Po co w ogóle token lub certyfikat?

Krajowy System e-Faktur wymaga uwierzytelnienia każdego podmiotu, który chce wystawiać lub pobierać faktury. Ministerstwo Finansów udostępnia dwie metody: token autoryzacyjny oraz certyfikat KSeF. Obie służą do potwierdzenia tożsamości, ale działają w różnych scenariuszach i mają odmienne zastosowania.

Token to szybka metoda dla codziennej pracy – pozwala programom księgowym łączyć się z KSeF bez konieczności każdorazowego logowania przez Profil Zaufany. Certyfikat natomiast jest niezbędny w sytuacjach awaryjnych, gdy system KSeF jest niedostępny i faktury muszą być wystawiane offline.

Czym jest token autoryzacyjny?

Token to unikalny 40-znakowy ciąg alfanumeryczny, który generujesz po zalogowaniu się do KSeF przez Profil Zaufany lub podpis kwalifikowany. Każdy token ma przypisane konkretne uprawnienia – może służyć tylko do wystawiania faktur, tylko do ich przeglądania, lub do obu czynności jednocześnie.

Kluczowa cecha tokena: wyświetla się tylko raz podczas generowania. Jeśli go nie zapiszesz, musisz usunąć token i wygenerować nowy. Dlatego warto od razu skopiować go do bezpiecznego miejsca – menedżera haseł lub zaszyfrowanego pliku.

Tokeny wygenerowane w starym systemie KSeF 1.0 nie będą działać po 1 lutego 2026 roku. Od 8 grudnia 2025 możesz już generować nowe tokeny w Module Certyfikatów i Uprawnień (MCU), które będą kompatybilne z KSeF 2.0.

Jak wygenerować token krok po kroku

Wejdź na stronę ksef.mf.gov.pl i kliknij 'Uwierzytelnij'. Podaj NIP firmy i zaloguj się przez Profil Zaufany lub podpis kwalifikowany. Po zalogowaniu wybierz w menu 'Generuj token'.

W formularzu podaj nazwę tokena (np. 'Program księgowy 2025') i wybierz uprawnienia. Możesz utworzyć osobne tokeny dla różnych systemów – jeden do fakturowania, drugi do integracji z CRM. Po kliknięciu 'Generuj token' skopiuj wyświetlony ciąg znaków i zapisz go w bezpiecznym miejscu.

Ministerstwo Finansów zaleca traktować token jak dane do bankowości internetowej. Nie udostępniaj go nikomu, a w przypadku podejrzenia wycieku – natychmiast usuń i wygeneruj nowy.

Czym jest certyfikat KSeF?

Certyfikat KSeF to elektroniczny dokument potwierdzający tożsamość, podobny do podpisu kwalifikowanego. W przeciwieństwie do tokena, certyfikat nie zawiera uprawnień – służy wyłącznie do uwierzytelnienia, a uprawnienia są sprawdzane dynamicznie w systemie.

Istnieją dwa typy certyfikatów. Typ 1 służy do uwierzytelniania w sesjach interaktywnych i wsadowych – czyli do normalnej pracy z KSeF. Typ 2 jest wymagany do oznaczania faktur wystawianych offline, gdy system KSeF jest niedostępny lub działa w trybie awaryjnym.

Certyfikaty będą funkcjonalne od 1 lutego 2026 roku. Możesz składać wnioski o ich wydanie od 1 listopada 2025 przez Moduł Certyfikatów i Uprawnień. Certyfikat jest ważny maksymalnie 2 lata od daty utworzenia.

Token vs certyfikat – kiedy którego użyć?

Do codziennej pracy z programem księgowym wybierz token. Jest prostszy w obsłudze, szybszy do wygenerowania i wystarczający dla większości firm. Token pozwala automatyzować wysyłkę faktur bez interakcji użytkownika.

Certyfikat jest niezbędny, gdy planujesz wystawiać faktury w trybie offline – na przykład w przypadku awarii internetu lub niedostępności systemu KSeF. Certyfikat typu 2 pozwala oznaczyć fakturę kodem potwierdzającym tożsamość wystawcy, nawet bez połączenia z serwerami Ministerstwa.

Dla większości małych i średnich firm token będzie jedynym potrzebnym narzędziem. Certyfikaty są istotne głównie dla dużych przedsiębiorstw z rozbudowaną infrastrukturą, które muszą zapewnić ciągłość fakturowania nawet podczas awarii.

Jak bezpiecznie przekazać token do systemu zewnętrznego?

Problem pojawia się, gdy chcesz zintegrować KSeF z zewnętrzną aplikacją lub biurem rachunkowym. Token to wrażliwy ciąg znaków – wysłanie go mailem lub komunikatorem to ryzyko przechwycenia.

W KSeF GPT (ksefgpt.pl) rozwiązaliśmy ten problem przez szyfrowane przekazywanie certyfikatów i tokenów. Twoje dane autoryzacyjne są przesyłane przez zabezpieczone połączenie i przechowywane w zaszyfrowanej formie. Nigdy nie mamy dostępu do Twojego tokena w postaci jawnej.

Jeśli korzystasz z innego rozwiązania, upewnij się że dostawca oferuje szyfrowanie end-to-end lub przekazuj token tylko przez bezpieczne kanały – na przykład przez menedżer haseł z funkcją udostępniania lub zaszyfrowany plik.