Р Е Ш
Е Н И Е
гр.София, 23.04.2019
г.
В ИМЕТО НА НАРОДА
СОФИЙСКИ ГРАДСКИ СЪД, ГО, ІV-Б въззивен
състав, в
публично съдебно заседание на седми февруари две хиляди и деветнадесета година в състав:
ПРЕДСЕДАТЕЛ:
РЕНИ КОДЖАБАШЕВА
ЧЛЕНОВЕ: СТАНИМИРА И.ОВА
мл. съдия БОРЯНА ВОДЕНИЧАРОВА
при
секретаря Капка Лозева, като разгледа докладваното от мл. съдия Воденичарова в.гр.дело № 11214 по описа за 2018 г., за да се произнесе,
взе предвид следното:
Производството е по реда на чл. 258 и сл. от ГПК.
С
решение № 289746 от 11.12.2017 г. по гр.д. № 54592/2015 г. по описа на СРС, 56-ти състав, са
отхвърлени предявените от „С.7“ ООД срещу „Б.ДСК“ ЕАД иск с правно основание
чл. 57, ал. 1 ЗПУПС (отм.) за заплащане на сумата от 24 800 лв.,
представляваща стойността на неразрешена платежна операция от 24.07.2014 г.,
извършена чрез системата за електронно банкиране на „Б.ДСК“ ЕАД от името на „С.7“
ООД по сметка на И.И.И.и иск с правно основание чл. 86, ал. 1 ЗЗД за заплащане
на сумата от 2201, 82 лв., представляваща лихва за забава за периода 16.08.2014
г. – 30.06.2015 г. Ищцовото
дружество е осъдено да заплати на ответното дружество на основание чл. 78, ал.
3 и ал. 8 ГПК разноски за първоинстанционното производство в размер на 1220 лв.
В
законоустановения срок е постъпила въззивна жалба от ищцовото дружество „С.7“
ООД чрез своя управител Д-С., с която първоинстанционното решение се обжалва в
цялост. Изложени са доводи, че наличието на съгласие за извършване на
платежната операция не може да се извлича единствено от подписването на
нареждането чрез квалифициран електронен подпис, като в разглеждания случай
според въззивника липсата на съгласие за изпълнение на нареждането се
установява от множество преки и косвени доказателства като например показанията
на лицето, в чиято полза е наредена сумата – И. И.И., както и от действията на
представителите на дружеството след установяването на неразрешената платежна
операция, изразяващи се в подаване на множество жалби и сигнали до различни
институции. От посочените доказателства според въззивника се установява по
безспорен начин, че платежната операция е била неразрешена и не изхожда от
посочения за неин автор „С.7“ ООД. Твърди се още, че неправилно районният съд е
приел, че дружеството не е изпълнило задълженията си по чл. 53, ал. 1 ЗПУПС (отм.),
свързани с използването и съхраняването на електронния подпис. Посочва се, че
ищцовото дружество е осъществявало банкирането от компютър с операционна
система, посочена като допустима в ръководството, изготвено от ответника, на
който е имало инсталирана антивирусна програма, като вещото лице Н.Х.е
установило, че в компютъра няма данни за наличието на вируси, посредством които
да е било възможно да се получи неправомерен достъп до индивидуализиращите
признаци на електронния подпис. Според въззивника районният съд е извел от
приетите по делото заключения единствено възможности и вероятности и по този
начин е достигнал до превратния и неправилен извод, че ищцовото дружество е
имало занижена и компрометирана система за сигурност на компютърното
оборудване. В тази връзка не са били кредитирани и показанията на свидетеля Е.К.относно
това как управителят на дружеството Д-С. е съхранявала електронния подпис, а
вместо това е взел предвид записите на разговори между служител на банката и Д-С.,
от които може да се направи извод, че последната е била шокирана и притеснена.
Тези разговори според ищеца не могат да се приемат като доказателство за
наличие на небрежност или умисъл при използването на електронния подпис. Поддържа,
че при преценката как да се разпредели рискът за процесната операция следва да
се отчете и обстоятелството, че възможността за неправомерен достъп до сметката
на ищцовото дружество е бил улеснен от ниското ниво на сигурност, при което
ответното дружество е предоставяло услугата, за което може да се заключи от
факта, че след извършването на процесната трансакция е било въведено изискване за
комбинация със система от еднократни пароли, които се генерират за целите на
конкретната операция (SMS код). В случай че банката беше въвела SMS известяване,
както е поискал управителят на дружеството, е имало възможност нежеланата
банкова операция да бъде стопирана и да не настъпят вреди. По изложените
съображения се поддържа, че по делото безспорно е установено наличието на
неразрешена платежна операция, за която ответното дружество носи риск. Съгласно
чл. 57, ал. 2 ЗПУПС (отм.) възстановяването на дължимите суми следва да се
извърши не по-късно от 21 дни от получаване на уведомлението за неразрешената
операция, поради което след изтичането на този срок ответното дружество дължи и
заплащане на лихва за забава, считано от 16.08.2014 г. Моли обжалваното решение
да бъде отменено, а предявените искове изцяло уважени.
В срока по
чл. 263, ал. 1 ГПК е постъпил отговор на въззивната жалба от ответното
дружество „Б.ДСК“ ЕАД, с който се моли обжалваното решение да бъде потвърдено. Изложени
са съображения, че процесната операция е била наредена в рамките на
потребителска сесия, при която достъпът е осъществен по обичаен начин, с име и
парола на клиент, с които в системата е регистрирана Д.Г.С., като нареждането е
подписано с валиден квалифициран електронен подпис („КЕП“) с автор Д-С. и
титуляр „С.7“ ООД. Валидността на електронния подпис е била проверена чрез
изтегляне по време на подписването на т. нар. Certificate Revocation List (CVR) от издателя на
подписа и чрез изрична онлайн проверка отново при него. Допълнителен анализ е
показал, че достъпът е бил осъществен от обичайно използван IP адрес на
потребителя. Твърди се, че изтеглянето на сумата от И. И.ов е било извършено
преди банката да получи сигнал с твърдение, че операцията е неразрешена. Посочено
е, че „С.7“ ООД няма качеството потребител по смисъла на пар. 1, т. 23 ДРСПУПС
(отм.), като в чл. 120, ал. 2 от общите условия на „Б.ДСК“ ЕАД е предвидено, че
между страните на основание чл. 48, ал. 2 ЗПУПС (отм.) няма да се прилагат чл.
49, ал. 1, срокът по чл. 55, ал. 1 и чл. 56, чл. 58, чл. 59 и чл. 68 ЗПУПС
(отм.), като ще се прилага съответно уговореното в общите условия и в договора.
Изключването приложението на чл. 56, ал. 1 ЗПУПС (отм.) означава, че когато
ползвателят на платежната услуга твърди, че не е разрешил платежната операция,
следва да установи автентичността на платежната операция съобразно уговореното
в общите условия. Изложени са доводи, че по делото наличието на съгласие е
безспорно установено, тъй като платежното нареждане е било подписано с КЕП,
т.е. платежната операция е била наредена не чрез въвеждане на уговорените между
страните потребителски идентификатори и пароли за използване на платежния
инструмент, а след тяхното въвеждане, като нареждането е било дадено чрез
подписване с електронен подпис по уговорения между страните начин. По отношение
показанията на свидетеля И. И.ов се посочва, че същите са различни от описаното
във въззивната жалба, а освен това недопустимо са допълнени от въззивника с
факти и обстоятелства, за които неговият процесуален представител вероятно е в
течение от образуваното по случая наказателно производство, но които не са
събрани в настоящото производство. Посочва се, че страните не са уговорили
проследяването на IP адреса, от който се нареждат преводите, като начин за
установяване автентичността на платежните операции, но от събраните по делото
доказателства се установява, че достъпът до електронното банкиране при
процесната операция е бил осъществен от IP адрес, с който клиентът е
нареждал и други преводи, които не е оспорвал като неразрешени. Поддържа се, че
за банката е било налице недвусмислено съгласие по смисъла на чл. 51, ал. 3
ЗПУПС (отм.) за изпълнение на редовно от външна страна платежно нареждане,
дадено чрез подписване с КЕП, приравнено от закона на саморъчен подпис, като не
е имало никакви данни, че преводът е неразрешен, поради което няма основание за
ангажиране на нейната отговорност по чл. 57 ЗПУПС (отм.). Твърди се, че
ищцовото дружество не е доказало при условията на пълно и главно доказване, че
е изпълнило задълженията си по договора по отношение опазването на персоналните
си идентификатори и инструменти за подписване по смисъла на чл. 104, ал. 2 от
общите условия, като показанията на свидетеля Каменов в тази връзка не са
достатъчни, тъй като той е посещавал офиса само няколко пъти и не е обръщал
конкретно внимание на използването на КЕП, а от заключението на приетата
съдебно-фоноскопска експертиза се установявало, че г-жа С. е държала КЕП
непрекъснато включен в компютърното оборудване. Според ответното дружество в
хода на производството е било доказано, че сигурността на компютърното
оборудване, използвано от ищеца, е била значително занижена, с което то е
проявило груба небрежност при изпълнение на задълженията си по чл. 53 ЗПУПС
(отм.), а от своя страна ответното дружество е изпълнило задължението си по чл.
54, ал. 1, т. 1 ЗПУПС (отм.) за създаване на сигурна среда за изпълнение на
преводи.
Софийски градски съд, като прецени събраните по делото
доказателства и взе предвид наведените във въззивната жалба пороци на атакувания съдебен акт, намира за
установено следното:
Предявени са искове с правно основание чл. 57, ал. 1
ЗПУПС (отм.) и чл. 86, ал. 1 ЗЗД.
Съгласно разпоредбата на чл. 269 ГПК въззивният съд се
произнася служебно по валидността на решението, а по допустимостта – в
обжалваната му част, като по останалите въпроси е ограничен от посоченото в
жалбата.
Настоящият съдебен състав приема, че първоинстанционното решение е валидно и
допустимо. Разгледано по същество, решението е правилно по следните съображения:
Между страните не се спори, че на 07.04.2011 г. те са сключили
договор за разплащателна сметка, по силата на който „Б.ДСК“ ЕАД е открила
разплащателна сметка на „С.7“ ООД.
На 07.04.2011 г. „С.7“ ООД е подало до „Б.ДСК“ ЕАД
искане за достъп до ДСК Директ за бизнес клиенти за предоставяне на достъп до
електронните канали на лицето Д.Г.С. чрез използване на универсален електронен
подпис. В искането е посочено, че дружеството заявява, че е получило и приема
общите условия за ползване на електронните канали ДСК Директ за бизнес клиенти,
които са неразделна част от искането. По делото са приети общи условия, в сила
от 10.04.2012 г., действали към датата на извършване на процесната платежна
операция, в чл. 120, ал. 2 от които страните са уговорили, че на основание чл.
48, ал. 2 ЗПУПС (отм.) в отношенията им няма да се прилагат чл. 49, ал. 1,
срокът по чл. 55, ал. 1, чл. 56, чл. 58, чл. 59 и чл. 68 ЗПУПС (отм.). Съгласно
чл. 9 от общите условия при ползване на услугите, предлагани чрез ДСК Директ,
потребителите се задължават да спазват общите условия и ръководствата за ползване
на услугите, достъпни чрез ДСК Директ, които регламентират правилата за работа
и изискванията към ползвания софтуер и техническите средства. В чл. 34 е
посочено, че за нареждане на преводи чрез интернет банкиране банката изисква
клиентът да подпише и изпрати превода с един от двата инструмента: цифров
сертификат за интернет банкиране или квалифициран електронен подпис, издаден от
лицензиран от КРС доставчик. Съобразно чл. 100 от общите условия след
получаване на достъп до услугите, включени в ДСК Директ, клиентът отговаря за и
е обвързан от всички действия, извършени чрез електронните канали от негово
име, въз основа на идентификацията посредством предоставените от банката
технически средства, предоставяни чрез електронните канали, на базата на
положителна електронна идентификация. В чл. 104, ал. 2 и ал. 3 страните са
уговорили, че клиентът понася всички загуби от неразрешени операции,
произтичащи от неправомерно използване на достъпа до ДСК Директ, когато не е
успял да запази персоналните си идентификатори и инструментите за подписване
и/или потвърждаване на платежни операции, както и ако е причинил загубите чрез
измама или с неизпълнението на едно или повече от задълженията си по общите
условия умишлено или поради груба небрежност.
На л. 239 от делото е приложено писмо от „Борика-Б.“ АД
с приложен договор за удостоверителни услуги от 27.01.2010 г., сключен между „Б.“
АД и „С.7“ ООД, по силата на който е било издадено удостоверение за
квалифициран електронен подпис със сериен № 10056530 с автор Д.Г.С. и с титуляр
„С.7“ ООД със срок на валидност една година, като впоследствие удостоверението
е било преиздавано за срок от по още една година, включително на 25.01.2014 г.
със срок на валидност до 25.01.2015 г., а на 08.08.2014 г. е било прекратено по
молба на Д-С.. С чл. 5 от договора титулярят се е задължил да съхранява/пази
частния ключ през цялото време на действие на сертификата по начин, който го
предпазва срещу компрометиране, загуба, разкрИ.е, модифициране и неоторизирано
използване. В чл. 13, ал. 2 от договора е посочено, че към момента на
сключването му „Наръчник на потребителя“ и образци от останалите приложения към
договора са достъпни за титуляря на посочен интернет адрес с възможност за
отпечатване, като доставчикът се задължава да осигури такъв достъп за целия
срок на действие на договора. По делото е приет и Наръчник на потребителя за
предоставяните от „Б.“ АД B-Trust® удостоверителни, информационни, криптографски и
консултантски услуги за универсален електронен подпис от септември 2005 г., в
т. 2.1.4.5. (л. 265) от който е посочено, че титулярят и/или авторът се
задължават да осигуряват сигурна и надеждна процедура и среда (надеждни
технически средства и софтуер), когато генерира при него двойката ключове, с
оглед опазване тайната на частния ключ, а в т. 2.1.4.8 да съхранява и защитава
надеждно тайната на своя частен ключ през цялото време на валидност на
удостоверението срещу загуба и компрометиране (разкрИ.е, модификация или
неоправомощено ползване) в съответствие с изискванията на наръчника. На л. 334
е приложен и Наръчник на потребителя за предоставяните от „Борика-Б.“ АД B-Trust® удостоверителни,
информационни, криптографски и консултантски услуги за квалифициран електронен
подпис от 01.12.2013 г., в т. 9.6.3. от който също е посочено, че
авторът/титулярят трябва да осигурява сигурна и надеждна среда и процедура
(надеждни технически средства и софтуер), когато генерира двойката ключове
извън инфраструктурата на доставчика с оглед опазване тайната на частния ключ;
да съхранява и защитава надеждно своя частен ключ през цялото време на
валидност на удостоверението срещу загуба и компрометиране в съответствие с
изискванията на наръчника.
На л. 70 от т.д. № 4577/2015 г. по описа на СГС, VI-15 състав, е
приложено дневно извлечение от 24.07.2014 г. от сметката на „С.7“ ООД, в което
е посочено, че на същата дата сумата от 24 800 лв. е била преведена по
сметката на И.И.И.с основание „захранване на сметка“. По делото е приложено и
преводното нареждане за този превод (л. 37 от посоченото дело), като между
страните не се спори относно факта на извършване на превода.
На 28.07.2014 г. Г.И.ов С. е подал молба до
изпълнителния директор на „Б.ДСК“ ЕАД, с която го е информирал, че на
24.07.2014 г. около 15.00 ч. компютърът, който се използва за нуждите на „С.7“
ООД, е блокирал, екранът е изгаснал и се е появил надпис, че липсва операционна
система. На 25.07.2014 г. Г.С. е установил, че от сметката на дружеството в „Б.ДСК“
ЕАД липсва сумата от 24 800 лв. и веднага е информирал служители на
банката, които са установили, че на 24.07.2014 г. в 15.03 ч. чрез електронен
подпис сумата е била наредена от сметката на дружеството по сметката на лицето И.
И.И., което представителят на дружеството не познава и заявява, че не е
извършвал такава трансакция. Моли да бъде извършена пълна проверка по случая.
С удостоверение от 16.10.2014 г. „А.Н.“ ООД е
информирало „С.7“ ООД, че като техен клиент на услугата „достъп до интернет“
изходящият (публичен) IP адрес на дружеството до м. март 2014 г. е бил
212.5.146.1, след което е бил променен на 151.237.106.1, а от 09:21:04 ч. на
31.07.2014 г. е бил променен на 151.237.106.239, какъвто е и към момента на
изготвяне на удостоверението. На л. 200 е приложен договор № 115 от 01.01.2014
г. за предоставяне на достъп до интернет по кабелно-разпределителната мрежа на
„А.Н.“ ООД, сключен с ищцовото дружество.
На 26.01.2015 г. Помирителна комисия за платежни спорове
към Комисията за защита на потребителите е изготвила помирително предложение по
помирително производство 43/2014 г. за прекратяване на производството. Посочено
е, че по всяка вероятност ползваният от клиента компютър за работа със
системата за интернет банкиране е бил заразен със зловреден код, вследствие на
което трети лица са имали възможност да управляват компютъра и са получили
достъп до акаунта за интернет банкиране, ползван от дружеството, и до КЕП, с
оглед на което, както и на обстоятелството, че клиентът не познава получателя
на средствата, според комисията става въпрос за неразрешена трансакция по
смисъла на ЗПУПС (отм.). Съгласно предложението потребителят се опитва да
прехвърли неблагоприятните имуществени последици от неразрешените платежни
операции върху банката, основавайки претенцията си на ненадеждност на системата
за интернет банкиране, но съобразно заложения в чл. 57, ал. 1 ЗПУПС (отм.)
принцип доставчикът възстановява незабавно стойността на неразрешената платежна
операция само ако безспорно се установи, че е налице срив в системата на
банката в момента, в който се осъществяват платежните операции, какъвто в
случая не е установен. Посочено е също така, че поддържането на компютъра и
защитата му от вируси е задължение на потребителя, тъй като банката няма достъп
до компютрите на потребителите, а и няма еднозначно установен критерий за
състоянието на компютрите. По изложените съображения комисията е достигнала до
извода, че решаването на конкретния казус излиза извън компетентността й.
От приложеното на л. 17 от т.д. № 4577/2015 г. по описа
на СГС, VI-15 състав,
постановление за предоставяне на материали се установява, че в Районна
прокуратура гр. Велико Търново е образувано досъдебно производство за това, че
на 01.08.2014 г. в гр. Велико Търново с цел да набави за другиго облага
неизвестен извършител е възбудил у служители на „Б.ДСК“ ЕАД, клон В.Търново
заблуждение, че е налице основание за получаване на сумата от 27 900 лв.,
преведена от сметката на „Р.**“ ООД, гр. София, като внесъл компютърни данни, и
с това направил опит да причини имотна вреда на същото дружество в размер на
27 900 лв. – престъпление по чл. 212а, вр. чл. 18, ал. 1 НК. От
постановлението се установява още, че сумата е била наредена по сметката на И. И.И..
С постановление от 29.09.2016 г. досъдебното производство е било спряно на
основание чл. 244, ал. 1, т. 2 НПК поради неразкрИ.е извършителя на престъплението,
като в обстоятелствената част на постановлението е описано, че е бил установен
нерегламентиран достъп и до банковите сметки на ищцовото дружество.
С писмо вх. № 119380-1740 от 29.09.2014 г. „Б.ДСК“ ЕАД е
отговорила на запитване от Главна дирекция „Криминална полиция“, че на
28.07.2014 г. банката е получила жалба от Г.И.ов С. - управител на „С.7“ ООД с
оплакване, че от сметката на дружеството по електронен път е бил извършен
неразпознат превод на сума в размер на 24 800 лв. по разплащателната
сметка на И.И.И.в гр. Велико Търново. От извършената проверка по жалбата
банката е установила, че преводът е бил осъществен чрез активен достъп до
електронното банкиране с име и парола на Д.Г.С. и е бил подписан с валиден
квалифициран електронен подпис на същото лице с титуляр „С.7“ ООД и IP адрес, който
принадлежи на “Pronet
Telekom, а хостингът се поддържа от „А.П.А.“ ООД, като липсват данни
операцията да е била неразрешена.
На 10.10.2014 г. „Българска народна банка“ („БНБ“) е
изпратила отговор до управителя на „С.7“ ООД във връзка с подадено от него
възражение, че съгласно предоставената от „Б.ДСК“ ЕАД информация изпълнената
платежна операция е била наредена чрез електронно банкиране и е била подписана
с валиден КЕП с автор Д-С. и титуляр „С.7“ ООД, издаден на основание постъпило
в банката „Искане за достъп до ДСК Директ за бизнес клиенти“ от 07.04.2011 г.,
като липсват данни за неразрешена платежна операция. С писмото БНБ е
информирало ищцовото дружество, че не е установила нарушение на ЗПУПС и
нормативните актове по прилагането му.
По делото са приложени препоръки за сигурност в
интернет, достъпни на интернет страницата на „Б.ДСК“ ЕАД към 29.04.2015 г. (л.
149), съгласно които банката е взела допълнителни мерки за подсигуряване
сигурността на потребителите в интернет портала ДСК Директ, но тяхното
съдействие е от съществено значение за минимизиране на рисковете при използване
на системата, като е необходимо потребителите да подхождат възможно
най-предпазливо и внимателно, за да се предпазят от вируси, опити за хакерски
атаки или програми от типа „троянски кон“ с помощта на „файъруоли“ и
антивирусен софтуер. В препоръките е посочено, че вирусите могат да повредят компютъра,
да унищожат данни или да изпратят лична информация или кодове, въведени по
време на използване на системата, на неоторизирани лица. По изложените
съображения потребителите следва редовно да обновяват операционната си система
и браузър с налични пачове и ъпдейти, като банката не може да предотврати
нелегалното сваляне на програми на компютрите на потребителите, поради което
препоръчва потребителите да настроят защитата на данните на своя браузър на
най-високото ниво. Препоръчана е редовна смяна на паролата, например на всеки
1-3 месеца, както и прекратяване на сесията след приключване чрез натискане на
бутона „изход“, а не просто затваряне прозореца на браузъра, което създава
сигурност, че защитената връзка, която е била създадена с логването в интернет
портала, е била прекъсната.
На л. 188 от делото е приложен имейл, изпратен от
управителя на ищцовото дружество Д-С. до „кол центъра“ на „Б.ДСК“ на 28.07.2014 г., с прикачен
отчет от проверка на антивирусна програма, инсталирана на операционна система Windows XP Service Pack
3,
а от приложеното на л. 193 съобщение от официалната страница на „Майкрософт“ се
установява, че поддръжката на Windows XP е преустановена от 08.04.2014 г., като от тази дата не
са налични и актуализации на системата с препоръки за осигуряване на защита на
компютрите.
По делото е прието заключение на съдебна
компютърно-техническа експертиза, което след преценка по реда на чл. 202 ГПК
следва да бъде кредитирано като пълно и обективно. Вещото лице е посочило, че
достъпът до електронното банкиране ДСК Директ се е извършвал след коректно
въведени потребител, парола, въвеждане на произволно генерирано от системата
число за контрол и КЕП, наричано още цифров сертификат, което представлява
форматирани данни, свързващи определен абонат с негови публичен ключ, записани
върху смарт карта, като извършването на платежно нареждане не е възможно при
отсъствие на който и да е от изброените инструменти. Процесният превод на
стойност от 24 800 лв., нареден на 24.07.2014 г., е бил подписан чрез
използването на КЕП (цифров сертификат), издаден на „С.7“ ООД със срок на
валидност 25.01.2014 г. – 25.01.2015 г. Вещото лице е установило, че
използваният инструмент за извършване на процесното нареждане е бил същият,
който е бил използван при последното обновяване на електронния подпис,
регистриран в ДСК Директ с автор Д.Г.С. и титуляр „С.7“ ООД. Използваният
електронен подпис е квалифициран електронен подпис по смисъла на ЗЕДЕП и е
издаден от международно сертифицирана за тази дейност компания – B-Trust като „Борика
– Б.“ АД издава удостоверения за електронен подпис по запазената марка B-Trust®. В заключението
е описана следната процедура за регистриране на КЕП на потребителя съгласно
вътрешните правила на банката: 1. Клиентът закупува КЕП; 2. Попълване на
форма-документ, в конкретния случай „искане за достъп до ДСК Директ за бизнес
клиенти“; 3. Действия на банката, които включват генериране на потребител и
първоначална парола от банката (при първи достъп до ДСК Директ от клиента той
бива подканен за смяна на паролата с цел сигурност) и верификация (одобрение)
на КЕП, което се извършва ръчно от служител на банката. При регистрирането на
електронен подпис и при изпълнение на наредени от титуляря платежни операции
съгласно системата на банката се извършва проверка за валидност на електронния
подпис в CRL
(certificate revocation list) и онлайн проверка при издателя му. Според заключението
на вещото лице е технически невъзможно банката да установи, че преводът е
неразрешен, ако е нареден с регистрирания на името на Д-С. КЕП от лице,
регистрирано в системата като автор със съответен идентификационен номер
(оторизиран от банката акаунт, парола, КЕП/сертификат). Вещото лице е посочило,
че процесният превод е бил извършен от IP адрес 151.237.104.197, като в
табличен вид е представило други успешни оторизирани влизания от същия IP адрес през
месец юли 2014 г. и е посочило, че „С.7“ ООД е нареждало преводи през ДСК
Директ в периода 28.01.2014 г., 13:22:34 ч. до 24.07.2014 г., 15:02:38 ч. Съгласно
заключението технически са налице предпоставки и вероятност боравенето с
нелицензиран софтуер и необновяването на системата да доведат до заразяване на
системата с компютърен вирус, в резултат на който да се стигне до неправомерно
придобИ.е на потребителски идентификатори и КЕП на потребителя. В отговор на
въпрос номер 12 вещото лице е посочило и какви съвети за сигурност са
публикувани на интернет страницата на ДСК Директ.
Прието е и заключение на допълнителна съдебна
компютърно-техническа експертиза, което след преценка по реда на чл. 202 ГПК
следва да бъде кредитирано като пълно и обективно, съгласно което доставчикът
на интернет услуги е посочил в приложеното по делото писмо (удостоверение) като
IP адрес на ищеца
към датата на извършване на процесната трансакция – 24.07.2014 г.,
151.237.106.1, а съгласно данните, съхранени от „Б.ДСК“ ЕАД, IP адресът, от
който е бил извършен процесният превод, е 151.237.104.197, т.е. разликата е в
последните два разряда. Вещото лице е разяснило, че първите два разряда
151.237. определят адресното пространство на съответния доставчик, който и в
двата случая е „П.Т.“ с поддоставчик „А.Н.“ ООД. Според вещото лице
констатираното разминаване може да се дължи на техническа необходимост от
временна смяна на IP адреса на ищеца, което става автоматично от сървърите на
интернет доставчика при препълване на списъка с определени IP адреси за
клиенти и създаване на нови и промяна на топологията на мрежата на доставчика.
Съгласно заключението „П.Т.“ и съответно „А.Н.“ ООД разполагат с публични
(реални) IP
адреси
в следния диапазон: 151.237.96.0 – 151.237.127.255. Вещото лице е представило в
табличен вид информацията за дата и час на влизане в електронното банкиране на
„Б.ДСК“ ЕАД в сметката на ищцовото дружество, от която се установява, че
използваните от ищцовото дружество IP адреси за вход в системата за електронно банкиране са
59, като най-често използваният е 151.237.104.13 с общо 86 успешни влизания.
Вещото лице е посочило също така, че посоченият от „А.Н.“ ООД IP адрес
151.237.106.1 не се среща в предоставените от банката извлечения, които се
отнасят за периода 03.01.2014 г., 10:42 ч. – 09.10.2015 г., 10:26:20 ч. Вещото
лице е изследвало приложения по делото отчет (рапорт) от програма за открИ.е на
зловреден код Malwarebytes
Anti-Malware с дата 28.07.2014 г. в 11:20:29 ч. и е достигнало до
заключението, че злонамерен код не е бил открит, а са били налице програми,
които могат да бъдат окачествени като нежелани поради факта, че служат за
събиране на статистика за сърфирането в интернет пространството, и които
понижават сигурността на системата. От представения отчет вещото лице е
установило също така, че компютърната система, на която е извършено
сканирането, е била с инсталирана операционна система MS „Windows” XP Service Pack 3 (SP3), ревизия х86
– 32 битова версия, с файлова структура, таблица вид NTFS и потребител Dany, като към
датата на извършване на процесната трансакция поддръжката от Майкрософт на
операционна система Windows XP за версия на операционната система с инсталиран SP3 е била
преустановена, считано от 08.04.2014 г. Вещото лице е посочило, че когато КЕП е
непрекъснато включен в компютърното оборудване винаги е налице техническа
потенциална възможност за заразяване на компютърното оборудване с вируси, които
са от естество да доведат до злоупотреба с КЕП, като в разглеждания случай
нивото на защита вследствие спирането на поддръжката и остарялата операционна
система са предпоставка за допълнително понижаване на цялата киберсигурност на
системата, в това число и на интернет банкирането. Посочило е още, че при
постоянно включен в компютърното оборудване КЕП технически е възможно данните
от него да бъдат „прихванати“ и да бъдат използвани дистанционно за нареждане
на преводи, като съществува зловреден код, който вкаран по някакъв начин в
компютърната система, може да „прихване“ данните от КЕП и съответните
оторизационни кодове. В откритото съдебно заседание на 11.07.2016 г. вещото
лице е разяснило допълнително, че разминаването на IP адресите се дължи на това, че е
налице влизане от различни интернет доставчици и различни компютърни системи,
но всички влизания са успешни. Обяснило е също така, че в разглеждания случай
не става въпрос за наличието на вируси, а на други помощни програми, които
намаляват сигурността и се разпознават като Trojan-downloader, но всъщност
служат за изпращане на статистика и за сваляне на различни програми. Всички
тези обстоятелства в съвкупност понижават сигурността на компютъра до минимум,
което може да се използва от злонамерено лице, което да го сканира и да
използва наличието на такива „дупки“. Според вещото лице това, че компютърът е
бил с операционна система, която вече не е била поддържана, означава, че не е
била положена грижа за осигуряване максималната сигурност на компютъра.
Прието е и заключение на съдебно-фоноскопска експертиза,
която е изследвала съдържанието на 1 бр. флаш памет, 8 GB, зелена на цвят с лого и
надпис на „Б.ДСК“ ЕАД, съдържаща шест аудиофайла с проведени телефонни
разговори между Д-С. и служителки от кол центъра на „Б.ДСК“ ЕАД във връзка с
телефонно обаждане от Д-С. в клона на банката за нареден превод. В първия файл
е записан разговор, в който служителката на банката е информирала г-жа С., че
достъпът до електронното банкиране е блокиран, като при проверка е било
установено, че логването е било извършено през същия IP адрес, през който е било
извършвано логване и преди, включително и в деня на самото телефонно обаждане.
Г-жа С. е информирала служителката, че предишния ден, в който е бил извършен
преводът, около 15.00 ч. компютърът й е спрял поради операционна грешка и е бил
изтрит диск “C“, който е бил
възстановен след намесата на компютърен специалист. На въпрос на служителката
къде стои квалифицираният електронен подпис, г-жа С. е отговорила, че стои в
компютъра, като към момента на провеждане на телефонния разговор също е бил в
компютъра. Служителката е информирала
г-жа С., че преводът е бил подписан с КЕП през нейния достъп, като в деня на
нареждането е имало и други логвания, включително през мобилен телефон с доставчик
„Мтел“, а Д-С. е потвърдила, че влиза в електронното банкиране и през мобилния
си телефон.
Във втория файл е записан разговор между същите две
лица, при който служителката е информирала Д-С., че при извършената проверка от
банката е било установено, че става въпрос за „прихванат“ КЕП и вероятно
компютърът е бил заразен с вирус и е необходимо да се стартира специална
програма, която да установи дали е имало такъв. В последващ разговор служителка
от кол центъра на „Б.ДСК“ ЕАД е информирала Д-С. от къде може да изтегли
въпросната програма, като е помолила резултатите от сканирането да бъдат
изпратени на „Б.ДСК“ ЕАД. Във връзка с обсъждането на въпроса за получаване на
нови потребителско име и парола г-жа С. е изразила притеснение, че на компютъра
има програми, които може да са заразени с вирус. В този разговор служителката
на банката е информирала г-жа С., че IP адресът, от който е направено нареждането, е
151.237.104.197. В последния аудио файл е записан телефонен разговор между Д-С.
и служител от кол центъра на „Б.ДСК“ ЕАД, по време на който се извършва
сканиране на компютъра с препоръчаната от банката програма, като служителката
отново е помолила резултатите от сканирането да бъдат изпратени. Вещите лица са
достигнали до заключението, че лицето, обозначено като „Ж1“ в текста на
звукозаписите, е Д.Г.С..
От разпита на свидетеля И. И.ов се установява, че не се
е намирал в договорни, трудови или други отношения с ищцовото дружество. Към
месец юли 2014 г. е имал банкови сметки в „Б.ДСК“ ЕАД. Негов познат от Велико
Търново на име В.П.му казал, че чака паричен превод от чужбина от своя сестра
или братовчедка и тъй като личната му карта била с изтекъл срок на валидност,
помолил да използва за превода сметката на свидетеля, като И.ов трябвало да ги
изтегли и да му ги предаде. След около седмица му се обадил и му казал, че
парите са били преведени. Двамата отишли до банката, като П. го чакал отвън. Свидетелят
изтеглил преведената парична сума, която по негови спомени е била в размер на
28 000 лв., и я предал на своя познат, срещу което получил 300 лв. След
няколко дни от банката се обадили на негова приятелка, тъй като по това време
той вече бил в София, не знае какво се е случило впоследствие и не е виждал П.
оттогава. Свидетелят си спомня, че П. е накарал и друго лице – Р.Д., да изтегли
пари по същия начин.
По делото е разпитан и свидетелят Е.К., адвокат, който е
консултирал два-три пъти ищцовото дружество в областта на данъчното право, но
не е имал трайни отношения с него. Ходил е в офиса на „С.7“ ООД ***, който е и
домът на Г.и Д. С.и, занимаващи се с изкупването на желязо. Бил е свидетел на
разплащане по банков път чрез електронно банкиране от страна на Д-С.. Съпругът
й Г.й се обадил и я уведомил, че трябва да преведе пари. Тя взела електронния
подпис, който се намирал в каса, сложила го в компютъра и наредила превода,
след което го прибрала отново в касата. След това отново получила телефонно
обаждане и извършила същите действия, като оставила флаш устройството на
бюрото. Преди да изпрати свидетеля Д-С. прибрала подписа отново в касата.
При така установените факти въззивният
съд намира следното от правна страна:
Според разпоредбата на чл. 51, ал. 1 ЗПУПС (отм.) платежната
операция е разрешена, ако платецът я е наредил или е
дал съгласие за изпълнението й, а при липса на съгласие платежната операция е
неразрешена. Според ал. 3 на същия текст съгласието за изпълнение на платежна
операция или на поредица от платежни операции се дава по ред и начин, уговорени
между платеца и неговия доставчик на платежни услуги. Съгласно разпоредбата на чл. 57, ал. 1 ЗПУПС (отм.) в
случай на неразрешена платежна операция доставчикът на платежни
услуги незабавно възстановява на платеца стойността на неразрешената платежна
операция и когато е необходимо, възстановява платежната сметка на платеца в
състоянието, в което тя би се намирала преди изпълнението на неразрешената
операция, т.е. по правило банката, която е издател на платежния
инструмент, отговаря в размер на стойността на неразрешената банкова операция. Намаляване
или изключване отговорността на банката е предвидено
само в случаите, в които платецът е допуснал небрежност при
използване на платежния документ, като в хипотезата на чл.
58, ал. 1 ЗПУПС (отм.) отговорността е намалена, когато той не е успял
да запази персонализираните защитни характеристики на платежния инструмент,
а
в хипотезата на чл. 58, ал. 2 ЗПУПС (отм.) е
изключена, когато е налице измама или неизпълнение на едно или повече от
задълженията му по чл. 53 умишлено или поради груба небрежност. С цитираната
разпоредба на ползвателя на платежни услуги са вменени следните задължения: 1. да използва платежния
инструмент в съответствие с условията за неговото издаване и използване; 2. да
уведомява доставчика на платежни услуги или упълномощено от него лице за
загубване, кражба, присвояване или неразрешена употреба на платежния инструмент
незабавно след узнаването; 3. след получаване на платежния инструмент да
предприеме всички разумни действия за запазване на неговите персонализирани
защитни характеристики, включително да не записва каквато и да е информация за
тези характеристики върху платежния инструмент и да не съхранява такава
информация заедно с платежния инструмент.
Според чл. 56, ал. 1 ЗПУПС
(отм.)
когато ползвателят на платежна услуга твърди, че не е
разрешавал изпълнението на платежна операция или че е налице неточно изпълнена
платежна операция, доставчикът на платежната услуга носи доказателствената
тежест при установяване автентичността на платежната операция, нейното точно
регистриране, осчетоводяването, както и за това, че операцията не е засегната
от техническа повреда или друг недостатък.
Съгласно чл. 48, ал. 2 ЗПУПС (отм.) когато ползвателят
на платежна услуга не е потребител, страните по платежната операция могат да
договорят, че в отношенията им няма да се прилагат чл. 49, ал. 1, чл. 51, ал. 1, чл. 56, 58, 59, 62, 68, 69 и чл. 70, ал. 1, както и да договорят срок,
различен от предвидения в чл. 55.
Потребител по смисъла на пар. 1, т. 23 от ДРЗПУПС (отм.) е физическо лице -
ползвател на платежна услуга, което при договори за предоставяне на платежни
услуги извършва дейност, различна от неговата търговска или професионална
дейност. В разглеждания случай ищцовото дружество не е потребител,
като в съответствие с предоставената от закона възможност страните са се
договорили в чл. 120, ал. 2 от общите условия, че чл. 56 ЗПУПС (отм.) няма да
се прилага в отношенията помежду им. Следователно правилно районният съд е
посочил, в съответствие с общото правило за разпределяне на доказателствената
тежест по чл. 154 ГПК, че в тежест на ищцовото дружество е да докаже своето възражение,
че платежната операция е била неразрешена от него, както и че е изпълнило
задълженията си по чл. 53 ЗПУПС (отм.).
От събраните по делото доказателства не е установено по
несъмнен начин, че процесната платежна операция не е била разрешена от ищцовото
дружество. В подкрепа на твърденията на ищеца са само писма и сигнали от
представителите на „С.7“ ООД до различни институции във връзка с извършения
превод, заключението на приетата съдебно-фоноскопска експертиза, в което са
възпроизведени проведените разговори между Д-С. и служители от кол центъра на
ответното дружество, както и показанията на свидетеля И.ов, който е заявил, че
ищцовото дружество му е непознато и не се намира в договорни, трудови или други
отношения с него. Те обаче не установяват при условията на пълно и главно
доказване това обстоятелство. В тази връзка следва да се има предвид, че вещото
лице по допълнителната СТЕ на л. 211 е било категорично в извода си, че
злонамерен код не е бил открит и че не може да се обоснове извод, че процесното
нареждане е било неавтентично. При така установеното от фактическа страна
въззивният съд приема, че по делото не е установено, че процесната платежна
операция е била неразрешена.
Въззивният съд намира, че правилно първоинстанционният
съд е приел, че ищцовото дружество не е доказало при условията на пълно и
главно доказване, че е изпълнило задълженията си по чл. 53 ЗПУПС (отм.) да
използва платежния инструмент в съответствие с условията за неговото издаване и
ползване и да предприеме всички разумни действия за запазване на неговите
персонализирани защитни характеристики. От заключенията на приетите и
неоспорени компютърно-техническа и допълнителна компютърно-техническа
експертизи се установява, че процесният превод на стойност от 24 800 лв.,
нареден на 24.07.2014 г., е бил подписан чрез използването на валиден КЕП
(цифров сертификат), издаден на „С.7“ ООД, който е бил използван и при
извършването на предишни платежни операции. Съгласно разясненията на вещото
лице при регистрирането на електронен подпис и при изпълнение на наредени от
титуляря платежни операции съгласно системата на банката се извършва проверка
за валидност на електронния подпис в CRL (certificate revocation list) и онлайн
проверка при издателя му. В конкретния случай, след като преводът е бил нареден
с регистрирания на името на Д-С. КЕП от лице, регистрирано в системата като
автор със съответен идентификационен номер, за банката е било технически
невъзможно да установи, че преводът е неразрешен. Преводът е бил извършен от IP адрес, от
който през същия месец са били извършени и други успешни оторизирани влизания с
нареждания за преводи.
От приетите по делото общи условия за ползване на
електронните канали ДСК Директ за бизнес клиенти, които са неразделна част от
искането за достъп до ДСК Директ (чл. 9, чл. 100 и чл. 104, ал. 2 и ал. 3,
цитирани по-горе), както и от наръчник на потребителя (т. 2.1.4.5., т. 2.1.4.8.
в редакцията към 2005 г. и т. 9.6.3. в редакцията към 2013 г.), приложение към договора
за удостоверителни услуги от 27.01.2010 г., сключен между „Б.“ АД и „С.7“ ООД,
се установява, че ищцовото дружество е било информирано за задълженията си да
спазва определени правила за работа и ползване на софтуер с цел запазване на персоналните
си идентификатори и инструментите за подписване и/или потвърждаване на платежни
операции, както и да не допуска груба небрежност при изпълнението на тези
задължения, което изискване е въведено и с чл. 58, ал. 2 и чл. 56, ал. 3, вр.
чл. 53 ЗПУПС (отм.). От приетите по делото доказателства се установява, че
ищцовото дружество не е изпълнило тези си задължения, като не е осигурило в
достатъчна степен сигурността на компютърната система, на която е използвало
услугата интернет банкиране. Установено е, че компютърът е бил с инсталирана
операционна система, по отношение на която поддръжката е била преустановена
повече от три месеца преди датата на процесната платежна операция и по тази
причина системата не е била обновявана. От заключението на приетата и неоспорена
съдебно-фоноскопска експертиза се установява, че лицето, което е боравило с
електронния подпис – Д-С., е държала устройството непрекъснато включено в
компютъра, като то е било свързано към компютъра включително и след като същата
е разбрала за неразрешената платежна операция – към момента на провеждане на
телефонен разговор със служителка от кол центъра на „Б.ДСК“ ЕАД в деня, следващ
деня на извършване на превода. Самата тя в телефонен разговор със служителката
е изразила притеснение, че на компютъра има програми, които може да са заразени
с вирус. Във връзка с проведените разговори с кол центъра на 28.07.2014 г. в
11:20:29 ч. е било извършено сканиране на компютъра от програма за открИ.е на
зловреден код Malwarebytes
Anti-Malware, отчетът от което е приложен по делото. Вещото лице по
допълнителната съдебна компютърно-техническа експертиза е установило, че при
отчета не е бил открит злонамерен код, но са били открити други програми, които
могат да бъдат окачествени като нежелани поради факта, че служат за събиране на
статистика за сърфирането в интернет пространството, и които понижават
сигурността на системата. Правилно с оглед събраните по делото доказателства и
приетите заключения на вещи лица първоинстанционният съд е приел, че нивото на
защита на използвания от „С.7“ ООД компютър е било занижено до минимум, като
комбинацията от остаряла операционна система, непрекъснатото свързване на КЕП
към компютъра и наличието на откритите при сканирането помощни програми, които служат
за изпращане на статистика и за сваляне на други програми, е създало
техническата възможност данните от КЕП да бъдат „прихванати“ и да бъдат
използвани дистанционно за нареждане на преводи. Съдът кредитира и извода на вещото
лице, че компютърът е бил с операционна система, която вече не е била
поддържана, което означава, че не е била положена грижа за осигуряване
максималната сигурност на компютъра.
С оглед на изложеното настоящият съдебен състав намира,
че ищцовото дружество не е изпълнило задълженията си по чл. 53, т. 1 и т. 3 ЗПУПС
(отм.) като не е осигурило сигурна и надеждна среда и технически средства и
софтуер при използване на предоставената услуга онлайн банкиране и не е
положило минимално дължимата грижа за опазване на персонализираните
характеристики на използвания КЕП, т.е. действало е при условията на груба
небрежност, като не е положило грижата, която и най-небрежният би положил за
своите работи. Направеното възражение във въззивната жалба, че неправилно не са
били взети предвид показанията на свидетеля Каменов за условията, при които Д-С.
е съхранявала електронния подпис, е неоснователно, тъй като както е посочил и
районният съд, този свидетел е посещавал офиса, в който се е намирал компютърът,
само три-четири пъти и е наблюдавал използването на КЕП при едно от своите посещения.
Същевременно по делото са събрани други доказателства, от съвкупния анализ на
които въззивният съд по-горе достигна до извода, че ищцовото дружество не е
изпълнило задълженията си във връзка със съхраняването на електронния подпис и
поддържането на необходимото ниво на сигурност на компютъра, от който използва
услугата интернет банкиране. Възражението за липса на въведено SMS известяване е
неотносимо към предмета на спора, тъй като страните не са уговорили такова в
отношенията помежду им.
По изложените съображения на основание чл. 58, ал. 2,
вр. чл. 53 ЗПУПС (отм.) предявената претенция се явява неоснователна и правилно
е била отхвърлена. Поради неоснователността на главната претенция на отхвърляне
подлежи и акцесорната претенция за заплащане на обезщетение за забава по чл.
86, ал. 1 ЗЗД. Следователно обжалваното решение следва да бъде потвърдено.
По разноските
При този изход на спора право на разноски за въззивното
производство има ответното дружество, което е било представлявано от надлежно
упълномощен процесуален представител - юрисконсулт. Настоящият съдебен състав
намира, че в полза на „Б.ДСК“ ЕАД следва на основание чл. 78, ал. 8, вр. чл.
37, ал. 1 ЗПП, вр. чл. 25, ал. 1 от Наредбата за заплащането на правната помощ
да бъде присъдено юрисконсултско възнаграждение за въззивното производство в
минимално предвидения размер от 100 лв.
С оглед цената на предявените искове на основание чл.
280, ал. 3, т. 1 ГПК настоящото решение може да бъде обжалвано пред Върховния
касационен съд в едномесечен срок от връчването му на страните.
Предвид изложените съображения, съдът
Р Е Ш
И :
ПОТВЪРЖДАВА
решение № 289746 от 11.12.2017 г. по гр.д. № 54592/2015 г. по описа на СРС, 56-ти състав.
ОСЪЖДА
"С.7" ООД, ЕИК ********, със седалище и адрес на управление:***, да
заплати на „Б.ДСК“ ЕАД, ЕИК ********, със седалище и адрес на управление:***,
на основание чл. 78, ал. 8, вр. чл. 37, ал. 1 ЗПП, вр. чл. 25, ал. 1 от
Наредбата за заплащането на правната помощ юрисконсултско възнаграждение за
въззивното производство в размер на 100 лв.
Решението може да бъде обжалвано пред Върховния
касационен съд в едномесечен срок от връчването му на страните.
ПРЕДСЕДАТЕЛ: ЧЛЕНОВЕ: 1.
2.