Algorytm nie może wykluczyć

AdobeStock

Przepisy nie przewidują sankcji dla przedsiębiorcy za stosowanie skrótu SHA-1, w szczególności sankcji nieważności kwalifikowanego podpisu elektronicznego.

Zarząd Zieleni Miejskiej ogłosił przetarg na usługi utrzymania terenów w pasach drogowych i na terenach niezabudowanych. Jeden z podmiotów biorących udział w postępowaniu był wzywany do złożenia wyjaśnień oraz uzupełnienia dokumentów, z czego wywiązał się w terminie. Zamawiający zawiadomił jednak tego wykonawcę o wykluczeniu z postępowania na podstawie art. 24 ust. 1 pkt 12 Prawa zamówień publicznych. Decyzja ta oparta została na ustaleniu rzekomej nieprawidłowości użycia algorytmu (SHA-1) przy składaniu podpisu elektronicznego w dokumencie JEDZ przez podmiot użyczający wykonawcy swoich zasobów. Użycie skrótu SHA-1 dla potrzeb walidacji zamawiający uznał za dyskwalifikację czynności jako nieprawidłowej oraz stwierdził nieważność złożonego podpisu kwalifikowanego. Według zamawiającego „nieprawidłowy” JEDZ przedłożony przez podmiot trzeci po wezwaniu do jego złożenia w trybie uzupełnienia dokumentów nie podlega ponownemu wezwaniu do usunięcia braków. Od takiej decyzji odwołał się wykonawca, twierdząc m.in. że nie sprecyzowano, z jakiej przyczyny walidacja przy użyciu algorytmu SHA-1 miałaby czynić złożony podpis nieważnym.

CZYTAJ TAKŻE: Odrzucenie oferty musi mieć określone podstawy

Rozpatrując odwołanie, Krajowa Izba Odwoławcza uznała, że zamawiający niewłaściwie uznał, że złożony przez wykonawcę w postępowaniu dokument JEDZ podmiotu użyczającego zasoby podpisany został w sposób nieprawidłowy, albowiem dokument opatrzony został ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa. Wynika to, jak ustaliła KIO, z pisma przedstawionego przez zamawiającego, w którym wskazano, że dokonano rzutu ekranu z programu proCentrum, którym zweryfikowano złożony podpis elektroniczny, co prawda dla potwierdzenia zastosowania w podpisie algorytmu SHA-1, jednakże w oknie dotyczącym wyniku końcowego co do podpisu znajduje się informacje, że podpis został pozytywnie zweryfikowany. Izba zwróciła także uwagę, że art. 32 ust. 1 rozporządzenia (UE1 nr 910/2014) z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie elDAS), określa wymagania rozstrzygające o uznaniu podpisu elektronicznego za kwalifikowany podpis elektroniczny.

Przepis ten nie wymaga (podobnie art. 10a ust. 5 ustawy Pzp) dla ważności i uznania kwalifikowanego statusu podpisu elektronicznego, aby podpis ten musiał spełniać konkretnie wskazane standardy techniczne, ani też nie wskazuje żadnych „zabronionych” czy „dopuszczonych” algorytmów kryptograficznych (w tym spornego SHA-2), których zastosowanie (lub brak) uniemożliwia uznanie podpisu za podpis kwalifikowany, a w konsekwencji za ważny podpis.

Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu elektronicznego na gruncie Pzp powinno być oceniane poprzez wynik walidacji – przeprowadzonej przez kwalifikowanego dostawcę usług zaufania w ramach świadczonej kwalifikowanej usługi walidacji – danego podpisu elektronicznego. W stanie faktycznym sprawy wynik walidacji był pozytywny – orzekła KIO.

W wyroku zwrócono uwagę również, że art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej nie nakłada sankcji nieważności na podpisy złożone po 1 lipca 2018 r. z uwierzytelnieniem wyłącznie przy użyciu algorytmu SHA-1. Z brzmienia tego przepisu nie można także wywieść podstaw dla nieuznawania podpisu utworzonego z zastosowaniem funkcji skrótu SHA-1.

Zdaniem KIO nie można odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu elektronicznego, a już tym bardziej jego ważności wyłącznie na podstawie oceny zamawiającego, że podpis nie poddaje się walidacji przy zastosowaniu algorytmu SHA-2 – w sytuacji gdy taki podpis został złożony w okresie ważności certyfikatu.

sygn. akt KIO 137/19

Tagi:

Mogą Ci się również spodobać

Podkarpackie samorządy stracą miliony

W efekcie przymusowej restrukturyzacji Podkarpackiego Banku Spółdzielczego lokalne samorządy stracą ponad 40 proc. depozytów ...

W Kętrzynie wolontariuszki ruszyły z odsieczą miejscowemu szpitalowi

Jak wiadomo, największym rarytasem czasu epidemii jest maseczka ochronna. W Kętrzynie dramatycznie ich brakuje. ...

W czyje ręce trafią miliardy z UE

Polska ma dostać prawie 64 mld euro z nowego programu odbudowy. Czy całą pulą ...

Boom na miejskie magazyny

Miejskich hal firmy nie boją się budować spekulacyjnie, nie na zamówienie. Wynajmują się na ...

Gabinet dentystyczny poza zasięgiem wielu szkół

Obowiązki, jakie nakłada na samorządy ustawa o opiece zdrowotnej nad uczniami, znacznie przekraczają możliwości ...

Nie damy się kupić

Chcemy, by Senat stał się przyczółkiem do stanowienia prawa, na które czekają samorządy - ...