РЕШЕНИЕ
№ 390
гр. София, 08.01.2024 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ РАЙОНЕН СЪД, 177 СЪСТАВ, в публично заседание на
осемнадесети декември през две хиляди двадесет и трета година в следния
състав:
Председател:НИКОЛА Д. КЪНЧЕВ
при участието на секретаря ХРИСТИНА Н. КОЕМДЖИЕВА
като разгледа докладваното от НИКОЛА Д. КЪНЧЕВ Гражданско дело №
20231110115528 по описа за 2023 година
намери следното:
Предявена е искова молба от М. К. К. против Юр Б АД с искане да бъде
признато за установено, че ответникът дължи на ищеца сумата от 1247,60
лева – стойност на извършени от името на ищцата но без нейно знание
банкови плащания към трети лица, ведно със законната лихва от 08.12.2022 г.
до окончателното плащане на задължението и сумата от 165,65 лева –
мораторна лихва върху главницата за периода от 15.08.2021 г. до 06.12.2022 г.
Ищцата твърди, че по силата на договор, ответникът � предоставил за
ползване кредитна карта. През нощта на 15.08.2021 г. по същата кредитна
карта били извършени пет неразрешени трансакции към интернет търговците
Mobiletopup.co.uk, Recharge.fr и Lastminute.com, на обща стойност 1247,60
лева., които били установени от нея на другия ден. На 16.08.2021 г. Ищцата се
свързала с представител на ответника и поискала картата да бъде блокирана, а
сумата да � бъде възстановена. Прилаганите от ответника методи за
установяване идентичността на клиента за създаване и активиране на
защитните средства, използвани за установяване самоличността на
потребителя били: m-Token Postbank и електронен портфейл One Wallet by
Postbank, в който била регистрирана разглежданата кредитна карта на ищцата.
Впоследствие обаче същата била използвана от неизвестно лице за
създаването на виртуална карта в приложението Apple Pay. Ищцата твърди,
че ответникът не е създал необходимите технически условия за сигурно и
безопасно осъществяване на транзакции във виртуална среда и не е направил
необходимото, за да предпази ищцата от неправомерно използване на
картата, като излага пространни технически и юридически съображения в
тази насока. Поради което счита, че процесните суми � се дължат и моли съда
1
да признае съществуването им. Претендира разноски. Ответникът в срока по
чл. 131 ГПК взема становище за неоснователност на иска. Не оспорва
фактите, че между страните съществува облигационно правоотношение,
извършването на плащанията към посочените търговци на посочената дата и с
посочената стойност, направеното от ищцата искане за възстановяване,
прилаганите от него методи за установяване на самоличността на клиента.
Твърди, че същите били напълно сигурни и създавали система, при която
било невъзможно плащанията да бъдат извършени без знанието и
разрешението на ищцата. Следователно тези плащания били извършени или
от нея, или от лице, на което тя предоставила необходимата информация за
извършването им. Поради което счита, че ищцата е действала при условията
на груба небрежност и не следвало да носи отговорност. Моли съда да
отхвърли исковете, претендира разноски.
В последното по делото открито съдебно заседание страните са редовно
призовани. Ищцата се явява лично и заедно с представител, чрез когото
поддържат исканията си. Ответникът, не се явява, изпраща представител чрез
когото също поддържа исканията си.
На база представените по делото доказателства и становищата на
страните, съдът намира за установено следното: безспорни между страните са
фактите, че между тях съществува облигационно правоотношение,
извършването на плащанията към посочените търговци на посочената дата и с
посочената стойност, направеното от ищцата искане за възстановяване. По
делото е представен препис на преписка от помирително производство № 09
от 2022 г. (л. 118-л. 134 от делото), проведено между страните в Комисията за
защита на потребителите, от което се установява, че такава процедура е била
проведена, като ответникът не е приел изготвеното помирително
предложение. Представен е и препис от помирителното предложение, в което
на ответника се предлага да възстанови процесните суми на ищцата.
По делото е прието като неоспорено заключение на съдебно-счетоводна
експертиза. Установява, че нареждането или съгласието на платеца за
изпълнение на платежна операция може да се оттегли от платеца преди
платежната операция да е станала неотменима. Платецът не може да отменя
платежното нареждане след получаването му от доставчика на платежни
услуги на платеца. Операцията се осчетоводява по сметката на
картодържателя на базата на конкретните му уговорки с картоиздателя.
По делото беше прието и оспорено от ищцата заключение на съдебно
компютърно-техническа експертиза и допълнителна компютърно-техническа
експертиза. Съображенията на ищцата за негодност на тази експертиза, не се
споделят от съда. Обектът на проверката от страна на вещото лице се
определя от самото вещо лице, тъй като именно то разполага със специалните
знания от науката и техниката, необходими за достигане до обективната
истина и е въпрос на негова дискреция каква информация и каква
документация ще му е необходима. Обхватът на тази проверка не се
ограничава единствено до събраните по делото доказателства, затова и му е
възложено да направи проверка, където сметне за необходимо. При
изготвянето на експертизата на вещото лице също така е известна
наказателната отговорност, която носи за представяне на невярно заключение
и съдът счита, че рискът от понасяне на такава отговорност в достатъчна
степен обезпечава добросъвестността на вещите лица при изготвянето на
експертизи. Поради това не намира нередности в експертизата и я цени като
2
годно доказателство. Експертизата установява следните обстоятелства: 1.
степента на защита и сигурност, предоставяна от ответника при
осъществяване на платежни операции е в съответствие с техническите
критерии и изискванията на правните актове, регулиращи сектора на
финансовите услуги в ЕС; 2. ответникът е имплементирал допълнителна
идентификация при вход в услугите „интернет банкиране“ и „мобилно
банкиране“. Идентификацията се извършва чрез еднократен код, който се
получава чрез СМС или на приложението viber, изпратен на конкретен
телефонен номер, посочен от ищцата. Това допълнително изискване
представлява втори фактор – фактор „притежание“ на телефонния номер на
клиента, в допълнение на първия фактор, който е знание за потребителското
име и паролата и отговаря на изискванията за силно удостоверяване на
автентичността на клиента; 3. конкретно са посочени методите и системите за
идентификация на клиента, както и механизмът на действие на програмата m-
token Postbank; 4. въведените от банката общи и персонализирани средства за
сигурност, системи и проверки на идентификация на клиента са в
съответствие с изискванията на правото на ЕС; 5. програмата за m-token е
била активирана на 29.11.2019 г. и на 06.01.2023 г.; 6. обяснено е
инсталирането на този продукт, както и факта, че такъв не може да бъде
инсталиран на повече от едно мобилно устройство, като се асоциира с ЕГН на
клиента; 7. не се установява неправомерен достъп до профила за интернет
банкиране на ищцата. Тоукън може да се заяви единствено през профила на
клиента, след вход с потребителско име и парола, които би следвало да са
известни само на клиента, като се инсталира на хардуерно устройство –
смартфон; 8. петте процесни операции са били извършени на виртуални ПОС
терминали на 15.08.2021 г. чрез виртуална карта. Използван е метод на
задълбочено установяване на идентичността, чрез два различни фактора на
идентификация; 9. за процесния период вещото лице не е установило
технически неизправности в системите за плащане на ответника; 10.
приложението One wallet by Postbank е било надлежно потвърдено, поради
което ответникът не е бил в състояние да установи, че наредителят на
процесните платежни операции не е бил негов клиент; 11. ответникът е имал
публикувани на интернет страницата си съвети за избягване на интернет
измами на 05.02.2021 г.; 12. възможно е за трето лице да осъществи
платежните плащания, при условие, че то разполага с потребителското име и
паролата за онлайн банкирането на ищцата, както и с достъп до нейния
телефонен номер; 13. m-token не се свързва с телефонен номер и такъв не е
необходим за работата му, но на телефонния номер и на посочения от клиента
имейл адрес се изпращат кодове за активация на тоукъна. В последствие чрез
него се удостоверяват всички последващи платежни операции; 14. посочени
са механизмите за функциониране на банковата система на авторизиране,
регистриране, изпълнение и осчетоводяване на платежни нареждания, както и
механизмите за защита и сигурност, заложени в използваната от ищцата
карта; 15. не е изключена възможността при процесните транзакции, картата
да е била използвана неправомерно от трето лице, като е посочено по какъв
начин би могло да стане това, но е посочено, че установяването на такъв
достъп не е възможно с наличните данни; 16. за периода от 01.07.2021 г. до
30.08.2021 г. са установени 39 плащания чрез онлайн банкирането на ищцата;
17. На ищцата е било изпратено т.нар. PUSH съобщение, т.е. на самия екран
на нейния смартфон е било изпратено съобщение за потвърждаване или
отхвърляне на конкретното плащане; 18. посочено е как работи приложението
3
Apple pay и какъв е механизмът на извършените операции, като при
извършването им е използвано т.нар. задълбочено установяване на личността
– потвърждаването на плащането е станало или чрез показване лицето на
клиента на камерата на смартфона, или чрез пръстов отпечатък на клиента
върху централния бутон на смартфона, или чрез въвеждане на ПИН кода за
отключване на смартфона.
Разпитано в съдебно заседание, вещото лице разясни, че теглене на
суми от процесната карта не е възможно технически без уведомлението и
разрешението на картодържателя, доколкото процесните суми са доста
големи. Без разрешение от картодържателя не може да бъде извършено
плащане с тази карта. Плащанията са извършени чрез услугата Apple pay и са
потвърдени чрез One wallet. Това е мобилно приложение на ответника, което
е било активирано в предишен момент чрез M-Token – друго приложение на
ответника. Това е процедурата, по която са верифицирани процесните
плащания. Не може да се изключи възможност данните на ищцата,
необходими за разрешаване на такова плащане, да са станали знание на трети
лица включително и при кражба на телефон. Възможно е самата ищца като
лице да не знае за извършени плащания, при условие, че нейните данни са
станали достояние на трети лица. Действията и изискванията за плащане,
които банката е приложила, са съобразени с общ стандарт в индустрията за
защита на интернет плащания и по-висок стандарт не може да бъде приложен.
Към момента на плащането ищцата през приложението Apple pay и през
мобилните приложения на ответника е разрешила това плащане чрез
поставяне на пръст върху екрана на телефона. Приложението е активирано и
то иска разрешение през приложението на банката. За активиране на One
wallet се изискват два кода. Единият се изпраща на имейл, а другият – на
мобилния телефон. Може някой друг да направи това плащане ако има
достъп до телефона и до имейла. Чрез т. нар. „фишинг“ измама може да се
извърши кражба на тези данни. В конкретния случай ищцата е получила
известие по имейл за активиране и не е възможно да не получи по телефона.
Не съм изследвал изпращането на СМС. Но мобилните оператори по закон
пазят тази информация само шест месеца назад. Възможно е да е пратен СМС
и тя да не е го получила, но в този случай поради това, че кода е необходим,
някой го е узнал и го е въвел. В хипотезата на измама, ако някой има достъп
на системата на мобилния оператор на теория е възможно някой да узнае този
СМС. Малко е вероятно, но не е изключено. Измама, при която ищцата
неволно виновно е изпратила кода не е изключена. Възможно е някой да има
достъп до базата данни на мобилния оператор. Кодовете са различни на
телефона и на имейла и се използват веднъж, за да се активира приложението.
После като се активира може без кодове да се прави плащане. В случая за
петте различни плащания са изпратени два кода – един на имейл и един на
СМС и чрез активирано приложение вече са извършвани плащания. Не е
било необходимо да се генерират отделни нови кодове за всяко плащане
конкретно.
На база така установените данни, съдът достига до следните правни
изводи:
Производството е по иск с правно основание чл. 79 от Закона за
платежните услуги и платежните системи. Съгласно посочената разпоредба в
случай на неразрешена платежна операция доставчикът на платежни услуги
на платеца му възстановява незабавно стойността на неразрешената платежна
4
операция и във всеки случай не по-късно от края на следващия работен ден,
след като е забелязал или е бил уведомен за операцията, освен когато
доставчикът на платежни услуги на платеца има основателни съмнения за
измама и уведоми съответните компетентни органи за това. Легална
дефиниция за „неразрешена платежна операция“ е дадена в чл. 70 от закона,
според който платежната операция е разрешена, ако платецът я е наредил или
е дал съгласие за изпълнението �. При липса на съгласие платежната
операция е неразрешена. В случая между страните не се спори, че петте
платежни операции не са били разрешени.
Основателността на предявения осъдителен иск се обуславя от
кумулативното наличие на следните предпоставки: 1. наличието на валидно
сключен между страните по делото договор за доставка на платежна услуга,
по който ищцата е платец, а ответникът е доставчик; 2. извършване на
твърдените преводи от разплащателната банкова сметка на ищцата от
15.08.2021 година, чрез интернет банкиране; размерът им и 4. уведомяване на
ответника за констатирания от ищцата изходящи платежни операции,
извършени чрез интернет банкиране разплащателната сметка на ищцата. При
доказване на посочените обстоятелства, съгласно разпоредбата на чл. 78, ал. 1
и ал. 5 ЗПУПС в тежест на ответника е да докаже при установяване
автентичността на платежната операция, нейното точно регистриране, т. е. че
е спазил коректно изискванията за задълбочено установяване на
идентичността на платеца, че операцията не е засегната от техническа
повреда или друг недостатък в услугата, предоставена от доставчика на
платежни услуги, както и че е налице груба небрежност от страна на
ползвателя на платежната услуга. Всички четири факта от фактическия състав
на иска се установяват от делото и не се оспорват от страните.
Спорът между страните е съсредоточен по въпроса налице ли са
обстоятелства, които да запълват хипотезата на проявена груба небрежност от
ищеца. Според утвърдената гражданскоправна теория небрежност проявява
този длъжник, който без да знае това /не осъзнава противоправността/, не
полага грижата на добрия стопанин като абстрактен модел на поведение /в
смисъл, че съдържанието му се определя не от поведението на конкретното
лице, а от нормалното, обичайното поведение на определен вид лица в
подобни или еднакви с положението му случаи, изработено от обществения
разум на дългия опит в живота с оглед естеството на дейността/- чл. 63, ал. 2
ЗЗД, при което настъпва противоправен резултат, защото обективно това му
поведение не е съответно на правно дължимото, произтичащо от установени в
закона или в договора конкретно приложими задължения, а е могло да бъде.
Определението за груба небрежност се съдържа в редица решения на ВКС,
постановени по реда на чл. 290 ГПК - решение № 510/30.11.2011 г. по гр. д. №
1923/2009 г. на ВКС, четвърто г. о, в решение № 291/2012 г. по гр. д №
951/2011 г. на ВКС, четвърто г. о., решение № 348/2011 г. по гр. д. №
387/2010 г. на ВКС, четвърто г. о, решение № 291/2012 г. по гр. д. № 951/2011
г. на ВКС, четвърто г. о., решение № 62/2015 г. по гр. д. № 2798/2014 г. на
ВКС, четвърта г. о. и др. В трайно установената практика се приема, че
небрежността в гражданското право е неполагане на дължимата грижа според
един абстрактен модел - поведението на определена категория лица (добрия
стопанин) с оглед естеството на дейността и условията за извършването �.
Грубата небрежност не се отличава по форма (според субективното
отношение към увреждането), а по степен, тъй като грубата небрежност също
е неполагане на грижа, но според различен абстрактен модел - грижата, която
5
би положил и най - небрежният човек, зает със съответната дейност при
подобни условия. Посочва се, че заключението за допусната груба
небрежност се прави при сравнение на конкретното съпричинително
поведение на работника с абстрактния модел – грижата, която би положил и
най-небрежният човек, зает със съответната дейност. Приема се, че грубата
небрежност е тежко нарушаване на дължимата грижа при положение, че
лицето е могло да я съблюдава в конкретната обстановката, каквото един
обикновен човек, поставен в същата обстановка не би могъл да го допусне.
Такова поведение е правно укоримо защото неблагоприятните последици
биха били избегнати, ако беше положена дължимата грижа. Дали поведението
е рисково и до каква степен то е довело до настъпване на вредата се
установява във всеки конкретен случай. В подкрепа на това разбиране е и
даденото разрешение в решение от 21.04.2017 г. по т. дело № 2733/2015 г.,
второ т. о. на ВКС, в което се приема, че според дефинитивното определение
в чл. 40, ал. 2 от Закона за платежните услуги и платежните системи /ДВ бр.
23/2009 г. / рамковият договор за платежни услуги е консенсуален, уреждащ
бъдещо изпълнение на отделни или на поредица от платежни операции, който
може да определя задълженията и условията за откриване и водене на
платежна сметка, като са установени специални правила за оспорване на
извършени платежни операции в хипотезата на разпореждане със средства по
сметка, предприети от обслужващата банка без нареждане на титуляря, както
и конкретни задължения на ищеца да предприеме всички разумни действия за
запазване на предоставените му персонализирани средства за сигурност при
ползването на платежната услуга.
От заключението на изготвената по делото СТЕ се установява, че
ответникът е въвел в експлоатация необходимите системи и методи за
сигурност и защита на платежните операции и клиентските данни. За
извършване на съответната операция банката осъществява двуфакторно
установяване на самоличността на потребителя, която подробно е разписана в
изготвеното от вещото лице заключение, като по този начин системата за
онлайн и интернет банкиране на ответника е изградена в съответствие с
Директива (ЕС) 2015/2366 и с Делегиран регламент (ЕС) 2018/389 от
27.11.2017 г. за допълнение на директивата. Посочено е, че всички стъпки за
установяване на самоличността на потребителя на платежни услуги са били
осъществени в процесния случай, като на ищцата е било изпратено
съобщение чрез СМС, на имейл и чрез приложението viber. Твърдяното от
нея неправомерно снабдяване от страна на трети злонамерени лица с нейните
данни за фактор „знание“ – данните от банковата � карта и фактор
„притежание“ – узнаването на изпратения конкретен СМС код – не беше
установено в процеса. Не се доказа кога, с какви средства, от кои лица и по
какъв начин такова снабдяване е било осъществено, поради което съдът счита
тези твърдения за чисто хипотетични, доколкото и самото вещо лице не
изключва теоретичната им възможност, но не установява такива да са се
случили. В тази връзка, трябва да се подчертае, че по делото не са установени
технически проблеми в системите за онлайн банкиране и плащания към
ответника. Като взе предвид доказаната сигурност на системите на ответника,
методите за верифициране на платеца при всяка конкретна операция и
установяването от вещото лице на задълбочено установяване на
идентичността, съдът достига до единствения възможен извод, че петте
процесни операции са или наредени със съгласието и разрешението на
ищцата, или са наредени от лице, на което последната е съобщила тези данни,
6
включително и изпратения � с СМС конкретен код, удостоверяващ факторът
„притежание“. Съдът счита, че тези действия на ищцата представляват
неизпълнение на задълженията, предвидени в чл. 75, т. 3 ЗПУПС, допуснато
поради груба небрежност, поради което и в съответствие с чл. 80, ал. 3
ЗПУПС тя следва да понесе всички загуби, свързани с неразрешените
платежни операции.
Мотивиран от всичко изложено по-горе съдът намира, че предявеният
по делото иск с правно основание чл. 79 ЗПУПС се явяват неоснователен,
поради което и като такъв следва да бъде отхвърлен. Като обусловен от него,
на отхвърляне подлежи и искът с правно основание чл. 86, ал. 2 ЗЗД.
С оглед изхода на делото разноски се дължат само на ответника. От
него са представени доказателства за заплатени 1400 лева – депозити за
експертиза и юрисконсултско възнаграждение, което с оглед фактическата и
правна сложност на делото, съдът определя на 250 лева, които следва да му се
присъдят.
Водим от горното, съдът
РЕШИ:
ОТХВЪРЛЯ предявения от М. К. К., ЕГН: **********, със служебен
адрес г срещу Ю Б АД, ЕИК: с адрес гр. иск с правно основание чл. 79, ал.
1 ЗПУПС за осъждане на ответника да � заплати сумата от 1247,60 лева –
стойност на пет неразрешени платежни операции по смисъла на чл. 70, ал. 1
ЗПУПС, извършени от името на ищеца на 15.08.2021 г., ведно със законната
лихва за периода от 08.12.2021 г. до окончателното изплащане на сумата, като
недоказан.
ОХВЪРЛЯ предявения от М. К. К., ЕГН: ********** срещу Ю Б АД,
ЕИК: иск с правно основание чл. 86, ал. 2 ЗЗД за осъждане на ответника да �
заплати сумата от 165,65 лева – мораторна лихва върху главницата за периода
от 15.08.2021 г. до 08.12.2021 г. като неоснователен.
ОСЪЖДА М. К. К., ЕГН: ********** да заплати на Ю Б АД, ЕИК: на
основание чл. 78, ал. 3 ГПК сумата от 1400 лева – депозити за експертиза и
250 лева – юрисконсултско възнаграждение.
Решението подлежи на обжалване с въззивна жалба пред Софийски
градски съд в двуседмичен срок от връчването му на страните.
Съдия при Софийски районен съд: _______________________
7