Każda firma podłączona do KSeF musi podjąć jedną konkretną decyzję techniczną, zanim zacznie automatycznie wystawiać i pobierać faktury przez API: jak ma się uwierzytelniać w systemie? Przez lata jedyną opcją był token. Od 1 lutego 2026 roku dostępny jest certyfikat KSeF, a od 1 stycznia 2027 roku token przestanie istnieć. Dla firm budowlanych i deweloperskich, które przetwarzają setki faktur miesięcznie i korzystają z systemów ERP zintegrowanych z KSeF, jest to decyzja o realnych konsekwencjach operacyjnych. Poniżej wyjaśniamy, czym oba rozwiązania różnią się technicznie, kiedy jedno przeważa nad drugim i jakie kroki należy podjąć, żeby migracja na certyfikat przebiegła bez zakłóceń.

Czym jest token KSeF – jak działa i co zawiera?

Token to alfanumeryczny ciąg znaków generowany przez podatnika po zalogowaniu się do KSeF jedną z podstawowych metod uwierzytelnienia. W odróżnieniu od certyfikatu token łączy w sobie dwie funkcje naraz: identyfikuje użytkownika (uwierzytelnienie) i zawiera w sobie przypisane mu uprawnienia (autoryzacja). Oznacza to, że kiedy oprogramowanie ERP przekazuje token do bramki KSeF, system od razu wie, kto się łączy i co mu wolno robić – wystawiać faktury, przeglądać dokumenty, zarządzać uprawnieniami.

W praktyce integracja z tokenem wygląda prosto: wchodzisz do Aplikacji Podatnika KSeF, generujesz token, kopiujesz ciąg znaków i wklejasz go w ustawieniach programu do fakturowania lub systemu ERP. Od tej chwili oprogramowanie łączy się z KSeF automatycznie, bez konieczności każdorazowego logowania przez użytkownika. Token działa niezależnie od tego, na jakim komputerze uruchomiono oprogramowanie, nie wymaga fizycznego nośnika i nie wygasa przy zmianie hasła użytkownika.

Kluczowe ograniczenia tokena są jednak poważne. Po pierwsze, token ma charakter okaziciela: ktokolwiek wejdzie w jego posiadanie, może działać w systemie z pełnymi uprawnieniami przypisanymi w momencie generowania. Nie ma mechanizmu weryfikacji, czy to właściwa osoba – system wpuszcza każdego, kto przedstawi właściwy ciąg znaków. Po drugie, token nie obsługuje trybów szczególnych KSeF: offline24, trybu awaryjnego ani trybu niedostępności systemu. Wystawienie faktury bez połączenia z KSeF wymaga certyfikatu. Po trzecie, tokeny przestają działać z końcem 2026 roku – jest to termin ostateczny, bez możliwości przedłużenia.

Czym jest certyfikat KSeF – jak działa i co go wyróżnia?

Certyfikat KSeF to elektroniczne poświadczenie tożsamości – plik kryptograficzny generowany przez Centrum Certyfikacji Ministerstwa Finansów i wydawany po uwierzytelnieniu podatnika w KSeF. W odróżnieniu od tokena certyfikat pełni wyłącznie funkcję uwierzytelnienia: potwierdza, kim jest osoba lub podmiot łączący się z systemem. Uprawnienia nie są zapisane w certyfikacie – zarządzane są osobno w KSeF i weryfikowane po każdym zalogowaniu na podstawie NIP lub PESEL powiązanego z certyfikatem.

To rozdzielenie uwierzytelnienia od autoryzacji ma istotną konsekwencję: zmiana uprawnień użytkownika nie wymaga generowania nowego certyfikatu. Wystarczy zaktualizować uprawnienia w systemie – certyfikat pozostaje ważny. Przy tokenie zmiana uprawnień oznacza konieczność wygenerowania nowego tokena i zaktualizowania go w każdej aplikacji, która go używa.

Certyfikat oparty jest na kryptografii asymetrycznej: składa się z klucza publicznego (zapisanego w pliku certyfikatu) i klucza prywatnego (przechowywanego wyłącznie przez właściciela). Nawet jeśli ktoś uzyska dostęp do pliku certyfikatu, bez klucza prywatnego nie może się nim posłużyć. To zasadnicza przewaga bezpieczeństwa nad tokenem.

Certyfikat KSeF jest bezpłatny, ważny przez dwa lata od daty wytworzenia, generowany w Aplikacji Podatnika KSeF lub przez API KSeF 2.0. Może być wydany na osobę fizyczną (identyfikowaną NIP-em lub PESEL-em) lub na podmiot (spółkę). Certyfikat zawierający dane osoby fizycznej może być pobrany i używany wyłącznie przez tę osobę.

Dwa typy certyfikatu – typ 1 i typ 2

KSeF wyróżnia dwa rodzaje certyfikatów o różnym przeznaczeniu, generowane osobno.

Certyfikat typu 1 służy do uwierzytelniania w systemie KSeF w sesji online i wsadowej. To odpowiednik tokena w docelowym modelu KSeF 2.0 – plik wgrywany do oprogramowania ERP, który pozwala na automatyczne, bezobsługowe połączenie z API KSeF. Od 1 stycznia 2027 roku certyfikat typu 1 będzie jedyną dopuszczalną metodą uwierzytelnienia przez API.

Certyfikat typu 2 jest wymagany do wystawiania faktur w trybach szczególnych: offline24 (faktura wystawiana bez połączenia z KSeF, dosyłana do systemu następnego dnia roboczego), trybie niedostępności systemu i trybie awaryjnym. W tych scenariuszach faktura jest generowana lokalnie i oznaczana kodem potwierdzającym tożsamość wystawcy – do wygenerowania tego kodu potrzebny jest właśnie certyfikat typu 2. Bez niego firma traci możliwość legalnego wystawiania faktur w sytuacjach braku łączności z KSeF.

Dla firm budowlanych pracujących na placach budowy, gdzie dostęp do internetu bywa ograniczony, certyfikat typu 2 jest elementem planowania ciągłości operacyjnej – nie opcją, lecz koniecznością.

Kluczowe różnice w tabeli praktycznej

Żeby podjąć właściwą decyzję, warto zestawić oba rozwiązania w wymiarach, które mają znaczenie operacyjne. Token łączy uwierzytelnienie i uprawnienia w jednym obiekcie, certyfikat rozdziela te funkcje. Token nie wymaga konfiguracji kryptograficznej, certyfikat oparty jest na kryptografii asymetrycznej. Token nie obsługuje trybów offline, certyfikat typu 2 jest do tego niezbędny. Token przestaje działać 31 grudnia 2026 roku, certyfikat jest ważny przez dwa lata i stanowi docelowy standard. Token jest prostszy we wdrożeniu, certyfikat wymaga procedury wnioskowania i konfiguracji w systemie. Przy zmianie uprawnień token trzeba zastąpić nowym, certyfikat pozostaje ważny po zmianie uprawnień w systemie. W zakresie bezpieczeństwa token ma poziom hasła alfanumerycznego, certyfikat – poziom podpisu kwalifikowanego.

Kiedy warto już teraz przejść na certyfikat?

Dla firm budowlanych i deweloperów z rozbudowanymi systemami ERP odpowiedź jest jednoznaczna: migracja na certyfikat powinna nastąpić jak najwcześniej, bez czekania na koniec roku 2026. Powodów jest kilka.

Ciągłość operacyjna przy awariach i trybie offline to pierwszy argument. Plac budowy bez dostępu do internetu, awaria łącza w biurze rozliczeń, planowana przerwa techniczna w KSeF – każdy z tych scenariuszy wymaga możliwości wystawienia faktury offline. Bez certyfikatu typu 2 firma jest w takiej sytuacji zablokowana. Przy kilkudziesięciu fakturach wystawianych każdego dnia opóźnienie ma realne skutki dla płynności finansowej i terminów płatności podwykonawców.

Bezpieczeństwo danych finansowych to drugi argument. Token, który „wycieknie" z konfiguracji systemu IT – przez atak hakerski, błąd pracownika lub nieuprawniony dostęp do serwera – daje intruzowi pełne uprawnienia w KSeF w zakresie, jaki token zawierał. Certyfikat bez klucza prywatnego jest bezużyteczny dla osoby trzeciej.

Unikanie migracji w pośpiechu to trzeci argument. Firmy, które zostawią przejście na certyfikat na IV kwartał 2026 roku, będą robić to razem z dziesiątkami tysięcy innych podatników. Wsparcie techniczne dostawców oprogramowania będzie przeciążone, testy integracyjne będą realizowane pod presją czasu, a ryzyko błędów konfiguracyjnych – wyższe.

Jak wygenerować certyfikat KSeF krok po kroku?

Proces uzyskania certyfikatu jest kilkuetapowy, ale niezbyt skomplikowany. Uwierzytelnienie w KSeF: należy zalogować się do Aplikacji Podatnika KSeF jedną z podstawowych metod – Profilem Zaufanym, podpisem kwalifikowanym lub pieczęcią kwalifikowaną. Złożenie wniosku: w sekcji zarządzania certyfikatami wybiera się opcję wnioskowania o certyfikat, podaje dane osoby fizycznej lub podmiotu zgodne z tymi, które były użyte do uwierzytelnienia. Pobranie certyfikatu: po przetworzeniu wniosku (zazwyczaj natychmiast lub w ciągu chwil) certyfikat jest gotowy do pobrania jako plik. Konfiguracja w systemie ERP: plik certyfikatu wgrywa się do oprogramowania w sposób określony przez producenta – zwykle w sekcji ustawień połączenia z KSeF.

Środowiska testowe i produkcyjne KSeF są od siebie całkowicie niezależne. Certyfikat wygenerowany w środowisku testowym nie zadziała w produkcyjnym i odwrotnie. Przy konfiguracji integracji trzeba zachować spójność: certyfikat produkcyjny dla środowiska produkcyjnego, testowy dla testów.

Jak program KSeF Develogic obsługuje oba mechanizmy uwierzytelnienia – token i certyfikat – w środowisku wielopodmiotowym, gdzie kilka spółek celowych dewelopera korzysta z jednego systemu? Odpowiedź znajdziesz w opisie programu KSeF Develogic. Konfigurację certyfikatów dla firm budowlanych i deweloperów, w tym obsługę trybów offline i awaryjnych, omawiamy szczegółowo na szkoleniach KSeF dla branży budowlanej. Umów bezpłatne demo i sprawdź, jak system zarządza certyfikatami w środowisku z wieloma użytkownikami i kontraktami.

FAQ – Czym się różni token od certyfikatu w KSeF

Czy token wygenerowany w KSeF 1.0 przed 1 lutego 2026 roku działa w KSeF 2.0?

Nie. Tokeny wygenerowane w starym systemie KSeF 1.0 utraciły ważność po wdrożeniu KSeF 2.0 w lutym 2026 roku. Konieczne było wygenerowanie nowych tokenów bezpośrednio w KSeF 2.0. Firmy, które nie wykonały tej migracji, napotkały błędy autoryzacji przy pierwszych próbach połączenia z nowym systemem. To jeden z najczęstszych problemów zgłaszanych przez działy IT w pierwszych tygodniach po uruchomieniu KSeF 2.0.

Czy jeden certyfikat KSeF może obsługiwać kilka firm (NIP-ów)?

Certyfikat jest powiązany z konkretną osobą fizyczną (NIP lub PESEL) lub konkretnym podmiotem. Nie obsługuje wielu NIP-ów jednocześnie z jednego pliku. Jednak system uwzględnia powiązania między identyfikatorami – osoba fizyczna uwierzytelniona certyfikatem na swój PESEL może działać w kontekście NIP-ów firm, do których ma nadane uprawnienia. W środowiskach wielospółkowych każda spółka potrzebuje własnego certyfikatu podmiotowego lub osoba mająca uprawnienia w wielu spółkach loguje się certyfikatem osobistym i przełącza konteksty.

Czy token i certyfikat można używać jednocześnie do tego samego systemu?

Tak – do końca 2026 roku obie metody działają równolegle i nie wykluczają się wzajemnie. Firma może mieć skonfigurowany certyfikat jako główną metodę integracji z KSeF i zachować token jako rozwiązanie zapasowe. Warto jednak zadbać o to, by do końca roku IV kwartału 2026 certyfikat był w pełni skonfigurowany i przetestowany, tak żeby przejście po 31 grudnia nie wymagało żadnych nagłych działań.

Co się stanie, jeśli firma nie przejdzie na certyfikat do 1 stycznia 2027 roku?

Od 1 stycznia 2027 roku tokeny przestają być obsługiwane przez system KSeF. Oprogramowanie skonfigurowane wyłącznie z tokenem nie będzie mogło się połączyć z API KSeF i nie wyśle żadnej faktury. W praktyce oznacza to blokadę całego procesu fakturowania do momentu wdrożenia certyfikatu. Przy dużej skali operacji – generalny wykonawca wystawiający kilkaset faktur miesięcznie – każdy dzień przestoju ma wymierny koszt finansowy i organizacyjny.

Żadna pozycja na fakturze w branży budowlanej nie wywołuje tylu sporów co stawka VAT. Deweloper sprzedający lokal z garażem nie wie, czy zastosować 8% do całości, czy podzielić. Wykonawca budujący blok z lokalami usługowymi pyta, jak rozliczyć roboty przy częściach niemieszkaniowych. Firma wykończeniowa remontuje mieszkanie o powierzchni 160 m² i zastanawia się, czy przekroczenie limitu oznacza 23% dla całości, czy tylko dla nadwyżki. W KSeF błędna stawka VAT w pliku XML to nie tylko problem rachunkowy – to potencjalny błąd w ewidencji JPK, podstawa do wezwania ze strony organu podatkowego i ryzyko konieczności korekty całego łańcucha dokumentów. Ten przewodnik wyjaśnia, kiedy obowiązuje stawka 8%, kiedy 23%, i jak kontrolować poprawność stawek w systemie fakturowania.

Zasada wyjściowa: 23% jako reguła ogólna

Punktem startowym jest zawsze stawka podstawowa. Zgodnie z art. 41 ust. 1 ustawy o VAT stawka podatku wynosi 23%. Obejmuje ona sprzedaż gruntów niezabudowanych (innych niż rolne), materiałów budowlanych, usług budowlanych dotyczących obiektów innych niż mieszkalne oraz wszelkich robót realizowanych na obiektach komercyjnych: biurowcach, halach, centrach handlowych, garażach wolnostojących, obiektach przemysłowych i użyteczności publicznej.

W praktyce 23% obowiązuje zawsze, gdy nie zostanie spełniony żaden z warunków uprawniających do stawki obniżonej. To ważna zasada proceduralna: ciężar udowodnienia, że stawka 8% jest zasadna, spoczywa na podatniku. Organ podatkowy nie musi wykazywać, że stawka obniżona była zastosowana błędnie – wystarczy, że podatnik nie udokumentuje spełnienia warunków.

Stawka 8% – kiedy i na jakich warunkach?

Podstawą do stosowania stawki 8% jest art. 41 ust. 12 ustawy o VAT. Przepis ten wskazuje, że stawkę obniżoną stosuje się do dostawy, budowy, remontu, modernizacji, termomodernizacji, przebudowy lub robót konserwacyjnych dotyczących obiektów budowlanych lub ich części zaliczonych do budownictwa objętego społecznym programem mieszkaniowym.

Kluczowa jest definicja tego budownictwa, zawarta w art. 41 ust. 12a ustawy o VAT. Obejmuje ona obiekty budownictwa mieszkaniowego lub ich części, z wyłączeniem lokali użytkowych, oraz lokale mieszkalne w budynkach niemieszkalnych sklasyfikowanych w PKOB w dziale 12. Z kolei obiektami budownictwa mieszkaniowego – zgodnie z art. 2 pkt 12 ustawy – są budynki mieszkalne stałego zamieszkania sklasyfikowane w PKOB w dziale 11, czyli budynki jednorodzinne (PKOB 111), budynki o dwóch i więcej mieszkaniach (PKOB 112) oraz budynki zbiorowego zamieszkania (PKOB 113).

Limity powierzchni – kluczowy warunek przy 8%

Art. 41 ust. 12b ustawy o VAT wprowadza granicę, po przekroczeniu której stawka obniżona nie ma zastosowania w pełnym zakresie. Dla budynków mieszkalnych jednorodzinnych limit wynosi 300 m² powierzchni użytkowej. Dla lokali mieszkalnych limit wynosi 150 m² powierzchni użytkowej.

Jeżeli budynek lub lokal przekracza te limity, stawka 8% obowiązuje proporcjonalnie do limitu, a nadwyżka jest opodatkowana stawką 23%. Deweloper budujący dom jednorodzinny o powierzchni 350 m² może zastosować 8% wyłącznie do 300 m², a pozostałe 50 m² musi opodatkować stawką podstawową. Udział procentowy powierzchni objętej limitem w całkowitej powierzchni decyduje o proporcji, w jakiej dzielona jest podstawa opodatkowania.

Istotne jest, że limit odnosi się do powierzchni użytkowej, nie całkowitej. Garaże, piwnice, strychy o niskiej wysokości – w zależności od przyjętej metodologii obliczania powierzchni użytkowej – mogą lub nie wchodzić do limitu. Warto przy każdym projekcie zweryfikować, jaką powierzchnię wskazuje projekt budowlany i czy jest ona zgodna z definicją powierzchni użytkowej przyjętą dla celów VAT.

Budynek mieszkalny z lokalami użytkowymi – jak rozliczyć?

Jeden z najczęstszych problemów deweloperów i generalnych wykonawców to budynek mieszkalny wielorodzinny zawierający w parterze lokale użytkowe. Jak rozliczyć usługi budowlane dla całego budynku?

Odpowiedź zależy od sposobu sformułowania umowy i klasyfikacji PKOB budynku. Jeżeli umowa dotyczy budynku jako całości, a budynek jest sklasyfikowany w PKOB w dziale 11 (budownictwo mieszkaniowe), organy podatkowe w utrwalonej linii interpretacyjnej akceptują zastosowanie stawki 8% do całości robót – włącznie z lokalami użytkowymi w bryle budynku. Tak wskazał m.in. Dyrektor Izby Skarbowej w Poznaniu: gdy umowa zawarta jest na wykonanie całości budynku sklasyfikowanego w PKOB 1122, stawka 8% ma zastosowanie do całości robót, a struktura procentowa lokali mieszkalnych i użytkowych nie ma znaczenia.

Jeżeli jednak umowa wyraźnie wyodrębnia roboty przy części mieszkalnej i przy części użytkowej (np. osobne pozycje kosztorysu, osobne odbiory), wówczas do każdej części należy zastosować właściwą stawkę: 8% dla części mieszkalnej, 23% dla użytkowej. Zapis umowy decyduje więc o sposobie fakturowania. Oznacza to, że na etapie negocjowania kontraktu z deweloperem warto zadbać o odpowiednie sformułowanie przedmiotu umowy, by nie tworzyć konieczności sztucznego podziału.

Garaż – wolnostojący i w bryle budynku to dwa różne przypadki

Garaż to najczęstszy przedmiot sporu przy ustalaniu stawki VAT. Zasada jest tu stosunkowo klarowna, choć bywa mylnie stosowana. Garaż wbudowany w bryłę budynku mieszkalnego – w kondygnacji podziemnej lub na poziomie parteru – jest częścią obiektu budownictwa mieszkaniowego i korzysta ze stawki 8% przy realizacji robót dla całego budynku. Garaż wolnostojący – jako odrębna budowla poza bryłą budynku mieszkalnego – nie jest obiektem budownictwa mieszkaniowego i podlega stawce 23%.

Przy sprzedaży lokalu mieszkalnego wraz z garażem wolnostojącym jako odrębnym towarem stawka 23% dotyczy garażu, a 8% – lokalu. Taka kombinacja na jednej fakturze wymaga wyraźnego wyodrębnienia obu pozycji z osobnymi kwotami i stawkami. W KSeF faktura z dwiema pozycjami o różnych stawkach jest technicznie standardowa – każdy wiersz FaWiersz posiada własne pole stawki VAT. Problem pojawia się, gdy system ERP automatycznie przypisuje jedną stawkę do całości transakcji bez możliwości jej różnicowania na poziomie pozycji.

Sprzedaż nieruchomości przez dewelopera – dostawa towaru w stawce 8%

Deweloper sprzedający gotowy lokal mieszkalny dokonuje dostawy towaru w rozumieniu art. 7 ustawy o VAT, a nie świadczenia usługi budowlanej. Podstawa prawna dla stawki 8% jest ta sama – art. 41 ust. 12 – ale kategoria czynności jest inna: dostawa. Skutki praktyczne są jednak identyczne: lokal mieszkalny do 150 m² w budynku z działu PKOB 11 korzysta ze stawki 8%. Lokal powyżej 150 m² jest opodatkowany częściowo 8%, częściowo 23% w proporcji odpowiadającej udziałowi limitowanej powierzchni w powierzchni całkowitej.

Lokale użytkowe sprzedawane przez dewelopera – niezależnie od metrażu – podlegają stawce 23% jako obiekty niebędące budownictwem mieszkaniowym. Garaż stanowiący odrębną nieruchomość – 23%. Udziały w nieruchomości wspólnej (klatka schodowa, windy) sprzedawane łącznie z lokalem mieszkalnym dzielą stawkę lokalu.

Materiały budowlane – zawsze 23%, niezależnie od przeznaczenia

Jedna z częstych pomyłek w branży: zakup materiałów budowlanych (cegły, cement, stal, izolacje) przeznaczonych na budowę budynku mieszkalnego jest zawsze opodatkowany stawką 23%. Stawka 8% nie dotyczy samych materiałów jako towarów – obejmuje wyłącznie usługi budowlane lub dostawę gotowych obiektów. Firma budowlana kupuje materiały z VAT 23% i odlicza go jako podatek naliczony. Sprzedając usługę budowlaną w budynku mieszkalnym, fakturuje ją ze stawką 8%. Ta asymetria jest wbudowana w system i nie stanowi błędu – stanowi źródło zwrotów VAT dla wielu firm budowlanych.

KSeF a kontrola poprawności stawek – co zmienia e-faktura?

Wprowadzenie obowiązkowego KSeF i struktury FA(3) nie zmienia przepisów dotyczących stawek VAT, ale znacząco zwiększa ryzyko związane z ich błędnym zastosowaniem. W środowisku papierowym błędna stawka mogła zostać wykryta podczas kontroli dokumentów za poprzednie lata. W KSeF każda faktura jest natychmiast dostępna dla administracji skarbowej w czasie rzeczywistym. Analityczne algorytmy KAS mogą automatycznie sygnalizować rozbieżności między stawkami stosowanymi przez danego podatnika a profilem jego działalności.

Dla firm budowlanych i deweloperskich oznacza to konieczność skonfigurowania systemu ERP tak, aby stawka VAT była przypisywana automatycznie na podstawie rodzaju obiektu i zakresu robót – nie ręcznie przez pracownika przy każdej fakturze. W praktyce wymaga to słownika produktów i usług z przypisanymi stawkami, powiązanego z klasyfikacją PKOB i danymi umowy. Każda pozycja faktury w FA(3) posiada pole stawki VAT (P_12 w FaWiersz) – jeśli system nie weryfikuje jego wartości przed wysyłką, ryzyko błędu pozostaje nieusunięte.

Automatyczna kontrola stawek VAT w fakturach wystawianych przez firmy budowlane i deweloperów – z uwzględnieniem klasyfikacji PKOB i limitów powierzchniowych – jest jednym z elementów, jakie powinien obsługiwać system zintegrowany z KSeF. Jak program KSeF Develogic wspiera weryfikację stawek na etapie wystawiania faktury i minimalizuje ryzyko błędów przy złożonej strukturze projektu budowlanego – sprawdź na bezpłatnym demo. Szczegółowe case studies z zakresu stawek VAT w budownictwie mieszkaniowym i deweloperce omawiamy na szkoleniach KSeF dla branży budowlanej.

FAQ – podatki w deweloperce

Czy stawka 8% VAT dotyczy tylko usług dla osób prywatnych, czy również dla firm?

Dotyczy obu grup nabywców. Stawka obniżona jest przypisana do rodzaju obiektu i zakresu robót, a nie do statusu nabywcy. Firma budowlana wykonująca remont mieszkania dla spółki z o.o. stosuje 8% tak samo, jak przy pracach dla osoby fizycznej – o ile lokal spełnia warunki budownictwa objętego społecznym programem mieszkaniowym. Przekonanie, że 8% przysługuje wyłącznie przy sprzedaży dla konsumentów, jest powszechnym błędem nieznajdującym podstawy w przepisach.

Co decyduje o stawce VAT przy budynku mieszkalnym z lokalami użytkowymi – proporcja powierzchni czy treść umowy?

Treść umowy ma decydujące znaczenie. Jeśli kontrakt dotyczy całego budynku sklasyfikowanego w PKOB 11, organy podatkowe akceptują stawkę 8% dla całości robót, niezależnie od udziału lokali użytkowych w budynku. Jeśli umowa wyodrębnia roboty przy poszczególnych częściach budynku, do każdej należy przypisać właściwą stawkę. Sformułowanie umowy to decyzja podatkowo-prawna, którą warto podjąć świadomie przed podpisaniem kontraktu.

Czy przekroczenie limitu 150 m² dla lokalu mieszkalnego oznacza 23% VAT dla całości?

Nie – stawka 23% dotyczy wyłącznie nadwyżki ponad limit. Udział procentowy powierzchni limitowanej (150 m²) w całkowitej powierzchni lokalu wyznacza proporcję, w jakiej dzielona jest podstawa opodatkowania: ta część jest opodatkowana 8%, nadwyżka 23%. Na fakturze lub w jej uzasadnieniu powinno być jasno wskazane, jak obliczono proporcję i jaką dokumentację to potwierdza.

Jak w KSeF prawidłowo wykazać fakturę z dwiema stawkami VAT przy sprzedaży lokalu z garażem wolnostojącym?

Faktura w FA(3) powinna zawierać dwa odrębne wiersze FaWiersz: jeden dla lokalu mieszkalnego ze stawką 8% i wartością odpowiadającą cenie lokalu, drugi dla garażu wolnostojącego ze stawką 23% i jego wartością. Sekcja Podsumowanie zsumuje VAT z obu stawek osobno. System ERP musi obsługiwać faktury mieszanostawkowe – brak tej funkcji oznacza konieczność ręcznego wprowadzania danych lub rozdzielenia transakcji na dwie faktury, co komplikuje dokumentację cywilnoprawną.

Krajowy System e-Faktur nie jest narzędziem jednego użytkownika. W każdej firmie budowlanej czy deweloperskiej wokół procesu fakturowania krąży kilka osób i podmiotów: właściciel lub zarząd, główny księgowy, dział rozliczeń, kierownicy budów zatwierdzający etapy robót, biuro rachunkowe, a niekiedy generalny wykonawca wystawiający faktury w imieniu podwykonawcy. Każda z tych ról wymaga innego zakresu dostępu do systemu. KSeF oferuje precyzyjnie zdefiniowane modele i typy uprawnień – kluczem do bezpiecznego i sprawnego działania jest ich właściwe przypisanie. Ten przewodnik wyjaśnia, co każdy rodzaj uprawnienia oznacza w praktyce i jak zaprojektować strukturę dostępów dopasowaną do specyfiki dużej organizacji budowlanej.

Uprawnienia właścicielskie – fundament systemu

Punkt wyjścia w KSeF stanowią uprawnienia właścicielskie. Przysługują one podatnikowi – osobie fizycznej prowadzącej działalność gospodarczą lub podmiotowi (spółce, fundacji, innej organizacji) identyfikowanemu numerem NIP. Właściciel ma pełny dostęp do wszystkich funkcji systemu: wystawia faktury, pobiera dokumenty, zarządza uprawnieniami innych użytkowników i nie może zostać pozbawiony tego dostępu przez nikogo. Uprawnienia właścicielskie są niezbywalne i nieodwoływalne przez inne podmioty.

Dla JDG uprawnienia właścicielskie aktywują się automatycznie – wystarczy pierwsze logowanie Profilem Zaufanym lub podpisem kwalifikowanym w kontekście NIP firmy. Dla spółek sytuacja jest bardziej złożona: jeśli podmiot nie dysponuje kwalifikowaną pieczęcią elektroniczną zawierającą NIP, musi złożyć formularz ZAW-FA wskazujący pierwszą osobę fizyczną, która zaloguje się jako reprezentant i uruchomi możliwość dalszego zarządzania dostępami. Dopiero od tego momentu firma może budować własną strukturę uprawnień w systemie.

Cztery podstawowe typy uprawnień w modelu standardowym

W modelu standardowym – przeznaczonym dla zdecydowanej większości firm – KSeF wyróżnia trzy główne funkcje, które można nadawać niezależnie od siebie lub łączyć.

Pierwsze to uprawnienie do wystawiania faktur. Osoba lub podmiot z tym dostępem może tworzyć i przesyłać faktury ustrukturyzowane do KSeF w imieniu podatnika. Jest to najbardziej operacyjne uprawnienie – przeznaczone dla pracowników działu rozliczeń, handlowców wystawiających faktury sprzedażowe i biur rachunkowych obsługujących fakturowanie klientów. Samo uprawnienie do wystawiania nie daje wglądu w faktury zakupowe ani w inne dokumenty systemu.

Drugie to uprawnienie do dostępu i przeglądania faktur. Osoba z tym dostępem widzi wszystkie faktury zarejestrowane na koncie podatnika – zarówno wystawione, jak i odebrane – bez możliwości tworzenia nowych dokumentów ani ingerowania w system. To uprawnienie właściwe dla audytorów wewnętrznych, dyrektorów finansowych kontrolujących obieg dokumentów, czy pracowników działu zakupów weryfikujących faktury przychodzące od dostawców.

Trzecie to uprawnienie do zarządzania uprawnieniami innych użytkowników. Jest to najszerszy dostęp możliwy do nadania podmiotowi zewnętrznemu lub pracownikowi. Osoba z tym uprawnieniem może samodzielnie dodawać i odbierać dostępy dla kolejnych użytkowników – ale wyłącznie w zakresie nieprzekraczającym własnych uprawnień. To uprawnienie przeznaczone dla administratorów systemu KSeF w firmie: głównych księgowych lub IT managerów zarządzających dostępami dla całego działu.

Czwarte, specyficzne uprawnienie dotyczy samofakturowania – o nim piszemy osobno poniżej.

Uprawnienia bezpośrednie i pośrednie

W modelu standardowym KSeF rozróżnia dwa sposoby przypisywania dostępów ze względu na ścieżkę nadania.

Uprawnienia bezpośrednie to te, które podatnik (właściciel konta) nadaje wprost konkretnej osobie fizycznej lub podmiotowi. Pracownik działu rozliczeń upoważniony przez prezesa spółki do wystawiania faktur – to przykład uprawnienia bezpośredniego. Osoba lub podmiot jest widoczna na liście uprawnień podatnika jako bezpośredni beneficjent dostępu.

Uprawnienia pośrednie powstają, gdy podmiot uprawniony bezpośrednio przez podatnika (np. biuro rachunkowe) przekazuje dostęp dalej – swoim pracownikom. Pracownicy biura działają wówczas w imieniu klienta biura, korzystając z uprawnień pośrednich. Zakres ich działania nie może przekraczać zakresu przyznanego biuru przez klienta. System zapewnia, że delegowanie uprawnień działa wyłącznie jeden poziom w dół: biuro może nadać dostęp pracownikom, ale pracownicy biura nie mogą delegować dostępu kolejnym podmiotom.

Model samofakturowania – uprawnienie specjalne dla GW i nabywców

Samofakturowanie to procedura, w której nabywca towaru lub usługi wystawia fakturę w imieniu sprzedawcy. W branży budowlanej korzysta z niej generalny wykonawca wystawiający faktury za roboty podwykonawcy – na podstawie zaakceptowanego protokołu odbioru, bez czekania na dokument ze strony podwykonawcy.

W KSeF samofakturowanie wymaga formalnego uprawnienia nadanego przez sprzedawcę (podwykonawcę) nabywcy (GW) w systemie. Samo zawarcie umowy cywilnoprawnej o samofakturowanie nie wystarcza – bez konfiguracji w KSeF system odrzuci fakturę wysyłaną przez nabywcę w imieniu sprzedawcy. Uprawnienie do samofakturowania nadaje sprzedawca w sekcji zarządzania uprawnieniami, wskazując NIP nabywcy jako podmiot uprawniony do wystawiania faktur w jego imieniu.

Ważne ograniczenie: podmiot uprawniony do samofakturowania nie ma przy tym dostępu do pozostałych faktur sprzedawcy w KSeF. Widzi wyłącznie te dokumenty, które sam wystawił w ramach procedury self-billing. To celowe rozwiązanie chroniące poufność danych sprzedawcy – generalny wykonawca nie uzyska wglądu w całą historię fakturową podwykonawcy, tylko w faktury wynikające z ich wzajemnej współpracy. Faktura wystawiona w trybie samofakturowania musi zawierać oznaczenie w polu P_17 struktury FA(3) oraz ma w systemie przypisany NIP nabywcy jako wystawcy – co odróżnia ją od standardowych faktur podwykonawcy.

Model JST i grup VAT – dla kontraktów publicznych

Firmy budowlane realizujące kontrakty dla gmin, powiatów i urzędów marszałkowskich powinny znać specyficzny model uprawnień przewidziany dla jednostek samorządu terytorialnego. JST mogą nadawać uprawnienia bezpośrednio osobom fizycznym lub jednostkom podrzędnym (szkołom, ośrodkom kultury, zakładom budżetowym). Jednostki podrzędne mogą z kolei przekazywać uprawnienia dalej, ale wyłącznie w zakresie wystawiania i odbierania faktur. Aby jednostka podrzędna JST mogła wystawić fakturę lub być wskazana jako odbiorca, musi być wpisana jako Podmiot3 w strukturze faktury XML z rolą o wartości 7 (jednostka JST – wystawca).

Dla firm budowlanych wystawiających faktury w kontraktach publicznych oznacza to jedno: zanim wyślą pierwszą fakturę do gminy lub powiatu w KSeF, muszą wiedzieć, którą jednostkę wskazać jako odbiorcę – sam NIP JST może okazać się niewystarczający, jeśli inwestycja jest prowadzona przez wydzieloną jednostkę budżetową posiadającą własne konto w systemie.

Jak zaprojektować strukturę uprawnień w dużej firmie budowlanej?

Generalny wykonawca z kilkudziesięcioma pracownikami i kilkoma równoległymi kontraktami potrzebuje przemyślanej architektury dostępów, a nie przypadkowego zestawu kont. Kilka zasad, które warto wdrożyć.

Zasada minimalnych uprawnień mówi, żeby każdemu użytkownikowi przyznawać wyłącznie taki zakres, jaki jest niezbędny do jego zadań. Kierownik budowy, który zatwierdza protokoły odbioru i inicjuje wystawianie faktur, potrzebuje dostępu do przeglądania – nie do zarządzania uprawnieniami. Handlowiec wystawiający faktury za sprzedaż materiałów potrzebuje uprawnienia do wystawiania – nie do wglądu w faktury zakupowe całej firmy. Mieszanie zakresów bez potrzeby to ryzyko nieuprawnionego dostępu do danych finansowych.

Zasada audytu dostępów polega na regularnym, co najmniej kwartalnym przeglądzie listy aktywnych uprawnień w systemie. Pracownicy odchodzą, zmieniają stanowiska, kończy się współpraca z biurem rachunkowym – żaden z tych zdarzeń nie powoduje automatycznego cofnięcia dostępu w KSeF. Zarządzanie uprawnieniami wymaga aktywnej ingerencji właściciela lub administratora systemu.

Zasada redundancji administratora oznacza posiadanie przynajmniej dwóch osób z uprawnieniem do zarządzania dostępami – na wypadek nieobecności lub odejścia głównego administratora. Utrata jedynego administratora konta w firmie może zablokować proces nadawania dostępów nowym pracownikom lub zmiany uprawnień istniejących.

Jak skonfigurować strukturę uprawnień dla firmy z kilkoma kontraktami, kilkudziesięcioma użytkownikami i zewnętrznym biurem rachunkowym – krok po kroku pokazujemy na szkoleniach KSeF dla branży budowlanej. Program KSeF Develogic pozwala zarządzać uprawnieniami dla wielu podmiotów z jednego panelu, z pełną kontrolą nad zakresem dostępów na każdym poziomie organizacji. Sprawdź to w praktyce – umów bezpłatne demo.

FAQ – rodzaje uprawnień KSeF

Czy właściciel firmy może stracić dostęp do KSeF, jeśli administrator konta odbierze mu uprawnienia?

Nie. Uprawnienia właścicielskie są nieodwoływalne i nie mogą być odebrane przez żaden podmiot zewnętrzny ani przez żadnego użytkownika systemu. Administrator może zarządzać dostępami innych użytkowników, ale nigdy nie ingeruje w uprawnienia właścicielskie podatnika. Właściciel zawsze zachowuje pełen dostęp do swojego konta.

Czy pracownik z uprawnieniem do wystawiania faktur widzi faktury zakupowe firmy?

Nie – samo uprawnienie do wystawiania faktur nie daje dostępu do przeglądania dokumentów. Wgląd w faktury (zarówno wystawione, jak i odebrane) zapewnia odrębne uprawnienie dostępu do faktur. Jeśli pracownik ma mieć dostęp do obu funkcji, musi otrzymać oba uprawnienia osobno.

Czy w ramach jednego konta w KSeF można mieć różnych użytkowników z różnymi zakresami uprawnień?

Tak – i jest to zalecane rozwiązanie dla firm z rozbudowaną strukturą. KSeF pozwala na tworzenie dowolnej liczby profili dostępu o zróżnicowanym zakresie: osoba A wystawia faktury, osoba B tylko je przegląda, osoba C zarządza uprawnieniami, podmiot D ma uprawnienie do samofakturowania. Każdy użytkownik działa wyłącznie w granicach przyznanego dostępu.

Co się dzieje z uprawnieniami pracownika w KSeF, gdy rozwiązuje się z nim umowę o pracę?

Absolutnie nic – automatycznie. Rozwiązanie stosunku pracy nie powoduje żadnych zmian w systemie KSeF. Pracodawca musi ręcznie odebrać uprawnienia byłemu pracownikowi w sekcji zarządzania dostępami. Zaniedbanie tego kroku oznacza, że była osoba technicznie nadal może działać w systemie w imieniu firmy. Odbieranie uprawnień przy zakończeniu współpracy powinno być elementem firmowej procedury offboardingu.

Wdrożenie KSeF nie zmienia odpowiedzi na jedno z kluczowych pytań w relacji przedsiębiorca–księgowy: kto fizycznie obsługuje faktury? Dla większości firm budowlanych i deweloperskich to biuro rachunkowe lub zewnętrzny dział finansowy prowadzi bieżący obieg dokumentów. W środowisku papierowym wystarczyło dostarczyć paczki faktur co miesiąc. W KSeF dostęp do systemu musi być formalnie nadany – i od tej czynności zależy, czy biuro rachunkowe w ogóle zobaczy faktury klienta. Poniżej wyjaśniamy, jak ten proces przebiega krok po kroku, jakie rodzaje dostępu wchodzą w grę i gdzie leżą pułapki, których lepiej uniknąć.

Dlaczego biuro rachunkowe potrzebuje formalnego dostępu do KSeF?

KSeF nie jest skrzynką mailową, do której można komuś przekazać login i hasło. Każdy, kto chce działać w systemie – wystawiać faktury, odbierać dokumenty, zarządzać uprawnieniami – musi uwierzytelnić się własną metodą identyfikacji i działać w ścisłe określonym kontekście. Biuro rachunkowe jako podmiot zewnętrzny nie ma automatycznego dostępu do konta żadnego ze swoich klientów. Musi zostać formalnie upoważnione przez podatnika.

Ta zasada ma swoje uzasadnienie. Odpowiedzialność podatkowa za prawidłowość faktur wystawianych w KSeF spoczywa zawsze na podatniku – sprzedawcy. Biuro rachunkowe działające w imieniu klienta jest podmiotem wykonującym usługę, nie stroną transakcji. Dlatego system wymaga, żeby zakres uprawnień biura był świadomie określony przez właściciela konta, a samo biuro działało wyłącznie w granicach przyznanego dostępu. Nadanie uprawnień biuru rachunkowemu jest więc zarówno wymogiem technicznym, jak i elementem ładu korporacyjnego w zarządzaniu dokumentami podatkowymi.

Dwie ścieżki nadania dostępu: elektroniczna i przez ZAW-FA

Sposób, w jaki firma budowlana nadaje biuru rachunkowemu dostęp do KSeF, zależy od formy prawnej firmy i posiadanych narzędzi uwierzytelnienia.

Dla jednoosobowej działalności gospodarczej ścieżka jest najprostsza. Właściciel JDG loguje się do KSeF Profilem Zaufanym lub podpisem kwalifikowanym, przechodzi do zakładki Uprawnienia w Aplikacji Podatnika i wpisuje NIP biura rachunkowego lub PESEL konkretnej osoby, której chce przyznać dostęp. Wybiera zakres uprawnień i zatwierdza operację. Cała procedura jest w pełni elektroniczna i zajmuje kilka minut.

Dla spółek z o.o., spółek akcyjnych i innych podmiotów niebędących osobami fizycznymi sytuacja jest bardziej złożona – jeśli spółka nie posiada kwalifikowanej pieczęci elektronicznej zawierającej NIP. W takim przypadku konieczne jest uprzednie złożenie formularza ZAW-FA (Zawiadomienie o nadaniu lub odebraniu uprawnień do korzystania z KSeF). Formularz wskazuje jedną osobę fizyczną – przedstawiciela spółki – która uzyska pierwotny dostęp właścicielski do konta spółki w KSeF. Dopiero ta osoba, po zalogowaniu się do systemu, może elektronicznie nadawać dalsze uprawnienia – w tym dostęp dla biura rachunkowego.

Formularz ZAW-FA w wersji obowiązującej od 1 lutego 2026 roku (ZAW-FA wersja 3) składa się do właściwego urzędu skarbowego w formie papierowej lub elektronicznie przez e-Urząd Skarbowy z podpisem kwalifikowanym. Ważne: za pośrednictwem ePUAP ZAW-FA od 1 stycznia 2026 roku nie jest uznawany za skutecznie doręczony – jeśli ktoś korzystał dotychczas z tej drogi, musi zmienić kanał dostarczenia. Przetwarzanie formularza przez urząd skarbowy trwa zazwyczaj kilka dni roboczych, co warto uwzględnić w planowaniu.

Jakie uprawnienia można nadać biuru rachunkowemu?

System KSeF rozróżnia kilka rodzajów uprawnień, które można przyznawać niezależnie od siebie. Pierwsze z nich to uprawnienie do wystawiania faktur ustrukturyzowanych – biuro rachunkowe z tym dostępem może w imieniu klienta wystawiać i wysyłać faktury do systemu. Drugie to uprawnienie do dostępu i przeglądania faktur – biuro widzi wszystkie faktury klienta w KSeF, zarówno wystawione, jak i odebrane, bez możliwości tworzenia nowych dokumentów. Trzeci rodzaj to uprawnienie do zarządzania uprawnieniami innych użytkowników – jest to uprawnienie najszersze, pozwalające biuru rachunkowemu samodzielnie dodawać i usuwać dostępy dla pracowników klienta. Czwarty typ to uprawnienie specyficzne dotyczące samofakturowania (wystawiania faktur w imieniu sprzedawcy przez nabywcę), omawiane szerzej w kontekście relacji generalny wykonawca–podwykonawca.

Warto przy tym zapamiętać zasadę jednego poziomu delegowania: biuro rachunkowe może nadać dostęp swoim pracownikom, ale wyłącznie w zakresie nieprzekraczającym uprawnień, jakie samo otrzymało od klienta. Jeśli klient przyznał biuru tylko prawo przeglądania faktur, żaden pracownik biura nie może uzyskać szerszego dostępu. Delegowanie uprawnień nie działa w dół nieskończenie – zatrzymuje się na pracownikach biura.

Upoważnić biuro rachunkowe można jako podmiot (wskazując NIP biura) lub imiennie (wskazując PESEL lub NIP konkretnego pracownika). Podejście podmiotowe jest wygodniejsze przy rotacji kadry w biurze – klient nie musi aktualizować dostępów przy każdej zmianie osoby obsługującej jego konto. Biuro rachunkowe samo zarządza wewnętrznymi uprawnieniami w ramach przyznanego zakresu.

Krok po kroku: nadanie dostępu dla biura rachunkowego w Aplikacji Podatnika

Dla JDG lub osoby, która już ma dostęp właścicielski do konta spółki, procedura w Aplikacji Podatnika KSeF przebiega następująco. Po zalogowaniu należy przejść do sekcji Zarządzanie uprawnieniami. Wybrać opcję Nadaj uprawnienia i wpisać NIP biura rachunkowego lub PESEL konkretnej osoby. Następnie zaznaczyć właściwe rodzaje uprawnień spośród dostępnych – wystawianie, przeglądanie, zarządzanie lub samofakturowanie. Zatwierdzić operację wybraną metodą uwierzytelnienia (Profil Zaufany, podpis kwalifikowany lub certyfikat KSeF). Biuro rachunkowe od tej chwili ma dostęp i może uwierzytelniać się w KSeF w kontekście NIP klienta, działając w granicach przyznanego zakresu.

Warto sprawdzić listę aktywnych uprawnień w systemie co kilka miesięcy – zwłaszcza po zmianie biura rachunkowego lub pracownika. Stare, nieodwołane uprawnienia to luka bezpieczeństwa. Cofnięcie dostępu odbywa się tą samą ścieżką co nadanie – w sekcji Zarządzanie uprawnieniami, przez wybranie danego podmiotu lub osoby i kliknięcie Odbierz uprawnienia.

Odpowiedzialność: co biuro rachunkowe może, a czego nie powinno robić?

Nadanie biuru rachunkowemu dostępu do KSeF nie oznacza przeniesienia odpowiedzialności podatkowej za wystawiane dokumenty. Biuro jako podmiot zewnętrzny nie jest stroną transakcji handlowej i nie ma pełnej wiedzy o jej okolicznościach. Wystawienie faktury w KSeF zawsze wiąże się z konsekwencjami podatkowymi po stronie klienta, dlatego rekomendowaną praktyką jest wdrożenie procedury akceptacji: biuro przygotowuje projekt faktury lub wysyła ją po potwierdzeniu przez klienta, że transakcja faktycznie miała miejsce i dane są prawidłowe. Biuro nie powinno działać autonomicznie, masowo wystawiając dokumenty bez wiedzy klienta – to naruszałoby zarówno zasady odpowiedzialności cywilnej, jak i podatkowej.

Dobrą praktyką jest uregulowanie zasad korzystania z KSeF przez biuro rachunkowe bezpośrednio w umowie o świadczenie usług księgowych – z określeniem zakresu uprawnień, procedury akceptacji dokumentów i zasad postępowania przy błędach lub korektach.

W jaki sposób firmy budowlane i deweloperskie efektywnie zarządzają uprawnieniami w KSeF przy kilku podmiotach i dziesiątkach użytkowników jednocześnie – omawiamy na szkoleniach KSeF dla branży budowlanej. Program KSeF Develogic obsługuje zarządzanie uprawnieniami wielopodmiotowe, umożliwiając kontrolowany dostęp dla biur rachunkowych, kierowników budów i działów finansowych w ramach jednej platformy. Sprawdź, jak to działa w praktyce – umów bezpłatne demo.

FAQ – uprawnienia KSeF dla biura rachunkowego

Czy biuro rachunkowe będące spółką z o.o. może samodzielnie nadać swoim pracownikom dostęp do kont klientów?

Tak, ale wyłącznie w zakresie uprawnień, jakie klient przyznał biuru jako podmiotowi. Jeśli klient nadał biuru uprawnienie do wystawiania i przeglądania faktur, biuro może przyznać pracownikom dostęp w tym samym zakresie lub węższym – nigdy szerszym. Biuro nie może samodzielnie rozszerzyć zakresu swoich uprawnień ponad to, co przyznał klient.

Ile osób można upoważnić za pomocą jednego formularza ZAW-FA?

Formularz ZAW-FA wskazuje wyłącznie jedną osobę fizyczną jako pierwotnego reprezentanta podmiotu w KSeF. To ta osoba, po pierwszym zalogowaniu się do Aplikacji Podatnika, może następnie elektronicznie nadawać dostęp kolejnym osobom i podmiotom – pracownikom, biurom rachunkowym – bez konieczności składania kolejnych formularzy papierowych.

Co się stanie z dostępem biura rachunkowego w KSeF, gdy klient zmieni biuro?

Dostęp pozostaje aktywny do momentu jego formalnego cofnięcia przez właściciela konta w sekcji Zarządzanie uprawnieniami. Zmiana biura rachunkowego nie powoduje automatycznego odwołania uprawnień poprzedniego biura. Właściciel firmy musi samodzielnie odebrać dostęp staremu biuru – przed lub niezwłocznie po zakończeniu współpracy.

Czy nadanie biuru rachunkowemu uprawnień do zarządzania uprawnieniami oznacza, że biuro może odebrać dostęp właścicielowi firmy?

Nie. Uprawnienia właścicielskie w KSeF są niepodważalne i nie mogą być odebrane przez żaden podmiot zewnętrzny – ani przez biuro rachunkowe, ani przez pracownika. Uprawnienie do zarządzania dostępami pozwala biuru dodawać i usuwać dostęp dla innych użytkowników, ale nie daje możliwości ingerencji w konto właściciela lub administratora systemu.