Правен анализ от адвокат Мартин Костов
Все по-често потребителите стават жертва на фишинга – умела форма на киберизмама, при която извършителят се маскира като доверен субект – обикновено собствената ви банка, но нерядко и куриер, държавна институция или добре познат търговец, коментира в правния си анализ адвокат Мартин Костов от кантора „Имаш право“.
„Чрез привидно автентични имейли, кратки съобщения, чат кореспонденции или прецизно копирани уебстраници фишингът подтиква към споделяне на персонализирани защитни характеристики: потребителски имена, пароли, еднократни кодове, данни от платежни карти. Тази атака разчита на скорост, психологически натиск и минимални визуални различия – домейн с една променена буква, логотип, който е неразличим за невъоръжено око, тон и стил на комуникация, достатъчно близки до тези на истинската банка. Правният резултат от подобно подвеждане често е осъществяване на неразрешени платежни операции: пари напускат сметката ви, без вие действително да сте формирали воля да ги преведете на посочения получател. Тук е съществената граница между „техническа“ валидност – системата е регистрирала въвеждане на код – и правната валидност – липсва съгласие за самата транзакция“, допълва адвокат Костов.
Нормативната рамка: кога операцията е „неразрешена“ и какво следва от това
Законът за платежните услуги и платежните системи (ЗПУПС) изрично изисква по чл. 70, ал. 1 наличието на съгласие на платеца – т.е. на вас – за да се приеме, че дадена операция е разрешена; при липса на такова съгласие операцията е неразрешена и задейства защитни механизми в полза на клиента. Именно тук попадат транзакциите, реализирани след фишинг измама: макар процесът да изглежда „коректно удостоверен“ от гледна точка на системата (въведен е код, получен е пуш известие), реална воля за извършване на съответния превод не е съществувала. Затова по чл. 79, ал. 1 ЗПУПС банката е длъжна да възстанови незабавно сумата на неразрешената операция, освен ако докаже, че клиентът е действал измамно или поне с такава степен на небрежност, която правото квалифицира като „груба“. Ключов е и чл. 78, ал. 4: самото регистриране на употреба на платежен инструмент или на правилно въведен еднократен код не е достатъчно доказателство нито за валидно съгласие, нито за измамно или грубо небрежно поведение от страна на платеца; необходимо е по-дълбоко, контекстно и технически конкретизирано изследване.
Две хипотези – два режима на разпределяне на риска
При фишинга правният фокус стои върху липсата на съгласие за конкретното плащане: клиентът може да е въвел код, но го е направил в заблуда относно самоличността на насрещната страна, целта и параметрите на операцията; следователно операцията е неразрешена и се възстановява, ако банката не докаже измама или груба небрежност.
Различна е логиката при неправомерно използване на платежен инструмент – например изгубена или открадната карта, клонирана карта, SIM-swap или компрометирано устройство, при което трето лице фактически упражнява контрол върху инструмента. В тази втора хипотеза законът временно възлага на клиента ограничена отговорност до законов лимит за операциите, извършени преди надлежното уведомяване на банката, която отговорност в момента е законово определена на 100 лева, като от момента на уведомяването всички по-нататъшни щети са за сметка на банката. И в двата режима условието „без неоправдано забавяне“ за подаване на сигнал е общо, а краен срок за възражение е 13 месеца от дебитирането.
Силна клиентска автентикация (SCA): защита, която не отменя анализа на съгласието
Изискването за силна клиентска автентикация предполага комбиниране на два независими фактора – знание (парола/PIN), притежание (телефон/приложение/токен) и характеристика (биометрия). В картовите плащания това обичайно се реализира чрез 3-D Secure. Тук обаче е важно разбирането, че успешното преминаване през SCA е необходимо, но не и достатъчно условие за заключение, че операцията е „разрешена“. Именно при фишинговите сценарии често се случва въвеждането на кода „в реално време“ в заблуда, докато атакуващият го използва мигновено към истинския платежен процес; затова банката трябва да докаже не просто, че е имало въвеждане на код, а че процесът на удостоверяване – с оглед устройство, IP, поведенчески профил, налични аларми и известия към клиента – действително сочи на валидно съгласие за конкретната транзакция, а не на умело манипулирана идентификация.
Дължимото поведение от страна на клиента и на банката – балансът на задълженията
Клиентът, от своя страна, има позитивни задължения по чл. 75 ЗПУПС да използва платежния инструмент съгласно условията, да пази персонализираните защитни характеристики и да уведоми банката незабавно при загуба, кражба, присвояване или всяко съмнение за неправомерно ползване. Това не е формална препоръка, а конкретен стандарт на поведение, без който техническият и правният риск е трудно управляем: колкото по-бързо бъде подаден сигнал, толкова по-реалистична е възможността за блокиране на достъпа и ограничаване на щетите.
Паралелно с това в тежест на банката са възложени сериозни организационни и технически задължения – да осигури двуфакторна автентикация, антифрод механизми, онлайн и поведенчески мониторинг, да поддържа 24/7 канали за блокиране, да реагира при аномалии (необичаен IP, ново устройство, първи превод към непознат бенефициент, необичаен размер или валута) чрез временно спиране и допълнително удостоверяване, както и да комуникира ясно с клиента, че никога не изисква пароли и кодове по телефон, имейл или чат. Този баланс – бърза реакция от клиента и активна превенция от банката – е гръбнакът на системата за защита, предотваряване на злоупотрежи и органичаване на неприятните последици от вече настъпили злоупотреби.
Възстановяване на суми, тежест на доказване и срокове
Законът е категоричнен: при неразрешена операция банката възстановява незабавно сумата (чл. 79, ал. 1 ЗПУПС), освен ако има основателни основания да подозира измама от страна на клиента и уведомява компетентните органи. При спор тежестта за доказване на валидно съгласие – или, при липса на такова, на измамно или грубо небрежно поведение – лежи върху банката (чл. 78, ал. 4). Ограничената отговорност на клиента при неправомерно използване преди уведомяване понастоящем е до 100 лева, а след 01.01.2026 г. – до 50 евро; това ограничение отпада, ако се установи измама или груба небрежност от страна на платеца. Отделно, законът разграничава неотменимостта на платежните нареждания (чл. 85): след като преводът е достигнал стадий, в който не може да бъде спрян по общо правило, неизпълнението на банката да реагира навреме при налична техническа възможност за спиране би могло да формира собствена отговорност.
„Груба небрежност“: висока летва, която не се прескача с предположения
Понятието „груба небрежност“ няма легална дефиниция в ЗПУПС, поради което съдилищата прилагат общия гражданскоправен стандарт: това е такава степен на пренебрегване на минималната грижа, която и най-невнимателният човек би положил. В контекста на електронното банкиране и използването на платежни инструменти това означава не просто грешка под измама, а системно игнориране на елементарните правила за сигурност – диктуване на кодове по телефон, пренебрегване на очевидни предупреждения в SMS/приложение за получател и сума, записване на PIN върху карта или в бележка на телефона, предоставяне на отдалечен достъп до устройството, през което се банкира. Същевременно сложните фишинг схеми с убедителен визуален и езиков профил, spoof-нати номера на банки, интерфейси без видими данни за бенефициент и сума и незабавна реакция от клиента след узнаване по-скоро сочат, че липсва груба небрежност, а е налице ситуация, в която дори внимателен потребител би могъл да бъде заблуден. Банката следва да докаже конкретно защо в дадения случай поведението преминава прага на грубата небрежност, а не да се ограничава до формулата „въведен е код“.
Как да действате на практика: хронология, която спасява доказателства и права
При първи признак на нередност – непознат SMS за код, известие за операция, която не сте инициирали, или внезапна липса на средства – трябва незабавно да блокирате картата или достъпа през приложението или денонощния телефон на банката, и едновременно с това да подадете писмено оспорване през интернет банкирането или официалния канал на банката, описвайки накратко момента, каналa, сумата, валутата и наличния бенефициент, и изрично заявявайки, че не сте разрешавали операцията; изискайте входящ номер. След това запазете всички доказателства: имейли, съобщения, сайтове, push известия, SMS-и, лог от обажданията, и регистрирайте сигнал в МВР/киберпрестъпления – номерът на преписката улеснява последващата комуникация. В кратък срок поискайте от банката пълна техническа справка: използвани фактори за SCA, устройство и IP, поведенчески индикатори, данни от 3-D Secure, налични риск аларми и предприети действия. Ако банката се забавя или отказва възстановяване с общи формулировки от типа „въведен е OTP“, на свой ред настоите за мотивиран отговор с конкретика. При значителни суми или продължителен отказ е оправдано да се пристъпи към помирителни или съдебни механизми с професионална правна помощ.
Какво се очаква от банката – добри практики срещу клишета на отказа
Отговорното поведение на банката предполага незабавна превенция при сигнал или при автоматично засечена аномалия, активна комуникация с клиента и търсене на вторично удостоверяване преди да се позволи рискова операция; бързо вътрешно разследване без неоправдано забавяне; и възстановяване на сумата, ако не е доказано измамно или грубо небрежно поведение. Откази, почиващи единствено на тезата „имаше успешна автентикация“, не отговарят на стандарта на чл. 78, ал. 4 ЗПУПС, защото игнорират контекста на удостоверяването. Също толкова несъстоятелни са и възраженията „уведомяването е закъсняло“, когато от доказателствата се вижда бърза реакция и незабавно блокиране; от момента на уведомяването рискът преминава върху банката. Когато банката твърди, че клиентът е „споделил данни“, следва да бъде изяснено какви именно данни, при какви обстоятелства и дали поведението изобщо достига прага на груба небрежност – което е въпрос на доказване, а не на предположение.
Развенчаване на няколко упорити митове
Митът, че „щом е въведен код, банката не отговаря“, не може да издържи текста на текста на закона: въвеждането на код е елемент от удостоверяването, но не е самоцелно доказателство за валидно съгласие; важно е как е осъществен процесът и дали клиентът е бил в състояние на информирана воля. Не е вярно и че „преводът не може да бъде върнат“: при неразрешена операция възстановяването е принцип, а при разрешена, но рискова транзакция банката носи отговорност, ако е имала реална възможност да предотврати изпълнение и не го е сторила. И накрая – срокът от 13 месеца не означава, че можете да изчаквате без последствия: „без неоправдано забавяне“ е отделен критерий и прекомерното мълчание може да отслаби позицията ви.
Конкретни съвети към потребителите – какво да правите и как да действате (разяснено в „човешки“ смисъл)
Първо, когато говоря за „незабавно блокиране на картата/достъпа“, имам предвид буквално първите минути след като видите SMS/пуш известие за непозната операция или усетите, че сте въвели данни на съмнителна страница: отворете приложението на банката и спрете картата/входа, а ако това не е възможно – позвънете на 24/7 телефона, изписан на гърба на картата или в официалния сайт, като изрично поискате „блокиране по сигнали за измама“. Тази стъпка прекъсва веригата на злоупотребата и ограничава последващи щети, поради което е критична и правно – от момента на надлежното уведомяване банката поема риска за следващи операции.
Второ, „писменото оспорване“ не е бюрократична прищявка, а вашата „застраховка” в спора: подайте формален сигнал през интернет банкирането или имейл формуляра на банката, в който кратко, хронологично и конкретно опишете какво се е случило (дата и час, канал – уеб/приложение/карта, сума, валута, бенефициент ако е видим), и изрично напишете, че не сте разрешавали операцията и искате незабавно възстановяване по чл. 79, ал. 1 ЗПУПС. Настоявайте за входящ номер или автоматично потвърждение – това е доказателство, че сте реагирали „без неоправдано забавяне“.
Трето, „събирайте и запазвайте доказателства“ означава да направите скрийншотове на всичко – съмнителния сайт, електронната поща, SMS-а с кода (като се вижда текстът преди кода – получателят и сумата), пуш известията, журналите на обажданията; ако сте говорили по телефон със „служител на банката“, който ви е искал код – отбележете номер, час и съдържанието на разговора. Тези парчета доказателства често решават изхода на спора: показват, че измамата е била правдоподобна и че вие сте действали добросъвестно.
Четвърто, „искайте технически логове“ не е пожелание, а право: помолете банката писмено да предостави данни за използваните фактори за SCA (какво точно е удостоверило операцията – парола, телефон, биометрия), за устройството и IP адреса, за параметрите по 3-D Secure (ако е картова операция) и за всички риск-аларми и последвали действия. На разбираем език това са електронни следи, които показват дали преводът е минал през вашето устройство и обичаен достъп или е направен „отнякъде другаде“, и дали системите на банката са реагирали адекватно.
Пето, „четете целия SMS/пуш, а не само кода“. Това означава преди да въведете шестте цифри да погледнете какво е изписано над тях – името на получателя, сумата и валутата; ако не разпознавате получателя, сумата е необичайно висока или не сте инициирали нищо, не въвеждайте кода, затворете прозореца и позвънете на банката. Много схеми разчитат на рефлекса „виждам код, значи трябва да го въведа“; всъщност текстът над кода е последната ви защитна линия.
Шесто, „звънете само на официалния номер“ е по-важно, отколкото изглежда: измамниците често изпращат номер, който изглежда като на банката или дори „маскират“ обаждането да излиза с името на банката; затворете телефона и вие потърсете официалния номер от сайта или от картата. Поискайте да се регистрира сигнал, да се блокират инструментите и да получите писмено потвърждение по имейл – така избягвате комуникация по канал, който може да е под контрола на измамника.
Седмо, „не пазете пароли и данни от карти в браузъра“ значи да изключите „запомни парола“ и авто-попълване за банкови сайтове, да почистите вече запазените полета и, ако искате удобство, да използвате мениджър на пароли със силна главна парола и двуфакторна защита; на практика това премахва лесни входни точки при компрометирано устройство. Паралелно с това активирайте PIN на SIM картата, скрийте показването на SMS върху заключен екран и поддържайте операционната система и приложенията актуални – тези „дреболии“ често спират атаки от типа SIM-swap и достъп до кодове през откраднат телефон.
Осмо, „подайте сигнал в МВР/киберпрестъпления“. Това е полезно не само като обществена реакция, но и като правен аргумент – показва, че сте жертва на престъпление и сътрудничите на разследването; запишете номера на преписката и го приложете към жалбата си пред банката. Това не е формално изискване за възстановяване, но сериозно укрепва позицията ви.
Девето- „ескалацията при отказ“. Това означава ако банката ви отговори шаблонно („въведен е OTP, следователно сте вие“), да поискате конкретни мотиви, логове и технически данни; при липса на съдействие – да се обърнете към Комисията за платежни спорове и, когато сумата го оправдава, към съд с иск по общия ред, в който изрично да се изискат електронните следи и да се назначи експертиза.
Тези съвети не добавят нова „правна теория“ към изложението, а превеждат вече очертаните стандарти на практически език: как точно да изглежда една бърза и документирана реакция, какво означават в реалния живот „логове“, „SCA“ и „надлежно уведомяване“, и как да превърнете добросъвестността си в доказуем факт, който задължава банката да понесе своята законова отговорност.
Кога е разумно да потърсите адвокат – и какво да подготвите
Когато сумите са значителни, когато банката отказва възстановяване с клишета или протака без смислена аргументация, когато ви се приписва „груба небрежност“ без убедителни факти, правният съвет не е лукс, а инвестиция в правилно структуриране на претенцията. Полезно е да предоставите кореспонденцията с банката с входящи номера, извлечения и известия, скрийншоти от измамните канали, номера на полицейската преписка и всякакви технологични данни, които сте получили. Така адвокатът може да очертае рамката на спора, да формулира искания към банката за логове и доказателства, да организира помирителни усилия или съдебна защита, съобразно конкретиката на случая.
Финален извод: законът стои до добросъвестния клиент, но и добросъвестността има съдържание
Съвременните фишинг схеми изпитват устойчивостта на доверието между потребител и банка, но правната рамка ясно възнаграждава добросъвестното поведение: ако не сте действали измамно, не сте проявили груба небрежност и сте уведомили своевременно, принципът е, че средствата се възстановяват. Вашата роля е да пазите данните си, да бъдете критични към внезапни искания, да четете внимателно съдържанието на SMS-ите (получател и сума), да реагирате незабавно при съмнение и да съхранявате доказателства; ролята на банката е да докаже валидно съгласие или виновно поведение и да покаже, че системите ѝ за сигурност и реакция са били адекватни спрямо конкретния риск. Когато и двете страни изпълнят дължимото, шансът измамата да бъде осуетена или щетите – възстановени, значително нараства; и най-вече, системата остава справедлива, защото възлага риска там, където той може най-ефективно да се управлява.
Автор: Адвокат Мартин Костов
