Pierwsze wejście do KSeF dla przedsiębiorców: uwierzytelnianie, certyfikaty i nadawanie uprawnień krok po kroku

Napisane przez biuro, .

Wielu przedsiębiorców zakłada, że skoro złożyli ZAW‑FA albo mają profil zaufany, to „KSeF już działa”. Niestety — to dopiero początek. Aby faktycznie wystawiać i odbierać faktury w KSeF, trzeba przejść przez pierwsze logowanie, wybrać właściwą metodę uwierzytelnienia, wygenerować certyfikat i poprawnie nadać uprawnienia. To właśnie na tym etapie pojawia się najwięcej problemów, które później blokują pracę firmy.

Poniższy artykuł prowadzi przedsiębiorcę przez cały proces — praktycznie, jasno i bez zbędnego żargonu.

Dlaczego samo zgłoszenie do KSeF nie wystarczy

Złożenie ZAW‑FA lub posiadanie profilu zaufanego daje możliwość wejścia do systemu, ale nie oznacza jeszcze, że przedsiębiorca lub jego pracownicy mogą wystawiać czy pobierać faktury. KSeF wymaga dodatkowej konfiguracji — przede wszystkim nadania uprawnień i wygenerowania certyfikatu, który pozwala na pracę w programach księgowych.

Warto też wiedzieć, że dotychczasowe tokeny nadal działają i będą działać do 31 grudnia 2026 r.. Od 1 stycznia 2027 r. zostaną wycofane.
Wiele firm decyduje się przejść na certyfikaty już teraz — np. ze względu na wygodę, stabilność lub chęć uniknięcia zmiany sposobu uwierzytelniania za kilka miesięcy — ale nie jest to obowiązkowe na tym etapie.

Metody logowania do KSeF — co wybrać jako przedsiębiorca

Wybór metody logowania zależy od tego, kto jest podatnikiem: osoba fizyczna czy organizacja (np. spółka, fundcja, stowarzyszenie).

1. Osoba fizyczna prowadząca działalność gospodarczą

Osoba fizyczna loguje się wyłącznie jako ona sama, czyli:

  • Profilem Zaufanym,
  • e‑dowodem.

To najprostszy model — nie ma tu pieczęci ani administratorów.
Po zalogowaniu przedsiębiorca nadaje uprawnienia sobie i innym osobom (np. pracownikom, biuru rachunkowemu).

2. Organizacje (spółki, fundacje, stowarzyszenia, jednostki)

Organizacja nie może zalogować się Profilem Zaufanym, bo PZ jest przypisany do osoby fizycznej.
Ma natomiast dwa możliwe sposoby wejścia do KSeF:

A. Pieczęć elektroniczna organizacji

To metoda, w której loguje się sama organizacja, a nie konkretna osoba.

Plusy:

  • uprawnienia nadane przez organizację są ważne tak długo, aż zostaną odwołane,
  • odejście pracownika nie wpływa na działanie KSeF,
  • stabilny model dla firm z rotacją kadrową.

Minusy:

  • pieczęć jest płatna,
  • wymaga wdrożenia i bezpiecznego przechowywania.

B. ZAW‑FA i wskazanie administratora

Organizacja może wyznaczyć administratora, składając formularz ZAW‑FA.

Plusy:

  • rozwiązanie bezpłatne,
  • szybkie do wdrożenia.

Minusy:

  • jeśli administrator zostanie odwołany, wszystkie uprawnienia, które nadał, również tracą ważność,
  • organizacja jest zależna od jednej osoby,
  • administrator musi nadać uprawnienia także sam sobie.

Pierwsze logowanie przedsiębiorcy do KSeF

Po wejściu do aplikacji webowej KSeF i wybraniu metody logowania system wyświetli panel podmiotu. Jeśli przedsiębiorca nie widzi swojej firmy lub nie ma dostępu do funkcji, oznacza to, że uprawnienia nie zostały jeszcze nadane — nawet jeśli jest administratorem z ZAW‑FA.

Generowanie certyfikatu — dwa rodzaje i dwa różne zastosowania

Certyfikat w KSeF nie ma „zakresu uprawnień”.
Uprawnienia nadaje się użytkownikowi, a certyfikat służy wyłącznie do uwierzytelnienia.

W KSeF dostępne są dwa typy certyfikatów, a przedsiębiorca wybiera, który chce wygenerować:

1. Certyfikat do uwierzytelniania w systemie KSeF

To certyfikat używany przez programy księgowe i systemy fakturowe.
Działa jak klucz techniczny, który pozwala aplikacji połączyć się z KSeF w imieniu przedsiębiorcy lub organizacji.

Stosuje się go m.in. do:

  • wysyłania faktur z programu,
  • pobierania faktur zakupowych,
  • automatyzacji obiegu dokumentów.

To certyfikat, który będzie wykorzystywany w codziennej pracy firmy.

2. Certyfikat do podpisywania linku do weryfikacji wystawcy (faktury offline)

Ten certyfikat służy do podpisywania linku, który odbiorca faktury może wykorzystać do potwierdzenia, że faktura została wystawiona przez właściwy podmiot.

To rozwiązanie stosowane przy wystawianiu faktur offline, czyli w sytuacji, gdy:

  • nie ma połączenia z internetem,
  • system KSeF jest niedostępny,
  • przedsiębiorca musi wystawić fakturę „awaryjnie”, a odbiorca powinien mieć możliwość jej zweryfikowania.

Certyfikat ten nie służy do logowania ani komunikacji z KSeF.
Nie umożliwia wysyłania faktur ani pobierania dokumentów — jego jedyną funkcją jest podpisanie linku weryfikacyjnego.

Certyfikaty należy przechowywać bezpiecznie — ich utrata oznacza konieczność wygenerowania nowych.
Tokeny nadal funkcjonują, ale będą dostępne tylko do końca 2026 r.

Struktura uprawnień w KSeF — co musi wiedzieć przedsiębiorca

KSeF rozróżnia trzy typy użytkowników:

Administrator

Może nadawać i odbierać uprawnienia innym osobom.
Ale uwaga: administrator zgłoszony na ZAW‑FA nie ma automatycznie prawa do wystawiania ani odbierania faktur.
Musi nadać te uprawnienia… sam sobie.

Użytkownik (np. pracownik)

Może mieć dostęp tylko do wybranych funkcji — np. wystawiania faktur sprzedaży.

Podmiot zewnętrzny (np. biuro rachunkowe)

Może otrzymać dostęp do faktur lub pełne uprawnienia, zależnie od decyzji przedsiębiorcy.

Najważniejsza pułapka: administrator musi nadać uprawnienia sam sobie

To najczęstszy problem zgłaszany przez przedsiębiorców.

Zgłoszenie administratora na ZAW‑FA oznacza jedynie, że dana osoba może zarządzać uprawnieniami.
Nie oznacza, że może wystawiać faktury, pobierać je ani generować certyfikatów.

Dlatego po pierwszym wejściu do KSeF administrator musi:

  1. wejść w panel uprawnień,
  2. wybrać siebie z listy,
  3. nadać sobie pełne uprawnienia operacyjne.

Bez tego nie zrobi w KSeF absolutnie nic.

Nadawanie uprawnień pracownikowi

Przedsiębiorca może nadać pracownikowi dostęp do:

  • wystawiania faktur sprzedaży,
  • odbierania faktur zakupowych,
  • zarządzania uprawnieniami (opcjonalnie),
  • generowania certyfikatów (opcjonalnie).

W praktyce najczęściej pracownik otrzymuje dostęp tylko do wystawiania faktur lub do odczytu faktur zakupowych.

Nadawanie uprawnień biuru rachunkowemu

Przedsiębiorca ma dwie możliwości:

1. Nadać uprawnienia konkretnym osobom z biura

Bezpieczniejsze, bo dostęp jest przypisany do ludzi, nie do firmy.

2. Nadać uprawnienia biuru jako podmiotowi (NIP)

Wygodne, ale mniej precyzyjne — biuro samo decyduje, kto ma dostęp.

W obu przypadkach przedsiębiorca może ograniczyć zakres uprawnień, np. tylko do pobierania faktur.

Zmiana lub cofnięcie uprawnień

W każdej chwili można:

  • zmienić zakres uprawnień,
  • cofnąć dostęp pracownikowi lub biuru,
  • unieważnić certyfikat,
  • wygenerować nowy.

To szczególnie ważne przy zmianach kadrowych lub zmianie biura rachunkowego.

Najczęstsze błędy przedsiębiorców przy pierwszym wejściu do KSeF

  • administrator nie nadał uprawnień sam sobie,
  • pracownik ma certyfikat, ale nie ma uprawnień,
  • biuro rachunkowe ma dostęp tylko do części funkcji,
  • certyfikat został wygenerowany w niewłaściwym przeznaczeniu,
  • przedsiębiorca nie wie, że certyfikat trzeba przekazać do programu księgowego,
  • firma nadal korzysta z tokenów, nie wiedząc, że znikną z końcem 2026 r.

Podsumowanie: co musi zrobić przedsiębiorca, aby KSeF działał

  1. Zalogować się do KSeF odpowiednią metodą (PZ/e‑dowód, pieczęć lub ZAW‑FA).
  2. Nadać uprawnienia — również sobie, jeśli jest administratorem z ZAW‑FA.
  3. Wygenerować właściwy certyfikat (uwierzytelnianie lub podpis linku).
  4. Nadać uprawnienia pracownikom i biuru rachunkowemu.
  5. Sprawdzić, czy program księgowy poprawnie łączy się z KSeF.
  6. Zaplanować przejście z tokenów na certyfikaty przed 2027 r.

Opublikowano w Blog

Biuro podatkowe, usługi rachunkowe, rachunkowość - Bielsko-Biała - Aleksandra Stolorz

Biuro Rachunkowe Aleksandra Stolorz-Kowalska
ul. Legionów 57, 43-300 Bielsko-Biała

tel. +48 733 433 921 e-mail: kontakt@biuro-aleksandrastolorz.pl