System KSeF (czyli Krajowego Systemu eFaktur) dotyczy zarówno osób fizycznych prowadzących działalność gospodarczą jak też spółek prawa handlowego. Wejście w życie przepisów o KSeF oznacza, że prędzej lub później każdy przedsiębiorca bez wyjątku będzie musiał wykorzystywać ten program, a w celu zalogowania w KSeF i korzystania z niego dokonać stosownego "uwierzytelnienia". 


Ministerstwo Finansów wraz z 1 lutego 2026r. opublikowało panel logowania do Aplikacji Podatnika Krajowego Systemu eFaktur a z nim aktualny panel generowania certyfikatów, którego instrukcję obsługi odnajdą Państwo w niniejszym materiale.


SPIS TREŚCI

I. Co należy zrobić przed zalogowaniem do systemów KSeF? 

1) Logowanie do systemów KSeF

2) Sposoby uwierzytelnienia w KSeF

3) Certyfikaty i Uprawnienia

4) Do czego przydaje się certyfikat KSeF w firmie?

5) Czym różni się certyfikat KSeF od uprawnienia?

6) Kiedy będziemy korzystać z Certyfikatów?

7) W jakich trybach można wysyłać faktury?

II. Logowanie w Krajowym Systemie eFaktur - Aplikacji Podatnika KSeF

III. Generowanie Certyfikatów w Aplikacji Podatnika KSeF

1) Interfejs Aplikacji Podatnika KSeF

2) Generowanie klucza i złożenie wniosku o wydanie certyfikatów


I. Co należy zrobić przed zalogowaniem do systemów KSeF? 


Z uwagi na ograniczone lub właściwie niejasne materiały Ministerstwa zdecydowaliśmy się Państwu przybliżyć właśnie niniejszą ścieżkę logowania do KSeF krok po kroku wraz z poprzedzającą go procedurą właściwego uzupełnienia formularza ZAW-FA dla osób prawnych.


1) Logowanie do systemów KSeF

W praktyce, aby cokolwiek zrobić w KSeF, w tym wystawić swoją pierwszą fakturę w KSeF, trzeba przejść kilka kroków:
a) Założyć lub przygotować profil zaufany – bez niego nie zalogujemy się do KSeF, więc to absolutna podstawa.
b) Jeśli działamy jako spółka, musimy złożyć ZAW-FA do urzędu skarbowego. Osoby prowadzące jednoosobową działalność gospodarczą mają tu łatwiej – nie muszą składać tego zgłoszenia.
c) Po zarejestrowaniu ZAW-FA możemy się już zalogować do KSeF za pomocą swojego profilu zaufanego.
d) W KSeF po zalogowaniu nadajemy następnie odpowiednie uprawnienia, czyli dokonujemy konfiguracji KSeF – w sekcji uprawnień należy wskazać osoby, które będą miały dostęp do wystawiania lub obsługi faktur, nawet jeżeli tą osobą jesteśmy my. Od tego momentu uprawniona osoba może wystawiać faktury w KSeF i zarządzać danymi zgodnie z przyznanymi uprawnieniami. 
e)* Na końcu generujemy i pobieramy certyfikaty – tą opcją będziemy posługiwać się jeżeli będziemy korzystać z oprogramowania księgowego, z którego chcemy przekazywać dokumentację do KSeF lub pobierać ją z KSeF automatycznie. Certyfikaty to unikalne pliki czy też ciągi znaków, które wprowadzone do systemu księgowego identyfikują podatnika w KSeF i służą autoryzacji wymiany informacji przez API z systemem Ministerstwa Finansów. Takie certyfikaty generuje się z panelu Certyfikatów, a instrukcja ich generowania została opisana właśnie niniejszym materiale.


2) Sposoby uwierzytelnienia w KSeF

KSeF wyróżnia pięć metod uwierzytelnienia, 3 "Standardowe dla człowieka" do zalogowania się do panelu KSeF i 2 "Komputerowe dla integracji oprogramowań" przez moduł Certyfikatów, z którego to korzystanie opisane zostało w niniejszej instrukcji w części II materiału.


W przypadku standardowych dla człowieka do zalogowania w panelu KSeF:

a) profil zaufany - czyli bezpłatny, publiczny środek identyfikacji elektronicznej, wydawany przez państwo polskie.
Taki profil służy do potwierdzania tożsamości obywatela w usługach online administracji publicznej – w tym w serwisach Ministerstwa Finansów, takich jak KSeF, e-Urząd Skarbowy czy CEIDG lub

b) podpis kwalifikowany - czyli płatny rodzaj elektronicznego podpisu, który ma moc prawną równą podpisowi własnoręcznemu. Wydawany jest przez certyfikowane centra certyfikacji i jest zabezpieczony kartą kryptograficzną lub tokenem USB, lub

c) odcisk palca certyfikatu kwalifikowanego - czyli unikalnego, technicznego identyfikatora kwalifikowanego podpisu elektronicznego lub pieczęci elektronicznej. Taki odcisk można porównać do cyfrowego DNA certyfikatu — jest niepowtarzalny i generowany automatycznie w momencie tworzenia certyfikatu przez centrum certyfikacji. Ten odcisk to ciąg znaków (liter i cyfr), najczęściej 40-znakowy, będący skrótem kryptograficznym (tzw. SHA-1 hash) certyfikatu. System KSeF wykorzystuje odcisk palca certyfikatu, aby zidentyfikować konkretny podpis lub pieczęć kwalifikowaną, kiedy nie da się jednoznacznie przypisać ich do osoby lub podmiotu na podstawie danych osobowych (np. NIP, PESEL).


W przypadku "komputerowych integracji oprogramowań" przez moduł MCU.

d) Token KseF - który przez przypisanie do podatnika lub innego podmiotu umożliwia uwierzytelnienie w systemie KSeF i korzystanie z jego funkcji bez konieczności logowania za każdym razem przez profil zaufany lub podpis elektroniczny, niniejsza metoda jest możliwa do stosowania do 31 grudnia 2026r.

e) Certyfikat KseF - to specjalny rodzaj elektronicznego klucza dostępu wydawanego bezpośrednio w systemie KSeF. Służy do tego, aby aplikacje lub programy księgowe mogły uwierzytelniać się w KSeF i wykonywać operacje (np. wystawiać faktury, pobierać dokumenty) bez logowania się profilem zaufanym lub użyciu innych metod.


Tak też w przypadku:

a) jednoosobowych działalności gospodarczych możemy się zalogować w KSeF "od tak" po prostu, 

b) osób prawnych przed logowaniem czy to do aplikacji KSeF musimy nadać uprawnienia przez ZAW-FA dla pierwszej konkretnej logującej się osoby.


3) Certyfikaty i Uprawnienia

Uprawnienia oraz Certyfikaty KSeF, to część w której zarządza się dostępem do systemu, czyli tym, kto może wystawiać lub pobierać e-faktury przy użyciu certyfikatów oraz jak system ma rozpoznawać użytkownika lub integrację z jakimś systemem księgowym czy fakturowym. 

W panelu Uprawnień decydujemy kto w Twojej firmie ma dostęp do KSeF i co dokładnie może w nim robić (czy wystawiać faktury i pobierać dokumenty, czy przeglądać historię).

W panelu Certyfikatów taku Uprawniona osoba może wygenerować klucze autoryzujące pozwalające na integrację narzędzi fakturowych lub księgowych z KSeF.


W KSeF generujemy certyfikaty, które służą autoryzacji. Certyfikat przydaje się zatem, gdy chcemy zintegrować KSeF z zewnętrznym systemem. Z KSeF certyfikaty mogą generować wszyscy, którzy otrzymali uprawnienia od administratora konta KSeF.


4) Do czego przydaje się certyfikat KSeF w firmie?

Certyfikaty są szczególnie przydatne, gdy chcemy, żeby KSeF działał automatycznie czyli najczęściej, gdy wykorzystujemy integrację wysyłającą faktury bez ręcznego logowania człowieka do aplikacji KSeF znajdującej się na stronie Ministerstwa. W takim przypadku certyfikaty działają jak „klucze” przypisane do konkretnych procesów.


5) Czym różni się certyfikat KSeF od uprawnienia?

Certyfikat mówi “kim jesteś”, a uprawnienie mówi “co wolno Ci zrobić”. Sam certyfikat jest narzędziem uwierzytelnienia (czyli sposobem, żeby system bezpiecznie rozpoznał Użytkownika), czyli jest pochodną uprawnienia. Natomiast to, czy po zalogowaniu możemy wystawić fakturę, pobrać koszty albo zarządzać innymi użytkownikami, wynika z nadanych uprawnień. W KSeF te dwa tematy spotykają się w jednym miejscu, możesz zarówno zarządzać uprawnieniami, jak i obsłużyć certyfikaty, a certyfikaty wyróżniamy dwa:

a) do uwierzytelnienia w systemie KSeF oraz

b) do wysyłki faktur w trybie offline.


6) Kiedy będziemy korzystać z Certyfikatów?

To jedno z najważniejszych pytań praktycznych dotyczących KSeF, bo certyfikat w systemie działa jak bezpieczny klucz, który pozwala programowi księgowemu komunikować się z bazą Ministerstwa Finansów. Z certyfikatu korzystamy zawsze wtedy, gdy to osoba fizyczna za pośrednictwem systemu księgowego lub fakturowego ma wykonywać czynności w KSeF. 


Oznacza to, że certyfikaty będą potrzebne przede wszystkim wtedy, gdy chcemy:

a) Wysyłać faktury sprzedażowe do KSeF automatycznie,
b) Pobierać z KSeF faktury zakupowe wprost do systemu,
c) Weryfikować statusy dokumentów (czy faktura została przyjęta, odrzucona, czy ma nadany numer KSeF),
d) Zapewnić ciągłość działania aplikacji, nawet gdy użytkownik nie jest zalogowany „osobiście”.


Korzystać z Certyfikatów będziemy zatem wtedy, gdy będziemy chcieli zrobić coś w sposób automatyczny bez manualnego logowania się do KSeF.


7) W jakich trybach można wysyłać faktury?

Wysyłać faktury do KSeF można w dwóch trybach:

a) online (czyli w czasie rzeczywistym), gdy faktura jest wysyłana i natychmiast otrzymuje odpowiedź z KSeF o „przyjęciu”, „odrzuceniu” lub ewentualnym komunikacie błędu;

b) offline (czyli po jakimś czasie) - tryb wykorzystywany głównie w sytuacjach awaryjnych, gdy nie ma dostępu do internetu, KSeF ma problemy techniczne lub wysyłamy dokumenty (faktury) pod koniec dnia lub następnego dnia. Faktura powstaje po stronie użytkownika teraz, a wysłanie jej do KSeF następuje później.


W obu trybach certyfikat pełni kluczową rolę, ponieważ:

a) umożliwia wygenerowanie żądania do KSeF, czyli formalnej prośby o przyjęcie faktury,

b) pozwala systemowi pobrać odpowiedź, np. numer KSeF lub informację o błędzie,

c) zabezpiecza komunikację, aby tylko zautoryzowane osoby posiadającego klucze mogły przesyłać dokumenty do KSeF.


Bez certyfikatu system po prostu nie będzie uprawniony do komunikacji z KSeF, a użytkownik zostaje zmuszony do działań „ręcznych”.


II. Logowanie w Krajowym Systemie eFaktur - Aplikacji Podatnika KSeF


System Ministerstwa Finansów wyróżnia:

a) Wersja produkcyjna - czyli obowiązująca od 1 lutego 2026r. Aplikacja Podatnika KSeF, która jest właściwym narzędziem KSeF. Niniejsza wersja służy oficjalnej wymianie dokumentacji, czyli wystawianiu oraz odbieraniu faktur przez podatników. Instrukcja generowania certyfikatów do tej wersji znajduje się właśnie w niniejszym materiale.

b) Wersja przedprodukcyjna (Demo) - przeznaczona dla technicznego sprawdzenia funkcjonalności systemu KSeF przez API lub na danych prawidziwych (ale jednocześnie testowych), które nie odnoszą skutków prawnych. Środowisko przedprodukcyjne do stosowania w celu sprawdzenia funkcjonalności systemu KSeF zostało udostępnione 15 listopada 2025r.

c) Środowisko testowe - przeznaczona dla deweloperów oraz podatników aplikacji księgowych lub fakturowych, po zalogowaniu danymi technicznymi (jak same 9 czy 0).


Od 1 lutego 2026r., podatnicy korzystają z Aplikacji Podatnika KSeF, do której można zalogować się przez stronę KSeF Ministerstwa. 


Gdy jesteśmy już po etapie pierwszego zalogowaniu w standardowej aplikacji KSeF i konfiguracji KSeF czyli nadaniu odpowiednich uprawnień, możemy przejść do Certyfikatów Aplikacji Podatnika KSeF. Bez nadanych uprawnień certyfikatu nie wygenerujemy.


III. Generowanie Certyfikatów w Aplikacji Podatnika KSeF


1) Interfejs Aplikacji Podatnika KSeF

Po zalogowaniu w KSeF Interfejs Aplikacji Podatnika Krajowego Systemu eFaktur będzie posiadał zaledwie pięć zakładek, z czego w niniejszym materiale interesują nas dwie:

a) Uprawnienia - czyli miejsca, w którym możemy komuś nadać odpowiednie uprawnienia i dalej ten ktoś uprawniony, będzie mógł wygenerować swój certyfikat odpowiadający zakresowi swoich uprawnień - to już wykonaliśmy w poprzednim kroku logowania oraz konfiguracji konta KSeF.

c) Certyfikaty - czyli panelu, który będzie tutaj przedstawiony, certyfikaty służą obsłudze zarówno faktur online (czyli wysyłanym do KSeF w czasie rzeczywistym) jak i offline (czyli po jakimś czasie).


W niniejszym materiale skupiamy się na Certyfikatach ponieważ ważność tokenów jest ograniczona wyłącznie do końca roku 2026, gdy ważność Certyfikatu wynosi 2 lata.



2) Generowanie klucza i złożenie wniosku o wydanie certyfikatów

Każda wersja KSeF ma swoją wersję certyfikatów, których nie można mieszać. 

W celu zintegrowania KSeF z Fakturomanią niezbędne będą dwa certyfikaty generowane po zalogwaniu w Aplikacji Podatnika KSeF.


Generowanie certyfikatów w KSeF

Wyróżniamy dwa certyfikaty, które należy wygenerować dla wymiany informacji w danej wersji systemu KSeF.

1. Służący uwierzytelnieniu,

2. Służący podpisowi linku (czyli dla faktur w trybie offline24).


Każdy z tych certyfikatów dla przeprowadzenia integracji będzie składał się z trzech plików i konieczne będzie ich odpowiednie zapisanie z konkretnymi "Końcówkami" jak:

a) .key - generowany podczas korzystania z MCU Ministerstwa,

b) .crt - generowany podczas korzystania z MCU Ministerstwa, 

c) .txt - przygotowywany samodzielnie przykładowo w notatniku.


Łącznie zatem będziemy musli mieć 6 plików (po 3 na każdy certyfikat), które następnie zzipujemy. Dla prawidłowej konfiguracji musimy zatem posiadać program pozwalający na utworzenie ZIP jak przykładowo (7-Zip).


Przed przystąpieniem do procesu (oprócz posiadania programu tworzącego ZIP) należy utworzyć folder, przykładowo na pulpicie albo w sekcji "Dokumenty" naszego komputera. Niniejszy folder powinien nazywać się KSEF_MCU_CERTYFIKATY


Gdy już mamy taki folder oraz programik, to możemy przystąpić do procedury generowania certyfikatów, przy której niestety musimy być bardzo uważni.


UWAGA! Wszystkie nazwy plików lub folderów w niniejszym etapie wpisujemy DUŻYMI LITERAMI!


W celu wygenerowania takich kluczy, po zalogowaniu w MCU KSeF w lewym menu rozwijamy "Certyfikaty" po czym wybieramy "Wnioskuj o certyfikat".



1. Certyfikat służący uwierzytelnieniu

Podczas niniejszej procedury system Ministerstwa wygeneruje nam dwa pliki.

Pierwszy po wybraniu "Generuj" na etapie nadawania nazwy i hasła certyfikatu (wyskoczy nam okno zapisania pliku po wybraniu Generuj).

Drugi po wysłaniu wniosku o wydanie certyfikatu.


a) Pierwszy plik dla uwierzytelnienia - nazwa certyfikatu oraz hasło

W tym miejscu będziemy nadawać nazwę pierwszego certyfikatu oraz hasło.


Pierwszym z generowanych certyfikatów służy uwierzytelnieniu w KSeF, tak aby Użytkownik Fakturomanii mógł połączyć się z KSeF przez API. Nazwa certyfikatu musi zostać określona na AUTH_KSEF, nie jest dopuszczalna inna nazwa klucza. Musi ona być napisana dużymi literami.



Po wprowadzeniu danych wybieramy Generuj.


UWAGA! Niniejsza opcja spowoduje, że pokaże się okno zapisywania pliku o nazwie AUTH_KSEF dużymi literami w formacie .key

Niniejszy plik zapisujemy we wcześniej stworzonym folderze KSEF_MCU_CERTYFIKATY


Jeżeli pominiemy ten krok i nie zapiszemy pliku, procedurę będziemy musieli powtórzyć całkowicie od nowa, nie będzie można bowiem "wrócić" do tego generowanego pliku.



b) Drugi plik dla uwierzytelnienia - przeznaczenie certyfikatu oraz data

W następnym etapie określamy do czego Certyfikat służy oraz od kiedy jest ważny.

W pozycji Przeznaczenie certyfikatu wybieramy "Uwierzytelnienie w systemie KSeF", 

W pozycji "Certyfikat ważny od" wybieramy aktualną datę lub przyszłą (wcześniejszej nie można wybrać).



Wybieramy Wyślij wniosek o wydanie certyfikatu.


Po wybraniu przycisku zostaniemy przeniesieni do następnej strony, w której pojawi się informacja "W realizacji". Tutaj jeżeli nie pojawi się automatycznie status zakończenia przetwarzania wybieramy "Odśwież".



W przypadku pozytywnego przetworzenia danych zobaczymy komunikat o pomyślnym zakończeniu procesu. 


Po tych czynnościach powinniśmy mieć możliwość pobrania następnego pliku certyfikatu uwierzytelniającego w KSeF. Zapisujemy go w folderze KSEF_MCU_CERTYFIKATY.


Niniejszy plik jest w formacie .crt



Gdy zapisaliśmy plik, mamy już 2 części certyfikatu. Obecnie musimy utworzyć ostatni plik, ale już ręcznie i nadać mu końcówkę .txt chyba, że taki format jest automatyczny (przykładowo jak tworzymy dokument tekstowy).


Polega to na tym, że w przypadku korzystania z windowsa we wcześniej utworzonym folderze KSEF_MCU_CERTYFIKATY wybieramy lewy przycisk myszy > nowy > dokument tekstowy.

Niniejszemu dokumentowi nadajemy nazwę AUTH_KSEF - czyli dużymi literami.


W niniejszym pliku wprowadzamy wyłącznie hasło wprowadzone podczas generowania AUTH_KSEF i żadnego innego dodatkowego znaku.



2. Certyfikat służący wysyłce faktur w trybie offline

Podobnie jak w przypadku pierwszego z certyfikatów podczas niniejszej procedury system Ministerstwa wygeneruje nam dwa pliki.

Pierwszy po wybraniu "Generuj" na etapie nadawania nazwy i hasła certyfikatu.

Drugi po wysłaniu wniosku o wydanie certyfikatu.


Podobnie jak w pierwszym kroku, będziemy i tutaj posługiwali się utworzonym wcześniej folderem KSEF_MCU_CERTYFIKATY


a) Nazwa certyfikatu oraz hasło

W tym miejscu będziemy nadawać nazwę pierwszego certyfikatu oraz hasło.


Pierwszym z generowanych certyfikatów będzie służący uwierzytelnieniu w KSeF, tak aby Użytkownik Fakturomanii mógł połączyć się z KSeF przez API. Nazwa certyfikatu musi zostać określona na OFFLINE_KSEF, nie jest dopuszczalna inna nazwa klucza. Musi ona być napisana dużymi literami.



Po wprowadzeniu danych wybieramy Generuj.


UWAGA! Niniejsza opcja spowoduje, że pokaże się okno zapisywania pliku o nazwie OFFLINE_KSEF dużymi literami w formacie .key 

Niniejszy plik zapisujemy we wcześniej stworzonym folderze KSEF_MCU_CERTYFIKATY

W folderze będzie już istniał wcześniej pobrany z pkt. 1 plik o nazwie AUTH_KSEF.key


Jeżeli pominiemy ten krok i nie zapiszemy pliku, procedurę będziemy musieli powtórzyć całkowicie od nowa, nie będzie można bowiem "wrócić" do tego generowanego pliku.



b) Przeznaczenie certyfikatu oraz data

W następnym etapie określamy do czego Certyfikat służy oraz od kiedy jest ważny.

W pozycji Przeznaczenie certyfikatu wybieramy "Podpis linku do weryfikacji wystawcy".

W pozycji "Certyfikat ważny od" wybieramy aktualną datę lub przyszłą (wcześniejszej nie można wybrać). 



Wybieramy Wyślij wniosek o wydanie certyfikatu.


Po wybraniu przycisku zostaniemy przeniesieni do następnej strony, w której pojawi się informacja "W realizacji". Tutaj jeżeli nie pojawi się automatycznie status zakończenia przetwarzania wybieramy "Odśwież" po czym pobieramy certyfikat.



Po tych czynnościach powinniśmy mieć możliwość pobrania następnego pliku certyfikatu dla wysyłki faktur offline w KSeF. Zapisujemy go w folderze KSEF_MCU_CERTYFIKATY.


Niniejszy plik jest nazwany dużymi literami OFFLINE_KSEF w formacie .crt



Gdy zapisaliśmy plik, mamy już 2 części certyfikatu offline, natomiast łącznie w folderze będzie 5 plików. 

Musimy więc utworzyć ostatni 6 plik, ale już ręcznie i nadać mu końcówkę .txt chyba, że taki format jest automatyczny (przykładowo jak tworzymy dokument tekstowy).


Dokonujemy tego w identyczny sposób jak wcześniej, czyli w przypadku korzystania z windowsa we wcześniej utworzonym folderze KSEF_MCU_CERTYFIKATY wybieramy lewy przycisk myszy > nowy > dokument tekstowy.

Niniejszemu dokumentowi nadajemy nazwę dużymi literami OFFLINE_KSEF


W niniejszym pliku wprowadzamy wyłącznie hasło wprowadzone podczas generowania OFFLINE_KSEF i żadnego innego dodatkowego znaku.



Teraz gdy mamy komplet plików przystępujemy do zzipowania konkretnego folderu o nazwie KSEF_MCU_CERTYFIKATY 


W celu jego zzipowania musimy posiadać bezpłatny program przykładowo 7-Zip, który bardzo prosto możemy pobrać z sieci wpisując w wyszukiwarce niniejsze hasło tj. 7-Zip. Link zamieściliśmy równiez na początku pkt. III instrukcji.


Następnie wybieramy prawym przyciskiem myszy na folder KSEF_MCU_CERTYFIKATY > 7-Zip (albo inny program) > Dodaj do KSEF_MCU_CERTYFIKATY.zip.



Jeżeli nie widzimy takiej funkcji, najprawdopdobniej musimy skorzystać z Pokaż więcej opcji co spowoduje rozwinięcie się paska.


Tak zzipowany folder będziemy załączać w sekcji KSeF po zalogowaniu w Systemie, zgodnie z instrukcją omawiającą integrację Fakturomanii z KSeF.