№ 5035
гр. София, 20.03.2024 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ РАЙОНЕН СЪД, 153 СЪСТАВ, в публично заседание на
двадесети февруари през две хиляди двадесет и четвърта година в следния
състав:
Председател:Н. Н. ЧАКЪРОВ
при участието на секретаря НЕЛИ М. ШАРКОВА
като разгледа докладваното от Н. Н. ЧАКЪРОВ Гражданско дело №
20221110139082 по описа за 2022 година
Производството е образувано по предявен от ищеца С. С. Е., ЕГН
**********, с адрес: гр. Ш., срещу ответника „.“ АД, ЕИК ., със седалище и
адрес на управление: гр. С.., осъдителен иск с правно основание чл. 79, ал. 1
ЗПУПС за заплащане на сумата 2 238,22 лв., представляваща общата стойност
на извършените неразрешени платежни операции в периода 29.07.2021 г. –
02.08.2021 г. с притежаваната от ищеца дебитна карта посредством
токенизирана виртуална карта, без негово съгласие, ведно със законната лихва
от 03.08.2021 г. до окончателното изплащане на вземането.
Ищецът твърди, че между страните е сключен договор за издаване и
обслужване на персонална дебитна карта като средство за отдалечен достъп
до разкрита при ответното дружество банкова сметка. На 30.07.2021 г. при
проверка на банкомат установил, че има значително по-малка наличност в
банковата сметка. В резултат на посещение в офис на ответното дружество и
получено извлечение узнал, че на 29.07.2021 г. е направено неразрешено
плащане от сметката му онлайн на стойност 1 391,78 лв., както и че са
извършени неразрешени плащания на ПОС терминали в гр. И.., за периода
31.07.2021 г. – 02.08.2021 г. на обща стойност 846,44 лв. Твърди, че е поискал
да му бъдат възстановени сумите, но от банката са отказали с обосновка, че
плащанията са извършени в резултат на създадена токенизирана виртуална
1
карта, което е станало след потвърждаване на уникален код, изпратен чрез
СМС на телефонния номер на титуляря, а това било възможно само под
изключителния контрол на потребителя. Подал е жалба пред Помирителната
комисия за платежни спорове към К. (К.), като същата е била уважена, но
ответникът не приел предложението за споразумение. Твърди, че платежните
операции са извършени без негово съгласие, разрешение и потвърждение,
както и че незабавно след узнаването е уведомил ответното дружество.
В срока по чл. 131 ГПК е постъпил отговор от ответника „.“ АД, който
оспорва предявените искове като неоснователни и недоказани. Смята, че
извършените плащания са надлежно наредени от ищеца и изпълнени в
съответствие с изискванията на приложимата нормативна уредба и договора
между страните. Твърди, че ищецът не е предприел всички разумни мерки за
опазване и предотвратяване на неразрешен достъп до неговите
персонализирани средства за сигурност, което представлява груба
небрежност и следва да освободи банката от отговорност. Сочи, че ищецът е
узнал за част от процесните плащания са извършени на 30.07.2021 г., а е
уведомил банката едва на 03.08.2021 г., с което не е спазил законовото си
задължение за своевременно уведомяване.
Съдът, след като взе предвид доводите на страните и въз основа на
събраните по делото доказателства поотделно и в тяхната съвкупност,
намира следното:
От фактическа страна.
На 15.02.2017 г. между „.“ АД, в качеството на доставчик на платежни
услуги и С. С. Е., в качеството на ползвател на платежни услуги
(картодържател), е сключен договор за издаване и обслужване на персонална
дебитна карта с № . към разплащателна сметка с IBAN В., открита през 2005
г. Ищецът е ползвал услугата „И.“ на ответника съгласно подписани от него
Общи условия от 20.04.2011 г. /л. 76-79 по делото/ и искания за ползване на
услугата от 17.03.2014 г. /л. 80-83 по делото/ и от 08.08.2017 г. /л. 84-88 по
делото/.
На 29.07.2021 г. от горепосочената сметка е направено онлайн плащане
(на виртуален ПОС терминал) на стойност 1391,78 лв. към търговеца „L.“, а в
периода 31.07.2021 г. – 02.08.2021 г. са извършени общо 12 плащания в общ
размер от 846,44 лв. към чуждестранни търговци на физически (реални) ПОС
терминали в гр. И.., както следва: на 31.07.2021 г. плащане в размер на 17,42
лв. към търговеца ..; на 31.07.2021 г. плащане в размер на 13,14 лв. към
търговеца ..; на 31.07.2021 г. плащане в размер на 15,93 лв. към търговеца I..;
на 31.07.2021 г. плащане в размер на 15,93 лв. към търговеца I..; на 31.07.2021
2
г. плащане в размер на 39,82 лв. към търговеца I..; на 31.07.2021 г. плащане в
размер на 11,95 лв. към търговеца I..; на 31.07.2021 г. плащане в размер на
427,84 лв. към търговеца T.; на 31.07.2021 г. плащане в размер на 157,28 лв.
към търговеца G.; на 31.07.2021 г. плащане в размер на 25,88 лв. към
търговеца G.; на 31.07.2021 г. плащане в размер на 12,34 лв. към търговеца
M.; на 01.08.2021 г. плащане в размер на 16,33 лв. към търговеца M.; и на
02.08.2021 г. плащане в размер на 92,58 лв. към търговеца C.;
Ищецът установил липсата на средства от сметката си на 30.07.2021 г.,
като на 03.08.2021 г. уведомил банката за неразрешените от него трансакции.
Доставчикът на платежни услуги извършил проверка, която установила, че
посочените 13 трансакции са направени през мобилното приложение A.
посредством добавена в него токенизирана виртуална карта. Банката отказала
да му възстанови сумите, тъй като за добавянето на последната към
приложението е необходимо потвърждение от картодържателя чрез получен
СМС на телефонния му номер на 20.07.2021 г. в 10:31 часа.
На 06.01.2022 г. ищецът подал жалба до Помирителна комисия за
платежни спорове към К. (К.). Било е образувано помирително производство
№ 03/2022 г., в което е изготвено помирително предложение /л. 13-16 по
делото/, което не е било прието от доставчика на платежни услуги. В него е
посочено, че според Помирителната комисия към К. оспорените трансакции
са извършени от трето, неоправомощено лице, не са разрешени операции от
платеца С. Е., не са спазени от страна на доставчика на платежни услуги
разпоредбите за задълбочено установяване идентичността на клиента при
създаване на дигиталната карта и последващите потвърждения на отделните
платежни операции.
Съгласно приетата по делото съдебно-техническа експертиза (СТЕ) /л.
188-208 по делото/ горепосочените общо 13 броя плащания били извършени
чрез виртуална карта, добавена към мобилното приложение A.,
представляващо дигитален портфейл за бърз начин за извършване на
безконтактни плащания и тегления. Последното е част от услугата A., която
се предоставя на ползвателите на мобилни устройства с операционна система
... Добавянето на виртуалната карта към дигиталния портфейл става чрез
въвеждане на данните за физическата карта на титуляра и изпращане на
уникален еднократен код чрез СМС до телефона на картодържателя (т. нар.
„двуфакторна автентикация“). Последният е със статус „получен“ съгласно
данните от системите на ответника на 20.07.2021 г. на телефонния номер на
ищеца, който отрича получаването.
Вещото лице е посочило в заключението си, че към датата на
проверката на мобилния телефон на ищеца няма инсталирано приложението
A., същият бил с операционна система A. и имало следи от употреба поне от
2020 г. Относно въведените средства за сигурност и идентификация е
отбелязал, че за всяко плащане на виртуален ПОС терминал се изисква да е
инсталирано приложението . на мобилното устройство и да е добавена
3
виртуална карта. Също при плащане на виртуален, но и на физически ПОС
терминал, е необходимо да се използва лицево разпознаване (F.), ПИН код
(passcode) или пръстов отпечатък (T.), зададени от ползвателя на
устройството като метод за верификация, за да бъдат одобрени плащанията. В
проведено на 03.10.2023 г. открито съдебно заседание вещото лице сочи, че
ответникът не е предоставил сертификати и доклади от одити по сигурността,
за да бъде направена комплексна и пълна оценка на системите за сигурност
при средствата за идентификация на доставчика на платежни услуги. В
допълнение сочи, че ищецът не е получавал и изпращал никакви съобщения
във връзка с ползването на услугата A..
По делото е постъпила информация от мобилния оператор „..“ ЕАД /л.
237-238 по делото/, който предоставя телекомуникационни услуги на ищеца.
Посочено е, че не се съхраняват исканите данни за срок повече от 6 месеца,
като също не са постъпвали до този момент жалби към дружеството за
процесния телефонен номер във връзка с кражба или спиране.
Други относими към изясняване на спора доказателства не се
ангажираха по делото.
От правна страна.
Основателността на предявения иск предпоставя установяването на
следните кумулативни предпоставки: 1) наличие на валидно сключен между
страните по делото договор за доставка на платежни услуги, по който ищецът
е платец, а ответникът е доставчик на платежни услуги; 2) извършени
неразрешени плащания за периода 29.07.2021 – 02.08.2021 г. с дебитна карта;
3) стойността на извършените неразрешени платежни операции за периода
29.07.2021 г. – 02.08.2021 г.; 4) своевременно уведомяване на ответника за
констатираните от ищеца неразрешени платежни операции. Установяването
на тези предпоставки от сложния фактически състав на чл. 79, ал. 1 ЗПУПС е
в доказателствена тежест на ищеца.
При установяваване на горните предпоставки, в тежест на ответника е
да установи съгласно чл. 78, ал. 1 ЗПУПС автентичността на платежната
операция, нейното точно регистриране, осчетоводяването, както и това, че
операцията не е засегната от техническа повреда или друг недостатък в
услугата, предоставена от доставчика на платежни услуги. Той следва да
докаже също и възражението си, че извършените платежни операции са в
резултат на проявена груба небрежност от страна на ищеца при неизпълнение
на задълженията му по чл. 75, т. 2 и 3 ЗПУПС.
По делото се установяват валидни договорни правоотношения между
страните, възникнали по силата на 1) договор от 16.09.2005 г. за
разплащателна сметка на физически лица с номер ..; 2) договор от 16.09.2005
г. за издаване на банкова карта и 3) договор от 15.02.2017 г. за издаване и
обслужване на персонална дебитна карта.
Установява се също така, че в периода 29.07.2021 г. – 02.08.2021 г. от
4
сметката на ищеца са извършени 13 броя платежни операции на обща
стойност в размер на 2 238,22 лв., за което ищецът е уведомил банката.
Тези обстоятелства не се оспорват и от ответника.
Основните възражения на банката са, че ищецът не е предприел всички
разумни действия за запазване на неговите персонализирани средства за
сигурност относно платежния инструмент /дебитната карта/, като и че не е
уведомил банката за неразрешените платежни операции незабавно след
узнаването.
На първо място следва да се посочи, че възникналите между страните
облигационни правоотношения засягат дейности по предлагане на платежни
услуги, които се регулират от приложимото законодателство към датата на
извършване на трансакциите, а именно: Закона за платежните услуги и
платежните средства, обн. ДВ бр. 20 от 06.03.2018 г., в сила от 06.03.2018 г.,
Директива (ЕС) № . на Европейския парламент и на Съвета от 25 ноември
2015 г. за платежните услуги във вътрешния пазар) и Наредба № 3 от
18.04.2018 г. на Б. за условията и реда за изпълнение на платежни операции и
за използване на платежни инструменти, обн. ДВ бр. 37 от 04.05.2018 г.
Съгласно разпоредбата на чл. 79, ал. 1 ЗПУПС в случай на неразрешена
платежна операция доставчикът на платежни услуги на платеца му
възстановява незабавно стойността на неразрешената платежна операция и
във всеки случай не по-късно от края на следващия работен ден, след като е
забелязал или е бил уведомен за операцията, освен когато доставчикът на
платежни услуги на платеца има основателни съмнения за измама и уведоми
съответните компетентни органи за това.
На следващо място следва да се има предвид, че доказателствената
тежест при твърдения за неразрешена платежна операция е за доставчика на
платежната услуга съгласно чл. 78, ал. 1 ЗПУПС, който следва да установи
основните й параметри, свързани с техническата й изправност, нейната
автентичност, точно регистриране, осчетоводяването и пр. В ал. 3 от същата
разпоредба е предвидена процедурата по проверка на автентичността на
операцията, която включва изследване на правомерността на използването на
платежния инструмент и неговите персонализирани средства за сигурност.
Процесните операции са извършени чрез услугата A., предоставяна на
ползвателите на мобилни устройства с операционна система ... От приетата по
делото съдебно-техническа експертиза се установява подробно процедурата
по добавяне на виртуална карта към дигиталния портфейл A. и последващото
извършване на плащания чрез нея. Според системата на доставчика на
платежни услуги виртуалната карта е добавена на 20.07.2021 г. – датата, на
която е получен СМС до телефона на картодържателя за извършване на
„двуфакторна автентификация“.
В чл. 100, ал. 2 ЗПУПС е регламентирано задължение за доставчиците
на платежни услуги при платежни операции, инициирани от разстояние, да
5
приложат задълбочено установяване на идентичността на клиента чрез
променливи елементи, свързващи операцията с конкретна сума и получател.
По смисъла на ЗПУПС „платежна операция, инициирана от разстояние“ е
платежна операция, инициирана по интернет или посредством устройство,
което може да се използва за дистанционна връзка (§1, т. 4 от ДР на ЗПУПС).
Съгласно чл. 100, ал. 4 ЗПУПС задълбочено установяване на идентичността
на клиента е процедура по установяване на идентичността, която е
разработена по начин, който защитава поверителността на данните, и която
включва използването на два или повече от следните независими елементи: 1)
знание – нещо, което само ползвателят знае; 2) притежание – нещо, което
само ползвателят притежава; 3) характерна особеност – нещо, което
характеризира ползвателя. В чл. 56 от Наредба № 3 от 18.04.2018 г. на Б. за
условията и реда за изпълнение на платежни операции и за използване на
платежни инструменти e предвидено, че тази дейност по задълбочено
установяване на идентичността на платеца се осъществява при спазване на
мерките за сигурност в съответствие с изискванията на глава втора от
Регламент (ЕС) № 2018/389.
В случая това не се установява. Не става ясно, дали операцията не е
засегната от техническа повреда или друг недостатък в услугата,
предоставена от доставчика на платежни услуги. В отговора на исковата
молба и в целия ход на делото банката поддържа становището, че са спазени
всички законодателни изисквания и насоките на Европейския банков орган за
сигурност и гарантиране на плащанията в електронна среда, без обаче да
представи доказателства за това. В заключението на допусната по искане на
банката съдебно-техническата експертиза вещото лице е отбелязало, че
поради отказ на самата банка (с мотив конфиденциалност) да бъдат
предоставени сертификати и доклади от одити по сигурността, не е успял да
съпостави всички изисквания от описаната правна уредба относно
сигурността на плащанията и идентификацията на клиентите. В тази връзка
експертизата не е успяла по категоричен начин да отговори и на въпросите,
свързани с идентифицирането на ищеца като ползвател на услугата A.. Следва
да се отбележи, че бланкетното позоваване на техническите изисквания за
сигурност на плащанията, без да се въведат относими доказателства и
доказателствени средства, не може да потвърди, че банката действително ги
прилага. В този смисъл по делото не се установява по несъмнен начин
автентичността на процесните платежни операции, тяхното точно
регистриране, осчетоводяване, както и това, че същите не са засегнати от
техническа повреда. Следователно не се установява ищецът да ги е наредил
или е дал съгласие за изпълнението им, което ги прави неразрешени по
смисъла на чл. 70, ал. 1 ЗПУПС.
Неоснователно е възражението на ответника, че ищецът е проявил груба
небрежност поради неизпълнение на вменени му задължения от Общите
условия за електронно банково обслужване „И.“ – за опазване на
персонализираните му средства за сигурност от нерегламентиран достъп.
6
Съгласно заключението на вещото лице ищецът е използвал мобилно
устройство с операционна система A. поне от 2020 г., като не е установено на
телефонния му номер да е получен СМС за активиране на услугата A..
Единственото доказателство по делото, че този СМС е получен, е системата
на ответника, за която вещото лице не е получило доклади или сертификати
за сигурност. Дори да се приеме, че регистрацията на виртуална карта в A. е
успешна при наличие на двуфакторна автентификация, то фактът, че е
извършена от друго лице, без съгласието на картодържателя, не следва да
бъде в отговорност на ищеца. В тази връзка е и задължението на доставчика
на платежни услуги, предвидено в чл. 25, т. 2, б. „а“ от Регламент (ЕС) №
2018/389, да прилага ефективни и сигурни механизми на предоставяне на
платежни услуги, които гарантират, че персонализираните средства за
сигурност, устройствата и софтуерът за установяване на идентичността са
доставени на законния ползвател на платежни услуги.
Тук следва да се посочи споделеното разбиране в теорията, че
въвеждането на верния PIN, респективно на други пароли за нареждане на
операции в интернет (3. и др.), не може да бъде достатъчно доказателство в
полза на доставчика на платежни услуги, както че платежната операция е
разрешена, така и че ползвателят не е положил дължимата разумна грижа и
действия да опази персонализираните средства за сигурност на инструмента,
респективно е действал чрез измама, или че умишлено или при груба
небрежност не е изпълнил някое от задълженията си по чл. 75 ЗПУПС и само
на това основание да бъде ангажирана неговата отговорност (К., К. Още за
новата уредба на платежните услуги и платежните системи. „Търговско и
облигационно право“, 2018 г., кн. 05, стр. 5).
Настоящият състав на съда споделя това тълкуване на закона, като в
допълнение към него следва да се добави, че принципът на отговорност във
връзка със сигурността на доставчиците на платежни услуги е в основата на
европейската регулация на платежните услуги (решение по дело . на СЕС). В
този смисъл не е допустимо прехвърляне на риска и на вредоносните
последици от неразрешени трансакции, извършени посредством платежни
инструменти, от доставчика към ползвателя на платежната услуга (по
аргумент за по-силното основание и към потребителите), когато това е
направено извън рамките, предвидени в закона и не е обосновано наличието
на измама, умишлено действие или груба небрежност. Подобно бланкетно
прехвърляне противоречи на целта за защита на ползвателите на платежни
услуги и на правилото, че доставчиците на платежни услуги носят
отговорност за вземане на мерки за сигурност – принцип, който е в основата
на въведения с Директива № . режим. Поради това с оглед тълкуването на
разпоредбите на чл. 78-80 ЗПУПС, въведени от Директива № ., следва да се
вземат предвид не само техните текстове, но и контекстът, в който се вписват,
и целите на правната уредба, от които са част (решения по дело . и дело .).
В контекста на изложеното неоснователно е и второто възражение на
банката. Съгласно чл. 75, т. 2 ЗПУПС ползвателят на платежни услуги, който
7
има право да използва определен платежен инструмент, следва да уведоми
доставчика на платежни услуги или упълномощено от него лице за загубване,
кражба, присвояване или неразрешена употреба на платежния инструмент
незабавно след узнаването. Неизпълнението на това задължение освобождава
банката от отговорност, когато е умишлено или поради груба небрежност от
страна на ползвателя на платежни услуги /арг. чл. 80, ал. 3 ЗПУПС/.
Следователно първата предпоставка, която поставя закона, е моментът на
узнаване от ползвателя за извършената неразрешена платежна операция.
Нормата придава правно значение на реалното узнаване - получаване на
информацията от платеца на неразрешена употреба на платежния инструмент,
така че той реално да има правната възможност след узнаването да приеме
платежните операции или да възрази, че не са наредени от него. Това
тълкуване съответства на чл. 77, ал. 1 ЗПУПС и на целите на правната уредба,
която транспонира Директива № .. В случая това реално узнаване е станало на
03.08.2021 г., когато ищецът е получил лично информация от банката, като
след негово искане е издадено приложеното по делото извлечение от
банковата му сметка, от което е станало ясно на кои дати, колко на брой и на
каква стойност са извършените неразрешени операции. По делото не се
установява такава информация ищецът да е получил на по – ранен етап, като
видно от заключението на вещото лице в т. 11, въпреки че ищецът е имал
достъп до системата за и. на ответника, през исковия период ищецът не е
използвал тази система на банката, като в същата няма регистрирани сесии на
ищеца в периода 06.05.2021 г. – 16.08.2021 г. Такава информация ищецът не е
могъл да получи и при проверка на банкомат, при която единствено може да
се установи наличната сума по картата. След получаване на извлечението от
банковата сметка ищецът в същия ден е уведомил банката за установена
неразрешена употреба на платежни инструменти, с което е спазил
изискването на закона.
Всичко изложено дотук налага уважаване на предявения иск, като на
ищеца се присъди и законна лихва върху главницата от датата на исковата
молба до окончателното изплащане на сумите.
По разноските.
С оглед изхода на делото на основание чл. 78, ал. 1 ГПК на ищеца
следва да се присъдят разноски в размер на 89,53 лв. за заплатена държавна
такса и 550 лв. за заплатено адвокатско възнаграждение по договор за правна
защита и съдействие от 15.07.2022 г.
С оглед гореизложеното съдът
РЕШИ:
ОСЪЖДА „.“ АД, ЕИК ., със седалище и адрес на управление: гр. С.. да
заплати на основание чл. 79, ал. 1 ЗПУПС на С. С. Е., ЕГН **********, с
8
адрес: гр. Ш. сумата 2 238,22 лв., представляваща общата стойност на
извършените 13 броя неразрешени платежни операции в периода 29.07.2021 г.
– 02.08.2021 г. с притежаваната от ищеца дебитна карта посредством
токенизирана виртуална карта, без негово съгласие, ведно със законната
лихва от 20.07.2022 г. до окончателното изплащане на вземането, както и на
основание чл. 78, ал. 1 ГПК сумата 639,53 лв. разноски по делото.
Решението може да се обжалва пред Софийски градски съд в
двуседмичен срок от връчването му на страните.
Съдия при Софийски районен съд: _______________________
9