Algorytm nie może wykluczyć

AdobeStock

Przepisy nie przewidują sankcji dla przedsiębiorcy za stosowanie skrótu SHA-1, w szczególności sankcji nieważności kwalifikowanego podpisu elektronicznego.

Zarząd Zieleni Miejskiej ogłosił przetarg na usługi utrzymania terenów w pasach drogowych i na terenach niezabudowanych. Jeden z podmiotów biorących udział w postępowaniu był wzywany do złożenia wyjaśnień oraz uzupełnienia dokumentów, z czego wywiązał się w terminie. Zamawiający zawiadomił jednak tego wykonawcę o wykluczeniu z postępowania na podstawie art. 24 ust. 1 pkt 12 Prawa zamówień publicznych. Decyzja ta oparta została na ustaleniu rzekomej nieprawidłowości użycia algorytmu (SHA-1) przy składaniu podpisu elektronicznego w dokumencie JEDZ przez podmiot użyczający wykonawcy swoich zasobów. Użycie skrótu SHA-1 dla potrzeb walidacji zamawiający uznał za dyskwalifikację czynności jako nieprawidłowej oraz stwierdził nieważność złożonego podpisu kwalifikowanego. Według zamawiającego „nieprawidłowy” JEDZ przedłożony przez podmiot trzeci po wezwaniu do jego złożenia w trybie uzupełnienia dokumentów nie podlega ponownemu wezwaniu do usunięcia braków. Od takiej decyzji odwołał się wykonawca, twierdząc m.in. że nie sprecyzowano, z jakiej przyczyny walidacja przy użyciu algorytmu SHA-1 miałaby czynić złożony podpis nieważnym.

CZYTAJ TAKŻE: Odrzucenie oferty musi mieć określone podstawy

Rozpatrując odwołanie, Krajowa Izba Odwoławcza uznała, że zamawiający niewłaściwie uznał, że złożony przez wykonawcę w postępowaniu dokument JEDZ podmiotu użyczającego zasoby podpisany został w sposób nieprawidłowy, albowiem dokument opatrzony został ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa. Wynika to, jak ustaliła KIO, z pisma przedstawionego przez zamawiającego, w którym wskazano, że dokonano rzutu ekranu z programu proCentrum, którym zweryfikowano złożony podpis elektroniczny, co prawda dla potwierdzenia zastosowania w podpisie algorytmu SHA-1, jednakże w oknie dotyczącym wyniku końcowego co do podpisu znajduje się informacje, że podpis został pozytywnie zweryfikowany. Izba zwróciła także uwagę, że art. 32 ust. 1 rozporządzenia (UE1 nr 910/2014) z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie elDAS), określa wymagania rozstrzygające o uznaniu podpisu elektronicznego za kwalifikowany podpis elektroniczny.

Przepis ten nie wymaga (podobnie art. 10a ust. 5 ustawy Pzp) dla ważności i uznania kwalifikowanego statusu podpisu elektronicznego, aby podpis ten musiał spełniać konkretnie wskazane standardy techniczne, ani też nie wskazuje żadnych „zabronionych” czy „dopuszczonych” algorytmów kryptograficznych (w tym spornego SHA-2), których zastosowanie (lub brak) uniemożliwia uznanie podpisu za podpis kwalifikowany, a w konsekwencji za ważny podpis.

Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu elektronicznego na gruncie Pzp powinno być oceniane poprzez wynik walidacji – przeprowadzonej przez kwalifikowanego dostawcę usług zaufania w ramach świadczonej kwalifikowanej usługi walidacji – danego podpisu elektronicznego. W stanie faktycznym sprawy wynik walidacji był pozytywny – orzekła KIO.

W wyroku zwrócono uwagę również, że art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej nie nakłada sankcji nieważności na podpisy złożone po 1 lipca 2018 r. z uwierzytelnieniem wyłącznie przy użyciu algorytmu SHA-1. Z brzmienia tego przepisu nie można także wywieść podstaw dla nieuznawania podpisu utworzonego z zastosowaniem funkcji skrótu SHA-1.

Zdaniem KIO nie można odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu elektronicznego, a już tym bardziej jego ważności wyłącznie na podstawie oceny zamawiającego, że podpis nie poddaje się walidacji przy zastosowaniu algorytmu SHA-2 – w sytuacji gdy taki podpis został złożony w okresie ważności certyfikatu.

sygn. akt KIO 137/19

Tagi:

Mogą Ci się również spodobać

W miastach z betonu szybko przybywa zieleni

Rewaloryzowane parki, efektowne rośliny w miejscach, gdzie jeszcze niedawno były nieużytki, zieleńce między blokami, ...

Plaże wysoko oceniane

Od Świnoujścia po Jarosławiec ciągną się plaże Pomorza Zachodniego. To nie tylko najdłuższy pas ...

Nie ma jak skutecznie bronić mieszkańców

Brakuje uregulowań dotyczących najmu krótkoterminowego. Tymczasem w innych państwach europejskich od dawna już obowiązują.

Stacja Kostrzyn znów zagra

1 sierpnia rusza kolejna edycja festiwalu Pol’and’Rock – imprezy, którą Wielka Orkiestra Świątecznej Pomocy ...

Jedna z kamienic wyremontowanych dzięki środkom z Funduszu Pożyczkowego

Fundusz pomoże przedsiębiorcom

Czy twoja firma potrzebuje poręczenia lub zwrotnej pożyczki na inwestycje? Rozwiązaniem jest Szczeciński Fundusz ...

Nowatorskie rozwiązania to określenie niekonkretne

Miejscowy plan zagospodarowania przestrzennego musi zawierać ustalenia precyzyjne i jednoznaczne. Uchwalony w 2007 r. ...