Algorytm nie może wykluczyć

Przepisy nie przewidują sankcji dla przedsiębiorcy za stosowanie skrótu SHA-1, w szczególności sankcji nieważności kwalifikowanego podpisu elektronicznego.

Zarząd Zieleni Miejskiej ogłosił przetarg na usługi utrzymania terenów w pasach drogowych i na terenach niezabudowanych. Jeden z podmiotów biorących udział w postępowaniu był wzywany do złożenia wyjaśnień oraz uzupełnienia dokumentów, z czego wywiązał się w terminie. Zamawiający zawiadomił jednak tego wykonawcę o wykluczeniu z postępowania na podstawie art. 24 ust. 1 pkt 12 Prawa zamówień publicznych. Decyzja ta oparta została na ustaleniu rzekomej nieprawidłowości użycia algorytmu (SHA-1) przy składaniu podpisu elektronicznego w dokumencie JEDZ przez podmiot użyczający wykonawcy swoich zasobów. Użycie skrótu SHA-1 dla potrzeb walidacji zamawiający uznał za dyskwalifikację czynności jako nieprawidłowej oraz stwierdził nieważność złożonego podpisu kwalifikowanego. Według zamawiającego „nieprawidłowy” JEDZ przedłożony przez podmiot trzeci po wezwaniu do jego złożenia w trybie uzupełnienia dokumentów nie podlega ponownemu wezwaniu do usunięcia braków. Od takiej decyzji odwołał się wykonawca, twierdząc m.in. że nie sprecyzowano, z jakiej przyczyny walidacja przy użyciu algorytmu SHA-1 miałaby czynić złożony podpis nieważnym.

CZYTAJ TAKŻE: Odrzucenie oferty musi mieć określone podstawy

Rozpatrując odwołanie, Krajowa Izba Odwoławcza uznała, że zamawiający niewłaściwie uznał, że złożony przez wykonawcę w postępowaniu dokument JEDZ podmiotu użyczającego zasoby podpisany został w sposób nieprawidłowy, albowiem dokument opatrzony został ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa. Wynika to, jak ustaliła KIO, z pisma przedstawionego przez zamawiającego, w którym wskazano, że dokonano rzutu ekranu z programu proCentrum, którym zweryfikowano złożony podpis elektroniczny, co prawda dla potwierdzenia zastosowania w podpisie algorytmu SHA-1, jednakże w oknie dotyczącym wyniku końcowego co do podpisu znajduje się informacje, że podpis został pozytywnie zweryfikowany. Izba zwróciła także uwagę, że art. 32 ust. 1 rozporządzenia (UE1 nr 910/2014) z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie elDAS), określa wymagania rozstrzygające o uznaniu podpisu elektronicznego za kwalifikowany podpis elektroniczny.

Przepis ten nie wymaga (podobnie art. 10a ust. 5 ustawy Pzp) dla ważności i uznania kwalifikowanego statusu podpisu elektronicznego, aby podpis ten musiał spełniać konkretnie wskazane standardy techniczne, ani też nie wskazuje żadnych „zabronionych” czy „dopuszczonych” algorytmów kryptograficznych (w tym spornego SHA-2), których zastosowanie (lub brak) uniemożliwia uznanie podpisu za podpis kwalifikowany, a w konsekwencji za ważny podpis.

Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu elektronicznego na gruncie Pzp powinno być oceniane poprzez wynik walidacji – przeprowadzonej przez kwalifikowanego dostawcę usług zaufania w ramach świadczonej kwalifikowanej usługi walidacji – danego podpisu elektronicznego. W stanie faktycznym sprawy wynik walidacji był pozytywny – orzekła KIO.

W wyroku zwrócono uwagę również, że art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej nie nakłada sankcji nieważności na podpisy złożone po 1 lipca 2018 r. z uwierzytelnieniem wyłącznie przy użyciu algorytmu SHA-1. Z brzmienia tego przepisu nie można także wywieść podstaw dla nieuznawania podpisu utworzonego z zastosowaniem funkcji skrótu SHA-1.

Zdaniem KIO nie można odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu elektronicznego, a już tym bardziej jego ważności wyłącznie na podstawie oceny zamawiającego, że podpis nie poddaje się walidacji przy zastosowaniu algorytmu SHA-2 – w sytuacji gdy taki podpis został złożony w okresie ważności certyfikatu.

sygn. akt KIO 137/19