Od 1 lutego 2026 r. w Krajowym Systemie e-Faktur (KSeF) zacznie obowiązywać zmodyfikowany mechanizm uwierzytelniania oparty m.in. o certyfikaty KSeF.
W związku z tym, że uwierzytelnienie certyfikatem KSeF ma docelowo zastąpić tokeny autoryzacyjne, w produktach InsERT nie będzie wspierana równoległa ścieżka uwierzytelnia tokenem i certyfikatem.
Od 1 lutego programy Insert (od wersji nexo 59.0.0, GT 1.87 i Navireo 1.70) będą komunikowały się tylko z KSeF 2.0, a uwierzytelnienie będzie odbywało się za pomocą certyfikatu. Taki sam sposób uwierzytelnienia będzie dotyczył Subiekta 123 i Portalu Dokumentów.
Czym jest certyfikat KSeF?
Certyfikat KSeF to cyfrowe poświadczenie tożsamości podmiotu wydawane przez KSeF na wniosek użytkownika. Certyfikat może być wykorzystywany do logowania automatycznego (API).
Certyfikat KSeF to cyfrowe potwierdzenie tożsamości osoby lub firmy, które umożliwia bezpieczne logowanie do KSeF oraz wystawianie faktur ustrukturyzowanych. Certyfikaty mają zapewnić ciągłość pracy z fakturami, także w sytuacjach szczególnych, np. bez dostępu online.
Wyróżnione są dwa typy certyfikatów:
– certyfikat do uwierzytelniania, służący do logowania do KSeF i pracy w systemie,
– certyfikat offline, używany do wystawiania faktur w trybach szczególnych poza trybem online.
Nie da się połączyć obu funkcji w jednym certyfikacie.
Korzystanie z certyfikatów KSeF będzie możliwe od 1 lutego 2026 r. O certyfikat będzie można występować od 1 listopada 2025 r. poprzez Moduł Certyfikatów i Uprawnień, po wcześniejszym uwierzytelnieniu się w KSeF podpisem zaufanym, kwalifikowanym lub pieczęcią kwalifikowaną. Certyfikat jest ważny maksymalnie 2 lata.
Firmy mogą posiadać wiele certyfikatów i przekazywać je pracownikom. Sposób zarządzania certyfikatami zależy od organizacji, ale pełna odpowiedzialność za ich użycie, bezpieczeństwo i ewidencję spoczywa na podmiocie.
Jak będzie działało uwierzytelnienie w produktach linii nexo, GT i w Navireo?
Certyfikat KSeF służący do uwierzytelnienia w KSeF zawsze będzie dodawany w kontekście konkretnego Konta InsERT i przechowywany w chmurze. Programy księgowe i handlowe firmy InsERT będą korzystały z certyfikatu dodanego w Koncie InsERT, które jest podłączone do programu (tzw. Konto licencyjne).
Certyfikat będzie można wgrać bezpośrednio w programie, w module Zarządzanie KSeF, w zakładce Konfiguracja lub w Koncie InsERT. Wraz z certyfikatem należy wgrać powiązany z nim klucz prywatny oraz hasło do klucza prywatnego
Jeżeli którykolwiek z pracowników nie powinien mieć możliwości wysyłania dokumentów do KSeF lub ich pobierania, można wprowadzić takie ograniczenie bezpośrednio w programie w oparciu o uprawniania lokalne. W produktach linii nexo i GT uprawnienia KSeF będą domyślnie włączone i jeżeli zajdzie tak potrzeba, należy je ograniczyć. W programie Navireo należy nadać uprawnienia pracownikom, którzy są odpowiedzialni za komunikację z KSeF (domyślnie są one wyłączone).
Jedno konto podłączone w kilku podmiotach – jeden czy kilka certyfikatów?
Jedno konto podłączone w kilku podmiotach – jeden czy kilka certyfikatów?
Zgodnie z założeniami Ministerstwa Finansów jeden certyfikat będzie można wykorzystać do pracy w różnych kontekstach (tj. w ramach różnych podmiotów). To oznacza, że jeżeli jedno Konto InsERT jest podłączone w kilku pomiotach, to wystarczające będzie wgranie jednego certyfikatu.
Każdy podmiot musi nadać odpowiednie uprawnienia właścicielowi certyfikatu, korzystając z MCU lub (po 31.01.2026 r.!) Aplikacji Podatnika KSeF 2.0 przygotowanych przez Ministerstwo Finansów. Taki scenariusz będzie miał miejsce między innymi w biurach rachunkowych.
Poniżej przedstawiamy dwa scenariusze, które wyjaśnią, jak może wyglądać współpraca biura rachunkowego pracującego w produktach InsERT z klientami
Scenariusz 1 – We wszystkich obsługiwanych podmiotach podłączone jest jedno Konto InsERT.
Działania po stronie klienta
Klient (przedsiębiorca) loguje się do MCU lub (po 31.01.2026 r.!) Aplikacji Podatnika i w Module Uprawnień nadaje uprawnienie biuru rachunkowemu, wybierając rodzaj uprawnienia: Podmiotowi do wystawiania i przeglądania faktur. Mogą to być uprawnienia do wystawiania faktur i/lub do przeglądania faktur. Jeżeli biuro jedynie odbiera i księguje dokumenty, należy wybrać opcję przeglądania faktur.
Działania po stronie biura
Właściciel biura lub (w przypadku większych biur będących spółkami) osoba uprawniona do reprezentowania spółki loguje się do MCU lub (po 31.01.2026 r.!) Aplikacji Podatnika i w module Certyfikaty wnioskuje o certyfikat. Wygenerowany certyfikat należy dodać w module Zarządzanie KSeF w jednym z podmiotów podczas bieżącej pracy w produkcie księgowym (Rachmistrz/Rewizor) lub w Koncie InsERT.
Uwaga Raz dodany certyfikat pozwoli na uwierzytelnienie w KSeF w kontekście wszystkich podmiotów, które nadały odpowiednie uprawnienia w MCU lub (po 31 stycznia 2026 r.) w Aplikacji Podatnika.
Scenariusz 2 – Pracownicy biura rachunkowego mają swoje własne Konta InsERT z rolą Administratora, którymi logują się do obsługiwanych przez siebie podmiotów klientów.
Działania po stronie klienta
Klient (przedsiębiorca) loguje się do MCU lub (po 31.01.2026 r.) do Aplikacji Podatnika i w Module Uprawnień nadaje uprawnienie biuru rachunkowemu, wybierając rodzaj uprawnienia: Podmiotowi do wystawiania i przeglądania faktur i upoważnia NIP biura rachunkowego do wystawiania faktur i/lub do przeglądania faktur z prawem do dalszego przekazywania uprawnienia.
Działania po stronie biura rachunkowego
Właściciel biura rachunkowego lub osoba uprawniona do reprezentowania spółki loguje się do MCU lub (po 31.01.2026 r.) do Aplikacji Podatnika i nadaje uprawnienia Osobie fizycznej do pracy dla klienta wybranemu pracownikowi. W tym kroku konieczne jest wpisanie Identyfikatora klienta, który nadał uprawnienia podmiotowi (czyli w uproszczeniu podanie NIP-u klienta, który upoważnił biuro).
Pracownik loguje się do MCU lub (po 31.01.2026 r.) do Aplikacji Podatnika, generuje certyfikat, a następnie dodaje go w swoim Koncie InsERT. Wgrany certyfikat pozwoli mu na uwierzytelnianie się w KSeF w kontekście wszystkich klientów, do obsługi których został upoważniony.
Uwaga Certyfikat dodany przez pracownika pozwoli na uwierzytelnienie w KSeF w kontekście wszystkich podmiotów, w ramach których biuro przekazało uprawnienia.
W scenariuszu 2 biuro rachunkowe może zamiast upoważniania pracowników wygenerować certyfikaty KSeF wytworzone po uwierzytelnieniu się za pomocą kwalifikowanej pieczęci elektronicznej (pamiętając o obowiązującym limicie 100 aktywnych certyfikatów) i przekazać je swoim pracownikom. W takiej sytuacji pracownicy będą mogli uwierzytelnić się w kontekście wszystkich klientów, którzy upoważnili biuro rachunkowe.
Jak będzie działało uwierzytelnienie w Portalu Dokumentów?
Jeśli licencja jest aktywowana przez biuro, Portal Dokumentów w celu uwierzytelnienia się w KSeF będzie korzystał z certyfikatu dodanego w biurze rachunkowym. Jeżeli w biurze rachunkowym jest kilka Kont InsERT posiadających certyfikaty, to Portal Dokumentów skorzysta z certyfikatu konta, które konfigurowało KSeF w podmiocie klienta.
Jeśli licencja jest firmowa, Portal Dokumentów w celu uwierzytelnienia się w KSeF będzie korzystał z certyfikatu dodanego przez Konto InsERT zalogowane do programu księgowego.
Uwaga Certyfikat dodany przez pracownika pozwoli na uwierzytelnienie w KSeF w kontekście wszystkich podmiotów, w ramach których biuro przekazało uprawnienia.
Jak będzie wyglądało uwierzytelnienie w Subiekcie 123?
Subiekt 123 jest aplikacją, w której każdy użytkownik działa na swoim indywidualnym Koncie InsERT. To oznacza, że każdy z użytkowników, który w firmie może wysyłać lub odbierać faktury z KSeF, będzie musiał dodać swój certyfikat KSeF. To, czy użytkownik może wysyłać lub odbierać faktury z KSeF, zależy również od roli i uprawnień jakie nadano mu w produkcie.
