№ 16995
гр. София, 18.09.2025 г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ РАЙОНЕН СЪД, 67 СЪСТАВ, в публично заседание на
осемнадесети юни през две хиляди двадесет и пета година в следния състав:
Председател:АЛЕКСАНДЪР В. АНГЕЛОВ
при участието на секретаря ЕЛИЦА В. ДАНОВА
като разгледа докладваното от АЛЕКСАНДЪР В. АНГЕЛОВ Гражданско
дело № 20241110113139 по описа за 2024 година
Предявен е осъдителен иск с правно основание чл. 79, ал. 1 ЗПУПС за
сумата от 5400,00 щатски долара, представляваща стойността на извършени
три броя неразрешени платежни операции на 10.05.2023 г., от притежаваната
от ищеца банкова сметка чрез банковата му карта, без негово съгласие, ведно
със законна лихва от 10.05.2023 г. /датата на извършване на нарушението/ до
окончателното плащане.
Ищецът твърди, че е титуляр на разплащателна сметка и банкова
платежна карта, издадена от ответника. Поддържа, че на 10.05.2023 г. в
периода от 16:29 ч. до 16:31 ч., банковата му карта била неправомерно
използвана, като били извършени три броя неразрешени трансакции, в
следствие на което от сметката на ищцовото дружество била изтеглена
неправомерно сума в общ размер 5 400,00 щатски долара. Ищецът твърди, че
веднага след извършване на посочените трансакции се обадил в банката, с
искане да бъде блокирана банковата му сметка, но от страна на ответника не
били взети мерки за защита. Посочва, че на същата дата е подал заявление за
възстановяване на неправомерно изтеглената сума, но с писмо от 11.05.2023 г.
ответникът отказал да извърши възстановяване на парите. Поддържа, че
отговорност за извършените неразрешени трансакции носи ответникът, тъй
като същият не се е уверил в автентичността на извършената операция и не е
положил дължимата грижа за опазване на паричните средства на ищеца.
Предвид гореизложеното, твърди че в резултат на поведението на ответника е
претърпял имуществена вреда в размер на изтеглената сума от 5 400,00
щатски долара, като моли за уважаване на предявените искове. Претендира
разноски.
Ответникът е депозирал отговор на исковата молба, с който не оспорва,
1
че между страните е налице облигационно отношение, по силата на което
ищцовото дружество е титуляр на разплащателна сметка и банкова карта,
както и че на 10.05.2023 г. от сметка на ищеца, чрез използване на дебитната
му карта, са извършени три броя платежни операции на обща стойност 5
400,00 щатски долара. Оспорва твърдението, че извършените трансакции са
неразрешени от ищеца. Излага доводи, че ищецът е ползвател на платежни
услуги - електронно (онлайн) и мобилно банкиране, както и че процесните
трансакции са извършени в интернет среда, с банковата карта на ищеца и са
разрешени, съгласно уговореното в Общите условия на Банката, а именно -
посредством въвеждане на номера на картата, датата на валидност, трицифрен
код, отпечатан на гърба на картата от една страна и от друга - с използването
на специализираното приложение . по начина, посочен в Общите условия
(цифров код с дължина от 6 до 12 цифри или посредством свой пръстов
отпечатък, лицево разпознаване или друга негова биометрична
характеристика). Твърди, че приложението ., посредством което са разрешени
трансакциите, било активирано на 10.05.2023 г. с въвеждане в приложението
на потребителското име и паролата на ищеца за онлайн банкиране, както и с
еднократен код, изпратен на мобилния телефон на ищеца. Оспорва да е
отговорен за извършената трансакция с доводи, че е изпълнил точно
договорните си задължения и се е уверил в автентичността на операцията,
като излага подробни съображения в тази насока. Посочва, че е приложил
уредената процедура за задълбочено установяване на идентичността на
платеца съгласно чл. 100 ЗПУПС, поради което не е действал противоправно
при осъществяване на процесната трансакция. Излага съображения, че
ищецът е действал при условията на груба небрежност при опазване на
данните за банковата си карта и така е допуснал да се осъществи
нерегламентираната трансакция, в която връзка счита, че ищецът следва да
понесе вредите на основание чл. 80, ал. 3 ЗПУПС. В този смисъл твърди, че
ищецът или сам е заявил и извършил процесните трансакции, или е
предоставил всички необходими данни за разрешаването им, съответно не е
положил дължимата грижа. Оспорва твърденията за неблокиране на сметката
от страна на банката като неоснователни и неотносими. Моли исковете да
бъдат отхвърлени, а в условията на евентуалност - претендираната сума да
бъде намалена поради съпричиняване от страна на ищеца. Претендира
разноски.
Съдът, като взе предвид доводите на страните и въз основа на
събраните по делото доказателства, приема следното от фактическа и
правна страна:
С доклада по делото, обективиран в определение № 39392 от
30.09.2024г., обявен за окончателен в проведеното на 06.11.2024г. открито
съдебно заседание, на основание чл. 153 ГПК като безспорни и ненуждаещи
се от доказване са отделени обстоятелствата за наличието на облигационно
отношение между страните по сключен договор за откриване и обслужване на
разплащателна сметка и откриване и обслужване на банкова дебитна карта,
2
както и че на 10.05.2023 г. от сметката на ищцовото дружество, чрез
използване на дебитна карта, са извършени три броя платежни операции на
обща стойност 5 400,00 щатски долара.
Ответникът е банка по смисъла на ЗКИ и като такава е доставчик на
платежни услуги по смисъла на чл. 3, ал. 1, т. 1 ЗПУПС. Следователно
правоотношението между страните по делото се урежда от разпоредбите на
ЗПУПС, регламентиращ правата, задълженията и отговорностите на страните
по договора за предоставяне на платежни услуги в хипотезата на неразрешена
платежна операция, извършена от банката като доставчик на платежни услуги
на ищеца - платец. Съобразно разпоредбата на чл. 79, ал. 1 ЗПУПС, в случай
на неразрешена платежна операция доставчикът на платежни услуги
възстановява на платеца незабавно стойността на неразрешената платежна
операция и във всеки случай не по-късно от края на следващия работен ден,
след като е забелязал или е бил уведомен за операцията, освен когато
доставчикът на платежни услуги на платеца има основателни съмнения за
измама и уведоми съответните компетентни органи за това, а когато е
необходимо, доставчикът на платежни услуги възстановява платежната сметка
на платеца в състоянието, в което тя би се намирала, ако не беше изпълнена
неразрешената платежна операция. Отговорността по чл. 79, ал. 1 ЗПУПС е
обективна и възниква за доставчика на платежни услуги, дори при липса на
противоправно поведение от негова страна. По силата на чл. 80, ал. 3 ЗПУПС
платецът понася всички загуби, свързани с неразрешени платежни операции,
когато ги е причинил чрез измама или с неизпълнението на едно или повече от
задълженията си по чл. 75 умишлено или поради груба небрежност, като в
тези случаи той понася вредите независимо от размера им, като от друга
страна в чл. 80, ал. 4 ЗПУПС е предвидено, че когато доставчикът на платежни
услуги на платеца не изисква задълбочено установяване на идентичността на
клиента, платецът не понася загуби, освен когато е действал с цел измама.
Когато получателят или доставчикът на платежни услуги на получателя не
успее да приеме задълбоченото установяване на идентичността на клиента,
той възстановява имуществените вреди, причинени на доставчика на
платежни услуги на платеца.
По делото е спорно дали процесните трансакции са разрешени или
неразрешени. Съгласно чл. 70, ал. 1 ЗПУПС платежната операция е
разрешена, ако платецът я е наредил или е дал съгласие за изпълнението й, а
при липса на съгласие платежната операция е неразрешена.
Чл. 78, ал. 1 ЗПУПС регламентира, че когато ползвателят на платежна
услуга твърди, че не е разрешавал изпълнението на платежна операция или че
е налице неточно изпълнена платежна операция, доставчикът на платежната
услуга носи доказателствената тежест при установяване автентичността на
платежната операция, нейното точно регистриране, осчетоводяването, както и
за това, че операцията не е засегната от техническа повреда или друг
недостатък в услугата, предоставена от доставчика на платежни услуги.
Въпреки това, в чл. 67, ал. 4 ЗПУПС законодателят е уредил възможността,
3
когато ползвателят на платежна услуга не е потребител (какъвто е настоящият
случай), страните да уговорят, че в отношенията им няма да се прилагат чл.
68, ал. 1, чл. 70, ал. 4 и 5, чл. 78, 80, чл. 82, ал. 2 и 3, чл. 85, 91, 92, чл. 93, ал. 1
и чл. 94, както и да договорят срок, различен от предвидения в чл. 77. От
представените по делото Общи условия на . за платежни услуги за бизнес
клиенти, се установява, че съгласно т.9.10, в случай на оспорена платежна
операция от страна на клиента, същият носи отговорността да докаже, че
извършването � не е разрешено от клиента и/или че същата е била неточно
извършена от банката. Въз основа на така посочения текст следва да се
приеме, че е налице уговорка между страните по смисъла на чл. 67, ал. 4
ЗПУПС. С оглед на това и както е посочено в определение, постановено в
открито съдебно заседание на 06.11.2024 г., в тежест на ищеца е да докаже, че
банковите операции не са разрешени от него, а в тежест на ответника да
установи, че е изпълнил точно задълженията си по договора, че се е уверил в
автентичността на даденото нареждане от страна на ищеца, както и
твърденията за проявена груба небрежност.
От представените по делото доказателства се установява, че между
страните е сключен договор за онлайн банкиране от 16.11.2020г., по силата на
който банката приема да осигурява ползването на услугите за електронно
банкиране чрез заявените от клиента канали за посочените в „.“ сметки.
Представена е регистрационна карта за онлайн банкиране заявка номер: . от
29.10.2020г. 11:30:09:203, от която се установява, че ищцовото дружество е
заявило ползване на онлайн банкиране за разплащателна сметка с IBAN: .,
като е декларирано, че за извършване на активни операции (плащания), ще
бъде използван следният мобилен номер – ..
По делото са приложени Общи условия на „.“ АД за издаване и
използване на платежни дебитни и кредитни карти, като съгласно чл. III.8.5
картодържателят, съответно допълнителният картодържател разрешава
извършването на платежни операции с платежна карта, както следва: при
плащане без физическо наличие на платежната карта за плащане на стоки и
услуги при интернет търговци, поддържащи 3D secure протокол, познат под
търговската марка „.“ или „.“ – по начин посочен в раздел VII. Съгласно т.
VII.2 картодържателят има възможност да извършва платежни операции по
чл.III.8.5, като за разрешаване на платежните операции е необходимо
картодържателят да въведе номера на картата, датата на валидност,
трицифрен код, отпечатан на гърба на картата (. (CCV) или . (CVD)), както и
3D динамичен секретен код и 3D статичен секретен код по реда на чл. VII.2.1,
VII.2.1.A и чл. VII.2.2 от общите условия, или да въведе номера на картата,
датата на валидност, трицифрен код, отпечатан на гърба на картата (. (CCV)
или . (CVD)), както и да разреши операцията през специализирано
приложение за мобилни устройства, наречено мобилно банкиране и/или . за
операционна система . по начина, посочен в чл. VII.2.2.A- чл. VII.2.2.Г от
общите условия.
Съгласно т. 7.3.2 от Общи условия на „.“ АД за платежни услуги за
4
бизнес клиенти при извършване на нареждания за платежни операции е
необходимо допълнително въвеждане на уникално генериран динамичен
код/парола, а) получен/а чрез SMS на номер на мобилен телефон на клиента,
предоставен съгласно т. 7.2.1 или b) генериран от хардуерно устройство,
собственост на . или с) генериран от мобилно приложение за операционни
системи . и ..
Съдът намира, че от анализа на събраните доказателства, касаещи
конкретните нареждания може да се изведе, че същите не са наредени от
страна на представляващия ищцовото дружество, нито изпълнени с негово
съгласие. От представено по делото писмо относно жалба с вх. № ВД
./11.05.2023г. се установява, че ищецът е подал формуляр за рекламация,
касаещ извършените платежни операции в интернет с банковата му карта,
респективно на посочената дата е оспорил процесните трансакции.
Представени са 2 броя въпросник за идентификация на бизнес клиенти, видно
от които като мобилен телефон е посочен номер ., който клиентът е заявил, че
ще бъде използван и при потвърждение на онлайн плащанията. По делото е
разпитан в качеството на свидетел Н.Д., който е съпруг на управителя на
ищцовото дружество. Същият твърди, че на 10.05.2023г. около 16:30 часа
съпругата му го уведомила, че е получила съобщение за движение по
банковата сметка на дружеството на стойност 2 000,00 долара, като свидетелят
я посъветвал да се обади на банката. Сочи, че след като се прибрал в дома им
установил, че съпругата му била чакала телефонната линия да се освободи,
когато получила още две съобщения за извършени тегления от сметката.
Спомня си, че след около 20 минути успели да се свържат с колцентъра на
банката, откъдето ги информирали, че сметката е празна и няма какво да се
направи освен да бъде блокирана, както и направили. Споделя, че същия ден
се опитали да посетят клон на банката, но тъй като било в края на работния
ден и служителите приключвали работа, посетили клона на следващия
работен ден в 11:00 часа, когато подали рекламация. Изявленията на
свидетеля, както и посочените писмени доказателства кореспондират и с
изясненото от вещото лице по отношение на осъществената непосредствено
след момента на преводите комуникация между представляващия
дружеството и банката, а именно, че на 10.05.2023г. от мобилен номер . са
направени два опита за свързване с банката – първия неуспешен в 16:36,
прекратен преди свързването с агент, както и успешно свързване в 16:46 часа.
В разговор с контактния център ПП.Д. споделила, че въвела потребителско
име, данни на карта, телефонен номер, като изчакала да се появи код за
активиране, който също въвела. Въз основа на така установените факти
допълнително в съдебно заседание е изяснено, че е налице вероятност да се
касае за т.нар. „фишинг“ имейл, в отговор на който управителят на
дружеството се е подвел да въведе данни по картата и код за активиране на
приложението, като по този начин е предоставил на трето лице информация,
подпомагаща извършването на плащанията. С оглед на изложеното и предвид
липсата на събрани доказателства в различна насока, съдът намира, че се касае
5
за неразрешени платежни операции, които са извън волята на
представляващия ищцовото дружество.
Както беше посочено и по-горе, съгласно чл. 80, ал. 4 ЗПУПС, когато
доставчикът на платежни услуги на платеца не изисква задълбочено
установяване на идентичността на клиента, платецът не понася загуби, освен
когато е действал с цел измама. Съгласно чл. 100, ал. 1 ЗПУПС, доставчиците
на платежни услуги прилагат задълбочено установяване на идентичността на
платеца, когато платецът: 1. достъпва платежната сметка онлайн; 2. инициира
електронна платежна операция; 3. извършва друго действие от разстояние,
при което би могло да възникне риск от измама при плащането или друга
злоупотреба. По силата на чл. 100, ал. 2 ЗПУПС при платежни операции по ал.
1, т. 2, инициирани от разстояние, доставчиците на платежни услуги прилагат
задълбочено установяване на идентичността на клиента чрез променливи
елементи, свързващи операцията с конкретна сума и получател, като съгласно
ал. 4 задълбочено установяване на идентичността на клиента е процедура по
установяване на идентичността, която е разработена по начин, който защитава
поверителността на данните, и която включва използването на два или повече
от следните независими елементи: 1. знание – нещо, което само ползвателят
знае; 2. притежание – нещо, което само ползвателят притежава; 3. характерна
особеност – нещо, което характеризира ползвателя.
От заключението на вещото лице по изготвена СТЕ, което съдът намира,
че следва изцяло да бъде кредитирано, доколкото е изготвено от лице,
притежаващо съответната квалификация, както и е достатъчно мотивирано и
кореспондиращо с останалия доказателствен материал, се изясняват
техническите измерения на въведения от ответника механизъм за разрешаване
на трансакции с платежна карта. При извършването на онлайн плащания е
задължително въвеждането на пълен номер на карта, валидност и код за
сигурност. За потвърждението на онлайн покупки през . е необходимо
приложението да бъде активирано (клиентът да знае потребителско име,
парола и да получи код по СМС, генериран от .), след това е необходимо да
бъде активирана и 3. услугата (клиентът отново получава СМС, генериран от
.). При активацията на . и при активирането на услугата 3. се генерират СМС
съобщения, съдържащи кодове, като те се пращат само и единствено на
регистрирания от клиента телефонен номер, който няма опцията да го
промени през приложението или да подаде друг телефон, това може да се
случи само в клон на банката. Прилагането на задълбочено установяване на
идентичността при потвърждение на трансакция в интернет се постига чрез
въвеждането на пълния номер на картата, нейната валидност и кода за
сигурност, които са знание само и единствено на клиента, който има
отговорността да ги съхранява. ЗУИ се прилага и на ниво вход в . – при самото
влизане в . се подава елемент на знание (ПИН) или характерна особеност
(биометрия) на конкретно устройство, на което е свалена апликацията, чрез
което пък се осигурява елемента на притежание.
В конкретния случай се изяснява, че мобилното банкиране на клиента,
6
посредством което са разрешени трансакции, е активирано на 10.05.2023 г. в
16:22 ч. посредством коректното въвеждане на потребителско име, парола и
код, изпратен по СМС на телефона на клиента, регистриран в системата на
банката. Процесните трансакции са извършени на същата дата между 16:29:39
ч. и 16:31:57 ч., като задълбоченото установяване на идентичността в случая е
осъществено посредством успешен вход в ., като клиентът получава . (Пуш
нотификация) за всяка операция, която нотификация следва да бъде
потвърдена (по предварително зададен от клиента начин – биометрия/ПИН) в
случай, че устройството има биометрия) само след успешен вход в мобилното
банкиране, инсталирано на телефона му.
Съдът намира, че в случая от изяснената фактическа обстановка следва
да се приеме, че не се доказва изпълнението на задължението на ответника – в
качеството на доставчик на платежни услуги, за прилагане на задълбочено
установяване на идентичността при всяко плащане, каквото е изискването на
чл. 100, ал. 2 ЗПУПС - чрез променливи елементи, свързващи операцията с
конкретна сума и получател. Съобразно определението за задълбочено
установяване на идентичността, това е процедура по установяване на
идентичността, която е разработена по начин, който защитава поверителността
на данните, и която включва използването на два или повече от следните
независими елементи: 1. знание – нещо, което само ползвателят знае; 2.
притежание – нещо, което само ползвателят притежава; 3. характерна
особеност – нещо, което характеризира ползвателя. Действително, по
отношение на инсталирането и входа в мобилното приложение следва да се
приеме, че е налице такава процедура по ЗУИ – доколкото клиентът е
необходимо да въведе информация, която следва да бъде известна само на
него, както и да въведе код, който е получил на ползван от него мобилен
телефон, но съгласно чл. 100, ал. 2 ЗПУПС такова ЗУИ следва да се прилага по
отношение на всяко отделно плащане. От изяснената фактическа обстановка
може да се изведе, че в случая посредством елемента знание са извършени и
трите трансакции, без да се установява наличието на допълнителна гаранция
за идентичността – посредством притежание (например чрез изпращане на
отделен код за всяко от плащанията към съответния получател), нито друга
характерна особеност, за която да е сигурно, че е относима към титуляра, като
в тази връзка не може да се приеме за достатъчна пуш-нотификацията,
доколкото при наличието само на знанието за съответната информация трето
лице би могло да получи такава нотификация на притежавано от него
устройство и да потвърди същата, без участието на действителния титуляр.
Предвид изложеното съдът намира, че съгласно чл. 80, ал. 4 ЗПУПС
платецът не следва да понася загуби, доколкото не се установява да е действал
с цел измама, респективно ответникът дължи възстановяване на причинените
вреди. С оглед на това предявеният иск следва да бъде уважен, като се
присъди и законната лихва върху тази сума, считано от изтичане на посочения
в чл. 79, ал. 1 ЗПУПС срок.
Съдът намира, че за пълнота следва да се посочи, че в случая се
7
установява наличието на проявена груба небрежност от страна на
представляващия ищцовото дружество – въвеждането на данни и СМС код в
интернет пространството безспорно е в нарушение на разумните мерки за
запазване на персонализираните средства за сигурност и на препоръките към
клиентите да не отварят директно линкове, препращащи към интернет
страници по изпратен имейл, както и да не разкриват свои лични данни,
потребителски имена и пароли, номера на кредитни/дебитни карти или
банкови сметки. Въпреки това, съобразно гореизложеното, е налице основание
за отговорност на ответника.
При този изход на спора на основание чл. 78, ал. 1 ГПК право на
разноски има ищецът, съответно съобразно представеният списък следва да
му бъде присъдена сумата 2620 лева за адвокатско възнаграждение.
Така мотивиран, съдът
РЕШИ:
ОСЪЖДА „.“ АД ЕИК: ., със седалище и адрес на управление: гр. .. ДА
ЗАПЛАТИ на „.“ ООД, ., със седалище и адрес на управление: гр. ., на
основание чл. 79, ал. 1 ЗПУПС сумата 5400,00 щатски долара, представляваща
стойността на извършени три броя неразрешени платежни операции на
10.05.2023 г., от притежаваната от ищеца банкова сметка чрез банковата му
карта, без негово съгласие, ведно със законната лихва, считано от 12.05.2023 г.
до окончателното плащане, както и на осн. чл. 78, ал. 1 ГПК сумата 2620 лева,
представляваща разноски за адвокатско възнаграждение
Решението подлежи на обжалване пред Софийски градски съд в
двуседмичен срок от връчването му на страните.
Съдия при Софийски районен съд: _______________________
8