№ 15882
гр. София, 03.10.2023 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ РАЙОНЕН СЪД, 178 СЪСТАВ, в публично заседание на
пети декември през две хиляди двадесет и втора година в следния състав:
Председател:МАРИЯ ИЛЧ. ИЛИЕВА
при участието на секретаря СВЕТОСЛАВА В. ОГНЯНОВА
като разгледа докладваното от МАРИЯ ИЛЧ. ИЛИЕВА Гражданско дело №
20211110157274 по описа за 2021 година
Ищецът ФИРМА, е предявил срещу ответника ФИРМА, осъдителни искове с правно
основание чл. 79 ал. 1 от ЗПУПС и чл. 86, ал.1 от ЗЗД за осъждане на ответника да заплати
на ищеца сумата от 7936,00 лв., представляваща стойност на неразрешена платежна
операция, осъществена на 13.01.2021 г., за която ищецът незабавно е уведомил банката,
ведно със законната лихва от датата на депозиране на исковата молба в съда –
01.10.2021 г. до окончателно изплащане на вземането , и сумата от 575,41 лв.,
представляваща обезщетение за забава в размер на законната лихва върху главницата за
периода 13.01.2021 г. – 30.09.2021 г.
Ищецът твърди, че е клиент на ФИРМА съгласно Договор № ... за включване в
пакетна програма Бизнес лидер Лайт. По силата на посочения договор банката открила на
клиента разплащателна сметка, като в тази връзка на ищеца били издадени дебитни карти за
извършване на платежни операции. Твърди, че на 13.01.2021 г. е бил уведомен от
разследващ полицай в 09 РУМВР – гр. София за извършено неоторизирано плащане с
картата му на стойност 7936,00 лв., след което незабавно се обадил в ФИРМА и заявил
блокиране на дебитните карти, като посетил и обслужващия го клон в гр. Стара Загора. От
страна на банката били блокирани и онлайн и мобайл банкирането. От банката пояснили
още, че транзакцията е блокирана, но на следващия ден ищецът забелязал, че плащането е
осъществено, поради което на 15.01.2021 г. подал формуляр за рекламация, в който
декларирал, че осчетоводената операция е извършена без негово знание, съгласие и участие,
с оглед на което отправил искане за възстановяване на сумата. В отговор на това свое искане
на 05.02.2021 г. по електронната си поща получил отговор, в който служители на банката
пояснили, че транзакцията е осъществена на ПОС терминал в търговски обект чрез мобилно
устройство, посочили също, че картата е дигитализирана в електронен портфейл чрез ... след
1
успешна автентикация на 13.01.2021 г. На 04.03.2021 г. ищецът подал повторно искане за
възстановяване на процесната сума, а на 04.06.2021 г. получил отговор, че е извършена
обстойна проверка и няма основание за възстановяване на сумата по платежната операция.
Ищецът излага, че в отношенията между страните са приложими и общи условия, но не е
договарял от услугите на Булбанк „мобайл токен устройство или електронен портфейл“.
Сочи още, че през цялото денонощие (на 13.01.2021 г.) представителят на „Комеко-универс“
ООД е бил в гр. Стара Загора, а не в София, където било местонахождението на ПОС
устройството, на което била осъществена транзакцията. Твърди, че във връзка със случая се
води досъдебно производство, което не е приключило към настоящ момент. Поддържа, че
неоторизираната операция е извършена посредством мобилно устройство и номер, които
той не е заявявал в банката като свои и в тази връзка твърди, че банката е била длъжна
установявайки незаявено мобилно устройство, да провери дали е било собствено или
ползвано от клиента й, съгласно общите условия, действали между страните. Ищецът
излага, че никога не е заявявал дигитализация на сметката си и че не е получавал различна
оторизация освен ПИН и парола за електронен достъп до информация за сметката си. Прави
искане съдът да осъди ответника да му заплати исковата ведно с обезщетение за забава
върху нея от 13.01.2021 г. до 30.09.2021 г. и от исковата молба до окончателното изплащане
на вземането. Претендира разноски. Представя списък по чл. 80 от ГПК.
В срока за отговор на исковата молба по чл. 131 от ГПК, такъв е постъпил от
ответника, в който оспорва претенциите по основание и размер. На първо място твърди, че
исковете са недопустими поради липса на правен интерес. Излага, че „неразрешената
платежна операция“ е извършена през услугата Булбанк Онлайн и приложението ... –
Дигитален портфейл, като описва подробно и начина на работа на приложението. Твърди, че
приложението е реактивирано на 13.01.2021 г. за клиент с ИД 56383 с имена П. К. П. след
извършване на задълбочена идентификация на потребителя. Сочи, че за да се извърши
плащане посредством дигитална карта е необходимо въвеждането на информация, която е
строго лична. Поддържа, че ако плащането не е извършено от потребителя, то това означа,
че същият не е положил достатъчно грижа за съхраняване на информацията, осигурил е
достъп до мобилното устройство, на което е активирано приложението, както и до
средствата за активиране на устройството. Добавя още, че ако трети лица са се сдобили с
информацията или устройството, то причината за това е проявена груба небрежност от
страна на ищеца, за която банката, излага, че не може да носи отговорност. Сочи, че с оглед
твърденията на ищеца, банката е извършила незабавна проверка още на 13.01.2021 г. и е
подала сигнал до 09 РУП при СДВР. Твърди, че нареждането за плащане е извършено от
оторизирано лице и законосъобразно е изпълнено от банката, тъй като лицето се е
идентифицирало. Прави искане съда да отхвърли предявените искове. Претендира
разноски. Представя списък по чл. 80 от ГПК.
Съдът след като взе предвид доводите на страните и след оценка на събраните по
делото доказателства, при спазване на разпоредбата на чл. 235 от ГПК, намира от
фактическа страна следното:
2
Между страните не е спорно, че същите са били обвързани от Договор за включване в
пакетна програма Бизнес лидер Лайт, в срока на действие на който, на 13.01.2021 г., е
извършена платежна операция на ПОС терминал чрез мобилно устройство в размер на
7936,00 лева.
От представеното и прието по делото извлечение от сметка се установява, че
плащането е извършено на ПОС в ФИРМА в 10:52:44 часа в гр. София чрез банкова карта,
добавена в дигитален портфейл на същата дата, след което картата е била блокирана в 11:22
часа.
Между страните не е спорно и се установява, че клиентът е уведомил банката за
транзакцията, а банката е подала сигнал до 09 РУ-СДВР София с данни за извършена
измама.
От приетото заключение по компютърно-техническата експертиза, изготвено от на
вещото лице инж. Х., на което съдът дава вяра като компетентно и безпристрастно, както и
от разясненията му, дадени в съдебно заседание, се установява, че приложението „дигитален
портфейл“, от което е извършено плащането, се активира след като клиентът избере от
мобилното си устройство (телефон), където то е инсталирано, приложението ..., въведе
ръчно своя ЕГН, както и първи 4 и последни 4 цифри на пластиката на банковата карта.
Втората стъпка за активиране на банкирането изисква СМС за потвърждение на номер. След
успешно потвърждение клиентът получава нов СМС с код за активиране на услугата, който
е 8-цифрен и се въвежда ръчно от клиента. При успешно изпълнение на тези стъпки,
клиентът получава код за активация, който в зависимост от това дали SIM карата на клиента
е във или извън мобилното устройство, на което се активира приложението, може да бъде
прочетен съответно автоматично, ако SIM картата е в устройството (телефон или таблет)
или не – ако тя е извън устройството, в който случай кодът де въвежда отново ръчно от
клиента.
След успешна активация на приложението, клиентът го отваря чрез създаден от него
ПИН код или чрез биометрични данни – пръстов отпечатък или лицево разпознаване. Оттам
избира от меню „карти“ картата, която желае да бъде дигитализирана и я добавя с бутон в
мобилния портфейл, след което отново потвърждава, че желае да активира услугата. При
потвърждение се получава нотификация на устройството, на което е активирано
приложението, че картата е готова за използване в телефона.
Отключването на телефона става посредством някоя от възможностите, избрана от
клиента, а именно с пръстов отпечатък, чрез ПИН, шаблон или без защита за вход в
мобилното приложение. Отключването на телефона се счита за идентификация на клиента за
извършване на плащане, което се осъществява чрез физическо доближаване на мобилното
устройство до ПОС терминала, където се плаща. Плащането може да се извърши и след вход
в приложението и избор на опция „многократно плащане“, в който случай клиентът веднъж
вече се е идентифицирал при първо влизане с ПИН, пръстов отпечатък или шаблон.
Според заключението на вещото лице, на 13.01.2021 г. в 9:57:33 и 9:59:19 на мобилен
номер +359888****28, на клиент с ID 56383, са изпратени две кратки съобщения - СМС с
3
кодове за реактивация (повторно влизане в приложението от друго мобилно устройство) на
мобилното приложение за банкиране. След като ... е успешно реактивирано, чрез акаунта на
клиента се стартира и успешно се влиза в мобилното банкиране преди процесното плащане
няколко пъти както следва: първа сесия в 10:00:02 часа до 10:00:44 часа, втора сесия от
10:09:27 часа до 10:09:55 часа и трета сесия от 10:13:23 до 10:14:11 часа, в която сесия е
дигитализирана картата, с която е извършено плащането. Според експерта, карата е
добавена за плащане в мобилното приложение непосредствено преди плащането, като
плащания с нея през приложение до този момент не са били правени (лист 58 гръб).
Последната сесия преди плащането е от 10:51:11 до 10:51:18, като липсват данни дали
клиентът е излязъл от приложението и го е заключил между сесиите.
От разясненията, дадени от вещото лице в открито съдебно заседание, се установява,
че чрез фишинг атака е възможно дублиране на SIM карта, на която да бъдат получени СМС
с оторизационните кодове и да се присвоят данните от картоползвателя и да се активира
приложението, като тази атака не може да бъде установена от банката, тъй като за нея са
изпълнени всички етапи за сигурност, касаещи реактивацията на приложението и
транзакцията, защото пробивът касае сигурността на потребителя. Според вещото лице, за
да се извърши този вид манипулация трябва да се знае електронната поща на
картоползвателя, мобилен номер и 15-цифрен код на SIM картата, на която следва да се
получат кодовете от СМС съобщенията за активация на мобилното банкиране. От друга
страна, за регистрацията в приложението съответно трябва да се знае част от ЕГН на лицето
и част от номера на пластиката на банковата карта. Според експерта 15-цифреният код на
SIM картата е изписан върху нея, като може да бъде прочетен чрез закачане на SIM картата в
мобилно устройство или чрез манипулиране на самото мобилно устройство, в което карата е
поставена чрез неговото физическо достъпване или чрез „заразяването“ му с вирус. По
отношение на останалите данни за вход в системата, същите е възможно да бъдат придобити
неправомерно чрез фишинг от потребителя, който следствие на измама ги предоставя
доброволно.
От заключението по допълнителната съдебно техническа експертиза се установява, че
активирането на приложението на едно мобилно устройство води до неговото автоматично
деактивиране, ако то е инсталирано на друго устройство преди това, като потребителят
получава уведомление, че приложението не е активно след неговото стартиране на
първоначалното устройство.
Други релевантни за спора доказателства не са представени.
При така установената фактическа обстановка съдът намира от правна страна
следното:
Предявени са осъдителни искове с правно основание чл. 79, ал. 1 от ЗПУПС и чл. 86,
ал.1 от ЗЗД, по които в тежест на ищеца е да докаже, че между страните е съществувало
облигационно отношение по договор за включване в пакетна програма Бизнес лидер Лайт,
че в срока на действие на договора е извършена платежна операция, която не е била заявена
от ищеца, както и нейната стойност; че е уведомил ответника незабавно след узнаването; че
4
ответникът е изпаднал в забава и размера на обезщетението за забава.
В тежест на ответника е да установи, че е възстановил стойността на неразрешената
платежна операция или че платежната операция е извършена чрез използване на изгубен,
откраднат или незаконно присвоен платежен инструмент, когато платецът поради
небрежност не е успял да запази персонализираните защитни характеристики на
инструмента.
Според чл. 79, ал. 1 от ЗПУПС в случай на неразрешена платежна операция
доставчикът на платежни услуги по смисъла на чл. 3, ал. 1, т. 1 ЗПУПС възстановява
незабавно на платеца стойността на неразрешената платежна операция, освен когато
доставчика на платежни услуги има основателни съмнения за измама и уведоми съответните
компетентни органи, т.е. по правило банката, която е издател на платежния инструмент,
отговаря в размер на стойността на неразрешената банкова операция. Законът е уредил
намаляване или изключване отговорността на банката само в случаите, в които платецът е
допуснал небрежност при използване на платежния документ, като при загуби, произтичащи
от използването на изгубен, откраднат или незаконно присвоен платежен инструмент,
отговорността на банката е ограничена до максимален размер, договорен между доставчика
на платежни услуги и ползвателя, но не повече от 100 лв. /чл. 80, ал. 1 от ЗПУПС/, а при
допусната груба небрежност или умисъл е изцяло изключена /чл. 80, ал. 3 от ЗПУПС/.
Платецът не понася загуби ако кражбата или незаконното присвояване на платежния
инструмент не са могли да бъдат установени от него преди плащането – чл. 80, ал. 2, т. 1 от
ЗПУПС (в този смисъл и съображение 71 от Директива (ЕС) 2015/2366 на Европейския
парламент и на Съвета от 25 ноември 2015 година).
Според чл. 70, ал. 1 от ЗПУПС платежната операция е разрешена, ако платецът я е
наредил или е дал съгласие за изпълнението . При липса на съгласие платежната операция
е неразрешена. Според чл. 78, ал. 1 от ЗПУПС когато ползвателят на платежна услуга
твърди, че не е разрешавал изпълнението на платежна операция или че е налице неточно
изпълнена платежна операция, доставчикът на платежната услуга носи
доказателствената тежест да установи автентичността на платежната операция,
нейното точно регистриране, осчетоводяването, както тежестта да докаже това, че
операцията не е засегната от техническа повреда или друг недостатък в услугата,
предоставена от доставчика на платежни услуги. Когато ползвателят на платежна услуга
твърди, че не е разрешавал (нареждал) платежна операция, регистрираното използване
на платежния инструмент не е (във всеки случай) достатъчно доказателство, че
платежната операция е била разрешена от платеца – чл. 78, ал. 4 от ЗПУПС (чл. 72, пара. 2
от Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета от 25 ноември 2015
година).
При така установената правна рамка спорен по делото е въпросът разрешена ли е
била платежната операция, тъй като ищецът твърди, че не я е нареждал.
Според разпоредбата на чл. 70, ал. 3 от ЗПУПС съгласието за изпълнение на
платежната операция или поредица от платежни операции се дава по ред и по начин,
5
уговорени между платеца и съответния доставчик или съответните доставчици на платежни
услуги. В настоящия случай, както се установява от заключението на вещото лице преводът
е изпълнен чрез прилагане на всички елементи за удостоверяване, при прилагане на
„задълбочено установяване на идентичността на клиента“ по смисъла на чл. 100, ал. 4 от
ЗПУПС. Приложението за мобилно банкиране е реактивирано чрез въвеждане на част от
номера на банкова карта, ЕГН и кодовете от два оторизационни СМС-а, изпратени до
номера на клиента, непосредствено преди транзакцията – в интервала между 9:58:10 часа,
когато е получен първият СМС до 10:52:44 часа, когато е извършено плащането, след което
банковата карта е блокирана. От събраните по делото доказателства, а именно заключението
на вещото лице по изслушаната техническа експертиза, се установява, че е технически
възможно номерът на SIM карата на мобилното устройство, на което е инсталирано
мобилното банкиране, да бъде дублиран вследствие на фишинг атака и на дупликата да
бъдат получени СМС с кодовете за достъп до банкирането, както и следствие на такава
атака да се присвоят данните на платеца и да се активира приложението. Според експерта
15-цифреният код на SIM картата, изписан върху нея, може да бъде прочетен и чрез закачане
на SIM картата в мобилно устройство или чрез манипулиране на самото мобилно
устройство, в което карата е поставена чрез неговото физическо достъпване или чрез
„заразяването“ му с вирус. По отношение на останалите данни за вход в системата, същите е
възможно да бъдат придобити неправомерно чрез фишинг. Ето защо, според съда, по делото
не се установява без съмнение, че всички елементи от поредицата за удостоверяване на
идентичността на платеца, поради което и неговото съгласие за изпълнение на платежната
операция по смисъла на чл. 70, ал. 3 от ЗПУПС, са дадени лично от него, а не от трето лице,
поради което и платежната операция е неразрешена и на основание чл. 79, ал. 1 от ЗПУПС
доставчикът на платежни услуги следва да възстанови нейната стойност.
В конкретния случай обаче, тъй като платецът оспорва въвеждането на
идентификационните му данни, като твърди, че същите са присвоени, приложение следва да
намери нормата на чл. 80, ал. 1 от ЗПУПС според която платецът може да понесе загубите,
свързани с всички неразрешени платежни операции, произтичащи от използването на
изгубен, откраднат или незаконно присвоен платежен инструмент, до максимален размер,
договорен между доставчика на платежни услуги и ползвателя, но не повече от 100 лв.,
освен ако загубата, кражбата или незаконното присвояване на платежния инструмент не са
могли да бъдат установени от платеца преди плащането, когато платецът е действал с цел
измама, или вредата е била причинена от действие или бездействие на служител, на
представител или на клон на доставчика на платежни услуги или на подизпълнителя (чл. 80,
ал. 2, т. 1 и т. 2 от ЗПУПС). В настоящия случай, както се установява от заключението на
вещото лице, изключението на чл. 80, ал. 2, т. 1 от ЗПУПС не е налице, тъй като кражбата на
данните е можела да бъде установена от платеца преди извършване на транзакцията –
активирането на приложението на едно мобилно устройство води до неговото автоматично
деактивиране, ако то е инсталирано на друго устройство преди това, като потребителят
получава уведомление, че приложението не е активно след неговото стартиране на
първоначалното устройство, т.е. за платеца е била налице техническа възможност да
6
установи в периода от първата сесия по реактивация до извършване на плащането, че
мобилното банкиране се ползва от друг телефон.
Въпреки това неоснователен е доводът на ответника, че платецът следва да понесе
вредата изцяло, тъй като е действал поради „груба небрежност“ и не е изпълнил
задълженията си по чл. 75, т. 3 от ЗПУПС да опази персонализираните средства за сигурност
на платежния инструмент, доколкото съгласно съображение 72 на Директива (ЕС) 2015/2366
на Европейския парламент и на Съвета от 25 ноември 2015 година, за да е налице „груба
небрежност“ доставчикът на платежните услуги следва да установи поведение,
характеризиращо се със значителна степен на нехайство, като например съхраняване на
персонализираните средства, използвани за разрешаване на платежна операция,
непосредствено до платежния инструмент в достъпен и лесно разпознаваем за трети лица
вид, каквото поведение не се доказва без съмнение понастоящем.
Отговорността на платеца, по силата на чл. 80, ал. 1 от ЗПУПС, е ограничена до
размер от 100 лв., като съгласно чл. 67, ал. 4 от ЗПУПС приложението на сочената норма
може да бъде дерогирано когато ползвателят на платежната услуга не е потребител по
смисъла на параграф 1, т. 40 от ДР на ЗПУПС, но по делото не се установява страните да са
договори друго. Ето защо, на основани чл. 79, ал. 1 във вр. с чл. 80, ал. 1 от ЗПУПС, на
ищеца следва да бъде присъдена сумата от 7836 лв., представляваща стойността на
неразрешената транзакция след приспадане на законоустановените 100 лв., до които
платецът в настоящия случай отговаря, като за разликата до пълния предявен размер от 7936
лв. искът следва да бъде отхвърлен.
С оглед частичната основателност на главния иск, частично основателна се явява и
акцесорната претенция за обезщетение за забава в размер на законната лихва считано от
15.01.2021 г., тъй като на основание чл. 79, ал. 1 от ЗПУПС доставчикът на платежната
услуга дължи възстановяване на средствата по сметката на платец не по-късно от края на
следващия работен ден, след като е бил уведомен за операцията, след което изпада в забава
(чл. 84, ал. 1, предл. първо от ЗЗД). Обезщетението, изчислено с помощта на онлайн лихвен
калкулатор върху дължимата главница за периода от 15.01.2021 г. до 30.09.2021 г. е в размер
на 563,75 лева до която сума искът следва да се уважи, а за разликата над 563,75 лева до
пълния претендиран размер от 575,41 лева и за периода от 13.01.2021 г. до 14.01.2021 г., е
неоснователен и следва да бъде отхвърлен.
По разноските:
При този изход на спора, право на разноски имат и двете страни.
Ищецът е сторил разноски за държавна такса в размер на 340,46 лева, 100 лева за СТЕ
и е заявил претенция за присъждане на адвокатско възнаграждение в размер на 800 лева,
платено в брой съгласно указанията в т. 1 от Тълкувателно решение № 6/2012г. от
06.11.2013г. на ОСГТК на ВКС, поради което и на основание чл. 78, ал. 1 от ГПК следва да
му бъдат присъдени общо 1224,18 лева.
7
Ответникът е сторил разноски за експертиза в размер на 500 лева и е заявил
претенция за присъждане на адвокатско възнаграждение, платено по банков път съгласно
представения на лист 35 договор за правна защита и съдействие и представени
доказателства за извършване на посочения превод в полза на адвоката съгласно указанията в
т. 1 от Тълкувателно решение № 6/2012г. от 06.11.2013г. на ОСГТК на ВКС, поради което на
основание чл. 78, ал. 3 от ГПК, следва да му бъдат присъдени общо 18,46 лева.
Мотивиран от горното, Софийският районен съд
РЕШИ:
ОСЪЖДА ФИРМА, със седалище и адрес на управление в ..., да заплати на
ФИРМА, с адрес в ..., на основание чл. 79 ал. 1 от ЗПУПС, сумата от 7836,00 лева,
представляваща стойност на неразрешена платежна операция, осъществена на 13.01.2021 г.,
ведно със законната лихва от датата на депозиране на исковата молба в съда –
01.10.2021 г. до окончателно изплащане на вземането , и на основание чл. 86, ал. 1 от ЗЗД
сумата от 563,75 лева, представляваща обезщетение за забава в размер на законната лихва
върху главницата от 7836 лв. за периода 15.01.2021 г. – 30.09.2021 г., като ОТХВЪРЛЯ иска
за главница за сумата над 7836 лв. до пълния предявен размер от 7936 лв. и иска за
обезщетение за забава в размер на законната лихва за сумата над 563,75 лв. до пълния
предявен размер от 575,41 лв. и за периода от 13.01.2021 г. до 14.01.2021 г., като
неоснователни.
ОСЪЖДА ФИРМА, със седалище и адрес на управление в ..., да заплати на
ФИРМА, с адрес в ..., на основание чл. 78, ал. 1 от ГПК, сумата в размер на 1224,18 лева –
разноски за тази инстанция.
ОСЪЖДА ФИРМА, с адрес в ..., да заплати на ФИРМА, със седалище и адрес на
управление в ..., на основание чл. 78, ал. 3 от ГПК, сумата в размер на 18,46 лева – разноски
за тази инстанция.
Решението може да се обжалва с въззивна жалба пред Софийски градски съд в
двуседмичен срок от връчването му на страните.
Съдия при Софийски районен съд: _______________________
8