Р
Е Ш Е Н И Е
гр.
София, ………/02.02.2021 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ ГРАДСКИ СЪД, ТО, VI -10
състав, в публично заседание на
шестнадесети юни две хиляди и двадесета година, в състав:
ПРЕДСЕДАТЕЛ: ЦВЕТА ЖЕЛЯЗКОВА
при
секретаря Анелия Груева, като разгледа докладваното от съдията т. дело № 1386
по описа за 2018 година, за да се произнесе, взе предвид следното:
Предявени
са обективно съединени искове по чл. 57, ал.1 от ЗПУПС (отм.) и по чл. 86, ал.1
от ЗЗД.
Ищецът
„Е.С.“ ЕООД (Е.) твърди, че с ответника „П.и.б.“ АД (ПИБ) има сключен договор
ОС-356088/09.05.2005 г. за откриване на разплащателна сметка. На 29.02.2008 г.
ищецът подал и искане за използване на ****** (услугата „Електронно
банкиране“), като на управителя на дружеството били предоставени потребителски
име и парола. Ищецът избрал да използва за средство за идентификация
квалифициран електронен подпис (КЕП), издаден от Борика Банксервиз АД. какъвто
ползвал и в периода 08.09.2016 г. – 08.09.2017 година.
Твърди
се, че ищецът е поискал и използването на услугата sms
- известяване, като на 15.09.2016 г. е подал и искане чрез управителя си за
промяна на телефонния номер, на който следва да се изпращат съобщенията. Бил
посочен номер ******. Въпреки многобройните посещения в офиси на банката,
телефонният номер, на който се изпращат съобщенията, не бил променен. Твърди
се, че на 10.05.2017 г. при справка в системата за online
банкиране, управителят на ищцовото дружество
установил, че липсват средства от разплащателната сметка на дружеството, тъй
като на 09.05.2017 г. без нейно знание и съгласие е преведена сумата от 12 585
лева по банкова сметка *** „Е.А Е.Д.“ ЕООД. При посещение в клон на банката, се
установило, че на 05.05.2017 г. също бил
извършен неразрешен превод в размер на 25 100 лева в полза на същото юридическо
лице. Твърди се, че банката не е уведомила клиента си (ищец в производството)
чрез SMS за тези две операции на посочения телефонен номер.
Твърди
се, че посочените две платежни операции представляват „неразрешени“ платежни
операции по смисъла на Закона за платежните услуги и платежните системи, тъй
като ищецът, като платец, не е давал съгласие за тях. Сочи се, че ищцовото дружество няма търговски отношения с третото лице.
Незабавно след узнаване на двете нерегламентирани плащания, управителят на ищцовото дружество подал възражение по чл. 55 от ЗПУПС -
жалба, вх. номер Ж-1650/11.05.2017 г. и молба за блокиране на банковите сметки.
Сочи се, че, независимо от задълженията ѝ по чл. 56 от ЗПУПС, банката –
ответник, като доставчик на платежната услуга, не извършила проверка по
сигнала, и не взела становище по случая. Твърди се, че банката е нарушила и
задължението си да осигури недостъпност на персонализираните защитни характеристики
на платежния документ за неоторизирани лица, и не е уведомила надлежно
собственика на банковата сметка за двете транзакции чрез заплатена услуга за sms - известяване. С оглед изложеното, моли съда да осъди
ответника да му заплати сумата от 25 100 лева - стойността на неразрешената
платежна операция от 05.05.2017 г., сумата от 2 761
лева - лихва за забава за периода 02.06.2017 г. (денят, следващ крайния срок за
произнасяне по претенцията по чл. 57, ал. 2 от ЗПУПС) до 02.07.2018 г.; сумата
от 12 585 лева - стойността на неразрешената платежна операция от 09.05.2017
г., сумата от 1 384,35 лева - лихва за забава, за периода 02.06.2017 г. -
02.07.2018 година, претендира се и законната лихва от датата на предявяване на
иска до окончателното заплащане на сумите, както и разноските по делото.
В
отговора на исковата молба, ответникът ПИБ оспорва исковете. Оспорва се
твърдението, че е посочен нов телефонен номер за услугата sms
- известяване относно транзакции, засягащи конкретната разплащателна сметка.
Направената промяна на 15.12.2015 г. в телефонния номер била надлежно отразена,
но тъй като услугата била свързана само с транзакции с банкова карта, която
била изтекла, съобщения не са изпращани. Оспорват се твърденията, че двете
банкови операции представляват неразрешени платежни операции по смисъла на
закона, както и че ищецът е узнал за същите едва на 10.05.2017 година. Твърди
се, че процесните платежни операции са наредени от потребител с потребителско
име, идентично с името на ищеца, дадено от банката, от IP адрес, от който
ищецът чрез управителя си е осъществявал вход в системата на 07.04.2017 г., с
КЕП на името на управителя на Е.. Сочи се, че за целия период на ползване на
услугата „интернет банкиране“ ищецът е ползвал различни IP адреси. Твърди се,
че и двете платежни операции от 05.05.2017 г. и от
09.05.2017 г. са подписани с КЕП на титуляра на
сметката, удостоверяващ истинността и автентичността на електронните изявления
за наредените операции, като при осъществяване на операциите платецът се е
идентифицирал по начин, по който се е идентифицирал ищецът при подобни хипотези
- с потребителско име и парола на името на С.Д., като управител на Е.. Поради
това и двете платежни операции не представляват „неразрешени“ платежни операции
по смисъла на ЗПУПС. С оглед начина на осъществяване на достъпа до системата и
нареждане на плащанията, се твърди, че ако двете операции не са разрешени от Е.,
то е налице неизпълнение на задълженията на ищеца за опазване на
персонализираните характеристики на средството за достъп от трети лица, т.е.
груба небрежност, по смисъла на закона. Поради това и банката не носи
отговорност за последиците за двете операции. Оспорва се приложимостта на чл.
56 от ЗПУПС (отм.), по аргумент от чл.21.3 от ОУ на договора между страните и
чл. 48, ал.2 от ЗПУПС (отм.), тъй като ищецът не е „потребител“ на платежна
услуга, което води до разместване на доказателствената тежест за доказване
автентичността на платежната операция.
Твърди
се и, че ищецът не е сигнализирал незабавно банката за двете операции, тъй като
е бил уведомен за същите съгласно ОУ на договора между страните - т. 8.1 от ОУ,
а и при влизане в системата за електронно банкиране, последните разрешени
операции са видими на началния екран. И тъй като след операцията от 05.05.2017 г. има влизане на 06.05.2017 г., и последващи операции на 07.50.2017 г., то уведомления до
банката на 11.05.2017 г. не отговаря на изискването за „незабавно“ по смисъла
на закона.
Прави
се искане за конституиране на трето лице- помагач на страната на ответника - „Е.А
Е.Д.“ ЕООД - получателя на сумите по двете оспорени платежни операции.
В
допълнителната искова молба ищецът излага твърдения за неприложимост на Общите
условия на ПИБ за електронно банкиране „Моята „Fibank““
(ОУ) и Общите условия за откриване и водене на банкови сметки и за предоставяне
на платежни услуги (ОУПУ), тъй като същите не са предоставени на Е. при
подписване на договора, нито по-късно.
Прави
се и възражение за нищожност на т. 4.6, предл.
2,т.6.17, т.8.5, т.11.2, т.11.6 и т.11.9 и т.16.2 от ОУ и т.14.3, т.14.3.1,
т.19.1 и т.21.3 от ОУПУ, поради противоречие с
разпоредби на ЗПУПС (отм., в сила до 05.03.2018 г.), приложим към
процесния период – чл. 54, ал.1, т.1, чл. 56, ал.1 и ал.3 и чл. 57, ал.1 от
ЗПУПС. Излагат се и твърдения за неприложимост и съответно за нищожност на т. 2.1, т.2.4, т.6.5, т.7.1,т.16.1 и т.18.1,
т.18.2 (поради противоречие с чл. 298, ал.2 от ТЗ), т.4.8, т.4.9, т.7.8,
т.11.6, т.11.8, т.11.10 (поради противоречие с императивните норми на чл. 54,
ал.1, т.1 от ЗПУПС (отм.) и чл. 57м ал.1 от ЗПУПС (отм.) ), т.4.8 и т.7.8
(поради противоречие с чл. 56, ал.3 от ЗПУПС (отм.)), т.12.3, т.14.1 (поради
накърняване на добрите нрави) от Общите условия за ползване на виртуален банков
клон (e-bank) на ПИБ АД. Ищецът излага твърдения за
нищожност на клаузите на т. 2.4, т. 16.1 и т. 18.2 от ОУ, поради противоречие с
чл. 298, ал.2 от ТЗ – противоречие със закона и на т.14.1 от ОУ – нищожност
поради противоречие с добрите нрави.
Оспорват се твърденията, че ищецът не е изпълнил
задълженията си в качеството му на ползвател на платежни услуги по чл. 53 от
ЗПУПС (отм.), като се сочи и че ответникът не ангажира доказателства в подкрепа
на твърденията си, че са налице нарушения от страна на ищеца. Поддържа се
твърдението, че банката не е изпълнила задълженията си да извести ищеца за
извършените транзакции на посочения от ищеца телефонен номер, като се сочи, че
няма искане съобщенията да се изпращат на телефонния номер, посочен от
ответника - ******. Сочи се, че с оглед уговорения между страните специален
начин за уведомяване за извършени платежни операции по разплащателната сметка -
чрез изпращане на sms - съобщение, е ирелевантно дали ищецът е разполагал с друга техническа
възможност да установи извършване на операциите. Оспорва се и дали посоченият
способ - влизане в системата и преглед на началния екран предоставя цялата
необходима информация.
В отговора на
допълнителната искова молба, ПИБ оспорва допустимостта на направените
възражения за нищожност на клаузи от ОУ и ОУПУ. Твърди се, че Е. е обвързан от
посочените ОУ и ОУПУ, тъй като при подписване на договора ищецът е декларирал,
че е запознат със същите и е получил копие от тях. Излагат се и съображения, че
ищецът е юридическо лице - търговец, а не „потребител“ по смисъла на ЗЗП и
съответно не е потребител и по смисъла на ЗПУПС, поради което са допустими
направените ограничения на действието на определени разпоредби на закона в
отношенията между страните, вкл. задължението за „предаване“ на ОУ.
По делото с определение
№ 6006, на страната на ответника, е конституирано трето лице – помагач „Е.А Е.Д.“
ЕООД, адрес: ***. Третото лице – помагач не е взело отношение по спора.
С молба- уточнение от
ищеца, вх. № 16109/06.02.2019 г. (стр. 196) се уточняват възраженията за
нищожност на клаузи от ОУ за електронно банкиране „Моята Fibank”,
както следва: на клаузите по т. 2.4., т. 16.1 и т. 18.2, като противоречащи на
закона – чл. 298, ал. 2 ТЗ, съгласно чл. 26, ал. 1 ЗЗД
Съдът,
като прецени събраните по делото доказателства по свое убеждение и съобразно чл. 235 от ГПК, във връзка с наведените в исковата молба доводи и становището на
ответниците, намира за установено
следното от фактическа страна:
По делото е представенo копие от договор № ОС –
356088/09.05.2005 г. за откриване на разплащателна сметка, сключен между
ПИБ - клон Стара Загора и Е. (стр. 20-22
по делото).
Поради нечетливост на оригиналите,
намиращи се у двете страни по делото, с протоколно определение от 07.05.2019 г.
за безспорно е прието между страните по договора, че договорът има съдържание,
посочено в молбата от 27.03.2019 г. от Е., с изключение на посочения адрес на клиент, който следва да
се чете : „ул. ******“ (стр. 238-240 по делото).
Съгласно договора ПИБ открива, поддържа
и управлява за сметка на Е. разплащателна сметка в български левове Nо ********** и банков код 15071076.
Съгласно чл.III
„Определения“ - „плащане“ е
посредническа сделка между банки и техни клиенти и сделките между банки,
свързани с прехвърляне на пари, тегления и вноски по банкови сметки.
Между страните не се спори, че тази
банкова сметка *********.
Представена е декларация от Е. зa услугата „INTERNET HOME BANKING”
(стр. 23), съгласно която към 29.02.2008 г. дружеството, чрез законния си
представител С.Д. е заявило желанието си да ползва услугата електронно
банкиране на ПИБ за откритите при банката банкови сметки, за което декларира,
че е запознато и съгласно с общите условия за ползване на услугата INTERNET HOME BANKING на ПИБ и ОУ на
ПИБ за всички видове банкови услуги, които Е. желае да използва чрез системата INTERNET HOME BANKING. Декларирано е,
че удостоверението за усъвършенстван електронен подпис служи само за
идентификация в системата „INTERNET HOME BANKING” и се задължава да не го
използва за други цели. При заявката за ползване на услугата, на банката са
предоставени данни за дружеството, включително са посочени телефонни номера,
както следва: ******.
Представено е и искане за потвърждаване
на регистрация в системата за електронни извлечения и услуги „Моята Fibank“ от 04.03.2010 г. (стр. 207 по
делото). Със същото Е. потвърждава, че желае да бъде регистриран за ползване на услугите на ПИБ, предоставяни
чрез системата за електронни извлечения и услуги „Moята Fibank“ и да му бъде осигурен достъп до
тях. Съгласно подписания договор при общи условия, по искане на ползвателя (Е.)
ПИБ се съгласява да му осигури право на достъп до системата за електронни
извлечения и услуги „Моята Fibank“ и да му предоставя
чрез нея извлечения от банковите сметки и кредитни карти и/или друга справочна
информация , свързана с тях, както и други платежни и неплатежни услуги
съгласно действащите ОУ на ПИБ за ползване на системата за електронни
извлечения и услуги „Моята Fibank“ и специфичните
правила за ползване на съответната услуга. В чл. 3 от договора е посочено, че
ползвателят декларира, че е запознат и поема рисковете, свързани с използването
на системата. Посочено е също така, че с подписване на договора ползвателят
декларира, че са му предоставени и се е запознал с ОУ на ПИБ за ползване на
системата за електронни извлечения и услуги „Моята Fibank“, както и с ОУ, приложими
към конкретната платежна услуга и/или инструмент.
Представено е и искане за
промяна/прекратяване на регистрация за ползване на услугите, предоставяне чрез
електронната система за банкиране Виртуален банков клон на ПИБ (e-fibank),
вх. номер Ebank-27420/15.09.2016
г. (стр. 24-27 по делото). Видно от искането, титулярът Е., чрез законния си представител С.Д., е
посочило, че относно сметка ******иска ниво на достъп 1 (съгласно приложението
– с права на титуляр съгласно заявените за ползване услуги чрез е-bank, вкл. да се разпорежда със
средствата по сметките, откриване на сметки, достъп до отчетна информация
(салда, извлечения и други)) на оправомощения
ползвател, заявен като С.П.Д., с тел. ******, с email: ******@gmail.com,
потребителско име: ES_***. Отбелязано
е, че се иска достъп на оправомощеното лице до всички
банкови сметки на Титуляра. В края на искането е
посочено, че с подписване на искането титулярът
декларира, че е запознат с действащите ОУ за ползване на виртуалния банков
клон, ОУ за откриване и водене на банкови сметки и за предоставяне на платежни
услуги и приема извършването на операции, вкл. изпълнението на платежни нареждания,
както и откриването и воденето на банкови сметки чрез e-fibank да
се извършва съгласно посочените ОУ.
Представено е и електронно съобщение до
ищеца от страна на „Борика – Банксервиз“ АД от 08.09.2016 г. (стр. 36),
съдържащо уведомление за подновен електронен подпис, тип: ProfessionalCertificate_UES,
сериен № 10117521, титуляр: Energy saving EOOD,
автор: ******, валиден: 08.09.2016 г. 08:29:24 - 08.09.2017 г. 08:29:24.
По делото са представени Общи условия на
ПИБ за електронно банкиране „Моята Fibank”, в сила от 01.02.2017 година (стр. 93-99) (ОУ). За
сключените преди 01.04.2017 г. договори за която и да е от услугите, предмет на
ОУ, посочените ОУ влизат в сила от 01.04.2017 г. или по-рано, от датата, на
която ОУ за електронно банкиране „Моята Fibank“ бъдат приети с потвърждение по
електронен път в Моята Fibank на адрес : http: my.fibank.bg, като отменят ОУ на
ПИБ за ползване на системата за електронни извлечения и услуги Моята Fibank, последно изменени и допълнени, в
сила от 27.10.2016 г., ОУ за ползване на виртуален банков клон (e-fibank) на ПИБ АД, последно изменени и
допълнени от 02.02.2015 г., и още два вида ОУ.
Съгласно чл. 18.2 от ОУ, неразделна част от общите
условия са Общите условия за откриване и водене на банкови сметки и за
предоставяне на платежни услуги, в сила от 01.11.2009 г. (стр. 100 - 103)
(ОУПУ). Съгласно разпоредбата на чл. 21.3. от посочените Общи условия, когато
ползвателят на платежна услуга не е потребител, чл. 56, чл. 58 и чл. 70 , ал. 1
ЗПУПС не се прилагат в отношенията му с банката.
Представени са и два броя платежни
нареждания за превод на суми от сметка на „Е.с.“ ЕООД по сметка на „Е.А Е.Д.“
ЕООД в същата банка, както следва: платежно нареждане от 05.05.2017
г. на стойност 25 100 лева, с посочено основание на трансакцията: „ф-ра 154487/03.05.2017 г.“ (стр. 87); платежно нареждане от
09.05.2017 г. на стойност 12 585 лева, с посочено основание на трансакцията: „ф-ра 158845/03.05.2017 г.“ (стр. 90). В долната част на
всяко от платежните нареждания се съдържа текст, сочещ, че същите са подписани
на съответната дата и час от потребител: “******”. На стр. 29 по делото е
представено извлечение по банковата сметка на ищеца, IBAN 20******,
от което се установява описаните в платежните
нареждания преводи да са реално извършени на съответните дати.
На стр. 34 по делото е представено
саморъчно написано искане от 11.05.2017 г. за блокиране на откритите в ПИБ на името на „Е.С.“
ЕООД, ЕИК: ******, банкови сметки, както и на личните ѝ банкови сметки.
Представена е и жалба от 11.05.2017 г., депозирана пред „П.и.б.“ АД (стр. 30),
с която законният представител на „Е.С.“ ЕООД – С.Д., е оспорила пред банката
гореописаните два броя преводи, с аргументи, че представляваното от нея
дружество не е било в правоотношения с дружеството – получател на сумите. С
депозираната жалба, дружеството е отправило искане до банката да бъдат
блокирани сметките, по които са преведени неправомерно сумите, а последните да
бъдат възстановени на дружеството.
На стр. 35 по делото е представено и
писмо на ищеца до ответника от 21.09.2017 г., във връзка с подадената жалба от
11.05.2017 г., с което е подканил банката в 7-дневен срок да го уведоми за
предприетите действия и резултатите от тях във връзка с подадената жалба за
оспорване на трансакции.
По делото е прието заключение на съдебно-счетоводна експертиза. След справка в счетоводството на
ищеца вещото лице е констатирало, че на 05.05.2017 г.
и на 09.05.2017 г. от разплащателна сметка на ищеца с IBAN
20******, при ПИБ АД, са извършени два броя преводи с
получател: „Е.А Е.Д.“ ЕООД, както следва – превод на стойност от 25 100 лева, с
основание: „ф-ра 154487/03.05.2017 г.“; превод на
стойност от 12 585 лева, с посочено основание: „ф-ра
158845/03.05.2017 г.“. Наред с това, вещото лице е установило, че в
счетоводството на ищеца не фигурира доставчик „Е.А Е.Д.“ ЕООД, като описаните в
основание за преводите фактури не са осчетоводени от страна на ищеца.
Определило е и размерът на лихвата за забава върху главница в размер на 25 100
лева за периода от 02.06.2017 г. – 02.07.2018 г., а именно – 2754,02 лева.
Размерът на лихвата за забава върху главница в размер на 12 585 лева за същия
период е 1380,86 лева.
Видно от писмо, вх. номер
75298/07.06.2019 г. (изх. номер на БТК ЕАД 12609/06.06.2019
г.) на БТК ЕАД -Дирекция Сигурност (стр. 256 по делото), дружеството не може да
предостави трафични данни за 2017 г., тъй като
съгласно изискванията на Закона за електронните съобщения, трафичните
данни се съхраняват в срок от 6 месеца.
По делото са депозирани и приети Съдебна
компютърно – техническа (стр. 261) и Допълнителна съдебна компютърно –
техническа експертиза (стр. 345) на вещото лице Д.С..
Относно характера на услугата „Виртуален
банков клон“ или електронно банкиране, вещото лице С. е посочило, че електронното банкиране е средство за достъп в
реално време до услугите на банка, с висока степен на сигурност, интегрирано в
интернет средата. За разлика от онлайн магазините, при електронното банкиране
една парола не осигурява достатъчно спокойствие нито за клиента, нито за
банката, затова сайтовете за онлайн банкиране обикновено ползват подсигурения
протокол HTTPS (това е стандартния HTTP (Hyper Text Transfer Protocol)
+ SSL (Secure Sockets Layer)). Той криптира целия трафик - цялата информация,
плюс паролата за достъп - правейки почти невъзможно за трети лица да се сдобият
с тях. Протоколът криптира само трафика и ако клиентският компютър не е добре
защитен, паролата може да бъде „подадена” на трети лица директно по време на
въвеждането. Поради тази причина банките, в това число и “П.и.б.” използват
допълнителни защитни средства, като КЕП (квалифициран електронен подпис), токен устройства, софтуерен токен,
ТАН кодове, изпращане на SMS с допълнителни кодове при всеки нареден превод и
др. Платформата за дигитално банкиране My Fibank е собственост на банката, разработена е от външен
доставчик, по възлагане на Банката, но правата и кода на платформата
принадлежат изцяло на Банката. Системата е разработена на Java
с база данни Oracle. Front-end
частта е Angular. Посочило е, че от съображения за
сигурност, банката е предвидила специални правила за ползване на “Виртуален банков
клон”. За да се използва такъв вид банкиране, а именно “онлайн банкиране” е
необходимо клиентът на банката изрично да заяви ползването, подписвайки
специални документи. Според заключението, наред с предоставения достъп на
клиентите във “Виртуален банков клон” (титуляри на сметки, физически и
юридически лица), със специален достъп влизат администраторите на системата,
като администраторите нямат права за създаване на платежни нареждания, нито
имат права за подписване на такива, т.е. са един вид “наблюдатели”.
Единственото допълнително действие, което могат да направят е да изтрият
нареден от титуляра превод. В разясненията, дадени в
съдебно заседание, при приемане на заключението е посочено, че администраторите няма как да създадат превод
и да подписват превод, тъй като не разполагат с електронен подпис. Посоченото в
заключението „изтриване“ на нареден превод означава, че системата изтрива
автоматично преводи, които не са подписани след изтичане на предварително
определено време.
При анализа на системите за електронно
банкиране при ответника, вещото лице С. е установило, че ищецът е ползвател на
услугата „Онлайн банкиране“ при ответника, като освен с потребителско име и
парола, ищецът (клиентът) е избрал допълнително средство за идентификация –
електронен подпис, заявен пред банката, със сериен № 10117521, с титуляр
„Energy Saving EOOD”, автор: “******” и валидност: 08.09.2016
г. – 08.09.2017 г., който е невалиден към момента на проверката.
При заявка за банкиране с електронен подпис,
се изисква първоначална регистрация на електронният подпис. В конкретният
случай, вещото лице е констатирало, че горепосоченият електронен подпис на С.Д.
е бил регистриран в системата на банката на 08.09.2016 г. в 15:15:31 часа.
Наред с това, вещото лице е установило,
че до 01.02.2017 г. банката – ответник използва адреса e-fibank.bg за онлайн банкиране, като от този момент започва
поетапно преминаване към обновена и единна платформа за онлайн банкиране, която
работи и в момента - my.fibank.bg. Посочило
е, че етапът за миграция на потребителите с достъп до регистрации на юридически
лица е приключил на 15.04.2017 г., т.е. от тази дата всички клиенти на
“Виртуален банков клон” на банката вече използват и банкират
през новата система my.fibank.bg, като там са прехвърлени всички техни сметки. Адресът за
достъп през браузър е my.fibank.bg. При работата си със системата вещото лице е
констатирало, че при преминаване към новата система, конкретният потребител задължително следва да
даде потвърждение за приемане на промени в общите условия на ПИБ за електронно
банкиране „Моята Fibank“, като за тази цел на
конкретната страница се отваря аналогов прозорец, съдържащ текста на тези общи
условия (фиг. на стр. 9 от заключението, стр. 269 по делото). Посочено е, че
преминаване към следващи стъпки и операции е невъзможно без изрично отбелязване
на даване на съгласие с новите общи условия на банката. Отбелязано е, че тази
възможност е достъпна едва след като потребителят е въвел своите
идентификационни данни за достъп в старата система, като след потвърждаване на
съгласието, започва да използва новата система за електронно банкиране, като
оспорените преводи са извършени именно посредством новата система за електронно
банкиране.
От непосредствената си работа със
системата за електронно банкиране, вещото лице е установило, че за да бъде
изпълнено от банката определено нареждане за превод, то същото следва да бъде
подписано с регистрирания в системата електронен подпис на потребителя, който
същата самостоятелно посочва в отделен изскачащ прозорец. След избор на
съответния подпис от страна на потребителя и въвеждането на изискуемия ПИН –
код за потвърждение, системата подписва съответното нареждане. Вещото лице е
посочило, че това може да се осъществи единствено при положение, че физическото
устройство с удостоверението за електронен подпис е свързано с компютъра и се
въведе правилния ПИН код, който е различен от паролата за достъп в системата за
ел. банкиране. В случай, че физическото устройство липсва/ удостоверението за
електронен подпис е изтекло към момента на извършване на нареждането или е
въведен грешен ПИН код, системата изписва грешка и не разрешава извършване на
превода. За
да бъде положен подпис, банката проверява дали електронният подпис е валиден.
Това става посредством заявка и проверка до OCSP сървъра. Така, ако проверката
премине успешно, клиентът на банката може да положи електронен подпис върху
заявката за превод. Едва след полагане на подписа, се генерира pdf файл с платежното нареждане.
Вещото лице дава обяснения за
процедурата при нареждане на превод – генерира се специален уникален номер,
който започва с IBD и завършва с числа, който номер е
вътрешна референция на нареждането, също така в системата се генерира още един
номер, започващ с IBC
и завършващ с число, който номер е референция на електронния подпис.
Вещото лице Д.С. е посочило, че за двата
оспорени превода системата е генерирала изискуемите IBD и IBC номера, както и банкова
референция, като нареждането за превод в полза на „Е.А Е.Д.“ ЕООД на стойност
от 12 100 лева, е заявено на 05.05.2017 г. в 15:23:30
ч., подписано с референция на ел. подпис на 05/05/2017
в 15:23:50 ч. с електронен подпис на С.Д., управител на Е.С. ЕООД, номер
10117521, издаден от В- Trust, като достъпът за тази
операция е осъществен от IP 62.73.105.236. От същия адрес е установен и
достъпът за нареждане на превода в полза на същото юридическо лице, на стойност
от 12 585 лева на 09.05.2017 г., когато, в 11:23:56 ч. платежното нареждане е
заявено, а в 11:24:29 ч. е
подписано с референция на електронен подпис,
със същия електронен подпис. Посочило е, че устройството, с което са подписани
заявките за процесните преводи, е „квалифициран електронен подпис“, издаден от
Доставчик на удостоверителни услуги по смисъла на ЗЕДЕП. Установено е, че
потребителският профил, от който са наредени и двата превода, е ES_***, като е посочено, че е
невъзможно да се установи име на машината, която е използвана за достъп, тъй
като тези идентификационни данни не се следят от банката.
Експертът обяснява начина на проверка
дали едно електронно съобщение не е изменяно, а именно – чрез преработване
съдържанието му чрез дадена hash функция. Получената битова
последователност се криптира посредством алгоритъм за криптиране с частен ключ
и получената битова поредица се прикача към файла и се получава електронно
подписан документ. По време на подписването с КЕП, за всеки подписан файл се
генерира електронен подпис, като този електронен подпис изчислява контролната
сума, т.нар hash. Тази контролна сума е уникален
набор от символи, т.е представлява алгоритъм, при който от даден входен текст
(без да се има предвид дължината) се преобразува на дадена поредица от числа и
букви, която е с точно определена дължина. В конкретния случай, при самото
подписване във виртуален клон се подписва динамично генериран json файл или .xml файл, като се прави връзка с IBC номера
на операцията. При изчисляване на контролната сума на подписа чрез независима
система за декриптиране, вещото лице е получило данни
за сертификат със сериен № 10117521, издаден от Борика –Банксървиз
АД, валиден от 06:29:24ч. на 08.09.2016 г. – 06:29:24ч. на 08.09.2016 година.
Вещото лице е посочило, че използваният IP адрес е динамичен – различен
за
всяка сесия в интернет, като първата част от адреса си остава неизменена.
Доставчикът на интернет услуги разполага с определен набор от IP адреси, които разпределя
на своите потребители,
използващи интернет услуги в конкретния момент на ротационен принцип. При проверка на компютъра на ищеца
– лаптоп с операционна система “Windows”,
е установено, че не са налице вируси.
Вещото лице С. е констатирала, че при
достъпване на Виртуален банков клон my.fibank.bg за извършване на двата
спорни превода се е използвало потребителско име ES*** и съответната за
потребителското име парола, която е известна само на потребителя. За да бъде
потвърдена заявката за превод се използва “квалифициран електронен подпис”,
като необходимо условие е физическото устройство да бъде поставено в USB порт
на компютъра, както и въвеждането на таен ПИН код. Направило е извод, че и
двата превода са наредени именно със собствения на управителя на „Е.с.“ ЕООД
КЕП, който е бил валиден към релевантния период. Вещото лице е дало мнение, че в
момента, в който е подписана заявката за преводите, банковата сметка на ищеца е
задължена със съответната сума. Според него, при нареждане на преводи през
Виртуален банков клон, системата не изисква ръчно потвърждение от служител на
банката, дали да се извърши или не който и да е превод, като това става
автоматично, във времето, в което заявката за превода бъде подписана. Така че
разрешението е станало автоматично, при полагане на подписа, и сумите са
пристигнали веднага по чуждата банкова сметка, ***. Посочило е, че двете
платежни операции са наредени и извършени успешно, като не е била налице грешка
или друг недостатък в системата, тъй като, в противен случай, системата не
позволява да се извърши нареждането.
На отговор на поставен от ищеца въпрос,
вещото лице е посочило, че в периода от 08.09.2016 г. (датата на издаване на
КЕП на С.Д., управител на “Е.с.” ЕООД) до 11.05.2017 г. са използвани над 10
броя IP адреса за вход и извършване на операции в системата, като в новата
система my.fibank.bg достъп
е осъществяван през два IP
адреса – 10.14.102.62 и 62.73.105.236, като
именно вторият IP адрес
е използван за нареждане на оспорваните преводи. Според вещото лице, не е
възможно да се извърши нареждане на превод без да се осъществи преди това вход
в системата с потребителско име и парола, да се попълни заявка и да се подпише
с КЕП след това.
На въпроса възможно ли е друго лице,
освен притежателя на КЕП или лице, на което е предоставена възможност да ползва
същия КЕП да нареди извършването на платежна операция от сметката на Е. в ПИБ
чрез използване на услугата електронно банкиране Моята Fibank,
вещото лице е отговорило, че за да се стигне до нареждане на определена сума,
това лице трябва правилно да е въвело потребителско име и парола, както и
ПИН-код на регистрирания в системата КЕП и физически да разполага с
устройството – носител на удостоверението за КЕП. Пълният набор от стъпки за
създаване на банков превод е описан както следва:1) вход в системата; 2)
потребителят избира бутон „Нов превод“; 3) избор на сметка от която да се
осъществи превода; 4) избор на получател; 4) посочване на точна сума; 6)
основание за превода;7) изпращане на заявка към банката и подписване на
заявката; 7) проследяване в „Наредени документи“.
Вещото лице Стоева е констатирала, че в
новата система за електронно банкиране е възможно даден превод да бъде
създаден, но да не бъде подписан. В този случай той остава в раздел “Чакащи
подпис”, където може да бъде подписан в по-късен етап. До момента, в който
заявката не бъде електронно подписана, тя не се изпълнява от системата
(респективно от банката) т. е. превод на средствата се извършва тогава, когато
бъде поставен електронен подпис.
Вещото лице е изследвало дейността в
профила в периода 05.05.2017 г. до 10.05.2017 г., като е установило, че са
извършвани множество операции, подробно описани в приложение № 1 към
експертизата (стр. 317 и сл.), като са наредени 4 броя преводи, два от които се
оспорват от ищеца, но и четирите са наредени от един и същ IP адрес. От приложението към
експертизата се установява, че след мигрирането към новата система, операциите
да извършвани само от два адреса.
При отговор на поставен от страна на
ответника въпрос, вещото лице С. уточнява, че за да ползва Моята Fibank,
потребителят е нужно след вход с потребителско име и парола в старата система,
да е отметнал чекбокс с надпис “Запознат съм и
приемам Общите условия на П.и.б. АД за ползване на система за електронни
извлечения и услуги Моята Fibank”, след което да натисне
бутон “Приемете”, като при неизпълнение на гореописаното, за клиента не е
възможно да продължи и да използва системата „Моята Fibank“.
Съгласно разясненията, дадени в о.с.з по делото при приемане на експертизата, проведено
на 18.06.2019 г., за мигрирането към новата система не се е изисквало подписване с електронен
подпис, и липсва такова подписване от С.Д..
В открито съдебно заседание, проведено
на 18.06.2019 г., при приемане на експертизата, вещото лице С. дава следните
разяснения относно начина, чрез който дадено платежно нареждане се подписва в
системата, а именно: при нареждане на превод, се генерира файл, който носи в
себе си номер и е във формат ексемел или джейсън – този файл всъщност се подписва електронно, след
което преминава обратно в системата и последната връща крайният PDF файл, който е платежното
нареждане, издадено от системата, но това
платежно нареждане е подписано през четири други стъпки,
а не пряко. Затова вещото лице С.
сочи, че между крайно издаденото платежно нареждане и
електронният подпис няма пряка връзка. Сочи, че банката не пази файла (xml/json), който
се подписва, поради което не може да определи точно начина, по който е подписан
и по този начин – дали електронният подпис съответства на въпросния файл. След
подписване на този файл, системата автоматично генерира допълнителни документи,
които са съхранявани. Електронния подпис извършва пресмятане на т.нар. hash
или
на контролната сума, и когато тази сума се пресметне, заедно с подписания файл,
при извършване на сравнение, точно контролната сума показва дали този файл е
подписан или не, или ако има някакви промени, би показало, че файлът не е
подписан. Въпреки това, при липса на конкретния документ, който се подписва, такава
проверка за съответствие с електронните подписи, не може да бъде извършена.
Генерираният от системата уникален номер присъства във всички последващи документи, които са издадени автоматично от
системата при извършване на онлайн преводите. Една част от hash
присъства във файла, който генерира платежното нареждане, като в самата
система, за да работи коректно и точно, се извършва проследяване на плащанията.
Вещото лице пояснява, че всички файлове, които се създават в процеса на
извършване на един онлайн превод, в случая последователно са налице, с всички
уникални номера, с изключение на първоначалния файл, който се подписва, и който
от банката обяснили, че не се пази от съображения за сигурност. Излага, че е
извършила проверка при четири онлайн превода, включително и на двата оспорени,
като при четирите хронологията на развитието и съхраняваните данни са
идентични.
Вещото лице С. разяснява, че никой,
освен титулярът на електронния подпис не може да каже
какъв PIN е
използван. Когато издателят на удостоверителни услуги издава електронния
подпис, клиентът избира PIN,
който
може впоследствие да промени. В конкретния случай титулярът
на електронния подпис – С.Д. е избрала да използва постоянен PIN код, а не динамичен, който се
генерира за всяка операция. При новата система за интернет банкиране на ПИБ - my.fibank.bg, посочване на PIN се изисква само при извършване на
банков превод, не и при вход в системата. При първоначален вход в системата на
отделния потребител се изписват наличността по сметките и последните пет
операции, но в зависимост от големината на екрана, могат и да не се видят
изцяло.
В допуснатата допълнителна съдебна
компютърно-техническа експертиза (стр. 345 и сл.) от 07.10.2019 г., вещото лице
С. сочи, че в системата за електронно банкиране съществуват два подписа,
положени съответно на 05/05/2017г. и на 09/05/2017
година. Тъй като това са отделни файлове, различни от подписаните документи, то
те са Detached подписи.
Подписите и платежните нареждания са
свързани помежду си посредством четири файла, съдържащи определени атрибути от
подписа и от IBD номера, съхраняващи се в системата на банката и които са
последователно изпълнени. По номерата, съхраняващи се в тези файлове се достига
до номера на платежното, отговарящо на подписа. Въпреки това, при проверка на
подписите и съответните им платежни нареждания, вещото лице е установило, че не
е възможно да бъде открита всяка следваща промяна в електронните документи,
след като подписът вече е бил поставен.
Вещото лице е обяснило, че за да бъде
положен електронен подпис върху даден документ, то в процес за заявката на
подписване, системата на банката прави директна връзка с базата данни на
доставчика на удостоверителни услуги, за да се провери дали подписът е валиден.
При потвърждаване на валидност, системата позволява даден документ да бъде
подписан. От тук вещото лице е направило извода, че е било извършено
квалифицирано валидиране от издателя на електронния
подпис към датата на подписване на процесиите документи.
Наред с това, при проверката на данните
и сравнение на платежните нареждания (за извършените оспорени преводи) с
електронните подписи, прикачени към тях под формата на отделни файлове, вещото
лице е констатирало резултат, че и в двата случая електронният документ не отговаря
на съответния електронен подпис или е бил променен след поставяне на подписа.
Посочило е, че не е налице възможност да се установи какви точно промени са
извършвани, след като подписът е бил поставен.
В открито заседание, проведено на
15.10.2019 г. (протокол на стр. 376 и сл.), при приемане на заключението на
допълнителната експертиза, вещото лице обяснява конкретния механизъм на
проверка – с независим софтуер, създаден от доставчик на електронни
удостоверителни услуги, в случая InfoNotari, по следния метод: първо се избира detached - електронният подпис,
след което се избира файла, който е бил подписан и софтуерът удостоверява дали
точно този файл е бил подписан с точно този подпис, като конкретния файл, с
който вещото лице е правило сравнението, е с pdf- файла, т.е. готовото генерирано от банката
платежно нареждане за превода. Констатирало
е, че в двата диалогови прозореца, между които е извършвано сравнението, се
открива разлика в номера, като във единия файлът започва с D, като са пропуснати две букви I и B, като последващите
цифри съвпадат. Вещото лице обяснява това обстоятелство с големината на полето
за изписване на номера на файла – същото е твърде малко, за да се виждат
последните букви от самия файл и пътя до него. Сочи, че за да извърши сравнението,
се е наложило да конвертира предоставения от банката файл за електронния подпис
в TXT-
формат. Според вещото лице Стоева, тъй като липсва първоначалния, подписан файл
в xml или json
формат, всяка проверка и сравнение с последващите
генерирани файлове би давала същия резултат, а именно – че конкретният файл не
е подписан с този електронен подпис.
По делото с определение от о.с.з. от
15.10.2019 г. е допусната повторна съдебно компютърно – техническа експертиза,
като на вещото лице е възложен отговор на поставените при допълнителната СКТЕ
(стр. 382 и сл.).
В депозираното пред съда заключение
от 26.11.2019 г., вещото лице Н.Х. е посочило, че електронния подпис на С.Д. е
свързан с двете оспорени платежните нареждания, които се твърди, че са
подписани с него, тъй като данните на платежното нареждане и електронния подпис
са прикачени в един „контейнер“ – криптиран информационен низ – “attached”. Според вещо лице Х.,
констатираната връзка позволява да бъде открита всяка следваща промяна в
електронните документи, тъй като поради технологията на криптиране, при спазени
hash на
информацията, в същата се позволява да бъде открита всяка следваща промяна в
електронните данни. Посочено е, че съгласно данните в системата на ответника,
квалифицирано валидиране от издателя на електронния
подпис е извършено към датата на подписване на всеки от процесните документи.
Според вещото лице Х. са изпълнени техническите изисквания за наличие на
валидно електронно подписване на процесните документи. При анализ на
предоставения на вещото лице от банката файл „signature.txt”, в json формат,
подписът, генериран от клиента, който е въз основа на данните на платежното,
съдържащи се в „base64_content.txt“
– файла и частния ключ на клиента в json формат, след декодиране от base64, се открива следната потребителска
информация:
Certificate:
Data:
Version 3 (0x2)
Serial number:10117521
(…)
Issuer: C=BG, ST= Sofia, L =
Sofia, 0=BORICA BANKSERVICE AD EIK ******, OU =B-Trust (…)
Validity:
Not Before: Sep 8 06:29:24 2016 GMT
Not After: Sep 8 06:29:24 2017 GMT
Subject: C=BG, ST= EGN:**********,
0=Energy Saving EOOD, OU=Professional Certificate – UES, OU = BULSTAT: ******,
CN= ****** (…)
Процесният
IP,
от който са извършени и двете оспорени транзакции, 62.73.105.236 е от адресното
пространство на Виваком АД, разпределен за района на
гр. Стара Загора и към процесния период е бил динамичен IP адрес.
При приемане на заключението на
повторната експертиза, в о.с.з., проведено на
03.12.2019 г. (протокол на стр. 399 и сл.), вещото лице Х. обяснява, че при
влизане в онлайн банкирането на ПИБ, със съответната автентификация
– потребителско име, парола, в случая – и чрез тоукън,
се създава платежното нареждане, което се генерира в системата и при
подписване, този низ от информация, заедно с платежното нареждане, електронен
подпис и генерирания тоукън в момента на транзакцията
се приобщават в един код, който се подава в базата данни на банката, който
по-скоро присъства като част от база данни впоследствие, не е отделен файл, но
може да бъде поставена във файл, за да бъде анализирана, за което служи
разширението json. Вещото лице сочи, че самият файл не
му е бил предоставен, като вместо това му е предоставено извлечение от базата
данни. Обяснява, че от момента на подаване на заявката се генерира
специален файл, който след това се
инкорпорира в базата данни и вече няма самостоятелно съществуване като файл, не
присъства като отделна единица в архива на банката. Поради това и не може да
бъде предоставен. След като транзакцията бъде наредена по надлежния начин,
данните се инкорпорират в базата данни на банката, което е обичаен начин на
обработване на информация при подаване на заявка до нейното изпълнение при сложни системи, които трябва да гарантират
сигурността на транзакциите. Поради това се създава базата данни - да остане масив от информация, в който да
присъства информация за всички извършени транзакции, която после да бъде
проследена, а не отделни файлове за всяка една отделна транзакция, тъй като
това би генерирало огромен обем информация и затруднило нейната обработка.
При анализа си, вещото лице Х. сочи, че
е използвал специален софтуер, който му позволява да прочита файловете, без да
е необходимо да променя формата на файла, включително софтуерни продукти, които
са негова разработка.
Вещото лице Х. разяснява, че клиентският
частен ключ е част от електронния подпис и данните от същия, заедно с публичния
ключ се използват за да се осъществи всяка една транзакция. При платежно
нареждане се генерира отделен код, който съдържа в себе си банковите атрибути за нареждането.
При оторизация на това платежно нареждане като
информация и като код е необходимо да се впише частния клиентски ключ. За да се удостовери верността на
частния ключ е необходимо да се извърши и проверка и на публичната част. Именно
това означава генериране на подпис. Вещото лице Х. е констатирал, че в
конкретния случай електронния подпис е прикачен към цялата информация за
платежната операция, а не следва като отделен прикачен файл. Поради това и в
конкретния случай се приема, че е налице подпис, тип Attached.
Относно т.нар HASH проверка, в разясненията, дадени в
о.с.з по делото, проведено на 03.12.2019 г. вещото лице Х. е посочило, че това
е метод ,който се прави на два етапа. При първия етап – създаването на
информацията, се прави проверка относно нейното съдържание, идентичност,
достъпност и хронология, като при това
сравнение се генерира един нов информационен низ, който е уникален за тази
информация. После тази информация може да бъде проверена при използване на
същата методология, и ако цифрите, които са генерирани при първоначалната
проверка съответстват, може да се приеме, че се касае за 100 % идентичен файл,
информация, данни. В конкретния случай вещото лице не е получило достъп до
първоначалната проверка, а само от извадката на банката, т.е извадка от базата
данни на банката. Вещото лице Х. е посочило, че от тази извадка не може да се
направи такава „обратна“ HASH
проверка.
Вещото лице е посочило, че ако му бъде предоставена от банката първоначалната
проверка, която банката е направила, то може да направи нова проверка и да се
сравнят цифрите.
На вещото лице Х. е възложена
допълнителна задача да изследва и сравни публичния и частния ключ на електронния
подпис, заедно с тези, използвани за извършването и изпълнението на конкретните
спорни парични преводи, както и да изясни методологията на HASH функцията.
В допълнително заключение от 10.02.2020
г. и в допълнението към заключението от 10.02.2020 г. вещото лице Х. е
пояснило, че електронен подпис (КЕП) е реквизит на електронен документ,
предназначен за защитата му от фалшификация.
Това е криптографски
подпис, т.е математическа функция (низ от кодирани данни), получена в резултат
на криптографска обработка на информацията, извършена
с цел да се удостовери самоличността на изпращача и да се гарантира, че
информацията не е била променяна по пътя между изпращането и получаването. Криптографските ключове
са симетрични - един и същ ключ е
използван за правото и за обратното криптографско
преобразуване, а при асиметричните има частен и публичен ключ. Частният ключ е
известен само на притежателя му, а публични ключ е ключ, който може да бъде публикуван и да се
използва за проверка на истинността на подписания документ, а също така
позволява и еднозначно да бъде определен подписващия. С частния ключ се
изчислява и проверява публичния ключ, но е практически невъзможно при известен
публичен ключ да се изчисли частния ключ.
В конкретния случай вещото лице е проверило
публичния ключ, с който са извършени оспорените транзакции, същият се прочита,
с изписване на серийния номер 10117521, т.е издаден е от сертифицирана
компания.
Вещото лице е посочило, че създаването
на квалифициран електронен подпис включва: 1). прилагане на хеш
алгоритъм за изчисляване на хеш идентификатор на
електронното изявление (в случая паричен превод); 2). прилагане на асиметричен
алгоритъм за подписване (криптиране по метод, при който публичният и частният
ключ не са равни и равнопоставени); 3). прилагане на
метод за допълване.
Хеширането
е процес, който генерира стойности от низ от текст и цифри, посредством
математическа формула. Резултатът е кодирана стойност, която осигурява защита
на данните. Шифрованите хеширани алгоритми
произвеждат необратими и уникални хешове. Получената
стойност се счита за средство за проверка на първоначалната информация.
Промяната на първоначалната информация ще промени и стойността на получения
първоначално хеш. Вещото лице Х. е разяснило, че при
ПИБ не се извършва първоначално хеширане с цел информационна сигурност, а същата се
постига чрез други методи – автентикация, -
парола, акаунт име, КЕП, технологична верификация през Online Certificate Status Protocol.
След указания на Съда е изготвено и
допълнение към експертизата от 04.03.2020 г., видно от което на вещото лице е
представен частен ключ за електронен подпис, валиден в периода 16.09.2019 г. –
15.09.2020 г., т.е. не и частния ключ, ползван в относимия
период.
Видно от обясненията на вещото лице, дадени
в о.с.з., проведено на 16.06.2020 г., частния ключ се държи от собственика на
електронния подпис и се намира върху памет – карта. Ключът е уникален за всеки
един електронен подпис, т.е. ако има два електронни подписа, ще са налице и два
различни частни ключа. Вещото лице е посочва, че при извършване на експертизата
му е предоставен частен ключ, който не е бил физически издаден към датата на
извършване на оспорените трансакции, като КЕП, с който са извършени всички
изследвани от вещото лице транзакции, е един и същ, и той не му е бил
предоставен за изследване.
Въз основа на така възприетата фактическа
обстановка по делото, Съдът намира следното от правна страна:
По исковете по чл.57, ал. 1 от ЗУПСП
(отм.)
Съгласно чл. 57, ал. 1 от ЗПУПС (отм.) в
случай на неразрешена платежна операция доставчикът на платежни услуги на
платеца му възстановява незабавно стойността на неразрешената платежна операция
и, когато е необходимо, възстановява платежната сметка на платеца в
състоянието, в което тя би се намирала преди изпълнението на неразрешената
платежна операция.
Предпоставките за основателност на иска
са:
1. Валиден договор между страните за
доставка на платежна услуга;
2. Извършване на неразрешена от ищеца
платежна операция;
3. Ответникът като доставчик на
платежната услуга да не е възстановил на ищеца стойността на неразрешената
платежна операция.
По делото се установи, че между страните
е сключен договор, по силата на който през 2005 г. ПИБ е открила и поддържа
разплащателна сметка с титуляр Е. (стр. 238-239 по делото – четливо копие на
договора, представено в нечетлив препис на стр. 20-22 по делото).
Към момента на сключване на договора за
разплащателна сметка е в сила разпоредбата на чл. 426, ал. 1 (отм.) от ТЗ. С
договора за разплащателна сметка банката открива сметка на едно лице, чрез
която срещу възнаграждение приема и извършва по негово нареждане плащания в
границите на наличните суми. Касае се за формален, двустранен и възмезден.
Задълженията на банката са да изпълнява нарежданията на титуляра
на сметката и да плаща лихва върху вложените по сметката пари, както и да
уведомява титуляра за извършените операции.
Установява се, че по искане на Е. през
2008 г. му е предоставена възможността да ползва услугата INTERNET HOME BANKING
на ПИБ АД, вкл. и относно посочената разплащателна сметка (стр. 23 по делото).
Установено е, че през 09.2016 г. Е. в
качеството му на титуляр на банкови сметки при ПИБ е посочил като оправомощен ползвател, извършващ операции чрез e-fibank С.Д. (искане за промяна на регистрация от
15.09.2016 г. - стр. 23-25 по делото).
Установи се, че на 05.05.2017 г. и на 09.05.2017 г. са извършени два броя
платежни операции - преводи към банковата сметка на третото лице – помагач „Е.А
Е.Д.“ ЕООД, открита в ПИБ, на стойност, съответно: 25 100 лева и 12 585 лева.
Спорът е дали тези две платежни операции
са „разрешени“ по смисъла на чл. 51 от ЗПУПС (отм.).
На първо място, касае се за оспорване на платежни
операции по смисъла на т.17 от ДР на ЗПУПС ("Платежна операция" е
действие, предприето от платеца или от получателя по внасяне, прехвърляне или
теглене на средства независимо от основното правоотношение между платеца и
получателя).
Съгласно чл. 51 от ЗПУПС (отм.)
платежната операция е разрешена, ако платецът я е наредил или е дал съгласие за
изпълнението ѝ, като според ал. 2 разрешението от платеца се дава преди
изпълнението на платежната. Съгласието за изпълнение на платежна операция или
на поредица от платежни операции се дава по ред и начин, уговорени между
платеца и неговия доставчик на платежни услуги.
В конкретния случай, се установява, че
нареждането за двете оспорени платежни операции е дадено чрез изпълняване на
поредицата от действия, необходими за използване на услугата - електронно банкиране Моята Fibank
на ответника, т.е. чрез използване или придаването на вид, че се използва
„платежен инструмент“ по смисъла на § 1, т.16 от ДР на ЗПУПС (отм.) –
(персонализирано/персонализирани устройство/устройства и/или набор от
процедури, договорени между ползвателя на платежни услуги (ищеца Е.) и
доставчика на платежни услуги (ответника ПИБ) и използвани от ползвателя на
платежни услуги с цел подаване на платежно нареждане), а именно чрез вход в
системата чрез потребителско име, ПИН, използването на квалифициран електронен
подпис (КЕП), който е бил издаден на името на ищцовото дружество, издаден от
доставчик на удостоверителни услуги Борика Банксервиз АД по реда на ЗЕПЕД.
За преценка дали процесните две операции
са „разрешени“ по смисъла на ЗПУПС (отм.) следва да се съобрази и разпоредбата
на чл.56, ал.1 от ЗПУПС (отм.), според която, когато ползвателят на платежна
услуга твърди неразрешена операция, доставчикът на платежната услуга носи
доказателствената тежест за установяване автентичността на платежната операция,
нейното точно регистриране, осчетоводяването, както и за това, че операцията не
е засегната от техническа повреда или друг недостатък, а според ал.3, когато
ползвателят на платежна услуга твърди, че „не е разрешавал платежна операция,
регистрираното от доставчика на платежни услуги използване на платежен
инструмент не е достатъчно доказателство, че платежната операция е била
разрешена от платеца или че платецът е действал чрез измама, или че умишлено
или при груба небрежност не е изпълнил някое от задълженията си по чл.53“.
Приложимостта на чл. 56 от ЗПУПС (отм.)
е възможно да бъде ограничена, съгласно чл. 48 от същия закон, според чиято ал. 2 когато ползвателят на
платежна услуга не е потребител, страните по платежната операция могат да
договорят, че в отношенията им няма да се прилагат чл. 49, ал. 1, чл. 51, ал.
1, чл. 56, 58, 59, 62, 68, 69 и чл. 70, ал. 1, както и да договорят срок,
различен от предвидения в чл. 55.
Именно това твърди ответникът, че са
направили страните в конкретния случай, с подписаните ОУ и ОУПУ.
С оглед обстоятелството, че ищецът е
търговско дружество, то същият не е потребител по смисъла на §1, т.23 от ДР на
ЗПУПС (отм.), доколкото съгласно дефиницията "потребител" е физическо
лице - ползвател на платежна услуга, което при договори за предоставяне на
платежни услуги извършва дейност, различна от неговата търговска или
професионална дейност.
Следователно, страните по договорите за
разплащателна сметка и съответно за INTERNET HOME BANKING, впоследствие за електронна
система за банкиране Виртуален банков клон на ПИБ (e-fibank)
в конкретния случай могат, съгласно чл.48, ал.2 ЗПУПС (отм.), доколкото
ползвателят на платежна услуга не е потребител (ищецът Е.), да договорят, че в
отношенията им няма да се прилагат чл. 49, ал. 1, чл. 51, ал. 1, чл. 56, 58,
59, 62, 68, 69 и чл. 70, ал. 1, както и да договорят срок, различен от
предвидения в чл. 55.
Първият спорен въпрос по делото е дали
договорните отношения между страните в изследвания период - май 2017 г. се уреждат от представените
Общите условия за откриване и водене на банкови сметки и за предоставяне на
платежни услуги (ОУПУ)
и Общи условия на ПИБ за електронно банкиране Моята Fibank (ОУ). И на двата екземпляра от ОУ е
посочено, че са приети от УС на банката
с решение, в сила от 01.02.2017 г., и отменят предходни ОУ.
По делото не са представени отменените
ОУ, регламентиращи договорните отношения между страните при сключване на
договора през 2005 г. за разплащателна сметка и договора за интернет банкиране
от 2008 година.
От представените ОУ за откриване и
водене на банкови сметки и за предоставяне на платежни услуги, се установява,
че първите такива ОУ са приети на заседание на УС на ПИБ АД на 27.06.2006 г.,
т.е след сключване на договора през 2005 година.
Няма данни ОУ през 2006 г. да са били
връчени на ищеца като ползвател.
Относно договора за разплащателна
сметка:
Към момента на сключване на договора за
разплащателна сметка от 2005 г., отношенията между страните са регулирани от
разпоредбата на чл. 426, ал. 1 (отм.) от ТЗ.
С договора за разплащателна сметка
банката открива сметка на едно лице, чрез която срещу възнаграждение приема и
извършва по негово нареждане плащания в границите на наличните суми. Този
договор съдържа в себе си елементи на два договора - на паричен влог и на
поръчка. Той е формален, двустранен и възмезден. Задълженията на банката са да
изпълнява нарежданията на титуляра на сметката и да
плаща лихва върху вложените по сметката пари. Същата дължи и уведомяване на титуляра за извършените операции. Задължение на титуляра е да плаща възнаграждение на банката, както и да
възмездява направените от нея разноски по извършените операции - чл. 427, ал. 1
(отм.) ТЗ.
Приложение намират и специалните правила
на Наредба № 3 от 29.09.2005 г. за паричните преводи и платежните системи
(отм.), действала към момента на сключване на договора и Наредба № 3 от
16.07.2009 г. за условията и реда за изпълнение на платежни операции и за
използване на платежни инструменти (отм.), действала към момента на извършване
на транзакциите.
Доколкото към датата на сключване на
договора за разплащателна сметка през 2005 г. няма данни да са били приложими
ОУ в отношенията между страните, и предвид факта, че се установява, че след
това са приети ОУ, като с декларацията от 2008 г. ищецът е заявил, че е
запознат със същите и ги приема, и тъй като се касае за ОУ, приети
впоследствие, след сключване на договора, то не е приложима разпоредбата на чл.
298, ал.2 от ТЗ, а съгласно чл. 298, ал.1 от ОУ, доколкото ищецът е търговец,
бил е уведомен за сключените ОУ, и писмено е заявил, че ги приема, като няма
данни да ги е оспорил, то следва да се приеме, че ОУ, приети през 2006 г. са
станали приложими и за отношенията между
страните по договора за разплащателна сметка от 2005 година.
С
влизане в сила на ЗПУПС (обн. ДВ бр. 23/2009 г., в сила от 01.11.2009 г.),
съгласно § 18 ПЗР на закона, чл. 426 - чл. 429 ТЗ се отменят.
Както е посочено и в решение № 239 от
21.04.2017 г. по т. д. № 2733/2015 г., ТК, ІІ ТО на ВКС, съгласно определението
в чл. 40, ал. 2 от Закона за платежните услуги и платежните системи /ДВ бр.
23/2009 г./ рамковият договор за платежни услуги е консенсуален,
уреждащ бъдещо изпълнение на отделни или на поредица от платежни операции,
който може да определя задълженията и условията за откриване и водене на
платежна сметка и най-малко съдържа задължителната предварителна информация по
чл. 41 ЗПУПС (отм.).
Следователно, касае се за специфичен по вид
договор, регламентиран от специален закон, който поражда задължение за доставчика
на платежни услуги да сключи при определени еднакви условия последващи
самостоятелни договори с ползвателя на платежната услуга. За да бъде последният
обвързан от рамковия договор, доставчикът на платежната услуга трябва да му
предостави предварителна конкретно и изчерпателно посочена от законодателя
информация, притежаваща правна характеристика на Общи условия. За изменение на
последните законодателят е възприел презумпцията за съгласие на ползвателя на
платежните услуги. Също в отклонение от общия гражданскоправен
принцип, че изменението и прекратяването на договора изисква съгласие на
страните по него е и разпоредбата в ЗПУПС, предвиждаща ползвателят на платежни
услуги, ако прояви активно поведение след уведомлението от страна на доставчика
за проектирани промени в рамковия договор, да го прекрати с едностранно
предизвестие без санкционни последици. С оглед спецификата на договора, отново
в отклонение от общите принципи на гражданското и търговско право,
регламентацията му в ЗПУПС предвижда ползвателят на платежна услуга да може да
прекрати едностранно по всяко време рамковия договор, освен при изрично
уговорен срок на предизвестие, за разлика от доставчика на платежни услуги,
който не разполага с право на едностранно прекратяване на същия договор по всяко
време, извън случаите на неизпълнение по чл. 44, ал. 6 от ЗПУПС (отм.).
Съгласно § 6, ал. 1 ПЗР ЗПУПС, в
тримесечен срок от влизането в сила на закона доставчиците на платежни услуги
(в случая ПИБ), операторите на платежни системи и другите задължени по закона
лица са длъжни да приведат в съответствие със закона дейността си и своите
правоотношения с трети лица, възникнали преди влизането му в сила. Според ал.2
на § 6, доставчиците на платежни услуги могат да използват начините и реда за
уведомяване, посочени в чл. 42, ал. 1 и чл. 43, ал. 1 и 2 от ЗПУПС (отм.). При
уведомяване на лицата, с които имат вече сключени рамкови договори (по смисъла
на чл. 40 от ЗПУПС), за настъпилите промени в тези договори, произтичащи от
този закон. Чл. 42, ал. 1 от закона предвижда, че това уведомяване може да
стане на хартиен или друг дълготраен носител във вид на разбираем текст и в
достъпна форма на официалния език на държавата членка, в която се предлага
платежната услуга, или на друг език, уговорен между страните. Според чл. 43,
ал. 1 и 2 от ЗПУПС (отм.), всички предвиждани промени в рамковия договор,
отнасящи се до промени в предварителната информация по чл.41, се предоставят
предварително по начина, посочен в чл.42, ал.1 от ЗПУПС (отм.) от доставчика на
платежни услуги на ползвателя на платежни услуги в срок не по-малко от два
месеца преди датата, на която е предложено промените да влязат в сила. Когато е
приложимо, заедно с уведомлението по ал. 1 доставчикът на платежни услуги
информира ползвателя на платежни услуги, че смята, че последният е приел
промените в условията на рамковия договор, освен ако уведоми доставчика на
платежни услуги, че не приема тези промени преди датата, на която промените
влизат в сила. В тези случаи доставчикът на платежни услуги трябва да уведоми
ползвателя на платежни услуги, че последният има право да прекрати незабавно
рамковия договор преди датата, на която е предложено промените да влязат в
сила, без да носи отговорност за разноски и обезщетения. Според § 1, т. 4 ДР
ЗПУПС "дълготраен носител" е всеки инструмент, който позволява на
ползвателя на платежни услуги да съхранява адресирана до него информация по
начин, достъпен за последващи справки, за период от
време, достатъчен за целите, за които е предоставена информацията, и който
позволява непроменено възпроизвеждане на съхранената информация. За дълготрайни
носители се смятат разпечатки от устройства за разпечатване на извлечения по
сметки, дискети, CD-ROM, DVD, компютърни твърди дискове, на които може да се
съхраняват електронни съобщения, както и интернет страници, които са достъпни
за последващи справки, за срок, достатъчен за целите
на информацията и позволяващ непромененото възпроизвеждане на съхранената
информация.
В случая се установява, че банката е
публикувала ОУПУ и техните изменения на интернет страницата си (която
представлява дълготраен носител по смисъла на § 1, т. 4 ДР ЗПУПС) (което се
установява и от изслушаните заключения на съдебно-техническата експертиза – че
не е възможно да се продължи да се работи в профила на потребителя, ако същият
не се съгласи с приложимите ОУ, ако има промени, след последното влизане в
профила), и с изтичане на 2-месечния срок, визиран в чл. 43 от ЗПУПС (отм.),
следва да се приеме, че ищецът е приел промените в ОУ на банката, ведно с
тарифата и лихвения бюлетин - неразделна част от ОУ и от договора (арг. и от чл. 3, ал. 2 от Наредба № 3, съгласно който
предварителната информация по чл. 41 ЗПУПС (отм.) се предоставя от банката под
формата на общи условия или проект на рамков договор).
С искането от 15.09.2016 г. ищецът е
заявил, че е запознат с ОУ за ползване на виртуалния банков клон, Общите
условия за откриване и водене на банкови сметки и за предоставяне на платежни
услуги, в сила към този момент (в сила от 01.02.2010 г. относно заварените
договори – ОУПУ – стр. 100-107 по делото). По посочените по-горе аргументи,
доколкото не се касае за формален, а за консенсуален
договор, и ищецът не е потребител, а търговец, за приложимостта на ОУ към
договорните отношения не е необходимо връчване на препис от ОУПУ.
Относно договорите за електронно
банкиране
Договорът от 29.02.2008 г. и договорът
от 04.03.2010 г. са договори за електронно банкиране, с които ответникът ПИБ е
приел да осигури ползването на услугите на електронно банкиране чрез заявените
от клиента Е. канали за посочените в регистрационната карта за електронно
банкиране сметки.
Относно тези договори също няма изрична
регламентация към момента на сключването им, поради което и нормата на чл.298,
ал.2 от ТЗ е неприложима. От друга страна, с оглед изложените по-горе
съображения, приложима се явява нормата на чл. 298, ал.1 от ТЗ, т.е към
договора за INTERNET HOME
BANKING от
2008 г. се прилагат ОУ за ползване на INTERNET HOME BANKING (описани в същия, но непредставени
по делото), респ. към договора от 04.03.2010 г. - ОУ за ползване на системата
за електронни извлечения и услуги “Моята Fibank“ (стр. 93-99 по делото).
Както бе посочено, видно искане за
потвърждаване нa
регистрация в системата за електрони извлечения и услуги “Моята Fibank“
от 04.03.2010 г. (стр. 207 по делото) и искане за промяна на регистрация от
15.09.2016 г. (стр. 23-25 по делото) заявителят Е.с. ЕООД, представляван от С.Д.,
е декларирал, че е запознат с ОУ за ползване на системата за електронни
извлечения и услуги “Моята Fibank“, ОУ за ползване на виртуалния банков клон на ПИБ, общите
условия за откриване и водене на банкови сметки и предоставяне на платежни
услуги и другите изисквания към банката. Именно тези ОУ са и сред изброените
ОУ, които се отменят с представените от ответника ОУПУ, в сила от 01.02.2017
година (стр. 93-99 по делото). И тъй като се касае за формален, а за консенсуален договор, и ищецът не е потребител, а търговец,
за приложимостта на ОУ към договорните отношения с ПИБ относно електронно банкиране
не е необходимо връчване на препис от ОУ.
Поради това и Съдът намира, че в
отношенията между страните по договора за разплащателна сметка са приложими
ОУПУ (приети на заседание на УС на 30.10.2009 г., последно изменение от
01.02.2017 г.), а по договора за електронно банкиране са приложими ОУ, приети
на заседание на УС от 01.02.2017 г., в сила от 01.04.2017 г. относно заварените
договори, доколко се прилагат към сключени преди приемането им договори – чл.
18.5 от ОУ.
По изложените съображения, неоснователно
е възражението на ищеца, че отношенията между страните не се прилагат
посочените ОУПУ и ОУ.
Съдът следва да се произнесе по
направените възражения за нищожност на отделни клаузи в ОУ и ОУПУ, които намери за относими към спора, доколкото не са предявени като отделни установителни искове, а като възражения, ако и доколкото се
установи приложимост на посочените ОУ, респ. ОУПУ в конкретните отношения.
Във връзка с възраженията за нищожност
на клаузите на т. 14.1 от ОУ и т.19.1 от ОУПУ на основание чл. 26, ал.1, предл. 3 от ЗЗД – поради накърняване на добрите нрави, тъй
като с тези разпоредби се приема, че банката може да променя ОУ и ОУПУ, с
най-малко тридневно предизвестие, обявено на страницата на банката, в банковите
клонове, с електронни съобщения или уведомление по телефона, Съдът намира, че
това възражение е неоснователно. На тази възможност на банката съответства
възможност за титуляра прекрати договора без
неустойка – т.13.2 и т. 19.3.
Съгласно т. 21.3 от ОУПУ когато
ползвателят на платежни услуги не е потребител, чл. 56, чл.58 и чл. 70, ал.1 от
ЗПУПС (отм.) не се прилагат в отношенията му с Банката.
Ищецът противопоставя възражение за
нищожност на тази разпоредба от ОУПУ, като доводите касаят приемането и
важимостта на посочените ОУ в отношенията между страните.
Възможността да се изключи приложимостта
на определени разпоредби от закона е предвидена в закона – чл. 48 от ЗПУПС
(отм.).
Този законодателен подход е в
съответствие с чл. 35 от Преамбюла и чл. 51, ал. 1 вр. чл. 54, § 2, ал. 2 от Директива
2007/64/ЕО относно платежните услуги във вътрешния пазар, която допуска
законодателно да се ограничи режимът на отговорност на банката в отношенията й
с клиент-непотребител.
В конкретния случай, страните са приели,
че в техните отношения няма да се прилагат посочените специални разпоредби,
насочени към защита на потребителите – физически лица. И тъй като се касае за
възможност да се изключи приложимостта на определени разпоредби по силата на
закона, от която страните са се възползвали, то такава уговорка не може да
противоречи на закона на това основание.
С оглед неприложимостта на чл. 56 от
ЗПУПС (отм.) в отношенията между страните, неоснователно е възражението на
ищеца за нищожност на клаузите на т.4.6, предл. 2,
т.6.17, т.16.2 от ОУ и т.21.3 от ОУПУ
поради противоречие с чл. 56 от ЗПУПС (отм.).
Следователно, при спора дали двете
платежни операции в конкретния случай са разрешени, следва да се прилагат
общите разпоредби на ГПК, за разпределение на доказателствената тежест – всяка
от страните следва да докаже фактите, от които черпи права.
Както бе посочено и по-горе, относно
двете платежни операции се установи, че са извършени при използване на платежен
инструмент, който включва персонализирано устройство – Квалифициран електронен
подпис и набор от процедури, договорени между ползвателя на платежни услуги и
платец в конкретния случай (ищеца Е.) и доставчика на платежни услуги
(ответника ПИБ).
С оглед данните по делото, установява
се, че електронният подпис, с титуляр ищцовото
дружество (сериен номер 10117521) в исковия период има характеристиките на
квалифициран електронен подпис по смисъла на чл. 13, ал.3 във връзка с чл.16 от
Закона за електронния подпис и електронни документ (редакция ДВ. бр.101 от 20
декември 2016 г., приложима към момента на осъществяване на оспорваните
платежни операции).
В тежест на ответника като доставчик на
платежни услуги бе да докаже, че ищецът като платец е дал съгласието си за тези
платежнии операции по смисъла на чл.51, ал.3 от ЗПУПС
(отм.), съгласно която разпоредба съгласието за изпълнение на платежна операция
или на поредица от платежни операции се дава по ред и начин, уговорени между
платеца и неговия доставчик на платежни услуги.
Действително, страните са изключили
приложението на чл. 56, ал. 3 ЗПУПС (отм.), но това не освобождава доставчика
на платежни услуги (ответник в случая) да докаже, че именно платецът –
ползвател на платежната услуга е наредил превода по договорения от страните
начин, т.е с набора на операции и използване на технически средства, както са
се договорили.
В конкретния случай ответникът като
доставчик на платежни услуги не осигури достъп
и на двете вещи лица до пълната база данни, която да отразява всички
извършвани действия от ползвателите на платежни услуги, за да се провери
последователността от действия, свързана с осъществяване на двата конкретни
оспорени превода, а им бе предоставен достъп до отделни фрагменти от базата
данни.
Изложените твърдения, че при ответника не се
съхранява първоначалната информация, позволяваща проследяване на операциите,
извършвани с платежни инструменти, а се прави последващо
инкорпориране на информацията в база данни, от която се предоставят на вещите
лица достъп само до определени файлове (така обясненията и на двете вещи лица и
изрично в допълнителното заключение на вещото лице Х.), сочи на извод за
неизпълнение на задължението на ПИБ по чл. 54, ал.2, т.3 от ЗПУПС (отм.),
според която разпоредба доставчикът на платежи услуги, който издава платежен
инструмент, следва да съхранява в 5-годишен срок информацията, която позволява
проследяване на операциите, извършвани с платежния инструмент.
На ответника ПИБ АД бяха дадени изрични
указания да ангажира доказателства, че при него не се съхранява първоначалната
информация за извършвани операции в HASH формат, по причини за гарантиране на сигурността на
клиентите на банката (протоколно определение от 03.12.2019 г.). Такива
доказателства не бяха ангажирани. Дори и да бяха обаче, в тежест на доставчика
на платежни услуги е да докаже, че в конкретния случай е бил използван уговорен
от страните платежен инструмент за осъществяване на двете платежни операции, а
не само, че му е придаден вид на такъв.
Като взе предвид разясненията, дадени от
вещото лице Х. при приемането на двете допълнителни заключения, вкл. и разясненията,
дадени от вещото лице в заключението от 10.02.2020 г., Съдът намира, че
направеният от това вещо лице краен извод, че двете платежни операции са
наредени чрез използване именно на квалифицирания електронен подпис, издаден на
името на ищцовото дружество, противоречи на
предходните констатации на самото вещо лице, т.е изводът е необоснован.
Доколкото при ответника не се съхранява първоначалната стойност от HASH
-проверката (причините за това в случая са ирелевантни),
самото вещо лице е посочило, че няма как да се направи последваща
„обратна“ проверка само от данните в базата-данни на банката. В тежест на
банката да е създаде такава вътрешна организация, че при спор да може да се
установи надлежно проследяване на операциите, извършени с конкретен платежен
инструмент.
Поради това, Съдът цени допълнителното
заключение на вещото лице С. в частта относно отговора на въпроса дали се
установява връзка между платежните нареждания като електронни документи,
подписани с КЕП на името на ищеца, и повторното заключение на вещото лице Х. (в
частта относно начина на разясняване на изграждане на вътрешните системи в
банката, за отчитане на платежни операции). Съдът не кредитира заключението на
вещото лице Събев в частта относно отговора, че се установява, че електронният
подпис на ищеца е свързан с двете оспорени платежни нареждания. Този извод
противоречи, както бе посочено по-горе, на установеното от самото вещо лице, а
именно че при липса на първоначалната HASH стойност, няма как да се направи последваща
обратна проверка.
Поради това и изводът в отговора на
въпрос 2 по повторната експертиза от 26.11.2019 г. на вещото лице Х., в който е
посочено, че в конкретния случай е спазена процедурата по чл. 26 от Регламент
(ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 година
относно електронната идентификация и удостоверителните услуги при електронни
трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (Регламент
(ЕС) № 910/2014), също се явява необоснован.
За да направи този извод, вещото лице Х.
се позовава в конкретния случай от
създадената при ответника организация, която според него позволява да се открие
всяка последваща промяна в електронните документи,
изхождайки от предпоставката, че „поради технологията на криптиране при спазени
HASH на
информацията, в същата се позволява да бъде открита всяка последваща
промяна в електронните документи“. Тъй като обаче ответникът не предостави
именно тази първоначална HASH
информация, то няма как да се направи и извода за възможност в конкретния
случай да се открият последващи промени. Принципната
сигурност, която HASH
методологията на криптиране осигурява, не води автоматично до извод, че в
конкретния случай, при ответника тази технология е спазена изцяло, т.е че при
двата оспорени превода е сигурно, че са подписани с КЕП, издаден на името на
ищеца, съответно е налице неизменност на електронните документи, след като
същите са подписани с КЕП, издаден на името на ищцовото
дружество.
Поради това, Съдът приема, че в
конкретния случай не се доказа по делото от ответника, чиято е
доказателствената тежест, че именно ищцовото
дружество чрез упълномощени служители е наредило извършване на двете оспорени
платежни операции чрез използване на уговорения от страните платежен
инструмент, вкл. използване на издадения КЕП на името на ищцовото
дружество.
Съдът съобразява и приложимостта на чл.
15, ал.1 от Закона за електронния документ и електронния подпис (ЗЕДЕП - с
изменено наименование - Закон за електронния документ и електронните удостоверителни
услуги), според която разпоредба, титулярът, какъвто
в случая е ищецът (чл. 4 изр. второ от ЗЕДЕП), не може да оспори направено от
негово име изявление, подписано с електронен подпис, когато изявлението е
отправено в информационна система, предназначена да работи в електронен режим.
Следователно, касае се за необорима презумпция за авторството на електронен
документ по смисъла на чл. 180 от ГПК. В същото време обаче, приложимостта на
ал. 1 е изключена от ал.3 на чл. 15
(отм., в сила към процесния период) от ЗЕДЕП (заглавие изменено), а именно, че
ако адресатът на изявлението не е положил дължимата грижа, тази необорима
презумпция не се прилага.
В конкретния случай адресатът на
изявлението е ответникът ПИБ като доставчик на платежни услуги и е в негова
тежест да гарантира сигурността на системата, чрез която предлага тези платежни
услуги. С оглед заключенията на вещите лица, доколкото не може да се установи
по безспорен начин (т.е при условията на пълно, главно доказване), че
системата, изградена от ответника за осъществяване на електронна комуникация,
респ. осъществяване на платежни нареждания чрез използване на КЕП, гарантира и
неизменност на подписани електронни документи, то не може да се приеме, че
същият е положил дължимата грижа. Поради това и необоримата презумпция на
чл.15, ал.1 (отм.) от ЗЕДЕП (заглавие изменено) не следва да се приложи в
конкретния случай.
По изложените съображения, Съдът приема,
че ищецът оспори успешно автентичността на двата представени електронни
документа, чрез които се твърди, че е наредил оспорените платежни операции.
Във връзка с възражението на ищеца, че
клаузите на т.4.6 предл. 2, и т.6.17 от ОУ са нищожни
поради противоречие с чл.54, ал.1, т.1 и чл. 57, ал.1 от ЗПУПС (отм.), Съдът
намира, че същото е неоснователно. Двете посочени клаузи в ОУ предвиждат, че
подадените електронни изявления след получаване на достъп до Моята FIbank
и мобилно приложение се приемат и изпълняват от Банката като подадени и
подписани от оправомощения ползвател, идентифицирал се пред банката, действащ
от името на Титуляра със значението на саморъчен подпис, удостоверяващ
истинността и автентичността на електронното изявление за наредената операция
(т.4.6 предл.2) и че платежни нареждания, получени от името на
Титуляра/оправомощения ползвател чрез Моята Fibank съгласно установените от банката
правила и процедури се считат за валидно подписани писмени изявления, които
безусловно обвързват титуляра, като Банката не отговаря за вреди или пропуснати
ползи от изпълнението им (т.6.17 от ОУ). Тези две клаузи съответстват на закона
и не освобождават банката от отговорност при неразрешен достъп до
персонализираните защитни характеристики на платежния инструмент, каквито са
твърденията на ищеца. Смисълът и на двете разпоредби от ОУ е, че за банката
електронно изявление, подписано с издаден на името на наредителя електронен
подпис се счита за саморъчно подписано изявление от наредителя, което
съответства и на ЗПУПС (отм.) и на ЗЕДЕП (заглавие изменено), както бе посочено
и по-горе.
По изложените обаче съображения, Съдът
приема в конкретния случай, че не се доказа, че
двете платежни нареждания са действително подписани от ищеца като наредител, тъй като не се доказа пряката връзка между
електронните документи (платежните нареждания) и електронния подпис на ищцовото
дружество.
Следва да се отбележи, че ищецът прави
възражение за нищожност на т.16.2 от ОУ, съгласно която поддържаните от банката
архиви на нарежданията за изпълнение на платежни операции, или други транзакции
и на друга информация, подадени под формата на електронни заявления чрез Моята Fibank,
се приемат за окончателно доказателство за тяхното съдържание, както и за
времето, когато са подадени или изпълнени, поради противоречие с чл.56 от ЗПУПС
(отм.). Доколкото Съдът прие, че разпоредбата на чл.56 от ЗПУПС не се прилага в
отношенията между страните, то на това основание посочената норма от ОУ не може
да е нищожна. Съдът обаче намира, че съгласно правилото на чл. 20 от ЗЗД за тълкуване на клаузите от договора,
вкл. с оглед правилата на добросъвестността, посочената разпоредба от ОУ следва
да се тълкува в смисъла, вложен в чл. 15 (отм.) от ЗЕПЕД (загл.изменено),
посочен по-горе./ Т.е налице са обвързващи записвания за осъществени чрез
електронната система на банката на платежни нареждания, ако обаче банката е
действала добросъвестно, т.е поддържала е системата за електронно банкиране по
начина, по който може да се извлече историята на всяка операция и всяко
нареждане да се свърже с конкретн електронен подпис.
Поради това Съдът приема, че не е налице
разрешена платежна операцията, тъй като не се доказа, че именно ищцовото дружество чрез упълномощените си представители е
наредило, т.е подписало е с КЕП двете оспорени платежни нареждания.
Дори и да не се приеме посоченият извод
за недоказване на подписването на двете оспорени платежни нареждания с КЕП на
името на ищцовото дружество, Съдът намира, че по
делото не се доказа, че двете платежни операции са разрешени по смисъла на чл.
51 от ЗПУПС (отм.) и по следните съображения:
Наличието на съгласие не може да се
извлече единствено от подписване на нареждането чрез КЕП, тъй като въпросът за
отговорност на банката при неразрешена банкова операция се поставя и в
случаите, когато операцията е извършена от името на потребителя, чрез негови
идентификационни характеристики, но придобити неправомерно. Съгласието,
съгласно чл. 51, ал.1, изр. 2 от ЗПУПС (отм.) следва да е налице винаги, за да
е разрешена операцията.
ЗПУПС (отм.) прави разлика между
разрешената платежна операция и платежната операция, на която й е придаден вид
на разрешена, т.е платежна операция, на която е придаден вид, че е наредена от
платеца, но е без негово съгласие. И тъй като ЗПУПС (отм.) съдържа специална
уредба, изключваща уредбата на чл. 75, ал.2 от ЗЗД (така решение
1642/18.07.2013 г. на САС по в. т. дело 4254/2012 г.), то ирелевантно
за отговорността на доставчика на платежни услуги е дали банката е платила
(изпълнила нареждането) въз основа на недвусмислени обстоятелства, сочещи
правата на наредителя. Специалният закон - ЗПУПС (отм.) предвижда правила за
отговорност на банката, когато тя е изпълнила формално редовно от външна страна
нареждане, стига това да не се дължи на проявена от платеца груба небрежност
или умисъл. В случая не се обсъжда въпросът за добросъвестността на ответника
при изпълняване на определени платежни операции, а за недобросъвестността на
ищеца като наредител на платежната операция и платец.
Доводите за извършване на платежните операции от обичаен IP адрес на ищеца,
също са неоснователни. Технически е възможно по време на извършване на
операцията при поставен КЕП от ползвателя на платежни услуги, да бъде
осъществено „прихващането“ на отговора му към банката преди извършване на
операцията, като и в този случай като IP адрес на операцията би се отбелязал IP адресът на компютъра на наредителя, т.е. и с обичаен IP адрес операцията би могла
да е неразрешена.
В конкретния случай, дори и да се
приеме, че се доказва, че двете платежни нареждания са подписани с КЕП, издаден
на името на ищцовото дружество, Съдът намира, че с
оглед събраните доказателства по делото, се установява, че и двете операции са
неразрешени по смисъла на чл. 51, ал.3
вр. ал.1, изр. 2 от ЗПУПС (отм.).
На първо място, установява се от
заключението на съдебно-счетоводната експертиза, че ищцовото
дружество не е имало търговски взаимоотношения в периода 01.01.2017
г. – 31.12.2017 г. с третото лице-помагач
- дружеството, в чиято полза са наредени двата превода.
Установи се по делото, и че след
установяване на двата оспорени превода, дружеството – ищец е уведомило
ответника за същите, без да се установи забавяне на това уведомление.
Изискването за уведомяване на банката
без неоснователно забавяне е предвидено както в приложимите към договора за
платежна сметка ОУ, така и в ЗПУПС (отм.) в сила към процесните платежни
операции.
Следва да се отбележи, че съгласно чл.
53, т.3 от ЗПУПС (отм.) ползвателят на платежни услуги има задължение
„незабавно“ да уведоми доставчика на платежни услуги за неразрешеното ползване
на платежен инструмент, като обаче основание за отказ да се коригират
неразрешените операции е ако ползвателят не е уведомил доставчика без
„неоснователно забавяне“ – чл.55, ал.1 от ЗПУПС (отм.).
В чл. 55,ал.1 от ЗПУПС (отм.) няма
дефиниция за понятието "неоснователно забавяне". За да е налице
забавяне (забава), то следва да е дължимо и обективно възможно предприемането
на съответното поведение, в случая уведомяване на доставчика на платежни услуги
за извършени неразрешени от ползвателя на платежна сметка операции. А токова поведение е
възможно след като ползвателят узнае по реда, предвиден в закона и договора
между страните за осъществените платежни операции, или до него по безсъмнен
начин достигне информация в цялост за тези операции.
Не се доказа от ответника, чиято е
доказателствената тежест, че ищецът (т.е негов представител) е узнал в цялост за
двете оспорени платежни нареждания преди 11.05.2017 г. (денят, когато ищецът
чрез управителя си е подал писмено уведомление до банката, че е установил
неразрешени платежни операции от своята сметка).
Напротив, установи се, че банката не е
изпълнила договорните си задължения да изпрати SMS съобщение на посочения от ищеца
мобилен телефон за кореспонденция с банката – ******. Дори и да се приеме, че е
налице изпращане на съобщения на друг мобилен телефон (******, което не се
доказа при условията на пълно, главно доказване от ответника), не се доказа от
ответника, чиято доказателствената тежест за установяване на този факт, че
именно този друг номер е бил заявен от ищеца като телефон, на който да се
изпращат кратки текстови съобщения за осъществени платежни операции.
Обстоятелството, че този телефонен номер също е регистриран на името на
дружеството (факт, който се признава от ищеца), в случая е ирелевантно.
Тъй като в тежест на ищеца е да докаже, че без неоснователно забавяне е
възразил срещу платежните операции пред доставчика на платежни услуги, в тежест
на доставчика на платежни услуги е да докаже, при условията на пълно, главно
доказване кога според него е узнал ищеца за операцията. Изпращането на текстово
съобщение до телефон, различен от изрично договорения между страните като
телефона за контакт, е неизпълнение от страна на банката на нейните задължения
по чл. 18.3 от ОУПУ. Поради това и същата не може да се позовава на своето
неизпълнение на договорно задължение, за да постави платеца в забава.
В допълнение, твърденията, че след 05.05.2017 г. са извършени влизания в системата за електронно
банкиране Моята
Fibankна
ответника ПИБ АД от представители на ищцовото
дружество, при което „влизане“ се виждат
последните извършени операции, и така ищецът е „узнал“ за операциите преди
10.05.20217 г., също не сочат на доказване, че ищецът чрез съответните си
представители е узнал за двете оспорени платежни операции преди 10.05.2017
година.
Обективирането
по някакъв начин в заглавната страница, т.е при входа в системата за електронно
банкиране при ответника, на данни за извършени предходни операции, не може да
се приеме за уведомяване от страна на банката по реда, уговорен между страните
за платежната операция по смисъла на закона – чл. 46, ал.2 от ЗПУПС (отм.), и
във връзка с чл. 8 от ОУ и чл. 7 от ОУПУ, доколкото не представляват месечни
писмени извлечения от сметката на ищеца, а именно чрез тези извлечения страните
са се договорили, че ще става уведомяването за извършените платежни операции
през месеца.
Следователно, установи се, че оспорените
две платежни операции са извършени без волята на ищеца, т.е същите са
неразрешени по смисъла на чл. 51, ал. 1 ЗПУПС (отм.).
Съгласно чл. 57 от ЗПУПС (отм.) в случай
на неразрешена платежна операция доставчикът на платежни услуги на платеца му
възстановява незабавно стойността на неразрешената платежна операция и, когато
е необходимо, възстановява платежната сметка на платеца в състоянието, в което
тя би се намирала преди изпълнението на неразрешената платежна операция.
Както бе посочено и по-горе, в ОУПУ
страните са уговорили, че се отклоняват от разпоредбата на чл. 58 ЗПУПС (отм.).
Видно от чл. 11.6 от ОУ, страните са се
отклонили единствено от правилото на чл. 58, ал. 1 ЗПУПС (отм.) в частта
относно максималния размер, до който се ограничава отговорността на платеца в
хипотезата на несъхранени персонални идентификатори от страна на клиента.
Посочено е, че „титулярът понася всички загуби,
независимо от размера им, свързани с неразрешени операции, което е свързано с
неправомерно използване на моята FIbank съгласно
т.4.19 от ОУ (когато оправомощеният ползвател „не е
успял да запази персоналните си идентификатори“), както и загубите, причинени
чрез измама или с неизпълнение на задължения по Общите условия, мерките за
сигурност, в т.ч и мерките за защита на средствата за достъп и идентификация,
което се счита за груба небрежност“. Съгласно чл. 14.3 от ОУПУ платецът понася
загубите, свързани с неразрешени платежни операции, произтичащи от изгубен,
откраднат или незаконно присвоен платежен инструмент, когато платецът не е
успял да запази персонализираните защитни характеристики на инструмента,
съответно съгласно т.14.3.1 платецът понася изцяло загубите, свързани с
неразрешени платежни операции, ако ги е причинил чрез измама, умишлено или
поради груба небрежност или неизпълнение на
задълженията по начина на ползване на платежен инструмент.
Видно от посочените разпоредби рискът от
извършване на неразрешената операция е възложен върху платеца, когато
осъществяването й е в причинна връзка с умишлено или в резултат на груба
небрежност неизпълнение на задължения по ОУ и ОУПУ, вкл. за съхраняване на
персонализиращите данни, а не по принцип. Това разрешение следва и указанията и
насоките в Директива 27/64/ЕО и на разпоредбата на чл. 57 от ЗПУПС (отм.).
Следователно, отговорността за
процесните неразрешени операции се понася от доставчика на платежни услуги –
банката (чл. 57 от ЗПУПС (отм.)), освен ако извършването им е в резултат от
умишлено или при груба небрежност неизпълнение на задължения на титуляра/платец.
Относно доводите на ищеца за нищожност
на клаузите на чл. 14.1 и т.14.3.1 от ОУПУ поради противоречие със закона – чл.
54 и чл. 57 от ЗПУПС (отм.), Съдът намира същите за неоснователни. Посоченото
ограничаване на отговорността на банката, т.е разширяване на хипотезите, когато
рискът и последиците от неразрешени платежни операции се носи от платеца, е
допустимо и е свързано не с изцяло изключване на отговорността на банката, а
промяна на приложното поле на чл. 58 от ЗПУПС (отм.), като се въведат повече
случаи, при които платецът-търговец поема риска. Както и в самият закон е
посочено – задълженията на банката по чл. 54, ал.1 да осигури недостъпност на
персонализираните защитни характеристики на платежния инструмент за лица,
различни от ползвателя на платежни услуги, който има право да използва
платежния инструмент, са свързани и не изместват задълженията на платеца по чл.
53 - след получаване на платежния инструмент да предприеме всички разумни
действия за запазване на неговите персонализирани защитни характеристики,
включително да не записва каквато и да е информация за тези характеристики
върху платежния инструмент и да не съхранява такава информация заедно с
платежния инструмент. Т.е не се установява противоречие със закона.
С оглед изложеното по-горе, следва да се
установи дали в конкретния случай двете неразрешени платежни операции са в
резултат на неизпълнение на договорните задължения на ищеца като платец и дали
то е допуснато поради проявен умисъл или груба небрежност.
Това не се доказа по делото.
Не се събраха данни по делото, че от
страна на ищеца като платец е налице
предоставяне на персонализираните защитни характеристики на платежния
инструмент на трети лица, съответно, че същите са изгубени, или не са били в
негово държане.
Както бе посочено, и по-горе, не се установява банката да е
поставила конкретни изисквания към хардуерната конфигурация, чрез която
клиентите й, вкл. и ищецът да осъществява достъп до портала за електронно банкиране
Моята Fibank,
която в конкретната хипотеза ищцовото дружество да не
е изпълнило (чл. 11.8 от ОУ задължават титуляра да
поддържа системите за повишаване на сигурността на електронните операции
съобразно указанията на банката). Съответно, няма данни компютърът, от който се
твърди, че са осъществени двете оспорени операции, да е съдържал зловреден софтуер. Поради това Съдът
намира, че ищецът като ползвател на платежни услуги е изпълнил задължението си
по ОУ да поддържа общите препоръки за сигурност на ПИБ АД.
С оглед разпределение на риска при
осъществяване на платежни операции чрез т.нар електронно банкиране, Съдът
съобразява и задължението на доставчика на платежни услуги, посочено по-горе -
чл. 54, ал. 1, т. 1 ЗПУПС (отм.), а именно да осигури недостъпност на
персонализираните защитни характеристики на платежния инструмент за лица,
различни от ползвателя на платежни услуги. Доколкото електронното банкиране
представлява дейност, свързана с повишен риск, поради което и изисква висока
степен на сигурност според условията, при които се извършва, добрата банкова
практика изисква комбинация от стъпки, при която не се допуска извършването на
определени платежни операции да е възможно само чрез еднократно въвеждане на
име, парола и КЕП, при общоизвестните способни за „прихващане“ на КЕП (т.е
даване на възможност на трето неоправомощено лице да
нареди платежните операции чрез отдалечен достъп без КЕП да е включен в
компютъра към момента на извършване на платежната операция).
В конкретния случай не се установи, че
използваните от банката – ответник платежни инструменти изключват възможността
от неоторизирана намеса на трети лица, т.е не се установи изпълнение на
задълженията на банката по чл. 54 от ЗПУПС (отм.).
Следователно, не може да се приеме, че
са налице действия или бездействия по смисъла на чл. 4.19 от ОУ, които да са в
причинна връзка с извършване на неразрешените операции. Това налага извод, че
не са налице предпоставките по чл. 58, ал. 2 ЗПУПС (отм.) - загубите на
платеца-ищец да са причинени от него в резултат на измама или неизпълнение на
едно или повече от задълженията му по чл. 53 ЗПУПС (отм.) умишлено или поради
груба небрежност.
По изложените съображения, Съдът приема,
че ответникът дължи да възстанови състоянието на сметката на ищцовото дружество
такова, каквото е било към момента на извършване на неразрешените операции.
Искът следва да бъде уважен изцяло.
По исковете по чл. 86 ЗЗД
Съгласно чл. 57, ал. 2 ЗПУПС (отм.)
възстановяването на дължимите суми следва да се извърши не по-късно от 21 дни
от получаване на уведомлението за неразрешената операция.
По делото се доказа, че ищецът е
уведомил ответника за двете операции ма 11.05.2017 година. Банката е следвало
да възстанови сумите в срок до 01.06.2017 година. От 02.06.2017 г. ПИБ е в
забава.
Исковете са основателни за периода
02.06.2017 г. – 01.07.2017 г. за сумите съответно 2754,02 лева и 1380,86 лева,
съгласно заключението на Съдебно-счетоводната експертиза.
Относно
разноските
С оглед този изход на делото, на ищеца
се дължат разноски съобразно уважената от част от исковете, а на ответника –
съобразно отхвърлената. И двете страни са представили списъци с разноските.
Водим от горното, СГС, VI – 10 състав
Р
Е Ш И :
ОСЪЖДА „П.и.б.“
АД, ЕИК: ******, със
седалище адрес на управление:*** да заплати на „Е.С.“ ЕООД, ЕИК: ******, със седалище адрес на управление:***,
съдебен адрес:адв. В.В.,***
по искове с правно основание чл. 57, ал.1 от ЗПУПС (отм.) сумата от 25 100
лева - стойност на неразрешена платежна операция, наредена на 05.05.2017 г. чрез достъп до Виртуален банков клон на „П.и.б.“
АД, ЕИК ****** от разплащателна сметка с IBAN BG20****** и сумата от
12 585 лева - стойност на
неразрешена платежна операция, наредена на 05.05.2017
г. чрез достъп до Виртуален банков клон на „П.и.б.“ АД, ЕИК ******, с получател
и на двете платежни операции „Е.А Е.Д.“ ЕООД, ЕИК ******, заедно със законната
лихва от 02.07.2018 г. до окончателното заплащане на сумите, по искове с правно
основание чл. 86 ЗЗД сумата от 2754,02 лева
- лихва за забава върху сумата от 25 100 лева за периода 02.06.2017
г. – 01.07.2017 г. и сумата от 1380,86 лева - лихва за забава върху сумата от 12 585
лева за периода 02.06.2017 г. –
01.07.2017 г., както и на основание чл. 78, ал.1 от ГПК сумата от 8 860
лева – разноски по делото.
ОТХВЪРЛЯ
предявените
от „Е.С.“ ЕООД, ЕИК: ******, със седалище адрес на управление:***, съдебен
адрес: адв. В.В.,*** срещу „П.и.б.“ АД, ЕИК: ******, със седалище и
адрес на управление:*** искове с правно основание чл. 86 ЗЗД за сумата над 2754,02
лева - лихва за забава върху сумата от
25 100 лева за периода 02.06.2017 г. – 01.07.2017 г. до пълния претендиран размер от 2 761 лева и за сумата над 1380,86 лева - лихва за забава
върху сумата от 12 585 лева за
периода 02.06.2017 г. – 01.07.2017 г. до пълния претендиран
размер от 1384,35 лева.
ОСЪЖДА
„Е.С.“
ЕООД, ЕИК: ******, със седалище адрес на управление:***, съдебен адрес: адв. В.В.,*** да заплати на „П.и.б.“
АД, ЕИК: ******, със седалище адрес на управление:*** на основание чл. 78, ал.3
от ГПК сумата от 15 лева – разноски по делото.
Решението е постановено при участието на
„Е.А Е.Д.“ ЕООД, ЕИК ****** – като трето лице-помагач на страната на П.и.б.“
АД, ЕИК: ******, със седалище адрес на управление:***.
Решението подлежи на обжалване с
въззивна жалба пред САС в двуседмичен срок от съобщението от страните.
СЪДИЯ: