← Zpět na blog
· 6 min čtení · Miroslav Lalík

KSeF token a certifikát: jak na autentizaci a role

Token, kvalifikovaný certifikát, certyfikat KSeF, uprawnienia a ZAW-FA. Jak se přihlásit do KSeF a co řešit při napojení .NET aplikace. Token funguje jen do konce 2026.

KSeFE-fakturaceIntegraceAutentizace

Když napojujete aplikaci na KSeF (Krajowy System e-Faktur), první otázka není „jak poslat fakturu", ale „jak se vůbec přihlásit a kdo má na co právo". Autentizace, oprávnění (uprawnienia) a oznámení ZAW-FA dohromady rozhodují, jestli vám integrace bude fungovat — a jestli bude fungovat i po 1. lednu 2027. Tady je přehled, co je co.

Jak se do KSeF přihlásit

KSeF zná víc způsobů autentizace (uwierzytelnienie). Pro člověka u obrazovky i pro stroj jsou relevantní jiné.

  • Kvalifikovaný elektronický podpis (kwalifikowany podpis elektroniczny) — patří fyzické osobě. Má právní sílu vlastnoručního podpisu a stojí na kvalifikovaném certifikátu. Slouží k přihlášení a podpisu.
  • Kvalifikovaná elektronická pečeť (kwalifikowana pieczęć elektroniczna) — identifikuje organizaci, ne konkrétní osobu. Pro firmu je to nejčistší cesta: pokud pečeť obsahuje NIP subjektu, firma získá přístup sama, bez podání ZAW-FA.
  • Profil Zaufany (podpis zaufany) — důvěryhodný profil pro fyzickou osobu.
  • Token — řetězec, který v sobě nese oprávnění deklarovaná ve chvíli vygenerování. Používá se pro strojové/integrační přihlášení z komerčních aplikací.
  • Certifikát KSeF (certyfikat KSeF) — vydává se uvnitř KSeF a je to pouze autentizační prostředek, podobně jako kvalifikovaný podpis.

Pro napojení aplikace jsou klíčové poslední dva: token a certifikát KSeF. A právě v nich je největší zádrhel.

Token vs. certifikát KSeF: kde je rozdíl

Vypadají zaměnitelně, ale nejsou. Rozdíl je v tom, kde žijí oprávnění.

Token má oprávnění zabudovaná přímo v sobě. Vygenerujete ho s nějakou sadou práv a ta práva nese s sebou. To je pohodlné — jeden řetězec a jste přihlášení i autorizovaní.

Certifikát KSeF oprávnění v sobě nenese. Je to čistě prostředek, jak prokázat identitu. Práva se řeší zvlášť, přes role uvnitř KSeF (viz dál). Certifikát má dvě funkční použití: autentizace pro interaktivní i dávkové (batch) přihlášení přes API; a offline použití — od 1. 2. 2026 je potřeba k podpisu faktur vystavených v režimu offline24 / při nedostupnosti systému / v nouzovém režimu. Platnost certifikátu je maximálně 2 roky od vydání (nebo od data, které si plátce zvolí jako start).

Tohle není akademický rozdíl. Rozhoduje o tom, jak postavíte autorizační model aplikace a co se stane na přelomu roku.

Termín, který nesmíte minout: 1. 1. 2027

Token a certifikát KSeF koexistují od 1. 2. 2026. Ale ne navždy:

  • Tokeny fungují do 31. 12. 2026.
  • Od 1. 1. 2027 přijímá KSeF už jen certifikáty KSeF. Tokeny přestanou fungovat. Integrace nastavená čistě na token se po Novém roce k API nepřipojí a neodešle ani jednu fakturu.

K tomu jeden detail, na který se snadno zapomene: tokeny z KSeF 1.0 v KSeF 2.0 neplatí. Musíte je vygenerovat znovu, což je možné od 1. 2. 2026.

Závěr pro dlouhožijící .NET integraci je jednoznačný: token vám pomůže rozjet věci v roce 2026, ale migraci na certifikát KSeF naplánujte ještě před 1. 1. 2027. Pokud to necháte na poslední chvíli, riskujete, že vám fakturace stojí přes přelom roku — tedy přesně ve chvíli, kdy se uzavírá účetní období.

Role a oprávnění (uprawnienia)

Přihlášení je jen půlka. Druhá je, kdo smí co dělat.

Firma, která nepoužívá kvalifikovanou pečeť, určí fyzickou osobu, jež za ni bude v KSeF jednat, podáním oznámení ZAW-FA na finanční úřad (papírově nebo elektronicky). Od 1. 2. 2026 platí nová verze ZAW-FA. V povinném období se na základě podaného ZAW-FA právo vystavovat faktury udělí automaticky.

Takto určená osoba — typicky jednatel, CFO nebo pověřený zaměstnanec — pak může uvnitř KSeF udělovat další oprávnění (vystavovat / nahlížet / spravovat) dalším uživatelům nebo účetnímu softwaru. To je důležité pro integraci: vaše aplikace nepotřebuje, aby se přihlašoval ředitel. Potřebuje vlastní identitu (certifikát) a k ní přidělená práva.

Shrnutí, kdy ZAW-FA řešit a kdy ne:

  • Firma s kvalifikovanou pečetí (s NIP) → přístup má sama, ZAW-FA nepodává.
  • Firma bez pečeti → podá ZAW-FA, určí fyzickou osobu, ta pak deleguje práva dál.

Na koho se vlastně KSeF vztahuje

Aby autentizace dávala smysl, je dobré vědět, kdy ji vůbec budete potřebovat. Krátce, protože detaily jsou na samostatný článek:

  • Vystavování je povinné od 1. 2. 2026 pro velké plátce (tržby za rok 2024 nad 200 mil. PLN, řádově 4 200 subjektů), od 1. 4. 2026 pro ostatní plátce DPH. Pozor na zjednodušení: mikropodniky nemají povinnost až do 1. 1. 2027 a navíc existuje přechodná úleva — kdo měsíčně fakturuje mimo KSeF do 10 000 PLN brutto, může až do 31. 12. 2026 fakturovat mimo systém.
  • Příjem faktur přes KSeF je povinný pro všechny plátce už od 1. 2. 2026, i když sami ještě nevystavují.
  • Faktura zahraničnímu odběrateli se v KSeF stále vystavuje (je to faktura ve smyslu polských předpisů); zahraničnímu kupujícímu ji předáte mimo KSeF, třeba jako PDF vizualizaci nebo sdílený odkaz, protože do KSeF přístup nemá.

Z toho plyne, že identitu a oprávnění v KSeF budete potřebovat dřív, než začnete sami vystavovat — kvůli příjmu už od února 2026.

Co řešit při napojení .NET aplikace

Když to převedu na konkrétní kroky integrace:

  1. Identita aplikace. Pro produkční integraci miřte na certifikát KSeF, ne na token. Token použijte nanejvýš jako přechodné řešení pro rok 2026 a od začátku počítejte s výměnou před 1. 1. 2027.
  2. Session přes API. Inicializujte session podepsaným XML / certifikátem (nebo tokenem do konce 2026), získáte session token a teprve s ním posíláte strukturované faktury ve formátu FA(3).
  3. Oprávnění mimo certifikát. Protože certifikát práva nenese, musíte mít vyřešené role v KSeF (přes ZAW-FA a delegaci). Ověřte, že identita aplikace má přidělené právo vystavovat / nahlížet ještě než nasadíte.
  4. Platnost a obnova. Certifikát platí max 2 roky. Naplánujte si jeho obnovu jako proces, ne jako jednorázovou akci — jinak vám expiruje uprostřed provozu.
  5. Anti-corruption layer. Obalte cizí SDK vlastní vrstvou, ať jeho zvláštnosti — error stringy, číselné kódy, session TTL — neprosakují do business logiky. Když se SDK nebo schéma změní, měníte jedno místo.
  6. Durable, idempotentní odeslání. Každý submit berte jako trvalou, idempotentní jednotku práce: async odeslání → polling stavu → potvrzení UPO. Ne fire-and-forget v HTTP requestu.

Pozn. k přílohám (załączniki): od 1. 2. 2026 lze vystavit fakturu s přílohou, ale až po předchozím oznámení záměru. Konkrétní handling si ověřte proti aktuálně publikovanému schématu FA(3), tady se detaily ještě usazují.

FAQ

Jaký je rozdíl mezi KSeF tokenem a certifikátem KSeF?

Token má v sobě zakódovaná oprávnění deklarovaná ve chvíli jeho vygenerování. Certifikát KSeF je jen autentizační prostředek a oprávnění v sobě nenese — ta se řeší zvlášť přes role v KSeF. Token funguje do 31. 12. 2026, od 1. 1. 2027 přijímá KSeF už jen certifikáty.

Co je ZAW-FA a kdy ho musím podat?

ZAW-FA je oznámení finančnímu úřadu, kterým firma bez kvalifikované pečeti určí fyzickou osobu, jež za ni bude v KSeF jednat. Pokud firma použije kvalifikovanou pečeť s vlastním NIP, dostane přístup sama a ZAW-FA podávat nemusí.

Funguje token z KSeF 1.0 i v KSeF 2.0?

Ne. Tokeny z KSeF 1.0 v KSeF 2.0 neplatí a je nutné je vygenerovat znovu, což je možné od 1. 2. 2026. Pro dlouhožijící integraci ale stejně plánujte přechod na certifikát KSeF před 1. 1. 2027.

Pomůžeme s napojením

Tohle řešíme v praxi. Naše KSeF integrace běží v produkci — přes 40 000 dokladů doručených na 100 % — a součástí je i správa identit, session a obnovy certifikátů. Pokud napojujete .NET aplikaci a chcete mít autentizaci a role postavené tak, aby vydržely i přechod na certifikáty v lednu 2027, napište nám.

Řešíte podobný problém? Napište nám.

Domluvit konzultaci
// Související články