Szafir 2.0 to aplikacja desktopowa do składania kwalifikowanego podpisu elektronicznego — wydana przez KIR (Krajowa Izba Rozliczeniowa), największego dostawcę certyfikatów kwalifikowanych w Polsce. Podpis kwalifikowany ma moc prawną równą podpisowi odręcznemu — możesz nim podpisywać umowy, faktury, dokumenty urzędowe, JPK, sprawozdania finansowe i wnioski do e-Doręczeń.
W tym poradniku pokazuję jak zainstalować Szafir 2.0, jak podpisać dokument PDF, jak rozwiązać najczęstsze problemy (karta nie działa, certyfikat wygasł, Java error) i jakie są alternatywy.
Co to jest podpis kwalifikowany i po co Szafir
Podpis kwalifikowany to elektroniczny odpowiednik podpisu odręcznego — składany za pomocą certyfikatu kwalifikowanego (na karcie kryptograficznej lub w chmurze) i weryfikowany przez kwalifikowanego dostawcę usług zaufania. W Polsce dostawcy: KIR (Szafir), Certum (Asseco), EuroCert, CenCert, Sigillum (PWPW).
Szafir 2.0 to aplikacja od KIR do:
- Składania podpisu — podpisujesz PDF, XML, dowolny plik
- Weryfikacji podpisu — sprawdzasz, czy podpis na dokumencie jest ważny
- Szyfrowania plików — szyfrujesz dokument certyfikatem odbiorcy
- Znakowania czasem — dodajesz kwalifikowany znacznik czasu (dowód, kiedy podpisano)
Kiedy potrzebujesz podpisu kwalifikowanego
- Sprawozdania finansowe — e-sprawozdanie do KRS wymaga podpisu kwalifikowanego lub Profilem Zaufanym
- KSeF — autoryzacja w Krajowym Systemie e-Faktur
- JPK_VAT — wysyłka Jednolitego Pliku Kontrolnego do urzędu skarbowego
- Przetargi publiczne (e-zamówienia) — oferty w PZP wymagają podpisu kwalifikowanego
- Umowy elektroniczne — ważne prawnie jak podpis odręczny
- e-Doręczenia — autoryzacja skrzynki
- Akty notarialne elektroniczne — coraz częstsze w 2026
Jak zainstalować Szafir 2.0
Wymagania
- System: Windows 10/11 (64-bit), macOS 12+, Linux (Ubuntu 22.04+)
- Java: Szafir 2.0 wymaga Java Runtime Environment (JRE) — instalator powinien ją dostarczyć automatycznie
- Czytnik kart: USB czytnik kart kryptograficznych (dostarczany z certyfikatem) — np. HID Omnikey, Gemalto, ACS
- Karta kryptograficzna z certyfikatem kwalifikowanym (kupujesz od KIR lub innego dostawcy)
Instalacja krok po kroku
- Pobierz Szafir 2.0 ze strony elektronicznypodpis.pl (oficjalna strona KIR) → sekcja „Do pobrania” → wybierz wersję dla Twojego systemu.
- Uruchom instalator → next → next → zaakceptuj licencję → zainstaluj.
- Podłącz czytnik kart USB do komputera.
- Włóż kartę kryptograficzną do czytnika.
- Uruchom Szafir 2.0 → aplikacja powinna wykryć kartę i certyfikat.
Sterowniki czytnika
Większość czytników działa „plug and play” na Windows 10/11 (sterowniki wbudowane). Jeśli czytnik nie jest rozpoznawany:
- Zainstaluj sterowniki ze strony producenta czytnika (np. HID Global → Downloads)
- Lub ze strony dostawcy certyfikatu (elektronicznypodpis.pl → Sterowniki)
- Na macOS: może wymagać sterowników od producenta karty (np. middleware Gemalto/Thales)
Jak podpisać dokument w Szafir 2.0
- Uruchom Szafir 2.0.
- Kliknij „Podpisz” (Sign).
- Wybierz plik do podpisania (PDF, XML, dowolny).
- Wybierz typ podpisu:
- PAdES — podpis wbudowany w PDF (odbiorca otwiera PDF i widzi podpis). Zalecany dla PDF.
- XAdES — podpis w pliku XML (lub osobnym pliku .xades). Standard dla e-faktur, JPK, e-zamówień.
- CAdES — podpis binarny (osobny plik .p7s). Uniwersalny, ale mniej czytelny.
- Wybierz certyfikat z karty (Szafir wyświetli certyfikaty znalezione na karcie).
- Wpisz PIN karty (4–8 cyfr, ustawiony przy zakupie certyfikatu).
- Opcjonalnie: dodaj znacznik czasu (timestamp) — dowód, kiedy dokument został podpisany.
- Kliknij „Podpisz”.
- Gotowe — podpisany plik zapisuje się w tym samym katalogu (z przyrostkiem lub nowym rozszerzeniem).
PAdES vs XAdES vs CAdES — który wybrać?
| Format | Plik wynikowy | Kiedy używać |
|---|---|---|
| PAdES | PDF z wbudowanym podpisem | Umowy, faktury, dokumenty do wysłania mailem — odbiorca otwiera PDF i widzi podpis |
| XAdES | XML (lub .xades obok pliku) | JPK_VAT, e-faktura, e-zamówienia, systemy urzędowe |
| CAdES | .p7s (osobny plik) | Dowolne pliki (nie-PDF, nie-XML), archiwizacja |
Domyślnie: PAdES dla PDF, XAdES dla XML. Jeśli nie wiesz: PAdES — bo odbiorca otwiera normalnego PDF-a i widzi podpis bez dodatkowych narzędzi.
Jak zweryfikować podpis elektroniczny
- Szafir 2.0 → „Weryfikuj” (Verify).
- Wybierz podpisany plik.
- Szafir sprawdzi: ważność certyfikatu, integralność dokumentu (czy nie był zmieniony po podpisie), ważność znacznika czasu.
- Wynik: ✅ „Podpis ważny” lub ❌ „Podpis nieważny” (z opisem dlaczego).
Alternatywy do weryfikacji (bez Szafir):
- Adobe Acrobat Reader — otwiera PDF z PAdES i pokazuje panel podpisu (ważność, certyfikat, timestamp)
- weryfikuj.pl — rządowa strona do weryfikacji podpisów online
- Szafir SDK / ProCertum SmartSign — inne aplikacje dostawców certyfikatów
Najczęstsze problemy i rozwiązania
„Nie znaleziono karty” / „No card detected”
- Czytnik nie podłączony — sprawdź USB, spróbuj inny port
- Karta źle włożona — chip musi być skierowany we właściwą stronę (zwykle do góry)
- Brak sterowników czytnika — zainstaluj ze strony producenta
- Karta uszkodzona — spróbuj w innym czytniku. Jeśli nigdzie nie działa → skontaktuj się z dostawcą certyfikatu
„Certyfikat wygasł”
Certyfikaty kwalifikowane mają ważność 1–2 lata. Po wygaśnięciu: nie możesz podpisywać nowych dokumentów. Odnowienie: kontakt z dostawcą (KIR, Certum) → nowy certyfikat na istniejącą kartę lub nowa karta.
Dokumenty podpisane ważnym certyfikatem pozostają ważne nawet po wygaśnięciu certyfikatu — o ile miały znacznik czasu (timestamp) z momentu podpisu.
„Błąd Java” / „Java not found”
Szafir 2.0 wymaga Java. Jeśli błąd:
- Zainstaluj/aktualizuj Java:
java.com/download→ pobierz najnowszą JRE - Szafir 2.0 (nowsze wersje) ma wbudowaną Javę — upewnij się, że masz najnowszą wersję Szafira
- Na macOS: Apple blokuje starą Javę — użyj OpenJDK:
brew install openjdk
„PIN zablokowany”
Po 3 (lub 5, zależy od karty) błędnych próbach PIN — karta się blokuje. Odblokowanie: użyj PUK (kod odblokowania dostarczony z kartą). Jeśli PUK też zablokowany → wizyta u dostawcy certyfikatu (nowa karta).
Podpis nie jest rozpoznawany przez odbiorcę
Przyczyny:
- Odbiorca otwiera PDF w przeglądarce (nie Acrobat) — przeglądarki nie zawsze weryfikują podpisy PAdES. Rozwiązanie: „otwórz w Adobe Acrobat Reader”.
- Brak certyfikatu root KIR w systemie odbiorcy — rzadkie na Windows (Windows Trust Store ma polskie CA). Na macOS/Linux: może wymagać ręcznego dodania.
- Użyto CAdES zamiast PAdES — odbiorca dostaje osobny plik .p7s i nie wie co z nim zrobić. Rozwiązanie: używaj PAdES dla PDF-ów.
Podpis kwalifikowany vs Profil Zaufany vs podpis osobisty — różnice
| Cecha | Podpis kwalifikowany (Szafir) | Profil Zaufany (ePUAP) | Podpis osobisty (e-Dowód) |
|---|---|---|---|
| Moc prawna | = podpis odręczny | Ograniczona (administracja publiczna) | = podpis odręczny (od 2019) |
| Koszt | ~200–400 zł/rok | Darmowy | Darmowy (w dowodzie) |
| Wymaga | Karta + czytnik + aplikacja | Konto na login.gov.pl | e-Dowód + czytnik NFC |
| Do czego | Wszystko (umowy, faktury, KSeF, przetargi) | Urzędy (ePUAP, ZUS PUE) | Administracja + niektóre usługi komercyjne |
| Dla firm | Tak (standard) | Ograniczony | Ograniczony |
Jeśli potrzebujesz podpisu do wszystkiego (umowy, KSeF, przetargi, KRS) → podpis kwalifikowany (Szafir/Certum). Jeśli tylko do urzędów → Profil Zaufany (darmowy). e-Dowód z warstwą elektroniczną → rośnie w zastosowaniach, ale jeszcze nie wszędzie obsługiwany.
Podpis w chmurze — alternatywa bez karty
Od 2022 dostępne są podpisy kwalifikowane w chmurze — bez fizycznej karty i czytnika. Certyfikat jest przechowywany na serwerze dostawcy, autoryzacja przez aplikację mobilną (PIN + biometria).
- mSzafir (KIR) — podpis kwalifikowany w chmurze przez aplikację mobilną. Podpisujesz na komputerze → autoryzujesz na telefonie. Bez karty, bez czytnika.
- SimplySign (Certum/Asseco) — analogiczne rozwiązanie od Certum.
- EuroCert Cloud — podpis chmurowy od EuroCert.
Podpis w chmurze ma identyczną moc prawną jak podpis na karcie — jest kwalifikowany. Wygodniejszy (bez czytnika, działa z telefonu), ale wymaga stałego internetu (bo certyfikat jest na serwerze, nie na karcie).
Ile kosztuje podpis kwalifikowany
| Dostawca | Certyfikat (1 rok) | Certyfikat (2 lata) | Zestaw startowy (karta + czytnik + certyfikat) |
|---|---|---|---|
| KIR (Szafir) | ~200 zł | ~350 zł | ~400–500 zł |
| Certum (Asseco) | ~180 zł | ~300 zł | ~350–450 zł |
| EuroCert | ~200 zł | ~350 zł | ~400–500 zł |
| mSzafir (chmura) | ~200 zł | ~350 zł | Bez karty/czytnika |
Pierwszy rok: drożej (zestaw startowy z kartą i czytnikiem). Odnowienia: tylko certyfikat (~200 zł/rok). Chmura: tańszy start (bez sprzętu). Dla firmy: koszt uzyskania przychodu (KUP).
Najczęściej zadawane pytania
Czy Szafir 2.0 jest darmowy?
Aplikacja Szafir 2.0 jest darmowa — pobierasz i instalujesz bez opłat. Płacisz za certyfikat kwalifikowany (na karcie lub w chmurze) — ~200 zł/rok.
Czy mogę podpisywać dokumenty na telefonie?
Szafir 2.0 to aplikacja desktopowa (Windows/macOS/Linux). Na telefonie: mSzafir (mobilna wersja, autoryzacja podpisu chmurowego) lub SimplySign (Certum). Nie podpiszesz z klasycznej karty kryptograficznej na telefonie (brak czytnika USB).
Jak długo ważny jest podpis elektroniczny?
Podpis jest ważny dopóki certyfikat jest ważny (1–2 lata). Ale: dokument podpisany ważnym certyfikatem z znacznikiem czasu (timestamp) jest ważny bezterminowo — timestamp dowodzi, że podpis złożono gdy certyfikat był aktywny. Dlatego: zawsze dodawaj timestamp.
Szafir vs ProCertum SmartSign — co lepsze?
To aplikacje od różnych dostawców: Szafir 2.0 od KIR, ProCertum SmartSign od Certum/Asseco. Obie podpisują identycznie (ten sam standard eIDAS). Używaj tej, od której masz certyfikat. Technicznie: obie działają z certyfikatami od dowolnego polskiego dostawcy.
Podsumowanie
Szafir 2.0 to standardowa aplikacja do kwalifikowanego podpisu elektronicznego w Polsce — podpisujesz PDF (PAdES), XML (XAdES), weryfikujesz podpisy i szyfrujesz dokumenty. Instalacja: pobierz z elektronicznypodpis.pl, podłącz czytnik, włóż kartę, wpisz PIN. Dla wygody bez karty: mSzafir (podpis w chmurze, autoryzacja telefonem). Koszt: ~200 zł/rok za certyfikat. Obowiązkowy do: KSeF, przetargów publicznych, sprawozdań finansowych KRS, JPK. Jeśli prowadzisz firmę w Polsce w 2026 — podpis kwalifikowany to nie opcja, to konieczność.
