Oferta podpisana z użyciem algorytmu SHA-1 podlega odrzuceniu

W związku z elektronizacją zamówień publicznych pojawiają się kolejne problemy, które mogą skutecznie uniemożliwić Wykonawcom uzyskanie zamówienia. Od 18 października w postępowaniach o wartości przekraczającej progi unijne oferty, wnioski o dopuszczenie do udziału w postępowaniu oraz Jednolity Europejski Dokument Zamówienia pod rygorem nieważności muszą zostać podpisane kwalifikowanym podpisem elektronicznym.

Zmawiający zobowiązany jest do weryfikacji prawidłowości złożonych podpisów, czyli sprawdzeniu, czy kwalifikowany podpis został złożony przez osobę uprawnioną do reprezentowania wykonawcy oraz, czy podpis ten jest prawidłowy tzn. czy został złożony przy użyciu ważnego certyfikatu oraz właściwej funkcji skrótu.

Zgodnie z art. 137 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. 2016, poz. 1579) z dniem 1 lipca utracił ważność algorytm SHA-1. Mimo powyższego, podczas weryfikacji podpisu złożonego przy użyciu tego algorytmu, jeżeli nie wygasła ważność certyfikatu, Zamawiający otrzymuje komunikat o pozytywnej weryfikacji.

Krajowa Izba Odwoławcza w wyroku z dnia 10 grudnia 2018 r. uznała, że zgodnie z art. 137 ust. 1 ww. ustawy, z dniem 1 lipca 2018 r., skończył się okres stosowania funkcji skrótu SHA-1 w zastosowaniach dotyczących zaawansowanego podpisu elektronicznego i pieczęci. Obowiązek zaprzestania stosowania SHA-1 dotyczy nie tylko certyfikatów (czyli nie dotyczy tylko dostawców certyfikatów), ale także wszelkich składanych podpisów i pieczęci pod dokumentami. Obowiązek ten dotyczy wszystkich podmiotów zarówno komercyjnych jak i jednostek administracji publicznej, które w ramach swoich systemów udostępniają funkcjonalność tworzenia podpisu (lub pieczęci). Wymaga podkreślenia, że jeżeli certyfikat użytkownika będzie bazował na SHA-1 (i będzie ważny, bo wydany przed 1 lipca), to podpis tworzony (po 1 lipca) weryfikowany tym certyfikatem powinien zawierać skrót podpisywanej treści obliczony algorytmem SHA-2 (a nie SHA-1).

Izba stwierdziła, że przystępujący nie dochował należytej staranności, przy dokonywaniu czynności związanej ze złożeniem kwalifikowanego podpisu pod dokumentem JEDZ składanym zamawiającemu, albowiem uchybił bezwzględnie obowiązującym od dnia 1 lipca 2018 roku przepisom uzoie i wadliwie złożył podpis przy zastosowaniu algorytmu SHA-1. Przystępujący winien bowiem, znając treść przepisów nowelizujących przedmiotową ustawę, dokonać uprzedniego dostosowania aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Przystępujący takiej czynności, zdaje się nie dokonał.

Tym samym, Izba doszła do przekonania, iż podpis złożony przez przystępującego, nie odpowiadający aktualnie obowiązującym przepisom jest nieważny, dlatego też koniecznym było ustalenie, że czynność oceny oferty przystępującego przez zamawiającego, pod kątem prawidłowości złożonego pod oświadczeniem JEDZ podpisu – była wadliwa.

Jednocześnie Izba stwierdziła, że w zakresie dokumentów, podlegających uzupełnieniu, Zamawiający w pierwszej kolejności zamawiający zobligowany był do wezwania przystępującego w trybie przepisu art. 26 ust. 3 ustawy Pzp, do złożenia oświadczenia JEDZ podpisanego prawidłowo z zastosowaniem aktualnie obowiązującego algorytmu, w tym przypadku SHA-2 (wyrok KIO z dnia 10 grudnia 2018 r., sygn. akt: KIO 2428/18).