Czym jest certyfikat KSeF?
Certyfikat KSeF to cyfrowe narzędzie kryptograficzne potwierdzające tożsamość osoby lub podmiotu. Jest wydawane przez Centrum Certyfikacji Ministerstwa Finansów i umożliwia bezpieczne korzystanie z systemu KSeF 2.0.
Najważniejsze informacje o certyfikatach:
- Certyfikaty można wygenerować w Aplikacji Podatnika 2.0
- Certyfikaty będą działały od lutego 2026
- Ważność certyfikatu: maksymalnie 2 lata
- Każdy certyfikat zawiera dane podmiotu lub dane osobowe
- Klient firmy generuje certyfikaty na NIP swojej firmy
- Biuro rachunkowe generuje certyfikat na NIP biura
Rodzaje certyfikatów KSeF
Certyfikat typu 1 (uwierzytelnienie)
Służy do uwierzytelniania się w systemie KSeF.
Certyfikat typu 2 (offline)
Wymagany do wystawiania faktur w trybach:
- offline24
- offline (niedostępność systemu)
- awaryjnym
Uwaga: Oba typy certyfikatów generowane są osobno. Nie można wygenerować jednego uniwersalnego certyfikatu.
Kto może wystąpić o certyfikat?
O certyfikat KSeF mogą wystąpić:
- Osoby fizyczne zgłoszone w zawiadomieniu ZAW-FA
- Osoby fizyczne z uprawnieniami właścicielskimi
- Podatnicy niebędący osobą fizyczną z uprawnieniami właścicielskimi (posługujący się pieczęcią elektroniczną)
- Osoby/podmioty z uprawnieniami w MCU nadanymi po 1 listopada 2025 r.
Gdzie wygenerować certyfikat?
- W Aplikacji Podatnika 2.0
⚙️Konfiguracja certyfikatów w SaldeoSMART
Wymagane elementy
Aby wgrać certyfikaty do systemu, potrzebujesz 3 elementów dla każdego certyfikatu:
- Klucz (.key)
- Certyfikat (.crt)
- Hasło do klucza (ustawione w Aplikacji Podatnika)
📋Instrukcja dla klienta biura rachunkowego
Krok 1: Przejdź do konfiguracji KSeF
Ścieżka w systemie: Konfiguracja → Konfiguracja KSeF → Certyfikaty i tokeny
Krok 2: Dodaj certyfikat
Dla każdego certyfikatu wykonaj następujące czynności:
- Wybierz typ certyfikatu (uwierzytelniający lub offline)
- Nadaj własną nazwę certyfikatowi (ułatwi to późniejszą identyfikację)
-
Wgraj oba pliki:
- Plik .crt (certyfikat)
- Plik .key (klucz)
- Wprowadź hasło ustawione podczas generowania certyfikatu w Aplikacji Podatnika
Krok 3: Sprawdź wgrane certyfikaty
Po wgraniu certyfikatów zobaczysz je w tabeli z następującymi informacjami: Numer seryjny, Nazwa własna, Typ certyfikatu, Podmiot, Status, Ważny od, Ważny do, Akcje (możliwość usunięcia).
Uwaga: Usunięcie certyfikatu w SaldeoSMART nie powoduje jego unieważnienia w Aplikacji Podatnika.
Krok 4: Nadaj uprawnienia użytkownikom
Administrator może korzystać z wysyłki i pobierania faktur z KSeF 2.0. Aby umożliwić to innym użytkownikom firmy, należy nadać im uprawnienie "Prawo do KSeF".
Ważne: Prawa do KSeF są nadrzędne nad innymi i powinny być nadane tylko tym użytkownikom, którzy mogą widzieć wszystkie faktury.
Krok 5: Certyfikaty użytkownika
Użytkownicy po stronie konta klienta biura, mogą dodać do SaldeoSMART swoje imienne certyfikaty, które umożliwią im wysyłkę faktur do KSeF
👉 Więcej informacji: Certyfikat użytkownika (na PESEL)
Współpraca z biurem rachunkowym
Jeśli biuro ma obsługiwać Twoje faktury w KSeF
Musisz wykonać następujące czynności w KSeF (Aplikacja Podatnika):
- Nadaj biuru rachunkowemu uprawnienia do:
- Wystawiania faktur
- Przeglądania faktur
- Podaj NIP biura oraz jego nazwę
Ważne: Nie udostępniaj biuru swojego certyfikatu! Biuro korzysta z własnego certyfikatu wygenerowanego na NIP biura.
Dodatkowo ważne jest nadanie uprawnień w Aplikacji Podatnika: Konfiguracja uprawnień KSeF dla Biura Rachunkowego działającego jako spółka z reprezentantem na ZAW-FA
📋Instrukcja dla biura rachunkowego
Krok 1: Przejdź do konfiguracji certyfikatów biura
Ścieżka w systemie: Konfiguracja → Konfiguracja KSeF → Certyfikaty biura
Krok 2: Wygeneruj certyfikat na NIP biura
Wygeneruj certyfikat w Aplikacji Podatnika na NIP biura rachunkowego (nie na NIP klienta).
Krok 3: Dodaj certyfikat w SaldeoSMART
Proces dodawania certyfikatu jest identyczny jak dla klienta: Wybierz typ, Nadaj mu nazwę, Wgraj pliki .crt i .key, Wprowadź hasło.
Zasada działania certyfikatu biura
- Jedno wgranie = obsługa wszystkich klientów – Biuro wgrywa jeden certyfikat na NIP biura i obsługuje nim wszystkich klientów.
- Jeden zestaw kluczy – Biuro korzysta z jednego zestawu kluczy do obsługi wszystkich firm.
- Uprawnienia od klientów – Biuro działa w oparciu o uprawnienia nadane przez poszczególnych klientów w systemie KSeF.
Monitorowanie integracji klientów z KSeF
Biuro może sprawdzić status integracji swoich klientów w: Konfiguracja KSeF → Ustawienia Firm. Dostępne informacje: czy klient dokonał integracji za pomocą tokena oraz czy dodał certyfikaty.
Na ekranie konfiguracji KSeF biuro widzi jedynie informację, czy klient dodał token i/lub certyfikat.
W SaldeoSMART nie są widoczne uprawnienia, które Klient nadał biuru bezpośrednio w KSeF. Te uprawnienia można zweryfikować bezpośrednio w Aplikacji Podatnika w sekcji Uprawnienia.
Obsługa klientów bez certyfikatu
Klient może nie wgrywać swojego certyfikatu (jeśli nie wystawia faktur przez SaldeoSMART). Biuro nadal będzie mogło pobierać jego faktury, jeśli otrzymało odpowiednie uprawnienia w KSeF.
‼️Najważniejsze zasady
Rozdzielność certyfikatów
Nie ma możliwości korzystania z certyfikatu "krzyżowo": Użytkownik firmy nie może korzystać z certyfikatu biura rachunkowego, a użytkownik biura nie może korzystać z certyfikatu klienta.
Wykonywanie operacji dla klienta przez biuro
Biuro może wykonywać operacje dla klienta (wysyłanie i pobieranie faktur), jeżeli klient nadał biuru uprawnienia w systemie KSeF, a biuro korzysta wyłącznie ze swojego własnego certyfikatu.
Dlaczego w SaldeoSMART rekomendujemy certyfikat na NIP
W artykule wyjaśniamy z czego wynika nasza rekomendacja generowania certyfikatów na NIP 👉 Dlaczego w SaldeoSMART rekomendujemy certyfikaty na NIP
❓Najczęstsze pytania
1. Jakie typy certyfikatów należy wygenerować?
Należy wygenerować co najmniej dwa typy certyfikatów (choć nie zawsze oba są wymagane):
- Certyfikat uwierzytelnienia w KSeF (pozwala wejść do KSeF)
- Certyfikat do podpisu linku (offline), który służy do wystawiania faktur w trybie niedostępności KSeF (faktura zostaje zablokowana do edycji i opatrzona kodem QR, gotowa do wysłania po wznowieniu działania KSeF)
2. Czy firma musi wgrywać certyfikat offline, jeśli nie wystawia faktur w SaldeoSMART?
Nie. Jeżeli klienci tylko i wyłącznie pobierają faktury z KSeF i nie wystawiają ich w SaldeoSMART, nie muszą wgrywać certyfikatu offline.
3. Czy można korzystać tylko z tokenów zamiast certyfikatów?
Tak, można korzystać tylko z tokenów, ale nie będzie można skorzystać z trybu awaryjnego/offline. Tryby offline uruchamiają się tylko na certyfikatach.
4. W jaki sposób wgrywa się certyfikat w SaldeoSMART?
Certyfikat w SaldeoSMART wgrywa się w komplecie, co wymaga wskazania:
- Typu certyfikatu (uwierzytelnienie w KSeF lub offline/podpis linku)
- Pliku certyfikatu (musi mieć rozszerzenie CRT)
- Pliku klucza (plik z rozszerzeniem .key, pobierany automatycznie podczas generowania wniosku o certyfikat)
- Hasła zabezpieczającego (hasło wpisywane podczas generowania certyfikatu)
5. Jaka jest weryfikacja certyfikatów po stronie SaldeoSMART?
SaldeoSMART weryfikuje, czy wgrany komplet certyfikatu i klucza jest prawidłowy, tzn. czy pliki do siebie pasują. System nie jest jednak w stanie sprawdzić na tym etapie, czy certyfikat jest ważny, ani czy jest przeznaczony do wersji demo czy produkcyjnej; taką informację uzyskuje się dopiero po próbie połączenia z KSeF.
6. Jaki certyfikat jest rekomendowany dla biura rachunkowego i dlaczego?
Dla biura rachunkowego rekomendowane jest generowanie certyfikatu na NIP. Jest to zalecane dlatego, że certyfikat generowany na NIP odnosi się do organizacji, co pozwala na nadzorowanie uprawnień na poziomie systemu, a wszyscy użytkownicy biura mogą korzystać z jednego certyfikatu. Certyfikat na PESEL powinien być certyfikatem własnym osoby i nie powinien być nikomu udostępniany, tak jak dowód osobisty.
7. Kto może wgrać certyfikat w SaldeoSMART?
Certyfikat może wgrać użytkownik z prawami administratora (Admin po stronie biura, Admin po stronie klienta) oraz Użytkownicy po stronie klienta z uprawnieniami do Faktur oraz Prawem do KSeF - do wysyłania faktur.
8. Czy można korzystać z certyfikatu krzyżowo?
Nie. Użytkownik klienta nie może skorzystać z certyfikatu biura rachunkowego i odwrotnie.
9. Czy biuro rachunkowe musi generować certyfikat dla każdej firmy z osobna?
Nie. Biuro rachunkowe dodaje certyfikat tylko raz dla całego biura. Następnie biuro korzysta ze swojego zestawu certyfikatów, a firmy korzystają ze swojego.
10. Jak biuro rachunkowe uzyskuje dostęp do faktur klienta?
Aby dostać się do faktur klienta, biuro rachunkowe musi poprosić firmę o nadanie uprawnień na NIP biura rachunkowego w aplikacji ministerialnej KSeF. Firma klienta nie przekazuje biuru żadnych plików ani haseł, jedynie nadaje uprawnienia.
11. Jak działa mechanizm dostępu biura rachunkowego do danych klienta w KSeF przez SaldeoSMART?
Biuro rachunkowe wchodzi do KSeF ze swoim certyfikatem. Następnie, w momencie pobierania/wystawiania faktur, SaldeoSMART wysyła zapytanie podając kontekst firmy (NIP), dla której faktury mają być pobrane/wystawione. KSeF sprawdza, czy firma klienta nadała biuru prawo do tej operacji.
12. Czy biuro rachunkowe będzie wiedziało, czy klient jest połączony z KSeF?
Tak, w SaldeoSMART będzie dostępny roboczy widok w zakładce ustawień firm (pod trybikami), który pokaże, czy klient ma wprowadzony token 2.0, wgrany certyfikat uwierzytelnienia i certyfikat offline. Jest to jednak informacja deklaratywna. System SaldeoSMART nie jest w stanie zweryfikować, czy uprawnienia zostały nadane w KSeF, dopóki nie spróbuje się połączyć do KSeF.
13. Jakie prawa w SaldeoSMART są konieczne do łączenia się z KSeF?
Z KSeF połączy się użytkownik, który ma prawo do danej firmy oraz prawo do pobierania/wysyłania do KSeF.
14. Czy pracownik biura wystawiający faktury musi mieć dostęp do wszystkich dokumentów firmy?
Nie, pracownik może mieć prawo do wystawiania faktur, co oznacza, że może wysyłać je do KSeF, ale nie musi mieć prawa dostępu do zakładki dokumentów ani do wszystkich typów dokumentów.
15. Jaki jest problem z pobieraniem faktur z KSeF przez użytkowników z ograniczonymi prawami?
Jeżeli użytkownik ma w SaldeoSMART dostęp tylko do jednego typu dokumentów (np. w pakiecie Ekspert), ale ma prawo do pobierania faktur z KSeF, to po wywołaniu formatki "pobierz z KSeF" zobaczy wszystko, co jest w KSeF. Dzieje się tak, ponieważ na tym etapie SaldeoSMART nie wie, jaki typ ma dany dokument w KSeF. Z tego powodu rekomenduje się, aby prawo do pobierania faktur miały osoby z szerszymi uprawnieniami, lub korzystanie z automatycznego pobierania i autotypowania, które rozsyła faktury do właściwych typów.
16. Czy w KSeF będzie informacja, który konkretnie użytkownik (księgowa) wystawił fakturę, jeśli biuro używa certyfikatu na NIP?
Nie. W KSeF tej informacji nie będzie widać. W SaldeoSMART jest logowane, kto wygenerował fakturę i kto użył przycisku "Wyślij do KSeF", a także który użytkownik łączył się z KSeF (nawet jeśli certyfikat jest na NIP). Te dane są zapisywane systemowo przez SaldeoSMART.
17. Jak system rozstrzyga, który klucz wykorzystać, jeśli wgrane są i tokeny, i certyfikaty?
W momencie łączenia się z KSeF system najpierw będzie patrzeć na certyfikaty, a dopiero w drugiej kolejności na tokeny. Certyfikat jest nadrzędny nad tokenem.
18. Wgrałem błędne certyfikaty do SaldeoSMART - co należy zrobić?
W przypadku wgrania nieprawidłowych plików należy usunąć je z SaldeoSMART, a w Aplikacji Podatnika unieważnić. Następnie należy wygenerować nowy komplet certyfikatów oraz kluczy wraz z hasłem i ponownie dodać je do SaldeoSMART. Należy pamiętać, aby w Aplikacji Podatnika zostały nadane odpowiednie uprawnienia - bez tego komunikacja z KSeF nie będzie możliwa.
19. Przez pomyłkę został dodany certyfikat offline w miejsce uwierzytelniającego (lub odwrotnie). Co teraz?
Certyfikaty te pełnią odmienne funkcje i ich prawidłowe przypisanie w polach SaldeoSMART jest kluczowe dla poprawnej komunikacji z KSeF. Taka pomyłka nie powoduje żadnych trwałych uszkodzeń konfiguracji - można ją łatwo naprawić.
Jeśli dysponują Państwo kopią plików certyfikatów i kluczy na dysku komputera, wystarczy usunąć je z SaldeoSMART i dodać ponownie, zwracając szczególną uwagę na przypisanie ich do właściwych pól. W przypadku braku zapisanych plików, należy postąpić zgodnie z instrukcją z punktu 18: unieważnić klucze w Aplikacji Podatnika, wygenerować nowe i wgrać je poprawnie do SaldeoSMART.
20. Klient zmienił certyfikaty po stronie aplikacji podatnika. Co należy zrobić w Saldeo?
Jeśli po stronie Aplikacji Podatnika nastąpiła zmiana certyfikatu, konieczna jest aktualizacja certyfikatu również w SaldeoSMART. Brak aktualizacji spowoduje błędy autoryzacji przy wysyłce lub odbiorze faktur.
⚠️ Certyfikat w SaldeoSMART musi odpowiadać certyfikatowi aktywnemu po stronie Aplikacji Podatnika. Stary plik certyfikatu po jego zmianie przestaje być ważny w KSeF i nie zadziała nawet przy poprawnej konfiguracji w Saldeo.
21. Podatnikowi nadano nowe uprawnienia w KSeF, czy to wymaga zmiany certyfikatu?
Nie, nadanie nowych uprawnień podatnikowi w KSeF nie wymaga automatycznej zmiany istniejącego certyfikatu. Uprawnienia są zarządzane oddzielnie od certyfikatów, które służą głównie do uwierzytelniania.
22. Biuro rachunkowe wgrało certyfikat klienta, zamiast właściwego dla biura. Co to oznacza i jak to naprawić?
Certyfikat klienta jest przeznaczony dla klienta, a nie dla biura rachunkowego działającego w jego imieniu. Wgranie certyfikatu klienta w miejsce certyfikatu biura będzie powodować nieprawidłowe przypisanie uprawnień i błędy w komunikacji z KSeF. Należy usunąć ten certyfikat z konta biura i wgrać certyfikat wygenerowany na NIP biura.
23. Co widać w KSeF przy certyfikacie na PESEL?
Jeśli masz w Saldeo jcertyfikat wystawiony na PESEL (czyli certyfikat osoby fizycznej), to w KSeF wszystkie faktury wysyłane przez użytkowników Saldeo z dodanym swoim certyfikatem, będą widoczne jako wysłane przez tę osobę na której PESEL wystawiono certyfikat.
24. Gdzie można sprawdzić datę ostatniego użycia tokena/certyfikatu?
Datę ostatniego użycia tokena lub certyfikatu KSeF można sprawdzić w Aplikacji Podatnika.
W sekcji „Lista certyfikatów” wyświetlana jest kolumna „Data ostatniego użycia”, która pokazuje datę ostatniego wykorzystania certyfikatu do uwierzytelnienia.
W sekcji “Lista tokenów” wyświetlana jest kolumna „Data ostatniego użycia”, która pokazuje datę ostatniego wykorzystania tokenu do uwierzytelnienia.
Komentarze
Komentarze: 0
Komentarze do artykułu są zablokowane.