Р
Е Ш Е Н И Е
№
…
гр.
София, 06.06.2017 г.
В И М Е Т О
Н А Н А Р О Д А
СОФИЙСКИ ГРАДСКИ СЪД, ТЪРГОВСКО
ОТДЕЛЕНИЕ, 3 състав, в публичното съдебно заседание на петнадесети
май две хиляди и седемнадесета година в състав:
СЪДИЯ: ВЕНЕТА ЦВЕТКОВА
при
секретаря Е. Гачева, като разгледа т.д.
№ 5302 по описа за 2015 г., за да се произнесе, взе предвид следното:
Предявени са искове с правно
основание чл. 79, вр. чл. 82, ал. 1, предл. 1 от ЗЗД, вр. чл. 57, ал. 1 ЗПУПС и
чл. 86 ЗЗД.
Ищецът
твърди, че с ответника са в облигационни отношения по силата на договор №
47/2013 година и като териториално поделение на СДП Шумен. Твърди, че
ответникът е поел задължение да му
предоставя финансови услуги. Твърди извършване на неразрешени платежни
операции, последните без знание, съгласие и потвърждение, вследствие на които
от банковата му сметка са изтеглени общо 231 956 лева, като получатели по
операциите са лица, с които ищецът няма отношения. Ищецът счита, че е възразил
в срок, по реда на чл. 55 от ЗПУПС. Твърди възстановяване на част от сумата.
Твърди забава на ответника, считано от изтичане срока по чл. 57, ал. 2 ЗПУПС. Счита,
че за извършване на каквито и да е операции чрез ответника, е важала системата
на двойния подпис, за която банката е информирана. Твърди и че процесните
операции са първите осъществени преводи по електронен път, като дотогава се е
спазвала системата на двоен подпис и с платежни нареждания на каса, както и че
ищецът е попълнил искане единствено за пасивно онлайн банкиране. Поради тази причина
е издаден КЕП на ищеца, като банката е съхранявала цялата информация за него.
Счита, че отговорност за неразрешените операции носи единствено банката, поради
което и иска възстановяване на исковата сума, както и обезщетение за забавено
плащане, във връзка с чл. 57 ЗПУПС. Претендира и законна лихва и разноски.
Ответникът
оспорва исковете. Твърди, че на ищеца е открита разплащателна сметка, както и
че същият е притежавал регистриран КЕП /квалифициран електронен подпис/.
Твърди, че е направил всичко възможно при идентифициране на ищеца като платец
по процесните нареждания, като е извършил следващите се проверки за сигурността
и е имало съвпадение на всички идентификационни данни. Тоест, твърди, че
процесните операции са р а з р е ш е н и такива от титуляра на разплащателната
сметка за ЦКБ АД. Твърди и че е реагирал незабавно и съобразно условията по
договора, веднага щом е уведомен от ищеца за извършените нерегламентирани
операции.
Съдът, като прецени събраните по
делото доказателства, направи следните фактически и правни изводи:
Предвид
нормите на чл. 174, ал. 1, т.3 и т. 5 от Закона за горите, ищецът е процесуално
легитимиран да води исковете. Същият е и материално легитимиран в отношенията с
ответника досежно процесните платежни операции и дължими, според него, суми.
Установява
се, че СДП ДП Шумен е сключило рамков договор с ответника на 27.12.2013 година,
за срок от 1 година, за предоставяне на финансови услуги и комплексно банково
обслужване, в т.ч. и откриване и поддържане на разплащателни сметки и
извършване на парични преводи, електронно банково обслужване и др. Последното - при поискване от страна на
клиента и при общите условия на банката. Видно от документът на л. 60 и сл., на ищеца е открита с Рамков договор от
16.08.2013 година и Анекс от същата дата, разплащателна сметка за изпълнение на
платежни операции. Договорът е сключен при Общи условия /ОУ, тези от 01.11.2009
година и ОУ, в сила от 11.2013 година,
които не се отличават досежно касаещите спора разпоредби/. Представляващият
ищецът /договор за управление на л. 72 и сл./ е упълномощил три лица /л. 78/ за
разпореждане с банковите сметки, сред които и В.М.. Видно от Искане на л. 88 и
предвид заключенията на вещите лица, ищецът е заявил /на 28.08.2013 г./ регистрация за извършване на банкови операции с използване на квалифициран
електронен подпис /КЕП/ със сметката на ищеца, като сам е създал
потребителското име и парола посредством интернет. Още тук следва да се посочи,
че предвид възможността за извършване на всякакви банкови операции /както и
попълнено искането/, се касае именно до активно, а не пасивно онлайн банкиране
/противно на твърденията на ищеца/. Липсата на предвидени ограничения относно
банковите операции сочи точно на заявено съгласие за активиране на услуга и за
пасивно, и за активно електронно банкиране. Искането е подписано и от Директора
В., и от упълномощената от него В.М.. При създаване на профила, ищецът е
посочил потребителите, които могат да използват от негово име системата, като
самостоятелно платежни нареждания може да прави единствено титулярът – В.М., с
потребителско име vasiam.
От
Договор на л. 81 от 26.08.2013 година се установява, че ищецът е сключил договор
за предоставяне на удостоверителни услуги /по см. на ЗЕДЕП/, с което е получил
КЕП, с титуляр ДГС Т. и автор – В.М., като срокът е продължен до 18.08.2015
година /чл. 10 от Договора от 18.08.2014 година и Удостоверение от същата дата/.
Задължение на абоната /ищец/ по този договор е да смени ПИН кода преди първо
ползване, да пази частния ключ по начин, че да го предпази от неоторизирано
ползване, като според уговореното, всяко ползване на частния ключ, се счита за извършено
от неговия автор. На 26.08.2013 година/съответно, 18.08.2014 година, авторът е
получил Удостоверението за електронен подпис и двойката ключове към него,
записани на смарт карта.
Страните
не спорят, а и от доказателствата по делото, вкл. заключенията по единичната и
тройната ССЕ, е видно, че на 24.09.2014 година, от устройство с IP адрес 83.228.99.134 има влизане в
системата на онлайн банкиране 4 пъти, чрез потребител – титуляр и потребителско име vasiam. Отворени са две сесии, след 15
часа. По време на сесиите всички съставени документи са подписани с КЕП с автор
В.М. /тоест, при наличие на частен ключ в устройството с посочения по – горе IP адрес и въвеждане на вярна парола/. Датата на изпълнение на
нарежданията е 25.09.2014 година.
Спорни
са следните въпроси: дали
извършените нареждания представляват неразрешена платежна операция и ако да - налице
ли е неизпълнение от страна на платеца на задължения във връзка с ползването на
услугата за интернет банкиране, вкл. със запазването на защитните характеристики
на платежния инструмент, и ако да - това неизпълнение съставлява ли основание
за освобождаване на банката от отговорност за неразрешената платежна операция.
Извършените
банкови преводи съставляват платежни операции по смисъла на чл. 4 от ЗПУПС.
Съгласно чл. 48, ал. 2 ЗПУПС, когато ползвателят на платежна услуга не е
потребител, страните по платежната операция могат да договорят, че в
отношенията им няма да се прилагат някои разпоредби от закона, вкл. чл. 51, ал.
1 ЗПУПС, определящ обема на понятието „разрешена платежна операция“ и чл. 58
ЗПУПС, определящ специални правила за разпределяне на риска от неразрешената
операция. Този законодателен подход е в съответствие с чл. 35 от Преамбюла и
чл. 51, ал. 1 вр. чл. 54, § 2, ал. 2 от Директива 2007/64/ЕО относно платежните услуги във вътрешния пазар, която допуска
законодателно да се ограничи режимът на отговорност на банката в отношенията й
с клиент-непотребител. Потребител по смисъла на ЗПУПС е само физическо лице /§
1, т. 23/, поради което в процесните отношения ищецът и ответникът са били
свободни да се отклонят от посочените в чл. 48, ал. 2 ЗПУПС разпоредби. Видно
от представените Общи условия, страните не са се отклонили, съобразно
предоставената възможност по чл. 48, ал. 2 ЗПУПС. Правилото на чл. 56 ЗПУПС вменява
доказателствена тежест за банката при установяване автентичността на платежната
операция и невъзможността единствено регистрираното от доставчика на платежни
услуги използване на платежен инструмент да е достатъчно доказателство, че
платежната операция е била разрешена, а в чл. 176 от ОУ страните са се
съгласили, че архивите на банката са доказателство за самото извършване на нареждания,
плащания и др. Тоест, посочената норма от ОУ не касае автентичността на
операцията и разпределение на доказателствена тежест при твърдения за неразрешена
платежна операция. Страните не са се отклонили и от правилото на чл. 51, ал. 1 ЗПУПС и поради това дали
процесните операции са разрешени или не следва да се определи съобразно закона.
Съгласно чл. 51, ал. 1 ЗПУПС, платежната операция е разрешена, ако платецът я е наредил или е дал съгласие за
изпълнението ѝ. Ако се установи, че
не платецът я е наредил и при липса на съгласие, платежната операция е
неразрешена.
Съдът,
обаче, приема, че по делото банката установи автентичност на платежните
операции. И това е така по следните причини.
Действително, по аргумент от чл. 56, ал. 3
ЗПУПС, наличието на съгласие не може да се извлече единствено от подписването
на нареждането чрез КЕП /арг. чл. 56, ал. 3 ЗПУПС/. От всички събрани по делото
доказателства, обаче, се установява, че именно платецът /титулярът на
платежната сметка - по см. на §1, т. 20 от ДР на ЗПУПС, чрез изрично
упълномощеното от него лице, оторизирано да извършва разпореждания по сметката
посредством онлайн банкиране и да използва КЕП/ по платежната операция я е
наредил. Ръководителят на предприятието – титуляр на сметката, от която са
извършени паричните преводи, в рамките на правомощията си е упълномощил В.М. да
се разпорежда с банковите сметки на ищеца /л. 78/, като е упълномощил същото
лице да бъде и автор на КЕП с титуляр ищеца и заедно с нея е подал искането за
включване в системата на електронно банкиране на ответника. От заключението на вещите
лица, както по първата, така и по разширената експертиза, които съдът
кредитира, като мотивирани, обективни, а и взаимно непротиворечиви, се
установява, че възможност да нарежда платежни операции от името на ищеца има
само, когато се въведе паролата и потребителското име за влизане в системата,
въвеждане на КЕП, регистриран в системата на банката за извършване на платежни
операции, след проверка от страна на банката на публичния ключ /валидност на
сертификатите на КЕП/, въвеждане на ПИН за използване на КЕП и наличие на
частен ключ в устройството- компютъра /физически/ /за подписване на платежните
документи/, от което се влиза в онлайн банкирането. Предвид заключенията на вещите
лице се установява, че целият описан и така сложен алгоритъм, в който
многократно се изисква идентификация на платеца /посредством въвеждане на
потребителско име, парола и т.н./ е спазен и изпълнен от един и същи IP адрес и няма никакви данни за
нерегламентиран достъп от неоторизирано лице. В този смисъл са единствено
твърденията на ищеца. Но същите не са подкрепени с доказателства по делото.
Заключенията на вещите лица в този аспект, съдът намира за еднозначни и
категорични. На ищеца е предоставен един
КЕП, на един потребител. Профилът на
ищеца в системата на онлайн банкирането е създаден от IP адрес 83.228.99.134, като към
профила е добавен и потребител vasiam. Всички процесни преводи са извършени от
посочения IP адрес,
в продължение на сесия, продължила от 15.12 часа до 16.36 часа /втората,
паралелна сесия, отворена от същия адрес е с начален час 16.09 часа и в нея не са излъчвани преводи или други операции,
тоест за първата сесия /по която са извършени операциите/ е било необходимо
поставяне в устройството на частния ключ/. Ищецът е ползвал единствено този адрес за влизане в
онлайн системата за банкиране, както и от него е подадена заявката за
регистрация в системата на електронно банкиране, по която ищецът сам е създал
потребителско име и парола /която е криптирана и невидима за банката/. На
24.09.2014 година от този адрес ищецът е влизал четири пъти, като в посочената
по- горе сесия са въведени осемте записа. Не е било възможно, според вещите
лица, едновременно да бъде извършвано пасивно банкиране и нареждане на парични
преводи онлайн с един и същи КЕП. И в двата варианта системата на банката
изисква КЕП. Тоест, не допуска потребител без КЕП и не е възможно нарежданията
да са направени от лице, което не притежава КЕП на ищеца, който е регистриран в
системата на банката и е свързан с въвеждане на потребителско име и парола.
Ищецът се идентифицира в банковата система чрез потребителско име, парола и
КЕП. Обвързан е също с електронен адрес и ЕГН на потребител vasiam. Според вещото лице Т.,
интернет банкирането може да се осъществява посредством електронен сертификат
/който се инсталира на компютъра на ищеца/ или чрез универсален електронен
подпис /както е в случая/. Единствено при първия вариант вещото лице счита, че
е възможна кражба на сертификата посредством компютърен вирус /троянски кон/. А
за интернет банкиране при втория начин са необходими единствено интернет и
частния ключ от КЕП. Тройната експертиза е достигнала до същите изводи, след
извършена проверка на процесния компютър на ищеца, от IP адреса на който са извършени
платежните нареждания. Компютърът е предоставен на вещите лица от ищеца, както е бил запечатан от
разследващите органи. Вещите лица са използвали софтуер, позволяващ 99,9 %
възстановяване на изтрити данни и анализ назад във времето на събраните данни.
Според тройното заключение, СИМ картата може да съхранява един единствен КЕП. А
КЕП осигурява много високо ниво на защита чрез криптиране на самия подпис
/подписът става невалиден, ако след подписване на документ се въведе някаква
промяна/ и чрез системата частен /сим карта – физически носител, свързана с
парола/ – публичен ключ /необходим за разчитане на частния ключ/. Или, предвид
всичко изложено, остава единственият извод, че именно платецът – ищецът –
титуляр на разплащателната сметка, чрез упълномощените от него лица, е наредил
платежните операции. Не се събра нито едно, макар и косвено доказателство, от
което да се установява факта, че операциите са наредени от трето, неоторизирано
лице.
Тоест,
по делото съдът приема за установено, че нарежданията не са подписани по начин,
придаващ им вид на изходящи от ползвателя на услугата, а са изходящи от
ползвателя на услугата. Не се събра нито едно доказателство операцията да е
извършена от името на потребителя, чрез
негови идентификационни характеристики, но придобити неправомерно. Действително,
вещите лица са констатирали и наличието на вируси на компютъра /неизпълнение на
задължението на ищеца по чл. 171 от ОУ/, като са дали заключение за това, че
компютърът е бил потенциално незащитен за извършване на интернет банкиране, но
не са констатирали наличието на осъществена хакерска атака или намеса /а вещото
лице Т. сочи, както беше отбелязано по-горе, че такива са възможни по-скоро при
употребата на електронен сертификат/. Тоест, не се установява дори и косвено,
намесата на трето, неоторизирано лице при изготвяне и подписване на
електронните документи. Следва да се отбележи, че съгласно заключенията,
неоторизирана намеса не може да бъде извършена и посредством два броя КЕП /единият
от които напр. копиран/ и дори да е имало паралелни сесии, то те са отворени от
един и същи потребител. В тази връзка следва да се посочи и че относно кражбата
на електронен подпис, вещите лица не дават конкретно заключение за възможностите
за извършване на такава, не описват дори механизъм, по който би могла да бъде
осъществена такава кражба, а при запитването им са констатирали, че
специалистите в банката не са се сблъсквали с такъв вид кражба. Още повече,
според вещите лица, опитът да се влезне в онлайн банкиране с два еднакви КЕП,
би довело до атака – тип отказ на услуга. Или, резултатът от кражбата би бил
обратен на процесния, а именно – блокиране, прекъсване предоставянето на
банковата услуга.
Предвид
изложеното, съдът приема, че ответникът доказа извършването на разрешени
банкови патежни операции, наредени от титуляра на сметката. Банката е спазила
задължението си по чл. 5 от ОУ /л. 25 и сл./, вр. чл. 7 като нареждането е
изхождало от клиента и е било ясно и недвусмислено по отношение на всяка от
операциите. Последващите действия по уведомяване на МВР, спиране изпълнението
на операциите и т.н. не оборват горните изводи за това, че плащанията са
наредени от упълномощеното от титуляра да се разпорежда със сметката лице.
По
отношение на наведените от страните доводи, следва изрично да се посочи и следното.
Съгласно
чл. 15 ЗЕДЕП, лицето, посочено
като титуляр или автор на електронното изявление, не може да оспори авторството
спрямо адресата, ако изявлението е подписано с електронен подпис, когато изявлението е отправено чрез информационна
система, предназначена да работи в автоматичен режим и изявлението е извършено
от лице, на което е предоставен достъп до начина на идентифициране. В случая,
чл. 15 е приложим и предвид цитираната норма и заключението на вещите лица, се
установява авторството на електронния подпис – В.М., от името на ищеца.
Страните
спорят и по т.нар. система на двоен подпис. Съдът приема, че тя е приложима в
отношенията с ответника по повод всички операции и платежни нареждания, които
се осъществяват на каса и по начин,
извън електронното банкиране. Последното, предвид усложнения алгоритъм и
представените по делото доказателства, както и различните изисквания за
сигурност /както по отношение на КЕП, така и по отношение на регистрацията в
системата на банката за електронно банкиране/, не предполага спазване на тази
система. В никой от документите, уреждащи облигационните отношения между
страните няма изискване и задължение за банката, в случаите на електронно
банкиране, да следи за наличието на двоен подпис, което е и невъзможно предвид
условията за ползване на КЕП. Всички, подадени до банката искания, пълномощни и
т.н. са подписани от Директора на ищеца и счетоводителя Михайлова, като изрично
е предвидена възможността последната да оперира сама при извършване на банкови операции и употребата на електронен
подпис. Цитираните от ищеца задължения по чл. 13 ЗФУКПС, действително са уредени
императивно, но не касаят отношенията на страните по делото, а отговорността и
задълженията на ръководителя - директор на предприятието на ищеца. Неизпълнение
на посочените задължения засягат материалната, дисциплинарната,
административната му отговорност, но не могат да засегнат сферата на
облигационните отношения с ответника. Касае се за вътрешноведомствена
организация и неспазването/неустановяване съответните правила, съгласно
изискванията на закона не може да ангажира банковата институция. Тоест, в предприятието
на ищеца е следвало да се установят и изисквания за сигурност относно интернет
банкирането. Ищецът, обаче, не ангажира доказателства в този смисъл. Напротив,
от представените договори, спесимени, пълномощни е видно, че В.М. е оторизирана
от ръководителя на предприятието да извършва самостоятелно разпореждания със
сметката на ищеца и е определена за единствен автор на единствения КЕП, чийто
титуляр е ищецът. Всички предприети действия във връзка с издаване на
Удостоверението за КЕП и искането за електронно банкиране са със знанието и при
изричното писмено съгласие на Директора. Последният е и лицето, задължено да
въвежда и установява мерките за сигурност по ЗФИКПС. Той е подписал искането на
л. 88, той е упълномощил М.във връзка със снабдяване на документите за КЕП,
както и е получил заедно с нея двата ключа и Удостоверението. Всички посочени
документи, няма спор, са представени и пред банката. Тоест, за последната, няма
съмнение относно оторизираното да извършва онлайн платежни операции чрез КЕП
лице от името на титуляра – ищец – В.М. /автор на КЕП/. Или, към банката е
подадена достатъчно информация и искане за извършване на онлайн банкиране и
съобразно договореното, тя е длъжна да изпълнява нарежданията на ищеца. Непредприемането
на достатъчно ефективни мерки за сигурност от ищеца или въобще липсата на
такива би могло единствено да се свърже с отговорността и риска на ищеца при
извършване на неразрешени операции, каквато, обаче, по делото не се установи. Съдът
не констатира и отклонение от договореното между страните относно изискванията
за сигурност при платежните операции от страна на банката. В този смисъл,
недоказани са твърденията на ищеца, че операциите са допуснати поради
неизпълнение задължение на банката. Такова не се доказа. Уведомяване чрез СМС
или др. условия за сигурност са предмет на договорки между страните. Не се
установи в конкретния случай, по отношение на ищцовите платежни операции,
ответникът да е допуснал занижено от договореното или обичайното ниво на
сигурност. Само по себе си извършване на операции посредством КЕП свидетелства
за високо ниво на сигурност, както изрично са посочили и вещите лица. Следва да
се добави и че представеното от ищеца Пълномощно на л. 114 касае единствено случаите на получаване на
пари в брой от каса, когато банката има инструкции за съблюдаване системата на
двоен подпис.
По
отношение на локацията на IP адреса във Велико Търново, изрично, вещите лица са
посочили, че IP адреса
на ищеца е част от мрежа, чийто собственик е локализиран във Велико Търново.
Тоест, посоченото по никакъв начин не обосновава извод, че процесният IP адрес не е на ищеца и компютърът
не се е намирал в предприятието/офисите на ищеца. Напротив, всички
доказателства по делото водят на единствения възможен извод, че IP адрес 83.228.99.134 е именно на
компютъра на ищеца, който последният сам е предал за целите на изследването и
разследването.
Неотносим
е фактът, че преди процесните нареждания ищецът е извършвал всички плащания на
каса.
Обстоятелството,
че ответникът е възстановил част от сумата е резултат от адекватната намеса в
случая, след уведомяването от страна на ищеца. Не би могло да се сподели
становището, че усилията по ограничаване размера на вредите следва да се
тълкува като извънсъдебно признание на банката. Не е налице такова, при
положение, че б.та е изпълнявала своите договорни и законови задължения
незабавно и към онзи момент все още не е имало яснота дали се касае за
разрешена или не операция.
За
пълнота следва да се посочи и следното. Дори и да се беше установило, че в
случая се касае до неразрешена операция, както в закона – чл. 58, ал. 2 ЗПУПС,
така и в ОУ се съдържа правилото, че клиентът понася всички загуби, независимо
от размера им, свързани с неразрешени операции, когато не е успял да запази персоналните си идентификатори или, ако ги е
причинил чрез измама или с неизпълнение на задължения по Общите условия
умишлено или поради груба небрежност.
Или, рискът от извършване на неразрешената операция е възложен върху платеца, когато осъществяването й е в причинна
връзка с умишлено или в резултат на груба небрежност неизпълнение на задължения
по ОУ, вкл. за съхраняване на персонализиращите данни. Или, ако ищецът твърди неразрешена операция, но в резултат
на неоторизиран достъп и по – специално чрез кражба на КЕП, следва да се отчете
следното. Разпорежданията със сметката на ищеца посредством онлайн банкирането
и КЕП са в работно време /предвид часа на въвеждане на електронните документи/,
при налична /физически/ в компютъра СИМ карта /частен ключ КЕП/. Или, единственият
извод, при липса на данни за хакерска намеса, сочи на това частният ключ от КЕП
да е оставен в компютъра и без надзор, както и евентуално да са споделени
паролите за достъп. А предвид обстоятелството, че контрол и отговорност за
частния ключ носи неговият автор - счетоводител, който борави с компютър и е
получил указанията за сигурност, би се касаело именно до груба небрежност
/неполагане и на минимална грижа за съхранение и сигурност/, в причинна връзка
с която би било осъществяването на процесните нареждания.
По разноските:
Ищецът
следва да заплати на ответника разноски в размер на 6000 лв. за юрисконсулт и
вещи лица.
Така
мотивиран, съдът
Р Е Ш И:
ОТХВЪРЛЯ предявените
от Държавно горско стопанство Т., Булстат: *******срещу Ц.к.б. АД, ЕИК: *******искове с правно основание чл. 79, вр. чл. 82, ал. 1, предл. 1 от ЗЗД,
вр. чл. 57, ал. 1 ЗПУПС и чл. 86 ЗЗД за сумата от 115 167,84 лв. - стойност на невъзстановени парични средства,
преведено по неразрешени платежни операции - осем парични превода, наредени на 24.09.2014
г. чрез достъп до CCB
Online – Интернет банкиране от разплащателна сметка с
титуляр ищецът с IBAN ***20,82 лева - лихва за забава върху главницата, която
лихва е дължима за периода 17.10. 2014 г. – 09.08.2015 г.
ОСЪЖДА Държавно
горско стопанство Т., Булстат: *******да заплати на Ц.к.банка АД, ЕИК: ***********, на основание чл. 78, ал. 3 ГПК, сумата
от 6000 лв. разноски в
производството.
Решението
може да бъде обжалвано пред Софийски апелативен съд в двуседмичен срок от
връчване на препис на страните.
СЪДИЯ: