany podpis elektroniczny lub wcześniej wygenerowane tokeny. Jeśli nie masz dostępu do żadnej z tych opcji, konieczne będzie odtworzenie dostępu przez odpowiednie procedury urzędowe.

Czy biuro rachunkowe musi mieć osobny dostęp do każdego klienta?

Nie koniecznie. Biuro rachunkowe może otrzymać dostęp do kont swoich klientów na różne sposoby - przez nadanie uprawnień konkretnym księgowym za pomocą ich profili zaufanych lub przez nadanie uprawnień całemu biuru jako podmiotowi z wykorzystaniem NIP-u i kwalifikowanej pieczęci elektronicznej.

Czy mogę nadać różne uprawnienia różnym osobom w mojej firmie?

Tak, system KSeF pozwala na nadawanie różnych poziomów uprawnień różnym użytkownikom. Możesz na przykład nadać pełne uprawnienia swojemu głównego księgowemu, a ograniczone uprawnienia pracownikom odpowiedzialnym tylko za wystawianie faktur sprzedaży.

Jak często powinienem przeglądać uprawnienia nadane w KSeF?

Zaleca się regularne przeglądanie uprawnień, szczególnie po zmianach personalnych w firmie lub biurze rachunkowym. Dobrą praktyką jest przeprowadzanie takiego przeglądu co najmniej raz na kwartał oraz po każdej zmianie w zespole obsługującym faktury.

Tagi:

#KSeF#autoryzacja#faktury elektroniczne#profil zaufany#token
Udostępnij artykuł:
ZKF

Zespół Kultura Firmy

Redakcja Biznesowa

Kultura Firmy

Zespół doświadczonych ekspertów biznesowych z wieloletnim doświadczeniem w różnych branżach - od startupów po korporacje.

Eksperci biznesowiPraktycy rynkowi

Więcej z kategorii Podatki

Pogłęb swoją wiedzę dzięki powiązanym artykułom od naszych ekspertów

Zobacz wszystkie artykuły z kategorii Podatki