Certyfikat wystawcy faktury w KSeF – co to jest, po co i jak go uzyskać?

Obowiązkowy KSeF zbliża się wielkimi krokami, a wraz z nim pojawia się nowy element ekosystemu fakturowania: certyfikat wystawcy faktury. Od 1 listopada 2025 r. każdy podatnik będzie mógł zawnioskować o jego wydanie bezpośrednio w portalu KSeF, w Module Certyfikatów i Uprawnień. Brzmi technicznie? W praktyce to rozwiązanie ma ułatwić życie wszystkim, którzy wystawiają faktury z poziomu własnych programów, także wtedy, gdy akurat nie mają połączenia z KSeF.

Po co w ogóle certyfikat?

Do tej pory wielu użytkowników KSeF korzystało z tokenów. Działały i wciąż będą działać — aż do końca 2026 r. — ale certyfikat wprowadza wyższy standard bezpieczeństwa i wygody. To rodzaj elektronicznego poświadczenia tożsamości: system, aplikacja fakturująca i inne narzędzia „wiedzą”, że za daną operacją stoi konkretna, uprawniona osoba lub podmiot. Efekt? Spójniejsze logowanie, mniej tarcia przy integracjach i przede wszystkim możliwość pracy offline: wystawiania faktur w aplikacji, generowania kodu QR potwierdzającego autentyczność i integralność dokumentu, a następnie przesłania go do KSeF, gdy tylko wróci łączność.

Kto może zawnioskować i jak to zrobić?

Najprościej mają osoby fizyczne zgłoszone w ZAW-FA oraz te, które mają w KSeF uprawnienia właścicielskie. Po stronie firm — spółek kapitałowych czy innych podmiotów posiadających NIP — ścieżka również jest prosta, o ile organizacja posługuje się kwalifikowaną pieczęcią elektroniczną do uwierzytelniania w KSeF. Wniosek złożysz po uwierzytelnieniu się w KSeF (np. podpisem zaufanym, podpisem kwalifikowanym lub pieczęcią kwalifikowaną). We wniosku podasz dane osoby lub podmiotu dokładnie takie, jakimi właśnie się uwierzytelniasz — to ważny detal, bo system sprawdza spójność. Po przetworzeniu wniosku certyfikat będzie gotowy do pobrania i od razu można go włączyć do codziennej pracy.

Warto przy tym pamiętać o rozróżnieniu: certyfikaty mogą być wydawane na osobę (identyfikowaną NIP-em w przypadku JDG albo PESEL-em, jeśli ma uprawnienia w KSeF) albo na podmiot (np. spółkę z NIP-em). To nie jest drobiazg księgowy — od tego zależy, kto bierze odpowiedzialność za posługiwanie się certyfikatem i jak w firmie poukładamy zasady dostępu.

Osobisty czy „firmowy”? Odpowiedzialność i porządek w organizacji

Gdy certyfikat wydano na osobę fizyczną, tylko ta osoba może o niego wnioskować, pobrać go i się nim posługiwać. Taki model świetnie sprawdza się w jednoosobowej działalności lub tam, gdzie odpowiedzialność właściciela jest bezpośrednia. Z kolei certyfikat wydany na podmiot nie jest przypisany do żadnego konkretnego pracownika. To wygodne w praktyce, ale wymaga dobrego porządku: rejestru wydanych certyfikatów, jasnej polityki przydzielania i odbierania uprawnień, kontroli wykorzystania oraz procedury unieważniania. Mówiąc prościej: firma powinna dokładnie wiedzieć, kto, kiedy i do czego używa certyfikatu — i móc to potem wykazać.

Tokeny zostają… ale tylko do końca 2026 r.

Ministerstwo Finansów nie „wyłącza” tokenów z dniem uruchomienia certyfikatów. Przez cały rok 2026 tokeny i certyfikaty funkcjonują równolegle. To dobra wiadomość, bo pozwala spokojnie zaplanować migrację, przetestować integracje i przeszkolić zespół. Zmiana nastąpi 1 stycznia 2027 r., gdy tokeny mają zostać wyłączone. Różnica między tymi dwoma podejściami jest zasadnicza: token „niesie” w sobie zestaw uprawnień nadanych w chwili jego tworzenia, natomiast certyfikat służy przede wszystkim uwierzytelnianiu — a uprawnienia wynikają z ról i konfiguracji w KSeF oraz w Twoich systemach.

Jak przygotować firmę — praktycznie i bez stresu

Dobry start to przede wszystkim polityka dostępu. Warto opisać, kto ma pracować na certyfikacie osobistym, a kto na podmiotowym, oraz jak wygląda obsługa trybu offline — łącznie z generowaniem kodów QR w aplikacji. Do tego przyda się rejestr certyfikatów: identyfikator, właściciel, cel, data wydania i unieważnienia, miejsce przechowywania. W kwestii bezpieczeństwa nie ma kompromisów: certyfikat i klucze trzymaj w szyfrowanym magazynie, ogranicz kopiowanie, wdroż dwuetapowe uwierzytelnienie tam, gdzie to możliwe, i zaplanuj rotację. Spisz procedurę awaryjną na wypadek kompromitacji — kto, w jakim czasie i jakim kanałem unieważnia certyfikat oraz jak przywrócić ciągłość fakturowania.

Ostatni element to testy i szkolenia. Sprawdź z dostawcą oprogramowania, czy Twoja aplikacja fakturująca poprawnie obsłuży wystawianie dokumentów offline oraz weryfikację kodów QR po stronie KSeF. Zaktualizuj wewnętrzne instrukcje — najlepiej w formie krótkich, ekran-po-ekranie przewodników — i przeprowadź sesję Q&A z zespołem.

Najważniejsze daty w jednym miejscu

1 listopada 2025 r. to dzień, od którego można składać wnioski o certyfikaty w MCU. Od 1 lutego 2026 r. do 31 grudnia 2026 r. działają jednocześnie tokeny i certyfikaty — to wygodny czas na płynne przejście. 1 stycznia 2027 r. tokeny znikają z krajobrazu, a certyfikaty stają się domyślnym sposobem uwierzytelniania w KSeF.

Podsumowanie: mniej „papierologii”, więcej kontroli

Certyfikat wystawcy faktury to nie kolejny biurokratyczny wymóg, lecz narzędzie, które porządkuje tożsamość użytkowników, ułatwia integrację z aplikacjami i pozwala pracować bez dostępu do internetu — bez utraty bezpieczeństwa. Jeśli prowadzisz JDG, wybór jest prosty: wniosek, pobranie, wdrożenie. Jeśli zarządzasz spółką, kluczem będzie przejrzysta polityka i rejestr certyfikatów. W obu przypadkach zyskujesz spójny, przewidywalny proces, który od 2026 r. stanie się standardem.

Źródło i więcej szczegółów: https://ksef.podatki.gov.pl//ksef-na-okres-obligatoryjny