top of page
Търсене

Отговорността на банките при неразрешени платежни операции – съдебна практика, доказване и практически положения по чл. 79 от Закона за платежните услуги и платежните системи

  • Кирил Томов
  • преди 6 дни
  • време за четене: 10 мин.

 

Настоящата статия разглежда ключови въпроси, свързани с неразрешени платежни операции, чрез анализ на типични казуси и преобладаващата съдебна практика към датата на публикуване. Целта е да се очертаят основните правни изводи и практически насоки при прилагането на чл. 79 от Закона за платежните услуги и платежните системи (ЗПУПС). Изложението има информативен характер и не претендира за изчерпателност и не представлява правно становище.

 

Специалната норма на чл. 79 от Закона за платежните услуги и платежните системи при неразрешени платежни операции чрез банка

 

При твърдение за неразрешена платежна операция, извършена от платец – притежател на банкова сметка, чрез съответната банка, българското право въвежда специален режим на защита на платеца чрез чл. 79 от ЗПУПС

. Тази разпоредба поставя в центъра на спора не толкова поведението на платеца, а задължението на банката – доставчик на платежни услуги, да възстанови незабавно стойността на операцията и да върне платежната сметка в състоянието, в което би се намирала, ако операцията не беше извършена. Именно поради това съдебната практика приема, че чл. 79 от ЗПУПС представлява специален режим за договорна отговорност, доколкото законът самостоятелно урежда предпоставките, последиците и доказателствената рамка на отговорността на доставчика на платежни услуги.

 

Характерна особеност на този режим е, че отговорността на банката (или друг доставчик на платежни услуги) се разглежда като обективна, т. е. безвиновна. За ангажирането ѝ не е необходимо да се установява противоправно поведение или вина в класическия смисъл, а единствено наличието на неразрешена платежна операция и неизпълнение на задължението за своевременно възстановяване. Това принципно разбиране е застъпено в практиката на българските съдилища и е в пълно съответствие с целта на закона – висока степен на защита на потребителите на платежни услуги и разпределяне на риска от неправомерни операции към професионалния участник в платежния процес.

 

В този контекст фокусът на съдебен спор с правно основание чл. 79, ал. 1 от ЗПУПС закономерно се измества от въпроса – „кой е виновен за извършване на неразрешената платежна операция?“, към въпросите дали конкретната операция е била действително разрешена от платеца, дали е автентична и коректно регистрирана, както и дали са налице изключенията, при които законът допуска освобождаване или ограничаване на отговорността на доставчика – измама или груба небрежност от страна на платеца. Именно около тези елементи се концентрира доказването в подобни производства и те очертават рамката, в която съдът преценява дали доставчикът на платежни услуги е изпълнил или е нарушил задълженията си по чл. 79 от ЗПУПС.

 

                                                                                                                                                               „Разрешена“ срещу „неразрешена“ платежна операция – как съдът тълкува съгласието по чл. 70 от ЗПУПС

 

Съгласно чл. 70 от ЗПУПС една платежна операция се счита за „разрешена“, когато платецът е дал съгласие за нейното изпълнение по начина, договорен с доставчика на платежни услуги. Това съгласие може да бъде дадено чрез конкретен платежен инструмент, електронен канал (напр. мобилно или уеб приложение) или друга форма, предвидена в Договора и Общите Условия към Договорите. При липса на такова съгласие операцията по дефиниция следва да се квалифицира като „неразрешена“, независимо от това дали технически е преминала успешно през системите на банката и дали е отчетена като „валидна“ от гледна точка на вътрешните ѝ процедури.

 

В практиката си българските съдилища подчертават, че доказването на съгласие не се изчерпва с установяване на факта, че операцията е извършена чрез въвеждане на потребителско име, парола, ПИН код, еднократен код (OTP) или чрез регистрирано устройство. Тези обстоятелства имат значение, но сами по себе си не са равнозначни на доказателство, че именно титулярят на сметката е наредил операцията или е дал информирано и свободно съгласие за нейното изпълнение. Приема се разбирането, че персонализираните средства за сигурност могат да бъдат компрометирани, включително чрез измамни схеми, фишинг, зловреден софтуер или т. нар. социално инженерство[1], без платецът реално да е целял или осъзнавал извършването на конкретната платежна операция.

 

Ключовият практически извод от тази линия на тълкуване е, че при спор банката не може да се ограничи до твърдението, че „операцията е минала през правилните идентификатори“. Необходимо е да се установи, че използването на тези средства за сигурност действително отразява волята на платеца и че не е налице неправомерна намеса на трето лице. В противен случай операцията следва да бъде квалифицирана като неразрешена по смисъла на ЗПУПС, което отваря пътя към прилагане на специалния режим по чл. 79 от ЗПУПС и ангажиране на отговорността на доставчика на платежни услуги.

 

                                                                                                                                                               Фактическият състав по чл. 79, ал. 1 ЗПУПС и разпределяне на доказателствена тежест

 

В утвърдената съдебна практика фактическият състав за ангажиране на отговорността на доставчика на платежни услуги по чл. 79, ал. 1 от ЗПУПС се разглежда като последователност от няколко ясно разграничими елемента.

 

На първо място се изследва наличието на валидно облигационно отношение – договор за платежни услуги между страните. След това се установява фактът на извършена платежна операция, за която се твърди, че е неразрешена. Третият ключов елемент е твърдението и/или доказването, че платецът не е давал съгласие за операцията по смисъла на чл. 70 от ЗПУПС. Четвъртият елемент е отрицателна предпоставка – да не е налице някое от предвидените в ЗПУПС специални основания, при които може да се изключи или ограничи отговорността на доставчика на платежни услуги при изпълнението на неразрешена платежна операция - извършване на операцията при измама или груба небрежност на платеца. И на последно място, е задължително платецът да е изпълнил задължението си за своевременно уведомяване на доставчика след узнаване за операцията. При последната предпоставка, макар законът да не поставя възстановяването в зависимост от строги преклузивни срокове, съдебната практика отчита уведомяването като релевантен факт при цялостната преценка на поведението на страните.

 

Решаващият момент в тези съдебни спорове обаче е разпределението на доказателствената тежест, уредено изрично в чл. 78 от ЗПУПС и последователно прилагано от съдилищата. При оспорване на операцията доставчикът на платежни услуги носи тежестта да докаже не само че операцията е технически извършена, но и че е автентична, точно регистрирана и осчетоводена, както и че не е засегната от техническа повреда или друг недостатък на платежната услуга. В редица съдебни актове, изрично се подчертава, че тези елементи не се презюмират в полза на банката, а подлежат на пълно и главно доказване.

 

Също така, в българската съдебна практика е прието, че ако доставчикът на платежни услуги твърди, че платецът е действал измамно или с груба небрежност, именно доставчикът следва да докаже тези обстоятелства. Съдебната практика е последователна, че не е достатъчно абстрактно позоваване на нарушени общи условия или на „неправилно боравене“ с персонализираните средства за сигурност. Необходимо е конкретно и убедително установяване на поведение на платеца, което по своето естество надхвърля обикновената небрежност.

 

В този смисъл съдилищата отхвърлят като недостатъчно защитно твърдението, че платежната операцията е минала през правилните идентификатори, които са били потвърдени от системата на доставчика. Такъв аргумент може да е отправна точка за общия анализ на фактическата обстановка и доказателствения материал в рамките на съответния казус или дело, но не и негов край, нито единствено основание за приемане на заключение. Практиката приема, че именно върху доставчика лежи доказателствената тежест да установи, че използването на идентификаторите действително е израз на волята на титуляра, а не резултат от нерегламентиран достъп или външна намеса от трето лице. При липса на такова доказване съдът квалифицира операцията като неразрешена и прилага пряко последиците на чл. 79, ал. 1 от ЗПУПС.

 

                                                                                                                                                                Доказателствени средства и доказателства при съдебен спор относно отговорност на доставчика на платежни услуги за неразрешени платежни операции

 

Съдебната практика по спорове за неразрешени платежни операции е сравнително единна относно видовете доказателствени средства, използвани в подобен съдебен процес и кои доказателства имат решаващо значение.

 

На първо място, следва да се разгледат вътрешните системни логове на банката – данни за влизане в електронното банкиране, използвани канали, времеви отпечатъци на действията, както и информация за регистрирани устройства и сесии. Към тях се добавят доказателства за SMS/OTP (OTP - One-Time Password) потвърждения, начин на доставяне, времева последователност и връзка с конкретната операция. В редица съдебни решения, се подчертава, че тези данни са отправна точка, но не и самостоятелно достатъчни за извод за „разрешена“ операция.

 

Особено значение следва да се отдаде на времевата линия на събитията – кога е извършена операцията, кога платецът е узнал за нея, кога е подадена рекламация или сигнал и каква е била реакцията на банката. Съдебната практика приема, че бързото уведомяване и последователното поведение на платеца са индикации срещу твърдения за измама или груба небрежност. Липсата на адекватна или своевременна реакция от страна на банката изрично следва да се свърже с извод за неизпълнение на задълженията ѝ по чл. 79 от ЗПУПС.

 

В рамките на съдебния процес се разглеждат и данни за IP адреси, геолокационни данни и нетипични модели на поведение – различно устройство, необичайно местоположение или отклонение от обичайния профил на клиента. Тези данни могат да подкрепят тезата за нерегламентиран достъп, но сами по себе си не са достатъчни за категоричен извод. Именно затова в съдебната практиката последователно се приема, че ключова роля играе назначаването на софтуерно-техническа или компютърна експертиза, която да анализира в съвкупност всички цифрови следи и да отговори на въпроса дали е възможно операцията да е извършена без реалното волеизявление на титуляра.

 

В преобладаващата съдебната практика към настоящия момент, се откроява разбирането, че експертизата не следва да се ограничава до проверка дали „системата работи коректно“, а трябва да даде отговор дали наличните данни позволяват сигурен извод, че именно платецът или надлежно упълномощено лице е наредило операцията. Там, където експертното заключение оставя съмнение или не изключва алтернативни сценарии (напр. компрометирани идентификатори или външна намеса), би следвало да се приеме, че банката не е покрила изискуемия стандарт на доказване.

 

В този тип спорове съдебният подход обичайно надхвърля формалната проверка на представени технически данни и е насочен към тяхната съвкупна оценка с оглед на въпроса дали те позволяват да се направи достатъчно сигурен извод за наличието на действително съгласие от страна на титуляра на платежната сметка. Когато доказателственият материал не изключва разумно възможността операциите да са резултат от нерегламентиран достъп или външна намеса, практиката клони към прилагане на специалния режим по чл. 79 от ЗПУПС, при което рискът от неразрешената операция остава за доставчика на платежни услуги.

 

Изложените по-горе изводи относно разграничението между „разрешени“ и „неразрешени“ платежни операции по чл. 70 от ЗПУПС, принципната отговорност на доставчика на платежни услуги по чл. 79, ал. 1 от ЗПУПС, значението на доказателствената тежест по чл. 78 от ЗПУПС, както и централната роля на техническите доказателства и експертизите, са в пълно съответствие с актуалната практика на Върховния касационен съд. В свое решение – Решение № 139 от 27.08.2024 г. по т. д. № 2767 / 2022 г. на Върховен касационен съд, 2-ро т. о., ВКС изрично потвърждава, че при приложимост на защитния режим на ЗПУПС именно доставчикът на платежни услуги носи доказателствената тежест да установи автентичността на операцията, точното ѝ изпълнение и липсата на измама или груба небрежност от страна на платеца. В този смисъл настоящият анализ отразява последователната и водеща линия в съдебната практика по спорове за неразрешени платежни операции.

 

Същевременно посоченото решение на ВКС въвежда важно разграничение, което следва да бъде отчетено при анализа на подобни казуси. Когато платецът не е „потребител“ по смисъла на ЗПУПС, а търговец, законът допуска, на основание чл. 67, ал. 4 ЗПУПС, с договор или общи условия да бъде дерогиран защитният режим, включително правилата относно доказателствената тежест по чл. 78 ЗПУПС. В такава хипотеза съдът приема, че е приложим общият процесуален принцип на чл. 154 ГПК, при който платецът следва да докаже, че не е наредил плащането по уговорения ред, а не банката – че операцията е автентична. Това не представлява противопоставяне на защитата чрез ЗПУПС, а различна правна рамка, обусловена от качеството на страните, съдържанието на договорните клаузи и изрично разрешеното от закона договорно отклонение.

 


Задължения на банката и на платеца и последиците от забавата по чл. 79 от ЗПУПС

 

При квалифициране на една операция като неразрешена, законът възлага на доставчика на платежни услуги ясно и императивно задължение за поведение. Съгласно чл. 79 от ЗПУПС, банката следва незабавно, а във всеки случай не по-късно от края на следващия работен ден след узнаване или уведомяване, да възстанови стойността на операцията и да върне платежната сметка в състоянието, в което би се намирала, ако операцията не беше извършена. Изключение от това правило е допустимо единствено при наличие на основателни съмнения за измама, като в този случай доставчикът е длъжен да уведоми компетентните органи. Наред с това съдебната практика отчита и задълженията на банката по поддържане на адекватни системи за сигурност, мониторинг и вътрешни процедури за реакция при сигнали за неправомерни операции.

 

От своя страна платецът има насрещни задължения, които също се поставят под съдебна преценка, макар и в рамките на изключенията от принципната защита. Основното от тях е да полага разумни грижи за опазване на персонализираните средства за сигурност, предоставени му от банката – идентификатори, пароли, кодове, устройства. Именно тук се концентрира спорът относно наличието или липсата на груба небрежност. Практиката е последователна, че обикновени пропуски или попадане в измамна схема не са автоматично равнозначни на груба небрежност; необходимо е установяване на поведение, което съществено и явно се отклонява от дължимата грижа.

 

Важен практически въпрос е този за забавата и дължимата законна лихва. В съдебната практика връзката между чл. 79 от ЗПУПС и чл. 86 от ЗЗД се прави пряко: след като законът определя конкретен момент, до който банката е длъжна да възстанови сумата (най-късно до края на следващия работен ден след уведомяването), неизпълнението след този момент се квалифицира като забава по парично задължение. От този момент платецът има основание да претендира законна лихва за забава, без да е необходимо допълнителна покана или доказване на вреди.

 

В този смисъл за пострадалия платец практическите насоки, извлечени от съдебната практика, са относително ясни:

-      своевременно уведомяване на банката;

-      ясно оспорване на операциите като неразрешени и последователно проследяване на реакцията на доставчика.

 

Ако възстановяване не бъде извършено в предвидения от закона срок, спорът вече не е само за главницата, а обхваща и обезщетението за забава по чл. 86 ЗЗД. Така специалният режим на ЗПУПС и общите правила на облигационното право се допълват, като осигуряват цялостна защита на платеца при неразрешени платежни операции.

 

 

 

Анализирани относими съдебни актове:

 

-      Решение № 22350 от 05.12.2025 г. по гр. д. № 55253/2023 на Софийски районен съд, 75 състав;

-      Решение № 2732 от 05.05.2025 г. по в. гр. д. № 11497 / 2023 г. на Софийски градски съд;

-      Решение № 778 от 07.02.2025 г. по в. гр. д. № 9941 / 2024 г. на Софийски градски съд;

-      Определение № 315 от 01.03.2023 г. по гр. д. № 3559 / 2022 г. на Върховен касационен съд, 4-то гр. отделение;

-      Определение № 1957 от 11.07.2024 г. по т. д. № 2456 / 2022 г. на Върховен касационен съд, 1-во тър. отделение.

-      Решение № 139 от 27.08.2024 г. по т. д. № 2767 / 2022 г. на Върховен касационен съд, II тър. отделение;

 

 

 

 

 


[1] Социалното инженерство е стратегия, използвана от отделни лица или групи за манипулиране и заблуда на хората, така че да разкриват чувствителна информация или да извършват действия, които застрашават тяхната сигурност. То се основава по-скоро на психологията и човешкото поведение, отколкото на техническо ноу-хау (https://www.consilium.europa.eu/bg/policies/cybersecurity-social-engineering/#engineering)

 
 
 

Коментари

bottom of page