Р Е Ш Е Н И Е
гр.
София, 22.02.2023 г.
В И М Е Т О
Н А Н А
Р О Д А
СОФИЙСКИ
ОКРЪЖЕН СЪД,
първи въззивен граждански състав, в публично съдебно
заседание на двадесет и пети януари две хиляди двадесет и трета година в
състав:
ПРЕДСЕДАТЕЛ: ДОРА МИХАЙЛОВА
ЧЛЕНОВЕ:
РОСИНА ДОНЧЕВА
ГЕОРГИ МУЛЕШКОВ
при секретаря Цветанка Павлова, като
разгледа докладваното от съдия Дончева
гр. д. № 348 по описа за 2020 г., за да се произнесе взе предвид следното:
Производството е по реда на чл.258 и сл. ГПК.
С
решение № 324/23.12.2019 г., постановено по гр.д. № 30/2019 г. по описа на РС- Ботевград
„П.И.б.“ АД е осъдена да заплати на М.Х.М. *** сумата главница от 9230 лева,
представляваща стойността на изпълнена на 24.11.2017 г. от доставчика на
платежни услуги неразрешена платежна операция-банков превод от собствената на
ищеца банкова сметка: ***: ***, разкрита
при ответника, към банкова сметка ***-IBAN ***,
както да му заплати и сумата от 587,18 лв., представляваща законна лихва за
забава върху горната сума-главница за периода от 22.12.2017 г. до 07.08.2018
г., ведно със законна лихва върху главницата, считано от деня на предявяване на
иска на 07.08.2018 г. до окончателното изплащане, както да му заплати и сумата
от 2092, 69 лева за направени разноски по делото, съразмерно на уважената част
от исковете. Отхвърлен е иска за разликата над сумата от 587,18 лева до пълния
предявен размер от 640 лв., представляваща законна лихва за забава върху сума
–главница от 9230 лв. за периода от 24.11.2017 г. до 07.08.2018 г., като
неоснователен.
Срещу
решението е депозирана въззивна жалба от „П.И.б.“ АД
с доводи за неправилност и незаконосъобразност.
Излага, че съдът превратно е тълкувал събрания в хода на съдебното
дирене доказателствен материал, нарушавайки принципа
за обсъждането му поотделно и в неговата цялост, включително тази част от тях,
която доказва изцяло твърденията на Б.. Посочва, че ищецът не доказал наличие
на условията на чл. 51, ал. 1 от ЗПУПС, че процесните
платежни операции не са наредени по установените между Б. и ищеца ред и начин
/без надлежно нареждане/ или операциите са извършени без съгласието на оправомощеното лице. Излага, че от свидетелските показания
не се установява за процесната дата – 24.11.2017 г., TOKEN устройството да е било в ищеца. Не се установявало, че М.М.
е бил в Г. и е бил водачът на превозното средство, тъй като от представената
разписка това не можело да се установи. От друга страна вещото лице по приетата
експертиза потвърдило, че е възможно да бъде продиктуван генералния ТАН код от токен устройството и преводът да бъде извършен на съвсем
различно място от локацията на носителя му. Излага, че от приетата в първоинстанционното производство експертиза се
установявало, че всички операции били извършвани от един и същ IP адрес, както и последната трансакция, която е
подписана с хардуерен токен, чрез въвеждане на ПИН и
ТАН. Предвид характера на хардуерния токен, същият не
се свързвал с компютър, поради което компрометирането на същия било невъзможно.
Алгоритмът на генериране на ТАН е известен единствено на производителя, като
никой служител на банката нямал достъп до тази информация. Необсъден от
РС-Ботевград останал извода на вещото лице по т. 16 от заключението, че ако са
спазени всички условия за оторизация на платежното
нареждане, банката нямало основание да се съмнява в автентичността на
изявлението. Необсъден останал и изводът на вещото лице, че от посочения IP адрес, ищецът М.М. е
извършвал редица неоспорени преводи и множество справки по движението и салдото
на сметките си. По същество прави искане за отмяна на решението и за отхвърляне
на иска. Претендира разноски.
В законоустановения
срок по чл.263, ал.1 ГПК въззиваемата страна М.Х.М.,
чрез пълномощника си адв. В. Й. е подал писмен
отговор на въззивната жалба и е взето становище за
нейната неоснователност. Излага, че от събраните доказателства не се
установявало да се познава с лицето О. И., който е чужд гражданин и да имат
някакви взаимоотношения, които да налагат извършване на процесния
паричен превод по негова банкова сметка. Моли да бъде оставено в сила
обжалваното решение. Претендира разноски за въззивната
инстанция.
Софийски окръжен съд, като прецени
събраните по делото доказателства, въз основа на закона и във връзка с
наведените във въззивната жалба пороци на атакувания
съдебен акт, намира за установено следното:
Въззивната жалба е
подадена в законоустановения срок, от надлежна страна
и против обжалваем съдебен акт, поради което е
допустима. Разгледана по същество е неоснователна.
Ищецът М.Х.М. е предявил срещу „ПИБ“ АД
обективно съединени осъдителни искове, с правно основание чл. 79, ал. 1 ЗЗД във
вр. с чл. 57, ал. 1 от Закон за платежните услуги и
платежни системи от 2009 г. /отм. ДВ, бр. 20 от 06.03.2018 г./ и чл. 86 от ЗЗД.
В
исковата молба ищецът твърди, че на 24.11.2017 год. били извършени три
неразрешени от него платежни операции в размер на 9230 лева на трето лице,
което не познава. По време на извършването на платежните операции ищецът бил на работа в Германия, където работел като
шофьор. През цялото това време предоставеното му от банката „token устройство“ било в него и твърди, че не
го е използвал, тъй като по това време шофирал.
Ответникът „ПИБ“ АД е депозирал писмен
отговор, с който оспорва исковата молба с твърдението, че на 24.11.2017 г.
извършените три броя трансакции са разрешени платежни операции по смисъла на
чл. 57, ал. 1 ЗПУПС /отм./ и са подписани от ищеца, посредством използването на
Token устройство за
идентификация и достъп до правата за активно банкиране, чрез автоматизираната
платформа Моята F., идентифициращ
оправомощения ползвател М.М..
Установява се следната фактическа
обстановка от значение за спора:
Страните не спорят, че ищецът е
регистриран за електронно банкиране, чрез предоставен клиентски профил за
онлайн платформата на „М. F.“ и ползва
активно банкиране, а като средство за идентификация е избрал „token устройство“.
Не се спори, че на 24.11.2017 г. са
извършени три платежни преводи, както следва: 1./ в 11:03:07 часа е извършен
вътрешнобанков превод от депозитната сметка в евро на ищеца към разплащателната
му сметка в евро за сумата от 4200 евро; 2./ в 11:30:07 часа е извършен
вътрешнобанков превод от разплащателната сметка в евро към разплащателната
сметка в лева, като преводът е превалутиран по
фиксинга на банката към 24.11.2017 г.; 3./ в 11:32:17 часа е извършен външен
превод от разплащателната сметка в лева
на ищеца, към сметка в Б. ДСК с IBAN ……………, с
получател O. I. и посочено
основание „захранване на сметка“.
Видно от приложените молби от ищеца до
Банката от 30.11.2017 г., 30.04.2018 г., от 22.05.2018 г. се установява, че
ищецът изрично е оспорил трите платежни операции.
Представено е удостоверение с рег. №
01-10-03167/1 от 23.05.2019 г. на Б. ДСК, от което е видно, че титуляр на
банковата сметка, на която е направен превода е О. И., роден на *** г. в Л.. На
05.12.2017 г. по сметката му са постъпили суми от М.Х.М., с основание
„захранване на сметка“. Лицето О. И. не е предоставило документ с ЕГН.
От приетата по делото в първоинстанционното производство съдебно-счетоводна
експертиза се установява, че размерът на сумата, която е преведена на
24.11.2017 г. от разплащателна сметка-левова на ищеца, разкрита в „ПИБ“ АД към
банкова сметка ***, е в размер на 9230 лева. Като основание за превода е
посочено „захранване на сметка“.
Събрани са гласни доказателства, чрез
разпит на свидетелите В. В. Н. и К. М. М. /съпруга на ищеца/.
Свидетелката В. В. Н. посочва, че
познава ищеца и неговата съпруга. Знае, че М.Х. работи в Г. като шофьор и
използваното от него „токен устройство“, носи винаги
със себе си. Токен устройството използвал предимно да
плаща битови сметки и да прави лични други преводи. Свидетелката знае, че от
сметката на ищеца в „ПИБ“ АД са му „източили парите“.
К. М. споделя, че съпругът й работи от
29.01.2014 г. в Г., като шофьор на автовоз. Работата
му е на график – 12 седмици работи и 4 седмици почива. На 24.11.2017 г. се чули
по телефона, съпругът й бил много притеснен, споделил, че се налага да се върне
в България, тъй като от сметката му в „П.и.б.“ били направени трансакции, които
той не е наредил. Свидетелката обяснява, че токен
устройството било винаги с него, тъй като се налагало да им изпраща пари и да
заплаща битови сметки. На 29.11.2017 г. съпругът й се върнал в Б., за да
провери какво се случва. Двамата не познават лице на име О. И..
В първоинстанционното
производство е приета съдебно-техническа експертиза, която дава заключение, че
трите превода са извършени и подписани с токен
устройството на ищеца и с парола. IP
адресът 84.22.27.28, който е ползван е с локация в гр. Б. и е ползван
многократно за извършване на други операции за периода от 01.08.2016 г. до
24.11.2017 г. Преводите са обработени след правилно въвеждане на потребителско
име, парола и комбинация от ПИН и ТАН още от първия път. След пет грешно
въведени пароли/комбинации от ПИНт и ТАН,
регистрацията на потребителите /Token устройствата се
блокират. ТАН кодовете са динамични и се генерират по определен алгоритъм. На
банков сървър се валидира комбинацията ПИНт в комбинация с еднократно валиден ТАН. Тази комбинация
не е възможно да се дублира. Тя е уникална и валидна за всяка отделна транзакция.
Валидиращият сървър на банката проверява всяка
комбинация от двата кода /ПИНт и ТАН/ при извършване
на преводи и други операции, изискващи „токен
устройството“ в системата „ М. F.“. В обясненията
си вещото лице Т. А. Т. заявява, че до 9,38 часа паролата е била една, след
9,38 часа е била друга. Всички други влизания в системата до 13,19 часа, са
правени с другата парола, защото иначе няма да бъде допуснат потребителя.
Смяната на новата парола изисква и старата и след това два пъти се записва
новата парола.
Пред въззивната
инстанция е изслушано и прието заключение на съдебно-техническа експертиза от
в.л. Д.К., неоспорено от страните, според което след влизане в електронното
банкиране, следва да се извърши попълване на реквизитите на платежното
нареждане, с което да бъдат наредени преводи от сметката на потребителя. След
потвърждаване на въведените данни следва изпращане от системата за електронно
банкиране на ПИНт, еднократна парола и код чрез кратко
текстово съобщение SMS. IP адресът, от който са извършени процесните
преводи е 84.22.27.28, с локация в град Б. и доставчик на интернет услугата е „A. N.“ Ltd. Записите в системния журнал на банката наброяват 7421 записа за влизане в
системата от този IP адрес. Теоретично
съществува възможност друго лице да се сдобие с потребителско име и парола за
електронно банкиране. Потребителят се е идентифицирал чрез ПИНт,
токен устройство и еднократен код чрез SMS. Средството за идентификация е било активно през процесния период. Генерираният от Токен
устройството ТАН код, в комбинация с избрания от ищеца ПИНт
код представляват усъвършенстван електронен подпис по смисъла на ЗЕДЕП.
В съдебно заседание, проведено на
25.01.2023 г., вещото лице Д.К. уточнява, че теоретично е възможно да се
допусне грешка и да се направи такъв превод или системата да бъде „хакната“ по
някакъв начин. Айпи-то е дадено от интернет
доставчика и от него са извършени действията. Когато влезе някой и има права
над компютъра може да извършва всякакви действия и да изглежда, че е от този
компютър. „Закачането“ на ай пи адреса, от който са извършвани действията, от
друг субект, от друго населено място, включително от всяка част на света е
възможно. В този случай, следите в журналите са много трудно проследими. Първо трябва машината да запазва такива следи,
настройките на системата трябва така да бъдат конфигурирани, че да има подробен
журнал на мрежовите действия, извършвани с чужда намеса. В противен случай
излиза, че компютърът е действал от потребителското име, с което е логнат компютъра, т.е. няма назад следа.
С оглед на събраните по делото
доказателства, съдът намира от правна страна следното:
За да бъде уважен иск по чл. 57, ал. 1 ЗУПСП /отм./, следва да се
установи, че от името на ищеца е извършена неразрешена платежна операция по
смисъла на чл. 51 ЗУПСП /отм./.
В разпоредбата на чл. 56 от ЗУПСП /отм./ е предвидено, че когато
ползвателят на платежна услуга твърди неразрешена операция, доставчикът на
платежната услуга носи доказателствената тежест за
установяване автентичността на платежната операция, нейното точно регистриране,
осчетоводяването, както и за това, че операцията не е засегната от техническа
повреда или друг недостатък. Т.е.тежестта да установи автентичност на
платежната операция се носи от банката ответник.
По делото са събрани доказателства, които при тяхната съвкупна преценка
са мотивирали първоинстанционният съд да приеме, че
ищецът не е дал съгласие за извършване на процесния
превод.
От двете приети експертизи категорично се установява, че съответната
платежна операция е наредена от надлежния IP адрес ………., с локация
в град Б., от който са правени
предишни пъти, други такива операции.
При анализ на неоспореното от страните и прието във въззивното
производство заключение на съдебно техническата експертиза се установява, че записите в
системния журнал на банката наброяват 7421 записа за влизане в системата от
този IP адрес. Теоретично съществува възможност друго лице
да се сдобие с потребителско име и парола за електронно банкиране. Потребителят
се е идентифицирал чрез ПИНт, токен
устройство и еднократен код чрез SMS. В съдебно
заседание, проведено на 25.01.2023 г., вещото лице Д.К. уточнява, че теоретично
е възможно да се допусне грешка и да се направи такъв превод или системата да
бъде „хакната“ по някакъв начин. Айпи-то е дадено от
интернет доставчика и от него са извършени действията. Когато влезе някой и има
права над компютъра може да извършва всякакви действия и да изглежда, че е от
този компютър. „Закачането“ на ай пи адреса, от който са извършвани действията,
от друг субект, от друго населено място, включително от всяка част на света е
възможно. В този случай, следите в журналите са много трудно проследими. Първо трябва машината да запазва такива следи,
настройките на системата трябва така да бъдат конфигурирани, че да има подробен
журнал на мрежовите действия, извършвани с чужда намеса. В този случай се
получава така, че привидно компютърът е действал от потребителското име, с
което е логнат компютъра, а е възможно действията да
са извършвани от друга част на света.
В обясненията си вещото лице по приетата
в първоинстанционното производство съдебно-техническа
експертиза, Т. А. Т. посочва, че в този ден е направена смяна на паролата от потребителя
- до 9,38 часа паролата е била една, след 9,38 часа е била друга. Всички други
влизания до 13,19 часа са правени с новата парола.
Изводите на експертите не са разколебани от другите събрани по делото
доказателства, поради което съдът приема, че възраженията на ответника за
изключване на отговорността му са неоснователни. От свидетелските показания
категорично се установява, че ищецът на 24.11.2017 г. е бил на работа в Г., токен
устройството е било в него, а преводите са направени от IP адрес в гр. Б.. От представената тахо карта на камиона е видно, че в интервала от 11,10 ч.
до 12,01 ч., ищецът е управлявал превозното средство и практически е било
невъзможно да нареди процесния превод от 9200 лева.
За намеса на трето лице при осъществяване на платежните операции
свидетелства и факта, отразен в заключението на вещото лице К., че за времето
от 09.37.28 часа до 13.22.32 часа са регистрирани 112 влизания или опити за
влизане в системата. Преценено с останалите доказателства съдът прави извод, че
се касае за нерегламентирано влизане в системата от трето лице /хакерска
атака/. Не на последно място следва да се отбележи, че не се установява по
делото и наличие на някаква връзка между ищеца и лицето О. И., на който е
преведена процесната сума. Липсват събрани
доказателства, че ищецът е действал чрез измама, или че умишлено или при груба
небрежност не е изпълнил някое от задълженията си по чл. 53 от ЗПУПС /отм./,
поради което предявения иск се явява доказан и основателен.
При неосигурена от „ПИБ“ АД степен на сигурност на платежните нареждания,
извършвани чрез предоставения от нея продукт, то същата следва да възстанови
стойността на неразрешените платежни операции и да възстанови платежната сметка
на ищеца в състоянието, в което тя би се намирала преди изпълнението на
неразрешените платежни операции.
Настоящата инстанция напълно споделя изводите на първоинстанционния
съд, поради което на основание чл. 272 ГПК препраща към мотивите на обжалваното
решение.
Изводите на двете инстанции съвпадат, поради което обжалваното решение
следва да бъде потвърдено.
При направено от въззиваемия искане, на
основание чл. 78, ал. 3 ГПК, на същия следва да бъдат присъдени направените в
производството пред въззивна инстанция разноски за
адвокатско възнаграждение, в размер на 1000 лева.
Така
мотивиран, Софийският окръжен съд
Р
Е Ш И:
ПОТВЪРЖДАВА решение № 324/23.12.2019 г., постановено по гр.д. №
30/2019 г. по описа на РС- Ботевград.
ОСЪЖДА „П.И.б.“ АД, с ЕИК …….., със седалище и адрес на управление:*** да заплати
на М.Х.М. с ЕГН: ********** *** разноски за адвокатско възнаграждение в размер
на 1000, 00 лв. /хиляда/ лева.
Решението подлежи на обжалване
пред ВКС на РБ в едномесечен срок от връчването му на страните.
ПРЕДСЕДАТЕЛ:
ЧЛЕНОВЕ:
1.
2.