Od stycznia 2026 zmieniają się ceny aktualizacji (abonamentów) na program.

Technologia

Jan 14, 2026

Token czy certyfikat KSeF - czym się różnią i co wybrać? 

Zastanawiasz się, czy wybrać token, czy certyfikat KSeF? Poznaj różnice, terminy i strategię migracji dla Twojej firmy.

Token czy certyfikat KSeF - czym się różnią i co wybrać? 

Ten materiał powstał z myślą o:

  • Właścicielach i pracownikach biur rachunkowych – szukających bezpiecznego i skalowalnego modelu obsługi klientów w KSeF.
  • Przedsiębiorców samodzielnie prowadzących księgowość – stojących przed wyborem metody uwierzytelniania w KSeF.
  • Dyrektorach finansowych i działach IT – odpowiedzialnych za ciągłość procesów biznesowych i zabezpieczenie firmy na wypadek awarii (tryb offline).

Kluczowe wnioski

Oto najważniejsze informacje, które musisz znać:

  • Tokeny mają datę ważności: Będą działać tylko do 31 grudnia 2026 r. Od 1 stycznia 2027 r. zostaną całkowicie wycofane. Budowanie na nich długofalowych procesów oznacza konieczność ponownego wdrożenia za dwa lata.
  • Certyfikat to rozwiązanie docelowe: Certyfikat KSeF to trwalszy, elektroniczny identyfikator tożsamości, który zastąpi tokeny po 31 grudnia 2026 r. i będzie podstawową metodą autoryzacji po 1 stycznia 2027 roku.
  • Tylko certyfikat obsługuje tryb offline: Aby wystawić fakturę podczas awarii internetu lub KSeF (zgodnie z prawem), musisz opatrzyć ją kodem QR. Do wygenerowania tego kodu niezbędny jest certyfikat KSeF typu 2. Token tego nie potrafi.
  • Rekomendacja dla biur rachunkowych: Nie zbieraj tokenów od klientów. Wyrób certyfikat lub pieczęć dla swojego biura i poproś klientów o nadanie uprawnień na Twój NIP. To usprawni zarządzanie dostępami.
  • Koszty: Wygenerowanie certyfikatu KSeF jest bezpłatne, ale proces wnioskowania wymaga uwierzytelnienia (np. płatnym podpisem kwalifikowanym lub kwalifikowaną pieczęcią elektroniczną).

Krajowy System e-Faktur (KSeF) to nie tylko kolejna aktualizacja przepisów, którą można “odhaczyć” w kalendarzu. To fundamentalna zmiana, która sprawia, że dokument papierowy czy plik PDF przestaje być nośnikiem prawdy o transakcji, a staje się nim ustrukturyzowany zapis w bazie danych Ministerstwa Finansów.

Kluczową rolę przy procesach wdrażania nowego systemu, odgrywa jednak sam dostęp do niego. Kto, kiedy i w jaki sposób może otworzyć drzwi do finansów Twojej firmy? Jak zapewnić bezpieczeństwo danych, nie paraliżując jednocześnie codziennej pracy Twojego biura?

W sercu tego dylematu znajduje się wybór narzędzia uwierzytelniającego. Dostępne są dwie opcje: znany i (pozornie) prosty token autoryzacyjny oraz nowocześniejszy, choć bardziej wymagający certyfikat KSeF. Decyzja, którą podejmiesz, wpłynie nie tylko na to, jak zalogujesz się do systemu 1 lutego 2026 roku. Wpłynie na bezpieczeństwo Twojej firmy, płynność procesów w momentach awarii oraz na to, ile czasu spędzisz na zarządzaniu uprawnieniami.

W tym artykule pokazujemy, czym te narzędzia różnią się w praktyce, kiedy token jest realnym ryzykiem, a kiedy certyfikat staje się jedynym rozsądnym wyborem. Na konkretnych przykładach wyjaśniamy, jak dobrać model dostępu do KSeF do skali firmy, struktury zespołu i poziomu odpowiedzialności.

Metody uwierzytelniania w KSeF – wprowadzenie

Aby świadomie wybrać między tokenem a certyfikatem, warto najpierw zrozumieć, w jakim środowisku one działają. KSeF 2.0 to system o ogromnej skali – mówimy o miliardach faktur przetwarzanych na bieżąco, co wymaga bardzo wysokiego poziomu zabezpieczeń.

W tradycyjnym obiegu dokumentów często wystarczało zaufanie – jeśli faktura przyszła z „właściwego” maila, uznawaliśmy ją za prawdziwą. W KSeF nie ma miejsca na domysły. Każde połączenie z systemem – wysłanie faktury, odbieranie dokumentów, pobranie UPO czy sprawdzenie statusu – musi być jednoznacznie zweryfikowane.

Projektując KSeF, Ministerstwo Finansów musiało połączyć działanie zgodnie z zasadami bezpieczeństwa (nikt nie może wystawić faktury w Twoim imieniu) z dostępnością (faktura musi być możliwa do wystawienia nawet w sytuacjach awaryjnych). Efektem są dwie metody uwierzytelniania: tokeny i certyfikaty.

Dlaczego tokeny zostaną wycofane? 

W początkowej, dobrowolnej fazie KSeF (tzw. KSeF 1.0) liczyło się przede wszystkim jedno – szybkie podłączenie systemów. Producenci oprogramowania ERP potrzebowali prostego sposobu, by połączyć swoje systemy z bramką Ministerstwa Finansów. Dlatego pojawiły się tokeny autoryzacyjne – długie ciągi znaków, które można było łatwo wygenerować i szybko wdrożyć. Nie wymagały skomplikowanych certyfikatów ani infrastruktury bezpieczeństwa, a dla programistów były rozwiązaniem intuicyjnym i „na już”.

Sytuacja zmienia się wraz z wejściem w obowiązkowy KSeF 2.0. Od 1 lutego 2026 r. dla dużych firm oraz od 1 kwietnia 2026 r. dla pozostałych, system stanie się elementem krytycznej infrastruktury państwowej. A to oznacza wyższe wymagania w zakresie bezpieczeństwa i niezawodności.

Tokeny, choć wygodne, okazały się zbyt „lekkim” rozwiązaniem. Nie radzą sobie w bardziej wymagających scenariuszach – np. przy wystawianiu faktur w trybie offline czy przy awaryjnym generowaniu kodów QR. W takich sytuacjach potrzebne są certyfikaty, które zapewniają większą kontrolę, ciągłość działania i bezpieczeństwo.

Dlatego Ministerstwo Finansów zdecydowało o rezygnacji z tokenów wraz z końcem 2026 roku.

Rola Modułu Certyfikatów i Uprawnień (MCU)

Zarządzanie dostępami odbywa się w specjalnym module systemu – MCU (Moduł Certyfikatów i Uprawnień), centrum sterowania uprawnieniami w Twojej firmie. Po zalogowaniu do MCU użytkownik ma możliwość zarządzania uprawnieniami, składania wniosków, pobierania certyfikatów oraz nadawania nowych uprawnień użytkownikom.

Tutaj widać pierwszą, fundamentalną różnicę w zarządzaniu obiema metodami. Token generujesz w MCU niemal “od ręki”, kopiując go do schowka. Certyfikat wymaga złożenia wniosku, procesowania i pobrania pliku. Ta różnica w procedurze odzwierciedla różnicę w wadze obu narzędzi: token to szybka przepustka, certyfikat to dowód tożsamości.

UWAGA!

MCU stanowi tymczasowe rozwiązanie przewidziane na okres przejściowy, trwający od listopada 2025 r. do końca stycznia 2026 r. Od lutego 2026 r. funkcjonalność MCU zostanie przeniesiona do API KSeF 2.0 oraz Aplikacji Podatnika KSeF 2.0, które staną się kluczowymi platformami do zarządzania certyfikatami i uprawnieniami w systemie KSeF.

Token KSeF – zasada działania, zalety i wady

Token to ciąg znaków alfanumerycznych (klucz API), który służy do łączenia programu księgowego z KSeF. Proces jego generowania jest bardzo prosty:

  • Uwierzytelniasz się w systemie KSeF (np. Profilem Zaufanym).
  • Wchodzisz w sekcję generowania tokenów.
  • Nadajesz tokenowi nazwę (np. “Fakt Zero API”) i określasz zakres uprawnień (np. wystawianie faktur, dostęp do faktur zakupu).
  • System generuje ciąg znaków.
  • UWAGA! Token wyświetla się na ekranie tylko raz. Musisz go skopiować i bezpiecznie zapisać. Po zamknięciu okna, ciąg znaków znika z interfejsu i nie można go odzyskać – trzeba generować nowy i unieważnić stary.

Pamiętaj: Tokeny oraz dane logowania do KSeF to poufne dane, które należy chronić przed dostępem osób nieuprawnionych. Ministerstwo Finansów apeluje, aby traktować tokeny i dane logowania z taką samą ostrożnością, jak dane do logowania do banku czy kart płatniczych.

Jak działa token?

W momencie łączenia się z KSeF, Twój program “okazuje” token, a bramka ministerialna wpuszcza go do środka bez dodatkowych pytań.

Zalety tokena:

  • Szybka integracja: Łatwy do wpisania w ustawieniach programu księgowego.
  • Brak fizycznego nośnika: Nie wymaga karty kryptograficznej ani czytnika podpiętego do komputera. Działa w chmurze.
  • Dostępność: Działa do końca 2026 roku, co daje czas na migrację.

Wady i ryzyka:

  • Brak obsługi trybu offline: Token nie pozwala na wygenerowanie kodu QR niezbędnego do wystawienia faktury w czasie awarii KSeF lub braku internetu. To jego największe ograniczenie operacyjne.
  • Niższy poziom bezpieczeństwa: Token to “okaziciel”. Jeśli ktoś go wykradnie, może działać w Twoim imieniu.
  • Termin ważności: Tokeny bezpowrotnie wygasają 31 grudnia 2026 r.
  • Pamiętaj: W przypadku utraty tokena lub zmiany uprawnień konieczne jest odebranie i nadanie nowych uprawnień. Token nie umożliwia bezpiecznego odbierania faktur w imieniu firmy!

WAŻNE!

Tokeny z KSeF 1.0 (używane w testach w latach 2022-2024) nie są kompatybilne z KSeF 2.0 i wymagają ponownego wygenerowania.

Czym jest i do czego służy certyfikat KSeF? Rodzaje i zastosowanie

Wiele osób myli certyfikat KSeF z podpisem kwalifikowanym.

Podpis kwalifikowany to usługa komercyjna, którą kupujesz od dostawców (KIR, Asseco, EuroCert itp.) i która ma moc prawną równą podpisowi odręcznemu.

Certyfikat KSeF to cyfrowe narzędzie kryptograficzne potwierdzające tożsamość danej osoby fizycznej lub podmiotu, wydawane bezpłatnie przez Centrum Certyfikacji Ministerstwa Finansów. Jest to osobiste poświadczenie tożsamości i może go używać tylko jego właściciel.

Technicznie jest to plik w formacie PFX lub P12, zawierający parę kluczy:

  1. Klucz prywatny: Znajduje się tylko u Ciebie (w Twoim programie księgowym). Służy do podpisywania zapytań i faktur.
  2. Klucz publiczny: Znajduje się w bazie Ministerstwa. Służy do weryfikacji, czy to, co wysłałeś, faktycznie pochodzi od Ciebie.

System rozróżnia dwa rodzaje certyfikatów, które pełnią zupełnie inne funkcje:

Typ 1: Certyfikat uwierzytelniający 

Jest to bezpośredni zastępca tokena. Służy do tego, aby Twój program księgowy mógł bezpiecznie połączyć się z serwerem Ministerstwa i rozpocząć sesję (wysłać fakturę, pobrać UPO).

Typ 2: Certyfikat do podpisywania faktur (offline/awaria) 

Służy wyłącznie do podpisywania faktur i generowania kodów QR w trybie awaryjnym lub offline. Jest niezbędny, aby zachować ciągłość sprzedaży, gdy system KSeF nie działa.

  • Scenariusz awaryjny: Wyobraź sobie, że jest 25. dzień miesiąca, godzina 14:00. Serwery MF ulegają awarii (tzw. niedostępność systemu). Zgodnie z prawem, musisz wystawić fakturę i wydać ją klientowi.
  • Jeśli masz tylko token: Nie możesz tego zrobić zgodnie z wymogami KSeF, bo nie masz jak pobrać numeru KSeF, a token nie potrafi "podpisać" faktury offline.
  • Jeśli masz certyfikat typu 2: Twój program księgowy używa tego certyfikatu, aby wygenerować specjalny kod QR (zawierający skrót faktury i podpis cyfrowy). Drukujesz fakturę z tym kodem, wręczasz klientowi. Jest ona ważna i zgodna z prawem. Gdy awaria minie, program wyśle ją do KSeF.

Proces uzyskania i zarządzania certyfikatem KSeF

Uzyskanie certyfikatu jest procesem bardziej sformalizowanym niż w przypadku tokena, co podnosi poziom bezpieczeństwa, ale wymaga większego zaangażowania na starcie. Aby uzyskać certyfikat KSeF:

  1. Wniosek: Musisz zalogować się do MCU (np. pieczęcią kwalifikowaną lub podpisem zaufanym) i złożyć wniosek o wydanie certyfikatu.
  2. Przetwarzanie i wydanie certyfikatów: System weryfikuje uprawnienia i przystępuje do wydania certyfikatów. Proces ten może potrwać od kilku minut do kilku godzin, w zależności od obciążenia systemu.
  3. Pobieranie certyfikatów: Po pozytywnej weryfikacji możesz przejść do pobrania wydanych certyfikatów z Modułu Certyfikatów i Uprawnień (MCU). W tym celu musisz ponownie zalogować się do MCU, wybrać odpowiedni certyfikat i pobrać plik na swoje urządzenie, dbając o jego bezpieczeństwo.
  4. Instalacja: Pobierasz plik i musisz go bezpiecznie zainstalować w swoim oprogramowaniu księgowym.
  5. Ważność: Certyfikaty mają ograniczony czas ważności – zazwyczaj 2 lata. Po tym czasie musisz go odnowić lub w razie potrzeby przeprowadzić unieważnianie certyfikatów.

Analiza porównawcza - token vs. certyfikat

Poniższa tabela przedstawia kluczowe różnice techniczne i funkcjonalne między obiema metodami uwierzytelniania. 

Tabela 1 - Token vs. certyfikat - porównanie

Cecha Token autoryzacyjny Certyfikat KSeF (Typ 1 & 2)
Główna funkcja Logowanie online Logowanie (Typ 1) + podpis offline (Typ 2)
Działanie w trybie awaryjnym (QR) NIE (nie generuje kodów QR) TAK (jest wymagany certyfikat typu 2)
Termin ważności technologii Do 31.12.2026 Bezterminowo (standard docelowy); ważny 2 lata od momentu otrzymania
Bezpieczeństwo Średnie (statyczny klucz) Wysokie (kryptografia asymetryczna)
Koszt uzyskania 0 PLN 0 PLN (wymaga płatnego podpisu do wniosku)
Proces wdrożenia Łatwy (kopiuj-wklej) Średni (wniosek, instalacja pliku PFX)
Unieważnienie Natychmiastowe w panelu Wymaga procedury w MCU

Strategia działania dla biura rachunkowego – jak przetrwać wdrożenie KSeF?

Dla biur rachunkowych wybór metody uwierzytelniania ma kluczowe znaczenie dla logistyki pracy - aby nie tylko utrzymać zgodność z przepisami, lecz także nie zgubić się wśród natłoku obowiązków administracyjnych.

Model oparty na tokenach (niezalecany)

Wyobraź sobie scenariusz: Masz 200 klientów. Decydujesz się na model oparty na tokenach.

  1. Musisz poinstruować 200 klientów, jak zalogować się do KSeF (wielu nie ma Profilu Zaufanego lub nie umie go użyć).
  2. Musisz poprosić ich o wygenerowanie tokena.
  3. Musisz odebrać te tokeny (często klient wyśle go SMS-em, mailem lub podyktuje przez telefon - co rodzi dodatkowe zagrożenia bezpieczeństwa).
  4. Musisz wprowadzić 200 ciągów znaków do swojego systemu.
  5.  Za rok lub dwa tokeny wygasną (31.12.2026). Musisz powtórzyć proces dla wszystkich 200 klientów, tym razem migrując ich na certyfikaty lub inne metody.

Model oparty na certyfikatach (rekomendowany)

By uniknąć problemów w przyszłości, zalecamy pracę na własnym uwierzytelnieniu (certyfikat KSeF biura lub pieczęć kwalifikowana).

  1. Wyrabiasz jeden certyfikat KSeF (lub korzystasz z pieczęci kwalifikowanej) na swoje dane (NIP biura).
  2. Klient (lub biuro w jego imieniu, jeśli posiada pełnomocnictwo UPL-1/ZAW-FA) nadaje w KSeF uprawnienie Tobie jako biuru, wskazując jego NIP.
  3. W systemie księgowym (Fakt Zero dla Biur) wprowadzasz tylko jeden certyfikat biura.
  4. System automatycznie sprawdza, do których firm masz dostęp. Przełączasz się między klientami jednym kliknięciem, bez konieczności pamiętania haseł czy tokenów każdego z nich.

To podejście drastycznie redukuje ryzyko błędu, oszczędza czas przy wdrażaniu klienta i zapewnia płynność pracy. Co więcej, jeśli zmienisz pracownika w biurze, nie musisz zmieniać haseł u wszystkich klientów – zarządzasz dostępem pracownika do swojego systemu, a certyfikat biura pozostaje ten sam.

ZAW-FA: Kiedy analog wchodzi w grę?

Gdy z jakiegoś powodu nie da się nadać uprawnień w KSeF online – np. gdy zarząd spółki jest zagraniczny i nie ma numerów PESEL ani polskich podpisów elektronicznych - można skorzystać z procedury ZAW-FA. Dla biur rachunkowych często działa ona jak plan awaryjny przy trudniejszych przypadkach. 

Warto pamiętać jednak, że docelowo najlepszym i najbardziej efektywnym modelem jest uwierzytelnianie oparte na certyfikatach i pieczęciach kwalifikowanych, które pozwala obsługiwać KSeF bez zbędnych formalności i kontaktu z urzędem. 

Harmonogram i plan migracji 

Terminy są nieubłagane. Zaplanuj migrację, aby uniknąć problemów na przełomie lat.

  • 1 lutego 2026:
  • Kto: Duże firmy (obrót > 200 mln PLN).
  • Status: Obowiązkowe wystawianie faktur ustrukturyzowanych.
  • Technologia: Zalecane użycie certyfikatów (zwłaszcza Typu 2 dla zabezpieczenia trybu awaryjnego). Tokeny nadal działają online.
  • 1 kwietnia 2026:
  • Kto: Wszyscy pozostali czynni podatnicy VAT (MŚP, Mikrofirmy).
  • Status: Obowiązek KSeF dla niemal całej gospodarki.
  • Ryzyko: Ogromne obciążenie serwerów MF. Prawdopodobieństwo awarii i konieczności pracy w trybie offline (wymagającym Certyfikatu Typ 2!) jest najwyższe w tym okresie.
  • Lipiec - grudzień 2026 (okres przejściowy):
  • Okres, w którym nie są nakładane kary za błędy (sankcje wchodzą od sierpnia 2026).
  • Możliwość wystawiania faktur papierowych dla najmniejszych podatników (do 10 tys. zł obrotu) oraz faktur z kas fiskalnych.
  • 31 grudnia 2026:
  • Ostatni dzień ważności tokenów autoryzacyjnych jako metody dostępu do KSeF. Wszystkie tokeny wygenerowane wcześniej przestają działać o północy.
  • 1 stycznia 2027:
  • Status: Certyfikaty KSeF stają się dominującą (obok pieczęci/podpisu kwalifikowanego) metodą uwierzytelniania.

Najczęściej zadawane pytania

Czy muszę kupić certyfikat KSeF?

Nie. Sam plik certyfikatu jest wydawany przez Ministerstwo Finansów bezpłatnie. Jednak, aby złożyć wniosek o jego wydanie, musisz zalogować się do systemu – do tego zazwyczaj potrzebny jest płatny podpis kwalifikowany lub pieczęć elektroniczna.

Co się stanie, jeśli padnie internet, a ja mam tylko token KSeF?

Nie będziesz mógł wystawić faktury zgodnie z przepisami. W trybie offline (bez sieci) faktura musi zostać opatrzona kodem QR potwierdzającym tożsamość wystawcy. Ten kod można wygenerować tylko przy użyciu Certyfikatu KSeF Typu 2. Token nie posiada takiej funkcji technicznej.

Czy tokeny wygenerowane w 2025 roku będą działać po 1 lutego 2026?

Tak, ale tylko do końca 2026 roku. Ważne zastrzeżenie: tokeny ze środowiska testowego (KSeF 1.0) nie zadziałają w nowym systemie produkcyjnym KSeF 2.0. Trzeba będzie wygenerować nowe tokeny w nowym systemie.

Czy mogę mieć jeden certyfikat do logowania i do kodów QR?

Nie. Są to dwa oddzielne pliki o różnym przeznaczeniu. Certyfikat Typu 1 służy do logowania online. Certyfikat Typu 2 służy do podpisywania faktur offline. Aby mieć pełną funkcjonalność, należy pobrać i zainstalować oba.

Czy certyfikat KSeF jest przypisany do konkretnego komputera?

Certyfikat to plik. Można go przenieść, ale ze względów bezpieczeństwa najlepiej zainstalować go w bezpiecznym magazynie w chmurze programu księgowego. Dzięki temu masz do niego dostęp z dowolnego urządzenia po zalogowaniu do programu, a sam plik jest chroniony przed kradzieżą.

Podsumowanie

Choć tokeny kuszą łatwością wdrożenia "tu i teraz", są rozwiązaniem schodzącym ze sceny. W perspektywie strategicznej, zwłaszcza dla biur rachunkowych i firm ceniących bezpieczeństwo ciągłości biznesowej, certyfikat KSeF jest słusznym wyborem.

Gwarantuje on:

  1. Możliwość pracy w trybach szczególnych (awaryjnym i offline), co jest kluczowe przy awariach MF.
  2. Zgodność z docelowym modelem prawnym po 2026 roku.
  3. Wyższy poziom bezpieczeństwa danych.
  4. Lepsze zarządzanie uprawnieniami w relacji Biuro-Klient.

W Fakt Zero rozumiemy te wyzwania. Nasz system jest gotowy na obsługę obu metod, a nasza Wirtualna Asystentka Wanda i zespół ekspertów będą aktywnie wspierać Cię w procesie migracji na certyfikaty. 

Testuj Fakt Zero przez 3 miesiące!

Sprawdź pełną funkcjonalność systemu bez żadnych zobowiązań. Przekonaj się, jak prosta i intuicyjna może być obsługa księgowa, korzystając z darmowej wersji z pełnym wsparciem technicznym.

Kontakt

Fakt Dystrybucja sp. z o.o.
Aleja Zwycięstwa 96/98 IV.E417
81-451 Gdynia

Pracujemy w godzinach:
pon-czw: 8:00 - 16:30
pt: 8:00 - 14:00

Pomoc

Pomoc techniczna

58 622 66 00 (wew. 20)
serwis@fakt.com.pl

Wsparcie księgowe

58 622 66 00 (wew. 30)
ksiegowosc@fakt.com.pl

Pomoc w sytacjach awaryjnych

605 600 499

Demo i sprzedaż

58 622 66 00 (wew. 10)
biuro@fakt.com.pl

Funkcjonalności systemu

Pracownicy
Pracownicy
Sprzedaż
Sprzedaż
Zakupy
Zakupy
Księgi Rachunkowe (FK)
Księgi Rachunkowe (FK)
netFakt
netFakt
Księga KPiR
Księga KPiR
Ryczałt ewidencjonowany
Ryczałt ewidencjonowany
e-Deklaracje i JPK
e-Deklaracje i JPK
Właściciele
Właściciele
webFakt
webFakt
Kasa i bank
Kasa i bank
Dokumenty magazynowe
Dokumenty magazynowe
Środki trwałe
Środki trwałe
Kontrahenci
Kontrahenci
Towary i usługi
Towary i usługi
Współpraca z urządzeniami zewnętrznymi
Współpraca z urządzeniami zewnętrznymi
Bezpieczeństwo danych
Bezpieczeństwo danych

Na skróty

Program
Program
Sklep
Sklep
Biura
Biura
Pobierz
Pobierz
Kontakt
Kontakt

Inne linki

Pomoc
Pomoc
Blog
Blog
Polityka prywatności
Polityka prywatności
Polityka cookies
Polityka cookies

Copyright © Fakt Dystrybucja sp. z o.o.