№ 15186
гр. София, 06.08.2025 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ РАЙОНЕН СЪД, 175 СЪСТАВ, в публично заседание на
седемнадесети юни през две хиляди двадесет и пета година в следния състав:
Председател:ГЕОРГИ К. КАЦАРОВ
при участието на секретаря ДЕСИСЛАВА В. ХРИСТОВА
като разгледа докладваното от ГЕОРГИ К. КАЦАРОВ Гражданско дело №
20231110142039 по описа за 2023 година
Предявен е иск с правно основание чл. 79 Закон за платежните услуги и платежните
системи /ЗПУПС/.
Ищцата Й. Д. А. твърди, че към 03.03.2023 г. е била в договорни взаимоотношения с
ответника „Банка ДСК“ АД по силата на сключен между тях на 20.07.2016 г. Договор за
откриване и обслужване на стандартна разплащателна сметка на физически лица.
Неразделна част от договора били Общи условия към договори за откриване и обслужване
на разплащателни сметки на физически лица и за предоставяне на платежни услуги по тях
/ОУ/. Към същата дата ищцата била титуляр на следната банкова сметка, открита при
ответника: IBAN BG43STSA930000*****. На дата 03.03.2023 г. ищцата установила, при
извършена справка по сметката й чрез приложение за електронно банкиране „ДСК Директ“,
че от нея липсва сума в размер на 15 000 лв. В първия възможен работен ден, конкретно на
06.03.2023 г. ищцата посетила клон на банката и подала Жалба с вх. № 16-1-
03028/06.03.2023 г., в която заявила, че не е извършвала превод към друго лице в посочените
размери. По повод на подадена от нея жалба в 09 РУ-СДВР започнало разследване, а
впоследствие било образувано Досъдебно производство № 15036/2023 г. по описа на 09 РУ-
СДВР. От полученото от банката извлечение за движението по сметката й било установено,
че преводът на сумата бил извършен на 27.02.2023 г. към лице с имена: Е. Р. Д., което било
напълно непознато за ищцата. В свое Писмо с изх. № 16-10-03028/10.04.2023 г. банката
уведомила ищцата, че преди извършването на платежната операция, тя променила четири
цифрения ПИН код, необходим за потвърждаване на платежната операция, като за тази цел
въвела последните четири цифри от номера на документа й за самоличност – лична карта.
При извършване на операцията клиентката получила във формата на кратко текстово
съобщение /СМС/ код за временна валидност на телефонния й номер, с който била
потвърдила оспорената платежна операция. Ищцата оспорва да е променяла ПИН код преди
извършване на платежната операция, както и получаването на СМС за потвърждение.
Поддържа, че самият ответник, в цитираното писмо допускал да има неразрешено от нея
нареждане, като се цитира пасаж от писмото, в което банката прави позоваване на чл. 75, т. 1
и т. 3 ЗПУПС. Ищцата поддържа, че не е нареждала цитираната платежна операция.
Позовава се на т. 18.3 от ОУ, за да обоснове спазването на срока за уведомлението до
банката за създалата се ситуация. Поддържа, че банката не изпълнила добросъвестно
платежната операция, тъй като било налице неспазване на процедурата, която е посочена в
1
чл. 70, ал. 3 ЗПУПС, а именно съгласието да бъде дадено по предварително установени
правила, които в случая банката не разписала във взаимоотношенията си с клиентката.
Единствените правила били в т. 5.1 от ОУ, но те били за платежни услуги, наредени в
поделение на банката. На 23.05.2023 г. клиентката подала втора Жалба с рег. № 16.10-
03028/4, в която поставила допълнителни въпроси към банката и конкретно как третото лице
имало достъп до данните й по лична карта. В отговор на тази жалба банката повторила
позицията си от първото си писмо, но ищцата твърди, че въпреки установяване
автентичността на платежната операция, посредством нейното регистриране и
осчетоводяване, то това не доказвало, че оспорената операция е разрешавана от клиентката.
Ищцата поддържа, че наличието на авторизационни съобщения за извършени платежни
операции не било достатъчно, за да се приеме, че тя е автор. От информацията в отговорите
не се доказвало клиентката да е допуснала груба небрежност при работата с електронното
банкиране.
Въз основа на изложеното ищцата иска осъждането на ответника да й заплати сума в
размер на 15 000 лв., представляваща стойността на неразрешена платежна операция от дата
27.02.2023 г., заедно със законната лихва върху нея от 27.07.2023 г. /датата на подаване
исковата молба/ до окончателното плащане. Претендира разноски.
Ответникът „Банка ДСК“ АД оспорва иска по основание и размер. Потвърждава
договорната обвързаност с ищцата към дата 27.02.2023 г. Сочи, че с нея било подписано и
допълнително споразумение за достъп до електронните канали на банката с дата 19.08.2020
г. Счита, че по своята правна същност това споразумение имало силата на самостоятелен
договор за достъп до електронните канали на банката. В това споразумение клиентката е
заявила желание да извършва преводи към трети лица или по сметки в други банки, като за
подписване използва комбинация от цифров сертификат, издаден от банката и защитен с
четири цифрен ПИН код, известен само на клиента и еднократен СМС код. За установяване
идентичността му е заявила пред банката получаване на СМС на ползван лично от нея
мобилен телефонен номер с еднократен код, както и код за установяване идентичността му
при ползване на електронните канали, както и код за инсталиране на сертификат и код за
потвърждаване на всеки отделен паричен превод. Поддържа, че банката е извършила точно
платежната операция, но след като същата е наредена от клиентката, което било
удостоверено с процедурите, които страните приели за такава ситуация. Обръща внимание,
че потребителският идентификационен код бил въведен правилно, като в противен случай,
при три неуспешни въвеждания, следвало изпращане на автентикационен код чрез СМС.
Нареждането за платежната операция станало от клиентката чрез въвеждането на
електронен подпис, представляващ комбинация от персонален цифров сертификат, издаден
от банката, код, изпратен чрез СМС до клиентката, който бил еднократен и бил с временна
валидност и въведен при потвърждаване на операцията, както и допълнителен четири
цифрен ПИН код за потвърждаване на операцията, както и допълнителен ПИН код за
сертификата, който се знае от потребителя. Сочи, че единствената особеност в случая била
смяната на четири цифрения ПИН код. Поддържа, че, за да се окаже вярно твърдението на
ищцата, че е извършена промяна от трети лице на четири цифрения банков код, то е
следвало да бъдат извършени от третото лице следните договорени между страните
стъпки: а/. достъпност до профила на клиентката в „ДСК Директ“ чрез въвеждането на
потребителско име и парола; б/. да се премине през процеса за смяна на избрания от клиента
ПИН код, за което били необходими: последните четири цифри от документа за
самоличност; достъп до СИМ картата на мобилен телефонен номер, посочен и използван от
клиентката, на който е код за потвърждаване за промяна на четири цифрения ПИН код и
повторно въвеждане на код за потвърждение в системата на „ДСК Директ“ за промяна на
ПИН кода. Поддържа, че на клиентката били изпратени на 27.02.2023 г. и получени на
посочения от нея телефонен номер четири броя СМС, кодирани като „код за потвърждение
на платежната операция“. Сочи се, че при изпълнение на оспорената процедура банката е
установила по безспорен начин: автентичността на платежната операция, нейното точно
регистриране и осчетоводяване и операцията не е била засегната от техническа повреда;
банката е приложила процедура за задълбочено установяване на идентичността на
2
наредителя на операцията по смисъла на чл. 100 ЗПУПС. Използваните при нареждането
паричен превод персонализирани средства за сигурност, отговарят на минимума от два от
включените независими елементи съгласно чл. 100, ал. 4 ЗПУПС: за знание на четири
цифрен ПИН код за личния сертификат на лицето и за притежание на СИМ карта с
посочения телефонен номер. Счита, че наведените от ищцата твърдения за измамливи
действия на трето лице, което се е извършило нареждането, освобождава от отговорност
ответника. Счита, че искът следва да бъде отхвърлен. Претендира разноски.
С Определение № 8518/03.06.2024 г., постановено по ч. гр. дело № 20241100502982 по
описа на Софийски градски съд, II-Г състав по делото е конституирано на страната на
ответника „А1 България“ ЕАД в качеството му на трето лице-помагач.
С Определение № 35570/03.09.2023 г. по делото е конституиран Е. Р. Д. в качеството му
на трето лице-помагач на страната на ответника.
От фактическа страна съдът установява следното:
На 20.07.2016 г. между „Банка ДСК“ АД и Й. Д. А. бил сключен Договор за откриване и
обслужване на стандартна разплащателна сметка на физически лица /с неопределен срок –
раздел XI, чл. 34.1/. Банката е приела да открие на клиентката следната разплащателна
сметка: IBAN BG43STSA30000*****0 – чл. 2. В чл. 5.3 от раздел т. III банката е поела
задължението да предостави на клиентката платежна услуга само въз основа на платежно
нареждане, отправено към банката, с което се разпорежда изпълнението на платежната
операция. В чл. 5.4 е посочено, че банката извършва платежни операции от сметката на
титуляра само по негово нареждане или с предварителното му съгласие до размера и при
условията, поставено от него, освен в случаите на принудително изпълнение по установения
за това ред и в случаите на служебен коригиращ превод. Платежните нареждания се
изпълняват само до размера на разполагаемата наличност по сметката или до размера на
договорения кредит овърдрафт, ако има такъв с изключение на наличността по компоненти
на сметката, наредени от титуляра чрез електронно банкиране, въз основа на отделен
договор – чл. 5.6. В раздел IV, чл. 14.1 банката е поела задължението да не отказва
изпълнението на платежната операция, освен в случаите на ограничения съгласно
действащото законодателство, приложимите правила за изпълнение на съответната
операция, договора за откриване и обслужване на сметката и тези Общи условия. В Раздел
VII, чл. 18.1 е посочено, че титулярът е длъжен писмено да уведоми банката за неразрешени
или неточно изпълнени платежни операции без неоснователно забавяне, след като е узнал за
неточната или неразрешената операция. Смята се, че титулярът е узнал за неразрешената или
неточно изпълнената операция най-късно с получаването на месечното уведомление, а при
използването на технически средства за комуникация – в момента, предвиден в съответния
договор, но не по-късно от 13 месеца от задължаване на сметката му. Правата и
задълженията на страните по договора се уреждат от Общи условия за откриване и
обслужване на разплащателни сметки на физически лица и за предоставяне на платежни
услуги по тях – чл. 5 от договора.
По делото са представени и приети Общи условия за откриване и обслужване на
разплащателни сметки на физически лица и за предоставяне на платежни услуги по тях в
сила от 03.05.2016 г.
На 19.08.2020 г. между „Банка ДСК“ АД и Й. Д. А. е сключено допълнително
споразумение за достъп до електронните канали на „Банка ДСК“ АД. В него страните са
постигнали съгласие, че в съответствие с чл. 13, ал. 4 ЗЕДЕУУ подписът, поставен върху
електронни документи чрез използването на комбинация от цифров сертификат и
еднократен СМС код, изпратен чрез кратко текстово съобщение през мобилната мрежа и
ПИН, респективно комбинацията от цифров сертификат и Тоукън технологията, е валиден
между страните и същият се приравнява в техните взаимоотношения на саморъчен подпис.
Преводът по сметка на трети лица се извършвал с комбинация от цифров сертификат,
издаден от банката и еднократен СМС код. Чрез СМС се изпращал код за инсталиране на
сертификат и код за потвърждаване на превода /само за комбинация от цифров сертификат,
издаден от банката и еднократен СМС код/; служебен ПИН код за Тоукън; еднократен СМС
3
код за потвърждаване на превод.
По делото се представени и приети Общи условия на „Банка ДСК“ АД за предоставяне
на платежни услуги на физически лица в сила от 05.12.2022 г. В раздела за платежни услуги
е посочено, че една от услугите, които банката предоставя е изпълнение на платежни
операции с използването на инструменти за отдалечен достъп. Платежната операция може
да бъде извършена от разстояние – чрез използването на инструмент за отдалечен достъп –
чл. 34.1.2. В зависимост от избрания от Клиента ред за подаване на платежно
нареждане/предоставяне на съгласие, то следва да бъде подадено към банката когато се
подава чрез някой от електронните канали на банката – писмено в електронна форма
(електронно платежно нареждане) с електронен подпис – чл. 34.2.2. Платежни нареждания
могат да бъдат подавани чрез електронните канали в това число и когато са подадени чрез
доставчик на платежни услуги по иницииране на плащане, в дни и часове и извън общото
работно време – чл. 36.2. В чл. 62.1 е дадена дефиниция на инструменти за отдалечен
достъп. Същите представляват персонализирани устройства и/или набор от процедури,
които се използват многократно за идентификация на клиента и позволяват подаването на
платежни нареждания и ползването на други услуги, предоставяни от банката, от
разстояние. Един от начините за предоставяне на отдалечен достъп е Интернет банкиране
(като, но не само: ДСК Директ, DSK Online, други, когато такива са осигурени от Банката) и
мобилни приложения (като, но не само: ДСК Смарт, DSK Mobile, други, когато такива са
осигурени от банката) – чл. 62.2.2. За идентифициране на клиента и/или установяване
автентичността на наредените от него платежни операции от разстояние, банката може да
изисква използването на едно или повече измежду посочените в ОУ средства, като:
персонален идентификационен код /ПИН/ генериран от банката или определен от клиента
секретен код, свързан с инструмента за отдалечен достъп до сметка, представляващ
комбинация от цифри, който е известен само на клиента – чл. 62.3.1; потребителско име и
парола (потребителски идентификатори) – уникални комбинации от букви, цифри и
символи, предоставени от банката или определени от клиента, които клиентът използва, за
да се идентифицира при ползването на интернет банкиране и мобилни приложения, и които
са известни само на клиента – чл. 62.3.3.; персонален цифров сертификат – цифров
сертификат, издаден от Банката за конкретен клиент – чл. 62.3.4; еднократен код – уникална
комбинация от символи с временна валидност, изпратена от банката чрез текстово
съобщение, вкл. през мобилната мрежа (SMS) на посочен от клиента мобилен номер – чл.
62.3.4; В чл. 62.4 ОУ са установени критериите, по които се установява идентичността на
клиентите, които включват два или повече от следните независими елементи: а) знание –
нещо, което само клиентът знае; б) притежание – нещо, което само клиентът притежава; в)
характерна особеност – нещо, което характеризира клиента. В чл. 62.7 страните са
приравнили на електронен подпис по смисъла на чл. 13 ЗЕДЕУУ следните комбинации: 1/.
потребителско име и парола, респективно опростен начин за идентификация, определен от
клиента по реда на ОУ; 2/. персонален цифров сертификат, Тоукън и ПИН за него; 3/. други,
предвидени в сключения между банката и клиента индивидуален договор, към който се
прилагат тези Общи условия. За получаване на еднократен код клиентът посочва ползван от
него мобилен номер, на който да му бъдат изпращани кодовете – чл. 62.8. За да използва
цифров сертификат, в комбинация с еднократен код, клиентът определя допълнителен
четирицифрен ПИН код, който единствено той знае и който е необходимо да бъде въвеждан
всеки път при подписване на платежни нареждания или други електронни документи – чл.
62.9. Във връзка с отдалечения достъп задълженията на клиента са: да използва
инструментите за отдалечен достъп и персонализираните средства за сигурност само лично
и в съответствие с условията за тяхното издаване и ползване, предвидени в договора, тези
Общи условия и Ръководството, което, наред с друго, съдържа и правилата и техническите
изисквания към оборудването и софтуера на клиента – чл. 63.1; да вземе всички необходими
мерки за опазване на своите инструменти за отдалечен достъп, записаната върху тях
информация (в случай че съответният инструмент предполага наличието на такава) и
персонализирани средства за сигурност, с грижата на добрия стопанин, включително да ги
опази от загуба, унищожаване, повреждане, като: пази в тайна потребителските си
4
идентификатори (потребителско име и парола,) и всички кодове (Call code, ПИН, CVC/CVV
и др.), средства и методи за отключване на използваните от него устройства, през които се
осъществява отдалечен достъп до сметка, или за отключване на инсталирани на тези
устройства приложения, управлявани от Банката или от външни доставчици, не ги съобщава
на никого, не ги записва върху каквато и да е вещ или друг носител, не ги съхранява заедно с
инструмента за отдалечен достъп или на техническо оборудване, чрез което се използва друг
канал, за който са предназначени; съхранява и защитава от неоторизиран достъп своите
устройства (КЕП, Тоукън, мобилен телефон, SIM карта, компютър, лаптоп, таблет и др.),
през които се осъществява отдалечен достъп до сметка, или които се използват в процеса по
осъществяване на отдалечен достъп до сметка; други необходими мерки срещу узнаване
на/неправомерен достъп от трети лица до инструментите за отдалечен достъп, устройствата,
приложенията и персонализираните средства за сигурност – чл. 63.2.4. Нареждането на
парични преводи чрез отдалечен достъп се извършва чрез електронни канали. Дефиницията
на това понятие е дадена отстраните в чл. 87.1 ОУ - електронните канали осигуряват на
клиента чрез Интернет отдалечен достъп до ползвани от него банкови продукти и
предоставяни от банката услуги, вкл. за извършване на справки и нареждане на платежни
операции. Видовете електронни канали са дадени в чл. 87.1.1, а именно: Интернет
банкирането (като, но не само: ДСК Директ, DSK Online, други, когато такива са осигурени
от банката) както и мобилните приложения (като, но не само: ДСК Смарт, DSK Mobile,
други, когато такива са осигурени от банката). Мобилните приложения представляват
приложения за смарт устройства, които с оглед вида достъп на клиента до електронните
канали (с ограничена или с пълна функционалност), позволяват на клиента да използва
определени за всяко от приложенията услуги. Мобилните приложения се активират по ред и
начин, описан в Ръководството и/или в други материали, публикувани на интернет
страницата на банката – чл. 87.2. Клиентът определя сам или получава потребителско име и
парола за вход в електронните канали от банката по сигурен начин, така че те да бъдат
известни само на него. Когато потребителските идентификатори са предоставени от банката,
клиентът трябва да смени своята парола за достъп при първото си свързване към съответния
електронен канал – чл. 90.4.1. В мобилните приложения клиентът може да влиза и по
опростен начин, например с пръстов идентификатор, кратък ПИН и други. За активиране на
възможността за опростен начин за вход, клиентът задължително се регистрира с въвеждане
на потребителско име и парола и избира опростен начин за вход чрез повторно въвеждане на
парола, както е указано в Ръководството, след което всяко негово последващо
идентифициране в приложението се извършва чрез използване на избрания от него опростен
начин, равностоен на въвеждане на потребителско име и парола. Клиентът понася всички
загуби, независимо от размера им, свързани с неразрешени операции, ако ги е причинил чрез
измама или с неизпълнението на едно или повече от задълженията си по договора или тези
Общи условия умишлено или поради груба небрежност – чл. 111.3.
В банково извлечение за периода 01.02.2023 г. – 06.03.2023 г., издадено от „Банка ДСК“
АД, финансов център „Люлин“ е посочено, че на 27.02.2023 г. от сметка
BG43STSA30000*****0 е нареден и извършен превод на сумата от 15 000 лв. по сметка на
Е. Р. Д. с основание „захранване – автомобил“.
На 06.03.2023 г. Й. А. е подала до „Банка ДСК“ АД Жалба с вх. № 16-10-03028, в която е
посочила, че на 03.03.2023 г. е установила след справка в „ДСК Директ“, че от нейна сметка
липсва сума в размер на 15 000 лв., която тя събирала от пенсията си, но за който превод
твърди да не е извършван от нея.
В Писмо с изх. № 16100302/10.04.2023 г. „Банка ДСК“ АД е посочило, че на 27.02.2023 г.
достъпът до интернет банкиране „ДСК Директ“ е бил осъществен след правилно въвеждане
от първия път на потребителски идентификатори /потребителско име и парола/. Те са
предоставени на жалбоподателката и лично получени от нея. Оспорената платежна операция
е потвърдена по ред и начин, уговорени в сключения между страните договор за достъп до
електроните канали на банката. Това станало по следния ред: подписване на достъпа чрез
електронен подпис, който страните признали в отношенията си помежду си, че е валиден по
5
смисъла на Закона за електронния документ и електронните удостоверителни услуги. Този
подпис се състои от комбинация от персонален цифров сертификат, издаден от банката,
въведен правилен четири цифрен ПИН код за сертификат и СМС код с временна валидност.
Четири цифрения ПИН код се определял от потребителя и се знаел само от него, съгласно
чл. 62.9 от ОУ. След извършена по повод на жалбата проверка е установено, че
потребителката е променила четири цифрения ПИН код преди паричния превод и промяната
е допусната след въвеждането на последните четири цифри от номера на личната карта и
въвеждането на получен чрез СМС код, който код е изпратен на заявения от потребителката
телефонен номер. В случай, че оспорената операция е неразрешена, то банката считала като
причина за това неизпълнение от страна на потребителката на задълженията й по чл. 75, т. 1
и т. 3 ЗПУПС.
Твърдението за получаване на СМС код и за последваща промяна на ПИН кода от
страна на клиентката са оспорени от нея пред банката в нейно Писмо с вх. № 16-10-03028/3.
Поставени са конкретни въпроси.
В свое Писмо с рег. № 16.10-03028/4 от 20.06.2023 г. банката е преповторила позицията
си, че платежната операция се е развила по начин и със средства, договорени от страните. В
писмото е добавено, че банката е извършила задълбочено установяване идентичността на
клиента по смисъла на чл. 100, ал. 4 ЗПУПС. Посочила е, че на 27.02.2023 г. в 12.26 ч.
банката е изпратила СМС на посочения от клиентката мобилен телефонен номер,
съдържащо код с временна валидност за потвърждаване на смяна на четири цифрения ПИН
код. Достъпът до „ДСК Директ“ е осъществен от АйПи адрес: 151.251.242.229 с доставчик
„А1 България“ ЕАД.
Прието по делото е и платежно нареждане с дата 27.02.2023 г., което е изпратено на
банката по електронен канал в 12.41 ч. Подписано е от Й. Д. А. и е с предмет – превод на
сума в размер на 15 000 лв. в полза на Е. Д. с наредител Й. А. и с основание: „захранване-
автомобил“.
По делото е изслушана и приета СТЕ, в чието заключение е посочено, че за да има
достъп клиентът до интернет банкирането „ДСК Директ“, трябва да се знае потребителското
име на клиента на банката и паролата за достъп, без коректното им въвеждане и на двете, не
може да се влезе в банкирането. Клиентката на тази услуга Й. Д. А., /клиентски номер ID
260192/ имала активни права с метод за авторизация подпис с цифров сертификат, съхранен
на сървър в банката. При подписване или потвърждаване на превод, системата на банката
изпращала динамична парола до телефонния номер на клиента, в конкретният случай,
изпратена като СМС до телефонен номер, който съвпада с този посочен в документите по
делото и е на ищцата и също така се използвал комбинация ПИН код за сертификата,
създаден от клиента при инсталиране на сертификата за подписване. Сертификатът се
заявявал и инсталирал еднократно през интернет банкирането „ДСК Директ“ и се
подновявал автоматично за срока на договора на клиента с банката. По повод на твърдяната
промяна на ПИН кода били извършени следните действия: в 10:55 успешно бил изпратен
код за потвърждаване на превода /преводът не бил изпратен/, в 12:25 успешно бил изпратен
код за потвърждаване на превода /преводът не бил изпратен/, в 12:26 успешно бил изпратен
код за потвърждаване на ресет на ПИН код на сертификата, в 12:27 успешно бил ресетнат
ПИН код на сертификата и в 12:41 успешно е изпратен код за потвърждаване на превода и
превода е изпратен. За потвърждаване на превода са въведени изпратеният като СМС до
телефонния номер еднократен код и също така ПИН кода за сертификата. Платежната
операция е успешно изпълнена. Липсват данни за техническа грешка или злонамерени
действия. От лог файловете е видно, че еднократният код, изпратен по СМС до телефонния
номер е въведен правилно. При създаването на превода, интернет банкирането ДСК Директ
е достъпено от АйПи адрес: 151.251.242.229 на 27.02.2023 в 10:39:58. Преводът е потвърден
и изпратен за обработка в 12:41 от АйПи 151.251.242.229., за да бъде достъпено интернет
банкирането „ДСК Директ“, са необходими потребителско име и парола на клиента на
банката, а за да се потвърди плащане, допълнително са необходими ПИН код за сертификата,
който е активиран при инсталиране на приложението и еднократен код, изпратен по СМС на
6
регистрирания в системата на банката телефонен номер. От посочения АйПи адрес са били
извършени всички действия по промяна на ПИН кода. Преводът е потвърден на 27.02.2023 в
12:41:52.713 с ПИН код и еднократен код чрез SMS към телефонния номер. Не е известно от
какво устройство е потвърден, тъй като системата „ДСК Директ“ не разпознава видовете
устройства, но е видно, че е извършено от АйПи адрес 151.251.242.229, който се ползва от
мобилният оператор А1 България ЕАД.
В о.с.з. от 10.12.2024 г. вещото лице е посочило, че началото на операцията по промяна
на ПИН кода е започнала с достъп до „ДСК Директ“ от АйПи адреса посочен в експертизата.
Дадено лице се опитва да отвори приложението, но поради невярна парола не може.
Направени са няколко опита. Според вещото лице, което подчертава, че не е сигурно, но
предполага, че някой пробва пароли или е процедура по възстановяване на парола.
Направени са твърде много проверки за кратко време на номер на карта и данните за тях в
системата. Без да претендира за достоверност от наличните данни посочва, че АйПи
адресът по онова време е в гр. Пловдив. Счита, без да бъде категоричен, че АйПи адресът
бил динамичен. Това означавало, че може да се ползва от различни устройства. Обикновено
мобилните оператри закупували за тяхната дейност пакети от АйПи адреси, които
предоставяли на своите клиенти. Един клиент могъл да ползва различни АйПи адреси, тъй
като когато искал да ползва дадена услуга от мрежата на оператора, то той вземал първия
свободен АйПи адрес. Динамичен АйПи адрес означавало АйПи адрес на различни
устройства. Подчертава, че от гледна точка на сигурността не следвало да се използват едни
и същи атрибути или начини за възстановане на паролите на интернет банкирането и на
сертификата, който служи за подписването. Не е открил грешки в лог-файловете и базата
данни на интернет банкирането.
В Уведомление с вх. № 672/02.01.2025 г. третото лице-помагач по делото „А1 България“
ЕАД е посочило, че АйПи адрес 151.251.242.229 е динамичен адрес и като такъв не може да
се индивидуализира устройството, което го използва. На 27.02.2023 г. този адрес е взет
автоматично от системата, когато потребителят е имал като необходимост да полза
Интернет.
По делото са изслушани свидетелските показания на Надя А. – дъщеря на ищцата.
Твърди, че разбрала за случилото се от телефонно обаждане /получено около средата на
месец март 2023 г./ до нея от полицейски представител, който я е попитал кой полза
мобилния телефон на майка й. Потвърждава пред съда, че телефонният номер е регистриран
на нейно име. Първоначално договорът бил с „Виваком“, а към 27.02.2023 г. бил с „А1
България“. Свързала се с майка си, която й казала, че установила липсата на паричната сума
и поради това подала сигнал в полицията. Сигурна е, че майка й не е давала на друг данните
за интернет банкирането си, не записвала ПИН кода си никъде, тъй като го помнела.
Отишли със сестра й при майка им, за да разгледат телефона. Установили, че в телефона
нямало съобщение с динамична парола. СМС кореспонденцията липсвала. От писмото на
банката разбрала, че непосредствено преди транзакацията бил сменен ПИН кодът. Но СМС
за това не било получавано на телефона. Пробвали да сменят ПИН кода. Това се наложило,
тъй като майка им до този момент не можела да си ползва интернет банкирането, тъй като
не знаела кода. Изписало се „Операцията е временно недостъпна“. Доста дълго време това се
изписвало. Отишла в клон на банката, за да й дадат информация какъв е този код, за да може
да използва банкирането активно.
Изслушани са свидетелските показания на Г.В. – съседка на ищцата, с която се
познавали от 36 години. Разбрала за случая от самата ищца, тъй като тя отишла
разтреперана и разплакана при нея, тъй като установила, че е й липсват пари. Установила го
в почивен ден. Отишла до близък банкомат и при поискване на услуга за справка за
паричната наличност по нейната сметка се изписал надпис „недостатъчна наличност“. В
първия работен ден отишла до банката и подала жалба. Съпругът на свидетелката като бивш
полицай я посъветвал да подаде сигнал в полицията. Свидетелката я придружила до 09 РУ-
СДВР и ищцата след разговор с полицейски инспектор, на който разговор тя не присъствала
й било обяснено, че трябва да вземе извлечение от банковата си сметка и да направи
7
фотокопие на жалбата до банката. От впечатленията й съседката й работела с телефон и
електронни устройства, без да е умела в това.
По повод направено оспорване от ищцата на електронния подпис в представеното по
делото преводно нареждане е допусната СТЕ, според чието заключение положеният
електронен подпис не притежава характеристиките на квалифициран електронен подпис.
Липсвали данни за сертифициране софтуера на банката в съответствие с чл. 30 Регламент №
910/2014 г. относно електронната идентификация и удостоверителните услуги и при
електронните транзакции на вътрешния пазар. Липсват данни за електронното подписване
от ищцата по смисъла на цитирания регламент.
В о.с.з. от 17.06.2025 г. вещото лице е пояснило, че технологията на ДСК генерира
сертификат подобен на този на електронните подписи, без този сертификат да представлява
електронен подпис – нито като усъвършенстван, нито като квалифициран. Електронното
подписване, което се прави в системата на ДСК се прави за целите на тази система и се
използва вътре в нея и е подобно на хеширането, което се прави при електронното гласуване
с машини. Самото приложение автентифицира потребителя по негово име и парола. На
потребителите се генерира сертификат за подписване, но те нямат физически достъп до него.
Изискването на регламента за сертифициране на системата на банката по отношение на
електронния подпис на този сертификат, който банката генерира и в случай, че той се
използва от клиентите като електронен подпис и за идентифициране клиентите на банката.
Достъпът до мобилното приложение на банката се осъществява чрез потребителско име и
парола, поради това, всеки който ги знае ще има достъп до банкирането. В някои случаи бил
необходим и СМС. Вещото лице обяснява, че „хеш“ е математическа функция, която е
базирана на криптографията и която има за цел да защити поредицата от числа, които
представляват даден код. Ако една цифра в него се промени, то той престава да изпълнява
функциите на код.
На 31.12.2024 г. районна прокуратура София е изпратила писмо по делото, в което се
съдържа информация, че прокурорска преписка 15036/2023 г. по описа на СРП, преписка №
14944/2023 г. по описа на 09 РУ-СДВР е приключила с постановление за отказ за образуване
на досъдебно производство от 30.06.2023 г.
От правна страна съдът намира следното:
Подадената искова молба е редовна, а предявения с нея иск – процесуално допустим.
По така предявения иск с правна квалификация чл. 79 ЗПУПС в доказателствена тежест
на ищеца е да докаже: сключването на Договор за откриване и обслужване на стандартна
разплащателна сметка на физически лица от 20.07.2016 г. и съдържанието на договорното
отношение, в частност поетите от страните задължения; стойността на твърдяната
увреждаща транзакция и времето на нейното осъществяване; че е уведомил ответника, след
като е узнала за неразрешените платежни операции. В доказателствена тежест на ответника
е да докаже автентичността на процесната платежна операция, т.е. че операциите са
наредени от ищеца, тяхното точно регистриране, осчетоводяване, както и това че
операцията не е засегната от техническа повреда или друг недостатък; както и възраженията
си, че ищецът е проявил груба небрежност при използване на платежния инструмент, като
не е изпълнил задълженията си да пази картата и да я ползва само лично и след нейното
получаване да предприеме всички разумни действия за запазване на нейните
персонализирани защитни характеристики.
Страните не спорят, че на 20.07.2016 г. между тях е сключен Договор за откриване и
обслужване на стандартна разплащателна сметка на физически лица от 20.07.2016 г., към
който са договорили да се прилагат Общи условия на „Банка ДСК“ АД за предоставяне на
платежни услуги на физически лица, които към 27.02.2023 г. са били в редакцията от
05.12.2022 г. По делото липсва спор, че към датата на събитието в банковата сметка на
ищцата е имало сума в размер на 15 000 лв. За безспорно е обявено и че на 27.03.2023г. е
извършен превод в размер на 15 000 лв. в полза на лицето Е. Р. Д..
Първият спорен въпрос е дали между страните е договорена конкретна процедура за
8
разрешаване от платеца на платежни операции.
Съгласието за изпълнение на платежна операция или на поредица от платежни операции
се дава по ред и начин, уговорени между платеца и съответния доставчик или съответните
доставчици на платежни услуги. Съгласието за изпълнение на платежната операция може да
бъде дадено и чрез получателя или доставчика на услуги по иницииране на плащане – чл. 70,
ал. 2 ЗПУПС.
В чл. 62.3 и следващите от Общи условия на „Банка ДСК“ АД за предоставяне на
платежни услуги на физически лица в редакцията им от 05.12.2022 г. са изброени начините
за идентифициране на клиента и установяване автентичността на наредените от него
платежни операции от разстояние. Тези ОУ са част от установените между страните права и
задължения по силата на чл. 5 от Договора за откриване и обслужване на стандартна
разплащателна сметка на физически лица от 20.07.2016 г. Видно от цитираната разпоредба,
банката предоставя няколко начина за идентификация на клиента и разрешаване на
платежни операции от него. Изборът кой от тези начини да бъде използван е направен със
сключеното на 19.08.2020 г. Допълнително споразумение за промяна на достъпа до
електронните канали на „Банка ДСК“, като клиентката Й. А. е заявила желание да извършва
преводи по сметки на трети лица или по сметки в други банки, като за подписване използва
комбинация от цифров сертификат, издаден от банката и еднократен СМС /възможност
предвидена в чл. 62.3.4 и чл. 62.3.5/. Предвид изложеното се явява неоснователно
възражението на ищцата за липсата на установена процедура за разрешените от нея
платежни операции.
Вторият спорен въпрос е за правното значение на сертификата, който е създаден от
банката.
Следва да бъде повторено, че използването на този сертификат е един от начините,
избран от ищцата за да удостовери платежната операция, но не и единствения, доколкото
този сертификат се използва в комбинация с еднократен СМС код. В разясненията, дадени
от вещото лице в о.с.з. от 17.06.2025 г. е посочено, че този вид сертификат не отговаря
технологично нито на усъвършенстван електронен подпис, нито на квалифициран
електронен подпис. Този вид сертификат има действие само в банковата система на „Банка
ДСК“ АД и е с цел удостоверяване волеизявлението на конкретен клиент на банката пред
самата нея, когато се касае за платежни операции. С допълнителното споразумение от
19.08.2020 г. страните са договорили, че подписът, поставен върху електронните документи
чрез използване на комбинация от цифров сертификат и еднократен СМС код, изпратен чрез
кратко текстово съобщение през мобилна мрежа и ПИН е валиден и в отношенията между
страните се приравнява на саморъчен подпис. Волята на самите страни е била да приравнят
комбинацията между електронен сертификат и еднократен СМС код на саморъчен подпис.
Приложима в случая е разпоредбата на чл. 20а Закон за задълженията и договорите ЗЗД/,
според която договорите имат сила на закон за тези, които са ги сключили. Предвид
изложеното съдът приема, че заявената от клиентката комбинация от цифров сертификат,
издаден от банката и еднократен СМС код е избраният начин да подписва електронно пред
банката волеизявленията си за извършване на паричен превод чрез отдалечен достъп.
Третия спорен въпрос е дали „Банка ДСК“ АД е изпълнила всички свои договорни
задължения по потвърждаване на платежното нареждане.
Съдът счита, че при извършване на 27.02.2023 г. платежна операция „Банка ДСК“ АД е
изпълнила всички свои задължения, установени в разпоредбата на чл. 100, ал. 2 ЗПУПС,
като конкретно е извършила задълбочено установяване на идентичността на платеца, тъй
като в случая същият е инициирал платежната операция по електронен път. В конкретния
случай банката е спазила и провела коректно и последователно всички етапи от процедурата
за установяване самоличността на наредителя, чрез използване на вече разработената и
установена в отношенията с ищеца система за идентифициране самоличността на
наредителя. Тази система изпълва всички изисквания на разпоредбата на чл. 100, ал. 4
ЗПУПС тъй като обезпечава за потребителя посочените в същата три кумулативни елемента:
знание - за паролата за достъп до профила, която е създадена от потребителя и е известна и
9
достъпна само нему. Обстоятелството, че ПИН кодът на сертификатът за извършване на
платежна операция е променен от клиента не може да се вмени във вина на банката. Право
на потребителя е да промени своя ПИН код, тъй като само той го знае и системата на
банката само дава тази възможност, но не се намесва в свободния избор на своя клиент –
потребител на електронната система. Въвеждането на последните четири цифри от номера
на документа за самоличност – лична карта е индиция, че извършената операция не е от
случаен човек, а е от някой който е имал достъп до телефона, освен че е знаел данните на
документа за самоличност на потребителката.
Доказа се и вторият елемент - притежание – на телефона с номер, посочен отнапред за
получаване на код за сигурност за извършване на платежните операции. Това задължение
ответната банка е изпълнила с предоставянето на ищеца на персонализирани средства за
достъп до системата за интернет банкиране - потребителско име и парола /нещо, което само
ползвателят знае/ и сертификат с ПИН код, който само потребителят знае в комбинация от
еднократен СМС код. Цитираният по делото телефонен номер се установи, че се ползва от
ищцата по договор за мобилни услуги, чийто титуляр е едната дъщеря на ищцата – Надя А..
В о.с.з. от 10.12.2024 г. вещото лице е посочило, че електронната система на банката е
направена така че да изпраща СМС до телефонния номер, посочен от клиента, винаги когато
той пожелае да смени паролата си. Не се доказа твърдението на ищцата, че не е
получавала СМС с еднократен код за потвърждение на транзакцията. В приложение № 5 от
първоначалната експертиза /л. 263 – 275 от делото/ са представени извлечения от
електронната система на „Банка ДСК“ АД, които вещото лице е обяснило в о.с.з. от
10.12.2024 г., че представляват електронни данни за изпратен на 27.02.2023 г. в 12.41.16 ч.
СМС на телефонния номер на потребителката. Горният извод не се опровергава от
свидетелските показания на една от дъщерите на ищцата – Надя А., която е посочила, че тя и
сестра й са проверили телефонния апарат на майка им, дали има изпратен СМС от банката
на дата 27.02.2023 г. При проверката СМС кореспонденцията липсвала. Тази проверка
станала обаче най-рано в средата на месец март 2023 г. Тази констатация е съобразена с
твърдението на свидетелката, че някъде към средата на м. март получила телефонно
обаждане от служител на 09 РУ-СДВР, по повод на което разбрала за случая и едва след
това отишла при майка си, за да се осведоми подробно.
В процеса липсват доказателства, установяващи наличието на обстоятелства, които да
са били в отклонение от обичайно установения протокол и практика при извършване на
онлайн платежните операции, които да са обосновали задължение на банката да се усъмни в
авторството на платежната операция, и да извърши по-задълбочено проучване и проверка.
Вещото лице е категорично, че всички процедури по платежната операция са изпълнени,
като единственото необичайно е смяната на ПИН кода за сертификата, като част от процеса
на потвърждение за извършената платежна операция. За банката не е имало основание да
откаже изпълнението на платежната операция /чл. 9 Наредба № 3 от 18.04.2018 г. за
условията и реда за откриване на платежни сметки, за изпълнение на платежни операции и
за използване на платежни инструменти/.
Предвид изложеното предявеният иск следва да бъде отхвърлен като недоказан.
При този изход на делото право на разноски има ответникът „Банка ДСК“ АД, който
претендира присъждане на разноски в общ размер на 1 105 лв., от които: 200 лв. –
юрисконсултско възнаграждение за иск с правно основание чл. 79 ЗПУПС; 200 лв. –
юрисконсултско възнаграждение за осъдителен иска за заплащане на обезщетение за
неимуществени вреди; 550 лв. – депозит за съдебно компютърно-техническа експертиза; 150
лв. – депозит за съдебно-медицинска експертиза и 5 лв. – такса за съдебно удостоверение.
Съдът определя юрисконсултско възнаграждение за процесуално представителство по
първия иск в размер на 200 лв. По втория иск, който е оттеглен в първото по делото съдебно
заседание и защитата на ответника се е изчерпала с вземане на становище в отговора на
исковата молба и формулиране на въпроси към СМЕ дължимото юрисконсултско
възнаграждение следва да е в размер на 50 лв. Предвид изложеното ищцата Й. А. следва да
заплати на „Банка ДСК“ АД на основание чл. 78, ал. 8 вр. ал. 3 ГПК сума в размер на 955 лв.
10
– съдебни разноски.
Водим от горното, съдът
РЕШИ:
ОТХВЪРЛЯ предявения от Й. Д. А., ЕГН ********** със съдебен адрес: гр. София,
бул.“Х.С.“ № 78, ет. 4 срещу „Банка ДСК“ АД, ЕИК ****** със седалище и адрес на
управление: гр. София, район „Оборище“, ул. „М“ № 19 иск с правно основание чл. 79
ЗПУПС за заплащане на сума в размер на 15 000 лв., представляваща стойността на
неразрешена платежна операция от дата 27.02.2023 г., заедно със законната лихва върху нея
от 27.07.2023 г. /датата на подаване исковата молба/ до окончателното плащане.
ОСЪЖДА Й. Д. А., ЕГН ********** със съдебен адрес: гр. София, бул.“Х.С.“ № 78, ет. 4
да заплати на „Банка ДСК“ АД, ЕИК ****** със седалище и адрес на управление: гр. София,
район „Оборище“, ул. „М“ № 19 на основание чл. 78, ал. 8 вр. ал. 3 ГПК сума в размер на
955 лв., представляваща сторените по делото съдебни разноски.
Решението е постановено при участието на „А1 България“ ЕАД в качеството му на
трето лице-помагач на страната на ответника.
Решението е постановено при участието на Е. Р. Д. в качеството му на трето лице-
помагач на страната на ответника.
Решението подлежи на обжалване пред Софийски градски съд с въззивна жалба в
двуседмичен срок от връчването на препис от него на страните.
Съдия при Софийски районен съд: _______________________
11