Kto ma pełne i pierwotne uprawnienia w KSeF?

Z punktu widzenia systemu, pełne prawa do KSEF zawsze przysługują podatnikowi.

• Jednoosobowa działalność (JDG) – najprościej. Przedsiębiorca loguje się do KSeF sam, uwierzytelniając się np. profilem zaufanym, i od razu ma wszystkie uprawnienia: wystawianie, odbieranie, nadawanie dostępu.

Jak się uwierzytelnić w KSEF jako osoba fizyczna?  Obecnie profil zaufany, a od 1 kwietnia 2026 r. dodatkowo: aplikacja mObywatel, warstwa elektroniczna w dowodzie osobistym; także bankowość elektroniczna.

• Spółki i inne podmioty – tu sprawa jest bardziej złożona, bo spółka nie ma profilu zaufanego. Za spółkę musi także działać konkretna osoba. Spółka (jednostka) może zdobyć kwalifikowaną pieczęć elektroniczną. Najlepiej, żeby taka pieczęć była z NIP (można też zrobić bez NIP, ale wtedy sytuacja jest bardziej skomplikowana).

Jeśli spółka nie ma kwalifikowanej pieczęci elektronicznej, to musi wyznaczyć konkretną osobę, która – niejako „startowo” będzie działała w jej imieniu i jednocześnie będzie takim  super-userem. Ta osoba wskazana w ZAW-F uwierzytelnia się w systemie swoimi „narzędziami”, ale w imieniu Spółki / jednostki). I do tego wszystkiego służy formularz ZAW-FA. Formularz ZAW-FA można złożyć papierowo lub elektronicznie.

Jak nadaje się uprawnienia? 

W przypadku mniejszych podmiotów – które rozliczają się samodzielnie – pewnie wystarczy jedna osoba uprawniona w KSEF (przedsiębiorca / wyznaczony wspólnik, etc.). Ale zwykle – będzie potrzeba upoważnienia dalszych osób. Nadania im uprawnień  do działania w określonym zakresie.

Jakie są uprawnienia w KSEF? Pomijając pewne szczególne sytuacje (dot. np. JST ; Grup VAT, organów egzekucyjnych, etc.), to są one następujące:

• zarządzanie uprawnieniami (nadawanie, odbieranie i przeglądanie uprawnień innych użytkowników);   
• wystawianie faktur (możliwość wystawiania faktur w KSeF (online i offline)).
• dostęp do faktur (przeglądanie, pobieranie i odbieranie faktur wystawionych w KSeF);
• samofakturowanie (prawo wystawiania faktur w imieniu sprzedawcy).

Te uprawnienia można przy tym kumulować (np. wystawianie faktur i dostęp do faktur).

Jak nadać te uprawnienia? Może to zrobić albo master-user, albo osoba, której nadano uprawnienia do zarządzania uprawnień.

Generalnie są dwie ścieżki:

1. Elektronicznie w KSeF – loguję się np. profilem zaufanym albo podpisem i w systemie nadaję rolę innej osobie (dając jej uprawnienia). To szybkie rozwiązanie, dobre zwłaszcza dla JDG i mniejszych firm.
2. Formularz ZAW-FA.

Co to są tokeny, certyfikaty?

Czas na trochę techniki, ale w prostym wydaniu. System KseF przewiduje jeszcze dodatkowe narzędzie do logowania się do systemu w określonej roli:

• Token – wygenerowany w KSeF (po wcześniejszym uwierzytelnieniu się) ciąg znaków alfanumerycznych; token identyfikuje podatnika lub podmiot uprawniony i zakres jego uprawnień. Można powiedzieć, że token to takie hasło, czy też elektroniczny klucz do zamka. Generuję go w KSeF i wpisuję w programie księgowym. Dzięki temu jestem w danym środowisku zidentyfikowany i mogę działać np. jako osoba uprawniona do wystawiania faktur dla X. Token działa trochę jak hasło do systemu – więc jeśli ktoś go przechwyci, może działać w naszym imieniu. Dlatego trzeba go chronić tak, jak hasła do banku. Uwaga! Tokeny przestaną działać z końcem 2026 r.
• Certyfikat KSeF -tTo drugi sposób „automatycznego logowania”. Będzie dostępny od 1 listopada 2025 r. Będzie działań od 1 lutego 2026 r. To specjalny plik, który instaluje się na serwerze lub w aplikacji. Dzięki niemu program łączy się z KSeF jeszcze bezpieczniej niż przez token. Certyfikaty będzie można generować w systemie. Trzeba pamiętać, że certyfikaty mają być ważne dwa lata – z możliwością ich odnowienia. Oprócz tego, certyfikat KSEF będzie potrzebny żeby generować e-faktury w trybie offline, ale o tym innym razem.

Najczęstsze błędy i dobre praktyki 

Błędy:

• Podawanie księgowej loginu do Profilu Zaufanego → Niedopuszczalne.
• Zapominanie o odebraniu uprawnień osobom, które już nie pracują → Ryzyko nadużyć.
• Trzymanie tokenów w Excelu albo na prywatnym komputerze → Ogromne zagrożenie.
• Brak polityki dotyczącej tokenów; np. niewiedza ile tokenów zostało wystawionych i z jakim zakresem uprawnień.

Dobre praktyki:

• Regularnie przeglądaj listę osób z dostępami i uprawnieniami do KSeF.
• Stwórz prostą procedurę: kto nadaje uprawnienia, kto je cofa, ewentualnie zmienia; gdzie przechowujemy tokeny i certyfikaty; co robimy na wypadek utraty tokenu.
• W biurze rachunkowym: przygotuj gotowy wzór pełnomocnictwa i instrukcję dla klientów (ich poszczególnych rodzajów – np. z uwagi na formę prawną i zakres kompetencji cyfrowych), jak nadać dostęp.

Biura rachunkowe i pełnomocnictwa

• Biuro rachunkowe nie ma automatycznego prawa wejścia do KSeF klienta.
• Klient musi formalnie nadać uprawnienia – najlepiej przez ZAW-FA albo elektronicznie w systemie.
• W umowie z klientem trzeba jasno opisać:
  • czy biuro wystawia faktury w imieniu klienta,
  • czy tylko je księguje (ma dostęp),
  • kto odpowiada za przechowywanie tokenów i certyfikatów.
  • w jaki sposób unieważniamy dostępy, nadajemy nowe, ewentualnie zmieniamy ich zakres; ważny może być tutaj chociażby kanał komunikacji, bo może się np. okazać, że kwestia unieważnienia skompromitowanego tokena, to może być pilna sprawa.

Podsumowanie

W KSeF każdy ruch wymaga formalnych uprawnień. Trzeba się uwierzytelnić w systemie. Jednoosobowe działalności logują się samodzielnie, spółki jeśli mają kwalifikowaną pieczęć elektroniczną, to w sumie też (choć trzeba wyznaczyć „administratora”, który będzie działał „jako jednostka”); w innym przypadku  trzeba będzie zgłosić administratora przez ZAW-FA; absolutnie niedopuszczalna jest praktyka współdzielenia jednego loginu, zwłaszcza przez profil zaufany, czy też uprawnienia do bankowości elektronicznej; każdy musi mieć swój dostęp, swój zakres uprawnień (wcześniej uzgodniony) i działać jako swój użytkownik.

Tokeny i certyfikaty to elektroniczne klucze – trzeba je przechowywać bezpiecznie i wiedzieć, kto ma do nich dostęp. Najważniejsze jest, żeby w firmie i w biurze rachunkowym powstały jasne i proste procedury: kto nadaje dostęp, kto go odbiera, kto odpowiada za bezpieczeństwo, kto (i jak) działa w sytuacjach awaryjnych w kontekście dostępów.

Jeśli zajmujesz się zawodowo podatkami – w szczególności prowadzisz biuro rachunkowe, jesteś doradcą podatkowym lub radcą prawnym bądź adwokatem – dołącz do Klubu Dzień Dobry Podatki.

Klub to abonament na comiesięczne szkolenia „Dzień Dobry Podatki” oraz forum dyskusyjne, na którym codziennie wspieramy się w pracy z podatkami. 

Sprawdź więcej szczegółów TUTAJ.