Od 1 listopada 2025 roku Ministerstwo finansów udostępniło Moduł Certyfikatów i Uprawnień (MCU). Moduł ten zastąpił dotychczasową Aplikację Podatnika KSeF 1.0 i umożliwia zarządzanie uprawnieniami w KSeF, składanie wniosków o wydanie certyfikatów oraz pobieranie wydanych certyfikatów.
Certyfikaty i uprawnienia uzyskane po 1 listopada 2025 r. za pomocą MCU będą miały moc prawną i będą służyć do korzystania z KSeF 2.0 od 1 lutego 2026 r. Warto więc już teraz zaplanować proces nadawania i zarządzania uprawnieniami w KSeF 2.0 i nie czekać z tym do ostatniej chwili. Wcześniejszy dostęp do MCU pozwoli firmom dostosować swoje procedury i systemy IT oraz upewnić się, że wszystko działa zgodnie z przepisami.
Certyfikaty dają możliwość wystawiania i odbierania faktur w imieniu firmy, która wystąpiła o jego wygenerowanie. Certyfikaty używane w KSeF służą do potwierdzania tożsamości i zawierają dane osobowe lub firmowe. Osoba, której zostanie udostępniony certyfikat, może działać w imieniu firmy, która ten certyfikat udostępniła, w tym również wystawiać faktury i odbierać dokumenty. W celu zapewnienia bezpieczeństwa, firmy powinny wdrożyć procedury dotyczące pobierania, przekazywania, używania oraz unieważniania certyfikatów.
Certyfikaty należy traktować jak dane wrażliwe i powinny być używane zgodnie z zasadami bezpieczeństwa:
- jeśli certyfikat zawiera dane osoby fizycznej – może z niego korzystać tylko ta osoba;
- certyfikaty przypisane do firm (np. spółek) nie są powiązane z konkretnymi pracownikami. Oznacza to, że organizacja odpowiada za ich właściwe użytkowanie.
W ramach MCU udostępnione zostały uprawnienia właścicielskie oraz osób wskazanych w zawiadomieniu ZAW-FA. Uprawnienia właścicielskie dają możliwość zarządzania uprawnieniami i jednostkami podrzędnymi oraz przeglądania uprawnień. Uprawnień właściciela nie można odebrać.
Ministerstwo Finansów apeluje, żeby certyfikaty i dane do logowania do MCU traktować z najwyższą ostrożnością oraz chronić z taką samą uwagą jak dane logowania do bankowości elektronicznej czy karty płatnicze. Nie wolno przekazywać ich osobom nieuprawnionym.