№ 21943
гр. София, 01.12.2025 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ РАЙОНЕН СЪД, 120 СЪСТАВ, в публично заседание на
трети ноември през две хиляди двадесет и пета година в следния състав:
Председател:ВЕНЕТА СТ. ГЕОРГИЕВА
при участието на секретаря КАМЕЛИЯ АНЧ. КОСТАДИНОВА
като разгледа докладваното от ВЕНЕТА СТ. ГЕОРГИЕВА Гражданско дело
№ 20241110114724 по описа за 2024 година
Производството е по реда на чл. 235 и сл. от ГПК.
Образувано е по искова молба вх.№ 84679/12.03.2024 г. на Д. К. П. с ЕГН **********,
гр. София, УЛ.АКАД.ЙТ 8, вх.Б, ет.02, ап.208, действащ чрез адвокат Т. С. Р., със съдебен
адрес: гр. София, УЛ.А 33, ТД, К 134, срещу „Ю Б“ АД, ЕИК ........., със седалище и адрес на
управление: гр. София, ул. О път № 260, представлявано от Д. БШ, МИВ, чрез юрисконсулт
НК, с която е предявен осъдителен иск с правно основание по чл.79, ал. 1 от Закона за
платежните услуги и платежните системи (ЗПУПС) за сумата 4878 лв., изтеглени от карта с
№ 417099хххх2992, и за сумата от 1869.00 лв., изтеглени от карта с № 541196хххх5012, или
общо сумата от 6747 лв., както и иск по чл. 49 във връзка с чл. 45 от ЗЗД за сумата от 10000
лв., представляваща обезщетение за причинени на ищеца неимуществени вреди.
В исковата молба се твърди, че на 06.05.2023 г. ищецът е извършил плащане в 13.09
часа в обект на фирма „Технополис Младост“ с приложение „Валет“, инсталирано на
телефона му, на стойност 209,99 лв., за закупуване на прахосмукачка, като парите са
заплатени с кредитната му карта с № 5411968352335012. На 07.05.2023 г. в 20.41 ч.,
прибирайки се към дома си, ищецът пазарувал в кварталния магазин „Сарина“, находящ се
на адрес бул. Н Габровски № 108 в ж.к. Студентски град, закупувайки стоки на стойност
19.23 лв., заплатени със същото приложение. В 22.20 ч. проверил имейла си и забелязал, че
има известие от ответната банка, че в 20.48 часа с кредитната му карта е извършена успешна
транзакция към „Технополис КЗ“ на стойност 1869 лв., която била цялата налична сума към
момента в кредитната карта. Веднага влязъл в банковия си акаунт и установил, че
наличността в дебитната му карта е 22 лв., при условие, че трябвало да са налични 4900 лв.
Позвънил на КОЛ-центъра на банката, за да съобщи за случая, като служителката, приела
обаждането, потвърдила, че имало извършени транзакции с двете му карти, като от
кредитната транзакцията била на стойност 1869 лв., а от дебитната – на стойност 4878 лв.,
като и двете транзакции били плащания към „Технополис КЗ“. Сочи, че в първия работен
ден е подал жалба в банката. На 10.05.2023 г. в клон на банката подал формуляр за
оспорване на плащане с банкова карта, два броя, за двете карти. Било му издадено
извлечение за извършените транзакции. Ищецът изпратил официален имейл до банката,
прилагайки всички документи, които притежава, а в отговор получил официално писмо, в
което се твърдяло, че плащанията са извършени на ПОС-терминал, а на 07.05.2023 г. в 20.27
часа, банката му била изпратила уникален активационен код чрез СМС за активиране на
дигитален портфейл „Валет“ и че единственият, който е отговорен за средствата,
съхраняващи се в банката, е ищецът. Сочи, че в посочения от банката ден и час не е
получавал никакъв СМС на мобилния си номер и че банката-ответник не е спазила
1
правилата за задълбочено установяване на идентичността на клиенти. Твърди, че банката не
е положила дори минимум усилия да предпази вложените от него средства в тази банка,
като вследствие на това е бил лишен от възможността да използва своите лични средства,
като бил и принуден да заплаща изпразнената кредитната карта. Сочи, че изкарва тези пари с
тежък труд и ги е вложил в банката, защото е мислел, че са защитени и ще бъдат опазени,
като е вярвал на банката, имал е доверие в банковите институции, което е било нарушено от
ответника. Сочи, че ответникът го е накарал да се чувства като глупак с твърдението, че за
всичко е виновен само той. Твърди, че е загубил съня си, постоянно мислел какво повече е
следвало да направи, за да опази средствата си. Претендира неимуществени вреди на
стойност 10000 лв., както и да му бъдат възстановени изтеглените без негово съгласие сума
от 4878 лв., изтеглена от карта с № 417099хххх2992, и сума от 1869.00 лв., изтеглени от
карта с № 541196хххх5012, или общо сумата от 6747 лв. Моли съда да уважи исковата
претенция и да му присъди разноски.
Ответната страна е подала отговор на исковата молба в срока по чл.131, ал.1 ГПК,
като оспорва исковите претенции. Признава обстоятелството, че между страните съществува
валидна облигационна връзка по силата на сключени между страните Договор от 17.06.2021
г. за кредитен лимит за издаване на кредитна карта № МК207354 „MasterCard Standard” с
№ 541ххххххх5012, както и Договор от 09.03.2021 г. за предоставяне на банкови услуги на
физически лица по програма „Моето семейство“ за сметка с посочен конкретен номер и с
издадена по нея дебитна карта „Visa Classic” с № 4170хххххххх2992, Договор от 10.05.2023
г. за издаване и обслужване на персонална дебитна карта „Visa Classic” с № 4170хххххх3042.
Страните били обвързани и с Договор от 09.03.2021 г. за предоставяне и ползване на
услугата „интернет банкиране“. Не оспорват и фактите, изложени от ищеца, че и двете
платежни операции, представляват картови плащания за покупка на стоки, извършени с
посочените карти. Излагат подробни данни за осъществяване на плащанията като дата, час
на плащането, сума и място на извършената транзакция. Признава, че ищецът е възстановил
по своята партида, по която се обслужват задълженията му по кредитната карта сумата от
1869.00 лв. на 09.08.2023 г., което било отразено и в месечното извлечение. Счита за
безспорно между страните, че и двете платежни операции са осъществени чрез технологията
NFC – near-field communication на физически ПОС-терминал в магазин за техника с
използването на специалното приложение цифров мобилен портфейл „One Wallet by
Postbank”, в което предварително са били регистрирани и добавени кредитната и дебитната
платежни карти на ищеца, което от своя страна било реализирано чрез ръчно, еднократно и
безпроблемно въвеждане на съответните персонализирани средства за сигурност – точни
номера на кредитната и дебитната карти, точен срок на валидност на двете карти и коректни
символи от CVC2/CVV-2 кодовете на двете карти. Сочи, че самото активиране на
приложението се е случило чрез заявяването му в профила на електронно банкиране на
ищеца, достъп до което се осъществява с потребителско име и парола, известни само на
титуляра, както и с въвеждане на еднократен 6-цифрен код, изпратен на телефонния му
номер от банката, които са предоставени и известни единствено на картодържателя титуляр,
респективно на титуляра на ползвания от картодържателя телефонен номер. След като
операциите са били допълнително верифицирани чрез отключването на мобилния телефон
на ищеца със съответния ПИН-код или биометрични данни, те са били успешно
осчетоводени и изпълнени автоматично от банковата система. Счита, че няма спор и по
обстоятелството, че ищецът ползва и предварително инсталирано на неговия смартфон
допълнително приложение за сигурно извършване и потвърждаване на платежни и
неплатежни операции чрез интернет-банкиране, предлагано от ответната банка, а именно
„софтуерен токън“. Оспорва останалите твърдения и доводи на ищеца, на които основава
претенциите си като неверни, неоснователни и недоказани.
Ответникът оспорва твърдението, че ищецът е имал качеството на потребител по
смисъла на §1, т. 40 от ПЗР на ЗПУПС при подписването на процесните договори.
Твърди, че платежните услуги са използвани от ищеца за търговски цели във връзка с
неговата търговска дейност като едноличен собственик и управител на „ГЕООПТИМАЛ“
ЕООД, както и в качеството му на лице, упражняващо свободна професия като геодезист,
регистриран в БУЛСТАТ-регистъра. Счита, че по посочените съображения ищецът не може
да се ползва от предвидената от ЗПУПС и ЗПП потребителска защита.
Оспорва твърдението в исковата молба, че чрез използването на издадените от
ответната банка в полза на ищеца кредитна карта „MasterCard Standard“ с №
5411ххххххх5012 и дебитна карта „Visa Classic“ с № 4170хххххххх2992, както и чрез
допълнително инсталирано мобилно приложение („цифров портфейл“) за сигурни
2
безконтактни плащания на физически ПОС-терминали и плащания в интернет „One Wallet
by Postbank“, на 07.05.2023 г. във времевия интервал 20:48 ч. - 20:49 ч. били извършени две
неразрешени платежни операции, а именно: едно плащане за покупка на стоки, извършено с
кредитна карта „MasterCard Standard“ с № 5411ххххххх5012 с титуляр Д. П. чрез
приложението „One Wallet by Postbank“ на физически ПОС-терминал в магазин
„Технополис“ в гр. София район „Младост“, ул. „О път“ № 265, в размер на 1 869,00 лв., и
второ плащане за покупка на стоки, извършено с дебитна карта „Visa Classic“ с №
4170хххххххх2992 с титуляр Д. П. чрез приложението „One Wallet by Postbank“ на
физически ПОС-терминал в магазин „Технополис“ в гр. София район „Младост“, ул. „О
път“ № 265, в размер на 4 878,00 лв.
Оспорва твърдението в исковата молба, че 7 минути преди извършването на двете
спорни картови плащания, в 20:41 ч. на 07.05.2023 г. ищецът бил използвал своето
приложение цифров портфейл за плащане с кредитната си карта в друг магазин за
хранителни стоки „Сарина“, находящ се в гр. София, район „Студентски“, ул. „Н Габровски“
№ 108, който бил значително по-отдалечен от магазина за техника, в който са реализирани
оспорените плащания. Счита, че това твърдение ищецът се домогва да докаже
доказателствено релевантния факт, че не той, а някое друго неизвестно трето
неоправомощено лице е извършило тези 2 плащания на физически ПОС-терминал в
магазина за техника, са частично верни (по отношение плащането в магазина за хранителни
стоки), но в по-голямата си част са голословни, не могат да установят посочения важен
доказателствено релевантен факт и не се подкрепят от безспорните писмени доказателства
по делото, както и от наличните данни за тези платежни операции в банковата
информационно-счетоводна система. Счита, че не отговаря на истината и твърдението на
ищеца, че плащането в 20:41 ч. на 07.05,2023 г. в магазина за хранителни стоки било
извършено с кредитната му карта чрез ползваното от него приложение „One Wallet by
Postbank“, доколкото от данните в банковата система се установява, че тази транзакция е
била извършена с друго ползвано от него приложение „Apple Pay“. Твърди, че ищецът
ползва услугата за дистанционни плащания „интернет банкиране“, предлагана от банката,
което се потвърждава от него и в самата Искова молба, като очевидно е ползвал паралелно и
двете приложения за извършване на дистанционни плащания в електронна среда и
плащания на реални ПОС-терминали „One Wallet by Postbank“ и „Apple Pay“, инсталирани и
активирани на две различни свои мобилни устройства.
Ответникът твърди, че от подписаните от ищеца Общи условия за електронно
банково обслужване „интернет банкиране“ било видно, че още от 09.03.2021 г. последният
ползва услугата „интернет банкиране“. В конкретния случай, при прегледа на електронните
записи и наличните данни в банковата система се установява, че на 07.05.2023 г., след
извършена еднозначна положителна електронна идентификация на ищеца чрез коректно
въвеждане на код за достъп до системата (комбинация от неговите потребителско име и
парола) в 20:24 ч. от IР-адрес 92.247.195.180 бил осъществен достъп до потребителския му
профил в системата „интернет-банкиране“ (или „е-Postbank“), чрез който можело да се
използват активно, както разплащателната му сметка, така и кредитната и дебитната му
карти за извършване на изходящи платежни операции и за други неплатежни услуги,
свързани с интернет-банкирането. В рамките на тази потребителска сесия била заявена
регистрацията на приложението цифров портфейл „One Wallet by Postbank“ на името на Д.
К. П.. Инсталацията и активацията на това приложение е завършила в 20:32 ч. на същата
дата след въвеждането на изпратения в 20:27 ч. чрез SMS/Viber - съобщение на телефонния
номер на клиента (0878 242962) активационен код, като елемент от категорията
„притежание“ по смисъла на чл. 100, ал. 4, т. 1 от ЗПУПС, като мобилният телефонен номер
(както и електронния му пощенски адрес: ****************@***.**) е предоставен от него на
банката при регистрирането му като титуляр и оправомощен държател за ползване на
услугата „интернет банкиране“ за посочената банкова сметка и кредитна карта, видно от
приложените писмени доказателства към отговора на исковата молба. Ищецът получил
съобщения на телефонен номер 0878 242962.
Ответникът твърди, че на 07.05.2023 г., след осъществен достъп в 20:24 ч. до своя
профил в системата на банката за интернет банкиране, ищецът заявил създаването,
регистрацията и добавянето на своите кредитна карта „MasterCard Standard“ и дебитна карта
„Visa Classic“ в цифровия мобилен портфейл „One Wallet by Postbank“ (чрез въвеждане на
потребителско име и парола за услугата „интернет банкиране“ и потвърждаване на това
действие с въвеждането на получения на телефонния номер 0878 242962 на ищеца
активационен код в 20:32 ч., с което активационният процес е завършил), след което
3
ползвайки това приложение - цифров портфейл, чрез технологията NFC (nearfield
communication) са били извършени и двете спорни картови плащания на физическия ПОС-
терминал в магазин „Технополис“, съответно в 20:48 ч. и в 20:49 ч. на същата дата. За да
стане ясен механизмът на осъществяване на двете платежни операции, тук ще проследим
по-подробно процеса по заявяване, регистриране, инсталиране и активиране на
приложението цифров мобилен портфейл „One Wallet by Postbank“. Ответната банка
подробно описва процедурата по активиране на електронно банкиране, както и останалите
приложения, ползвани от ищеца.
Според ответника плащанията на физически ПОС-терминал с дигитализирана карта,
издадена от ответната банка, предполагат извършването на поредица от действия от страна
на картодържателя, при което се използват множество персонализирани характеристики и
средства за сигурност, чрез които се постига високо ниво на сигурност на платежните
операции. Наред с това ответната банка провеждала цялостна комуникационна кампания
спрямо клиентите си със съвети за опазване от неправомерни дейния, на средствата за
сигурност и идентификация при извършване на платежни операции чрез платежните
инструменти за дистанционно банкиране. В частност, съобщението до клиента с
еднократния код съдържа ясно предупреждение кодът да се въведе единствено в
приложението „One Wallet by Postbank“. Платежните операции на виртуален или физически
ПОС-терминал се потвърждават чрез методите на отключване на съответното мобилно
устройство, на което е дигитализирана картата, а именно: лицево разпознаване („FacelD“),
пръстов отпечатък („Fingerprint“) и „ПИН“-код, както на практика работи всяко приложение
за цифров портфейл. Посочените методи отговарят в пълна степен на изискванията за
задълбочено установяване идентичността на платеца, заложени в чл. 100, ал. 4 от ЗПУПС и
регулациите на Европейския Банков Орган, съгласно Директива (ЕС) 2015/2366 от
25.11.2015 r./PSD2/. В случая се използват поне два от следните независими елементи: 1.
„ПИН“-код, което представлява елементът „знание“ тъй като е известен само на ползвателя;
2. „СИМ“-карта на мобилния телефон, представляващо елементът „притежание“, тъй като се
ползва само от ползвателя; и 3. лицево разпознаване („FacelD“) или пръстов отпечатък
(„Fingerprint“), което представлява елементът „характерна особеност“, уникални
биометрични данни, характеризиращи еднозначно ползвателя.
С оглед изложените доводи, ответникът счита, че ищецът е отговорил на ,.фишинг“-
съобщение и е предоставил своите лични данни и идентификатори на ползваните платежни
инструменти, включително кодът за активиране на приложението „One Wallet by Postbank“
на трето неоправомошено лице, което той е сторил в условията на груба небрежност.
Ответникът изразява становище, в случай че се докаже, че ищецът като ползвател на
услугата „интернет банкиране“ и приложението „One Wallet by Postbank“ действително не е
наредил или дал съгласието си за извършване на процесиите 2 платежни операции, това би
довело до извода, че той е допуснал трето лице в един и същ момент: да знае
потребителското име и паролата за влизане в профила му в платформата на банката за
„интернет банкиране“; да държи кредитната и дебитната му карти или да знае всичките им
индивидуализиращи белези; да има достъп до мобилния му телефон и до електронната му
поща, на които са получени съответните уникални кодове за активиране на ползваното
приложение „One Wallet by Postbank“. Счита, че подобно разкриване на лични данни и
информация, и предоставяне на достъпи, ако не е извършено умишлено от ищеца, следва да
се приеме, че представлява груба небрежност. Счита, че доколкото се отрича лично
нареждане на процесиите 2 транзакции, то от представените до момента данни и
доказателства, безспорно се достига до извод, че не са спазени изискванията по чл. 75, т. 2 от
ЗГГУПС и клиентът е предоставил на трето лице целия набор от лични данни и
идентификатори на кредитната и дебитната си карти, достъпа си до електронното
банкиране, изпратените кодове от страна на банката за активация на приложението „One
Wallet by Postbank“, които действия са позволили ползването на кредитната и дебитната му
карти и профила му в електронното банкиране по описания по-горе начин, като това би
означавало, че на основание чл. 80, ал. 3 от ЗПУПС сумите на спорните 2 транзакции не
подлежат на възстановяване от страна на банката.
Твърди, че в настоящия случай са приложими разпоредбите на разпоредбата на чл.
81, ал. 1 от ЗЗД и чл. 83, ал. 2 от ЗЗД, като счита, че ищецът не е положил дължимата грижа
на „добрия стопанин“, не е защитил в изискуемата от закона и от договорните отношения с
доставчика, степен своите лични данни и компютърни файлове, което евентуалното е довело
и до настъпване на претендираните в настоящия процес неблагоприятни последици от
евентуално осъществени неразрешени платежни операции, за които банката-длъжник (в
4
случая) не може да бъде държана отговорна, а следва да бъдат поети изцяло от ищеца.
Оспорва и иска за неимуществени вреди, като сочи, че поведението и действията на
банковите служители са правомерни, съобразени с изискванията на приложимите
нормативни актове и вътрешнобанковите правила и процедури, както и че не е налице
немарливо или по друг начин неправомерно поведение на банковите служители по
съхраняване паричните средства на ищеца, нито действия в нарушение доверието в
банковата институция относно сигурността на съхраняваните пари на ищеца, във връзка с
оспорените 2 платежни операции поради тяхната евентуално твърдяна неразрешеност, което
обуславя липса на противоправно поведение от служителите на ответното дружество, като
един от основните елементи на фактическия състав на общия деликт по чл. 45 от ЗЗД във
връзка с чл. 49 от ЗЗД.
Моли съда да отхвърли исковата претенция и да им присъди разноски.
Съдът, след като прецени събраните по делото доказателства по реда на чл.235
ГПК, намира следното:
С Определението по чл. 140 от ГПК, съдът е признал за безспорни и ненуждаещи се
от доказване в отношенията между страните обстоятелствата, че между страните
съществува валидна облигационна връзка по силата на сключени между страните Договор от
17.06.2021 г. за кредитен лимит за издаване на кредитна карта № МК207354 „MasterCard
Standard” с № 541ххххххх5012, както и Договор от 09.03.2021 г. за предоставяне на банкови
услуги на физически лица по програма „Моето семейство“ за сметка с посочен конкретен
номер и с издадена по нея дебитна карта „Visa Classic” с № 4170хххххххх2992, Договор от
10.05.2023 г. за издаване и обслужване на персонална дебитна карта „Visa Classic” с
№ 4170хххххх3042. Страните били обвързани и с Договор от 09.03.2021 г. за предоставяне и
ползване на услугата „интернет банкиране“; че и двете платежни операции, представляват
картови плащания за покупка на стоки, извършени с посочените карти; че ищецът е
възстановил по своята партида, по която се обслужват задълженията му по кредитната карта
сумата от 1869.00 лв. на 09.08.2023 г., което било отразено и в месечното извлечение; че и
двете платежни операции са осъществени чрез технологията NFC – near-field communication
на физически ПОС-терминал в магазин за техника с използването на специалното
приложение цифров мобилен портфейл „One Wallet by Postbank”, на основание чл. 146 от
ГПК.
Представени са по делото множество писмени документи, приложени на лист 9 до
лист 36, от лист 77 до лист 167 и л. 210 от делото.
Изискана е и е получена справка от „ТЕХНОПОЛИС БЪЛГАРИЯ” ЕАД за това, че с
посочените от ищеца кредитна и дебитна карта на 07.05.2023 г. в 20:48 ч. и 20:49 ч. в
магазин Технополис София МОЛ The Mall са били закупени стоките, както следва: APPLE
IPHONE 14 128GB RED MPVA3 - 1869,00 лв.; APPLE IPHONE 14 PRO 128GB PURPLE -
2439,00 лв.; APPLE IPHONE 14 PRO 128GB PURPLE - 2439,00 лв.
Събрани са гласни доказателства чрез разпит на св. Деница Божидарова Белова,
годеница на ищеца, живуща с последния на съпружески начала. Имат общо дете.
Свидетелката обяснява, че една вечер, докато са били заедно вкъщи с годеника и, ищеца по
делото, той получил известие, че от кредитните и дебитните му карти се изтеглят пари в
същия момент. Обадил се на банката, за да ги уведоми, че той няма нищо общо с тези
транзакции и иска те да бъдат спрени. Служителите казали, че трябва да бъдат осчетоводени
транзакциите, за да се видят откъде са и да предприемат по-нататъшни мерки, за да бъдат
върнати парите. Парите не били върнати, а според свидетелката това били средствата им за
месеци напред. Това повлияло лошо на финансовото и емоционално състояние на ищеца.
Психически му повлияло. Получил панически атаки, а този случай повлиял зле на неговото
психическо състояние. При следващ преглед му били изписани лекарства, които да приема.
Според свидетелката, ищецът мислел постоянно за случая. Обяснява, че ищецът има едно
мобилно устройство. Не е споделял с нея да е получавал съмнителни имейли от ответната
банка на своя имейл адрес.
По делото е изслушана и приета, като компетентно изготвена и неоспорена от
страните съдебна компютърно-техническа експертиза, която установява следното: След
обследване на събраните по делото писмени доказателства, изследване на мобилното
устройство на ищеца, посещения на място в ответната банка и запознаване с относимия
софтуер, вещото лице е констатирало, че Банката е въвела общи и персонализирани
средства за сигурност, системи и проверки на идентификацията на оправомощения
ползвател на платежни услуги и авторизацията на всяко плащане, на изискванията за
5
задълбочено удостоверяване идентичността и автентичността на клиента по чл. 97,
параграфи 1 и 2 във връзка с чл. 4, т. 30 от Директива (ЕС) 2015/2366 от 25.11.2015 г. за
платежните услуги /PSD2/. Вещото лице е установило, че има няколко начина, по които
някой може да бъде удостоверен с повече от един метод за удостоверяване. Повечето методи
за удостоверяване разчитат на фактори на знанието като парола, а двуфакторните методи за
удостоверяване добавят към това фактор на притежание или фактор на свързаност.
Двуфакторно удостоверяване (2FA) е процес на защита, при който потребителят предлага
два различни фактора за удостоверяване, за да се удостовери. Това помага да се защити
достъпът както до идентификационните данни на потребителя, така и до неговите ресурси.
Факторите за установяване на автентичност, по реда на приемане, са: 1. Фактор „Знание“ е
нещо, което потребителят знае, като парола, ПИН или друг вид споделена тайна. 2. Фактор
„Притежание“ е нещо, което потребителят има, като лична карта, маркер за сигурност,
смартфон или друго мобилно устройство 3. Фактори „Характерна особеност“ се основават
на биометрични характеристики, уникални за потребителя, като пръстови отпечатъци,
гласово разпознаване или лицево разпознаване. В процесния случай оспорените транзакции
били извършени на физически ПОС[1]терминал в магазин „Технополис“ в гр.София с
кредитна карта „MasterCard Standard“ с № 5411988352335012 и дебитна карта „Visa Classic“
с № 4170990303652992 на ищеца чрез приложението цифров мобилен портфейл „One Wallet
by Postbank“, в което картите били добавени. Приложението позволява използването на
платежните карти за безконтактно плащане на ПОС-терминали и/или в интернет страници
на търговци.
Вещото лице е установило данните за вида и номера на използваните карти,
използваното на мобилно приложение - „One Wallet by Postbank“, начина на плащане –
физически ПОС-терминал, данни за търговеца – „TECHNOPOLIS K3 с адрес в гр.София,
дата и час на самите транзакции и сумите, както следва: на 07.05.2023 г., 20:48 и 1869.00 лв.,
и в 20:49 часа - 4878.00 лева. Подробно е обяснено в експертизата как точно се извършва
всяко едно плащане, в това число и процесните транзакции, а именно чрез комуникация и
обмен на данни между приложението и ПОС-устройството, налично в съответния търговски
обект, в случая магазин „Технополис“ в гр. София, в присъствието на мобилното
устройство, на което е инсталирано приложението. За прилагането на този начин на плащане
се изисква разплащанията да се осъществят чрез активиране за разплащания в дигитален
портфейл “ONE Wallet by Postbank” на притежаваните от клиента карти. Плащанията се
верифицират след отключване на телефона със зададена от клиента парола или биометрични
данни. Избира се приложението “ONE Wallet by Postbank”, което се активира след зададен от
клиента начин за верификация – парола или биометрични данни, валидни само за
приложението и независими от паролата на мобилното устройство. За осъществяването на
всяко едно плащане, обвързано с конкретна карта, се изисква ново потвърждение чрез
въвеждане на парола или биометрични данни за приложението в зависимост от зададения от
клиента начин за верификация при активацията на приложението. В случая, паролата за
достъп до приложението „One Wallet by Postbank“, която се въвежда при влизане в
приложението и при потвърждаване на всяка една транзакция, се явява един от факторите за
осъществяване на успешна транзакция и за сигурност на последната – фактор „знание“.
Добавя се при инсталиране и конфигуриране на приложението. Има и възможност за избор
между парола или биометрични данни. Мобилното устройство се явява втори фактор -
„Притежание“ и е и условие за осъществяване на успешна транзакция.
В настоящия случай вещото лице е установило, че регистрирането и активирането на
платежни карти било реализирано автоматично чрез функционалност на приложението.
Приложението „One Wallet by Postbank“ било активирано чрез заявяването му в профила за
електронно банкиране на ищеца, достъп до което се осъществява с потребителско име и
парола, съпроводено със смяна на парола. Следва въвеждане на еднократен 6-цифрен код
изпратен от банката на телефонния номер на потребителя чрез СМС съобщение.
Операциите в последствие са били осчетоводени и изпълнени автоматично от банковата
система.
Активирането на софтуерeн токън се инициира от персоналния профил на клиента в
системата за интернет банкиране на Банката “e[1]Postbank“, който се достъпва единствено
чрез потребителско име и парола, известна само на ползвателя на платежни услуги и
представлява елемент за осъществяване на задълбочено установяване на идентичността от
категорията „Знание“. За да завърши процесът по активиране на софтуерния токън, Банката
изпраща два независими един от друг уникални и еднократни активационни кода - един чрез
Viber/SMS съобщение, изпратен до телефонен номер и втори чрез пощенска услуга,
6
изпратен на електронната поща. Използването на еднократен активационен код, изпратен
чрез електронно съобщение SMS/Viber до притежавания от клиента мобилен телефонен
номер, представлява елемент за осъществяване на задълбочено установяване на
идентичността от категорията „Притежание“. С изпращането на еднократен код с SMS на
телефонния номер (СИМ картата), Банката изпълнява изискванията на ЗПУПС. С
изпращания втори код на имейл, без който не може да се завърши процеса по активиране на
„m-Token Postbank“, Банката осигурява допълнителна сигурност от изискваната според
Закона. Технически е възможно приложението "софтуерен токън" да се инсталира на
повече от едно мобилни устройства. Не е възможно да се активира и ползва
приложението "софтуерен токън" на две и повече мобилни устройства по едно и също
време. Последното мобилно устройство, на което се активира приложението остава
активно, а на другите устройства се деактивира. Ищецът към момента на активиране
на приложението „One Wallet by Postbank“ на 07.05.2023 не е имал инсталиран и
активиран „Postbank m-Token“ (софтуерен токън). За да завърши процесът по
активиране на дигиталния портфейл, механизма автоматично проверява дали клиента
притежава активен „m-Token“. В изследвания случай клиентът не е разполагал с
активен “m-Token”.
На 07.05.2023 г. в 20:27 ч. системата е изпратила уникален еднократен активационен
код чрез електронно СМС/Вайбър съобщение до регистрирания в системите на банката
телефонен номер **********, малко преди оспорените трансакции. С въвеждане на
активационния код приложението “ONE Wallet by Postbank” е активирано. При вход в него
са били видни двете банкови карти, които с подходящи действия били активирани за
извършване на разплащания с тях през приложението “ONE Wallet by Postbank”.
Информационните системи на банката са изпратили СМС/Вайбър съобщениe „Осъществен
е вход в e-Postbank на 07.05.2023 20:24 от IP адрес 92.247.195.180“ за извършвани действия в
системата за електронно банкиране. Описаното съобщение предхожда изпращането на
активационен код за приложението „ONE Wallet“ с 3:30 минути с цел допълнителна
сигурност и информираност на потребителя, като с това съобщение се дава възможност за
предотвратяване на евентуален неправомерен достъп. Телефонен номер и електронна поща
се въвеждат в системата от служител на банката само присъствено, тоест клиента посещава
лично офис и бива идентифициран от служителя, кaто представя лична карта. Не се допуска
възможността за промяна на посочените e-mail адрес и телефонен номер да се осъществява
дистанционно, освен в отделни случаи чрез електронно заявление, подписано от ползвателя
на платежните услуги с квалифициран електронен подпис. С това се ограничава
възможността трето лице, различно от клиента, да получи изпратените от Банката
активационните кодове.
Вещото лице подробно е описало как се инсталира мобилно приложение „Apple pay“,
предлагащо възможност за разплащане на ПОС терминал без да се използва физическа
пластика на банкова карта. Функционалността позволява разплащане през дигитален
еквивалент на банкова карта, регистрирана в Apple Pay устройство с iOS операционна
система – iPhone, iPad или Apple Watch. Номерът на дигитализираната карта се различава от
номера на физическата карта като първите 4 и последните 4 цифри от номера на картата са
различни от номера на физическата пластика. Може да се дигитализира всяка карта в повече
от едно Apple устройство. С Apple Pay са възможни разплащания във всички търговски
обекти в страната и в чужбина, в които е наличен безконтактен ПОС терминал, както и
онлайн на сайтове, които са маркирани с този символ.
Приложението „Apple pay“ било инсталирано на мобилно устройство на ищеца с
номер **********. В приложението бил създаден и активиран цифров образ на кредитната
карта на ищеца „MasterCard Standard“ № 5411988352335012, придобита с Договор за
кредитен лимит за издаване на кредитна карта № МК 207354 на 17.06.2021 г. В периода след
тази дата в информационните системи на банката били констатирани множество плащания,
осъществени със дигитализираното копие на кредитна карта „MasterCard Standard“ №
5411988352335012 през приложението „Apple pay“. На 07.05.2023 г. в 20:41 часа била
извършена платежна операция за плащане с дигитализирано копие на кредитна карта
„MasterCard Standard“ № 5411988352335012 на физически ПОС-терминал в магазин за
хранителни стоки „Сарина“, находящ се в гр. София, район „Студентски“, ул. „Н Габровски“
№108 чрез приложението цифров мобилен портфейл „One Wallet by Postbank“. Не е била
установена конкретна информация относно това на коя дата и в колко часа е било
активирано приложението „Apple pаy“ и на коя дата и в колко часа е бил създаден цифров
образ на кредитната карта. При направената проверка при ищеца за данни по отношение на
7
това на коя дата и в колко часа е било активирано приложението „Apple pаy“ и на коя дата и
в колко часа е бил създаден цифров образ на кредитната карта, както и какви съобщения са
били получени на приложението „Apple pay" във връзка с активиране на услугата и за
потвърждаване на платежни операции, вещото лице е установило, че няма такива данни.
Ищецът ползвал услугата със същата банкова сметка и новоиздадени банкови карти. Нямало
данни в приложението „Apple pаy“ да е създаван цифров образ на дебитна карта на ищеца
„Visa Classic“ с № 4170990303652992, придобита с Договор за предоставяне на банкови
услуги на физически лица по програма „Моето семейство“ за сметка с IBAN: BG76 BPBI
7940 1090 0853 01 на 09.03.2021 г. В информационните системи на банката не са
констатирани плащания, осъществени с дигитализираното копие на дебитната карта.
Съгласно направената проверка и представеното обяснение от служители на банката, по
отношение заявяването и активирането на приложението „One Wallet“ и осъщественото
потвърждаване на плащане са били налице поне два независими елемента за задълбочено
установяване идентичността на платеца по отношение на фактор „Притежание“ и фактор
„Знание“, които отговарят на техническите критерии и нормативните изисквания за
идентификация и сигурност. Съгласно представеното обяснение от служители на банката,
функциите на мобилното приложение „One Wallet“ се обвързват единствено и основно с
мобилното устройство на което е активирано приложението. Комуникацията се осъществява
между профила на клиента и приложението, което е инсталирано на активираното мобилно
устройство. IP адресите имат отношение по-скоро към интернет банкирането и това от кои IP
адреси е бил достъпван профила на потребителя. Установен е бил достъп до профила в
услугата „Интернет банкиране“, респективно до кредитната или дебитната карта на ищеца в
20:24 ч. на 07.05.2023 г., който бил осъществен от друг IP-адрес, който до този момент не
бил ползван за вход в профила на услугата. Вещото лице е констатирало регистрирани
изпратени съобщения от системите на банката на мобилно устройство с номер **********
на 07.05.2023 г. в 20:24 ч. часа – изпратено SMS/Viber съобщение, че е „Осъществен вход в
e[1]Postbank от IP-адрес: 92.147.195.180“ или от нов IP-адрес, който до този момент не бил
ползван за вписване в услугата „Интернет банкиране“. Няма данни за това кой е извършил
регистрираните действия – дали оправомощения ползвател или друг потребител.
Съгласно установеното от вещото лице, оспорените транзакции били извършени на
физически ПОС-терминал в магазин „Технополис“ в гр.София с кредитна карта „MasterCard
Standard“ с № 5411988352335012 и дебитна карта „Visa Classic“ с № 4170990303652992 на
ищеца чрез приложението цифров мобилен портфейл „One Wallet by Postbank“, в което били
добавени цифрови копия на картите. В случай на евентуално наличие на технически и/или
технилогичен проблем в банковите системи за електронно банкиране и сигурност, то това
обстоятелство би попречило за осъществяването на проверки и потвърждения, в следствие
на което не биха се осъществили процесните транзакции. Вещото лице е категорично, че не
са установени данни за наличие на вирусно приложение или друг зловреден код, инсталиран
на клиентското мобилно устройство, фишинг, социално инженерство, както и други
зловредности, чрез които неправомерно да са узнати персонализираните средства за
сигурност на ползвателя, или на предоставяне от страна на ползвателя на своите
персонализирани средства за сигурност на трето лице.
От предоставен на вещото лице от страна на Банката-ответник аудио файл с име
„20230507_2232_0878242962_ 36122.mp3“ с продължителност 09 минути и 38 секунди,
съдържащ проведен разговор между ищеца П. и банков служител от „кол[1]център“ за
обслужване на клиенти проведен на 07.05.2023 г. в 22:31 ч., записан и съхраняващ се в
системите за сигурност на банката, експертът е снел съдържанието на разговора на хартиен
носител, вписан в заключението по експертизата. От проведения разговор се установява, че
ищецът е узнал, че от кредитната карта е извършена транзакция чрез получен на
електронната си поща имейл и затова се е обадил на посочен телефонен номер на банката, за
да разбере какво точно се е случило. Така е научил, че и от дебитната карта са извършени
транзакции.
Съгласно установените технически факти и обстоятелства и представените обяснения
от служители на банката, плащанията били извършени двуфакторно, поради което към този
момент за банката не е имало съмнение за автентичността на операциите. Само
картодържателят би трябвало да разполага с пълната съвкупност от знания и технологии за
извършването им. Съгласно представеното обяснение от служители на банката, след като
всяко едно съобщение бъде изпратено, системата проследява чрез обратна връзка дали и
кога същото е било доставено и дава отговор: “The message is delivered to handset” или
„Съобщението е доставено до мобилно устройство“. Текстовото съобщение е получено
8
успешно от мобилното устройство на получателя. Този статус показва, че съобщението е
пристигнало на телефона на потребителя, но не означава, че е прочетено. Към момента
на изследването не е било установено инсталирано мобилно приложение „One Wallet“ на
мобилното устройство на ищеца. Вещото лице е извършило проверка на електронната
пощенска кутия „****************@***.**“ и на инсталираното на неговия мобилен телефон
приложение „Viber“, които имат отношение към процесните платежни операции, кога са
получени и какво е тяхното съдържание, като е констатирало, че няма SMS съобщения,
които да имат отношение към казуса. В процеса на плащанията не е било възможно да бъдат
установени какви персонализирани средства за сигурност са ползвали потребителите на
услугата, както и да бъдат регистрирани събития, свързани с компрометиране на елементи и
функционалности на клиентските технически средства за сигурност, като при
авторизационните процеси, установени и описани от вещото лице в заключението, не се
осъществява и не би могло да се осъществи такъв вид проверка, която да постави под
съмнение автентичността на нарежданията и поради това да предизвика спиране на тяхното
изпълнение.
При извършеното от вещото лице изследване на мобилното устройство, ползвано от
ищеца и в Банката, не са били установени записи, които да отразяват неуспешни опити за
осъществяване на влизане (грешни потребителско име, парола, ПИН-код и др.), въвеждане
на суми, по-големи от наличността по сметката или за неоторизирани влизания, нито са били
констатирани неизправности, технически повреди или други недостатъци в системите на
банката по време на подготовка и осъществяване на процесните действия платежни
операции.
След проверка на електронната поща на ищеца, до която последната е предоставил
достъп, вещото лице е установило получаваните през процесния период електронни писма
от Банката. От приложените екранни снимки от съответните писма е видно, че на 07.05.2023
г. в 20:20 ч. е било получено електронно писмо за смяна на паролата за достъп в интернет
банкирането. В този имейл е описано, че за да се получи промяната на паролата
потребителят следва да въведе своя имейл адрес и посочения от банката код. Същите
фигурират в писмото и се четат на екранната снимка, изготвена от вещото лице и
инкорпорирана в заключението. На същата дата -
07.05.2023 г., в 20.41 часа е изпратен имейл за успешно извършена транзакция от кредитна
карта в размер на 19.23 лв. и е посочено в чия полза е плащането: „Сарина Т“ ООД. Отново
на същата дата няколко минути по-късно – в 20.49 часа е изпратен нов имейл за успешно
извършена транзакция от кредитна карта в размер на 1869.00 лв. в „Технополис“. Трите
електронни писма били установени в папка „Спам“ на електронната пощенска кутия
„****************@***.**“. Не са били установени получени и/или изпратени от
електронната пощенска кутия „****************@***.**“ електронни писма с подозрително
съдържание, на които е придаден вид, че са изпратени от банката, както и други, които да
съдържат персонализирани средства за сигурност като потребителски имена, пароли, номера
на кредитни/дебитни карти и други.
При извършена проверка на мобилен смартфон марка „iPhone“ с телефонен номер
++359*********, ползван от ищеца, вещото лице не е установило наличие на SMS
съобщения, които да имат отношение към изпратени кодове и пароли за достъп до услугата
„Интернет-банкиране“, за инсталиране, активиране и ползване на приложението „Софтуерен
токън“, приложението „One Wallet“ и за приложението „Apple pay“ по време на извършване
на двете оспорените платежни операции на 07.05.2023 г. Установени са били съобщения на
инсталираното на ищеца мобилно устройство приложение „Viber“, които имат отношение
към процесните платежни операции, кога са получени и какво е тяхното съдържание.
Относимо за процесния случай е установеното от вещото лице съобщение от 20:32 часа на 7
май 2023 година със следния текст: „Заявена регистрация на мобилен портфейл ONE wallet
by Postbank. Код: 220925 Валидност: 20:32 ВАЖНО! Не споделяй кода с никого! Въведи
единствено в приложението!“
По данни от ищеца, на неговия персонален компютър и на неговото мобилно
устройство (мобилен телефон) са били ползвани безплатни антивирусни програми, подробно
описани в заключението, съвместими със съответното устройство и осъществяващи базова
защита. Мобилният телефон на ищеца е бил с висока защита, предвид вградените функции
за сигурност на самата марка телефон.
Вещото лице е отговорило и дали е възможно оспорените процесни плащания да
бъдат осъществени от трето лице, без да разполага с персонализираните средства за
9
сигурност на платежния инструмент - кредитната и дебитната карти и тези за достъп до
услугата „интернет банкиране“ от профила на ищеца, както и на приложението „One
Wallet“, в смисъл, че за да се осъществят тези транзакции е необходимо съответното лице
притежава знания за всички средства за сигурност на платежните инструменти, както и
достъпи до услугата интернет банкиране от потребителския профил на ищеца и
приложението „One wallet“ – потребителско име и парола. Необходимо е да има достъп до
SIM картата, на който е изпратен SMS кода за активация, което е условие за създаването на
„One wallet“. Съвкупността от всички тези елементи предполага успешно осъществяване на
транзакциите в последствие, като при липса на някои от елементите е невъзможно
осъществяването на процесните плащания.
Допълнителни разяснения по допуснатите и изслушани експертизи вещото лице дава
и в открито съдебно заседание, проведено на 03.11.2025 г. по време на неговото изслушване.
Вещото лице обяснява при изслушването си и на въпроси, поставени от страните в
откритото съдебно заседание, че както за всички инсталации, така и за въпросния дигитален
портфейл на Пощенска банка са били използвани двата елемента – „знание“ и
„притежание“. Паролата и потребителя се квалифицират, като фактор „знание“ и получени
съобщения на мобилно устройство, което е активирано за целта се отнася към фактор
„притежание“. При активацията на „One wallet“ още системите на банката пренасят
информация от сървърите на банката към активираното мобилно устройство, като сметките
и картите, с които разполага лицето се виждат в неговия профил. Тези карти, които ще бъдат
използвани за целта се активират със специфични действия и след активиране за използване
и разплащане вече с тях може да се осъществи транзакция. В настоящият случай процесните
транзакции са преминали на „пост терминал“, като мобилното устройство с активираните
карти се доближава до съответния „пост терминал“, технологията „near-field communication“
осъществява трансфер на данни и там се осъществява въпросната верификация. За целта
предварително потребителят отключва мобилното устройство и достъпва услугата „One
wallet“ с парола или биометрия. Автоматично се пренасят данните, но самата активност за
използване е обект на съзнателна дейност на човека, който работи с мобилното устройство.
Още от 2021 година фигурират разплащания с тази карта, но не е предоставена конкретна
информация от Банката за точен ден и месец, в който това е осъществено. Със сигурност
това е било през 2021 година, когато е стартирала услугата, от когато са били установени
редица плащания. От информацията от служители на банката вещото лице достигнало до
заключение, че няма пречка да бъдат осъществени такива разплащания на повече от едно
устройство да се осъществи плащане, почти паралелно. Надлежните идентификатори, които
използва банката, са заложени в системите на Банката. При установяването на „айпи адрес“,
от който се осъществява конкретно действие, в приоритет на банката е да прецени дали е
рисков или не, тоест неговите системи предполагат, освен основните елементи за сигурност
и такива допълнителни. Тази чувствителност на системите към тези елементи се определят
от банката по техни критерии, за които служителите на банката са заявили пред вещото
лице, че не би трябвало да са обект на публични коментари, поради което и въпросната
информация остава несподелена за това какъв е механизмът, по който се осъществява
въпросните допустими мерки за сигурност.
Вещото лице обяснява също така, че в процесния случай има „айпи адрес“, който не е
ползван от потребителя, поради което банката е изпратила съобщение към потребителя на
вайбър, при което той би могъл да реагира в случай, че установи, че въпросното действие не
е инициирано от него. Такъв механизъм от страна на банката не е сработил. Ищецът не е
отразил въпросното съобщение, реагирал е малко по– късно след като е видял съобщението
за разплащане. Според вещото лице изцяло в приоритет на банката е да прецени дали като
констатира различен „айпи адрес“, от който се прави опит да се извърши транзакцията, да я
спре или да я извърши. Процесите, които протичат при описаните действия не са обект на
проверка, а тези верификационни процеси, които се свързани с регистрация, потвърждаване
и активиране на устройство, извършване на плащане с портфейла и с услугите, на практика
не са обект и може да се каже, че не би могло системите на банките да установят такъв вид
зловредност, ако работи на потребителско устройство. Според експерта, в сферата на
киберсигурнатоста има доста деликатни и прикрити процеси, които остават неусетени и
невидени и от самите потребители и зависи до каква степен въпросният потребител е обект
на някаква по–сериозна атака. Има една част от зловредности, които зависят от поведението
на потребителя, при които от неговата преценка зависи дали да използва дадени ресурси или
не, като фишингите, които предполагат възможност за събиране на данни нерегламентирано.
Доста от атаките са добре направени и успяват да подведат потребителя. Съществуват обаче
10
и механизми, които се извършват на компютъра във фонов режим, без потребителят да
съзнае, че се случва нещо. Относно съобщението, изпратено от Банката до ищеца, че има
опит за извършване на транзакция, информация вещото лице е получило от банката,
но при изследването на мобилния телефон на ищеца такова съобщение не е установено.
Специалистът обяснява, че при СМС съобщенията няма обратна връзка на системата
на банката дали съобщението е отворено. От системите на банката се вижда рапорт, че
въпросното съобщение е доставено до устройството, с което се изчерпват и
технологичните възможности за проследяване. Било е установено от експертизата, че
съобщението е изпратено, стигнало е до устройството, но няма данни, че е прочетено.
На телефона на ищеца не е установено такъв СМС да съществува.
Данни за инсталиране и активиране на приложението „One wallet“ са налице в
системата на банката. На устройството на ищеца не е уставено към момента на проверката
да има инсталиран въпросния портфейл на Пощенска банка. Не са открити данни дали е
ползвано това приложение преди това.
При въпрос на ответника вещото лице разясява, че допълнителните мерки за
сигурност са изцяло в преценка на банката до каква степен техните системи ще бъдат
чувствителни и какви точно механизми за защита ще предоставят, дали ще е обаждане по
телефона или други средства допълнителни за подсигуряване. Част от въпросите, които
касаят проверка за устройството на ищеца включва проверка за евентуални зловредности,
въпреки че въпросната проверка се прави към момента на проверката и трудно би могла да
се отнесат събитията назад във времето. Въпросното обстоятелство стеснява кръга на
възможно изследване. Вещото лице е проверило пощенската услуга и съхранените писма на
ищеца, дали не фигурира някое писмо, в което да има следи за фишинг и не е установило
такива данни за фишинг, нито други елементи, които да внесат съмнение относно такъв вид
дейност. Според вещото лице обаче мобилната услуга би могла да бъде извършена и от
други устройства и след това данните да са били изтрити.
При така установената фактическа обстановка съдът прави следните правни
изводи:
Съгласно чл. 79, ал. 1 от ЗПУПС, в случай на неразрешена платежна операция
доставчикът на платежни услуги на платеца му възстановява незабавно стойността на
неразрешената платежна операция и във всеки случай не по-късно от края на следващия
работен ден, след като е забелязал или е бил уведомен за операцията, освен когато
доставчикът на платежни услуги на платеца има основателни съмнения за измама и уведоми
съответните компетентни органи за това. Когато е необходимо, доставчикът на платежни
услуги на платеца възстановява платежната сметка на платеца в състоянието, в което тя би
се намирала, ако не беше изпълнена неразрешената платежна операция. Вальорът за
заверяване на платежната сметка на платеца е не по-късно от датата, на която сметката е
била задължена със сумата на неразрешената платежна операция.
Тежестта на доказване е разпределена в определението по чл. 140 от ГПК, като
Закона за платежните услуги и платежните системи урежда императивно и
изчерпателно следните хипотези: Когато ползвателят на платежна услуга твърди, че не е
разрешавал изпълнението на платежна операция или че е налице неточно изпълнена
платежна операция, доставчикът на платежната услуга носи доказателствената тежест при
установяване автентичността на платежната операция, нейното точно регистриране,
осчетоводяването, както и за това, че операцията не е засегната от техническа повреда или
друг недостатък в услугата, предоставена от доставчика на платежни услуги (чл. 78, ал. 1 от
ЗПУПС). Установяването на автентичността е процедура, която позволява на доставчика на
платежна услуга да провери правомерното използване на конкретен платежен инструмент,
включително неговите персонализирани средства за сигурност, а използването на конкретен
платежен инструмент се определя от правилата и процедурите на доставчика на платежни
услуги по изпълнение на съответната платежна операция (чл. 78, ал.3). Когато ползвателят
на платежна услуга твърди, че не е разрешавал платежна операция, регистрираното от
доставчика на платежни услуги, включително от доставчика на услуги по иницииране на
плащане, когато е приложимо, използване на платежен инструмент не е достатъчно
доказателство, че платежната операция е била разрешена от платеца или че платецът е
действал чрез измама, или че умишлено или при груба небрежност не е изпълнил някое
от задълженията си по чл. 75. Доставчикът на платежни услуги, включително
доставчикът на услуги по иницииране на плащане, когато е приложимо, представя
доказателства, че е налице измама или груба небрежност от страна на ползвателя на
11
платежни услуги (чл. 78, ал. 4).
Сключените между страните Договор от 17.06.2021 г. за кредитен лимит за издаване
на кредитна карта № МК207354 „MasterCard Standard” с № 541ххххххх5012, Договор от
09.03.2021 г. за предоставяне на банкови услуги на физически лица по програма „Моето
семейство“ за сметка с посочен конкретен номер и с издадена по нея дебитна карта „Visa
Classic” с № 4170хххххххх2992, Договор от 10.05.2023 г. за издаване и обслужване на
персонална дебитна карта „Visa Classic” с № 4170хххххх3042, и с Договор от 09.03.2021 г. за
предоставяне и ползване на услугата „интернет банкиране“, съгласно задължителното за
настоящия състав на съда Решение от 11.04.2019 г. по дело С-295/18 на Съда на Европейския
съюз (СЕС) следва да бъдат тълкувани като рамкови договори за платежни услуги по
смисъла на Директива 2007/64/ЕО на Европейския парламент и на Съвета, отм., с Директива
(ЕС) 2015/2366 на Директива 2007/64/ЕО на Европейския парламент и на Съвета, и двете
имплементирани в българското законодателство със ЗПУПС (отм.) и ЗПУПС, предвид на
което и с оглед очертаните от ищеца факти последните нормативни актове са приложим
закон към исковите му претенции. С цитираното Решение на СЕС е разяснено, че титулярът
на платежна сметка, в това число и на разплащателна сметка, е ползвател на платежни
услуги по смисъла на горните директиви, и последният може да търси защита на накърнения
си имуществен интерес от извършените трансакции от неговата сметка без негово съгласие
на основание вътрешното законодателство, с което изискванията на директивите са
въведени в националните законодателства на страните членки. Изводите на Съда са
мотивирани с легалната дефиниция на понятието "платежна транзакция", дадено в
Директивата, а именно: всяко действие на платеца или получателя по внасяне, прехвърляне
или теглене на средства, независимо от съответните правоотношения между платеца и
получателя, както и с преследваните от директивата цели да се осигури уеднаквяване на
правната уредба в националните законодателства в областта на пазара на платежни услуги,
както и да се повишат ефективността и сигурността на националните платежни системи.
В чл. 70 ЗПУПС е дадена законова дефиниция, според която платежната операция е
разрешена, ако платецът я е наредил, или е дал съгласие за изпълнението й. При липса на
съгласие платежната операция е неразрешена. Чл. 70, ал. 3 ЗПУПС предвижда, че съгласие за
изпълнение на платежна операция се дава по ред и начин, уговорени между платеца и
неговия доставчик на платежни услуги. Видно от представения по делото Договор за
предоставяне и ползване на услугата „Интернет банкиране“ от 09.02.2021 г. е видно, че
ищецът в качеството си на титуляр на сметка е заявил желание за ползване на услугата
„Интернет банкиране“ като средство за отдалене достъп до посочената сметка. В договора е
уговорено, че титулярът може да оправомощи държател, различен от него самия. В чл. 8 от
Договора е предвидено, че оправомощеният държател, респективно титуляр на сметка, може
да избира и заявява в съответен клон набанката или посредством услугата „Интернет
банкиране“ дали да получава СМС уведомяване или уведомяване по електронна поща за
определени извършени действия чрез същата тази услуга. Въпреки всичко банката може да
не предостави такава услуга или да изисква допълнителни действия, за да я предостави.
Уговорено е, че титулярът на сметката, който е и оправомощен държател, да използва
услугата „Интернет банкиране“ като средство за отдалечен достъп до всички други
продукти на Банката, в това число банкови сметки, кредитни и дебитни карти и банкови
кредити, които ще бъдат използвани от титуляра на сметка в бъдеще, като продуктите бъдат
включвани автоматично от Банката за ползване от Оправомощения държател в услугата
„Интернет банкиране“.
В Общите условия на Банката за електронно банково обслужване „Интернет
банкиране“ за индивидуални и корпоративни клиенти, влезли в сила от 12.09.2018 г., които
са били получени и от ищеца, съгласно изрично заявеното от него по Договора за
предоставяне и ползване на услугата „Интернет банкиране“ от 09.02.2021 г., са дадени
дефиниции на понятията „услугата Интернет банкиране“ или само „Услугата“, „титуляр на
сметка“, „оправомощен държател“ и други, които са от значение за разбирането на
индивидуалния договор. Видно от екземпляра на Общите условия, представен от ответника
по делото, част от клаузите са претърпели изменение след датата на подписване на
индивидуалния договор за ползване на услугата „Интернет банкиране“ с ищеца на
09.02.2021 г., като липсват данни дали ищецът е уведомен за тези изменения и кога. В
общите условия са посочени условията и техническите средства, необходими за ползване на
услугата, електронното идентифициране за използване на услугата (част от клаузите са
изменени, считано от 08.05.2021 г., други от 09.01.2023 г. – след подписване на договора),
способите за осъществяване на плащанията (част от клаузите са изменяне след подписване
12
на договора – от 26.04.2022 г., от 08.03.2021 г.), задълженията на титуляра на сметка и на
оправомощения държател при ползване на услугата, мерките за сигурност, оспорване на
плащанията и възражения и отговорността на страните. По делото не са ангажирани
доказателства относно това на коя дата Банката е публикувала съответните пробени на
интернет страницата си и дали е изтекъл изискуемият двумесечен срок преди влизането им в
сила, поради което и съдът е лишен от възможността да провери доколко тези разпоредби
обвързват ищеца.
Видно от представеното Помирително предложение по Помирително производство
№ 158/2023 г. на Комисията за защита на потребителите, Помирителна комися за платежните
спорове, в мотивите към Предложението е допуснато, че ищецът е отговорил на фишинг
съобщение и е предоставил съответните данни и код за активиране на приложението „One
Wallet by Postbank” на трето, неоправомощено лице, като се приема, че картодържателят не е
действал при груба небрежност по смисъла на чл. 80, ал. 3 от ЗПУПС (л.163 от делото).
Предложението на Помирителната комисия е Банката да възстанови на ищеца сумата от
3375.50 лв., представляваща половината от стойността на оспорените операции, извършени
на ПОС чрез карта, издадена на Картодържателя в приложение One Wallet by Postbank, а
ищецът да приеме, че останалата част от претенцията му в размер на 3375.60 лв. ще остане
за негова сметка.
От изслушаното и прието по делото като компетентно изготвено, пълно, обективно и
обосновано заключение по компютърно-техническата експертиза се установява, че пълен
достъп до всички стъпки на защита на плащанията чрез „Интернет банкиране“ не е
предоставен от страна на ответната Банка на вещото лице, поради което и изследването от
страна на експерта дава отговорите на поставените въпроси по описания в мотивите начин.
Безспорно е установено от вещото лице, че на датата, на която са осъществени процесните
оспорени трансакции на 07.05.2023 г., ищецът е получил три броя електронни писма на
електронната си поща, първото от които е за промяна на паролата за достъп в „Интернет
банкирането“, второто за извършено плащане за сума от 19.23 лв., извършено в системата за
интернет банкиране на ответната банка, а третото – за извършено плащане от кредитната
карта за сумата от 1869 лв. към „Технополис К3“. Не са установени данни за получени
фишинг електронни писма в пощата на ищеца, нито такива да са били последвани.
Безспорно е установено също, че на 07.05.2023 г. в 20:27 ч. системата на Банката е
изпратила уникален еднократен активационен код чрез електронно СМС/Вайбър съобщение
до регистрирания в системите на банката телефонен номер **********, малко преди
оспорените трансакции, като с въвеждане на активационния код приложението “ONE Wallet
by Postbank” е активирано. При вход в него са били видни двете банкови карти на ищеца,
които с подходящи действия били активирани за извършване на разплащания с тях през
приложението “ONE Wallet by Postbank”. Информационните системи на банката са
констатирали, че е осъществен вход от различен IP-адрес, който до този момент не бил
ползван от ищеца за вход в профила на услугата, поради което са и изпратили
СМС/Вайбър съобщениe „Осъществен е вход в e-Postbank на 07.05.2023 20:24 от IP
адрес 92.247.195.180“. Това съобщение предхожда изпращането на активационен код за
приложението „ONE Wallet“ с 3:30 минути с цел допълнителна сигурност и информираност
на потребителя, като с това съобщение се дава възможност за предотвратяване на
евентуален неправомерен достъп. При изследването на мобилното устройство на ищеца
обаче вещото лице е установило, че такова съобщение с посочения текст не е налично и няма
данни да е получавано. Малко по-късно, след първото съобщение за вход в електронното
банкиране на Банката, в 20:32 часа е изпратено ново съобщение от системата на Банката с
текст: „Заявена регистрация на мобилен портфейл ONE wallet by Postbank. Код: 220925
Валидност: 20:32 ВАЖНО! Не споделяй кода с никого! Въведи единствено в
приложението!“
Предвид констатациите на вещото лице, че макар и технически да е възможно
приложението "софтуерен токън" да се инсталира на повече от едно мобилни
устройства, то да се ползва ползва на две и повече мобилни устройства по едно и също
време е невъзможно, а за да се завършжи процесът по активиране на дигиталния
портфейл, механизмът автоматично проверява дали клиентът притежава активен „m-
Token“. В процесния случай ищецът не е разполагал с активен “m-Token”.
При така извършения анализ на доказателствата по делото, съдът счита, че
оспорените транзакции са извършени без знанието и съгласието на титуляра на банковата
сметка, респективно на съответните кредитна и дебитна карти, което от своя страна се явява
13
обстоятелство, което оборва тезата на ответната страна, че ищецът не е положил дължимата
грижа за запазване на въведените от банката средства за сигурност при използване на
интернет банкирането от мобилния си телефон, проявил е груба небрежност и е предоставил
на трето лице достъп до своите договори и парични средства като не е опазил своите
персонализирани средства за сигурност. Напротив, установи се, че съобщението за извършен
достъп до интернет банкирането на ищеца е осъществено от различен IP-адрес, който до
този момент не бил ползван от ищеца за вход в профила на услугата, че съобщението на
Банката до ищеца не е било получено, респективно не е имало как той да реагира на
това съобщение, след което са допуснати и осъществени от системата на Банката
плащания през мобилен портфейл ONE wallet by Postbank в магазин Технополис
София МОЛ The Mall, като са били закупени стоките, както следва: APPLE IPHONE 14
128GB RED MPVA3 - 1869,00 лв.; APPLE IPHONE 14 PRO 128GB PURPLE - 2439,00
лв.; APPLE IPHONE 14 PRO 128GB PURPLE - 2439,00 лв. Ответникът не доказа
твърдението си за груба небрежност от страна на ищеца, нито пък наличие на измама, което
беше в негова тежест в настоящия процес. Не на последно място, с оглед процесуалното
поведение на ответната банка, която дълго време не допуска вещото лице да извърши
изследванията си в нейните системи, относими към спора, както и със запазване на част от
относимите данните само за свое ползване, не допринесе за изясняване на всички относими
факти, за което носи отговорността по чл. 161 от ГПК от собственото си поведение. Следва
да се има предвид и обстоятелството, на което вещото лице обърна внимание: изцяло в
приоритет на банката е да прецени дали като констатира различен „айпи адрес“, от който се
прави опит да се извърши транзакция, да я спре или да я извърши.
С оглед изложеното, съдът счита, че искът по чл. 79, ал. 1 от ЗПУПС е доказан,
основателен и следва да бъде уважен в пълен размер.
По отношение на другия осъдителен иск по чл. 49 във връзка с чл. 45 от ЗЗД за
сумата от 10000 лв., представляваща обезщетение за причинени на ищеца неимуществени
вреди, изразяващи се в това, че с поведението си по случая ответникът го е накарал да се
чувства като глупак с твърдението, че за всичко е виновен само той, че е загубил съня си и
постоянно мислел какво повече е следвало да направи, за да опази средствата си, съдът
счита, че този иск е частично основателен. От доказателствата по делото се установява, че
периодът, в който ищецът е следвало да ангажира лично време и средства за разрешаване на
проблема е с начало 07.05.2023 г. и е продължил и след подаване на исковата молба,
продължава и към момента на приключване на устните състезания. Безспорно се установява
от показанията на годеницата на ищеца, че вследствие на неоторизираните транзакции от
дебитната и кредитната карти на ищеца неговото емоционално и психическо състояние се е
влошило, постоянно мислел за случилото се, бил финансово притеснен, тъй като това били
средства за продължителен период от време. Съдът не кредитира показанията на
свидетелката в частта, че получил паник-атаки, за които му били предписани медикаменти,
тъй като такива доказателства не са ангажирани по делото. Предвид установеното, като
съобрази възрастта на ищеца, липсата на данни за влошаване на здравословното му
състояние, което да е пряко и непосредствено свързано с процесните оспорени транзакции и
евентуална загуба на финансови средства, продължителността на процеса на разрешаване на
казуса, считано от датата на установяване на липсата на средствата на 07.05.2023 г. и до
приключване на устните състезания, съдът счита, че искът е основателен в размер на 2500
лв., като над този размер и до пълния такъв следва иска по чл. 49 от ЗЗД да бъде отхвърлен.
При този изход от спора, всяка една от двете страни има право на разноски,
съразмерно на уважената, респективно отхвърлената част от исковете. На основание чл. 78,
ал. 1 от ГПК ответникът дължи на ищеца сторените по делото разноски, съразмерно на
уважената част от исковете. Ищецът е заплатил държавна такса от 270 лв. Съразмерно на
уважената част от иска, на ищеца му се следва сумата от 140.40 лв. за държавна такса.
Ищецът е заплатил адвокатски хонорар от 1200 лв.
Ответникът е направил възражение за прекомерност на адвокатския хонорар,
заплатен от ищеца, поради което съдът извърши проверка по реда на чл. чл. 78, ал. 5 от ГПК
и Наредба № 1/2004 г. на Висшия адвокатски съвет за възнаграждения за адвокатска работа,
като се вземе предвид и броя на проведените открити съдебни заседания минималният
размер на адвокатското възнаграждение при цената на иска, предявен в настоящото
производство възлиза на 2407.23 лв. С оглед на горното, адвокатското възнаграждение не
подлежи на намаляване, тъй като е под минималния размер, определен по Наредбата на
ВАдвС. Съразмерно на уважената част от исковете, на ищеца му се следва за адвокатско
възнагражедение сума в размер на 662.59 лв., или общо разноски в размер на 802.99 лв.
14
Ответникът е направил разноски за вещо лице в размер на 600 лв. и претендира
юрисконсултско възнаграждение, което съдът определя в размер на 150 лв. по реда на чл. 78,
ал. 8 от ГПК. Съдът не е обвързан с посочения размер на юрисконсултско възнаграждение в
списъка по чл. 80 от ГПК. Съразмерно на отхвърлената част от иска на ответника му се
следва сумата от 360 лв, съразмерно на отхвърлената част от иска.
При изложените мотиви, Софийски районен съд
РЕШИ:
ОСЪЖДА „Ю Б“ АД, ЕИК ........., със седалище и адрес на управление: гр. София, ул.
О път № 260, представлявано от Д. БШ, МИВ, чрез юрисконсулт НК да заплати на Д. К. П. с
ЕГН: **********, гр. София, УЛ.АКАД.ЙТ 8, вх.Б, ет.02, ап.208, действащ чрез адвокат Т. С.
Р., със съдебен адрес: гр. София, УЛ.А 33, ТД, К 134, на основание чл.79, ал. 1 от Закона за
платежните услуги и платежните системи (ЗПУПС) сумата 4878 лв. (четири хиляди
осемстотин седемдесет и осем лева), изтеглени от карта с № 417099хххх2992, сумата от
1869.00 лв. (хиляда осемстотин шестдесет и девет лева), изтеглени от карта с №
541196хххх5012, или общо сумата от 6747 лв. (шест хиляди седемстотин четиридесет и
седем лева).
ОСЪЖДА „Ю Б“ АД, ЕИК ........., със седалище и адрес на управление: гр. София, ул.
О път № 260, представлявано от Д. БШ, МИВ, чрез юрисконсулт НК да заплати на Д. К. П. с
ЕГН: **********, гр. София, УЛ.АКАД.ЙТ 8, вх.Б, ет.02, ап.208, действащ чрез адвокат Т. С.
Р., със съдебен адрес: гр. София, УЛ.А 33, ТД, К 134, на основание чл. 49 във връзка с чл. 45
от ЗЗД за сумата от 2000 (две хиляди) лева, представляваща обезщетение за причинени на
ищеца неимуществени вреди вследствие на извършените неоторизирани финансови
транзаакции, предмет на иска по чл. 79, ал. 1 от ЗПУПС, като отхвърля иска над този размер
и до пълния такъв от 10000 (десет хиляди) лева, като неоснователен.
ОСЪЖДА Ю Б“ АД, ЕИК ........., със седалище и адрес на управление: гр. София, ул.
О път № 260, представлявано от Д. БШ, МИВ, чрез юрисконсулт НК да заплати на Д. К. П. с
ЕГН: **********, гр. София, УЛ.АКАД.ЙТ 8, вх.Б, ет.02, ап.208, действащ чрез адвокат Т. С.
Р., със съдебен адрес: гр. София, УЛ.А 33, ТД, К 134, сумата от 802.99 лв. (осемстотин и два
лева и деветдесет и девет стотинки) за направените разноски по делото, съразмерно на
уважената част от исковете, на основание чл. 78, ал. 1 от ГПК.
ОСЪЖДА Д. К. П. с ЕГН: **********, гр. София, УЛ.АКАД.ЙТ 8, вх.Б, ет.02, ап.208
да заплати на „Ю Б“ АД, ЕИК ........., със седалище и адрес на управление: гр. София, ул. О
път № 260, представлявано от Д. БШ, МИВ, сумата от 360 лв. (триста и шестдесет лева) за
разноски по делото, съразмерно на отхвърлената част от исковете, на основание чл. 78, ал. 3
и ал. 8 от ГПК.
РЕШЕНИЕТО подлежи на обжалване с въззивна жалба пред Софийски градски съд
в двуседмичен срок от съобщението до страните.
Съдия при Софийски районен съд: _______________________
15