Zamawiający zawiadomił wykonawcę z siedzibą w Iskenderun Hatay, Turcja, zwanego dalej „odwołującym” o odrzuceniu złożonej przez niego oferty w częściach 1, 2, 3 i 4 zamówienia.
Odwołujący wniósł odwołanie wobec czynności odrzucenia jego oferty w części 1,2, 3, i 4. Odwołujący zarzucił zamawiającemu naruszenie: art 89 ust. 1 pkt 1 i pkt 2 ustawy Pzp w zw. z art. 10 a ust. 5 Pzp w zw. z art. 7 ust. 1 ustawy Pzp przez niezasadne odrzucenie oferty odwołującego w związku z bezpodstawnym przyjęciem, że oświadczenie woli wykonawcy o złożeniu oferty nie można uznać za ważne, gdyż oferta nie została opatrzona kwalifikowanym podpisem elektronicznym ora art. 89 ust. 1 pkt 7a ustawy Pzp w zw. z art. 10 a ust. 5 Pzp w zw. z art. 7 ust. 1 ustawy Pzp przez niezasadne odrzucenie oferty odwołującego w związku z bezpodstawnym przyjęciem, że oświadczenie woli wykonawcy o przedłużeniu terminu związania ofertą nie zostało opatrzone kwalifikowanym podpisem elektronicznym.
W uzasadnieniu odwołania odwołujący podniósł, że przepisy prawa krajowego, w tym ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (dalej jako: uzoie) oraz ustawy Pzp, nie normują definicji kwalifikowanego podpisu elektronicznego. Zatem definicji pojęcia należy poszukiwać w regulacjach prawa wspólnotowego. Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE (dalej: elDAS lub rozporządzenie 910/2014) „Kwalifikowany podpis elektroniczny” oznacza zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego. Natomiast „kwalifikowany certyfikat podpisu elektronicznego” oznacza certyfikat podpisu elektronicznego, który jest wydawany przez kwalifikowanego dostawcę usług zaufania i spełnia wymogi określone w załączniku I. Certyfikat jest to zaświadczenie elektroniczne (dokument elektroniczny) stanowiący zaświadczenie elektroniczne o określonym terminie ważności, które zawiera dane identyfikujące podpisującego oraz klucz publiczny, czyli dane służące do sprawdzenia autentyczności podpisu elektronicznego złożonego za pomocą klucza prywatnego, czyli danych, nad którymi wyłącznie podpisujący ma kontrolę. Dokument elektroniczny, który powstaje jako udokumentowanie czynności prawnej, jest podpisywany podpisem elektronicznym (analogicznie do dokumentu papierowego podpisanego piórem). Podczas podpisywania dokumentu (tworzenia podpisu) wyliczany jest skrót na podstawie treści tego dokumentu [SHA] - robi to aplikacja (system) podpisująca, niemająca najczęściej powiązania z wystawcą certyfikatu i samym tworzeniem certyfikatu. SHA (Secure Hash Algorithm) - rodzina powiązanych ze sobą kryptograficznych funkcji skrótu zaprojektowanych przez NSA (National Security Agency) i publikowanych przez National Institute of Standards and Technology. W podpisie (w dużym uproszczeniu) są zawarte dwa skróty: jeden dotyczący treści dokumentu, drugi - treści certyfikatu (zawarty w pieczęci tego certyfikatu). Odwołujący wywiódł, że za ten pierwszy odpowiada aplikacja podpisująca (dostawca tej aplikacji), a za ten drugi wystawca certyfikatu. W momencie walidacji kwalifikowanego podpisu elektronicznego nie ma możliwości ustalenia, na podstawie którego państwa przepisów powstał dany podpis.
Podpis należy weryfikować zawsze na zgodność podpisu z wymaganiami artykułu 32 rozporządzenia elDAS i przepisami wykonawczymi obowiązującymi jednolicie w całej Unii Europejskiej. Tylko w ten sposób można zapewnić interoperacyjność kwalifikowanego podpisu elektronicznego i szerzej wszystkich kwalifikowanych usług zaufania, co było celem i jest celem całego procesu legislacyjnego prowadzonego w UE w ostatnich latach. Odwołujący argumentował, że aktualnie obowiązujące przepisy prawa wspólnotowego, które winny być respektowane na gruncie prawa polskiego jako akty nadrzędne względem krajowych ustaw, zawierają szereg regulacji, które zakazują wprowadzania przez państwa członkowskie zapisów, które ustanawiają dodatkowe wymogi związane z posługiwaniem się i weryfikacją kwalifikowanych podpisów elektronicznych. Odwołujący wywiódł, że jedynym, dopuszczonym przez elDAS uzasadnieniem odrzucenia przez administrację publiczną dokumentu podpisanego ważnym kwalifikowanym podpisem elektronicznym może być powołanie się na ograniczenia techniczne, które nie pozwoliły urzędowi (zamawiającemu) dokonania prawidłowej analizy dokumentu ze względu na zastosowany w podpisie specyficzny, nieobsługiwany powszechnie algorytm kryptograficzny. Niemniej jednak ww. okoliczność nie miała miejsca w analizowanym stanie faktycznym. Jak wynika bowiem z dokonanej przez odwołującego weryfikacji poprawności złożenia podpisu, algorytmem funkcji skrótu jest SHA-1. Powołał się na dowód nr 1 załączony do odwołania - elektroniczne poświadczenie weryfikacji podpisu Pana E. E. Odwołujący wywiódł, że na terenie Unii Europejskiej obowiązują jednolite przepisy dotyczące usług zaufania i uznawania kwalifikowanego podpisu elektronicznego. Nie jest możliwym wprowadzanie do krajowego porządku prawnego regulacji, które powodowałyby, że ten sam podpis elektroniczny byłby uznawany za nieważny w Polsce, natomiast ustawodawstwa zagraniczne traktowałyby taki podpis jako skuteczny. Zgodnie z zasadą neutralności technologicznej, elDAS nie wyklucza zastosowania dowolnego sposobu tworzenia podpisów zaawansowanych, pod warunkiem, że utworzony podpis elektroniczny spełnia wymogi art. 32 elDAS. Odwołujący wskazał, iż w obrocie funkcjonuje tzw. lista zaufanych dostawców Unii Europejskiej (EUTL), która jest publiczną listą ponad 200 aktywnych i nieaktywnych dostawców usług zaufania (TSP), którzy otrzymali specjalną akredytację potwierdzającą najwyższy poziom zgodności z unijnym rozporządzeniem elDAS dotyczącym podpisów elektronicznych. Dostawcy ci oferują oparte na certyfikatach identyfikatory cyfrowe dla osób fizycznych, pieczęcie cyfrowe dla firm oraz usługi stemplowania czasu, które można wykorzystać do tworzenia kwalifikowanych podpisów elektronicznych (QES) w oparciu o technologię podpisu cyfrowego. Według przepisów elDAS tylko kwalifikowane podpisy są prawnie i automatycznie równoważne podpisom odręcznym. Jest to również jedyny typ podpisów automatycznie uznawanych w transakcjach transgranicznych między państwami członkowskimi UE. Choć każde państwo członkowskie UE nadzoruje dostawców w swoim kraju, ale dostawca TSP zatwierdzony w jednym kraju może sprzedawać swoje usługi w innych krajach UE przy takim samym poziomie zgodności. Na stronie internetowej https://helpx.adobe.com/pl/document-cloud/kb/european-union-trust-Iists.html wskazano, iż AlfaTrust Certification S.A. znajduje się na liście dostawców usług zaufania, którzy zapewniają kwalifikowane certyfikaty dla eSignatures, kwalifikowane certyfikaty dla eSeals oraz kwalifikowane znaczniki czasu. Według odwołującego powyższe oznacza tyle, iż wbrew twierdzeniom zamawiającego wystawca certyfikatu tj. Alfasign Qualifield Public CA, AlfaTrust Certification S.A. po pierwsze znajduje się na zaufanej liście, po drugie podpis opatrzony został kwalifikowanym certyfikatem. Istotnym jest, iż pomimo komunikatu (po poddaniu podpisu weryfikacji), iż „system nie był w stanie odbudować ścieżki certyfikacji", to certyfikat o numerze (…) był i jest ważny, a ponadto dokument został podpisany. Nie można zatem uznać, iż wykonawca nie złożył ważnej oferty.
Ponadto Ministerstwo Komunikacji i Społeczeństwa Informatycznego nadało AlfaTrust Certification S.A. statut „świadczącej usługi zaufania” dla świadczenia kwalifikowanych usług zaufania, wydania kwalifikowanych certyfikatów, tworzenia kwalifikowanych podpisów elektronicznych, ich kontroli i walidacji. Załączył do odwołania dowód nr 2 - rozporządzenie nr 971/06.10.2017.
Odwołujący podniósł także, że wystawca podpisu znajduje się na zaufanej liście i z tego powodu nie można uznać, iż podpis złożony w imieniu wykonawcy nie został opatrzony kwalifikowanym certyfikatem. Oferta została odrzucona także z uwagi na jej niezgodność z treścią SIWZ, na podstawie art. 89 ust. 1 pkt 2 ustawy Pzp. Odwołujący podkreślił, iż zamawiający pomimo swoich wątpliwości, które legły u podstaw uzasadnienia odrzucenia oferty wykonawcy, nie zwrócił się do wykonawcy z prośbą o udzielenie wyjaśnień co do skuteczności złożonego podpisu. Tego typu działanie byłoby jak najbardziej zasadne m. in. z tego względu, iż wykonawca jest podmiotem zagranicznym, i jak jednoczenie wynika z weryfikacji podpisu (dowód nr 1), wystawcą certyfikatu jest podmiot mający siedzibę w Rumunii. Zamawiający dokonując oceny kwalifikowanego podpisu elektronicznego, winien mieć na uwadze przede wszystkim regulacje właściwe dla wystawcy certyfikatu. Podkreślił, iż zgodnie z zdaniem pierwszym art. 87 ust. 1 ustawy Pzp w toku badania i oceny ofert zamawiający może żądać od wykonawców wyjaśnień dotyczących treści złożonych ofert. Zawarte w ww. przepisie uprawnienie zamawiającego do wezwania wykonawcy o udzielenie wyjaśnień dotyczących treści złożonej oferty, może jednakże przerodzić się w obowiązek zamawiającego w sytuacji, gdy oferta wykonawcy miałaby podlegać odrzuceniu. Zaniechanie przeprowadzenia przez zamawiającego procedury wyjaśnień treści oferty, w szczególności w odniesieniu do kwalifikowanego podpisu elektronicznego, doprowadziło do nieprawidłowej oceny złożonej oferty, co w konsekwencji skutkowało jej odrzuceniem. Odwołujący wywiódł, że powyższe rozważania należy odnieść także do kwestii związanej z odrzuceniem oferty na podstawie art. 87 ust. 1 pkt 7a ustawy Pzp. Nie można zgodzić się z zamawiającym, iż oświadczenie o przedłużeniu terminu związania ofertą jest bezskuteczne. Zaniechanie wyjaśnienia treści oferty, jak również uznanie, iż nie została ona opatrzona kwalifikowanym podpisem elektronicznym, nie może stanowić podstawy skutecznego odrzucenia oferty, zwłaszcza gdy procedura udzielenia zamówienia nie została dochowana, a ponadto zamawiający zignorował fakt ewentualnych rozbieżności co do podpisu elektronicznego, jakie mogą występować pomiędzy poszczególnymi krajami członkowskimi UE.
W ocenie odwołującego zamawiający dokonał pobieżnej i niedokładnej oceny złożonych dokumentów, w tym weryfikacji kwalifikowanych podpisów elektronicznych, oświadczenie, co skutkował przyjęciem, że oferta odwołującego podlega odrzuceniu.
Krajowa Izba Odwoławcza ustaliła, że zamawiający dokonał procesu walidacji spornego podmiotu elektronicznego korzystając m.in. z narzędzia oferowanego przez Asseco Data Systems S.A.
Co istotne, jak wynika z oficjalnej unijnej listy podmiotów zaufanych, jako kwalifikowany dostawca usług zaufania uprawniony do świadczenia usług walidacji kwalifikowanych podpisów wymieniony wymieniono m.in. podmiot Asseco Data Systems S.A. (https://webgate.ec.europa.eu/tl-browser/#/tl/PL/9). Asseco Data Systems S.A. okazał się zatem podmiotem, o którym mowa w art. 33 rozporządzenia eIDAS.
Zamawiający przedstawił w trakcie rozprawy w charakterze dowodu wydruk raportu z walidacji spornego podpisu.
Z raportu tego wynikało, że wynik walidacji podpisu pana E. E., opartego o certyfikat o numerze (…) określony jest jako „nieokreślony”. W dokumentacji postępowania przekazanej przez zamawiającego znajdował się także kolejny raport pochodzący od ww. podmiotu, tym razem w wersji elektronicznej. Z raportu tego wynikało, że badany certyfikat jest określony jako „niekwalifikowany”. Powyższe prowadziło do wniosku, że przeprowadzony proces walidacji nie potwierdził iż podpis opierał się na kwalifikowanym certyfikacie. Z raportów nie wynikało bowiem, aby certyfikat, który towarzyszył podpisowi, był w momencie składania podpisu kwalifikowanym certyfikatem podpisu elektronicznego zgodnym z załącznikiem I do rozporządzenia eIDAS. Przypomnienia również wymaga, że zgodnie bowiem z załącznikiem nr I do rozporządzenia eIDAS certyfikat kwalifikowany to taki z którego wynika wskazanie - co najmniej w postaci pozwalającej na automatyczne przetwarzanie - że dany certyfikat został wydany jako kwalifikowany certyfikat podpisu elektronicznego.
Dodatkowo zamawiający przedstawił Krajowej Izbie Odwoławczej w charakterze dowodu raporty z walidacji podpisu przeprowadzonego przy użyciu narzędzi pochodzących od innych dostawców, takich jak szafir 2.0, cencert czy proCertum SmartSign. Z raportu Szafir 2.0. wynikało, że sporny certyfikat jest niekwalifikowany, a podpis został niekompletnie zweryfikowany. Z raportu cencert wynikało, że podpis jest niekwalifikowany i że brak jest możliwości zbudowania ścieżki certyfikacji. Z raportu proCertum SmartSign zaś można było wyczytać, że „certyfikat nie może być użyty jako certyfikat kwalifikowany”, a certyfikat jest „negatywnie zweryfikowany”. Również dowody, które przedstawił Krajowej Izbie Odwoławczej odwołujący nie pozwoliły na ustalenie, że walidowany podpis oparty jest na kwalifikowanym certyfikacie. Odwołujący przedstawił Izbie (przy odwołaniu) zaświadczenia rumuńskiego Ministerstwa Komunikacji i Społeczeństwa informatycznego nr 971, 975, 977 z 6 października 2017 r. Z dokumentów tych wynikało, że SC Alfatrust Certification SA nadano statut „świadczącej usługi zaufania dla świadczenia kwalifikowanych usług zaufania, tworzenia kwalifikowanych podpisów elektronicznych, ich kontroli i walidacji.”
Dodatkowo odwołujący w trakcie rozprawy złożył dowód nr 3 – wydruk ze strony internetowej Alfatrust, na której znajdowało się oświadczenie, że „Alfatrust Certification jest dostawcą niezawodnych usług elektronicznych, akredytowanych zgodnie z wymogami nowego rozporządzenia eIDAS (910/2014). Wreszcie przystępujący Izostal w piśmie procesowym przedstawił dowód z wydruku ze strony internetowej webgate.ec.europa.eu czyli oficjalnej strony zawierającej informacje o unijnych dostawcach usług zaufania, z której wynikało, że w Rumunii taki status nadano m.in. Alfatrust Certification S.A. w odniesieniu do usługi tworzenia kwalifikowanych certyfikatów podpisów elektronicznych.
Zdaniem Krajowej Izby Odwoławczej, powyższe dowody pozwalały jedynie na ustalenie, ze firma Alfatrust Certification S.A. rzeczywiście jest kwalifikowanym dostawcą usług zaufania uprawnionym do świadczenia usługi w zakresie kwalifikowanych podpisów elektronicznych. Z powyższego nie można było jednak wyprowadzać automatycznego wniosku, że walidowany podpis został oparty o kwalifikowany certyfikat wydany przez tego dostawcę. Podkreślenia wymaga fakt, że kwalifikowani dostawcy usług zaufania mogą także oferować usługi nie będące kwalifikowanymi usługami zaufania. Powyższe wynika choćby z samej definicji „kwalifikowanego dostawcy usług zaufania”. Zgodnie z legalną definicją pojęcie to oznacza dostawcę usług zaufania, który świadczy przynajmniej jedną kwalifikowaną usługę zaufania i któremu status kwalifikowany nadał organ nadzoru. Ponadto analiza informacji wynikających ze strony internetowej https://webgate.ec.europa.eu/tlbrowser/ prowadziła do wniosku, że podmioty umieszczone na tej liście świadczą również usługi niezaufane. Dotyczyło to również Alfatrust Certification S.A.
Nie potwierdzał, iż sporny podpis został oparty na kwalifikowanym certyfikacie dowód w postaci elektronicznego poświadczenia weryfikacji (EPW), załączony do odwołania. Po pierwsze, jak wynikało z samego poświadczenia, pochodziło ono od Madkom S.A. - dostawcy usług zaufania w rozumieniu art. 3 pkt 19 eIDAS, a więc od dostawcy niezaufanego. Po drugie, z dowodu tego nie można wywnioskować czy weryfikacji poddano podpis umieszczony w pliku z ofertą odwołującego. Na uwagę zasługiwał bowiem fakt, że – jak wynikało z poświadczenia – poddano badaniu plik o nazwie: 00.załącznik_nr_2_do_siwz_-_formularz_oferta_06.02.2019_662271.pdf. Tymczasem nazwa pliku z ofertą odwołującego brzmiała: 00._formularz_oferta.pdf oraz 00._formularz_oferta_689540.pdf. Po trzecie, na str. 2 omawianego dowodu znajdowały się uwagi dotyczące statusu certyfikatu.
W uwagach tych znalazło się stwierdzenie: „system nie był w stanie odbudować ścieżki certyfikacji”, „nie udało się sprawdzić statusu OSCP (wystąpiły problemy z serwerem OSCP) certyfikatu, „the certificate path is not trusted”. Nie dowodziło , iż podpis został oparty na kwalifikowanym certyfikacie także dowód nr 2 złożony przez odwołującego w trakcie rozprawy. Odwołujący jako dowód przedstawił zrzut z dwóch ekranów z jakoś programu komputerowego, prawdopodobnie firmy Adobe. Na uwagę zasługiwał fakt, że dowód ten odnosił się do jakiegoś bliżej niezidentyfikowanego podpisu elektronicznego złożonego 30.07.2018 r. o g. 13.08.22. Podkreślenia wymagało, że podpis ten z pewnością nie złożono w pliku z ofertą, gdyż podpis pod ofertą złożono 22.02.2019 r. g. 14.01:06. Po drugie, dowód ten w zasadzie stanowił dwa zrzuty z ekranu, prawdopodobnie z programu Adobe, nie wykazano zaś aby Adobe była kwalifikowanym dostawcą usług weryfikacji kwalifikowanych podpisów elektronicznych w Unii Europejskiej. Nie dowodził, iż sporny podpis został oparty na kwalifikowanym certyfikacie także dowód nr 1, złożony przed odwołującego w trakcie rozprawy. Po pierwsze, dowód ten stanowił zrzut ekranu z niesprecyzowanej aplikacji. Nie można było zatem ustalić, czy jest to narzędzie zapewniane przez kwalifikowanego dostawcę usług zaufania uprawnionego do świadczenia usługi walidacji kwalifikowanych podpisów elektronicznych.
Po drugie zaś, również i z tego zrzutu wynikało, że „podpis został niekompletnie zweryfikowany”, gdyż brakowało certyfikatu CA w lokalnym magazynie.
Wyrok z dnia 13 sierpnia 2019 r., KIO 1479/19
Źródło: www.uzp.gov.pl