Кога банката няма да ви върне парите от източена сметка

Все по-често потребителите стават жертва на фишинга - умела форма на киберизмама, при която извършителят се маскира като доверен субект - обикновено собствената ви банка, но нерядко и куриер, държавна институция или добре познат търговец, коментира в правния си анализ адвокат Мартин Костов от кантора „Имаш право“, цитира Парите ни.
„Чрез привидно автентични имейли, кратки съобщения, чат кореспонденции или прецизно копирани уеб страници, фишингът подтиква към споделяне на персонализирани защитни характеристики: потребителски имена, пароли, еднократни кодове, данни от платежни карти. Тази атака разчита на скорост, психологически натиск и минимални визуални различия - домейн с една променена буква, логотип, който е неразличим за невъоръжено око, тон и стил на комуникация, достатъчно близки до тези на истинската банка. Правният резултат от подобно подвеждане често е осъществяване на неразрешени платежни операции: пари напускат сметката ви, без вие действително да сте формирали воля да ги преведете на посочения получател. Тук е съществената граница между „техническа“ валидност - системата е регистрирала въвеждане на код - и правната валидност - липсва съгласие за самата транзакция“, допълва адвокат Костов.
 
Нормативната рамка 

Кога операцията е „неразрешена“ и какво следва от това?
Законът за платежните услуги и платежните системи (ЗПУПС) изрично изисква по чл. 70, ал. 1 наличието на съгласие на платеца - т.е. на вас, - за да се приеме, че дадена операция е разрешена; при липса на такова съгласие операцията е неразрешена и задейства защитни механизми в полза на клиента. Именно тук попадат транзакциите, реализирани след фишинг измама: макар процесът да изглежда „коректно удостоверен“ от гледна точка на системата (въведен е код, получен е пуш известие), реална воля за извършване на съответния превод не е съществувала. Затова по чл. 79, ал.1 ЗПУПС банката е длъжна да възстанови незабавно сумата на неразрешената операция, освен ако докаже, че клиентът е действал измамно или поне с такава степен на небрежност, която правото квалифицира като „груба“. Ключов е и чл. 78, ал. 4: самото регистриране на употреба на платежен инструмент или на правилно въведен еднократен код не е достатъчно доказателство нито за валидно съгласие, нито за измамно или грубо небрежно поведение от страна на платеца; необходимо е по-дълбоко, контекстно и технически конкретизирано изследване.

Две хипотези - два режима на разпределяне на риска
 
При фишинга правният фокус стои върху липсата на съгласие за конкретното плащане: клиентът може да е въвел код, но го е направил в заблуда относно самоличността на насрещната страна, целта и параметрите на операцията; следователно операцията е неразрешена и се възстановява, ако банката не докаже измама или груба небрежност.
Различна е логиката при неправомерно използване на платежен инструмент - например изгубена или открадната карта, клонирана карта, SIM-swap или компрометирано устройство, при което трето лице фактически упражнява контрол върху инструмента. В тази втора хипотеза законът временно възлага на клиента ограничена отговорност до законов лимит за операциите, извършени преди надлежното уведомяване на банката, която отговорност в момента е законово определена на 100 лева, като от момента на уведомяването всички по-нататъшни щети са за сметка на банката. И в двата режима условието „без неоправдано забавяне“ за подаване на сигнал е общо, а краен срок за възражение е 13 месеца от дебитирането.
 
Силна клиентска автентикация (SCA) 

Това е защита, която не отменя анализа на съгласието. Изискването за силна клиентска автентикация предполага комбиниране на два независими фактора - знание (парола/PIN), притежание (телефон/приложение/токен) и характеристика (биометрия). В картовите плащания това обичайно се реализира чрез 3-D Secure. Тук обаче е важно разбирането, че успешното преминаване през SCA е необходимо, но не и достатъчно условие за заключение, че операцията е „разрешена“. Именно при фишинговите сценарии често се случва въвеждането на кода „в реално време“ в заблуда, докато атакуващият го използва мигновено към истинския платежен процес; затова банката трябва да докаже не просто, че е имало въвеждане на код, а че процесът на удостоверяване - с оглед устройство, IP, поведенчески профил, налични аларми и известия към клиента - действително сочи на валидно съгласие за конкретната транзакция, а не на умело манипулирана идентификация.
 
Балансът на задълженията клиент-банка
 
Клиентът, от своя страна, има позитивни задължения по чл. 75 ЗПУПС да използва платежния инструмент съгласно условията, да пази персонализираните защитни характеристики и да уведоми банката незабавно при загуба, кражба, присвояване или всяко съмнение за неправомерно ползване. Това не е формална препоръка, а конкретен стандарт на поведение, без който техническият и правният риск е трудно управляем: колкото по-бързо бъде подаден сигнал, толкова по-реалистична е възможността за блокиране на достъпа и ограничаване на щетите.
Паралелно с това в тежест на банката са възложени сериозни организационни и технически задължения - да осигури двуфакторна автентикация, антифрод механизми, онлайн и поведенчески мониторинг, да поддържа 24/7 канали за блокиране, да реагира при аномалии (необичаен IP, ново устройство, първи превод към непознат бенефициент, необичаен размер или валута) чрез временно спиране и допълнително удостоверяване, както и да комуникира ясно с клиента, че никога не изисква пароли и кодове по телефон, имейл или чат. Този баланс - бърза реакция от клиента и активна превенция от банката - е гръбнакът на системата за защита, предотвратяване на злоупотреби и ограничаване на неприятните последици от вече настъпили злоупотреби.
 
Възстановяване на суми, тежест на доказване и срокове
 
Законът е категоричен: при неразрешена операция банката възстановява незабавно сумата (чл. 79, ал. 1 ЗПУПС), освен ако има основателни основания да подозира измама от страна на клиента и уведомява компетентните органи. При спор тежестта за доказване на валидно съгласие - или при липса на такова, на измамно или грубо небрежно поведение - лежи върху банката (чл. 78, ал. 4). Ограничената отговорност на клиента при неправомерно използване преди уведомяване понастоящем е до 100 лева, а след 01.01.2026 г.- до 50 евро; това ограничение отпада, ако се установи измама или груба небрежност от страна на платеца. Отделно, законът разграничава неотменимостта на платежните нареждания (чл. 85): след като преводът е достигнал стадий, в който не може да бъде спрян по общо правило, неизпълнението на банката да реагира навреме при налична техническа възможност за спиране би могло да формира собствена отговорност.
 
„Груба небрежност“ 

Понятието „груба небрежност“ няма легална дефиниция в ЗПУПС, поради което съдилищата прилагат общия гражданскоправен стандарт: това е такава степен на пренебрегване на минималната грижа, която и най-невнимателният човек би положил. В контекста на електронното банкиране и използването на платежни инструменти това означава не просто грешка под измама, а системно игнориране на елементарните правила за сигурност - диктуване на кодове по телефон, пренебрегване на очевидни предупреждения в SMS/приложение за получател и сума, записване на PIN върху карта или в бележка на телефона, предоставяне на отдалечен достъп до устройството, през което се банкира.

Как да действате на практика 

Това е хронологията, която спасява доказателства и права. При първи признак на нередност - непознат SMS за код, известие за операция, която не сте инициирали, или внезапна липса на средства - трябва незабавно да блокирате картата или достъпа през приложението или денонощния телефон на банката, и едновременно с това да подадете писмено оспорване през интернет банкирането или официалния канал на банката, описвайки накратко момента, каналa, сумата, валутата и наличния бенефициент, и изрично заявявайки, че не сте разрешавали операцията; изискайте входящ номер. След това запазете всички доказателства: имейли, съобщения, сайтове, push известия, SMS-и, лог от обажданията, и регистрирайте сигнал в МВР/киберпрестъпления - номерът на преписката улеснява последващата комуникация. В кратък срок поискайте от банката пълна техническа справка: използвани фактори за SCA, устройство и IP, поведенчески индикатори, данни от 3-D Secure, налични риск аларми и предприети действия. Ако банката се забави или отказва възстановяване с общи формулировки от типа „въведен е OTP“, на свой ред настоявайте за мотивиран отговор с конкретика. При значителни суми или продължителен отказ е оправдано да се пристъпи към помирителни или съдебни механизми с професионална правна помощ.

(Продължава в следващия брой)