MCU w KSeF 2.0: definicja, cele i harmonogram obowiązków
Moduł Certyfikatów i Uprawnień centralizuje dane uwierzytelniające w KSeF 2.0. System przechowuje certyfikaty KSeF, tokeny i listy uprawnionych osób. Każdy podatnik musi założyć konto MCU przed 1 lutego 2026 r.
Celem rozwiązania jest cyfrowy klucz do e-fakturowania, który zastępuje dotychwasowe tokeny. MCU zapewnia:
- jedno miejsce zarządzania dostępem,
- podwyższone bezpieczeństwo danych,
- pełną śledzalność operacji.
Dlatego przedsiębiorca powinien przygotować dokumenty wcześniej i uniknąć kolejek.
- 01-11-2025 – start portalu MCU
- 08-12-2025 – dostępność tokenów KSeF 2.0
- 01-02-2026 – obowiązek posiadania certyfikatu
- 30-04-2026 – pełny zakres KSeF 2.0 dla wszystkich podatników
Brak dostępu do KSeF 2.0 wykluczy firmę z obrotu fakturami strukturyzowanymi. Urząd zablokuje wysyłkę, a kontrahenci otrzymają status „Odmowa”. Brak aktywnego certyfikatu w MCU uniemożliwi wystawianie faktur strukturyzowanych po 31 stycznia 2026 r.
| Encja | Atrybut | Wartość |
|---|---|---|
| MCU | dostępność | od 01-11-2025 |
| Certyfikat KSeF | maks. ważność | 2 lata |
| Token | limit | 100 szt. |
| Aplikacja Podatnika | dostęp | GUI lub API |
Limit 100 aktywnych certyfikatów obejmuje wszystkie podmioty powiązane z jednym NIP-em.
Co się stanie 1 lutego 2026?
System KSeF 2.0 odrzuci wszystkie tokeny z wersji 1.0. Przedsiębiorca musi posiadać aktywny certyfikat w MCU, aby wystawić fakturę.
Czy MCU zastępuje podpis kwalifikowany?
Nie. MCU nie zastępuje podpisu kwalifikowanego. Usługa przechowuje certyfikaty KSeF, które służą wyłącznie do komunikacji z KSeF 2.0.
Czy API MCU będzie publiczne?
API MCU nie będzie upublicznione. Zarządzanie certyfikatami odbywa się wyłącznie przez panel WWW lub Aplikację Podatnika.
Wnioskowanie o certyfikat KSeF krok po kroku – procedura, dokumenty, koszty
Wniosek o certyfikat KSeF składa się wyłącznie w MCU. Firma z trzema pracownikami powinna przygotować jeden certyfikat na podmiot i nadać role osobom fizycznym. Proces trwa 3–5 dni.
KSeF udostępnia dwa typy certyfikatów. Certyfikat KSeF typ 2 umożliwia podpisywanie faktur offline. Tabela poniżej porównuje zastosowania:
| Typ | Zastosowanie | Ważność |
|---|---|---|
| 1 | uwierzytelnienie API | 2 lata |
| 2 | podpisywanie offline | 2 lata |
Do formularza ZAW-FA dołączasz:
- NIP i REGON podmiotu,
- załącznik o reprezentacji,
- PESEL uprawnionych osób,
- pieczęć kwalifikowaną (opcjonalnie).
Ścieżka GUI MCU prowadzi przez: Moje certyfikaty → Złóż wniosek → wybór typu → załącz pliki → potwierdź. Moduł Certyfikatów i Uprawnień weryfikuje dane w ciągu 3-5 dni. Brak błędów przyspiesza akceptację.
Po akceptacji klikasz pobierz certyfikat KSeF. Plik otrzymujesz w formacie .p12 z hasłem 12 znaków. Nie udostępniaj pliku osobom nieupoważnionym. Zrób kopię na nośniku offline.
| Usługa | Średni koszt (zł) | Uwagi |
|---|---|---|
| pieczęć kwalifikowana | 80-150 / 2 lata | opcjonalna, przyspiesza weryfikację |
| podpis kwalifikowany | 120-300 / 2 lata | zamiennie z pieczęcią |
| konsultacja prawna | 200-400 | opcjonalna |
Ceny rynkowe 2025 – źródło: cenniki kwalifikowanych dostawców.
- Sprawdź poprawność NIP i REGON.
- Wypełnij formularz ZAW-FA w MCU.
- Przygotuj pieczęć kwalifikowaną.
- Nadaj uprawnienia w module.
- Zapisz PDF potwierdzenia.
- Zabezpiecz hasło do pliku .p12.
- Zrób kopię zapasową na Pendrive.
- Przetestuj certyfikat w środowisku testowym.
Ile trwa weryfikacja?
Weryfikacja trwa 3-5 dni roboczych. Pieczęć kwalifikowana skraca czas do 1 dnia.
Czy muszę mieć podpis kwalifikowany?
Nie jest to obowiązkowe, ale przyspiesza akceptację wniosku ZAW-FA.
Czy certyfikaty są płatne?
Certyfikat KSeF jest bezpłatny. Płatne są opcjonalne usługi: pieczęć czy podpis kwalifikowany.
Co zrobić gdy zgubię plik .p12?
Utrata hasła wymaga wnioskowania o nowy certyfikat. MCU nie resetuje haseł.
Zarządzanie uprawnieniami w MCU – role, tokeny i bezpieczeństwo zespołu
Role w MCU tworzą hierarchię dostępu: Administrator zarządza certyfikatami, Księgowy wystawia faktury, API umożliwia automatyzację. Administrator nadaje uprawnienia i odpowiada za bezpieczeństwo.
Aby nadaj uprawnienia pracownikowi, wybierz ścieżkę: Uprawnienia → Dodaj → PESEL/regon → wybór roli → czas ważności. Pracownik otrzyma maila z instrukcją aktywacji. Powinien zalogować się w ciągu 7 dni.
Token dostępowy KSeF 2.0 to ciąg 64 znaków generowany w MCU. Różni się od certyfikatu: token działa tylko w API, certyfikat służy również do podpisu. Limit 100 aktywnych certyfikatów obejmuje wszystkie role. Tokeny traktuj jak dane szczególnie wrażliwe.
Audyt uprawnień MCU rejestruje IP, timestamp i rolę. Firma powyżej 5 osób musi przeprowadzać comiesięczny przegląd. Logi dostępne są w zakładce Monitoring przez 365 dni.
| Rola | Zakres działań | Czy wymaga podpisu kwalifikowanego? | Maks. liczba osób |
|---|---|---|---|
| Administrator | zarządzanie certyfikatami i rolami | tak | 2 |
| Księgowy | wystawianie i odbiór faktur | nie | nieograniczona |
| API | integracja systemów z KSeF | nie | 1 na aplikację |
Scalenie z Active Directory nie jest planowane w 2026 r.
- Włącz politykę rotacji co 12 miesięcy.
- Używaj unikalnych haseł 14 znaków.
- Aktywuj 2FA dla administratorów.
- Przeprowadzaj szkolenia z phishingu.
- Archiwizuj pliki .p12 offline.
- Ogranicz dostęp do MCU tylko do białych IP.
- Przeglądaj logi co tydzień.
- Przygotuj procedurę incident response.
- Wykonuj testy penetracyjne raz w roku.
- Włącz powiadomienia e-mail o zmianach.
Jak często aktualizować uprawnienia?
Aktualizuj uprawnienia co 3 miesiące lub przy każdej zmianie stanowiska. Usuń nieaktywne konta natychmiast.
Czy mogę mieć dwóch administratorów?
Tak, maksymalnie dwie osoby mogą pełnić rolę Administratora w jednym podmiocie MCU.
Co się stanie po przekroczeniu limitu 100?
System zablokuje możliwość wystawienia nowego certyfikatu. Musisz dezaktywować nieużywany certyfikat przed dodaniem kolejnego.
„MCU to cyfrowy klucz do e-fakturowania” – Ministerstwo Finansów
