Lufthansa

Konsekwencje i zagrożenia związane z planowanym wdrażaniem przez Grupę Lufthansa (LH, LX, OS, SN) integracji z KSeF dla agentów IATA opartej o TOKENY

przez

Grupa Lufthansa informuje agentów IATA w Polsce, że pracuje nad wdrożeniem rozwiązania umożliwiającego agentom IATA w Polsce wystawianie faktur w KSeF w imieniu linii lotniczych z tej grupy (LH, LX, OS, SN) opartego na tokenach. Publikujemy komentarz branżowy dotyczący tej kwestii.

Czym są tokeny?

Token jest narzędziem kryptograficznym generowanym przez podmiot objęty obowiązkiem KSeF (w naszym przypadku: linię lotniczą), które – po przekazaniu innym podmiotom (w naszym przypadku: biurom podróży, agentom IATA) – umożliwia im wykonywanie określonych czynności w KSeF (na przykład: wystawiania faktur w kontekście danej linii lotniczej).
Token jest ciągiem znaków, rodzajem klucza, który jeden podmiot przekazuje innemu, upoważniając go w ten sposób do wykonywania w KSeF czynności określonych w momencie generowania tokenu.

Tokeny są wycofywaną z użycia spuścizną z pierwszej wersji KSeF. Korzystanie z nich będzie możliwe tylko do końca 2026 roku (!)

Konsekwencje korzystania z tokenów

Obecnie, jedynym rozwiązaniem KSeF stosowanym w relacjach: linia lotnicza – agent IATA, jest nadawanie uprawnień (przez linię lotniczą – agentom IATA – do wystawiania faktur w KSeF w imieniu danej linii lotniczej). Jest to standardowe rozwiązanie i jedyne, które będzie funkcjonować po 2026 r. Wprowadzenie przez Lufthansa Group tokenów wymusi przystosowanie systemów informatycznych wykorzystywanych przez agentów IATA do alternatywnej formy komunikacji z KSeF: z użyciem tokenów. Będzie to tymczasowe rozwiązanie, które przestanie działać z końcem roku 2026. Biorąc pod uwagę czas konieczny na dostosowanie systemów informatycznych do tego wymogu, będzie więc funkcjonować przez zaledwie kilka miesięcy.

Koszty przystosowania systemów informatycznych do tego rozwiązania pokryją agenci IATA.

Każda linia z Grupy Lufthansa będzie musiała wygenerować i dostarczyć (w bezpieczny sposób) tokeny wszystkim agentom IATA w Polsce. Proces ten musi się w całości dokonać przed końcem czerwca 2026 r. (bo potem tworzenie nowych tokenów w KSeF nie będzie już możliwe).

Wdrożenie komunikacji z KSeF z użyciem tokenów będzie wymagało oddzielnej (dla każdej linii) konfiguracji we wszystkich systemach mid-office wykorzystywanych przez wszystkich agentów IATA w Polsce.

Po wygaśnięciu tokenów konieczne będzie ponowne nadanie uprawnień wszystkim agentom IATA przez wszystkie linie lotnicze z grupy Lufthansa i kolejna zmiana konfiguracji systemów mid-office.

Zagrożenia

1. Czas

Pomysł z wdrożeniem KSeF za pomocą wychodzących z użycia tokenów opiera się na założeniu, że jest to rozwiązanie tymczasowe – na zaledwie kilka miesięcy, bo IATA – do końca 2026 roku – opracuje, przetestuje i wdroży własne rozwiązanie, które będzie w pełni funkcjonalną, alternatywną bramką KSeF, a wszystkie działające na polskim rynku systemy mid-office się z nią zintegrują.

Naszym zdaniem, to założenie jest nierealne.

Jedynym znanym w branży wdrożeniem alternatywnej bramki KSeF przeznaczonej do sprzedaży agencyjnej, jest rozwiązanie zbudowane przez PKP IC. Prace nad nim – przed uruchomieniem – trwały przez co najmniej półtora roku, a pierwsza specyfikacja techniczna została przesłana biurom i dostawcom mid-office rok przed produkcyjnym uruchomieniem systemu (który, dodajmy, nadal ma sporo błędów i braków). W wypadku rozwiązania, które podobno jest przygotowywane przez IATA (doniesienia mówią o rozszerzeniu funkcjonalności modułu SIS – elementu portalu IATA) żadne specyfikacje nie są jeszcze znane. Nie ma środowiska testowego. Nie istnieje także publicznie dostępny opis planowanej funkcjonalności tego systemu.

Takiego opóźnienia nie da się nadrobić w terminie, a tym bardziej: nie da się dostosować do niego systemów mid-office w tak krótkim czasie. Rozwiązanie, o którym mowa, nie będzie więc automatyczną bramką KSeF umożliwiającą wysyłkę faktur z poziomu systemów mid-office. W najlepszym razie, będzie to internetowy formularz umożliwiający manualne wystawienie faktury w KSeF w imieniu wskazanej linii lotniczej.

2. Nowi (zarejestrowani po 30 czerwca 2026 r.) agenci IATA nie będą mieli możliwości wystawiania faktur w KSeF w imieniu linii z Grupy Lufthansa

Tokeny można tworzyć tylko do końca czerwca 2026 roku. Nowe biura IATA; zarejestrowane po 30 czerwca 2026 roku, nie będą więc mogły wystawiać faktur w imieniu linii z grupy Lufthansa, ponieważ wygenerowanie dla nich tokenów KSeF nie będzie już możliwe.

3. Ryzyko operacyjne niepowodzenia projektu IATA

Rozważmy konsekwencje scenariusza, w którym rozwiązanie KSeF (SIS?) przygotowywane przez IATA dla agentów w Polsce nie ruszy w przewidywanym terminie, lub nie spełni podstawowego wymagania rynku, którym jest automatyczny interfejs z systemami mid-office. Co będzie musiała zrobić Grupa Lufthansa w takim przypadku?

Odpowiedź jest tylko jedna: Lufthansa Group będzie musiała nadać swoim agentom uprawnienia do wystawiania faktur w KSeF w jej imieniu. Czyli zrobić to, co od początku zrobił LOT.

Czemu w ogóle tokeny, skoro wystarczy nadać uprawnienia?

PLL LOT rozwiązał problem faktur wystawianych przez agentów IATA w jego imieniu nadając agentom odpowiednie uprawnienia w KSeF. Zrobił to, ponieważ rozumiał, że tokeny wychodzą z użycia i ponieważ nadawanie uprawnień jest prostsze i bezpieczniejsze niż generowanie i przesyłanie tokenów. Projekt się powiódł: rynek przyjął i wdrożył to rozwiązanie. Na dzień, kiedy pisany jest ten komentarz, wszystkie biura IATA korzystające z eKNF wystawiają faktury w imieniu PLL LOT w oparciu o nadane im uprawnienia.

Grupa Lufthansa stawia jednak na tokeny…

Porównanie obu rozwiązań: uprawnienia w KSeF versus tokeny

Porównywana cecha lub funkcjonalnośćUprawnienia w KSeFTokenyKtóra metoda jest lepsza?
Nadawanie uprawnieńNadawane w aplikacji podatnika KSeFTworzone w aplikacji podatnika KSeFUprawnienia – bo nie wymagają zapisywania poufnych danych tokenów poza KSeF
Możliwość określenia zakresu uprawnieńMożna określić zakres uprawnień (np.: tylko wystawianie faktur) oraz wskazać podmiot uprawniony (podając jego NIP)Można określić zakres uprawnień (np.: tylko wystawianie faktur), lecz nie można wskazać podmiotu uprawnionego. Tokenem może się posłużyć każdy, kto wejdzie w jego posiadanie.Uprawnienia – bo może z nich skorzystać tylko podmiot uprawniony, uwierzytelniony w KSeF, co jest zgodne z zasadami minimalnych uprawnień obowiązującymi w normach bezpieczeństwa dla systemów informacyjnych (PCI DSS, ISO27001)
Przekazywanie uprawnieńŻadna akcja nie jest wymagana. Po nadaniu uprawnień w KSeF podmiot uprawniony może natychmiast zacząć z nich korzystaćToken należy przesłać podmiotowi, który będzie z niego korzystał. Trzeba to zrobić w sposób bezpieczny, ponieważ jeśli trafi w ręce osoby niepowołanej, może zostać użyty w celu wyrządzenia szkody wystawcyUprawnienia – bo nie wymagają przesyłania poufnych danych poza KSeF i może z nich skorzystać tylko podmiot uprawniony, co minimalizuje ryzyko dla linii.
Konfiguracja w systemach mid-officeAgent IATA oznacza w systemie mid-office daną linię jako “objętą obowiązkiem KSeF”Agent IATA wprowadza otrzymany token do systemu mid-office i oznacza daną linię jako “objętą obowiązkiem KSeF”Uprawnienia – bo nie wymagają przechowywania w systemach mid-office tokena, który – w razie kradzieży danych – może zostać wykorzystany w celach przestępczych (np.: do wystawiania fałszywych faktur VAT)
Ograniczenia czasowe na nadawanie uprawnieńBez ograniczeń. Uprawnienia można nadać w dowolnym momencieNadanie uprawnień poprzez wygenerowanie tokena będzie możliwe tylko do końca czerwca 2026. Po tym okresie nie będzie możliwe utworzenie nowego tokena w KSeF.
Nowe biura IATA, które powstaną po 30 czerwca 2026 roku nie będą miały możliwości wystawiania faktur w imieniu linii lotniczych z grupy Lufthansa, ponieważ nie będzie już można wygenerować dla nich tokenów.		Uprawnienia – bo będzie można je nadawać przed i po 30 czerwca 2026 oraz w kolejnych latach.
Trwałość rozwiązaniaBez ograniczeń. Uprawnienia są docelowym rozwiązaniem, które jest i będzie podstawą funkcjonowania KSeFDo końca 2026 roku. Po tym czasie, dalsze posługiwanie się tokenami będzie niemożliwe i konieczne będzie nadanie uprawnień wszystkim podmiotom, które wcześniej korzystały z tokenów.Uprawnienia – bo raz nadane będą funkcjonować bez żadnych ograniczeń czasowych i można je będzie nadawać w dowolnym czasie.

W naszym sześciopunktowym porównaniu nadawanie uprawnień w KSeF wygrywa sześć do zera z rozwiązaniem opartym o Tokeny.

Konkluzje

Naszym zdaniem, Grupa Lufthansa popełnia błąd przygotowując się do wdrożenia KSeF dla swoich agentów w oparciu o tokeny. Jest to niepotrzebne, tymczasowe rozwiązanie, które niesie ze sobą większy nakład pracy, większe koszty dla obu stron, oraz bardzo poważne ryzyko niepowodzenia.

Drodzy Agenci IATA, Kiedy skontaktuje się z Wami przedstawiciel Lufthansa Group z pytaniem o tokeny, podziękujcie serdecznie tę propozycję i poproście – w zamian – o nadanie w KSeF uprawnień na Wasz NIP. Argumenty za takim właśnie rozwiązaniem przedstawiliśmy na tej stronie.

Faktury w imieniu Deutsche Lufthansa, Austrian Airlines, Swiss International Air Lines (bilety lotnicze wystawione na stocku 220, 257, 724)

przez

Po Lufthansa, kolejne linie lotnicze z tej grupy ogłosiły, że zamierzają samodzielnie wystawiać faktury dla klientów biznesowych w KSeF. Agenci IATA powinni zgłaszać potrzebę wystawienia faktury dla swojego klienta tym liniom za pośrednictwem formularzy dostępnych na ich stronach.

KSeF obligation from 1 April 2026: Austrian Airlines & Swiss International Air Lines

After Poland’s e‑invoicing obligation took effect for Deutsche Lufthansa in February 2026, Austrian Airlines and Swiss International Air Lines will also become subject to this requirement as of 1 April 2026. Austrian Airlines and SWISS will adopt the same e-invoicing solution as Deutsche Lufthansa. For BSP ticket sales, all requested B2B invoices will have to be issued by the respective airline based on the ticket stock used via KSeF. To enable invoice issuance, we will require travel agencies to provide their customers’ invoice data using the dedicated webforms. Please note, that details regarding KSeF process for Brussels Airlines (SN) will be communicated at a later stage.
What you need to do when your customer requests a B2B invoice: Submit the request via our webform:  Austrian Airlines (OS Ticket Stock 257): Invoice Request for Travel Agencies | Austrian Airlines Deutsche Lufthansa (LH Ticket Stock 220): Invoice Request for Travel Agencies | Deutsche Lufthansa Swiss International Air Lines (LX Ticket Stock 724): Invoice Request for Travel Agencies | Swiss International Air Lines
 Provide the buyer’s invoicing details as prompted in the form (e.g., passenger’s name, Polish tax ID/NIP, registered address, contact email), along with ticket details and your IATA agency number.
Ensure the information is complete and accurate so the invoice can be accepted by KSeF.
Timing: To support timely processing in line with Polish invoicing rules, please submit requests as soon as your customer asks for an invoice but no later than until 7th day of the month following the month of ticket sale.
Data protection: Data provided will be used solely for invoicing purposes and processed in accordance with applicable data protection laws. If you have any questions, please contact Travel Agency Support at lhg.agent.pl@dlh.de Thank you for your cooperation and continued partnership.

Kind Regards,
Lufthansa Group on behalf of Austrian Airlines, Deutsche Lufthansa and Swiss International Air Lines

Na fakturach tych nie będzie jednak informacji o koncie bankowym ani innych danych, które mogą być niezbędne dla klientów biznesowych. Z tego należy (naszym zdaniem) wnioskować, że Agent IATA powinien również wystawić klientowi w eKNF swój własny dokument – inny niż faktura VAT – potwierdzający sprzedaż i zawierający nr konta bankowego Agenta oraz inne informacje wymagane przez nabywcę. Według informacji od Lufthansa Group ta sytuacja jest tymczasowa i opracowywane jest inne rozwiązanie.