№ 16502
гр. С., 04.09.2025 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ РАЙОНЕН СЪД, 182 СЪСТАВ, в публично заседание на
четвърти юни през две хиляди двадесет и пета година в следния състав:
Председател:МИХАЕЛА КАСАБОВА-
ХРАНОВА
при участието на секретаря ВИКТОРИЯ С. И.А ДОКОВА
като разгледа докладваното от МИХАЕЛА КАСАБОВА-ХРАНОВА
Гражданско дело № 20231110140526 по описа за 2023 година
Образувано е по искова молба на Т. Е. К.-Я. срещу „Ю. Б.“ АД за осъждане на
ответника да заплати на ищцата сумата от 1614,84 лева, представляваща стойност на 2
броя неразрешени от нея транзакции, осъществени на 06.12.2021 г. от дебитна карта,
открита на нейно име в ответната банка, ведно със законната лихва от датата на
подаване на исковата молба в съда – 20.07.2023 г. до окончателното плащане. В
исковата молба се твърди, че на 12.07.2013 г. ищцата Т. К. - Я. е сключила договор за
откриване и водене на спестовна сметка „Мега плюс“ с ответника „Ю. Б.” АД, като
заявила ползване на интернет банкиране и посочила телефонен номер и адрес на
електронна поща. На 07.04.2020 г. сключила договор с ответната банка за издаване на
персонална дебитна карта Visa Classic BGN417099ХХХХХХ8262, която се обслужва от
спестовната й сметка. На 11.12.2021 г. получила две съобщения на телефона си за
извършване на вход в електронното банкиране. Ищцата твърди, че се опитала да влезе
в онлайн банкирането си, но на екрана се изписало, че в момента има активна
процедура, като ищцата не била инициирала такава. Установила, че няма достъп и до
електронната си поща. Веднага се обадила на оператор в банката, за да бъдат
блокирани дебитната й карта и онлайн банкирането. На 13.12.2021 г. посетила клона на
банката в гр.К. и била уведомена, че с дебитната й карта са извършени две трансакции
с краен получател - R. MADRID, като от спестовната й сметка с вальор от 06.12.2021 г.
са наредени две картови транзакции, като първата е в размер на 740,55 лева, а втората
– на 874,29 лева, за които е посочена като дата на операциите: 08.12.2021 г. Ищцата
поддържа, че не е нареждала и не е давала съгласие за изпълнението на
горепосочените картови трансакции, нито е потвърждавала извършването им, поради
което ги оспорила незабавно след като узнах за тях. При електронното банкиране не е
осъществявала комуникация с трето лице, освен с банката, и не съм предоставяла
неправомерно персонални данни на такова лице. Твърди, че в продължение на два
месеца е правила многократни опити да получа обратно липсващите в сметката й
парични средства, но едва на 09.02.2022 г. й било отговорено, че не са налице
основания за възстановяване, тъй като банката е изпълнила всички изисквания на
действащото законодателство, включително относно установяване на идентичността на
платеца. Излага доводи, че банката е станала собственик на предоставените й парични
1
средства, а рискът от отнемането или повреждането на вещта се носи от собственика.
Претендира разноски.
В законоустановения срок по чл. 131 ГПК е депозиран писмен отговор на
исковата молба от ответника „Ю. Б.“ АД, с който оспорва предявения иск. Ответникът
оспорва твърденията на ищцата, че извършените платежни операции са неразрешени
от нея и излага твърдения, че и двете платежни операции са осъществени чрез ръчно,
еднократно и безпроблемно въвеждане на съответните персонализирани средства за
сигурност - точен номер на дебитната карта, точен срок на валидност и коректни
символи от CVC2/СVV-2-кода на картата, които са предоставени и известни
единствено на картодържателката титуляр. След като операциите са били
допълнително потвърдени с приложението „софтуерен токън“ или „m-Token .....“,
което би следвало да е инсталирано на мобилния телефон на ищцата операциите са
били успешно осчетоводени и изпълнени автоматично от банковата информационно-
счетоводна система. Излага твърдения, че на 06.12.2021 г. е заявено издаването на
софтуерен токън „m-Token .....“ на името на Т. Е. К.. Инсталацията на токьна е
активирана на същия ден - 06.12.2021 г. по нейно искане чрез услугата „интернет-
банкиране” след извършена еднозначна положителна електронна идентификация чрез
нейните потребителско име и парола за вход в профила й в „е-.....“. В хода на този
процес по активация на софтуерния токън, ищцата е получила и въвела два цифрово-
буквени кода, изпратени й по два отделни, независими канала - чрез „SMS“ на
посочения от нея и регистриран в системата на банката мобилен телефонен номер:
********** и чрез съобщение на адреса на електронната й поща (имейл) ......,
предоставени от нея на банката при регистрирането й като титуляр и оправомощен
държател за ползване на услугата „интернет банкиране“ за посочената банкова сметка.
Излага твърдения, че в своя жалба от 10.02.2022 г. ищцата изрично е заявила, че е
активирала m-token на 06.12.2021 г. и след това не e предоставяла по никакъв повод
лична информация и/или информация от дебитната си карта (имена, номер, валидност
и CVC код) на сайтове, което ответникът счита за извънсъдебно признание на
обстоятелството, че тя лично е инсталирала и активирала приложението „софтуерен
токън“ на своя смартфон, както и че е предоставила персонализираните средства за
сигурност на своята дебитна карта в полза на трети, неопределени и неупълномощени
лица, с което е нарушила разпоредбата на чл. 75, т. 3 ЗПУПС. Твърди, че на 06.12.2021
г., както и преди и след това, не са били констатирани никакви технически проблеми
със системата на банката за „интернет банкиране“, както и с ползваното от ищцата и
инсталирано на същата дата допълнително приложение за потвърждаване на плащания
„софтуерен токън“. Поддържа, че банка е осигурила максимално сигурната среда и
необходимите условия, при които само ползвателят на платежни услуги да може да
бъде динамично асоцииран по сигурен начин с персонализираните средства за
сигурност, устройствата и софтуера за установяване на идентичността, и по-специално
със софтуерния токън. Твърди, че в банковата система (основна, „интернет банкиране“
и всички подсистеми и приложения за сигурност) не е налице каквато и да е следа от
достъп или външна намеса от трето неупълномощено лице в процеса на иницииране,
подписване, одобряване и потвърждаване на процесиите две картови плащания в
интернет, поради което за банката не е имало някакво съмнение в тези операции или
друга възможност, освен да ги изпълни (както е и длъжна по закон и съобразно
договорните си отношение с клиента), така както са наредени, което е и станало в
действителност. Поддържа, че съгласно чл. 15 от раздел V, и чл. 3 от раздел VII на
Общите условия ищцата е длъжна да предприеме всички разумни мерки за опазване и
предотвратяване на неразрешен достъп до неговите персонализирани средства за
сигурност (каквито съгласно ОУИБ са софтуерният токън „т-Token .....кодът за достъп
/комбинация от потребителско име и парола/ до системата ,,интернет, банкиране" „е-
.....“), като неизпълнението на това задължение представлява „груба небрежност“ от
нейна страна. Идентични задължения (за опазване от нерегламентиран достъп) ищцата
има и по отношение на своя „Персонален идентификационен код“, с който се отключва
2
софтуерният й токън, като неизпълнението на това задължение също се счита за
„груба небрежност“ от нейна страна. Ответникът твърди, че поради използвания метод
на задълбочено установяване идентичността на платеца - софтуерен токън,
единствените реално съществуващи две възможности и вероятности за евентуално
неправомерно ползване на картата по описания начин за плащания в интернет от трето
лице, е картодържателката умишлено или при условията на груба небрежност да е
предоставила картата или нейните персонални идентификатори на това трето лице,
или в дадени моменти картата да е била извън полезрението и контрола на титуляри,
при което отново поради нейната груба небрежност третото лице да узнало нейните
данни и персонализирани средства за сигурност, с което пряко е нарушила
разпоредбата на чл. 75, т. 3 ЗПУПС. Излага доводи, че ищцата не е спазила своето
задължение по чл. 77, ал. 1 ЗПУПС за своевременно и без неоснователно забавяне
уведомяване на банката, в качеството й доставчика на платежни услуги , доколкото е
установила проблеми с използването на „интернет банкиране“ на 06.12. и на
11.12.2021 г., а е сторила това едва на 13.12.2021 г., поради което на основание чл. 83,
ал. 2 ЗЗД във връзка с чл. 80, ал. 3 ЗПУПС, отговорността на банката не следва да бъде
ангажирана. Банката, в качеството й на доставчик на платежни услуги, е предприела
всички необходими и възможни мерки да осигури сигурен достъп до услугата
„интернет банкиране“, като е положила дължимата грижа на добрия търговец в тази
връзка. Счита, че на основание чл. 75, ал. 2 ЗЗД се е освободил от отговорност, тъй
като добросъвестно е изпълнил задължението си към лице, което въз основа на
недвусмислени обстоятелства се явява овластено да получи изпълнението.
На следващо място излага съображения да не са спазени от ищцата
изискванията по чл. 75, т. 2 ЗПУПС и същата да е предоставила на трето лице личните
данни и идентификатора на дебитната карта, достъпа до електронното банкиране,
изпратените кодове за активация на приложение „софтуерен токън“, посредством
което процесните транзакции са осъществени, и на основание чл. 80, ал. 3 ЗПУПС не
подлежат на възстановяване от банката. Излага подробни съображения за положена от
дружеството грижа на добрия търговец.
По реда на чл. 143 ГПК ищецът пояснява, че при сключване на договора за
Интернет банкиране с „Ю. Б." АД, страните са договорили мобилен номер и е-мейл за
контакт: ......., който е включен в издадения от банката цифров сертификат. Янъкова
получава на мобилния си номер съобщение- „парола", а на електронната си поща
получава „потребителско име“, които следва да въведе на началната страница на
банката за вход в услугата.
На 05.12.2021 г. в 22.55 часа ищцата получила на посочената електронна поща
съобщение от ..... EAD за Активиране на m-Token ....., както следва: „Вашият акаунт е
изтекъл и ще бъде спрян в рамките на 24 часа. Актуализирайте информацията, за да
разрешите проблема". Твърди се на следващия ден- 06.12.2021 г. да е изпълнила
дадените указания, отваряйки линка и предоставяйки в сайта с абревиатурата на П. Б
изисканата информация във връзка с функционирането на Интернет банкирането.
Същият депо получила и няколко съобщения -на телефона (чрез приложението
Вайбър): „Вход в системата за електронно банкиране на П. Б в 19.22 часа“ и „код 1,
необходим за активиране на m-token", както и на ел. поща: ....... в 18.23 ч.- „активиране
на на м-токън ....."- „код 2, необходим за активиране на m -token". Въвеждайки в
отворения сайт изискуемите от банката данни доверителката считала, че извършва
вход в електронното си банкиране, както и че инсталира m-Token за извършване на
сигурни разплащания. В 18.25 часа получила и съобщение на електронната си поща:
„успешно активирахте софтуерен токън m -Токен .....". Ищцата поддържа, че не е
използвала и не е инсталирала софтуерен токън m -Токен ....."
Във връзка с поясненията на исковата молба ответникът поддържа, че видно от
посоченото в скобите на полето за „подател“, същият е ясно индивидуализиран като
„.....", който няма нищо общо с имейл-адресите и домейна на ответната банка, както и
3
че същият съдържа характерни за подобни измамни имейли от злонамерени трети
лица, стилистични и правописни грешки. Ето защо намира, че доколкото същата е
получавала многократно електронни съобщение от ответника е следвало да установи
тези несъответствия, пропуски и грешки, да се свържи със служител на банката преди
да пристъпи към изпълнение на инструкциите, съдържащи се в този имейл., но тя не е
сторила това, а е проявила груба небрежност като отворила линка (препратката) от
фалшивия имейл от 05.12.2021 г. и е предоставила в сайта с абревиатурата на П. Б
изисканата от третото злонамерено лице информация във връзка с функционирането
на Интернет банкирането. Както посочихме и по-горе, това означава, че ищцата е
въвела целия набор от своите лични данни, идентификатори на ползваните платежни
инструменти, кодове и пароли в отворения от нея фалшив сайт, вместо просто да
последва инструкциите от автентичните съобщения с получените два кода за
активация на приложението „софтуерен токън“ и да въведе получените кодове в
самото приложение (предварително инсталирано на своето мобилно устройство), а не
в интернет сайт, които факти и обстоятелства еднозначно квалифицират нейните
действия като извършени при условията на груба небрежност.
Не оспорва, че при сключване на договорите за разплащателна сметка и за
ползване на услугата „интернет банкиране“ ищцата лично е заявила пред банката
конкретния неин мобилен номер и адрес на електронна поща (имейл), чрез които
електронни канали ще се осъществява в бъдеще част от комуникацията между нея,
като ползвател на платежни услуги, и банката като доставчик на такива услуги във
връзка изпълнението на правата и задълженията на страните по платежното
правоотношение.
Съдът, след като прецени събраните по делото доказателства поотделно и в
тяхната съвкупност, ведно с доводите и становищата на страните, по реда на чл.
235, ал. 2, вр. чл. 12 ГПК, приема за установено следното от фактическа страна:
С доклада по делото съдът е отделил за безспорни и ненуждаещи се от
доказване между страните следните обстоятелства: 1) че между „Ю. Б.“ АД и ищцата
Т. Е. К. - Я. са сключени Договор от 08.06.2010 г. за спестовна сметка „Мега“ за сметка
с IBAN: **********, Договор от 07.04.2020 г. за издаване и обслужване па персонална
дебитна карта „Visa Classic“ в лева с № 417099ХХХХХХ8262, както и Договор от
12.07.2013 г. за предоставяне и ползване на услугата „Интернет банкиране; 2 ) че
оспорените две платежни операции представляват плащания на стоки/услуги,
извършени чрез дебитна карта „Visa Classic“ с № 417099XXXXXX8262 с титуляр Т. К.
- Я. в интернет на виртуален ПОС – терминал, в полза на търговец от Кралство И. за
сумите от 740,55 лева, извършена на 06.12.2021 г. в 20:28 ч., потвърдена чрез
приложението „софтуерен токън“ или „m-Token .....“ и за сумата от 874,29 лева,
извършена на 06.12.2021 г. в 20:52 ч., потвърдена чрез приложението „софтуерен
токън“ или „m-Token .....“.
Освен, че са безспорни горните обстоятелства се установяват и от ангажираните
по делото писмени доказателства - Договор от 08.06.2010 г. за спестовна сметка
„Мега“ за сметка с IBAN: **********, Договор от 07.04.2020 г. за издаване и
обслужване па персонална дебитна карта „Visa Classic“ в лева с №
417099ХХХХХХ8262, както и Договор от 12.07.2013 г. за предоставяне и ползване на
услугата „Интернет банкиране. Видно от същите ищцата е посочила като е-мейл за
контакт и е-мейл, включен в сертификата ........
По делото е представено извлечение от банковата сметка на ищцата Т. Я. - К., от
която са видни, че оспорените платежни операции с вальор от 06.12.2021 г. са
регистрирани и осчетоводени (обработени) на 08.12.2021 г.
Представен е формуляр за оспорване на плащания с банкова карта от 13.12.2021
г., от който се установява, че ищцата е оспорила процесните две операции, извършени
на ПОС на търговец R. на 06.12.2021 г. В същия е отбелязано, че на 11.12.2021 г.
клиентът (ищцата) е получила имейл за вход в електронното банкиране, опитала се е
4
да влезе, но е излязло съобщение за активна сесия, след което се е обадил в кол център
за блокиране на картата и банкирането.
На 14.12.2021 г. ищцата е депозирала искане за промяна на данните за титуляр
при използване на услуга „Интернет банкиране“, като в подписания между страните
Анекс към договор за предоставяне и ползване на услугата „Интернет банкиране“ е
посочен нов електронен адрес, който ще се ползва при и по повод услугата, без
промяна остава вписания мобилен телефон. На посочената дата е получен и код за
активация на услугата „интернет банкиране“.
От страна на ответника са представени ОУ на „Ю. Б.“ АД за електронно банково
обслужване „Интернет банкиране“ за индивидуални и корпоративни клиенти, както и
ОУ за издаване и използване на дебитни карти.
В Общите условия, които ищецът е приел към сключения Договор от
23.06.2015г. за издаване и обслужване на дебитна карта, е установено задължението на
държателя на картата да я използва лично, със забрана да я преотстъпва на трети лица
(чл. IV,т.3 от ОУ); установено е и задължение на държателя на картата да пази в тайна
ПИН-кода на картата. При извършване на плащания с картата в интернет, на
държателя е указано, че към картата има генериран уникален допълнителен код –
CVV/CVC, който трябва да се съобщи, както и номера на картата и срока на нейната
валидност, а за извършване на електронни дистанционни платежни операции в
интернет е необходимо картодържателят да активира мобилно приложение m-Token
....., като активационните кодове за приложението се получават по два независими
канала - чрез SMS или чрез и-мейл на регистрираните в банката телефонен номер и
електронен адрес на държателя.
В приетите от ищеца Общи условия за електронно банково обслужване, е дадена
дефиниция на определението „софтуерен токън“ (m-Token .....), което е приложение за
мобилни устройства (смартфони) и служещо за удостоверяване идентичността на
оправомощения държател и за потвърждаване на съгласието му за изпълнение на
дистанционни платежни и неплатежни операции, като достъпът до приложението се
осигурява с ПИН, като софтуерния токън не може да бъде инсталиран на повече от
едно устройство едновременно, а активирането на ново устройство деактивира
автоматично токъна на текущото устройство. В чл.15-19 от ОУ е регламентирано, че
приложението m-Token ..... е персонализирано средство за сигурност по отношение на
услугата и оправомощения държател е длъжен да предприеме всички разумни мерки
за неговото запазване и предотвратяване на неразрешен достъп; че при отключването
на приложението с ПИН-код държателят има всички задължения за опазването му в
тайна по отношение кода за достъп и е длъжен да го пази в тайна, да не го съобщава на
никого, да не го записва в устройството или на друг носител и да вземе всички мерки
за опазване на ПИН-кода, като допускането на узнаването на ПИН-кода от други лица
е груба небрежност. С активиране на приложението държателят избира същото за
средство за идентификация пред банката и за потвърждаване на съгласието за
изпълнение на електронни дистанционни платежни и неплатежни операции.
Съгласно т. V.2 и т. V.3 на ОУ първоначален вход в системата за електронно
банкиране с оглед ползване на Услугата се осъществява през Сайта, като за целта,
Оправомощеният държател въвежда предоставения Код за активация, след което
Банката му изпраща първоначално потребителско име на е- mail адреса, посочен в
Договора и изпраща първоначална парола чрез SMS или чрез друго електронно
съобщение, на мобилния телефонен номер, посочен в Договора. При осъществяването
на първоначален вход в системата, ще бъде поискана допълнителна идентификация
чрез еднократен код, изпратен чрез SMS или чрез друго електронно съобщение или
чрез автоматично гласово обаждане на мобилния телефонен номер, посочен от
Оправомощения държател в Договора. При успешен първоначален вход, системата
изисква задължителна смяна на първоначалната парола. Оправомощеният държател
има възможност да определи потребителско име и парола (заедно наричани по-долу
5
„Код за достъп") по свой избор, при спазване на изискванията на системата за дължина
и сложност на паролата. 3. (Изм., в сила от 08.05.2021 г.; предишен чл. �.2.1, изм., в
сила от 14.09.2019 г.) За достъп и ползване на Услугата чрез Сайта е необходимо
Оправомощеният държател да извършва електронно идентифициране при всяко
влизане в системата, чрез въвеждането на потребителското си име и парола (Код за
достъп), след ръчно въвеждане в браузъра на един от интернет адресите за достъп до
Сайта. В отделни случаи, в допълнение към индентификацията по предходното
изречение, Банката може да изиска допълнителна идентификация чрез еднократен код,
изпратен чрез SMS, чрез друго електронно съобщение или чрез автоматично гласово
обаждане на мобилния телефонен номер, предоставен от Оправомощения държател/
Титуляра на сметка на Банката, съгласно Договора. Съгласно 6 за достъп и ползване на
Услугата чрез приложението Мобилно банкиране е необходимо Оправомощеният
държател да извършва електронно идентифициране при всяко влизане в приложението
чрез въвеждане на Код за достъп или чрез въвеждане на Код за Мобилно банкиране
или чрез използване на Биометрични данни, в случай че последните са заявени по реда
на чл. V.7 или V.8.
Представено е помирително предложение по помирително производство №
39/2022 г., касаещо процесния случай, което не е прието от страните.
Видно от представена по делото разпечатка от електронната поща на ищцата от
05.12.2021 г. на посочената дата К. е получила на електронната си поща ***@****.**
писмо е получила електронно съобщение, на което му е придаден вид, че е изхожда от
ответника „Ю. Б.“ АД, съдържа абревиатурата на ответника (е-.....) и приканващо
ищцата да премине процеса по обновяване на информацията на своя акаунт за
Активиране на m-Token ....., поради неговото изтичане и предстоящо спиране в
рамките на 24 часа. В съобщението се съдържа линк, който препраща към съответната
страница за извършване на необходимите промени.
Съгласно представени разпечатки от приложението Вайбър, инсталирано на
мобилния телефон на ищцата), на 06.12.2021 г.същата е уведомена за вход в системата
за електронно банкиране на П. Б на 06.12.2021 г. 19:22 часа от IP адрес 37.46.114.114,
като същевременно е получила на същото приложение Код 1 за активиране на m-Token
....., като е уведомена, че код 2 е изпратен на предоставената от нея електронна поща.
Указано й е да въведе кодовете на съответните полета в приложението m-Token ....., за
да бъде активиран мобилният токън. Предупредена е да не разкрива предоставените
кодове, да не ги въвежда в онлайн форми, интернет страници или други приложения
или в отговор на получени е-mail или други съобщения, дори и ако изглеждат като
такива, изпратени от П. Б, а само и единствено в приложението m-Token .....! За повече
информация се обадете на 7224 или посетете ......“
На 06.12.2021 г. ищцата е получила на електронната си поща съобщение от
Екипа на П. Б с подател .... Относно: Активиране на m-Token ....., с което изпратен
Код 2, за активирането на софтуерен токън от П. Б: 25445122. Ищцата е информирана,
че на предоставения от нея телефонен номер е изпратен Код 1, указано е как да
активира софтуерния токън в приложението m-Token ....., като е предупредена да не
разкрива получените кодове, както със съобщението получено чрез Вайбър.
В 18:25 ч. на същия електронен адрес ищцата получава ново съобщение от
същия подател и от същия адрес, с което е уведомена, че успешно е активирала
софтуерен токън m-Token ......
На 11.12.2021 г. двукратно ищцата е получила съобщения за вход в системата за
електронно банкиране на П. Б на 11.12.2021 19:35 от IP адрес: 95.64.127.71, и втори
път на 11.12.2021 19:38 от IP адрес: 5.53.216.158, видно от приложените разпечатки от
приложението Вайбър на ищцата.
По делото е изслушано и прието без възражения на страните в срока по чл. 200,
ал. 3 ГПК заключение по допуснатата компютърно техническа експертиза, което
6
преценено по реда на чл. 202 ГПК съдът кредитира като обективно и компетентно
изготвено. Вещото лице е посочило, че степента на защита и сигурност, предоставяна
от банката при осъществяване на процесните платежни операции, е в съответствие с
техническите критерии и изискания на приложимата нормативна регламентация. За
спазването на техническите изисквания няма формална сертификация за съответствие,
но локалният регулатор – БНБ, посредством периодични проверки установява
спазването на насоките на банковите институции. Oтветникът е имплементирал
допълнителна идентификация при вход в услугите интернет и мобилно банкиране.
Идентификацията се извършва чрез еднократен код, който се получава чрез SMS или
чрез приложението Viber (отново на конкретен телефонен номер, посочен от клиента).
Такава идентификация не се изисква за всеки вход в системата, но задължително се
изисква при първо влизане (логин). След това периодично през определен период от
време се изпраща SMS или Viber съобщение. В случай, че мобилният номер, който е
предоставен от клиента е променен, е необходимо той да актуализира данните си
лично в клон на ответника. Това допълнително изискване за въвеждане на еднократен
код при ново влизане в банковите системи на ответника представлява втори фактор
(фактор „притежание“ на телефонния номер на клиента, в допълнение на първия
фактор „знание“, който е знанието за потребителското име и паролата) и отговаря на
изискванията за силно удостоверяване на автентичността на клиента, спрямо
регулаторните изисквания.
Процесните транзакции са извършени на виртуален пос (електронен магазин)
чрез въвеждането на данните от дебитната карта а именно, номер на картата, името на
картодържателя, валидност на картата, CVV код, а са авторизирани с приложението
„m-token .....“. Вещото лице е разяснило, че софтуерният токън „m-Token .....”
представлява мобилно приложение, с което се осъществява двуфакторно установяване
на самоличността на потребителя. Заявява се от профила на клиента в e-......bg. След
заявяване се изпращат два активационни кода – един на Вайбър/SMS, другият – по
електронната поща. След въвеждането им и задаването на уникален ПИН токенът се
активира. Експертът подчертава, че технически не е възможно да има две активни
приложения „m-token .....“, като в момента на нова инсталация, автоматично
приложението което е използвано до сега става неактивно. Връзката е с хардуерното
устройство на което е инсталиран тоукъна (с цел да не може да се копира/дублира), а
не към телефонен номер. Изпращат се два различна кода на вайбър/СМС и имейл,
регистрирани в системата, при всяка инсталация на „m-token .....“ кодовете са
различни. Без кодовете няма как да се инсталира „m-token .....“. При инсталацията на
„m-token .....“ се създава PIN код, който служи последствие за достъп до приложението.
При преводи през електронното банкиране и картови операции, изискващи
допълнителна автентикация, до токена се изпраща пуш съобщение. След логване на
клиента в токена, може да одобри или откаже съответната чакаща оторизация
операция.
Според данните предоставени от банката ищцата е използвала следните
софтуерни токъни – сериен № **********, създаден на 10.10.2021 г. в 16:28 ч. и
**********, създаден на 06.12.2021 г. в 19:23 ч. Вещото лице сочи, че при проверка на
телефона на ищцата не е открита инсталация на „m-token .....“. Данните от логовете на
банката не съдържат информация за устройството, на което „m-token .....“ е
инсталирано, тоест не може да се каже дали е било инсталирано на мобилния телефон
на ищцата или друго мобилно устройство. Процесните преводи са потвърдени със
софтуерния токън със сериен номер **********. За инсталирането на приложението
„m-token .....“ е необходимо да се влезе в интернет банкирането на клиента за заявка на
нова инсталация. За целта е необходимо да се въведат правилните потребителско име и
парола (фактор знание). За активирането на процесното приложение е необходимо да
се вкарат два потребителски кода един от имейла (отново потребителско име и парола
фактор знание), и втори код изпратен на мобилния телефон на ищеца – фактор
притежание. За осъществяване на процесните транзакции е необходимо въвеждането
7
на данните от дебитната карта, а именно, номер на картата, името на картодържателя,
валидност на картата, CVV код, а са авторизирани с приложението „m-token .....“, т.е.
налице е комбинация от два фактора, поради което според вещото лице били
изпълнени изискванията в цитираните директиви.
Експертът изяснява, че от представените по делото справки може да се
предположи достъп до профила в услугата „интернет банкиране“ и до дебитната карта
на ищцата от страна на друг потребител (друг IP-адрес), извън оправомощения
ползвател, който е осъществен на 06.12.2021 г. от IP адрес 37.46.114.114. Същият е
осъществен чрез правилно въвеждане на потребителско име и парола, а не поради
неработещи системи за сигурност на банката, като при всяка една стъпка при
процесния инцидент – вход в електронното банкиране, инсталиране на приложението,
осъществяване на транзакциите са използвани правилни и коректни данни. Вещото
лице инж. Ж. констатира, че на 06.12.2021 г. от имейл: .... на ел. поща на ищцата К. - Я.
....... са получени кодовете за заявка и активиране на софтуерния токън на нейните
имейл в 19:22 ч. и телефонен номер ********** в 19:23:05 ч., като няма как да се каже
на кое устройство е бил инсталиран този софтуерен токън, на ищцата или на външно
лице. Не са установени каквито и да е технически повреди или други недостатъци в
системите на банката относно конкретните две операции. Изяснява, че няма как да се
провери, освен чрез трафични данни за неоторизиран достъп до имейла на ищцата, но
сочи, че се констатира при извършена проверка на „електронната й пощенска кутия“,
изпратен имейл т.н. „фишинг“ от трето злонамерено лице с посочено съдържание за
ищцата държи процесния имейл заедно с другите имейли получени от банката, както и
че процесният имейл е отворен от нея. Видно от молба 387808/02.12.2024г. ищцата е
последвала линка Надстройте акаунта си (.....), който се различава от истинския на
банката - https://www.......bg/. В сайт наподобяващ този на банката тя е въвела данните
необходими за последващите действия, съгласно изложеното от същата. Процесните
съобщения са изпратени по Viber, а не чрез СМС. (Системата на банката функционира,
като изпраща съобщенията първоначално по вайбър, ако не получи отговор в кратък
срок че са получени, изпраща повторно чрез СМС). В случая по записите на
системата, те са изпратени чрез Viber. В предоставения телефон от ищцата тези
съобщение не са открити, поради това, че приложението Viber е било изтрито. При
премахването му се изтриват и всички съобщения. Технически не е възможно да се
осъществят плащания чрез дебитна карта на виртуален ПОС-терминал в интернет от
външно лице, без последното да разполага с персонализираните средства за сигурност
на платежния инструмент – дебитната карта.
При изслушването на заключението по реда на чл.200, ал.2 ГПК вещото лице е
обяснило, че не може да каже дали е било инсталирано или не приложението
„софтуерен тоукън“, но заявява, че няма следи на телефона. Когато един клиент влиза
от едно място това е обичайния IP адрес /от вкъщи, от офиса/, когато влиза от
различни места е необичайния. Обикновено човек ползва „интернет банкирането“ си
от едно място и това е обичайният IP адрес. Обичайният адрес на ищцата е
5.53.216.158, а необичайните 95.64.127.71 и 37.46.114.114. Вещото лице уточнява, че
на 06.12.2021г. няма данни за влизане в интернет портала на ищцата от нейния
обичаен IP адрес. На посочената дата не е изпращан еднократен код за първо влизане в
електронното банкиране. При последващите влизания в банкирането се осъществяват
с юзърнейм и парола. Експертът сочи, че „потребителско име“ в комбинация с
„парола“ е фактор „знание“, а факторът „притежание“ е когато трябва да бъдат
вкарани кодовете.
От приетото по делото допълнително заключение на СТЕ, неоспорено от
страните и кредитирано от съда по реда на чл. 202 ГПК, се установява, че банката не е
изпратила съобщения във връзка с инициираните от името на ищцата платежни
нареждания за всяка от оспорените банкови операции, както и за тяхното
потвърждение. Трансакциите са потвърдени чрез мобилното приложение „m-Token
8
.....“, като вещото лице е подчертало, че няма как да бъде проверено към момента дали
то е било инсталирано на притежавано от ищцата мобилно устройство или на
устройство контролирано от трето недобросъвестно лице.
Относно входа в Интернет банкирането към процесния момент на извършване
на оспорените трансакции, банката не е изисквала SCA (задълбочено установяване
идентичността на клиента) при вход в интернет банкирането при всяко влизане, а само
в определени ситуации. В случаите когато банката изисква SCA (задълбочено
установяване идентичността на клиента), банката изпраща код първо по Viber, и при
неуспешен опит по СМС. Вещото лице счита, че банката неправилно е тълкувала
изпращането по Viber, че отговаря на изискванията за фактор притежание, и с това не
са спазени изискванията за SCA (задълбочено установяване идентичността на
клиента).
Относно инсталирането на приложението „m-Token .....“, банката изпраща 2
кода, първия на имейл (фактор знание) и втория на мобилния телефон (фактор
притежание). Банката изпраща втория код първо по Viber, и при неуспешен опит по
СМС. Вещото лице счита, че банката неправилно е тълкувала изпращането по Viber, че
отговаря на изискванията за фактор притежание, и с това не са спазени изискванията
за SCA (задълбочено установяване идентичността на клиента) при инсталация на
мобилното приложение. Относно извършваните трансакции вещото лице счита, че са
спазени изискванията. Трите IP-адреса с които е достъпван акаунта на ищеца са:
5.53.216.158, 37.46.114.114, 95.64.127.71, като изяснява, че към датата на изготвяне на
експертизата IP 5.53.216.158 е с геолокация гр. П., 37.46.114.114 – гр. С. и съответно
95.64.127.71 гр. Ш., И..
В проведеното съдебно заседание по реда на чл. 202 ГПК вещото лице Ж.
разяснява, че в заключението е приел, че банката неправилно е идентифицирала
Вайбър като канал за изпращане на съобщение, което да отговаря на строг къстъмър
идентификейшън /SCA/ за притежание. В последствие банката уточнила, че не
използва обикновени Вайбър съобщения, което в процесните справки никъде не е било
указано, а използват от бизнес каналите на Вайбър, които са платени и ги изпращат
така, че да се получават само на главния акаунт на потребителя на Вайбър, а не ако се
изпращат обикновени Вайбър съобщения, които също отиват до главния Вайбър
акаунт, но и до всички копия, ако имате копия на Вайбър акаунт. В тази хипотеза
експертът сочи, че Вайбърът отговаря на изискванията за SCA в графата притежание,
като го дават един от най-сигурните канали за изпращане на съобщения. Експертът е
пояснил, че при осъществения вход чрез IP 37.46.114.114 банката не е изпратила код по
Вайбър или СМС, за да влезе в акаунта на ищцата, както и технически не е извършила
силно удостоверяване на самоличността на потребителя от осъществения вход от IP
37.46.114.114, т.е. технически не е удостоверила двата фактора.
При установяване на горната фактическа обстановка съдът достигна до
следните правни изводи:
Съдът намира, че от съвкупния доказателствен материал се установява
безспорно, че страните са обвързани от облигационни отношения във връзка с договор
за откриване на банкова сметка, за издаване и обслужване па персонална дебитна карта
и договор за предоставяне и ползване на услугата интернет банкиране. Ето защо
правоотношенията между страните, в хипотезата на неразрешена платежна операция
извършена от банката като доставчик на платежни услуги на платеца, следва да се
уредят от разпоредбите на Закона за платежните услуги и платежните системи –
ЗПУПС и подзаконовия акт Наредба № 3/18.04.2018 г. за условията и реда за
откриване на платежни сметки, за изпълнение на платежни операции и за използване
на платежни инструменти.
Съгласно чл. 70 ЗПУПС, платежната операция е разрешена, ако платецът я е
наредил или е дал съгласие за изпълнението, съответно при липса на съгласие
платежната операция е неразрешена. Разрешението на платеца следва да бъде дадено
9
преди изпълнението на платежната операция или ако е уговорено между платеца и
неговия доставчик на платежни услуги - след изпълнението на операцията.
Хипотезата на чл. 79 ЗПУПС, по която се претендира ангажиране отговорността
на ответника, предвижда изрично отговорност на банката, когато титулярът твърди, че
е не е наредил или не е дал съгласие за извършване на платежни операции, каквито
именно са твърденията на ищеца в случая. Тази отговорност е безвиновна и обективна.
Според нормата на чл. 79, ал. 1 ЗПУПС, доставчикът на платежни услуги
възстановява на платеца незабавно стойността на неразрешената платежна операция и
във всеки случай не по-късно от края на следващия работен ден, след като е забелязал
или е бил уведомен за операцията, освен когато доставчикът на платежни услуги на
платеца има основателни съмнения за измама и уведоми съответните компетентни
органи за това. Когато е необходимо, доставчикът на платежни услуги на платеца
възстановява платежната сметка на платеца в състоянието, в което тя би се намирала,
ако не беше изпълнена неразрешената платежна операция. Вальорът за заверяване на
платежната сметка на платеца е не по-късно от датата, на която сметката е била
задължена със сумата на неразрешената платежна операция.
За основателността на предявените искове в тежест на ищеца е да докаже
сключването с ответника на договор за платежни услуги с посоченото в исковата
молба съдържание, че в срока на действие на договора е извършена платежна
операция, която не е била заявена от ищеца, както и нейната стойност; че е уведомил
ответника незабавно след узнаването; че ответникът е изпаднал в забава, както и
размера на обезщетението за забава.
Ответникът носи доказателствената тежест за установяване автентичността на
платежната операция, нейното точно регистриране и осчетоводяване, както и за това,
че операцията не е засегната от техническа повреда или друг недостатък при
предоставяне на услугата.
За да бъде ангажирана отговорността на банката по договора за платежни
услуги на основание специалната норма на чл. 79, ал. 1 ЗПУПС следва да бъдат
установени следните елементи от фактическия състав на нормата, а именно: 1)
сключване на договор за платежни услуги; 2) изпълнение от страна на банката на
конкретна платежна операция; 3) тези платежни операция да не са разрешени от
платеца, който е и ползвател на платежна услуга по сключения договор; 4) да не е
налице някое от предвидените в ЗПУПС специални основания, при които може да се
изключи или ограничи отговорността на доставчика на платежни услуги при
изпълнението на неразрешена платежна операция – извършване на операцията при
измама или груба небрежност на платеца, 4) банката да е уведомена своевременно за
неразрешената операция.
Особеността при доказателствената тежест в случая е, че при твърдения от
ползвателя на платежната услуга, че оспорената транзакция не е разрешена, в тежест
на банката е да докаже в производството, пълно и главно, че плащането е извършено
надлежно, или че е извършено въз основа на измама, или при груба небрежност на
оправомощения ползвател.
Според нормата на чл. 78, ал. 1 ЗПУПС, когато ползвателят на платежна услуга
твърди, че не е разрешавал изпълнение на платежна операция или че е налице неточно
изпълнена платежна операция, доставчикът на платежната услуга носи
доказателствената тежест при установяване автентичността на операцията, нейното
точно регистриране, осчетоводяването, както и за това, че операцията не е засегната от
техническа повреда или друг недостатък в услугата, предоставена от доставчика на
платежни услуги.
В чл. 78, ал. 4 ЗПУПС е предвидено също така, че при твърдения на ползвателя
за неразрешена платежна операция и същевременно регистрирано от доставчика на
платежните услуги използване на платежен инструмент, не е достатъчно установяване
10
разрешаването на операцията чрез използване на идентификаторите на платеца. В този
случай доставчикът на услугата дължи доказване, че ползвателят не е изпълнил някое
от вменените му задължения по ползване на персонализираните средства за сигурност.
Доставчикът на платежни услуги следва да авгажира доказателства, че операцията е
извършена при измама или груба небрежност от страна на ползвателя на платежни
услуги.
Нормата на чл. 78, ал. 4 ЗПУПС възпроизвежда тази на чл. 72, т. 2 от Директива
(ЕС) 2015/2366 на Европейския парламент и на Съвета от 25.11.2015 г. за платежните
услуги във вътрешния пазар. В нея също е уредено, в случай на оспорване от
ползвателя на платежните услуги на изпълнена от него платежна операция,
регистрираната от доставчика на услугите /банката/ като надлежно извършена, че
надежното регистриране на операцията не е достатъчно, за да се приеме за доказано,
че т я е била разрешена от платеца или че последният не е изпълнил умишлено или
поради груба небрежност задълженията си по чл. 69 от Директивата. Следователно
доставчикът дължи доказването на измамата или грубата небрежност при извършеното
плащане.
Тълкуването на чл. 78, ал. 1 и, ал. 4 ЗПУПС недвусмислено сочи, че рискът от
изпълнение на неразрешена от платеца платежна операция, макар и наредена чрез
договорения платежен инструмент, е възложен в тежест на доставчика на платежната
услуга. Неблагоприятните последици от изпълнението на неразрешената платежна
операция, която е наредена чрез приетия от страните платежен инструмент, ще останат
в правната сфера на платеца само при доказване от страна на ответника, че е налице
измама или при умишлено или при груба небрежност от страна на платеца
неизпълнение на съществените задължения, вменени му във връзка с използване на
платежния инструмент. В този смисъл е и изричната разпоредба на чл. 80, ал. 3
ЗПУПС, която предвижда платецът да понася всички загуби, свързани с неразрешени
платежни операции, когато ги е причинил чрез измама или с неизпълнението на едно
или повече от задълженията си по чл. 75 умишлено или поради груба небрежност.
В Определение № 508/17.02.2025 г. по т. д. № 1593/2024 г. на ВКС, I т. о. е бил
разгледан въпросът достатъчно ли е доставчикът на платежна услуга да установи
използването на конкретен платежен инструмент, вкл. коректното въвеждане на
неговите персонализирани защитни характеристики, или следва да проведе пълно и
главно доказване на съгласието на платеца, т. е. че въвеждането им изхожда от самия
него. Изрично е посочено, че няма противоречива практика по тълкуването на чл. 78,
ал. 4 вр. с ал. 1 и предвид ал. 3 на същата разпоредба от ЗПУПС, като последната
единствено възпроизвежда определението за "установяване на идентичност", съгласно
чл. 1, т. 29 от Директива /ЕС/ 2015/2366 на Европейския парламент и на Света от
25.11.2015 г. относно платежните услуги на вътрешния пазар, отменяща Директива
2007/64/ЕО. Налице е и коментирано от СЕС приложение на идентична по съдържание
на разпоредбата на чл. 72, т. 2 от Директива /EC/2015/2366, разпоредба от отменената
Директива 2007/64 - чл. 59, т. 2, която чл. 78, ал. 4 ЗПУПС транспонира дословно.
Така с решение от 11.07.2024 г. по дело С-409/2022 г., тълкувайки чл. 59, т. 2 от
Директива 2007/64 / идентичен с текста на чл. 72, т. 2 от Директива /ЕС/ 2015/2366 на
ЕП и Съвета и чл. 78, ал. 4 ЗПУПС /, предвид ясната разпоредба на чл. 54 от
Директивата, дефинираща платежната трансакция като неразрешена при извършването
и без съгласието на платеца, съдът е приел, че законодателят на Съюза очевидно не е
целял установяване на разрешението за плащане да се ограничи до проверка на
формалната редовност на правните актове, използвани за даването на това съгласие -
съображения 73, 74, 80.
В съответствие с решение на СЕС по дело С-409/22 е и постановеното Решение
№ 159/14.10.2024 г. по т. д. № 904/2023 г. на ВКС, II Т. О., макар в различна от
настоящата хипотеза на платежен инструмент. Няма основание чл. 78, ал. 4 ЗПУПС
възприет като пояснение /допълнение/ на ал. 1 на същата разпоредба, а не като
11
различно преценим, досежно разпределението на доказателствената тежест,
фактически състав - да се прилага различно, съобразно вида на платежния инструмент.
Определянето на една платежна операция като разрешена или неразрешена, е
обусловено единствено от наличието или липсата на съгласие на лицето, което е
титуляр на платежната сметка и разпорежда изпълнението на платежни операции по
тази сметка. В идентична на настоящата хипотеза е споделено същото и в
Определение по т. д. № 2456/2022 г. на ВКС, I т. о.: При твърдение за неразрешена
платежна операция, идентифицирането на наредителя чрез електронното му
устройство и автентифицирането на изявлението чрез другите електронни средства
(ПИН код, м-токен и др.) не е достатъчно да изключи неговата отговорност, освен ако
докаже измама на платеца или неизпълнение на задълженията на същия по чл. 75
ЗПУПС, при груба небрежност, способствали операцията.
Задължението за опазване на предоставените персонални средства за достъп до
платежния инструмент за активно опериране с платежната сметка на ищцата изисква
предприемане на всички разумни действия за запазването им в тайна, включително да
не записва каквато и да е информация за тези средства за сигурност върху платежния
инструмент и да не съхранява такава информация заедно с платежния инструмент.
Разумните действия обичайно се свеждат до наличие на парола за достъп до
функционалностите на телефона, използване на антивирусна програма и поддържането
й в състояние на актуалност, съответно фактическо опазване в тайна на
предоставените пароли и периодичната им промяна.
Съгласно чл. 100, ал. 1, т. 1-3 ЗПУПС Доставчиците на платежни услуги
прилагат задълбочено установяване на идентичността на платеца, когато платецът:
достъпва платежната сметка онлайн; инициира електронна платежна операция;
извършва друго действие от разстояние, при което би могло да възникне риск от
измама при плащането или друга злоупотреба.
Задълбоченото установяване на самоличността изисква включването на два или
повече от следните елементи: знание – нещо, което само ползвателя знае (т. е.
обстоятелство с което единствено ползвателя на платежни услуги е запознат);
притежание – т. е. нещо което само ползвателят притежава (обичайно самият платежен
инструмент); характерна особеност– т. е. нещо характерно и с което се характеризира
ползвателя – арг. чл. 100, ал. 4 ЗПУПС.
Според чл. 56 от Наредба № 3 от 18.04.2018 г. за условията и реда за откриване
на платежни сметки, за изпълнение на платежни операции и за използване на
платежни инструменти, дейността по задълбочено установяване на идентичността на
платеца се осъществява при спазване на мерките за сигурност в съответствие с
изискванията на глава втора от Регламент (ЕС) № 2018/389.
В чл. 4, § 1 от Регламент (ЕС) № 2018/389, представляващ пряко приложимо
вторично право на ЕС (арг. чл. 288 ДФЕС), е изяснено, че когато доставчиците на
платежни услуги прилагат задълбочено установяване на идентичността на клиента в
съответствие с член 97, параграф 1 от Директива (ЕС) 2015/2366, установяването на
идентичността се основава на два или повече елемента, категоризирани като знание,
притежание и принадлежност, и води до генерирането на код за установяване на
идентичността. Кодът за установяване на идентичността се приема само веднъж от
доставчика на платежни услуги, когато платецът използва кода, за да получи достъп до
своята платежна сметка онлайн, да инициира електронна платежна операция или да
извършва каквото и да било действие дистанционно, което би могло да е свързано с
риск от измама при плащането или други злоупотреби. Според съображение № 1 от
преамбюла на Регламента, платежните услуги, предлагани по електронен път, следва
да се извършват по сигурен начин посредством технологии, които могат да гарантират
безопасно установяване на идентичността на ползвателя и възможно най-голямо
ограничаване на риска от измами. Процедурата за установяване на идентичността
следва по принцип да включва механизми за мониторинг на операциите с цел
12
откриване на опитите за използване на персонализираните средства за сигурност на
ползвателя на платежни услуги, които са били изгубени, откраднати или незаконно
присвоени, и следва също така да гарантира, че ползвателят на платежни услуги е
законният ползвател, който чрез нормално използване на персонализирани средства за
сигурност дава съгласие за прехвърляне на финансови средства и достъп до своята
информация за сметка. Освен това е необходимо да се уточнят изискванията за
задълбочено установяване на идентичността на клиента, които следва да бъдат
прилагани всеки път, когато платецът получава достъп до своята платежна сметка
онлайн, инициира електронна платежна операция или извършва дистанционно
действие, което би могло да е свързано с риск от измама при плащането или други
злоупотреби, като се изисква генерирането на код за удостоверяване на идентичността,
който да е устойчив срещу риск от цялостно подправяне, или чрез оповестяване на
някой от елементите, въз основа на които е генериран кодът.
Следва да се отбележи, че тълкуването на закона в това число и регламента, че
самите "защити", т. е. име, номер на банкова карта, срок на валидност, CVC код, не
могат да се вземат предвид при установяването на задълбочената самоличност.
Същите не представляват фактор за последната съобразно изискванията на закона и
регламента. Тоест дали при извършените транзакции ищецът е въвел номер на карта,
име и CVC код принципно е ирелевантно, за да се направи еднозначен извод за това,
че ответникът е спазил изискванията на чл. 100 ЗПУПС и чл. 4 от Регламента.
В случая е установено, че на 05.12.2021 г. ищцата е получила имейл с линк - т.
нар. „фишинг“, като на 06.12.2021 г. го е отворила и след това на съответните места е
въвела изисканите й данни във връзка с функционирането на интернет банкирането . В
последствие на 06.12.2021 г. в 19:28 ч. (20:28ч.) и в 19:52 ч. (20:52ч.) са извършени
трансакции в полза на „R.“, М. от Кралство И., потвърдени чрез приложението
„софтуерен токън“ или „m-Token .....“,в общ размер на претендираната от ищеца сума
обстоятелства, които се признават и от ответната страна. Последното се потвърждава и
от изслушанато по делото експертиза. Според експертното заключение на вещото
лице, дадено писмено и поддържано в открито съдебно заседание, двете банкови
операции са извършени от трето лице, на което ищцата след като е била подведен е
предоставила данните си за достъп до системата на ответника за електронно
банкиране. Поради това трябва да се приеме, че от ответника не са представени
доказателства, от които да може да се заключи, че процесните платежни операции,
осъществени чрез използвания от ищеца платежен инструмент за достъп до системата
за електронно банкиране, са автентични и извършени със съгласието на ищеца оттам,
че имат характер на разрешени такива от платеца, т.е. следва да приеме, че процесните
платежни операции са неразрешени по смисъла на чл.70, ал.1, изр.2 ЗПУПС.
С оглед на така приетото, съдът дължи отговор на спорния между страните
въпрос налице ли е основанието на чл.80, ал.3 ЗПУПС изцяло в тежест на ищеца -
платеца да останат понесените от него загуби в резултат на неразрешена платежна
операция, поради неизпълнението на някое или някои /едно или повече/от вменените
му с нормите на чл.75, т.1, т.2 и т.3 ЗПУПС задължения умишлено или поради груба
небрежност, които задължения са: 1. да използва платежния инструмент в
съответствие с условията за неговото издаване и използване, които трябва да са
обективни, недискриминационни и пропорционални; 2. да уведомява доставчика на
платежни услуги или упълномощено от него лице за загубване, кражба, присвояване
или неразрешена употреба на платежния инструмент незабавно след узнаването; 3.
след получаване на платежния инструмент да предприеме всички разумни действия за
запазване на неговите персонализирани средства за сигурност, включително да не
записва каквато и да е информация за тези средства за сигурност върху платежния
инструмент и да не съхранява такава информация заедно с платежния инструмент.
В трайно установената практика се приема, че небрежността в гражданското
право е неполагане на дължимата грижа според един абстрактен модел - поведението
13
на определена категория лица (добрия стопанин) с оглед естеството на дейността и
условията за извършването й. Грубата небрежност не се отличава по форма (според
субективното отношение към увреждането), а по степен, тъй като грубата небрежност
също е неполагане на грижа, но според различен абстрактен модел - грижата, която би
положил и най - небрежният човек, зает със съответната дейност при подобни условия.
Такова поведение е правно укоримо защото неблагоприятните последици биха били
избегнати, ако беше положена дължимата грижа. Дали поведението е рисково и до
каква степен то е довело до настъпване на вредата се установява във всеки конкретен
случай ( в този смисъл Решение № 510/30.11.2011г. по гр. д. № 1923/2009г. на ВКС, IV
ГО, Решение № 291/2012г. по гр. д № 951/2011г. на ВКС, IV ГО, Решение № 348/2011г.
по гр. д. № 387/2010г. на ВКС, Четвърто ГО, Решение № 291/2012г. по гр. д. №
951/2011г. на ВКС, IV ГО, Решение № 62/2015г. по гр. д. № 2798/2014г. на ВКС, IV ГО,
Определение № 315 от 01.03.2023г. по к. гр. д. № 3559/2022г. на ВКС идр.)
Неполагането на дължимата грижа от страна на ищеца ответникът извежда от
факта, че ищцата е последвала линк във фалшиво електронно съобщение за промяна на
данните за достъп до електронното банкиране, на което е придадено вид, че изхожда
от ответната банка, в следствие на което е въвела на т.нар. „чувствителни“ данни
(личните данни) за достъп до електронния канал за онлайн банкиране, в това число е
въвела и изпратените й кодове за инсталиране на м-тоукън, от което е направен извода
за груба небрежност - не е спазил препоръките на банката за опазване на
персонализиращите средства. Това обаче не е достатъчно, доколкото самата правна
норма изключва такава връзка, като изисква ангажиране на доказателства за умисъл
или груба небрежност. Както се установи от данните по делото, полученият имейл е
напълно редовен от външна страна, макар и от различен от обичайния на ответника
домейн, но съдържащ означения, които сочат, че изхожда от ответника, а именно „.....“,
„e- .....“.
Нещо повече, кога е налице неразрешена операция, респ. груба небрежност, е
подробно регламентирано в общите условия на банката (т. 10.3.). Уредено е, че вредите
от такива трансакции са за клиента, ако умишлено или поради груба небрежност не е
изпълнил задълженита си по договора или ОУ. Посочено е, че допускането на
узнаването на Кода за достъп и/или други персонализирани защитни характеристики
на Услугата от трети лица, представлява груба небрежност от страна на Титуляра на
сметка/ Оправомощения държател, както и неосигуряването на антивирусен софтуер
(последна версия) или използването на Услугата от компютри, до които имат достъп и
други лица, представляват случаи на груба небрежност от страна на Титуляра на
сметка/ Оправомощения държател.
Следователно, от анализа на дефинираната груба небрежност в ОУ на ответника
се налага извода, че действително се касае за неполагане не само на дължимата грижа
за опазване на персонализиращите защитни характеристики и кодове, но и за такова
поведение, което създава предпоставки за злоупотреба. В случая, поведението на
ищеца, изразяващо се в отваряне на електронното писмо, респ. изпълнение на
дадените в него инструкции, може да бъде квалифицирано като проява на небрежност,
но не и на груба такава. В конкретния случай се установи, че ищцата Т. К. сама е
предоставила данните си за акаунта в онлайн банкирането на трето лице, но до това
предоставяне не се е стигнало в резултат на поведение на ищеца, създало
предпоставки за това, а в резултат на поведение на трето лице или лица, с оглед
активиране на посочената хипервръзка в изпратения т.нар фишинг имейл.
Същевременно и при доказано от ответното дружество надлежна авторизация,
съобразно действащите между страните правила, то ищцата следва да докаже, че тази
процедура не е изпълнена от него, което беше сторено при условията на пълно и
главно доказване. С неоспореното заключение на първоначалната и допълнителна СТЕ
беше доказано, че процесните транзакции не са наредени и одобрени от ищцата, а
същите са наредени през IP адрес в гр. С., който се ползва в от различен от обичайния
14
на ищцата IP адрес, който е в гр. П.. Следователно по делото беше успешно доказано,
че ищцата не е одобрила, респективно разрешила процесните нареждания. Следва да
се посочи в тази връзка, че вещото лице изрично е подчертало, че банката не е
изпратила на ищцата съобщения за инициираните платежни трансакции, доколкоот
същите са били потвърдени чрез мобилното приложение „m-Token .....“, но към
настоящия момент не може да се установи дали същото е било инсталирано на
притежавано от ищцата мобилно устройство или на такова трето недобросъвестно
лице. Ето защо недоказано остава твърдението, че ищцата е наредила транзакциите.
Същевременно по делото беше доказано и обстоятелството, че на посочената дата
ищцата е получила фалшиво електронно съобщение, на което е придадено вид, че
изхожда от ответната банка, като съобщението съдържа подробни указания за промяна
на данните за достъп до електронното банкиране, чрез последването на линк. Поради
това, не може да се приеме, че ищецът платец е действал при груба небрежност.
Настоящият съдебен състав приема, че активирайки съдържащата се в
процесния имейл хипервръзка, това нейно поведение не може да се счита за
неразумно действие, тъй като в случая тя е била въведена в заблуждение за
действително положение в резултат на престъпна дейност. Ищцата не разполага със
специални знания и умения да противодейства на подобно нерегламентирано
въздействие, поради което предприемането на такова поведение не може да се счита за
разумно действие, което е дължимо от страна на обичайния потребител на интернет
банкиране, който полага грижи за собствените си работи. В тази връзка не може да се
разглежда като груба небрежност действията на ищцата по отговор на полученото
фишинг съобщение, на което му е предаден вид, че изхожда от ответната банка.
Отговорността на ответника възниква по силата на законовата норма и при
реализиране на предвидените в нея предпоставки. В случая ответникът не е доказал
както операциите да са наредени от ищеца, така и последният да е допуснал груба
небрежност, която да освобождава банката от отговорност. С действащата нормативна
уредба доставчикът на платежни услуги е поставен в по-неблагоприятно положение,
но той е икономически и по-силната страна. А и част от спецификата на банковата
дейност е да се поема разумен риск. Издаването на платежни инструменти следва да
се разглежда като елемент от рисковото банкиране, по подобие на предоставянето на
банкови кредити. Съществува риск за банката както от невъзстановяване на сумата по
предоставения кредит, така и от неправомерното използване на платежни
инструменти. Затова банката следва да прояви грижата на добър търговец при
проучване надеждността на ползвателя на платежни услуги и въз основа на това да
поеме разумен риск. Ответникът е кредитна институция, в чийто лиценз е включено и
извършването на платежни услуги по смисъла на чл. 5 ЗПУПС. В качеството на
доставчик на платежни услуги, който издава платежен инструмент, най-същественото
негово задължение е да осигури максимална защита на предлагания платежен
инструмент от възможна нежелана интервенция на трети недобросъвестни лица в
операционната система на ползвателя на платежния инструмент. В случая ответната
банка е имала пропуски в тази насока, като видно от становището на Помирителната
комисия не е поддържала достатъчно ниво на идентификация на ползвателя на
платежни услуги при инсталиране на софтуерен токън, доколкото при вход в
електронното банкиране „e-....." чрез което е направена заявката за нов софтуерен
токън, както и при инсталиране на софтуерния токън, Банката не е приложила
двуфакторна идентификация на оправомощения ползвател (г-жа Т. К.), която да
съответства на изискванията на Делегиран Регламент 2018/389, чл. 100 ЗПУПС и
Становището на Европейския банков орган. Това е така, защото при активиране на
новия софтуерен токън е налице един независим елемент - „притежание", осъществен
чрез съобщение на телефонния номер на клиента уникален код, тъй като съгласно
становището на ЕБО паролата е в групата на независимите елементи „знание“, а
потребителското име не се приема като независим елемент, както и че имейл адресът
не се признава за независим елемент за целите на задълбочено установяване
15
идентичността на клиента. Така за вход в „e-....." не е направена двуфакторна
идентификация, използван е един независим елемент - паролата (знание), поради което
това е неприложимо.
В случая ищцата очевидно не е съзнавала, че е въвела данни на интернат
страница, различна от тази на ответника, доколкото същата едва на 11.12.2021 г. подава
сигнал до „Ю. Б.“ АД за наличието на нерегламентиран вход в банкирането, тъй като
на посочената дата е получила уведомление за това, а очевидно не е била предприела
тя самата действия в тази насока.В този смисъл същата е реагирала своевременно на
горното неправомерно въздействие в момента, в който го е установила. Следва да се
посочи, че по делото безспорно е установено, че ищцата не е получила нотификации
за извършените на 06.12.2021 г. две трансакции, предмет на оспорване в настоящото
производство, поради което и не е реагирала в по-ранен от 11.12.2021 г. момент,
доколкото не е съзнавала, че има външно достъпване до профила в онлайн
банкирането й от трето лица и съответно не предприела действия по превантивно
блокиране на неразрешените транзакции. Тези обстоятелства, в съвкупност с
горепосочените данни, са достатъчни, за да се отрече проявена от страна на ищцата
груба небрежност във връзка със задължението й за опазване на персоналните й
средства за защита. Освен това същата е реагирала своевременно при узнаване
извършването на неразрешените платежни операции и е уведомила надлежно
ответната банка за това обстоятелство, което сочи на изпълнение на задължението й
по чл. 75, т. 2 ЗПУПС.
По гореизложените съображения, извършените на 06.12.2021 г. трансакции
представляват неразрешени платежни операции, за които доставчикът на платежни
услуги е уведомен своевременно /без неоснователно забавяне/ и дължи възстановяване
на тяхната стойност.
Предвид всичко изложено съдът намира, че няма основание за освобождаване на
ответника от обективната му и безвиновна отговорност по чл. 79 ЗПУПС, тъй като не
се установява неизпълнение поради умисъл или груба небрежност от страна на ищцата
на задълженията й да предприеме всички разумни действия по съхраняване на
персонализираните защитни характеристики на платежния инструмент за интернет
банкиране.
По разноските:
При този изход на спора право на разноски има само ищцата за сторените
разноски за държавна такса – 64,60 лв. и депозит за вещо лице – 300 лв. Претендира се
възнаграждение по реда на чл. 38, ал. 2 ЗА в полза на представлявалия ищцата
адвокат, в случая съдът намира, че следва да бъде присъдено възнаграждение за един
адвокат, независимо от обстоятелството, че ищцата е била представлявана от двама
адвокати. Присъждането на адвокатското възнаграждение в хипотезата на чл. 38, ал. 2
ЗА е в дискрецията на съда с оглед осъществената безплатна правна помощ (в този
смисъл определение № 2922/11.11.2024 г. по ч. т. д. № 2150/2024 г. на ВКС, 1, т. о.,
определение № 4221/21.12.2023 г. по гр. дело № 72/2023 г. на ВКС и др.) и следва да е
в справедлив и обоснован размер. При определяне на размера на дължимото
адвокатско възнаграждение съдът съобразява фактическата и правна сложност на
делото, защитавания материален интерес, действително извършената работа от
адвоката, отчете обстоятелството, че производството четири съдебни заседания,
приети са основно и допълнително заключение на съдебно компютърна техническа
експертиза, поради което в полза на процесуалния представител на ищеца адв. Ж. Ж.
следва да бъде присъдено възнаграждение в размер на 400 лв., платимо от ответника.
Водим от горното, съдът
РЕШИ:
16
ОСЪЖДА „Ю. Б.“ АД, ЕИК ********, със седалище и адрес на управление: гр.
С., ул. ....., да заплати на Т. Е. К., ЕГН **********, с адрес: гр. К., ул. ....., на основание
чл. 79, ал. 1 ЗПУПС, сумата в общ размер на 1614,84 лева, представляваща стойност
на 2 броя неразрешени транзакции, осъществени на 06.12.2021 г. чрез дебитна карта
„Visa Classic“ с № 417099XXXXXX8262 с титуляр Т. К. - Я. в интернет на виртуален
ПОС – терминал, в полза на търговеца „R.“, М. от Кралство И., както следва: за сумата
740,55 лева и за сумата от 874,29 лева, извършени на 06.12.2021 г., ведно със законната
лихва от датата на подаване на исковата молба в съда – 20.07.2023 г. до окончателното
плащане, както и сумата от 364,60 лева – сторени разноски пред настоящата
инстанция.
ОСЪЖДА „Ю. Б.“ АД, ЕИК ********, да заплати на адв. Ж. Ж. - ДАК, на
основание чл. 38, ал. 2 вр. ал. 1, т. 2 ЗА сумата от 400 лева, представляваща адвокатско
възнаграждение за оказана безплатна правна помощ на ищеца Т. Е. К..
Решението подлежи на обжалване пред СГС в двуседмичен срок от връчването
на препис от съдебния акт на страните.
Препис от решението да се връчи на страните.
Съдия при Софийски районен съд: _______________________
17