Przeczytaj najnowsze
Jeśli poszukujesz więcej informacji na temat Ogólnopolskiej Sieci Certyfikowanych Biur Rachunkowych lub chcesz nawiązać współpracę, skontaktuj się z nami:
Paulina Haczykowska - Rosłonek
Koordynator ds. Komunikacji Marketingowej
Kontakt dla Mediów
Zapraszamy do kontaktu pon-pt 8:00-16:00
numer telefonu: 533 337 816
Stworzona przez
Wszelkie prawa zastrzeżone. Wszystkie materiały wykorzystane na ww. stronie w tym: logo, tekst, zdjęcia, grafika, dźwięk oraz sposób ich prezentacji są prawnie chronione i stanowią własność intelektualną ich właścicieli. Dane te zostały podane wyłącznie w celach informacyjnych.
Rozwój sieci i technologię rozwiązań oferowanych przez OSCBR zapewnia CashDirector wraz z mBankiem.
W świecie, w którym elektroniczna wymiana dokumentów staje się standardem, biura rachunkowe stoją przed koniecznością przyswojenia nowych narzędzi i procedur związanych z Krajowym Systemem e-Faktur. Jednym z kluczowych elementów tej transformacji są Certyfikaty KSeF, które już wkrótce staną się podstawową metodą uwierzytelniania — zastępując dotychczas stosowane tokeny. Zmiana ta wpływa na sposób zarządzania uprawnieniami oraz organizację pracy biur rachunkowych działających w imieniu swoich klientów.
Dla wielu księgowych i właścicieli biur rachunkowych ta nowa rzeczywistość rodzi pytania: Jak działają certyfikaty? Czym różnią się od tokenów? Jak przygotować biuro na zmiany wynikające z rozporządzeń i nowego Modułu Certyfikatów i Uprawnień?
W tym przewodniku przedstawiamy praktyczne, oparte na faktach podejście do tematu — z przykładami, wskazówkami i wyjaśnieniami istotnych różnic technicznych. Artykuł powstał z myślą o biurach rachunkowych, które chcą nie tylko nadążyć za zmianami, ale przede wszystkim zapewnić swoim klientom bezpieczną, profesjonalną i efektywną obsługę KSeF.
Spis treści:
Moduł Certyfikatów i Uprawnień w systemie Ministerstwa Finansów
Jak mOrganizer Finansów rozwiązuje problem zarządzania certyfikatami KSeF w biurach rachunkowych
Korzyści dla biura rachunkowego pracującego na certyfikacie klienta
Wejdź w KSeF mądrzej, szybciej i bezpieczniej – zanim zrobi to konkurencja
Certyfikaty KSeF to cyfrowe narzędzia kryptograficzne umożliwiające bezpieczne uwierzytelnienie podmiotu lub osoby w Krajowym Systemie e-Faktur. Są wydawane przez Centrum Certyfikacji Ministerstwa Finansów i pełnią w systemie funkcję dowodu tożsamości — podobnie jak podpis kwalifikowany, choć przeznaczone są wyłącznie do komunikacji z KSeF.
To, co wyróżnia certyfikat na tle tokenów, jest kluczowe z perspektywy księgowego: certyfikat nie jest nośnikiem uprawnień. Oznacza to, że sam w sobie nie określa zakresu możliwych działań. Zamiast tego potwierdza wszystkie uprawnienia aktualnie przypisane do użytkownika lub podmiotu w KSeF, niezależnie od tego, kiedy zostały nadane i przez kogo — np. przez klientów biura rachunkowego.
Warto również zwrócić uwagę na kwestię ważności. Certyfikat jest ograniczony czasowo — obowiązuje 2 lata, po czym należy go odnowić. To naturalny element polityki bezpieczeństwa Ministerstwa Finansów. Token natomiast pozostaje ważny tak długo, jak użytkownik sam go nie unieważni — co w praktyce daje narzędzie trwałe, ale trudniejsze w kontrolowaniu, jeśli w biurze pracuje wielu użytkowników.
Certyfikaty mają jednak swoją „ciemną stronę”: jeden certyfikat potwierdza wszystkie uprawnienia, zarówno właścicielskie, jak i nadane przez klientów. W razie jego wycieku potencjalne skutki mogą być bardzo poważne, o czym głośno mówi wielu ekspertów z branży bezpieczeństwa IT. Choć certyfikaty były promowane jako rozwiązanie bezpieczniejsze — m.in. dlatego, że same w sobie zawierają nadane uprawnienia i nie wymagają przesyłania ich między podmiotami — nie oznacza to, że są wolne od zagrożeń. W praktyce to tokeny, mimo że często przekazywane między przedsiębiorcami czy biurami rachunkowymi, wciąż uchodzą za narzędzie o wysokim poziomie bezpieczeństwa – głównie ze względu na możliwość precyzyjnego określenia zakresu i czasu obowiązywania nadanych uprawnień.
Uwierzytelnianie w Krajowym Systemie e-Faktur to fundament bezpieczeństwa całego ekosystemu. Dla biur rachunkowych istotne jest, aby rozumieć nie tylko „jak”, ale przede wszystkim „dlaczego” KSeF funkcjonuje w określony sposób. Certyfikat KSeF pełni rolę cyfrowej „legitymacji” — narzędzia kryptograficznego, które jednoznacznie identyfikuje użytkownika i pozwala mu komunikować się z systemem. Nie nadaje żadnych praw ani nie przechowuje informacji o konkretnym zakresie uprawnień. Zamiast tego tylko potwierdza, co jest już zapisane w KSeF.
To rozróżnienie ma ogromne znaczenie operacyjne i bezpieczeństwa pracy biur rachunkowych. Gdy użytkownik loguje się do systemu przy użyciu certyfikatu, KSeF natychmiast weryfikuje jego tożsamość, a następnie „odczytuje” przypisane do niego uprawnienia — zarówno właścicielskie, jak i wtórnie nadane przez inne podmioty. System działa więc dynamicznie: jeżeli zakres dostępów ulegnie zmianie, zaczyna ona obowiązywać od razu, bez konieczności wymiany certyfikatu.
Z perspektywy biur rachunkowych kluczowe jest jednak to, czyim certyfikatem uwierzytelniane są operacje w KSeF. W modelu mOrganizera Finansów komunikacja z KSeF odbywa się z wykorzystaniem certyfikatu klienta, a nie certyfikatu biura. Dzięki temu biuro nie musi wykorzystywać własnych certyfikatów do pracy na dokumentach klientów, co znacząco ogranicza ryzyko operacyjne i upraszcza zarządzanie bezpieczeństwem.
W kontekście rosnącej roli KSeF w codziennym funkcjonowaniu biur rachunkowych, zrozumienie mechanizmu uwierzytelniania staje się kluczowe dla zapewnienia zgodności z regulacjami oraz zachowania bezpieczeństwa danych księgowych i klientów. Certyfikaty KSeF — choć wygodne — wymagają odpowiedniego zarządzania i świadomego podejścia do ich przechowywania.
Od momentu, gdy Ministerstwo Finansów zapowiedziało wycofanie tokenów z KSeF w 2027 roku na rzecz certyfikatów, w środowisku biur rachunkowych pojawiło się wiele pytań i wątpliwości. Nic dziwnego — tokeny i certyfikaty działają zupełnie inaczej, a ich zamienne traktowanie może prowadzić do błędów w zarządzaniu uprawnieniami i bezpieczeństwem.
Token to „klucz” – unikalny ciąg znaków generowany przez KSeF, który zawiera w sobie określone uprawnienia przypisane w momencie jego tworzenia. Kiedy użytkownik lub biuro rachunkowe generuje token, decyduje o zakresie uprawnień: może to być dostęp do faktur, wystawianie, pobieranie czy inne funkcje systemu. Ten zakres zostaje „wpisany” w token i nie ulega zmianie — co oznacza, że jeśli pojawia się potrzeba rozszerzenia uprawnień, konieczne jest wygenerowanie nowego tokenu lub unieważnienie istniejącego i utworzenie nowego, obejmującego pełen zakres działań.
Co ważne: token jest ważny bezterminowo, dopóki użytkownik sam go nie unieważni. Dzięki temu idealnie sprawdza się w automatyzacjach czy integracjach, w których stabilność i ciągłość uprawnień są kluczowe. Tokeny to także mechanizm szeroko rozpowszechniony w branży IT i powszechnie uznawany za bezpieczny, o ile nadawany jest świadomie, w odpowiednim zakresie i właściwie przechowywany.
W przeciwieństwie do tokenu, certyfikat nie zawiera żadnych uprawnień. Jest jedynie środkiem uwierzytelniającym — narzędziem kryptograficznym, które potwierdza tożsamość użytkownika. Dopiero po zalogowaniu system odczytuje wszystkie aktualne uprawnienia przypisane danemu podmiotowi lub osobie fizycznej (księgowemu czy pracownikowi danej organizacji).
Certyfikat ma ograniczony czas ważności — maksymalnie 2 lata. Po tym czasie musi zostać odnowiony. Jednocześnie — ponieważ nie przechowuje uprawnień — nie wymaga żadnych aktualizacji, gdy zmienia się zakres dostępów, co jest dużym uproszczeniem w porównaniu do tokenów.
Choć komunikaty rządowe wskazują na wysoki poziom bezpieczeństwa certyfikatów, część specjalistów zwraca uwagę, że samo narzędzie – czy to certyfikat, czy token – nie przesądza jeszcze o poziomie ochrony danych. Certyfikat potwierdza wszystkie uprawnienia użytkownika, również te nadane przez klientów biura, co oznacza, że jego przechwycenie może skutkować szerszym dostępem niż w przypadku tokenu. Z drugiej strony, tokeny – mimo że zazwyczaj zawierają uprawnienia o węższym zakresie – są często przekazywane między podmiotami, co również niesie istotne ryzyka.
W praktyce to nie sam wybór rozwiązania, ale sposób jego zabezpieczenia i stosowania decyduje o realnym poziomie bezpieczeństwa. Certyfikaty mogą być w pełni bezpieczne — o ile są właściwie przechowywane i używane zgodnie z dobrymi praktykami. Tokeny również wymagają świadomego zarządzania i kontroli dostępu. Dlatego kluczowe jest wdrożenie odpowiednich procedur oraz świadome podejście do zarządzania zarówno certyfikatami, jak i tokenami.
Moduł Certyfikatów i Uprawnień, udostępniony przez Ministerstwo Finansów, to centralny element infrastruktury KSeF odpowiedzialny za zarządzanie:
certyfikatami uwierzytelniającymi,
tokenami,
nadawaniem i odbieraniem uprawnień,
delegowaniem uprawnień pomiędzy podmiotami (np. klient → biuro rachunkowe).
Moduł ten jest częścią ekosystemu rządowego, a jego zadaniem jest zapewnienie bezpiecznego i jednolitego sposobu zarządzania dostępami do KSeF dla wszystkich typów użytkowników: przedsiębiorców, biur rachunkowych, pracowników księgowych oraz systemów informatycznych.
Przedsiębiorcy mogą w tym module:
rejestrować certyfikaty uwierzytelniające,
sprawdzać ważność swojego certyfikatu,
unieważniać certyfikaty w przypadku incydentu bezpieczeństwa.
Certyfikat zawsze potwierdza tylko to, co jest w danym momencie nadane użytkownikowi w KSeF, o czym mówi źródło .
Podatnicy i biuro rachunkowe mogą:
sprawdzić nadane mu uprawnienia,
nadać dostęp pracownikowi,
odebrać dostęp w razie potrzeby.
W module MF odnotowywane są wszystkie operacje związane z:
nadaniem uprawnień,
odebraniem uprawnień,
wykorzystaniem certyfikatu lub tokenu.
Praca z certyfikatami KSeF wymaga odpowiedniego podejścia operacyjnego i wysokich standardów bezpieczeństwa. Każdy użytkownik systemu — klient, biuro rachunkowe czy pracownik — odpowiada za wygenerowanie i zabezpieczenie własnego certyfikatu. Biuro rachunkowe nie pozyskuje, nie przechowuje i nie zarządza certyfikatami klientów — każdy podatnik generuje swój certyfikat indywidualnie i samodzielnie wgrywa go do wybranego systemu fakturowego (np. mO).
W przypadku współpracy z biurem rachunkowym klient może opcjonalnie nadać biuru uprawnienia do działania w jego imieniu w KSeF. W takiej sytuacji biuro korzysta wyłącznie z własnego certyfikatu, który powinno odpowiednio chronić zgodnie z wewnętrznymi procedurami bezpieczeństwa. Zachowanie przejrzystego podziału odpowiedzialności za certyfikaty jest kluczowe dla ochrony danych i zgodności z przepisami.
Certyfikat KSeF generuje właściciel podmiotu lub osoba mająca odpowiednie uprawnienia w KSeF. Proces odbywa się w systemie dostarczanym przez Ministerstwo Finansów i polega na:
Zalogowaniu się do modułu MCU,
Złożeniu wniosku o certyfikat,
Wygenerowaniu certyfikatu, pobraniu klucza i ustawieniu hasła
Ponieważ certyfikat jest narzędziem, które potwierdza wszystkie aktualnie nadane uprawnienia, w tym również uprawnienia wtórne nadane przez przedsiębiorców, jego ochrona jest absolutnie kluczowa — co podkreśla także plik źródłowy, który wskazuje, że wyciek certyfikatu może mieć bardzo poważne konsekwencje.
Zaleca się, aby każdy przedsiębiorca wdrożyły formalną politykę przechowywania certyfikatów. Obejmuje ona:
przechowywanie certyfikatów w zaszyfrowanych magazynach,
brak możliwości pobierania certyfikatu na urządzenia prywatne pracowników,
stosowanie wielopoziomowego uwierzytelniania przy dostępie do certyfikatu,
ograniczenie liczby osób, które mogą korzystać z certyfikatu.
Wszystko to wynika z ryzyka, jakie niesie ze sobą certyfikat — ponieważ uwierzytelnia on wszystkie uprawnienia użytkownika.
Certyfikaty należy monitorować pod kątem ich terminu ważności. Ponieważ nie ma możliwości ich odnowienia „automatycznie”, biuro powinno prowadzić:
przypomnienia o datach wygasania,
procedurę wymiany certyfikatów.
W odróżnieniu od tokenów — które są ważne do momentu unieważnienia przez użytkownika — certyfikat wygasa z góry określonego dnia i wymaga odnowienia, co jest naturalnym elementem systemów kryptograficznych.
O nowy certyfikat można wnioskować na 30 dni przed upływem terminu ważności obecnego.
W przypadku incydentu bezpieczeństwa, np. podejrzenia wycieku lub kradzieży, certyfikat musi zostać natychmiast unieważniony — ponieważ jego dalsze funkcjonowanie mogłoby narazić biuro na poważne ryzyka operacyjne.
Jednym z istotnych wyzwań biur rachunkowych w pracy z KSeF jest właściwy model uwierzytelniania operacji wykonywanych w imieniu klientów. W wielu dostępnych na rynku systemach księgowych biuro rachunkowe realizuje komunikację z KSeF przy użyciu własnego certyfikatu, który służy do obsługi wielu klientów jednocześnie.
W takim modelu wszystkie operacje związane z odbiorem i wysyłką faktur są uwierzytelniane danymi biura rachunkowego, mimo że dotyczą dokumentów należących do klientów. Oznacza to, że KSeF „widzi” biuro jako podmiot wykonujący te czynności, a certyfikat biura potwierdza wszystkie przypisane mu uprawnienia.
W mOrganizerze Finansów zastosowano inny model. System działa w oparciu o certyfikat klienta, który służy wyłącznie do uwierzytelnienia operacji w KSeF. Biuro rachunkowe uzyskuje dostęp do dokumentów na poziomie systemu mOrganizer finansów, natomiast wszystkie czynności wykonywane w KSeF są uwierzytelniane certyfikatem klienta.
Dzięki temu KSeF nie przetwarza danych biura rachunkowego jako strony wykonującej operacje na fakturach, a biuro nie musi wykorzystywać własnego certyfikatu do pracy na dokumentach klientów.
W mOrganizerze finansów to klient wgrywa swój własny certyfikat KSeF do systemu. Klient nie musi nadawać uprawnień dla biura rachunkowego, a biuro ma dostęp do dokumentów z poziomu roli biura rachunkowego w systemie mOrganizer finansów.
To fundamentalna różnica w stosunku do innych systemów księgowych.
1. Certyfikat klienta, a nie biura
W mOrganizer finansów:
wykorzystywany jest certyfikat przedsiębiorcy, a nie certyfikat biura rachunkowego,
biuro rachunkowe działa w imieniu klienta na poziomie systemu, w ramach nadanych uprawnień,
biuro nie uwierzytelnia się własnym certyfikatem przy wystawianiu i przesyłaniu dokumentów do KSeF.
Dzięki temu odpowiedzialność techniczna w KSeF jest spójna z modelem prawnym – system jednoznacznie identyfikuje działania jako realizowane w imieniu przedsiębiorcy, bez „przenoszenia” certyfikatów między podmiotami.
2. Wysoki poziom bezpieczeństwa architektonicznego
mOrganizer finansów został zaprojektowany w taki sposób, aby:
certyfikat przedsiębiorcy nie był przechowywany ani przetwarzany w lokalnym środowisku biura,
eliminować ryzyko jego kopiowania, eksportu lub niekontrolowanego użycia,
ograniczyć liczbę punktów dostępu do certyfikatu do absolutnego minimum,
zapewnić spójność pomiędzy dostępami systemowymi a faktycznym zakresem uprawnień użytkowników.
Bezpieczeństwo wynika tu z architektury rozwiązania, a nie z dodatkowych, ręcznie tworzonych zabezpieczeń po stronie biura.
3. Brak konieczności zarządzania certyfikatami po stronie biura rachunkowego
W praktyce oznacza to, że biura rachunkowe nie muszą:
przechowywać certyfikatów klientów,
zabezpieczać ich na stacjach roboczych,
monitorować terminów ważności certyfikatów,
tworzyć własnych procedur dotyczących kluczy kryptograficznych,
projektować dodatkowych mechanizmów ochrony dostępu.
Całość procesu została zaprojektowana tak, aby biuro mogło skupić się na obsłudze klienta i pracy operacyjnej, bez konieczności przejmowania odpowiedzialności za techniczne aspekty zarządzania certyfikatami.
Dlaczego?
W standardowym modelu działania w KSeF biura rachunkowe nie uzyskują dostępu do certyfikatów klientów — każdy podatnik generuje i zarządza swoim certyfikatem we własnym zakresie. W przypadku modelu z nadanymi uprawnieniami (poza środowiskiem mOrganizera finansów), biuro korzysta wyłącznie ze swojego certyfikatu, a KSeF widzi działania biura jako reprezentanta klienta na podstawie udzielonych uprawnień.
W środowisku mOrganizera finansów natomiast nie są wymagane ani nadania uprawnień, ani działania na certyfikacie biura — system korzysta z certyfikatu klienta, który użytkownik samodzielnie generuje i obsługuje. Biuro wykonuje czynności na koncie klienta, ale nie uzyskuje dostępu do jego danych uwierzytelniających.
4. Dlaczego to rozwiązanie upraszcza i porządkuje pracę niż inne programy księgowe?
| Funkcja |
Standardowe systemy księgowe |
mOrganizer Finansów |
|---|---|---|
| Wgrywanie certyfikatu |
Biuro wgrywa swój certyfikat |
Klient wgrywa własny certyfikat |
| Ryzyko wycieku |
Bardzo wysokie — certyfikat biura = dostęp do wielu klientów |
Minimalne — certyfikat w banku, dostęp z delegacji |
| Odpowiedzialność za certyfikat |
Po stronie biura |
Po stronie klienta + system bankowy |
| Bezpieczeństwo |
Zależne od jakości programu |
Poziom bezpieczeństwa bankowego |
| Przechowywanie certyfikatu |
Na serwerach biura/systemu |
Brak przetwarzania w lokalnym środowisku |
W praktyce oznacza to, że mOrganizer jest optymalnym sposobem pracy biura rachunkowego z KSeF.
Biuro zyskuje:
zgodność z przyszłym modelem KSeF,
automatyczne potwierdzanie uprawnień,
brak kosztów wdrożenia własnych sejfów kryptograficznych,
simplifikację pracy — jeden proces, jeden interfejs, brak zarządzania plikami .pem, .p12 itp.,
automatyczne pobieranie faktur klientów,
brak konieczności rotacji certyfikatu po stronie biura.
To rozwiązanie oszczędza czas, minimalizuje koszty wdrożeń i przenosi odpowiedzialność na stronę, która powinna ją ponosić — czyli klienta.
Cyfryzacja fakturowania nie zatrzyma się nawet na moment — a 2026 rok będzie jednym z największych punktów zwrotnych w historii pracy biur rachunkowych. Certyfikaty KSeF staną się obowiązkowe, moduły uprawnień MF zyskają centralne znaczenie, a klienci będą oczekiwać od biur stabilności, automatyzacji i pełnej zgodności z przepisami.
Biura, które przygotują się wcześniej, wygrają. Te, które będą czekać „do ostatniej chwili”, zmierzą się z chaosem, presją czasu i rosnącymi oczekiwaniami klientów.
Dlatego właśnie teraz jest najlepszy moment, aby:
poznać certyfikaty KSeF i zacząć z nimi pracować,
przenieść odpowiedzialność za działania w KSeF na klienta,
zacząć pracować w systemie, który gwarantuje bezpieczeństwo bankowe,
przygotować swoje biuro na przyszłe standardy uwierzytelniania.
mOrganizer Finansów już dzisiaj oferuje to, co inne systemy dopiero będą musiały dostosować do nowych realiów. Dzięki pracy na certyfikatach klientów:
maksymalne bezpieczeństwo,
pełną integrację z KSeF,
przewagę konkurencyjną na rynku usług księgowych.
Twoje biuro może pracować „na przyszłych zasadach” już teraz — łatwiej, szybciej i bezpieczniej niż kiedykolwiek.
Zrób pierwszy krok: zaproś klientów do korzystania z mOrganizera Finansów i do samodzielnego wgrania swojego certyfikatu. Zobacz, jak nowoczesne biuro rachunkowe pracuje z KSeF efektywnie, bez przejmowania odpowiedzialności za dane uwierzytelniające klientów.
Bo przyszłość księgowości zaczyna się dziś — i możesz być jej liderem.
W przypadku pytań dotyczących działania KSeF, certyfikatów lub uprawnień zachęcamy do korzystania z naszej infolinii OSCBR KSeF dla Biur Rachunkowych: 660 350 109