№ 590
гр. Стара Загора, 16.06.2025 г.
В ИМЕТО НА НАРОДА
РАЙОНЕН СЪД – СТАРА ЗАГОРА, VII-МИ ГРАЖДАНСКИ СЪСТАВ,
в публично заседание на шестнадесети май през две хиляди двадесет и пета
година в следния състав:
Председател:Свилен Жеков
при участието на секретаря Маргарита Огн. Николова
като разгледа докладваното от Свилен Жеков Гражданско дело №
20245530101871 по описа за 2024 година
и за да се произнесе взе предвид следното:
Производството е по реда на чл. 103 - 257 от Гражданския процесуален
кодекс /ГПК/.
Ищцата С. М. Р. твърди, че е клиент на ответната търговска банка
БАНКА ДСК АД, като е сключила рамкови договори по силата на които
притежава банкова сметка към ответника № *************** с дебитна карта
MasterCard/VISA № ********** към посочената сметка. На ********г. около
9.00ч. на електронната й поща на личният й имейл - ************ в поща
***** отворила писмо с подател Банка ДСК. Тъй като ползвала мобилно
приложение на същата банка ДСК Смарт за електронно банкиране, не се
усъмнила в писмото. Там пишело да си актуализира личните данни в ДСК
ДИРЕКТ като се посочвало, къде да продължи с актуализацията. В писмото се
твърдяло, че това било политика на Банка ДСК и спазвали стандарти. Пишело,
че ако не потвърди данните си, ще блокират сметката. Последвала от личният
си лаптоп връзката в посочения линк и следвала инструкциите стъпка по
стъпка. По време на тази „актуализация“ на личния й телефон ми пристигнало
SMS съобщение, че сумата от 5000,00 /пет хиляди/ лева са приведени на
1
неизвестен за ищцата човек и неизвестна за нея банкова сметка. Веднага се
обадила на кол център - единен номер ********* - телефон на банка ДСК и
там я свързали със служител. Ищцата обяснила какво се случва в момента и
докато разговаряла със служителката, тя я уверявала, че в момента вижда
банковата сметка и я уверила, че блокира сумата от пет хиляди лева веднага.
Служителката съобщила, че банковата сметка и картата към нея били
блокирани веднага от нея. Съка уверила ищцата, че сумата от 5000,00 лева я
виждала на компютъра и че още не е стигнала до другата сметка /не знам коя
е/, и парите стояли неизпратени. Блокирала тази сметка с картата и въобще
блокирала достъпа до акаунта на ищцата в банка ДСК. Посъветвала ищцата
веднага да отиде лично в най-близкия клон на банката в града, в който живее и
да подаде писмено заявление за оспорване на транзакция. Също така казала,
че това бил фишинг имейл /измамен имейл/. Ищцата веднага отишла около
10.00ч. до най-близкия клон на ДСК - До ************** гр. Стара Загора, на
ул. „*******, съобщила на гише на служителка какво я посъветвали от кол-
център и подала заявление за оспорване на транзакцията от 5000,00 лева.
Същата служителка й дала нови пароли за достъп до акаунта за електронно
банкиране до сметката и пуснала искане за преиздаване на нова дебитна карта.
Старата карта, служителката от гишето я взела и я унищожила. Служителката
на гишето също така я уверила, че банковата сметка е блокирана в момента и
че също вижда сумата от 5000,00 лева, която сума стои блокирана и тя.
Ищцата се прибрала вкъщи и започнала да активира новите данни, които й
дали /пароли за достъп до акаунта/. Започнала регистрация пак от лаптопа си и
вече имала достъп до сметката от приложението през лаптопа, видяла, че
сумата от 5000,00 лева е блокирана до ********г. Решила, че това е срокът, в
който банката да направи вътрешна проверка и ще й възстановяли сумата от
пет хиляди лева. Веднага след активацията на нови пароли в рамките на
половин час след активация на акаунта - към 17 часа на същия ден -
********г., по телефона с ищцата се свързал служител от банката. Той
започнал да я разпитва как се е случило това, кога видяла, как отворила
пощата. Той я уверил, че стои пред досието на компютъра в момента и задали
един необичаен въпрос: Дали вчера - 17.10.2023г. ищцата увеличила лимита?
Предположила, че това е лимит за теглене на суми на ден или за преводи по
електронен път и обяснила, че не го е увеличавала. Ищцата била уверена от
него, че банката започва вътрешна проверка по случая. Жалбата била подадена
2
към вътрешен отдел за измами и да чакам разглеждането на случая. След
разговора с него, веднага блокирали достъпа до акаунта с новите пароли и
сметката на ищцата. На 04.12.2023г. ищцата се обадила по телефон до Кол
център на единен номер ********* на Банка ДСК, за да разбере докъде е
стигнал случаят й и кога. ще има достъп до акаунта и сметката си.
Служителката след проверка й съобщила, че сумата от 5000,00 лева са
преведени към банка ******, незнайно на кой. Учудила се, че всичко било
блокирано, а изведнъж парите били приведени. При условие, че била пуснала
жалба, заявление да оспорване на транзакцията и всички служители я
уверявали, че парите са блокирани. Ищцата подала сигнал до РП Стара Загора,
по повод на която в ОД на МВР сектор Икономическа полиция, се водело още
проверка-разследване. Няколко пъти разследващ полицай, я викал да дава
сведения и обяснение. Проверката все още не била приключила. Подала втора
жалба до същия клон банката до момента нямала никакъв отговор от банка
ДСК АД. От банката казали, че на дата ********г. била направена
транзакцията за сумата от 5000,00 лева /пет хиляди лева/ към банкова сметка
на банка ******. До *******г. - деня в който ищцата подала втората жалба в
банка ДСК, нямала достъп и не можела да влиза в акаунта си и не можела да
нарежда преводи и да прави транзакции /плащания/. През месец март се
наложило да прави превод от 4000,00 лева, която сума била задържана по
време на операцията в акаунта й в приложението на банката. Обадил се лично
по телефона банков служител да потвърди превода /транзакцията/ и едва
тогава пуснали парите. Ищцата твърди, че на посочената по-горе дата
********г., не е напускала пределите на страната, поради което твърди, че е
невъзможно да извърши операцията от чужбина. Заявява, че не е предоставяла
банковата си карта на трети лица, нито я губила, не е предоставяла и кода и
пароли или данните си от акаунта на трети лица, не е записвала същия на
платежния инструмент, нито съхранявала същия заедно с картата. Не е
оставяла банковата си карта без надзор, нито телефона си на който е
регистриран акаунта за електронно банкиране. Заявява, че акаунта за
електронно банкиране е инсталиран в приложение на банка ДСК Директ, и го
ползва на личния си телефон с номер **********. През личният си лаптоп
само влиза в банковото приложение на банка ДСК - ДСК Директ. Декларира,
че никой освен нея, няма достъп до личния й телефон и личния й лаптоп, нито
ги е давала да се ползват от трето лице, нито са били обект на кражба. Моли
3
съда да постанови решение, с което да осъди ответника да заплати сумата в
размер на 5000,00 лв., която сума представлява неразрешена платежна
операция извършена на дата ********г. около 10:00ч., ведно със законна
лихва, дължима от датата на депозиране на исковата молба - 24.04.2024г. до
окончателното плащане и мораторна лихва от 267,64 лв. дължима за периода
от дата 06.12.2023г., до датата на подаване на исковата молба в съда.
В законоустановения срок по чл. 131, ал. 1 ГПК ответникът е подал
отговор на исковата молба, като заема становище за неоснователност на иска.
Признава, че на *******г. между Банка ДСК и ищцата бил сключен договор за
откриване и обслужване на стандартна разплащателна сметка на физически
лица /Приложение №1/, по силата на който Банката открива на името на
титуляра разплащателна сметка в лева с номер ***********. Договорът бил
сключен при Общи условия, с които клиентът предварително се е запознал и
под които се е подписал /Приложение №2/. Към откритата банкова сметка бил
сключен и договор за издаване и обслужване на дебитна карта /Приложение
№3/. Договорът бил сключен при действието на Общите условия по договор за
издаване и обслужване на дебитни карти на Банка ДСК /Приложение №4/.
Наред с тези договори ищцата е подписала и Искане за достъп до ДСК Директ
за граждани /Приложение №5/. Искането за достъп до ДСК Директ заедно с
Договорът за откриване и обслужване на стандартна разплащателна сметка
имал характер на самостоятелен договор за достъп до електронните канали в
системата на ДСК Директ. Неразделна част от Договора за разплащателна
сметка и Искането за достъп към него били и Общите условия /по смисъла на
чл.16 ЗЗД вр. с чл. 298 ТЗ/ на „Банка ДСК“ АД към договори за предоставяне
на платежни услуги, в сила от ********г. /Приложение №6/. Съгласно
приложимите ОУ, за установяване на идентичност на клиента и/или
удостоверяване на автентичност на наредените от него платежни операции от
разстояние, Банката изисква едно или повече измежду предлаганите от
банката персонализирани средства за сигурност, сред които е и договорените
с ищеца: персонален цифров сертификат, издаден от банката, ПИН за него и
еднократен SMS, чрез който се получават еднократни динамични кодове за
потвърждение на всяка платежна операция. Следвало да се посочи, че ПИН
кодът се определя от клиента и е известен само на него и винаги се въвежда
ръчно от съображения за сигурност. На ********г. ищцата подписала
Допълнително споразумение за достъп до електронните канали на Банка ДСК,
4
с което е отправено искане за регистрация на мобилен номер и за генериране
на 3-D парола за плащания в Интернет /Приложение №7/. В него ищцата е
заявила желанието си при транзакции от сметка с IBAN № ************ да
получава 3-D парола чрез SMS и ПИН код за нея, като при извършване на
плащания в интернет, ще използва мобилен номер +*********. Използването
на персонален цифров сертификат, ПИН за него и 3-D парола - код, получен
чрез SMS на телефонен номер, посочен от клиента, имал действието на
правно валиден електронен подпис по смисъла на чл. 13 ЗЕДЕУУ, който в
отношенията между страните се приравнявал на саморъчен такъв и който се
ползвал за подписване на електронни платежни нареждания /т.62.7.2 от ОУ/.
Не оспорва твърденията на ищцата, че на ******** г. от нейна сметка с IBAN
************ бил нареден паричен превод към *********** с размер на
сумата 5000,00 лева. Трансакцията била наредена от лице, овластено да
използва дебитната карта на клиента и/или знаещо нейните данни, необходими
и използвани при извършването на операцията - пълният номер на картата /16
цифри/, датата на изтичане на валидността й и допълнителният код за
сигурност /CVC2/CW2/ от гърба на картата. Горепосоченият паричен превод
бил подписан от ищцата, чрез уговорения в Допълнителното споразумение за
достъп до ДСК Директ метод и начин - чрез персонален цифров сертификат,
ПИН за него и въведен SMS код, изпратен на тел. номер +*********.
Оспорената трансакция била извършена успешно и нямало данни, които биха
могли да свидетелстват за неправомерна употреба на банковата карта. За
извършената трансакция било изпратено съобщение от електронните канали
на „Банка ДСК“ АД на посочения в допълнителното споразумение мобилен
телефон с номер +*********, съдържащо еднократна 3D парола, чрез която
било потвърдено плащането. Прилага справка за транзакция по дебитна карта
на ищцата, както и справка за получени CMC съобщения от CMC системата на
„Банка ДСК“ АД, от които било видно, че на ********г. към тел. номер
+********* било изпратено съобщение съдържащо код за авторизация на
клиента, като наредител на превода: - CMC, съдържащ авторизационен код:
*******, с който бил потвърден процесният превод /Приложения №8 и 9/.
Ищцата пропускала да отбележи това обстоятелство в исковата си молба.
Задължение на клиента било, преди да въведе еднократния код за
потвърждение, да свери данните, съдържащи се в CMC съобщението с
данните от реалното плащане. В случай, че имало някакво несъответствие,
5
клиентът не следвало да потвърждава плащането чрез въвеждането на
еднократния код. Освен получаването на потвърдителен авторизационен код,
при проведен телефонен разговор с Кол център на Банка ДСК, ищцата е
заявила, цитирам „Получих един имейл, който се оказа, че е фишинг, за
актуализиране на данни. И аз започнах да правя всички там стъпки, които ми
изискваше и накрая се оказа, че от моята сметка са изтеглени пет хиляди
лева.“, което явно сочи към грубо нарушение на задължението по чл.75, т.3
ЗПУПС и т.63.1 от Общи условия на „Банка ДСК“ АД за предоставяне на
платежни услуги съгласно която „Клиентът е длъжен да използва
инструментите за отдалечен достъп и персонализираните средства за
сигурност само лично и в съответствие с условията за тяхното издаване и
ползване“. Неспазването на горните нормативно и договорно определени
задължения представлявало груба небрежност, която на основание чл.80, ал.3
ЗПУПС изключвала отговорността на Банка ДСК за конкретната операция по
чл.79 ЗПУПС. Това е и причината в т.63.7. от Общите условия Банката да не
носи отговорност, в случай че в резултат на неизпълнение от страна на
Клиента на задълженията му по предходните точки, инструментите за
отдалечен достъп бъдат използвани от трети лица. Въз основа на изложеното
по-горе, счита че е налице неизпълнение на задълженията на клиента по чл.75
ЗПУПС за запазване на персонализираните средства за сигурност на
платежния инструмент и съгласно чл.80, ал.3 ЗПУПС платецът понася всички
загуби, свързани с неразрешени платежни операции, независимо от размера
им, ако ги е причинил с неизпълнението на едно или повече от задълженията
си умишлено или поради груба небрежност. Твърди, че при изпълнение на
оспорената платежна операция Банка ДСК е спазила всички нормативно и
договорно установени между страните изисквания за това и не са налице
основания за ангажиране на отговорността й съгласно ЗПУПС, тъй като: а/
съгласно чл.78, ал.1 ЗПУПС банката по безспорен начин е установила
автентичността на платежната операция, нейното точно регистриране и
осчетоводяване, както и това, че същата не е била засегната от техническа
повреда или друг недостатък в услугата, предоставяна от Банката. б/ съгласно
чл.100 ЗПУПС, при изпълнение на процесната платежна операция, банката е
приложила процедура за задълбочено установяване на идентичността на
наредителя. В изпълнение на законовите си задълженията по ЗПУПС, Банката
прилага комбинация от два независими елемента, както следва, знание /нещо,
6
което само Клиента знае/, а именно парола за достъп до профила в ДСК
Директ и четири цифреният ПИН код, определен лично от ищцата и известен
единствено на нея, който не може да бъде запаметен в браузър или друго
подобно средство за запаметяване на пароли и/или биометричен
идентификатор и се въвежда ръчно при потвърждаване на всяка платежна
операция; също така и потребителското име и паролата за достъп до
електронното банкиране; притежание /нещо, което само Клиентът притежава/.
За потвърждение на операцията е генерирана еднократна динамична парола
/3D парола/, която заедно със зададения от клиента ПИН се използват при
всяко едно подписване на платежно нареждане или покупка в Интернет. Моли
за отхвърляне на исковете, претендира разноски.
В открито съдебно заседание ищцата, редовно призована, не се явява
като чрез процесуален представител поддържа исковата молба и моли за
постановяване на осъдително решение спрямо ответника. Претендира
разноски.
В открито съдебно заседание ответникът, редовно призован, чрез
процесуален представител, не се явява, а се представлява. Моли за отхвърляне
на исковете.
Старозагорски районен съд, като съобрази правните доводи на страните,
събраните доказателства, поотделно и в тяхната съвкупност, съгласно
правилата на чл. 235, ал. 2 ГПК, намира за установено следното от фактическа
и правна страна:
Предявен е главен осъдителен иск с правно основание чл. 79, ал. 1 от
Закона за платежните услуги и платежните системи /ЗПУПС/ и акцесорен
осъдителен иск с правно основание чл. 86, ал. 1 от Закона за задълженията и
договорите /ЗЗД/.
Съгласно разпоредбата на чл. 57, ал.1 ЗПУПС /отм./, а и според сега
действащата разпоредба на чл. 79, ал. 1 ЗПУПС, в случай на неразрешена
платежна операция доставчикът на платежни услуги на платеца му
възстановява незабавно стойността на неразрешената платежна операция и,
когато е необходимо, възстановява платежната сметка на платеца в
състоянието, в което тя би се намирала преди изпълнението на неразрешената
платежна операция. Това означава, че няма промяна в нормативната уредба
относима към процесния правен спор. За основателността на главния иск в
7
тежест на ищцата е да докаже, че между страните е съществувало
облигационно отношение по договор за дебитна карта, че в срока на действие
на договора е извършена платежна операция, която не е била заявена от
платеца, както и нейната стойност. В тежест на ответника е да установи, че е
възстановил стойността на неразрешената платежна операция или че
платежната операция е извършена чрез използване на изгубен, откраднат или
незаконно присвоен платежен инструмент, когато платецът поради
небрежност не е успял да запази персонализираните защитни характеристики
на инструмента. Този извод следва и от чл. 78, ал.1 ЗПУПС, който възлага в
тежест на доставчика да установи автентичност на платежната операция.
С доклада по делото на основание чл. 146, ал. 1, т. 4 ГПК са обявени
за безспорни между страните по делото правнорелевантните обстоятелства, че
между тях е налице сключен договор за издаване и обслужване на дебитна
карта /така и договор за откриване и обслужване на стандартна разплащателна
сметка на физически лица от ******* г., договор за издаване и обслужване на
дебитни карти от ******* г., допълнителни споразумения от ******** г.,
ведно с Общи условия, л. 18-63 от делото/, извършване в срока на ******* г.
/в срока на договора/ на платежна операция, вследствие на което от банковата
сметка на ищцата при ответника е бил извършен превод на обща стойност от
5000,00 лв., в полза на трето лице, уведомяване на ответника за употреба на
платежния инструмент незабавно след узнаването и че ищцата не е била
съгласна с извършената транзакция, т.е. налице е неразрешена платежна
операция.
От представено по делото искане за оспорване на транзакции с банкова
карта от ******* г. /л. 8 от делото/ се установява, че ищцата е поискала
възстановяване на сума в размер на 5000,00 лв., излагайки твърдения, че
посочената транзакция не била генерирана и извършена по нейно нареждане.
Представено е и клиентското досие на ищцата /л. 90-167 от делото/
съдържащо ОУ по договор за издаване и обслужване на дебитни карти на
Банка ДСК в сила от 01.11.2009г.; Искане за достъп до ДСК Директ за
граждани от дата **********г.; Искане за промяна на достъп до ДСК Директ
за граждани от дата *******г.; Искане за промяна на достъп до ДСК Директ за
граждани от дата **********г.; Искане за промяна на достъп до ДСК Директ
за граждани от дата *********г.; искане за достъп/промяна на достъп до ДСК
Директ за граждани от дата *******г.; искане за регистрация на мобилен
8
номер/тоукън устройство/Тоукън-мобилно приложение за
получаване/генериране на еднократна 3-D парола за плащания в Интернет от
дата *******г.; ОУ към договори за откриване и обслужване на
разплащателни сметки на физически лица и за предоставяне на платежни
услуги по тях; ОУ на „Банка ДСК“ АД за предоставяне на платежни услуги в
сила от ********г.; Договор за издаване и обслужване на дебитни карти за
физически лица от *******г.; Договор за откриване и обслужване на
стандартна разплащателна сметка на физически лица от дата *******г.;
Справка за СМС съобщения; Справка за транзакции по дебитна карта;
Справка за нареден превод; Застраховка „Злополука“ на картодържател;
Декларация в съответствие с чл.4, ал.1, т.2 от Закона за защита на личните
данни от дата *******г.; Информация по чл.19, ал.1 от Закона за защита на
личните данни; Копие на лична карта – 2бр.; Декларация в съответствие с чл.4,
ал.1, т.2 от Закона за защита на личните данни от дата **********г.;
Определяне на рисков профил; Искане за промяна състояние на карта;
Декларация за предаване/връщане на банкова карта /********г./;
Допълнително споразумение за промяна на данни по карта от дата *******г.;
Декларация за предаване/връщане на банкова карта /*******г./; Декларация за
предаване/връщане на банкова карта /********г./; Анкета за регистриране в
Банка ДСК ЕАД на физическо лице/едноличен търговец от дата *********г.
Ответникът представи извадки от неговата електронна система в период
обхващащ оспорената транзакция съдържащи се и в клиентското досие на
ищцата и анализирани и от в.л. /л. 64-67 от делото/, а в писмо от ********* г.,
съдържащо извадка от системата на банката /л. 248 от делото/ изяснява, че
спорната транзакция е извършена не чрез електронни канали на ДСК –
Директ, а онлайн в интернет чрез въвеждане на данни от дебитна карта с
въвеждане на ПИН код и еднократен код съдържащ се в генериран и изпратен
на телефонния номер на ищцата СМС. В писмо от 28.04.2025 г. /л. 253 от
делото/ третото неучастващо по делото лице „********“ ЕАД дава отговор, че
не предлага услуга клониране на СИМ карта и е възможно компрометиране на
СМС от ******** г. при предоставяне на данни на трети лица от ползвателя на
телефонния номер. На л. 222-227 от делото се намират доказателства
неприети по делото поради настъпила процесуална преклузия /вж. протоколно
определение от 28.02.2025 г., л. 232-234 от делото/. В обобщение - установява
се от събраните по делото писмени доказателства, че на ******** г. ищцата е
9
станала обект на т.н. „фишинг измама“, по повод на което и след подадена от
нея жалба към ОД на МВР – Стара Загора е било образувано и досъдебно
производство за извършено престъпление по чл. 249, ал. 1 НК/ - така и
приетите прокурорски постановления /л. 78 и 168 от делото/.
От приетите основно и допълнително заключение на съдебно-
компютърната експертиза, а и по твърдения на самата ищца очевидно
неусъмнявайки се в горепосочения имейл с логото на банката, се установи, че
ищцата е последвала приложен към същия линк, тъй като е била приканена да
актуализира информацията си, като условие да продължи да използва
мобилната услуга на банката, като извършвайки посочените действия е била
принудена да въведе данните за профила/акаунта си за ползване на ДСК
Директ /отговор на въпрос 14 от основното заключение/. Транзакциите са
протекли при идентификация на ищцата и въвеждане на 3DS код извършени
от IP адрес *********, който IP адрес ********* е в системата на
„**********“ ЕАД и е динамичен адрес, вкл. влизането в електронното
банкиране е от същия IP адрес ********* и става въпроси не за онлайн
банкиране, а за картово разплащане с дебитна карта /отговор на въпрос 3, 4,
6, 9, 10, 11, 12, 15 и 16 от основното и отговор на въпрос 7 и 10 от
допълнителното заключение/, като принципно е възможно потребителското
име и паролата на ищцата да бъдат придобити неправомерно, както и
извършването на платежна операция без въвеждане на секретен код /отговор
на въпрос 5 и 8 от основното заключение/. В приложение № 3 и 4 от
заключението на основната експертиза се виждат данните за IP адрес
*********, от който е протекла транзакцията и съдържанието на изпратения
СМС на телефонния номер на ищцата /л. 217 от делото/, чието съдържание на
СМС съвпада с представеното по делото писмо от ответника /л. 248 от
делото/. От допълнителното заключение на съдебно-техническата експертиза
се установява, че не може да се посочи от какво устройство и с каква
операционна система е извършен процесния превод /отговор на въпрос 2 от
допълнителното заключение/, като в случая в системата на „********
********“ ЕАД не може да се извърши клониране на СИМ карта, а СМС
изпратен на телефонния номер на ищцата /отговор на въпрос 4, 5 и 8 от
допълнителното заключение/. В о.с.з. на 28.02.2025 г. /вж. протокол, л. 232-
234 от делото/ в.л. изяснява, че по отношение на механизма на транзакцията,
че на ********г. в 09:34 от IP адрес ********* има влизане от този IP адрес в
10
системата на онлайн банкирането на ищцата, в нейния профил. Има заредени
страници, както следва: запитване за салдото по сметката, тази страница от
онлайн банкирането е отворена. Сесията е започнала в 09:34, после имало
запитване за наличността, след това имало други изреждани страници,
акаунта, имало едно запитване за кредит, пак била отворена страница за
запитване за кредит. Вече в 09:35 била налице смяна на лимита на Smart Vista.
Който е влязъл, е проверил колко е лимита. Не е била дадена информация на
в.л. в колко часа е направен превода, но сочи, че в 09:35 вече трябва да е било
наредено плащането. Вече в 09:37 и 09:38 вече правели някакви проверки на
акаунта. Този, който е на този IP адрес ********* правел проверки. В.л. сочи,
че линка, който ищцата е получила няма да я заведе към „Банка ДСК“, а ще я
въведе в някаква подобна и най-вероятно там си е въвела потребителското име
и паролата, и са й ги откраднали, в този сайт си е въвела данните за дебитната
карта. Вече бил стартиран процес за превеждане на пари и за това банката го
изпълнявала. Въвеждайки данните на дебитната карта в някакъв си сайт,
всъщност парите не били извадени от онлайн банкирането, а от дебитната
карта. Всъщност я водели към някакъв линк, в който тя трябва да си въведе
дебитната карта и банката трябва да ги потвърди. Въвеждал ги този, който
притежава номера на дебитната карта, валидността на дебитната карта и отзад
CVC кода. Възможно е, ако тези данни били откраднати, трети лица да
въведат тези данни и да стартират операцията. В този момент - след като се
сдобият с тези неща, тогава тръгвала процедура за верифициране на
транзакцията. Затова започвали да се появяват и тези кодове, изпратен SMS.
Третите лица са проверили самото онлайн банкиране в интернет, но самото
плащане е станало с картата, а не с онлайн банкирането /парите не са били
наредени от онлайн банкирането/. В онлайн банкирането са видели само колко
средства нейната карта може да изпрати, но самото плащане не е направено от
онлайн банкирането, а с картата. Крадели се данните на картата и после се
изпраща SMS на нейния телефонен номер. И вече по някакъв начин този код е
въведен и банката потвърждава плащането. Код за потвърждение бил
изпращат както на СМС, така и на Вайбър, но в.л. не може да каже защо един
път е ******, а друг път – ******. По принцип може да се клонира СИМ карта
и да се изпратят данни на нея. SMS-а е изпратен на телефонния номер на
ищцата, който е въведен в банката. Възможно е при откраднати персонални
данни на картата, да бъде преодоляна и 3DS паролата с клониране на СИМ
11
карта. А в о.с.з на 16.05.2025 г. /вж. протокол, л. 267-269 от делото/ и след
изготвяне на допълнителното заключение в.л. сочи, че не може да се каже
от какво устройство е направена операцията, тъй като че банката не събирала
информация за това. По отношение на SMS-а, изпратен към телефонния
номер на ищцата „******** е отговорил, че не предлагат тази услуга и затова
се предполага, че е невъзможно клонирането. „******“ не можел да клонира
карта на „********“. За Вайбър SMS уточнява, че идеята е, ако вие сте
регистрирали Вайбър на този номер, системата ще провери дали има Вайбър и
ще го изпрати на Вайбър. Ако нямате, ще го изпрати на SMS. Това била идеята
на Вайбър SMS. В.л. не може да посочи на кое устройство е получен SMS-а,
защото това влизало в трафичните данни, които се пазят 6 месеца. Към
днешна дата не можело да се отговори, на кое устройство е получен SMS-а. Не
можело да се каже още защо веднъж SMS-а е от „******“, друг път от
„******+******“. Относно разликата в IP адресите изяснява, че това са три
различни сесии, които са записани в логовете. Първият е в 9:34 и е от един IP
адрес. После от 17:35 от друг IP адрес. Записвала се информация от кой IP
адрес е започнала сесията. В 09:34 от IP адрес завършващ на 12 е започнала
първата сесия, съответно е приключила. След това в 17:35 започвала втора
сесия също приключила. И в 17:37 започнала трета сесия. Това показвало, че в
този ден от тези IP адреси е достъпвано онлайн банкирането. Вписано било
потребителското име и паролата от тези IP адреси. Първият IP адрес -
*********. бил на „******“, а не на „********“, като същият е бил
динамичен, но поради шестмесечния период за запазване на данните не е
възможна проверка. Не било възможно да се установи от кой IP адрес е
искането за извършването на операцията, тъй като банката не събира
информация от кой IP и от кое устройство се нареждат картовите плащания.
В.л. обобщава, че в приложение № 3 към първата експертиза това е IP адреса
на логването и на плащането, който е към „******“ - ********* и е точно IP
адреса, от който е направен към ******. Значи успешно е аутентификирана и
може да се приеме, че това е IP адреса, от който е направено плащането на
******. Изяснява, че е налице логване в онлайн банкирането, а плащането е
направено с карта, т.е. номерата на картата били въведени в някой сайт –
******. IP адрес ********* всъщност бил на устройството, на което е
инсталиран ****** и на него са сложени данните на картата. Ответникът
твърдял, че от този номер е направено плащането и всички реквизити са
12
минали и го потвърждава. Но от една страна при плащане с карта и са
необходими само номерата на картата, не е нужно да се логва в приложението,
в онлайн банкирането. В заключение в.л. сочи, че приложение № 3, 4 и 5 към
първоначалната експертиза показва, че влизайки от IP адрес ********* какви
неща са извършени – проверка на сметката в 09:34, но при тези логове
изяснява, че е възможно банката да се е объркала или да е налице съвпадение,
защото от една страна тя е била и в онлайн банкирането, а от друга страна в
същия момент пък се извършвало въвеждане на номерата на картата някъде и
банката записва, че операцията е направена от IP адрес завършващ на 12 - IP
адрес *********. Или пък третите лица са следили ищцата и щом тя е чукнала
на линка, влезнала е в банката, почнала е да проверява нещата, те получават
информация за нейните данни и почнали и те да въвеждат, и тя въвежда, и
излизало, че от този IP адрес - ********* е направено онлайн плащането.
Защото в приложение №3, от този IP адрес - ********* се потвърждава
успешна промяна. Затова в.л. счита, че по-скоро някакво объркване се е
получило в самата система на банката, защото и двамата, ищцата и третото
лице, може да са работели едновременно и това може би е целта на фишинга -
влизаш в профила си и през това време те получават данните и почват да ги
ползват. Логично звучало да има едновременни действия, и тя въвежда, и
трето лице въвежда, в един момент се иска код за потвърждение и тя
примерно го потвърждава, и операцията се потвърждава. Ставало въпрос за
някаква паралелна дейност, и в онлайн банкирането и със самата дебитна
карта, като са съвпаднали нещата. Ако станело, ще й вземат парите, но не
всеки последвал линка.
Предметът на делото се заключава в отговор на въпроса дължи ли
ответникът възстановяване на стойността на неразрешената транзакция с
оглед разпоредбата на чл. 79, ал. 1 ЗПУПС. При анализа на разпоредбите на
ЗПУПС и на Общи условия на „Банка ДСК“ АД към рамков договор за
откриване и обслужване на банкови платежни сметки и извършване на
платежни операции, се налага изводът, че по правило банката-издател
отговаря пред платеца в размер на стойността на неразрешената банкова
операция /чл. 79, ал. 1 ЗПУПС/. Законът е уредил намаляване или изключване
отговорността на банката само в случаите, в които картодържателят е
допуснал небрежност при използване на платежния документ, като при
допусната лека небрежност отговорността е намалена - чл. 80, ал. 1 ЗПУПС и
13
изцяло изключена при условията на чл. 80, ал. 3 ЗПУПС - при допусната груба
небрежност или умисъл. Освен това доколкото ЗПУПС регламентира
задължението на ответника като доставчик на платежната услуга да извършва
единствено разрешени операции /ако операцията е неразрешена се дължи
възстановяване на стойността на платежната операция/, то следва, че
отговорността на ответника възниква по силата на законовата норма и при
реализиране на предвидените в нея предпоставки. В ЗПУПС са предвидени
задължения на ползвателя на платежни услуги да използва платежния
инструмент в съответствие с условията за неговото издаване и използване. От
събраните по делото доказателства не се установява извършването на
процесната транзакция при измама извършена от ищцата /не е налице влязла в
сила присъда за това, както и предпоставки за произнасяне на съда по реда на
чл. 124, ал.5 ГПК/. По аргумент от чл. 78, ал. 1 ЗПУПС и с оглед правилата за
разпределяне на доказателствената тежест в процеса, в тежест на ответника е
да установи, че ищцата е проявила умисъл или груба небрежност при
неизпълнение на задълженията си по договора, както и, че е налице причинна
връзка между претърпените загуби и поведението на ищцата, изразило се в
неизпълнение поради умисъл или груба небрежност на задълженията й да
съхрани персонализираните защитни характеристики. Изискването за
причинна връзка се извежда от разпоредбата на чл. 80, ал. 3 ЗПУПС. За
умисъл в конкретния случай, не са събрани доказателства.
Основния спорен въпрос между страните и при положение, че с
доклада по делото на основание чл. 146, ал. 1, т. 4 ГПК бе обявено за
безспорно, че процесната платежна операция е неразрешена от ищцата е
дали ищцата е действала при условията на груба небрежност. За груба
небрежност се изисква да не са положени и най-малките усилия, и най-
малката грижа за съхраняване на Ю-код устройството, както и за използването
му така, че да бъдат опазени персонализираните защитни характеристики на
инструмента и те да не станат достояние на трети лица. Според тезата на
ищцата ответната банка следва да носи отговорност, произтичаща от това, че
процесната оспорена платежна операция е извършена вследствие на това, че
същата е станала обект на злонамерени измамливи действия от страна на
трето лице, т. н „фишинг измама/атака“, като е получила заблуждаващ
/фишинг/ имейл на електронния си адрес за кореспонденция с банката,
вследствие на което трето недобросъвестно лице е получило нерегламентиран
14
и неразрешен достъп до идентификационните данни на потребителския
профил на ищцата и по този начин са били наредени не от действителния
притежател на банковата сметка преводи от паричните й средства. Или
ищцата твърди, че е налице основание за ангажиране безвиновната
отговорностт на финансовата институция по чл. 79, ал. 1 от ЗПУПС,
произтичаща от обективния факт, че са налице неразрешени платежни
операции независимо от причините, поради които те са били извършени.
Ответникът от своя страна оспорва изцяло посочените факти и
обстоятелства, като прави две възражения: 1/ ищцата е проявила груба
небрежност, не е осигурила сигурността на своя потребителски акаунт, чрез
който е бил нареден превода, чрез спазване на установените в ОУ и на
интернет страницата на банката инструкции и препоръки за безопасност на
банкирането и предприемане на други действия, така че да не е възможна
чужда намеса и нерегламентиран достъп до потребителския профил на
ищцата от трети лица и 2/ ищцата е получила на своя телефонен номер СМС
за потвърждаване на платежната операция с уникален идентификационен код
и въпреки това процедурата по потвърждение е завършила.
По посочения въпрос Старозагорски районен съд намира следното:
За да бъде ангажирана отговорността на банката по договора за
платежни услуги на основание специалната норма на чл. 79, ал. 1 ЗПУПС
следва да бъдат установени следните елементи от фактическия състав на
нормата, а именно: 1/ сключване на договор за платежни услуги; 2/
изпълнение от страна на банката на конкретна платежна операция; 3/ тези
платежни операция да не са разрешени от платеца, който е и ползвател на
платежна услуга по сключения договор; 4/ да не е налице някое от
предвидените в ЗПУПС специални основания, при които може да се изключи
или ограничи отговорността на доставчика на платежни услуги при
изпълнението на неразрешена платежна операция – извършване на операцията
при измама или груба небрежност на платеца, 5/ банката да е уведомена
своевременно за неразрешената операция. Особеността при
доказателствената тежест в случая е, че при твърдения от ползвателя на
платежната услуга, че оспорената транзакция не е разрешена, в тежест на
банката е да докаже в производството, пълно и главно, че плащането е
извършено надлежно, или че е извършено въз основа на измама, или при груба
небрежност на оправомощения ползвател.
15
Според нормата на чл. 78, ал. 1 ЗПУПС, когато ползвателят на платежна
услуга твърди, че не е разрешавал изпълнение на платежна операция или че е
налице неточно изпълнена платежна операция, доставчикът на платежната
услуга носи доказателствената тежест при установяване автентичността на
операцията, нейното точно регистриране, осчетоводяването, както и за това,
че операцията не е засегната от техническа повреда или друг недостатък в
услугата, предоставена от доставчика на платежни услуги. В чл. 78, ал. 4
ЗПУПС е предвидено също така, че при твърдения на ползвателя за
неразрешена платежна операция и същевременно регистрирано от доставчика
на платежните услуги използване на платежен инструмент, не е достатъчно
установяване разрешаването на операцията чрез използване на
идентификаторите на платеца. В този случай доставчикът на услугата дължи
доказване, че ползвателят не е изпълнил някое от вменените му задължения по
ползване на персонализираните средства за сигурност. Доставчикът на
платежни услуги следва да авгажира доказателства, че операцията е
извършена при измама или груба небрежност от страна на ползвателя на
платежни услуги. А нормата на чл. 78, ал. 4 ЗПУПС възпроизвежда тази на
чл. 72, т. 2 от Директива /ЕС/ 2015/2366 на Европейския парламент и на
Съвета от 25.11.2015 г. за платежните услуги във вътрешния пазар. В нея също
е уредено, в случай на оспорване от ползвателя на платежните услуги на
изпълнена от него платежна операция, регистрираната от доставчика на
услугите /банката/ като надлежно извършена, че надежното регистриране на
операцията не е достатъчно, за да се приеме за доказано, че т я е била
разрешена от платеца или че последният не е изпълнил умишлено или поради
груба небрежност задълженията си по чл. 69 от Директивата. Следователно
доставчикът дължи доказването на измамата или грубата небрежност при
извършеното плащане. Нормите на чл. 78, ал. 1 и, ал. 4 ЗПУПС са ясни и
непротиворечиви. Чрез тях рискът от извършване на неразрешена платежна
операция е възложен на доставчика на платежната услуга, в чиято тежест е и
установяването на изключващите отговорността му обстоятелства. Едва при
проведено доказване на посочените обстоятелства, съгласно чл. 80, ал. 3
ЗПУПС, платецът понася всички загуби, свързани с неразрешени платежни
операции, когато ги е причинил чрез измама или с неизпълнението на едно
или повече от задълженията си по чл. 75 ЗПУПС умишлено или поради груба
небрежност. Съгласно съображение 72 на Директива /ЕС/ 2015/2366 на
16
Европейския парламент и на Съвета от 25 ноември 2015 година, за да е налице
„груба небрежност“ доставчикът на платежните услуги следва да установи
поведение, характеризиращо се със значителна степен на нехайство, като
например съхраняване на персонализираните средства, използвани за
разрешаване на платежна операция, непосредствено до платежния инструмент
в достъпен и лесно разпознаваем за трети лица вид. Определението за груба
небрежност се съдържа и в редица решения на ВКС- решение №
510/30.11.2011 г. на ВКС по гр.д. № 1923/2009 г., IV г.о, решение №
291/2012 г. на ВКС по гр.д № 951/2011 г., IV г.о, решение № 348/2011 г. на
ВКС по гр.д. № 387/2010 г., IV г.о, решение № 291/2012 г. на ВКС по гр.д.
№ 951/2011 г., IV г.о, решение № 62/2015 г. на ВКС по гр. д. № 2798/2014 г.,
IV г.о. и др. В трайно установената практика се приема, че небрежността в
гражданското право е неполагане на дължимата грижа според един абстрактен
модел - поведението на определена категория лица /добрия стопанин/ с оглед
естеството на дейността и условията за извършването й. Грубата небрежност
не се отличава по форма /според субективното отношение към увреждането/, а
по степен, тъй като грубата небрежност също е неполагане на грижа, но
според различен абстрактен модел - грижата, която би положил и най -
небрежният човек, зает със съответната дейност при подобни условия. Приема
се, че грубата небрежност е тежко нарушаване на дължимата грижа при
положение, че лицето е могло да я съблюдава в конкретната обстановката,
каквото един обикновен човек, поставен в същата обстановка не би могъл да
го допусне. Такова поведение е правно укоримо защото неблагоприятните
последици биха били избегнати, ако беше положена дължимата грижа. Дали
поведението е рисково и до каква степен то е довело до настъпване на вредата
се установява във всеки конкретен случай. В подкрепа на това разбиране е и
даденото разрешение в решение № 239/21.04.2017 г. на ВКС по т.д. №
2733/2015 г., II т.о., в което се приема, че според дефинитивното определение
в чл. 40, ал. 2 от Закона за платежните услуги и платежните системи /ДВ бр.
23/2009 г./ рамковият договор за платежни услуги е консенсуален, уреждащ
бъдещо изпълнение на отделни или на поредица от платежни операции, който
може да определя задълженията и условията за откриване и водене на
платежна сметка, като са установени специални правила за оспорване на
извършени платежни операции в хипотезата на разпореждане със средства по
сметка, предприети от обслужващата банка без нареждане на титуляра, както
17
и конкретни задължения на ищеца да предприеме всички разумни действия за
запазване на предоставените му персонализирани средства за сигурност при
ползването на платежната услуга. Също в правната теория, неполагането на
грижа, каквато се изисква за собствените работи, предпоставя небрежност. В
хипотезата на небрежност не се изследва психическо отношение, а се сравнява
поведението с модел. Този модел винаги е конкретен, а не абстрактен.
Небрежността и грубата небрежност се различават по съдържанието на
модела на дължимото поведение. При груба небрежност действа този, който
не полага грижа, каквато и най-небрежния човек би положил в подобна
обстановка като различието между грубата небрежност и небрежността е само
количествено. /А. Калайджиев, „Облигационно право“, Обща част/. При така
установените обстоятелства не се установяват факти, които да освобождават
ответника от обективната му и безвиновна отговорност по чл. 79 ЗПУПС, а
именно за неизпълнение поради умисъл или груба небрежност от страна на
ищцата на задълженията й да предприеме всички разумни действия по
съхраняване на персонализираните защитни характеристики на платежния
инструмент за мобилно интернет банкиране. Самото регистриране на
операциите от банковата платежна система не презумира нито автентичност
на операцията, нито неизпълнение на задълженията на ползвателя на
платежните услуги в хипотезата на умисъл или груба небрежност. Задължение
на банката е било да осигури платежен инструмент, който да не допуска
неразрешени платежни операции. Посочените в тази връзка съображения от
страна на ответника по повод действията на ищцата, сами по себе си не могат
да доведат до извода за груба небрежност от страна на ползвателя на услугата.
Съгласно нормата на чл. 78, ал. 4 ЗПУПС, при твърдение на ползвателя на
платежната услуга, че не е разрешавал платежната операция, регистрираното
от доставчика на платежни услуги, използване на платежен инструмент не е
достатъчно доказателство, че платежната операция е била разрешена от
платеца. В този случай доставчикът на платежни услуги, следва да представи
и доказателства, че е налице измама от страна на ползвателя на платежни
услуги или негова груба небрежност, изразяваща се в неизпълнение на някое
от задълженията му по чл. 75. В практиката на ВКС – вж. определение №
1957/11.07.2024 г. на ВКС по т.д. № 2456/2022 Г., І т.о., определение №
1085/25.04.2024 г. на ВКС по т.д. № 1043/2023 г., І т.о. се приема, че при
твърдение на ползвателя, че оспорената от него платежна услуга е
18
неразрешена, доставчикът не може да се ограничи с установяване на
обстоятелствата по чл. 78, ал. 1 ЗПУПС - регистриране на нареждането и
осъществяването му с електронното устройство на ползвателя, а следва да
докаже, че осъществяването ще се дължи на измама или проявена от
ползвателя груба небрежност, поради неизпълнение на задълженията му по
договора. Освен че съответстват на нормите на общностното право -
Директива /ЕС/ 2015/2366 на Европейския парламент и на Съвета от 25
ноември 2015 г. за платежните услуги във вътрешния пазар, нормите на чл. 78,
ал. 1 и, ал. 4 ЗПУПС са ясни и непротиворечиви и чрез тях рискът от
извършването на неразрешена платежна операция е възложен на доставчика
на платежната услуга, в чиято тежест е и установяването на изключващите
отговорността му обстоятелства. Отговорността на ответника възниква по
силата на законовата норма и при реализиране на предвидените в нея
предпоставки. В процесния случай и въпреки указаната доказателствена
тежест, ответната банка не доказа, както операциите да са наредени от ищцата,
така и последната да е допуснала груба небрежност, която да освобождава
банката от отговорност. Ищцата не може да бъде държана отговорна, когато
персоналните характеристики на платежния инструмент са ползвани в
резултат на измамна, респ. престъпна дейност, на която тя е станала жертва и
за защита срещу която не се твърди да разполага със специални знания и
умения, за да ги предвиди и съответно адекватно да се защити или предпази.
1/ По възражението на ответника за груба небрежност проявена от
ищцата състояща се в последване на т.нар. „фишинг имейл“:
Действително се установи, че ищцата е отговорила на тези „фишинг
съобщения“ и е въвела данни за своите персонализирани средства за
сигурност, активирайки съдържащата се в тях хипервръзка, но това нейно
поведение не може да се счита за неразумно действие, тъй като в случая тя е
била въведена в заблуждение за действително положение в резултат на
престъпна дейност. Ищцата не разполага със специални знания и умения
да противодейства на подобно нерегламентирано въздействие, поради
което предприемането на такова поведение не може да се счита за разумно
действие, което е дължимо от страна на обичайния потребител на интернет
банкиране, който полага грижи за собствените си работи. Вещото лице изясня,
че принципно е възможно потребителското име и паролата на ищцата да
бъдат придобити неправомерно, както и извършването на платежна
19
операция без въвеждане на секретен код /отговор на въпрос 5 и 8 от основното
заключение/. Вещото лице е стигнало до извод, че вероятно ищцата станала
жертва на измама, която е започнала с изпращането на фалшив имейл до
нейната електронна поща, чрез който тя е бил подтикната да последва фалшив
линк, който пък я е отвел до фалшив сайт, наподобяващ по дизайн сайта на
ответната банка, където ищцата е въвела данните от дебитната си карта. Това
е послужило на измамниците да стартират процедурата по дигитиализация на
картата и да извършат неправомерните транзакции. Друг факт, който сочи, че
ищцата е била измамена, е че както проверката на наличността по сметката
чрез онлайн банкиране, така и самата платежна операция, т.е. логването и
плащането към ****** са извършени от динамичен IP адрес посочен в
приложение № 3 към първата експертиза, който е към „******“ - *********, а
не към „******** ********“ ЕАД /обслужващия доставчик на ищцата/. В тази
връзка не може да се разглежда като груба небрежност действията на ищцата
по отговор на полученото фишинг съобщение, на което му е предаден вид, че
изхожда от ответната банка. Освен това като кредитна институция и като
доставчик на платежни услуги, най – същественото задължение на банката е,
да осигури максимална защита за предлагания платежен инструмент от
възможна нежелана интервенция на трети недобросъвестни лица в
операционната система на ползвателя на платежния инструмент. В случая
очевидно ответната банка е имала пропуски в тази насока, като от назначената
съдебно-техническа експертиза се установи, че не е поддържала достатъчно
ниво на идентификация на ползвателя на платежни услуги - не анализира
откъде се достъпва профила му от гл. точка на устройство, нито от гл. точка на
операционната система на устройството на клиентите и не предприема
действия по превантивно блокиране на неразрешените транзакции. Тези
обстоятелства, в съвкупност с горепосочените данни, са достатъчни, за да се
отрече проявена от страна на ищцата груба небрежност във връзка със
задължението й за опазване на персоналните й средства за защита. Освен това
същата е реагирала своевременно при узнаване извършването на
неразрешените платежни операции и е уведомила надлежно ответната банка
за това обстоятелство, което сочи на изпълнение на задължението й по чл. 75,
т. 2 ЗПУПС - така изцяло решение № 246/22.04.2024 г. на Великотърновски
окръжен съд по в.гр.д. № 847/2023 г. Затова възражението на ответника,
че само поради факта на действие на ищцата по последване на „фишинг“
20
измама при положение, че Банката не изпраща по електронна поща
съобщения, приканващи да бъдат предоставяни данни за парола,
потребителско име, номер на сметка, банкови карти и др., поради което
следвало да понесен последиците от това, се преценява като неоснователно.
Дори и поведението на ищцата, изразяващо се в отговаряне на електронно
писмо, представляващо „фишинг“ измама, а от събраните специални знания,
се установява, че се касае именно за такава измама, това нейно поведение
може най-много да бъде квалифицирано като проява на небрежност, но не и
на груба такава. Действително, в конкретния случай се установи, че ищцата
сама е предоставила данните си на трето лице, но до това представяне не се е
стигнало в резултат на поведение на ищцата създало предпоставки за това, а в
резултат на престъпното поведение на това лице или лица. Поради това, не
може да се приеме, че ищцата-платец е действала при груба небрежност – така
решение № 643/20.05.2022 г. на Варненски окръжен съд по в.гр.д. №
649/2022 г. Действително ищцата е предоставила данни за паролата и
дебитната си карта, но тя е действала в изпълнение на дадените указания, на
които е бил придаден автентичен вид и клиентът не може да бъде държан
отговорен, когато персоналните характеристики на платежния инструмент са
ползвани в резултат на престъпна дейност, на която той е станал жертва и за
защита срещу която той не разполага със специални знания и умения, за да ги
предвиди и съответно адекватно да се защити или предпази – така
определение № 1085/25.04.2024 г. на ВКС по т.д. № 1043/2023 г., I т.о.
Ответникът е кредитна институция, в чийто лиценз е включено и
извършването на платежни услуги по смисъла на чл. 5 ЗПУПС. В качеството
на доставчик на платежни услуги, който издава платежен инструмент, най -
същественото негово задължение е да осигури максимална защита на
предлагания платежен инструмент от възможна нежелана интервенция на
трети недобросъвестни лица в операционната система на ползвателя на
платежния инструмент. С действащата нормативна уредба доставчикът на
платежни услуги е поставен в по неблагоприятно положение, но той е
икономически и по-силната страна. А и част от спецификата на банковата
дейност е да се поема разумен риск. Издаването на платежни
инструменти следва да се разглежда като елемент от рисковото
банкиране, по подобие на предоставянето на банкови кредити.
Съществува риск за банката както от невъзстановяване на сумата по
21
предоставения кредит, така и от неправомерното използване на платежни
инструменти. Затова банката следва да прояви грижата на добър търговец при
проучване надеждността на ползвателя на платежни услуги и въз основа на
това да поеме разумен риск - така решение № 195/22.03.2023 г. на Софийски
апелативен съд по в.т.д. № 1079/2022 г., решение № 51/20.02.2025 г. на
Старозагорски окръжен съд по в.т.д. № 571/2024 г., решение №
361/25.10.2024 г. на Пазарджишки окръжен съд по гр.д. № 236/2023 г.
2/ Възражението на ответника за получен от ищцата SMS съдържащ код
за авторизация на клиента и последващо потвърждаване на превода с код от
този SMS не се споделя от настоящия съд по седем причини:
1/ Действително не е много ясно, вкл. на вещото лице, как третите лица
са се добрали до кода, защото потребителското име и паролата явно са били
прихванати чрез фалшивия сайт. Ищцата трябвало да каже къде точно е
изпращала кода – дали го е препращала някъде или го е въвела във фалшивия
сайт, но този код е достигнал до измамниците и е било възможно
осъществяване на транзакцията. В.л. посочи, че се открадват данните на
картата и после се изпращал SMS на нейния телефонен номер., но заедно с
това в.л. не може да посочи защо код за потвърждение бил изпращан както на
SMS, така и на Вайбър, вкл. в.л. не може да каже защо един път е ******, а
друг път – ******. Вярно е, че след стартиране на транзакцията банката също
е извършила действия по електронен път - изпратила SMS за потвърждаване
на транзакцията, които наистина са правомерни и добросъвестни, но в
контекста на всички факти са довели до задълбочаване на заблудата на
ищцата. Ищцата не е можела, а и не е била длъжна да знае, че посещава
фалшия сайт, тъй като този сайт явно е бил външно идентичен с истинския
сайт на банката, т.е. тя е била добросъвестна, а това изключва грубата
небрежност. Не може да се изисква от ищцата дори и да има съмнения дали
даден имейл е изпратен от банката, постоянно да звъни на нейни служители,
за да проверява автентичността на имейла, понеже по този начин би се
обезсмислило електронното комуникиране между банката и клиента.
2/ В.л. е установило IP адреса от които са направени заявките - IP адрес
*********, който очевидно не е бил ползван от ищцата. Посоченият IP
адрес - *********. бил на „******“, а не на „********“, като същият е бил
динамичен, но поради шестмесечния период за запазване на данните не е
22
възможна проверка, а банката от своя страна не събирала информация от кой
IP и от кое устройство се нареждат картовите плащания. В.л. обобщи, че в
приложение № 3 към първата експертиза това е IP адреса на логването и на
плащането, който е към „******“ - ********* и е точно IP адреса, от който е
направен към ******. Изяснява, че е налице логване в онлайн банкирането, а
плащането е направено с карта, т.е. номерата на картата били въведени в някой
сайт – ******. IP адрес ********* всъщност бил на устройството, на което е
инсталиран ****** и на него били сложени данните на картата.
3/ В.л. изясни, че приложение № 3, 4 и 5 към първоначалната експертиза
показва, че влизайки от IP адрес ********* са извършени – проверка на
сметката в 09:34, но при тези логове сочи, че е напълно възможно системата
на банката да се е объркала или да е налице съвпадение, защото
едновременно от една страна ищцата е била и в онлайн банкирането, а от
друга страна в същия момент пък се извършвало въвеждане на номерата на
картата някъде и поради това банката записва, че операцията е направена от IP
адрес завършващ на 12 - IP адрес *********. Възможно е и третите лица да са
следили ищцата и щом тя е чукнала на линка, влезнала е в банката, почнала е
да проверява нещата, те получили информация за нейните данни и почнали и
те да въвеждат, и тя въвежда, и излизало, че от този IP адрес - ********* е
направено онлайн плащането. Защото в приложение № 3, от този IP адрес -
********* /динамичния, който не е на ищцата/ се потвърждава успешна
промяна. Затова в.л. заключава, че по-скоро някакво объркване се е
получило в самата система на банката, защото и двамата, ищцата и третото
лице, вероятно са работели едновременно и това може би е целта на фишинга
- влизаш в профила си и през това време те получават данните и почват да ги
ползват. Логично звучало да има едновременни действия, и тя въвежда, и
трето лице въвежда, в един момент се иска код за потвърждение и тя
примерно го потвърждава, и операцията се потвърждава. Ставало въпрос за
някаква паралелна дейност, и в онлайн банкирането и със самата дебитна
карта, като са съвпаднали нещата. Ако станело, ще й вземат парите, но не
всеки последвал линка. При установено от в.л. объркване в самата система
на банката, вследствие на едновременна дейност, не е възможно ищцата
да носи негативните последици от това и при положение, че риска от
подобни ситуации се носи от ответната банка.
4/ За Вайбър SMS в.л. уточни, че идеята е, ако вие сте регистрирали
23
Вайбър на този номер, системата ще провери дали има Вайбър и ще го
изпрати на Вайбър. Ако нямате, ще го изпрати на SMS. Това била идеята на
Вайбър SMS. В.л. обаче не може да посочи на кое устройство е получен
SMS-а, защото това влизало в трафичните данни, които се пазят 6 месеца.
Към днешна дата не можело да се отговори, на кое устройство е получен
SMS-а. Не може да се каже още защо веднъж SMS-а е от „******“, друг
път от „******+******“.
5/ В самия SMS изпратен от банката е налице видим недостатък /вж.
съдържанието на СМС на л. 64, 65, 218 и 248 от делото, което е едно и също/ –
не е посочен размера на паричната сума, която ще бъде преведена от
ищцата, което е директно нарушение на чл. 97, §1 и 2 във вр. с чл. 4, т. 30 от
Директива на /ЕС/ 2015/2366 на Европейския парламент и съвета от 25
ноември 2015 г. за платежните услуги във вътрешния пазар, за изменение на
директиви 2002/65/ЕО, 2009/110/ЕО и 2013/36/ЕС и Регламент /ЕС/ №
1093/2010 и за отмяна на Директива 2007/64/ЕО, като изрично в чл. 97, § 2 от
посочената Директива ясно се сочи, че по отношение на инициирането на
електронни платежни операции по параграф 1, буква б/ държавите членки
гарантират, че при електронни дистанционни платежни операции
доставчиците на платежни услуги прилагат задълбочено установяване на
идентичността на клиента, което включва два основни елемента,
свързващи по динамичен начин операцията с 1/ конкретна сума и 2/
конкретен получател. В случая в обсъждания СМС действително е налице
посочване на получател – ****** ********, но не се сочи нито преведената
сума от 5000,00 лв., нито друга сума, т.е. налице е нарушение на чл. 97, § 2
от посочената Директива /вж. и чл. 7 от Окончателни насоки относно
сигурността на плащанията в интернет изготвени съгласно член 16 от
Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета от 24
ноември 2010 г. за създаване на Европейски надзорен орган /Европейски
банков орган/.
6/ Налице е несъобразяване от страна на ответника с изискванията на чл.
10. т. 1 от Окончателни насоки относно сигурността на плащанията в
интернет изготвени съгласно член 16 от Регламент (ЕС) № 1093/2010 на
Европейския парламент и на Съвета от 24 ноември 2010 г. за създаване
на Европейски надзорен орган /Европейски банков орган/, който гласи, че
24
доставчиците на платежни услуги следва да използват системи за засичане и
предотвратяване на измами, за да идентифицират подозрителните трансакции,
преди доставчикът на платежни услуги окончателно да оторизира трансакции
или eлектронни мандати. Тези системи следва да се основават, например, на
параметризирани правила /напр. черни списъци на компрометирани или
откраднати данни за картата/ и да проследяват необичайни модели на
поведение на клиента или на клиентското устройство за достъп /напр.
промяна в IP /интернет протокол/ адреса или IP обхват по време на сесия
на услуги за плащане в интернет, понякога идентифицирани чрез
географско позициониране на IP нетипични категории eлектронни търговци за
конкретен клиент или необичайни трансакционни данни и др. Системите
следва също да бъдат в състояние да откриват признаци на злонамерена
софтуерна инфекция по време на сесията /напр. чрез script versus human
validation/ и известни измамни сценарии. В случая се установи, че както
проверката, така и плащането са извършени от динамичен IP адрес -
*********, което от една страна е на „**********“ АД, а не на ползвания от
ищцата доставчик „******** ********“ ЕАД /към който кореспондира и
нейния телефонен номер на койот е изпратен обсъждания SMS/, от друга
страна липсва събиране на информация и анализ от страна на ответната банка
както за устройството от което се извършват транзакциите, така и за
операционната система и от трета страна ясно се вижда, че същия ден има
достъпване на профила на ищцата и от друг IP адрес, който вече е на
„******** ********“ ЕАД, но отново няма анализ. Отделно от това за
разликата в IP адресите в.л. изяснява, че това са три различни сесии, които са
записани в логовете. Първият е в 9:34 и е от един IP адрес. После от 17:35 от
друг IP адрес. Записвала се информация от кой IP адрес е започнала сесията. В
09:34 от IP адрес завършващ на 12 е започнала първата сесия, съответно е
приключила. След това в 17:35 започвала втора сесия също приключила. И в
17:37 започнала трета сесия. Това показвало, че в този ден от тези IP адреси е
достъпвано онлайн банкирането. Вписано било потребителското име и
паролата от тези IP адреси, т.е. ищцата е вписала потребителско име и
парола от два различни IP адреси в един и същи ден – ******** г. и това е
останало незабелязано от ответника. Според направените справки при
действието на системата и преглеждането на ЛОГ файловете, не се извършва
друга проверка по идентификацията на лицето, титуляр на сметката, различна
25
от потребителско име и парола, не е ясно устройството и операционната
система от които са направени и IP адреса, от който е направена оспорената
банкова операция, очевидно не съвпада с адресите, от които се влиза в
банкирането и които ищцата използва обичайно за извършване на
онлайн банкови операции, а именно ********. ІР адресът на наредителя на
процесната операция е един /*********/ и местонахождението му е в гр.
******, т. к. принадлежи на „**********“ ЕАД и е даден на мобилния
оператор във връзка със закупеното от него динамично адресно пространство.
Адресът ще е винаги един и същ, независимо от коя точка на страната се
осъществява операцията. От друга страна както се посочи не е ясно нито
устройството, нито операционната система от която е извършена операцията.
Вярно е, че в.л. посочи, че последователността от действия за активиране на
картово разплащане в интернет и последвалата процесна операция от дата
******** г. е спазена, касателно активация, потвърждение и верификация.
Изпратени са били според данните на Банката и SMS съобщения до
телефонния номер собственост на ищцата /независимо от анализирания по-
горе недостатък на SMS-а/. Това обаче не е достатъчно - ако платецът твърди,
че, например, някой друг извършва плащания с неговата банкова карта, не е
достатъчно доставчикът на платежна услуга да изтъкне, че при операцията са
използвани данните на картата, в какъвто смисъл е на първо място защитата
на банката. Съгласно Решение на Съда /пети състав/ от 11 юли 2024 г. по
дело C-409/22 /UA срещу „Юробанк България“ АД/ не е съответно на
изискваната висока дължима грижа доставчикът да се задоволи само с
формална проверка за наличие на договорения инструмент, каквото банката –
ответник се е задоволила да направи. Той трябва да събере и други
доказателства, с които да се увери, че именно платецът стои зад операцията
/чл. 72, пар. 2, изр. посл./. Като едно от възможните средства е чрез
геолокация да се засекат и откажат операции, които се извършват извън
обичайното местопребиваване на платеца, докато не се извърши
допълнителна автентикация, да се проследи история на операциите,
която показва дали платецът вече веднъж е извършвал трансакция към
този акаунт и др. Очевидно е, че при такава дължима завишена грижа в
конкретната хипотеза би било установено, че има проблем с извършените
операции – така и решение № 70/27.02.2025 г. на Пазарджишки окръжен
съд по в.гр.д. № 33/2025 г.
26
7/ При обсъждане на възражението на ответника се съобрази и
постановеното от Старозагорски окръжен съд решение № 51/20.02.2025 г.
на Старозагорски окръжен съд по в.т.д. № 571/2024 г., постановено по
аналогичен случай, в което се сочи, че оспорените транзакции от IP адрес,
който не е притежание на ищеца /в настоящия случай също IP адрес *********
от който е извършено плащането не е притежание на ищеца, тъй като на
същата дата ищцата е използвала IP адрес ********, а не IP адрес - *********,
от който е извършено плащането/, а по отношение на обстоятелството,
приложила ли е банката задълбочено установяване идентичността на ищеца
при извършване на процесните транзакции с прилагане на два или повече
независими елементи, съгласно изискванията на чл. 100, ал. 1 вр. чл. 100, ал. 4
ЗПУПС, съдът счита, че банката не е доказала по несъмнен начин, при
условията на пълно и главно доказване съгласие на ищеца с процесните
транзакции. В приетата експертиза от Старозагорски окръжен съд е липсвал
коментар на кой телефон е активирано мобилното приложение и дали това е
телефонният апарат на ищеца /в случая също не е ясно от кой телефон или
друго устройство е извършено логването/. Цитиран е номерът на телефона, но
не и видът на мобилното устройство, което в.л. по настоящото дело посочи, че
е невъзможно да се установи, тъй като банката не събира информация за него.
Същото се отнася и до това от какъв апарат са разрешени оспорваните
транзакции. Затова твърденията на банката, че е приложила задълбочено
установяване идентичността на ищеца съдът намира за недоказани. Това се
потвърждава и от обстоятелството, че ищцата е предоставила данните,
необходими за извършване на транзакциите в отговор на получения фишинг
имейл, което пък от своя страна води до извода за незаконно присвоени данни.
В заключение може да се каже, че ответникът не е установил в
съответствие с разпределената му доказателствена тежест неизпълнение
поради умисъл или груба небрежност от страна на ищцата на задълженията й
да предприеме всички разумни действия по опазване на персонализираните
средства за сигурност. По същество тезата на ответника е, че при използване
от трето лице на предоставените на ищцата потребителско име и парола,
персонален ПИН код за цифровия сертификат и получен на посочения от
ползвателя мобилен номер SMS, се презюмира, че е клиентът не е спазил
задълженията си предвидени договора за ползване на услугата, като не е
опазил персонализираните средства за сигурност за ползване на интернет
27
банкирането и, следователно, е налице груба небрежност от страна на
ползвателя на платежни услуги. В действителност, наличието на измама
или груба небрежност не се презюмира, а подлежи на пълно и главно
доказване от доставчика посредством допустимите от закона доказателствени
средства. Такива по делото не са ангажирани. Затова, след като клиентът
твърди, че не е разрешавал платежната операция и след като е установено, че
процесната операция е била извършена от динамичен IP адрес, при открадване
на личните данни на ищцата, полученият SMS е бил непълен – не е посочена
сумата от 5000,00 лв., точното изпълнение на задълженията на доставчика при
използването на платежния инструмент не е достатъчно доказателство, че
платежната операция е била разрешена от платеца или че платецът е действал
чрез измама, или че умишлено или при груба небрежност не е изпълнил някое
от задълженията си по чл. 75 ЗПУПС. Именно това разпорежда чл. 78, ал. 4
ЗПУПС - така и решение № 713/01.06.2022 г. на Варненски окръжен съд по
в.гр.д. № 692/2022 г. Това на практика означава, че ако ползвателят няма
специални познания и умения, той не би могъл да се предпази от тях. Не се
твърди и не се установява по делото банката да е поставила специални
изисквания към ползвателите на електронните си канали относно тяхната
компетентност в компютърните науки и технологии, следователно не може да
се очаква, че човек без познания или с елементарни такива би могъл да
противодейства на подобно престъпно посегателство. Изнесеното от в.л. за
паралелна дейност на ищцата и третите лица довела в резултат до объркване в
системата на самата банка несъмнено води до извод в пропуск в системата за
сигурност на банката, съответно – е предпоставка за извършването на
преводи, които реално не са разрешени от действителния клиент на банката и
титуляр на сметката - така решение № 778/07.02.2025 г. на Софийски
градски съд по в.гр.д. № 9941/2024 г. Предположението, че няма как
преводите да се осъществят само при неправомерно проникване в профила на
ищцата без добавяне на „чувствителна информация“, т.е. на кодове и др.
идентификационни данни за картовата пластика към същата сметка от
платеца не е достатъчно, за да се приложи освобождаващото от отговорност
доставчика на услугата правило на чл. 80, ал. 3 ЗПУПС, защото нормата
изисква както грубата небрежност, така и умисълът, респективно измамата, да
бъдат не вероятно възможни, а да бъдат доказани пълно и главно от
черпещата благоприятни последици от тях страна. Ето защо, след като по
28
делото няма твърдения, респективно доказателства за несъобщени на
органите на реда и на банката изгубване, открадване, неоторизирано
предаване на трето лице или друга физическа манипулация на картата на
ищцата, нито се установява конкретно усвоено от последната поведение, което
да се квалифицира като целящо измама на Банката или осъществяващо
състава на друго престъпление и след като съществуват толкова технически
възможности за зловредно достъпване на чувствителна информация на
банковите клиенти от трети лица - нападатели, Банката следва да понесе
визираната в закона отговорност за въвеждането си в заблуждение от трети
неизвестни, респективно непознати на ищцата лица относно авторизирането и
верификацията на осъществената платежна операция по неразрешено
прехвърляне на парични средства от сметката на ищцата в полза на
киберизмамници - така решение № 215/21.03.2025 г. на Бургаски окръжен
съд по в.гр.д. № 1455/2024 г. В тази смисъл наличието на авторизационни
съобщения за извършени платежни операции не е достатъчно, за да се приеме,
че именно ищцата е техен автор /така и решение № 1642/18.07.2013 г. на
Софийски апелативен съд по в.т.д.№ 4254/2012 г./. Тук следва да се посочи
споделеното разбиране в теорията, че въвеждането на верния PIN,
респективно на други пароли за нареждане на операции в интернет не може да
бъде достатъчно доказателство в полза на доставчика на платежни услуги,
както че платежната операция е разрешена, така и че ползвателят не е
положил дължимата разумна грижа и действия да опази персонализираните
средства за сигурност на инструмента, респективно е действал чрез измама,
или че умишлено или при груба небрежност не е изпълнил някое от
задълженията си по чл. 75 ЗПУПС и само на това основание да бъде
ангажирана неговата отговорност /К., К. Още за новата уредба на платежните
услуги и платежните системи. „Търговско и облигационно право“, 2018 г., кн.
05, стр. 5/. Поради това настоящият съд приема, че в настоящото производство
презумпцията не беше оборена. Ответникът не конкретизира твърденията си,
а само приема, че ищцата е разрешила платежните операции, след като те са
извършени. В хода на производството не се установиха факти, които да
освобождават ответника от отговорност, а именно за неизпълнение поради
умисъл или груба небрежност от страна на ищцата на задълженията й да
предприеме всички разумни действия по съхраняване на персонализираните
защитни характеристики на платежния инструмент. Сам ответникът нито сочи
29
такива факти в отговора на исковата молба, макар и да се позовава на това
основание за изключване на отговорността му, като самото регистриране на
операциите от неговата платежна система не презюмира нито автентичност на
операцията, нито неизпълнение на задълженията на ползвателя на платежните
услуги в хипотезата на умисъл или груба небрежност. Задължение на банката
е било да осигури платежен инструмент, който да не допуска неразрешени
платежни операции. В случая ответникът не е доказал както операциите да са
наредени от ищцата, така и последната да е допуснала груба небрежност,
която да освобождава банката от отговорност съгласно чл. 80, ал. 3 ЗПУПС.
Обстоятелството, че извършилото операциите лице е разполагало
предварително с необходимите за успешното извършване на транзакции в
интернет данни не води по несъмнен начин до извод за неизпълнение от
картодържателя на задължението му по чл. 75, т. 3 ЗПУПС. И при полагане на
дължимата грижа от картодържателя, информация за тези данни може да е
придобита по друг начин, вкл. чрез престъпление. При това положение,
относно отговорността на доставчика за неразрешените платежни операции
следва да намери приложение общото правило на чл. 78, ал. 1 ЗПУПС -
сумите по тях следва да се възстановят изцяло от банката по сметките на
ищеца-платец /така и решение № 2411/18.04.2018 г. на Софийски градски
съд по в.гр.д. № 9718/2017 г./.
По така изложените съображения съдът приема, че процесната
транзакция не е разрешена от ищцата и доколкото не се установиха
предпоставките за ограничаване отговорността на банката, предвидени в чл.
80, ал.1 и 3 ЗПУПС, то изцяло приложима е разпоредбата на чл. 78, ал.1
ЗПУПС. При това положение, относно отговорността на доставчика за
неразрешената платежна операция следва да намери приложение общото
правило на чл. 79, ал. 1 ЗПУПС - сумата по нея следва да се възстанови изцяло
от банката по сметката на платеца – 5000,00 лв., вкл. и сумите за лихви в
размер на 267,64 лв. за периода ******** г. – 24.04.2024 г.
По съдебноделоводните разноски:
Предвид изхода на спора на основание чл. 78, ал. 1 ГПК ответникът
следва да заплати на ищцата направените по делото разноски в общ размер на
1620,71 лв. С отбелязването в договора /плащането е в брой/ е изпълнено
изискването на т. 1 от Тълкувателно решение от 06.11.2013 г. на ВКС по тълк.
30
дело № 6/2012 г., ОСГТК. Възражението за прекомерност е не се споделя, тъй
като заплатеното адвокатско възнаграждение от 800,00 лв. е дори под
минимума посочен в чл. 7, ал. 2, т. 2 от Наредба № 1/09.07.2004 г. за
възнаграждения за адвокатска работа, който е 827,00 лв.
Мотивиран от гореизложеното и на основание чл. 235, ал. 1 ГПК,
Старозагорски районен съд
РЕШИ:
ОСЪЖДА по иска с правно основание чл. 79, ал. 1 ЗПУПС и чл. 86, ал.
1 ЗЗД „Банка ДСК” АД, ЕИК: *********, със седалище и адрес на управление
гр. София, ул. „Московска” № 19 да заплати на С. М. Р., ЕГН: ********** и
адрес: гр. ************ сумата от 5000,00 лв. /пет хиляди лева /
представляваща стойност на неразрешена платежна операция за извършена на
******** г. транзакция от издадена при ответника дебитна карта на ищцата
/разплащателна сметка/ към търговец в Република ********* /******/, ведно
със законната лихва върху тази сума, считано от 24.04.2024 г. до
окончателното плащане и сумата от 267,64 лв. /двеста шестдесет и седем лева
и шестдесет и четири стотинки/ представляваща мораторна лихва за периода
06.12.2023 г. – 23.04.2024 г.
ОСЪЖДА на основание чл. 78, ал. 1 ГПК „Банка ДСК” АД, ЕИК:
*********, със седалище и адрес на управление гр. София, ул. „Московска” №
19 да заплати на С. М. Р., ЕГН: ********** и адрес: гр. ************ сума от
общо 1620,71 лв. /хиляда шестстотин и двадесет лева и седемдесет и една
стотинки/, представляваща направени по делото разноски за адвокатско
възнаграждение, държавна такса и възнаграждение за вещо лице.
Решението подлежи на обжалване пред Старозагорския окръжен съд в
двуседмичен срок от връчването му на страните.
Препис от настоящето решение да се връчи на страните по делото,
заедно със съобщението за постановяването му на основание чл. 7, ал. 2 ГПК.
31
Съдия при Районен съд – Стара Загора: _______________________
32