Błędny wyrok KIO 2051/21 w sprawie podpisów elektronicznych. Analiza

Do napisania niniejszego artykułu zmotywował mnie wyrok KIO 2051/21, który jak sądzę, przejdzie do historii orzecznictwa, jako wyraz niezrozumienia kwestii technicznych związanych z zamówieniami. Do rzeczy.

Oferta w formie elektronicznej. Jak ją złożyć?

W jaki sposób wykonawca powinien złożyć ofertę elektroniczną? Przede wszystkim powinien zrobić to zgodnie z obowiązującym prawem i w zgodzie z zapisami zawartymi w SWZ. Dodatkowo art 63 ust. 1 pzp jasno precyzuje, że w postępowaniu o udzielenie zamówienia lub konkursie o wartości równej lub przekraczającej progi unijne ofertę, wniosek o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia lub w konkursie, wniosek, o którym mowa w art. 371 ust. 3, oraz oświadczenie, o którym mowa w art. 125 ust. 1, składa się, pod rygorem nieważności, w formie elektronicznej. 

Na próżno szukać definicji “formy elektronicznej” w samej pzp. Musimy w tym celu sięgnąć do Kodeksu cywilnego który w art. 78’ § 1 precyzuje, że do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym.

Reasumując KAŻDA OFERTA, którą otrzyma zamawiający w postępowaniu o wartości równej lub przekraczającej progi unijne, MUSI być plikiem opatrzonym podpisem kwalifikowanym. 

Forma elektroniczna. Nowa zadanie zamawiającego

W tym kontekście, nowym zadaniem zamawiającego, poza oczywiście badaniem merytoryki wynikającej z dokumentu/pliku, jest zbadanie czy oferta jest złożona zgodnie z obowiązującym prawem. Zamawiający ma obowiązek dociec prawdy ukrytej niekiedy za technicznymi zawiłościami. Pracownik Działu Zamówień sprawdza zatem sprawdzić:

1. czy ma do czynienia z plikiem i 
2. czy plik jest skutecznie opatrzony podpisem kwalifikowanym. 

Ze względu na możliwość wygaśnięcia certyfikatu, połączonego z brakiem konieczności wykorzystywania kwalifikowanych znaczników czasu, najbezpieczniejszym jest przeprowadzenie weryfikacji lub kwalifikowanej walidacji zaraz po rozszyfrowaniu ofert i pobranie potwierdzenia.

KIO 2051/21. Stan faktyczny

W stanie faktycznym towarzyszącym sprawie rozstrzyganej w wyroku KIO 2051/21, tak właśnie postąpił zamawiający i jednoznacznie stwierdził, że plik pdf przesłany przez wykonawcę,  zawierający treść oferty, nie jest podpisany. Weryfikacja została przeprowadzona przy wykorzystaniu kilku programów do weryfikacji podpisów oraz kwalifikowanego walidatora podpisów WebNotarius. W związku z jednoznaczną, negatywną weryfikacją zamawiający uznał ofertę za złożoną niezgodnie z ustawą. 

W sprawie zostało wniesione odwołanie. Wykonawca zarzucił zamawiającemu naruszenie rozporządzenia eIDAS twierdząc, że zamawiający postąpił błędnie odrzucając ofertę przygotowaną w formacie pdf i opatrzoną podpisem kwalifikowanym. Zarzucił on zamawiającemu przeprowadzenie postępowania z naruszeniem zasad uczciwej konkurencji i równego traktowania wykonawców. Wykonawca wniósł między innymi o przeprowadzenie dowodu w postaci:

• sprawdzenia przez biegłego sumy kontrolnej pliku pobranego przez zamawiającego, 
• porównanie sumy kontrolnej pliku podpisanego przez wykonawcę z sumą kontrolną pliku pobranego przez zamawiającego,
• określenie, czy plik otrzymany przez zamawiającego mógł zostać uszkodzony przez system informatyczny zamawiającego.

Wniosek o powołanie biegłego w tym zakresie został odrzucony. Być może arbitrowie uznali, że elementarna wiedza z zakresu informatyki wystarczy do prawidłowej oceny sytuacji. 

Postępowanie przed KIO

Wykonawca w toku postępwoania odwoławczego przedstawił serię dowodów potwierdzających fakt podpisania pliku “zal_2_final_signed.pdf”(nie bez przyczyny pogrubioną czcionką). Przedstawił potwierdzenie pozytywnej kwalifikowanej walidacji pliku o nazwie “zal_2_final_signed.pdf”. Wykonawca przedstawił również jednoznacznie prawidłowe potwierdzenia weryfikacji podpisów na pozostałych plikach dołączonych do oferty, a podpisywanych bezpośrednio przed i bezpośrednio po podpisaniu “Oferta (załącznik nr 2 do SWZ)” a dodatkowo “Ze zrzutu ekranu przedstawionego przez odwołującego na rozprawie wynika że plik o nazwie “zal_2_final_signed.pdf” był sporządzony jako pdf na systemie MAC OS wersja 11.2.3”

Stanowisko KIO

Po uwzględnieniu przedstawionych dowodów KIO stwierdziła, że “skoro zatem odwołujący sporządził ofertę  w postaci elektronicznej w formacie danych pdf, którą następnie podpisał kwalifikowanym podpisem elektronicznym, a następnie umieścił i przesłał zamawiającemu za pośrednictwem platformy wskazanej przez zamawiającego, to brak jest podstawy faktycznej i prawnej do odrzucenia oferty odwołującego (…)” oraz “z informacji od powyższego /Asseco Data Systems/ przedłożonej przez odwołującego jednoznacznie wynika, że plik (formularz ofertowy) został poprawnie zweryfikowany za pomocą narzędzia WEBNotarius(…) co za tym idzie brak jest podstaw do uznania, że oferta została złożona nieskutecznie i podlega odrzuceniu”  oraz “odwołujący oprócz formularza ofertowego, załączył również inne dokumenty (m.in JEDZ-a), które zostały podpisane przez pełnomocnika odwołującego, przed podpisaniem spornego formularza, jak i po jego podpisaniu (w krótkich odstępach czasu). Skoro zamawiający prawidłowo zweryfikował podpis na pozostałych dokumentach, to nie ma powodu dla odmowy prawidłowości podpisu na formularzu ofertowym (…) ”

Ustalmy fakty

Mając powyższe na uwadze ustalmy zatem fakty.

Zamawiający:

1. wypełnił katalog obowiązków w zakresie ustalenia, czy plik jest podpisany czy też nie – skorzystał z kilku weryfikatorów w tym z kwalifikowanego walidatora. Jedyne co mógł zrobić więcej, to wezwać biegłego do weryfikacji pliku. Pytanie czy każdy zamawiający ma tak właśnie robić przy każdej wątpliwości w często nowej dla niego materii? 

Wykonawca:

1. na pewno podpisał kilka plików załączonych do oferty,
2. na pewno zrobił to w krótkim czasie, 
3. na pewno pliki podpisał podpisem kwalifikowanym, 
4. na pewno pracował na systemie MAC OS,
5. na pewno podpisał plik “zal_2_final_signed.pdf “.

Gdzie tkwi haczyk?

Gdzie zatem tkwi haczyk? Zamawiający NIGDY NIE OTRZYMAŁ TEGO PLIKU! Wykonawca załączył na platformę plik o nazwie “oferta_konsorcjum_atp_atd.pdf” czyli zdecydowanie nie plik “zal_2_final_signed.pdf” na którym oparł cały materiał dowodowy!

KIO:

1. nie uwzględniła wniosku odwołującego o sprawdzenie przez biegłego sum kontrolnych, 
2. nie ustaliła nazw plików o których mówiły strony. Brak przyjęcia wspólnej nomenklatury i zamienne używanie określeń:

• oferta odwołującego
  czyli plik “oferta_konsorcjum_atp_atd.pdf” którą otrzymał zamawiający  czy plik “zal_2_final_signed.pdf.” której dotyczyły “dowody”?
  
• plik-załącznik nr 2 – formularz ofertowy
  czyli plik “oferta_konsorcjum_atp_atd.pdf” którą otrzymał zamawiający  czy plik “zal_2_final_signed.pdf.” której dotyczyły “dowody”?
  
• plik stanowiący załącznik nr 2 do oferty
  czyli plik “oferta_konsorcjum_atp_atd.pdf” którą otrzymał zamawiający  czy plik “zal_2_final_signed.pdf.” której dotyczyły “dowody” ?
  
• załącznik nr 2 do SWZ
  czyli plik “oferta_konsorcjum_atp_atd.pdf” którą otrzymał zamawiający  czy plik “zal_2_final_signed.pdf.” której dotyczyły “dowody” ?
  
• Oferta (załącznik nr 2 do SWZ)
  czyli plik “oferta_konsorcjum_atp_atd.pdf” którą otrzymał zamawiający  czy  plik “zal_2_final_signed.pdf.” której dotyczyły “dowody” ?

3. przyjęła dowody dotyczące pliku, który nie był ofertą otrzymaną przez zamawiającego, a to właśnie ten plik powinien być badany i rozpatrywany. 
4. nie uwzględniła, że fakt wykorzystania przez wykonawcę systemu operacyjnego MAC OS dramatycznie zwiększa prawdopodobieństwo naruszenia struktury podpisywanego przez wykonawcę pliku. 
5. przedstawiła argumentację jakoby fakt sprawnego podpisania serii plików był wystarczającym do uznania, że jeżeli większość plików z serii jest podpisana poprawnie to i ten jeden niepoprawny….. też jest poprawny. 

Jak powinna wyglądać ta rozprawa?

1. Wykonawca: przedstawia dowody na prawidłowość złożenia podpisu na ofercie.
2. Zamawiający: przedstawia dowody na brak podpisu na ofercie.
3. Izba pyta: Jakiego pliku dotyczą dowody odwołującego?
4. Wykonawca:

SHA256: 3A0AB4307C4773623D97A5F89DB6906085CCFCE7A81491A9EF075E469757DBEB nazwa pliku „zal_2_final_signed.pdf” o wielkości 612 KB (bajtów: 627 491)

5. Izba pyta: jaki plik oferty otrzymał zamawiający?
6. Zamawiający:SHA256: C2EB981A4D16F6A34467AFB033DBA8E5CF5CFDA2C76BD2C209D9A06B4B29A6AB nazwa pliku „oferta_konsorcjum_atp_atd.pdf” o wielkości 438 KB (bajtów: 449 247)
7. Izba: oddalam odwołanie. Dowody nie dotyczą faktycznie złożonej oferty. 

Podsumowując i wyciągając wnioski

Nie ulega wątpliwości, że Wykonawca podpisywał serię plików. Nie ulega wątpliwości jak się pliki nazywały i że był wśród nich plik o nazwie „zal_2_final_signed.pdf”. 

Nie ulega również wątpliwości, że zamawiający NIGDY NIE OTRZYMAŁ prawidłowo podpisanego pliku o nazwie „zal_2_final_signed.pdf” Otrzymał plik o nazwie „oferta_konsorcjum_atp_atd.pdf”, który być może powstał na podstawie pliku „zal_2_final_signed.pdf” ALE TYM PLIKIEM NIE JEST. Wykonawca bez wątpienia wprowadził zmiany w pliku zmieniając jego nazwę. Prawdopodobnie wprowadził również inne zmiany, które skutkowały naruszeniem pliku i tym samym uznaniem go za niepoprawnie podpisany. Najczęstszym powodem błędów związanych z podpisem kwalifikowanym jest wykorzystanie komputera z systemem MAC OS, gdyż nawet przesunięcie znacznika graficznego podpisu narusza integralność struktury tegoż podpisu, o czym sygnatariusz pliku może nie wiedzieć. Z takiego właśnie komputera korzystał wykonawca w omawianym przypadku. „zal_2_final_signed.pdf” różni się zarówno nazwą, sumą kontrolna, oraz rozmiarem od pliku przesłanego przez wykonawcę do zamawiającego przez elektroniczny formularz ofertowy.

Z dowodowego punktu widzenia nie jest istotnym, czy wykonawca JAKIŚ plik podpisał tylko istotnym jest JAKI plik zamawiający otrzymał. 

A fakt jest taki że zamawiający otrzymał plik o sumie kontrolnej:

SHA256: C2EB981A4D16F6A34467AFB033DBA8E5CF5CFDA2C76BD2C209D9A06B4B29A6AB nazwa pliku „oferta_konsorcjum_atp_atd.pdf” o wielkości 438 KB (bajtów: 449 247)
który podpisany nie był.

Natomiast wykonawca wszelki materiał dowodowy oparł na pliku o sumie kontrolnej:

SHA256: 3A0AB4307C4773623D97A5F89DB6906085CCFCE7A81491A9EF075E469757DBEB nazwa pliku „zal_2_final_signed.pdf” o wielkości 612 KB (bajtów: 627 491)

Nie jest to plik który wykonawca wysłał w formularzu ofertowym. 

Podsumowując raz jeszcze

Warto czasami wezwać biegłego jeżeli brakuje wiedzy w danym aspekcie (autor podkreśla że nim nie jest). W komunikacji wszelkiej dotyczącej plików używajmy dokładnych nazw plików albo lepiej sum kontrolnych, a nie mylących określeń typu oferta załącznik nr 2 itp. z epoki “papieru łupanego”. Nauczmy się sprawdzać sumy kontrolne.

Wyrok:

https://drive.google.com/file/d/1TR17ek6hKq_msZn0U6PNsvmBjNSqqkv2/view?usp=sharing