Token czy certyfikat KSeF - czym się różnią i które rozwiązanie wybrać?

Dostęp do Krajowego Systemu e-Faktur wymaga uwierzytelnienia użytkownika albo programu, który komunikuje się z KSeF. W 2026 roku przedsiębiorcy mogą korzystać zarówno z tokenów, jak i certyfikatów KSeF, ale nie są to rozwiązania równoważne. Token jest metodą przejściową i przestanie działać z końcem 2026 roku, natomiast certyfikaty stanowią docelowy mechanizm uwierzytelniania oraz obsługi faktur wystawianych w trybach offline.
Dlaczego KSeF wymaga uwierzytelnienia?
KSeF zawiera faktury sprzedażowe i zakupowe przedsiębiorstwa, dlatego dostęp do systemu nie może być anonimowy. Przed wykonaniem operacji system musi ustalić:
- kto nawiązuje połączenie,
- w imieniu jakiego podatnika działa,
- jakie posiada uprawnienia,
- czy może wystawiać faktury,
- czy może pobierać dokumenty,
- czy może zarządzać uprawnieniami.
Uwierzytelnienie potwierdza tożsamość osoby albo podmiotu. Autoryzacja określa natomiast, jakie działania można wykonać po uzyskaniu dostępu.
Token i certyfikat KSeF mogą służyć do uwierzytelnienia, ale działają w inny sposób i mają odmienne zastosowanie.
Czym jest token KSeF?
Token KSeF to wygenerowany przez system ciąg znaków alfanumerycznych. Jest przypisany do konkretnej osoby lub podmiotu, określonego kontekstu oraz zakresu uprawnień wybranego podczas generowania.
Token może być używany przez program finansowo-księgowy lub system ERP do automatycznego nawiązywania sesji z KSeF. Dzięki temu użytkownik nie musi przy każdej wysyłce faktury logować się Profilem Zaufanym, podpisem kwalifikowanym albo pieczęcią elektroniczną.
Token może służyć między innymi do:
- wysyłania faktur sprzedażowych,
- pobierania faktur zakupowych,
- sprawdzania statusów dokumentów,
- pobierania UPO,
- pracy w sesjach interaktywnych i wsadowych.
Zakres dostępnych operacji zależy od uprawnień zapisanych w tokenie podczas jego tworzenia.
Jak długo działa token KSeF?
Sam token nie ma indywidualnie określonej daty ważności. Pozostaje aktywny do chwili jego unieważnienia albo do zakończenia obsługi tokenów przez KSeF.
Najważniejszy jest jednak termin przejściowy:
- tokeny mogą być generowane i wykorzystywane do 31 grudnia 2026 roku,
- od 1 stycznia 2027 roku z tokenów nie będzie można korzystać,
- docelową metodą dla integracji mają być certyfikaty KSeF.
Oznacza to, że token może być nadal używany w 2026 roku, ale nie powinien być wybierany jako rozwiązanie długoterminowe dla nowego wdrożenia.
Firma korzystająca obecnie z tokena powinna zaplanować migrację na certyfikat odpowiednio wcześniej, a nie dopiero pod koniec grudnia.
Jak uprawnienia są powiązane z tokenem?
Podczas generowania tokena użytkownik wybiera uprawnienia, które mają zostać w nim zapisane.
Można na przykład utworzyć:
- token wyłącznie do wystawiania faktur,
- token wyłącznie do pobierania dokumentów,
- token obejmujący wystawianie i dostęp do faktur,
- kilka osobnych tokenów dla różnych systemów lub oddziałów.
Token działa wyłącznie w kontekście, w którym został wygenerowany. Jeżeli został utworzony w kontekście konkretnej spółki, nie można używać go do pracy w imieniu innego podmiotu.
Nie można również później rozszerzyć zakresu istniejącego tokena. Gdy potrzebny jest inny zestaw uprawnień, należy wygenerować nowy token.
Jeżeli uprawnienie przypisane właścicielowi tokena zostanie odebrane, operacja wymagająca tego uprawnienia przestanie być dostępna. Sam token może jednak nadal istnieć w systemie do czasu jego unieważnienia.
Czym jest certyfikat KSeF?
Certyfikat KSeF jest cyfrowym środkiem identyfikującym osobę fizyczną albo podmiot. W odróżnieniu od tokena nie przechowuje w sobie wybranego zakresu uprawnień.
Podczas uwierzytelnienia certyfikatem KSeF sprawdza aktualne uprawnienia przypisane do identyfikatora NIP lub PESEL jego właściciela.
Dzięki temu certyfikat:
- nie musi być generowany ponownie po każdej zmianie zakresu uprawnień,
- może być wykorzystywany w różnych kontekstach, do których jego właściciel posiada dostęp,
- pozwala oddzielić potwierdzenie tożsamości od zarządzania uprawnieniami,
- stanowi docelową metodę uwierzytelniania programów zintegrowanych z KSeF.
Certyfikat może zostać wydany osobie fizycznej, na przykład właścicielowi firmy albo księgowej, oraz podmiotowi niebędącemu osobą fizyczną, na przykład spółce.
Jak długo jest ważny certyfikat KSeF?
Certyfikat KSeF jest ważny maksymalnie przez 2 lata.
Okres ważności liczy się:
- od daty wydania certyfikatu albo
- od wskazanej we wniosku przyszłej daty rozpoczęcia ważności.
Po upływie tego okresu trzeba wystąpić o kolejny certyfikat i odpowiednio wcześniej skonfigurować go w używanym systemie.
W firmie warto więc wdrożyć procedurę, która obejmuje:
- rejestr wydanych certyfikatów,
- kontrolę dat ich wygaśnięcia,
- przypisanie właścicieli certyfikatów,
- bezpieczne przechowywanie kluczy prywatnych,
- wcześniejsze odnawianie poświadczeń,
- unieważnianie certyfikatów, które nie powinny być już używane.
Certyfikat KSeF typu 1 – do uwierzytelniania
Certyfikat typu 1 służy do uwierzytelnienia w KSeF.
Może być wykorzystywany przez programy komercyjne zintegrowane z API KSeF 2.0, zarówno w sesjach interaktywnych, jak i wsadowych.
Po uwierzytelnieniu certyfikatem typu 1 system sprawdza bieżące uprawnienia jego właściciela. Certyfikat nie określa samodzielnie, czy użytkownik może wystawiać albo pobierać faktury.
W praktyce certyfikat typu 1 jest docelowym odpowiednikiem funkcji, którą w 2026 roku może jeszcze pełnić token.
Certyfikat typu 1 warto zastosować do:
- stałej integracji systemu ERP z KSeF,
- automatycznego przesyłania faktur,
- pobierania dokumentów zakupowych,
- pracy biur rachunkowych w kontekstach wielu klientów,
- długoterminowego wdrożenia przygotowanego na 2027 rok.
Certyfikat KSeF typu 2 – do faktur offline
Certyfikat typu 2 ma inne przeznaczenie. Nie służy jako zamiennik certyfikatu typu 1 do zwykłego uwierzytelniania integracji.
Jest wykorzystywany przy wystawianiu faktur w trybach szczególnych:
- offline24,
- offline podczas ogłoszonej niedostępności KSeF,
- podczas awarii systemu.
Certyfikat typu 2 służy do wygenerowania kodu weryfikującego, który pozwala odbiorcy potwierdzić tożsamość wystawcy faktury przekazanej poza KSeF przed nadaniem jej numeru KSeF.
Firma, która chce zachować możliwość legalnego i bezpiecznego wystawiania faktur podczas problemów z połączeniem, powinna posiadać certyfikat typu 2 niezależnie od metody wykorzystywanej do komunikacji online.
Czy jeden certyfikat może pełnić obie funkcje?
Nie. Certyfikaty typu 1 i typu 2 są generowane osobno.
Nie można utworzyć jednego certyfikatu, który jednocześnie:
- uwierzytelnia system ERP w KSeF,
- podpisuje link weryfikacyjny faktury offline.
W praktyce firma może więc potrzebować dwóch certyfikatów:
- typu 1 – do bieżącej komunikacji programu z KSeF,
- typu 2 – do obsługi trybu offline24, niedostępności i awarii.
Oba certyfikaty powinny mieć jednoznaczne nazwy i być przechowywane zgodnie z firmową polityką bezpieczeństwa.
Najważniejsze różnice między tokenem a certyfikatem
Token i certyfikat typu 1 mogą służyć do uwierzytelniania systemu, ale różnią się konstrukcją i sposobem zarządzania.
Token KSeF:
- jest ciągiem znaków,
- zawiera uprawnienia wybrane podczas generowania,
- działa tylko w konkretnym kontekście,
- nie ma własnego terminu ważności, ale przestanie działać z końcem 2026 roku,
- nie ma systemowego limitu liczby posiadanych tokenów,
- nie może zostać później rozszerzony o kolejne uprawnienia,
- powinien być traktowany jako rozwiązanie przejściowe.
Certyfikat KSeF typu 1:
- opiera się na parze kluczy kryptograficznych,
- służy wyłącznie do potwierdzania tożsamości,
- wykorzystuje aktualne uprawnienia właściciela,
- może działać w różnych kontekstach,
- jest ważny maksymalnie przez 2 lata,
- może zostać unieważniony,
- jest rozwiązaniem docelowym od 2027 roku.
Certyfikat KSeF typu 2:
- nie zastępuje tokena ani certyfikatu typu 1,
- jest przeznaczony do faktur wystawianych offline,
- służy do potwierdzenia tożsamości wystawcy na fakturze przekazywanej poza systemem,
- jest potrzebny do wygenerowania odpowiedniego kodu weryfikującego.
Token czy certyfikat – co wybrać w 2026 roku?
W większości nowych wdrożeń właściwym wyborem jest certyfikat KSeF typu 1.
Token może być nadal praktyczny, gdy:
- istniejąca integracja jest już skonfigurowana i działa prawidłowo,
- producent oprogramowania nie udostępnił jeszcze obsługi certyfikatu,
- firma potrzebuje rozwiązania przejściowego na kilka miesięcy,
- równolegle przygotowywana jest migracja na certyfikat.
Nie warto jednak budować nowego procesu wyłącznie na tokenie, ponieważ jego obsługa zakończy się 31 grudnia 2026 roku.
Certyfikat typu 1 warto wybrać, gdy:
- wdrażana jest nowa integracja ERP z KSeF,
- rozwiązanie ma działać również od 2027 roku,
- jedna osoba lub system pracuje w kontekście wielu firm,
- przedsiębiorstwo chce oddzielić uwierzytelnienie od zarządzania uprawnieniami,
- potrzebne jest rozwiązanie długoterminowe.
Niezależnie od tego, czy firma używa tokena, czy certyfikatu typu 1, powinna dodatkowo uzyskać certyfikat typu 2, jeżeli chce korzystać z trybów offline.
Co powinien wybrać właściciel jednoosobowej działalności?
W jednoosobowej działalności token może być jeszcze używany jako rozwiązanie przejściowe, szczególnie gdy stosowany program księgowy nie obsługuje certyfikatów KSeF.
Docelowo lepszym rozwiązaniem będzie:
- certyfikat typu 1 do integracji programu z KSeF,
- certyfikat typu 2 do wystawiania faktur offline,
- Profil Zaufany, mObywatel lub podpis kwalifikowany do czynności administracyjnych wykonywanych ręcznie.
Właściciel powinien przechowywać klucze i hasła w bezpiecznym miejscu oraz nie udostępniać swoich indywidualnych poświadczeń innym osobom.
Co powinna wybrać spółka?
W spółce najważniejsze jest ustalenie, czy certyfikat ma identyfikować sam podmiot, czy konkretną osobę fizyczną.
Certyfikat wydany spółce pozwala identyfikować operacje jako działania podmiotu. Certyfikat wydany pracownikowi wskazuje konkretną osobę, która uwierzytelniła się w systemie.
Spółka powinna określić:
- kto odpowiada za zarządzanie certyfikatami,
- czy certyfikaty mają być wydawane na spółkę, czy pracowników,
- które systemy będą używały certyfikatu typu 1,
- które oddziały potrzebują certyfikatu typu 2,
- jak zostanie zapewnione zastępstwo podczas nieobecności pracownika,
- jak szybko certyfikat zostanie unieważniony po utracie kontroli nad kluczem.
Nie należy przechowywać jednego certyfikatu osobistego na współdzielonym dysku dostępnym dla wielu pracowników.
Co powinno wybrać biuro rachunkowe?
Biuro rachunkowe pracuje zwykle w kontekście wielu podatników. W takim przypadku certyfikat typu 1 jest wygodniejszy od tokenów generowanych osobno dla każdego kontekstu.
Po nadaniu odpowiednich uprawnień właściciel certyfikatu może korzystać z niego w kontekście obsługiwanych klientów. Zakres działań nadal wynika z uprawnień nadanych przez poszczególne firmy.
Biuro rachunkowe powinno rozważyć:
- indywidualne certyfikaty dla pracowników,
- osobne certyfikaty dla systemów automatycznych,
- zasadę minimalnych wymaganych uprawnień,
- regularny przegląd dostępu do klientów,
- procedurę odbierania uprawnień po zakończeniu współpracy,
- certyfikaty typu 2 dla osób lub systemów obsługujących faktury offline.
Takie podejście ułatwia kontrolę dostępu i ogranicza ryzyko wykorzystania jednego poświadczenia przez zbyt dużą liczbę użytkowników.
Jak bezpiecznie przechowywać token i certyfikat?
Token, certyfikat i klucz prywatny umożliwiają wykonywanie operacji w KSeF. Ich ujawnienie może pozwolić osobie nieuprawnionej na działanie w imieniu firmy.
Podstawowe zasady bezpieczeństwa obejmują:
- nieprzesyłanie tokenów i kluczy zwykłą pocztą elektroniczną,
- nieprzechowywanie ich w dokumentach tekstowych na współdzielonym dysku,
- używanie zaszyfrowanych magazynów sekretów,
- ograniczenie dostępu wyłącznie do administratorów i właściwych systemów,
- stosowanie oddzielnych poświadczeń dla różnych integracji,
- natychmiastowe unieważnienie poświadczenia po podejrzeniu wycieku,
- prowadzenie ewidencji właścicieli i zastosowania certyfikatów,
- monitorowanie dat ważności,
- tworzenie procedur zastępstwa i odnawiania.
Klucz prywatny certyfikatu powinien być chroniony hasłem. Utrata klucza albo hasła może wymagać wydania nowego certyfikatu.
Jak przygotować migrację z tokena na certyfikat?
Migracji nie należy odkładać na ostatnie dni 2026 roku. Proces powinien zostać wcześniej przetestowany w używanym systemie finansowo-księgowym.
Przygotowania warto podzielić na kilka etapów:
- sprawdzić, czy program obsługuje uwierzytelnianie certyfikatem KSeF typu 1,
- ustalić, na kogo lub na jaki podmiot zostanie wydany certyfikat,
- wygenerować i bezpiecznie zapisać klucz prywatny,
- pobrać certyfikat,
- skonfigurować go w systemie ERP,
- zweryfikować uprawnienia właściciela certyfikatu,
- wykonać test wysyłki i pobierania faktur,
- przygotować certyfikat typu 2,
- ustalić termin wyłączenia starego tokena,
- po zakończeniu migracji unieważnić nieużywane tokeny.
Przez część 2026 roku token i certyfikat mogą działać równolegle. Pozwala to przeprowadzić zmianę bez zatrzymywania bieżącej wymiany faktur.
Token i certyfikat w integracji z systemem ERP
W integracji automatycznej poświadczenie jest wykorzystywane przez aplikację, a nie wpisywane ręcznie przy każdej operacji.
System powinien zapewniać:
- bezpieczne przechowywanie poświadczenia,
- kontrolę jego ważności,
- obsługę wielu firm i kontekstów,
- ponawianie uwierzytelnienia,
- rejestrowanie błędów dostępu,
- możliwość szybkiej wymiany certyfikatu,
- powiadomienia o zbliżającym się terminie wygaśnięcia.
Jeżeli obecna konfiguracja KSeF Linker korzysta z tokena, firma powinna uzgodnić migrację na certyfikat przed końcem 2026 roku. Sposób konfiguracji zależy od używanej wersji integratora i systemu Comarch ERP.
KSeF Linker automatyzuje wysyłanie faktur sprzedażowych, pobieranie dokumentów zakupowych, numerów KSeF, UPO i statusów. Prawidłowo skonfigurowane uwierzytelnienie jest podstawą bezpiecznej i ciągłej komunikacji między KSeF a Comarch ERP Optima lub Comarch ERP XL.
Podsumowanie
Token i certyfikat KSeF mogą być używane do uwierzytelniania integracji w 2026 roku, ale token jest rozwiązaniem przejściowym. Możliwość jego generowania i używania zakończy się 31 grudnia 2026 roku.
Certyfikat typu 1 jest docelową metodą uwierzytelniania systemów komunikujących się z KSeF. Nie zawiera własnego zestawu uprawnień — system sprawdza aktualne uprawnienia jego właściciela. Certyfikat może działać w różnych kontekstach i jest ważny maksymalnie przez 2 lata.
Certyfikat typu 2 służy do innego celu: potwierdzania tożsamości wystawcy faktur przygotowanych w trybie offline24, podczas niedostępności albo awarii KSeF. Nie zastępuje certyfikatu typu 1, dlatego firma może potrzebować obu rodzajów.
Dla nowego wdrożenia najlepszym wyborem jest certyfikat typu 1 uzupełniony certyfikatem typu 2. Token warto traktować wyłącznie jako rozwiązanie tymczasowe i już w 2026 roku przygotować bezpieczną migrację.

KSeF nie działa - jak wystawiać faktury w trybie offline24 i podczas awarii systemu?
Czytaj więcej
Czy można anulować lub usunąć fakturę z KSeF? Jak poprawić błędny dokument?
Czytaj więcej