№ 314
гр. Монтана, 23.06.2025 г.
В ИМЕТО НА НАРОДА
РАЙОНЕН СЪД – МОНТАНА, ШЕСТИ СЪСТАВ, в публично
заседание на двадесет и първи май през две хиляди двадесет и пета година в
следния състав:
Председател:ИСКРЕН БОРИСОВ
при участието на секретаря С.НА СТ. СТАНИШЕВА
като разгледа докладваното от ИСКРЕН БОРИСОВ Гражданско дело №
20241630100195 по описа за 2024 година
Предявен е осъдителен иск с правно основание по чл. 79, ал. 1 от
Закона за платежните услуги и платежните системи (ЗПУПС), срещу
*****, за сумата 28 515,86 лева и иск по чл. 86 от ЗЗД за сумата от **** лв.,
лихва върху главницата за периода 17.05.2023 г. до 08.11.2023 г., както и лихва
за забава върху главницата, считано от датата на подаване на исковата молба –
10.11.2023 г. до окончателното плащане.
В исковата молба се твърди, че на 30.08.2012 г. ищцата е сключила
договор с *****, по силата на който й е открита спестовна сметка, като за
управление на средствата по сметката й е предоставена услугата "интернет
банкиране". На 16.05.2023 г. е констатирала, че е направила шест броя
неразрешени и неразпознати преводи в полза на ***** и дружество Incompany
Ltd. паричен превод в момента в размер на 44 960 лв. На 17.05.2023 г. е
подадена жалба до ответника за неразрешените преводи. Подаден е и сигнал
до МВР. Получен е отговор от ответника, че сума в размер на 28 440 лева не
може да бъде възстановена без съгласието на ***** и дружеството.
Ответната страна е подала отговор на исковата молба в срока по чл. 131,
ал. 1 ГПК, като оспорва исковата претенция. Посочва, че ищцата е имала
достъп до мобилно устройство, чрез телефон +****** като е получила
1
запечатан плик с потребителско име и парола. С оглед на горното единствено
ищцата е имала достъп до банкирането си, чрез нейното потребителски име и
парола. На телефонния си номер е следвало да получи верификационен
номер, който единствено тя е следвало да знае.
Съдът, като взе предвид становищата на страните и след като обсъди
събраните по делото доказателства, намира за установено от фактическа
страна следното:
Между страните не се спори относно наличието облигационно
правоотношение по договор за платежни услуги между ищеца и ответника,
както и че на 16.05.2023 г. от сметка на ищеца с IBAN ***** са наредени
преводи в размер на 28 515,86 лева към сметка на ***** в „****“ АД и
Incompany Ltd, които са изпълнени от банката в рамките на същия работен
ден, а ищеца е уведомил банката писмено за трансакциите, които е обявил за
нерзрешени.
По делото е изслушано заключение на съдебно-техническа експертиза,
което съдът кредитира като обоснована. ВЛ е установило следното:
За задълбочено установяване на идентичността на платеца от доставчика
на платежни услуги следва да се използват поне два елемента за
идентификация при извършване на плащане, категоризирани като знание
(нещо, което само ползвателят знае), притежание (нещо, което само
ползвателят притежава) и характерна особеност (нещо, коеmo характеризира
ползвателя), koumo ca независими, така че нарушаването на един елемент не
влияе на надеждността на останалите, а процедурата е разработена по начин,
който защитава поверителността на данните за установяване на
идентичността. Входът в KBC Online Bulgaria cе осъществява чрез въвеждане
на потребителско име и парола. Съгласно PSD2 регулацията на всеки 90 дни в
допълнение при вход се прилага двуфакторна идентификация на потребителя
чрез въвеждане на SMS koд, изпратен на посочения от него мобилен номер
като средство за сигурност, или чрез потвърждение със софтуерен/хардуерен
токен. Ищцата Е. Й. Кастрева - Цекова към дата 16.05.2023 г. е имала
инсталирано мобилното приложение КВС Mobile Bulgaria. Приложението не
изисква да се извършва активация при всяко логване и Възможен вход с
предварително запаметени данни. e Няма ограничение за вида и броя
устройства, от които може да се достъпи мобилното приложение.
2
Вещото лице посочва, че ищцата в влизала в мобилното приложение на
16.05.2023 г. в 20:25 часа, 20:26 часа, 20:36 часа, 22:32 часа и 22:50 часа.
Също така всички преводи към трети страни независимо от сумата на
превода се потвърждават с допълнително средство за сигурност, което
клиентът предварително посочва - чрез SMS kog на мобилен номер или чрез
софтуерен/хардуерен токен. Не се нареждат суми без потвърждение с код,
изпратен чрез SMS. В случая е направено потвърждение на преводи през KBC
Online/KBC Mobile чрез SMS код на телефонен номер +3*****
На 16.05.2023 г. ищцата е получила на мобилния си номер
+3*****кодове за потвърждение за следните суми 6570 лева в 21:50 часа, 9950
лева в 21:47 часа, 9000 лева в 21:20 часа, 9100 лева в 21:00 часа, 4000 лева в
20:47 часа, 9900 лева в 20:45 часа, 9950 лева в 20:42 часа, 390 лева в 20:39 часа
и 390 лева в 20:28 часа.
Достъпът до банкирането се е осъществявало от следните IP адреси IP:
151.251.241.221 от мрежата на А1; IP: 91.236.145.227 от мрежата на Asyst
EOОД - Монтана; IP: 78.128.117.200 от мрежата на Bulsatcom EOOD- Павел
баня; ✓ IP: 151.251.250.90 от мрежата на А1; IP:109.120.225.58 от мрежат на
Виваком.
Процесните плащания са наредени след логин в KBC Online Bulgaria om
IP: 62.73.100.230, 20:36:23 часа на 16.05.2023 г. като всяко едно плащане е
потвърдено с SMS kog, изпратен на номера на клиента ****** предоставен на
Банката kamo средство за потвърждение.
Номер ********** e собственост на Е. Кастрева ЕООД, ЕИК: *****
Монтана, ****** 6, 3400, към номера няма активирана ekcmpa SIM kapma.
При анализа не се откриват признаци за проникване от трети лица.
Преди 16.05.2023г. ползвателят на приложението е имал логин в мобилното
или онлайн банкирането почти всеки месец.
На 16.05.2023 г. 22:32:33 часа е използван IP address 88.80.152.191 om
мрежата на Rodopinet-Велинград. Ползвано устройство: Samsung Galaxy A51.
Относно IP адресите посочва, че IP адресът не удостоверява
самоличността на лицето, което го използва, както и неговото мобилно
устройство. IP адресът идентифицира устройство или мрежова точка, свързана
с интернет, но не дава информация кой човек стои зад нея. В случая ІР agpec -
3
62.73.100.230, (от адресното пространство на Виваком) ползван за логване на
ползвателя на онлайн банкиране - KBC Online Bulgaria на gama 16.05.2023 г. в
20:36:23 часа е динамичен тип CGNAT. След анализ на справката относно IP
адрес - 62.73.100.230, предоставена от Виваком по досъдебно производство
№962/2023 г. на ОП Монтана, се установи, че голяма част от посочните общо
61 бр. потребители на даma 16.05.2023 г. са получавани достъп до един и същи
външен IP адрес, а именно 62.73.100.230. Вътрешните IP адреси, които са
ползвали като външен IP адрес: 62.73.100.230, са на територията на град
Пловдив. Да, възможно е на мобилен телефон или компютър да бъде
инсталиран софтуер, който да дублира екрана на устройството чрез софтуер,
който може да дублира екрана на телефон или компютър в реално време,
включително и без знанието на потребителя, особено ако устройството е било
физически достъпно за инсталация или е компрометирано чрез вирус.
Инсталирането на зловреден софтуер (малуер) може да стане по различни
начини, в зависимост от целите и типа на зловредния софтуер.
Притежателят на устройството участва неволно в инсталирането на
зловреден софтуер, без да осъзнава това, чрез различни способи.
При така установената фактическа обстановка съдът намери от правна
страна следното:
При твърдение, че процесната платежна операция е неразрешена,
ищецът претендира заплащане на нейната стойност в съответствие с нормата
на чл. 79, ал. 1 от ЗПУПС.
При безспорност на извършената операция, на първо място следва да се
установи дали тя се явява неразрешена.
Съгласно нормата на чл. 70, ал. 1 от ЗПУПС платежната операция е
разрешена, ако платецът я е наредил или е дал съгласие за изпълнението. При
липса на съгласие платежната операция е неразрешена.
В съответствие с чл. 78, ал. 1 от ЗПУПС когато ползвателят на платежна
услуга твърди, че не е разрешавал изпълнението на платежна операция или че
е налице неточно изпълнена платежна операция, доставчикът на платежната
услуга носи доказателствената тежест при установяване автентичността на
платежната операция, нейното точно регистриране, осчетоводяването, както и
за това, че операцията не е засегната от техническа повреда или друг
4
недостатък в услугата, предоставена от доставчика на платежни услуги.
Установяванета на автентичността на платежната операция се явява
операция, която позволява на доставчика на платежна услуга да провери
правомерното използване на конкретен платежен инструмент, включително
неговите персонализирани средства за сигурност. Използването на конкретен
платежен инструмент се определя от правилата и процедурите на доставчика
на платежни услуги по изпълнение на съответната платежна операция(чл. 78,
ал. 3 от ЗПУПС).
Когато ползвателят на платежна услуга твърди, че не е разрешавал
платежна операция, регистрираното от доставчика на платежни услуги,
включително от доставчика на услуги по иницииране на плащане, когато е
приложимо, използване на платежен инструмент не е достатъчно
доказателство, че платежната операция е била разрешена от платеца или че
платецът е действал чрез измама, или че умишлено или при груба небрежност
не е изпълнил някое от задълженията си по чл. 75. Доставчикът на платежни
услуги, включително доставчикът на услуги по иницииране на плащане,
когато е приложимо, представя доказателства, че е налице измама или груба
небрежност от страна на ползвателя на платежни услуги.
"Грубата небрежност" представлява неполагане на дължимата грижа, т.
е. да не са положени и най- малките усилия, и най-малката грижа. За такова е
счетено поведението на картодържателя, който не е сигнализирал
своевременно банката за неразрешени платежни операции.
Съгласно Определение № 1957 ОТ 11.07.2024 Г. ПО Т. Д. № 2456/2022
Г., Т. К., І Т. О. НА ВКС това правило регламентира две хипотези, при които
извършената от банката платежна операция не съответства на действителната
воля на ползувателя на платежната услуга, в зависимост от степента на
отклонението от нея, а именно на 1) неточно изпълнена такава, при която е
налице обективирано в електронна форма действително волеизявление на
наредителя за извършване на съответната трансакция, но то не е било
осъществено от доставчика на платежната услуга точно според неговите
указания и на 2) неразрешена платежна операция, т. е. такава, за чието
извършване ползувателят-наредител изобщо не е направил волеизявление за
разпореждане със сумите по сметката му в полза на лицето, на което те са
преведени. От тълкуване на нормата на чл. 79, ал. 1, във връзка с, ал. 4 от
5
ЗПУПС следва, че единствено в първата хипотеза - на неточно изпълнена
платежна услуга, защитата на доставчика може да се ограничи до
установяване на посочените в, ал. 1 обстоятелства, за които носи
доказателствената тежест, а именно установяване автентичността на
платежната операция, нейното точно регистриране и осчетоводяване, както и
за това, че операцията не е засегната от техниеска повреда или друг
недостатък при предоставяне на услугата.
Съгласно изричната в този смисъл норма на чл. 78, ал. 4 от ЗПУПС, при
твърдение на ползвателя на платежната услуга, че не е разрешавал платежната
операция, регистрираното от доставчика на платежни услуги, използване на
платежен инструмент не е достатъчно доказателство, че платежната операция
е била разрешена от платеца. В този случай доставчикът на платежни услуги,
следва да представи и доказателства, че е налице измама от страна на
ползвателя на платежни услуги или негова груба небрежност, изразяваща се в
неизпълнение на някое от задълженията му по чл. 75. Това следва и по
аргумент a contrario от нормата на чл. 80, ал. 3 от ЗПУПС, която възлага в
тежест на платеца всички загуби, независимо от размера им, свързани с
неразрешени платежни операции, когато ги е причинил чрез измама или
поради неизпълнението на едно или повече от задълженията му по чл. 75 от
ЗПУПС умишлено или поради груба небрежност. Нормата на чл. 78, ал. 4 от
ЗПУПС възпроизвежда тази на чл. 72, т. 2 от Директива (ЕС) 2015/2366 на
Европейския парламент и на Съвета от 25 ноември 2015 г. за платежните
услуги във вътрешния пазар, според която, когато ползвателят на платежни
услуги отрича да е разрешавал изпълнена платежна операция, използването
на платежен инструмент, регистрирано от доставчика на платежни услуги,
включително от доставчика на услуги по иницииране на плащане, когато е
приложимо, само по себе си не е достатъчно за доказването, че платежната
операция е била разрешена от платеца или че платецът е действал с цел
измама, или че не е изпълнил умишлено или поради груба небрежност едно
или повече от задълженията по член 69, като доставчикът на платежни услуги
представя доказателства в подкрепа на доказването на измама или груба
небрежност от страна на ползвателя на платежни услуги.
От изложеното еднозначно следва, че при твърдение на ползувателя, че
оспорената от него платежна услуга е неразрешена, доставчикът не може да се
6
ограничи с установяване на обстоятелствата по чл. 78, ал. 1 от
ЗПУПС регистриране на нареждането и осъществяването му с електронното
устройство на ползувателя, а следва да докаже, че осъществяването щ се
дължи на измама или проявена от ползувателя груба небрежност, поради
неизпълнение на задълженията му по договора. Освен че съответстват на
нормите на общностното право - споменатата Директива 1215/2366 от 2015 г.,
нормите на чл. 78р, ал. 1 и, ал. 4 от ЗПУПС са ясни и непротиворечиви и
приложението им не се нуждае от осъвременяване чрез телеологичното им
или корективно тълкуване, доколкото чрез тях рискът от извършването на
неразрешена платежна операция е възложен на доставчика на платежната
услуга, в чиято тежест е и установяването на изключващите отговорността му
обстоятелства, в какъвто смисъл е и становището на въззивния съд,
съдържащо се в съобразителната част на решението. Консеквентно на
изложеното, не удовлетворява специалния критерий за достъп до касация и
третият въпрос в двете му части. Очевидно е, че при твърдение за неразрешена
платежна операция идентифицирането на наредителя чрез електронното му
устройство и автентифицирането на изявлението чрез другите електронни
средства (СМС код за потвърждение) не е достатъчно да изключи неговата
отговорност, както и че обстоятелствата по чл. 78, ал. 4 от ЗПУПС, за които
доставчикът носи са предмет на изчерпателна регламентация.
Неполагането на дължимата грижа от страна на ищеца ответникът
извежда от факта на успешното идентифициране и автентифициране,
осъществено при нареждане на транзакцията, от което е направен извода за
груба небрежност – не е спазил препоръките на банката за опазване на
персонализиращите средства. Това обаче не е достатъчно, доколкото самата
правна норма изключва такива връзка, като изисква ангажиране на
доказателства за умисъл или груба небрежност.
При отчитане и на установените от СТЕ обстоятелства, че IP адресът, от
който е нареден превода, е бил използван за единствено по време на това
банкиране на 16.05.2023 г. в часовият период от 20:00 часа до 23:00 часа,
липсата на данни в системата на банката за други транзакции или търговски
отношения между ищеца и получателите на банковия превод, липсата в
системата на банката на съхранение на каквито и да е данни за нареждани от
ищеца преводи към към процесните получатели, съдът приема, че платежната
7
операция не е разрешен от ищеца, а в хода на съдебното дирене не се установи
наличие на измама, умисъл или груба небрежност от страна на наредителя,
който своевременно е уведомил банката след оповестяването му с SMS за
превода, която не е предприела действия по чл. 90, ал. 4 от ЗПУПС.
Ангажирани са единствено доказателства относно осигуряване на
системата за сигурност в плащанията чрез ползването на софтуерен продукт
при интернет банкиране, като, както от заключенията по експертизата се
установи потенциалната възможност за снабдяване по неправомерен начин с
идентификаторите – предоставени персонално на ползвателя на услугата, от
трети лица чрез измама, фишинг атака и др. Така банката не е ангажирала
никакви доказателства в подкрепа на твърденията си за проявена груба
небрежност от страна на ищеца – в качеството му на ползвател на
предоставените платежни услуги, чрез предоставяне на данните относно
персоналните му кодове и пароли за достъп до профила му и разрешаване на
съответната банкова операция.
Предвид гореизложеното и с оглед установеното в производството
незабавно заявено възражение относно неразрешените транзакции от
сметките на ищеца и същевременно непроведеното в хода на производството
доказване от страна на банката, че това се дължи на неизпълнение на
законоустановените в тази връзка задължения на ползвателя на услугата,
съдебният състав намира, че на банката следва да бъде възложена
отговорността за оспорените от ползвателя плащания. На основание чл. 79
ЗПУПС ответникът дължи възстановяване на ищеца стойността на
неразрешените платежни операции. Предявеният осъдителен иск се явява
основателен за пълния претендиран размер и следва да бъде изцяло уважен. –
в този смисъл Определение № 1957 от 11.07.2024 г. на ВКС по т. д. №
2456/2022 г., I т. о., ТК
Дължима е и законната лихва върху възстановената сума от за периода
от 17.05.2023 г. (денят, следващ на нарушението) до реалното възстановяване
на сумата.
По разноските:
РЕШИ:
8
ОСЪЖДА "******" АД, ЕИК *****, да заплати на Е. Й. К., с ЕГН
**********, на основание чл. 79 ЗПУПС и чл. 86, ал. 1 ЗЗД, сумата 28 515,86
лева представляващи 5 бр. неразрешение преводи, извършени на 16.05.2023 г.,
ведно със законната лихва от 10.11.2023 г. до заплащане на задължението и
сумата от **** лв., обезщетение за забава върху главницата за периода
17.05.2023 г. до 08.11.2023 г.
ОСЪЖДА "******" АД, ЕИК *****, да заплати на Е. Й. К., с ЕГН
**********, на основание чл. 78, ал. 1 ГПК, сумата 4722 лева - разноски за
производството.
Решението подлежи на обжалване ОС - Монтана в двуседмичен срок от
връчването му на страните.
Съдия при Районен съд – Монтана: _______________________
9