Tokeny KSeF to tymczasowe rozwiązanie uwierzytelniające w Krajowym Systemie e-Faktur, które można generować i wykorzystywać do 31 grudnia 2026 r. Od 1 stycznia 2027 r. zostaną one całkowicie wycofane, a ich miejsce zajmą certyfikaty KSeF jako podstawowa metoda autoryzacji integracji z systemem.
W erze obligatoryjnego e-fakturowania tokeny ułatwiły przedsiębiorcom szybką integrację z KSeF. Ministerstwo Finansów zapowiedziało jednak ich wygaszanie na rzecz bardziej zaawansowanych i bezpiecznych mechanizmów. Poniżej wyjaśniamy, jak działają tokeny, jak długo pozostaną dostępne, jak je generować oraz co dokładnie je zastąpi, wraz z praktycznymi wskazówkami dla firm i księgowych.
Czym jest token KSeF i do czego służy?
Token KSeF to unikalny identyfikator służący do uwierzytelniania systemów informatycznych lub zewnętrznych aplikacji podczas komunikacji z Krajowym Systemem e-Faktur (KSeF) przez API. Umożliwia automatyczne przesyłanie i odbieranie faktur ustrukturyzowanych bez każdorazowego ręcznego logowania.
Token działa jak klucz autoryzacyjny powiązany z uprawnieniami osoby lub podmiotu, który go generuje. Nie nadaje nowych praw – dziedziczy uprawnienia z chwili utworzenia (np. wystawianie faktur, dostęp do faktur otrzymanych, operacje techniczne: statusy, UPO). Gdy zakres uprawnień użytkownika się zmieni, konieczne może być wygenerowanie nowego tokena.
Ważne cechy tokenów:
- brak z góry określonego terminu ważności – token pozostaje aktywny do unieważnienia przez użytkownika lub do końca 2026 r.;
- możliwość generowania wielu tokenów – bez ograniczeń systemowych co do liczby; każdy może mieć inny zakres uprawnień;
- bezpieczeństwo – nie przekazuj tokenów osobom nieuprawnionym, bo odpowiedzialność za ich użycie ponosi podmiot.
Tokeny sprawdziły się jako rozwiązanie przejściowe, umożliwiając szybką integrację programów księgowych (np. inFakt, SaldeoSMART) z KSeF.
Do kiedy można używać tokenów KSeF?
Tokeny KSeF będą możliwe do generowania i wykorzystywania do 31 grudnia 2026 r. W tym czasie pozostaną jedną z metod logowania i autoryzacji obok wprowadzanych alternatyw.
Harmonogram zmian prezentuje się następująco:
- do 31 grudnia 2026 r. – pełna dopuszczalność tokenów; można je generować i używać do logowania oraz integracji przez API;
- okres przejściowy od 1 lutego 2026 r. – wprowadzenie certyfikatów KSeF jako nowej metody, przy równoległym wsparciu tokenów;
- od 1 stycznia 2027 r. – tokeny wygasają całkowicie; generowanie i korzystanie będzie niemożliwe.
Tokeny nie wygasają automatycznie wcześniej – unieważnia je wyłącznie użytkownik lub systemowa zmiana z 2026 r. Warto monitorować aktywne tokeny i zaplanować migrację, aby uniknąć przerw w e-fakturowaniu.
Dla przejrzystości zestawiamy kluczowe daty i dostępne metody uwierzytelniania w jednej tabeli:
| Okres | Status tokenów KSeF | Dostępne alternatywy |
|---|---|---|
| Do 31.12.2026 | Generowanie i użycie dozwolone | Profil Zaufany, kwalifikowany podpis/pieczęć |
| Od 01.02.2026 (przejściowy) | Nadal dozwolone | + Certyfikaty KSeF |
| Od 01.01.2027 | Wygaszone | Certyfikaty KSeF, Profil Zaufany, kwalifikowany podpis/pieczęć |
Jak wygenerować token KSeF – krok po kroku
Generowanie tokena jest proste i dostępne po uwierzytelnieniu w KSeF. Proces wymaga logowania za pomocą Profilu Zaufanego, kwalifikowanego podpisu albo istniejącego tokena.
Dwa główne sposoby generowania (od 2026 r.):
-
Przez sekcję „Tokeny” w menu głównym KSeF
Aby szybko utworzyć nowy token, wykonaj te czynności:
- zaloguj się do KSeF – wybierz podmiot (NIP) i metodę uwierzytelnienia;
- przejdź do: Tokeny → Generuj token – otwórz formularz tworzenia nowego klucza;
- nazwij token i ustaw uprawnienia – np. wystawianie faktur, dostęp do API, wszystkie;
- zapisz i skopiuj token – wklej go później w ustawieniach programu księgowego.
-
Przez moduł certyfikatów i uprawnień
Alternatywnie możesz skorzystać z modułu zarządzania dostępami:
- zaloguj się do KSeF – uwierzytelnij się wybraną metodą;
- wejdź w: Uprawnienia lub Moduł Certyfikatów i Uprawnień – otwórz listę dostępów;
- wybierz: Generuj token / Nowy token autoryzacyjny – rozpocznij tworzenie;
- określ uprawnienia i zapisz – system wyświetli gotowy token do użycia.
Po wygenerowaniu wprowadź token do ustawień programu fakturowego, aby nawiązać połączenie z repozytorium KSeF. W razie potrzeby możesz go w każdej chwili unieważnić opcją Unieważnij.
Co zastąpi tokeny KSeF?
Głównym następcą tokenów będą certyfikaty KSeF – elektroniczne klucze uwierzytelniające do integracji z KSeF oraz pracy w trybie offline. Certyfikaty są wydawane na 2 lata i od 2027 r. staną się obowiązkowe do automatyzacji procesów.
Inne metody po 2026 r.:
- kwalifikowany podpis elektroniczny,
- kwalifikowana pieczęć elektroniczna,
- Profil Zaufany.
Różnice: tokeny vs certyfikaty – kluczowe parametry i zastosowania prezentujemy poniżej:
| Cecha | Token KSeF | Certyfikat KSeF |
|---|---|---|
| Ważność | Do 31.12.2026 (bezterminowy inaczej) | 2 lata |
| Zastosowanie | API, przesyłanie faktur | Integracja, tryb offline, API |
| Generowanie | W KSeF po logowaniu | Wniosek w KSeF (od 2026) |
| Status | Przejściowy | Docelowy |
Certyfikaty oferują wyższy poziom bezpieczeństwa i szerszy zakres działania (w tym tryb offline). W okresie przejściowym od lutego 2026 r. obie metody będą działały równolegle.
Praktyczne wskazówki dla przedsiębiorców i księgowych
- sprawdź aktywne tokeny – jeżeli obecny zakres uprawnień jest niewystarczający, wygeneruj nowe z pełnym zakresem;
- przygotuj się do certyfikatów – od lutego 2026 r. złóż wniosek w KSeF i przetestuj integrację przed 2027 r.;
- aktualizuj oprogramowanie – programy księgowe (np. Comarch, Symfonia) już wspierają certyfikaty KSeF;
- zminimalizuj ryzyka – nieautoryzowane użycie tokena grozi odpowiedzialnością; przechowuj go bezpiecznie; po 2026 r. brak certyfikatu oznacza przestoje w e-fakturowaniu;
- korzystaj z oficjalnych źródeł – śledź komunikaty KSeF na podatki.gov.pl oraz projekty ustaw (KSeF 2.0).
