Zdaniem Izby w sprawie sygn.. akt KIO 179, 184, 187/19, powodem takiego stanu rzeczy jest okoliczność, iż podpis elektroniczny – w tym także jego kwalifikowana postać stanowi przedmiot regulacji prawa europejskiego: rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz. Urz. UE L 257 z 28.08.2014 r. str.. 73), zwanego dalej „rozporządzeniem elDAS”.
Rozporządzenie elDAS, a także podstawowy akt delegowany do tego rozporządzenia w postaci Decyzji Wykonawczej Komisji (UE) 2015/1506 z dnia 8 września 2015 r. ustanawiającej specyfikacje dotyczące formatów zaawansowanych podpisów elektronicznych oraz zaawansowanych pieczęci elektronicznych, które mają być uznane przez podmioty sektora publicznego, zgodnie z art. 27 ust. 5 i art. 37 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015 r. str. 37), stanowią wiążące źródło prawa w zakresie wszelkich aspektów kwalifikowanych podpisów elektronicznych, mających wpływ na ważność czynności prawnych dokonanych w formie elektronicznej.
Działając zgodnie z przepisami rozporządzenia elDAS, Komisja Europejska ustanowiła specyfikacje dotyczące m.in. formatów zaawansowanych podpisów elektronicznych. Zastosowano przy tym metodę polegającą na odesłaniu – w zakresie poszczególnych rodzajów podpisów do konkretnych specyfikacji technicznych Europejskiego Instytutu Norm Telekomunikacyjnych (dalej zwanego także „ETSI”). W żadnej specyfikacji technicznej ETSI nie znajduje się jakiekolwiek postanowienie, które wyłączałoby możliwość dalszego stosowania funkcji skrótu SHA-1 przy składaniu kwalifikowanych podpisów elektronicznych. O ile można zgodzić się z Odwołującym II, że stosowanie SHA-1 nie jest rekomendowane przez ETSI, to nie sposób takiego stwierdzenia utożsamiać z zakazem stosowania.
Wskazać dalej należy, że art. 137 ustawy o usługach zaufania winien być interpretowany w powiązaniu z jego miejscem w systematyce ustawy – znajduje się on w Rozdziale 9 tej ustawy, który to rozdział nosi tytuł „Przepisy przejściowe”. Nie pozostaje bez znaczenia, że brak w omawianej ustawie jakiegokolwiek przepisu, który statuowałby ogólny zakaz używania funkcji skrótu SHA-1 przy składaniu kwalifikowanych podpisów elektronicznych. W ocenie Izby przepis art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej zawiera normę prawna o charakterze instrukcyjnym, która nie zawiera żadnych sankcji, a w szczególności sankcji nieważności oferty.
Izba dodaje, że pozytywny wynik walidacji oznaczającej proces weryfikacji i potwierdzenia ważności podpisu elektronicznego to zgodnie z przepisem art. 32 rozporządzenia elDAS rodzi domniemanie ważności kwalifikowanego podpisu elektronicznego. Normami dotyczącymi walidacji kwalifikowanych podpisów elektronicznych są te same, wskazane wyżej specyfikacje techniczne ETSI, które wynikają z Decyzji Wykonawczej Komisji (UE) 2015/1506. Aby obalić domniemanie ważności kwalifikowanego podpisu elektronicznego, którym opatrzono ofertę wykonawców, należy wykazać brak spełnienia norm dotyczących walidacji, czego Odwołujący II nie uczynił, a tym samym podniesiony zarzut Izba uznała za niezasadny.
Potwierdzeniem powyższego stanowiska jest komunikat Ministerstwa Cyfryzacji wydany w dniu 15 lutego 2019 r., w którym wskazano, iż podpisy kwalifikowane, które złożono z użyciem ważnych certyfikatów i przy wykorzystaniu algorytmu SHA-1 pozostają ważne. Oznacza to, że dokumenty podpisane z użyciem SHA-1 są podpisane prawidłowo i nie ma podstaw do ich odrzucenia. Aplikacje weryfikujące oraz usługi walidacji nadal wspierają podpisy złożone z wykorzystaniem tego algorytmu i można polegać na wynikach, które zgłaszają. Do czasu formalnego wycofania przez Europejski Instytut Standardów Technicznych (ETSI) algorytm SHA-1 spełnia wymogi dla walidacji kwalifikowanych podpisów elektronicznych z art. 32 elDAS.