№ 19481
гр. София, 29.11.2022 г.
СОФИЙСКИ РАЙОНЕН СЪД, 120 СЪСТАВ, в публично заседание на
двадесет и девети ноември през две хиляди двадесет и втора година в следния
състав:
Председател:ВЕНЕТА СТ. Г.ЕВА
при участието на секретаря КАМЕЛИЯ АНЧ. КОСТАДИНОВА
Сложи за разглеждане докладваното от ВЕНЕТА СТ. Г.ЕВА Гражданско
дело № 20221110112419 по описа за 2022 година.
На именното повикване в 10:30 часа се явиха:
При спазване разпоредбата на чл.142, ал.1 ГПК
На именното повикване в 10.52 часа:
ИЩЕЦЪТ Е. В. П., редовно призован, се представлява от адв. М., с
пълномощно по делото и от адв. Цанев, с днес представено пълномощно.
ОТВЕТНИКЪТ БАНКА ДСК, редовно призован, се представлява от
юрк. Липчева, с пълномощно от преди.
ВЕЩО ЛИЦЕ П. К. П., редовно призовано се явява лично.
СТРАНИТЕ /поотделно/ - Да се даде ход на делото.
СЪДЪТ
О П Р Е Д Е Л И:
ДАВА ХОД НА ДЕЛОТО.
ПРИСТЪПИ към изслушване на вещото лице по допуснатата СТЕ.
СНЕМА самоличността на вещото лице както следва:
1
П. К. П. неосъждан, без дела и родство със страните. Предупреден за
наказателната отговорност по чл. 291 от НК.
ВЕЩОТО ЛИЦЕ: Представил съм заключение в срок, което
поддържам.
Вещото лице на адв. М. и адв. Цанев – Предвид обстоятелство, че във
формулираните въпроси не е имало искане да се обследват Ip адреси, аз си
позволих да спомена за тези обстоятелства, доколкото те имат отношение към
цялостната сигурност, на която се базират средствата, с които банката работи,
като механизъм. Тъй като в една част от случаите място, от където се
достъпва конкретно Ip адреса, който се регистрира от системите има
отношение към това, аз съм добавил информация за това. Единият Ip адрес е
от българското интернет пространство, а другия е извън българското интернет
пространство, доколкото си спомням Украйна. Този, който е извън
българското интернет пространство е и този, който е използван за
осъществяване на транзакцията. Коментирал съм със служител по
сигурността доколкото въпросните Ip адреси се класират, като обичайни
инцидентни. Самата система за сигурност предполага много фактори, то само
фактора Ip адрес дори и да е инцидентен, по скоро от странна банката
означава, ако той би трябвало да бъде приложен, като рестрикция за това да
се осъществи транзакцията според служителя по сигурността това би се
тълкувало като отказ от банката да извърши тази услуга. Факторите, които
влияят върху сигурността се базират върху много елементи, а не само на
евентуално използване на такъв Ip адрес. Ако е имало и други обстоятелства,
които да се насложат към този факт би могла да сработи евентуален
механизъм за сигурност, който да предотврати транзакцията. Въпросните
логовете, които визират превода и събития преди и след него, са с дата и час,
които са регистрирани от системата на банката в реално време и те отразяват
времето на извършване на проц. процедури по банкиране. Данните са към
момента на осъществяване на транзакцията. При обследване на случая
служителят по сигурността в Банка ДСК представи пред мен данни, които са
от 2012г., когато услугата е стартирана. Следващото събитие, което беше
показано което е във връзка с проц. превод беше от досието на Е. и то е с дата
2017 година. Тя пуска допълнително искане, с което да може да превежда на
трети лица и други банки банкови преводи. Това искане ми беше извадено и
за запознах с него. То отговаря на това, което съм описал в СТЕ, че
2
въпросното искане е подкрепено от автентикационни данни с двуфакторен
характер, за й целта се предоставя електронен подпис с пин код, той има
точно определено процедура, по която си придобива, която процедура
изисква при активиране на ел. подпис потребителят да въведе
собственоръчно такъв пин код, който да го знае само тя. СМС уведомяване е
другия фактор, като в документа има данни за нейният телефон и операторът,
който предоставя услугата към телефона, на който да бъде предоставен
въпросният смс код. При изследването на данните от 20.10.2022г. установих
промяна, свързана с препотвърждаване на услугата, при която въпросните
действия са били извършени на 20 в късния следобед. Тъй като въпросите не
предполагат такова изследване, аз помолих за коментар служителя по
сигурността за този запис, който е след определено време след транзакцията,
това препотвърждаване на услугата и той изрази недоумение, за това което е
регистрирано от системите и заради това, че тя до момента е използвала тази
услуга и още веднъж е препотвърдила услугата. Въпросният механизъм е
заложен в алгоритъма на системите. Според служителя по сигурността
всички тези действия, които се извършват банката подлежи на проверки от
органи, които са международни и фактически според него ако не се използва
този механизъм, който е заложен то тя не би минала въпросни одити и не би
била разрешена такава дейност да извършва. В записите, които съм
приложил, в тях няма конкретен запис, който да сочи точно конкретно
въвеждането на пин код. Според него автентикационни данни се въвеждат в
една форма, в която се въвеждат и пин кода и смс кода за сигурност и
системата ги проверява едновременно. И ако и двата отговарят
автентикацията е успешна и се разрешава услугата, ако един от двата не е
точен съответно не разрешава. От обясненията на служителя при сигурността
и описание на технологията, по която работи системата към този момент.
Въпросното искане не ми бе представено при проверка в банката.
Адв. Цанев и адв. М. - Нямаме повече въпроси. Оспорвам заключението
в частта сочена, че пин кода за сертификат електронен е бил използван.
Ответникът признава и от представените от него доказателства е видно, че
пик код е дадена техническа възможност на ищеца да прави преводи едва
след проц. банков превод. Оспорваме СТЕ в частта, за пик кода не е
3
съобразена с доказателствата по делото. По делото има представени
документи, от които е видно, че пин код е предоставен на ищеца след
транзакцията.
Юрк. Липчева - Нямам въпроси. Да се приеме заключението.
СЪДЪТ
О П Р Е Д Е Л И:
ПРИЕМА и ПРИЛАГА заключението на вещото лице.
ИЗДАДЕ се РКО по внесеният депозит.
Адв. Цанев и адв. М. – Моля да допуснете допълнителна задача, като
вещото лице отново да отговори на въпроси №4, 5 и 6, съобразявайки
доказателство №2, приложено към ОИМ, искане за промяна от 30.05.2005г.,
подписано от ищеца. Вторият въпрос е „Дали е възможно нареждане на
паричен превод, чрез профил на ищеца да е направено от трето лице, чрез
друго устройство или чрез неправомерен достъп до ползваното от ищеца
устройство“. „Възможен ли е достъп до мобилния телефон на ищеца да в
резултат на хакерски действия?“, като се вземе предвид отговора на вещото
лице, че две влизания в нейния профил са направени в рамките от две минути
от България и от Украйна, именно чрез нареждане, извършено от Украйна е
направен процесния превод“.
Юрк. Липчева – Не възразявам по така поставените допълнителни
задачи на вещото лице. Моля да поставя и аз допълнителна задача на вещото
лице, а именно - кога в банката е въведено допълнителното средство за
сигурност, а именно въвеждане на пик код за достъп до сертификата и кога
ищцата е създала този пин код в своя профил.
Адв. Цанев и адв. М. – Едното е парола за влизане в профила, а другото
е пин код, който се използва при нареждане на парични преводи. Този пин
код ние оспорваме.
Юрк. Липчева – Допълнителната задача към вещото лице е „Кога в
Банка ДСК е въведено изискването, клиенти да си създадат, чрез профилите
си в ел. банкиране пин кодове и възможно ли е било извършване на операция
4
на 20.10.2021г. без въвеждане на пин код, а само чрез смс, системата на
банката позволява ли извършването на платежна операция без въвеждане на
пин код за сертификат?
СЪДЪТ
ОПРЕДЕЛИ
ДОПУСКА допълнителни въпроси от ищеца и от ответника към
вещото лице, заявени днес.
ОПРЕДЕЛЯ допълнителен депозит за вещото лице, в размер на 350
лева, вносим от ищеца и в размер на 250 лева, вносим от ответника.
Адв. Цанев и адв. М. - Във връзка с СТЕ с приемането на въпроси №4,
№5 и №6 и твърдението на вещото лице, че са ми представени данни, че към
2017 г. има искане от ищцата за предоставяне на пин код, моля ответникът да
представи Искането от 2017г. за пин код.
Юрк. Липчева - Последният допълнителен документ преди извършване
на процесната операция подписан между ответника и ищеца, е именно това,
което сме представили, искане за промяна на достъп от 30.05.2017г.
Изискването за въвеждане на пин код е въведено от банката, като
допълнително средство за сигурност. С искане създаване на пин код не
разполагаме с такъв документ.
СЪДЪТ
ОПРЕДЕЛИ
ОТЛАГА И НАСРОЧВА делото за 20.02.2023 г. от 11.30 часа, за
когато страните уведомени.
Съдебното заседание, приключи в 11,24 часа.
РАЙОНЕН СЪДИЯ:
СЕКРЕТАР:
5
Съдия при Софийски районен съд: _______________________
Секретар: _______________________
6