РЕШЕНИЕ
№ 215
гр. Бургас, 21.03.2025 г.
В ИМЕТО НА НАРОДА
ОКРЪЖЕН СЪД – БУРГАС, VI ВЪЗЗИВЕН ГРАЖДАНСКИ СЪСТАВ,
в публично заседание на двадесети февруари през две хиляди двадесет и пета
година в следния състав:
Председател:Албена Янч. Зъбова Кочовска
Членове:Таня Д. Евтимова
Радостина П. И.а
при участието на секретаря Станка Д. Чавдарова
като разгледа докладваното от Албена Янч. Зъбова Кочовска Въззивно
гражданско дело № 20242100501455 по описа за 2024 година
Производството е въззивно, по реда на чл.258 и сл. ГПК, образувано по жалбата на
„Обединена българска банка“ АД(ОББ), с ЕИК ********* със седалище и адрес на управление
гр.София, р-н „Триадица“ бул. „Витоша“ №89Б, чрез адв. И. Василева от АД „Т. и съдружници“,
със съдебен адрес: гр.София, п.к. 1000,р-н „Средец“, ул.“Граф Игнатиев“ №24, ет.1, против
Решение №1210/13.06.24г., постановено по гр.д.№4975/ 23г. по описа на БРС, изцяло уважаващо
заявените от ищцата С. Ж. Б. против ОББ АД искове, като са й присъдени и направените в
производството по делото съдебни разноски.
Решението на първата инстанция се сочи за неправилно и необосновано, като се моли за
неговата отмяна и ново произнасяне при отхвърляне на всички предявени искове.
Съображенията за горното се изразяват в следното: оспорват се изводите на първата
инстанция, че Б. не е допуснала груба небрежност при ползването на платежния инструмент, а
процесните неразрешени платежни операции са извършени в резултат от неустановена външна
намеса, поради което Банката следва да поеме отговорността за възстановяването на процесните
суми по сметката на горното лице. Във връзка с това са уважени и всички останали акцесорни
искове по делото.
Поддържа се обратната теза, че в случая ищцата е допуснала груба небрежност при
изпълнение на задълженията си по чл.75 от ЗПУПС, като не е положила необходимите усилия и
грижа за съхраняването на данните на платежния документ, както и при използването му , така че
не са били опазени персонализираните му защитни характеристики и те са станали достояние на
трети лица, макар ищцата да е заявила, че са й известни и приема общите условия(ОУ) за издаване
1
и използване на платежни дебитни и кредитни карти, съдържащи указания в тази насока.
Акцентира се, че в чл.10.15 от ОУ за платежни услуги за физически лица са примерно изброени
проявите на груба небрежност от страна на притежателя на платежния инструмент, като в тях се
включват хипотези да се допусне узнаване и използване от трето лице на средствата му за
електронна идентификация, подробно описани в т.7.3.1-т.7.3.3 по отношение на платежните
операции, извършени чрез онлайн банкиране, неопазване на платежния инструмент и/ или на
неговите персонализирани защитни характеристики от страна на Клиента, както и когато
последният не е спазил изискванията и препоръките на Банката, описани в секция „Сигурност“,
публикувана на страницата за онлайн банкиране по отношение на платежни операции при такива
условия или на препоръките за сигурност, описани в приложението за мобилно банкиране.
Клиентът е длъжен да се информира периодично за изменения и допълнения в тези препоръки и
да ги спазва.
Страната счита също, че съдът изобщо не е обсъдил и взел предвид обстоятелството, че
Банката е изпълнила задълженията си по закон да извърши проверка и задълбочено установяване
на идентичността на платеца, което изключва отговорността й в случая, съгласно правилото на
чл.80, ал.3 от ЗПУПС.
Съдът неправилно бил счел, че Банката се позовава на правилата от ОУ за бизнес клиенти,
каквато ищцата не е. В същност Банката се позовавала на клаузите, касаещи ОУ за платежни услуги
на физическите лица, които Св. Б. изрично е заявила, че приема.
Във връзка с липсата на предпоставки, които да посочат за основателни заявените
претенции, са изложени подробни съображения от жалбоподателя, които базирани на анализ на
събраните в процеса доказателства и приложимото в този случай материално право, подкрепят
изводите за липсата на установена повреда или друг вид намеса при потвърждаване на процесните
транзакции. Всеки от процесните преводи към Марко Г. е бил успешно извършен чрез мобилното
приложение на Б., като е бил потвърден чрез коректно въвеждане на цифрова парола или
биометрични характеристики- факти доказани от първата съдебно – техническа експертиза,
назначена по делото.
Прави се краен извод, че за да се осъществят транзакциите е необходимо от извършващото
ги лице знание на всички чувствителни данни за електронното банкиране на С. Б., данните на
банковата й карта, както и притежаване на мобилното устройство с телефонния й номер, на който
са изпращани еднократните кодове, като именно тя е получавала и СМС съобщенията за тях, от
което следвало, че в случая клиентката не е спазила задължението си да опази персонализираните
средства за сигурност на платежния си инструмент.
Банката се сочи за изпълнила всички изискуеми от закона свои задължения: да извърши
проверка и задълбочено установяване на идентичността на платеца, за точно регистриране,
редовно осчетоводяване на оспорваните транзакции, че няма технически повреди или други
недостатъци, респективно пропуски в извършената от нея спрямо клиент Б. услуга, поради което и
напълно необосновано и неправилно първата инстанция е ангажирала отговорността й за
процесните суми. Цитира в подкрепа на становището си и съдебна практика.
Дири съдебно деловодни разноски за проведеното производство и не ангажира нови
доказателства.
В срок е представен писмен отговор на въззивната жалба от въззиваем С. Б. чрез адв. Н.
Бошнакова и адв. С. Славов със съдебен адрес: гр.София, ул.“Братя Миладинови“ №16, ет.3, ап.5. В
2
него оплакванията, изнесени в жалбата се сочат за изцяло неоснователни, общи и бланкетни. Моли
се за потвърждаване на атакуваното съдебно решение на РС като законосъобразно и правилно
постановено.
Според страната задълженията на Банката в случая не са били надлежно изпълнени, в
какъвто смисъл са въведени подробни съображения.
Акцентира се, че същината на спора е в това да се установи дали превеждането на сумите по
всяка от оспорваните пет транзакции е наредено или не от ищцата, т.е. дали платежната операция
е неразрешена по смисъла на чл.70,ал.1 от ЗПУПС.
Счита, че Банката не е представила доказателствата и информацията, необходими за отговор
на поставените от процесуалните й представители въпроси към СТЕ.Не е била доказана според
страната твърдяната от ответника груба небрежност, допусната при осъществяване на платежните
операции от клиента, както и че до последния са били изпращани съответните контролни СМС, а
също и съдържанието им. Счита, че не са били спазени изискванията за сигурност при онлайн
банкиране, т.к. липсват данни за обратното, като се изтъква, че именно разрешилата транзакциите
банка носи доказателствената тежест за установяване спазването на всички изисквания в тази
връзка.
От всичко изложено се обосновава изводът, че платежните операции, връщането на
преведените средства по които се претендира, са били неразрешени от клиента по смисъла на
закона, поради което напълно обосновано и правилно съдът е уважил исковете за тяхното
възстановяване.
Не се ангажират нови доказателства.
Проверката на съда по чл.267 от ГПК е посочила въззивната жалба за допустима, а
допълнителната такава по чл.269 от ГПК определя като валидно и допустимо обжалваното съдебно
решение.
По съществото на спора, предвид въведените в жалбата оплаквания за неправилност на
съдебното решение, при съвкупна преценка на събраните по делото доказателства и в
приложение на закона, въззивният съд приема за установено от фактическа и правна страна
следното:
Производството по делото е образувано първоначално пред БОС, а в последствие
препратено по правилата на родовата подсъдност на Бургаски районен съд.
Ищец е С. Ж. Б. от гр. Бургас, която е молила за осъждането на „Обединена българска
банка“ АД (ОББ-АД)с ЕИК ********* да й заплати сумата от общо 29 116 лева, представляваща
стойността на неразрешени платежни операции, включващи: Сума в размер на 11 623 лева,
наредена по трансакция с основание превод, референция **************, от сметка IBAN
**************** по сметка на получателя ********* с титуляр М.Г.В.; сума в размер на 13 493
лева, наредена по трансакция с основание превод, референция *************, от сметка IBAN
**************** по сметка на получателя ********* с титуляр М.Г.В.; сума в размер на 1000
лева, наредена по картова трансакция **********,осчетоводена на 16.01.2023 г. към Револют-
Дъблин; сума в размер на 2000 лева по картова трансакция ********* осчетоводена на 16.01.2023
г. към Револют-Дъблин; сума в размер на 1000 лева по картова трансакция **********
осчетоводена на 16.01.2023 г. към Револют-Дъблин и мораторна лихва, изчислена върху всяка от
главниците, в общ размер от 1 014.62 лева, дължима считано от изтичане на работния ден, следващ
датата на изпълнение на неразрешената платежна операция, до който момент ответникът е следвало
3
да възстанови стойността на преведените суми. Мораторната лихва представлява сбор от сумата
879.06 лева мораторна лихва върху общо наредената на 12.01.23г. главница от 25 116 лева за
периода от 14.01.2023г. до 19.05.2023 г. и сумата от 135.56 лева мораторна лихва върху общо
наредената на 16.01.23г. главница от 4000 лева за периода от 18.01.2023г. до 19.05.2023г., ведно със
законната лихва от исковата молба до изплащането на сумите.Претендират се и разноските в
исковото производство.
Претенцията се основава на следните факти:Ищцата е клиент на ОББ и ползва мобилно
банкиране. На 12.01.2023г. при ползване на мобилното приложение установява липса от над 25000
лева от спестовната й сметка, наредени според движението по сметката с преводи към непознато й
лице на име М.Г.В. за две отделни суми – 13 493 лева и 11 623 лева. Отрича реално да е
осъществила такива преводи, поддържа, че не познава получателя на сумите и оспорва посоченото
основание на превода „за техника“. Сочи, че е подала жалба до полицията в тази връзка и
двукратно жалби до банката - на 12.01.23г. и на 23.01.23г., но без резултат.
На 13.01.23г. ищцата получила и уведомление от банката чрез СМС за блокиране на
профила й за онлайн банкиране, а преди това от разследващия полицай и за блокирането на сума от
около 6200 лв. по разплащателната си сметка.
При посещение в банката на 20.01.2023 г. ищцата установила, че на 13.01.2023г. и на
16.01.2023г. от сметката й са извършени транзакции от общо 6 678.98 лева, от които 2 678.98 лева
платени към Технополис на 13.01.2023г., 1000 лева към Револют -Дъблин на 16.01.2023г., 2000 лева
към Револют -Дъблин на 16.01.2023г. и 1000 лева към Револют -Дъблин на 16.01.2023г.
Банката уведомила ищцата, че платежните операции, които тя оспорила след узнаването им,
са извършени чрез мобилното банкиране, което е активирано чрез правилно въвеждане на
потребителското име и паролата за системата на онлайн банкирането, както и с еднократен код,
изпратен като съобщение на посочения мобилен телефон.
Ищцата твърди, че в случая такова съобщение не й е изпратено, че в отговора на банката не
се съдържа информация за типа устройство, през което е наредено плащането и няма установяване
на IP адрес на устройството, че няма извършена 3D идентификация на платеца чрез потвърдени
биометрични характеристики и няма искане за авторизация и идентификация на картодържателя,
както е твърдяла банката. Поддържала е , че дебитната карта към задължената сметка се държи у
ищцата, не е изгубена, а и трети лица нямат достъп до нея. Ищцата отрича получаването на СМС с
код за плащане; заявява, че не съхранява кодове за достъп и пароли на устройството, през което
ползва мобилното банкиране. Признава, че на 30.03.2023г. Технополис е възстановило по банковата
й сметка изтеглената сума от 2 678.98 лева, наредена по неразрешената операция от 13.01.2023г.,
но ангажираната с жалбата й помирителна комисия не е удовлетворила искането към банката за
възстановяване на останалите неправомерно преведени суми.
Ищцата счита, че с оглед горното, трябва да се ангажира отговорността на банката на
основание чл.79, ал.1 от ЗПУПС, като доставчик на платежни услуги при неизпълнение на
задълженията й по договора и защото е осъществила конкретните платежни операции без
разрешение от платеца, освен това не му е възстановила и стойността им.
В отговора на ответника по чл. 131 от ГПК исковете са оспорени като изцяло
неоснователни.Признава се, че ищцата е клиент на банката и има сключени договор за
разплащателна сметка от 19.11.2010 г., с издадена към него дебитна карта и договор за спестовна
сметка на физически лица от 20.03.2014 г. Тя е получила и се е съгласила с Общите условия към
4
договорите. Активирано е мобилно банкиране, което се ползва от нея. Процесните трансакции са
извършени на 12.01.2023 г. чрез мобилното банкиране, ползвано от Б., а част от трансакциите
просто са осчетоводени по-късно(на 16.01.23г.) поради спецификата им. Плащанията са извършени
преди ищцата да посети клона на банката. Те не са извършени след блокиране на нейния достъп до
мобилното приложение- Б. не била отправяла искане до ответника да блокира банковите й сметки.
Блокиран е на 13.01.2023г. само достъпът до мобилното приложение за банкиране. Банката твърди,
че е спазила коректно изискванията за задълбочено установяване на идентичността на платеца с
цел установяване на автентичността на платежната операция, нейното точно регистриране,
осчетоводяването й, както и че същата не е засегната от техническа повреда или друг недостатък в
услугата. Процесните трансакции са разрешени по начина, договорен в ОУ чрез мобилното
приложение, в рамките на неговата активация, осъществена с потребителското име и паролата на
ищцата и еднократен код, изпратен на нейния телефонен номер. През мобилното банкиране е
активирана и функционалността за потвърждаване на плащания с карти в интернет. Картата на
ищцата е регистрирана за потвърждаване на плащания в интернет, за което е пратен също
еднократен код на мобилния й телефон. Трансакциите са извършени чрез влизане в приложението
ОББ Мобайл посредством въвеждане на биометрична характеристика/цифрова парола, която
следва да е известна само на Б., с въвеждане на данните, необходими за преводното нареждане и
потвърждаване на превода отново с тази парола/биометрична характеристика.
Картовите трансакции също били реализирани чрез въвеждането на данните от картовата
пластика в интернет среда и разрешаването им през активираното приложение чрез биометричната
характеристика/цифровата парола, известна само на клиента. На 12.01.2023 г. е било активирано
мобилното банкиране, като на клиента е изпратен СМС с код за активиране на приложението, а
след това друг СМС за успешното активиране на мобилното банкиране.
Трансакциите към сметката на лицето М.Г.В. били реализирани от банковата сметка
посредством цифровата парола, която би трябвало да е известна само на клиента, чрез въвеждане на
данните, необходими за преводното нареждане и потвърждаване на превода отново с паролата.
От своя страна ищцата била проявила груба небрежност при спазване на задълженията си.
Тя не била спазила задълженията си по чл. 75 ЗПУПС да не записва средствата за сигурност на
платежния документ върху него и да не съхранява такава информация заедно с него. В случая
ищцата е посочила, че съхранява паролата си за вход в онлайн банкирането на електронен носител.
Нелогично било кредитната карта да е в държане на притежателя, само той да знае кода си,
мобилното устройство да не е откраднато и изгубено и същевременно от банковите сметки да се
извършват трансакции без разрешение. Поддържа,че ищцата не е положила необходимите усилия,
за да опази цифровия си код, чрез който са реализирани трансакциите и така е проявила груба
небрежност. Тя не била предприела разумни действия за запазване на персонализираните средства
за сигурност на платежния инструмент и на избраните кодове, така че същите да не станат
достояние на други лица.
Платежните операции били коректно и точно регистрирани, трансакциите- редовно
осчетоводени в системите на банката. Нямало техническа повреда или друг недостатък на
услугата.
Предвид горното се е молило за отхвърлянето на иска.
С решението си първоинстанционният съд е приел претенцията за основателна, като е
намерил, че плащанията не са разрешени, т.к. банката не е спазила изискванията за сигурност и
5
проверка за идентификация на наредителя, същевременно ищцата не е допуснала груба
небрежност при изпълнението на своите задължения по договора с насрещната страна,
предпоставящи освобождаването на последната от отговорността, вменена й от ЗПУПС.
Присъдени са и деловодни разноски.
Въззивният съд изцяло споделя крайния правен извод на първата инстанция по
казуса .
По установената в процеса пред районния съд фактическа обстановка на база
ангажираните доказателства, при въззивната им преценка, включително с оглед изслушаната пред
въззивната инстанция повторна техническа експертиза, БОС приема следното:
Безспорно е в настоящото производство:че ищцата е клиент на банката с открита
разплащателна сметка „Комфорт“ от 19.11.10г,. с издадена дебитна карта по нея, получена на
08.12.22г. и е титуляр на спестовна сметка „Мое решение“ от 20.03.14г.;тя е потребител и на
мобилно банкиране към ОББ с инсталирано мобилно приложение на телефон с номер 0888378 542.
На 12.01.23г. са извършени успешно чрез мобилно банкиране две трансакции от банковите
сметки на ищцата чрез превод на сума в размер на 13 493 лв., с референтен номер на платежната
операция ************* и превод на сумата 11 623 лв. с референтен номер на платежната
операция **************, а картовите транзакции до Револют-Дъблин в общ размер от 4 хил. лв.
са извършени посредством въвеждането на данните от картовата пластика и след получаването на
еднократен код на мобилния телефон, посочен от ползвателя. Картовите трансакции са отразени
счетоводно в системата на банката с дата 16.01.2023г., ищцата е предявила рекламация срещу
наредените плащания пред банката на 12.01.2023 г. и на 20.01.2023г., но безуспешно, а на
12.01.23г. Б. е подала сигнал за неправомерно извършените плащания от нейните банкови сметки и
до органите на МВР( образувано е ДП №304 ЗМ-23 от 2023 г. на РУ на МВР Несебър за извършено
престъпление по чл. 212а, ал. 1 от НК).След подадената рекламация до банката, достъпът до
мобилното банкиране на клиента е бил преустановен на 13.01.23г., а на подадените жалби банката е
отговорила, че няма основание да счита, че платежните операции са били неразрешени или
неточно изпълнени, поради което е отказала да възстанови сумите.На ищцата е била възстановена
само сумата от 2 676, 98 лв.-неодобрен превод от Технополис БГ,на 13.01.2023г.
Така изнесените твърдения очертават заявените претенции по делото като основани
на 79 от ЗПУПС,защото платец-клиент на банката търси отговорността на доставчика на платежна
услуга, извършил същата без разрешение, като се иска възстановяване на изтеглените суми.
По приложението на чл.79 ЗПУПС съдебната практика трайно възприема, че нормата е
специална и разпоредбата на чл. 75, ал. 2, изр. 2 ЗЗД не намира приложение в тези случаи, защото
се касае до кредитна институция, предоставяща банкирането като услуга по занятие. Така, като
професионалист в бранша, доставчикът трябва да престира по-голяма от обичайната за добрия
търговец „дължима грижа“ за създаване на сигурна среда при ползване на услугите и трябва да
използва целия си ресурс, всички данни, с които разполага, способи и възможности, за да защити
интересите на клиентите си. Това задължава доставчика да разполага с експертен състав от
служители – специалисти в областта на банковата сигурност, както и със средства за осигуряване
на защита на всеки отделен банков продукт и спрямо всеки клиент, без оглед качеството на платеца,
дали той е потребител или юридическо лице. Приема се , че след като банката извлича печалба от
предоставените услуги, грижата за сигурността на платежните услуги е изцяло нейна, а когато
задължението й в тази насока не е изпълнено, тя дължи възстановяването на напусналите сметката
6
на клиента парични средства, предмет на неразрешена платежна операция, независимо от това дали
пропускът е резултат от противоправни действия на неин служител или на трети лица.
Отговорността на доставчика е безвиновна и обективна.Разпоредбата на чл. 78, ал. 1
ЗПУПС изяснява, че при предявяването на иск за носената от доставчика на услугата отговорност,
е достатъчно ползвателят на платежна услуга само да твърди, че не е разрешавал изпълнението на
платежна операция или че е налице неточно изпълнена платежна операция, за да ангажира
отговорността на доставчика.
Ето защо последният носи тежестта да докаже, че услугата е осъществена съобразно
поставените за нейната сигурност изисквания, че е установил автентичността на платежната
операция, регистрирал я е точно, осчетоводил я е, както и че извършването й не е засегнато от
техническа повреда или друг недостатък.
Освен в хипотеза на установяване спазването на всички изискания за редовност на
банкирането, доставчикът на услугата може да се освободи от отговорност само ако докаже, че
платецът е действал чрез измама, респективно- умишлено или при груба небрежност не е
изпълнил някое от задълженията си по чл. 75 ЗПУПС, а именно: да използва платежния
инструмент в съответствие с условията за неговото издаване и използване, които трябва да са
обективни, недискриминационни и пропорционални; да уведомява доставчика на платежни услуги
или упълномощено от него лице за загубване, кражба, присвояване или неразрешена употреба на
платежния инструмент незабавно след узнаването; след получаване на платежния инструмент да
предприеме всички разумни действия за запазване на неговите персонализирани средства за
сигурност, включително да не записва каквато и да е информация за тези средства за сигурност
върху платежния инструмент и да не съхранява такава информация заедно с платежния инструмент.
В чл.78, ал. 4 от ЗПУПС законодателят пояснява още, че след като има твърдение за
неразрешена платежна операция, самото използване на платежния инструмент не е достатъчно, за
да се счете тя разрешена, а доказването на освобождаващите от отговорност доставчика на
услугата твърдения за измама или за умишлено неспазване на горните задължения,
респективно неспазването им при условие на груба небрежност, е също поставено в тежест на
доставчика на услугата.
Посочените обстоятелства подлежат на пълно и главно доказване.
Във връзка с твърденията на ищцата, че осъществените на 12.01.23г. плащания от нейна
сметка с IBAN ************, открита в ОББ-АД са неразрешени, пред първата инстанция са
извършени първоначална и две допълнителни експертизи, заключенията по които установяват
липсата на техническа повреда или друг вид намеса при потвърждаване на процесните
трансакции,както и че сметката, от която са извършени плащанията е добавена към
електронното банкиране на ищцата на 20.03.14г..
Експертът е заявил още при първото си изслушване пред РС, в съдебно заседание на
22.01.24г., че онлайн банкирането може да се потвърди по два начина- единият е като се вкарат
потребителско име и парола, а другият- чрез потвърждение през мобилното приложение.
Изяснения от него алгоритъм е: влизане в интернет страницата на банката, вкарване на
потребителско име и парола, втора верификация, която може да стане по три начина: чрез
хардуерен тоукън;чрез получаване на СМС код или чрез приложението ОББ Мобайл,което трябва
да се отвори и потвърди.
7
Обяснил е, че хардуерният тоукън представлява устройство, издадено от банката, което
генерира числа за синхронизиране и е заявил, че всички логвания на 12.01.23г., отбелязани с цифра
9, са извършени по този начин- през браузъра в сайта на ОББ.
Конкретно и видно от таблицата към първата експертиза е, че оспорваните преводи към
сметка на лицето Марко Г.Вълчев са извършени на 12.01.23г. в 13.20ч. и в 13,15 часа,чрез онлайн
банкиране, при нареден превод, при успешно въведена парола за вход в онлайн банкирането и не
чрез браузър в сайта на ОББ.
Обаче първата допълнителна експертиза, при сравнение на данните в система MANAGE
DIGIPASS“(по партидата на ищцата Б. в ОББ АД) с тези в „Клиентски лог“ на Б. в същата банка, не
може да установи съпоставимост на данните и да извлече информация за устройството, от което е
ставало достъпването на системата, а според констатациите във втората допълнителна техническа
експертиза пак по данни от банката, в посочената таблица MANAGE DIGIPASS не се пази
информация за идентификационни данни на устройствата и в нея не се отразява номер на
физическо устройство, а софтуерен номер на нов актуален верификатор за клиента.
В същото второ заключение се установява и достъпване в онлайн банкирането на ищцата в
периода между 12:01:55часа и 12:03:23 часа и извършването на няколко платежни
операции(описани са на л.161 от делото на РС), които потвърждават онлайн покупки с карти през
мобилното банкиране; въведен е грешен код изпратен по СМС на телефона на ищцата; въведен е
после правилен код, изпратен със СМС на същия телефон и въведен ПАС(ПИН) код за
потвърждение, които макар да касаят именно посочения за ползван от нея телефонен номер, са
извършени чрез устройство iPhone или I Pad, или чрез компютър с операционна система iOS, т.е.
със сигурност не са генерирани от нейния телефон, за който няма спор, че се управлява с друга
операционна система- Android.
Не се представят по делото и данни за изпращане на СМС-и, известяващи ищцата за
извършените операции с платежната й карта от „Борика“АД, т.к. в системата тази информация се
пази за срок от 3 месеца от датата на изпращането(вж. л.116 и л.167- дело РС).
Техническата експертиза, изслушана от въззивния съд потвърждава данните от
експертизите в първа инстанция и ги допълва. Сочи, че картовите трансакции до Револют-Дъблин
са осъществени на 12.01.23г., съответно: в 13:06:24ч.- за 1000лв., в 13:08:33 часа за 2000лв. и в
13:11:21 часа- още 1000лв.Другите два оспорени банкови превода до М.Вълчев са съответно в
13.15ч. и 13.20ч.
ІР адресът на наредителя на горните операции е един (151.251.247.196) и
местонахождението му е в гр.София, т.к. принадлежи на А1 BULGARIA EAD и е даден на
мобилния оператор във връзка със закупеното от него динамично адресно пространство. Адресът
ще е винаги един и същ,независимо от коя точка на страната се осъществява операцията.
За последните по време две операции (******и *******) не е налича информация от лог в
банката, но има архив за дата 12.01.23г., от който става ясно, че са извършени чрез мобилно
банкиране, като разпитано в съдебно заседание пред БОС, вещото лице установява, че паричните
две трансакции, както и картовите трансакции по сметка Револют-Дъблин, са извършени от
наредителя с операционна система iOS16.1.1, т.е. от устройство, работещо на система
„APPLE“,каквото ищцата няма. Безспорно е , че тя е ползвала смарт телефон „Samsung“,работещ на
система „Android“.
8
Експертът е категоричен, че последователността от действия за активиране на мобилно
банкиране и за последвалите процесни пет операции на дата 12.01.23г. е спазена, касателно
активация, потвърждение и верификация.Изпратени са били според данните на Банката и СМС
съобщения до телефонен номер +359*********,собственост на ищцата Св.Б..
Установено е също, че Банката е осигурила към 12.01.23г. сметката на потребителя да не
може да бъде електронно достъпна в един и същ момент от повече от едно устройство и клиентът
може да има активна само една сесия наведнъж,като всяка смяна на устройството изисква нова
активация и преминаване през цялата процедура, включително получаване на СМС.
Същевременно вещото лице е заявило и техническа възможност за манипулиране на
контролен (динамичен) код, изпращан от или към Банката, ако клиентът е отворил зловреден имейл
или СМС, което да доведе до компрометиране на неговите банкови данни или устройството,като се
сочи, че това е един от най-често използваните методи за извършване на измами.Изнесени са
примери за три варианта на т.нар.“фишинг“(киберизмама при която трети лица се опитват да
подмамят жертвата да предостави чувствителна информация, като пароли,банкови данни или
лични данни). За най-вероятния от тях в случая е прието получено от ищцата съобщение, с изглед
като от банка или друга легитимна институция, в което има линк към фалшива страница за вход
или форма за въвеждане на данни, с които после са разполагали тези трети лица. Самата Банка е
предупреждавала многократно клиентите си за зачестили „ фишинг“ атаки.
Разяснено е от експерта също, че е технически възможно да бъдат копирани данните от
дебитна карта и използвани за електронни плащания без знанието на титуляра, дори без
физическата загуба на картата, като са обявени примерно няколко метода: скимиране- копиране на
магнитната лента на картата чрез прикрепено към банкомат специализирано устройство, ведно с
това и записване на ПИН кода със скрита камера;безконтактно копиране чрез устройство-четец в
близост до картодържателя; фишинг и социално инженерство- чрез подвеждане на клиента да
въведе данните от картата си на фалшив уебсайт или приложение;зловреден софтуер на
устройства- при използване на компрометирано мобилно приложение или компютър – тогава
данните от картата могат да бъдат откраднати при въвеждането им.
Технически възможно е също според вещото лице кодът на ищцата до ел. банкиране да бъде
откраднат чрез примерно изброени методи: фишинг атака;зловреден софтуер (устройството на
клиента е „заразено“ с него и данните му за достъп като потребителско име и парола се прихващат);
чрез регистратор на натисканията(чрез софтуер, записващ всичко, което потребителят въвежда на
клавиатурата) – така може да се извлече парола директно при въвеждането й; чрез прихващане и
манипулиране на комуникация между клиента и сървърите на банката, обикновено чрез
незащитена Wi-Fi мрежа- крадат се идентификационни данни; посредством социално инженерство-
нападателят се представя за банков служител и извлича от жертвата код за достъп или данни за
верификация.
Обяснено е също, че в случая процесните операции по Револют сметки са били
разрешени(авторизирани) от ищцата на 12.01.23г., но са били осчетоводени по сметката й на
16.01.23г., като е уточнено, че след авторизирането на операцията Банката е нямала право да
отмени нареждането за плащане(съгласно чл.85,ал.1 от ЗПУПС).
Системата FMS(за мониторинг, и предотвратяване на измамни дейности, свързани с
трансакции и клиентски операции) на Банката към 07.02.25г. съдържала данни само след 15.02.23г.,
не и преди посочената дата, предвид обема на съобщенията, перформънса и бързодействието на
9
системата.Т.е. информация за конкретното наблюдение на Банката за процесните пет операции
няма представена.
Обаче Банката имала правила и списъци с подозрителни и/или съмнителни получатели, ІР
адреси и дестинации, налагащи допълнителни проверки за идентификация на наредителя, като на
съвпадение със записите в тези списъци или открити аномалии на плащането банката е задължена
да предприеме допълнителни стъпки за верификация на клиента.В случая такива мерки не са били
предприети, защото няма наложени ограничения на размера на преводите от страна на клиента,
нито на броя им, така че режимът позволявал извършването на множество преводи без
ограничения, които ще бъдат изпълнявани докато има наличност по клиентската сметка.
Банката била приложила всички предвидени в Общите условия и вътрешните й правила
мерки за безопасност на онлайн банкирането за клиенти – физически лица, но процесните пет
трансакции са преминали успешно предвидените механизми за автентикация и авторизация на
клиента, без да бъдат отчетени аномалии, изискващи допълнителна проверка.
В обобщение експертът е заявил, че на база предоставените данни и анализираните
обстоятелства, степента на възможност процесните трансакции да са осъществени чрез
неоторизирана намеса на трети лица (респективно устройства), без съдействието на ищцата може
да бъде определена като средна към висока, с оглед използването при извършването, респективно
верифицирането им на устройство с операционна система, различна от тази, която е използвало
смарт устройството на ищцата.
При горните факти, включително съобразно експертните констатации, които съдът
възприема изцяло като компетентно, обективно и добросъвестно направени и след като същината
на спора е да се установи дали превеждането на сумите по всяка от оспорваните пет транзакции е
наредено или не от ищцата, т.е. дали платежната операция е разрешена или не по смисъла на
чл.70,ал.1 от ЗПУПС, БОС приема, че Банката-доставчик на оспорените по делото услуги е
извършила същите без да е била надлежно оторизирана.
Освен това не е доказала в процеса визираните в закона предпоставки за освобождаването
си от отговорността по чл.79 от ЗПУПС, макар да е отчела спазването на последователността от
действия за активирането на мобилното банкиране на ищцата, както и тези за потвърждението и
верификацията на извършените на 12.01.23г. спорни пет платежни операции според собствените си
стандарти за безопасност. Според БОС това не е достатъчно, за да освободи Банката от
отговорността по чл.79 от ЗПУПС.
Според БОС авторизацията на петте банкови операции е компрометирана с оглед
използването на устройство при извършването, респективно потвърждаването им ( при изпращане
на динамичен код от телефонния номер на ищцата), но посредством устройство, ползващо съвсем
различна операционна система( iOs) от ползваната от смарт устройството на ищцата
такава(Android), което прави нареждането на платеца съмнително. В приложение №3 от
заключението, изслушано пред БОС прави впечатление, че всички регистрации, отбелязани на
посочената дата (общо три), а и всички преди тях още от 2018г., са направени от ищцата само с
Device Type Android, както и последващите две активации за мобилно банкиране от 12.01.23г.- в
13,21 часа и 13:26 часа.Само за процесните оспорени банкови операции активацията е с
операционна ситема iOS(от 10:24ч. до 13:21ч.). Освен това на посочената дата има извършени
общо три активации- посочените по- горе, докато предходните са били правени от ищцата
приблизително по две на година, което очертава една изключителна активност на платеца на
10
посочената дата.
Съмнението за неоторизиран достъп до инструмента на платеца се подкрепя и от честотата
и размера на извършените операции- всички в един ден, в рамките на около 15 минути, на
интервали от по 2-3 минути и за обща сума, надхвърляща 29 000лв., поради което изходът от
делото не се променя от обстоятелството, че платежните операции са точно регистрирани и
осчетоводени, както и че извършването им не е засегнато от техническа повреда или друг
недостатък на системата за онлайн банкиране, включително БОС не счита за причина да отрече
отговорността на Банката това, че ищцата не е уговорила специални ограничения за броя и общата
стойност на плащанията си при онлайн банкиране, поради което мониторинг системата на ОББ не е
засекла операциите и не е потърсила допълнителното им потвърждение чрез директно обаждане до
клиента.
На следващо място съдът съобразява, че няма запазена информация от „Борика“АД, която
да потвърди данните на Банката за изпратени до телефона на наредителя СМС-и за авторизация и
потвърждаване на банковите операции чрез мобилно банкиране, но дори те да бяха със сигурност
доказани, с оглед изнесените от експертизата пред БОС възможни варианти за киберизмами,
целящи неоторизирано достъпване от трети лица на парични средства на клиенти в банкови
институции, е напълно технически възможно да бъдат прихванати от трето устройство,
създаващо привидност за сигурно изпълнение, каквото в действителност няма.
В допълнение:Банката не може да се освободи от отговорността да възстанови платените
без разрешението на клиента си парични средства и защото няма никакви данни банкирането да е
станало при умишлено неспазване на задълженията на ищцата да опази собствената си тайна
информация за идентификация и сигурност като клиент по договора с банката за услугата онлайн
плащане. Поначало в процеса не се е твърдяло умишлено извършване на конкретни действия, които
да се възприемат като съзнателно нарушаващи задълженията на клиента за спазване на
конфиденциалност и сигурност на данните за онлайн банкиране(вж. в тази връзка чл.75 от
ЗПУПС).
Що се отнася до хипотезата „ груба небрежност“при неспазване задълженията за сигурност
на банкирането, за каквато в случая има въведени защитни твърдения, съставът на БОС
съобразява, че за понятието няма легална дефиниция, но последната може да бъде извлечена от
редица решения на ВКС,( решение № 510/30.11.2011 г. по гр. д. № 1923/2009 г. на ВКС, четвърто г.
о;решение № 291/2012 г. по гр. д № 951/2011 г. на ВКС, четвърто г. о.; решение № 348/2011 г. по гр.
д. № 387/2010 г. на ВКС, четвърто г. о.; решение № 291/2012 г. по гр. д. № 951/2011 г. на ВКС,
четвърто г. о., решение № 62/2015 г. по гр. д. № 2798/2014 г. на ВКС, четвърта г. о. и др.).Трайно
установената практика обяснява „небрежността“ в гражданското право като неполагане на
дължимата грижа според абстрактния модел - поведението на определена категория лица (добрия
стопанин) с оглед естеството на дейността и условията за извършването й, докато „грубата
небрежност“ представлява неполагане на грижата, която би положил и най - небрежният човек, зает
със съответната дейност при подобни условия. Така че наличието на последната се установява чрез
конкретно съпричинително поведение на потърпевшия от неразрешеното плащане клиент.
В случая тежестта на доказване за горното се носи отново изцяло от доставчика на услугата
и именно той трябва да твърди и установи конкретни факти, в които се изразява този тип
поведение. Предположението, че няма как преводите да се осъществят само при неправомерно
проникване в профила на ищцата за онлайн банкиране без добавяне на „чувствителна
11
информация“, т.е. на кодове и др.идентификационни данни за картовата пластика към същата
сметка от платеца не е достатъчно, за да се приложи освобождаващото от отговорност доставчика
на услугата правило на чл.80, ал.3 от ЗПУПС, защото нормата изисква както грубата небрежност,
така и умисълът, респективно измамата, да бъдат не вероятно възможни, а да бъдат доказани -
пълно и главно- от черпещата благоприятни последици от тях страна. Ето защо, след като по
делото няма твърдения, респективно доказателства за несъобщени на органите на реда и на
банката изгубване, открадване, неоторизирано предаване на трето лице или друга физическа
манипулация на картата на ищцата, нито се установява конкретно усвоено от последната
поведение, което да се квалифицира като целящо измама на Банката или осъществяващо състава на
друго престъпление и след като съществуват толкова технически възможности за зловредно
достъпване на чувствителна информация на банковите клиенти от трети лица- нападатели, Банката
следва да понесе визираната в закона отговорност за въвеждането си в заблуждение от трети
неизвестни, респективно непознати на ищцата лица относно авторизирането и верификацията на
осъществените на дата 12.01.23г. в периода от 13:06 до 13:20 часа онлайн платежни операции по
неразрешено прехвърляне на парични средства от сметката на ищцата в полза на киберизмамници.
Само за пълнота на изложението БОС добавя, че единственото логично и обосновано от
конкретните обстоятелства предположение за „източването“ на банковата сметка на ищцата е , че
тя е станала жертва на „фишинг“ или друг начин на неразрешено копиране на чувствителните
данни за онлайн банкиране и банковата й карта, чрез използването на които, ведно с достъпването
от неоторизирано устройство, горното е станало реално възможно.
При така изложените съображения БОС намира за основателна както главната претенция за
възстановяване на неразрешено разпоредените от Банката парични суми на ищцата, така и
акцесорната претенцията по чл.86, ал.1 ЗЗД за присъждане на мораторна лихва за забава върху
подлежащите на връщане средства, считано от датата, следваща разпореждането, дължима до
датата на подаването на исковата молба(19.05.23г.), като ищцата има право и на законна лихва за
забава върху главницата от образуването на делото до окончателното изплащане на сумите.В такъв
смисъл се е произнесла и първата съдебна инстанция.
С оглед съвпадението на крайните правни изводи на двете съдилища, решението на БРС
следва да бъде потвърдено от БОС.
При този изход от обжалването и на основание чл.78, ал.3 от ГПК, въззиваемата ищца има
право на всички направени в настоящото производство деловодни разноски, в размер от 1570лв.,
представляващи заплатено за процесуалното представителство на страната от един адвокат
възнаграждение.
Мотивиран от горното, Бургаски окръжен съд
РЕШИ:
ПОТВЪРЖДАВА Решение №1210/13.06.24г. по гр.д.№4975/23г. по описа на РС-Бургас.
ОСЪЖДА „Обединена българска банка“ АД(ОББ) с ЕИК ********* със седалище и адрес
на управление гр.София, р-н „Триадица“ бул. „Витоша“ №89Б, със съдебен адрес: гр.София, п.к.
1000,р-н „Средец“, ул.“Граф Игнатиев“ №24, ет.1 чрез адв. И. Василева от АД „Т. и
съдружници“,ДА ЗАПЛАТИ на С. Ж. Б. с ЕГН ********** от********* сумата от 1570 лв.,
представляваща разноски, платени като възнаграждение за процесуалното представителство на
12
страната от един адвокат в производството по ВГД 1455/24г. по описа на ОС-Бургас.
Решението може да бъде обжалвано в едномесечен срок от връчването му на страните, с
касационна жалба пред ВКС на Р България.
Председател: _______________________
Членове:
1._______________________
2._______________________
13