№ 815
гр. Велико Търново, 21.05.2024 г.
В ИМЕТО НА НАРОДА
РАЙОНЕН СЪД – ВЕЛИКО ТЪРНОВО, VI СЪСТАВ, в публично
заседание на двадесет и трети април през две хиляди двадесет и четвърта
година в следния състав:
Председател:ГЕОРГИ ГЕОРГИЕВ
при участието на секретаря МИЛЕНА ИВ. РАДКОВА
като разгледа докладваното от ГЕОРГИ ГЕОРГИЕВ Гражданско дело №
20234110103538 по описа за 2023 година
Производството е образувано по искова молба на С. Л. С. срещу „Ю. Б. АД, с
която се иска да бъдат прието за установено вземане на ищеца за сумата от 1
667.48 лева – обезщетение за имуществени вреди, настъпили поради допуснато
неправомерно действие или бездействие от страна на служител/и на ответното
дружество по повод транзакция от 2.12.2021 г., за което вземане е издадена
заповед за изпълнение по ЧГД № 7604/2023 г. по описа на Софийския районен
съд.
Ищецът твърди, че е клиент на ответната банка, респ. че при нея има разкрита
сметка и ползва интернет банкиране. Сочи, че на 2.12.2021 г. при проверка на
сметката си през интернет банкирането е установил, че няколко минути по-рано
от сметката му е осъществена транзакция в размер на 1 667.48 лева, като отрича да
е извършвал такова плащане с аргумента, че в часа на транзакцията е бил в офис
на банката, за да активират приложението му за интернет банкиране. Заявява, че
на 3.12.2021 г. отново е посетил клона на банката и е попълнил необходимия
формуляр за оспорване на процесната транзакция, като обяснил на служителя,
който го е обслужвал, че не е нареждал транзакцията. Твърди, че впоследствие е
получил отговор, с който е постановен отказ за възстановяване на сумата, а след
подадена от него жалба е получил и втори отказ за възстановяване на сумата.
Сочи, че за да бъде извършена транзакция през интернет банкиране на
1
потребител, е задължително въпросният потребител да има инсталирано токън
приложение, а в единия от отказите на банката е описано, че такова приложение е
инсталирано едновременно с онлайн приложението - на 2.12.2021 г. в 15:49 часа,
поради което счита, че е технически и физически невъзможно в рамките на една
минута да се инсталират две мобилни приложения и да се нареди транзакция.
Обръща внимание, че по времето, когато е нареден банковия превод през интернет
банкирането му, служител на банката е извършвал инсталиране на онлайн
банкирането и във връзка с това е имал достъп до телефона на доверителя ми и до
всички верификационни средства, а и от самата банка са признали, че е имало
опити за хакерска атака, последният от които е бил успешен. Сочи, че самият
факт, че банката е блокирала сметката му преди той да я сигнализира, означава, че
същата е индикирала проблема преди него, след което той е потвърдил, че
действително има проблем и е оспорил транзакцията. С оглед на горното, счита че
е налице бездействие от страна на ответника, от което за него са настъпили
имуществени вреди.
Ответникът оспорва допустимостта, редовността и основателността на
исковете. Счита, че ако следва да се търси неговата отговорност, тя следва е на
плоскостта на договорното неизпълнение, а не на непозволеното увреждане. Не
оспорва наличието на облигационна връзка с ищеца по сключен между страните
при общи условия договор за разплащателна сметка, предоставяне и ползване на
услугата интернет банкиране и издаване и обслужване на дебитна карта. Заявява,
че процесната платежна операция, представляваща плащане за покупка на
стоки/услуги, извършена чрез дебитна карта в интернет на виртуален ПОС-
терминал, находящ се в чужбина, е извършена на 2.12.2021 г., но не в 15:49 часа,
както сочи ищецът, а в 17:49 часа, като твърди, че същата е потвърдена чрез
приложението софтуерен токън и че е извършена чрез ръчно, еднократно и
безпроблемно въвеждане на съответните персонални средства за сигурност.
Изразява предположение, че след напускането на офиса на банката на 2.12.2021 г.
ищецът вероятно е получил т. нар. фишинг-имейл, при което е предположил, че
процедурата по активиране на софтуерния токън не е завършила, поради което е
въвел съответните данни и идентификатори във фалшивия сайт, с което по всяка
вероятност е спомогнал за инсталирането с активирането на нов токън на
устройството на трето лице. Изрично заявява, че в банковата система не е налице
каквато и да било следва от достъп или външна намеса в трето неупълномощено
лице, поради което за банката не е имало никакво съмнение във въпросната
операция. В този ред на мисли, твърди, че за да се стигне до оспорената
2
транзакция, следва ищецът умишлено или при груба небрежност да е предоставил
картата или нейните персонални идентификатори на трето лице или в даден
момент картата да е била извън неговото полезрение и контрол, поради което
отново при груба небрежност трето лице вероятно е узнало нейните данни и
персонални средства за сигурност. Потвърждава, че дебитната карта на ищеца е
била блокирана на 2.12.2021 г. в 17:57 часа, поради засечени опити за нейното
съмнително и нерегламентирано използване. По повод осчетоводяването на
транзакцията, въпреки жалбата на ищеца, заявява, че когато при платежна
операция се използва методът на задълбочено удостоверяване идентичността на
платеца /т.нар. софтуерен токън/ неотменимостта платежното нареждане настъпва
в момента на потвърждаване на плащането с натискане на съответния бутон за
съгласие в приложението.
В проведеното открито заседание процесуалният представител на ищеца
поддържа предявения иск и моли за неговото уважаване, а процесуалният
представител на ответното дружество поддържа оспорването на претенцията и
моли за нейното отхвърляне.
Съдът, като взе предвид доводите на страните, събраните доказателства
и съобрази разпоредбите на закона, намира за установено следното от
фактическа страна:
По делото не е спорно, а и от събраните писмени доказателства се установява,
че на 31.7.2012 г. между страните е сключен договор за разплащателна сметка на
физически лица, по силата на който ответникът е приел да открие и води
безсрочна сметка на името на ищеца, чрез която сметка да предоставя на
последния платежни услуги.
Не е спорно също, че на 2.12.2021 г. от разплащателната сметка на ищеца е
осъществена транзакция – покупка на виртуален ПОС терминал от търговецa
LMNEXT FR SASU CLICHY на стойност 1 667.48 лева, като от представеното
извлечение от сметка се установява, че въпросната транзакция е осчетоводена от
ответника на 7.12.2021 г.
От огледа на представения в открито заседание оптичен носител се
установява, че на датата на транзакцията – 2.12.2021 г. ищецът се е свързал с
контактния център на банката по повод получен от него SMS, че дебитната му
карта е блокирана. В хода на разговора ищецът е уведомен от служителя на
банката, че картата е блокирана във връзка с няколко съмнителни транзакции,
едната от които е била успешна.
3
Установява се също, че на следващия ден – 3.12.2021 г. ищецът е посетил
клона на банката в гр. Велико Търново, където е попълнил формуляр за оспорване
на транзакцията, като е посочил, че не е използвал картата си за тази транзакция и
не е разрешавал ползването й за извършване на същата. В отговор на така
попълнения формуляр от страна на ответника е постъпило становище, според
което за транзакцията е била изискана и извършена допълнителна верификация
посредством метод за задълбочена идентификация на картодържателя /софтуерен
m-Token/, с което банката е спазила изискванията за прилагане на задълбочена
идентификация. По същество с въпросното становище на ищеца е отказано
възстановяване на сумата по процесната транзакция.
От заключението по допуснатата техническа експертиза се установява, че
процесната платежна операция е извършена с дебитната карта на ищеца на
виртуален ПОС терминал на търговецa LMNEXT FR SASU CLICHY, както и че
при инициирането на транзакцията е въведен ръчно пълният набор от защитни
данни на картата. В заключението се сочи, че за допълнително потвърждаване на
транзакцията на мобилния телефон на ищеца е изпратено „PUSH” известие за
потвърждение чрез приложението m-Token Postbank. Отбелязано е, че на
2.12.2021 г. от профила на ищеца са направени две заявки и активации на
софтуерен m-Token Postbank, съответно в 15:49:37 - 15:51:13 часа и в 17:31:02 -
17:36:45 часа, като при активирането на втория софтуерен токън, първият
автоматично е бил деактивиран. Сочи се, че при инициирането и осъществяването
процесното дистанционно плащане на виртуален ПОС терминал са използвани
два независими елемента за задълбочено установяване на идентичността -
първият, свързан с фактора „знание” при въвеждане на потребителско име,
статична парола и ПИН код в процеса на активиране и използване на
приложението m-Token Postbank и вторият, свързан с фактора „притежание” при
въвеждане на всички атрибути на притежаваната дебитна карта и потвърждаване
на операцията от притежаваното мобилно устройство, идентифицирано с
телефонния номер, регистриран в банката. Твърди се, че при извършването на
въпросната операция банката е извършила и допълнително, динамично свързване
на кода на всяка операция, чрез изпращането на съобщение, съдържащо сумата и
получателя, заедно с еднократен код чрез приложението m-Token Postbank,
инсталирано на притежаваното от потребителя мобилно устройство. Обръща се
внимание, че банката е използвала специфична процедура за установяване на
необичаен модел на поведение на клиентското устройство, като в 17:58 часа на
2.12.2021 г. е блокирала платежния инструмент на ищеца от съображения за
4
сигурност и го е уведомила за това действие чрез изпращане на SMS/Viber
съобщение в 17:58:05 часа. Сочи се, че от предоставената от банката информация
е видно, че профилът в услугата интернет банкиране на ищеца не е достъпван
преди 2.12.2021 г., въпреки че услугата е била заявявана на два пъти и разрешена
от банката. Оттук се прави извод, че ищецът не е разполагал с активиран m-Token
Postbank преди тази дата, което се потвърждава от справката за заявените и
активирани токъни. Отбелязва се, че на горепосочената дата профилът за
интернет банкиране на ищеца е достъпван неколкократно от устройства,
идентифицирани с три различни IP адреса, включително на IP адрес
217.138.202.62, установен като предоставен за ползване от компания за интернет
свързаност и облачни услуги, регистрирана в Румъния и оперираща в Европа,
Азия, САЩ и Австралия – за времето от 17:30:40 часа до 17:34:59 часа,
съвпадащо с интервала, в който е заявен и активиран вторият m-Token Postbank.
Сочи се, че достъпът до профила за интернет банкиране на ищеца е осъществен
посредством ръчно въвеждане на действителния набор от потребителско име и
парола, асоциирани с профила, както и че въвеждането е станало еднократно, без
допускане на грешки. Предвид на това се дава становище, че профилът е достъпен
от трето лице, придобило атрибутите за достъп по нерегламентиран, измамен
начин. Твърди се, че платежна операция, преминала през етапите на иницииране,
одобрение и потвърждение чрез реално приложени методи за идентификация на
платеца и авторизация на плащането, е технически необратима и не може да бъде
едностранно отменена от банката, като това не може да се каже по повод нейното
осчетоводяване. Отбелязва се, че по информация на банката информационната й
система за сигурност не е открила наличието на злонамерен софтуер-скрипт за
автоматично валидиране на персонализираните идентификатори на картата по
време на инициализирането на платежните операции, като тези идентификатори са
въведени ръчно, което обаче не означава, че не е използван злонамерен софтуер за
придобиването им от трето лице. Сочи се, че в конкретния случай системите на
банката са открили влизане в профила за интернет банкиране на ищеца от
необичаен IР адрес, за което са изпратени съответните предупредителни
съобщения до мобилния телефон на ищеца и до неговия имейл адрес, като всичко
това се е случило по време на активиране на софтуерния токън и преди
процедирането на шест транзакции. Отбелязва се, че при съответната преценка на
риска системите на банката са процедирали с пасивен метод за решаване
проблема със сигурността - уведомяване чрез SMS което се е оказало неефективно
за предотвратяване на измамния сценарий. Обръща се внимание, че при
5
извършена проверка на електронната пощенска кутия на ищеца не са открити
данни за неоторизиран достъп /хакване/ от трети лица до профила на ползвателя,
както и следи ищецът да е изпращал имейли в отговор на други такива и/или да е
въвеждал своите персонализирани средства за сигурност в отговор на такива
имейли или в сайтове, асоциирани с тях. Сочи се, че преди датата на извършване
на оспорената транзакция ищецът не е осъществявал достъп за ползване на
услугата интернет банкиране и не е извършвал плащания в интернет, включително
на виртуален ПОС терминал. Отбелязва се, че е технически невъзможно да се
осъществи процесната транзакция чрез дебитната карта на виртуален ПОС
терминал в интернет от трето лице, без последното да разполага с
персонализираните средства за сигурност на платежния инструмент, както и тези
за двуфакторно идентифициране чрез софтуерното приложение m-Token Postbank
на мобилния телефон на ищеца. Твърди се, че на 2.12.2021 г. с платежния
инструмент на ищеца са извършени общо 7 транзакции – 2 одобрени и 5
неодобрени, включително 2 неодобрени транзакции преди блокирането на
картата.
В показанията си св. Д. Б. потвърждава, че на 2.12.2021 г. ищецът е посетил
клона на банката в гр. Велико Търново, където тя му е съдействала за активиране
на софтуерен токън, като твърди, че софтуерното приложение е било активирано и
ищецът си е тръгнал. Сочи, че е имало случаи, при които е съдействала за
попълване на формуляри за оспорване на трансакции, включително в хипотези на
фишинг измами. Твърди, че за да се активира софтуерен токън, даденият клиент
трябва да има активно интернет банкиране.
В показанията си св. П. Б. и св. Н. Д. заявяват, че са били клиенти на банката и
в различни периоди от сметките им са осъществявани неразрешени от тях
преводи, които те са оспорили.
При така установените факти, съдът намира следното от правна страна:
Според разпоредбата на чл. 79, ал. 1, изр. 1 ЗПУПС, доставчикът на платежни
услуги възстановява незабавно на платеца стойността на неразрешената платежна
операция, освен когато има основателни съмнения за измама и уведоми
съответните компетентни органи. Следователно, за да се ангажира отговорността
на банката при предявен иск с правно основание чл. 79, ал. 1 ЗПУПС, следва да се
установи наличието на облигационно отношение между страните по повод
предоставянето на платежни услуги, наличието на неразрешена платежна
операция от платеца, която операция да е извършена чрез системата на банката –
6
доставчик на платежни услуги и липсата на съмнение за измама, за която да са
уведомени компетентните органи. Ищецът носи тежестта да установи първите две
предпоставки, а в тежест на ответника е да докаже автентичността на платежната
операция, нейното осчетоводяване и регистриране, че не е налице техническа
повреда или друг недостатък в услугата, която предоставя, или че е налице измама
или груба небрежност от страна на потребителя на платежната услуга, поради
неизпълнение на някое от задълженията по чл. 75 ЗПУПС.
Обстоятелството, че между страните са налице валидни облигационни
правоотношения по сключени между тях при общи условия договори за
разплащателна сметка, за предоставяне и ползване на услугата интернет
банкиране и за издаване и обслужване на дебитна карта е безспорно установено по
делото. Безспорно установено е също, че на 2.12.2021 г. от сметката на ищеца,
чрез използване на услугата интернет банкиране с помощта на инсталиран на
същия ден на мобилен телефон софтуерен токън, е извършен паричен превод в
размер от 1 667.48 лева.
Спорен между страните е въпросът дали тази транзакция представлява
„разрешена“ или „неразрешена“ платежна операция.
Съгласно чл. 70, ал. 1 ЗПУПС, платежната операция е разрешена, ако
платецът я е наредил или е дал съгласие за изпълнението й, като при липса на
съгласие от негова страна операцията се счита за неразрешена. При твърдения на
ползвателя на платежната услуга, че не е разрешил изпълнението на платежната
операция или че е налице неточно нейно изпълнение доставчикът на платежната
услуга носи тежестта да установи автентичността на операцията, нейното точно
регистриране, осчетоводяването й, както и че операцията не е засегната от
техническа повреда или друг недостатък на предоставяната услуга /чл. 78, ал. 1
ЗПУПС/.
В случая, след като ищецът твърди, че не е разрешавал и не е нареждал
извършването на процесната транзакция, в тежест на ответника беше да докаже,
че същата е надлежно разрешена и точно извършена.
По смисъла на чл. 78 ал. 3 ЗПУПС автентичността на превода подлежи на
установяване в процедура, която позволява на доставчика на платежната услуга да
провери правомерно използване на конкретен платежен инструмент, включително
неговите персонализирани средства за сигурност. Съгласно чл. 78, ал. 4 ЗПУПС,
когато ползвателят на платежната услуга оспори да е разрешавал платежната
операция, регистрираното от доставчика на платежните услуги използване на
7
платежния инструмент не е достатъчно доказателство, че платежната операция е
била разрешена от платеца или че същият е действал чрез измама или че
умишлено или при груба небрежност не е изпълнил някое от задълженията си по
чл. 75 ЗПУПС. Следователно визираните разпоредби на закона сочат, че рискът от
изпълнение на неразрешена от платеца платежна операция, макар и наредена чрез
договорения платежен инструмент, е в тежест на доставчика на платежни услуги.
Неблагоприятните последици от изпълнението на неразрешена платежна
операция, наредена чрез приетия от страните платежен инструмент, ще останат за
сметка на платеца само при доказана от доставчика измама или при умишлено
или при груба небрежност от страна на ищеца неизпълнение на съществени
задължения, вменени му във връзка с използването на платежния инструмент /арг.
от чл. 80, ал. 3 ЗПУПС/. От изложеното следва извод, че за да се освободи от
отговорност, не е достатъчно ответникът да докаже, че процесният паричен
превод е нареден чрез използване на надлежно издаден в полза на платеца
платежен инструмент, какъвто по смисъла на § 1, т. 30 от ДР на ЗПУПС е
активираният чрез профила на ищеца в системата за онлайн банкиране на
ответника софтуерен токън. Необходимо е да се докаже още, че платежният
инструмент е използван правомерно, т.е. че интернет банкирането на транзакцията
е инициирано от ищеца, а не от трето лице, което е осъществило неправомерен
достъп до потребителското му име и парола като ползвател на платежни услуги.
От ангажираните в рамките на процеса доказателства не може да се направи
извод, че процесната платежна операция, осъществена чрез профила на ищеца и
при използването на софтуерен токън за нареждането и одобряването й, е
автентична, респ. имаща характер на разрешена от платеца по смисъла на чл. 70,
ал. 1 ЗПУПС. Напротив, налице са данни, че същата не е разрешена от ищеца,
доколкото адресното пространство на използвания IP – адрес, от който е
осъществен т. нар. съмнителен достъп до профила му в услугата интернет
банкиране и е нареден преводът, е извън територията на страната, а именно в
Република Румъния. Това обстоятелство изключва възможността спорната
операция да е осъществена от ищеца, който по времето на извършването й се е
намирал в страната.
При горните обстоятелства съдът следва да приеме, че процесната платежна
операция е неразрешена по смисъла на чл. 70, ал. 1, изр. 2 ЗПУПС, поради което
нейното изпълнение от страна на доставчика на платежни услуги е основание за
ангажиране на отговорността му по чл. 79, ал. 1 ЗПУПС. Ответникът можеше да
се освободи от отговорност, само ако беше доказал допусната от ищеца груба
8
небрежност по смисъла чл. 80, ал. 3 ЗПУПС, поради неизпълнение на
задължението му по чл. 75, т. 3 ЗПУПС да опази трайната на личните си
идентификатори.
По аргумент от чл. 75 ЗПУПС задълженията на ползвателя за опазване на
предоставените му персонални средства за достъп до платежния инструмент
изисква предприемането на всички разумни действия за запазването им в тайна,
като с оглед особеностите на случая ищецът е бил длъжен да опазва
потребителското си име и парола за достъп до профила му в интернет
банкирането, кодовете и паролите за активиране на софтуерния токън и за
нареждане на паричните преводи. В случая от събраните по делото доказателства
не се установява конкретно поведение на ищеца, което да сочи на непредприемане
от последния на всички разумни действия за опазване в тайна на
персонализираните средства за сигурност на платежния му инструмент. В случая
липсват каквито и да било данни в електронната поща на ищеца да са постъпвали
ел. писма със съдържание на т. нар. фишинг съобщения, които писма да са
отворени от него, още по-малко ищецът да е активирал намиращи се в тях
линкове и при следване на дадени указания да е въвел своето потребителско име и
парола за профила му в системата за интернет банкиране или да е предоставил
кодовете си за достъп. Доколкото в тежест на ответника беше да докаже
допусната от ищеца груба небрежност при съхранение на обсъжданата
чувствителна информация, гореизложеното и липсата на ангажирани
доказателства в тази насока сочат на недоказаност на това възражение.
От друга страна, следва да се има предвид, че ищецът не разполага със
специални знания и умения да противодейства на сочено от банката евентуално
нерегламентирано въздействие, а освен това същият е реагирал своевременно при
узнаване извършването на неразрешената платежна операция и е уведомил
надлежно ответника за това обстоятелство, което сочи на изпълнение на
задължението по чл. 75, т. 2 ЗПУПС.
В обобщение, в случая се доказа, че е налице неразрешена платежна операция,
с която на 2.12.2021 г. е извършен паричен превод на стойност 1 667.48 лева от
сметка на ищеца, като не се доказа последният да е допуснал груба небрежност
при използване на платежния инструмент, поради което доставчикът на
платежните услуги дължи възстановяване на стойността на превода.
По разноските:
С оглед изхода на делото, ищецът има право на сторените от него разноски в
9
общ размер от 646.00 лева, които следва да се възложат в тежест на ответника.
Възражението на ответника за прекомерност на заплатения адвокатски хонорар е
неоснователно с оглед фактическата и правната сложност на делото. Ищецът има
правно и на разноските по ЧГД № 7604/2023 г. по описа на Софийския районен
съд в размер от 33.35 лева.
Мотивиран от горното, Великотърновският районен съд
РЕШИ:
ПРИЕМА ЗА УСТАНОВЕНО, че „Ю. Б. АД, ЕИК *** дължи на С. Л. С.,
ЕГН ********** сумата от 1 667.48 /хиляда шестстотин шестдесет и седем лева и
четиридесет и осем ст./ лева, представляваща стойност на неразрешена платежна
операция, извършена на 2.12.2021 г. с дебитна карта на ищеца, за което вземане е
издадена заповед за изпълнение по ЧГД № 7604/2023 г. по описа на Софийския
районен съд.
ОСЪЖДА „Ю. Б. АД, ЕИК *** да заплати на С. Л. С., ЕГН **********
сумата от 646.00 /шестстотин четиридесет и шест/ лева – разноски за исковото
производство, както и сумата от 33.35 /тридесет и три лева и тридесет и пет ст./
лева – разноски за производството по ЧГД № 7604/2023 г. по описа на Софийския
районен съд.
Решението подлежи на обжалване пред Великотърновския окръжен съд в
двуседмичен срок от съобщаването му на страните.
Съдия при Районен съд – Велико Търново: _______________________
10