№ 48683
гр. София, 24.11.2025 г.
СОФИЙСКИ РАЙОНЕН СЪД, 175 СЪСТАВ, в закрито заседание на
двадесет и четвърти ноември през две хиляди двадесет и пета година в
следния състав:
Председател:ГЕОРГИ К. КАЦАРОВ
като разгледа докладваното от ГЕОРГИ К. КАЦАРОВ Гражданско дело №
20251110133660 по описа за 2025 година
Предявен е иск с правно основание чл. 79 Закон за платежните услуги и платежните
системи /ЗПУПС/.
Ищцата В. Б. К. твърди, че е страна по валидно облигационно правоотношение с
ответника „Юробанк България“ АД по договор за откриване и обслужване на банкова
сметка и издаване на дебитна карта Mastercard 516907****8154, към която е предоставена и
услуга електронно банкиране. На 29.01.2025 г. тя констатира липса на парични средства от
сметката си, като незабавно получава две SMS-известия за две последователни трансакции,
извършени чрез дигитален портфейл „ONE Wallet by Postbank“ – първа трансакция в 15:19 ч.
за 2 666,82 лв. и втора трансакция в 15:22:14 ч. за сума в размер на 533, 36 лв., като общата
необичайно изтеглена сума възлиза на 3 200,18 лв. Твърди, че не е извършвала, нито
разрешавала тези операции, картата е била в нея, не я е предоставяла на трети лица и
незабавно е посетила банков клон, където в 15:55:55 ч. картата е била блокирана. На
03.02.2025 г. тя подала формуляр за оспорване на плащания, в който изрично посочила, че не
е използвала картата, не е разрешавала оспорените операции и че на датите и часовете на
трансакциите не е имала достъп до дигиталния портфейл, нито е инсталирала такъв. На
25.03.2025 г. получаила отговор от банката в нейно Писмо с изх. № 9300-235, в който се
твърди, че трансакциите са били извършени в гр. Кайро, Република Египет, на физически
ПОС терминали чрез NFC технология, след като на 22.01.2025 г. е била създадена дигитална
карта в „ONE Wallet by Postbank“ и че процесът е бил потвърден чрез въвеждане на картови
данни и чрез m-Token Postbank. Банката била посочила, че е приложила метод за
задълбочено удостоверяване на идентичността, изразяващ се в PUSH нотификация,
изпратено до софтуерен токън ,,m-Token Postbank". За да бъде завършен процесът по
активиране на софтуерният токън, на дата 26.12.2022 г. банката посочила, че била изпратила
два независими един от друг уникални и еднократни активационни кода - един чрез „SMS"
съобщение до посочения за връзка от клиентката телефонен номер в банката и втори -
изпратен до предоставения имейл адрес. Оспорва твърденията на ответното дружество в
цитираното писмо и поддържа, че не е била в Република Египет, като е представила
удостоверение за всички свои преминавания през ГКПП, което доказвало, че в процесния
период се е намирала в България. Тя твърди, че ответникът не е й представил
задължителните доказателства по чл. 78 ЗПУПС – логове, IP адрес, устройство,
потвърждение чрез токен или SMS, начин на автентикация, IMEI, време на потвърждение,
както и данни за това от кое устройство е извършено потвърждението. Липсвала конкретика
от кого и как е наредена платежната операция, а съобразно чл. 78, ал. 1 ЗПУПС при оспорена
операция, доставчикът на платежната услуга носел доказателствената тежест за
1
удостоверяване автентичността на платежната операция. Не била предоставена информация
на хартиен носител за случилото се. Поддържа, че регистрация в дигитален портфейл не е
извършвана от нея, че потвърждения не са правени от неин телефон и че отдалечен
нерегламентиран достъп („хакерска атака“) е единствената възможна причина за
осъществяване на процесните трансакции. Твърди, че банкaта не е изпълнила задължението
си да установи автентичността на операциите и не е приложила силна клиентска
автентикация. Позовава се на чл. 79, ал. 1 ЗПУПС, според който при неразрешена операция
доставчикът възстановява сумата незабавно, освен ако докаже измама или груба небрежност
на клиента – обстоятелства, които банката не доказала. Нямало как ищцата да е наредила
платежната операция от гр. Кайро и минути след извършването й да е била в клон на
банката в гр. Дупница. Не използвала мобилния си телефон и не потвърждавала операция.
Акцентира, че М-токен приложението е само за конкретен мобилен телефон. При
потвърждение чрез мобилен токън (М - Token) били необходими следните стъпки: при
използване на m-Token, приложението генерирало динамичен код за всяка операция; след
въвеждането му, той се изпращал до банката; банката записвала лог (журнал) на сесията,
който съдържал а/ IP адрес на устройството; вид на потвърждението (например m-Token);
уникален идентификатор на операцията; дата, част и статус (успешна, неуспешна); IMEI /
уникален ID на телефона; вид платформа (Андроид или iOS).
Въз основа на изложеното ищцата иска ответникът да бъде осъден да й възстанови 3
200.18 лева - представляваща стойността на извършените на дата 29.01.2025г. в 15:19:00 часа
неразрешена платежна операция (трансакция) в размер на 2 666.82 лв. с дебитната карта на
ищцата, както и за неразрешена платежна операция (трансакция) за 533, 36 лв. в 15:22:14
часа с дебитната карта на ищцата, заедно със законна лихва от 18.06.2025 г. /датата на
предявяване исковата молба/ до окончателното плащане.
Ответникът „Юробанк България“ АД оспорва изцяло исковете като неоснователни и
недоказани. Не се спори, че са извършени две трансакции на 29.01.2025 г., че картата е
блокирана по-късно същия ден, както и че ищцата е подала оспорване. Банката твърди, че
операциите са били автентични и разрешени. Заявява, че спорните две платежни операции
от 29.01.2025 г. са били извършени безконтактно на физически ПОС терминали на
територията на Египет, посредством NFC (near-field communication) технология чрез
дигитална карта, създадена в мобилния цифров портфейл „ONE Wallet by Postbank“, в който
предварително е регистрирана дебитната карта на ищцата с № 516907хххх8154. Посочва се,
че регистрацията на дигиталния портфейл е извършена на 22.01.2025 г. в 19:28 ч., като
процесът е бил потвърден чрез метод за задълбочено установяване на идентичността на
платеца (SCA) посредством софтуерен токън „m-Token Postbank“, създаден още на
07.09.2022 г. Описва поетапно механизма за активиране на портфейла: за заявяване на „ONE
Wallet“ потребителят влиза в интернет банкирането „e-Postbank“, за което се използват
потребителско име и парола, представляващи елемент на автентикация от категорията
„знание“. След това банката изпраща уникален еднократен активационен код чрез SMS/Viber
съобщение до регистрирания телефонен номер на ищцата. Използването на този код
представлява автентикационен елемент от категорията „притежание“, тъй като удостоверява
фактическия достъп до устройството и SIM картата на клиента. Успоредно с това втори
еднократен код е изпратен и на регистрирания имейл на ищцата. По твърдения на банката и
двата кода са успешно въведени, което е довело до активиране на m-Token Postbank и до
завършване на регистрацията на дигиталния портфейл. Ответникът подчертава, че
потвърждаването на операции чрез m-Token представлява двуфакторна автентикация:
устройството, на което е инсталиран токънът, е елемент „притежание“, а паролата за
отключване на приложението или биометричните данни – елемент „знание“ или „характерна
особеност“. Банката подробно се позовава на становищата на Европейския банков орган
(EBA), включително ЕВА-ОР-2019-06, където е посочено, че SMS кодът удостоверява
елемента „притежание“, а паролата удостоверява елемента „знание“. Техническият процес,
според банката, протича така: за извършване на плащане чрез „ONE Wallet“ потребителят
отключва телефона си чрез парола или биометрия (първи фактор), след това отключва
самото приложение „ONE Wallet“ чрез отделна парола или биометрия (втори фактор), след
2
което за конкретната трансакция се изисква отново потвърждение чрез установения от
клиента метод за автентикация. Банката твърди, че нейната система регистрира всяко едно
от тези действия и че всички те са извършени успешно преди изпълнението на процесиите
две платежни операции. На 22.01.2025 г. в 19:28 ч. на телефонния номер на ищцата е
изпратено Viber съобщение, уведомяващо за заявена регистрация в мобилния портфейл
„ONE Wallet by Postbank“: „Благодарим, че избра ONE Wallet! ... Ако регистрацията не е
извършена от теб, свържи се с нас на *7224“. Ответникът сочи, че ищцата не е
сигнализирала за нередност след получаване на това съобщение. На 22.01.2025 г. в 20:12 ч.
ответникът е изпратил SMS на ищцата за неуспешна трансакция в размер на 3 445, 52 лв.,
като и за това ищцата не е сигнализирала. Според банката това поведение е индикация, че
ищцата е имала контрол върху електронните средства и уведомленията. Всяка операция,
извършена чрез мобилния портфейл „ONE Wallet by Postbank“, е автоматично считана за
протекла със задълбочено установяване на идентичността на платеца, тъй като процесът на
регистрация и активиране включва всички персонализирани защитни характеристики на
клиента. Всички данни, използвани при регистрацията – телефонният номер, имейлът и
картата – са предоставени лично от ищцата и не могат да бъдат променяни дистанционно
(освен с квалифициран електронен подпис). Банката заявява, че няма достъп до
устройството на клиента, неговите пароли, биометрични данни, както и до съдържанието на
цифровия портфейл. Паролите за интернет банкиране се съхраняват криптирано и не могат
да бъдат разчетени от служителите на банката. Номерът на картата никога не се визуализира
в пълен вид, а е маскиран. Според банката това изключва възможността служител да е
получил или използвал защитни характеристики на клиента. Системата на ответника не е
отчела никакви технически грешки, опити за въвеждане на грешни пароли, сигнали за
атипичен достъп, несъвпадащи устройства или друга аномалия. Достъпът до интернет
банкирането е осъществен „от първия опит“, което сочи, че е въведена коректна комбинация
от потребителско име и парола. По отношение на самите трансакции посочва, че
извършената авторизация е неотменима по силата на ЗПУПС и правилата на
международните картови организации. Освен това процесиите трансакции са били
двуфакторно удостоверени, извършени са след надлежно регистриране на платежния
инструмент и следователно за нея те са автентични, разрешени и наредени чрез всички
персонализирани защитни характеристики на клиента. Позовавайки се на твърдението си, че
на 22.01.2025 г. ищцата е получила съобщение за създаване на дигитален портфейл, както и
съобщение за неуспешна трансакция, на които тя не е реагирала, ответникът счита, че това е
индикация, че тя е проявила груба небрежност при опазване на персонализираните си
средства за сигурност. Поддържа, че системите на банката не са били компрометирани, че
няма пробив в сигурността и че единствено ищцата или лице, на което тя е предоставила
защитните данни, е могло да извърши процесните операции. Оспорва твърденията за
хакерска атака и поддържа, че ако такова събитие е имало, то се дължи на действия или
бездействия на самата ищца, за които тя носи отговорност. Поддържа, че по чл. 80, ал. 3
ЗПУПС при груба небрежност платецът понася всички загуби и че в случая не е налице
неразрешена операция по смисъла на закона. Твърди, че няма данни за измама или пробив в
системата, нито за техническа неизправност. Сочи, че Банката не може да спира операции,
след като вече са авторизирани, и че те са неотменими по чл. 85 ЗПУПС. Оспорва иска по
чл. 86 ЗЗД като акцесорен. Моли исковете да бъдат отхвърлени като изцяло неоснователни и
недоказани и да му бъдат присъдени разноски и юрисконсултско възнаграждение, което
претендира да е в размер на 300 лв.
Водим от горното, съдът
ОПРЕДЕЛИ:
НАСРОЧВА открито съдебно заседание на 16.12.2025 г. от 14:10 часа, за когато да се
призоват страните.
ПРИЕМА представените от страните документи като писмени доказателства по делото.
3
ОСТАВЯ БЕЗ УВАЖЕНИЕ искането на ищцата за задължаване на ответника да
представи договора за откриване на банкова сметка и за ползване на интернет банкиране,
тъй като с отговора на исковата молба това е сторено.
ДОПУСКА съдебно-техническа експертиза със задачи, поставени в отговора на исковата
молба при депозит в размер от 500 лв., вносими от страните, съответно 250 лв. от ищцата и
250 лв. от ответника в едноседмичен срок от получаване на съобщението за настоящото
определение.
НАЗНАЧАВА за вещо лице Александър Недялков Кирков, тел. 0887 234 208 -
специалност: Информационна сигурност, Авторски права на софтуерни приложения и в
Интернет. Установяване и сигурност на системи с банкови карти. Достъп до
класифиц.информация.
В доказателствена тежест на ищеца по иска за възстановяване на суми по неразрешени
операции е да докаже: сключването на договорното си взаимоотношение с банката-
ответник, в частност поетите от страните задължения; стойността на твърдяната увреждаща
транзакция и времето на нейното осъществяване; че е уведомил ответника, след като е
узнала за неразрешените платежни операции.
В доказателствена тежест на ответника е да докаже автентичността на процесната
платежна операция, т.е. че операциите са наредени от ищеца, тяхното точно регистриране,
осчетоводяване, както и това че операцията не е засегната от техническа повреда или друг
недостатък; както и възраженията си, че ищецът е проявил груба небрежност при
използване на платежния инструмент, като не е изпълнил задълженията си да пази картата и
да я ползва само лично и след нейното получаване да предприеме всички разумни действия
за запазване на нейните персонализирани защитни характеристики.
ОБЯВЯВА за безспорно и ненуждаещо се от доказване, че между ищцата и ответника е
сключен Договор за издаване на кредитна карта Mastercard Standard №5411 9631 6173 8027,
като преди това ищецът е бил клиент на „Алфа Банка - клон България“ КЧТ, ЕИК **** по
Договор за издаване и обслужване на персонална дебитна карта Mastercard
№516907хххх8154 от 25.11.2015 г., че на 29.01.2025 г. са извършени два броя платежни
операции първа трансакция за 2 666,82 лв. и втора трансакция за сума в размер на 533, 36
лв., че на 29.01.2025 г. ищцата е посетила клон на ответника и е поискала блокиране на
картата и, че на същата дата това е сторено в 15.56 ч., както и че на 03.02.2025 г. е подала
формуляр за оспорване на плащания с банкова карта.
УКАЗВА на ответника, че не сочи доказателства за автентичността на платежните
операции и че те са наредени от ищцата, както и че същата е проявила груба небрежност.
УКАЗВА на страните, че следва най-късно в първото по делото заседание да изложат
становището си във връзка с дадените указания и доклада по делото, както и да предприемат
съответните процесуални действия, като им УКАЗВА, че ако в изпълнение на
предоставената им възможност не направят доказателствени искания, те губят възможността
да направят това по-късно, освен в случаите по чл. 147 ГПК.
УКАЗВА на страните, че ако отсъстват повече от един месец от адреса, който са
съобщили по делото или на който веднъж им е било връчено съобщение, са длъжни да
уведомят съда за новия си адрес, като при неизпълнение на това задължение всички
съобщения ще бъдат приложени към делото и ще се смятат за редовно връчени.
ПРИКАНВА страните към спогодба, в който случай половината от внесената държавна
такса се връща на ищеца. УКАЗВА на страните, че за приключване на делото със спогодба е
необходимо лично участие на страните или на изрично упълномощен за целта процесуален
представител, за който следва да се представи надлежно пълномощно.
УКАЗВА на страните, че за извънсъдебно разрешаване на спора при условията на
бързина и ефективност може да бъде използван способът медиация. Ако страните желаят да
използват медиация, те могат да се обърнат към център по медиация или медиатор от
Единния регистър на медиаторите към Министерство на правосъдието
4
(http://www.justice.government.bg/MPPublicWeb/default.aspx?id=2).
ОПРЕДЕЛЕНИЕТО не подлежи на обжалване.
Съдия при Софийски районен съд: _______________________
5