Тежест и стандарт на доказване при отговорност за неразрешени платежни операции
Авторът
Димо Господинов е адвокат в София. Сертифициран експерт по защита на данните в ЕС (CIPP/E) и управление на системи за защита на данните (CIPM), както и Fellow of Information Privacy (FIP) към Международната асоциация на професионалистите в областта на личните данни (IAPP).
Проявява задълбочен интерес към използването на информационни технологии в правото и по-специално – като доказателства в гражданския процес. Докторант по право на ЕС към СУ „Св. Климент Охридски“, изследовател на процеса на доказване в сферата на Цифровия единен пазар.
Извършването на платежна операция е вид финансова услуга, която е съществена част от ежедневието на всеки модерен човек. Дейността на доставчиците на платежни услуги (ДПУ) в изпълнение на нарежданията на техните клиенти (платци) за теглене, внасяне или превеждане на парични средства е изпълнена обаче с редица рискове. Извършването на тези операции от дистанция и в електронна среда поражда допълнителен слой опасности. Системите на ДПУ, въпреки всички усилия, които се полагат за тяхната сигурност, не са непробиваеми и вероятността да бъдат изпълнени нареждания, които не са дадени от титуляра на една платежна сметка, все още е значителна.
Тези рискове са взети предвид в правото на ЕС. Финансовите услуги са част от общия пазар на ЕС и в това си качество също подлежат на мерки за защита на потребителите[1]. Тази материя е регулирана от редица общностни актове в областта на потребителските кредити[2], пазарите на финансови инструменти[3], пенсионните продукти[4] и др. Въпросите свързани с неоторизираните транзакции са уредени от Директивата PSD2[5][6], една от чиито основни цели е високо ниво на защита на потребителите при използването на платежни услуги в Съюза[7]. В България Директивата е транспонирана чрез Закона за платежните услуги и платежните системи (ЗПУПС)[8], но предмет на интерес в настоящата статия е автономното разбиране на проблема в общностното право, поради което ще реферирам директно към PSD2 и другите източници на правото на ЕС.
Съгласно чл.73 вр. чл. 74 от PSD2[9], ДПУ носят отговорност за всяка оспорена платежна операция[10], освен ако неизпълнението се дължи на измама, умисъл или груба небрежност от страна на платеца. Съответно, за да се освободят, доставчикът или инициаторът на платежната услуга следва да докажат, че транзакцията е била разрешена или плод на виновното поведение на платеца – чл.72 PSD2. Така както са формулирани тези правила пораждат въпроси свързани с тежестта на доказване по отношение факта на правилното изпълнение на транзакцията – кой какво трябва да докаже и налице ли е обръщане, или не? Също така стои и въпросът за стандарта на доказване – колко и какви доказателства трябва да се представят, за да се приеме спорният факт за доказан?
Твърдя, че в Директивата PSD2 законодателят осъществява своята политика като предвижда засилена отговорност на доставчиците на платежни услуги чрез различни инструменти. По-конкретно, при отговорността за неразрешени платежни операции не е налице обърната тежест на доказване, но тя все пак е утежнена със специфичен, строг стандарт на доказване. Интересите на потребителите и тези на финансовата система като цяло са защитени още от завишена дължима грижа, която се очаква от ДПУ, както и ограничения в обхвата на възражението за съпричиняване.
За да докажа тезата си първо ще разгледам фактическия състав на гражданската отговорност за неразрешени транзакции, съгласно PSD2, след това ще анализирам правилата за доказване.
I. Фактически състав
Съгласно чл.73, пар.1 PSD2, доставчикът на платежни услуги[11] е длъжен да възстанови сумите по неразрешена платежна операция[12] в срок не по-късно от 1 ден след надлежно уведомяване от платеца, освен ако не докаже, че тя е всъщност разрешена или ако подозира измама. Вредите от възстановения неоторизиран превод остават за сметка на ДПУ, освен ако не докаже, че неразрешената платежна операция е причинена от платеца с цел измама, както и при неизпълнение при умисъл или груба небрежност на задълженията му за боравене с платежни инструменти и персонализирани средства за сигурност – чл.74, пар.1, ал.3 вр. чл.69 PSD2.
1. Уведомление за неразрешеното плащане
Уведомяването на ДПУ е единственото, което се изисква от платеца, за да възникне правото му да иска възстановяване на сумите по неоторизираната транзакция[13]. Уведомлението трябва да стане без необосновано забавяне след узнаване, но не по-късно от 13 месеца след датата на задължаване на сметката – чл.79, пар.1 PSD2. Срокът е преклузивен и след неговото изтичане правото да се иска възстановяване на сумата се погасява[14].
При надлежно уведомяване, за ДПУ възникват две възможности: или доказва, че операцията е била разрешена, съгласно изискванията на чл.72 и по начина уговорен в договора с платеца, или поема отговорността си, която в общия случай представлява възстановяване на сумата по операцията[15]. В следващите точки ще разгледам защитата на ДПУ, която на практика винаги присъства, за да се стигне до съд, и се явява негативна предпоставка за уважаването на иска на платеца.
2. Разрешаване на операцията
Съгласно чл.64, пар.1 вр. пар.2 от PSD2, една операция е разрешена тогава, когато платецът е дал съгласието си за нея по уговорения между страните в договора начин. Разрешението може да се даде на теория лично и присъствено от платеца, но почти винаги става посредством платежен инструмент[16]. Това включва както, например, мобилните приложения за разплащания, така и писмени платежни нареждания. Съгласно чл.72, пар.1 PSD2, ДПУ може да докаже, че платежната операция е разрешена, ако демонстрира, че тя е с установена идентичност и че е изпълнена правилно[17].
2.1. Установяване на идентичност
ДПУ трябва да докаже, че е установил идентичността на платежната операция[18]. Понятието е дефинирано като процедура свързана с проверката на самоличността на платеца или валидността на използвания платежен инструмент, доказването обхваща прилагането на процедурата и нейния положителен резултат. Почти всички неразрешени плащания са резултат от неоторизирани платежни инструменти[19]. Следователно в най-честия случай проверката на тяхната валидност, включително използването на персонализираните средства за сигурност[20] към тях, ще изчерпва установяването на идентичността на платежната операция и тя обикновено ще може да се счита за разрешена[21].
ДПУ може да възприеме процедура за задълбочено установяване на идентичност[22], чийто най-чест пример е т.нар. двуфакторна автентикация (2FA)[23]. В хипотезите на платежни операции в дигитална среда, подобни засилени мерки за сигурност са или задължителни (чл.97, пар. 1 PSD2), или поне препоръчителни[24]. Така, ако ДПУ е възприел задълбочено установяване, той трябва да докаже прилагането на съответната усложнена процедура и положителния резултат от нея.
2.2. Правилно изпълнена операция
Когато идентичността на платеца или платежния инструмент са установени, то ДПУ трябва докаже, че платежното нареждане, което е дадено с тях, е изпълнено правилно. Това означава то да е точно регистрирано, осчетоводено и операцията да не е засегната от техническа неизправност или друг пропуск в услугата – чл.72, пар.1 PSD2. Ако платежната операция е разрешена, но не е изпълнена правилно, то тогава е налице отговорност за неточно изпълнение – чл.89 PSD2. Ако тя не е била разрешена, правилното изпълнение, разбира се, не ѝ помага, съответно ДПУ трябва да възстанови сумата, освен ако не подозира измама и е съобщил на компетентните органи за това.
3. Освобождаващи обстоятелства
Ако ДПУ не може да докаже, че платежната операция е била разрешена, то принципът е, че той възстановява веднага сумата по нея и едва след това може да предявява претенции към платеца, ако счита, че отговорността за грешката е негова – чл.73, пар.1[25]. В такива случаи ДПУ може да се освободи изцяло от отговорност, само ако докаже, че платецът е действал с намерение измама или не е изпълнил едно или повече от своите задължения по чл.69 PSD2 умишлено или поради груба небрежност[26].
II. Тежест на доказване
Както видяхме, за да се реализира отговорността, за платеца е достатъчно само да твърди неизпълнение, няма нужда да го доказва. Обратно, ДПУ трябва да докаже, че транзакцията всъщност е била надлежно разрешена (чл.72, пар.1 PSD2) или, че тя не е изпълнена правилно поради причина, която се дължи на поведението на ползвателя (чл.72, пар.2 вр. чл.74 PSD2). Дали тези правила представляват някакви отклонения от тежестта на доказване и каква е политиката на законодателя зад тях? [27]
1. Общото правило за отговорността на доставчиците на платежни услуги
За да се отговори на въпроса дали е налице обръщане на тежестта на доказване, трябва първо да се анализира какво би било общото правило и да се направи съпоставка с отговорността по PSD2.
Анализът на разпоредбите на директивата дава възможност да се определи, че по силата на договора за платежна услуга, платецът възлага на ДПУ да извърши операция по внасяне, прехвърляне или теглене на негови средства по негова платежна сметка[28]. Този договор притежава общите характеристики на договора за услуга, при който изпълнителят поема задължение да изпълни на възложителя услуга срещу заплащане[29]. Клиентът може да предостави необходимите за работата материали, както и да дава указания на изпълнителя в рамките на договора[30]. Последният е задължен да достави договорения краен резултат със съответната очаквана от него дължима грижа[31]. Ако резултатът не бъде достигнат, без изпълнителят да има оправдание за това, възложителят носи всички искове, включително за връщане на сумата при парично задължение[32].
В хипотезата на платежната услуга по PSD2, ДПУ може да има различни задължения, в зависимост от договора, но в повечето случаи те трябва да включват поддържане на платежна сметка и изпълняване на платежни операции по нареждане на платеца[33]. В този смисъл, уведомлението за неразрешено плащане е твърдение на една от страните, че дължимият резултат – опазване на средствата в сметката и изпълнение на платежна операция единствено по съгласие на платеца – чл.64, пар.1 PSD2, не е постигнат и договорът е нарушен. В общия случай на договора за услуга от възложителят не се изисква нищо повече, а изпълнителят е този, който трябва да докаже, че е изпълнил задължението си със съответната дължима грижа.
2. Доказване на разрешение за операцията
Въз основа на горното може да се заключи, че в хипотезата на чл.72, пар.1 PSD2 не е налице отклонение от тежестта на доказване[34]. Съответните правила следва да се разбират като указващи дължимата грижа, която ДПУ трябва да демонстрира, за да се приеме, че е изпълнил задължението си по договора с платеца. При установяване на автентичността на платежния инструмент от ДПУ се очакват такива усилия, които са от естеството си да изключат всякакви съмнения, че той е манипулиран. Това положение произтича от високата защита на ползвателите на платежни услуги, особено когато са потребители[35]. ДПУ е стимулиран да въвежда по-тежки процедури за установяване на автентичността на платежните инструменти под страх от засилена отговорност[36].
3. Доказване на умисъл и груба небрежност
По отношение задължението на ДПУ да докаже, че неразрешената транзакция е причинена виновно от платеца също не се вижда отклонение от общите правила. Съгласно принципа за съпричиняване на вредите, задължената страна може да се освободи от отговорността си за тези вреди, които са резултат от поведението на правоимащата страна[37]. В случая на PSD2 платецът може да е допринесъл частично или изцяло за неоторизираната операция, което съответно намалява задължението на ДПУ[38].
Следователно, при един евентуален процес ДПУ може да отправи възражение за съпричиняване и ще трябва да го доказва, тъй като черпи права от него[39]. Всъщност, ако има някакво отклонение в случая, то е в невъзможността за освобождаване, ако неизпълнението е причинено от платеца, поради непредпазливост. Той трябва да е да е действал при умисъл или да е проявил груба небрежност[40].
В заключение може да се каже, че, преследвайки по-добра защита на потребителите и доверие във финансовата система във вътрешния пазар, законодателят е предвидил много тежка отговорност за ДПУ по отношение на неразрешените платежни операции[41]. Това обаче се постига не толкова чрез инструментариума на отклоненията от тежестта на доказване, а чрез завишаване на дължимата грижа и ограничаване на отговорността на платеца за съпричиняване. Както и чрез утежняване на стандарта на доказване.
III. Стандарт на доказване
В синхрон с политиката на ЕС за по-строга отговорност, в чл.72, пар.2 PSD2 се съдържат правила, които утежняват и стандарта на доказване във вреда на доставчиците. От друга страна, обаче, анализът на съдебната практика по приложение на директивата (включително предходната PSD) показва, че, преди всичко, практически съображения налагат известно облекчаване на изискванията пред ДПУ, който има много тежка доказателствена задача. Ще разгледам изискванията, свързани със стандарта на доказване, като ги групирам по основните факти, които е в тежест на ДПУ да установи.
1. Доказване на разрешена платежна операция
1.1. Утежняване на стандарта на доказване
Чл.72, пар.2 PSD2 е класически пример за утежняване на стандарта на доказване по силата на закона. Тази разпоредба директно интервенира в процеса на оценка на доказателствата като обявява използването на платежния инструмент, регистриран от ДПУ, за недостатъчно доказателство по отношение на освобождаващите доставчика факти. Доказването на разрешената платежна операция на практика се изчерпва с установяването на идентичността ѝ по смисъла на т.29 от чл.4 на PSD2[42]. Следователно това няма как да се опира само на факта на използване на платежния инструмент, договорен между страните като средство за разрешаване на нареждане.
Така, ако платецът твърди, че, например, някой друг извършва плащания с неговата банкова карта, не е достатъчно ДПУ да изтъкне, че при операцията са използвани данните на картата, включително CVV номера[43]. Видно от решението на Съда по делото УА срещу Юробанк България[44], не е съответно на изискваната висока дължима грижа доставчикът да се задоволи само с формална проверка за наличие на договорения инструмент. Той трябва да събере и други доказателства, с които да се увери, че именно платецът стои зад операцията (чл.72, пар.2, изр. посл.). За щастие съвременните цифрови технологии позволяват събирането на различни данни, които да свършат тази задача, като материята е в голяма степен стандартизирана[45]. Възможните средства са, неизчерпателно:
- Мултифакторна автентикация чрез еднократна парола (OTP), която се изпраща на устройство на платеца и се използва за допълнително доказателство за идентичност
- Биометрична автентикация, например, чрез отпечатък, който остава на устройството, но ДПУ получава лог, че има съвпадение с отпечатъка на платеца.
- Чрез геолокация могат да се засекат и откажат операции, които се извършват извън обичайното местопребиваване на платеца, докато не се извърши допълнителна автентикация.
- История на операциите, която показва дали платецът вече веднъж е извършвал транзакция към този акаунт и др.
1.2. Възможност за облекчаване с фактически презумпции
Възможни са случаи, разбира се, при които ДПУ няма да може да докаже със сигурност, че именно платецът е използвал платежния инструмент. Например, при теглене на пари от банкомат с помощта на дебитна карта и пин код. Въпреки помощта на камерите, ДПУ може да не успее да идентифицира платеца. Въпросът е дали в такива случаи може да се използват презумпции, които да облекчат доказването на ДПУ?
В германската доктрина и практика се приема, че разпоредбата на чл.72, пар.2 PSD2 не забранява използването на доказателствени правила като prima facie презумпции, с които се доказват факти, до които доставчикът няма как да има достъп[46]. В такъв случай не се обръща доказателствената тежест, но платецът трябва да представи някакво насрещно доказателство, за да намали вероятността на предположението, например, че по това време е бил някъде другаде[47]. Според Върховния съд на Германия[48], за да се прилага такава презумпция, ДПУ трябва да е доказал, освен използването на платежния инструмент, но и наличието на система за сигурност, която изключва възможността комуникационният канал между платеца и платежния оператор да бъде достъпен от трети лица, както и използването на динамичен ТАН[49]. В такива случаи, ако има данни за успешни пробиви срещу използваната система за сигурност, не се прилага prima facie правилото[50]. Също така, ниското ниво на сигурност, позволяващо по принцип кеширането на данни, които могат да бъдат използвани повече от веднъж или да бъдат ползвани от зловреден софтуер, дава основание да се предположи, че е била налице неоторизирана транзакция[51].
2. Доказване на съпричиняване от страна на платеца
Разпоредбата на чл.72, пар.2 PSD2 се отнася и за доказването на останалите освобождаващи обстоятелства, а именно измама или виновно неизпълнение на задълженията на платеца по чл.69 PSD2. Ако за идентификацията на платежната операция съдилищата имат известни съмнения доколко са приложими фактически презумпции, то за доказването на груба небрежност или умисъл[52] такива средства са практически наложителни. Законодателят сякаш се е съгласил в съображенията си доказването на тези факти да става на базата на предположения, които се оценяват в съответствие с националното право[53]. Но тези предположения трябва да почиват на доказани факти по конкретния случай, а не да са автоматични, с което на практика да се размества тежестта на доказване[54].
Презумпцията може да почива на доказаното поведение на платеца. Ако той, например, отказва да използва безплатната SMS системата за известяване за всяка транзакция и едновременно с това не извършва проверки на сметката си през много дълъг период от време[55]. По-абстрактно погледнато, за груба небрежност може да индикира такова поведение, от което е видно, че платецът е съзнавал възможните последици на поведението си, но лекомислено е очаквал да ги предотврати[56].
Понякога причината за неразрешената операция или липсата на твърдение за такава могат да доведат до определени доказателствени изводи. С въвеждането на схемите за засилена идентификация, ситуациите, при които може реалистично да се извърши неоторизирана транзакция се стесняват. Така е, например, когато потребителят е изтеглил на телефона си приложение, което имитира това на неговия доставчик на платежна услуга[57]. Ако потребителят обаче няма обяснение или то е слабо вероятно от техническа гледна точка, или се опровергава от наличните доказателства, то наличието на груба небрежност или умисъл могат да се предположат като най-вероятно обяснение.
В заключение може да се каже, че в правото на ЕС е предвидена засилена отговорност на ДПУ за неразрешени транзакции. Това утежняване се постига чрез инструментите на по-високата дължима грижа и завишения и рестриктивен стандарт на доказване спрямо изпълнението на задълженията на доставчиците. PSD2 не предвижда обръщане на тежестта на доказване в полза на платците, но, от друга страна, забранява в националните законодателства да се предвиждат каквито и да е отклонения от заложения в директивата баланс[58]. Целта на всичко това е да се подпомогне по-слабата страна в правоотношението, която често е поставена в условията на информационна асиметрия и липса на доказателства за възстановяване на отминалите събития. Само така гражданската отговорност може да бъде ефективна, а доверието на участниците във финансовата система – поддържано.
[1] Вж. чл.169, пар.2, б. „а)“ от ДФЕС.
[2] Директива 2008/48/ЕО на Европейския парламент и на Съвета от 23 април 2008 г. относно договорите за потребителски кредити и за отмяна на Директива 87/102/ЕИО на Съвета (ОВ L 133, 22.5.2008 г., стр. 66–92) и Директива 2014/17/ЕС на Европейския парламент и на Съвета от 4 февруари 2014 г. относно договорите за кредити за жилищни недвижими имоти за потребители и за изменение на директиви 2008/48/ЕО и 2013/36/ЕС и Регламент (ЕС) № 1093/2010 (ОВ L 60, 28.2.2014 г., стр. 34–85).
[3] Директива 2014/65/ЕС на Европейския парламент и на Съвета от 15 май 2014 г. относно пазарите на финансови инструменти и за изменение на Директива 2002/92/ЕО и на Директива 2011/61/ЕС (ОВ L 173, 12.6.2014 г., стр. 349–496); Регламент (ЕС) № 1286/2014 на Европейския парламент и на Съвета от 26 ноември 2014 г. относно основните информационни документи за пакети с инвестиционни продукти на дребно и основаващи се на застраховане инвестиционни продукти (ОВ L 352, 9.12.2014 г., стр. 1–23); Регламент (ЕС) 2023/1114 на Европейския парламент и на Съвета от 31 май 2023 г. относно пазарите на криптоактиви и за изменение на регламенти (ЕС) № 1093/2010 и (ЕС) № 1095/2010 и на директиви 2013/36/ЕС и (ЕС) 2019/1937 (MiCA) (ОВ L 150, 9.6.2023 г., стр. 1–97)
[4] Регламент (ЕС) 2019/1238 на Европейския парламент и на Съвета от 20 юни 2019 г. относно паневропейски персонален пенсионен продукт (ОВ L 198, 25.7.2019 г., стр. 1–63)
[5] Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета от 25 ноември 2015 година относно платежните услуги във вътрешния пазар, за изменение на директиви 2002/65/ЕО, 2009/110/ЕО и 2013/36/ЕС и регламент (ЕС) № 1093/2010 и за отмяна на директива 2007/64/ЕО. – ОВ, L 337, 23.12.2015, стр. 35–127.
[6] Директивата се предхожда от Директива 2007/64/ЕО (PSD), по която предстои да разгледам практика на Съда и която се прилага към PSD2, съгласно чл.114 PSD2 и таблицата за съответствие към него.
[7] Съобр. 6 от PSD2
[8] Закона за платежните услуги и платежните системи, обн. ДВ. бр.20 от 6 Март 2018г.
[9] На тях отговарят почти дословно чл.78, чл.79 и чл.80 от ЗПУПС
[10] Директивата предвижда и отговорност за неточна транзакция (чл.89 PSD2), но там доказателствените проблеми са по-малко и няма да я разглеждам отделно
[11] Отговорността за неразрешената платежна операция може да се носи и от доставчик на услуги по иницииране на плащане, но за целите на това изследване не е необходимо да правя разлика между него и ДПУ.
[12] Съгласно чл.4, т.5 от PSD2 платежна операция е действие, предприето от платеца или от негово име или от получателя, по внасяне, прехвърляне или теглене на средства, независимо от основното правоотношение между платеца и получателя. Най-често се отнася за електронни картови транзакции или междубанкови трансфери.
[13] Вж. решение по дело Решение на Съда на Европейския съюз от 2 септември 2021 г. по дело C 337/20, DM и LR срещу Caisse régionale de Crédit agricole mutuel (CRCAM) Alpes-Provence, ECLI:EU:C:2021:671, точка 40, както и Решение на Съда на Европейския съюз от 11 юли 2024 г. по дело C-409/22, UA срещу „Юробанк България“ АД, ECLI:EU:C:2024:600, пар.68.
[14] C 337/20, CRCAM, пар. 34 и 36
[15] Така C-409/22, UA срещу Юробанк България АД, пар.68.
[16] Съгл. чл.4, т.14 PSD2, платежен инструмент е персонализирано(и) устройство(а) и/или набор от процедури, уговорени между ползвателя на платежни услуги и доставчика на платежни услуги и използвани с цел даване на платежно нареждане.
[17] Така C-409/22, UA срещу Юробанк България АД, пар.60-63, вж. също Заключение на генералния адвокат Кампос Санчес-Бордона, представено на 25 май 2023 г., по дело C-409/22, UA срещу „Юробанк България“ АД, ECLI:EU:C:2023:433, пар.86, където той интерпретира мотивите на съда по пар. 40 от решение CRCAM.
[18] Вж. дефиниция в т.29 на чл.4 PSD2. По старата директива PSD изразът е „установяване на автентичност“, промяната изглежда се дължи на съгласуване с понятието „идентификация“ по чл.3, т.1 от Регламент (ЕС) № 910/2014 (eIDAS). Объркване обаче създава факта, че на английски понятието е “authentication”, което съответства на “удостоверяване на автентичност“ по т.5 от чл.3 на eIDAS.
[19] Steennot, R. „Liability for unauthorized payment transactions: the transposition of PSD2 in Belgium.“ Във: Bani, E., De Stasio, V., Sciarrone Alibrandi, A. (ред.) L’attuazione della seconda direttiva sui servizi di pagamento e ‘open banking’. Bergamo: Sestante Edizioni, 2021, стр. 175.
[20] Напр. PIN кодове, TAN кодове, DigiPass, Bizum, потребителско име/парола и т.н. Вж. дефиниция в т.31 от чл.4 на PSD2. По старата директива PSD персонализираните средства за защита са част от понятието платежен инструмент – вж. решение от 11 април 2019 г., Mediterranean Shipping Company (Portugal) — Agentes de Navegação (C-295/18), EU:C:2019:320, пар. 37—48 и 54.
[21] C-409/22, UA срещу Юробанк България АД, пар.66.
[22] “Strong authentication”, вж. чл.4, т.30 PSD2.
[23] Или мултифакторна автентикация – https://en.wikipedia.org/wiki/Multi-factor_authentication .
[24] Така, например чл.74, пар.2 PSD2, съгласно който, ако ДПУ не е въвел задълбочено установяване на идентичност, то платецът не може да носи отговорност за неразрешено плащане, освен ако не се докаже измама.
[25] Принципът „първо плащаш, после оспорваш“, който е въведен в PSD и продължен от PSD2 с цел засилване на защитата на ползвателите на платежни услуги. Така Заключение на генералния адвокат по дело C-409/22, UA срещу „Юробанк България“ АД, пар.97
[26] C-409/22, UA срещу Юробанк България АД, пар.86.
[27] В практиката на българските съдилища се срещат решения, според които, правилото на чл.78 ЗПУПС, съответстващо на чл.72, пар.1 PSD2, е обръщане на тежестта на доказване, тъй като ДПУ е този, който трябва да докаже, че всяка от оспорваните платежни операции е била разрешена – вж. например Решение № 1477/ 7.7.2020 по в.т.д. №4674/2019 по описа на САС.
[28] Чл.4, т.3 и т.5 вр. Приложение I от PSD2.
[29] Вж. IV.C.–1:101 от Von Bar, C., Clive, E., Schulte-Nölke, H., et al. (eds.) Definitions and Model Rules of European Private Law: Draft Common Frame of Reference (DCFR), Vols I–VI. – Munich: Sellier European Law Publishers, 2009. Кодексът изключва изрично финансовите услуги, вж. IV.C.–1:102, но идеята ми е да разгледам общите принципи на услугата.
[30] Чл. IV.C.–2:104 и чл. IV.C.–2:107 от DCFR.
[31] Чл. IV.C.–2:105 и чл. IV.C.–2:106 от DCFR.
[32] Вж. коментара към чл. IV.C.–2:106 от DCFR.
[33] Вж. т.8, 12, 13 и 21 от чл.4 вр. Приложение I на PSD2.
[34] Така и Minneci, U., „Unauthorized Payment Transactions According to PSD2 Enforcement: From the Banking and Financial Ombudsman to Case Law.“ В: Bani, E., De Stasio, V., Sciarrone Alibrandi, A. (ред.) L’attuazione della seconda директивa sui услуги за плащания и ‘open banking’. Bergamo: Sestante Edizioni, 2021, стр.113-114.
[35] Заключение на генералния адвокат по дело C-409/22, UA срещу „Юробанк България“ АД, пар.95 и цитираното от него решение на Съда от 25 януари 2017 г., BAWAG PSK Bank für Arbeit und Wirtschaft und Österreichische Postsparkasse AG срещу Verein für Konsumenteninformation, C 375/15, ECLI:EU:C:2017:38, пар.45, което се отнася за трайния носител, но принципът е същият.
[36] Вж. чл.74, пар.3 PSD2.
[37] Вж. чл.9:504 от PECL.
[38] Вж. например Minneci, U. „Unauthorized payment transactions according to PSD2 enforcement…“, стр.116 и сл.
[39] Така и съобр.72 от PSD2.
[40] За груба небрежност европейският законодател дава автентична дефиниция – „елементи на поведение, характеризиращо се със значителна степен на нехайство, като например съхраняване на персонализираните средства, използвани за разрешаване на платежна операция, непосредствено до платежния инструмент в достъпен и лесно разпознаваем за трети лица вид“ – съобр.72 PSD2
[41] Според Съда, доказателствената тежест на ДПУ е „много тежка“ – C-409/22, UA срещу Юробанк България АД, пар.70.
[42] Такава интерпретация може да се направи с оглед изложеното до момента, както и мотивите на съда по C-409/22, UA срещу Юробанк България АД, пар.63.
[43] В този смисъл решение на лисабонския апелативен съд (Португалия) – Tribunal da Relacao de Lisboa of 8 March 2018, Processo n.º 9217/15.2T8LRS-A.L1 (докладчик Ana Paula Carvalho).
[44] C-409/22, UA срещу Юробанк България АД, пар.72-76.
[45] Вж. напр. Агенцията на ЕС за киберсигурност (ENISA), Security of mobile payments and digital wallets, 2020г., достъпно тук: https://op.europa.eu/en/publication-detail/-/publication/96a583b0-d700-11e6-ad7c-01aa75ed71a1/language-en; Payment Card Industry Security Standards Council (PCI SSC), 2018, достъпно тук: https://www.pcisecuritystandards.org/document_library .
[46] Вж. повече за фактическите презумпции в §18 и 20.
[47] Linardatos, D. „The transposition of the PSD2: the role of EBA and of the national legislator in Germany.“ Във: Bani, E., De Stasio, V., Sciarrone Alibrandi, A. (ред.) L’attuazione della seconda direttiva sui servizi di pagamento e ‘open banking’. Bergamo: Bergamo University Press, 2021, стр.128-130 и цитираната вътре немска доктрина.
[48] Вж. решение на Федералния върховен съд на Германия (BGH) от 26 януари 2016 г., XI ZR 91/14, ECLI:DE:BGH:2016:260116UXIZR91.14.0, пар. 27 и сл.
[49] Транзакционен авторизационен номер –https://en.wikipedia.org/wiki/Transaction_authentication_number
[50] Linardatos, D. „The transposition of the PSD2…“, стр.131.
[51] Решение № 1477/ 7.7.2020 по в.т.д. №4674/2019 по описа на САС.
[52] Доказването на измама става обикновено в рамките на наказателно производство, от чиито резултати се ползват ДПУ, за това няма да го разглеждам тук.
[53] От ДПУ се очаква да представи някакво доказателство за вината, а не да го докаже напълно вж. съобр. 72 PSD2.
[54] Вж. по аналогия пар.42 на C-621/15 N.W and Others v Sanofi Pasteur.
[55] Вж. пример Minneci, U. „Unauthorized payment transactions according to PSD2 enforcement…“, стр.116.
[56] Вж. напр. Решение от 18.12.2009г. по гр.д.№4001/2008г. ІVг.о. на ВКС.
[57] Guimarães, M. R. „The transposition of PSD2: Decree-Law 91/2018 of 12 November.“ Във: Bani, E., De Stasio, V., Sciarrone Alibrandi, A. (ред.) L’attuazione della seconda direttiva sui servizi di pagamento e ‘open banking’. Bergamo: Sestante Edizioni, 2021, стр.157.
[58] Съобр.72 и чл.107 PSD2. Правила, които на практика прехвърлят на платеца задължението да докаже редовността на платежната операция, включително и постигнати между страните договорки – вж. C-409/22, UA срещу Юробанк България АД, пар. 76.
18
Коментирайте
А как ще спреш някои от сайтовете за дрехи да ти крадат пари? Пълно е с такива мошеници.
Ще пазаруваш само от доверени.:)
За тази цел има т.нар. еднократни карти, които вече доста банки генерират, с тях плащаш еднокртно и самата карта изчезва след това, като не си ползваш основната и никой няма достъп до нея, доста е полезно 🙂
И сега какво? Ще завалят искания за пряко приложение на Директивата? Къде и практическият аспект на тази подробен преразказ с елементи на разсъждение?
Въпреки че няма кой знае каква собствена оригинална мисъл, а се ограничава до систематизиране и коментар на релевантната нормативна база и съдебна практика, статията безспорно е добре структурирана, на разбираем език, съдържа подробна и полезна информация за юристи и обикновени граждани, за последните от които очевидно е препоръчително да следят периодично за наличностите си по сметката, респективно за евентуално извършени неоторизиани по надлежната процедура транзакции с платежния инструмент.“ „Презумпцията може да почива на доказаното поведение на платеца. Ако той, например, отказва да използва безплатната SMS системата за известяване за всяка транзакция и едновременно с това не извършва проверки на сметката… Покажи целия коментар »
Да е жив и здрав адвоката. Браво!
Много добри разяснения и полезни насоки.
Задоволителен материал
Засяга актални проблеми. На мен лично ми допадна.
Полезна статия. Запазвам си я на компютъра
Чудесно е, че има някой специалист да разясни на разбираем език
Повече такива анализи да пускате
Да се надяваме, че който трябва ще се запознае с този материал
Поздравления за статията. От полза е
Много подробно
Браво на адв. Господинов за хубавия анализ!
Определено е полезно!
Благодарим!!
Браво, колега! Ясно, достъпно, но с изкючително знание за материята!