W rocznicę elektronizacji Pzp

sie 19, 2019 | Elektroniczne zamówienia

 

Artykuł przygotowany dla Monitora Zamówień Publicznych (nr 3 marzec 2019)

W rocznicę elektronizacji

Za miesiąc  będzie pierwsza rocznica rozpoczęcia elektronicznej komunikacji w zamówieniach publicznych. Zaczęło się przecież od elektronicznie przekazywanego oświadczenia jednolitego europejskiego dokumentu zamówienia,  od 17 kwietnia 2018 r. 

 

Ten rok pomiędzy wprowadzeniem elektronicznego JEDZ a terminem dla elektronicznej formy pozostałych dokumentów i oświadczeń (18.10.2018 r.) nie wpłynął na spokojne wprowadzanie  nowych procedur. Wobec braku innych narządzi pojawiły się rozwiązania nie do końca zgodne z przepisami prawa (wysyłanie JEDZ mailem),  a pozostała po tym skłonność do szyfrowania wszystkiego,  co wpadnie w ręce wykonawcy,  skutkuje teraz często uszkodzeniami plików lub wręcz niemożnością ich weryfikacji.

Nowe procedury i nowe problemy

Rozpoczęta w kwietniu 2018 roku „elektronizacja” zamówień publicznych nie idzie jak po maśle.
Główny problem polega na tym, że uczestnicy rynku zamówień, zarówno zamawiający jak i wykonawcy, nie rozumieją  nowych procedur i istoty działania elektronicznych narzędzi. Ta uwaga dotyczy  też  strony  wprowadzającej nowe  przepisy. Do tego mamy chaos związany z budową ogólnie dostępnego narzędzia tzw. Platformy e-zamówienia i zastąpienia jej czasowo  miniPortalem oraz dużą liczbą konkurujących – komercyjnych platform budowanych wg bardzo różnych koncepcji. Nic dziwnego, że wciąż pojawiają się doniesienia o różnych problemach wykonawców i zamawiających.

Sama konkurencja nie ma w sobie nic złego ale użytkownicy nie potrafią na razie dobrze korzystać z tej różnorodności. Jesteśmy teraz trochę jak woźnica z furmanki, którzy staje przed pierwszym w życiu wyborem samochodu: skrzynia manualna czy automat? Napęd na 4 koła czy na 2? Napęd na  przód czy tył?  Diesel czy benzyna, a może hybryda czy elektryk? A tu jeszcze prawa jazdy brakuje! Nie wszystko jest w życiu  proste i  intuicyjne,  o czym świadczą  również niektóre kontrowersyjne wyroki KIO.

Spróbujmy przejrzeć się wybranym problemom towarzyszącym wykonawcom i zamawiającym.  Grzech zaczyna się zawsze w SIWZ,  czyli w dziele stworzonym przez zamawiającego. Po pierwsze musi on dokonać wyboru kanału komunikacji elektronicznej (darmowy lub komercyjny) następnie zrozumieć go i opisać. Rozporządzenie w sprawie użycia środków komunikacji elektronicznej reguluje to w następujący sposób:

Ważne!

  • 2. 1. Zamawiający wskazuje w ogłoszeniu lub w specyfikacji istotnych warunków zamówienia albo w innym dokumencie rozpoczynającym postępowanie o udzielenie zamówienia środki komunikacji elektronicznej, przy użyciu których będzie komunikował się z wykonawcami w postępowaniu o udzielenie zamówienia, wraz z wymaganiami technicznymi i organizacyjnymi wysyłania i odbierania dokumentów elektronicznych i informacji przekazywanych przy ich użyciu.

Warto  w przygotowanie SIWZ włożyć trochę wysiłku,  bo wszystkie błędy zemszczą się na zamawiającym. Nie wystarczy podać adresu, pod którym jest dostęp do wybranej  platformy i dodać kilka wymagań. Nie jest to  też miejsce na wklejanie całej instrukcji obsługi takiej platformy,  bo instrukcja potrafi się zmienić w trakcie oczekiwania na złożenie ofert.  I taka zmiana jest dopuszczalna.

Ważne!

Zamawiający powinien dobrze zrozumieć,  na czym polega komunikacja elektroniczna w wybranym systemie, jak zadaje się pytania do SIWZ, jak składa się pliki z ofertami,  a jak pliki na wezwania, jak wzywa się do uzupełnień. Kiedy i w jaki sposób jest w wybranym  systemie używany podpis elektroniczny, jakie formaty są dopuszczalne, jakie są maksymalne rozmiary plików, jakie są dopuszczalne formaty podpisów.

Wykonawca musi zrozumieć co zaleca zamawiający, czego nie rekomenduje. Np. może nie rekomendować podpisu zewnętrznego jako mogącego generować dodatkowy problem  polegający na konieczności  pilnowania  by dwa pliki (treść podpisana i dane podpisującego) były zawsze w parze. Brak któregokolwiek pliku  powoduje brak podpisu pod oświadczeniem. Dalej: czy oferta może być przegotowana przez wykonawcę wcześniej, przed jej złożeniem (zbieranie podpisów pod dokumentem może trwać), czy musi być podpisana w trakcie jej „załadowania” do systemu poprzez wypełnienie formularza online. To są zupełnie różne sposoby podpisywania, wymagające odmiennego przygotowania stanowiska komputerowego,  a co więcej ten drugi (online) wymaga obecności posiadacza podpisu w momencie „załadowania” plików  oferty do systemu.

 A  jak są składane oświadczenia zawierające tajemnicę przedsiębiorstwa? Co oznacza czas przyjęcia oferty? Jaki jest to moment i czy jest tego potwierdzenie? Takie  pytania zawsze zadaje sobie wykonawca.

Co można zmienić

 Znajdujemy się w zupełnie nowej sytuacji. Pewne zasady są niezmienne np. etapy tworzenia i przekazania oświadczenia: stworzenie treści, podpisanie, wysłanie i przyjęcie. Inne elementy są całkiem nowe, jak np. wspomniany podpis zewnętrzny, nie pasujący do naszych tradycyjnych wyobrażeń o podpisie.

Ważne!

Warto pomyśleć nad zupełnie nowym ułożeniem treści SWIZ, tak by wszystkie informacje dotyczące elektronicznego komunikowania się, warunków technicznych oraz postaci dokumentów, zasad ich podpisywania, zasad poświadczania za zgodność, wskazywania kto i jakie dokumenty podpisuje (bo podmiot trzeci sam podpisuje swoje pliki) znalazły się w jednym rozdziale.

Ułatwia to później korekty i zmiany tekstu – robimy to w jednym miejscu, a nie w wielu rozrzuconych po całej specyfikacji. Takie przygotowanie SIWZ pozwoli  uniknąć takich perełek, które dziś się przecież zdarzają: ofertę składa się  w postaci pisemnej.. albo poświadczenie ksero dokonuje się przez własnoręczny podpis

Ważne!

Niestety zamawiający wklejają nowe zapisy do starych specyfikacji, nie usuwając dokładnie starych zapisów. Do tego potrafią kompilować opisy z różnych platform. To tak,  jak by połączyć instrukcję do systemu Microsoft z instrukcją do Apple.

I na koniec: zamawiający powinien dobrze znać swój system komunikacji elektronicznej,  by uniknąć takich sytuacji, w których np. nie wiedział,  że  w swojej konfiguracji ma  zaznaczyć konieczność użycia podpisu kwalifikowanego. Skutek?  Oferty zostały złożone bez podpisu,  a wykonawca dostał potwierdzenie, że jego oferta została złożona prawidłowo. Po prostu został zastosowany tryb do innego typu zamówień.  

Opis komunikacji powinien także wskazywać na obowiązek wykonawcy dokładnego zapoznania się z aktualną, bieżącą instrukcją obsługi wybranej platformy.

Ważne!

 Opisy podlegają zmianom i zamawiający nie może się narażać na zarzut, że  jego specyfikacja w tym zakresie jest niezgodna ze stanem aktualnym. Przemyślany opis komunikacji  może zająć nawet 2-3 strony, ale wykonawca nie musi wtedy  zgadywać , co zamawiający miał na myśli.

Kolejna bariera – wykonawca i jego wiedza

 Trzeba  pamiętać, że wykonawca ma do czynienia z wieloma zamawiającymi , co wiąże się z koniecznością użytkowania  wielu platform komunikacji elektronicznej.  I w każdej jest nieco inaczej. Dlatego  opis, o którym była mowa wcześnie,  musi być jasny i klarowny. Wykonawca często ma podpis od dawna, nawet od kilku lat, bo bierze udział w aukcjach elektronicznych, albo dopiero pierwszy raz się z nim spotyka. Ale w obu przypadkach najczęściej nie jest do końca świadomym użytkownikiem  tego narzędzia. Nie potrafi odróżnić podpisu zewnętrznego od wewnętrznego, nie  wie jak podpisać  formatem PAdES plik PDF, nie wie jak dodać do podpisu powód jego złożenia, nie umie odczytać informacji z certyfikatu kwalifikowanego itp.

A przecież jeszcze powinien umieć weryfikować podpis kwalifikowany, czyli sprawdzić,  czy jest poprawny i czy nie jest naruszona jego integralność.  Dlaczego? Bo powinien umieć sprawdzić oferty konkurencji  tak samo  jak zamawiający. Czy do tego jest potrzeba wiedza informatyczna? Nie. Podpis jest narzędziem, z którego ma umieć skorzystać zarówno informatyk jak i dekarz zabezpieczający dachy. Nie musimy przecież wiedzieć , jak dokładnie działa ten skomplikowany system, ale musimy rozumieć jego funkcje. Na tym tle pojawił się kontrowersyjny wyrok KIO w sprawie użycia algorytmu SHA-1. Ale o tym za chwilę.

Błędem wykonawców jest powierzanie składania ofert informatykom. Bo oni się znają… Wiem, że się narażę informatykom,  ale proszę: nie róbcie tego! Nie dlatego,  że nie potrafią. Informatyk zwykle uważa, że nie musi czytać instrukcji,  a zazwyczaj  słabo zna prawo zamówień. I nagle okazuje się,  że coś nie jest przygotowane tak,  jak być powinno. Dochodzi także do powierzania własnego  podpisu elektronicznego innej osobie. To nie jest pełnomocnictwo  – to jest  przestępstwo!

Ważne!

Ustawa o usługach zaufania: Art. 40. 1.  Kto  składa  kwalifikowany  podpis  elektroniczny  lub  zaawansowany  podpis  elektroniczny  z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Sprawdzanie ofert

Weryfikacja podpisu elektronicznego to kluczowy element sprawdzania ofert. Do tej pory robiliśmy to rzucając przez chwilę  okiem na podpis i oceniając czy jest to własnoręczny,  czy skopiowany. Czy czytelny , czy nie. I nawet nie myśleliśmy,  że właśnie sprawdzamy podpis. Teraz robi to za nas automat,  czyli narzędzie dostarczane przez podmioty świadczące kwalifikowane usługi zaufania – a my  musimy umieć interpretować wyniki tej weryfikacji. Zamawiający musi upewnić się czy ma do czynienia z podpisem kwalifikowanym, czy jest to podpis ważny ,czyli w trakcie okresu ważności,  a jeśli nie jest ważny w trakcie weryfikacji,  to czy był użyty w czasie swojej ważności?

 Kolejny element  to tożsamość osoby, która użyła podpisu – czy jest to osoba,  która może składać oświadczenia woli w imieniu podmiotu. I na koniec integralność dokumentu: czy nie został zmieniony po złożeniu podpisu? Jeśli tak, to czy możemy poznać tę treść,  która została podpisana? Jeśli jest to format podpisu PAdES dla pliku PDF to najczęściej można poznać wersję podpisaną, chyba że plik uległ uszkodzeniu. Jeżeli ingerencja nastąpiła np. w pliku xls lub word podpisanym zewnętrznie formatem XAdES to niestety wynik negatywny weryfikacji eliminuje taki  plik jako niepoprawny. Pamiętajmy że wszystkie błędy interpretacyjne mogą się kończyć w KIO. A brak właściwej weryfikacji wykaże albo konkurencja,  albo kontrola.

Inny  problem to podpisywanie kopii za zgodność – kiedyś, w czasach papierowych,  zamawiający wymagał umieszczenia formułki „za zgodność z oryginałem” na papierowej kopii plus odręczny podpis. W przypadku podpisu elektronicznego nie ma problemu,  by taka formuła została zintegrowana razem z podpisem elektronicznym. Powód złożenia podpisu może być różny: za zgodność, potwierdzenie dokumentu, ale także może być  to podpis testowy.  Jak wygląda ta czynność w obecnych przepisach?

W rozporządzeniu w sprawie dokumentów:

  • 14 ust 4. Poświadczenie za zgodność z oryginałem elektronicznej kopii dokumentu lub oświadczenia, o której mowa w ust. 2, następuje przy użyciu kwalifikowanego podpisu elektronicznego
  • 5 ust. 3. Rozporządzenia w sprawie użycia środków komunikacji elektronicznej:

 W przypadku przekazywania przez wykonawcę dokumentu elektronicznego w formacie poddającym dane kompresji, opatrzenie pliku zawierającego skompresowane dane kwalifikowanym podpisem elektronicznym jest równoznaczne z poświadczeniem przez wykonawcę za zgodność z oryginałem wszystkich elektronicznych kopii dokumentów zawartych w tym pliku, z wyjątkiem kopii poświadczonych odpowiednio przez innego wykonawcę ubiegającego się wspólnie z nim o udzielenie zamówienia, przez podmiot, na którego zdolnościach lub sytuacji polega wykonawca, albo przez podwykonawcę.

Na początku sprawa  jest jasna: potwierdzamy podpisem kwalifikowanym. Ale jak dokładnie wykonujemy tę czynność? Z drugiego zapisu wynika, że nie musi być podana żadna formułka „za zgodność”. Podpisanie jest równoznaczne z potwierdzeniem.  Ale…. Tak jest napisane w przypadku plików wrzuconych do tzw. archiwum (…opatrzenie pliku zawierającego skompresowane dane…) i następnie podpisanego archiwum. A co jeśli potwierdzam pojedynczy plik? A jeżeli w archiwum mam niepodpisane własne oświadczenia? To są typowe wątpliwości wielu wykonawców, którzy boją się złożyć niepoprawnie przygotowany dokument. Jesteśmy zresztą już przyzwyczajeni,  by w przepisach szukać drugiego dna.

Z technicznego punktu widzenia podpisane archiwum jest podpisaniem plików w archiwum, niezależnie od tego co w nim się znajduje.  W trakcie podpisywania każdego pliku, w tym przypadku archiwum, generowany jest tzw. skrót dokumentu i ten skrót jest właśnie podpisywany. Nie ma zatem znaczenia  format podpisywanego pliku. Podpisanie pliku typu np. .zip, .rar, jest podpisaniem całej jego zawartości. Ale prawodawca wprowadza nam niepokój przez zróżnicowanie podpisywania w celu potwierdzenia za zgodność  od samego podpisywania bez takiego celu,  bo tak należy rozumieć zapis wspomnianego § 5 ust. 3 rozporządzenia.

Czy jest to celowy zabieg?  Trudno odpowiedzieć na to pytanie, ale coś jest na rzeczy. Chodzi tu o pojęcie świadomego użycia podpisu. Wiem, że nikt nad tym się nie zastawia,  a przecież w naszym życiu „papierowym” też mamy z tym do czynienia, np. prezes podpisujący taśmowo stertę przyniesionych dokumentów. Ufa, że podpisuje znane mu  i zaakceptowane treści,  ale ponosi odpowiedzialność – zakładamy, że zapoznał się z tym co podpisuje. W razie problemu z podpisaną treścią nie może się bronić: „nie  wiedziałem  co tam jest”, bo tak naprawdę przed samym złożeniem podpisu ma możliwość sprawdzenia tej  treści. Dokument ma przed oczami.

Inaczej jest w przypadku podpisu pliku archiwum. Można zaznajomić się z poszczególnymi plikami przed spakowaniem ich do archiwum ale od momentu utworzenia archiwum do momentu jego podpisania upływa zawsze jakiś czas. W tym okresie  jest możliwe usunięcie pliku z archiwum czy  jego podmiana na inny zmodyfikowany. Zatem musimy uznać, że istnieje pewne prawdopodobieństwo tego, że podpis zostanie złożony pod zmieniona treścią, lub nieznaną treścią.  Czy tym się kierował prawodawca ? Nie wiem, ale widać że to ryzyko jest dopuszczone tylko dla poświadczania za zgodność.

Orzecznictwo KIO

Kolejny  problem, który ostatnio także rozpalał nasze głowy. Zgodnie z wyrokiem KIO 2611/18
z dnia 4 stycznia 2019 r. podpisanie podpisem kwalifikowanym skanu oferty, która uprzednio istniała na papierze i była podpisana odręcznie, oznacza podpisanie kopii,  a nie sporządzenie elektronicznego oryginału. Trudno się z tym zgodzić bo KIO swój wywód opierana na znaczeniu słowa „sporządzenie”.

Przepis ustawy  brzmi:

Art. 10a ust. 5. Oferty, wnioski o dopuszczenie do udziału w postępowaniu oraz oświadczenie, o którym mowa w art. 25a, w tym jednolity dokument, sporządza się, pod rygorem nieważności, w postaci elektronicznej i opatruje się kwalifikowanym podpisem elektronicznym. //Art. 10a ust. 5 Pzp//

Krajowa Izba uznała, że sporządzenie to wytworzenie oświadczenia w komputerze od samego początku, bez obecności żadnej innej postaci w trakcie tworzenia takiego oświadczenia.

Odpowiedzmy sobie zatem na pytania:

  1. Czy oferta była podpisana podpisem kwalifikowanym? TAK
  2. Czy oferta miała postać elektroniczną? TAK
  3. Czy ustawodawca wskazał metodę wytworzenia dokumentu, oświadczenia? NIE

Słowo sporządzenie oznacza wykonanie. Oznacza rezultat naszej pracy. Podobny zapis mamy w  art. 10a ust. 1 Pzp: //Art. 10a ust. 1 Pzp//

Art. 10a. 1. W postępowaniu o udzielenie zamówienia komunikacja między zamawiającym a wykonawcami, w szczególności składanie ofert lub wniosków o dopuszczenie do udziału w postępowaniu, oraz oświadczeń, w tym oświadczenia składanego na formularzu jednolitego europejskiego dokumentu zamówienia, sporządzonego zgodnie z wzorem standardowego formularza określonego w rozporządzeniu wykonawczym Komisji Europejskiej wydanym na podstawie art. 59 ust. 2 dyrektywy 2014/24/UE oraz art. 80 ust. 3 dyrektywy 2014/25/UE, zwanego dalej „jednolitym dokumentem” odbywa się przy użyciu środków komunikacji elektronicznej. // Art. 59 yst. 2 dyrektywy 2014/24/UE i art. 80 ust. 3 dyrektywy 2014/25/UE//

Ważne!

W tym zdaniu ustawodawca jasno  mówi, że to  rezultat naszej pracy,  czyli oświadczenie JEDZ ma być zgodne ze wzorem. A jak go wykonamy? To już nasza kuchnia. Podobnie: jeśli mamy sporządzić umowę czy notatkę,  to mówimy o wyniku pracy,  a nie o narzędziach, które do tego wykorzystamy. Jeśli dodamy do słowa „sporządzić” określenie: w postaci papierowej,  czy w postaci elektronicznej,  to określamy finalny wynik tej pracy i nośnik na jakim ten wynik pracy ma być zapisany.

Rozumując podobnie jak KIO:  dla oferty w postaci papierowej z odręcznym podpisem doszlibyśmy do wniosku, że nie możemy jej przygotować w komputerze i wydrukować,  bo byłaby sporządzona elektronicznie i dopiero na koniec wydrukowana czyli odwzorowana na papierze. A oryginał jest w komputerze.

A jeśli oferta będzie przygotowana na papierze odręcznie, bez podpisu, następnie zeskanowana,  czyli odwzorowana cyfrowo, ujawniona w postaci pliku cyfrowego  i dopiero podpisana podpisem kwalifikowanym to będzie dobrze?

Dalej: a jeżeli oferta będzie przygotowana ręcznie na papierze, następnie parafowana,  np. przez radcę prawnego  i dopiero zeskanowana, potem podpisana podpisem elektronicznym osoby upoważnionej  to też uznamy, że jest niezgodna z przepisami?

Mamy  wyraźny kłopot ze stwierdzeniem, co jest kopią a co oryginałem. Nie szkodzi,  że Izba powołuje się na zapis z Kodeksu Postępowania Administracyjnego – art. 220 § 3 : Jeżeli strona lub inny uczestnik postępowania nie może uzyskać w formie dokumentu elektronicznego zaświadczenia wymaganego do potwierdzenia faktów lub stanu prawnego lub innego dokumentu wydanego przez podmiot publiczny w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, jak również potwierdzenia uiszczenia opłat i kosztów postępowania, strona lub inny uczestnik postępowania może złożyć elektroniczną kopię takiego dokumentu, po uwierzytelnieniu jej przez wnoszącego, przy użyciu kwalifikowanego podpisu elektronicznego lub podpisu zaufanego. // Art. 220 § 3 k.p.a.//

To tylko stwierdzenie, że można przedłożyć poświadczoną elektroniczną  kopię. Oczywiście, że tak.  Ale co jest kopią? Wyobraźmy sobie, że przygotowaliśmy ofertę w programie typu MS word w komputerze a następnie „wkleiliśmy” do niego skan pieczątki i skan podpisu odręcznego. Zamieniamy całość następnie na PDF. Wygląda jak skan całego dokumentu papierowego, ale nim nie jest. Mamy  zatem do czynienia z kopią?

I jeszcze jeden temat do przemyślenia: jeżeli zeskanuję ofertę z podpisem w formie pisemnej a następnie obrobię plik nadając mu nieco inną barwę tła i skontrastuję bardziej tekst, to nadal mamy do czynienia z kopią? Zatem , czy obecność odręcznego podpisu  w kwestionowanej przez KIO  ofercie obniża jej wiarygodność? Czy  jest w sprzeczności z niezaprzeczalnością oświadczenia woli wynikającą z podpisu elektronicznego? Czy każemy zamawiającemu prowadzić biuro śledcze zamiast stosować zasady logiki i prostej interpretacji przepisów?

Problem polega na tym, że z dokumentami elektronicznymi mamy do czynienia od niedawna a pisemnością na papierze od wieków. Mnisi kopiowali przez przepisywanie ręczne.

Ważne!

Mamy wbite do głowy pewne schematy dotyczące pojęcia  oryginału czy kopii. Ale w świecie cyfrowym  wygląda to trochę inaczej.

Skanowanie jest przede wszystkim digitalizacją obiektu papierowego. Stworzeniem pliku binarnego. Odwzorowaniem cyfrowym pozwalającym na dalszą obróbkę takiego pliku w odróżnieniu od kserokopii, która była klasycznym kopiowaniem w naszym tradycyjnym rozumieniu. Ten zdigitalizowany obiekt, dokument, oświadczenie możemy np. podpisać podpisem kwalifikowanym. I  w zależności czy podpisujemy skan  cudzego obiektu,  czy własnego  – to mamy do czynienia z kopią lub tworzeniem własnego cyfrowego dokumentu. Własny możemy  zmodyfikować. Bo skanowanie to w pierwszej kolejności stworzenie pliku, dokumentu cyfrowego. Od kontekstu zależy,  czy jest to kopia do potwierdzenia,  czy dokument własny do podpisania.

Jakie wnioski? Teraz krok w tył. Nasze prawo jest mocno niedoskonałe i obfituje w różne definicje nie zawsze ze sobą spójne. W tym przypadku niezbędne jest zrozumienie tych procesów,  a to trochę potrwa. Na razie nie rekomendowałbym wykonawcom takich eksperymentów – twórzmy jednak dokument elektroniczny bez skanu podpisu odręcznego gdyż narażamy się na niebezpieczeństwo wynikające z orzecznictwa. Zaletą tworzenia plików bezpośrednio w komputerze, bez drogi przez skanowanie, jest dodatkowo ich dużo mniejszy rozmiar, co czasem ma spore  znaczenie.

I na koniec wspomniany wcześniej wyrok KIO 2428/18 z dnia 10 grudnia 2018 r. w sprawie algorytmu SHA-1. Izba uznała że zastosowanie tego algorytmu skutkuje wadą podpisu kwalifikowanego.  A podpis weryfikował się poprawnie.  O co tu chodzi?

W dużym skrócie, nie wchodząc w matematyczne rozważania: jest to algorytm kryptograficzny stosowany w trakcie podpisywania dokumentu elektronicznego. Uznaje się,  że przyszedł czas na zastąpienie go silniejszym algorytmem SHA-2  – wobec postępującego rozwoju mocy obliczeniowych jest pewne ryzyko, że wkrótce algorytm SHA-1 nie będzie na tyle silnym by sprostać atakom hakerskim.  Zostało to już dawno przewidziane w przepisach europejskich i krajowych.

Ważne!

Po 1 lipca 2018 nowe podpisy kwalifikowane nie mogły być już  wydawane z zastosowaniem algorytmu SHA-1 ale pliki podpisów utworzone przed 1 lipca 2018 r., w oparciu o algorytm SHA-1 zachowały oczywiście ważność. Powstało pytanie co z podpisem z SHA-1 wydanym do 1 lipca 2018 r. ale użytym po 1 lipca 2018? KIO uznało, że to błędny podpis. Niestety błędnie uznało. Brak jest jakiegokolwiek przepisu unijnego i krajowego, który uznałby taki podpis za nieważny. Zapis w ustawie o usługach zaufania dotyczący tego właśnie zapisu jest zapisem o działaniu prewencyjnym, mającym zmusić do pożegnania się z algorytmem SHA-1.

Art. 137. Usługi zaufania. Przepis przejściowy

  1. Do dnia 1 lipca 2018 r. do składania zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych można stosować funkcję skrótu SHA-1, chyba że wymagania techniczne wynikające z aktów wykonawczych wydanych na podstawie rozporządzenia 910/2014 wyłączą możliwość stosowania tej funkcji skrótu.
  2. Dostawcy usług zaufania, producenci oprogramowania oraz podmioty publiczne obowiązani są do odpowiedniego dostosowania oprogramowania oraz systemów teleinformatycznych do zmian i terminu określonych w ust. 1. //Art. 137 ust. 1-2 ustawy o usługach zaufania//

 

Podsumowanie

Brzmienie przepisu nie jest najlepsze, to fakt. Platforma ePUAP rozpoczęła pożegnanie z SHA-1 dopiero w październiku 2018. Świat się nie zawalił. Krajowy system zaufania w każdym państwie członkowskim UE działa w oparciu o rozporządzenie unijne  tzw. eIDAS. Wszystkie kraje UE  muszą jednakowo traktować podpisy kwalifikowane wydane zgodnie z tym rozporządzeniem. To oznacza, że walidacja,  czy weryfikacja podpisu kwalifikowanego przebiega w oparciu o ściśle ustalone reguły. Weryfikacji  dokonują mechanizmy dostarczane przez tzw. centra zaufania,  czyli podmioty wpisane na specjalną listę, ich działalność jest ściśle nadzorowana przez ministra właściwego do spraw informatyzacji. Wynik pozytywny weryfikacji jest niepodważalny. Na tym polega zaufanie. 

Weryfikacja jest oparta na zasadach zero jedynkowych. Spełnia – nie spełnia. Zwykły użytkownik podpisu nie musi mieć specjalnego wykształcenia informatycznego by zweryfikować podpis. Ale też nie ma kompetencji  by taką weryfikację podważać. Takich kompetencji ani prawa nie ma też Krajowa Izba Odwoławcza,  bo nie ma w tym zakresie stosownej certyfikacji. Gdyby uznać, że prawidłowo zweryfikowany podpis jest jednak nieważny, to w konsekwencji należałoby zwrócić się z roszczeniem do dostawcy usługi zaufania i zażądać skreślenia go ze wspomnianej listy.

Analizowany  wyrok  KIO 2428/18 z dnia 10 grudnia 2018 r.  spowodował duży ferment w środowisku Centrów Zaufania. Polska Izba Informatyki i Telekomunikacji wydała w tej sprawie specjalny, obszerny komunikat – zainteresowanych szczegółami odsyłam na stronę www.piit.org.pl  do działu Dokumenty i Konsultacje.

Dużym problemem naszej elektronizacji jest sposób jej wprowadzania poprzez przepisy: proponuje się nam zastąpienie czynności analogowej czynnością elektroniczną. A tak się nie da. Trzeba czynności dopasować do nowego środowiska i dopiero tworzyć przepisy. Ale to wymaga dużej wyobraźni. My zwykle robimy inaczej: tworzymy przepisy a potem poprawiamy je 10 lat.

Postscriptum

W chwili oddawania powyższego tekstu do wydawcy, okazało się że zapadł właśnie bardzo ciekawy wyrok w KIO. Otóż okazało się, że oferta zeskanowana i podpisana elektronicznie jest jednak dopuszczalna. Na razie brak jeszcze dostępu do uzasadnienia ale polecam poszukać wkrótce poniższej sygnatury: KIO 119/19 z dn. 05.02.2019