W dniu 14 lutego 2019 r. Krajowa Izba Odwoławcza wydała wyrok KIO 156/19, w którym wskazała, że opatrzenie oferty kwalifikowanym podpisem elektronicznym wykorzystującym algorytm skrótu SHA-1 jest dopuszczalne i nie stanowi przesłanki odrzucenia oferty na podstawie art. 89 ust. 1 pkt 7 Prawa zamówień publicznych. Krajowa Izba Odwoławcza w wydanym orzeczeniu przyjęła zasadność argumentacji, że brak jest norm zarówno prawa krajowego, jak i europejskiego, które wprowadzałyby zakaz stosowania przy podpisie kwalifikowanym ww. algorytmu. W ocenie Izby art. 137 ustawy o usługach zaufania oraz identyfikacji elektronicznej nie nakłada sankcji nieważności kwalifikowanych podpisów elektronicznych złożonych po dniu 1 lipca 2018 r.
Czytaj też: Zamówienia publiczne: jak technologia może unicestwić przejrzystość postępowania
Decyduje ważność certyfikatu
Izba zgodziła się ze stanowiskiem odwołującego, że przepis ten należy traktować jako dyspozycję skierowaną do dostawców usług, podmiotów publicznych oraz producentów oprogramowania do odpowiedniego dostosowywania oferowanych rozwiązań teleinformatycznych do przejścia na wyższy poziom bezpieczeństwa podmiotu elektronicznego. Zdaniem Izby z ww. przepisu nie sposób jednak wywieść, że zobowiązanie to skierowane do ww. podmiotów może pociągać za sobą skutki względem podmiotów jedynie wykorzystujących podpis w postaci nieważności podpisu z algorytmem SHA-1.
Ww. ustawa w art. 18 ust. 1 stanowi, że podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu. Nie można zatem – w przekonaniu Izby – odmówić podpisowi elektronicznemu statusu kwalifikowanego podpisu elektronicznego i jego ważności wyłącznie na podstawie oceny zamawiającego w sytuacji, gdy takie podpis został złożony w okresie ważności certyfikatu.
Stan faktyczny
Przedmiotem orzekania przez Krajową Izbę Odwoławczą ww. sprawie była kwestia czy oferta wykonawcy generowana i składana za pośrednictwem portalu internetowego, który wykorzystywał jedynie funkcję algorytmu skrótu SHA-1 stanowiła podstawę do uznania, że oferta podlega odrzuceniu.