Data publikacji: 12 marca 2026

Token KSeF to jedna z metod uwierzytelniania umożliwiająca połączenie zewnętrznego oprogramowania z Krajowym Systemem e-Faktur. Czym dokładnie jest token KSeF i jak działa w praktyce? Jak go uzyskać oraz co zrobić z tokenem przed jego planowanym wycofaniem po 1 stycznia 2027 roku? Chcesz wiedzieć więcej? Sprawdź nasz artykuł i dowiedz się, jak działa token KSeF oraz jak przygotować się na nadchodzące zmiany.

Spis treści:

Token KSeF – czym jest i jak działa?

Token KSeF to techniczny środek uwierzytelniania, który przyjmuje postać unikalnego ciągu znaków alfanumerycznych i umożliwia autoryzowaną komunikację zewnętrznej aplikacji finansowo-księgowej z API Krajowego Systemu e-Faktur. W praktyce działa jak techniczny klucz dostępu, który pozwala programowi księgowemu wykonywać operacje w KSeF bez konieczności każdorazowego logowania się w KSeF przy pomocy kwalifikowanego podpisu elektronicznego, kwalifikowanej pieczęci elektronicznej czy Profilu Zaufanego (z wyłączeniem pierwszego uwierzytelnienia w systemie). 

W dużym skrócie jego w kontekście konfiguracji KSeF polega to na skopiowaniu technicznego klucza oraz wklejeniu go we własnym programie księgowym, dzięki czemu ten połączy się z Krajowym Systemem e-Faktur. 

Wygenerowanie tokena jest możliwe wyłącznie po uprzednim uwierzytelnieniu osoby fizycznej lub podmiotu w KSeF. Generowany jest przez uwierzytelnioną osobę lub podmiot i działa w zakresie uprawnień tej osoby/podmiotu w momencie generowania tokena. Sam token KSeF nie nadaje uprawnień, tylko działa na zasadzie klucza, który pozwala na przesyłanie ich pomiędzy systemami. 

Jeżeli użytkownik w momencie tworzenia tokena posiadał wyłącznie uprawnienie do wystawiania faktur, token będzie umożliwiał działanie jedynie w tym zakresie. Jeżeli natomiast w momencie generowania tokena użytkownik nie posiadał określonych uprawnień (np. do podglądu faktur otrzymanych), token nie będzie umożliwiał wykonywania tych czynności. Zmiana zakresu uprawnień w KSeF może wymagać wygenerowania nowego tokena.

To od osoby generującej token KSeF zależy jaki będzie jego zakres i to, do czego będzie służył. Dostępne opcje to:

  • wystawianie faktur ustrukturyzowanych,
  • dostęp do faktur otrzymanych,
  • komunikacja z API KSeF (operacje techniczne, statusy, UPO).

W praktyce oznacza to, że użytkownik może wygenerować token KSeF na wszystkie swoje uprawnienia jednocześnie lub na każde z posiadanych uprawnień z osobna. Obecnie nie ma ograniczeń systemowych dotyczących liczby posiadanych lub używanych tokenów przez jeden podmiot. W kontekście bezpieczeństwa token KSeF nie powinien być przekazywany osobom nieuprawnionym, a jego odpowiedzialność w przypadku nieautoryzowanego użycia odpowiada podmiot.

WAŻNE: Możliwość generowania i wykorzystywania tokenów zostanie wycofana z dniem 31.12.2026 roku, w ramach, której użytkownicy będą zobowiązani do przejścia na inne dostępne formy uwierzytelniania np. przez certyfikat KSeF.

Sprawdź ofertę pieczęci kwalifikowanych

Jak uzyskać token KSeF w Aplikacji Podatnika KSeF krok po kroku?

Poniżej szczegółowa instrukcja krok po kroku, jak wygenerować token KSeF. Zastosuj się do niej, aby uzyskać dostęp do tego cyfrowego klucza wykorzystywanego w obsłudze Krajowego Systemu e-Faktur, w tym autoryzacji podstawowych operacji. Wygenerowanie tokena KSeF możliwe jest przy użyciu Aplikacji Podatnika KSeF oraz za pomocą komercyjnego programu finansowo-księgowego zintegrowanego z API KSeF. 

  1. Nawiązanie sesji w KSeF – pierwszym krokiem jest zalogowanie się do Krajowego Systemu e-Faktur za pomocą Profilu Zaufanego, kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej i nawiązanie w ten sposób sesji w KSeF.
  2. Wybór opcji Tokeny/Generuj token – po zalogowaniu się do KSeF należy przejść do sekcji Tokeny/Generuj token, która dostępna jest w menu głównym.
  3. Wprowadzenie nazwy tokena i określenie uprawnień – na tym etapie wprowadza się nazwę dla danego tokena oraz wskazuje na przypisane do niego uprawnienia (np. wszystkie uprawnienia użytkownika lub wybrane z nich).
  4. Generuj token – po wpisaniu nazwy i nadaniu uprawnień wystarczy kliknąć przycisk „Generuj token”, a następnie skopiować wyświetlony unikalny ciąg znaków i zapisać go w zaufanym miejscu. Dla bezpieczeństwa Aplikacja Podatkowa KSeF wyświetla wygenerowany token tylko jeden raz.

W procesie wybierania uprawnień przypisanych do tokena należy zachować ostrożność, ponieważ raz wygenerowany token KSeF nie podlega aktualizacji. Oznacza to, że w trakcie jego użytkowania nie ma możliwości zmiany przypisanych uprawnień. Cofnięcie uprawnień powoduje, że token przestaje umożliwiać wykonywanie operacji, jednak sam token pozostaje aktywny w systemie i może ponownie działać po przywróceniu uprawnień. Token można również w każdej chwili ręcznie unieważnić w Aplikacji Podatnika KSeF.

Ten artykuł może Cię zainteresować:

Generowanie tokena KSeF w Module Certyfikatów i Uprawnień

W styczniu 2026 roku Ministerstwo Finansów udostępniło użytkownikom kolejne narzędzie generowania tokena KSeF, dzięki czemu można to robić z poziomu Modułu Certyfikatów i Uprawnień, przy czym tokenu jako rozwiązanie przejściowe obowiązują tylko do końca 2026 roku. Wystarczy przejść przez poniższą ścieżkę krok po kroku.

  1. Logowanie do KSeF – zaloguj się do KSeF za pomocą: Profilu Zaufanego, kwalifikowanego podpisu elektronicznego czy wcześniej nadanego tokena 
  2. Wejdź w „Uprawnienia” lub „Moduł Certyfikatów i Uprawnień” – opcja ta widoczna jest po zalogowaniu do systemu i jest to element panelu administracyjnego firmy bądź podatnika.
  3. Generowanie tokena i określenie jego uprawnień – na tym etapie wybiera się opcję: „Generuj token” / „Nowy token autoryzacyjny”, a następnie określa zakres uprawnień tokena (np.: wystawianie faktur, zarządzanie fakturami, dostęp API lub wszystkie z nich). 
  4. Zatwierdzenie operacji – po określeniu zakresu przypisanych do tokena uprawnień należy zatwierdzić operację za pomocą Profilu Zaufanego lub kwalifikowanego podpisu elektronicznego. 
  5. Zapisanie tokena w bezpiecznym miejscu – po prawidłowej autoryzacji system jednorazowo wyświetli kod 40. znaków, który należy zapisać w bezpiecznym miejscu, a następnie korzystać z niego przy autoryzacji operacji w ramach KSeF zgodnie z przypisanymi uprawnieniami.

Ten artykuł może Cię zainteresować:

Token KSeF a inne metody uwierzytelniania – różnice

Uwierzytelnianie programów księgowych w Krajowym Systemie e-Faktur może odbyć się z wykorzystaniem kilku metod elektronicznych spełniających najwyższe standardy w zakresie bezpieczeństwa i zgodności. Obecnie są to:

  • tokeny KSeF (tylko do 31 grudnia 2026)
  • certyfikaty KSeF
  • kwalifikowana pieczęć elektroniczna, 
  • kwalifikowany podpis elektroniczny.

Różnice w zakresie uprawnień w KSeF, funkcjonalności danej metody oraz jej ważności przedstawia poniższa tabela.

Metoda uwierzytelnienia w KSeF Rodzaj środka dostępu do KSeF Do czego służy w praktyce? Czy umożliwia pierwsze uwierzytelnienie podatnika w KSeF? Najważniejsze informacje praktyczne
Profil Zaufany (login.gov / Węzeł Krajowy) Środek uwierzytelnienia osoby fizycznej
  • logowanie do KSeF przez przeglądarkę
  • nadawanie i odbieranie uprawnień
  • obsługa Aplikacji Podatnika KSeF
 ✅ Tak – dla:

  • osoby fizycznej będącej podatnikiem (np. JDG)
  • osoby fizycznej będącej ustawowym reprezentantem podmiotu
  • bezpłatny
  • nie jest podpisem kwalifikowanym
  • nie służy bezpośrednio do integracji API
  • może służyć do wygenerowania tokena
Kwalifikowany podpis elektroniczny Środek uwierzytelnienia osoby fizycznej
  • pierwsze uwierzytelnienie w KSeF
  • nadawanie uprawnień
  • podpisywanie dokumentów
 ✅ Tak
  • przypisany do konkretnej osoby
  • płatny
  • wydawany przez kwalifikowane centrum certyfikacji
  • umożliwia pełne uwierzytelnienie podatnika
Kwalifikowana pieczęć elektroniczna Środek uwierzytelnienia podmiotu (firmy / spółki)
  • pierwsze uwierzytelnienie podmiotu w KSeF
  • działanie w imieniu firmy
 ✅ Tak – dla podmiotów niebędących osobą fizyczną np. spółki
  • przypisana do podmiotu (nie do osoby)
  • wymaga kwalifikowanego certyfikatu
  • generuje koszt
  • często stosowana w spółkach kapitałowych
Certyfikat KSeF Certyfikat systemowy wydawany w ramach KSeF (zaawansowany)
  • uwierzytelnienie w KSeF po wcześniejszej autoryzacji
  • składanie podpisu zaawansowanego w systemie
  • obsługa techniczna i integracyjna
 ❌ Nie – wymaga wcześniejszego uwierzytelnienia podatnika
  • wydawany przez Centrum Certyfikacji MF w ramach KSeF
  • może być wydany dla osoby fizycznej lub podmiotu
  • nie nadaje uprawnień sam w sobie
Token KSeF Techniczny środek uwierzytelnienia (ciąg znaków do API)
  • automatyczna komunikacja systemu księgowego z KSeF
  • wysyłka faktur ustrukturyzowanych
  • odbiór faktur i statusów
 ❌ Nie – wymaga wcześniejszego uwierzytelnienia podatnika
  • generowany po wcześniejszym uwierzytelnieniu w KSeF przez osobę uprawnioną
  • działa w zakresie nadanych uprawnień
  • nie służy do podpisywania dokumentów
  • wykorzystywany w integracjach API

W dużym skrócie token KSeF w obecnej formie służy do uwierzytelniania przesyłki faktur i ich odbierania w programach księgowych, ale nie służy do podpisywania dokumentów. Natomiast certyfikat KSeF to narzędzie uwierzytelniające podmiot w KSeF i pozwalające na podpisywanie i odbieranie faktur tylko w obrębie systemu, które od 1 stycznia 2027 roku będzie docelowym rozwiązaniem w pełni zastępującym tokeny KSeF. Tym samym planowanie certyfikat KSeF od początku 2027 roku będzie podstawowym narzędziem do codziennej pracy w KSeF, w tym do logowania technicznego i automatyzacji procesów z zewnętrznym oprogramowaniem.

Firmy powinny już teraz zaplanować migrację integracji programów księgowych do certyfikatów KSeF, aby uniknąć przerw w automatyzacji procesów. W kontekście tworzenia certyfikatów KSeF należy uwzględnić istotne ograniczenia wynikające z pierwszego uwierzytelnienia w systemie. W szczególności warto pamiętać, że w przypadku certyfikatu KSeF standardowo przy pierwszym uwierzytelnieniu bez pieczęci jako osoba fizyczna możliwe jest wygenerowanie maksymalnie dwóch aktywnych certyfikatów. Przy użyciu pieczęci kwalifikowanej można wygenerować do 100 certyfikatów.

W przypadku gdy firma korzysta z więcej niż dwóch tokenów wygenerowanie dodatkowych certyfikatów w KSeF wymaga ponownego uwierzytelnienia za pomocą kwalifikowanej pieczęci elektronicznej, które umożliwia wygenerowanie do 100 aktywnych certyfikatów.

W kontekście KSeF posiadanie kwalifikowanej pieczęci elektronicznej umożliwia:

  • pierwsze uwierzytelnienie podmiotu (firmy / spółki) w KSeF,
  • uwierzytelnienie w kontekście NIP podmiotu bez konieczności logowania jako osoba fizyczna z użyciem PESEL,
  • pierwsze uwierzytelnienie podmiotu bez konieczności wcześniejszego składania formularza ZAW-FA,
  • nadawanie uprawnień pracownikom lub biurom rachunkowym w Module Certyfikatów i Uprawnień (MCU),
  • wygenerowanie do 100 aktywnych certyfikatów KSeF

Ponadto kwalifikowana pieczęć elektroniczna ogranicza ryzyko operacyjne organizacji w przypadku zmian zarządczych, ponieważ jest przypisana do podmiotu, a nie do osoby fizycznej. Może być również wykorzystywana do podpisywania dokumentów poza systemem KSeF.

Chcesz uzyskać więcej informacji o kwalifikowanej pieczęci elektronicznej w KSeF?

Zostaw dane kontaktowe i porozmawiaj z nami o Krajowym Rejestrze e-Faktur.


Token KSeF od 1 stycznia 2027 r. – co warto wiedzieć?

Zgodnie z zapowiedziami Ministerstwa Finansów, od 1 stycznia 2027 r. tokeny KSeF przestaną być dopuszczone jako metoda uwierzytelniania i autoryzacji operacji w systemie. . Oznacza to, że z dniem 31 grudnia 2026 r. wszystkie wygenerowane tokeny utracą ważność, a generowanie nowych nie będzie możliwe. W konsekwencji integracje oparte wyłącznie na tokenach będą wymagały dostosowania do innej metody uwierzytelniania w komunikacji API np. certyfikat KSeF. Z tego względu rekomendowane jest odpowiednio wczesne przygotowanie infrastruktury IT oraz systemów finansowo-księgowych do zmiany metody uwierzytelniania.

Praktyczne wskazówki dla działów księgowości i IT to:

  • przygotowanie integracji systemowej z wykorzystaniem certyfikatu KSeF lub innej dopuszczalnej metody uwierzytelnienia,
  • weryfikacja, czy wykorzystywany system fakturowy obsługuje certyfikaty KSeF
  • nieopieranie długoterminowej strategii integracyjnej wyłącznie na tokenach jako jedynej metodzie uwierzytelnienia,
  • analiza liczby wymaganych certyfikatów KSeF (w zależności od liczby użytkowników i systemów)
  • zaplanowanie procedury zarządzania certyfikatami KSeF (wydawanie, odnawianie, unieważnianie, kontrola dostępu).

Kup pieczęć kwalifikowaną

Token KSeF – najczęściej zadawane pytania

Poniżej zebraliśmy listę najczęściej zadawanych pytań dotyczących tokenów KSeF tj. ich funkcji, przeznaczenia i okresu ważności. Odpowiedzi opierają się na oficjalnym podręczniku KSeF 2.0 oraz materiałach rządowych.

  • Co to jest token KSeF i do czego służy?

Token KSeF to unikalny identyfikator przeznaczony do uwierzytelniania systemów informatycznych lub zewnętrznych aplikacji podczas przesyłania faktur do Krajowego Systemu e-Faktur przez API, który umożliwia automatyczne przesyłanie i odbieranie faktur bez konieczności każdorazowego ręcznego logowania się i uwierzytelniania w KSeF.

  • Kto może wygenerować token?

Token może wygenerować osoba, która posiada odpowiednie uprawnienia w KSeF lub uprzednio uwierzytelniła się w systemie. W praktyce token najczęściej generuje administrator podmiotu lub osoba posiadająca uprawnienia do wystawiania faktur. Token działa wyłącznie w zakresie nadanych uprawnień i nie może przekraczać przypisanego zakresu operacji.

  • Czy certyfikaty i tokeny będą działały równolegle?

Obecnie token KSeF oraz certyfikat KSeF stanowią dwie dopuszczalne metody uwierzytelniania w komunikacji API. Zgodnie z kierunkiem rozwoju systemu KSeF zapowiadanym przez Ministerstwo Finansów, w kolejnych latach rola certyfikatów KSeF będzie wzmacniana. Dlatego rekomendowane jest przygotowanie systemów do obsługi certyfikatów jako docelowego rozwiązania.

  • Jaki jest termin ważności tokenu KSeF 2.0?

Token KSeF jest ważny do momentu jego unieważnienia przez użytkownika lub administratora. W przypadku wprowadzenia zmian systemowych w przyszłości, ważność tokenów może zostać ograniczona zgodnie z komunikatami Ministerstwa Finansów.

  • Czy token zastępuje podpis kwalifikowany?

Nie. Token KSeF nie zastępuje kwalifikowanego podpisu elektronicznego ani kwalifikowanej pieczęci elektronicznej. Jest to narzędzie techniczne służące do automatycznego uwierzytelniania systemów w ramach nadanych uprawnień.

  • Czy w KSeF 2.0 będę mógł korzystać z tokenów uwierzytelniających, które zostały wygenerowane w KSeF 1.0?

Nie, tokeny wygenerowane w systemie KSeF 1.0 nie są ważne w systemie KSeF 2.0 i należy ponownie je generować, przy czym możliwość ta pojawiła się dopiero od 1 lutego 2026 roku.

  • Czy muszę mieć token jeśli mam certyfikat?

Nie musisz posiadać tokena KSeF, jeżeli masz certyfikat KSeF. Token i certyfikat KSeF to dwie alternatywne metody uwierzytelniania w API. Jeżeli system finansowo-księgowy obsługuje certyfikat KSeF, korzystanie z tokena nie jest konieczne.

  • Czy każdy pracownik musi mieć swój token?

Nie ma takiego obowiązku. Token jest generowany przez osobę posiadającą uprawnienia i może być wykorzystywany przez system zgodnie z zakresem przypisanych praw.
Organizacja może zdecydować o modelu zarządzania tokenami zgodnie z własną polityką bezpieczeństwa.

  • Co w sytuacji, gdy nie zapisze się wygenerowanego tokenu KSeF?

Ze względów bezpieczeństwa informacje dostępowe do tokena KSeF wyświetlane są jednorazowo w momencie jego generowania. Jeżeli nie zostanie zapisany, należy wygenerować nowy token i unieważnić poprzedni (jeśli został aktywowany).

Token KSeF – co to, jak działa i jak uzyskać? – podsumowanie

Token KSeF to techniczny mechanizm uwierzytelniania w Krajowym Systemie e-Faktur, który umożliwia automatyczny dostęp do systemu oraz przesyłanie i pobieranie faktur elektronicznych przez API. Nie zastępuje kwalifikowanego podpisu elektronicznego ani kwalifikowanej pieczęci elektronicznej. Zgodnie z kierunkiem rozwoju systemu KSeF zapowiadanym przez Ministerstwo Finansów model uwierzytelniania będzie w większym stopniu oparty na certyfikatach KSeF. Jeżeli Twoje oprogramowanie obsługuje wyłącznie tokeny, warto skontaktować się z dostawcą systemu i zapytać o harmonogram wdrożenia obsługi certyfikatów KSeF.