Powrót do bazy wiedzy

Uwierzytelnianie i dostępy w KSeF - kompendium

7 stycznia 2026Strefa KSeF
uwierzytelnianiedostępuprawnieniacertyfikatykontekst logowania

Uwierzytelnianie i dostępy w KSeF - kompendium

Wprowadzenie: Po co uwierzytelnianie w KSeF?

KSeF (Krajowy System e-Faktur) to system rządowy obsługujący miliony faktur dziennie. Uwierzytelnianie to proces, który potwierdza, że to faktycznie TY (lub Twoja firma) wystawia fakturę, a nie ktoś podszywający się pod Twoją firmę.

Bez uwierzytelniania każdy mógłby:

  • Wystawić fakturę w imieniu Twojej firmy
  • Pobrać faktury wystawione na Twój NIP
  • Zobowiązać Twoją firmę do zapłaty podatku

Dlatego KSeF wymaga silnego uwierzytelniania - takiego, które potwierdza tożsamość bez wątpliwości.

1. Kontekst logowania - "W czyim imieniu działam?"

Czym jest kontekst logowania?

Kontekst logowania to deklaracja, w imieniu jakiego podmiotu (firmy) działasz w danej chwili. Podczas logowania do KSeF MUSISZ określić:

  • NIP główny - numer identyfikacyjny Twojej firmy (np. 1234567890)
  • IDWew (opcjonalnie) - identyfikator wewnętrzny dla oddziału lub jednostki organizacyjnej

Po co potrzebny jest kontekst?

Wyobraź sobie, że:

  • Prowadzisz 3 firmy (3 różne NIP-y)
  • Jesteś pracownikiem biura rachunkowego obsługującego 50 klientów
  • Twoja firma ma 10 oddziałów w różnych miastach

Kontekst mówi KSeF: "Teraz wystawiam fakturę w imieniu tego konkretnego NIP-u, tego konkretnego oddziału."

Przykład praktyczny:

Jan Kowalski loguje się do KSeF:
┌─────────────────────────────────────┐
│ Jako kto się logujesz?              │
│ → Jan Kowalski (PESEL 12345678901)  │
└─────────────────────────────────────┘

W czyim imieniu działasz?
┌─────────────────────────────────────┐
│ NIP główny: 1111111111              │ ← Firma "ABC Sp. z o.o."
│ IDWew: WAW01                        │ ← Oddział warszawski
└─────────────────────────────────────┘

Wynik: Faktura będzie wystawiona przez firmę ABC Sp. z o.o.,
oddział w Warszawie, ale podpisana przez Jana Kowalskiego.

NIP główny vs IDWew

| Element | Co to jest | Kiedy używać | Przykład | |---------|-----------|--------------|----------| | NIP główny | Podstawowy numer identyfikacyjny firmy | ZAWSZE - jest obowiązkowy | 1234567890 | | IDWew | Identyfikator oddziału/jednostki | TYLKO gdy firma ma wiele oddziałów | WAW01, KRK02, GDA03 |

Ważne:

  • Dla firm jednoosobowych (JDG) bez oddziałów: tylko NIP główny
  • Dla firm z wieloma punktami sprzedaży: NIP główny + IDWew dla każdego punktu

Najczęstsze pytania:

Q: Czy muszę podawać IDWew? A: NIE, jeśli nie masz oddziałów. IDWew jest opcjonalny i używany tylko przez duże firmy z wieloma lokalizacjami.

Q: Czy mogę zmieniać kontekst podczas pracy? A: TAK, możesz przełączać się między firmami/oddziałami bez wylogowywania (zależy od oprogramowania).

Q: Co jeśli podam zły kontekst? A: Faktura zostanie wystawiona w imieniu podmiotu, który zadeklarowałeś. Nie można tego łatwo zmienić - trzeba wystawić korektę!

2. Cztery metody uwierzytelniania - która dla Ciebie?

KSeF akceptuje 4 główne metody uwierzytelniania. Wybór zależy od tego, czy jesteś osobą fizyczną (JDG) czy podmiotem prawnym (spółką).

2.1. Profil Zaufany (dla osób fizycznych)

Co to jest? Bezpłatne konto rządowe do potwierdzania tożsamości online. Jak "login do urzędów".

Dla kogo?

  • ✅ Osoby fizyczne prowadzące działalność (JDG)
  • ✅ Reprezentanci spółek (prezes, członek zarządu)
  • ❌ Spółki jako podmioty (spółka nie ma PESEL-u)

Jak działa założenie?

  1. Zakładasz Profil Zaufany na stronie pz.gov.pl
  2. Potwierdzasz tożsamość przez bank online (najszybsze) lub w urzędzie
  3. Logujesz się do KSeF używając login + hasło Profilu Zaufanego

Zalety:

  • ✅ Całkowicie darmowy
  • ✅ Szybkie założenie (przez bank - 10 minut)
  • ✅ Działa do wszystkich systemów rządowych (US, ZUS, CEiDG)

Wady:

  • ❌ Wymaga logowania za każdym razem (nie da się zautomatyzować)
  • ❌ Ważny tylko 3 lata (potem trzeba przedłużyć)

Kiedy wybrać: Jesteś JDG i wystawiasz faktury ręcznie przez aplikację podatnika (nie automatyzujesz).

→ Jak założyć Profil Zaufany

2.2. Podpis kwalifikowany (dla osób fizycznych)

Co to jest? Elektroniczny odpowiednik odręcznego podpisu z mocą prawną równą pieczęci notarialnej. Wymagany certyfikat wydany przez zaufaną firmę (np. Szafir, Sigillum).

Dla kogo?

  • ✅ Osoby fizyczne (JDG, reprezentanci spółek)
  • ✅ Osoby podpisujące dużo dokumentów (nie tylko faktury)
  • ✅ Osoby potrzebujące podpisu do innych celów (umowy, przetargi)

Jak to działa?

  1. Kupujesz certyfikat podpisu kwalifikowanego (~200-300 zł/rok)
  2. Otrzymujesz kartę kryptograficzną lub token USB z certyfikatem
  3. Instalujesz czytnik kart lub wtyczki do przeglądarki
  4. Logujesz się do KSeF wkładając kartę i podając PIN

Zalety:

  • ✅ Uniwersalny - działa wszędzie (urzędy, banki, notariusze)
  • ✅ Najwyższy poziom bezpieczeństwa
  • ✅ Można używać do podpisywania umów, dokumentów

Wady:

  • ❌ Kosztuje ~200-300 zł rocznie
  • ❌ Wymaga fizycznej karty/tokena (można zgubić)
  • ❌ Nie da się w pełni zautomatyzować (trzeba podać PIN)

Kiedy wybrać: Potrzebujesz podpisu do wielu celów (nie tylko KSeF) lub wymagają tego Twoi kontrahenci/przetargi.

2.3. Pieczęć kwalifikowana (dla spółek)

Co to jest? Elektroniczny odpowiednik pieczątki firmowej. Podobna do podpisu kwalifikowanego, ale dla podmiotów prawnych (nie osób).

Dla kogo?

  • ✅ Spółki z o.o., S.A., spółki komandytowe
  • ✅ Fundacje, stowarzyszenia
  • ❌ Osoby fizyczne (JDG) - nie mogą mieć pieczęci

Jak to działa?

  1. Spółka kupuje pieczęć kwalifikowaną (~300-500 zł/rok)
  2. Pieczęć zawiera NIP firmy (nie PESEL osoby)
  3. Certyfikat instalowany na serwerze lub karcie kryptograficznej
  4. System loguje się do KSeF używając pieczęci automatycznie

Zalety:

  • ✅ Przypisana do firmy, nie osoby (zarząd może się zmienić, pieczęć zostaje)
  • ✅ Można zautomatyzować (nie wymaga fizycznej obecności człowieka)
  • Automatyczne uprawnienia w KSeF - nie trzeba składać ZAW-FA!

Wady:

  • ❌ Droższa niż podpis (~300-500 zł/rok)
  • ❌ Tylko dla podmiotów prawnych (JDG nie może mieć)

Kiedy wybrać: Jesteś spółką i chcesz:

  • Automatycznej integracji z systemem księgowym
  • Uniknąć składania formularza ZAW-FA
  • Niezależności od zmian w zarządzie

2.4. Token autoryzacyjny (do automatyzacji API)

Co to jest? Długi, unikalny ciąg znaków (jak bardzo długie hasło), który zastępuje login i hasło w komunikacji systemowej.

Przykład tokenu:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ...

Dla kogo?

  • ✅ Firmy z własnym systemem księgowym/ERP
  • ✅ Biura rachunkowe obsługujące wielu klientów
  • ✅ Systemy wysyłające faktury automatycznie (np. e-commerce)

Jak to działa?

  1. Logujesz się do Modułu Certyfikatów i Uprawnień (MCU) na mcu.mf.gov.pl
  2. Generujesz token z określonymi uprawnieniami (tylko wystawianie, tylko pobieranie, pełny dostęp)
  3. Token jest pokazany tylko raz - musisz go skopiować i zapisać!
  4. Wklejasz token w ustawienia swojego systemu księgowego
  5. System łączy się z KSeF automatycznie używając tokenu (bez Twojego logowania)

Zalety:

  • ✅ Pełna automatyzacja - system działa sam 24/7
  • ✅ Nie wymaga fizycznej karty czy logowania
  • ✅ Można wygenerować wiele tokenów z różnymi uprawnieniami
  • ✅ Można w każdej chwili unieważnić token (jeśli wycieknie)

Wady:

  • ❌ Jeśli token wycieknie, ktoś może go użyć (jak wykradzenie hasła)
  • ❌ Nie działa w Aplikacji Podatnika (tylko API)
  • ❌ Dostępny tylko do końca 2026 r. (potem będzie wymagany certyfikat)

UWAGA BEZPIECZEŃSTWA:

  • ❌ NIE zapisuj tokenu w kodzie źródłowym aplikacji!
  • ❌ NIE wysyłaj tokenu mailem!
  • ✅ Przechowuj w sejfie haseł lub zmiennych środowiskowych
  • ✅ Unieważnij stary token gdy generujesz nowy

Kiedy wybrać: Chcesz, aby Twój system księgowy automatycznie wysyłał faktury do KSeF bez Twojego udziału (integracja API).

→ Jak wygenerować token

2.5. Certyfikat KSeF (najważniejsze dla automatyzacji!)

Co to jest? Specjalny certyfikat wydawany przez Ministerstwo Finansów, który służy wyłącznie do pracy z KSeF. Ma dwa typy: 1 (tylko online) i 2 (online + offline).

UWAGA: To NIE to samo co podpis kwalifikowany! Certyfikat KSeF wydaje MF za darmo, podpis kwalifikowany kupujesz od firm komercyjnych.

Typ 1 - Certyfikat uwierzytelniający (online)

Do czego służy?

  • Logowanie do KSeF przez API
  • Wystawianie faktur online w sesjach interaktywnych i wsadowych
  • Pobieranie faktur zakupowych

Kiedy wybrać: Chcesz zautomatyzować wysyłkę faktur, ale nie planujesz pracy offline (masz zawsze dostęp do internetu).

Typ 2 - Certyfikat offline (online + offline)

Do czego służy?

  • Wszystko co typ 1 (logowanie, wystawianie, pobieranie)
  • + Wystawianie faktur w trybie offline (bez internetu lub gdy KSeF nie działa)

Czym różni się od typu 1?

| Funkcja | Typ 1 | Typ 2 | |---------|-------|-------| | Logowanie do KSeF | ✅ | ✅ | | Wystawianie faktur online | ✅ | ✅ | | Pobieranie faktur | ✅ | ✅ | | Wystawianie faktur offline | ❌ | ✅ | | Generowanie kodu QR certyfikatu | ❌ | ✅ | | Koszt | Darmowy | Darmowy |

Dlaczego typ 2 jest ważny?

Wyobraź sobie:

  • Awaria internetu w biurze (3 godziny bez dostępu)
  • KSeF ma przerwę techniczną (prace serwisowe)
  • Twój dostawca internetu ma awarię (cały dzień offline)

Bez certyfikatu typu 2: Nie możesz wystawić faktury. Klient czeka. Biznes stoi.

Z certyfikatem typu 2: Wystawiasz fakturę offline (zapisuje się lokalnie), a gdy wraca internet - system automatycznie dosyła faktury do KSeF.

Jak wygląda faktura offline?

  • Ma DWA kody QR (nie jeden!):
    1. Kod QR weryfikujący (jak zwykle)
    2. Kod QR certyfikatu - potwierdza, że masz prawo wystawiać faktury offline
  • Klient może zeskanować kody i zweryfikować fakturę jeszcze ZANIM zostanie dosłana do KSeF

Kiedy wybrać: ZAWSZE! Certyfikat typ 2 jest darmowy i daje Ci awaryjny plan B. Bez niego ryzykujesz paraliż biznesu podczas awarii.

Jak uzyskać certyfikat KSeF?

  1. Zaloguj się do MCU (mcu.mf.gov.pl) używając Profilu Zaufanego lub podpisu kwalifikowanego
  2. Wybierz "Certyfikaty KSeF" → "Wnioskuj o nowy certyfikat"
  3. Wybierz typ:
    • Typ 1 - jeśli masz stabilny internet i nie potrzebujesz offline
    • Typ 2 (zalecane!) - zabezpieczenie na wypadek awarii
  4. Określ datę rozpoczęcia ważności
  5. Certyfikat zostanie wygenerowany (może potrwać kilka minut do kilku godzin)
  6. Pobierz certyfikat NATYCHMIAST - będzie dostępny tylko raz!
  7. Zapisz w bezpiecznym miejscu (hasło, plik .p12 lub .pem)

BARDZO WAŻNE:

  • Certyfikat jest ważny maksymalnie 2 lata
  • Pamiętaj o przedłużeniu przed wygaśnięciem!
  • Możesz mieć kilka certyfikatów jednocześnie (np. jeden dla systemu głównego, drugi zapasowy)

→ Jak pobrać certyfikat KSeF

Porównanie wszystkich metod - która dla Ciebie?

| Metoda | Kto może używać | Koszt | Automatyzacja | Offline | Najlepsze dla | |--------|----------------|-------|---------------|---------|---------------| | Profil Zaufany | Osoby fizyczne | Darmowy | ❌ Nie | ❌ Nie | JDG wystawiające faktury ręcznie | | Podpis kwalifikowany | Osoby fizyczne | ~250 zł/rok | Częściowa | ❌ Nie | Osoby potrzebujące podpisu do wielu celów | | Pieczęć kwalifikowana | Spółki | ~400 zł/rok | ✅ Tak | ❌ Nie | Spółki chcące automatyzacji bez ZAW-FA | | Token | Wszyscy | Darmowy | ✅ Tak | ❌ Nie | Tymczasowa automatyzacja (do 2026) | | Certyfikat KSeF typ 1 | Wszyscy | Darmowy | ✅ Tak | ❌ Nie | Automatyzacja bez potrzeby offline | | Certyfikat KSeF typ 2 | Wszyscy | Darmowy | ✅ Tak | ✅ TAK | Wszystkie firmy - to wybór przyszłościowy! |

Rekomendacja ogólna:

  1. JDG małe → Profil Zaufany (na start) + Certyfikat typ 2 (bezpieczeństwo)
  2. JDG średnie/duże → Certyfikat KSeF typ 2 (automatyzacja + offline)
  3. Spółki z pieczęcią → Pieczęć kwalifikowana (automatyczny dostęp) + Certyfikat typ 2
  4. Spółki bez pieczęci → Certyfikat KSeF typ 2 (trzeba złożyć ZAW-FA najpierw)
  5. Biura rachunkowe → Token (do 2026) + Certyfikat typ 2 dla każdego klienta

3. Uprawnienia w KSeF - kto może co robić?

3.1. Dwa rodzaje uprawnień

KSeF rozróżnia dwa typy uprawnień:

Uprawnienia pierwotne (właściciel)

Kto to ma?

  • Właściciel firmy (JDG - automatycznie po pierwszym logowaniu)
  • Osoba wskazana w formularzu ZAW-FA (dla spółek bez pieczęci)
  • Spółka z pieczęcią kwalifikowaną (automatycznie)

Co może robić?

  • ✅ Wystawiać faktury
  • ✅ Pobierać faktury zakupowe
  • Nadawać uprawnienia innym osobom (pracownikom, biurom)
  • ✅ Odbierać uprawnienia
  • ✅ Generować certyfikaty KSeF
  • ✅ Zarządzać tokenami

Ważne: Uprawnienia pierwotne NIE można odebrać (są Twoje z mocy prawa jako właściciel firmy).

Uprawnienia wtórne (pracownicy, biura rachunkowe)

Kto to ma?

  • Pracownicy, którym właściciel nadał dostęp
  • Biura rachunkowe, które obsługują firmę
  • Inne osoby/podmioty upoważnione przez właściciela

Co mogą robić? Zależy od tego, jakie uprawnienia nadał im właściciel:

  • Tylko przeglądanie faktur
  • Tylko wystawianie faktur
  • Wystawianie + przeglądanie
  • Pełny dostęp (w tym nadawanie uprawnień innym)

Ważne: Uprawnienia wtórne można w każdej chwili odebrać.

3.2. Jak nadać uprawnienia pracownikowi?

Scenariusz: Masz księgową Anię, która ma wystawiać faktury w Twoim imieniu.

Krok 1: Ania musi mieć sposób uwierzytelnienia

  • Profil Zaufany (najprostsze dla pracowników)
  • Podpis kwalifikowany
  • Certyfikat KSeF (jeśli firma go wygeneruje dla niej)

Krok 2: Ty (właściciel) nadajesz jej uprawnienia

Opcja A - Przez Aplikację Podatnika:

  1. Logujesz się do Aplikacji Podatnika (ksef.mf.gov.pl)
  2. Wybierasz "Uprawnienia" → "Nadaj uprawnienie"
  3. Podajesz dane Ani:
    • PESEL lub NIP (jeśli ma działalność)
    • Zakres uprawnień (wystawianie, przeglądanie, zarządzanie)
  4. Potwierdzasz swoim Profilem Zaufanym/podpisem
  5. System wysyła Ani powiadomienie email

Opcja B - Przez MCU (mcu.mf.gov.pl):

  1. Logujesz się do MCU
  2. "Zarządzanie uprawnieniami" → "Dodaj osobę"
  3. Wypełniasz formularz z danymi Ani
  4. Wybierasz uprawnienia
  5. Zatwierdzasz

Krok 3: Ania odbiera uprawnienia

  1. Ania loguje się do KSeF swoim Profilem Zaufanym
  2. W sekcji "Moje uprawnienia" widzi Twoją firmę
  3. Wybiera kontekst (Twój NIP) i może wystawiać faktury

Co widać na fakturze wystawionej przez Anię?

  • Sprzedawca: Twoja firma (Twój NIP)
  • Wystawca faktury: Ania Kowalska (jej PESEL/NIP)
  • W metadanych faktury zapisane, że Ania działała w Twoim imieniu

To ważne dla audytu! Widać KTO konkretnie wystawił fakturę, nawet jeśli ma uprawnienia do Twojej firmy.

Jak odebrać uprawnienia?

  1. Wchodzisz w "Uprawnienia" → "Nadane uprawnienia"
  2. Znajdujesz Anię na liście
  3. Klikasz "Odbierz uprawnienia"
  4. Potwierdzasz

Skutek: Ania traci dostęp NATYCHMIAST (nie może już wystawiać faktur).

Najczęstsze pytania:

Q: Czy pracownik widzi faktury innych moich pracowników? A: TAK, jeśli dałeś mu uprawnienie "przeglądanie". Widzi WSZYSTKIE faktury firmy.

Q: Czy mogę nadać uprawnienia tylko do jednego oddziału (IDWew)? A: TAK, możesz ograniczyć uprawnienia do konkretnego IDWew.

Q: Co jeśli pracownik odchodzi z firmy? A: NATYCHMIAST odbierz mu uprawnienia! Inaczej nadal będzie mógł wystawiać faktury w Twoim imieniu.

→ Szczegółowa instrukcja nadawania uprawnień

3.3. Jak nadać uprawnienia biuru rachunkowemu?

Scenariusz: Współpracujesz z biurem rachunkowym "Księgowość Sp. z o.o.", które ma obsługiwać Twoje faktury.

Różnica vs pracownik:

  • Pracownik = osoba fizyczna (PESEL)
  • Biuro rachunkowe = podmiot prawny (NIP biura, nie PESEL księgowej)

Krok 1: Ustal z biurem, jakiego dostępu potrzebują

Typowe opcje:

  • Tylko przeglądanie - biuro pobiera Twoje faktury zakupowe do księgowania
  • Wystawianie + przeglądanie - biuro wystawia faktury w Twoim imieniu
  • Pełny dostęp - biuro może nadawać uprawnienia swoim pracownikom (rzadkie)

Krok 2: Uzyskaj NIP biura

Zapytaj biuro: "Jaki jest Wasz NIP zarejestrowany w KSeF do obsługi klientów?"

UWAGA: To musi być NIP biura, nie NIP księgowej! Biuro powinno Ci podać swój firmowy NIP.

Krok 3: Nadaj uprawnienia przez MCU lub Aplikację Podatnika

Proces identyczny jak dla pracownika, ale:

  • Zamiast PESEL → podajesz NIP biura
  • Wybierasz zakres uprawnień (zazwyczaj "przeglądanie" lub "wystawianie + przeglądanie")

Krok 4: Biuro potwierdza dostęp

Biuro loguje się do swojego systemu księgowego i:

  • Widzi Twoją firmę na liście klientów
  • Może pobierać Twoje faktury zakupowe
  • Może wystawiać faktury w Twoim imieniu (jeśli dałeś takie uprawnienie)

Co widzi biuro?

  • Twoje faktury sprzedaży (jeśli dałeś uprawnienie "przeglądanie")
  • Twoje faktury zakupowe (automatycznie, bo są wystawione na Twój NIP)
  • Historię operacji

Co NIE widzi biuro?

  • ❌ Twoich loginów i haseł (logują się swoimi danymi)
  • ❌ Faktur innych klientów (każdy klient to osobny kontekst)
  • ❌ Twoich danych osobowych poza tym, co jest na fakturach

Jak odebrać uprawnienia biuru?

Dokładnie tak samo jak pracownikowi:

  1. "Uprawnienia" → "Nadane uprawnienia"
  2. Znajdujesz biuro (po NIP)
  3. "Odbierz uprawnienia" → Potwierdzasz

Skutek: Biuro traci dostęp natychmiast.

Najczęstsze pytania:

Q: Czy biuro może nadawać uprawnienia swoim pracownikom bez mojej zgody? A: NIE, chyba że dałeś biuru uprawnienie "zarządzanie uprawnieniami". Zazwyczaj biuro zarządza swoimi pracownikami wewnętrznie (swoimi metodami), a do KSeF loguje się swoim NIP-em.

Q: Czy zmiana biura rachunkowego wymaga czegoś specjalnego? A:

  1. Odbierz uprawnienia staremu biuru
  2. Nadaj uprawnienia nowemu biuru
  3. Nowe biuro od razu widzi wszystkie Twoje faktury (nic nie ginie)

Q: Czy muszę płacić za nadanie uprawnień biuru? A: NIE, nadawanie i odbieranie uprawnień w KSeF jest całkowicie darmowe.

Q: Co jeśli biuro mówi "nie mamy jeszcze NIP-u do KSeF"? A: To oznacza, że biuro jeszcze nie zarejestrowało się w KSeF jako podmiot obsługujący klientów. Poproś ich, aby najpierw:

  1. Zalogowali się do KSeF swoim NIP-em
  2. Przeszli proces rejestracji jako biuro rachunkowe
  3. Dopiero potem mogą przyjmować uprawnienia od klientów

3.4. Rodzaje uprawnień - szczegóły

KSeF oferuje kilka poziomów uprawnień. Możesz je mieszać (np. "wystawianie + przeglądanie").

| Uprawnienie | Co pozwala | Dla kogo | Ryzyko | |-------------|-----------|----------|--------| | Przeglądanie faktur | Pobieranie i oglądanie faktur | Biuro rachunkowe, kontroler wewnętrzny | Niskie - tylko odczyt | | Wystawianie faktur | Wystawianie nowych faktur w imieniu firmy | Pracownik sprzedaży, biuro rachunkowe | Średnie - mogą wystawić fakturę | | Zarządzanie uprawnieniami | Nadawanie/odbieranie uprawnień innym osobom | Dyrektor finansowy, zaufany pracownik | Wysokie - mogą dać dostęp komukolwiek | | Pełny dostęp | Wszystkie powyższe + generowanie certyfikatów | Współwłaściciel firmy | Bardzo wysokie - pełna kontrola |

Zasada minimum uprawnień: Nadawaj tylko te uprawnienia, które są niezbędne do wykonania pracy.

Przykłady:

  • Pracownik sprzedaży: tylko "wystawianie"
  • Księgowa: "wystawianie + przeglądanie"
  • Dyrektor finansowy: "pełny dostęp"
  • Biuro rachunkowe: zazwyczaj "przeglądanie" (czasami "wystawianie")

4. Częste problemy i ich rozwiązania

Problem 1: "Nie mogę się zalogować, system mówi 'brak uprawnień'"

Możliwe przyczyny:

  1. Jesteś JDG i to Twoje pierwsze logowanie

    • Rozwiązanie: Po pierwszym zalogowaniu Profilem Zaufanym uprawnienia zostaną nadane automatycznie (może potrwać kilka minut)

  2. Jesteś spółką bez pieczęci kwalifikowanej

  3. Jesteś pracownikiem i właściciel Ci nie nadał uprawnień

    • Rozwiązanie: Poproś właściciela o nadanie uprawnień przez MCU

  4. Miałeś uprawnienia, ale zostały odebrane

    • Rozwiązanie: Skontaktuj się z właścicielem firmy

Problem 2: "Mam pieczęć kwalifikowaną, ale nadal muszę składać ZAW-FA?"

Nie! Jeśli logowanie do KSeF używasz pieczęci kwalifikowanej z NIP-em firmy, uprawnienia są nadawane automatycznie. ZAW-FA jest potrzebne tylko gdy:

  • Nie masz pieczęci kwalifikowanej
  • Logujesz się Profilem Zaufanym (jako osoba fizyczna reprezentująca spółkę)

Problem 3: "Wygenerowany certyfikat KSeF typ 2, ale faktury offline mają tylko JEDEN kod QR"

Diagnoza: Twój system księgowy nie obsługuje certyfikatu typu 2 lub jest źle skonfigurowany.

Rozwiązanie:

  1. Sprawdź, czy w systemie zaimportowałeś certyfikat typu 2 (nie typ 1)
  2. Sprawdź ustawienia trybu offline w systemie
  3. Skontaktuj się z dostawcą oprogramowania - powinni naprawić

Przypomnienie: Faktury offline MUSZĄ mieć DWA kody QR (weryfikujący + certyfikatu). Jeden kod = błąd!

Problem 4: "Nadałem uprawnienia biuru, ale oni mówią, że nie widzą mojej firmy"

Możliwe przyczyny:

  1. Podałeś zły NIP biura

    • Rozwiązanie: Sprawdź, czy NIP się zgadza (biuro powinno Ci podać swój NIP do KSeF)

  2. Biuro nie zalogowało się jeszcze do KSeF

    • Rozwiązanie: Biuro musi się raz zalogować i wybrać "odebrane uprawnienia"

  3. Biuro loguje się jako osoba fizyczna, nie jako biuro

    • Rozwiązanie: Biuro musi logować się używając NIP biura, nie PESEL księgowej

  4. Uprawnienia jeszcze się nie zsynchronizowały

    • Rozwiązanie: Poczekaj 15-30 minut i spróbuj ponownie

Problem 5: "Token przestał działać / system mówi 'token invalid'"

Możliwe przyczyny:

  1. Token wygasł

    • Rozwiązanie: Wygeneruj nowy token w MCU (stary zostanie automatycznie unieważniony)

  2. Token został unieważniony

    • Rozwiązanie: Sprawdź w MCU czy token jest aktywny, jeśli nie - wygeneruj nowy

  3. Token ma za mało uprawnień

    • Przykład: Generowałeś token "tylko przeglądanie", ale system próbuje wystawiać faktury
    • Rozwiązanie: Wygeneruj nowy token z odpowiednimi uprawnieniami

  4. Błąd w konfiguracji systemu

    • Rozwiązanie: Sprawdź czy token jest poprawnie wklejony (bez spacji na początku/końcu)

5. Bezpieczeństwo - dobre praktyki

5.1. Dla właścicieli firm

DO:

  • Regularnie przeglądaj listę osób z uprawnieniami (co kwartał)
  • Odbieraj uprawnienia pracownikom, którzy odeszli z firmy (tego samego dnia!)
  • Używaj certyfikatu typu 2 jako backup (na wypadek awarii)
  • Zapisuj wszystkie tokeny w menedżerze haseł (np. Bitwarden, 1Password)
  • Włącz powiadomienia email o ważnych operacjach w KSeF

NIE:

  • Nie udostępniaj swojego Profilu Zaufanego nikomu (nawet rodzinie)
  • Nie wysyłaj tokenów emailem ani SMS-em
  • Nie zapisuj haseł/tokenów w plikach tekstowych na pulpicie
  • Nie nadawaj uprawnień "pełny dostęp" bez potrzeby
  • Nie pomijaj przedłużania certyfikatów (sprawdzaj co roku)

5.2. Dla pracowników

DO:

  • Wylogowuj się po zakończeniu pracy (szczególnie na współdzielonym komputerze)
  • Zgłaszaj właścicielowi gdy Twoje uprawnienia są za szerokie
  • Natychmiast informuj o podejrzanych operacjach

NIE:

  • Nie udostępniaj swoich danych logowania innym pracownikom
  • Nie wystawiaj faktur "na próbę" - każda faktura w systemie produkcyjnym jest prawdziwa!

5.3. Dla biur rachunkowych

DO:

  • Używaj osobnych tokenów dla każdego klienta (łatwiej zarządzać)
  • Prowadź rejestr uprawnień (który klient, kiedy nadane, zakres)
  • Informuj klientów o zmianach w dostępach

NIE:

  • Nie żądaj od klienta dostępu do jego Profilu Zaufanego (to naruszenie bezpieczeństwa!)
  • Nie przechowuj certyfikatów klientów bez odpowiedniego zabezpieczenia

6. Podsumowanie - co wybrać dla siebie?

Jestem JDG (jednoosobowa działalność)

Poziom podstawowy (wystarczy na start):

  • Profil Zaufany - darmowy, prosty, działa od ręki
  • Certyfikat KSeF typ 2 - backup na wypadek awarii (darmowy!)

Poziom zaawansowany (gdy rosną obroty):

  • Certyfikat KSeF typ 2 - główna metoda (automatyzacja)
  • ✅ Profil Zaufany - zapasowa metoda logowania

Koszt: 0 zł

Jestem spółką Z pieczęcią kwalifikowaną

Zalecane:

  • Pieczęć kwalifikowana - automatyczny dostęp, nie trzeba ZAW-FA
  • Certyfikat KSeF typ 2 - automatyzacja + tryb offline
  • ✅ Token (opcjonalnie) - do integracji API (do 2026)

Koszt: ~400 zł/rok (pieczęć) + 0 zł (certyfikat, token)

Jestem spółką BEZ pieczęci kwalifikowanej

Krok 1 - Uzyskanie dostępu:

  1. Złóż formularz ZAW-FA wskazując osobę z uprawnieniami (np. prezes)
  2. Osoba ta loguje się Profilem Zaufanym i ma pierwsze uprawnienia

Krok 2 - Automatyzacja:

  • Certyfikat KSeF typ 2 - automatyzacja + offline
  • ✅ Token (opcjonalnie) - do API (do 2026)

Koszt: 0 zł (ale musisz złożyć ZAW-FA, co zajmuje kilka dni)

Opcjonalnie: Rozważ zakup pieczęci kwalifikowanej (~400 zł/rok) jeśli:

  • Chcesz uniknąć ZAW-FA w przyszłości
  • Potrzebujesz pieczęci do innych celów (umowy, przetargi)

Prowadzę biuro rachunkowe

Zalecane dla biura:

  • Token dla każdego klienta (do 2026) - szybka integracja
  • Certyfikat KSeF typ 2 jako długoterminowe rozwiązanie
  • ✅ System uprawnień: Klienci nadają Ci uprawnienia przez swój MCU

Co mówisz klientom: "Proszę nadać uprawnienia dla naszego biura:

  • NIP biura: [Twój NIP]
  • Zakres: Przeglądanie faktur [+ Wystawianie, jeśli wystawiasz faktury za klienta]"

Koszt: 0 zł (klient nadaje uprawnienia za darmo)

Przydatne linki

Oficjalne źródła:

Nasze instrukcje:

Słownik terminów:

Pytania? Coś niejasne? Skontaktuj się z nami lub sprawdź bazę wiedzy po więcej artykułów.

Ostatnia aktualizacja: 7 stycznia 2026

Wróć do bazy wiedzy