KSeF oferuje programom zewnętrznym dwa mechanizmy uwierzytelnienia: token autoryzacyjny (ważny do 31 grudnia 2026 r.) oraz certyfikat KSeF wydawany przez Ministerstwo Finansów. Od 1 stycznia 2027 r. tokeny znikają, a jedyną metodą integracji API pozostaje certyfikat. W tym artykule pokazujemy różnice, kiedy którego używać i jak przeprowadzić migrację bez przestoju.
W praktyce większość firm korzystających z KSeF 2.0 w 2026 roku ma w programie wpisany token. Działa, bo był rekomendowany w okresie startu obowiązkowego KSeF. Problem w tym, że token ma zapadalność. 31 grudnia 2026 r. wygasa wszystkim podatnikom jednocześnie, niezależnie od daty wygenerowania. Jeżeli 1 stycznia 2027 r. Twój program jeszcze nie ma certyfikatu KSeF, integracja z KSeF zwyczajnie przestaje działać. Dlatego warto zrozumieć, co to dokładnie jest jedno i drugie.
Czym jest token KSeF
Token KSeF to długi ciąg alfanumeryczny, który zawiera w sobie zakres uprawnień nadanych przez podatnika w momencie generowania. Token generujesz w Module Certyfikatów i Uprawnień (MCU) pod adresem mcu.mf.gov.pl/web, po zalogowaniu Profilem Zaufanym, podpisem kwalifikowanym lub pieczęcią elektroniczną. Po wygenerowaniu token wyświetla się jeden raz i trzeba go skopiować do menedżera haseł, a potem wkleić do ustawień programu do fakturowania.
Charakterystyka tokenu: uprawnienia są „zapieczone” w samym tokenie (wystawianie, odczyt, zarządzanie uprawnieniami). Token działa do momentu ręcznego unieważnienia w MCU albo do 31 grudnia 2026 r., cokolwiek nastąpi pierwsze. Szczegóły procedury generowania opisujemy w poradniku Jak wygenerować token KSeF.
Czym jest certyfikat KSeF
Certyfikat KSeF to bezpłatny certyfikat elektroniczny wydawany przez Ministerstwo Finansów. Składa się z pary klucz publiczny / klucz prywatny oraz metadanych identyfikujących podmiot (NIP). Generujesz go wniosek w MCU lub w Aplikacji Podatnika KSeF 2.0 (ap.ksef.mf.gov.pl), podpisujesz podpisem kwalifikowanym, Profilem Zaufanym lub pieczęcią kwalifikowaną, a po pozytywnej weryfikacji pobierasz plik z kluczem prywatnym.
Różnica w porównaniu z tokenem jest fundamentalna: certyfikat KSeF jest „czysty”. Sam w sobie nie zawiera uprawnień. Służy wyłącznie do udowodnienia, że żądanie API pochodzi od uprawnionego podmiotu. Uprawnienia (kto może wystawiać faktury, kto odczytywać, kto zarządzać) są przechowywane po stronie MF w rejestrze uprawnień i wiążą certyfikat z rolami nadanymi w KSeF. Dlatego migracja z tokenu na certyfikat wymaga sprawdzenia, czy wszystkie potrzebne uprawnienia są aktywne w MCU.
Certyfikat KSeF vs certyfikat kwalifikowany eIDAS
To częsty punkt nieporozumień. Certyfikat kwalifikowany eIDAS kupujesz u komercyjnego dostawcy (EuroCert, KIR, Certum, Sigillum). Kosztuje 200-400 zł rocznie, dostarczany jest w formie karty z chipem lub pliku P12. Służy do podpisu kwalifikowanego dokumentów (ma moc prawną równą podpisowi odręcznemu), do logowania w administracji elektronicznej i — między innymi — do podpisania wniosku o certyfikat KSeF.
Certyfikat KSeF jest inny: bezpłatny, wydawany przez MF, wyłącznie do KSeF. Nie podpisujesz nim żadnych dokumentów poza autoryzacją w API KSeF. Certyfikat kwalifikowany eIDAS nie zastępuje certyfikatu KSeF w integracji z systemem — to dwa różne byty. Więcej o architekturze bezpieczeństwa KSeF piszemy w KSeF a bezpieczeństwo danych.
Tabela porównawcza
| Kryterium | Token KSeF | Certyfikat KSeF | Certyfikat kwalifikowany eIDAS |
|---|---|---|---|
| Cena | Bezpłatny | Bezpłatny | 200-400 zł / rok |
| Wydawca | Ministerstwo Finansów | Ministerstwo Finansów | Komercyjny (EuroCert, Certum, KIR, Sigillum) |
| Ważność | Do 31.12.2026 (ustawowo) | Do 2 lat od wystawienia | Zwykle 1-3 lata |
| Gdzie generujesz | mcu.mf.gov.pl/web | mcu.mf.gov.pl/web lub ap.ksef.mf.gov.pl | U wydawcy (wizyta, online) |
| Na co pozwala | Wystawianie, odczyt, zarządzanie (wbudowane) | Uwierzytelnienie; uprawnienia z rejestru | Podpis kwalifikowany, logowanie eGov |
| Tryb M2M (integracja API) | Tak | Tak | Nie (wyłącznie na żądanie użytkownika) |
| Login użytkownika (przeglądarka) | Nie | Nie | Tak |
| Tryb offline24 | Nie dotyczy | Tak, wymagany do podpisu kodu QR | Nie |
| Wymagane od kiedy | Od listopada 2025 (MCU) | Od 1.02.2026 (KSeF 2.0) | Od wdrożenia eIDAS |
| Termin wygaśnięcia mechanizmu | 31.12.2026 | Brak (długoterminowo) | Brak |
Migracja 2026 → 2027 — kiedy zacząć
Ministerstwo Finansów zaleca, by wystąpić o certyfikat KSeF równolegle z używaniem tokenu. Oba mechanizmy działają w 2026 r. jednocześnie, więc migracja może być stopniowa i bezryzykowna. Praktyczny harmonogram:
- Q2-Q3 2026 — wygeneruj certyfikat KSeF w MCU (wniosek + podpis). Zachowaj plik klucza prywatnego w menedżerze sekretów.
- Q3 2026 — przetestuj certyfikat w środowisku testowym programu do fakturowania. Wystaw kilka faktur próbnych. Sprawdź, czy program poprawnie uwierzytelnia się w KSeF.
- Q4 2026 — przełącz produkcję na certyfikat KSeF. Pozostaw token jako backup (nadal działa).
- Grudzień 2026 — unieważnij token w MCU (opcjonalnie, wygasa automatycznie 31.12.2026).
- 1 stycznia 2027 — jedyną metodą uwierzytelnienia jest certyfikat KSeF. Zero przestoju, bo przełączyłeś się wcześniej.
Najczęstszy błąd: odkładanie migracji na grudzień 2026 r. W tym miesiącu na MCU skomasuje się ruch setek tysięcy podatników, a ewentualny problem techniczny po Twojej stronie (wygasły Profil Zaufany, kłopot z PIN-em do karty, niekompatybilny sterownik czytnika) zostawia Cię bez integracji po Nowym Roku.
Kroki migracji w praktyce
Krok 1: Wygeneruj certyfikat KSeF w MCU
Zaloguj się na mcu.mf.gov.pl/web Profilem Zaufanym albo podpisem kwalifikowanym. Wybierz kontekst NIP. Przejdź do zakładki „Certyfikaty” i kliknij „Wnioskuj o certyfikat”. Wypełnij formularz (dane identyfikacyjne są wstępnie wypełnione z KSeF), podpisz wniosek i pobierz wygenerowany plik certyfikatu wraz z kluczem prywatnym.
Krok 2: Zabezpiecz klucz prywatny
Klucz prywatny to najbardziej wrażliwy element. Jego wyciek oznacza, że ktoś obcy może w Twoim imieniu wystawiać faktury w KSeF. Zapisz w menedżerze sekretów (1Password, HashiCorp Vault, AWS Secrets Manager) albo w zaszyfrowanym pliku z mocnym hasłem. Nigdy nie przesyłaj mailem ani nie zostawiaj na pulpicie.
Krok 3: Zaktualizuj konfigurację programu księgowego
Otwórz ustawienia programu do fakturowania (Comarch ERP, Symfonia, Fakturownia, iFirma, Pianista lub inny). Znajdź sekcję „KSeF” lub „Integracje”. Zamiast pola „Token” wypełnij „Certyfikat” i „Klucz prywatny” (lub wskaż ścieżkę do pliku). Zapisz ustawienia.
Krok 4: Przetestuj wystawienie faktury
Zanim przełączysz się całkowicie, wystaw jedną fakturę testową (albo użyj środowiska sandbox, jeśli program je udostępnia). Sprawdź, czy faktura pojawia się w KSeF z numerem KSeF (patrz Numer KSeF — co to jest) i czy program pobiera potwierdzenie. Jeżeli test przejdzie, jesteś gotowy na produkcję.
Krok 5: Usuń stary token
Po tygodniu-dwóch bezproblemowej pracy na certyfikacie wróć do MCU i unieważnij token, który wcześniej był głównym kanałem. Wyczyszczenie rejestru tokenów zmniejsza ryzyko i porządkuje dokumentację bezpieczeństwa.
FAQ
Co jeśli nie zdążę z migracją przed 1.01.2027?
Od 1 stycznia 2027 r. wszystkie aktywne tokeny autoryzacyjne wygasają automatycznie. Jeżeli do tego dnia nie wygenerujesz certyfikatu KSeF i nie skonfigurujesz go w programie, integracja z KSeF przestanie działać. Faktury sprzedażowe można wtedy wystawiać ręcznie w Aplikacji Podatnika KSeF (ap.ksef.mf.gov.pl) z logowaniem przez Profil Zaufany, ale to rozwiązanie tymczasowe. Przygotuj migrację z wyprzedzeniem.
Czy certyfikat KSeF jest bezpłatny?
Tak. Certyfikat KSeF wydaje Ministerstwo Finansów za pośrednictwem Modułu Certyfikatów i Uprawnień (mcu.mf.gov.pl/web). Nie pobiera żadnej opłaty za wydanie ani odnowienie. Jedyny potencjalny koszt to karta z podpisem kwalifikowanym (200-400 zł rocznie), jeśli używasz jej do złożenia wniosku. Alternatywą jest darmowy Profil Zaufany.
Czy certyfikat kwalifikowany eIDAS zastąpi certyfikat KSeF?
Nie. To dwie różne rzeczy. Certyfikat kwalifikowany eIDAS (EuroCert, Certum, KIR, Sigillum) służy do podpisu elektronicznego i logowania w MCU. Certyfikat KSeF (od MF) służy wyłącznie do uwierzytelnienia integracji API z KSeF 2.0. Certyfikatu kwalifikowanego używasz, żeby złożyć wniosek o certyfikat KSeF, ale nie zastępuje on certyfikatu KSeF w programie do fakturowania.
Ile certyfikatów KSeF mogę mieć?
Nie ma twardego limitu. W praktyce generuj tyle, ile masz integracji: osobny dla programu do fakturowania, osobny dla ERP, osobny dla narzędzia raportowego. Każdy ma ważność do 2 lat i można go unieważnić indywidualnie bez wpływu na pozostałe.
Czy certyfikat wystawiam na firmę czy na pracownika?
Certyfikat KSeF jest wydawany w kontekście NIP-u podatnika, nie konkretnej osoby. Generują go osoby uprawnione w KSeF dla danego podmiotu (właściciel, administrator, pełnomocnik). To oznacza, że certyfikat „należy do firmy”, a nie do pracownika, który go wygenerował. Przy zmianie kadrowej certyfikat pozostaje ważny, ale warto go rotować, jeśli osoba odchodziła z dostępem do klucza prywatnego.
Czy mogę używać tokenu i certyfikatu równolegle w 2026?
Tak. Od 1 lutego 2026 r. w KSeF 2.0 oba mechanizmy działają równolegle. Wielu dostawców oprogramowania pozwala skonfigurować obie metody i przełączać się między nimi. Rekomendowane podejście: przez cały 2026 r. używaj tokenu jako głównej metody, a certyfikat KSeF wygeneruj i przetestuj w środowisku testowym, żeby być gotowym na 1.01.2027.
Co się stanie z aktywnymi tokenami po 1.01.2027?
Wygasną automatycznie. Ministerstwo Finansów zakończy obsługę tokenów autoryzacyjnych w KSeF 2.0 z dniem 31 grudnia 2026 r. Nie jest wymagane ręczne unieważnianie ich wcześniej, ale dobrą praktyką jest wyczyścić rejestr tokenów w MCU przed migracją — łatwiej potem zapanować nad tym, które integracje są aktywne.
Źródła
- podatki.gov.pl/ksef — oficjalna strona KSeF Ministerstwa Finansów
- ksef.podatki.gov.pl — dokumentacja techniczna i specyfikacja API
- mcu.mf.gov.pl/web — Moduł Certyfikatów i Uprawnień (tokeny i certyfikaty)
- ap.ksef.mf.gov.pl — Aplikacja Podatnika KSeF 2.0
Podsumowanie
Token i certyfikat KSeF to nie konkurencyjne alternatywy — to mechanizmy następcze. Token był dobrym rozwiązaniem startowym w 2025-2026 r., gdy infrastruktura certyfikatów dopiero się rozwijała. Od 2027 r. rolę uwierzytelnienia przejmuje certyfikat KSeF, który jest bardziej elastyczny (uprawnienia niezależnie, rotacja bez zmiany uprawnień) i bardziej bezpieczny (kryptografia asymetryczna zamiast długiego tajnego ciągu). Jeśli masz token wpisany w program, zaplanuj migrację na Q3-Q4 2026. Jeden wniosek w MCU, pięć minut konfiguracji w programie, test na jednej fakturze — i jesteś gotowy na 1 stycznia 2027.