Przejdź do głównej zawartości

Środy z KSeF 29.10.2025

Podsumowanie spotkania organizowanego przez Ministerstwo Finansów, podczas którego przedstawiane są podstawowe informacje oraz praktyczne aspekty korzystania z KSeF

Zaktualizowano ponad miesiąc temu

Najważniejsze informacje ze spotkania „Środy z KSeF”

Moduł Certyfikatów i Uprawnień (MCU)

Jest jednym z elementów Krajowego Systemu e-Faktur. MCU będzie służył do:

  • nadawania uprawnień użytkownikom systemu KSeF 2.0,

  • składania wniosków o wydanie certyfikatu KSeF oraz ich pobierania.

  • Od 1 lutego 2026 r. będzie jednym z modułów Aplikacji Podatnika KSeF.

💡 MCU stanie się centralnym miejscem zarządzania dostępami do KSeF.

  • Warto przygotować się do generowania certyfikatów KSeF już od listopada 2025 r., ponieważ będą one niezbędne przy wystawianiu faktur w trybach szczególnych (offline, offline24, awaryjny).

  • Warto uporządkować listy uprawnień i pełnomocnictw - kto wystawia faktury, kto odbiera, a kto tylko przegląda dane.

Dostępność i logowanie

Moduł będzie dostępny pod adresami:

Logowanie do MCU możliwe będzie trzema metodami:

  1. Profil Zaufany - bezpłatny, powszechny sposób logowania do usług publicznych.

  2. Certyfikat kwalifikowany z NIP lub PESEL - płatne rozwiązanie dla osób i podmiotów z kwalifikowanym podpisem lub pieczęcią.

  3. Certyfikat kwalifikowany bez NIP/PESEL (tzw. „odcisk palca”) - używany, gdy certyfikat nie zawiera identyfikatora podatkowego; wymaga wcześniejszego nadania uprawnień dla danego „odcisku”.

Etapy autoryzacji w MCU

Proces autoryzacji składa się z czterech etapów:

  1. Wybór metody logowania.

  2. Określenie kontekstu logowania (wskazanie NIP lub identyfikatora podmiotu).

  3. Autoryzacja (podpisanie pliku żądania lub przekierowanie do serwisu Profilu Zaufanego).

  4. Weryfikacja podpisu i przekierowanie do głównego panelu MCU.

Autoryzacja przez Profil Zaufany

  • Użytkownik wybiera metodę logowania Profil Zaufany.

  • System przekierowuje go do portalu pz.gov.pl, gdzie następuje logowanie i autoryzacja dostępu.

  • Po potwierdzeniu tożsamości użytkownik trafia do panelu głównego MCU.

Autoryzacja przez certyfikat kwalifikowany (z NIP/PESEL)

  • System generuje plik żądania (.xml).

  • Użytkownik pobiera plik i podpisuje go podpisem kwalifikowanym.

  • Następnie wczytuje podpisany plik do MCU w celu weryfikacji.

  • Po poprawnej weryfikacji użytkownik uzyskuje dostęp do systemu.

Autoryzacja przez certyfikat kwalifikowany bez NIP/PESEL

  • Przed pierwszym logowaniem konieczne jest nadanie uprawnienia dla konkretnego certyfikatu („odcisku palca”).

  • Po jego uzyskaniu użytkownik postępuje jak w przypadku zwykłego certyfikatu: pobiera plik żądania, podpisuje go i przesyła do weryfikacji.

Ekran logowania i kontekst podmiotu

Na ekranie logowania użytkownik określa, w jakim kontekście chce uzyskać dostęp - np. w imieniu własnym, spółki lub klienta biura rachunkowego.
Po pomyślnej autoryzacji przechodzi do ekranu głównego modułu.

Strona główna MCU

Zawiera dwie główne sekcje:

  • Certyfikaty - miejsce zarządzania certyfikatami KSeF,

  • Uprawnienia - miejsce zarządzania dostępami użytkowników.

Wyświetlane są również informacje o zalogowanym użytkowniku oraz przyciski do wylogowania i zmiany kontekstu.

Zakładka „Certyfikaty”

Pozwala na:

  • generowanie nowych certyfikatów KSeF,

  • przeglądanie istniejących certyfikatów,

  • weryfikację ich ważności i statusów,

  • pobieranie plików w formacie .PEM lub .CER.

Zakładka „Uprawnienia”

Z tego poziomu użytkownik może:

  • nadawać, odbierać lub edytować uprawnienia,

  • przeglądać historię nadanych dostępów,

  • dodawać użytkowników (np. księgowych, współpracowników, pełnomocników),

  • określać zakres uprawnień.

Uprawnienia w MCU

Moduł MCU pozwala na nadawanie i odbieranie uprawnień użytkownikom w KSeF,
zarówno osobom fizycznym, jak i organizacjom (np. biurom rachunkowym).

Każdy podmiot może przeglądać listę aktualnych uprawnień i przypisań. Uprawnienia definiują kto, w czyim imieniu i w jakim zakresie może działać w KSeF.

W zakładce Uprawnienia widać:

  • listę nadanych uprawnień (z podstawowymi kolumnami: typ/zakres, komu nadano, status, daty),

  • przyciski do nadania nowego, edycji/ograniczenia, cofnięcia, podglądu historii.

Role użytkowników w KSeF

Dostępne role:

  • Administrator - pełny dostęp, zarządzanie wszystkimi uprawnieniami.

  • Wystawianie faktur - prawo do wystawiania dokumentów w imieniu podmiotu.

  • Wystawianie faktur - prawo do odbioru faktur z KSeF.

  • Podgląd - dostęp tylko do odczytu (np. audytorzy).

Jak nadać uprawnienie

  1. Wejście w Uprawnienia → „Nadaj uprawnienie”.

  2. Wskazanie osoby/podmiotu:

    • identyfikacja po PESEL/NIP (osoba),

    • identyfikacja podmiotu NIP (organizacja),

    • w przypadku certyfikatu bez NIP/PESEL - powiązanie przez „odcisk palca” (pre-rejestracja).

  3. Wybór roli/zakresu (np. wystawianie, odbiór, admin).

  4. (Opcjonalnie) okres obowiązywania uprawnienia.

  5. Zatwierdzenie - system wyświetla komunikat o skutecznym nadaniu.

Delegowanie i ograniczenia uprawnień

  • Delegowanie: administrator może przekazać uprawnienia innym użytkownikom (np. pracownikom biura).

  • Ograniczenia:

    • czasowe (od–do),

    • rzeczowe (np. czynności),

    • kontekstowe (na jaki podmiot/NIP).

  • Uprawnienia mogą dotyczyć biur rachunkowych działających w imieniu klientów - zgodnie z zakresem wynikającym z pełnomocnictw (patrz ZAW_FA).

Scenariusze pokazane w slajdach MF (uogólnione)

  • Biuro rachunkowe otrzymuje uprawnienie od klienta i może delegować część praw swoim pracownikom.

  • Podmiot wewnętrzny (np. spółka) nadaje dostęp pracownikom według ról.

  • Odwołanie dostępu w przypadkach zakończenia współpracy, zmiany ról, rotacji.

💡 Uprawnienie to co innego niż certyfikat. Uprawnienie mówi „co wolno robić”, a certyfikat służy do „technicznego uwierzytelnienia” w trybach szczególnych. Oba elementy muszą być spójne.

W Scanye, nie jest konieczne nadawanie uprawnień, gdyż po połączeniu Scanye z KSeF wszystkie faktury danego klienta automatycznie pobierają się z KSeF do Scanye. Dzięki temu Biuro Rachunkowe ma do nich dostęp oraz możliwość nadawania uprawnień dostępu swoim pracownikom, co jest bardzo szybkie i proste. Więcej na temat Scanye jako narzędzia do KSeG można przeczytać tutaj.

Certyfikaty KSeF

Certyfikat KSeF to cyfrowe narzędzie kryptograficzne potwierdzające tożsamość osoby lub podmiotu, które jest wydawane przez Centrum Certyfikacji Ministerstwa Finansów. Zawierają one dane osobowe wnioskującego lub dane podmiotu. Z tego względu o certyfikat zawierający dane osoby fizycznej może wnioskować wyłącznie ta osoba. I tylko ta osoba może go pobrać, a następnie się nim posługiwać.

Certyfikat KSeF będzie ważny nie dłużej niż 2 lata od:

  • daty podanej we wniosku o wydanie certyfikatu KSeF lub

  • od daty wydania certyfikatu KSeF (obsłużenia wniosku o wydanie certyfikatu KSeF), jeśli we wniosku nie podano daty początkowej, od której ma być on ważny.

Typy certyfikatów

W systemie przewidziano dwa typy certyfikatów KSeF:

  • Typ 1 (CERTYFIKAT) - (uwierzytelnienie) przeznaczony będzie do uwierzytelniania się w systemie KSeF,

  • Typ 2 (CERTYFIKAT dla trybu awaryjnego) - (offline) wymagany będzie do oznaczenia faktury, kodem umożliwiającym potwierdzenie tożsamości wystawcy przy wystawianiu faktur w trybie offline.

Certyfikaty KSeF obu typów będą generowane osobno. Nie będzie możliwe wygenerowanie jednego certyfikatu KSeF obejmującego jednocześnie dwa zastosowania. Dla ułatwienia rozróżnienia, certyfikaty obu typów będą miały w atrybucie CN (commonName) dopisek ,uwierzytelnienie” lub „offline”, zależnie od ich zastosowania.

Zastosowanie certyfikatów KSeF

  • Certyfikat KSeF będzie stanowił jedną z metod uwierzytelnienia się w systemie. Dostępny dopiero po uprzednim uwierzytelnieniu się w KSeF za pomocą profilu zaufanego czy też podpisu kwalifikowanego lub pieczęci kwalifikowanej.

  • Certyfikat KSeF będzie wymagany do oznaczenia faktury kodem umożliwiającym potwierdzenie tożsamości wystawcy przy wystawianiu faktur w trybach szczególnych: offline24, offline (niedostępność systemu) oraz awaryjnym.

  • Certyfikat będzie można wykorzystywać w narzędziach komercyjnych do wystawiania e-Faktur, zintegrowanych z API KSeF 2.0. ❗ Ważne - Nie będzie możliwości uwierzytelnienia się certyfikatem w bezpłatnych narzędziach MF np. w Aplikacji Podatnika KSeF.

Kto może wystąpić o wydanie certyfikatu?

O wydanie certyfikatu można będzie występować w Module Certyfikatów i Uprawnień (MCU) od 1 listopada 2025 г. O certyfikat KSeF bez dodatkowych warunków od 1 listopada będą mogły wystąpić:

  • osoby fizyczne zgłoszone w zawiadomieniu ZAW-FA,

  • osoby fizyczne posiadające uprawnienia właścicielskie,

  • podatnicy niebędący osobą fizyczną posiadający uprawnienia właścicielskie,

  • posługujący się pieczęcią elektroniczną do uwierzytelnienia w KSeF,

  • osoby/podmioty, którym nadano uprawnienia w MCU po 1 listopada 2025 r.

Limity certyfikatów

  • Osoba z PESEL: do 2 aktywnych i 2 nowych (rezerwowych).

  • Osoba z NIP: do 100 certyfikatów i 100 nowych.

  • Firma (NIP): do 100 certyfikatów pieczęci i 100 nowych.

  • Podmioty bez NIP/PESEL: do 2 aktywnych i 2 nowych.

Termin wdrożenia

  • Certyfikaty KSeF będą dostępne do pobrania od listopada 2025 r.

  • Obowiązek ich stosowania rozpocznie się 1 lutego 2026 r.

Jak pobrać certyfikat KSeF

  1. Zaloguj się do MCU.

  2. Wybierz „Certyfikaty” → „Wnioskuj o certyfikat”.

  3. Wypełnij formularz - podaj nazwę certyfikatu i silne hasło (15–32 znaki, litery, cyfry, znak specjalny).

  4. System generuje parę kluczy: publiczny i prywatny.

    • Klucz publiczny trafia do wniosku,

    • Klucz prywatny należy bezpiecznie zapisać – nie można go odzyskać.

  5. W kolejnym kroku wybierz przeznaczenie certyfikatu („uwierzytelnienie” lub „podpis faktury offline”).

  6. Określ datę ważności („Certyfikat ważny od”) i wyślij wniosek.

Proces wydania może potrwać kilka minut; po jego zakończeniu można pobrać certyfikat

Problemy i błędy

Jeśli system wyświetli komunikat o błędzie („Certyfikat nie został wygenerowany”), należy ponowić wniosek lub skontaktować się z administratorem przez formularz kontaktowy w KSeF.

Pobieranie i unieważnianie

  • Certyfikat można pobrać ponownie tylko w formie z kluczem publicznym (plik .crt).

  • Klucz prywatny nigdy nie jest zapisywany w KSeF.

  • Możliwe jest unieważnienie wyłącznie własnych certyfikatów, pojedynczo.

  • Powody unieważnienia:

    1. Zastąpienie nowym,

    2. Naruszenie bezpieczeństwa klucza,

    3. Decyzja właściciela bez wskazania przyczyny.

  • Po potwierdzeniu („Unieważnij certyfikat”) proces jest nieodwracalny.

Certyfikat może mieć status:

  • Zablokowany - proces unieważniania trwa,

  • Unieważniony - nie może być już używany

Zawiadomienie ZAW-FA informacje ogólne

ZAW-FA to zawiadomienie składane do właściwego naczelnika urzędu skarbowego. Umożliwia podatnikom lub podmiotom niebędącym osobami fizycznymi, które nie mogą uwierzytelnić się elektronicznie, nadawanie lub odbieranie uprawnień do korzystania z KSeF.

Dzięki temu formularzowi można:

  • wskazać pierwszą osobę, która uzyska dostęp do KSeF w imieniu firmy lub organizacji,

  • nadać, odebrać lub cofnąć już przyznane uprawnienia,

  • zgłosić unikalne dane („odcisk palca”) kwalifikowanego podpisu lub pieczęci - w sytuacji, gdy certyfikat nie zawiera NIP ani PESEL.

ZAW-FA jest więc narzędziem startowym, które pozwala wejść do systemu KSeF i rozpocząć dalsze zarządzanie dostępami już elektronicznie w MCU.

Kto i kiedy składa ZAW-FA

ZAW-FA składają:

  • podmioty niebędące osobami fizycznymi (np. spółki, fundacje, jednostki organizacyjne),

  • osoby fizyczne - tylko jeśli nie mają możliwości elektronicznego uwierzytelnienia się,

  • organy egzekucyjne - gdy działają jako podmioty wystawiające lub odbierające faktury w KSeF.

Składa się je na początku korzystania z KSeF, by wskazać pierwszą osobę uprawnioną do nadawania dalszych dostępów.


Po zarejestrowaniu zawiadomienia, kolejne osoby można już dodawać samodzielnie w module MCU (Moduł Certyfikatów i Uprawnień).

Cele złożenia ZAW-FA

W formularzu można wybrać jeden z czterech celów:

  • Nadanie uprawnień - wskazanie pierwszej osoby, która uzyska dostęp do KSeF.

  • Odebranie uprawnień - cofnięcie ich konkretnej osobie.

  • Odebranie wszystkich uprawnień (poza właścicielskimi) - np. przy zmianie reprezentacji.

  • Zgłoszenie danych unikalnych (hash) - gdy podpis lub pieczęć kwalifikowana nie zawiera NIP/PESEL („odcisk palca”).

Jakie dane zawiera ZAW-FA

Zawiadomienie obejmuje dane:

  • podmiotu składającego (nazwa, NIP, adres, e-mail),

  • osoby uprawnionej (NIP lub PESEL, imię, nazwisko, e-mail),

  • lub – w przypadku braku identyfikatora – dane osobowe i „odcisk palca” podpisu/pieczęci kwalifikowanej (unikalny hash SHA-256).

Adresy e-mail są obowiązkowe - system MF wysyła tam potwierdzenie przyjęcia i realizacji zawiadomienia.

ZAW-FA a „odcisk palca”

Formularz umożliwia zgłoszenie unikalnych danych identyfikujących podpis lub pieczęć kwalifikowaną, tzw. odcisku palca.


To rozwiązanie potrzebne, gdy certyfikat nie zawiera numeru NIP ani PESEL, a mimo to ma być wykorzystywany do logowania lub wystawiania faktur w KSeF.

Zgłoszenie tego „odcisku” sprawia, że podpis taki zostaje powiązany z konkretnym podmiotem w KSeF - system będzie mógł rozpoznać jego właściciela.

ZAW-FA w praktyce

  1. ZAW-FA składa się papierowo w urzędzie skarbowym lub przesyła elektronicznie (jeśli ma się kwalifikowany podpis).

  2. Po przyjęciu zawiadomienia urząd rejestruje dane w systemie KSeF.

  3. Osoba wskazana w ZAW-FA uzyskuje dostęp do systemu i może logować się, wystawiać faktury lub nadawać uprawnienia innym osobom w MCU.

  4. Każda późniejsza zmiana (np. nowy podpis, inny hash, cofnięcie uprawnień) wymaga złożenia kolejnego zawiadomienia ZAW-FA.

Artykuły powiązane
Środy z KSeF 24.09.2025
Środy z KSeF 01.10.2025
Środy z KSeF 22.10.2025
Środy z KSeF 12.11.2025
Środy z KSeF 19.11.2025
Czy to odpowiedziało na twoje pytanie?