12.02.2019

Błędny wyrok KIO nt. stosowania podpisu elektronicznego z SHA-1

Nie sposób przejść obojętnie obok wyroku Krajowej Izby Odwoławczej z 10 grudnia 2018 r. (sygn. akt KIO 2428/18). KIO została wprowadzona w błąd, co do wymagań dotyczących podpisu elektronicznego i na tej podstawie wydała błędne orzeczenie. Stanowisko takie – w piśmie z 29 stycznia 2019 r. do Ministra Cyfryzacji Karola Okońskiego – prezentuje również Polska Izba Informatyki i Telekomunikacji.

Wyrok KIO

W krytykowanym wyroku Krajowa Izba Odwoławcza stwierdziła, iż podpis elektroniczny złożony przez  Wykonawcę nie spełniał wymogów określonych w art. 10a ust. 5 PZP, albowiem został złożony z wykorzystywaniem algorytmu SHA-1.

Zaś zgodnie z art. 137 ust. 1 ustawy o usługach zaufania oraz identyfikacji elektronicznej (z 5 września 2016 r.), funkcja skrótu SHA-1 mogła być stosowana do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych tylko do 1 lipca 2018 r. Wykonawca wybrany przez Zamawiającego posłużył się zaś podpisem z wykorzystaniem wymienionego algorytmu  3 września 2018 r.

W ocenie KIO, od 1 lipca 2018 r. istnieje obowiązek zaprzestania stosowania SHA-1, a obowiązek ten dotyczy nie tylko certyfikatów, ale także wszelkich składanych podpisów.

Swoje stanowisko KIO podparła Komunikatem Ministra Cyfryzacji z 1 marca 2018 r., zgodnie z którym koniecznym jest dostosowanie aplikacji służących do składania lub weryfikacji podpisu elektronicznego do algorytmów rodziny SHA-2. Ma to związek z utratą przez algorytm SHA-1 rekomendacji Europejskiego Instytutu Norm Telekomunikacyjnych.

Krytyczne stanowisko

Polska Izba Informatyki i Telekomunikacji jednoznacznie skrytykowała powyższe orzeczenie KIO. Wskazała przy tym, że brak jest podstaw do uznania kwalifikowanego podpisu elektronicznego za nieważny, z uwagi na posłużenie się takim czy innym algorytmem SHA.

Prezes Urzędu Zamówień Publicznych Hubert Nowak stwierdza, iż Urząd ma wątpliwość, co do orzeczenia, albowiem KIO oparło się na opinii Ministerstwa Cyfryzacji z marca 2018 r.

Artykuł 10a ust. 5 PZP nie wprowadza ani rygoru nieważności podpisu weryfikowanego algorytmem SHA-1, ani nie pozbawia takiego podpisu cech kwalifikowanego podpisu elektronicznego.

Zaś z przepisu art. 137 ust. 2 ustawy o usługach zaufania oraz identyfikacji elektronicznej wynika, że przepis ten jest kierowany do dostawców usług zaufania, producentów oprogramowania oraz podmiotów publicznych, a nie do podmiotów które używają i stosują podpisy elektroniczne.

Wnioski

Przedmiotowe orzeczenie KIO zostało wydane na podstawie błędnej interpretacji Komunikatu Ministra Cyfryzacji i może prowadzić do niepoprawnej praktyki wśród Zamawiających.

Wyrok ten należy jednoznacznie skrytykować! Zgodnie z powyższą interpretacją, Zamawiający mogliby wpisywać do SIWZ wymaganie stosowania przez Wykonawców wyłącznie podpisów elektronicznych z wykorzystaniem algorytmu SHA-2. Byłaby to natomiast praktyka błędna.

Podziel się artykułem

Marcin Szołajski

redaktor naczelny / radca prawny / legal counsel / CEO