Od kiedy KSeF jest obowiązkowy?

KSeF (Krajowy System e-Faktur) będzie obowiązkowy od 1 lutego 2026 dla dużych firm (obroty powyżej 200 mln zł) oraz od 1 kwietnia 2026 dla wszystkich pozostałych podatników. Najmniejsze podmioty dołączą od 1 stycznia 2027.

Czym jest faktura ustrukturyzowana w KSeF?

Faktura ustrukturyzowana to dokument w formacie XML zgodny ze schematem FA(3) Ministerstwa Finansów. Trafia do centralnej bazy KSeF, gdzie jest przechowywana przez 10 lat. Pianista automatycznie pobiera te faktury i kategoryzuje je przy pomocy AI.

Jak Pianista integruje się z KSeF?

Pianista łączy się z KSeF 2.0 przez oficjalne API Ministerstwa Finansów. Pobieramy faktury w trybie tylko do odczytu – nie modyfikujemy żadnych danych w systemie. Wystarczy wygenerować token autoryzacyjny w KSeF i podać go w Pianiście.

Jak AI kategoryzuje faktury z KSeF?

AI analizuje treść faktury ustrukturyzowanej (pozycje, wartości, kontrahentów) i przypisuje ją do jednej z trzech kategorii: Materiały, Koszty lub Środki trwałe. Dodatkowo flaguje faktury nietypowe dla danej branży na podstawie PKD firmy.

Czy mogę wysłać faktury do zatwierdzenia pracownikom?

Tak. Możesz przekazywać faktury do odpowiednich osób w firmie według numeru rejestracyjnego (faktury paliwowe → handlowcy), działu (biurowe → administracja) lub własnych reguł. Pracownik potwierdza transakcję zanim trafi do ksiąg.

Dla kogo jest Pianista?

Pianista jest dedykowany: (1) biurom rachunkowym obsługującym wielu klientów w KSeF, (2) średnim firmom 50-100+ pracowników z wieloma działami, (3) firmom flotowym i sieciom z jednym NIP ale wieloma lokalizacjami.

Ile faktur z KSeF można przetworzyć dziennie?

Doświadczony użytkownik przetwarza 500+ faktur ustrukturyzowanych dziennie dzięki interfejsowi opartemu na klawiaturze. To 3-5 razy więcej niż przy tradycyjnej pracy z myszką.

Czy Pianista obsługuje wiele firm jednocześnie?

Tak. Biura rachunkowe mogą obsługiwać wielu klientów z jednego interfejsu. Każda firma ma oddzielną przestrzeń danych, a przełączanie między klientami zajmuje sekundę.

Czy moje dane są bezpieczne?

Tak. Nie wykorzystujemy Twoich faktur do trenowania modeli AI. Dane są przetwarzane tylko w celu kategoryzacji. Oferujemy też instalację on-premise dla firm wymagających pełnej kontroli.

KSeF a Bezpieczeństwo Danych – Czy Twoje Faktury Są Bezpieczne?

Od 1 lutego 2026 roku Twoje faktury trafiają do centralnego systemu prowadzonego przez Ministerstwo Finansów. Pytanie o KSeF bezpieczeństwo pojawia się w każdej rozmowie z przedsiębiorcami. Czy system rządowy rzeczywiście chroni dane Twojej firmy? Jakie mechanizmy zabezpieczeń stosuje? I co możesz zrobić, żeby dodatkowo zabezpieczyć dostęp do swoich faktur?

Architektura bezpieczeństwa KSeF

KSeF to system zbudowany w oparciu o infrastrukturę Ministerstwa Finansów. Fizycznie serwery znajdują się w Polsce, w Centralnym Ośrodku Informatyki Ministerstwa Finansów. Dane nie opuszczają granic kraju, co ma znaczenie przy przetwarzaniu danych podatkowych.

System wykorzystuje kilka warstw zabezpieczeń:

Szyfrowanie transmisji (TLS 1.2/1.3) między Twoim oprogramowaniem a serwerami KSeF
Szyfrowanie danych w spoczynku na serwerach Ministerstwa
Wielopoziomowa autoryzacja z wykorzystaniem certyfikatów kwalifikowanych lub tokenów
Separacja danych między różnymi podatnikami
Audyt dostępu z rejestrowaniem każdej operacji

Szyfrowanie komunikacji

Każde połączenie z API KSeF wymaga protokołu HTTPS z certyfikatem SSL. Dane przesyłane między Twoim programem księgowym a KSeF są szyfrowane algorytmem AES-256. Nawet jeśli ktoś przechwyci transmisję, nie odczyta zawartości faktur.

To standard stosowany w bankowości internetowej. Twoje faktury podróżują przez internet z takim samym poziomem ochrony jak przelewy bankowe.

Szyfrowanie w spoczynku

Faktury zapisane w bazach danych KSeF są szyfrowane. Nawet w przypadku włamania do serwerów lub kradzieży dysków, surowe dane są nieczytelne bez kluczy szyfrujących. Ministerstwo deklaruje stosowanie standardów zgodnych z normą ISO 27001.

Metody autoryzacji w KSeF

Dostęp do Twoich faktur wymaga uwierzytelnienia. KSeF oferuje trzy metody autoryzacji, różniące się poziomem bezpieczeństwa i wygodą użycia.

Profil Zaufany

Najprostsza metoda dla osób fizycznych prowadzących działalność. Logujesz się przez ePUAP z wykorzystaniem bankowości elektronicznej lub aplikacji mObywatel. Bezpieczeństwo opiera się na uwierzytelnieniu dwuskładnikowym Twojego banku.

Ograniczenie: Profil Zaufany służy do logowania interaktywnego. Nie użyjesz go do automatycznego pobierania faktur przez API.

Tokeny autoryzacyjne

Token to ciąg znaków generowany w Module Certyfikatów i Uprawnień (MCU). Przekazujesz go do programu księgowego, który używa tokena do komunikacji z KSeF bez Twojego udziału.

Tokeny mają określony zakres uprawnień:

Odczyt faktur pozwala pobierać faktury zakupowe
Wystawianie faktur pozwala wysyłać faktury sprzedażowe
Zarządzanie uprawnieniami pozwala nadawać dostęp innym osobom

Czas ważności tokenów to maksymalnie do 31 grudnia 2026 roku. Po tej dacie Ministerstwo wymaga przejścia na certyfikaty kwalifikowane. To decyzja podyktowana bezpieczeństwem: tokeny można łatwiej skompromitować niż certyfikaty.

Certyfikaty kwalifikowane

Od 1 stycznia 2027 roku certyfikaty stają się jedyną metodą autoryzacji dla systemów automatycznych. Certyfikat kwalifikowany to plik chroniony hasłem, wydawany przez akredytowanego dostawcę (np. Certum, KIR, Sigillum).

Certyfikat zawiera klucz prywatny, którego nie można skopiować. Każda operacja wymaga podpisania żądania kluczem prywatnym. Nawet jeśli ktoś pozna identyfikator certyfikatu, bez fizycznego dostępu do pliku i hasła nie uzyska dostępu do Twoich faktur.

System uprawnień i delegacji

KSeF pozwala precyzyjnie kontrolować, kto ma dostęp do faktur Twojej firmy. Model uprawnień opiera się na trzech poziomach.

Właściciel (podatnik)

Osoba fizyczna prowadząca działalność lub reprezentant spółki wpisany do KRS automatycznie otrzymuje pełne uprawnienia. Może wystawiać faktury, pobierać faktury zakupowe i nadawać uprawnienia innym.

Pełnomocnik

Biuro rachunkowe lub pracownik może otrzymać uprawnienia od właściciela. Pełnomocnik widzi tylko te operacje, na które otrzymał zgodę. Możesz nadać dostęp tylko do odczytu, bez prawa wystawiania faktur.

Osoba upoważniona

Pracownik biura rachunkowego może otrzymać uprawnienia od pełnomocnika. To trzeci poziom delegacji, przydatny gdy biuro obsługuje wielu klientów.

Każde nadanie uprawnień wymaga autoryzacji certyfikatem lub Profilem Zaufanym. Nie wystarczy email czy telefon. System loguje wszystkie zmiany uprawnień z datą, godziną i identyfikatorem osoby nadającej.

Rejestrowanie operacji (audit log)

KSeF zapisuje każdą operację w systemie. Możesz sprawdzić:

Kto i kiedy pobrał Twoją fakturę
Jakie faktury wystawiono w Twoim imieniu
Kto zmienił uprawnienia do Twojego konta
Z jakiego adresu IP wykonano operację

Te informacje są dostępne w Module Certyfikatów i Uprawnień. Jeśli podejrzewasz nieuprawniony dostęp, możesz przejrzeć historię i zidentyfikować źródło problemu.

Ryzyka i jak im przeciwdziałać

Żaden system nie jest w 100% bezpieczny. Największe zagrożenia nie wynikają z luk w KSeF, ale z błędów po stronie użytkowników.

Wyciek tokena

Najczęstszy problem. Token zapisany w pliku tekstowym na pulpicie, wysłany emailem do informatyka, wklejony na forum przy pytaniu o konfigurację. Każda z tych sytuacji oznacza kompromitację dostępu.

Rozwiązanie: Traktuj token jak hasło do banku. Przechowuj w menedżerze haseł. Przekazuj tylko przez bezpieczne kanały. Jeśli podejrzewasz wyciek, natychmiast unieważnij token w MCU i wygeneruj nowy.

Zbyt szerokie uprawnienia

Nadajesz biuru rachunkowemu pełne uprawnienia, bo tak jest wygodniej. Pracownik biura odchodzi z pracy i zabiera ze sobą wiedzę o Twoich kontrahentach i cenach.

Rozwiązanie: Stosuj zasadę minimalnych uprawnień. Jeśli biuro potrzebuje tylko odczytu faktur zakupowych, nie dawaj prawa do wystawiania. Regularnie przeglądaj listę osób z dostępem.

Nieaktualne oprogramowanie

Stary program księgowy bez aktualizacji bezpieczeństwa może mieć luki, przez które atakujący przejmie token lub certyfikat.

Rozwiązanie: Aktualizuj oprogramowanie. Wybieraj dostawców, którzy regularnie publikują poprawki bezpieczeństwa i reagują na zgłoszenia o lukach.

Phishing

Email udający komunikat z Ministerstwa Finansów z linkiem do fałszywej strony logowania. Wpisujesz dane Profilu Zaufanego, a atakujący przejmuje Twoje konto.

Rozwiązanie: Sprawdzaj adres strony przed logowaniem. Oficjalne adresy to ksef.podatki.gov.pl i ksef-test.mf.gov.pl. Ministerstwo nigdy nie prosi o podanie hasła emailem.

Dostępność danych i kopie zapasowe

KSeF przechowuje faktury przez 10 lat od końca roku, w którym upłynął termin płatności podatku. Ministerstwo gwarantuje dostępność systemu na poziomie 99,5% w skali roku, co oznacza maksymalnie 44 godziny niedostępności rocznie.

W przypadku awarii KSeF obowiązuje tryb awaryjny. Możesz wystawiać faktury poza systemem, oznaczając je jako faktury awaryjne, i wprowadzić do KSeF w ciągu 7 dni od przywrócenia działania.

Mimo gwarancji Ministerstwa, rozważ własne kopie zapasowe:

Pobieraj faktury regularnie i archiwizuj lokalnie
Przechowuj kopie w formacie XML (oryginalny format KSeF)
Stosuj szyfrowanie kopii zapasowych

KSeF a RODO

Faktury zawierają dane osobowe: imiona i nazwiska, adresy, numery NIP osób fizycznych prowadzących działalność. Ministerstwo Finansów jest administratorem tych danych w rozumieniu RODO.

Twoje obowiązki jako wystawcy faktur nie zmieniają się. Nadal odpowiadasz za poprawność danych na fakturze i podstawę prawną ich przetwarzania. KSeF jest tylko narzędziem technicznym, nie zwalnia z obowiązków RODO.

Możesz jednak powołać się na KSeF przy realizacji prawa dostępu. Jeśli kontrahent pyta o faktury z nim związane, możesz wskazać KSeF jako źródło, z którego sam może je pobrać po zalogowaniu swoim NIP-em.

Porównanie z poprzednim modelem

Przed KSeF faktury funkcjonowały w rozproszonym modelu. Każda firma przechowywała swoje faktury lokalnie lub w chmurze wybranego dostawcy. Nie było centralnego rejestru, co utrudniało kontrolę i wykrywanie oszustw.

Aspekt	Przed KSeF	Z KSeF
Miejsce przechowywania	Serwery firm lub ich dostawców	Centralne serwery MF
Kontrola dostępu	Zależna od dostawcy	Jednolity system uprawnień
Szyfrowanie	Opcjonalne	Wymagane
Audit log	Zależny od systemu	Obowiązkowy
Czas przechowywania	5 lat (obowiązek podatkowy)	10 lat w KSeF

Centralizacja budzi obawy o prywatność, ale z perspektywy bezpieczeństwa technicznego KSeF oferuje wyższy standard niż przeciętne rozwiązanie firmowe.

Checklista bezpieczeństwa KSeF

Praktyczna lista kontrolna do wdrożenia w Twojej firmie:

Przed rozpoczęciem pracy z KSeF

Zweryfikuj, kto w firmie ma automatyczne uprawnienia (właściciele, prokurenci)
Ustal procedurę nadawania i odbierania uprawnień
Wybierz metodę autoryzacji (token do końca 2026, potem certyfikat)
Zaplanuj miejsce przechowywania tokenów/certyfikatów

Konfiguracja dostępu

Nadaj minimalne wymagane uprawnienia każdemu użytkownikowi
Dokumentuj, kto ma dostęp i w jakim zakresie
Nie współdziel tokenów między pracownikami
Wygeneruj osobne tokeny dla różnych systemów

Bieżące zarządzanie

Przeglądaj audit log co najmniej raz w miesiącu
Natychmiast unieważniaj tokeny odchodzących pracowników
Aktualizuj oprogramowanie korzystające z API KSeF
Rób lokalne kopie zapasowe pobranych faktur

Reagowanie na incydenty

Przy podejrzeniu wycieku tokena: natychmiast unieważnij w MCU
Sprawdź audit log pod kątem nieautoryzowanych operacji
Zgłoś incydent do Ministerstwa przez formularz na podatki.gov.pl
Udokumentuj zdarzenie na potrzeby ewentualnej kontroli

Podsumowanie

KSeF stosuje standardowe mechanizmy bezpieczeństwa: szyfrowanie, certyfikaty, kontrolę dostępu i logowanie operacji. Poziom ochrony jest porównywalny z bankowością elektroniczną. Większość ryzyk wynika z błędów użytkowników, nie z luk systemu.

Twoja rola to odpowiednie zarządzanie dostępem: minimalne uprawnienia, regularne przeglądy, szybkie reagowanie na zmiany personalne. Traktuj token KSeF jak klucz do sejfu z dokumentami firmowymi.

Przy obsłudze wielu firm (typowe dla biur rachunkowych) zarządzanie uprawnieniami staje się czasochłonne. Narzędzia automatyzujące pobieranie faktur z KSeF pomagają zachować kontrolę bez ręcznego logowania do każdego klienta. Centralny panel z widokiem na wszystkie podmioty oszczędza czas i redukuje ryzyko pomyłek.