Algorytm nie może wykluczyć

AdobeStock

Przepisy nie przewidują sankcji dla przedsiębiorcy za stosowanie skrótu SHA-1, w szczególności sankcji nieważności kwalifikowanego podpisu elektronicznego.

Zarząd Zieleni Miejskiej ogłosił przetarg na usługi utrzymania terenów w pasach drogowych i na terenach niezabudowanych. Jeden z podmiotów biorących udział w postępowaniu był wzywany do złożenia wyjaśnień oraz uzupełnienia dokumentów, z czego wywiązał się w terminie. Zamawiający zawiadomił jednak tego wykonawcę o wykluczeniu z postępowania na podstawie art. 24 ust. 1 pkt 12 Prawa zamówień publicznych. Decyzja ta oparta została na ustaleniu rzekomej nieprawidłowości użycia algorytmu (SHA-1) przy składaniu podpisu elektronicznego w dokumencie JEDZ przez podmiot użyczający wykonawcy swoich zasobów. Użycie skrótu SHA-1 dla potrzeb walidacji zamawiający uznał za dyskwalifikację czynności jako nieprawidłowej oraz stwierdził nieważność złożonego podpisu kwalifikowanego. Według zamawiającego „nieprawidłowy” JEDZ przedłożony przez podmiot trzeci po wezwaniu do jego złożenia w trybie uzupełnienia dokumentów nie podlega ponownemu wezwaniu do usunięcia braków. Od takiej decyzji odwołał się wykonawca, twierdząc m.in. że nie sprecyzowano, z jakiej przyczyny walidacja przy użyciu algorytmu SHA-1 miałaby czynić złożony podpis nieważnym.

CZYTAJ TAKŻE: Odrzucenie oferty musi mieć określone podstawy

Rozpatrując odwołanie, Krajowa Izba Odwoławcza uznała, że zamawiający niewłaściwie uznał, że złożony przez wykonawcę w postępowaniu dokument JEDZ podmiotu użyczającego zasoby podpisany został w sposób nieprawidłowy, albowiem dokument opatrzony został ważnym podpisem kwalifikowanym, zgodnie z wymogami prawa. Wynika to, jak ustaliła KIO, z pisma przedstawionego przez zamawiającego, w którym wskazano, że dokonano rzutu ekranu z programu proCentrum, którym zweryfikowano złożony podpis elektroniczny, co prawda dla potwierdzenia zastosowania w podpisie algorytmu SHA-1, jednakże w oknie dotyczącym wyniku końcowego co do podpisu znajduje się informacje, że podpis został pozytywnie zweryfikowany. Izba zwróciła także uwagę, że art. 32 ust. 1 rozporządzenia (UE1 nr 910/2014) z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie elDAS), określa wymagania rozstrzygające o uznaniu podpisu elektronicznego za kwalifikowany podpis elektroniczny.

Przepis ten nie wymaga (podobnie art. 10a ust. 5 ustawy Pzp) dla ważności i uznania kwalifikowanego statusu podpisu elektronicznego, aby podpis ten musiał spełniać konkretnie wskazane standardy techniczne, ani też nie wskazuje żadnych „zabronionych” czy „dopuszczonych” algorytmów kryptograficznych (w tym spornego SHA-2), których zastosowanie (lub brak) uniemożliwia uznanie podpisu za podpis kwalifikowany, a w konsekwencji za ważny podpis.

Tym samym stwierdzenie ważności i prawidłowości złożenia kwalifikowanego podpisu elektronicznego na gruncie Pzp powinno być oceniane poprzez wynik walidacji – przeprowadzonej przez kwalifikowanego dostawcę usług zaufania w ramach świadczonej kwalifikowanej usługi walidacji – danego podpisu elektronicznego. W stanie faktycznym sprawy wynik walidacji był pozytywny – orzekła KIO.

W wyroku zwrócono uwagę również, że art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej nie nakłada sankcji nieważności na podpisy złożone po 1 lipca 2018 r. z uwierzytelnieniem wyłącznie przy użyciu algorytmu SHA-1. Z brzmienia tego przepisu nie można także wywieść podstaw dla nieuznawania podpisu utworzonego z zastosowaniem funkcji skrótu SHA-1.

Zdaniem KIO nie można odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu elektronicznego, a już tym bardziej jego ważności wyłącznie na podstawie oceny zamawiającego, że podpis nie poddaje się walidacji przy zastosowaniu algorytmu SHA-2 – w sytuacji gdy taki podpis został złożony w okresie ważności certyfikatu.

sygn. akt KIO 137/19

Tagi:

Mogą Ci się również spodobać

Łatwiejsze życie dla niepełnosprawnych

Dla większości ludzi takie czynności jak kąpiel, skorzystanie z toalety czy zaparzenie herbaty są ...

Znak pojawił się niespodziewanie 

Stała zmiana organizacji ruchu polegająca na zakazie ruchu ciężkich pojazdów wymagała rozważenia racji mieszkańców, ...

Handlowe życie na niepewnym gruncie

Targowiska przyciągały kupujących w czasach PRL, przyciągają i dziś, w dobie hipermarketów i galerii handlowych. Samorządy zapewniają o wsparciu ...

Słono zapłacisz za wjazd na starówkę

Miasta ograniczają wjazd samochodów do historycznych centrów. Poza tym planują podnosić opłaty za parkowanie ...

Tam, gdzie Zielona Gęś i Arkadia

Zbliżająca się wiosna wzmocni w nas chęć obcowania z kulturą w plenerze. Zapraszają Leśniczówka ...

Prace na lotnisku w Gliwicach idą pełną parą

Modernizacja gliwickiego lotniska nie zwalnia tempa. Szeroko zakrojona inwestycja powinna być gotowa pod koniec ...