Krajowa izba Odwoławcza pomyliła się wydając orzeczenie w sprawie o sygnaturze KIO 2428/18.  Tak uważa Polska Izba Informatyki i Telekomunikacji. We wtorek 29 stycznia PIIT wysłała do Karola Okońskiego, ministra cyfryzacji, swoje stanowisko w tej sprawie. Pisze w nim wprost, że brak jest podstaw do uznania, że kwalifikowany podpis elektroniczny jest nieważny  z uwagi na posłużenie się takim czy innym algorytmem SHA. Jeżeli jednak linia orzecznicza KIO się utrzyma, za nieważne i podlegające odrzuceniu będą uznawane oferty podpisane przy użyciu algorytmu SHA-1. - Niestety takie wyroki już w KIO zapadają - alarmuje PIIT. Mirella Lechna, radca prawny w kancelarii Wardyński i Wspólnicy, wskazuje ponadto, że Izba sięgnęła do przepisów ustawy  usługach zaufania oraz identyfikacji elektronicznej, choć nie powinna. Wątpliwości  ma też Urząd Zamówień Publicznych. - Sami mamy wątpliwość, co do orzeczenia  w sprawie kwalifikowanego podpisu – mówi Hubert Nowak, prezes Urzędu Zamówień Publicznych. - KIO oparło się na opinii Ministerstwa Cyfryzacji z marca. Wobec tego zwróciliśmy się do ministra cyfryzacji, jak podejść do ważności algorytmu i teraz czekamy na odpowiedź. Gdy dostaniemy, przygotujemy stanowisko – dodaje prezes Hubert Nowak.

Czytaj również: Podpis elektroniczny może być niebezpieczny w e-zamówieniach >>

 


Co orzekła Krajowa Izba Odwoławcza

KIO w wyroku z 10 grudnia 2018 r.  uznała nieważność kwalifikowanego podpisu elektronicznego złożonego na dokumencie JEDZ (Jednolity Europejski Dokument Zamówienia) z powodu użycia skrótu SHA-1. KIO oparła się na art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej. Zgodnie z nim skrót SHA-1 mógł być stosowany do 1 lipca 2018 r. Według KIO obowiązek zaprzestania stosowania SHA-1 dotyczy nie tylko dostawców certyfikatów, ale także wszelkich składanych podpisów i pieczęci pod dokumentami, a zatem wszystkich podmiotów zarówno komercyjnych, jak i jednostek administracji publicznej. Według KIO, certyfikat użytkownika bazujący na SHA-1 wydany przed 1 lipca 2018 r., by zachować ważność po tej dacie, powinien już zawierać algorytmem SHA2. KIO oparła się też na komunikacie Ministra Cyfryzacji z 1 marca 2018 r.  w sprawie wycofania algorytmu SHA-1.

Opinia Polskiej Izby Informatyki i Telekomunikacji

Według PIIT z art. 137 nie wynika, aby przedsiębiorca – składający ofertę w postępowaniu o udzielenie zamówienia publicznego – nie mógł się posłużyć skrótem SHA-1.  - Przepis ten miał uspokoić rynek w Polsce, że skrót SHA-1 do dnia 1 lipca 2018 r. może być stosowany – czytamy w opinii PIIiT.  Nie zakazuje on posługiwania się skrótem SHA-1, tym bardziej nie przewidziano jakichkolwiek sankcji np. w postaci podważenia ważności podpisu. Przede wszystkim jednak z  art. 137  ust. 2 wynika, że przepis ten kierowany  do dostawców usług zaufania, producentów oprogramowania oraz podmiotów publicznych.  Ponadto według PIIT można by  ewentualnie rozważać nieważność podpisu  z użyciem SHA-1 pod ofertą/JEDZ, gdyby zamawiający zapisał to w Specyfikacji Istotnych Warunków Zamówienia (SIWZ). Musiałby więc zaznaczyć, że odrzuci ofertę opatrzoną e-podpisem z SHE-1. Choć według PIIT nawet w takiej sytuacji byłoby to wątpliwe, gdyż zamawiający, podobnie jak jak KIO  nie ma prawa samodzielnie decydować czy podpis elektroniczny jest ważny. Kiedy mamy do czynienia z podpisem elektronicznym wynika bowiem przede wszystkim z Rozporządzenia 910/2014 - podkreśla PIIT.

 


 

Orzeczenie KIO sprzeczne z przepisami

Ponadto zdaniem Mirelli Lechna KIO weryfikując czynności zamawiających i obowiązki nałożone na wykonawców, nie powinna sięgać do przepisów innych niż zakreślone ustawą Prawo zamówień publicznych. - Odwołanie przysługuje wyłącznie od niezgodnej z przepisami ustawy czynności zamawiającego podjętej w postępowaniu o udzielenie zamówienia lub zaniechania czynności, do której zamawiający jest zobowiązany na podstawie ustawy. Dlatego Izba, weryfikując czynności zamawiających i obowiązki nałożone na wykonawców, nie powinna sięgać do przepisów innych niż wynikających z prawa zamówień publicznych – argumentuje Mirella Lechna. I przyznaje, podobnie jak PIIT, że KIO sięgając do ustawy o usługach zaufania oraz identyfikacji elektronicznej, poddała wykładni jedynie fragment jej regulacji w oderwaniu od jej innych przepisów, w szczególności tych wyznaczających adresatów jej norm. Dlatego według Mirelli Lechno wykładnia KIO w sprawie 2423/18 nie może więc wytyczać kierunku dla zamawiających i wykonawców w kolejnych postępowaniach.

Czytaj w LEX: Kwalifikowany podpis elektroniczny w zamówieniach publicznych >>

Nie masz dostępu do tego materiału? Sprawdź, jako uzyskać >>