С развитието на интернет технологиите и постояния ръст на извършването на безкасови плащания все по-голямо значение придобива и защитата на платците при неоторизирани транзакции. Настоящата статия има за цел да даде кратък очерк на правната рамка на защитата срещу неразрешени плащания в българското законодателство.
Уредбата на платежните операции в България е адаптирана изцяло към законодателната рамка на Европейския съюз. Още с приетия през 2009 г. Закона за платежните услуги и платенжните системи (ЗПУПС) и НАРЕДБА № 3 от 16.07.2009 г. за условията и реда за изпълнение на платежни операции и за използване на платежни инструменти се транспонираха правилата на множество ервопейски директиви, регулиращи тази материя. Именно поради тази синхронизация приемането на изцяло новата Директива (ЕС) 2015/2366 за създаване на хармонизирана правна рамки на пазарите на платежни услуги в Европейската общност, и на единна зона за плащания в евро (Single Euro Payment Areа - SEPA), наложи транспонирането й у нас чрез приемане на нов Закон за платежните услуги и платежните системи през 2018 г., действащ и до днес. С него се допълни вида и броя на регулираните платежни услуги, въведоха се изисквания за лицензиране на платежни институции и дружества за електронни пари, очертаха се правата и задълженията на доставчиците на платежни услуги, контрола върху сигурността и сътрудничеството на органите за осъществяването му.
Във връзка с преодоляването на част от рисковете, които платежните системи носят, най-важна от практическа гледна точка обаче остана отговорността при неразрешена платежна операция и защитата на потребителя на услугата. Настоящата статия ще се съсредоточи върху правния режим на отношенията на доставчиците на платежни услуги с потребители, доколкото законът предвижда различия в режима в отношенията им с ползватели, които не са потребители.
В чл. 4 ЗПУПС са изведени следните платежни операции, чието изпълнение представлява платежна услуга:
Чл. 4. Платежни услуги са:
- услуги, свързани с внасянето на пари в наличност по платежна сметка, както и свързаните с това операции по обслужване на платежна сметка;
- услуги, свързани с теглене на пари в наличност от платежна сметка, както и свързаните с това операции по обслужване на платежна сметка;
- изпълнение на платежни операции, включително прехвърляне на средства по платежна сметка на ползвателя при доставчика на платежни услуги или при друг доставчик на платежни услуги:
а) изпълнение на директни дебити, включително еднократни директни дебити;
б) изпълнение на платежни операции чрез платежни карти или други подобни инструменти;
в) изпълнение на кредитни преводи, включително нареждания за периодични преводи;
- изпълнение на платежни операции, когато средствата са част от отпуснат на ползвателя на платежни услуги кредит:
а) изпълнение на директни дебити, включително еднократни директни дебити;
б) изпълнение на платежни операции чрез платежни карти или други подобни инструменти;
в) изпълнение на кредитни преводи, включително нареждания за периодични преводи;
- издаване на платежни инструменти и/или приемане на плащания с платежни инструменти;
- изпълнение на налични парични преводи;
- услуги по иницииране на плащане;
- услуги по предоставяне на информация за сметка.
В сравнение с уредбата в закона от 2009 г., освен разширяване на териториалния обхват на платежните услуги, отчитайки развитието в сферата на дигиталните разплащания, са въведени и нови алтернативни начини за онлайн разплащане. Ето защо регулативните изисквания спрямо тях, в частност касаещи изпълнението на платежни операции, както и новите изисквания по отношение на сигурността на платежния процес и по-конкретно на изискването за задълбочено установяване на идентичността на клиента при електронни платежни операции, свързано с отговорността при изпълнението им, са ключова тема с все по-голямо практическо приложение. Поради обстоятелството, че в наши дни ежедневно извършваме разплащания по електронен път, което увеличава опитите за хакерски атаки, фишинг и съмнителни транзакции, е почти изключено да нямаме досег с «неразрешена платежна операция».
II. Неразрешена платежна операция. Отговорност
Както в старата уредба (чл. 51, ал. 1 от ЗПУПС – отм.), така и в действащия закон (чл. 70, ал. 1 от ЗПУПС), легалната дефиниция на понятието «неразрешена платежна операция» е сходна. За извършването на платежна операция е винаги и задължително необходимо съгласието на платеца, в противен случай последната е неразрешена. Възможно е съгласието да се даде както преди, така и след извършването на операцията.
За неразрешена платежна операция законът предвижда, че рискът е у доставчика на платежни услуги - това е общото правило, което извежда чл. 79 от ЗПУПС, което кореспондира с логиката на безкасовия разплащателен оборот - законодателят приема, че в тежест на доставчика на платежни услуги е, на първо място, да осигури система/алгоритъм/набор от технически средства, които да гарантират винаги наличието на съгласие у платеца, и на второ място - да понесе риска от една неправомерна намеса в отношенията му с платеца от страна на трето лице, което е извършило неразрешената операция. С действащата нормативна уредба доставчикът на платежни услуги е поставен в по-неблагоприятно положение, но той е икономически по-силната страна. Това разместване на риска е изцяло оправдано с оглед икономическите характеристики на отношенията в рамките на платежната система и доминиращите такива на доставчика на платежни услуги.
В случай на неразрешена платежна операция доставчикът на платежни услуги възстановява незабавно на платеца стойността на неразрешената платежна операция и то във всеки случай не по-късно от края на следващия работен ден, след като е забелязал или е бил уведомен за операцията. Изключение е налице само когато доставчикът на платежни услуги на платеца има основателни съмнения за измама и уведоми съответните компетентни органи за това. Когато е необходимо, доставчикът на платежни услуги на платеца възстановява платежната сметка на платеца в състоянието, в което тя би се намирала, ако не беше изпълнена неразрешената платежна операция. Вальорът за заверяване на платежната сметка на платеца е не по-късно от датата, на която сметката е била задължена със сумата на неразрешената платежна операция.
При това законодателният ред облекчава платеца по отношение на доказването. Законът разпорежда, че доставчикът на платежната услуга носи доказателствената тежест при установяване автентичността на платежната операция, нейното точно регистриране, осчетоводяването, както и за това, че операцията не е засегната от техническа повреда или друг недостатък в услугата, представена от доставчика на платежната услуга.
Въведена е процедура по установяване на идентичността, която позволява на доставчика на платежна услуга да провери правомерното използване на конкретен платежен инструмент, включително неговите персонализирани защитни характеристики. Използването на конкретен платежен инструмент се определя от правилата и процедурите на доставчика на платежни услуги по изпълнение на съответната платежна операция. Не само това, но регистрираното от доставчика на платежни услуги използване на платежен инструмент не е достатъчно доказателство, че платежната операция е била разрешена от платеца или че платецът е действал чрез измама, или че умишлено или при груба небрежност не е изпълнил някое от задълженията си по чл. 75 на ЗПУПС.
Именно с цел избягването на превратното упражняване на правата по чл. 79 законодателят е въвел, от една страна, и изисквания за поведението на ползвателя на платежните услуги в чл. 75 на закона:
- да използва платежния инструмент в съответствие с условията за неговото издаване и използване (например изискванията ПИН код да не се съхранява на едно и също място с пластиката на картовия платежен инструмент), като те трябва да са обективни, недискриминационни и пропорцинални;
- да уведомява доставчика на платежни услуги или упълномощено от него лице за загубване, кражба, присвояване или неразрешена употреба на платежния инструмент незабавно след узнаването;
- след получаване на платежния инструмент да предприеме всички разумни действия за запазване на неговите персонализирани средства за сигурност, включително да не записва каквато и да е информация за тези средства за сигурност върху платежния инструмент и да не съхранява такава информация заедно с платежния инструмент.
Тези задължения са очертани съвсем основно, като от платеца се иска полагане на минималната дължима грижа на добрия стопанин. Така например съдебната практика отхвърля като проявления на груба небрежност от страна на платеца действия на защита в широк кръг - като паролата за достъп да не е била променяна регулярно, да не е актуализиран програмния продукт, представляващ антивирусна програма, и др. – Друг пример е в Решение № 6067 от 7.08.2013 г. в. гр. д. № 4647/2012 г., на Софийски градски съд, според който не могат в договорните условия по предоставяне и използване на платежни инструменти (примерно ОУ на банката), да се предвиждат други правила, водещи до увеличаването на доказателствената тежест на потребителя или до намаляване на доказателствената тежест за издателя. Засилено изискване се поставя към доставчика на платежни услуги, който в случай, че системата му не е достатъчно сигурна, следва да уведомява клиентите чрез публикуване на съобщения с цел предупреждения към потребителите, както и препоръки определени действия. Платецът също така не може да бъде отговорен, когато персоналните характеристики на инструмента му са ползвани в резултат на престъпна дейност, на която той е станал жертва и срещу която не разполага със специални знания и умения, за да се защити или предпази.
От друга страна, тази отговорност за доставчика и респективно освобождаване от същата за платеца, разбира се, не е всеобхватна. Чл. 80 ЗПУПС предвижда, че доставчикът на платежните услуги се екскулпира от отговорността да възстанови средствата по неразрешената платежна операция в няколко хипотези. За разлика от стария текст на чл. 58 ЗПУПС (отм.), в който максималния размер на отговорността бе определен на 300 лв., според новия текст платецът може да понесе загубите, свързани с всички неразрешени платежни операции, произтичащи от използването на изгубен, откраднат или незаконно присвоен платежен инструмент, до максимален размер, договорен между доставчика на платежни услуги и ползвателя, но не повече от 100 лв.
Въведената отговорност на платеца за неразрешени платежни операции се отнася до хипотези, в които загубата, кражбата или незаконното присвояване на платежния инструмент не са могли да бъдат установени от платеца преди плащането, освен когато платецът е действал с цел измама, или ако вредата е била причинена от действие или бездействие на служител, на представител или на клон на доставчика на платежни услуги или на подизпълнителя.
Във всички случаи обаче платецът понася всички загуби, свързани с неразрешени платежни операции, когато ги е причинил чрез измама или с неизпълнението на едно или повече от задълженията си по чл. 75 умишлено или поради груба небрежност. В тези случаи платецът понася вредите независимо от размера им.
Когато доставчикът на платежни услуги на платеца не изисква задълбочено установяване на идентичността на клиента, платецът не понася загуби, освен когато е действал с цел измама. Когато получателят или доставчикът на платежни услуги на получателя не успее да приеме задълбоченото установяване на идентичността на клиента, той възстановява имуществените вреди, причинени на доставчика на платежни услуги на платеца.
След уведомяването по реда на чл. 75, т. 2 от Закона платецът не понася никакви имуществени вреди, произтичащи от използването на изгубен, откраднат или незаконно присвоен платежен инструмент, с изключение на случаите, когато платецът е действал чрез измама.
Друг важен момент, в който платецът се освобождава от отговорност, е когато доставчикът на платежни услуги не осигури подходящи начини за уведомление по всяко време за изгубен, откраднат или незаконно присвоен платежен инструмент. Тогава платецът не носи отговорност за имуществените вреди, произтичащи от използването на този платежен инструмент, с изключение на случаите, когато платецът е действал чрез измама.
III. Реализиране на отговорността
Какво дължи доставчикът на платежни услуги? По българското законодателство той е длъжен в рамките на 21 дни да разгледа искането на платеца за възстановяване на сумата след процедурата, уредена в чл. 78 на ЗПУПС. Тази процедура разпорежда на доставчика да установи автентичността на операцията. След изтичането на тези 21 дни вземането на платеца срещу доставчика става изисискуемо, ако са изпълнени изискванията на чл. 78 и не е налице някое от правоизключващите основания по чл. 80 - тоест, от този момент ще се дължи и лихва върху сумата, а не от момента на извършването на неоторизираната операция.
Доставчикът на платежни услуги коригира неразрешената или неточно извършена платежната операция само ако ползвателят на платежни услуги го е уведомил без неоснователно забавяне, след като е узнал за неразрешената или неточно изпълнената платежна операция, но не по-късно от 13 месеца от датата на задължаване на сметката му.
Принципът, възприет от закона за обезщетяване на картодържателя, не е ограничен от вида и начина на разплащането с кредитна карта - чрез терминал, банкомат или чрез интернет. Когато се касае до платежна операция, извършена чрез интернет, тя е извършена чрез неправомерно осъществен достъп до индивидуализиращите данни, ако картодържателят е проявил небрежност при защитата им. Тъй като по общите правила на доказването чл. 154, ал. 1 ГПК всяка страна е длъжна в процеса да установи фактите, от които черпи благоприятни за себе си последици, в тежест на платеца би било да ангажира категорични доказателства относно твърденията си за проявена небрежност на платеца при използване на платежния инструмент, както и че в конкретния случай същият е допуснал някое от посочените нарушения, при които отговорността на доставчика се намалява или изобщо не възниква.
Законът е въвел и алтернативна процедура – помирително производство, която, без да е свързана с разноски за потребителя на услугата, предоставя възможност за него да разреши спор с доставчика на платежни услуги извънсъдебно. (вкл. и касаещ неразрешена платежна операция). Производството пред помирителната комисия не е задължителна предпоставка за предявяване на иск в съда. осъществява се чрез подаване на жалба пред Помирителната комисия за платежни спорове – независим орган към комисия за защита на потребителите.
Следва да се подчертае, че механизмът, предоставен на ползвателите на платежни услуги в България от ЗПУПС, се стреми да гарантира правата на последните. Дори и доставчикът на платежни услуги да откаже възстановяване на сумата по реда на чл. 79 и в рамките на законоустановения срок, то искът по чл. 79 е ефективен метод за възстановяване на платените суми. Предвид честите случаи на злоупотреби с лични данни, достъпността на онлйан транзацкиите, както и множеството средства за заблуда на потребителите във виртуалното пространство, се надяваме, че тази статия, която накратко представя една доста обширна и силно актуално проблематика, ще засили интереса на потребителите към техните права по повод безкасовите плащания и ще ги окуражи да защитават интересите в отношенията си с доставчиците на платежни услуги, независимо от предвидените рестриктивни уговорки в общите условия или рамковите договори на последните, както и че ще повиши вниманието на потребителите, използващи платежни услуги в България.