W Krajowym Systemie e-Faktur (KSeF 2.0), który obowiązuje od 1 lutego 2026 r., certyfikaty odgrywają kluczową rolę w uwierzytelnianiu i wystawianiu faktur. Certyfikat typu 1 służy wyłącznie do uwierzytelniania w systemie (online), natomiast certyfikat typu 2 jest niezbędny do wystawiania faktur w trybie offline i generowania specjalnego kodu QR. Oba typy generuje się osobno, a ich rozróżnienie ułatwia dopisek w atrybucie CN: „uwierzytelnianie” dla typu 1 i „offline” dla typu 2.
Wprowadzenie do certyfikatów KSeF w wersji 2.0
KSeF 2.0 wprowadził znaczące zmiany w mechanizmach autoryzacji, zastępując proste tokeny bardziej zaawansowanymi certyfikatami. Certyfikat potwierdza tożsamość podmiotu (na podstawie NIP lub PESEL), ale nie nadaje uprawnień – te przypisuje się oddzielnie w systemie.
W odróżnieniu od tokenów, które ograniczają się do uprawnień osoby generującej i konkretnego NIP, certyfikaty umożliwiają szersze zastosowanie, w tym integrację z systemami księgowymi.
Certyfikaty są dostępne od 1 listopada 2025 r. w Module Certyfikatów i Uprawnień (MCU), a ich ważność nie przekracza 2 lat. Podatnicy powinni posiadać oba typy certyfikatów, aby zapewnić pełną funkcjonalność – zwłaszcza w sytuacjach awaryjnych.
Certyfikat KSeF typu 1 – uwierzytelnianie online
Certyfikat typu 1 to podstawowy środek uwierzytelniania w KSeF, analogiczny do podpisu kwalifikowanego. Umożliwia logowanie zarówno w sesjach interaktywnych (np. przez przeglądarkę), jak i wsadowych (automatycznych, np. z programów księgowych).
Główne cechy i zastosowanie:
Najważniejsze cechy i zastosowania certyfikatu typu 1 to:
- potwierdzenie tożsamości – generowany na NIP lub PESEL, pozwala działać w ramach uprawnień nadanych w KSeF dla obu identyfikatorów;
- tryb pracy – wyłącznie online – do wystawiania, pobierania i przetwarzania faktur w czasie rzeczywistym;
- integracja systemowa – idealny do połączeń API z oprogramowaniem księgowym, zapewniając stabilne uwierzytelnienie;
- ograniczenia – nie służy do trybów offline ani nie zawiera uprawnień – te nadaje się osobno.
W praktyce certyfikat typu 1 jest codziennym narzędziem dla firm korzystających z KSeF w standardowym trybie. Na przykład księgowy loguje się nim do systemu, by nadać pełnomocnictwo lub pobrać e-faktury kontrahentów.
Certyfikat KSeF typu 2 – obsługa trybów offline i awaryjnych
Certyfikat typu 2 nie służy do logowania, lecz do oznaczania faktur w trybach szczególnych, gdy brak bezpośredniego połączenia z KSeF. Generuje kod QR (KOD II z dopiskiem „CERTYFIKAT”), który potwierdza tożsamość wystawcy i umożliwia weryfikację dokumentu poza systemem.
Kluczowe zastosowania:
Certyfikat typu 2 wykorzystasz w następujących sytuacjach:
- tryby offline – offline24 (do 24 godzin bez sieci), niedostępność systemu lub awarie KSeF;
- proces wystawiania – program księgowy podpisuje fakturę certyfikatem, drukuje z kodem QR i przekazuje nabywcy. Po przywróceniu dostępu faktura trafia do KSeF;
- weryfikacja – kod QR zawiera skrót faktury i podpis cyfrowy, co zapobiega fałszowaniu;
- rola – potwierdza autentyczność faktury offline, zanim zostanie przesłana do systemu.
Ten typ jest kluczowy dla ciągłości biznesu – bez niego faktury offline nie spełniają wymagań prawnych.
Porównanie certyfikatów typu 1 i typu 2
Poniższa tabela podsumowuje kluczowe różnice, ułatwiając wybór i wdrożenie:
| Cecha | Certyfikat typu 1 (uwierzytelnianie) | Certyfikat typu 2 (offline) |
|---|---|---|
| Główne przeznaczenie | Uwierzytelnianie online (sesje interaktywne/wsadowe) | Oznaczanie faktur offline kodem QR |
| Tryb pracy | Wyłącznie online | Tryby awaryjne/offline (offline24, awarie) |
| Funkcja | Logowanie i autoryzacja API | Podpis cyfrowy i weryfikacja tożsamości |
| Generowanie | Osobno w MCU | Osobno w MCU |
| Dopisek w CN | „Uwierzytelnianie” | „Offline” |
| Wymagany do pełnej funkcjonalności | Tak, do codziennej pracy | Tak, do awarii |
| Ważność | Do 2 lat | Do 2 lat |
Nie można ich łączyć – każdy typ to odrębny plik.
Jak uzyskać i wdrożyć certyfikaty KSeF?
Postępuj według poniższych kroków:
- Wnioskowanie – od 1 listopada 2025 r. w MCU na platformie KSeF (ksef.podatki.gov.pl). Podaj NIP/PESEL i datę ważności;
- Generowanie – wybierz typ osobno; pobierz pliki (np. .pfx);
- Instalacja – zaimportuj do programu księgowego (np. SaldeoSMART, Faktura XL);
- Uprawnienia – po uwierzytelnieniu typem 1, nadaj je w KSeF;
- Tokeny z KSeF 1.0 – nie działają – wygeneruj nowe.
Problemy? Częste błędy to mieszanie typów lub brak obu – token nie zastąpi certyfikatu.
Praktyczne wskazówki dla księgowych i przedsiębiorców
Aby uprościć wdrożenie i ograniczyć ryzyka, zastosuj poniższe rekomendacje:
- małe firmy – zacznij od typu 1 do online; dodaj typ 2 na awarie;
- integracje – użyj typu 1 do API; typ 2 do offline w programach jak Symfonia czy FaktZero;
- testy – sprawdź w środowisku testowym KSeF przed 1 lutego 2026 r.;
- koszty – bezpłatne, ale wymagają aktualizacji oprogramowania.
Posiadanie obu certyfikatów minimalizuje ryzyka, zapewnia zgodność z przepisami i ciągłość fakturowania. W razie wątpliwości skonsultuj się z dostawcą oprogramowania księgowego.
