Ważności kwalifikowanego podpisu elektronicznego

30.05.2019

W ocenie Izby nie ma regulacji na podstawie której można by uznać nieważności podpisu elektronicznego złożonego w oparciu o algorytm SHA-1. Przede wszystkim należy podkreślić, że będący podstawą omawianego zarzutu przepis art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej nie wprowadza ani rygoru nieważności podpisu weryfikowanego algorytmem SHA-1, ani nie pozbawia takiego podpisu cech kwalifikowanego podpisu elektronicznego. Rygoru takiego nie można również wywieść z art. 10a ust. 5 ustawy Pzp, ani także z europejskiego rozporządzenia, które było podstawą wprowadzenia polskich przepisów (rozporządzenie Parlamentu Europejskiego i Rady UE (elDAS) nr 910/2014 z dnia 23 lipca 2014r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającym dyrektywę 1999/93/WE).

Przepis art. 10a ust. 5 ustawy Pzp wymaga, w postępowaniach o wartości tzw. „europejskiej”, składania ofert w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym. Nie formułuje przy tym definicji elektronicznej formy tej czynności prawnej w sposób szczególny wobec przepisu art. 781 §1 Kodeksu cywilnego. Ani ustawa Pzp, ani Kodeks cywilny nie zawierają także żadnych przepisów odnoszących się do kwalifikowanego podpisu elektronicznego, który jest immanentnym elementem elektronicznej formy oferty.

Zdaniem Izby w sprawie sygn.. akt KIO 179, 184, 187/19, powodem takiego stanu rzeczy jest okoliczność, iż podpis elektroniczny – w tym także jego kwalifikowana postać stanowi przedmiot regulacji prawa europejskiego: rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014 r. str.. 73), zwanego dalej „rozporządzeniem elDAS”.

Rozporządzenie elDAS, a także podstawowy akt delegowany do tego rozporządzenia w postaci Decyzji Wykonawczej Komisji (UE) 2015/1506 z dnia 8 września 2015 r. ustanawiającej specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego, zgodnie z art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015 r. str. 37), stanowią wiążące źródło prawa w zakresie wszelkich aspektów kwalifikowanych podpisów elektronicznych, mających wpływ na ważność czynności prawnych dokonanych w formie elektronicznej.

Działając zgodnie z przepisami rozporządzenia elDAS, Komisja Europejska ustanowiła specyfikacje dotyczące m.in. formatów zaawansowanych podpisów elektronicznych. Zastosowano przy tym metodę polegającą na odesłaniu – w zakresie poszczególnych rodzajów podpisów do konkretnych specyfikacji technicznych Europejskiego Instytutu Norm Telekomunikacyjnych (dalej zwanego także „ETSI”). W żadnej specyfikacji technicznej ETSI nie znajduje się jakiekolwiek postanowienie, które wyłączałoby możliwość dalszego stosowania funkcji skrótu SHA-1 przy składaniu kwalifikowanych podpisów elektronicznych. O ile można zgodzić się z Odwołującym II, że stosowanie SHA-1 nie jest rekomendowane przez ETSI, to nie sposób takiego stwierdzenia utożsamiać z zakazem stosowania.

Wskazać dalej należy, że art. 137 ustawy o usługach zaufania winien być interpretowany w powiązaniu z jego miejscem w systematyce ustawy – znajduje się on w Rozdziale 9 tej ustawy, który to rozdział nosi tytuł „Przepisy przejściowe”. Nie pozostaje bez znaczenia, że brak w omawianej ustawie jakiegokolwiek przepisu, który statuowałby ogólny zakaz używania funkcji skrótu SHA-1 przy składaniu kwalifikowanych podpisów elektronicznych. W ocenie Izby przepis art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej zawiera normę prawna o charakterze instrukcyjnym, która nie zawiera żadnych sankcji, a w szczególności sankcji nieważności oferty.

Izba dodaje, że pozytywny wynik walidacji oznaczającej proces weryfikacji i potwierdzenia ważności podpisu elektronicznego to zgodnie z przepisem art. 32 rozporządzenia elDAS rodzi domniemanie ważności kwalifikowanego podpisu elektronicznego. Normami dotyczącymi walidacji kwalifikowanych podpisów elektronicznych są te same, wskazane wyżej specyfikacje techniczne ETSI, które wynikają z Decyzji Wykonawczej Komisji (UE) 2015/1506. Aby obalić domniemanie ważności kwalifikowanego podpisu elektronicznego, którym opatrzono ofertę wykonawców, należy wykazać brak spełnienia norm dotyczących walidacji, czego Odwołujący II nie uczynił, a tym samym podniesiony zarzut Izba uznała za niezasadny.

Potwierdzeniem powyższego stanowiska jest komunikat Ministerstwa Cyfryzacji wydany w dniu 15 lutego 2019 r., w którym wskazano, iż podpisy kwalifikowane, które złożono z użyciem ważnych certyfikatów i przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Oznacza to, że dokumenty podpisane z użyciem SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia. Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu i można polegać na wynikach, które zgłaszają. Do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 elDAS.