РЕШЕНИЕ
№ 589
гр. Стара Загора, 16.06.2025 г.
В ИМЕТО НА НАРОДА
РАЙОНЕН СЪД – СТАРА ЗАГОРА, VII-МИ ГРАЖДАНСКИ СЪСТАВ,
в публично заседание на шестнадесети май през две хиляди двадесет и пета
година в следния състав:
Председател:Свилен Жеков
при участието на секретаря Маргарита Огн. Николова
като разгледа докладваното от Свилен Жеков Гражданско дело №
20245530104078 по описа за 2024 година
и за да се произнесе взе предвид следното:
Производството е по реда на чл. 103 - 257 от Гражданския процесуален
кодекс /ГПК/.
Ищецът Б. С. Г. твърди, че поддържа разплащателна сметка, с
активирано онлайн банкиране при „Банка ДСК“ АД. На ********г., около
19:00 часа, непознато за ищеца лице осъществило достъп до онлайн
банкирането му и извършило два последователни успешни превода до друго
непознато лице. С първия превод била преведена сумата в размер на 10,00
лева, а с втория – 10 000,00 лева. За така извършените транзакции ищецът
разбрал след телефонно обаждане от служител на ответната банка, който се
представил като такъв от отдел „Кибер сигурност“ и се поинтересувал дали
двата превода са извършени от него, поради очевидно съмнителният им
характер. След категорично отрицателният отговор на ищеца, същият бил
инструктиран да подаде съответното уведомление в удобен за него клон на
банката и да сигнализира в полицията. Така, в изпълнение на указанията, на
********г., ищецът входирал в „Банка ДСК“ АД уведомление за извършена
1
неразрешена платежна операция, по която в нарушение на разпоредбите на
ЗПУПС и към настоящия момент не постъпил отговор и подал в МВР жалба,
въз основа на която било образувано и ДП № ********, по описа на ОД на
МВР Стара Загора. Съгласно изготвената в рамките на същото техническа
експертиза, IP адресът от който е достъпено онлайн банкирането на ищеца не
бил неговия. Ищецът твърди, че в случая се касаело за „неразрешена платежна
операция“ по смисъла на чл.70, ал.1 и ал.2 ЗПУПС - не бил наредител на
плащането, а нарежданията били извършени от трето, неизвестно лице.
Ищецът не е давал съгласие за извършване на процесиите платежни операции.
Поради тази причина, в телефонен разговор е уведомил ответника за
извършената неразрешена платежна информация и при първа възможност още
на следващата сутрин посетил банковия клон и МВР. В настоящия случай
счита, че всички положителни предпоставки били налице, като същевременно
липсват отрицателните, поради което и на основание чл.79, ал.1 ЗПУПС,
претендира ответната банка да възстанови изцяло по сметката на платеца
стойността на двете неразрешени платежни операция в общ размер на 10
010,00 лева и обезщетение за забава в размер на законната лихва на основание
чл. 86 ЗЗД считано от 10.08.2023 г. Моли съда да постанови решение, с което
да осъди ответника да му заплати сумата от общо 10 010,00 лв.
представляваща сбор от сумите в размер на 10,00 лева и 10 000,00 лева -
стойности на неразрешени платежни операции, извършени на ********г.,
ведно със законната лихва върху тази сума от 10.08.2023г. - датата на изпадане
на ответната банка в забава, до окончателното й изплащане.
В законоустановения срок по чл.131, ал.1 ГПК ответникът е подал
отговор на исковата молба, като заема становище за допустимост и
неоснователност на иска. Признава, че ищецът и ответната банка са страни по
Рамков договор за предоставяне на платежни услуги, сключен на *********г.,
като наред с него, клиентът е подписал и допълнително споразумение за
достъп до електронните канали на Банката, от дата *********г. Неразделна
част от Рамковия договор и допълнителното споразумение към него били и
Общите условия на „Банка ДСК“ АД към договори за предоставяне на
платежни услуги, в сила от *********г. Не оспорва твърденията на ищеца, че
на ********г. от разплащателната му сметка, с IBAN № ************* били
извършени два парични превода по сметка с IBAN ************ към трето
лице Ц. Х., в общ размер от 10 010,00 лева и че на дата ********г. ищецът е
2
подал заявление за оспорване на процесиите транзакции. Видно от
съдържанието на приложеното допълнително споразумение за достъп до
електронните канали, клиентът е заявил, че желае да извършва преводи към
трети лица и/или по сметки в други банки, като за подписване използва
персонален цифров сертификат, издаден от банката и Тоукън технология,
използвана чрез Тоукън - мобилно приложение /DSK m Token/ и ПИН за него.
Заявил е още желание за получаване на кратки текстови съобщения на
ползван от него личен телефонен номер през мобилната мрежа на „*****“
ЕАД, с еднократен код за установяване на идентичността му при ползване на
електронните канали, както и служебен ПИН код за Тоукън - мобилно
приложение /DSK mToken/. Посочил е и телефонен номер +*********, на
който да получава съответните съобщения. Сочи, че съгласно т.62.3 от
приложимите ОУ за установяване на идентичност на клиента и/или
удостоверяване на автентичност на наредената от него платежна операция от
разстояние, Банката изисквала едно или повече измежду персонализирани
средства за сигурност, сред които е и Тоукън технология. „DSK mToken“
тоукън-мобилно приложение било мобилно приложение за операционни
системи Android и iOS, генериращо динамична парола с цел подписване на
платежни нареждания, подаване на заявки и подписване на документи по
електронен път през Интернет банкирането и мобилното банкиране DSK
Smart. Използването на персонален цифров сертификат, тоукън и пин за него
имало действието на правно валиден електронен подпис по смисъла на чл.13
ЗЕДЕУУ, който в отношенията между страните се приравнява на саморъчен
такъв и който се ползва за подписване на електронни платежни нареждания.
Ответникът твърди, че процесните платежни операции са автентични, точно
извършени от страна на Банката, по нареждане на Клиента и правилно
осчетоводени. Твърди, че процесната операция била извършена чрез
използване на горепосочените персонализираните средства за сигурност.
Единствената особеност в конкретния казус била наличието на смяна на
устройството на което е инсталиран мобилният тоукън, преди излъчване на
процесната операция. Сочи, че ищецът е получил смс известие за смяна на
устройството и деактивиране на ползваният от него тоукън на устройството
което ползва. Изпълнение на посочената промяна от трето лице от името и за
сметка на клиента обаче на практика била невъзможна. За да се извърши
посочената промяна, без знание и без съгласие на клиента било необходимо: а)
3
да бъде достъпен профила му в ДСК Директ, чрез правилно въвеждане на
потребителското му име и парола; б) да бъде нулирано текущо използваното
мобилно приложение DSK mToken едновременно и от апликацията, която е
налична само и единствено на устройството на клиента, но и чрез интернет
банкирането ДСК Директ; в) да се премине през процеса за добавяне и
активиране на новото устройство, за което са необходими: единният
граждански номер на клиента; последните четири цифри от документът му за
самоличност; достъп до мобилен телефонен номер +*********, респ. до
мобилният апарат на клиента, на който е получен служебният четири
цифреният ПИН код за регистрация на DSK mToken на новото устройство,
достъп до приложението ДСК Директ, което автоматично генерира друг
регистрационен код, след идентификация на клиента чрез ЕГН/номер на лична
карта. След идентификация на клиента чрез въведеното ЕГН, номер на лична
карта и генерирания автоматично регистрационен код, на клиента се
изпращало и SMS съобщение, съдържащо служебен ПИН код, който трябва да
бъде въведен в мобилното приложение в новото устройство. Позовава се на
извлечение от системата за SMS известия на Банката, от което било видно, че
при справка от ********г., за тел. номер +*********, на ********г., в
19:03:32ч. до тел. номер +********* било изпратено съобщение със следното
съдържание: „DSK BANK Vashiyat vremenen PIN za aktivirane na DSK mToken
e : ******.“ Съобщението е получено и доставено на Клиента на ********Г., в
19:03:32ч. След въвеждане на служебния ПИН код, приложението изисквало
задължително той да бъде променен, като едва след промяната му операцията
можело да бъде извършена. Ответникът изяснява, че е спазил всички
нормативно и договорно установени между страните изисквания за това и не
били налице основания за ангажиране на отговорността й съгласно ЗПУПС,
тъй като изпълнила изискванията на чл.78, ал.1 ЗПУПС и чл.100 ЗПУПС,
както следва: - знание /нещо, което само Клиента знае/, а именно четири
цифреният ПИН код, известен е единствено на него, който не може да бъде
запаметен в браузър или друго подобно средство за запаметяване на пароли
и/или биометричен идентификатор, ако устройството на което е инсталиран
мобилният тоукън позволява използването му и - притежание /нещо, което
само Клиентът притежава/. За потвърждение на операцията е генерирана
еднократна 6 цифрена парола, която заедно със зададения от клиента ПИН за
мобилното приложение (4 цифрен код)/биометричен идентификатор се
4
използват при всяко подписване на платежна или друга операция в Интернет и
мобилно банкиране. В процесния случай, чрез използването на всички
описани по-горе персонализирани средства за сигурност, чрез които съгласно
Общите условия за предоставяне на платежни услуги, действащи към датата
на извършване на платежната операция, се установявала идентичността на
Клиента и автентичността на нареденото от него плащане. Банката не само е
проверила правомерното използване на платежния инструмент - мобилен
тоукън /чл.78, ал.3 ЗПУПС/ и е проверила автентичността на платежната
операция /чл.78, ал.1 ЗПУПС/, но и е приложила процедурата си за
задълбочено установяване на идентичността съгласно императивното
изискване на чл.100 ЗПУПС. В конкретния случай използваните при
нареждане на процесния паричен превод персонализирани средства за
сигурност /ПИН код и 6 цифрен код, генериран от мобилен тоукън/,
отговаряли на минимума от два от включените независими елементи съгласно
чл.100, ал.4 ЗПУПС за знание на четири цифрения ПИН код и за притежание
на мобилен тоукън сертификат, инсталиран на устройство на ищеца. Счита, че
било налице неизпълнение на задълженията на клиента по чл.75 ЗПУПС за
запазване на персонализираните средства за сигурност на платежния
инструмент и съгласно чл.80, ал.3 ЗПУПС платецът понасял всички загуби,
свързани с неразрешени платежни операции, независимо от размера им, ако ги
е причинил с неизпълнението на едно или повече от задълженията си
умишлено или поради груба небрежност, изразяваща се в това, че той не е
опазил персонализираните си средства за сигурност, което дава възможност на
трето лице да се сдобие с тях в противоречие с ОУ. Действията му се изразяват
в това, че ги е дал устно или чрез текстови съобщения на друго лице. Моли за
отхвърляне на исковете.
В открито съдебно заседание ищецът, редовно призован, се явява като
чрез процесуален представител поддържа исковата молба и моли за
постановяване на осъдително решение спрямо ответника. Претендира
разноски.
В открито съдебно заседание ответникът, редовно призован, чрез
процесуален представител, не се явява, а се представлява. Моли за отхвърляне
на исковете.
Старозагорски районен съд, като съобрази правните доводи на страните,
5
събраните доказателства, поотделно и в тяхната съвкупност, съгласно
правилата на чл. 235, ал. 2 ГПК, намира за установено следното от фактическа
и правна страна:
Предявен е главен осъдителен иск с правно основание чл. 79, ал. 1 от
Закона за платежните услуги и платежните системи /ЗПУПС/ и акцесорен
осъдителен иск с правно основание чл. 86, ал. 1 от Закона за задълженията и
договорите /ЗЗД/.
Съгласно разпоредбата на чл. 57, ал.1 ЗПУПС /отм./, а и според сега
действащата разпоредба на чл. 79, ал. 1 ЗПУПС, в случай на неразрешена
платежна операция доставчикът на платежни услуги на платеца му
възстановява незабавно стойността на неразрешената платежна операция и,
когато е необходимо, възстановява платежната сметка на платеца в
състоянието, в което тя би се намирала преди изпълнението на неразрешената
платежна операция. Това означава, че няма промяна в нормативната уредба
относима към процесния правен спор.
За основателността на главния иск в тежест на ищеца е да докаже, че
между страните е съществувало облигационно отношение по договор за
разплащателна сметка, вкл. онлайн банкиране, че в срока на действие на
договора е извършена платежна операция, която не е била заявена от платеца,
както и нейната стойност. В тежест на ответника е да установи, че е
възстановил стойността на неразрешената платежна операция или че
платежната операция е извършена чрез използване на изгубен, откраднат или
незаконно присвоен платежен инструмент, когато платецът поради
небрежност не е успял да запази персонализираните защитни характеристики
на инструмента. Този извод следва и от разпоредбата на чл. 78, ал.1 ЗПУПС,
който изрично възлага в тежест на доставчика да установи автентичност на
платежната операция.
С доклада по делото на основание чл. 146, ал. 1, т. 4 ГПК са обявени
за безспорни между страните по делото правнорелевантните обстоятелства, че
между тях е налице сключен договор за издаване и обслужване на
разплащателна сметка, вкл. използавне на инструменти за отдалечен достъп
/така и рамков договор за предоставяне на платежни услуги от ********* г.,
допълнително споразумение от ********* г., ведно с Общи условия, л. 21-32
от делото/, извършване в срока на 07.08.2023 г. /в срока на договора/ на
6
платежни операции, вследствие на което от банковата сметка на ищеца при
ответника е бил извършен превод на обща стойност от 10 010,00 лв., в полза
на трето лице, уведомяване на ответника за употреба на платежния
инструмент незабавно след узнаването и че ищецът не е бил съгласен с
извършените транзакции, т.е. налице е неразрешена платежна операция, че на
същата дата /********г./ ищецът е получил обаждане от служител от отдел
„Кибер сигурност“ във връзка със съмнения за автентичност на операциите,
който е питал ищеца дали е преотстъпил електронното си банкиране и дали е
нареждал съответните операции, че обаждането от служител от отдел „Кибер
сигурност“ е било след нареждане на операциите, че ищецът е подал в МВР
жалба, въз основа на която било образувано и ДП № ********, по описа на ОД
на МВР Стара Загора.
От представено по делото искане за оспорване на транзакции с банкова
карта от 08.08.2023 г. /л. 107 и л. 109-110 от делото/ се установява, че ищецът
е поискал възстановяване на сума в размер на 10 010,00 лв., излагайки
твърдения, че посочените транзакции не били генерирани и извършени по
негово нареждане. Представени са и платежните нареждания и извлечение от
сметката на ищеца съдържащи оспорените транзакции /л. 34, 105-106 и 108 от
делото/. Ответникът представи извадки от неговата електронна система за
активиране на м-тоукън /л. 33 от делото/, писмо от 04.03.2025 г. /л. 104 от
делото/ и отговор до клиента за оспорените транзакции /л. 11 от делото/. В
писмо от 24.03.2025 г. /л. 114 от делото/ третото неучастващо по делото лице
„*****“ ЕАД дава отговор, че не съхранява информация за IP адрес *******
/динамичен/ за повече от шест месеца, но в предходен свой отговор до ОД на
МВР - Стара Загора и в срока за съхранение на информацията дава справка
/възпроизведена в докладна записка/ за телефонните номера на IP адрес
******* /л. 125-126 от делото/, отнасящи се до процесната дата и час, като
нито един телефонен номер не е на ищеца за дата ******** г. в часовия пояс
от 18:09 до 19:36. В обобщение - установява се от събраните по делото
писмени доказателства, че на 07.08.2023 г. ищецът е станал обект на измама,
по повод на което и след подадена от него жалба към ОД на МВР – Стара
Загора е било образувано и досъдебно производство за извършено
престъпление по чл. 249, ал. 1 и ал. 2 НК/ - така и приетите прокурорски
постановления /л. 77-85, 96-97 и 123-124 от делото/.
От приетите основно и допълнително заключение на съдебно-
7
компютърната експертиза, се установява, че логването в системата преди
извършване на процесните платежни операции е на ******** г. в 18:52 часа от
IP адрес *******, като за подписването е използван м-тоукън, но от друга
страна устройството е регистрирано в 19:03 часа на ******** г., а преводите са
извършени в 19:03 часа и 19:08 часа /отговор на въпрос 1, 2 и 3 от основното
заключение/. Процесните платежни операции са били точно регистрирани и
осчетоводени, като в.л. не може да даде категоричен отговор дали ответната
банка е могла да идентифицира платежните операции като неразрешени
/отговор на въпрос 4 и 5 от основното заключение/. От допълнителното
заключение се установява, че IP адрес ******* е динамичен адрес опериран от
„*****“ ЕАД, като в системата на банката не се съдържат данни за IP адрес за
устройствата на потребителите, а приложението м-тоукън е отделно и
независимо от банката приложение /отговор на въпрос 1 и 2 от
допълнителното заключение/. Срещу ID – кода няма записан и-мейл адрес на
телефон или евентуално IP адрес, т.е. потребителят използвал мобилно
приложение, а не физическо устройство за генериране на защитни кодове при
вход в системата /отговор на въпрос 3 от допълнителното заключение/. В о.с.з.
на 28.02.2025 г. /вж. протокол, л. 86-87 от делото/ в.л. изяснява, че с профила
са били извършени операциите, като и за двата превода за верификация е бил
използван М-токън софтуеъра на банката, т.е. с това приложение е била
извършена аутентификацията на плащането. Не е ясно дали личния мобилен
номер на ищеца е бил използван за извършване на транзакциите, тъй като в.л.
уточнява, че според справката и данните предоставени от ответника не се
вижда. Не се виждало и на кое устройство е бил инсталиран този М-токъна.
В.л. изяснява, че според информацията на стр. 3, от снимка 3 от банката се
виждало, че потребителя бил създаден в 19:03:01 на ******** и оттам
започнал процеса за създаването на М-токен-а и регистриране на М-токен-а,
т.е. е бил регистриран и активиран за пръв път тогава и не е бил активен на
други устройства. В.л. счита, че обаждането на служител се дължи на това, че
със сигурност банката имала начини да определи риска колко е рисковано това
платежно, тази операция и със сигурност някъде се е появило някакво
предупреждение, което е накарало служител да потвърди дали е наредено това
плащане. На въпроса дали има данни, че е деинсталирано някакво
устройството и че е инсталирано друго устройство, в.л. изяснява, че в случая
за пръв път в 19:03 е създаден потребителя, не било подмяна на М-токен-а.
8
Логването в 18:52 било в онлайн банкирането. При изследване на
сесиите/операциите е установил, че някой се логва в онлайн банкирането, след
това, най-вероятно в 19:03 влиза, за да създаде токен-а и го създава.
Аутентификацията на стр.5, въпрос 2 от основното заключение, се виждала, че
плащането е с ауторизация със софтуерен токен, т.е. след създаването на
токена, тогава са потвърдили плащанията. Виждали се трите сесии - първо са
се логнали в 18:50:45 и са приключили сесията веднага. В 19:08 се нареждали
плащанията, в 19:03 бил първия превод, който е за 10,00 лева. После в 19:08 е
големия превод, който е потвърден. А в о.с.з на 16.05.2025 г. /вж. протокол,
л. 130-131 от делото/ и след изготвяне на допълнителното заключение в.л.
сочи, че в банката нямало информация, на кое устройство е инсталирано
приложението, а тя виждала само транзакциите с какъв Токен ще бъдат
потвърдени, дали със софтуерен или хардуерен. Не се виждало дали личния
мобилен номер е използван за извършване на транзакцията. Изследвал е IP
адрес ******* като от „*****“ и не можели да отговорят дали е динамичен и
дали е на ищеца, а след предявяване на приетата като доказателство по делото
докладна записка №********г. на ОД на МВР – Стара Загора уточнява, че в
нея е описано IP адрес ******* в този момент кои GSM номера са го
използвали, от колко часа е продължила сесията и са написали на кого
отговаря този GSM номер и доколкото вижда имената не са на ищеца
следователно телефонният номер не е негов.
Предметът на делото се заключава в отговор на въпроса дължи ли
ответникът възстановяване на стойността на неразрешените транзакции с
оглед разпоредбата на чл. 79, ал. 1 ЗПУПС. При анализа на разпоредбите на
ЗПУПС и на Общи условия на „Банка ДСК“ АД към рамков договор за
откриване и обслужване на банкови платежни сметки и извършване на
платежни операции, се налага изводът, че по правило банката-издател
отговаря пред платеца в размер на стойността на неразрешената банкова
операция /чл. 79, ал. 1 ЗПУПС/. Законът е уредил намаляване или изключване
отговорността на банката само в случаите, в които потребителят е допуснал
небрежност при използване на платежния документ, като при допусната лека
небрежност отговорността е намалена - чл. 80, ал. 1 ЗПУПС и изцяло
изключена при условията на чл. 80, ал. 3 ЗПУПС - при допусната груба
небрежност или умисъл. Освен това доколкото ЗПУПС регламентира
задължението на ответника като доставчик на платежната услуга да извършва
9
единствено разрешени операции /ако операцията е неразрешена се дължи
възстановяване на стойността на платежната операция/, то следва, че
отговорността на ответника възниква по силата на законовата норма и при
реализиране на предвидените в нея предпоставки.
В ЗПУПС са предвидени задължения на ползвателя на платежни услуги
да използва платежния инструмент в съответствие с условията за неговото
издаване и използване. От събраните по делото доказателства не се
установява извършването на процесните транзакции при измама извършена от
ищеца /не е налице влязла в сила присъда за това, както и предпоставки за
произнасяне на съда по реда на чл. 124, ал.5 ГПК/. По аргумент от чл. 78, ал. 1
ЗПУПС и с оглед правилата за разпределяне на доказателствената тежест в
процеса, в тежест на ответника е да установи, че ищецът е проявил умисъл
или груба небрежност при неизпълнение на задълженията си по договора,
както и, че е налице причинна връзка между претърпените загуби и
поведението на ищцата, изразило се в неизпълнение поради умисъл или груба
небрежност на задълженията му да съхрани персонализираните защитни
характеристики. Изискването за причинна връзка се извежда от разпоредбата
на чл. 80, ал. 3 ЗПУПС. За умисъл в конкретния случай, не са събрани
доказателства.
Основния спорен въпрос между страните и при положение, че с
доклада по делото на основание чл. 146, ал. 1, т. 4 ГПК бе обявено за
безспорно, че процесните платежни операции са неразрешени от ищеца е
дали ищецът е действал при условията на груба небрежност. За груба
небрежност се изисква да не са положени и най-малките усилия, и най-
малката грижа за съхраняване на Ю-код устройството, както и за използването
му така, че да бъдат опазени персонализираните защитни характеристики на
инструмента и те да не станат достояние на трети лица. Според тезата на
ищеца ответната банка следва да носи отговорност, произтичаща от това, че
процесните оспорени платежни операции са извършени вследствие на това, че
същият е станал обект на злонамерени измамливи действия от страна на трето
недобросъвестно лице, тъй като третото лице е осъществило нерегламентиран
и неразрешен достъп до онлайн банкирането на ищеца и по този начин са били
наредени не от действителния притежател на банковата сметка преводи от
паричните й средства. Или ищецът твърди, че е налице основание за
ангажиране безвиновната отговорностт на финансовата институция по чл. 79,
10
ал. 1 от ЗПУПС, произтичаща от обективния факт, че са налице неразрешени
платежни операции независимо от причините, поради които те са били
извършени. Ответникът от своя страна оспорва изцяло посочените факти и
обстоятелства, като прави две възражения: 1/ ищецът е проявил груба
небрежност, тъй като при получаване на SMS за смяна на устройството и
деактивиране на ползвания от него тоукън не е осигурил сигурността на своя
потребителски акаунт, чрез който са били наредени преводите, чрез спазване
на установените в ОУ и на интернет страницата на банката инструкции и
препоръки за безопасност на банкирането и предприемане на други действия,
така че да не е възможна чужда намеса и нерегламентиран достъп до
потребителския профил на ищеца от от трети лица. Единствената особеност на
конкретния казус била наличието на смяна на устройството, на което бил
инсталиран мобилния тоукън преди излъчване на процесните операции, като
при нулиране на текущо използваното мобилно приложение било необходимо
и премахване на апликацията – налична единствено и само на устройството на
клиента и 2/ изпълнение на посочената промяна от трето лице от името и за
сметка на клиента била на практика невъзможна, като процесните операции
били извършени чрез използване на персонализирани средства за сигурност,
платежните операции били автентични и правилно осчетоводени.
По така поставения въпрос Старозагорски районен съд намира следното:
За да бъде ангажирана отговорността на банката по договора за
платежни услуги на основание специалната норма на чл. 79, ал. 1 ЗПУПС
следва да бъдат установени следните елементи от фактическия състав на
нормата, а именно: 1/ сключване на договор за платежни услуги; 2/
изпълнение от страна на банката на конкретна платежна операция; 3/ тези
платежни операция да не са разрешени от платеца, който е и ползвател на
платежна услуга по сключения договор; 4/ да не е налице някое от
предвидените в ЗПУПС специални основания, при които може да се изключи
или ограничи отговорността на доставчика на платежни услуги при
изпълнението на неразрешена платежна операция – извършване на операцията
при измама или груба небрежност на платеца, 5/ банката да е уведомена
своевременно за неразрешената операция.
Особеността при доказателствената тежест в случая е, че при твърдения
от ползвателя на платежната услуга, че оспорената транзакция не е разрешена,
11
в тежест на банката е да докаже в производството, пълно и главно, че
плащането е извършено надлежно, или че е извършено въз основа на измама,
или при груба небрежност на оправомощения ползвател.
Според нормата на чл. 78, ал. 1 ЗПУПС, когато ползвателят на платежна
услуга твърди, че не е разрешавал изпълнение на платежна операция или че е
налице неточно изпълнена платежна операция, доставчикът на платежната
услуга носи доказателствената тежест при установяване автентичността на
операцията, нейното точно регистриране, осчетоводяването, както и за това,
че операцията не е засегната от техническа повреда или друг недостатък в
услугата, предоставена от доставчика на платежни услуги.
В чл. 78, ал. 4 ЗПУПС е предвидено също така, че при твърдения на
ползвателя за неразрешена платежна операция и същевременно регистрирано
от доставчика на платежните услуги използване на платежен инструмент, не е
достатъчно установяване разрешаването на операцията чрез използване на
идентификаторите на платеца. В този случай доставчикът на услугата дължи
доказване, че ползвателят не е изпълнил някое от вменените му задължения по
ползване на персонализираните средства за сигурност. Доставчикът на
платежни услуги следва да авгажира доказателства, че операцията е
извършена при измама или груба небрежност от страна на ползвателя на
платежни услуги.
Нормата на чл. 78, ал. 4 от ЗПУПС възпроизвежда тази на чл. 72, т. 2 от
Директива /ЕС/ 2015/2366 на Европейския парламент и на Съвета от
25.11.2015 г. за платежните услуги във вътрешния пазар. В нея също е уредено,
в случай на оспорване от ползвателя на платежните услуги на изпълнена от
него платежна операция, регистрираната от доставчика на услугите /банката/
като надлежно извършена, че надежното регистриране на операцията не е
достатъчно, за да се приеме за доказано, че т я е била разрешена от платеца
или че последният не е изпълнил умишлено или поради груба небрежност
задълженията си по чл. 69 от Директивата. Следователно доставчикът дължи
доказването на измамата или грубата небрежност при извършеното плащане.
Нормите на чл. 78, ал. 1 и, ал. 4 ЗПУПС са ясни и непротиворечиви. Чрез
тях рискът от извършване на неразрешена платежна операция е възложен на
доставчика на платежната услуга, в чиято тежест е и установяването на
изключващите отговорността му обстоятелства. Едва при проведено
12
доказване на посочените обстоятелства, съгласно чл. 80, ал. 3 ЗПУПС,
платецът понася всички загуби, свързани с неразрешени платежни операции,
когато ги е причинил чрез измама или с неизпълнението на едно или повече от
задълженията си по чл. 75 ЗПУПС умишлено или поради груба небрежност.
Съгласно съображение 72 на Директива /ЕС/ 2015/2366 на Европейския
парламент и на Съвета от 25 ноември 2015 година, за да е налице „груба
небрежност“ доставчикът на платежните услуги следва да установи
поведение, характеризиращо се със значителна степен на нехайство, като
например съхраняване на персонализираните средства, използвани за
разрешаване на платежна операция, непосредствено до платежния инструмент
в достъпен и лесно разпознаваем за трети лица вид.
Определението за груба небрежност се съдържа и в редица решения на
ВКС- решение № 510/30.11.2011 г. на ВКС по гр.д. № 1923/2009 г., IV г.о,
решение № 291/2012 г. на ВКС по гр.д № 951/2011 г., IV г.о, решение №
348/2011 г. на ВКС по гр.д. № 387/2010 г., IV г.о, решение № 291/2012 г. на
ВКС по гр.д. № 951/2011 г., IV г.о, решение № 62/2015 г. на ВКС по гр. д. №
2798/2014 г., IV г.о. и др. В трайно установената практика се приема, че
небрежността в гражданското право е неполагане на дължимата грижа според
един абстрактен модел - поведението на определена категория лица /добрия
стопанин/ с оглед естеството на дейността и условията за извършването й.
Грубата небрежност не се отличава по форма /според субективното
отношение към увреждането/, а по степен, тъй като грубата небрежност също
е неполагане на грижа, но според различен абстрактен модел - грижата, която
би положил и най - небрежният човек, зает със съответната дейност при
подобни условия. Приема се, че грубата небрежност е тежко нарушаване на
дължимата грижа при положение, че лицето е могло да я съблюдава в
конкретната обстановката, каквото един обикновен човек, поставен в същата
обстановка не би могъл да го допусне. Такова поведение е правно укоримо
защото неблагоприятните последици биха били избегнати, ако беше положена
дължимата грижа. Дали поведението е рисково и до каква степен то е довело
до настъпване на вредата се установява във всеки конкретен случай. В
подкрепа на това разбиране е и даденото разрешение в решение №
239/21.04.2017 г. на ВКС по т.д. № 2733/2015 г., II т.о., в което се приема, че
според дефинитивното определение в чл. 40, ал. 2 от Закона за платежните
услуги и платежните системи /ДВ бр. 23/2009 г./ рамковият договор за
13
платежни услуги е консенсуален, уреждащ бъдещо изпълнение на отделни
или на поредица от платежни операции, който може да определя
задълженията и условията за откриване и водене на платежна сметка, като са
установени специални правила за оспорване на извършени платежни
операции в хипотезата на разпореждане със средства по сметка, предприети от
обслужващата банка без нареждане на титуляра, както и конкретни
задължения на ищеца да предприеме всички разумни действия за запазване на
предоставените му персонализирани средства за сигурност при ползването на
платежната услуга.
Също в правната теория, неполагането на грижа, каквато се изисква за
собствените работи, предпоставя небрежност. В хипотезата на небрежност не
се изследва психическо отношение, а се сравнява поведението с модел. Този
модел винаги е конкретен, а не абстрактен. Небрежността и грубата
небрежност се различават по съдържанието на модела на дължимото
поведение. При груба небрежност действа този, който не полага грижа,
каквато и най-небрежния човек би положил в подобна обстановка като
различието между грубата небрежност и небрежността е само количествено.
/Ангел Калайджиев, „Облигационно право“, Обща част/.
При така установените обстоятелства не се установяват факти, които да
освобождават ответника от обективната му и безвиновна отговорност по
чл. 79 ЗПУПС, а именно за неизпълнение поради умисъл или груба
небрежност от страна на ищцата на задълженията й да предприеме всички
разумни действия по съхраняване на персонализираните защитни
характеристики на платежния инструмент за мобилно интернет банкиране.
Самото регистриране на операциите от банковата платежна система не
презумира нито автентичност на операцията, нито неизпълнение на
задълженията на ползвателя на платежните услуги в хипотезата на умисъл или
груба небрежност. Задължение на банката е било да осигури платежен
инструмент, който да не допуска неразрешени платежни операции.
Посочените в тази връзка съображения от страна на ответника по повод
действията на ищцата, сами по себе си не могат да доведат до извода за груба
небрежност от страна на ползвателя на услугата. Съгласно изричната в този
смисъл норма на чл. 78, ал. 4 ЗПУПС, при твърдение на ползвателя на
платежната услуга, че не е разрешавал платежната операция, регистрираното
14
от доставчика на платежни услуги, използване на платежен инструмент не е
достатъчно доказателство, че платежната операция е била разрешена от
платеца. В този случай доставчикът на платежни услуги, следва да представи
и доказателства, че е налице измама от страна на ползвателя на платежни
услуги или негова груба небрежност, изразяваща се в неизпълнение на някое
от задълженията му по чл. 75.
В практиката на ВКС – вж. определение № 1957/11.07.2024 г. на ВКС
по т.д. № 2456/2022 Г., І т.о., определение № 1085/25.04.2024 г. на ВКС по
т.д. № 1043/2023 г., І т.о. се приема, че при твърдение на ползвателя, че
оспорената от него платежна услуга е неразрешена, доставчикът не може да се
ограничи с установяване на обстоятелствата по чл. 78, ал. 1 ЗПУПС -
регистриране на нареждането и осъществяването му с електронното
устройство на ползвателя, а следва да докаже, че осъществяването ще се
дължи на измама или проявена от ползвателя груба небрежност, поради
неизпълнение на задълженията му по договора. Освен че съответстват на
нормите на общностното право - Директива /ЕС/ 2015/2366 на Европейския
парламент и на Съвета от 25 ноември 2015 г. за платежните услуги във
вътрешния пазар, нормите на чл. 78, ал. 1 и, ал. 4 ЗПУПС са ясни и
непротиворечиви и чрез тях рискът от извършването на неразрешена
платежна операция е възложен на доставчика на платежната услуга, в чиято
тежест е и установяването на изключващите отговорността му обстоятелства.
Отговорността на ответника възниква по силата на законовата норма и при
реализиране на предвидените в нея предпоставки. В процесния случай и
въпреки указаната доказателствена тежест, ответната банка не доказа, както
операциите да са наредени от ищцата, така и последната да е допуснала груба
небрежност, която да освобождава банката от отговорност. Ищецът не може
да бъде държан отговорен, когато персоналните характеристики на платежния
инструмент са ползвани в резултат на измамна, респ. престъпна дейност, на
която той е станал жертва и за защита срещу която не се твърди да разполага
със специални знания и умения, за да ги предвиди и съответно адекватно да се
защити или предпази.
1/ Възражението на ответника за проявена груба небрежност, тъй като
при получаване на SMS за смяна на устройството и деактивиране на
ползвания от него тоукън не е осигурил сигурността на своя потребителски
акаунт, чрез който са били наредени преводите, чрез спазване на установените
15
в ОУ и на интернет страницата на банката инструкции и препоръки за
безопасност на банкирането и предприемане на други действия, така че да не е
възможна чужда намеса и нерегламентиран достъп до потребителския профил
на ищеца от трети лица, вкл. посочената особеност изразяваща се в наличието
на смяна на устройството, на което бил инсталиран мобилния тоукън преди
излъчване на процесните операции, като при нулиране на текущо
използваното мобилно приложение било необходимо и премахване на
апликацията – налична единствено и само на устройството на клиента не се
споделя от настоящия съд по девет причини:
1/ В случая изнесеното в отговора на исковата молба за единствена
особеност на случая, а именно смяна на устройството, на което бил
инсталиран м-тоукън се опровергава ясно от доказателствата по делото.
Смяна на устройството няма. В.л е категорично, че за подписването е
използван м-тоукън, а устройството е регистрирано в 19:03 часа на ********
г., а преводите са извършени в 19:03 часа и 19:08 часа /отговор на въпрос 1, 2 и
3 от основното заключение/, като в о.с.з. на 28.02.2025 г. изяснява, че според
информацията на стр. 3, от снимка 3 подадена от самата банка се виждало,
че потребителят бил създаден в 19:03:01 на ******** и оттам започнал
процеса за създаването на М-токен-а и регистриране на М-токен-а, т.е. е бил
регистриран и активиран за пръв път тогава и не е бил активен на други
устройства. На въпроса дали има данни, че е деинсталирано някакво
устройството и че е инсталирано друго устройство, в.л. изяснява, че в случая
за пръв път в 19:03 е създаден потребителя, не било подмяна на М-токен-а.
При изследване на сесиите/операциите е установил, че някой се логва в онлайн
банкирането, след това, най-вероятно в 19:03 влиза, за да създаде токен-а и го
създава.
2/ Във връзка с предходното следва да се посочи, че няма ангажирано
нито едно доказателство от ответната банка в подкрепа на нейното
възражение в отговора на исковата молба, че ищецът е предоставил на трето
лице своето ЕГН, номер на личната си карта и генериран автоматично
регистрационен код. А от посочения от ответника SMS /л.33 от делото/ не
личи дали същият се изпраща при наличие на смяна на устройство или при
новосъздаден м-тоукън. А от писмо /л. 104 от делото/ ясно се вижда, че самият
ответник не е бил наясно, вкл. не е бил сигурен, какво всъщност се е случило
16
– имало вероятност клиентът да не е опазил потребителските си
идентификатори за банкиране или други свои данни и/или да е въвел банкова
информация в компрометиран сайт, като и за двете допускания на ответника
не се събраха каквито и да било данни по делото.
3/ В.л. установи, че IP адреса от които са направени както заявките
така и плащането - IP адрес *******, очевидно не е бил ползван от ищеца
/така и писмено доказателство, л. 126 от делото/. От допълнителното
заключение се установява, че IP адрес ******* е динамичен адрес опериран от
„*****“ ЕАД, като в системата на банката не се съдържат данни за IP адрес за
устройствата на потребителите, а приложението м-тоукън е отделно и
независимо от банката приложение /отговор на въпрос 1 и 2 от
допълнителното заключение/. Срещу ID – кода нямало записан и-мейл адрес
на телефон или евентуално IP адрес, т.е. потребителят използвал мобилно
приложение, а не физическо устройство за генериране на защитни кодове при
вход в системата /отговор на въпрос 3 от допълнителното заключение/. За IP
адрес ******* сочи, след предявяване на приетата като доказателство по
делото докладна записка №********г. на ОД на МВР – Стара Загора, че в нея
е описано IP адрес ******* в този момент кои GSM номера са го използвали,
от колко часа е продължила сесията и са написали на кого отговаря този GSM
номер и доколкото вижда имената не са на ищеца следователно
телефонният номер не е негов, респ. свързан по какъвто и да било начин
с обсъждания IP адрес *******. Следователно, още при активиране на
услугата е допуснат пропуск в сигурността на предоставяната услуга от
страна на банката, доколкото е допуснато използването на услугата за
потребителско ID, свързано с ищеца, чрез приложение на ответната банка
въпреки че активирането на услугата е направено от IP адрес който не
съответства на телефонния номер на ищеца, вкл. устройството, от което е
извършена активацията, а впоследствие и процесните два броя парични
преводи. Посоченото несъмнено води до извод в пропуск в системата за
сигурност на банката, съответно – е предпоставка за извършването на
преводи, които реално не са разрешени от действителния клиент на банката и
титуляр на сметката – така и решение № 778/07.02.2025 г. на Софийски
градски съд по в.гр.д. № 9941/2024 г.
4/ Във връзка с горното ще бъде посочено още, че не се установи дали
личния мобилен номер на ищеца е бил използван за извършване на
17
транзакциите, тъй като в.л. уточнява, че според справката и данните
предоставени от ответника не се вижда. Не се вижда и на кое устройство, с
каква операционна система е бил инсталиран този М-токъна, което прави
неоснователно изложеното твърдение в отговора на исковата молба, че това
били устройството и операционната система на клиента/ищеца. Поради това
на собствено основание не може да се прецени и дали изобщо изпратения
SMS /л.33 от делото/ е бил коректен. Следователно не става ясно и защо се
изплаща посочения SMS /л.33 от делото/ и дали е бил получен от ищеца.
5/ Самото поведение на ответника, сочи на възникнало при него
съмнение при изпълнение на платежните операции – от една страна е налице
обаждане /макар и закъсняло/ на служител от банката на ищеца за
допълнително потвърждение, от друга страна в.л. не можа да даде
категорично становище дали от електронната платформа на банката може
процесните операции да се идентифицират като неразрешение и от трета
страна самият ответник сочи, че е инициирал искане за връщане на паричните
средства от третото неучастващо лице „************“ АД, но това било
отказано единствено по причина липса на парични средства по сметката на
получателя /така писмо от ответника, л. 104 от делото/. Подобно поведение се
отчита и в съдебната практика – вж. решение № 778/07.02.2025 г. на
Софийски градски съд по в.гр.д. № 9941/2024 г., в което също се сочи, че
самото извънпроцесуално поведение на ответника сочи на признание на
факта, че и за служителите на банката е възникнало съмнение относно
автентичността на процесните преводи. Непосредствено след заявяване на
преводите служител на банката е направил опит за осъществяване на връзка с
ищеца на посочения от него телефонен номер, който следва да служи и за
допълнително средство за потвърждаване на преводите /както е и в случая/.
Въпреки това преводите са изпълнени, което представлява нарушение на чл.
31 и следващи от Раздел „Платежни услуги“ от общите условия към
подписания договор между страните, съгласно които точка банката следва да
изпълни само преводи, които са редовни по форма и съдържание.
6/ Макар и не като основен довод ще бъде посочено, че и съгласно
установеното в досъдебното производство /вж. подробно прокурорски
постановления /л. 77-85, 96-97 и 123-124 от делото/ в случая не са налице
каквито и да било данни, че ищецът е наредил процесните две платежни
18
операции, като използваният динамичен IP адрес ******* в нито един момент
не е използван от телефонен номер на територията на гр. *******, вкл. нито
един ползвател не е с адрес в гр. ******* и не е установено нито лицето
осъществило логването, нито мястото на логването в интернет банкирането на
ищеца. В заключение по досъдебното производство е установена поредица от
компютърно компрометиране на банковата сметка на ищеца от извършител
използващ динамичен IP адрес *******.
7/ Налице е несъобразяване от страна на ответника с изискванията на чл.
10. т. 1 от Окончателни насоки относно сигурността на плащанията в
интернет изготвени съгласно член 16 от Регламент (ЕС) № 1093/2010 на
Европейския парламент и на Съвета от 24 ноември 2010 г. за създаване
на Европейски надзорен орган /Европейски банков орган/, който гласи, че
доставчиците на платежни услуги следва да използват системи за засичане и
предотвратяване на измами, за да идентифицират подозрителните трансакции,
преди доставчикът на платежни услуги окончателно да оторизира трансакции
или eлектронни мандати. Тези системи следва да се основават, например, на
параметризирани правила /напр. черни списъци на компрометирани или
откраднати данни за картата/ и да проследяват необичайни модели на
поведение на клиента или на клиентското устройство за достъп /напр.
промяна в IP /интернет протокол/ адреса или IP обхват по време на сесия
на услуги за плащане в интернет, понякога идентифицирани чрез
географско позициониране на IP нетипични категории eлектронни търговци за
конкретен клиент или необичайни трансакционни данни и др. Системите
следва също да бъдат в състояние да откриват признаци на злонамерена
софтуерна инфекция по време на сесията /напр. чрез script versus human
validation/ и известни измамни сценарии. В случая се установи, че както
проверката, така и плащането са извършени от динамичен IP адрес - IP адрес
*******, който изобщо не се е намирал в нито един момент на територията на
гр. *******, от друга страна липсва събиране на информация и анализ от
страна на ответната банка както за устройството от което се извършват
транзакциите, така и за операционната система и от трета страна самият
ответник се е усъмнил в достоверността на процесните операции, но неговите
действия са последващи и закъснели, вкл. не е ясно дали използваните от
банката софтуерни продукти изобщо я поставят във възможност да
идентифицират процесните транзакции като неразрешени /отговор на въпрос
19
5 от основното заключение/. Според направените справки при действието на
системата и преглеждането на ЛОГ файловете, не се извършва друга проверка
по идентификацията на лицето, титуляр на сметката, различна от
потребителско име и парола, не е ясно устройството и операционната система,
от които са направени и IP адреса, от който са направени оспорените
банкови операции. ІР адресът на наредителя на процесната операция е един
/*******/ и местонахождението му в нито един момент не само не е в гр.
*******, но и в нито един момент не е бил свързан с телефонния номер
използван от ищеца. Както се посочи не е ясно нито устройството, нито
операционната система от която е извършена операцията. А ако платецът
твърди, че, например, някой друг извършва плащания от негово име, не е
достатъчно доставчикът на платежна услуга да изтъкне, че при операцията са
използвани данните на клиента, в какъвто смисъл е защитата на банката.
Съгласно Решение на Съда /пети състав/ от 11 юли 2024 г. по дело C-
409/22 /UA срещу „Юробанк България“ АД/ не е съответно на изискваната
висока дължима грижа доставчикът да се задоволи само с формална проверка
за наличие на договорения инструмент, каквото банката – ответник се е
задоволила да направи. Той трябва да събере и други доказателства, с които да
се увери, че именно платецът стои зад операцията /чл. 72, пар. 2, изр. посл./.
Като едно от възможните средства е чрез геолокация да се засекат и
откажат операции, които се извършват извън обичайното
местопребиваване на платеца, докато не се извърши допълнителна
автентикация, да се проследи история на операциите, която показва дали
платецът вече веднъж е извършвал трансакция към този акаунт и др.
Очевидно е, че при такава дължима завишена грижа в конкретната хипотеза би
било установено, че има проблем с извършените операции – така и решение
№ 70/27.02.2025 г. на Пазарджишки окръжен съд по в.гр.д. № 33/2025 г.
8/ При обсъждане на възражението на ответника се съобрази и
постановеното от Старозагорски окръжен съд решение № 51/20.02.2025 г.
на Старозагорски окръжен съд по в.т.д. № 571/2024 г., постановено по
аналогичен случай, в което се сочи, че оспорените транзакции от IP адрес,
който не е притежание на ищеца /в настоящия случай също IP адрес *******,
от който е извършено плащането не е притежание на ищеца/, а по отношение
на обстоятелството, приложила ли е банката задълбочено установяване
идентичността на ищеца при извършване на процесните транзакции с
20
прилагане на два или повече независими елементи, съгласно изискванията на
чл. 100, ал. 1 вр. чл. 100, ал. 4 ЗПУПС, съдът счита, че банката не е доказала
по несъмнен начин, при условията на пълно и главно доказване съгласие на
ищеца с процесните транзакции /вж. отговор на въпрос 5 от основното
заключение на експертизата/. В приетата експертиза от Старозагорски
окръжен съд е липсвал коментар на кой телефон е активирано мобилното
приложение и дали това е телефонният апарат на ищеца /в случая също не е
ясно от кой телефон или друго устройство е извършено логването/. Цитиран е
номерът на телефона, но не и видът на мобилното устройство, което в.л. по
настоящото дело посочи, че е невъзможно да се установи, тъй като банката не
събира информация за него. Същото се отнася и до това от какъв апарат са
разрешени оспорваните транзакции. Затова твърденията на банката, че е
приложила задълбочено установяване идентичността на ищеца съдът намира
за недоказани.
9/ При изрично възложена на ответника доказателствена тежест с
доклада по делото и изясняване по реда на чл. 146, ал. 2 ГПК, че не сочи
доказателства за следните обстоятелства /вж. доклада по делото от о.с.з. на
17.12.2024 г./ - че ищецът с конкретни действия и на конкретно място, в
устна или чрез SMS форма е предоставил своите данни на трето лице и
непосочване на нито едно доказателство за установяване на тези факти,
следва да се приеме, че не е установена твърдяната от ответника груба
небрежност от страна на ищеца. Още повече, че както се посочи по-горе
самата банка не е наясно и си служи с вероятности за алгоритъма на
провеждане на оспорените транзакции и поведението на ищеца /вж. писмо, л.
104 от делото/. Както се посочи по-горе в чл. 100, ал. 2 ЗПУПС е
регламентирано задължение за доставчиците на платежни услуги при
платежни операции, инициирани от разстояние, да приложат задълбочено
установяване на идентичността на клиента чрез променливи елементи,
свързващи операцията с конкретна сума и получател. По смисъла на ЗПУПС
„платежна операция, инициирана от разстояние“ е платежна операция,
инициирана по интернет или посредством устройство, което може да се
използва за дистанционна връзка /§ 1, т. 4 от ДР на ЗПУПС/. Съгласно чл. 100,
ал. 4 ЗПУПС задълбочено установяване на идентичността на клиента е
процедура по установяване на идентичността, която е разработена по начин,
който защитава поверителността на данните, и която включва използването на
21
два или повече от следните независими елементи: 1/ знание – нещо, което
само ползвателят знае; 2/ притежание – нещо, което само ползвателят
притежава; 3/ характерна особеност – нещо, което характеризира ползвателя.
В чл. 56 от Наредба № 3 от 18.04.2018 г. на Б. за условията и реда за
изпълнение на платежни операции и за използване на платежни инструменти
e предвидено, че тази дейност по задълбочено установяване на идентичността
на платеца се осъществява при спазване на мерките за сигурност в
съответствие с изискванията на глава втора от Регламент /ЕС/ № 2018/389. В
случая това не се установи. Не става ясно, дали операцията не е засегната от
техническа повреда или друг недостатък в услугата, предоставена от
доставчика на платежни услуги. В отговора на исковата молба и в целия ход на
делото банката поддържа становището, че са спазени всички законодателни
изисквания за сигурност и гарантиране на плащанията в електронна среда, без
обаче да представи доказателства за това. В заключението на допусната
съдебно-техническата експертиза вещото лице е отбелязало, че не е успял по
категоричен начин да отговори и на въпросите, свързани с идентифицирането
на ищеца като ползвател на услугата. Следва да се отбележи, че бланкетното
позоваване на техническите изисквания за сигурност на плащанията, без да се
въведат относими доказателства и доказателствени средства, не може да
потвърди, че банката действително ги прилага. В този смисъл по делото не се
установява по несъмнен начин автентичността на процесните платежни
операции, тяхното точно регистриране, осчетоводяване, както и това, че
същите не са засегнати от техническа повреда. Следователно не се установява
ищецът да ги е наредил или е дал съгласие за изпълнението им, което ги прави
неразрешени по смисъла на чл. 70, ал. 1 ЗПУПС.
В заключение може да се каже, че ответникът не е установил в
съответствие с разпределената му доказателствена тежест неизпълнение
поради умисъл или груба небрежност от страна на ищеца на задълженията му
да предприеме всички разумни действия по опазване на персонализираните
средства за сигурност. По същество тезата на ответника е, че при използване
от трето лице на предоставените на ищеца потребителско име и парола,
персонален ПИН код за цифровия сертификат, се презюмира, че е клиентът
не е спазил задълженията си предвидени договора за ползване на услугата,
като не е опазил персонализираните средства за сигурност за ползване на
интернет банкирането и, следователно, е налице груба небрежност от страна
22
на ползвателя на платежни услуги. В действителност, наличието на измама
или груба небрежност не се презюмира, а подлежи на пълно и главно
доказване от доставчика посредством допустимите от закона доказателствени
средства. Такива по делото не са ангажирани въпреки изричните указания по
чл. 146, ал. 2 ГПК. Затова, след като клиентът твърди, че не е разрешавал
платежните операции и след като е установено, че процесните операции са
извършени от динамичен IP адрес ненамиращ се на територията на гр.
*******, който не е свързан по никакъв начин с телефонния номер на ищеца,
при открадване на личните данни на ищеца, при установена регистрация на
нов /а не както сочи ответника при промяна/ м-тоукън, при неяснота за
устройството и операционната система на ищеца, при поведение на самия
ответник сочещо на немалко съмнение в достоверността на операциите
/обаждане от служител, опит да се спрат транзакциите/, при неустановена
възможност системата на ответника да установи наличие на неразрешени
операции, точното изпълнение на задълженията на доставчика при
използването на платежния инструмент не е достатъчно доказателство, че
платежната операция е била разрешена от платеца или че платецът е действал
чрез измама, или че умишлено или при груба небрежност не е изпълнил някое
от задълженията си по чл. 75 ЗПУПС. Именно това разпорежда чл. 78, ал. 4
ЗПУПС - така и решение № 713/01.06.2022 г. на Варненски окръжен съд по
в.гр.д. № 692/2022 г. Това на практика означава, че ако ползвателят няма
специални познания и умения, той не би могъл да се предпази от тях. Не се
твърди и не се установява по делото банката да е поставила специални
изисквания към ползвателите на електронните си канали относно тяхната
компетентност в компютърните науки и технологии, следователно не може да
се очаква, че човек без познания или с елементарни такива би могъл да
противодейства на подобно престъпно посегателство - така решение №
778/07.02.2025 г. на Софийски градски съд по в.гр.д. № 9941/2024 г.
Предположението, че няма как преводите да се осъществят само при
неправомерно проникване в профила на ищеца без добавяне на „чувствителна
информация“, т.е. на кодове и др. идентификационни данни за картовата
пластика към същата сметка от платеца не е достатъчно, за да се приложи
освобождаващото от отговорност доставчика на услугата правило на чл. 80,
ал. 3 ЗПУПС, защото нормата изисква както грубата небрежност, така и
умисълът, респективно измамата, да бъдат не вероятно възможни, а да бъдат
23
доказани пълно и главно от черпещата благоприятни последици от тях страна.
Ето защо, след като по делото няма твърдения, респективно доказателства за
несъобщени на органите на реда и на банката изгубване, открадване,
неоторизирано предаване на трето лице или друга физическа манипулация,
нито се установява конкретно усвоено от ищеца поведение, което да се
квалифицира като целящо измама на Банката или осъществяващо състава на
друго престъпление и след като съществуват толкова технически
възможности за зловредно достъпване на чувствителна информация на
банковите клиенти от трети лица - нападатели, Банката следва да понесе
визираната в закона отговорност - така решение № 215/21.03.2025 г. на
Бургаски окръжен съд по в.гр.д. № 1455/2024 г. В тази смисъл наличието на
авторизационни съобщения за извършени платежни операции не е
достатъчно, за да се приеме, че именно ищецът е техен автор /така и решение
№ 1642/18.07.2013 г. на Софийски апелативен съд по в.т.д.№ 4254/2012 г./. Тук
следва да се посочи споделеното разбиране в теорията, че въвеждането на
верния PIN, респективно на други пароли за нареждане на операции в
интернет, не може да бъде достатъчно доказателство в полза на доставчика на
платежни услуги, както че платежната операция е разрешена, така и че
ползвателят не е положил дължимата разумна грижа и действия да опази
персонализираните средства за сигурност на инструмента, респективно е
действал чрез измама, или че умишлено или при груба небрежност не е
изпълнил някое от задълженията си по чл. 75 ЗПУПС и само на това
основание да бъде ангажирана неговата отговорност /К., К. Още за новата
уредба на платежните услуги и платежните системи. „Търговско и
облигационно право“, 2018 г., кн. 05, стр. 5/. Поради това настоящият съд
приема, че в настоящото производство презумпцията не беше оборена.
Ответникът не конкретизира твърденията си, а само приема, че ищецът е
разрешил платежните операции, след като те са извършени. В хода на
производството не се установиха факти, които да освобождават ответника от
отговорност, а именно за неизпълнение поради умисъл или груба небрежност
от страна на ищеца на задълженията й да предприеме всички разумни
действия по съхраняване на персонализираните защитни характеристики на
платежния инструмент. Сам ответникът нито сочи такива факти в отговора на
исковата молба, макар и да се позовава на това основание за изключване на
отговорността му, като самото регистриране на операциите от неговата
24
платежна система не презюмира нито автентичност на операцията, нито
неизпълнение на задълженията на ползвателя на платежните услуги в
хипотезата на умисъл или груба небрежност. Задължение на банката е било да
осигури платежен инструмент, който да не допуска неразрешени платежни
операции. В случая ответникът не е доказал както операциите да са наредени
от ищеца, така и последният да е допуснал груба небрежност, която да
освобождава банката от отговорност съгласно чл. 80, ал. 3 ЗПУПС.
Обстоятелството, че извършилото операциите лице е разполагало
предварително с необходимите за успешното извършване на транзакции в
интернет данни не води по несъмнен начин до извод за неизпълнение от ищеца
на задължението му по чл. 75, т. 3 ЗПУПС. И при полагане на дължимата
грижа от ищеца, информация за тези данни може да е придобита по друг
начин, вкл. чрез престъпление. При това положение, относно отговорността
на доставчика за неразрешените платежни операции следва да намери
приложение общото правило на чл. 78, ал. 1 ЗПУПС - сумите по тях следва да
се възстановят изцяло от банката по сметката на ищеца-платец /така и
решение № 2411/18.04.2018 г. на Софийски градски съд по в.гр.д. №
9718/2017 г./.
1/ По възражението на ответника относно това, че изпълнение на
посочената промяна от трето лице от името и за сметка на клиента била на
практика невъзможна, като процесните операции били извършени чрез
използване на персонализирани средства за сигурност, платежните операции
били автентични и правилно осчетоводени:
Посоченото възражение се изгражда на предположение, което след
съобразяване на всички доказателства обсъдени по-горе остана неустановено,
вкл. самата банка в писмо /л. 104 от делото/ година и половина след
реализиране на оспорените платежни операции продължава да предполага
какво се е случило. Отделно от това като кредитна институция и като
доставчик на платежни услуги, най – същественото задължение на банката е,
да осигури максимална защита за предлагания платежен инструмент от
възможна нежелана интервенция на трети недобросъвестни лица в
операционната система на ползвателя на платежния инструмент. В случая
очевидно ответната банка е имала пропуски в тази насока, като от назначената
съдебно-техническа експертиза се установи, че не е поддържала достатъчно
ниво на идентификация на ползвателя на платежни услуги - не анализира
25
откъде се достъпва профила му от гл. точка на устройство, нито от гл. точка на
операционната система на устройството на клиентите, нито от гл. точка на IP
адрес и не предприема своевременни действия по превантивно блокиране на
неразрешените транзакции. Тези обстоятелства, в съвкупност с
горепосочените данни, са достатъчни, за да се отрече проявена от страна на
ищеца груба небрежност във връзка със задължението му за опазване на
персоналните й средства за защита. Освен това същият е реагирал
своевременно при узнаване извършването на неразрешените платежни
операции и е уведомила надлежно ответната банка за това обстоятелство
/дори самата банка е извършила редица действия – обаждане на служител,
комуникация с „************“ АД в тази връзка/, което сочи на изпълнение
на задължението му по чл. 75, т. 2 ЗПУПС - така изцяло решение №
246/22.04.2024 г. на Великотърновски окръжен съд по в.гр.д. № 847/2023 г.
Ответникът е кредитна институция, в чийто лиценз е включено и
извършването на платежни услуги по смисъла на чл. 5 ЗПУПС. В качеството
на доставчик на платежни услуги, който издава платежен инструмент, най -
същественото негово задължение е да осигури максимална защита на
предлагания платежен инструмент от възможна нежелана интервенция на
трети недобросъвестни лица в операционната система на ползвателя на
платежния инструмент. С действащата нормативна уредба доставчикът на
платежни услуги е поставен в по неблагоприятно положение, но той е
икономически и по-силната страна. А и част от спецификата на банковата
дейност е да се поема разумен риск. Издаването на платежни инструменти
следва да се разглежда като елемент от рисковото банкиране, по подобие на
предоставянето на банкови кредити. Съществува риск за банката както от
невъзстановяване на сумата по предоставения кредит, така и от
неправомерното използване на платежни инструменти. Затова банката следва
да прояви грижата на добър търговец при проучване надеждността на
ползвателя на платежни услуги и въз основа на това да поеме разумен риск -
така решение № 195/22.03.2023 г. на Софийски апелативен съд по в.т.д. №
1079/2022 г., решение № 51/20.02.2025 г. на Старозагорски окръжен съд по
в.т.д. № 571/2024 г., решение № 361/25.10.2024 г. на Пазарджишки
окръжен съд по гр.д. № 236/2023 г.
По така изложените съображения съдът приема, че процесните
транзакции не са разрешени от ищеца и доколкото не се установиха
26
предпоставките за ограничаване отговорността на банката, предвидени в чл.
80, ал.1 и 3 ЗПУПС, то изцяло приложима е разпоредбата на чл. 78, ал.1
ЗПУПС.
При това положение, относно отговорността на доставчика за
неразрешените платежни операции следва да намери приложение общото
правило на чл. 79, ал. 1 ЗПУПС - сумата по нея следва да се възстанови
изцяло от банката по сметката на платеца – 10 010,00 лв., вкл. и сумите за
лихви в размер на 1507,00 лв. за посочения в исковата молба период преди
завеждане на иска ******** г. – 10.09.2024 г.
По съдебноделоводните разноски:
Предвид изхода на спора на основание чл. 78, ал. 1 ГПК ответникът
следва да заплати на ищцата направените по делото разноски в общ размер на
2165,40 лв. С отбелязването в договора – л. 128 от делото /плащането е в брой/
е изпълнено изискването на т. 1 от Тълкувателно решение от 06.11.2013 г. на
ВКС по тълк. дело № 6/2012 г., ОСГТК.
Мотивиран от гореизложеното и на основание чл. 235, ал. 1 ГПК,
Старозагорски районен съд
РЕШИ:
ОСЪЖДА по иска с правно основание чл. 79, ал. 1 ЗПУПС и чл. 86, ал.
1 ЗЗД „Банка ДСК” АД, ЕИК: *********, със седалище и адрес на управление
гр. София, ул. „Московска” № 19 да заплати на Б. С. Г., ЕГН: ********** и
адрес: гр. *******, ул. „*******“ № **, вх. „**“, ет. ** сумата от общо 10
010,00 лв. /десет хиляди и десет лева/ представляваща стойност на
неразрешени платежни операции за извършени на ******** г. транзакции от
открита при ответника разплащателна сметка на ищеца към сметка на Ц. Х. в
„************“ АД, ведно със законната лихва върху тази сума, считано от
11.09.2024 г. до окончателното плащане и сумата от 1507,00 лв. /хиляда
петстотин и седем лева/ представляваща мораторна лихва за периода ********
г. – 10.09.2024 г.
ОСЪЖДА на основание чл. 78, ал. 1 ГПК „Банка ДСК” АД, ЕИК:
*********, със седалище и адрес на управление гр. София, ул. „Московска” №
27
19 да заплати на Б. С. Г., ЕГН: ********** и адрес: гр. *******, ул. „*******“
№ **, вх. „**“, ет. ** сума от общо 2165,40 лв. /две хиляди сто шестдесет и пет
лева и четиридесет стотинки/, представляваща направени по делото разноски
за адвокатско възнаграждение, държавни такси и възнаграждение за вещо
лице.
Решението подлежи на обжалване пред Старозагорския окръжен съд в
двуседмичен срок от връчването му на страните.
Препис от настоящето решение да се връчи на страните по делото,
заедно със съобщението за постановяването му на основание чл. 7, ал. 2 ГПК.
Съдия при Районен съд – Стара Загора: _______________________
28