Certyfikat KSeF wystawiony na PESEL mimo pracy w kontekście firmy

Wyobraź sobie: logujesz się do firmy (NIP), klikasz „Wygeneruj certyfikat", a system wystawia go na Ciebie — na PESEL. Potem ten sam certyfikat działa także w innej spółce, jeśli masz tam nadane uprawnienia.

To nie jest błąd. To typowe zachowanie KSeF 2.0.

Na czym polega problem

W KSeF 2.0 możesz działać w imieniu firmy (np. spółki) przez wybór kontekstu uwierzytelnienia — podając NIP spółki. Zaskoczenie pojawia się przy certyfikatach: mimo że działasz w kontekście firmy, certyfikat może powstać na PESEL osoby, bo to ona faktycznie się uwierzytelniła — np. profilem zaufanym lub podpisem osobistym.

Druga część zagadnienia: nie musisz generować nowego certyfikatu przy przełączaniu się na inną firmę, jeśli ta sama osoba (PESEL) ma tam nadane uprawnienia. Jeden certyfikat można wykorzystać do pracy w różnych kontekstach.

Dlaczego tak się dzieje

W KSeF rozdzielono dwie rzeczy: kto to jest od dla kogo działa.

• Certyfikat KSeF jest nośnikiem tożsamości podmiotu uwierzytelniającego (PESEL albo NIP) i nie jest przypisany do konkretnej firmy.
• We wniosku o certyfikat podajesz dane zgodne z tym, kim jesteś w momencie uwierzytelnienia — i certyfikat zawiera te dane.
• Uprawnienia do działania w imieniu firm są weryfikowane osobno: po zalogowaniu certyfikatem brane są pod uwagę uprawnienia powiązane z identyfikatorem zapisanym na certyfikacie.

Dlatego jeśli logujesz się jako osoba i wybierasz kontekst spółki, certyfikat wychodzi osobowy (PESEL), a następnie działa w tylu firmach, w ilu ta osoba ma uprawnienia.

Najważniejsze ryzyka

• Jeden certyfikat, wiele firm — większy zasięg szkody w razie kompromitacji klucza, bo może działać w wielu kontekstach jednocześnie.
• Współdzielenie certyfikatu osoby (np. wrzucenie do wspólnego systemu firmowego) jest bardzo ryzykowne — certyfikat z danymi osoby może pobierać i używać wyłącznie ta osoba.
• Offboarding — gdy ktoś odchodzi (księgowa, pracownik, podwykonawca), samo „nieużywanie certyfikatu" nie wystarczy. Trzeba szybko odebrać uprawnienia we wszystkich kontekstach, bo certyfikat nie wygasa razem z uprawnieniami.

Schemat działania

Poniżej uproszczony schemat przepływu:

1. Logowanie jako osoba (np. profil zaufany)
2. Wybór kontekstu firmy (NIP spółki)
3. Złożenie wniosku o certyfikat
4. Certyfikat wystawiony na tożsamość osoby (PESEL)
5. Jeśli ta sama osoba ma uprawnienia w innej firmie — ten sam certyfikat działa też tam
6. Jeśli nie ma uprawnień w drugiej firmie — brak dostępu do tego kontekstu

Checklista dla administratora

• Sprawdź, kto w praktyce generuje certyfikaty (osoba/PESEL czy podmiot/NIP) i dlaczego.
• Jeśli jesteś spółką bez pieczęci kwalifikowanej: upewnij się, że dopełniono formalności (np. ZAW-FA), bo inaczej zarządzanie dostępem może utknąć na starcie.
• Nadaj uprawnienia per kontekst (per NIP) i regularnie je przeglądaj.
• Ustal zasady: certyfikat osobowy nie jest „wspólnym loginem" — nie wrzucaj go do współdzielonego konta systemowego.
• Zrób procedurę offboardingu: odebranie uprawnień i ewentualne unieważnienie certyfikatu, jeśli był używany w integracjach.

Trzy praktyczne rekomendacje

1. Dla integracji systemowych — rozważ model „certyfikat firmowy (NIP) + kontrolowana dystrybucja", jeśli masz pieczęć kwalifikowaną i chcesz uniknąć wrzucania certyfikatów osobowych do serwerów lub systemów ERP.

2. Dla pracy ludzi (księgowość, obsługa wyjątków) — używaj certyfikatów osobowych: łatwiej zachować rozliczalność, ale trzymaj je prywatnie i bez współdzielenia.

3. W grupach kapitałowych i biurach rachunkowych — wprowadź zasadę minimalnego zestawu uprawnień na firmę, bo jeden certyfikat osoby może działać w wielu kontekstach jednocześnie.