Jak zdobyć certyfikat KSeF? Pieczęć kwalifikowana nie dla każdego

MCU już udostępniony

W tym celu wszyscy muszą się zaopatrzyć w certyfikat potrzebny do korzystania z KSeF. Może być on wydany na dane firmy (np. spółki) lub dane osoby fizycznej. Uzyskanie certyfikatu stało się możliwe, odkąd został udostępniony – 1 listopada 2025 r. – Moduł Certyfikatów i Uprawnień (MCU).

Certyfikat służy co do zasady do uwierzytelnienia się w systemie, a więc potwierdza tożsamość danej osoby lub podmiotu (np. spółki), ale dla porządku warto podkreślić, że KSeF przewiduje dwa typy certyfikatów:

• do uwierzytelniania w KSeF oraz
• do korzystania z trybów offline, czyli do wystawiania faktur offline.

Uwaga: Certyfikatów KSeF będzie można używać dopiero od 1 lutego 2026 r., przy czym będzie to dotyczyć nie tylko podmiotów zobowiązanych od tego dnia do wystawiania faktur ustrukturyzowanych, lecz także podmiotów odbierających takie faktury.

Certyfikat sam w sobie nie daje uprawnień (np. do wystawiania lub dostępu do faktur ustrukturyzowanych), jest tylko ich technicznym nośnikiem.

Jak zdobyć certyfikat KSeF

Sam certyfikat jest bezpłatny, ale żeby go uzyskać, trzeba użyć MCU. Ministerstwo Finansów informuje, że certyfikaty KSeF mogą być wydane wyłącznie osobom lub podmiotom, które poprawnie uwierzytelniły się w KSeF za pomocą:

• kwalifikowanego podpisu elektronicznego,
• kwalifikowanej pieczęci elektronicznej,
• podpisu zaufanego (weryfikowanego Profilem Zaufanym ePUAP).

Czy trzeba mieć pieczęć i ile to kosztuje

Kwalifikowaną pieczęć elektroniczną muszą mieć – w celu uzyskania certyfikatu KSeF – osoby prawne (np. spółki). W tym przypadku nie wchodzi w grę podpis zaufany ani kwalifikowany podpis elektroniczny. Certyfikat jest wydany na dane firmy (np. spółki), przy czym występuje o niego osoba uprawniona do reprezentacji.

– Taki certyfikat ma zalety, ponieważ będzie przypisany do spółki, a może z niego korzystać – w celu prac w KSeF – wiele osób, procesów, robotów czy automatów – wyjaśnia w rozmowie z DGP Ernest Frankowski, partner w ITNINE (patrz niżej).

Za kwalifikowaną pieczęć elektroniczną trzeba zapłacić ok. 1500–1600 zł brutto. W przepisach nie przewidziano z tego tytułu żadnej ulgi w podatku, żadnego zwrotu – jak ma to miejsce przy zakupie kas fiskalnych, obecnie tylko online (prawo do odliczenia/zwrotu do 90 proc. ceny netto każdej kasy, nie więcej jednak niż 700 zł).

Pozostali użyją innego podpisu

Kwalifikowanej pieczęci elektronicznej nie uzyskają natomiast pozostałe podmioty (np. spółki osobowe) ani osoby fizyczne. Chcąc zdobyć certyfikat KSeF, muszą one użyć podpisu zaufanego (Profilu Zaufanego ePUAP) albo kwalifikowanego podpisu elektronicznego. Ten drugi jest co prawda płatny, ale część osób, jednoosobowych firm oraz spółek osobowych już się nim posługuje.

W takiej sytuacji faktury w imieniu firmy (np. spółki osobowej) będą wystawiać osoby fizyczne, np. współwłaściciele, pracownicy. Osoby te muszą zdobyć certyfikat na siebie, choćby nawet zostały zgłoszone przez swoją firmę w ZAW-FA (zawiadomienie o nadaniu lub odebraniu uprawnień do korzystania z KSeF).

Co w sytuacji, gdy osoba, która ma się posługiwać KSeF w imieniu podatnika, jest spoza Polski i nie ma żadnego z trzech narzędzi uwierzytelniających: ani podpisu zaufanego, ani kwalifikowanego podpisu elektronicznego, ani kwalifikowanej pieczęci elektronicznej? Na tę okoliczność Ministerstwo Finansów przewidziało uwierzytelnienie się w MCU za pomocą odcisku palca. Szczegóły wyjaśniło w materiale informacyjnym „Moduł 4: Moduł Certyfikatów i Uprawnień”.

Jedna firma, wiele certyfikatów KSeF?

Czy to oznacza, że w firmach będzie teraz kilka, a nawet kilkanaście osób – każda z własnym certyfikatem KSeF? Na to się zanosi. Firmy chciałyby tego uniknąć, bo ich systemy finansowo-księgowe mogą mieć problem z zarządzaniem naraz tak dużą liczbą certyfikatów, czyli przypisywaniem wystawianych faktur do certyfikatów osób, które te faktury wystawiły.

Problem może się też pojawić przy odejściach z firmy. Trzeba będzie przypilnować, by osoba, która opuszcza firmę, nie mogła posługiwać się dłużej certyfikatem w imieniu byłego pracodawcy. W przeciwnym razie może mu „narobić bigosu”.

Czy można przekazać certyfikat?

Dlatego firmy wolałyby, żeby posługiwano się w nich jednym certyfikatem KSeF. Czy to możliwe? To zależy, czyj certyfikat miałby zostać przekazany. Jeżeli certyfikat uzyskany przez osobę fizyczną (np. prezesa, główną księgową) miałby przechodzić z rąk do rąk, to według Ministerstwa Finansów jest to niemożliwe. W opublikowanym Podręczniku KSeF 2.0 (część I) na str. 44 resort informuje: „Niedopuszczalne jest udostępnienie certyfikatu KSeF wydanego na daną osobę fizyczną innej osobie fizycznej. Niedozwolone jest posłużenie się przez osobę fizyczną certyfikatem KSeF należącym do innej osoby fizycznej”.

Co innego certyfikat wydany na dane spółki (osoby prawnej) za pomocą kwalifikowanej pieczęci elektronicznej. MF wyjaśnia: „Jeśli chodzi o certyfikaty wydane na dane podmiotu, np. spółki, to nie są one powiązane z konkretnymi osobami, zatem odpowiedzialność za ich przekazywanie konkretnym pracownikom i posługiwanie się nimi przy pracy w KSeF leży po stronie podmiotu”. W takim przypadku – jak zaleca MF – należy zadbać o właściwą rejestrację i rozliczalność operacji pobierania, przekazywania, wykorzystywania i unieważniania tych certyfikatów. ©℗

Certyfikaty nie pozwalają zawężać uprawnień

Jak najbardziej. Przypisany do osoby fizycznej certyfikat uwierzytelniający w KSeF działa w założeniu trochę jak kwalifikowany podpis elektroniczny. Jest związany z tą osobą i nie powinno się go przekazywać innej osobie. Pozostając jednak przy porównaniu z podpisem elektronicznym, ten jest wydawany na tzw. bezpiecznym urządzeniu, a jego użycie jest poprzedzone żądaniem unikalnego PIN. Takich dodatkowych zabezpieczeń nie ma w przypadku certyfikatu. Dlatego certyfikat KSeF powiązany z osobą fizyczną musi być przez tę osobę ostrożnie i bezpiecznie używany. Pamiętajmy, że taki certyfikat jest nośnikiem naszych możliwości w KSeF i umożliwia wszelkie działania w tym systemie. Dlatego samo MF zaleca, aby certyfikaty traktować jako dane wrażliwe i nie przekazywać innym osobom. Zazwyczaj nie jest to problem w małych organizacjach, w których całość operacji związanych z KSeF przeprowadza jedna osoba, np. prowadząca jednoosobową działalność gospodarczą. Może to natomiast uniemożliwiać automatyzację procesów KSeF w większych firmach.

Wyobraźmy sobie sytuację, w której chcemy stworzyć automatyczne procesy (oddzielne) do wysyłania i pobierania faktur KSeF. Certyfikat mamy jeden, a osoby, które mają nadzorować te dwa procesy, są dwie. W takiej sytuacji z pomocą przychodzi certyfikat wydany na spółkę, uzyskany przy użyciu kwalifikowanej pieczęci elektronicznej (o taki certyfikat występuje osoba uprawniona do reprezentacji spółki). Taki certyfikat będzie przypisany do spółki, natomiast może z niego korzystać – w celu prac w KSeF – wiele osób, procesów, robotów czy automatów. Pojawia się natomiast problem, ponieważ na ten moment certyfikaty, które zastąpiły tokeny, nie pozwalają zawężać uprawnień. W wielu firmach korzystających z zewnętrznych systemów w chmurze (SaaS) lub klasy ERP przekazanie certyfikatu takiemu systemowi (lub dostawcy usług księgowych) oznacza w praktyce udostępnienie pełnej tożsamości podatnika w KSeF. Poprzedni model, oparty na tokenach, pozwalał na delegowanie, a tym samym i zawężanie uprawnień w KSeF.

Sam certyfikat nie jest mniej bezpieczny niż token. Oba mogą być równie skuteczne, jeśli są prawidłowo używane. Różnica polega na tym, że nowy model KSeF nie przewiduje, przynajmniej na razie, elastycznego mechanizmu delegowania uprawnień. Skutki tego mogą być poważne w razie błędu po stronie dostawcy oprogramowania lub naruszenia bezpieczeństwa po stronie dostawcy usługi księgowej. Może to być zatem wyzwaniem dla integracji z zewnętrznymi systemami i utrzymania odpowiedniego poziomu bezpieczeństwa. Warto o tym pamiętać, planując i wdrażając przygotowania do KSeF. Należy mieć też nadzieję, że zostanie to poprawione w środowisku docelowym KSeF. ©℗