Р Е Ш Е Н И Е
№ …
гр. София, 24.01.2017 г.
В И М Е Т О
Н А Н А Р О Д А
СОФИЙСКИ ГРАДСКИ СЪД, ТЪРГОВСКО ОТДЕЛЕНИЕ, 20 състав, в публичното съдебно заседание на двадесет и шести октомври две хиляди и шестнадесета година в състав:
СЪДИЯ: ТАТЯНА КОСТАДИНОВА
при секретаря Д. Т., като разгледа т.д. № 7478 по описа за 2014 г., за да се произнесе, взе предвид следното:
Предявени са искове с правно
основание чл. 57, ал. 1 ЗПУПС и чл. 86 ЗЗД и обратен иск с правно основание чл.
59 ЗЗД.
Ищецът А. С ЕООД твърди, че с ответника Б.Д. ЕАД сключил договор за разплащателна сметка с IBAN ***, както и договор за ползване на електронно банкиране от 26.06.2012 г. Поддържа, че на 31.07.2014 г. са извършени две неразрешени от него платежни операции със средства от разплащателната сметка – банков превод на стойност 23 510 лв. и на стойност 24 380 лв. с получател на превода С.К.Г.. Твърди, че тези операции са наредени чрез системата за електронно банкиране и чрез притежавания от него профил, но нареждането е направено от трето неоправомощено лице чрез отдалечен достъп. Счита, че ответникът в качеството си на доставчик на платежни услуги не е изпълнил задължението си да оповести действията, които ползвателят на услугата следва да предприеме във връзка със сигурността на банкирането, както и да осигури недостъпност на персонализиращите защитни характеристики на платежния инструмент. Поради това поддържа, че ответникът следва да възстанови стойността на неразрешените платежни операции, както и да заплати лихва за забава, която за периода 23.08.2014 г. – 29.10.2014 г. възлиза на 907 лв. Претендира посочените суми ведно със законна лихва от предявяване на иска до погасяването, както и разноски.
Ответникът Б.Д. ЕАД оспорва исковете с твърдението, че изпълнението на преводите е извършено при условията на чл. 75, ал. 2 ЗЗД – доставчикът на платежните услуги е действал добросъвестно, тъй като от обстоятелствата недвусмислено можело да се направи извод, че операциите са разрешени - нарежданията са подписани с квалифициран електронен подпис, чийто титуляр е ищецът, както и от обичайния IP адрес. Поддържа, че страните са се отклонили от разпоредбите на ЗПУПС, ограничаващи отговорността на ползвателя, както и че последният е проявил груба небрежност, като е предоставил на трети лица персонализиращите характеристики, чрез които се извършва електронното банкиране. Претендира разноски.
Помагачът С.К.Г. не взема становище исковете.
Съдът, като обсъди събраните по
делото доказателства, достигна до следните правни и фактически изводи:
Безспорно между страните е, че между тях е сключен договор за разплащателна сметка с IBAN ***.06.2012 г. и договор за ползване на електронно банкиране от 26.06.2012 г.; че на 31.07.2014 г. чрез системата за електронно банкиране са наредени с квалифициран електронен подпис, издаден на името на законния представител на ищеца – Б.С., и изпълнени от банката две платежни операции – банкови преводи в общ размер на 47 890 лв., с които е заверена сметката на помагача Г..
Спорни са следните въпроси: 1/.
дали така извършените нареждания съставляват неразрешена платежна операция и
ако да – 2/. налице ли е
неизпълнение от страна на платеца на задължения във връзка с ползването на
услугата за интернет банкиране, вкл. със запазването на защитните
характеристики на платежния инструмент, и ако да - 3/. това неизпълнение съставлява ли основание за освобождаване на банката
от отговорност за неразрешената платежна операция.
Отговорът на тези въпроси се обуславя от приложимото към отношенията на страните право. Извършените банкови преводи съставляват платежни операции по смисъла на чл. 4 от ЗПУПС. Съгласно чл. 48, ал. 2 ЗПУПС, когато ползвателят на платежна услуга не е потребител, страните по платежната операция могат да договорят, че в отношенията им няма да се прилагат някои разпоредби от закона, вкл. чл. 51, ал. 1 ЗПУПС, определящ обема на понятието „разрешена платежна операция“, и чл. 58 ЗПУПС, определящ специални правила за разпределяне на риска от неразрешената операция. Този законодателен подход е в съответствие с чл. 35 от Преамбюла и чл. 51, ал. 1 вр. чл. 54, § 2, ал. 2 от Директива 2007/64/ЕО относно платежните услуги във вътрешния пазар, която допуска законодателно да се ограничи режимът на отговорност на банката в отношенията й с клиент-непотребител. Потребител по смисъла на ЗПУПС е само физическо лице съгласно /§ 1, т. 23/, поради което в процесните отношения ищецът и ответникът са били свободни да се отклонят от посочените в чл. 48, ал. 2 ЗПУПС разпоредби. В чл. 121, ал. 2 от Общите условия за ползване на услугите на ДСК Директ, валидни към момента на сключване на договора /Общи условия-2009 г./, както и в Общите условия, действащи към момента на процесните операции /Общи условия-2014 г./, страните са уговорили, че в отношенията им няма да се прилагат разпоредбите на чл. 49, ал. 1, чл. 55, ал. 1 относно срока, чл. 56, чл. 58, чл. 59 и чл.68 ЗПУПС. Следователно страните не са се отклонили от правилото на чл. 51, ал. 1 ЗПУПС и поради това дали процесните операции са разрешени или не следва да се определи съобразно закона.
Съгласно чл. 51, ал. 1 ЗПУПС платежната операция е разрешена, ако платецът я е наредил или е дал съгласие за изпълнението ѝ. При липса на съгласие платежната операция е неразрешена. Наличието на съгласие не може да се извлече единствено от подписването на нареждането чрез КЕП /арг. чл. 56, ал. 3 ЗПУПС/. Независимо, че страните са изключили приложението на чл. 56 ЗПУПС, съдът приема, че подписването на нареждането по начин, придаващ му вид на изходящо от ползвателя на услугата, само по себе си не е достатъчно за определяне на операцията като извършена със съгласие на ползвателя. Това би лишило от правно значение уговорените случаи на отговорност на банката при неразрешена банкова операция - на практика въпросът за отговорността на банката се поставя именно в случаите, когато операцията е извършена от името на потребителя, чрез негови идентификационни характеристики, но придобити неправомерно. В настоящия случай липсата на съгласие за изпълнение на нарежданията /освен че като факт не е оспорен от ответника/, се установява косвено от доказателствата относно последващите действия на страните – препятстване изпълнението на третата, наредена от помагача операция, незабавно уведомяване на органите на МВР, липса на облигационни отношения, обуславящи преводите, и се потвърждава от установените в хода на досъдебното производство факти. Поради това, дори при отклонение от въведената с чл. 56, ал. 1 ЗПУПС тежест за доказване на автентичността на платежната операция, съдът приема за установено извършването на нарежданията при липса на съгласие от действителния титуляр на сметката. Т.е. процесните операции са неразрешени.
В общите условия страните са уговорили, че се отклоняват и от разпоредбата на чл. 58 ЗПУПС относно разпределяне на риска при неразрешената операция, като приемат за приложими правилата, установени по договорен път. Същевременно, видно от чл. 105 от Общите условия-2009 г. /съответно чл. 102 от ОУ-2014 г./ страните са се отклонили единствено от правилото на чл. 58, ал. 1 ЗПУПС в частта относно максималния размер, до който се ограничава отговорността на платеца в хипотезата на несъхранени персонални идентификатори от страна на клиента. Възпроизведено е правилото, че „клиентът понася всички загуби, независимо от размера им, свързани с неразрешени операции, когато „клиентът не е успял да запази персоналните си идентификатори“ или ако ги е причинил чрез измама или с неизпълнение на задължения по Общите условия умишлено или поради груба небрежност“. Анализът на ал. 2 и ал. 3 на чл. 105 от ОУ-2009 г. /чл. 102 от ОУ-2014 г./ налага извод, че рискът от извършване на неразрешената операция е възложен върху платеца, само когато осъществяването й е в причинна връзка с умишлено или в резултат на груба небрежност неизпълнение на задължения по ОУ, вкл. за съхраняване на персонализиращите данни. Следва да се отбележи, че това разрешение е изцяло в духа на Директива 27/64/ЕО, създадена да уреди правилата за носене на риска от неправомерен достъп до банкови сметки, като засили защитата на платеца и увеличи обема отговорност, носен от финансовата институция.
Именно поради наличието на специални правила, уреждащи отговорността за неразрешената платежна операция, правилото на чл. 75, ал. 2 ЗЗД, на което се позовава ответникът, не се прилага – ирелевантно за отговорността на банката е дали тя е платила /изпълнила нареждането/ въз основа на недвусмислени обстоятелства, сочещи правата на наредителя. ЗПУПС въвежда правила за отговорност на банката, когато тя е изпълнила формално редовно от външна страна нареждане, стига неговата неоторизираност да не се дължи на проявена от платеца груба небрежност или умисъл. Поради това съдът не обсъжда обстоятелствата, свързани с възможната добросъвестност на ответника, а именно – отправяне на нареждането от обичайния IP адрес, в обичаен размер и чрез подписването му с КЕП, идентифициращ ползвателя на услугата.
Установява се, че процесните нареждания са извършени чрез т.нар. отдалечен достъп. Съгласно разясненията, дадени от вещото лице в о.с.з. на 26.10.2016 г., трето лице, узнавайки неправомерно парола и потребителско име, може да нареди плащания по начин, който ги индивидуализира като изходящи от определен IP адрес без пряк физически достъп до компютър с този адрес, стига към този момент устройството, представляващо квалифициран електронен подпис /КЕП/, да е активно в компютъра. Следва да се прецени, дали този начин на осъществяване на процесните нареждания е в причинна връзка с умишлено/при груба небрежност неизпълнение на задължения на платеца, свързани с ползване на интернет услугата, вкл. задълженията за съхраняване на идентификаторите.
При интернет банкирането на ищеца е било вменено използването на определена оперативна система, което задължение не е нарушено - ищецът е осъществявал банкирането от компютър с операционна система, посочена като допустима в ръководството, изготвено от ответника /вж. разпит на вещото лице в о.с.з. на 08.04.2016 г./. Ползвана е и антивирусна програма, каквито са изискванията в ръководството.
От доказателствата за провеждани телефонни разговори между служители на ищеца /счетоводителите И. и С./ и банкови служители се установява, че И. и С. са имали достъп до интернет банкиране чрез профила на законния представител на ищеца, т.е. ищецът е нарушил задължението да пази персонализираните защитни характеристики, чрез които може да осъществява платежни операции. Това нарушение обаче не е извършено при груба небрежност – видно от съдържанието на телефонните разговори, ищецът е действал с увереност за правомерност, създадена от служители на банката, като е подписал нотариално заверено пълномощно със съдържание и форма, посочени му от банков служител /„Нека само за секунда да прочета, какво ми диктуваха от Русе в клона и т. написахме – „упълномощава М.С. И. да ползва създадения мой активен достъп чрез интернет банкиране на всички банкови сметки на А., открити в Банка ДСК чрез моя потребителски идентификатор … нотариално е заверено …“ /И., л. 247 от делото/. Т.е. погрешното разбиране на потребителя относно възможността за ползване на профила му от трето лице /че това може да се осъществи само въз основа на нотариално пълномощно/ не е резултат от проявена груба небрежност, а е вследствие на информация, дадена от банков служител. Че се нарушават условията на директния достъп не е било очевидно за потребителя, тъй като Общите условия също използват термина „упълномощаване“ - именно като „упълномощаване“ е определено предоставянето на достъп на трети лица в Общите условия-2009 – съгласно чл. 8 „достъпът се предоставя само на законни представители на клиента или изрично упълномощени от тях лица …. Клиентът заявява имената и личните данни по документ за самоличност …, като прилага към искането за достъп и съответните изисквани от банката документи ….“ /каквото е било изисканото от служител на банката в клона в гр. Русе пълномощно/, а съгласно чл. 13 достъпът на определено лице може да бъде прекратен след подаване на „писмено заявление от клиента, че пълномощното на потребителя е оттеглено“. Наред с това е предвидено право на специално упълномощено лице да получи пликовете с паролите /чл. 85/. Същевременно съгласно чл. 89 от ОУ, на потребителите е вменено задължението да пазят в тайна срещу „неоторизиран достъп“ характеризиращите данни, т.е. предоставянето им на лице, за което потребителят е бил уверен, че е упълномощил надлежно, както и на банков служител /при поискване в телефонен разговор/ не се явява нарушение на тази разпоредба. Ето защо, макар да съдът да приема за установено, че ищецът е разгласил на трети лица персонализиращите характеристики, счита, че това не е извършено с такава форма на вината, при която страните са уговорили да отпадне ответниковата отговорност.
Възможно е да се приеме, че изискването за умисъл или груба небрежност е уговорено от страните като основание за поемане на риска от платеца при всяко нарушение на задължение на платеца, различно от съхраняване на персонализиращите характеристики /за които да е достатъчно тяхното несъхраняване като обективен факт – доколкото последиците от това неизпълнение е изведено в отделна алинея на чл. 102 ОУ/. Въпреки това, предоставянето на данните на служители на ищеца не се явява основание за отпадане на отговорността на банката, тъй като не е налице втората предпоставка, а именно – разкриването на данните за достъп на счетоводители на ищеца да е в причинна връзка с процесните операции. Нито едно доказателство не сочи, че лицето, осъществило отдалечения достъп, е било улеснено да използва данните именно поради тяхното узнаване от счетоводителите. Както е посочено и в ръководството за сигурност, представено от ответника /л. 155/, съществуват неправомерни начини – фишинг, фарминг, вишинг – чрез които неоправомощени лица могат да осъществят достъп до данни за парола. Това се потвърждава и от вещото лице – налице са програми „кий логъри“, които записват паролата чрез идентификация на натиснатите от потребителя клавиши и я предоставят на неоправомощено лице. Извън нормалната грижа на ползвателя е да установи, че спрямо него е приложен някой от посочените начини и съответно узнаването на паролата от трето лице по някой от тези начини не може да е основание за пренасяне на риска върху ползвателя.
За извършването на процесните операции третото неоправомощено лице е използвало обстоятелството, че КЕП е бил активен /това е задължителна предпоставка за осъществяването на операцията чрез отдалечен достъп по начин, че тя да изглежда изходяща от конкретен IP адрес/. От заключението на СТЕ обаче се установява, че в ръководството за сигурност, налично на интернет страницата на банката към процесния момент, не са били налице други препоръки освен касаещите вида на операционната система и общото изискване за съхраняване на паролата /вж. разпит на вещото лице, проведен в о.с.з. на 08.04.2016 г./. Действително, свидетелят Илиев сочи, че „в документите, предоставени за ползване на КЕП, има инструктаж, включващ изискването КЕП да не остава включен“, но това не е изискване, поставено от ответника, а от издателя на КЕП. Нещо повече – видно от данните за извършените нареждания, непосредствено преди процесните ищецът е осъществявал друга платежна операция /нареждане към Ф. ЕООД/ и оставянето на активен КЕП е било в рамките на същата активна потребителска сесия. Следва да се отчете и обстоятелството, че КЕП може да се използва от потребителя и за други цели, различни от интернет банкирането /представяне на документи в Търговския регистър, комуникация с държавни институции и др./ и поради това оставянето на КЕП активен не може да съставлява грубо неизпълнение на задължения на платеца. Ето защо съдът счита, че и този факт, макар да е в причинна връзка с извършване на операциите, не съставлява небрежност от категорията на „грубата“, т.е. такава, която само най-немарливият към своите работи би проявил.
При преценка как да се разпредели риска за процесните операции, следва да се отчете и обстоятелството, че възможността за неправомерен достъп до сметката на ищеца е улеснена от ниското ниво на сигурност, при което ответникът е предоставял услугата. Съгласно чл. 54, ал. 1, т. 1 ЗПУПС банката има задължение да осигури недостъпност на персонализираните защитни характеристики на платежния инструмент за лица, различни от ползвателя на платежни услуги. Както вещото лице сочи при разпита си, електронното банкиране е с висока степен на сигурност според условията, при които се извършва, и добрата банкова практика изисква комбинация със система за еднократни пароли, които се генерират за целите на конкретната операция. Впрочем т. изискване е въведено от ответника след извършване на процесните транзакции /SMS код/. От това може да се заключи, че ответникът не изпълнил точно задължението си за осигуряване на максимална защита при интернет банкиране и това не може да е основание да черпи права.
Поради всичко изложено съдът приема, че е налице неразрешена платежна операция, за която ответникът носи риска. Същият дължи да възстанови състоянието на сметката т., каквото е било към момента на извършването й. Стойността на извършените неразрешени операции е 47 890 лв. Ето защо искът следва да бъде изцяло уважен.
По иска по чл. 86 ЗЗД:.
Съгласно чл. 57, ал. 2 ЗПУПС възстановяването на дължимите суми следва да се извърши не по-късно от 21 дни от получаване на уведомлението за неразрешената операция.
В настоящия случай уведомлението е получено на 01.08.2014 г. и банката е следвала да възстанови сумите до 22.08.2014 г. включително. След тази дата изпада в забава. Размерът на дължимата лихва възлиза на 907,27 лв. Искът следва да бъде изцяло уважен.
По обратния иск:
Предявеният иск е с правно основание чл. 59 ЗЗД и цели да възстанови неоснователното разместване на блага, настъпило като резултат от генетичната връзка между обедняването на ищеца /банката/ и обогатяването на получателя на сумите, предмет на неразрешените операции.
Тези четири елемента – обогатяване, обедняване, генетична връзка и липса на основание за разместването - са налице. От събраните писмени доказателства се установява, че банковата сметка на помагача Г. е заверена със стойността на наредените преводи. Доколкото не се установява правно основание за получаване на средствата /именно поради това операцията не е била наредена или извършена със съгласието на ищеца/, то Г. се е обогатил неоснователно. От своя страна банката е обедняла – в патримониума е възникнало задължение за възстановяване стойността на платежните операции. Връзката е генетична, тъй като произтича от общ факт – извършване на неразрешена платежна операция.
Ето защо искът следва да бъде уважен.
По разноските:
Ответникът следва да заплати на ищеца разноски в размер на 2651,88 лв.
Ответникът по обратния иск следва да заплати на ищеца по обратния иск разноски в размер на 1951,60 лв.
Така мотивиран, съдът
Р Е Ш И:
ОСЪЖДА Б.Д. ЕАД, ЕИК ********, да заплати на А. С ООД, ЕИК ********, на основание чл. 57, ал. 1 ЗПУПС сумата от 47 890 лв. - стойност на неразрешени платежни операции - два парични превода /на стойност съответно 23510 лв. и 24380 лв./, наредени на 31.07.2014 г. чрез достъп до ДСК Директ от разплащателна сметка с титуляр А. С ООД с IBAN ***, ведно със законната лихва от 03.11.2014 г. до погасяването, на основание чл. 86 ЗЗД сумата от 907 лв., представляваща лихва за забава върху сумата от 47 890 лв. за периода 23.08.2014 г. – 29.10.2014 г., както и на основание чл. 78, ал. 1 ГПК сумата от 2651,88 лв. разноски.
ОСЪЖДА С.К.Г., ЕГН **********, да заплати на Б.Д. ЕАД, ЕИК ********, на основание чл. 59 ЗЗД вр. чл. 219, ал. 3 ГПК сумата от 47 890 лв., представляваща стойността, с която ответникът се е обогатил неоснователно чрез заверяване на сметката му със стойността на наредените на 31.07.2014 г. два парични превода от разплащателна сметка с титуляр А. С ООД с IBAN ***, ПРИ УСЛОВИЕ, ЧЕ Б.Д. ЕАД, ЕИК ********, заплати на А. С ООД, ЕИК ********, на основание чл. 57, ал. 1 ЗПУПС сумата от 47 890 лв., представляваща стойността на неразрешените платежни операции, наредени на 31.07.2014 г. чрез достъп до ДСК Директ от разплащателна сметка с титуляр А. С ООД с IBAN ***/.
ОСЪЖДА С.К.Г., ЕГН **********, да заплати на Б.Д. ЕАД, ЕИК ********, на основание чл. 78, ал. 1 ГПК сумата от 1951,60 лв. разноски.
Решението е постановено при участието на С.К.Г., ЕГН **********, като помагач на Б.Д. ЕАД.
Решението може да бъде обжалвано пред Софийски апелативен съд в двуседмичен срок от връчване на препис.
СЪДИЯ: