OneClick Workflow Księgowość, faktury i optymalizacja procesów biznesowych

W Krajowym Systemie e-Faktur (KSeF) uwierzytelnienie to proces logowania i potwierdzenia tożsamości użytkownika, a autoryzacja to nadawanie uprawnień do konkretnych czynności (np. wystawiania lub przeglądania faktur). Oba mechanizmy są kluczowe dla bezpieczeństwa i sprawnego obiegu e-faktur.

Przeczytasz tu [spis treści]

Podstawowe pojęcia – uwierzytelnienie a autoryzacja – klarowna różnica

Uwierzytelnienie w KSeF to pierwszy krok, który umożliwia dostęp do systemu poprzez weryfikację tożsamości użytkownika. Można je porównać do logowania – potwierdza, kim jesteś, ale nie określa, co możesz zrobić.

Z kolei autoryzacja to przydzielenie konkretnych praw: właściciel decyduje, kto i w jakim zakresie może działać w jego imieniu (np. wystawianie e-faktur, odbieranie dokumentów, zarządzanie ustawieniami).

Uwierzytelnienie potwierdza tożsamość, a autoryzacja wyznacza zakres uprawnień – te etapy zawsze następują w tej kolejności.

Według Ministerstwa Finansów, oba procesy są obowiązkowe dla korzystających z KSeF – zarówno przez stronę rządową, jak i zewnętrzne programy księgowe (np. Symfonia, inFakt). Poniżej zestawienie kluczowych różnic:

Aspekt Uwierzytelnienie Autoryzacja
Cel Potwierdzenie tożsamości (logowanie) Nadanie uprawnień do czynności
Kto wykonuje Użytkownik indywidualny lub system Właściciel konta (podatnik)
Metody Profil Zaufany, podpis kwalifikowany, token Token, Profil Zaufany, podpis kwalifikowany
Bezpieczeństwo Weryfikacja tożsamości Ograniczenie zakresu dostępu
Koszt Często darmowe (np. PZ) Darmowe (token) lub płatne (podpis)

Tabela oparta na materiałach Ministerstwa Finansów.

Metody uwierzytelnienia w KSeF – od darmowych po zaawansowane

Przedsiębiorcy mają do wyboru kilka sposobów na uwierzytelnienie, dostosowanych do typu podmiotu i potrzeb. Najpopularniejsze to:

  • Profil Zaufany (PZ) – darmowa metoda dla osób fizycznych, w tym właścicieli JDG; logowanie przez login.gov.pl, bankowość elektroniczną, aplikację mObywatel lub e-dowód; prosty w użyciu, bez dodatkowych kosztów, ale przeznaczony wyłącznie dla osób fizycznych;
  • Kwalifikowany podpis elektroniczny – płatna opcja (ok. 300–500 zł rocznie), równoważna podpisowi własnoręcznemu; zapewnia wysoki poziom bezpieczeństwa i pełne uprawnienia właścicielskie w KSeF;
  • Kwalifikowana pieczęć elektroniczna – rozwiązanie dla spółek i podmiotów niebędących osobami fizycznymi; płatna, często stosowana w integracjach z programami księgowymi;
  • Certyfikat lub token – token to ciąg znaków generowany po uwierzytelnieniu (np. PZ lub podpisem); umożliwia automatyczne logowanie systemów zewnętrznych (np. wFirma.pl, Symfonia KSeF); nie wymaga danych osobowych, ale wymaga ostrożności, ponieważ można go skopiować.

Dla osób fizycznych prowadzących JDG uwierzytelnienie własne skutkuje nadaniem najszerszych, tzw. uprawnień właścicielskich.

Autoryzacja w KSeF – jak nadać dostęp innym?

Po skutecznym uwierzytelnieniu przedsiębiorca może autoryzować osoby trzecie lub systemy. To kluczowe w firmach współpracujących z pracownikami i biurami rachunkowymi. Opcje autoryzacji obejmują:

  • Profil Zaufany osoby trzeciej – darmowe rozwiązanie wymagające własnego PZ użytkownika; po zalogowaniu otrzymuje on nadane uprawnienia;
  • Podpis kwalifikowany osoby trzeciej – płatne, ale bardzo bezpieczne dzięki silnej weryfikacji tożsamości;
  • Token – najprostszy i darmowy; generowany przez właściciela po jego uwierzytelnieniu, pozwala przypisać konkretne uprawnienia (np. tylko odbiór faktur); wgrywany do programu księgowego zapewnia dostęp bez podawania danych osobowych; wadą jest brak śladu, kto dokładnie użył tokenu – nie jest zabezpieczony przed kopiowaniem.

W KSeF token nie ogranicza uprawnień właściciela i nie wymaga, aby autoryzowana strona miała własne uprawnienia do wystawiania faktur. Przykład: w systemie wFirma.pl przedsiębiorca generuje token na stronie KSeF i przekazuje go pracownikowi do pracy z fakturami.

Praktyczne scenariusze – uwierzytelnienie i autoryzacja krok po kroku

Scenariusz 1 – jednoosobowa działalność gospodarcza (osoba fizyczna)

  1. Uwierzytelniasz się Profilem Zaufanym na login.gov.pl – uzyskujesz uprawnienia właścicielskie;
  2. Generujesz token z ograniczonymi prawami (np. wystawianie faktur) dla księgowej;
  3. Księgowa wgrywa token do swojego programu – ma dostęp bez pełnego logowania.

Scenariusz 2 – spółka z o.o.

  1. Używasz kwalifikowanej pieczęci elektronicznej do uwierzytelnienia firmy;
  2. Autoryzujesz członków zarządu tokenami lub podpisami kwalifikowanymi;
  3. Integrujesz z Symfonią: konfigurujesz token do wymiany dokumentów.

Scenariusz 3 – odbiór faktur bez logowania

Nabywca może pobrać e-fakturę z KSeF bez konta, podając NIP i kwotę należności. To praktyczne uproszczenie bez pełnego uwierzytelnienia.

Bezpieczeństwo i dobre praktyki w KSeF

KSeF przetwarza wrażliwe dane podatkowe, dlatego uwierzytelnienie weryfikuje tożsamość, a autoryzacja ogranicza ryzyko nadużyć. Zalecenia bezpieczeństwa obejmują:

  • chroń tokeny – nie udostępniaj ich e-mailem; używaj bezpiecznych kanałów i przypisuj minimalne uprawnienia;
  • monitoruj dostęp – regularnie przeglądaj listę autoryzowanych (w KSeF brak szczegółowego śladu użycia tokenów);
  • testuj integracje – w programach jak inFakt czy Symfonia najpierw skonfiguruj uwierzytelnienie;
  • aktualizuj metody – od 1 kwietnia 2026 r. PZ ma być w pełni dostępny, już teraz działa dla osób fizycznych.

Błędy, takie jak udostępnienie tokenu osobom nieuprawnionym, mogą skutkować wyciekiem danych finansowych.

Autor
Paweł Radłowski
Księgowy z 4-letnim doświadczeniem, absolwent Finansów i Rachunkowości SGH. Autor 3 ponad 250 artykułów o podatkach, automatyzacji księgowości i e-commerce, publikowanych w mediach elektronicznych i papierowych. Wdrożył 30+ projektów elektronicznego obiegu dokumentów, a jego szkolenia (800 h) pomogły już ponad 70 przedsiębiorcom obniżyć koszty administracji średnio o 18%.