Start certyfikatów KSeF. Kto musi je mieć, do czego służą i gdzie złożyć wniosek?

Od 1 listopada 2025 r. przedsiębiorcy i osoby uprawnione mogą składać wnioski o certyfikaty KSeF w nowym Module Certyfikatów i Uprawnień (MCU). To pierwszy krok w stronę pełnego wdrożenia KSeF 2.0 i przygotowania firm do pracy z e-fakturami w nowym standardzie. Certyfikat KSeF to cyfrowe narzędzie kryptograficzne potwierdzające tożsamość użytkownika lub podmiotu, potrzebne m.in. do logowania i wystawiania faktur offline od 1 lutego 2026 r. Sprawdź, czym dokładnie są certyfikaty KSeF, komu są potrzebne, jak je zdobyć, jak długo są ważne i w jaki sposób nimi zarządzać.

Najważniejsze informacje w skrócie

• Certyfikat KSeF to cyfrowe narzędzie kryptograficzne wydawane przez Ministerstwo Finansów, które potwierdza tożsamość użytkownika w systemie KSeF i umożliwia wystawianie e-faktur.
• Wniosek o jego wydanie można złożyć od 1 listopada 2025 r. w nowym Module Certyfikatów i Uprawnień (MCU) dostępnym na stronie mcu.mf.gov.pl.
• Z nowych certyfikatów KSeF da się korzystać w komercyjnych programach księgowych zintegrowanych z API KSeF 2.0.
• Certyfikaty KSeF zawierające dane użytkownika (PESEL) lub firmy (NIP) można wygenerować już teraz, jednak będą one aktywne dopiero od 1 lutego 2026 r.
• Są one potrzebne m.in. do logowania się w systemie KSeF 2.0 oraz do wystawiania faktur w trybie offline od 1 lutego 2026 r.
• Oprócz certyfikatów w Aplikacji Podatnika będą funkcjonowały inne metody logowania (np. podpis zaufany/podpis kwalifikowany).
• Dotychczasowe tokeny uwierzytelniające będą działać tylko do końca 2026 r.

Czym są certyfikaty KSeF?

Certyfikaty KSeF to cyfrowe narzędzia kryptograficzne wydawane przez Centrum Certyfikacji Ministerstwa Finansów, które służą do potwierdzenia tożsamość osoby lub podmiotu korzystającego z KSeF. Działają podobnie jak podpis kwalifikowany czy pieczęć elektroniczna – pozwalają jednoznacznie zweryfikować, kto wystawił fakturę lub zalogował się do systemu.

Resort Finansów podzielił je na dwa podstawowe typy. Ten pierwszy służy do uwierzytelniania się w KSeF, zarówno przez osoby pracujące bezpośrednio w systemie KSeF oraz korzystające z niego poprzez zintegrowane z Krajowym Systemem e-Faktur oprogramowanie, np. system ERP. Typ 2 jest z kolei przeznaczony do wystawiania faktur offline, gdy system jest niedostępny albo w firmie braknie Internetu. W takim przypadku certyfikat pozwala oznaczyć fakturę specjalnym kodem QR lub linkiem, który umożliwia potwierdzenie tożsamości wystawcy. Każdy typ będzie wydawany osobno – nie istnieje bowiem jeden certyfikat obejmujący oba zastosowania. Dla ułatwienia rozróżnienia, w nazwie certyfikatu znajdzie się dopisek „uwierzytelnianie” lub „offline”.

System certyfikatów ma ujednolicić sposób identyfikacji użytkowników i umożliwić pełną automatyzację logowania bez konieczności każdorazowego używania podpisu kwalifikowanego. Ma to zwiększyć bezpieczeństwo, stabilność i ciągłość fakturowania, również w razie awarii czy braku połączenia z Internetem. Więcej na ten temat przeczytasz w poradniku: Praktyczne aspekty wdrożenia KSeF – najważniejsze pytania i odpowiedzi

Kiedy i gdzie złożyć wniosek o certyfikat KSeF

Wnioski o wydanie certyfikatu KSeF można składać od 1 listopada 2025 r. za pośrednictwem Modułu Certyfikatów i Uprawnień (MCU). Ta specjalna aplikacja Ministerstwa Finansów jest dostępna wyłącznie z poziomu przeglądarki internetowej pod adresem mcu.mf.gov.pl/web lub ksef.mf.gov.pl/web.

Warto wiedzieć, że MCU służy nie tylko do składania wniosków o certyfikaty, ale także do nadawania i zarządzania uprawnieniami użytkowników systemu KSeF 2.0. W praktyce oznacza to, że zanim firma zacznie korzystać z nowych certyfikatów, powinna w tym module potwierdzić lub odnowić swoje uprawnienia.

Aby uwierzytelnić się w MCU, użytkownik będzie mógł wybrać jedną z trzech metod:

• profil zaufany (rozwiązanie bezpłatne),
• certyfikat kwalifikowany zawierający NIP lub PESEL,
• lub certyfikat kwalifikowany bez NIP i PESEL, w takim przypadku uwierzytelnienie odbywa się przy użyciu tzw. odcisku palca

Wniosek o certyfikat mogą złożyć samodzielnie m.in. osoby fizyczne zgłoszone w ZAW-FA, osoby posiadające uprawnienia właścicielskie, a także podatnicy niebędący osobami fizycznymi (np. spółki) – po uwierzytelnieniu się kwalifikowaną pieczęcią elektroniczną.

Warto pamiętać, że generowanie certyfikatów w MCU to rozwiązanie tymczasowe – moduł będzie działał od listopada 2025 r. do końca stycznia 2026 r. Od 1 lutego 2026 r. wnioski o certyfikaty będzie można składać już bezpośrednio w KSeF 2.0 oraz w Aplikacji Podatnika KSeF 2.0, gdzie MCU zostanie zintegrowany i przejmie swoje funkcje związane z zarządzaniem certyfikatami i uprawnieniami, a wszystkie nadane wcześniej uprawnienia zostaną automatycznie przeniesione.

Jak wygląda proces nadania certyfikatu KSeF?

Procedura nadawania certyfikatu KSeF odbywa się w pełni elektronicznie w MCU i składa z kilku etapów. W pierwszej kolejności użytkownik musi zalogować się do MCU, wybierając metodę autoryzacji – profil zaufany, certyfikat kwalifikowany z NIP lub PESEL albo certyfikat kwalifikowany bez tych danych (tzw. „odcisk palca”).

Następnie określa kontekst logowania, czyli wskazuje identyfikator podatnika (NIP, numer VAT-UE lub identyfikator wewnętrzny). W przypadku logowania podpisem lub pieczęcią kwalifikowaną konieczne jest pobranie tzw. żądania autoryzacyjnego, podpisanie go własnym certyfikatem, a następnie przesłanie z powrotem do aplikacji MCU w formacie .xml lub .xades.

Po pomyślnym uwierzytelnieniu użytkownik przechodzi do złożenia wniosku o certyfikat. W formularzu wskazuje m.in.:

• przeznaczenie (typ) certyfikatu (podpis linku do weryfikacji wystawcy lub uwierzytelnienie w systemie KSeF),
• jego nazwę własną (np. „Certyfikat I – oddział B”),
• oraz opcjonalnie datę początku ważności (jeśli nie zostanie podana, ważność liczona będzie od dnia wydania).

Na końcu, po zatwierdzeniu wniosku, można pobrać gotowy certyfikat i zachować go w bezpiecznym miejscu – np. w firmowym repozytorium IT.

Przeczytaj również: KSeF – jak zacząć korzystać z Krajowego Systemu e-Faktur?

Ważność i zarządzanie certyfikatami KSeF

Każdy certyfikat KSeF ma określony termin ważności – maksymalnie dwa lata. Okres ten jest liczony od daty wskazanej we wniosku jako początek obowiązywania certyfikatu, a jeśli jej nie podano – od dnia jego wydania. W tym czasie może być używany zgodnie z nadanymi uprawnieniami. Warto pamiętać, że certyfikatu nie da się użyć przed 1.02.2026 r. ani przez datą rozpoczęcia jego ważności. Jeśli firma planuje rozpocząć korzystanie z certyfikatów dopiero od lutego 2026 r., powinna wpisać tę datę jako początek okresu obowiązywania już na etapie wniosku.

Nowy certyfikat można uzyskać najwcześniej na miesiąc przed wygaśnięciem poprzedniego. Z tego względu Ministerstwo Finansów zaleca, aby firmy wprowadziły wewnętrzne procedury kontrolowania terminów ważności i odnowień – dzięki temu mogą uniknąć przerw w możliwości logowania czy wystawiania faktur.

Przeczytaj również: Ile tygodni potrzebuje firma, żeby przygotować się do KSeF?

Limity liczby certyfikatów

Dla zachowania bezpieczeństwa systemowego wprowadzono limity liczby aktywnych i nowych certyfikatów, jakie może posiadać jeden użytkownik lub podmiot:

• osoba fizyczna z identyfikatorem PESEL – maks. 2 aktywne i 2 nowe (do użycia po wygaśnięciu obecnych),
• osoba fizyczna z NIP – do 100 aktywnych i 100 nowych,
• podmiot niebędący osobą fizyczną (np. spółka z NIP) – do 100 aktywnych i 100 nowych,
• podmiot uwierzytelniający się tzw. odciskiem palca (bez NIP/PESEL) – maks. 2 aktywne i 2 nowe.

Dodatkowo Ministerstwo Finansów wprowadziło limit żądań wydania certyfikatów w okresie 30 dni, który wynosi:

• 6 dla identyfikatora PESEL,
• 300 dla identyfikatora NIP,
• 6 dla uwierzytelnienia opartego na tzw. „odcisku palca”.

Chcesz dobrze przygotować się na KSeF? Kliknij baner, wypełnij formularz i pobierz listę kontrolną!

Kto faktycznie skorzysta z certyfikatów KSeF? Przykładowe scenariusze użycia

Nowe certyfikaty KSeF znajdą zastosowanie w wielu modelach działalności – od dużych spółek po biura rachunkowe i jednoosobowe firmy.

W spółkach wielooddziałowych pozwolą one uporządkować proces wystawiania faktur i zwiększyć kontrolę nad tym, kto działa w imieniu konkretnego oddziału. Każda jednostka może otrzymać własny certyfikat do logowania (typ 1) oraz do pracy offline (typ 2), co ułatwi zarządzanie i zapewni pełną rozliczalność operacji w systemie.

W biurach rachunkowych certyfikaty przydadzą się do bezpiecznej obsługi wielu klientów. Każdy pracownik może otrzymać indywidualny certyfikat, dzięki czemu system KSeF jednoznacznie pokaże, kto wystawił fakturę w imieniu danego przedsiębiorcy.

Samodzielni księgowi i doradcy podatkowi, prowadzący działalność na własny rachunek, otrzymają z kolei certyfikat wystawiony na swój NIP, który pozwoli im logować się do systemu KSeF i wykonywać czynności zgodnie z zakresem posiadanych uprawnień – bez potrzeby każdorazowego użycia podpisu kwalifikowanego.

Z kolei firmy działające w terenie lub w miejscach o niestabilnym dostępie do internetu powinny rozważyć wykorzystanie certyfikatów typu 2. Umożliwiają one wystawianie faktur w trybie offline, gwarantując ciągłość pracy nawet w razie awarii systemu KSeF.

Co, jeśli firma nie wyrobi certyfikatu?

Firmy nieposiadające certyfikatu będą mogły logować się do KSeF za pomocą Aplikacji Podatnika – korzystając z takich metod uwierzytelnienia, jak profil zaufany lub podpis kwalifikowany. Trzeba jednak pamiętać, że bez certyfikatu firma nie zintegruje swojego systemu księgowego z platformą KSeF Ministerstwa Finansów (przez API 2.0) i nie wystawi faktur w trybie offline – do tego potrzebny jest bowiem certyfikat typu 2.

Przeczytaj również: Integracja KSeF z Twoim systemem księgowym: jak to zrobić?

Certyfikat a uprawnienia – istotne różnice

Certyfikat KSeF jest wyłącznie narzędziem uwierzytelnienia, a nie nośnikiem uprawnień. Oznacza to, że sam w sobie nie daje dostępu do żadnych funkcji w systemie – zakres możliwych działań po zalogowaniu zależy od uprawnień przypisanych do danego NIP lub PESEL. Zmiana tych uprawnień nie unieważnia certyfikatu – nadal będzie on ważny, ale jego posiadacz może wykonywać działania w ramach aktualnych ról i dostępów. Dopiero całkowite odebranie wszystkich uprawnień dla danego identyfikatora zablokuje możliwość użycia certyfikatu w systemie.

Przeczytaj również: W świecie KSeF niezbędny jest elektroniczny obieg dokumentów

Tokeny a certyfikaty KSeF – co się zmienia i od kiedy?

Obecnie firmy korzystające z KSeF mogą uwierzytelniać się również za pomocą tokenów, czyli unikalnych kluczy dostępu przypisanych do użytkownika. Po wdrożeniu nowego systemu KSeF 2.0 pojawi się jednak alternatywa – certyfikaty KSeF, które z czasem całkowicie zastąpią tokeny.

Od 1 lutego 2026 r. obie metody będą działać równolegle, co pozwoli przedsiębiorcom płynnie przejść na nowe rozwiązanie. Okres przejściowy potrwa do końca roku, a od 1 stycznia 2027 r. jedynym obowiązującym sposobem uwierzytelniania w KSeF staną się certyfikaty.

Choć na pierwszy rzut oka oba narzędzia spełniają podobną funkcję, różnią się zakresem i sposobem działania. Token zawiera w sobie przypisane uprawnienia i nie ma ograniczonego czasu ważności. Certyfikat KSeF jest z kolei narzędziem czysto identyfikacyjnym – potwierdza tożsamość użytkownika, ale nie przenosi jego uprawnień. Dzięki temu można go używać w różnych kontekstach, np. logując się w imieniu kilku firm, o ile użytkownik posiada odpowiednie prawa w systemie. Certyfikaty mają również określony okres ważności (do dwóch lat) oraz limity liczby aktywnych dokumentów, co zwiększa bezpieczeństwo i ułatwia kontrolę dostępu w większych organizacjach.

Tabela: Porównanie tokenów i certyfikatów KSeF

Harmonogram wdrożenia certyfikatów KSeF

Proces wdrożenia certyfikatów KSeF został rozłożony etapowo, tak aby przedsiębiorcy, działy finansowe i zespoły IT mogły przygotować się do zmian bez ryzyka przerw w pracy systemów.

• • Od 1 listopada 2025 r. przedsiębiorcy i osoby uprawnione będą mogli składać wnioski o certyfikaty w Module Certyfikatów i Uprawnień (MCU). To właśnie tam rozpocznie się proces ich generowania i pobierania.
  • Od listopada 2025 r. do końca stycznia 2026 r. potrwa okres przejściowy, w którym wszystkie certyfikaty będą wydawane wyłącznie za pośrednictwem MCU.
  • 1 lutego 2026 r. ruszy nowa wersja systemu – KSeF 2.0. Od tego momentu możliwe będzie logowanie przy użyciu certyfikatów typu 1 oraz wystawianie faktur w trybie offline z wykorzystaniem certyfikatów typu 2. Tokeny nadal pozostaną jednak aktywne.
  • 31 grudnia 2026 r. zakończy się okres równoległego działania obu narzędzi.
  • Od 1 stycznia 2027 r. w systemie pozostaną już wyłącznie certyfikaty KSeF, które staną się jedynym sposobem uwierzytelniania w KSeF.