№ 408
гр. София, 15.06.2022 г.
В ИМЕТО НА НАРОДА
АПЕЛАТИВЕН СЪД - СОФИЯ, 6-ТИ ТЪРГОВСКИ, в публично
заседание на двадесети април през две хиляди двадесет и втора година в
следния състав:
Председател:Иван Иванов
Членове:Зорница Хайдукова
Валентин Бойкинов
при участието на секретаря Красимира Г. Георгиева
като разгледа докладваното от Валентин Бойкинов Въззивно търговско дело
№ 20221001000239 по описа за 2022 година
Производството е по реда на чл.258 и сл. от ГПК.
С Решение от 06.01.2022 г., постановено по търг. дело № 663/2021 г., Софийски
градски съд, Търговско отделение, VI-16-ти състав е осъдил „Уникредит Булбанк“АД да
заплати на „Си Ар Холдинг енд Трейд“ЕООД на основание чл. 79 ЗПУПС и чл. 86, ал. 1
ЗЗД, сумата 25 000 евро, представляваща стойност на извършена на 02.10.2020 г.
неразрешена платежна операция, ведно със законната лихва от 14.04.2021 г. до
окончателното погасяване на задължението, сумата 1312,50 евро, представляваща
обезщетение за забава върху главницата в размер на законната лихва за периода 07.10.2020
г. - 13.04.2021 г., сумата 160,11 евро - начислени такси и комисионни във връзка с
извършване на операцията и оспорването �, сумата 18,33 евро – обезщетение за забава
върху възстановена сума в размер на 3000 евро, преведена на 02.10.2020 г. в резултат на
неразрешена платежна операция за периода 07.10.2020 г. – 28.10.2020 г., сумата 160,11 евро
– начислени такси и комисионни във връзка с извършване и оспорване превода на 3000
евро, както и на основание чл. 78, ал. 1 ГПК, сумата 4965,64 лева - разноски за
производството.
Срещу така постановеното решение е подадена въззивна жалба от „Уникредит
Булбанк“АД, с която се обжалва първоинстанционното решение, като неправилно, с искане
да бъде отменено и вместо него постановено друго, с което предявените искове бъдат
уважени поради съображения изложени във въззивната жалба.
1
Извършена е размяна на книжата съгласно изискванията на чл.263, ал.1 ГПК, като по
делото въззиваемата страна „Си Ар Холдинг енд Трейд“ЕООД е депозирала отговор на
въззивната жалба, с който се заявява становище за неоснователността на въззивната жалба
по съображения изложени в отговора.
Софийски апелативен съд, намира, че въззивната жалба като подадена в
законоустановения срок и срещу подлежащ на инстанционен контрол съдебен акт, е
процесуално допустима. След като прецени доводите на страните и събраните по делото
доказателства, съобразно изискванията на чл.235 от ГПК във вр. с чл.269 от ГПК, приема
за установено следното от фактическа и правна страна.
Ищецът „Си Ар Холдинг енд Трейд“ЕООД е изложил твърдения в исковата молба, че
е титуляр на банкова сметка IBAN *** при ответника „Уникредит Булбанк“АД. Твърди се,
че 05.10.2020 г. ищецът констатирал липса на парични средства по платежната сметка и чрез
системата за електронно банкиране установил, че на 02.10.2020 г. от сметката били
извършени два превода на суми в размер на 25 000 евро и 3 000 евро, насочени към
неизвестно за титуляра на сметката лице. Преводите били извършени през профил на
служител на дружеството, упълномощен от предходен управител и с неподновени права,
който оспорил да е нареждал плащанията. Банката била уведомена и били отправени
искания за блокиране на неразрешените операции. Преводът на сумата 3 000 евро бил
възстановен, но преводът на сумата 25 000 евро – не, без банката да била предоставила
информация, обосноваваща отказа. В последващо писмо банката заявила, че счита
преводите за валидно извършени и оспорила искането за тяхното възстановяване. Твърди се,
че за преводите били събрани и съответните такси и комисионни, които също подлежали на
връщане.
В отговора на исковата молба, депозиран в срока по чл. 367 ГПК, ответникът
„Уникредит БулбанкАД е оспорил исковата молба с твърдения, че платежните операции
били наредени чрез М-токен и от регистриран потребител С. Н. К., служител на ищеца и с
права, които към момента на извършване на финансовата операция не били прекратени.
Твърди се, че умата от 3000 евро била върната поради бързите действия на банката на
получателя, но сумата от 25 000 евро била изтеглена и затова не била възстановена. Счита,
че ищецът или съответния упълномощен да оперира с платежната сметка потребител бил
жертва на интернет „фишинг“ измама.
От фактическа страна съдът намира за установено следното :
Между страните не се спори, а и от представения по делото и приет като
доказателство Договор за откриване на банкова сметка в евро с IBAN *** се установява, че
помежду им на 12.03.2014 г. е сключен договор за откриване на банкова сметка.
Между страните не се спори, а и от представения по делото и приет като
доказателство Договор за предоставяне на услугата „Булбанк Онлайн“ и Общи условия за
предоставяне на услугите за електронно банкиране Булбанк онлайн и Булбанк мобайл се
установява, че на ищеца като титуляр на платежната сметка е предоставена услугата
2
електронно банково обслужване, като в задължение на клиента било поставено опазването в
тайна на паролите за достъп, ПИН за активиране на приложението за мобилно банкиране,
както и средствата за идентификация, като следвало да вземе всички необходими мерки
срещу узнаването им от трети лица, включително клиентът следвало да ползва защитен и
лицензиран софтуер и антивирусна програма, за да предотврати неоторизиран достъп до
идентификаторите му за ползване на онлайн банкиране (чл. 2 от договора).
Между страните не се спори, а и от представеното по делото и прието като
доказателство банково извлечение № 18/05.10.2020 г. се установява, че от платежната
сметка на ищеца в евро IBAN ***, с наличност 28 798,38 евро, на 02.10.2020 г. са извършени
превод на 25 000 евро, съответно е начислена комисионна в размер на 5,11 евро и събрана
такса за превода от 80 евро, съответно е извършен и превод на сумата 3 000 евро, при
начислена комисионна и такса в същия размер, след което наличността по сметката е 628,16
евро. Удостоверено е преводите да са наредени от „Си Ар Холдинг енд Трейд“ЕООД чрез
служителката С. Н.-К. и подписани от нея.
Установява се от представеното по делото и прието като доказателство писмено
изявление от новия управител на дружеството Ф. С. от 03.12.2018 г., адресирано до
„Уникредит Булбанк“ АД изрично е потвърдено, че няма да има промени в текущите
потребители на услугата електронно банкиране.
В производството пред първата инстанция са приети основно и допълнително
заключение на съдебно-техническа експертиза, чието експертно заключение въззивният съд
кредитира изцяло. Установява се от заключението на вещото лице, че лицето С. Н. К. е
добавена като потребител с ИД 130201 за „Си Ар Холдинг енд Трейд“ЕООД на 25.04.2014 г.
и е изключена като такъв едва на 05.10.2020 г., след извършване на процесната финансова
операция.
Установява се от заключението на вещото лице, че за периода 01.01.2018 г. –
02.10.2020 г. има 259 сесии в системата на онлайн банкиране на „Уникредит Булбанк“ АД.
На 02.10.2020 г. потребител с ИД 130201 прави неуспешен опит за влизане в системата от
Ай Пи (IP) адрес 87.120.2.172 в 13:05:08 часа. Успешно влизане в системата е осъществено в
13:07:19 часа от същия адрес когато е въведен код от М-токен. Веднага е създаден документ
за плащане във валута, като сметката на получателя е въведена за 10 секунди, избрана е
държава на получателя на плащането и след зареждането на страницата за оторизация на
плащането, нареждането е подписано в рамките на 50 секунди, като в 13:10:28 часа
системата на банката е показала код, който да бъде въведен в М-токена, който да генерира
нов код за подписване на плащането – този генериран код от М-токена е въведен в рамките
на 3 секунди и в 13:10:32 часа, една секунда по-късно, плащането е подписано. Така е
оторизиран превода на сумата 25 000 евро, което недвусмислено означава, че е използван
уговорения между страните платежен инструмент.
Установява се, че преводът на сумата 3 000 евро е стартиран в 13:55:18 часа, след 7
продължавания на сесията, като кодът на екрана на банката за извършване на превода е
показан в 13:56:46 часа и генерираният от М-токена код е въведен за 2 секунди, съответно
3
плащането е подписано в 13:56:49 часа. Сесията е приключена в 14:05:36 часа.
В съдебно заседание вещото лице изяснява, че и двете плащанията са потвърдени
чрез допълнително генерирани пароли на М-токен – приложение, което финкционира само
на конкретен мобилен телефон и което генерира допълнителен код, различен от
първоначалния, необходим за вписването в системата. Поради това вещото лице счита, че за
осъществяване на преводите е следвало да е налице достъп до мобилния телефон на Н.-К.,
който достъп би могъл да бъде и отдалечен в резултат на „хакване“ на телефона. Вещото
лице обяснява, че системата на удостоверяване с М-токен предоставя висока степен на
сигурност. В резултат на фишинг измама би могъл да се получи само първият код за достъп
в системата на банката, но няма как да се получат вторите кодове, които се генерират чрез
М-токен приложението на мобилния телефон на потребителя, без достъп до този телефон
или поне до пълната функционалност на инсталираното на него приложение.
В допълнителното заключение вещото лице сочи, че в платежните нареждания
банката изисква въвеждане на държавата на бенефициента на плащането, но след
въвеждането � в генерираното за печат платежно нареждане тези данни не се визуализират.
Такъв избор на държава съгласно основното заключение при процесните преводи, е
направен и в акаунта на „Си Ар Холдинг енд Трейд“ЕООД наименованието на държавата
фигурира и в двете платежни нареждания. Според вещото лице Ай Пи адрес, започващ с 87,
от който е осъществено влизането в системата за извършването на преводите, е локализиран
в гр. ***, но на този факт не могат да се основават никакви конкретни изводи, тъй като при
използването на VPN връзка потребителите могат да избират физическото местоположение
на VPN сървъра, който използват, т. е. адресът от който е достъпено до електронното
банкиране е възможно да бъде избиран и целенасочено манипулиран, поради което не може
да се приеме, че лицето, наредило преводите физически се е намирало в района на гр. ***.
Според вещото лице най-вероятният възможен механизъм на извършване на
преводите е чрез достъп до данните от М-токена на мобилния телефон на Н.-К.., което
предполага отдалечен достъп до функционалностите на инсталираното на телефона �
приложение мобилен токен, чрез „хакването“ му, т. е. чрез противоправен достъп, получен
без знанието и съгласието на потребителя.
При така установената фактическа обстановка съдът и с оглед правомощията си
по чл. 269 ГПК, настоящият съд достигна до следните правни изводи:
Процесното първоинстанционно решение е валидно и допустимо. Същото е и
правилно, като въззивният съд споделя изцяло мотивите на обжалваното решение, поради
което и на осн. чл.272 ГПК препраща към мотивите на СГС. Наведените във въззивната
жалба доводи повтарят изцяло същите аргументи, които вече са били изтъкнати в отговора
на исковата молба и в устните състезания, на които в обжалваното решение е даден
подробен отговор. Независимо от това следва да се добави и следното :
Правоотношенията между страните по делото се уреждат от разпоредбите на Закона
за платежните услуги и платежните системи и издадената по приложението му Наредба № 3
4
от 16.07.2009 г. за условията и реда за изпълнение на платежни операции и за използване на
платежни инструменти. В тази връзка релевантни за правния спор са разпоредбите в закона
и подзаконовия нормативен акт уреждащи правата, задълженията и отговорностите на
страните по договора за разплащателна сметка, в хипотезата на извършена неразрешена
платежна операция извършена от банката като доставчик на платежни услуги на
дружеството платец. Предявеният от "Си Ар Ем Холдинг Енд Трейд“ЕООД иск се основава
именно на твърденията му за неразрешена от него платежна операция, при която се поставя
и въпроса за отговорността на банката по реда на чл. 79, ал.1 от ЗПУПС.
Предвид дадената законова дефиниция с нормата на чл. 70, ал.1 ЗПУПС платежната
операция е разрешена, ако платецът я е наредил или е дал съгласие за изпълнението й. При
липса на съгласие платежната операция е неразрешена.
С нормата на чл. 79, ал. 1 ЗПУПС е уредена отговорността на доставчика на
платежни услуги за неразрешени платежни операции, като е предвидено в случаите на
неразрешена платежна операция доставчикът да възстанови на платеца незабавно стойността
на неразрешената платежна операция, както и когато е необходимо, да възстанови
платежната сметка на платеца в състоянието, в което тя би се намирала преди изпълнението
на неразрешената платежна операция.
Според тезата на ищеца ответната банка следва да носи отговорност, произтичаща на
първо място от това, че платежната операция е била извършена от лице на което по –рано е
бил отнет достъпа да извършва онлайн банкиране от името на ответното дружество и на
второ място, че е налице основание за ангажиране отговорността на финансовата
институция, произтичаща от обективния факт, че е налице неразрешена платежна операция
независимо от причините, поради които тя е била извършена.
Според тезата на ответника рискът следва да се поеме от платеца, тъй като той не е
осигурил сигурност на своето мобилно устройство, с което е било осъществено плащането,
чрез спазване на установените в общите условия инструкции за безопасност на банкирането
и предприемане на други действия, така че да не е възможна чужда намеса и
нерегламентиран достъп до мобилното устройство от чужди лица.
В тази връзка съдът приема следното:
На първо място, по делото останаха недоказани твърденията на въззиваемия ищец, че
преводите са били наредени от лице на което вече е бил отнет достъпа до акаунта чрез който
са се извършвали дейностите по онлайн банкиране. От заключението на приетата и
неоспорена в производството пред първата инстанция съдебно-техническа експертиза се
установява, че процесните два междубанкови превода са били наредени от „Си Ар Холдинг
енд Трейд“ЕООД чрез служителя му С. М. Н.-К. и които са подписани от нея посредством
М-токена на мобилния й телефон.Установява се, че съгласно изявление на новоизбрания
управител на дружеството Ф. С. от 03.12.20108г., адресирано до „Уникредит Булбанк“АД
изрично е потвърдено обстоятелството, че промени в текущите потребители на услугата
електронно банкиране няма да има, поради което и правилно са приети от съда за
5
неоснователни доводите на ищеца, че правата на Н.-К. да оперира активно с наличностите
по платежната сметка не са били подновени. Съществено е, че тези права не са били
прекратени след настъпилата промяна в представителството на дружеството, като
потвърждение на вече съществуващите профили не е било необходимо и липсата на такова
потвърждение не поражда никакви правни последици в правоотношението между страните
във връзка с платежната система.
Независимо от горното в хода на производството не се установяват и факти, които да
освобождават ответника от отговорност, а именно за неизпълнение поради умисъл или груба
небрежност от страна на ищeца на задълженията му да предприеме всички разумни
действия по съхраняване на персонализираните защитни характеристики на платежния
инструмент за интернет банкиране. Самото регистриране на операциите от банковата
платежна система не презюмира нито автентичност на операцията, нито неизпълнение на
задълженията на ползвателя на платежните услуги в хипотезата на умисъл или груба
небрежност. Задължение на банката е било да осигури платежен инструмент, който да не
допуска неразрешени платежни операции. Посочените в тази връзка съображения от страна
на ответника, че ищецът не е осигурил средства по защита на данните си акаунт профила
предотвратяващи злономарените действия на трети лица вследствие на които е получен
неправомерно достъпа до акаунта за онлайн банкиране на ищеца, не могат да доведат до
извода за груба небрежност от страна на ползвателя на услугата. По делото не се твърди, а и
не са налице ангажирани доказателства, че служителят на ищеца от чийто акаунт са
извършени спорните две плащания чрез свои действия съзнателно или поради невнимание
да е способствал за това данните за паролата за влизане в клиентския му профил, както и за
данните за М-токена, без които не може да се извърши каквато и да е разрешена финансова
операция, да са стигнали до знанието на трето лице.
По делото се твърди единствено от ищеца, че непосредствено преди да бъдат
извършени двете финансови операции служителят на дружеството Н.-К., която е
разполагала с права на достъп до електронно банкиране, е направила неуспешен опит да
влезе в акаунта на клиентския профил, но достъп до него й е бил отказан. Според
заключението на вещото лице вероятна причина за временно отказания достъп до профила
на ищеца е че точно по същото време през него е бил осъществяван нерегламентирания
достъп до банковата сметка на ищеца от страна на третото лице, но при тези обстоятелства
предвидените в т.28 от общите условия на банката ограничения относно нейната
отговорност не намират приложение тъй като само въз основа на временно блокиране на
достъпа до профила/какъвто е точно настоящият случай/ не може да възникне основателно
съмнение, че средствата за електронна идентификация от клиентския профил са станали
нерегламентирано достъпни на трето лице, за да може банката да предприеме своевременни
действия по преустановяване на операциите по банковата сметка на ищеца. В цитираната
разпоредба на общите условия са очертани лимитативно действията и бездействията на
клиента при които може да се постави въпроса за изключване отговорността на банката и
които не могат да бъдат тълкувани разширително във вреда на клиента поради причина, че
6
само въз основа на временното преустановяване на достъп до ползване на услугите по
онлайн банкиране не може обосновано да се счита, че това се дължи непременно
зловредните действия на трети лица.
Отговорността на ответника възниква по силата на законовата норма и при
реализиране на предвидените в нея предпоставки. В случая ответникът не е доказал както
операцията да е наредена от ищеца, така и последният да е допуснал груба небрежност,
която да освобождава банката от отговорност. Ищецът не може да бъде отговорен, когато
персоналните характеристики на инструмента му са ползвани в резултат на престъпна
дейност, на която той е станал жертва и срещу която не разполага със специални знания и
умения, за да се защити или предпази. С действащата нормативна уредба доставчикът на
платежни услуги е поставен в по неблагоприятно положение, но той е икономически по-
силната страна. А и част от спецификата на банковата дейност е да се поема разумен риск.
Издаването на платежни инструменти следва да се разглежда като елемент от рисковото
банкиране, по подобие на предоставянето на банкови кредити. Съществува риск за банката
както от невъзстановяване на сумата по предоставения кредит, така и от неправомерното
използване на платежни инструменти. Затова банката следва да прояви грижата на добър
търговец при проучване надеждността на ползвателя на платежни услуги и въз основа на
това да поеме разумен риск.
Ето защо и настоящият въззивен състав приема, че са налице предпоставките за
уважаване на иска по чл. 79, ал.1 от ЗПУПС. Налице е неразрешена платежна операция - т.е.
ищецът не е давал съгласие и не той е извършил международен банков превод на сумата от
25 000 евро в полза на получателя на превода в Ерсте Груп Банк, Австрия. На следващо
място, ищецът не е допуснал груба небрежност при ползване на платежния инструмент.
Неразрешената платежна операция е извършена в резултат на престъпление. Банката следва
да поеме в такъв случай отговорността за възстановяване на процесната сума по сметката на
ищеца. Ответникът е кредитна институция, като в качеството на доставчик на платежни
услуги по смисъла на чл. 5 от ЗПУПС, който издава платежен инструмент, е длъжен да
осигури максимална защита на предлагания платежен инструмент от възможна нежелана
интервенция на трети недобросъвестни лица в операционната система на ползвателя на
платежния инструмент.
Ответникът е кредитна институция, в чийто лиценз е включено и извършването на
платежни услуги по смисъла на чл. 5 от ЗПУПС. В качеството на доставчик на платежни
услуги, който издава платежен инструмент, най - същественото негово задължение е да
осигури максимална защита на предлагания платежен инструмент от възможна нежелана
интервенция на трети недобросъвестни лица в операционната система на ползвателя на
платежния инструмент.
По изложените мотиви на основание чл. 79, ал.1 ЗПУПС банката ответник носи
отговорност за неразрешените платежни операции по превод на сумата 25 000 евро от
сметката на ищеца „Си Ар Холдинг енд Трейд“ЕООД и му дължи възстановяване на
стойността на неразрешената платежна операция, както и възстановяване на платежната
7
сметка на платеца в състоянието, в което тя би се намирала преди изпълнението на
платежната операция, ведно с начислените такси и комисионни. С оглед акцесорния му
характер основателен се явява и предявеният иск с правно основание чл.86, ал.1 от ЗЗД в
уважения от първоинстанционния съд размер.
По горните мотиви на съда и предвид съвпадението в изводите на двете инстанции
първоинстанционното решение в обжалваната му част следва да бъде потвърдено като
правилно.
На основание чл.78, ал.3 ГПК и с оглед на направеното искане въззивникът следва да
бъде осъден да заплати на въззиваемия направените от него разноски по въззивното
производство в размер на сумата от 2030 лева.
Воден от горното, Софийски апелативен съд
РЕШИ:
ПОТВЪРЖДАВА Решение от 06.01.2022 г., постановено по търг. дело № 663/2021 г.
на Софийски градски съд, Търговско отделение, VI-16-ти състав.
ОСЪЖДА „Уникредит Булбанк“АД, ЕИК *********, със седалище и адрес на
управление гр.София, пл.“Света Неделя“№7 да заплати на „Си Ар Холдинг енд
Трейд“ЕООД, ЕИК *********, със седалище и адрес на управление гр.София, бул.“Тодор
Александров“№85-87 на осн. чл.78, ал.3 ГПК сумата 2030 лева, представляваща разноски за
адвокатско възнаграждение по въззивното производство.
Решението подлежи на обжалване с касационна жалба пред Върховния касационен
съд в едномесечен срок от връчването му на страните.
Председател: _______________________
Членове:
1._______________________
2._______________________
8