Р Е Ш Е Н И Е
№ …
гр. София, 07.05.2019 г.
В И М Е Т О
Н А Н А Р О Д А
СОФИЙСКИ ГРАДСКИ СЪД, ТЪРГОВСКО ОТДЕЛЕНИЕ, 20 състав, в публичното съдебно заседание на десети май две хиляди и деветнадесета година в състав:
СЪДИЯ: ТАТЯНА
КОСТАДИНОВА
при секретаря С. Калоферова, като разгледа т.д. № 2820 по описа за 2017 г., за да се произнесе, взе предвид следното:
Предявени са искове с правно
основание чл. 57, ал. 1 ЗПУПС (отм.) и чл. 86 ЗЗД.
Ищецът К. АД твърди, че на 28.02.2013 г. сключил с МКБ Ю. АД договор за разплащателна сметка с IBAN ***, както и договор за интернет банкиране, по силата на който могъл да нарежда онлайн банкови преводи. След вливане на МКБ Ю. АД в ответното дружество П.и.б. АД правата и задълженията по процесните договори преминали към правоприемника, а процесната разплащателна сметка получила IBAN ***. Ищецът поддържа, че банкирането по електронен път от посочената сметка се извършвало чрез квалифициран електронен подпис, като този начин бил оторизиран от банката. На 06.10.2015 г. били извършени три неразрешени от ищеца платежни операции със средства от горепосочената разплащателна сметка, а именно – банков превод на стойност 91 745,80 лв. с получател на преводаО.ХVІІІ ЕООД, 73 155,90 лв. с получател на превода Д.К.К.ЕООД и 19 250 лв. с получател на превода А.М.. Ищецът твърди, че тези операции са наредени чрез системата за електронно банкиране от притежавания от него профил, но нареждането е направено от трето неоправомощено лице чрез отдалечен достъп, за което банката била незабавно уведомена. Счита, че ответникът в качеството си на доставчик на платежни услуги не е изпълнил надлежно задължението си да осигури недостъпност на персонализиращите защитни характеристики на платежния инструмент и поради това следва да възстанови стойността на неразрешените платежни операции, както и да заплати лихва за забава, която за периода 28.10.2015 г. (след изтичане на 21 дни от уведомлението) – 02.10.2017 г. възлиза на 36 130,16 лв. Претендира посочените суми, ведно със законна лихва от предявяване на иска до погасяването, както и разноски.
Ответникът П.и.б. АД оспорва исковете, като твърди, че при изпълнение на преводите доставчикът на платежните услуги е действал добросъвестно, тъй като от обстоятелствата недвусмислено можело да се направи извод, че операциите са разрешени, защото съгласието за извършването им е дадено по уговорения от страните ред и начин - нарежданията са подписани с квалифициран електронен подпис, чийто титуляр е ищецът, като това е извършено от обичайния за титуляря IP адрес. Поддържа, че с общите условия, които са уреждали процесните отношения, страните са се отклонили от разпоредбите на ЗПУПС (отм.), които възлагат доказването на разрешения характер на операцията на доставчика, и поради това в тежест на ищеца е да докаже, че процесните операции са неразрешени. Наред с това счита, че ищецът е проявил груба небрежност, като не е запазил от трети лица персонализиращите характеристики, чрез които се извършва електронното банкиране (включително поради необновяване на антивирусния софтуер). Твърди, че съгласно общите условия узнаването на тези характеристики от трето лице е приравнено на проява на груба небрежност и поради това ответникът не носи отговорност за процесните операции, дори те да са неразрешени. Поддържа също, че основание за отпадане на отговорността му е неизпълнението на задължението на ищеца за незабавно уведомяване за неразрешените операции. Ето защо моли съда да отхвърли предявените искове и да му присъди разноски.
Помагачите О.ХVІІІ ЕООД, Д.К.К.ЕООД и А.О.М. не вземат становище исковете.
Съдът, като обсъди събраните по
делото доказателства, достигна до следните правни и фактически изводи:
Безспорно между страните е, че на 28.02.2013 г. между МКБ Ю. АД и ищеца са сключени договор за разплащателна сметка с IBAN ***, рамков договор за интернет банкиране и договор за пакет „Привилегия ON LINE“. Съгласно договора за интернет банкиране ищецът е придобил правото да извършва безкасови разплащания чрез осигурен достъп до системата за интернет банкиране с потребителско име и парола и потвърждаване на нареждането за плащане чрез квалифициран електронен подпис (КЕП). Договорът за интернет банкиране е сключен при Общи условия за ползване на интернет банкиране на МКБ Ю. АД и Общи разпоредби за платежни услуги към Рамков договор на МКБ Ю. АД. С договора за пакет „Привилегия ON LINE“ банката е предоставила на клиента срещу заплащане на месечна такса правото да ползва пакет от банкови продукти и услуги, вкл. чрез интернет банкиране, като е уговорена възможността за едностранна промяна на условията по пакета от страна на банката, за което тя уведомява клиента чрез поставяне на съобщение в банковите салони и на интернет страницата си. Съгласно Общи разпоредби за платежни услуги към Рамков договор на Ю. ЕАД (л. 174), в сила от 01.01.2012 г., банката има право да променя рамковия договор по отношение на клиент, който няма качеството на потребител по смисъла на ЗПУПС (отм.), едностранно, като промените влизат в сила без предварително уведомление.
На 04.03.2014 г. е вписано преобразуване на МКБ Ю. АД чрез вливане в П.и.б. АД, като на същата дата ищецът е получил съобщение чрез Виртуалния банков клон на Fibank, съгласно което му е осигурено правото на безплатно ползване на Token устройство, като е потвърдена възможността до получаването му да се извършва активно интернет банкиране се чрез „досегашните име, парола и сертификат, който е издаден от Ю. за вход и подпис“.
Към датата на преобразуването са действали Общи условия за ползване на виртуален банков клон (e-finank) на П.и.б. АД, изменени и допълнени с решение на Управителния съвет в сила от 10.01.2014 г., с които ищецът не оспорва да е бил запознат. Съгласно посочените общи условия (чл. 18.3.) спрямо действащите договори за ползване на интернет банкиране, сключени с Ю. ЕАД преди вливането, банката и титулярят приемат притежавания от оправомощените ползватели сертификат да се счита за средство за достъп и идентификация и за извършване на операции до обявен от банката срок. В чл. 14.1 от тези общи условия е посочено също, че „банката има право по всяко време едностранно да ги променя, за което предварително, най-малко три дни преди влизане в сила на съответната промяна, уведомява титуляря в писмена форма чрез обявление на интернет страницата на виртуалния банков или в отчета по сметка или чрез друг траен носител по преценка. В случай че титулярят не е съгласен с промените, той има право да прекрати незабавно договора преди влизане в сила на общите условия, а в противен случай се счита че ги е приел и е обвързан с тях. В чл. 16.1 от Общите условия пък е посочено, че доколкото не е предвидено друго, отношенията между банката и титуляря във връзка с ползването на платежните услуги се уреждат от Общите условия за откриване и водене на банкови сметки и за предоставяне на платежни услуги. Считано от 18.09.2015 г. съгласно решение на Управителния съвет на П.и.б. АД влизат в сила изменения и допълнения на Общи условия за откриване и водене на банкови сметки и предоставяне на платежни услуги (л. 143 и сл.), като новите редакции на общите условия са оповестявани на интернет-страницата на банката.
Безспорно е също, че на 06.10.2015 г. чрез системата за електронно банкиране са наредени с квалифициран електронен подпис, издаден на името на законния представител на ищеца Ц.Н., и са изпълнени от банката-ответник три платежни операции – банкови преводи в размер на 81 745,80 лв., 73 155,90 лв. и 19 250 лв., с които е заверена сметката съответно на помагачаО.ХVІІІ ЕООД, Д.К.К.ЕООД и А.М..
Спорни са следните
въпроси: 1). дали така извършените
нареждания съставляват неразрешена платежна операция и кому принадлежи тежестта
да докаже това; 2). ако процесните платежни операции са неразрешени, как се
разпределя отговорността за тяхното извършване; 3). налице ли е неизпълнение от страна на платеца на задължения във
връзка с ползването на услугата за интернет банкиране, вкл. във връзка със
запазване на защитните характеристики на платежния инструмент, и ако да – 4). това неизпълнение съставлява ли
основание за освобождаване на банката от отговорност за неразрешената платежна
операция.
Отговорът на тези въпроси се обуславя от приложимото към отношенията на страните право. Извършените банкови преводи съставляват платежни операции по смисъла на чл. 4 от ЗПУПС (отм.). Съгласно чл. 48, ал. 2 ЗПУПС (отм.), когато ползвателят на платежна услуга не е потребител, страните по платежната операция могат да договорят, че в отношенията им няма да се прилагат някои разпоредби от закона, вкл. чл. 56 ЗПУПС (отм.), разпределящ тежестта за доказване на разрешения характер на платежната операция върху банката, и чл. 58 ЗПУПС (отм.), определящ специални правила за разпределяне на риска от неразрешената операция. Този законодателен подход е в съответствие с чл. 35 от Преамбюла и чл. 51, ал. 1 вр. чл. 54, § 2, ал. 2 от Директива 2007/64/ЕО относно платежните услуги във вътрешния пазар, която допуска законодателно да се ограничи режимът на отговорност на банката в отношенията й с клиент-непотребител.
Потребител по смисъла на ЗПУПС (отм.) е само физическо лице съгласно § 1, т. 23, поради което в процесните отношения ищецът и ответникът са били свободни да се отклонят от посочените в чл. 48, ал. 2 ЗПУПС (отм.) разпоредби. В Общите условия за откриване и водене на банкови сметки и за предоставяне на платежни услуги, изменени и допълнени с решение на Управителния съвет на П.и.б. АД в сила от 18.09.2015 г., е посочено, че „когато ползвателят на платежна услуга не е потребител, чл. 56, чл. 58 и чл. 70, ал. 1 ЗПУПС (отм.) не се прилагат в отношенията му с банката“. Съдът приема за приложима спрямо ищеца посочената разпоредба по следните съображения:
В специалните нормативни актове, регулиращи банковата дейност (вкл. ЗПУПС, ЗКИ, Наредба № 3/2009 г. за условията и реда за изпълнение на платежни операции и за използване на платежни инструменти) не се съдържат специални правила относно обвързващата сила на общите условия, при които банката предлага своите договорни услуги. Ето защо следва да бъде приложена разпоредбата на чл. 298, ал. 1 ТЗ, съгласно която общите условия относно неформална сделка (каквито са договорът за разплащателна сметка и договорът за интернет банкиране) стават задължителни за насрещната страна-търговец (какъвто е и ищецът), ако ги е знаела или е била длъжна да ги знае и не ги оспори незабавно. В настоящия случай няма преки доказателства съдържанието на приетите към датата на процесните операции общи условия да е било узнато от ищеца. Същевременно обаче, от съдържанието на общите условия, които са обвързвали ищеца от момента на сключване на договора за разплащателна сметка и за интернет банкиране, както и от съдържанието на общите условия за ползване на виртуален банков клон на П.и.б. АД, действали към момента на вливането и представени от самия ищец, може да се изведе задължението за клиента да се запознае с измененията и допълненията на тези общи условия, щом същите са поставени на общодостъпно място (чл. 14.1. от ОУ за виртуален клон на П.и.б. АД, чл. 35.1 от Общи разпоредби за платежни услуги към Рамков договор на Ю. ЕАД) – тъй като се предвижда изменението/допълнението да влиза в сила чрез обявяване на съдържанието му в интернет-страницата или по друг начин по преценка на банката. Това означава, че търговецът е бил длъжен да следи за измененията и щом същите са публикувани, е могъл да ги оспори. Незаявявайки оспорване по чл. 298, ал. 1, т. 2 ТЗ, ищецът се явява обвързан от измененията на общите условия, последвали приемането на първоначалните, с които той е бил запознат.
Както беше посочено, в Общи условия за откриване и водене на банкови сметки и за предоставяне на платежни услуги страните са уговорили, че в отношенията им няма да се прилагат разпоредбите на чл. чл. 56, чл. 58 и чл. 70, ал. 1 ЗПУПС (отм.). Следователно страните не са се отклонили от правилото на чл. 51, ал. 1 ЗПУПС (отм.) и поради това дали процесните операции са разрешени или не, следва да се определи съобразно закона.
Съгласно чл. 51, ал. 1 ЗПУПС (отм.) платежната операция е разрешена, ако платецът я е наредил или е дал съгласие за изпълнението ѝ. При липса на съгласие платежната операция е неразрешена. Наличието на съгласие не може да се извлече единствено от подписване на нареждането чрез КЕП. Независимо че страните са изключили приложението на чл. 56, ал. 3 ЗПУПС (отм.), съдът приема, че подписването на нареждането по начин, придаващ му вид на изходящо от ползвателя на услугата, само по себе си не е достатъчно за определяне на операцията като извършена със съгласие на ползвателя. Това би лишило от правно значение уговорените случаи на отговорност на банката при неразрешена банкова операция - на практика въпросът за отговорността на банката се поставя именно в случаите, когато операцията е извършена от името на потребителя, чрез негови идентификационни характеристики, но придобити неправомерно. Нещо повече, да се приеме, че подписването на нареждането чрез КЕП е достатъчно основание да се счита операцията за разрешена, означава да се наруши изискването на чл. 51 ЗПУПС (отм.) относно наличието на волеизявление на титуляра за извършването й.
Ето защо, налице е
разлика между разрешената платежна операция по смисъла на ЗПУПС (отм.) и
платежната операция, на която й е придаден вид на разрешена.
Втората може да е основание за изключване на отговорността по чл. 75, ал. 2 ЗЗД, но тази разпоредба не е пряко приложима в банковите отношения предвид
наличието на специална уредба. Именно поради наличието на специални правила,
уреждащи отговорността за неразрешената платежна операция, правилото на чл. 75,
ал. 2 ЗЗД не се прилага – ирелевантно за
отговорността на банката е дали тя е платила (изпълнила нареждането) въз основа
на недвусмислени обстоятелства, сочещи правата на наредителя.
ЗПУПС (отм.) въвежда правила за отговорност на банката, когато тя е изпълнила формално редовно от външна страна нареждане,
стига неговата неоторизираност да не се дължи на
проявена от платеца груба небрежност или умисъл. Поради това съдът не
обсъжда обстоятелствата, свързани с възможната добросъвестност на ответника, а
именно – отправяне на нареждането от
обичайния IP адрес, в обичаен размер и чрез подписването му с КЕП,
идентифициращ ползвателя на услугата – добросъвестността не би имала
значение, ако операцията е извършена без волеизявлението на титуляря. Допълнително,
нареждането на операцията от видимо обичайния IP адрес няма значение и поради
обстоятелството, че дори при извършване на нареждането чрез отдалечен достъп
като адрес се регистрира адресът на компютъра, в който е поставен КЕП по време
на извършване на операцията или е бил поставен КЕП по време на „прихващането“
на отговора му към банката преди извършване на операцията, т.е. и с обичаен IP адрес операцията би могла
да е в действителност неразрешена.
Следователно неразрешена платежна операция е тази, при която титулярят не е имал воля за извършването й, като поради установеното отклонение от чл. 56 ЗПУПС (отм.) в тежест на ищеца е да докаже неразрешения характер на процесните операции. Според настоящия състав този факт се доказа от съвкупния анализ на събраните гласни доказателствени средства (за чието събиране не е налице ограничение по чл. 164 ГПК), както и от заключението на ССчЕ, а също и от данните за извършените от ищеца незабавно след узнаване за операцията действия по оповестяване на неразрешения характер пред органите на реда.
От показанията на свидетеля М. се установява, че лицата, в чиято полза са извършени преводите, са непознати за ищеца („не сме имали никакви отношения с получателите на преводите. Нищо не ни говорят тези имена“). В този смисъл са и показанията на свидетеля Д. – счетоводител на дружеството-ищец. Тя е лицето, което технически подготвя платежните нареждания преди потвърждаването им от оправомощените лица, и сочи, че не е подготвяла такива, както и че „в тези платежни имаше наредени три превода към лица, които никога нито сме чували, нито сме работили с тях“. Макар и изходящи от заинтересовани свидетели, съдът кредитира тези показания, тъй като те напълно кореспондират със заключението на ССчЕ, съгласно което получателите на процесните нареждания никога не са били контрагенти на дружеството ищец съгласно извлеченията от сметка 401 Доставчици и сметка 411 Клиенти за периода 2014 г. – 2018 г., както и съгласно записванията в Главна книга и Оборотни ведомости; платежните нареждания са отразени в счетоводството на ищеца в деня на извършването им (06.10.2015 г.) по счетоводна сметка 442 „Вземания за липси и начети“. Тъй като вещото лице не е установило нередовни записвания във връзка с процесните операции, съдът кредитира вписванията в счетоводството независимо от изгодния за ищеца характер по аргумент от чл. 55, ал. 1 ТЗ.
Щом се установява, че процесните платежни нареждания са извършени без волята на ищеца, те са неразрешени по смисъла на чл. 51, ал. 1 ЗПУПС (отм.) и следва да се отговори на въпроса, как се разпределя отговорността в този случай.
В общите условия страните са уговорили, че се отклоняват от разпоредбата на чл. 58 ЗПУПС (отм.). Същевременно, видно от чл. 11.6 от Общите условия за ползване на виртуален банков клон, изменени и допълнени на 10.01.2014 г., страните са се отклонили единствено от правилото на чл. 58, ал. 1 ЗПУПС (отм.) в частта относно максималния размер, до който се ограничава отговорността на платеца в хипотезата на несъхранени персонални идентификатори от страна на клиента. Възпроизведено е правилото, че „клиентът понася всички загуби, независимо от размера им, свързани с неразрешени операции, когато „клиентът не е успял да запази персоналните си идентификатори“ или ако ги е причинил чрез измама или с неизпълнение на задължения по Общите условия умишлено или поради груба небрежност“. Това е възпроизведено и в Общите условия за ползване на виртуален банков клон, в сила от 02.02.2015 г. (л. 199, стр. 2).
Анализът на посочените разпоредби от общите условия налага извод, че рискът от извършване на неразрешената операция е възложен върху платеца, само когато осъществяването й е в причинна връзка с умишлено или в резултат на груба небрежност неизпълнение на задължения по Общите условия, вкл. за съхраняване на персонализиращите данни, а не по принцип. Това разрешение е изцяло в духа на Директива 27/64/ЕО, създадена да уреди правилата за носене на риска от неправомерен достъп до банкови сметки, като засили защитата на платеца и увеличи обема отговорност, носен от финансовата институция. Нещо повече, това тълкуване е изцяло съответно на разпоредбата на чл. 57 ЗПУПС (отм.) – съгласно нея „в случай на неразрешена платежна операция доставчикът на платежни услуги на платеца му възстановява незабавно стойността на неразрешената платежна операция и, когато е необходимо, възстановява платежната сметка на платеца в състоянието, в което тя би се намирала преди изпълнението на неразрешената платежна операция.“ Това е правилото, от което законът не допуска страните да се отклонят, дори когато платецът не е потребител (вж. чл. 48, ал. 2 ЗПУПС (отм.)) – следователно възможността да не се прилага следващата разпоредба, а именно чл. 58 ЗПУПС (отм.), представлява по същество възможност не да се изключи изцяло отговорността на банката, а да се промени приложното поле на чл. 58 ЗПУПС (отм.), като се въведат повече случаи, при които платецът-търговец поема риска, или да се премахне ограниченият размер от 300 лв. В случая е сторено именно това – уговорено е, че независимо от размера платецът понася загубите, ако е действал виновно или при груба небрежност, а в чл. 4.12 е посочено, че ако „със свое действие или бездействие оправомощеният ползвател допусне узнаването на персонализираните защитни характеристики на средство за достъп от трето лице се счита, че е действал умишлено или при груба небрежност“.
В обобщение – отговорността за процесните неразрешени операции се понася по правило от банката (чл. 57 ЗПУПС (отм.)), освен ако извършването им е в резултат от умишлено или при груба небрежност неизпълнение на задължения на титуляря, в който случай нему не се възстановява стойността на операцията, независимо от размера й (поради установеното отклонение от чл. 58 ЗПУПС, отм.). Ето защо следва да се отговори на въпроса, налице ли е неизпълнение и ако да, дали то е допуснато поради проявен умисъл или небрежност, която и най-немарливият не би проявил към своите работи.
Установява се, че процесните нареждания са извършени чрез т.нар. отдалечен достъп, като е ползвана една от възможните форми за идентификация и подписване на нарежданията, а именно – квалифициран електронен подпис, издаден на името на Ц.Н.. Тъй като с уведомителното писмо от 04.03.2014 г. банката не е поставила изискване непременно да бъде преустановено ползването на КЕП и извършване на банкирането по начина, установен от преобразувалата се банка преди преобразуването, то не може да се приеме, че ищецът е бил в неизпълнение на задължение по договора.
От заключението на съдебно-техническата експертиза на вещото лице Р. се установява, че съгласно архивното копие на сайта, от който се осъществява вход в интернет платформата за банкиране („виртуален банков клон“), банката е предоставила съвети за сигурност, които включват основни препоръки за повишаване сигурността при работа с интернет банкирането. В тези препоръки не са записани задължителни хардуерни изисквания към компютъра, от който ще се осъществява достъпът и извършването на банковите плащания, но има заложени препоръки за сигурност и използване на определени версии на интернет браузери и настройките им, както и съвети за използване на антивирусен софтуер. В основното заключение на СТЕ вещото лице Р. сочи, че използваният от ищеца компютър „като технически параметри може да се каже, че отговаря на изискванията на банката“, вкл. използваната операционна система. Съгласно заключението на повторната СТЕ, изготвена от вещото лице Х., на процесния компютър е била инсталирана антивирусна програма Panda Antivirus Cloud, считано от 26.11.2013 г. (л. 379).Тъй като нито използваният браузър, нито използваната антивирусната програма са били несъответни на поставените от банката изисквания (впрочем, няма данни да са изброени конкретни антивирусни програми, които банката счита за надеждни), то съдът приема, че титулярят е изпълнил задължението си, вменено от общите препоръки за сигурност.
Наред с това от свидетелските показания се установява, че ищецът е имал сключен договор за компютърна поддръжка, което допълнително увеличава положената от него грижа към сигурността. Действително, последното обновяване на антивирусната програма, установено от вещите лица, е извършено след процесните операции и няма данни, дали програмата е била обновявана периодично, но както сочи вещото лице Х. при разпита си в о.с.з. на 03.04.2019 г., ако програмата е била заразена, „дори да се обновява, тя е един вид изолирана в клетка“. Т.е. дори обновяването на антивирусната програма да е действие, което и най-немарливият към своите работи би предприел, то неизпълнението му не би се явило в причинна връзка с извършване на операциите, ако антивирусната програма е заразена. Верността на извода на вещото лице Х. се потвърждава от установените от вещото лице Р. факти, а именно – че в момента на извършваната от него проверка „използваният от фирмата антивирусен софтуер“ не е открил „зловреден софтуер“, въпреки че към този момент доказано е бил обновяван.
В настоящия случай и двете вещи лица установяват, че антивирусната програма е заразена. Вещото лице Х. е извършил анализ със специализиран софтуер, откриващ допълнително инсталиран софтуер, който от своя страна съдържа „зловреден код“, позволяващ манипулиране и извършване на отдалечен пълен достъп до анализирания обект. Към настоящия момент не може да се установи дали заразяването на софтуера е било налице към датата на процесните операции, като същевременно спорен е въпросът и дали зловредният софтуер, с който е бил „заразен“ компютърът, е давал възможност на трето неоправомощено лице да нареди платежните операции чрез отдалечен достъп без КЕП да е включен в компютъра. Съдът обединява тези два въпроса, тъй като те могат да получат общ отговор по пътя на непрякото доказване – щом операциите не са били наредени от ищеца (до какъвто извод стигна съдът) и ако КЕП не е бил поставен в компютъра в момента на нареждането им, то това е било възможно единствено поради действието на зловреден код, позволяващ отдалечен достъп и нареждане без КЕП.
Ето защо релевантен е въпросът, бил ли е поставен КЕП в компютъра. За отговор на този въпрос съдът кредитира показанията на свидетеля М., който сочи, че след получаване на уведомлението от банката той и Н. погледнали компютъра, но в него нямало флашка. Свидетелят твърди, че е “сигурен“ в това обстоятелство. Показанията на свидетеля Д. не го опровергават – тя сочи, че флашката с КЕП на изпълнителния директор се съхранява в „голяма метална каса“ в неговия кабинет, която се заключва – това свидетелят знае, защото „когато се вадят подписите, се чува, че дрънкат ключове“. Д. сочи също, че „подписът не е бил там, когато аз се качих, защото нямам спомен да е ваден или да е слаган“. Макар свидетелят да не е сигурен в този факт, това не опровергава категоричното показание на свидетеля М., а и се подкрепя от обстоятелството, че в същия ден не са извършвани други нареждания – ето защо не може да се заключи, че флашката е била забравена при извършване на други операции в същия ден.
Поради изложеното съдът приема, че операциите са извършени в момент, в който КЕП не е бил поставен на компютъра. Следователно нареждането им е било възможно с помощта на установените от вещите лица като налични зловредни софтуери, като изводът на вещото лице Х. относно възможността „отговорът“ на КЕП да е бил прихванат по-рано и към момента на извършването им да не било необходимо да е поставен в компютъра следва да бъде кредитиран. Според вещото лице Х. „може да се хване отговорът от КЕП-а, когато се прави заявка. КЕП-ът отговаря и тази информация, която се подава към сървъра, може да бъде прихваната и следващия път може да се направи операция без да е вкаран КЕП в компютъра“. Тази възможност се държи на зловредния софтуер „човек по средата“. – „ако се използва форма на разплащане с КЕП и за първото разплащане се сложи флашката с КЕП на вече компрометиран компютър, тогава този „човек по средата“ може да прихване отговора на КЕП и след това да извърши стъпките от алгоритъма за електронно разплащане без флашката да е включена в компютъра“. Съдът кредитира този извод макар същият да противоречи на заключението на вещото лице Р., именно защото в процесния случай се установява, че неразрешените операции (без съгласие на титуляра) са извършени в момент, в който КЕП не е бил поставен на компютъра.
Следва обаче да се отбележи, че доколкото КЕП може да се използва от потребителя и за други цели, различни от интернет банкирането (представяне на документи в Търговския регистър, комуникация с държавни институции и др.), оставянето на КЕП активен в момент, в който не се извършват банкови разплащания, не може да съставлява грубо неизпълнение на задължения на платеца.
Неоснователно е аргументираното в писмената защита на ответника възражение, че ищецът не е положил достатъчно грижа сам да установи наличието на зловреден софтуер. Действително, при разпита в о.с.з. 03.04.2019 г. вещото лице Х. сочи, че „обикновеният потребител може да разбере има ли компрометирана антивирусна система, ако се сканира чрез антивирусна лаборатория с онлайн сканиране“, но същевременно заявява, че това сканиране може „да даде насоки дали има потенциален риск“ и че „общи признаци, че компютърът е компрометиран, няма. Само със сканираща програма може дасе установи, но никога не е на 100 % сигурно“. Ето защо, неизползването на налични онлайн сканиращи лаборатории не е проява на груба небрежност – още повече, при наличието на сключен договор за компютърна поддържка от потребителя не може да се изисква паралелно и сам да извършва проверка.
При преценка как да се разпредели риска за процесните операции, следва да се отчете и обстоятелството, че възможността за неправомерен достъп до сметката на ищеца е била улеснена от ниското ниво на сигурност, при което ответникът е предоставял услугата. Съгласно чл. 54, ал. 1, т. 1 ЗПУПС (отм.) банката има задължение да осигури недостъпност на персонализираните защитни характеристики на платежния инструмент за лица, различни от ползвателя на платежни услуги. Електронното банкиране е с висока степен на сигурност според условията, при които се извършва, и добрата банкова практика изисква комбинация със система за еднократни пароли, които се генерират за целите на конкретната операция. Впрочем това е възможно при използване на Token устройство, което обаче не е било вменено като задължително, а само като препоръчително за ищеца. От това може да се заключи, че ответникът не изпълнил точно задължението си за осигуряване на максимална защита при интернет банкиране и това не може да е основание да черпи права.
Поради всичко изложено съдът приема, че ищецът не е проявил умисъл или груба небрежност – използвал е компютър с адекватна операционна система и с инсталиран софтуер, съхранявал е надеждно КЕП (в метални каси с ограничен достъп). Следователно няма действия или бездействия по смисъла на чл. 4.12 от Общите условия, които да са в причинна връзка с извършване на неразрешените операции.
Не е налице основание за отказ от възстановяване на тяхната стойност от страна на доставчика и поради нарушение на чл. 53, т. 2 ЗПУПС (отм.). Както се установява от събраните доказателства (оглед на звукозапис с помощта на вещо лице и разпит на свидетели), уведомяването на банката относно неразрешения характер на операциите е извършено в рамките на 1,30-2,30 часа след тяхното подписване. Доколкото титулярят не би могъл да установи, че е извършена неправомерно операция без да получи уведомление от банката (или при случайна проверка на профила), то срокът за уведомяване тече от момента на узнаването (чл. 55 ЗПУПС (отм.)). Този момент не винаги съвпада с момента на изпращане на СМС-уведомяването – тъй като това предполага да се направи категоричен извод, че всякога, когато едно лице получи СМС-уведомяване, то узнава съдържанието на текстовото съобщение в момента на получаването му. Такъв извод обаче не може да бъде направен. Дори обаче да се приеме, че ищецът е узнал в момента на получаване на СМС-уведомяването, то проверката, която извършва титулярят относно условията на извършената операцията (размер, получател, основание), изисква определено време преди да бъде потвърден от него неразрешения й характер. Именно поради това законът в чл. 55 , ал. 1 ЗПУПС (отм.) въвежда изискването за уведомяване „без основателно забавяне“ след узнаването, а не „незабавно“.
Ето защо съдът приема, че ищецът дължи да възстанови състоянието на сметката такова, каквото е било към момента на извършване на неразрешените операции и искът следва да бъде изцяло уважен.
По иска по чл. 86 ЗЗД:.
Съгласно чл. 57, ал. 2 ЗПУПС (отм.) възстановяването на дължимите суми следва да се извърши не по-късно от 21 дни от получаване на уведомлението за неразрешената операция.
В настоящия случай уведомлението е получено на 06.10.2015 г. и банката е следвала да възстанови сумите до 27.10.2015 г. включително. След тази дата изпада в забава. Размерът на дължимата лихва възлиза на 36 133,12 лв. Искът следва да бъде изцяло уважен.
По разноските:
Ответникът следва да заплати на ищеца разноски в размер на 17 534,04 лв.
Така мотивиран, съдът
Р Е Ш И:
ОСЪЖДА П.и.б. АД, ЕИК********, да заплати на К. АД, ЕИК ********, на основание чл. 57, ал. 1 ЗПУПС (отм.) сумата от 184 151,70 лв., представляваща общата стойност на три неразрешени платежни операции, наредени на 06.10.2015 г. чрез достъп до Виртуален банков клон от разплащателна сметка с IBAN ******** с получател на преводитеО.ХVІІІ ЕООД (91 745,80 лв.), Д.К.К.ЕООД (73 155,90 лв.) и А.О.М. (19 250 лв.), ведно със законната лихва от 03.10.2017 г. до погасяването, на основание чл. 86 ЗЗД сумата от 36 130,16 лв., представляваща лихва за забава върху сумата от 184 151,70 лв. за периода 28.10.2015 г. – 02.10.2017 г., както и на основание чл. 78, ал. 1 ГПК сумата от 17 534,04 лв. разноски.
Решението е постановено при участието наО.ХVІІІ ЕООД, ЕИК ********Д.К.К.ЕООД, ЕИК ********, и А.О.М., ЕГН **********, като помагачи на П.и.б. ЬАД.
Решението може да бъде обжалвано пред Софийски апелативен съд в двуседмичен срок от връчване на препис.
СЪДИЯ: