РЕШЕНИЕ
№ 653
гр. Русе, 29.04.2025 г.
В ИМЕТО НА НАРОДА
РАЙОНЕН СЪД – РУСЕ, XI ГРАЖДАНСКИ СЪСТАВ, в публично
заседание на девети април през две хиляди двадесет и пета година в следния
състав:
Председател:Тихомира Г. Казасова
при участието на секретаря Василена В. Жекова
като разгледа докладваното от Тихомира Г. Казасова Гражданско дело №
20244520103389 по описа за 2024 година
С. Х. С. заявява, че като физическо лице е клиент на „*********“ АД. Банката му
издала дебитна карта **** ***** с №*******.
На 08.02.2022г., около 7 часа, ищецът заредил автомобила си с гориво на
бензиностанция „***“ в гр.Русе и се опитал да плати с дебитната карта, но плащането било
отказано. Този факт го притеснил, тъй като разполагал с достатъчна наличност. През личния
си компютър влязъл в електронното си банкиране и установил, че през нощта на 08.02.2022г.
без негово знание и съгласие, през ПОС са наредени три трансакции: в 00:21:07 часа за
1989.02 лева; в 00:22:55 часа за 895.06 лева и в 00:27:18 часа за 348.08 лева, т.е. общо за
сумата 3232.16 лева. Сумите по процесните трансакции били налични, но блокирани по
сметката и с тях се изчерпвала наличността.
С. С. твърди, че не е нареждал платежните операции и не е давал съгласие за тях. За
случилото се уведомил незабавно ответника, чрез поделението му „******“ с адрес: гр.Русе,
***** и подал жалба, представляваща Формуляр за оспорване на плащания с банкова карта.
Банката се произнесла на 29.03.2022г. Молителят счита, че ответникът е нарушил
разпоредбите на: чл.174, ал.3 от ЗПУПС, тъй като не спазила срока за произнасяне, които
изтекъл на 01.03.2022г. и чл.174, ал.4 ЗПУПС.
На 29.04.2022г. С. С. подал жалба до Помирителната комисия за платежни спорове
(ПКПС) към Комисия за защита на потребителите, въз основа която било образувано
Помирително производство №133/2022г. ПКПС изискала информация от ответника, който
представил отговор на 23.05.2022г. От съдържанието на отговора се установило, че:
- банката предоставила противоречива информация по отношение часа на извършване
1
на неразрешените плащания;
- не ставало ясно дали се е свързала с търговеца в опит да предотврати злоупотребата;
- приложила списък със съобщения до ищеца, включително за вход в системата за
онлайн банкиране;
- прехвърлила отговорността на ищеца, без да анализира информацията, предоставена
от ПКПС, а именно, че IP адреса от който са извършени трансакциите е в Сингапур;
- изразила становище, че прилага мерките за сигурност и методите на задълбочено
установяване идентичността, отговарящи на изискванията за двуфакторна идентификация
чрез фактор „знание“ и фактор „притежание“.
Молителят счита, че при осъществяване на трансакциите са действали Законът за
платежните услуги и платежните системи (ЗПУПС), Регламент (ЕС) 2018/389 на Комисията
от 27.11.2017г. за Допълнение на Директива (ЕС) 2015/2366 на Европейския парламент и на
Съвета по отношение регулаторните технически стандарти за задълбоченото установяване
на идентичността на клиента и общите и сигурни отворени стандарти на комуникация,
Становището на Европейския банков орган (ЕБО), отразено в публикация от 21.06.2019г.
Сочи, че според чл.78, ал.1 ЗПУПС, когато ползвателят на платежна услуга твърди, че
не е разрешавал изпълнение на платежна операция или е налице неточно изпълнение,
доставчикът на платежната услуга носи доказателствената тежест при установяване
автентичността на платежна операция, нейното регистриране, осчетоводяване и следва да
установи, че операцията не е засегната от техническа повреда или друг недостатък.
Съобразно разпоредбата на чл.100 от ЗПУПС, доставчиците на платежни услуги били
длъжни да прилагат задълбочено установяване идентичността на платеца при иницииране
електронна платежна операция или друго действие от разстояние, при което би могло да
възникне риск от измама при плащане или друга злоупотреба. При задълбочено
установяване идентичността на платеца, следвало да се включва използването на два или
повече от следните независими елементи: знание – нещо, което само ползвателят знае;
притежание – нещо, което само ползвателят притежава; характерна особеност – нещо, което
характеризира ползвателя, при което поверителността на данните е защитена.
В чл.4 от Регламент (ЕС) 2018/389 било направено уточнение, че задълбоченото
установяване идентичността на платеца се основавало на два или повече елемента,
категоризирани като Знание, Притежание и Принадлежност и водело до генериране на код
за установяване идентичността. Кодът за установяване идентичността се приемал само
веднъж от доставчика на платежни услуги, когато платецът използвал кода, за да получи
достъп до своята платежна сметка онлайн, да инициира електронна платежна операция или
да извърши какво и да било електронно действие дистанционно, което би могло да е
свързано с риск от измама при плащането или друга злоупотреба.
Според становището на ЕБО данните, отпечатани върху платежната карта не се
считали за независим елемент за целите на задълбочено установяване идентичността на
платеца, а при електронното банкиране паролата била в групата на независимите елементи
„знание“, но потребителското име не се приемало като независим елемент.
В конкретния случай ПКПС разгледала активирането на софтуерния токън на
2
07.02.2022г. и установила, че:
- изпратеният чрез съобщение на телефонния номер на ищеца уникален код се приема
за независим елемент от групата „притежание“;
- имейл адресът не се признава за независим елемент за целите на задълбочено
установяване идентичността на платеца.
Помирителната комисия отчела факта, че заявката за софтуерен токън се извършва
през електронното банкиране на ответника, достъпно чрез потребителско име и парола.
Предвид констатациите на ПКПС, ищецът счита, че при активирането на процесния
софтуерен токън е налице само един независим елемент – „притежание“, поради което
банката е извършила нарушение на европейското законодателство, респективно
разпоредбата на чл.100 ЗПУПС относно задълбоченото установяване идентичността на
ищеца. При това положение поддържа, че следва да се приложи разпоредбата на чл.80, ал.4,
пр.1 от ЗПУПС, т.е. загубата не следва да бъде поета от платеца.
С оглед изложеното, С. Х. С. моли съда да постанови решение, с което да осъди
„*********“ АД да му възстанови сумата 3232.16 лева, ведно със законната лихва върху
главницата, считано от 08.02.2022г. до окончателното й изплащане.
Претендира разноски по делото.
В срока по чл.131 от ГПК, ответникът - „*********“ АД е депозирал отговор на
исковата молба, в който излага доводи, досежно неоснователността на ищцовите претенции.
Излага следните твърдения:
На 11.06.2020г. страните по делото сключили Договор за предоставяне на банкови
услуги на физически лица по програма „*******“, по силата на който Банката приела
нареждане на титуляра да открие и води безсрочна разплащателна сметка в лева с IBAN:
************** и издала на ищеца дебитна карта **** *****, като средство за отдалечен
достъп до посочената сметка. На 30.06.2020г. С. С. получил от служител на Банката в
запечатан плик картата, заедно с пин код.
На 11.06.2020г. страните по делото сключили и Договор за предоставяне и ползване
на услугата „Интернет банкиране“. Съгласно чл.1 от същия, титулярът заявил ползването на
услугата като средство за отдалечен достъп до банковата сметка. Ответникът запознал
ищеца с Общите условия за електронно банково обслужване и му предала запечатан плик,
съдържащ скреч карта, в която било предвидено специално поле за отпечатване на
конфиденциална информация (код за достъп), която се визуализирала след еднократно
изтриване. „Кодът за достъп“ представлявал комбинация от потребителско име и парола за
достъп до системата „Интернет банкиране“. При подписване на договора С. С. декларирал
личен мобилен телефон: ************* и електронна поща: *************.
Ищецът реализирал необходимите стъпки за достъп до интернет банкиране, в
резултат на което разполагал с уникални, създадени от него самия, потребителско име и
парола за достъп, за които имал нормативно и договорно задължение да се разкрива на
никого.
Съгласно вътрешните правила на Банката, регистрацията и актуализацията на
клиентските данни се осъществявала присъствено във финансов център на Банката след
3
идентификация на клиента с документ за самоличност, т.е. евентуално разкриване на
персонализираните защитни характеристики (кодове за достъп) на клиента на трети лица
можело да се осъществи преимуществено в резултат действия от страна на самия ползвател
на услугата.
На 07.02.2022г. през електронното банкиране „e-Postbank“ на клиента (достъпно
единствено с известни само на него потребителско име и парола) било заявено активиране
на софтуерен токън – “m-token Postbank”. Ответникът пояснява, че софтуерният токън
представлява софтуерно приложение, което служи за удостоверяване идентичността на
оправомощения държател и за потвърждаване съгласието за изпълнение на електронни
дистанционни платежни и неплатежни операции. Софтуерният токън можел да бъде
инсталиран само на едно устройство (смартфон) и не се асоциирал с конкретен телефонен
номер. При инсталиране на нов токън, старият автоматично се деактивирал.
Ищецът бил уведомен за осъществения вход в електронното му банкиране, чрез две
съобщения, изпратени на 07.02.2022г. в 08.08 часа чрез SMS и Viber на заявения от него
телефонен номер. Уведомленията били изпратени с цел допълнителна сигурност и
информираност за регистрираната активност от профила на потребителя, който следвало да
се усъмни за възможни зловредни действия от трето лице, в случай, че той самият не
осъществява достъпа. Въпреки това ищецът не се свързал с Банката, за да сигнализира, че
трето лице е достъпило профила му.
След съобщенията за активност в интернет банкирането, Банката изпратила на ищеца
два независими един от друг уникални и еднократни активационни кода – един чрез SMS и
Viber съобщение до телефонен номер *** *** *** и втори на електронната му поща.
При въвеждане на получените кодове токънът бил активиран, за което потребителят
бил изрично информиран с текстово съобщение, изпратено в 08.11 часа на 07.02.2022г.
На 07.02.2022г. в 12.36 часа С. С. извършил трансакция за сумата 20 лева към
търговец спрямо който предходните дни ищецът извършвал сходни операции. Предвид
действията му, банката приела, че не са налице индикации за проблем или нетипично
поведение на потребителя.
Едва на 08.02.2022г., един ден след осъществяване на достъп до профила на клиента,
за който бил информиран с няколко съобщения, изпратени през различни канали за
комуникация, потребителят се явил в офис на „*********“ АД да заяви, че с неговата карта
са извършени операции, които неодобрява. Ответникът пояснява, че оспорените операции са
извършени, както следва: на 08.02.2022г. в 02.21 часа – 1989.02 лева; на 08.02.2022г. в 02.22
часа – 895.06 лева и на 08.02.2022г. в 02.27 часа – 348.08 лева. Операциите били извършени
на виртуален ПОС терминал и протекли посредством въвеждане персонализираните
защитни характеристики на дебитната карта, издадена от Банката на името на клиента,
както и с метод за задълбочено установяване идентичността на платеца – чрез софтуерния
токън, на който били изпратени “PUSH” нотификации за потвърждение на трансакциите.
Ответникът оспорва твърдението, че е налице разминаване в часа на реализираните
операции, посочен във формуляра за оспорване на трансакциите и отговорът на Банката пред
помирителната комисия за платежни спорове.
4
Прави извод, че всяка от операциите е извършена от лице, което е имало
едновременен достъп до данните, нужни за извършването им, а именно: потребителско име
и парола за влизане в профила на интернет банкирането на С. С.; физически достъп до
телефонен номер ***************, на който е получен първия код за софтуерния токън и
съобщения за вход в интернет банкирането му; достъп до електронната поща, на която бил
изпратен втория код за активация на токъна, включително знание за парола за тази поща;
достъп до данните, изписани върху пластиката на банковата карта; знание за пин код на
токъна. Счита, че операциите са извършени от ищеца или от лице, на което същият, при
проявена груба небрежност е разкрил данните и персонализираните си защитни
характеристики.
По отношение приложения метод за задълбочено установяване идентичността на
платеца, Банката излага следните доводи:
Според чл.100, ал.8 от ЗПУПС доставчиците на платежни услуги биха могли да не
прилагат задълбочено установяване идентичността на платеца в случаите и при условията
по чл.10 – 20 от Делегиран регламент (ЕС) 2018/389. Поддържа, че в случая първоначалния
вход в електронното банкиране на Банката е реализиран чрез двуфакторна идентификация,
включваща елементите „знание“ за уникален код (потребителско име), получен на
електронна поща и „притежание“ – парола за достъп, получена на мобилен номер. При всяка
следваща потребителска сесия клиентът достъпвал единствено информация относно
състоянието на платежните му сметки и история на платежните операции, изпълнени през
последните 90 дни, поради което входът се осъществявал чрез потребителско име и парола.
Ако в рамките на същата потребителска сесия клиентът предприемал платежни операции
или други действия, при които би могло да възникне риск от измама при плащането или
друга злоупотреба, се прилагало задълбочено установяване идентичността на платежа,
съгласно изискванията на СПУПС и Делегирания регламент. Такова се реализирало и на
всеки 90 календарни дни, като освен изискване за въвеждане на потребителско име и парола
за достъп до електронното банкиране (елемент “знание“), Банката изпращала и изисквала
въвеждане на уникален еднократен код за достъп чрез SMS/Viber съобщение, на
предоставения от клиента мобилен телефонен номер. Без въвеждането на известните
единствено на потребителя потребителско им, парола и код за достъп, клиентът нямал
възможност да достъпи услугата.
Ответникът твърди, че в случая не е налице негов пропуск в изпълнението на
законодателните изисквания относно достъп до електронното банкиране на ищеца, тъй като
същият ползвал интернет банкиране и преди 07.02.2022г. и не били изтекли повече от 90 дни
след последния път, когато осъществил онлайн достъп.
Активацията на софтуерния токън “m-token“ се извършвала след вход в интернет
банкирането посредством създадена от потребителя парола, избор за активиране на токъна
от съответното меню и въвеждане на получени активационни кодове на телефонния номер
на ищеца и електронната му поща. При активацията се използвали два от елементите за
задълбочено установяване идентичността на платеца – елементът „знание“, манифестиран с
въвеждане известната само на ищеца парола за вход в електронното банкиране и кодът за
5
активация, изпратен на адреса на електронната поща. Елементът „притежание“ бил получен
при въвеждане на кода, изпратен като съобщение на номера на мобилния телефон на С. С..
По повод обстоятелството, че адресът на електронната поща не е независим елемент
за задълбочено установяване идентичността на платеца, ответникът сочи, че в настоящия
случай факторът знание се формира не от имейл адресът на клиента, а от получения на този
адрес уникален код, който отговаря на изискванията на Регламента. Освен това оспорените
трансакции били разрешени и посредством въвеждане на всички данни на банковата
платежна карта, след натискане бутон „потвърждавам“ в приложението m-token и след
получаване на PUSH нотификация.
Счита, че относно прилагането на двуфакторна идентификация, меродавно е
становището на регулаторния орган – Българска народна банка, обективирано в писма до
потребители, приложени към отговора.
В заключение ответникът твърди, че в случая няма никакви данни оспорените
операции да са извършени поради пробив в системите, за които отговаря. Банката нямала
възможност да установи евентуалното наличие на фишинг атака и/или действащ зловреден
софтуер в клиентското устройство, използвано за трансакции и/или за заявяване на
софтуерен токън. С предоставяне съвети за сигурност и изпращане съобщения за
осъществяване различни действия от името на потребителя, Банката сторила всичко
възможно да защити клиента, като в случая дори надхвърлила дължимата грижа.
По изложените съображения ответникът моли съда да отхвърли претенцията като
неоснователна.
След преценка на събраните по делото доказателства, доводите на страните и
приложимия закон, съдът прие за установено от фактическа страна следното:
Не се спори, че страните по делото са били обвързани от облигационни отношения,
основани на: Договор за предоставяне на банкови услуги на физически лица по програма
„*******“, сключен на 11.06.2020г., по силата на който Банката приела нареждане на
титуляра да открие и води безсрочна разплащателна сметка в лева с IBAN:
******************** и издала на ищеца дебитна карта **** *****, като средство за
отдалечен достъп до посочената сметка и Договор за предоставяне и ползване на услугата
„Интернет банкиране“, съгласно който титулярът заявил ползването на услугата като
средство за отдалечен достъп до банковата сметка.
На 30.06.2020г. С. С. получил от служител на Банката в запечатан плик картата,
заедно с пин код.
На 07.02.2022г. в 08:09:26 часа банката изпратила на ищеца кодове за активиране на
“***********”, като указала на клиента, че същите следва да бъдат въведени в съответните
полета в приложението “**************”, инсталирано на мобилния телефон и го
предупредила да не въвежда кодовете в отговор на получени е-mail, други съобщения или
интернет страници, дори и ако изглеждат като такива, изпратени от *********.
Оспорените операции за извършени, както следва: на 08.02.2022г. в 02.21 часа –
1989.02 лева; на 08.02.2022г. в 02.22 часа – 895.06 лева и на 08.02.2022г. в 02.27 часа – 348.08
лева.
6
Приложени са: общите условия, съставляващи неразделна част от двата контракта;
указания за предпазване от фишинг; становище на БНБ; заявление до Помирителната
комисия за платежни спорове към КЗП; Помирително предложение по помирително
производство от 29.03.2024г.; Формуляр за оспорване на плащания с банкова карта; отговор
от 29.03.2022г.
След анализ на данните, предоставени от страните Помирителната комисия за
платежни спорове е стигнала до извод, че при вход в електронното банкиране “e-Postbank”,
чрез което е направена заявката за софтуерен токън, както и при инсталирането му, банката
не е приложила двуфакторна идентификация на оправомощения ползвател – С. С., която да
съответства на изискванията на Регламент 2018/389, чл.100 ЗПУПС и Становището на
Европейския банков орган. Комисията е приела, че ищецът е бил подведен от измама от типа
„фишинг“.
С оглед установяване относими към спора факти е възложена и приета съдебно –
техническа експертиза, чието заключение съдът кредитира като ясно, пълно, всестранно и
обективно.
Вещото лице обяснява, че при потребителска сесия клиентът достъпва единствено
информация относно състоянието на платежните му сметки и история на платежните
операции, изпълнени през последните 90 дни, но при предприемане платежни операции или
други действия, при които е възможно да възникне риск от измама при плащане или друга
злоупотреба, ответникът прилагал задълбочено установяване идентичността на платеца,
съгласно изискванията на ЗПУПС.
По отношение степента на защита и сигурност, експертът сочи, че в изпълнение на
Директива 2015/2366 банката е включила допълнителна идентификация при вход в услугите
интернет банкиране и мобилно банкиране. Идентификацията се осъществявала чрез
еднократен код, който се получавал чрез SMS или чрез приложението Viber, изпратен на
конкретен телефонен номер, посочен от клиента при подписване на договор за предоставяне
на услугите. Това допълнително изискване представлявало втори фактор – фактор
притежание на SIM картата в чипа, на която е запазена информация за телефонния номер на
клиента, в допълнение на първия фактор, съставляващ знанието за потребителското име и
парола – уникални и създадени от потребителя на услугата, които не са достъпни и известни
на други лица. Платежната операция с банкова карта можела да се осъществи на физически
ПОС терминал, чрез портали за онлайн плащания, мобилни портфейли или трансакции през
банкомат, като в тези случаи идентификацията на клиента представлявала метод за проверка
на картодържателя, включващ: въвеждане на ПИН код, подпис или биометрична проверка,
въвеждане на данни за картата. При трансакция, данните на картата се изпращали на
издателя на картата за проверка, която включвала: проверка състоянието на картата, нейната
валидност, наличните средства. Оторизацията на нареждането за плащане се допълвала и
чрез лимити на трансакциите. Извършвал се мониторинг на измамите в реално време:
непрекъснато наблюдение на трансакциите за необичайни модели и блокиране на
операциите и платежните инструменти при възможни съмнения. За повишаване нивото на
сигурност, се прилагало потвърждение с нотификации, изпратени до активиран от клиента
7
софтуерен токън, а инсталация на такъв можело да бъде инициирана единствено
посредством интернет банкиране, достъпно само за потребителя и потвърдено от
еднократни динамични кодове, изпратени с SMS и електронно писмо до телефонния номер
и електронния адрес, регистрирани в досието на потребителя в банката.
Вещото лице подробно обяснява механизмът на действие на софтуерния
„**********“. След анализ е установило, че банката отговаря на всички действащи на
територията на Европейския съюз правила и на техническите изисквания за задълбочено
удостоверяване идентичността и автентичността на клиента за гарантиране на общи и
персонализирани средства за сигурност, системи и проверки на идентификацията на
оправомощения ползвател на платежни услуги и авторизацията на всяко плащане.
Констатирано е, че процесните трансакции са извършени на виртуален ПОС терминал
на търговец и са осъществени с въвеждане на пълния набор персонализирани защитни
характеристики на притежаваната от С. С. дебитна карта. Извършена е допълнителна
верификация посредством софтуерен токън – за всяка една от трите трансакции са
изпратени три PUSH нотификации, които са инициирали стартиране на мобилното
приложение „*********“, изискващо въвеждане на персонален 6 цифрен PIN код създаден и
известен само на притежателя на платежните инструменти. Експертът пояснява, че
активирането на софтуерния токън, с който са потвърдени процесните трансакции е
инициирано на 07.02.2022г. от персоналния профил на С. С. в системата за интернет
банкиране „*******“, достъпен единствено чрез парола, определена и известна само на
ползвателя на платежните услуги и представляваща елемент за осъществяване на
задълбочено установяване на идентичността от категорията „знание“. За завършване
процеса по активиране на софтуерния токън, банката изпратила два независими един от
друг уникални и еднократни активационни кода – чрез SMS съобщение до телефонен номер
– на 07.02.2022г. в 08:09:25 часа и чрез съобщение на имейл, изпратен на електронната поща
на ищеца – на 07.02.2022г. в 08:11 часа. Пояснено е, че използването на еднократен
активационен код, изпратен чрез електронно съобщение до мобилния телефонен номер на
клиента, представлява елемент за осъществяване задълбочено установяване идентичността
от категорията „притежание“. На 07.02.2022г. имало три реализирани сесии: в 07:45 часа от
обичайният IP адрес, от който влизал С. С. – *********; в 08:08 часа – сесия, в която е
заявено инсталиране на софтуерен токън, като входа в системата за интернет банкиране бил
осъществен през профила на С. С., но от IP адрес ******** с географска локация в Сингапур
и в 08:14 часа от обичайният IP адрес на С. С. - *********. При реализиране на втората
сесия, системите на банката изпратили до С. С. SMS и Viber съобщения със съдържание:
„Вход в системата за електронно банкиране на ********* на 07.02.2020г. 08:08 часа от IP
адрес ********“. Вещото лице е категорично, че ищецът не би могъл без смарт телефон да
активира мобилното приложение Viber, чрез което успешно е получавал съобщения,
изпратени от банката. Пояснява, че IP адресите не могат да се използват за еднозначно
определяне на географското местоположение на клиентите, които ги използват, тъй като
съществуват редица технологии, позволяващи на потребителите да ги маскират и логически
да пренасочват трафика през IP адреси, регистрирани в друга държава или дори в друг
8
континент. Експертът прави извод, че технически е невъзможно, без пълното съдействие от
страна на притежателя на разплащателните инструменти – С. С. да бъде използвана
информацията и да бъде осъществен достъпа до пълния комплексен набор от данни –
потребителско име и парола; електронната пощенска кутия с потребителско име и парола;
мобилния телефонен номер; информацията за персонализираните защитни характеристики
на дебитната карта (номер, име на картодържателя, валидност и код). Процесните
трансакции били извършени на 08.02.2022г. в интервала 02:21 часа – 02:27 часа и били
потвърдени с използването на активирания на 07.02.2022г. софтуерен токън. Трите
трансакции били осъществени чрез виртуален ПОС терминал на търговец с въвеждане на
пълния набор персонализирани защитни характеристики на притежаваната от ищеца
дебитна карта. За трите трансакции бил приложен метод за дълбоко установяване
идентичността на платеца посредством софтуерен токън, като за всяка една от тях били
изпратени PUSH нотификации, които са инициирали стартиране на мобилното приложение
„***********“, което е изискало въвеждане на персонален 6 цифрен PIN код, създаден и
известен само на притежателя на платежните инструменти, след което трансакциите са били
потвърдени. В същия интервал от време било реализирано и влизане в системата за
електронно банкиране, осъществено от IP адрес с географска локация в САЩ, Тексас, Далас.
Установеното, фактическа обстановка налага следните правни изводи:
Предвид изложените в исковата молба обстоятелства и формулиран петитум, съдът
квалифицира правно предявените, обективно съединени искове по 82 ЗЗД, вр.чл.79, ал.1
ЗПУПС и чл.86 ЗЗД.
Съобразно разпоредбата на чл.79 ЗПУПС, в случай на неразрешена платежна
операция, доставчикът на платежни услуги на платеца възстановява незабавно на последния
стойността на неразрешената платежна операция и във всеки случай не по-късно от края на
следващия работен ден, след като е забелязал или е бил уведомен за операцията, освен
когато доставчикът на платежни услуги има основателни съмнения за измама и уведоми
съответните компетентни органи за това.
Платежната операция е разрешена, ако платецът я е наредил или е дал съгласие за
изпълнението (чл.70, ал.1 ЗПУПС).
Когато ползвателят на платежна услуга твърди, че не е разрешавал изпълнението на
платежна операция или че е налице неточно изпълнена платежна операция, доставчикът на
платежната услуга носи доказателствената тежест при установяване автентичността на
платежната операция, нейното точно регистриране, осчетоводяването, както и за това, че
операцията не е засегната от техническа повреда или друг недостатък в услугата (чл.78, ал.1
ЗПУПС). Според ал.3 на чл.78 ЗПУПС установяване на автентичността е процедура, която
позволява на доставчика на платежна услуга да провери правомерното използване на
конкретен платежен инструмент, включително неговите персонализирани средства за
сигурност. Използването на конкретен платежен инструмент се определя от правилата и
процедурите на доставчика на платежни услуги по изпълнение на съответната платежна
операция. Съгласно ал.4 на правната норма, когато ползвателят на платежна услуга твърди,
че не е разрешавал платежна операция, регистрираното от доставчика на платежни услуги,
9
включително от доставчика на услуги по иницииране на плащане, когато е приложимо,
използване на платежен инструмент не е достатъчно доказателство, че платежната операция
е била разрешена от платеца или че платецът е действал чрез измама, или че умишлено или
при груба небрежност не е изпълнил някое от задълженията си по чл.75 ЗПУПС.
Доставчикът на платежни услуги, включително доставчикът на услуги по иницииране на
плащане, когато е приложимо, представя доказателства, че е налице измама или груба
небрежност от страна на ползвателя на платежни услуги.
Съгласно нормата на чл.80, ал.3 ЗПУПС, платецът понася всички загуби, свързани с
неразрешени платежни операции, когато ги е причинил чрез измама или с неизпълнението
на едно или повече от задълженията си по чл.75 ЗПУПС умишлено или поради груба
небрежност, като в тези случаи платецът понася вредите, независимо от размера им. Според
ал.5 на правната норма след уведомяването по реда на чл.75, т.2 платецът не понася никакви
имуществени вреди, произтичащи от използването на изгубен, откраднат или незаконно
присвоен платежен инструмент, с изключение на случаите, когато платецът е действал чрез
измама.
Следователно за да е основателен искът, трябва да са налице неразрешени платежни
операции, които са увредили ищеца. От друга страна, за да се освободи от отговорност,
банката трябва да докаже, че ищецът е действал с измама, или е нарушил задълженията си
умишлено или поради груба небрежност.
В случая е безспорно между страните, че са обвързани от облигационни
правоотношения, основани на: договор за откриване и водене на банкова сметка, във връзка
с която е издадена дебитна карта и договор за интернет банкиране, като средство за
отдалечен достъп до банковата сметка. Няма спор и относно обстоятелството, че на
08.02.2022г. са извършени три трансакции, които ищецът оспорил в офис на банката на
същата дата. Ответникът проучил въпроса и след сериозно закъснение отказал да възстанови
сумата, позовавайки се на груба небрежност от страна на платеца.
Със заключението на вещото лице, което съдът кредитира с доверие, е установено, че
трите оспорени платежни операции извършени на 08.02.2022г. са били осъществени чрез
виртуален ПОС терминал на търговец с въвеждане на пълния набор персонализирани
защитни характеристики на притежаваната от ищеца дебитна карта. Приложен е метод за
установяване идентичността на платеца, посредством софтуерен токън, като за всяка
операция били изпратени PUSH нотификации, инициирали стартиране на мобилното
приложение „**********“, изискващо въвеждане на персонален 6 цифрен PIN код, създаден
и известен само на притежателя на платежните инструменти, като трансакциите били
потвърдени. Изложеното обуславя извод, че банковите операции са извършени чрез
използване на надлежно издаден платежен инструмент в полза на платеца на паричната сума
по всеки от наредените преводи.
Спорен между страните е въпросът: Налице ли е основанието на чл.80, ал.3 ЗПУПС?
Ноторно известно е, че компонентите за сигурност (потребителско име и парола за
вход в системата, ПИН код и SMS код) могат да се компрометират от компютърни вируси,
фишинг атаки и др., в този смисъл е и становището на ПКПС, според което ищецът е бил
10
подведен от измама от типа „фишинг“ (лист 22). Поради това неоснователен се явява
доводът на ответника, че само и единствено ползвателят, респективно някой на когото той,
проявявайки груба небрежност, е дал възможност да получи информацията, знае
необходимите данни за достъп и ползване на банкирането. Зловреден софтуер без съгласието
или знанието на потребителят би могъл да бъде инсталиран, за да се получи достъп до
информацията, която потребителят не иска да даде на никого. При положение, че обективно
е налице техническа възможност за неправомерен достъп до чувствителна информация на
различни компютърни устройства на потребителя, без последният да знае за това, от факта,
че данните за достъп до приложението са използвани за извършване на платежна операция,
не може да се направи несъмнен извод, че платецът е проявил груба небрежност и не е
изпълнил задължението си за запазване неговите персонализирани средства за сигурност.
Съдът счита, че установените по делото обстоятелства – използване на различни от
обичайните за платеца IP адреси, сочат на възможност ищецът да е станал жертва на измама
от страна на трето лице. В тази връзка съдът отчита и факта, че на 08.02.2022г., в деня, в
който са извършени оспорените трансакции, С. С. е посетил офис на банката и уведомил
служителите, че не е разрешил платежните операции, направени няколко часа по-рано.
Ответникът не твърди, а и не е ангажирал доказателства, от които е видно, че след
незабавното уведомяване от страна на потребителя, се е свързал с обслужващата търговска
организация в опит да предотврати измамата и да изиска възстановяване стойността на
трансакциите.
По отношение небрежността и формите й, нормативната уредба не съдържа
дефиниращи разпоредби, но съдебната практика приема, че небрежност е налице тогава,
когато длъжникът несъзнавано не е предоставил дължимото надлежно изпълнение, не е
положил онази грижа, която дължи добрият стопанин при предоставяне на изпълнението.
Грубата небрежност се различава от обикновената по степен и представлява по-засилена
форма на небрежност, изразяваща се в неполагане на грижа, но според различен абстрактен
модел – грижата, която би положил и най-небрежният човек при подобни условия.
Задължението за опазване на предоставените персонални средства за достъп до
платежния инструмент за активно опериране с платежната сметка на ищеца изисква
предприемане на всички разумни действия за запазването им в тайна, включително да не
записва каквато и да е информация за тези средства за сигурност върху платежния
инструмент и да не съхранява такава информация заедно с платежния инструмент.
Разумните действия обичайно се свеждат до наличие на парола за достъп до
функционалностите на телефона/компютъра, използване на антивирусна програма и
поддържането й в състояние на активност, съответно фактическо опазване в тайна на
предоставените пароли и периодичната им промяна. Противодействието на евентуално
нерегламентирано въздействие от лица със специални знания по отношение на мобилно
смарт устройство или системата за онлайн банкиране не може да се счита за разумно
действие, което е дължимо от страна на обичайния потребител, той като по дефиниция
потребителят не разполага с опитност в областта на софтуерните технологии.
За настоящото производство е от значение това, че по отношение оспорените
11
платежни операции, ответникът не е доказал да са резултат от извършена измама от страна
на ищеца или умишлено или поради груба небрежност неизпълнение на задължението за
опазване персонализираните средства за сигурност. Измама, умисъл или груба небрежност
от страна на платеца не се презюмира, а подлежи на доказване от доставчика, посредством
допустимите от закона доказателствени средства, което в настоящия процес не бе сторено.
Изложеното и фактът, че ищецът своевременно е уведомил банката по реда на чл.75, т.2
обуславя извод, че процесните трансакции не са били разрешени от платеца.
В обобщение: извършените на 08.02.2022г. три трансакции, които макар да са
наредени чрез уговорения платежен инструмент за електронно банкиране, не са извършени
поради измама от ползвателя С. С. и за тях не са изпълнение условията на чл.80, ал.3
ЗПУПС, поради което същите представляват неразрешени платежни операции. За тях
банката е уведомена своевременно (без неоснователно забавяне), поради което дължи
възстановяване на платежната сметка, в състоянието, в което тя би се намирала, ако не бяха
изпълнени неразрешените платежни операции.
Претенцията като основателна следва да бъде уважена изцяло.
По отношение иска за лихва за забава:
Обезщетението за забава се дължи върху сумата 3232.16 лева е дължимо за периода
09.02.2022г. (денят, следващ денят на уведомяването) до възстановяване на сумата.
По разноските:
Съобразно разпоредбата на чл.78, ал.1 ГПК в тежест на ответника са направените от
ищеца разноски по делото в размер на 1002.51 лева (списък по чл.80 ГПК – лист 173).
Мотивиран така, съдът
РЕШИ:
ОСЪЖДА „*********“ АД, ЕИК ******* със седалище и адрес на управление:
гр.София, *********, представлявано от А. В. Я. – изпълнителен директор и М. И. В. –
прокурист да заплати на С. Х. С., ЕГН ********** с адрес: гр.Русе, ********* сумата
3232.16 лева - стойността на извършени на 08.02.2022г. неразрешени операции, ведно със
законната лихва върху главницата, считано от 09.02.2022г. до окончателното й изплащане и
1002.51 лева – разноски по делото.
РЕШЕНИЕТО подлежи на въззивно обжалване пред Русенски окръжен съд в
двуседмичен срок от съобщаването му на страните.
Съдия при Районен съд – Русе: _______________________
12