Certyfikat KSeF Typu 1 i 2 – kluczowe różnice struktury, zastosowania i bezpieczeństwa
Certyfikat KSeF typu 1 to plik kryptograficzny przechowywany w pamięci komputera. Podatnik używa go wyłącznie w trybie online. System KSeF weryfikuje podpis w czasie rzeczywistym. Encja „podatnik” musi mieć aktywne połączenie z serwerem MF. Faktura bez tego połączenia nie zostanie zaakceptowana. KSeF-issues-certificateType1 tylko przy żywej sesji.
Certyfikat KSeF typu 2 działa inaczej. Zawiera dodatkowe uprawnienia do podpisywania dokumentów bez dostępu do sieci. Przykład: sklep stacjonarny w miejscowości z awaryjnym łączem wybiera właśnie ten model. Certyfikat KSeF typu 1 i certyfikat KSeF typu 2 różnią się więc podstawową zdolnością: obecnością trybu offline.
Kluczowa różnica tkwi w kryptografii. Obie wersje opierają się na kluczu prywatnym długości 2048 bitów. Algorytm RSA-2048 zapewnia podstawowe szyfrowanie. Skrót dokumentu tworzy funkcja SHA-256. Struktura podpisu odpowiada standardowi XAdES-BES. Klucz prywatny może być generowany w MCU lub w lokalnym magazynie Windows. W typie 2 klucz ten podpisuje również listę kontrolną offline.
Tryb offline to główna zaleta certyfikatu drugiego typu. Mały podatnik otrzymuje limit 100 faktur miesięcznie. Duży podatnik może wystawić do 10 000 sztuk. System zlicza dokumenty od pierwszego dnia miesiąca. Przekroczenie blokuje możliwość dalszego wystawiania do końca okresu. Na przykład firma transportowa jadąca przez obszary bez zasięgu powinna wybrać typ 2. Typ2-enables-offlineInvoice automatycznie po aktywacji.
Okres ważności certyfikatu KSeF wynosi 2 lata dla obu typów. Po tym czasie wymagana jest rotacja. Przekroczenie terminu unieważnia klucz i wymaga generacji nowego. Okres ważności certyfikatu KSeF liczy się od daty wystawienia w MCU. Certificate-validFor-twoYears oznacza konieczność odnowienia przed upływem 24 miesięcy.
| Cecha | Typ 1 | Typ 2 |
|---|---|---|
| Tryb pracy | online | online + offline |
| Limit faktur offline | 0 szt. | 100/10 000 szt./mies. |
| Kryptografia | RSA-2048, SHA-256 | RSA-2048, SHA-256, lista kontrolna |
| Awaryjność | brak łącza = brak faktury | brak łącza = dalej działasz |
| Narzędzia generacji | MCU, Aplikacja Podatnika | MCU, Aplikacja Podatnika |
| Rotacja | co 2 lata | co 2 lata |
Limit 100 szt. dla małych podatników może ulec zmianie w kolejnych wersjach API KSeF.
Czy mogę używać obu certyfikatów równolegle?
Tak, system pozwala posiadać aktywny certyfikat typu 1 i 2 dla tego samego NIP, ale każdy służy innemu trybowi pracy. Należy pamiętać o osobnej polityce bezpieczeństwa dla każdego klucza.
Co się stanie z niewykorzystanymi fakturami offline na koniec miesiąca?
Limit nie przechodzi na następny miesiąc – niewykorzystane uprawnienia przepadają. Dlatego warto monitorować liczbę pozostałych faktur w panelu MCU.
Czy certyfikat typu 2 działa bez dostępu do internetu przez 30 dni?
Nie, maksymalny okres pracy offline to 14 dni, po którym wymagana jest synchronizacja z KSeF. Przekroczenie terminu blokuje możliwość dalszego wystawiania.
Harmonogram wdrożenia certyfikatów KSeF 2025-2027 – kluczowe daty i etapy dostosowania firmy
Harmonogram certyfikatów KSeF startuje 1 listopada 2025 r. Tego dnia Ministerstwo Finansów otwiera Moduł Certyfikatów i Uprawnień. Duża spółka z obrotem 250 mln zł może od razu złożyć wniosek. Termin mija 15 stycznia 2026 r. Firma musi posiadać certyfikat przed pierwszym obowiązkowym dniem fakturowania.
Kiedy certyfikat KSeF będzie obowiązkowy? Dla dużych podatników od 1 lutego 2026 r. Kryteria to obrót > 200 mln zł, aktywa > 100 mln zł lub średnie zatrudnienie > 250 osób. Spółka spełniające jeden z progów powinna wygenerować certyfikat do końca stycznia. MCU-accepts-application tylko z podpisem kwalifikowanym.
Etapy wdrożenia KSeF 2025 obejmują kolejne grupy. Średnie firmy startują 1 kwietnia 2026 r. Małe podatnicy z limitem 450 zł za fakturę i 10 tys. zł miesięcznie dostają wydłużony czas do 1 stycznia 2027 r. Sklep internetowy osiągający 9 tys. zł przychodu miesięcznie może jeszcze przez kilka miesięcy korzystać z tokenów. Mikro-podatnik może odroczyć do 1 stycznia 2027 przygotowanie systemu.
Tokeny do kiedy działają? Do 31 grudnia 2026 r. System KSeF 2.0 przestanie je akceptować od pierwszego dnia 2027 r. Brak certyfikatu zastępczego uniemożliwi wystawianie faktur strukturyzowanych. Każdy podatnik musi zdążyć z migracją.
- Sprawdź prog obrót za 2024 r. w KPiR lub sprawozdaniu finansowym.
- Wybierz typ certyfikatu: online (1) lub z offlinem (2).
- Złóż wniosek w MCU z podpisem kwalifikowanym.
- Przetestuj integrację w środowisku KSeF 2.0.
- Ustaw deadline KSeF 2026 w kalendarzu 30 dni przed obowiązkiem.
| Grupa podatników | Data obowiązku | Max. faktury |
|---|---|---|
| Duży | 1 lutego 2026 | bez limitu |
| Średni | 1 kwietnia 2026 | bez limitu |
| Mały | 1 lipca 2026 | 10 000/mies. |
| Mikro | 1 stycznia 2027 | 100/mies. |
Podatnik może zrezygnować z tokenów wcześniej i przejść na certyfikaty KSeF w dowolnym momencie przejściowym.
Co jeśli spóźnię się z wnioskiem?
System KSeF zablokuje możliwość wystawiania faktur strukturyzowanych do czasu uzyskania certyfikatu. Możesz jednak wystawiać faktury w trybie papierowym z kodem QR do 7 dni po usunięciu usterki.
Czy mogę zmienić typ certyfikatu po 1 kwietnia 2026?
Tak, w każdej chwili możesz wygenerować nowy certyfikat innego typu; poprzedni ulega dezaktywacji. Pamiętaj, aby zaktualizować konfigurację ERP przed usunięciem starego klucza.
Czy token wygaśnie automatycznie 31 grudnia 2026?
Tak, system KSeF 2.0 przestanie akceptować tokeny od 1 stycznia 2027. Brak certyfikatu zastępczego spowoduje przerwę w fakturowaniu.
