Którą formę uwierzytelniania do KSeF wybrać?

Wraz z wprowadzeniem obowiązkowego Krajowego Systemu e-Faktur (KSeF), każdy przedsiębiorca – od jednoosobowej działalności gospodarczej po duże spółki – musi podjąć decyzję, w jaki sposób będzie uwierzytelniać się w systemie. Nie jest to wybór czysto techniczny, lecz przede wszystkim organizacyjny i prawny. Od właściwej decyzji zależy bowiem bezpieczeństwo danych, wygoda korzystania z KSeF, a także skuteczność wewnętrznych procesów księgowych i podatkowych.

Uwierzytelnienie w jednoosobowej działalności gospodarczej

W przypadku jednoosobowych działalności gospodarczych (JDG) ustawodawca przewidział prostą i praktyczną ścieżkę logowania. Przedsiębiorca może użyć:

• profilu zaufanego ePUAP,

• kwalifikowanego podpisu elektronicznego (z numerem PESEL lub NIP).

Dzięki tym narzędziom właściciel JDG otrzymuje pełne uprawnienia właścicielskie w KSeF. Co ważne – nie musi zgłaszać pełnomocnictwa ZAW-FA ani składać dodatkowych zawiadomień.

Na podstawie art. 106nb ust. 1 ustawy o VAT:„Dostęp do Krajowego Systemu e-Faktur odbywa się po uwierzytelnieniu podatnika lub podmiotu uprawnionego do wystawiania faktur w jego imieniu, w sposób określony przez ministra właściwego do spraw finansów publicznych”.

Oznacza to, że już samo zalogowanie się podpisem elektronicznym lub ePUAP zapewnia przedsiębiorcy pełne prawa właściciela.

Przykład praktyczny

Pan Jan prowadzi sklep internetowy jako JDG. Aby wystawiać faktury w KSeF, wystarczy że zaloguje się profilem zaufanym. Od razu może wystawiać i odbierać faktury oraz nadawać uprawnienia pracownikowi księgowości.

Spółki, JST i inne organizacje – pieczęć kwalifikowana

W spółkach kapitałowych, spółkach osobowych, jednostkach samorządu terytorialnego czy stowarzyszeniach najlepszym i najbezpieczniejszym rozwiązaniem jest kwalifikowana pieczęć elektroniczna z numerem NIP.

Dlaczego?

• pieczęć przypisywana jest do organizacji, a nie osoby,

• logowanie następuje bez konieczności składania ZAW-FA,

• pieczęcią może posługiwać się wielu pracowników, o ile mają fizyczny dostęp do karty i znają PIN,

• przy zmianach kadrowych wystarczy odebrać pracownikowi dostęp do nośnika.

Zgodnie z art. 3 pkt 13 rozporządzenia eIDAS:„Pieczęć elektroniczna oznacza dane w postaci elektronicznej, które są dodane do innych danych elektronicznych lub logicznie z nimi powiązane, w celu zapewnienia pochodzenia i integralności tych danych”.

Oznacza to, że każda operacja w KSeF potwierdzona pieczęcią nie tylko identyfikuje organizację, ale również zabezpiecza integralność dokumentu.

Przykład praktyczny

Spółka z o.o. zatrudnia kilku księgowych. Wdrożono pieczęć kwalifikowaną z numerem NIP spółki. Dzięki temu każdy upoważniony pracownik, korzystając z karty kryptograficznej i PIN-u, może zalogować się do KSeF w imieniu spółki. Po odejściu pracownika wystarczy odebrać mu kartę – nie trzeba modyfikować zgłoszeń w urzędzie.

Certyfikaty KSeF – automatyzacja procesów

Certyfikat KSeF to narzędzie szczególnie istotne przy automatyzacji księgowości.

• Pierwszy certyfikat wydaje się po zalogowaniu inną metodą (np. podpisem kwalifikowanym).

• Kolejne mogą być generowane przez API.

• Certyfikat nie służy do logowania do Aplikacji Podatnika, ale umożliwia komunikację system–system.

• Jeśli certyfikat został wygenerowany podpisem osoby fizycznej – przypisany jest do jej danych osobowych. Jeśli pieczęcią – do organizacji.

Którą formę uwierzytelniania do KSeF wybrać?- praktyczne zastosowanie certyfikatu to np. automatyczne wystawianie faktur sprzedaży bez udziału człowieka lub odbieranie faktur zakupu przez system ERP.

Ważne: certyfikat musi być przechowywany w bezpiecznym miejscu, a jego przesyłanie np. zwykłym mailem jest niedopuszczalne. Powinno się używać wyłącznie szyfrowanych kanałów komunikacji.

Koniec tokenów autoryzacyjnych

Tokeny, które dziś są jeszcze używane do autoryzacji w systemach, będą działać tylko do 31 grudnia 2026 r.. Od 1 stycznia 2027 roku jedynymi ważnymi formami uwierzytelnienia pozostaną: podpis kwalifikowany, ePUAP, pieczęć oraz certyfikaty KSeF.

Oznacza to, że już teraz przedsiębiorstwa powinny planować migrację na nowe formy autoryzacji.

Role i uprawnienia w KSeF

KSeF przewiduje cztery główne role:

• właściciel – pełen dostęp do faktur i zarządzania uprawnieniami,

• odczyt faktur – możliwość pobierania i przeglądania faktur,

• zapis faktur – możliwość wystawiania faktur,

• samofakturowanie – uprawnienie przyznane innemu podatnikowi.

Dla JDG rola właściciela nadawana jest automatycznie. W spółkach właścicielskie uprawnienia otrzymuje osoba logująca się pieczęcią kwalifikowaną z NIP spółki albo pełnomocnik zgłoszony formularzem ZAW-FA.

Samofakturowanie – szczególny przypadek

Samofakturowanie, czyli wystawianie faktury przez nabywcę w imieniu sprzedawcy, reguluje art. 106d ust. 1 ustawy o VAT:„Podmiot, który nabywa towary lub usługi od podatnika, może wystawiać w jego imieniu i na jego rzecz faktury dokumentujące dokonanie sprzedaży, jeżeli strony uprzednio zawarły umowę w tym zakresie”.

W KSeF nabywca, posiadając odpowiednie uprawnienia, wystawia fakturę w imieniu dostawcy, a ta od razu staje się dokumentem oficjalnym – bez dodatkowej akceptacji. Z jednej strony ułatwia to proces, z drugiej – zwiększa ryzyko błędów, które trzeba będzie korygować.

Zarządzanie uprawnieniami – największe wyzwanie

Najtrudniejszym elementem wdrożenia KSeF jest nie tyle technologia, co organizacja dostępu.

• Pracownik, który zmienia dział lub odchodzi z firmy, musi mieć natychmiast odebrane uprawnienia.

• Należy prowadzić regularne audyty dostępów.

• Firmy korzystające z usług biur rachunkowych powinny wymagać raportów dotyczących tego, kto ma dostęp do danych.

Zarządzanie uprawnieniami to strategiczna decyzja biznesowa – źle skonfigurowane role mogą prowadzić do naruszeń bezpieczeństwa, wycieków danych i strat finansowych.

Którą formę uwierzytelniania do KSeF wybrać? - podsumowanie

• JDG – najprościej korzystać z ePUAP lub podpisu kwalifikowanego.

• Spółki i większe organizacje – najlepsza będzie kwalifikowana pieczęć elektroniczna z numerem NIP.

• Automatyzacja – certyfikaty KSeF do procesów systemowych.

• Tokeny – działają tylko do 2026 r., trzeba się ich stopniowo pozbywać.

Każda organizacja powinna wybrać rozwiązanie dopasowane do swojej struktury. Najważniejsze jednak, by nie ograniczać się do samej techniki – równie ważne są procedury bezpieczeństwa i świadome zarządzanie uprawnieniami.