Wyobraź sobie, że pracownik działu zakupów, który odszedł z firmy trzy miesiące temu, nadal ma pełen dostęp do KSeF – może przeglądać wszystkie faktury sprzedażowe i kosztowe, pobierać dokumenty i w teorii korzystać z danych kontrahentów. Albo że w firmie generującej setki faktur miesięcznie jeden jedyny człowiek ma dostęp do systemu i to on jest wąskim gardłem każdej operacji. Oba scenariusze są realne tam, gdzie uprawnieniami w KSeF zarządzano niedbale lub nie zarządzano wcale. W firmach budowlanych, gdzie z fakturami stykają się działy zakupów, kierownicy kontraktów, księgowość i zewnętrzne biuro rachunkowe, precyzyjne przypisanie ról w systemie to nie formalność – to kwestia bezpieczeństwa prawnego i operacyjnego.
KSeF opiera się na ściśle kontrolowanym modelu dostępu: system nie daje nikomu automatycznych uprawnień tylko dlatego, że jest pracownikiem firmy. Każda osoba i każdy podmiot zewnętrzny, który ma działać w KSeF w imieniu podatnika, musi otrzymać jawnie i formalnie nadane uprawnienia. Punkt startowy to zawsze właściciel – podatnik identyfikowany przez NIP.
Dla jednoosobowej działalności gospodarczej właściciel loguje się samodzielnie (Profilem Zaufanym, podpisem kwalifikowanym lub – od 1 kwietnia 2026 roku – aplikacją mObywatel) i od razu dysponuje pełnym zakresem uprawnień. Dla spółek i innych podmiotów niebędących osobami fizycznymi sytuacja jest bardziej złożona: podmiot musi posiadać kwalifikowaną pieczęć elektroniczną z NIP-em albo złożyć do urzędu skarbowego zawiadomienie ZAW-FA, wskazując konkretną osobę fizyczną uprawnioną do zarządzania dostępem w systemie.
Dostępne uprawnienia w KSeF tworzą granularną strukturę, którą można dowolnie łączyć i przypisywać różnym osobom lub podmiotom.
Uprawnienie do zarządzania uprawnieniami obejmuje nadawanie, odbieranie i przeglądanie dostępów innych użytkowników w kontekście danego podatnika. To uprawnienie o najszerszym wpływie organizacyjnym – kto je posiada, decyduje o tym, kto może cokolwiek robić w systemie.
Uprawnienie do wystawiania faktur umożliwia tworzenie i przesyłanie e-faktur online. Co ważne, token generowany w KSeF nie obejmuje automatycznie wystawiania faktur w trybach offline – ta funkcjonalność wymaga odrębnej konfiguracji opartej na certyfikacie KSeF.
Uprawnienie do dostępu do faktur pozwala na przeglądanie i pobieranie dokumentów zgromadzonych w systemie – zarówno sprzedażowych, jak i zakupowych danego podatnika. Można nim obdarzyć np. dyrektora finansowego lub audytora, który potrzebuje wglądu, ale nie wystawia faktur.
Uprawnienie do samofakturowania to odrębna kategoria – dotyczy sytuacji, gdy to nabywca (np. Generalny Wykonawca) wystawia faktury w imieniu sprzedawcy (podwykonawcy). O samofakturowaniu w relacji GW–podwykonawca piszemy szerzej w osobnym artykule na tym portalu.
W 2026 roku w KSeF funkcjonują równolegle dwa mechanizmy techniczne umożliwiające automatyczne uwierzytelnianie systemów i integrację z API: tokeny i certyfikaty KSeF.
Token to ciąg znaków alfanumerycznych generowany w Module Certyfikatów i Uprawnień (MCU) – stanowi elektroniczny klucz, który program fakturowy lub system ERP używa do komunikacji z bramką KSeF bez konieczności ręcznego logowania przy każdej operacji. Token zawiera zakodowany zakres uprawnień zdefiniowany w momencie jego generowania. Nie można mu przypisać uprawnień, których nie posiada osoba generująca. Ministerstwo Finansów traktuje token dokładnie jak dane logowania do bankowości elektronicznej – jego utrata lub ujawnienie osobom nieuprawnionym to poważne ryzyko bezpieczeństwa. Tokeny będą dostępne wyłącznie do końca 2026 roku.
Certyfikat KSeF to narzędzie docelowe, dostępne od 1 listopada 2025 roku za pośrednictwem MCU, które od 1 stycznia 2027 roku stanie się jedynym mechanizmem uwierzytelniania maszynowego. Certyfikat ma ważność do 2 lat, instaluje się na serwerze lub w aplikacji i pozwala na pracę w imieniu firmy bez powiązania operacji z prywatnym podpisem konkretnego pracownika. Jest to kluczowa różnica organizacyjna: certyfikat „należy do firmy", token – choć formalnie do systemu – jest generowany w kontekście uprawnień konkretnej osoby.
W firmie budowlanej z dziesiątkami kontraktów i wieloma rodzajami dokumentów fakturowych rozsądne przypisanie ról może wyglądać następująco.
Właściciel lub zarząd posiadają uprawnienia właścicielskie – pełen zakres, w tym zarządzanie uprawnieniami. To jedyne osoby, które mogą nadawać i odbierać dostęp innym. Główna księgowa lub kierownik działu finansowego powinna posiadać zarządzanie uprawnieniami i dostęp do faktur – żeby zarządzać rolami operacyjnymi w bieżącej pracy i mieć wgląd we wszystkie dokumenty bez konieczności angażowania zarządu. Pracownicy działu fakturowania otrzymują wyłącznie uprawnienie do wystawiania faktur. Pracownicy działu zakupów i kierownicy kontraktów potrzebują tylko dostępu do faktur – mogą przeglądać dokumenty kosztowe powiązane ze swoimi budowami, ale nie wystawiają dokumentów. Zewnętrzne biuro rachunkowe powinno otrzymać dostęp do faktur oraz wystawianie faktur (jeśli wystawia faktury w imieniu klienta) – na podstawie formalnego pełnomocnictwa, najczęściej złożonego przez ZAW-FA lub nadanego elektronicznie w systemie.
Nadanie każdemu pracownikowi pełnego zakresu uprawnień to najczęstszy błąd organizacyjny przy wdrożeniu KSeF. Pracownik z dostępem do faktur i zarządzania uprawnieniami może w teorii samodzielnie nadać sobie lub osobie trzeciej dowolny zakres – włącznie z prawem do wystawiania faktur. Może też przeglądać dane kontrahentów, marże na kontraktach i strukturę kosztów w sposób nieuzasadniony jego stanowiskiem.
Jeszcze poważniejszym ryzykiem jest brak procedury offboardingowej. Cofnięcie uprawnień w KSeF musi być standardowym elementem każdej procedury rozstania z pracownikiem – na równi z odebraniem dostępu do skrzynki mailowej czy kart wejściowych. Uprawnienia pozostają aktywne do czasu ich jawnego odebrania – system nie czyni tego automatycznie. Ministerstwo Finansów podkreśla wprost, że certyfikaty i dane dostępowe do KSeF należy chronić z taką samą starannością jak dane logowania do bankowości elektronicznej.
Warto skonstruować wewnętrzną „matrycę dostępów KSeF" – dokument przypisujący stanowiskom firmy konkretne role w systemie, z procedurą nadawania uprawnień przy nowych zatrudnieniach i procedurą ich odbierania przy rozstaniach. Matryca powinna być aktualizowana przy każdej zmianie struktury organizacyjnej. Przegląd aktywnych uprawnień powinien być przeprowadzany co kwartał – szczególnie w zakresie podmiotów zewnętrznych (biura rachunkowe, konsultanci, firmy IT), których dostęp może pozostawać aktywny długo po zakończeniu współpracy.
Jedną z praktycznych zalet korzystania z dedykowanego oprogramowania jest możliwość zarządzania rolami wewnątrz systemu – bez konieczności dawania każdemu pracownikowi pełnego dostępu do bramki rządowej. Program KSeF Develogic pozwala na precyzyjne przypisywanie uprawnień na poziomie aplikacji, oddzielając warstwę operacyjną od certyfikatów i tokenów KSeF, co znacznie upraszcza codzienne zarządzanie dostępami w firmach o rozbudowanej strukturze. Szczegóły techniczne wdrożenia modelu uprawnień – w tym konfigurację certyfikatów KSeF i formularza ZAW-FA – omawiamy na szkoleniach KSeF dedykowanych firmom budowlanym. Sprawdź, jak Develogic KSeF integruje zarządzanie rolami z codzienną pracą działu finansowego – umów bezpłatne demo i przetestuj konfigurację uprawnień na własnych danych.
