РЕШЕНИЕ
№ 258
гр. Ямбол, 19.05.2023 г.
В ИМЕТО НА НАРОДА
ОКРЪЖЕН СЪД – ЯМБОЛ, II ВЪЗЗИВЕН СЪСТАВ, в публично
заседание на девети май през две хиляди двадесет и трета година в следния
състав:
Председател:Красимира В. Тагарева
Членове:Галина Ив. Вълчанова Люцканова
Яна В. Ангелова
при участието на секретаря Ц. Х. Г.
като разгледа докладваното от Красимира В. Тагарева Въззивно гражданско
дело № 20232300500202 по описа за 2023 година
Производството е по реда на чл.258 и сл. ГПК.
Образувано е по въззивна жалба на „Юробанк България“АД гр.София, подадена
от пълномощника на банката юр.к.А.Ч., против Решение №686/23.12.2022г. на Ямболски
районен съд, постановено по гр.д. №20222330101358 по описа за 2022г., с което въззивната
банка е осъдена на основание чл.79, ал.1 от Закона за платежните услуги и платежните
системи да заплати на ищеца Д. И. Ш. от гр.*****, сумата от 3957,44лв., представляваща
стойността на две неразрешени платежни операции от 25.12.2021г. от сметката на ищеца,
открита в „Юробанк България “АД, ведно със законната лихва, считано от датата на
подаване на исковата молба в съда – 26.05.2022г., до окончателното й изплащане.
Оплакването в жалбата е за неправилност на обжалваното решение, тъй като е
постановено в нарушение на материалния закон и е необосновано. Според въззивника,
районният съд неправилно е тълкувал правилата за доказване на релевантните обстоятелства по
ЗПУПС. Сочи, че на основание чл.78, ал.1 от ЗПУПС върху банката лежи доказателствената
тежест при установяване на автентичността на платежната операция, нейното точно регистриране
и осчетоводяване и че операцията не е засегната от техническа повреда или друг недостатък на
услугата, но в случая всички тези обстоятелства са установени посредством съдебно-техническата
експертиза, като неправилно районният съд приел за недоказана автентичността на платежните
операции. В нарушение на материалния закон били изводите на съда, че автентичността на
платежната операция означава да се докаже, че инициирането на процесните платежни операции е
било извършено именно от ищеца, а не от трето лице, тъй като банката не е разследващ орган и не
може да й се възлага в доказателствена тежест установяването кой точно е използвал даден
платежен инструмент и отговор на този въпрос - какво представлява установяване на
автентичността на платежната операция дава разпоредбата на чл. 78, ал.З от ЗПУПС, във връзка с
чл. 80, ал.3 и чл.100 от ЗПУПС, и това е процедура, която позволява на доставчика на платежна
услуга да провери правомерното използване на конкретен платежен инструмент, включително
неговите персонализирани средства за сигурност, а използването на конкретен платежен
1
инструмент се определя от правилата и процедурите на доставчика на платежни услуги по
изпълнение на съответната платежна операция. Сочи се, че в случая банката като доставчик на
платежни услуги е въвела такива персонализирани средства за сигурност, които да гарантират
задълбочено установяване на личността на платеца по смисъла на чл. 80, ал.3 и чл.100 от ЗПУПС
при използването на даден платежен инструмент и тогава неговото използване е правомерно,
следователно и платежната операция се счита за автентична. Излага се още, че оспорените от
ищеца транзакции са били извършени в он-лайн среда, за което се е изисквало освен въвеждане на
данните от картата и потвърждение чрез софтуерен токън, а вещото лице е изяснило, че във всеки
момент и за всеки ползвател на платежни услуги на „Юробанк България“ АД може да има активен
само един софтуерен токън. В случая вещото лице установило, че за отваряне на мобилното
приложение m-token Postbank и за потвърждаване на платежните операции през него е било
необходимо ползвателят на платежни услуги да избере една от двете възможни опции - въвеждане
на ПИН или сканиране на биометрични данни, че в случая ищецът е извършил активиране на
25.12.2021г. в 19,45ч., като първа и необходима стъпка за това е бил регистриран вход в профила
му в платформата за електронно банкиране на „Юробанк България"АД чрез въвеждане на
потребителско име и парола, като от специално меню в електронното банкиране е била избрана
опцията за подаване на заявка за активиране на софтурен токън. В резултат на така подадената
заявка до мобилния номер и до имейл адреса, с който ищецът е регистриран в системата на
банката, са били изпратени два отделни еднократни кода за активиране на токън - един чрез
SMS-съобщение, а другият-чрез електронната поща. В двете съобщения изрично е било посочено,
че това са кодове за активиране на токън, като двата кода са били надлежно въведени
непосредствено след изпращането им до ищеца и новият софтуерен токън е бил успешно
активиран, с което е била изпълнена процедурата по чл. 100 от ЗПУПС и по този начин
автентичността на двете оспорени плащания е доказана от банката, тъй като тя е установила, че
тези плащанията са извършени чрез прилагане на процедура по задълбочено установяване на
идентичността на всяка стъпка от извършването им - при създаване на софтуерния токън и при
потвърждаването им чрез него.
Според въззивника, обжалваното решение на ЯРС е и необосновано, тъй като
първоинстанционният съд не се е произнесъл и по възражението на банката за проявената от ищеца
груба небрежност, изразила се във въвеждането от негова страна на идентификационни данни
и/или данни от персонализирани средства за сигурност на платежни инструменти чрез последване
на активен бутон в електронно съобщение, което само привидно е изхождало от банката, при
наличие на множество и лесно доловими признаци на неавтентичност на това съобщение от
банката, като твърдението е, че при полагане на минималната дължима грижа ищецът е следвало
да предположи, че подател на това съобщение не е банката. Самият ищец в исковата молба
признал, че е последвал активен линк, който го е отвел до сайт, наподобяващ платформата за
електронно банкиране на банката и че е въвел в него всички данни, които са били поискани от
него. При тези данни, според въззивника, съдът е следвало да се произнесе дали действията на
ищеца представляват груба небрежност или не, но в решението липсвал анализ и мотиви в тази
насока, предвид и изричното позоваване от страна на банката на неизпълнение на задължението на
ползвателя на платежни услуги по чл. 75, т.3 от ЗПУПС, а именно платецът след получаване на
платежния инструмент да предприеме всички разумни действия за запазване на неговите
персонализирани средства за сигурност, което включва и задължението да не се предприемат
неразумни действия, които могат да доведат до разкриването им.
Според възизвника изводите на районния съд, че оспорването на транзакциите от ищеца
преди тяхното осчетоводяване е следвало да доведе до тяхното спиране, не били съобразени и с
разпоредбата на чл. 85, ал.1 от ЗПУПС, според която ползвателят на платежни услуги не може да
отменя платежно нареждане след получаването му от доставчика на платежни услуги на платеца,
като в случая с потвърждаването на картовите платежни операции със софтуерния токън и тяхното
авторизиране от системите на банката, платежните нареждания са били получени от банката и след
този момент те са станали неотменими.
Предвид тези съображения въззивникът моли оспореното решение на ЯРС да бъде
отменено изцяло и да бъде постановено друго решение от въззивния съд, с което предявеният иск
да бъде отхвърлен.
Въззиваемият Д.Ш., чрез пълномощника си адв.Х., е подал писмен отговор, с
който е оспорил въззивната жалба като неоснователна, излагайки доводи, според които
оспореното решение на ЯРС е обосновано, мотивирано и при правилно приложение на
нормата на чл.79, ал.1 ЗПУПС. Според въззиваемия, неправилно въззивникът се позовава на
допусната от него груба небрежност по вложения от закона и съдебната практика смисъл,
2
при установеното от вещото лице, че ищецът не е нарушил нищо и просто е бил измамен по
особен начин. Сочи, че банката е била своевременно уведомена за извършените
неразрешени операции, а по делото е установено, че той е бил измамен на 25.12.2021г.
между 19:30 и 20:00часа, а процесните две транзакции са били извършени във време между
12:06 и 14:00часа на 25.12.2021г., т.е. във време значително предхождащо момента, в който
ищецът е бил измамен и е проявил активност, т.е. че плащанията са били извършени в
предходен момент. Искането на въззиваемия е за потвърждаване на обжалваното решение
на ЯРС, с присъждане на разноските пред въззивната инстанция.
В о.с.з. въззивната банка не се представлява, а от процесуалния представител
юр.к.Ч. е постъпила писмена молба със становище по съществото на спора и искане за
уважаване на жалбата, с присъждане на разноските пред двете съдебни инстанции по
същество.
Пълномощникът на въззиваемия Д.Ш. –адв.Х. в о.с.з. пледира за потвърждаване
на обжалваното решение и за присъждане на направените разноски пред настоящата
инстанция. Излага съображения, според които двете плащания са извършени във време,
предхождащо проявената от ищеца активност и измамата му, което сочи, че транзакциите не
са били наредени от него, като в случая следва да бъдат отчетени възрастта на ищеца и
неговите умения за работа в електронна среда, както и обстоятелството, че събитията са
настъпили по време на Коледа, когато хората не са особено мнителни и подозрителни.
ЯОС намира, че въззивната жалба е процесуално допустима, като подадена от
легитимирана страна и в срока по чл.259, ал.1 ГПК, поради което може да се разгледа по
същество.
За да се произнесе, съдът извърши преценка на събраните по делото
доказателства, взе предвид изявленията на страните и приема за установено следното:
Първоинстанционният съд е сезиран с исковата молба на Д. И. Ш. от гр.*****, с
която против „Юробанк България“АД - гр.София е предявен осъдителен иск с правно
основание чл.79, ал.1 от ЗПУПС за заплащане на сумата 3 957,44лв., представляваща
стойност на две неразрешени платежни операции, извършени на 25.12.2021г. със средства
по разплащателната му сметка, посредством издадена към сметката дебитна карта и акаунт
за електронно банкиране (интернет банкиране).
В исковата молба ищецът е изложил твърдения, че на 25.12.2021г. около 19:30часа
на електронната си поща *********** е отворил електронно съобщение с подател
POSTBANK (Пощенска банка), гласящо, че акаунтът му в електронното банкиране е изтекъл
и ще бъде спрян в рамките на 24 часа. Ищецът извършил действия по натискане на активния
бутон, при което се отворил прозорец, идентичен с този на електронното му банкиране при
ответната банка, попълнил данни, включително получените чрез съобщение до телефонния
му номер и получил съобщение, че акаунтът му на потребител е потвърден. На следващия
ден, извършвайки проверка на интернет банкирането си ищецът установил, че сума в размер
на 3 957,44лв. е блокирана, при което уведомил в два телефонни разговора ответната банка,
че оспорва транзакциите и попълнил на място в клон на банката нарочен формуляр за
спиране на неоторизираните плащания, но на 30.12.2021г. сумата била осчетоводена и
изпратена от банката на получателите й. С писмо от 01.03.2022г. ищецът бил уведомен от
ответната банка, че отказва възстановяване на сумите по оспорените плащания, което
породило правния му интерес от предявяване на иска.
С отговора на исковата молба ответникът е оспорил исковете с основното
възражение, че процесните платежни операции са извършени в съответствие с уговорените
начини за удостоверяване на съгласието на платеца за извършването им, като банката е
регистрирала влизане в профила на ползвателя и е изпратила на ищеца на посочения от него
телефонен номер SMS, уведомявайки го за влизане от нов IP адрес, след което с друг SMS го
е уведомила за първи код на софтуерен тоукън, а с уведомление на посочения от ищеца
електронен адрес ************** го е уведомила и за втория код за софтуерен токън, при
което новозаявеният токън е бил активиран от ищеца чрез въвеждане на двата кода и на
същата електронна поща ищецът е бил уведомен, че токънът е активиран. При тези
осъществени от ищеца стъпки твърдението на банката е, че процесните операции
представляват разрешена платежна операция по смисъла на чл.70, ал.1, вр. с ал.3 от ЗПУПС.
3
Второто възражение на ответника е, че ищецът не е положил дължимата грижа за запазване
на предоставените му персонализирани средства за сигурност за установяване на
автентичността при нареждания за извършване на платежни операции и е налице
основанието по чл. 80, ал. 3, вр. чл. 75, т.3 ЗПУСП за изключване на отговорността на
банката за покриване на загубите на ищеца, произтичащи от платежните операции.
Фактическата обстановка не е спорна между страните, същата е установена по
делото, правилно е разкрита от първата инстанция и е непроменена пред настоящата
инстанция:
Между страните не се спори и от представените по делото и приети писмени
доказателства - Договор от 22.06.2012г. за разплащателна сметка по програма Премия,
Договор от 23.06.2015г. за издаване и обслужване на дебитна карта и Общи условия към
него, Договор от 11.03.2019г. за предоставяне и ползване на услугата „интернет банкиране“
и Общи условия към него, е установено, че страните са в облигационни правоотношения по
договори за предоставяне на платежни услуги, включително услугата "интернет банкиране",
чието съдържание включва и платежни услуги във връзка със средствата на ищеца по
разкритата му разплащателна сметка с IBAN BG66BPBI79341084678801, по която като
средство за отдалечен достъп е и издадената дебитна карта.
В Общите условия, които ищецът е приел към сключения Договор от 23.06.2015г.
за издаване и обслужване на дебитна карта, е установено задължението на държателя на
картата да я използва лично, със забрана да я преотстъпва на трети лица (чл.VIII,т.2 от ОУ);
установено е и задължение на държателя на картата да пази в тайна ПИН-кода на картата.
При извършване на плащания с картата в интернет, на държателя е указано, че към картата
има генериран уникален допълнителен код –CVV/CVC, който трябва да се съобщи, както и
номера на картата и срока на нейната валидност, а за извършване на електронни
дистанционни платежни операции в интернет е необходимо картодържателят да активира
мобилно приложение m-Token Postbank, като активационните кодове за приложението се
получават по два независими канала - чрез SMS или чрез и-мейл на регистрираните в
банката телефонен номер и електронен адрес на държателя.
От сключения между страните договор за предоставяне и ползване на услугата
„интернет банкиране“ е установено, че пред банката ищецът е посочил свой мобилен
телефон, който ще се ползва при услугата „интернет банкиране“, а за e-mail- адресът
*******@***.**. В приетите от ищеца Общи условия за електронно банково обслужване, е
дадена дефиниция на определението „софтуерен токън“ (m-Token Postbank), което е
приложение за мобилни устройства (смартфони) и служещо за удостоверяване
идентичността на оправомощения държател и за потвърждаване на съгласието му за
изпълнение на дистанционни платежни и неплатежни операции, като достъпът до
приложението се осигурява с ПИН, като софтуерния токън не може да бъде инсталиран на
повече от едно устройство едновременно, а активирането на ново устройство деактивира
автоматично токъна на текущото устройство. В чл.15-19 от ОУ е регламентирано, че
приложението m-Token Postbank е персонализирано средство за сигурност по отношение на
услугата и оправомощения държател е длъжен да предприеме всички разумни мерки за
неговото запазване и предотвратяване на неразрешен достъп; че при отключването на
приложението с ПИН-код държателят има всички задължения за опазването му в тайна по
отношение кода за достъп и е длъжен да го пази в тайна, да не го съобщава на никого, да не
го записва в устройството или на друг носител и да вземе всички мерки за опазване на
ПИН-кода, като допускането на узнаването на ПИН-кода от други лица е груба небрежност.
С активиране на приложението държателят избира същото за средство за идентификация
пред банката и за потвърждаване на съгласието за изпълнение на електронни дистанционни
платежни и неплатежни операции.
Установено е, че на 22.12.2021г. на електронна поща на ищеца, която е с адрес
************, е получено електронно съобщение с подател „POSTBANK EAD“ с
електронен адрес *************, като изпратеното съобщение е за актуализиране
информацията на акаунта, тъй като акаунтът е изтекъл и ще бъде спрян в рамките на 24часа.
Не е спорно от страна на ищеца, че на 25.12.2021г. е отворил електронното съобщение,
натиснал е активен бутон и е въвел данни, каквито са му били указани. Установено е, че с
две транзакции – първата на 25.12.2021г. в 12:06 часа, втората на 25.12.2021г. в 14:00часа,
4
от дебитната карта на ищеца са били извършени две покупки на ПОС в чужбина, съответно
първата за сумата 141,99лв. от търговец в Женева, втората за сумата 3 815,43лева от
търговец в Истанбул. Установено е, че плащането на двете бордера по двете транзакции е
извършено от ответната банка на 30.12.2021г.
Не е спорно, че ищецът е уведомил за двете транзакции служители на банката в
телефонни разговори, проведени на 26.12.2021г. на обявения от ответната банка телефонен
номер *********, като е оспорил и лично транзакциите на същата дата - 26.12.2021г. с
попълване и подаване на нарочен писмен формуляр за оспорване двете плащания с
банковата му карта и за възстановяване на сумите по транзакциите. За посещението в офис
на банката, при което ищецът е попълнил формуляра за оспорване на двете банкови
операции, показания е дал и свидетелят Колев, който е определил като недобри
техническите и компютърни умения на ищеца.
С писма от 09.02.2022г. и от 11.04.2022г., изпратени до ищеца и неговия адвокат,
ответната банка е уведомила ищеца, че отказва да възстанови по сметката му сумите по
оспорените от него две транзакции, тъй като те са извършени с въвеждане на пълния набор
от персонализирани защитни характеристики на дебитната карта – номер, валидност и CVC-
код и за транзакциите е била изискана допълнителна верификация на софтуерния токън,
активиран на 25.12.2021г., с изпратени два независими уникални кода – с SMS на
телефонния номер и чрез e-mail на адреса ************, като със завършването на
описаните стъпки потребителят е потвърдил платежните операции.
Със заключението на вещото лице инж.У., извършило назначената по делото
съдебно-техническа експертиза, също е установено, че ищецът Д. Ш. е клиент на ответната
банка с открита банкова сметка и дебитна карта към нея, с възможност за извършване на
онлайн/електронни плащания. За процесните две транзакции вещото лице е установило, че са
извършени с банковата карта на ищеца в периода 25-30.12.2021г., като с Бордеро №*********, в
12:06:11 на 25.12.2021 е извършена покупката на стойност 141.99лв. към търговец извън страната и
с Бордеро № 1566555, в 14:00:00 на 25.12.2021 на стойност 3815,43 лв. е извършена покупка също
към търговец извън страната. Вещото лице е изяснило и описало системите за сигурност на
операциите, въведени от банката при използване на платежни операции: система за електронно
банкиране "е-Роstbank", безплатно мобилно приложение "m-Token Postbank" и известяване чрез e-
mail, sms, вайбър и push Notification и 3D-Secure парола, която е еднократна за всяка валидна
транзакция и се получава чрез sms-съобщение , вайбър и push Notification. За 3D-Secure -паролата
вещото лице е изяснило, че се изисква за всяка транзакция с карта в интернет при търговци, които
участват в програмите MasterCard и Visa, че динамичната парола е еднократна и валидна за
конкретната транзакция и се получава чрез sms-съобщение на регистрирания в банката телефонен
номер на картодържателя, или се генерира чрез използването на софтуерен токън. Според вещото
лице, ищецът не е имал възможност да спре извършените две платежни операции, тъй като
банката е приложила методи за т.н. задълбочено установяване на идентичността, отговарящи на
изискванията за „фактор знание“ и „фактор притежание“ чрез знанието само от потребителя на
ПИН-паролата, номера на картата със CVC-кода и дата на валидност, както и софтуерен токън.
Вещото лице е описало последователността на действията при онлайн транзакции,
която е следната: въвеждане в интернет сайта, от който се прави транзакцията на четирите
атрибути на картата: номер на картата, дата, до която картата е валидна, СVС код, получаване на
известие на устройството, на което е инсталиран софтуерния токън за инициирането на картова
транзакция – PUSH-нотификация, въвеждане на ПИН-кода за токъна в приложението m-Тоken
Postbank, активирано на устройството и потвърждение на транзакцията в приложението m-Тоken
Postbank. За всяка от оспорените транзакции вещото лице е дало отговор, че е била оторизирана с
идентификация на оправомощения ползвател-ищеца с лични данни и данни от персонализираните
средства за сигурност. Всяка от оспорените платежни операции с описаните в експертизата
бордера вещото лице е установило, че са надлежно регистрирани и осчетоводени като картови
транзакции и че са извършени с предоставената на ищеца банкова дебитна карта. Според вещото
лице, транзакциите не биха могли да се инициират, да се генерират и да се валидират при
възникване на технически повреди или други недостатъци в системите на банката, ангажирани с
проверките на идентификация на клиента и авторизация на нарежданите платежни операции. Въз
основа на получените електронни данни, според вещото лице банката е могла да идентифицира
еднозначно наредителя на платежната операция. Чрез възможностите на своите електронни
системи и тези за сигурност, получавайки за изпълнение процесните електронни платежни
5
нареждания за всяка от оспорените операции, банката не е могла да установи евентуално наличие
на вируси или друг зловреден достъп на съответния компютър, или друго електронно устройство
на наредителя.
Вещото лице е установило и посочило, че на 25.12.2021г. банката е изпратила до
оправомощения ползвател-ищеца SMS-и към номера му **********, посочен в Договора за
предоставяне и ползване на услугата ""Интернет банкиране" от 11.03.2019г. със следното
съдържание: Вход в системата за електронно банкиране на Пощенска банка на 25.12.2021 19:27 от
IР адрес: 2.57.169.76 "Здравейте, Код 1, необходим за активиране на m-Тоken Postbank е 69391095.
Не разкривайте предоставения код на никого! За повече информация се обадете на *7224." и "Вход
в системата за електронно банкиране на Пощенска банка на 25.12.2021 19:49 от IР адрес:
217.138.202.69". Според даденото заключение, банката няма възможност за реален контрол и
влияние върху съхраняването на персонализираните защитни характеристики на ползвателя,
разпространението и споделянето им с трети лица, наличието на вируси на устройствата,
използвани от клиента, като банката е публикувала към клиентите си множество съвети за
сигурност, в частност относно онлайн банкиране на интернет сайта си, копия от екранни
изображения, които са приложени към делото.
Вещото лице е установило, че притежаваната от ищеца дебитна карта с номер
5169070000341510, след датата на оспорването на 26.12.2021г. на двете процесни банкови
операции в 10:53:18ч., е била блокирана и след посочената дата няма регистрирани операции с тази
дебитна карта, като след датата 26.12.2021г. картовите транзакции са извършвани с друга дебитна
карта, която е различна от блокираната дебитна карта.
Вещото лице е изяснило, че технически е възможно да се осъществят процесиите
плащания чрез дебитната карта на ищеца на виртуален ПОС-терминал от трето външно лице, без
последното да разполага със самата банкова карта, ако са му известни атрибутите на картата -
нейния номер, срок на валидност и СVC- код. При изслушването на заключението по реда на
чл.200, ал.2 ГПК вещото лице е обяснило, че процесните две бордера са били създадени и
регистрирани в счетоводно-информационната система на банката на 25.12.2021г. съответно в
12:06часа и в 14:00часа. Вещото лице е обобщило, че в случая ищецът е бил измамен по особен
начин – да въведе данните си при ответника, с които работи: потребителско име, парола,
софтуерен токън, номер на картата и всичко свързано с нея, които данни е въвел в приложение,
което е измамно и е представено за приложение на банката. От там нататък третото лице е заявило
нареждане, а ищецът е получил впоследствие SMS-и, известия и се е съгласил с тях. След като
третото лице е имало всички данни на ищеца, е могло да направи всяко плащане в интернет, но
защитата на банката е в потребителското име, паролата и софтуерния токън.
Вещото лице е дало заключение, че полученият от ищеца и-мейл (наречен фишинг
имейл) е съдържал несъответна и неистинска информация, тъй като електронната поща на
подателя е*************, който адрес не предполага асоциации с Postbank и не съдържа
характерния за банката интернет домейн „postbank.bg“ или „e-postbank.bg“, макар че съдържанието
е акцентирало върху наименованията Postbank и POSTBANK. Според вещото лице, налице е
несъответствие в смисъла и атрибутите за идентичност на съобщението, изпратено до и получено
на адреса на електронната поща, достъп до която има ищецът Д. Ш., тъй като автентичните
съобщения на банката по имейл съдържат официалния адрес на банката, както и телефони за
контакт, а процесният имейл не е съдържал такива; като подател банката използва ел.пощи от
домейните си „postbank.bg“ или „e-postbank.bg“, а в получения от ищеца адрес домейнът е
„us.com“, ориентиран към пазар в USA; в съдържанието на получения от ищеца имейл има
нехарактерни за корпоративна или институционална кореспонденция граматически и стилистични
грешки и пропуски и на последно място - в случая ищецът е получил фишинг и-мейла на и-мейл-
адреса си ***************, който адрес ищецът не е предоставил на банката, като посоченият от
ищеца на банката адрес е друг – ************* който адрес банката е използвала многократно и
същият от сключването на договора не е бил променян.
При тези фактически данни, с обжалваното решение ЯРС е уважил предявения
от ищеца иск по чл.79, ал.1 ЗПУПС и е осъдил ответника да заплати на ищеца исковата
сума, тъй като е приел, че банката е била уведомена от ищеца за неразрешените операции
още на датата 26.12.2021г., но въпреки това е извършила плащанията на 30.12.2021г. Съдът
е приел, че банката не е представила доказателства и не е провела доказване, че процесните
операции са автентични и от там, че имат характер на разрешени такива от платеца, поради
което тези операции са неразрешени по смисъла на чл.70, ал.1, изр.2 от ЗПУПС и
6
изпълнението им е основание за ангажиране отговорността на банката. Съдът е счел, че не
са налице основанията на чл.80, ал.3 ЗПУПС за освобождаване от отговорност на ответната
банка като доставчик на платежни услуги, тъй като не са налице условията на чл.75 от
ЗПУПС за това. Посочил е, че ищецът е изпълнил задълженията си по чл.75, ал.2 от Закона
и лично е уведомил ответника за неразрешените плащания, а банката не е установила
конкретни факти относно начина на действие на платеца и неговото субективно отношение
при изпълнение на задълженията му.
Обжалваното решение на ЯРС е валидно и допустимо, но неправилно.
Съгласно разпоредбата на чл.79, ал.1 от ЗПУПС, в случай на неразрешена
платежна операция доставчикът на платежни услуги на платеца му възстановява незабавно
стойността на неразрешената платежна операция и във всеки случай не по-късно от края на
следващия работен ден, след като е забелязал или е бил уведомен за операцията, освен
когато доставчикът на платежни услуги на платеца има основателни съмнения за измама и
уведоми съответните компетентни органи за това. Когато е необходимо, доставчикът на
платежни услуги на платеца възстановява платежната сметка на платеца в състоянието, в
което тя би се намирала, ако не беше изпълнена неразрешената платежна операция.
За да бъде уважен иск по чл.79, ал.1 ЗПУПС, каквато е квалификацията на
предявения от ищеца иск, следва да се установи, че от името на ищеца е извършена
неразрешена платежна операция. Съгласно чл.70, ал.1 от ЗПУПС, платежната операция е
разрешена, ако платецът я е наредил или е дал съгласие за изпълнението. При липса на
съгласие, платежната операция е неразрешена. Според чл.78, ал.1 ЗПУПС, когато
ползвателят на платежна услуга твърди, че не е разрешавал изпълнението на платежна
операция или че е налице неточно изпълнена платежна операция, доставчикът на платежната
услуга носи доказателствената тежест при установяване автентичността на платежната
операция, нейното точно регистриране, осчетоводяването, както и за това, че операцията не
е засегната от техническа повреда или друг недостатък в услугата, предоставена от
доставчика на платежни услуги. Съгласно разпоредбата на чл.80, ал.3 от ЗПУПС, платецът
понася всички загуби, свързани с неразрешени платежни операции, когато ги е причинил
чрез измама или с неизпълнението на едно или повече от задълженията си по чл.75 от закона
умишлено или поради груба небрежност, като в тези случаи платецът понася вредите
независимо от размера им.
В случая е установено по безспорен начин със заключението на вещото лице,
което съдът кредитира с доверие като обективно и компетентно, а и не е спорно от страна на
ищеца, че двете оспорени платежни операции, представляващи извършени на 25.12.2021г.
покупки в електронна среда с дебитната карта на ищеца, са осъществени след достъпване до
системата на банката с коректните данни за достъп до същата от страна на ищеца, при
спазени изисквания за потребителска верификация: въведени са номер на картата, срок и
CVC-код, активиране на софтуерния тоукън на устройството на ищеца и генериране и
потвърждение на автентикиращ код при извършване на съответната банкова операция. От
това следва, че банковите операции са извършени чрез използване на надлежно издаден
платежен инструмент в полза на платеца на паричната сума по всеки от наредените преводи
от страна на ищеца. Както бе посочено, обаче, доказването на този факт не е достатъчен, за
да се приеме, че оспорената платежна операция е разрешена от платеца, като е необходимо
да се докаже, че използването на описания платежен инструмент за иницииране на всяка от
процесните платежни операции е станало правомерно и със съгласието на платеца. Според
експертното заключение на вещото лице, дадено писмено и поддържано в открито съдебно
заседание, двете банкови операции са извършени от трето лице, на което ищецът след като е
бил подведен е предоставил данните си за достъп до системата на ответника за електронно
банкиране. Поради това трябва да се приеме, че от ответника не са представени
доказателства, от които да може да се заключи, че процесните платежни операции,
осъществени чрез използвания от ищеца платежен инструмент за достъп до системата за
електронно банкиране, са автентични и извършени със съгласието на ищеца оттам, че имат
характер на разрешени такива от платеца, т.е. следва да приеме, че процесните платежни
операции са неразрешени по смисъла на чл.70, ал.1, изр.2 от ЗПУПС.
С оглед на така приетото, съдът дължи отговор на спорния между страните въпрос
налице ли е основанието на чл.80, ал.3 от ЗПУПС изцяло в тежест на ищеца -платеца да
7
останат понесените от него загуби в резултат на неразрешена платежна операция, поради
неизпълнението на някое или някои /едно или повече/от вменените му с нормите на чл.75,
т.1, т.2 и т.3 от ЗПУПС задължения умишлено или поради груба небрежност, които
задължения са: 1. да използва платежния инструмент в съответствие с условията за неговото
издаване и използване, които трябва да са обективни, недискриминационни и
пропорционални; 2. да уведомява доставчика на платежни услуги или упълномощено от него
лице за загубване, кражба, присвояване или неразрешена употреба на платежния инструмент
незабавно след узнаването; 3. след получаване на платежния инструмент да предприеме
всички разумни действия за запазване на неговите персонализирани средства за сигурност,
включително да не записва каквато и да е информация за тези средства за сигурност върху
платежния инструмент и да не съхранява такава информация заедно с платежния
инструмент.
Според правната теория и трайната практика на ВКС, небрежността в
гражданското право е неполагане на дължимата грижа според един абстрактен модел -
поведението на определена категория лица с оглед естеството на дейността и условията за
извършването й. Грубата небрежност не се отличава по форма, а по степен, тъй като грубата
небрежност също е неполагане на грижа, но според различен абстрактен модел– това е
неполагане на грижата, която би положил и най-небрежният човек, зает със съответната
дейност при подобни условия. Или груба небрежност би проявил онзи платец, ползвател на
платежни услуги, който не е положил грижата в конкретната обстановката при изпълнение
на задълженията по чл.75 от закона, каквато би положил обикновеният човек с нормален
разум и психика, поставен в същата обстановка.
В случая по делото е установено със заключението на вещото лице, че процесните
две платежни операции са наредени на 25.12.2021г. съответно в 12:06 и 14:00часа като
последица от предоставянето от страна на ищеца на личните му данни за притежаваната
дебитна карта - номер, срок и CVC-код и на личните му данни за достъп до електронния
канал за онлайн банкиране. За да предостави тези свои данни ищецът е последвал
електронно съобщение, получено на своя електронна поща, като според съда тези действия
на ищеца са неразумни и несъвместими с тези, които законът изисква, за да се изпълни
задължението за опазване в тайна на персонализираните средства за сигурност, тъй като на
първо място въпросното електронно писмо е изхождало от подател, чийто адрес
*************с домейн „us.com“ е видимо различен от домейните на ответника „postbank.bg“
или „e-postbank.bg“. На второ място, дори да се приеме, че ищецът е бил подведен от
наименованията на банката в съобщението, той е следвало да съобрази, че това съобщение е
изпратено и получено на негова електронна поща, която той не е предоставял на банката –
съобщението е получено на и-мейл адрес ************, а ищецът е предоставил на банката друг
свой и-мейл адрес - *************. На следващо място, установено е от вещото лице, че
предоставянето от ищеца на посочените данни за дебитната му картата и данните му за достъп до
онлайн-банкирането са били достатъчни за съставяне и подаване на платежните нареждания и
допускането им от софтуерната система на банката, но за потвърждаване и на двете банкови
операции е било необходимо влизане от страна на ищеца в мобилното приложение m-Token
Postbank с въвеждане и подписване с код – 3D-secur парола, състояща се от цифри, които
пароли са получени на sms-и на мобилния телефонен номер на ищеца и които пароли са
била необходими за потвърждаване и валидиране на всяка от транзакциите. Ако не бъде
извършено дори едно действие от алгоритъма на платежното нареждане, със заключението
на вещото лице е изяснено, че не може да се изпълни платежната операция, като последното
действие - по потвърждаването на транзакциите, е извършено лично от ищеца. Именно това
действие на ответника е в отклонение от здравия разум и логика и от поведението на най-
небрежния човек, тъй като дори да се приеме, че е бил подведен и измамен да предостави
данните си в резултат на заблуждаващия и-мейл, ищецът е получил SMS-съобщения и е
влязъл в мобилното си приложение, при което е могъл и е следвало да извърши елементарна
проверка на данните за детайлите на двете платежни операции и знаейки, че не е техен
автор и че не ги е нареждал и не е заявявал покупките, да не въвежда изпратените му от
банката кодове – 3D-secur пароли за всяка от транзакциите и да не ги потвърждава. По
делото не се твърди и няма данни за престъпно фактическо придобиване на притежавания от
ищеца мобилен телефон с номера, на който са му изпратени от банката и получени двата
sms-са, нито за нерегламентиран достъп до мобилния телефон на ищеца. Именно това е
8
смисълът от предоставеното от банката и избрано от ищеца допълнително средство за
сигурност m-Token Postbank с изпращане на паролите чрез SMS-известяване - за
гарантиране както срещу злонамерени опити за извършване на онлайн операции, така и за
допълнителна проверка на въведените детайли на предстоящо плащане и неговото
потвърждение. Извършени са две платежни операции с банковата дебитна карта на ищеца и
от профила му, които той собствено е оторизирал с предоставените му от банката кодове,
без преди това да положи усилия и да се убеди, че е извършил всички необходими действия
за запазване на неговите персонализирани средства за сигурност.
В обобщение съдът намира, че действията на ищеца по предоставяне на данните
на дебитната си карта и тези за акаунта за онлайн банкирането, включително и най-вече
действията по въвеждане на паролата за всяка платежна операция, получена чрез sms и
потвърждаване в токъна за извършване на конкретната платежна операция, представляват
нарушение на задълженията на ищеца по чл.75, т.3 от ЗПУПС да предприеме всички
разумни действия за запазване на предоставените му персонализирани средства за сигурност
при ползването на платежната услуга, което в случая е извършено при груба небрежност,
тъй като дори да се приеме, че полученият от ищеца заблуждаващ имейл е от естество дори
при полагане на нормално дължимата грижа от потребителя на платежни услуги, да
обуслови въвеждането на данните, необходими за заявяване на платежната операция и за
достъп до акаунта, то за въвеждането на съдържанието на паролата, получена чрез sms и
потвърждаването на транзакцията в мобилното приложение токън, липсва логично и
житейски обяснимо основание. Неоснователно в тази връзка ищецът твърди, че за такова
основание може да се приеме времето по Коледните празници и недобрите му компютърни
умения. Също неоснователно е и твърдението на ищеца, че е бил измамен на 25.12.2021г. в
19:30часа и 20:00часа, а двете транзакции са били извършени по-рано във времето – 12:06
часа и 14:00часа. Установените по делото факти оборват това твърдение, тъй като очевидно
ищецът е бил измамен да въведе данните си по-рано на 25.12.2021г., при което първо са
заявени пред банката двете операции/транзакции на 25.12.2021г. в 12:06часа и в 14:00часа,
но лично след изпратените му SMS-съобщения ищецът ги е потвърдил по-късно същия ден,
съответно в 19:30часа и 20:00часа.
Случаят не касае извършени действия по отнемане смартфона на ищеца или
разбиване на паролите и осъществен чрез специални умения нерегламентиран достъп до
мобилния телефон на ищеца, включително да мобилното приложение на смартфона на
ищеца, а именно съзнателни действия от негова страна по въвеждане на двете пароли,
получени чрез sms-съобщения, които се предоставят на потребителя на платежни услуги
именно и само за извършване на конкретна операция от акаунта за банковата му сметка,
поради което и самите действия по въвеждане на паролите след последване на непроверен и
очевидно неизходящ от банката електронен адрес, включително при съобразяване на
фактическата обстановка, при която са извършени, не могат да бъдат определени по друг
начин, освен като груба небрежност относно интересите на ищеца във връзка с операциите
по разплащателната му сметка и в частност относно изпълнение на нормативно
регламентираните в чл.75, т.3 ЗПУПС задължения на потребителя на платежни услуги във
връзка със сигурността при ползването на тези услуги.
Както съдът посочи, съгласно чл.80, ал.3 ЗПУПС проявената груба небрежност
при неизпълнение на задълженията на ищеца по чл.75, т.3 ЗПУПС изключва отговорността
на ответната банка за покриване на загубите на ищеца, произтичащи от процесните две
неразрешени платежна операции. Като не е приложил разпоредбата на чл.80, ал.3 от ЗПУПС
при установените по делото факти за проявената от страна на ищеца груба небрежност при
изпълнение на задълженията му по чл.75, т. 3 от ЗПУПС, районният съд е нарушил
материалния закон и е постановил необосновано решение, което е основание за отмяна на
обжалваното решение и за постановяване на ново решение от въззивния съд за отхвърляне
на иска. Въззивната жалба на банката е основателна.
При този изход на делото, на основание чл.78, ал.3 и ал.8 ГПК ответникът, сега
въззивник, има право на всички направени от него разноски по делото пред двете съдебни
инстанции по същество и такива следва да му се присъдят в размер на сумата общо
279,15лв. (79,15лв. - ДТ за въззивната жалба и 200лв. юрисконсултско възнаграждение–
100лв. за първата и 100лв. за въззивната инстанция, съгласно чл.25, ал.1 от НЗПП, вр. с
9
чл.78, ал.8 ГПК).
Водим от изложеното, ЯОС
РЕШИ:
ОТМЕНЯ изцяло Решение №686/23.12.2022г. на Ямболски районен съд,
постановено по гр.д. №20222330101358 по описа за 2022г. на този съд И ВМЕСТО ТОВА
ПОСТАНОВИ:
ОТХВЪРЛЯ като неоснователен предявения от Д. И. Ш. от гр.*****,
ул.********№*, вх.*, ет.2, ап.**, с ЕГН **********, против „Юробанк България“ АД
гр.София, ул.“Околовръстен път“ №260, ЕИК *********, представлявано от П. Н. Д., Д. Б.
Ш. и А. В. Я., иск по чл.79, ал.1 от ЗПУПС за заплащане на сумата 3 957,44лв.,
представляваща стойност на извършени две неразрешени платежни операции от 25.12.2021г.
от банковата сметка на Д. И. Ш. в „Юробанк България“ АД.
ОСЪЖДА Д. И. Ш. от гр.*****, ул.********№*, вх.*, ет.2, ап.**, с ЕГН
**********, да заплати на Юробанк България“ АД гр.София, ул.“Околовръстен път“ №260,
ЕИК *********, представлявано от П. Н. Д., Д. Б. Ш. и А. В. Я., на основание чл.78, ал.3 и
ал.8 ГПК сумата 279,15лв., представляваща направени по делото разноски пред първата и
въззивната инстанции.
Решението е окончателно и не подлежи на обжалване, съгласно разпоредбата на
чл.280, ал.3, т.1, пр.1 ГПК.
Председател: _______________________
Членове:
1._______________________
2._______________________
10