KSeF i e-faktury

Tokeny KSeF znikają z początkiem 2027 r. Dlaczego Biurko od razu budowaliśmy pod certyfikaty

31 grudnia 2026 r. to ostatni dzień działania tokenów KSeF. Od 1 stycznia 2027 r. jedyną metodą uwierzytelniania integracji z Krajowym Systemem e-Faktur będą certyfikaty KSeF. To nie plotka z branżowych forów — to oficjalne stanowisko Ministerstwa Finansów, opublikowane na długo przed startem KSeF 2.0. Mimo to spora część programów do fakturowania wciąż opiera integrację na tokenach. Działa? Działa. Do końca grudnia. Kiedy projektowaliśmy Biurko, podjęliśmy inną decyzję: zero tokenów, od pierwszego dnia tylko certyfikaty. W tym tekście opowiem, dlaczego — i co ta decyzja oznacza w praktyce dla Ciebie, jeśli wystawiasz faktury w KSeF lub prowadzisz biuro rachunkowe.

IT· 6 min czytania 125 wyświetleń
Tokeny KSeF znikają z początkiem 2027 r. Dlaczego Biurko od razu budowaliśmy pod certyfikaty

Token vs certyfikat KSeF — to nie jest ta sama rzecz w nowym opakowaniu

Na pierwszy rzut oka oba narzędzia robią to samo: pozwalają programowi do fakturowania połączyć się z KSeF w Twoim imieniu. Różnica architektoniczna jest jednak fundamentalna.

Token to klucz dostępu, który zawiera w sobie uprawnienia zadeklarowane w momencie jego wygenerowania. Nie ma terminu ważności, a po wygenerowaniu żyje własnym życiem — kto go ma, ten działa w KSeF w ramach zaszytych w nim uprawnień.

Certyfikat KSeF jest wyłącznie środkiem potwierdzenia tożsamości — działa podobnie jak podpis kwalifikowany. Uprawnienia nie są zaszyte w certyfikacie: system sprawdza je przy każdym logowaniu na podstawie identyfikatora (NIP lub PESEL) zapisanego w certyfikacie. Zmieniasz uprawnienia pracownika? Certyfikat pozostaje ważny, a system po prostu uwzględnia nowy zakres.

Harmonogram wygląda tak:

Data Co się dzieje 1 listopada 2025 r. Start wnioskowania o certyfikaty (w Module Certyfikatów i Uprawnień) 1 lutego 2026 r. Start KSeF 2.0 — certyfikaty i tokeny działają równolegle 31 grudnia 2026 r. Ostatni dzień działania tokenów 1 stycznia 2027 r. Certyfikaty KSeF jako jedyna metoda uwierzytelniania

Od lutego 2026 r. wniosek o certyfikat składa się w API KSeF 2.0 lub w Aplikacji Podatnika KSeF 2.0, po uwierzytelnieniu np. Profilem Zaufanym, podpisem kwalifikowanym albo pieczęcią kwalifikowaną (w przypadku spółek).

Dlaczego nie zbudowaliśmy obsługi tokenów „na chwilę"

Szczerze: kusiło. Integracja tokenowa jest technicznie prostsza — doklejasz nagłówek z kluczem i działa. Certyfikaty wymagają znacznie więcej: obsługi podpisu XAdES-BES przy uwierzytelnianiu w API, zarządzania kluczami prywatnymi, pilnowania terminów ważności. Dokumentacja techniczna MF nie pozostawia złudzeń, że to inny poziom złożoności.

Policzyliśmy jednak koszt alternatywny. Budowa obsługi tokenów to kilka tygodni pracy zespołu nad mechanizmem, który ma ogłoszoną datę śmierci. Potem migracja wszystkich klientów — w czwartym kwartale 2026 r., czyli dokładnie wtedy, gdy biura rachunkowe mają szczyt sezonu, a KSeF przeżywa największe obciążenie od startu obowiązku. Najgorszy możliwy moment na prośbę „wygeneruj nowe poświadczenie i skonfiguruj integrację od zera".

Był też drugi argument, ważniejszy: bez certyfikatu typu 2 nie ma trybów offline. A tryby offline to nie egzotyka — to podstawowe zabezpieczenie ciągłości fakturowania.

Certyfikat typu 2 — rzecz, której token nigdy nie potrafił

Ministerstwo Finansów wydaje dwa typy certyfikatów, generowane osobno:

  • Typ 1 (uwierzytelnienie) — logowanie do KSeF w sesji interaktywnej i wsadowej. To odpowiednik dzisiejszego tokena.

  • Typ 2 (offline) — wymagany do oznaczenia faktury kodem potwierdzającym tożsamość wystawcy w trybach szczególnych: offline24, offline przy niedostępności systemu oraz w trybie awaryjnym.

Ten drugi typ to realna nowa funkcjonalność. Gdy KSeF ma przerwę techniczną albo padnie Ci internet w dniu wysyłki, faktura wystawiona w trybie offline z kodami QR wygenerowanymi na bazie certyfikatu typu 2 jest pełnoprawna — wystarczy przesłać ją do systemu w ustawowym terminie. Token nigdy tego nie umożliwiał i nie umożliwi.

W Biurku oba certyfikaty obsługujemy od pierwszej wersji integracji: typ 1 loguje, typ 2 podpisuje faktury offline, a generowanie linków weryfikacyjnych i kodów QR dzieje się automatycznie pod spodem. Użytkownik widzi tylko komunikat „KSeF niedostępny — faktura wystawiona w trybie offline24, wyślemy ją automatycznie po przywróceniu systemu".

Mini-case: awaria w piątek o 16:40

Jeden z naszych pierwszych klientów testowych — JDG, usługi IT, faktury wystawiane „na ostatnią chwilę" — trafił na niedostępność interfejsu KSeF tuż przed weekendem. W systemie opartym na tokenie zobaczyłby błąd połączenia i czekał. W Biurku faktura poszła w trybie offline24 z kodami weryfikacyjnymi, klient dostał PDF z QR od ręki, a do KSeF dokument trafił automatycznie po przywróceniu dostępności. Zero akcji ze strony użytkownika.

Czego ta decyzja nas kosztowała (uczciwie)

Żeby nie było, że to tekst w stylu „nasza decyzja była genialna i bezbolesna":

Onboarding jest trudniejszy. Z tokenem użytkownik kopiował ciąg znaków. Z certyfikatem musi najpierw uwierzytelnić się w KSeF (Profil Zaufany, podpis kwalifikowany lub pieczęć kwalifikowana dla spółek), złożyć wniosek i pobrać certyfikat. Zbudowaliśmy w Biurku kreator, który prowadzi przez ten proces krok po kroku, ale nie oszukujmy się — to więcej kliknięć niż wklejenie tokena.

Certyfikaty wygasają. Maksymalna ważność to 2 lata od daty wytworzenia lub wskazanej daty początkowej. Wygaśnięcie oznacza zatrzymanie integracji. Musieliśmy zbudować monitoring terminów i powiadomienia z wyprzedzeniem — dla biur rachunkowych obsługujących dziesiątki NIP-ów to osobny moduł, nie feature „przy okazji".

Krzywa uczenia zespołu. XAdES-BES, zarządzanie kluczami, konteksty uprawnień NIP/PESEL — pierwsze tygodnie developmentu były wolniejsze, niż gdybyśmy poszli drogą tokenową.

Mimo to dziś, na pół roku przed wyłączeniem tokenów, nie migrujemy nikogo. Nasi klienci nie mają przed sobą żadnej zmiany 1 stycznia 2027 r. I to była cała stawka tej decyzji.

Co zrobić w 2026 r. — checklist przed wyłączeniem tokenów

  1. Sprawdź, na czym działa Twoja integracja. Jeśli Twój program fakturowy łączy się z KSeF tokenem — masz deadline 31 grudnia 2026 r.

  2. Zapytaj dostawcę oprogramowania o plan migracji na certyfikaty. Konkretnie: czy obsługuje certyfikat typu 1 i typu 2, i od kiedy.

  3. Wygeneruj certyfikat z wyprzedzeniem. Wniosek złożysz w Aplikacji Podatnika KSeF 2.0 po uwierzytelnieniu Profilem Zaufanym lub podpisem kwalifikowanym. Nie czekaj na grudzień.

  4. Spółka? Przygotuj pieczęć kwalifikowaną. Certyfikat na dane podmiotu (NIP spółki) wymaga uwierzytelnienia pieczęcią — jej wyrobienie trwa, więc zacznij wcześniej.

  5. Zaplanuj zarządzanie certyfikatami w organizacji. Osobne certyfikaty dla właściciela, księgowości i systemów sprzedażowych — unieważnienie jednego nie blokuje wtedy reszty.

  6. Zanotuj datę ważności. Certyfikat działa maksymalnie 2 lata — ustaw przypomnienie o odnowieniu albo wybierz narzędzie, które pilnuje tego za Ciebie.

Podsumowanie

Tokeny KSeF były rozwiązaniem pomostowym i 31 grudnia 2026 r. ten pomost się kończy. Certyfikaty to nie tylko nowy sposób logowania — to jedyna droga do trybów offline i bezpieczniejszy model zarządzania dostępem.

W Biurku nie musisz planować żadnej migracji, bo integracja z KSeF od pierwszego dnia działa na certyfikatach — typu 1 i typu 2, z automatycznym pilnowaniem terminów ważności. Przetestuj Biurko bezpłatnie przez 14 dni i wejdź w 2027 r. bez technicznego długu.

FAQ

Do kiedy działają tokeny KSeF?

Tokeny KSeF działają do 31 grudnia 2026 r. Od 1 stycznia 2027 r. jedyną metodą uwierzytelniania w KSeF będą certyfikaty KSeF. W okresie przejściowym (od 1 lutego 2026 r.) oba rozwiązania funkcjonują równolegle, ale tokeny nie obsługują trybów offline.

Czym różni się certyfikat KSeF od tokena?

Token zawiera w sobie uprawnienia zadeklarowane przy jego generowaniu. Certyfikat KSeF potwierdza wyłącznie tożsamość (jak podpis kwalifikowany), a uprawnienia system sprawdza na bieżąco po NIP lub PESEL. Dodatkowo certyfikat typu 2 umożliwia wystawianie faktur w trybach offline, czego token nie potrafi.

Jak uzyskać certyfikat KSeF?

Od 1 lutego 2026 r. wniosek o certyfikat składa się w Aplikacji Podatnika KSeF 2.0 lub przez API KSeF 2.0. Najpierw trzeba uwierzytelnić się jako podatnik lub osoba uprawniona — np. Profilem Zaufanym, podpisem kwalifikowanym albo pieczęcią kwalifikowaną (spółki). Certyfikat jest ważny maksymalnie 2 lata.

Czy potrzebuję certyfikatu typu 1 i typu 2?

Tak, jeśli chcesz mieć pełne zabezpieczenie. Certyfikat typu 1 służy do uwierzytelniania w KSeF (sesje interaktywne i wsadowe), a typu 2 jest wymagany do oznaczania faktur w trybach offline24, niedostępności systemu i awaryjnym. Certyfikaty generuje się osobno — jeden nie obejmuje obu zastosowań.

Co się stanie, jeśli nie przejdę na certyfikaty przed 2027 r.?

Od 1 stycznia 2027 r. integracja oparta na tokenie przestanie się uwierzytelniać w KSeF — program fakturowy straci połączenie z systemem. Ponieważ od tego dnia zaczynają też obowiązywać kary za naruszenia obowiązków KSeF, warto przeprowadzić migrację na certyfikaty z dużym wyprzedzeniem w 2026 r.

Tagi

#KSeF
Udostępnij
Wróć do bloga

Poprzedni artykuł

Najczęstsze błędy przy wysyłce faktury do KSeF i jak je naprawić

Następny artykuł

Logowanie do KSeF przez Profil Zaufany — krok po kroku, bez żargonu

Bądź na bieżąco

Otrzymuj powiadomienia o nowych artykułach. Bez spamu, rezygnacja w każdej chwili.

Szanujemy Twoją prywatność. Możesz zrezygnować w dowolnym momencie.

Pliki cookies

Używamy plików cookies, aby zapewnić działanie usługi i — za Twoją zgodą — usprawnić ją. Możesz zaakceptować wszystkie, odrzucić opcjonalne lub dostosować wybór. Polityka cookies