Data publikacji: 29 grudnia 2025

Czym jest Moduł Certyfikatów i Uprawnień (MCU) i jakie jest jego znaczenie w kontekście użytkowania Krajowego Systemu e-Faktur oraz zarządzania w nim uprawnieniami, w tym wnioskowania o nadawanie lub odbieranie certyfikatów KSeF. Poznaj typy certyfikatów w MCU, specyfikę użytkowania modułu oraz sposoby uwierzytelniania w nim podmiotu lub osoby. Zebraliśmy dla Ciebie najważniejsze informacje.

Spis treści:

Moduł Certyfikatów i Uprawnień (MCU) – czym jest?

Moduł Certyfikatów i Uprawnień (MCU) to narzędzie przeznaczone do zarządzania uprawnieniami w Krajowym Systemie e-Faktur (KSeF), za pomocą którego można składać wnioski o wydanie certyfikatu KSeF oraz go pobierać, a także nadawać uprawnienia użytkownikom systemu KSeF 2.0. Moduł Certyfikatów i Uprawnień obowiązuje od 1 listopada 2025 roku i zastąpił dotychczasowe mechanizmy nadawania uprawnień. Obecnie to wyłączne narzędzie do nadawania nowych uprawnień. Aby zalogować się do MCU, można skorzystać z Profilu Zaufanego, kwalifikowanego podpisu elektronicznego lub odcisku palca certyfikatu kwalifikowanego.

Podstawowe funkcje MCU to:

  • sprawdzanie nadanych uprawnień, 
  • dodawanie administratora, 
  • nadawanie uprawnień użytkownikom aplikacji, 
  • zarządzanie nadanymi już uprawnieniami,
  • sprawdzanie listy wydanych certyfikatów, 
  • podglądanie posiadanych przez użytkownika uprawnień, 
  • składanie wniosków o certyfikaty KSeF,
  • pobieranie i unieważnianie certyfikatów, 
  • obsługa pełnego cyklu życia certyfikatu KSeF.

Same certyfikaty KSeF to cyfrowe identyfikatory przeznaczone do uwierzytelniania podmiotu gospodarczego lub osoby w Krajowym Systemie e-Faktur. Dzięki nim można wykonywać podstawowe operacje związane z obsługą systemu, w tym wystawiać i odbierać faktury. Jego działanie odpowiada w przybliżeniu kwalifikowanemu podpisowi elektronicznemu czy pieczęci elektronicznej, jednak ma zastosowanie tylko w obrębie Krajowego Systemu e-Faktur.

Sprawdź ofertę pieczęci kwalifikowanych

Typy certyfikatów w Module Certyfikatów i Uprawnień (MCU)

W Module Certyfikatów i Uprawnień dostępne są dwa podstawowe typy certyfikatów KSeF: typ 1 i typ 2, które różnią się zakresem działania, dlatego każdy użytkownik systemu powinien dokładnie się z tym zapoznać.

Certyfikat KSeF typu 1 służy do uwierzytelniania przy nawiązywaniu sesji interaktywnej lub wsadowej i jest jedną z dopuszczalnych przez Ministerstwo Finansów metod. Przeznaczony jest do logowania do systemu KSeF oraz do uwierzytelniania podstawowych operacji. Umożliwia działanie pod wskazanym numerem NIP przypisanym do podmiotu gospodarczego lub pod numerem PESEL przypisanym do osoby fizycznej. 

Certyfikat KSeF typu 2 służy do obsługi systemu w trybie offline, gdy dojdzie do przerwania połączenia lub użytkownik nie ma dostępu do internetu. Jako cyfrowe narzędzie pozwala na potwierdzanie tożsamości wystawcy faktury w trybie offline. Wówczas proces ten odbywa się na podstawie certyfikatu KSeF wystawionego na osobę fizyczną lub dowolny podmiot inny niż osoba fizyczna. Dzięki temu można utrzymać ciągłość procesu fakturowania bez względu na działanie systemu KSeF, co stanowi zabezpieczenie na wypadek chwilowej niedostępności czy awarii.

Certyfikat KSeF jest wydawany albo na podmiot posiadający NIP, albo na osobę fizyczną identyfikowaną numerem PESEL. Rodzaj certyfikatu decyduje o tym, czy w KSeF identyfikowany jest podmiot, czy konkretna osoba fizyczna. Przekłada się to na widoczność użytkownika w systemie KSeF. Jeżeli korzysta on z certyfikatu z NIP, to widnieje jako podmiot (firma, JST). W przypadku korzystania z certyfikatem z PESEL użytkownik widoczny jest w systemie jako osoba fizyczna również w sytuacji, gdy działa w imieniu firmy czy jednostki samorządu terytorialnego.

Zakres danych zawartych w certyfikacie KSeF zależy od metody pierwszego uwierzytelnienia w systemie. Jeżeli nastąpi ono w kontekście podmiotu z NIP, np. przy użyciu kwalifikowanej pieczęci elektronicznej, to certyfikat będzie zawierał dane tego podmiotu gospodarczego. 

Do uzyskania wybranego typu certyfikatu KSeF niezbędne jest przejście przez procedurę uwzględniającą pierwsze uwierzytelnienie przedsiębiorstwa, osoby fizycznej lub jednostki samorządu terytorialnego. Mogą zrobić to również biura rachunkowe, które obsługują dany podmiot i prowadzą księgowość w jego imieniu. W zależności od formy prawnej i rodzaju podmiotu ubiegającego się o certyfikat Ministerstwo Finansów dopuszcza kilka sposobów ubiegania się o certyfikat KSeF dowolnego typu. Przykładowo:

  • osoby fizyczne i jednoosobowe działalności gospodarze – Profil Zaufany, kwalifikowany podpis elektroniczny, token (jako tymczasowa metoda techniczna dopuszczona przez MF do 31.12.2026 r.),
  • podmioty niebędące osobą fizyczną – kwalifikowana pieczęć elektroniczna, ZAW-FA do wyznaczenia pierwszej osoby fizycznej działającej w KSeF, token (ważne do 31.12.2026),
  • jednostki samorządu terytorialnego – ZAW-FA do wyznaczenia pierwszej osoby działającej w KSeF, kwalifikowana pieczęć elektroniczna JST, token (ważne do 31.12.2026).

Zarządzanie uprawnieniami w Module Certyfikatów i Uprawnień (MCU)

Zakres zarządzania uprawnieniami w Module Certyfikatów i Uprawnień (MCU) zależy od poziomu dostępu danego użytkownika. Poniżej opisano wszystkie funkcjonalności z zastrzeżeniem, że dostęp do nich zależy od kontekstu i posiadanej roli. Uprawnienia dzieli się na:

  • bezpośrednie – nadawane konkretnej osobie fizycznej,
  • pośrednie – nadawane innemu podmiotowi, np. biurowi rachunkowemu obsługującego księgowość, 
  • właścicielskie – trwałe uprawnienia umożliwiające pełne zarządzanie strukturą jednostek podrzędnych i dostępami.

Poniżej krok po kroku opisano proces zarządzania uprawnieniami w MCU.

  1. Uwierzytelnianie w procesie logowania do Modułu Certyfikatów i Uprawnień – logowanie do modułu za pomocą dowolnej z dopuszczonych przez Ministerstwo Finansów metod, w tym: Profilu Zaufanego, kwalifikowanego podpisu elektronicznego, kwalifikowanej pieczęci elektronicznej lub odcisku palac do certyfikatu kwalifikowanego.
  2. Przejście do modułu nadawania uprawnień – z menu głównego wybierz funkcję: Uprawnienia, a następnie zakładkę: Nadaj uprawnienia. Po tym kroku system powinien automatycznie wypełnić dane osoby uprawniającej, czyli osoby zalogowanej do modułu.
  3. Wybór rodzaju uprawnień z dostępnej listy –  dla osób fizycznych dostępne są: uprawnienia do pracy w KSeF (podstawowe uprawnienia dla pracowników), dla klienta (uprawnienie pośrednie selektywne), dla wszystkich klientów (uprawnienie pośrednie generalne). Dla podmiotów dostępne są: uprawnienia do wystawiania faktur w trybie samofakturowania, do wystawiania i przeglądania faktur, do wystawiania i przeglądania faktur jako przedstawiciel podatkowy, do wystawiania i przeglądania faktur, do wystawiania faktur PEF dla dostawcy usług PEPPOL.
  4. Dobór zakresu uprawnień  – dostępne opcje w ramach zakresu uprawnień to wystawianie faktur, przeglądanie faktur, przeglądanie historii sesji (generowania UPO), przeglądanie uprawnień, zarządzanie podmiotami podrzędnymi, wykonywanie operacji egzekucyjnych (dostępne tylko dla organu egzekucyjnego i komornika sądowego). 
  5. Finalizacja procesu nadawania uprawnień – poprzez kliknięcie przycisku: Nadaj uprawnienia, przy czym proces potwierdzania może potrwać kilka minut. Po pozytywnym zakończeniu administrator może przejść do modułu zarządzania uprawnieniami i nadawać je kolejnemu podmiotowi lub osobie fizycznej.

Dodatkowo administrator w zakładce Zarządzaj uprawnieniami ma dostęp do czytelnej tabeli, w której znajdują się informacje na temat:

  • obowiązujących uprawnień z listą osób i podmiotów, które mogą pracować w bieżącym kontekście z uwzględnieniem osób posiadających tylko uprawnienia pośrednie, 
  • nadanych uprawnień z listą wszystkich uprawnień nadawanych przez uwierzytelnionego użytkownika systemu, 
  • otrzymanych uprawnień podmiotowych przez inne podmioty do wystawiania faktur przez użytkownika,
  • nadanych uprawnień podmiotowych innym podmiotom do wystawiania faktur,
  • uprawnień w jednostkach podrzędnych z listą administratorów w tych jednostkach, 
  • uprawnień podmiotów unijnych z listą administratorów w tych podmiotach, 
  • ról podmiotu w kontekście Krajowego Systemu e-Faktur, 
  • podmiotów podrzędnych z listą uwzględniającą np. jednostki JST czy członków grupy VAT. 

Dostęp do tej tabeli usprawnia szybki dostęp do danych, a także pomaga w podejmowaniu decyzji o nadawaniu kolejnych uprawnień lub odbieraniu tych wcześniej nadanych. Z punktu widzenia uwierzytelnionego użytkownika zwiększa to kontrolę nad całym procesem obsługi KSeF.

Ten artykuł może Cię zainteresować:

Jak zacząć korzystać z Modułu Certyfikatów i Uprawnień (MCU)?

Aby zacząć korzystać z Modułu Certyfikatów i Uprawnień (MCU), należy przejść przez proces pierwszego uwierzytelniania (inaczej logowania) za pomocą Profilu Zaufanego, kwalifikowanego podpisu elektronicznego, pieczęci elektronicznej z certyfikatem czy odcisku palca certyfikatu kwalifikowanego. W następnym kroku należy wprowadzić kontekst logowania, w tym podać identyfikator (NIP firmy, identyfikator wewnętrzny, VAT-UE). Po zalogowaniu się i uwierzytelnieniu, a następnie złożeniu wniosku o certyfikat i otrzymaniu pozytywnej odpowiedzi, jest on dostępny do pobrania. 

Po zaakceptowaniu wniosku o wydanie certyfikatu KSeF należy ponownie zalogować się do modułu uprawnień w KSeF. Następnie możliwe jest pobranie certyfikatu na dysk komputera, co zazwyczaj następuje w pliku .zip. Należy go rozpakować, a następnie zainstalować certyfikat w systemie poprzez wybór opcji „Komputer lokalny” w kreatorze importu certyfikatów. W dalszej kolejności certyfikat ten będzie wykorzystywany do uwierzytelniania podstawowych operacji w systemie KSeF. 

W przypadku jakichkolwiek problemów z obsługą modułu MCU w KSeF każdy użytkownik może skorzystać z pomocy technicznej. Kontakt z zespołem technicznym dostępny jest w dni robocze w godzinach 7:00–19:00 za pomocą formularza zgłoszeniowego KSeF. Do tego w dni robocze w godzinach 8:00–18:00 dostępna jest infolinia pod numerami telefonów 22 330 03 30 (numer dla telefonów komórkowych oraz z zagranicy) i 801 055 055 (numer dla telefonów stacjonarnych). Warto też dokładnie zapoznać się z Podręcznikiem użytkowania Modułu Certyfikatów i Uprawnień opublikowanym na oficjalnej stronie rządowej.

Kup pieczęć kwalifikowaną

Jak uwierzytelnić się w Module Certyfikatów i Uprawnień (MCU)?

Proces uwierzytelniania niezbędny jest do tego, aby potwierdzić dane danego użytkownika lub podmiotu, a następnie umożliwić mu korzystanie z Modułu Certyfikatu i Uprawnień, a także samego systemu KSeF. Obecnie uwierzytelnianie przy logowaniu możliwe jest przy użyciu kilku ścieżek, przy czym każda z nich nieco się różni. 

Logowanie za pomocą kwalifikowanego podpisu elektronicznego lub pieczęci elektronicznej polega na:

  • wybraniu identyfikatora do autoryzacji, czyli numeru PESEL lub NIP w zależności od tego, co zawiera certyfikat, 
  • pobraniu żądania autoryzacyjnego na dysk komputera,
  • podpisanie żądania autoryzacyjnego za pomocą kwalifikowanego podpisu elektronicznego lub pieczęci elektronicznej,
  • dodaniu podpisanego pliku w formacie .xml lub .xades.

Bezpieczeństwo i zaufanie w zarządzaniu certyfikatami KSeF opiera się na kryptograficznym uwierzytelnianiu tożsamości. Zapewnia to najwyższe standardy ochrony danych osobowych użytkowników czy też danych firmowych w przypadku podmiotów gospodarczych. Z punktu widzenia administratora bardzo ważne jest odpowiedzialne zarządzanie uprawnieniami i certyfikatami, aby nie nadawać ich nieodpowiednim osobom.

Wybór numeru NIP lub numeru PESEL w logowaniu do aplikacji MCU zależy od tego, jaki z tych identyfikatorów został przypisany do wystawionego certyfikatu KSeF. Numer PESEL pozwala na wydawanie certyfikatów KSeF dla osób fizycznych, a numer NIP dla podmiotów innych niż osoby fizyczne. W przypadku numeru PESEL, nawet jeżeli dana osoba działa w imieniu firmy, to widoczna jest w systemie z imienia i nazwiska. 

Znajomość podstawowych funkcji oraz sposobu obsługi Modułu Certyfikatów i Uprawnień jest istotna, aby zmniejszyć ryzyko ewentualnych błędów i zadbać o płynną obsługę Krajowego Systemu e-Faktur. Moduł umożliwia pełną kontrolę nadawanych uprawnień w czasie rzeczywistym, a także odbieranie uprawnień, jeżeli jest to wskazane. W procesie uwierzytelniania warto korzystać z pieczęci kwalifikowanej, która zapewnia najwyższy standard bezpieczeństwa i z powodzeniem może być używana do podpisywania dokumentów w imieniu firmy również poza systemem KSeF z zachowaniem mocy prawnej podpisu własnoręcznego.

Moduł Certyfikatów i Uprawnień (MCU) – czym jest i jak działa? – podsumowanie

Moduł Certyfikatów i Uprawnień (MCU) to moduł przygotowany przez Ministerstwo Finansów i przeznaczony do pełnej obsługi certyfikatów KSeF niezbędnych do logowania do systemu KSeF, a także do uwierzytelniania wykonywanych w nim operacji. Z poziomu modułu administrator zyskuje dostęp do narzędzi zarządzania certyfikatami, a także bieżącą kontrolę nad przyznanymi czy odbieranymi uprawnieniami. Zwiększa to bezpieczeństwo podmiotu w Krajowym Systemie e-Faktur. Od 1 listopada 2025 roku to jedyne narzędzie umożliwiające generowanie certyfikatów KSeF oraz zarządzanie nimi.