№ 104
гр. София, 17.02.2023 г.
В ИМЕТО НА НАРОДА
АПЕЛАТИВЕН СЪД - СОФИЯ, 3-ТИ ТЪРГОВСКИ, в закрито
заседание на седемнадесети февруари през две хиляди двадесет и трета
година в следния състав:
Председател:Теодора Кръстева
Членове:Ивайло Младенов
Светлин Михайлов
като разгледа докладваното от Теодора Кръстева Въззивно търговско дело №
20211001000497 по описа за 2021 година
Производството е по чл. 258 от ГПК.
Образувано е по въззивна жалба от „Първа инвестиционна банка“ АД, ЕИК *********
против решение № 260 199/02.02.2021 г. по т. д. № 1386/2018 г. по описа на СГС, ТО, 10
състав, в частта, в която, банката е осъдена да заплати на „Енерджи Сейвинг“ ЕООД, ЕИК
********* на основание чл. 57, ал.1 от ЗПУПС (отм.) сумата от 25 100 лева - стойност на
неразрешена платежна операция, наредена на 05.05.2017 г. чрез достъп до Виртуален банков
клон на „Първа инвестиционна банка“ АД, от разплащателна сметка с IBAN ********** и
сумата от 12 585 лева - стойност на неразрешена платежна операция, наредена на 05.05.2017
г. чрез достъп до Виртуален банков клон на „Първа инвестиционна банка“ АД, с получател
и на двете платежни операции „Ексим А Ем Джи“ ЕООД ЕИК *********, заедно със
законната лихва от 02.07.2018 г. до окончателното заплащане на сумите, на основание чл. 86
ЗЗД сумата от 2754,02 лева - лихва за забава върху сумата от 25 100 лева за периода
02.06.2017 г. – 01.07.2017 г. и сумата от 1380,86 лева - лихва за забава върху сумата от
12 585 лева за периода 02.06.2017 г. – 01.07.2017 г.,
Въззивникът твърди, че решението е неправилно и постановено при съществени нарушения
на процесуалните правила, довели до неправилни фактически и правни изводи.
Ответникът по жалбата „Енерджи Сейвинг“ ЕООД я оспорва и моли решението да бъде
потвърдено.
Третото лице „Ексис А Ем Джи“ ЕООД, помагач на ответника „Първа инвестиционна
банка“ АД не изразява становище по жалбата.
1
Съдът констатира, че жалбата е подадена срещу подлежащ на инстанционен контрол
съдебен акт, в срока по чл. 259 от ГПК и от легитимирано да обжалва лице, поради което е
допустима и следва да бъде разгледана по същество.
С предявените срещу „Първа инвестиционна банка“ АД обективно съединени искове,
ищецът „Енерджи сейвинг“ ЕООД твърди, че на 10.05.2017 г. при справка в електронната
система за банкиране Виртуален банков клон /my.fibank/ на ответника е установил липсата
на парични средства от разплащателната банкова сметка на дружеството. При извършената
справка, управителят С. Д. установила, че на 09.05.2017 г. без знанието и съгласието на
дружеството е преведена сума в размер на 12 585 лв. по банковата сметка на „Ексис А Ем
Джи“ ЕООД с основание за плащане „по фактура 15 8845/ 03.05.2017 г.“. В същия ден, при
посещение в клона на банката, управителят установил, че на 05.05.2017 г. е извършен още
един неразрешен превод за сумата от 25 100 л. отново по банкова сметка на „Ексис А Ем
Джи“ ЕООД с основание за плащане „фактура 154487/03.05.2017 г.“ Ищецът навежда, че за
посочените преводи, не е уведомяван от банката, чрез изпращане на кратко текстово
съобщение на предоставения от титуляра на сметката, номер на мобилен телефон, каквото
задължение имала банката, съобразно подписания между страните договор. Предвид
изложеното и поради неизпълнение задължението на банката по чл. 54, ал.1, т. 1 ЗПУПС да
осигури недостъпност на персонализираните защитни характеристики на платежния
инструмент за лица, различни от ползвателя на платежни услуги, който има право да
използва платежния инструмент, моли ответникът да бъде осъден на основание чл. 57, ал. 1
ЗПУПС да възстанови стойността на неразрешените платежни операции общо в размер на
37 685 лв. по двата превода, ведно с мораторната лихва съответно в размер на 2 761 лв.
върху сумата от 25 100 лв. и 1 384, 354 лв. върху сумата от 12 585 лв., изчислени за периода
от 02.06.2017 г. /деня следващ датата на която изтича предвиденият в чл. 57, ал. 2 ЗПУПС
срок от 21 дни за възстановяване на стойността на неразрешената платежна операция от
страна на доставчика на платежни услуги/ до 02.07.2018 г.
Ответникът „Първа инвестиционна банка“ оспорва иска, като твърди, че услугата „SMS
status“ е заявена от ищеца единствено за извършени транзакции с карта и поради изтичане
срока на картата, на посочения телефонен номер не са изпращани кратки съобщения.
Отделно, банката била изплатила съобщение на телефон на дружеството за наредените суми,
техния размер, час на платежната операция, като това уведомление се извършвало по
инициатива на банката и за същото ищецът не подавал искане и не се регистрирал изрично.
Твърди, че при процесните банкови операции, ищецът се е идентифицирал по същия начин,
по който го е правил при извършването на предходни неоспорени от него операции – с
потребителското си име, парола и валиден КЕП. Всяко от двете платежни нареждания било
обработено и изпълнено от банката след проведена автентикация и потвърждение на
оправомощения ползвател идентифициращ се с персоналните средства за достъп и
идентификация. Счита, че доколкото ищецът не е знаел за извършване на оспорените две
платежни операции, то това било резултат от неполагане на дължимата грижа по опазване
на персонализираните защитни характеристики – потребителско име, парола и КЕП, за
2
което банката не носела отговорност. Поддържа, че ищецът не е изпълнил задължението си
по чл. 52, т. 2 ЗПУПС /отм./ да уведоми банката незабавно след узнаването за неразрешената
употреба на платежния инструмент.
С допълнителната искова молба, ищецът е навел възражения за нищожност на клаузи от
общите условия на „ПИБ“ АД за електронно банкиране „Моята Fibank“, както и на клаузи
от общите условия за откриване и водене на банкови сметки и предоставяне на платежни
услуги. Доколкото тези възражения са отхвърлени като неоснователни, не са предмет на
въззивната жалба и не са налице допуснати от първоинстанционния съд нарушения на
императивни норми в тази част на решението, съдът намира, че възраженията не следва да
бъдат повторно обсъждани.
Съдът, след съвкупна преценка на доказателствата по делото и поддържаните от страните
доводи, намира за установено от фактическа страна следното:
Не се спори по делото, че за процесния период ищецът е бил клиент на банката, с открити
две разплащателни сметки в нея, за които е ползвал услугата Internet home banking, чрез
управителя С. П. Д.. Не се спори, че избрания подход за влизане в информационната
система e-fibank е чрез потребителско име ES_*** и КЕП, който в случая е бил издаден от
„Борика – Банксервиз“ АД, валиден от 08.09.2016 г. до 08.09.2017 г.
Представеното по делото искане за промяна/прекратяване на регистрация от 15.09.2016 г.,
свидетелства, че във връзка с ползване услугите на виртуалния банков клон e-fibank,
управителят С. Д. е посочила телефонен номер
**********.
Не
се спори между страните, че банката не е отразила заявената промяна и на този телефонен
номер, не е изпращала SMS уведомление за спорните транзакции. Защитната теза на
ответника е, че поначало, такова уведомяване не било необходимо, тъй като то касаело само
разплащания с банкови карти. Възражението е недоказано, защото подаденото на 15.09.2016
г. искане за промяна, свързана с мобилния телефон на ищеца се отнася за ползване на
всички услуги, предоставяни чрез електронната система за банкиране e-fibank и за всички
сметки и в него няма данни, услугата да е валидна само за банковите карти. Доколкото
банката твърди, че е изпратила SMS уведомление на предходния телефонен номер, то този
факт няма правно значение, след като платеца изрично е декларирал, че уведомяването
следва да е чрез друг телефонен номер.
Не е спорно по делото, а и от приетите съдебните експертизи се установява, че чрез
виртуалния банков клон e-fibank на 05.05.2017 г. за превод с референция
024VBRA171251433 за сумата от 25 100 лв. е генерирано платежно нареждане в 15:23:50 ч.,
след заявка, подписана с КЕП от потребител ES_***, IP 62.73.105.236 и за превод с
референция 024VBRA171251455 за сумата от 12 585 лв. е генерирано платежно нареждане в
11:24:50 ч., след заявка, подписана с КЕП от потребител ES_***, IP 62.73.105.236. В
момента, в който са били подписани заявките за преводите, банковата сметка на ищеца е
била задължена с посочените суми и автоматично, във времето в което заявките са
3
подписани, парите са постъпили по сметката на „Ексис А Ем Джи“ ЕООД по банкова сметка
в същата банка.
На 11.05.2017 г. ищецът, чрез управителя е уведомил банката, че процесните преводи не са
нареждани от дружеството, получателят е непознат и към него никога не е имало каквито и
да било задължения. Отправено е и искане за възстановяване на сумите.
Според приетата по делото пред СГС, ССЕ, в счетоводството на ищеца не фигурира
доставчик „Ексис А Ем Джи“ ЕООД и процесните фактури, посочени като основание за
преводите, а именно, фактура № 154487/03.05.2017 г. на стойност 25 100 лв. и фактура №
158845/03.05.2017 г. на стойност 12 585 лв., не са осчетоводявани от „Енерджи сейвинг“
ЕООД.
Според приетата пред САС тройна съдебна експертиза, под КЕП се разбират техническите
и софтуерните средства за полагане на квалифициран електронен подпис. Техническите
средства са карточетци - смарт – карта. Копирането на смарт – картата е възможно по
принцип, но не и на практика, поради вградените в картата хардуерни решения за защита.
Ако все пак е извършено, т. е. смарт - картата е копирана, това означава, че при
използването на смарт – картата и нейното копие, системата в банката ще открие разликите
в номерата на транзакциите в двете карти и ще блокира картата, а такива събития няма
регистрирани в банката.
От направената проверка на техническата документация на процесната система за банкиране
и функционалността й вещите лица считат, че преводите е невъзможно да бъдат извършени
без включен КЕП. Те могат да бъдат подготвени без включен КЕП, стоят в системата за
банкиране и не могат да бъдат извършени, докато не бъдат подписани.
Според заключението, системата за интернет банкиране на ответника, проверява
автоматично валидността на КЕП преди да изпълни платежно нареждане подписано с него.
Проверката се извършва с надежни стандартни протоколи за проверка на сертификата чрез
издателя на КЕП – Банксервиз АД. От анализа, направен върху журнала на системата за
Интернет банкиране на банката, вещите лица са констатирали, че няма разлика в
регистрираните действия на системата по отношение на процесните преводи и другите
преводи, от които да се съди за злонамерени действия на трети лица. Доколкото месечния
доклад на комитета по операционен риск на ПИБ за м. май не съдържал информация за
инциденти със сигурността, то експертизата отхвърля възможността, процесните преводи да
са следствие на хакерска атака в операционната система на банката в дните 05.05. и
09.05.2017 г.
Като се позовават на експертиза № 359/ 07.07.2017 г. към ДП № 117/ 2017 г. вещите лица
сочат, че в компютърните системи използвани от ищеца за интернет банкиране и по точно в
настолния компютър, са открити редица вируси тип „троянски коне“. Това означавало, че е
възможна атака на операционната система на ищеца. „Троянските коне“ сами по себе си не
можели да извършват всичките действия по разкриване на потребителя и паролата към
системата за интернет банкиране и ПИН кода, но хакерът овладял чрез „троянски код“
4
компютъра, можел да получи потребителско име и парола за достъп към системата за
интернет банкиране, да изготви платежни нареждания, да получи ПИН кода към КЕП и
когато КЕП е свързан към системата, отдалечено да изпълни платежните нареждания.
Експертите резюмират, че няма антивирусна програма, която напълно да може да защити
компютърната система.
Вещите лица са категорични обаче, че изпращането от банката на SMS пароли на мобилния
телефон на клиента за потвърждение на всеки превод е по високо ниво на защита, тъй като
комуникацията се извършва на втори независим комуникационен канал. Овладяването на
компютъра на потребителя от хакер или вътрешен човек, блокирало извършването на
превода, ако SMS паролата е недостъпна. Съвременните системи за електронно банкиране,
използвали именно този подход. Експертите заявяват, че банката е имала възможност да
въведе към процесния период по – високо ниво на защита, чрез двуфакторна идентификация
при извършване на превода, която се е използвала от другите банки, но не е била приложена
при ответника. Банката е разполагала с начини, да внедри изпращането на SMS пароли на
мобилния телефон на клиента за потвърждаване на преводите, но не го е била въвела към
спорния период.
Пред САС е представеното постановление от 28.12.2017 г. за спиране на досъдебно
производство № 349 змв 1178/ 2017 г. по описа на ОД на МВР Стара Загора, водено за
осъществен състав на престъпление по чл. 212а, ал. 1 НК. Според техническата експертиза
изготвена в хода на досъдебното производството, най – вероятно данните от електронния
подпис на „Енерджи сейвинг“ ЕООД са били копирани чрез „троянски кон“, придобит чрез
сваляне на файл от интернет сайт. Администратор на този сайт била организация от
Естония. Авторът на престъпното деяние не е бил разкрит при проведеното към този момент
разследване. Установена била само съпричастност към извършеното престъпление по чл.
212а, ал. 1 НК от румънски гражданин с имена П. В., който е получил по сметка на своя
фирма със седалище в София, двата нерегламентирани банкови превода осъществени на
датите 05.05.2017 г. и 09.05.2017 г.
При така установеното от фактическа страна, САС достигна до следните правни изводи:
Съгласно чл. 51 ЗПУПС /отм./ платежната операция е разрешена, ако платецът я е наредил
или е дал съгласие за изпълнението й. При липсата на съгласие платежната операция е
неразрешена. Според чл. 57, ал. 1 ЗПУПС /отм./ в случай на неразрешена платежна
операция, доставчикът на платежни услуги на платеца му възстановява незабавно стойността
на неразрешената платежна операция. Такива са и настоящите искове, за възстановяване на
сумите по процесните платежните операции от 05.05.2017 г. и от 09.05.2017 г., тъй като те
не са наредени от ищеца.
С разпоредбата на чл. 56 ЗПУПС /от/ е установено общо правило, че доказателствената
тежест за установяване автентичността и точното изпълнение на платежната операция е на
доставчика на платежната услуга. В случая обаче, ползвателят на платежната услуга не е
потребител по смисъла на § 1, т. 23 ДРЗПУПС /отм./ и в съответствие с дадената от чл. 28,
ал. 2 ЗПУПС /отв./ възможност, с т. 21.3 от ОУ за откриване и водене на банкови сметки и за
5
предоставяне на платежни услуги, „ПИБ“ АД е изключила приложението на чл. 56 ЗПУПС в
отношенията й с ищеца, поради което и по отношение на доказателствената тежест се
прилага чл. 154 ГПК.
Съгласно чл. 58 ЗПУПС /отм./ ползвателят на платежни услуги понася загубите свързани с
неразрешени платежни операции, ако е действал чрез измама или при неизпълнение на едно
или повече задължения от посочените в чл. 53 ЗПУПС /отм./ умишлено или при груба
небрежност. С това логическо съдържание са и разпоредбите на т. 14.3 и 14.3.1 от ОУ,
според които платецът понася загубите свързани с всички неразрешени платежни операции,
произтичащи от незаконно присвоен платежен инструмент, когато не е успял да запази
персонализираните защитни характеристики на инструмента, както и тези които са резултат
от измама, умисъл, груба небрежност или от неизпълнението на което и да е от
задълженията посочени в т. 14.2 от ОУ. По делото обаче, липсват доказателства, относими
към описаните елементи от фактическия състав на отговорността на „Енерджи сейвинг“
ЕООД. Твърдението, че ищецът не е опазил персоналните характеристики на КЕП от трети
лица, т.е. че е налице груба небрежност по смисъла на закона е голословно. Няма никакви
доказателства физически, КЕП да е попадал в ръцете на трето лице, както и няма данни,
управителят на дружеството /лицето, което единствено е имало достъп до КЕП/, умишлено
или поради груба небрежност да не е положил необходимата грижа за опазване на
потребителското име, свързаната с него парола и въвеждането на ПИН на КЕП.
Не може да бъде уважено и оплакването, че ищецът не е изпълнил задължението си да
уведоми своевременно банката за процесните неразрешени преводи. Задължението на
банката по т. 8.1 от ОУ за отчетна информация е задължение да бъде отразена всяка една
банкова операция по сметката на титуляра, което се извършва чрез отчетна информация –
потвърждение и чрез отчетна информация – извлечение за банковите операции.
Информацията за наличността на сметката, както и за последните пет операции е отново
отчетна информация за платеца след получаване на платежно нареждане, а не е
уведомяване. Платецът няма задължение ежедневно, да наблюдава банковите си сметки. В
закона не е предвидена презумпцията, че независимо от пасивно поведение на платеца към
отчетната информация, същия се счита за уведомен за преводите от часа, в който
информацията му е била осигурена на разположение от банката. Затова и с тази цел е
въведения в чл. 55, ал. 1 ЗПУПС максимален срок от 13 месеца от датата на задължаване на
сметката на платеца за предявяване на правата му, тъй като времето на предоставянето на
отчетна информация не винаги съвпада с узнаването от платеца за платежната операция.
Уведомяването би било факт, ако банката беше изпратила SMS потвърждение на посочения
от управителя /след подаденото на 15.09.2016 г. искане за промяна/ телефонен номер, но
това не е сторено.
В допълнение, граматическото тълкуване на чл. 55 ЗПУПС /отм./ не налага уведомяването
на банката да е незабавно, т.е. непосредствено сред нареждането на преводите, а доколкото е
налице забава, поставя условието, забавата да не е без основание. Ето защо, в конкретната
хипотеза, след като липсват доказателства, управителят на дружеството да е уведомяван
6
лично, то съобразно деня 10.05.2017 г. в който същият е узнал за процесните платежни
операции, подадената до банката жалба на 11.05.2017 г., представлява уведомяване без
неоснователно забавяне, поради което и не е налице основание за банката, за
освобождаването й от отговорност на това основание.
Съобразно чл. 54, ал. 1, т. 1 ЗПУПС /отм./, задължение на банката е да осигури
недостъпност на персонализираните защитни характеристики на платежния инструмент за
лица, различни от ползвателя на платежни услуги. Като доставчик на платежни услуги, най
– същественото задължение на банката е да осигури максимална защита на платежния
инструмент от възможна нежелана интервенция на трети недобросъвестни лица в
операционната система на ползвателя. Дължимата грижа от банката за осигуряване на
сигурна среда за ползване на платежните инструменти е завишена именно с оглед
обстоятелството, че банката е търговец, който по занятие предоставя банкови услуги, във
връзка с което разполага с експертен състав от служители – специалисти в областта на
банковата сигурност, както и със средства за осигуряване на защита на всеки отделен банков
продукт. Банката извлича печалба от предоставените услуги, поради което, грижата за
сигурността е изцяло нейна. Потребителят на услугите има само задълженията по чл. 53
ЗПУПС, в които не е включено осигуряването на техническата обезпеченост на системата за
електронно банкиране.
Според приетата пред САС тройна експертиза, независимо от наличната на компютъра на
ищеца антивирусна програма, пред хакерът, овладял компютъра, чрез „троянски кон“, се
открива възможност за пълно управление на компютъра, включително и като получи
потребителското име и паролата за достъп към системата за интернет банкиране, и по този
начин, като изготви платежни нареждания, когато КЕП е свързан към системата, отдалечено
да изпълни платежните нареждания. Вещите лица са категорични, че ефикасна защита в
този случай, срещу компрометиране на системата е изпращането от банката на SMS пароли
на мобилния телефон на клиента за потвърждение на всеки превод. Следователно,
задължение на банката е било, да осигури описаното в експертизата по – високо ниво на
защита, при който комуникацията се извършва на втори независим комуникационен канал и
който подход е наложен в системите за електронно банкиране, към процесния период, но не
го е направила. „ПИБ“ АД не е въвела това по-високо ниво на защита, въпреки, че според
вещите лица е разполагала с начини да внедри изпращането на SMS пароли на мобилния
телефон на клиента за потвърждаване на преводите. Ето защо, САС намира, че причина за
нерегламентираното проникване в операционната система на ищеца е именно бездействието
на банката, да повиши сигурността на платежния инструмент, като обезпечи недостъпност,
чрез възможно най - висока степен на защита от евентуални хакерски атаки. Това налага
извода, че отговорността на неразрешените операции, следва да бъде понесена от ответника,
поради което и искът с правно основание чл. 57, ал. 1 ЗПУПС /отм./ следва да бъде уважен.
Като е достигна до този краен резултат от спора, първоинстанционният съд е постановил
правилен съдебен акт, който следва да бъде потвърден. Основателността на главния иск,
обуславя основателността и на акцесорния иск по чл. 86 ЗЗД, за обезщетение при забавено
7
изпълнение, в която част, решението също следва да бъде потвърдено.
По направените разноски:
Жалбата е неоснователна, поради което и въззивникът следва да заплати направените от
въззиваемия разноски пред САС общо в размер на 5 200 лв. Възражението за прекомерност
на адвокатския хонорар от 4 900 лв., съдът намира за основателно и намалява същото до
4 200 лв., определено съобразно чл. 7, ал. 2, т. 4 от Наредба № 1/ 09.07.2004 г.
Водим от горното, САС,
РЕШИ:
ПОТВЪРЖДАВА решение № 260 199/02.02.2021 г. по т. д. № 1386/2018 г. по описа на
СГС, ТО, 10 състав, в обжалваната му част.
ОСЪЖДА „Първа инвестиционна банка“ АД, ЕИК ********* да заплати на „Енерджи
Сейвинг“ ЕООД, ЕИК ********* сумата в размер на 5 200 лв. разноски пред САС.
Решението може да се обжалва в едномесечен срок от връчването му на страните, пред
Върховен касационен съд, при условията на чл. 280 и сл. ГПК.
Председател: _______________________
Членове:
1._______________________
2._______________________
8