Р Е Ш Е Н И Е №
гр.
София, 13.05.2021г.
В И М Е Т О
Н А Н А Р О Д А
Софийски градски съд, Търговско отделение, VІ-23
състав, в открито заседание на дванадесет и осми януари две хиляди двадесет и първа година, в състав:
Председател:
Анна Ненова
при
секретаря Кирилка Ангелова като
разгледа докладваното от съдията
докладчик т.д. № 280 по описа за 2018г. и за да се произнесе, взе предвид следното:
Предявени са искове с правно основание чл. 57, ал. 1
от ЗПУПС (отм.), вр. 79, ал. 1 от ЗЗД, и
чл. 86, ал. 1 от ЗЗД.
Ищецът „Д.“
ЕООД твърди, че на 05.09.2017г. с ответника „Райфайзенбанк (България)“ ЕАД е
бил сключен Договор-искане за откриване и обслужване на банкова сметка ***чески
лица, по силата на който на дружеството е била открита разплащателна банкова
сметка ***: ***говската му дейност – заплащане
по фактури към доставчици. До банката е било подадено искане за ползване на
електронни услуги за юридически лица и ЕТ и въз основа на искането на ищцовото
дружество са били предоставени стандартни права по сметки и продукти на
Райфайзен Онлайн – Активни по всички настоящи сметки и продукти. На управителя
на дружеството Д.С.М.(потребител-титуляр) са били представени потребителско име
и парола, както и токен устойство със сериен номер № 24-3387057-1 за
потвърждаване на нареждания.
На 13.09.2017г. ищцовото дружество, чрез управителя,
узнало, че на 11.09.2017г. е извършена
платежна операция за сума от 95 688. 81 лева по сметка на „ММК И.“
ЕООД, с ЕИК********, в „Банка ДСК“ ЕАД (IBAN: ***) с основание
за плащане на три фактури (фактура № **********/04.09.2017г., №
**********/05.09.2017г. и № **********/07.09.2017г.). Фактурите са били издадени от „Зара-Е“ ООД, с ЕИК ********, във
връзка с доставка на гориво на ищеца и към това дружество ищцовото дружество е
искало да бъде извършен паричен превод, а не към „ММК И.“ ЕООД. Ищецът изяснява
подробно извършваните от него действия на 11.09.2017г., когато за първи път
след откриване на разплащателната сметка и активиране на профила в електронния
канал за достъп на ответника – „Райфайзен ОНЛАЙН“, управителят на дружеството е
правил опити да нареди паричен превод към банковата сметка на „Зара-Е“ ООД, открита в „Обединена Българска
банка“ АД (IBAN:***). Бил е проведен разговор и със служител на ответника
на предоставен при подписване на договора между страните телефон.
Паричният превод на сумата от 95 688. 81 лева в
полза на дружеството „ММК И.“ ЕООД представлява неразрешена платежна операция по
смисъла на чл.51 от ЗПУПС (отм.), тъй като платецът („Диамант 88“ ЕООД) нито я
е наредил, нито е дал съгласие за извършването й. Ищецът никога не е имал
търговски взаимоотношения с това дружество, управителите не се познават, нито
на Д.С.М.е била известна банковата сметка на дружеството.
Ищецът излага още, че през целия период на договора
между страните ищцовото дружество е изпълнявало задълженията си като ползвател
на платежни услуги, които са предвидени в чл. 53 от ЗПУПС (отм.), по отношение
на предоставените на дружеството потребителско име, парола и токен устройство.
Платежната операция е била осъществена чрез неправомерно копиране на данните от
токен устройството на „Диамант 88“ ЕООД. Изпълнено е било и задължението на
ищеца по чл. 55, ал. 1 от ЗПУПС (отм.) за уведомяване на банката. Било е
подадено заявление вх. № 580-299/13.09.2017г., както и жалба вх. №
21879/14.09.2017г. с искане на проверка по случая и ангажиране отговорността на
съответния виновен служител.
Банката е трябвало да осъществи процедура по доказване
автентичността на извършената в полза на „ММК И.“ ООД платежна операция.
Съгласно чл. 56, ал. 1 от ЗПУПС (отм.), когато ползвателят на платежна услуга
твърди, че не е разрешавал изпълнението на платежна операция, доставчикът на
платежната услуга носи доказателствената тежест при установяване автентичността
на платежната операция, нейното точно регистриране, осчетоводяване, както и за
това, че операцията не е засегната от техническа повреда или друг недостатък.
Банката не е събрала цялата необходима информация и не е извършила задълбочена
и всестранна проверка на случая.
Банката не е
изпълнила и задълженията си по чл. 54, ал. 1, т. 1 от ЗПУПС (отм.) да осигури
недостъпност на персонализираните защитни характеристики на платежния
инструмент за лица, различни от ползвателя на платежни услуги, който има право
да използва платежния инструмент. Ищецът излага подробни съображения какво е
следвало да направи банката (нейните служители) във връзка с паричния превод и
прави извод, че в случай, че банката е била добросъвестна, тя е трябвало да
блокира и да откаже да извърши паричния
превод в полза на „ММК И.“ ЕООД, предвид ясната и недвусмислена воля на клиента
да преведе паричната сума на „Зара-Е“ ООД, обективирана в две неподписани
платежни нареждания, създадени от управителя на ищцовото дружество на
11.09.2017г., с посочване на същите фактури като основание за плащане.
В хипотезата на чл. 57, ал. 1 от ЗПУПС (отм.)
доставчикът на платежни услуги на платеца е длъжен да възстанови незабавно
стойността на неразрешената платежна операция и, когато е необходимо, да
възстанови платежната сметка на платеца в състоянието, в което тя би се
намирала преди изпълнението на неразрешената платежна операция и ищецът иска от
съда да бъде осъден ответникът да му заплати сумата от 95 688. 81 лева,
със законната лихва за забава от датата на исковата молба (09.02.2018г.) до
окончателното плащане, както и 3 409. 07 лева изтекла лихва за забава от
05.10.2017г., денят следващ датата, на която изтича предвидения в чл. 57, ал. 2
от ЗПУПС (отм.) срок от 21 дни за възстановяване на стойността на неразрешената
платежна операция, до 09.02.2018г., с разноските по делото.
Ответникът „Райфайзенбанк (България)“ ЕАД оспорва
исковете и също претендира направените по делото разноски.
Не оспорва сключването на договора от 05.09.2017г.
между страните. Към договора са приложими Общи условия за предоставяне на
платежни услуги и Райфайзен ОНЛАЙН на юридически лица, както и Инструкция за
ползване на хардуерно устройство – токен, които ищцовото дружество е получило.
Ответникът
възразява, че не са налице
предпоставките за ангажиране на отговорността на банката, тъй като тя е
извършила надлежно разрешена от ищеца транзакция с получател „ММК И.“ ЕООД.
Платежната операция е била извършена точно според създаденото и подписано от ищеца платежно нареждане в
системата за онлайн платежни услуги на
„Райфайзенбанк (България)“ ЕАД от устройство, което се е намирало под контрола
на ищцовото дружество – потребител. Ищецът не е използвал платежната услуга
съобразно условията за нейното използване и с това е нарушил с груба небрежност
задълженията си по чл. 53 от ЗПУПС (отм.) и т. 83.1 от Общите условия за
предоставяне на платежни услуги и Райфайзен ОНЛАЙН на юридически лица – една
или повече от хипотезите на т. 83.1 от Общите условия, които ответникът излага,
включително при направено възражение, че ІР адресът на устройството, от което е
наредено плащането с получател „ММК И.“ ЕООД е бил същият като този на
устройството, от което е генерирано неоспореното платежно нареждане с получател
„Зара Е“ ООД.
Ответникът излага хронологично извършваните от името
от ищцовото дружество действия във връзка с процесната платежна операция
(платежното нареждане е изпратено за изпълнение на 11.09.2017г. в 15.44 ч. и
банката е изпълнила превода), съпоставя ги с изискванията по договора между
страните и приложимите към него общи условия и инструкция, както и сочи
действията на ищеца във връзка с нареждане на плащане и до дружеството „Зара Е“
ООД, включително изпълнена рутинна процедура по допълнително потвърждаване на
превода. Този превод не е бил изпълнен поради недостатъчна наличност по
разплащателната сметка на ищцовото
дружество и автоматично е посочен като изтрит в системата за електронни
разплащания.
В т. 118, ал. 2 от Общите условия страните са
уговорили, че регистрираното от банката използване на платежен инструмент е
достатъчно доказателство, че платежната операция е била разрешена от клиента.
Това правило се отклонява от правилото на чл. 56, ал. 3 от ЗПУПС (отм.), но
отклонението е допустимо, доколкото доказването на автентичността на платежната
операция е в интерес и на двете страни по договора. Независимо от това проучването на банката е доказало,
че процесната платежна операция е автентична – платежното нареждане е извършено
с потребителското име и парола на управителя, операцията е била потвърдена с
токен устройство, предоставено на ищцовото дружество и електронното платежно
нареждане е било съставено и наредено за изпълнение в съответствие с вътрешните
правила на банката по чл. 56, ал. 2 от ЗПУПС (отм.) – Инструкция за извършване
на мониторинг на преводи, наредени през „Райфайзен ОНЛАЙН“. Банката е
поддържала действаща система и процедура, която позволява да бъде извършена проверка
на автентичността на платежната операция.
При извършаването на процесната платежна операция електронната платформа
на банката не е била засегната от техническа повреда или друг недостатък.
В
допълнителната искова молба ищецът оспорва клаузите на чл. 14, чл. 24 и чл. 25,
пр. 1 от Общи условия за ползване на услугата „Райфайзен Електронни извлечения“
и тези на чл. 62, чл. 74, чл. 80, чл. 82, чл. 83.1, чл. 83.2, чл. 118, чл. 132
и чл. 137 от Общи условия за предоставяне на платежни услуги и Райфайзен ОНЛАЙН
на юридически лица като нищожни – противоречащи на закона и на добрите нрави
(чл. 26, ал. 1, пр. 1 и пр. 3 от ЗЗД), която нищожност да бъде обсъдена в
мотивите на съдебното решение. Подробно се обсъждат изложените от ответника
обстоятелства в отговора, както и се възразява по приложимостта към договора
между страните на Инструкция за ползване на хардуерно устройство – токен и
Инструкция за извършване на мониторинг на преводи, наредени през „Райфайзен
ОНЛАЙН“. Не се касае за документи, както и липсва достоверна дата.
В допълнителния си отговор ответникът подробно
отговаря на допълнителната искова молба на ищеца. Поддържа оспорванията,
възраженията и правните си доводи по предявените искове.
По
предявените искове
Съдът като съобрази фактите и доказателствата по
делото, поотделно и в тяхната съвкупност, възприема от фактическа страна
следното:
На 05.09.2017г. страните са сключили писмено
Договор-искане за откриване и обслужване на банкова сметка ***чески лица.
Въз основа на договора на дружеството ищец е
била разкрита разплащателна сметка в лева (IBAN: ***). Уговорени
са били, освен другото, стандартни права
по сметки и продукти за Райфайзен Онлайн
- активни по всички настоящи сметки и продукти, при изрично деклариране
от страна на ищцовото дружество, че е получило, запознато е и приема безусловно
Общите условия за предоставяне на платежни услуги и Райфайзен Онлайн на
юридически лица на Райфайзенбанк (България) ЕАД, неразделна част от договора от
05.09.2017г. По смисъла на договора клиент е било дружеството „Д.“ ЕООД, а
потребител – неговият управител Д.С.М.. Във връзка с услугите Райфайзен Онлайн
са били получени потребителско име и парола в запечатан плик и Токен устройство за потвърждаване на
нареждания. С предварителния избор на това устройство на авторизация при извършване на активни операции ползването му
е било задължителен реквизит и при липсата на устройството системата е
отказвала обработка.
По конкретно съгласно Общите условия за предоставяне
на платежни услуги и Райфайзен Онлайн на юридически лица на Райфайзенбанк
(България) ЕАД – Раздел VІІІ – Райфайзен ОНЛАЙН, банката е предлагала
интернет банкиране – включително
възможност за нареждане на плащания в лева и чужда валута.
Банката не е изпълнявала платежни операции в Райфайзен
ОНЛАЙН при неизпълнение на ОНЛАЙН потребителя на авторизационните условия.
Всички действия, извършени от името на клиента след успешното идентифициране на
ОНЛАЙН потребителя с въвеждане на потребителско име и парола и/или авторизация
с токен, са представлявали валидни подписани писмени изявления, обвързващи
клиента. Идентифицирането по този начин е имало действие на електронен подпис
по смисъла на ЗЕДЕП, съответно правно валиден подпис по смисъла на чл. 8 от
ЗСч. В този смисъл е била клаузата на чл. 62 от Общите условия. Клиентът е
отговарял и е бил обвързан с всички действия, извършени от негово име, след
получаване на достъп на ОНЛАЙН потребителя
до Райфайзен ОНЛАЙН на базата на положителна електронна идентификация и
авторизация, съгласно ЗЕДЕП (чл. 80). Също съгласно Общите условия банката е
приемала положителната валидация на паролата, другите средства за електронна
идентификация и авторизация, предоставени на ОНЛАЙН потребителя, за достатъчно
доказателство за неговата идентичност и
не е имала задължение да извършва допълнителни действия за удостоверяване на
идентичността на ОНЛАЙН потребителя (чл. 82).
Съгласно клаузата на чл. 74 от Общите условия банката не е носила отговорност
в случай на извършена операция с токен, който е изгубен, откраднат, отнет или
използван по друг неправомерен начин, в комбинация с правилно въведен ПИН.
ОНЛАЙН потребителят е бил длъжен да съхранява токена и да го ползва само лично,
с грижата на добър стопанин и в съответствие с условията на неговото активиране
и ползване, в това число приложената към
Общите условия Инструкция за ползване на токена (чл. 77). ОНЛАЙН потребителят е
бил длъжен, освен другото, да пази в тайна своята парола, своя ПИН за достъп до
токена и другите средства за електронна идентификация и авторизация,
предоставени от банката, като вземе всички необходими мерки срещу узнаването им
от трети лица (чл. 81).
Следните случаи са представлявали неизпълнение на
задълженията на ОНЛАЙН потребителя по чл. 53 от ЗПУП с груба небрежност:
придобиването на паролата и другите средства за електронна идентификация и
авторизация, предоставени на ОНЛАЙН потребителя от трета страна, поради
неспазване на публикуваните от банката Инструкции да сигурност, неразделна част
от Общите условия; когато неоторизирано от потребителя интернет плащане е
извършено от компютър, намиращ се в жилището на ОНЛАЙН потребителя, в офиса,
където той работи или от друго устройство под негов контрол; когато неоторизирано
от него интернет плащане е авторизирано чрез потребителско име и парола, токен,
еднократен код, изпратен от банката чрез SMS, както и когато потребителят не е достъпвал Райфайзен
ОНЛАЙН директно чрез набиране на адреса https://online.rbb.bg или от официалния сайт на банката https://www.rbb.bg – чл. 83.1 от Общите условия. В тези случаи при
неоторизирано използване от трета страна на паролата и другите средства да
електронна идентификация и авторизация, предоставени на ОНЛАЙН потребителя,
банката не е носила отговорност за загуби на клиента в резултат от действията
на трета страна (чл. 83.2). Ползвателите на услугата, което не са потребители
по смисъла на ЗПУПС, са били отговорни изцяло да всякакви транзакции от страна
на неоторизирани лица в резултат на неоторизиран достъп (чл. 84).
В случай, че платежната операция е неразрешена,
банката е възстановявала на клиента стойността на неразрешената платежна
операция незабавно след приключване на процедурата по доказване на автентичността
на платежната операция, но не по-късно от 21 дни след получаване на уведомление
за неразрешена платежна операция (чл. 117 от Общите условия).
Когато клиентът е твърдял, че не е разрешавал изпълнението на платежна операция, той е
носил доказателствената тежест при установяването на автентичността на
платежната операция, както и затова, че
операцията не е засегната от техническа повреда или друг недостатък;
регистрирано от банката използване на платежен инструмент е било достатъчно
доказателство, че платежната операция е била разрешена от клиента (чл. 118).
Клиентът е понасял всички загуби, свързани с всички
неразрешени платежни операции, когато не е успял да запази персонализираните
защитни характеристики на инструмента (чл. 119).
Съгласно Общите условия страните са се съгласили, че в
отношенията им няма да се прилагат изискванията на глава трета, както и
разпоредбите на чл. 49, ал. 1, чл. 51, ал. 1, чл. 56, чл. 58, чл. 68, чл. 69 и
чл. 70, ал. 1 от ЗПУПС (така клаузата на чл. 137 от Общите условия).
Общите условия, както и договорът от 05.09.2017г., са
представени по делото и приети като писмени доказателства.
Във връзка с осъществяваната от него търговска дейност
ищецът „Д.“ ЕООД е имал задължения за плащане на цената на доставено от
дружеството „Зара“ ЕООД гориво, за което са
били издадени фактури №
**********/04.09.2017г., № **********/05.09.2017г. и № **********/07.09.2017г.,
общо на стойност 95 688. 81 лева с ДДС.
За плащане на сумата
управителят на ищцовото дружество
чрез профила на електронното банкиране от свой персонален компютър (IP
адрес IP:91.192.239.133) е създал две платежни нареждания за
кредитен превод по сметка на „Зара“ ЕООД в „Обединена българска банка“ АД преди 12. 00 часа на 11.09.2017г. Изпълнение на превода не е
имало. Това е било първо влизане на
ищеца в системата. Тогава е била
променена и първоначалната парола за достъп до информационната система на
банката – 11.09.2017г. в 10:28:18 часа. Токен устройството е било активирано на
05.09.2017г.
Идентично платежно нареждане е било създадено на 11.09.2017г. в 15.37 часа, подписано в
15.40 часа и изпратено също в 15.40 часа, но
е попаднало под Anti-fraud системата за мониторинг на преводи на банката
и до допълнителното потвърждаване от наредителя преводът е бил спрян.
Служител на банката е провел разговор с Д.С.М.за
времето от 16.07 часа – 16.10. часа на 11.09.2017г. за потвърждаване на превода
към „Зара“ЕООД, което е било и направено
от нея.
Въпреки това
нареждането не е било изпълнено, поради това, че по сметката на ищеца
вече не са били налични средства. Това е било, тъй като междувременно също за
сумата от 95 688. 81 лева чрез използване на електронния канал за достъп
„Райфайзен ОНЛАЙН“ е било генерирано платежно нареждане за кредитен превод в
15.32 часа по сметка на друго дружество - „ММК И.“ ЕООД, с ЕИК********, в
„Банка ДСК“ ЕАД (IBAN: ***), отново с основание за плащане по трите посочени
фактури, издадени от „Зара“ ЕООД.
Преводът е бил записан чакащ (не
е имало декларация за произход) , но декларацията за произход за средства към превода е била
попълнена и преводът е бил подписан на 15. 43
часа и изпратен в 15.44
часа.
При възприемане от страна на банката, че са ползвани
от името на ищеца потребителско
име, парола и код по Токен устройството
за потвърждаване на нареждания, преводът е бил изпълнен в 18.03 часа.
На 12.09.2017г. в 10:12:57 часа в банковата сметка на
„ММК И.“ ЕООД в „Банка ДСК“ ЕАД е постъпил превод от 48 820. 82 евро (левова
равностойност на 95 688. 81 лева) от сметката на ищеца. Банковата сметка на „ММК И.“ ЕООД е била в
евро, при което постъпилата сума е била превалутирана.
Платежните нареждания
с получател „ММК И.“ ЕООД и „Зара“ ЕООД освен че са били създадени след
влизане в системата от един и същ адрес, са били съставени и рамките на една
сесия – времето, което потребителят прекарва в една електронна система, считано
от неговото влизане до неговото излизане.
И при превода към „ММК И.“ ЕООД е бил извършен Pre-transaction Monitoring, но преводът не е бил счетен за рисков. И този мониторинг се е
извършвал автоматизирано от Anti-fraud системата.
Посочените обстоятелства са съгласно заключението на
първоначалната съдебна техническа експертиза на вещото лице А.А. – основно и
допълнено заключение. Вещото лице е работило въз основа на данните от
информационната система на ответната банка, както и допълнително при изследване
на компютъра, собственост на ищцовото дружество („РСМАN-РС“). Направено е било пълно логическо копие на
твърдия диск и е била извлечена информация.
Компютърът е бил иззет по пр.пр.
19412/2018г. по описа на Софийска градска прокуратура, д.п. 5169/2018г. по
описа на СДВР.
Също съгласно първоначалното заключение на вещото лице
(обясненията, дадени при разпита му в съдебно заседание на 28.11.2019г.) от
гледна точка на информационната система на банката е изглеждало, че преводът е
направен с използване на точно определени неща от ищеца – парола, потребителско
име и код от токена, но е било възможно прихващане. Съществува атака, наречена Man in the browser, чрез която софтуерът следи сесията, която се прави
от браузера, и при въвеждане на потребителско име, парола и останалите
средства, данните могат да бъдат прихванати и това прихващане е преди те да
бъдат изпратени. Каналът между банката и клиентът е криптиран, но при
въвеждането на компютъра има текст и ако се следи, би могъл да бъде
изпратен. Банката няма възможност за
защита, а трябва да се защити информационното средство, чрез което се влиза –
от клиента да се инсталират антивирусни софтуери. При злонамерения софтуер се
хващат кодовете, които се генерират от токен устройството. Софтуерът има
възможност да прихване кода. Също
съгласно обясненията на вещото лице, ако устройството на ищеца е имало
антивирусна програма, донякъде то би било защитено, но няма антивирусна
програма, която да защитава от всякакви видове софтуер. Ако нареждането на
плащането не е било чрез ищеца и с негово знание, нареждането е могло да бъде
само чрез зловреден софтуер.
След преглед в устройството на ищеца в допълнителната
експертиза по делото вещото лице А.А. е посочил, че в компютъра на ищеца са били
инсталирани два антивирусни софтуера. Единият е бил MALWAREBYTES Anti-Malware, относително добър софтуер. Той е трябвало да бъде
обновяван ръчно, но това не е било правено от 21.02.2016г. и към 11.09.2017г. версията с базата данни е
била остаряла с повече от година и половина. В допълнителното заключение е било
посочено още, че при анализ на журналните файлове на MALWAREBYTES Anti-Malware се е установило нарушаване на работоспособността на
програмата на 11.09.2017г. в 15:02:47 часа ЕЕТ. Другият антивирусен софтуер е
бил на производителя на операционната система на компютъра – Microsoft Security
Essentials, но програмата към
11.09.2017г. не е била стартирана. Нужно е било ръчно стартиране и проверка на
паметта на устройството. Или компютърът
на ищеца не е ползвал надеждна защита за предпазване от зловреден софтуер.
На 11.09.2017г., в 14:58:31 часа, чрез използване на
незащитена връзка (http) в полето за търсене на
браузера е била въведена ключова дума „rbb“. На мястото на стандартната машина за търсене (search engine, търсачка) в браузера Chrome, която би трябвало са е Google, в случая е била заменена от Musix.searchalgo.com. Търсачката е известна като зловреден софтуер
(фалшива търсачка), който може да бъде инсталиран с или без знанието и
съгласието на потребителя, в повечето случаи предлаган като реклама или добавка
към друг безплатен софтуер. При инсталацията си има способността да променя
настройките на браузера. Когато даден потребител изписва ключова дума за
търсене, той препраща заявката към търсещата машина на сайта уahoo.com и дава
резултати от търсенето на „rbb“ – Райфайзен ОНЛАЙН. Съгласно уточнението на вещото
лице А.А. при приемане на заключението в
открито заседание на 14.07.2020г., под
„незащитена връзка“ той е имал предвид, че трафикът между сървъра и
клиента е бил открит за трети лица, т.е. цялата комуникация се е предавала в
чист текстови вид и трето лица, ако прихваща трафика, цялата кореспонденция, която се осъществява,
за него е била четима. При въвеждане директно на адреса на сървъра на банката,
се осъществява кодиран канал. Също според допълнителното заключение на
вещото лице А.А., установяването на последователността на действията е
затруднено поради това, че компютърът е работил повече от 40 дни след септември
2017г., както и е имало активност след датата на запечатването на компютъра от
органите на полицията, което поражда въпроса относно целостта и съхранението на
данни.
В заключението си по чл. 201 от ГПК вещото лице Д.С.
не е дала по-различни данни от тези по основното заключение, а ги е потвърдила.
Уточнено е било, че към момента на проверката на вещото лице ответната банка
вече не използва този тип токен устройства. Към момента на изпълнение на
процесните преводи е било възможно няколко платежни операции да се извършват с
един код, генериран от токен устройството, като кодът е траел 10 минути, когато
е можел да бъде използван. Понастоящем
за всеки превод поотделно се прави идентификация. Ако потребителят е използвал ежедневно
антивирусна програма, която се обновява, то рискът за него минимален, но не би
бил изключен. Би бил защитен 99%.
Във връзка с паричния превод до „ММК И.“ ЕООД от името
на ищеца е било подадено заявление вх. № 580-299/13.09.2017г. до ответника
и допълнително жалба вх. №
21879/14.09.2017г. с искане на проверка по случая и ангажиране отговорността на
съответния виновен служител. С отговор от 20.09.2017г. ответникът е възразил,
че е налице надлежно подписан и изпратен за изпълнение превод.
Междувременно още на 12.09.2017г. сума от левова
равностойност на 48 500 евро от общо наредените 95 688. 81 лева е била
изтеглена от сметката на - „ММК И.“ ЕООД чрез управителя И.М.Г.. Това е било с
четири операции по касово теглене на суми – 30 000 евро, 6 000 евро, 10 000
евро и 2 500 евро в клонове на „Банка ДСК“ АД - „Граф Игнатиев“, „Дондуков“,
„МОЛ Сердика“ и „Оборище“, за времето от 12.59 часа до 15. 36 часа. Заплатени
са били и съответните банкови такси.
Обстоятелствата са били установени при предприетите от
ответника действия за осъществяване на контакт с банката на получателя – „Банка
ДСК“ АД и чрез специално изпратено съобщение за връщане на сумата от 95 866. 81
лева. Тегленията са установяват и от изслушаната по делото съдебна счетоводна
експертиза на вещото лице П.Д., както и
допълнително представеното на вещото лице А.А. писмо изх. № 14-ИСК-10808/1 от
„Банка ДСК“АД.
От данните по
партидата на „ММК И.“ ЕООД в търговския регистър при Агенция по вписванията се
установява, че дружеството е било
учредено и вписано в търговския регистър през 2011г., с предмет на дейност
консултантски услуги в областта на И.ициите, както и всяка друга дейност,
незабранена от закона и капитал от 2 лева. След първоначалното вписване в
търговския регистър няма подавани други заявления, нито дружеството е заявявало
за обявяване годишни финансови отчети. Съгласно заключението на изслушаната
съдебна счетоводна експертиза няма данни за осчетоводяване на наредената сума
при „ММК И.“ ЕООД, като дружеството не е и на вписания в търговския регистър
адрес на управление ***.
По делото не се твърди или възразява, нито установява,
ищцовото дружество да е свързано (да има някакви отношения) с „ММК И.“ ЕООД;
това дружество да е имало основание да получи сумата от 95 688. 81 лева от
ищеца; както и след изтегляне от сметката в „Банка ДСК“ АД на почти цялата сума
в брой от името на „ММК И.“ ЕООД,
някаква част от сумата да е
отишла в полза на ищеца.
Не се установява платежната операция, в резултат на
която по сметката на „ММК И.“ ЕООД е
била преведена сумата от 95 688. 81 лева, да е била изпълнена с вътрешна
намеса на банков служител при банката. Съгласно първоначалното заключение на
съдебната техническа експертиза, няма техническа възможност банката,
посредством неин служител, преди изпълнение на паричен превод и задължаване на
сметката на платеца да оказва влияние върху преводите, наредени през електронната система „Райфайзен ОНЛАЙН“, като
внася изменения във вече въведени платежни нареждания. Системата е
автоматизирана. Ползваните към момента на извършване на процесните операции
добри практики са били достатъчни, за да гарантират сигурност на платежните
операции. Също съгласно заключението на вещото лице по първоначалната съдебна
техническа експертиза, няма данни за техническа повреда в банковата
информационна система за изследвания период.
Информацията за извършените движения и наличните салда
по сметки е била достъпвана от компютъра на ищцовото дружество на 11.09.2017г.
в 15. 46 часа и на 12.09.2017г. в 10.14 часа, т.е преди банката да извърши
превода на сумата от 95 688. 81 лева към „Банка ДСК“ АД, съответно преди
парите да са били изтеглени от управителя на „ММК И.“ ЕООД след заверяване на
сметката на дружеството.
За времето от 05.10.2017г. до
09.02.2018г. върху сумата от 95 688. 81 лева е изтекла лихва за забава в размер
на 3 382. 44 лева съответно на промените в основния лихвен процент за периода.
В този смисъл също е заключението на изслушаната съдебно-счетоводна експертиза.
При така установеното от фактическа страна, от правна
страна съдът намира следното:
Страните са обвързани от договора от 05.09.2017г.,
съгласието за който е било постигнато изрично. Той е имал за предмет откриване на банкова сметка *** от ответника,
като лицензиран доставчик на платежни услуги, на такива услуги, включително
изпълнение на парични преводи, по реда на действалия Закон за платежните услуги
и платежните системи от 2009г. (отм.) – чл. 1, чл. 3, ал. 1, т. 1 и чл. 4, т. 6
от ЗПУПС (отм.). С договора, ведно с приложимите към него общи условия (Общите
условия за предоставяне на платежни услуги и Райфайзен Онлайн на юридически
лица), подробно са били уредени правата и задълженията на страните при
извършването на платежните услуги. Касае се е за рамков договор по смисъла на
чл. 40, ал. 2 от ЗПУПС (отм.).
Съгласно договора банката е възстановявала на ищеца
като клиент, съответно платец и ползвател на платежни услуги по смисъла на § 1,
т. 20 и т. 21 от ДР на ЗПУПС (отм.), стойността на неразрешени платежни
операции. Страните не са се отклонили от предвидената в ЗПУПС (отм.)
отговорност на доставчика на платежни услуги за неразрешени платежни операции
(чл. 57, ал. 1 от ЗПУПС (отм.)). По аргумент от чл. 48, ал. 2 от ЗПУПС (отм.)
разпоредбата на чл. 57, ал. 1 от ЗПУПС (отм.) следва да се приеме и
императивна.
Платежна операция, в смисъла й по § 1, т. 17 от ДР на ЗПУПС (отм.), е разрешена, ако
платецът я е наредил или е дал съгласие за изпълнението й. При липса на съгласие
платежната операция е неразрешена (чл. 51, ал. 1 от ЗПУПС (отм.)).
В случая следва да се приеме, че при осъществяване от
ответника на превода на сумата от 95 688. 81 лева от банковата сметка на ищеца
по сметката на дружеството „ММК И.“ ЕООД
в „Банка ДСК“ АД при интернет банкиране (Райфайзен ОНЛАЙН) се е касаело за
неразрешена платежна операция – липсвало е съгласие на ищеца за плащането и
платежната операция е неразрешена.
Обстоятелството следва да се приеме за установено при съвкупна преценка
на обстоятелствата по делото, които, макар и косвени, дават основание за такъв
извод.
Ищецът е
наредил плащане на сумата от 95 688. 81 лева на дружеството „Зара-Е“ ООД,
негов кредитор, по конкретно издадени
данъчни фактури, удостоверяващи осъществени доставки на гориво, и това е
била неговата воля при превода на сумата. Не е имало причина (основание) от
него да се извършва такъв превод с точност до стотинката на дружеството „ММК И.“ ЕООД, за което по делото се
установява, че не е на вписания в търговския регистър адрес на управление и не осъществява реално търговска дейност. С
това дружество ищецът няма никакви отношения, не го е познавал, нито е имал
данни за банковата му сметка в „Банка ДСК“ АД.
При липсата на нареден превод до „ММК И.“ ЕООД от
ищеца и изключено обстоятелството
платежната операция да е била изпълнена с вътрешна намеса на банков
служител при банката, също безспорно установено от фактическа страна,
единствена възможност остава узнаване
на средствата за електронна идентификация
и авторизация от трето лице – прихващане на кода, който е бил генериран от токен устройството при наредения
от ищеца превод до „Зара-Е“ ООД, чрез зловреден софтуер - към момента на
изпълнение на процесните преводи е било възможно няколко платежни операции да
се извършват с един код, генериран от токен устройството, като кодът е траел 10
минути, когато е можел да бъде използван. Касаело се е за влизане в системата и
идентифициране с титуляра (клиент или потребител съгласно общите условия), но
без това да е разрешена от него платежна операция.
В този смисъл са дадените заключения и на двете вещи
лица по делото – че ако се изключи, че ищецът сам е направил превода и че има
злоупотреба от служител на банката, то е налице вкаран зловреден софтуер в
компютъра на ищеца. Без значение е, че ІР адресът на устройството, от което е
наредено плащането с получател „ММК И.“ ЕООД, е бил същият като този на
устройството, от което е генерирано неоспореното платежно нареждане с получател
„Зара Е“ ООД.
Обстоятелството за умишлено използван зловреден
софтуер се потвърждава от данните за такъв софтуер в компютъра на ищеца,
въпреки условностите, че с устройството е било работено и след това и че няма
гаранция за съхранение на данните след изземването му от органите на МВР.
Обстоятелството категорично се потвърждава и от това,
че два часа след заверяване на сметката
на „ММК И.“ ЕООД в „Банка ДСК“АД със сумата от 95 688. 81
лева, съответно превалутирането й, тя е
била изтеглена от името на дружеството, без да е възстановявана, независимо, че
„ММК И.“ ЕООД не е имало никакво
основание да я получи. Също съгласно възприетото от фактическа страна, няма
нито доказателства, а и твърдения, сумата след касовите тегления да е отишла в
полза на ищеца.
При изложеното възражението на ответника за съгласие
на ищеца при превода към „ММК И.“ ЕООД е
неоснователно.
По разбиране на настоящия съдебен състав не се
установяват обстоятелства по чл. 58, ал. 2 от ЗПУПС (отм.), специална по
отношение на разпоредбата на чл. 83 от ЗЗД, при което ищецът – платец и
ползвател на платежната услуга да понесе всички загуби, свързани с
неразрешената платежна операция, както също възразява ответникът.
Не се установява категорично измама или неизпълнение
на задължение по чл. 53 от ЗПУПС (отм.) на ищеца по договора, което да е
умишлено (целенасочено) или поради груба небрежност (неполагане на грижата,
която и най-небрежният би положил) и които да са причинили изпълнението на
платежната операция, съответно настъпването на загубите за ищеца от нея.
По-конкретно не се установява неизпълнение от ищеца
на изискването по чл. 53, т. 3 от ЗПУПС
(отм.) след получаване на платежния инструмент (§ 1, т. 16 от ЗР на ЗПУПС
(отм.)) да се предприемат всички разумни действия за запазване на неговите
персонализирани защитни характеристики. От разпоредбата на чл. 58, ал. 2 от
ЗПУПС (отм.) страните в договора и приложимите към него общи условия не са се
отклонили, предвиждайки конкретно случаи, съставляващи груба небрежност - придобиването на паролата и другите средства
за електронна идентификация и авторизация, предоставени на ОНЛАЙН потребителя
от трета страна, поради неспазване на публикуваните от банката Инструкции да
сигурност, неразделна част от Общите условия; извършване на неоторизирано от потребителя интернет
плащане от устройство под негов контрол;
когато неоторизирано от него интернет плащане е авторизирано чрез потребителско
име и парола, токен, еднократен код, изпратен от банката чрез SMS, както и когато потребителят не е достъпвал Райфайзен
ОНЛАЙН директно чрез набиране на адреса https://online.rbb.bg или от официалния сайт на банката https://www.rbb.bg.
Действително в хода на делото се установява, че
компютърът на ищеца не е ползвал надеждна защита за предпазване от зловреден
софтуер, обстоятелство, на което ответникът се позовава в хода по същество, но
не се установяват конкретно установени задължения на ищеца по договора във
връзка със защитата на компютъра (с каква антивирусна програма да е и при каква актуализация), които да са били
нарушени от ищеца умишлено или с груба небрежност, както и при липсата на установен конкретният
вирус, чрез който е била извършена платежната операция в полза на „ММК И.“
ЕООД, не се установява, че той изобщо е можел да бъде елиминиран чрез такава
програма. Съгласно заключенията на вещите лица не е можело да има пълна
сигурност и защита от вирус. Според
вещото лице А. няма антивирусна програма, която да защитава от всякакви видове
софтуер, а според вещото лице С., ако потребителят използва ежедневно
антивирусна програма, то рискът за него минимален, но не би бил изключен; би
бил защитен, но не 100%, дори да ползва последните актуализации и новости на
антивирусната програма.
Обстоятелствата по ограничаването или изключването на
отговорността на ответника са в негова доказателствена тежест, но в случая
такива обстоятелства не се установяват.
Същото следва да се приеме по отношение на
установеното от вещото лице А. при преглед на компютъра на ищеца, че на
11.09.2017г., в 14:58:31 часа, чрез използване на незащитена връзка (http) в полето за търсене на браузера е била въведена
ключова дума „rbb“.
Не се установява категорично след това да е било
изготвено платежното нареждане от ищеца до „Зара-Е“ ООД, както и платежната
операция в полза на „ММК И.“ ЕООД да е била извършена поради това, че трафикът
между сървъра и клиента е бил открит за трети лица, резултат от незащитената
връзка. При въвеждане директно на адреса на сървъра на банката се осъществява
кодиран канал, поради което и в общите условия изрично е било уговорено
достъпване чрез https://online.rbb.bg или от
официалния сайт на банката https://www.rbb.bg, но дори това задължение да е било нарушено от ищеца,
не се установява, че поради това е била извършена платежната операция към „ММК И.“ ЕООД
конкретно. В първоначалното заключение вещото лице А.А. е посочил, че
прихващане може да бъде направено и ако каналът между банката и клиентът е
криптиран, тъй като при въвеждането на
компютъра има текст и ако се следи, би могъл да бъде изпратен, т.е.
използването на защитена връзка не изключва наличието на зловреден софтуер.
Достъпването от компютъра на ищцовото дружество на
11.09.2017г. в 15. 46 часа и на 12.09.2017г. в 10.14 часа, установени по
делото, също не може да се изведе като обстоятелство, ограничаващо или
изключващо отговорността на ответника.
При общата отговорност на ответника, лицензиран
доставчик на платежни услуги, по чл. 57, ал. 1 от ЗПУПС (отм.), предвидена и в
договора между страните, за възстановяване на стойността на неразрешена
платежна операция и липсата на обстоятелства по чл. 58, ал. 2 от ЗПУПС (отм.)
загубите от такава операция да останат в тежест на ищеца, предявеният по делото
иск по чл. 57, ал. 1 от ЗПУПС (отм.), вр. 79, ал. 1 от ЗЗД, за заплащане на
сумата от 95 688. 81 лева стойност
на неразрешена от „Д.“ ЕООД платежна операция от 11.09.2017г., извършена по
сметка на „ММК И.“ ЕООД, следва да бъде приет за основателен.
По договора страните допустимо са се отклонили от
разпоредбата на чл. 56, ал. 1 от ЗПУПС (отм.) относно доказването на
автентичността и точното изпълнение на платежната операция – в тежест на ищеца
ползвател и платец е било да установи, че не е разрешавал изпълнението на
платежната операция. Такава възможност изрично е предвидена в разпоредбата на
чл. 48, ал. 2 от ЗПУПС (отм.) и клаузата на чл. 118 от Общите условия в тази
част не е нищожна. Ищецът не е потребител по смисъла на § 1, т. 23 от ДР на
ЗПУПС (отм.). Но и при обърнатата
доказателствена тежест по делото, съответно на изложеното по-горе, се
установява неавтентичността на преводното нареждане към „ММК И.“ ЕООД – че лисва съгласие на ищеца за
превод на сумата от 95 688. 81
лева към това дружество.
Не е нищожна и клаузата на чл. 137 от Общите условия и
това твърдение на ищеца също е
неоснователно. Клаузата изцяло възпроизвежда съдържанието на чл. 48, ал. 2 от
ЗПУПС (отм.).
Клаузата на чл. 132 от Общите условия е неотносима по
делото, както и изобщо тези на Общи
условия за ползване на услугата „Райфайзен Електронни извлечения“ и съдът не се
произнася във връзка с тези клаузи.
Съответно на чл. 51, ал. 3 от ЗПУПС (отм.) страните са
уговорили реда и начина за даване на съгласието за изпълнение на платежните
операции, включително при интеренет банкиране (Райфайзен ОНЛАЙН) – конкретни
авторизационни условия - електронното платежно нареждане е трябвало да бъде
подписано със средство за авторизация. Клаузите на чл. 62, 74, 80, 82 и чл. 118
от Общите условия в тази връзка обаче не изключват отговорност на банката при
установена неразрешена платежна операция. Тези клаузи, съответно на чл. 20 от ЗЗД, следва да се тълкуват в смисъл, че регистрирано от банката използване на
платежен инструмент е достатъчно доказателство, че платежната операция е била
разрешена от клиента, но когато липсват други доказателства за противното,
което не е в случая.
Страните не са се отклонили и от разпоредбата на чл.
57, ал. 2 от ЗПУПС (отм.), предвиждаща, че възстановяването на стойността на
неразрешената платежна операция се извършва не по-късно от 21 дни след
получаване на уведомлението по чл. 55 от ЗПУПС (отм.) – чл. 117 от Общите
условия. В случая това е заявление на ищеца вх. № 580-299/13.09.2017г. и от
05.10.2017г. ответникът е в забава за заплащане на дължимото обезщетение от
95 688. 81 лева и дължи лихва за
забава в законния размер по чл. 86, ал.
1, вр. чл. 84 от ЗЗД, вр. Постановление № 426 от 18.12.2014г. за определяне
размера на законната лихва по просрочени парични задължения. До датата на
исковата молба (09.02.2018г.), съгласно възприетото от фактическа страна,
размерът на изтеклата лихва е 3 382. 44 лева.
В останалата част искът по чл. 86, ал. 1 от ЗЗД за
изтекла лихва като неоснователен следва да бъде отхвърлен.
По
разноските
Ищецът е поискал присъждане на направените по делото
разноски. Установява разноски за дължима и платена държавна такса по исковата молба от 3 963. 92
лева, 5 867. 49 лева разноски за адвокат и 2 250 лева разноски за вещи
лица, общо 12 081. 41 лева. С оглед
изхода на делото, на основание чл. 78, ал. 1 от ГПК, са дължими
12 078. 16 лева от разноските.
Ответникът също е поискал присъждане на направените по
делото разноски. Установява разноски за адвокат от 4 200 лева и 1 500
лева разноски за вещи лица, от които са дължими 1. 53 лева.
Воден от горното съдът
Р Е Ш И :
ОСЪЖДА „Райфайзенбанк (България)“ ЕАД, с ЕИК ********, със
седалище и адрес на управление ***, Експо 2000, бул.“********55 и
посочен адрес за призоваване гр. София, бул.“********ет. 10, офис 54-55, да
заплати на „Д.“ ЕООД, с ЕИК********, със
седалище и адрес на управление *** и с посочен адрес за призоваване гр. София, ул********, на основание чл. 57, ал. 1 от ЗПУПС (отм.),
вр. 79, ал. 1 от ЗЗД, сумата от 95 688. 81 лева (деветдесет и пет хиляди
шестстотин осемдесет и осем лева и осемдесет и една стотинки) стойност на
неразрешена от „Д.“ ЕООД платежна операция от 11.09.2017г., извършена по сметка
на „ММК И.“ ЕООД, с ЕИК********, в „Банка ДСК“ ЕАД (IBAN: ***) във връзка
с Договор-искане за откриване и обслужване на банкова сметка ***чески лица от
05.09.2017г., със законната лихва за забава от 09.02.2018г. до окончателното
плащане на сумата от 95 688. 81 лева, на основание чл. 86, ал. 1 от ЗЗД, и
3 382. 44 лева (три хиляди триста осемдесет и два лева и четиридесет и
четири стотинки изтекла лихва от 05.10.2017г. до 09.02.2018г., като ОТХВЪРЛЯ иска по чл. 86, ал. 1 от ЗЗД
за изтекла лихва в останалата част до пълния предявен размер от 3 409. 07
лева.
ОСЪЖДА „Райфайзенбанк (България)“ ЕАД, с ЕИК ********, със
седалище и адрес на управление ***, Експо 2000, бул.“********55 и
посочен адрес за призоваване гр. София, бул.“********ет. 10, офис 54-55, да
заплати на „Д.“ ЕООД, с ЕИК********, със
седалище и адрес на управление *** и с посочен адрес за призоваване гр. София, ул********, сумата от 12 078. 16 лева (дванадесет хиляди седемдесет и осем лева и
шестнадесет стотинки) разноски по
делото, на основание чл. 78, ал. 1 от ГПК, а
„Д.“ ЕООД - да заплати на
„Райфайзенбанк (България)“ ЕАД сумата от 1. 53 лева (един лев и петдесет и три
стотинки) разноски по делото, на
основание чл. 78, ал. 3 от ГПК.
Решението подлежи на обжалване пред
Апелативен съд – гр. София в двуседмичен срок от връчването му на
страните.
Съдия: