В практиката съществуват случаи, при които банковата платежна карта е обект на “скимиране” 1. Скимирането е престъпен метод за копиране на данните от платежната карта при използването й на терминално устройство АТМ 2 (банкомат), за плащане на стоки и услуги при търговец на терминално устройство ПОС 3 или при плащане на стоки и услуги чрез Интернет на криминален сайт, имитиращ сайта на търговец с добра репутация. Копираните данни се възпроизвеждат на фалшива платежна карта (чрез изработване на пластика) и се нареждат платежни операции (обикновено теглене на суми в брой) от неоправомощени трети лица.
Съгласно чл. 57, ал. 1 от Закона за платежните услуги и платежните системи (ДВ, бр. 23 от 2009 г., в сила от 01.11.2009 г., по-нататък само: ЗПУПС), в случай на неразрешена платежна операция доставчикът на платежни услуги възстановява незабавно стойността на неразрешената платежна операция и, когато е необходимо, възстановява платежната сметка на платеца в състоянието, в което тя би се намирала преди изпълнението на неразрешената платежна операция…
Кой носи “отговорността” в случаите на “скимиране” (неправомерно копиране на данните) на платежна карта и осъществяване на неразрешена платежна операция с нейния дубликат?
Проблемът, роден от практиката, е дали в случаите на “скимиране” на платежна карта следва да се приложи чл. 57, ал. 1 ЗПУПС? А именно, тъй като е налице неразрешена платежна операция, извършена от лице, добило данните на картата чрез копиране, доставчикът на платежни услуги (банката) следва незабавно да възстанови стойността на операцията.
И дали в този случай не следва да се приложи чл. 58, ал. 1 ЗПУПС? Според него платецът (картодържателят) понася загубите, свързани с неразрешените платежни операции, произтичащи от използването на изгубен, откраднат или незаконно присвоен платежен инструмент, когато платецът не е успял да запази персонализираните защитни характеристики на инструмента, до максимален размер, уговорен между страните, но не повече от 300 лв.
Според една от тезите, поддържана от някои доставчици на платежни услуги, фактическият състав на чл. 58, ал. 1 ЗПУПС включва именно скимирането на платежна карта и картодържателят следва да понесе риска от неразрешената операция в размер до 300 лева. Според тази теза, скимирането попада в хипотезата на “незаконно присвоен платежен инструмент”, визирана в чл. 58, ал. 1 ЗПУПС, наред с кражбата и загубата му. И по-конкретно, според привържениците на тази теза, “незаконно присвоен” платежен инструмент означава, че платежната карта е била обект на неправомерно копиране (скимиране) от трето лице. Основният аргумент на тази теза е, че изразът “откраднат” платежен инструмент, посочен преди “незаконно присвоен”, е въведен от законодателя, за да отграничи физическата кражба на платежния инструмент от случаите, при които той остава в държане на неговия собственик, а от инструмента се извлича необходимата информация чрез копиране. Според привържениците на тази теза е налице обективна отговорност на картодържателя до 300 лева, тъй като не е успял да запази персонализираните защитни характеристики на инструмента (ПИН-кода). И като допълнение – не е успял да запази ПИН-кода, тъй като не го е закривал с ръка или по друг начин (например с шапка или чадър).
Според противоположната теза, поддържана и аргументирана по-долу от мен, в случаите на скимиране на платежна карта следва да се приложи чл. 57, ал. 1 ЗПУПС и доставчикът на платежна услуга да възстанови стойността на неразрешената платежна операция.
Проблем на правоприлагането е осветляването на понятието “незаконно присвояване на платежна карта”. Законовият термин “незаконно присвоен” е тавтологичен и некоректен. В правото няма законно присвояване. Терминът “незаконно присвоен” е рожба на превода от английски език на думата “misappropriation” от чл. 61, т. 1 от Директива 2007/64/ЕО на Европейския парламент и на Съвета от 13.11.2007 г. относно платежните услуги във вътрешния пазар, за изменение на директиви 97/7/ЕО, 2002/65/ЕО, 2005/60/ЕО и 2006/48/ЕО и за отмяна на Директива 97/5/ЕО (по-нататък само: Директива 2007/64/ЕО). По-скоро трябва да се има предвид неправомерно използване, злоупотреба с платежна карта. Явно е, че в този случай платежната карта трябва да бъде използвана без съгласието и знанието на картодържателя. Кои биха били конкретните практически хипотези? В тях попадат срещаните в практиката случаи на семейни измами (family fraud) – когато платежният инструмент се използва без знанието и съгласието на картодържателя от лице от родствения му кръг, което знае защитните характеристики на инструмента. Или платежната карта се използва от лице от колегиалния кръг – например през обедната почивка без знанието на картодържателя. Аргумент, защо в обхвата на понятието “незаконно присвоен платежен инструмент”, с който си служи чл. 58, ал. 1 ЗПУПС, не попадат случаите на скимиране, можем да търсим и във формулировката на специалните състави на Наказателния кодекс.
“Незаконното присвояване” на платежен инструмент не е наказателноправно понятие. Чл. 249, ал. 1 НК, казва: “който използва платежен инструмент или данни от платежен инструмент без съгласието на титуляра”. Следователно не става въпрос за “незаконно присвояване”, а за неправомерно използване. Законодателят го разграничава от скимирането, като урежда престъпните състави в два самостоятелни текста.
Неправомерно използване (чл. 249, ал. 1 НК) е налице за извършителя на неразрешена платежна операция, която реализира фактическия състав на чл. 58, ал. 1 ЗПУПС. Това са случаите, в които платежната карта се ползва без съгласието и без знанието на картодържателя.
Докато скимирането е самостоятелно престъпление, уредено в текстовете на чл. 249, ал. 3 и 4 НК. Съгласно уредбата, който изготвя, монтира или използва техническо средство, за да придобие информация за съдържанието на платежен инструмент, се наказва. Наказание се налага и на лице, което съхранява или предоставя другиму тази информация.
Предпоставка да се приложи чл. 57, ал. 1 ЗПУПС е наличието на доказан случай на неправомерно копиране на данните от платежната карта.
Тук възниква вторият проблем – кой носи доказателствената тежест за това, дали е извършена неразрешена платежна операция с дубликат на платежната карта – банката или картодържателят? Съществуваше спор по прилагането на чл. 33 и 34 от Закона за паричните преводи, електронните платежни инструменти и платежните системи (по-нататък: ЗППЕПИПС- отм. ДВ, бр. 23 от 2009 г.), който уреждаше разпределението на доказателствената тежест.
В литературата е застъпено виждането, построено върху отменена нормативна уредба (ЗППЕПИПС), че картодържателят следва да доказва фактите, от които извлича изгодни за себе си последици4. В противен случай ще се окаже, че е напълно достатъчно да заяви, че неизвестно лице е теглило суми от сметката му и банката следва да възстанови сумата. Затова според това разбиране следва да се използват основните гражданскопроцесуални принципи за разпределяне на доказателствената тежест и тя да е за картодържателя, а не за банката. Правна основа за това се търси в разпоредбата на чл. 34, ал. 3 ЗППЕПИПС (отм.), която действително съдържа специално правило за доказателствената тежест. При спор между картодържателя и банката тежестта на доказване, че транзакцията е правилно отразена по сметката и не са налице технически или други проблеми, се носи от банката. Цитираната разпоредба обаче не съдържа принципно правило, че доказателствената тежест се носи въобще от банката. Специалната норма се отклонява от общите правила само относно изрично посочените в чл. 33, ал. 3 ЗППЕПИПС (отм.) обстоятелства. Тя не се отнася до доказване на предпоставките, че евентуално трето неоправомощено лице е ползвало чужда карта и ПИН-код.
Непрецизната формулировка в отменената нормативна уредба основателно е предизвиквала противоречиво правоприлагане и спор между доставчика и ползвателя на платежни услуги относно разпределянето на доказателствената тежест. Представената теза, построена върху действащата към онзи момент нормативна уредба, съм склонна да приема за аргументирана.
Сега действащият чл. 56 ЗПУПС, относно разпределянето на доказателствената тежест, изцяло възпроизвежда чл. 59 от Директива 2007/64/ЕО и не поставя сериозни проблеми при прилагането му. Създадена е специална норма за доказване на автентичността и точното изпълнение на платежната операция, като доказателствената тежест е прехвърлена върху банката. Доставчикът на платежната услуга носи доказателствената тежест, че неразрешената платежна операция е осъществена следствие на копиране на данните от платежна карта. Съгласно чл. 56, ал. 1 ЗПУПС, “когато ползвателят на платежна услуга твърди, че не е разрешавал изпълнението на платежна операция, доставчикът на платежната услуга носи доказателствената тежест при установяване автентичността на платежната операция, нейното точно регистриране, осчетоводяването, както и за това, че операцията не е засегната от техническа повреда или друг недостатък”. Тази уредба се допълва и от чл. 56, ал. 3 ЗПУПС, съгласно която, когато ползвателят на платежна услуга твърди, че не е разрешавал платежна операция, регистрираното от доставчика на платежни услуги използване на платежен инструмент не е достатъчно доказателство, че платежната операция е била разрешена от платеца или че платецът е действал чрез измама, или че умишлено или при груба небрежност не е изпълнил някое от задълженията си по чл. 53 ЗПУПС.
Тези законови разпоредби обосновават извода, че въвеждането на верния ПИН-код не може да бъде достатъчно доказателство в полза на доставчика на платежни услуги, че картодържателят не е положил дължимата разумна грижа и действия да опази персоналните защитни характеристики на инструмента и само на това основание да бъде приложен чл. 58, ал. 1 ЗПУПС. Картодържателят не може да бъде отговорен, когато персоналните характеристики на инструмента му са копирани в резултат на престъпна дейност, на която той е станал жертва и срещу която не разполага със специални знания и умения, за да се защити или предпази (например да разпознае, че на АТМ или POS устройството в момента на извършваната от него операция има неправомерно монтирани записващи средства). Освен това, ползваната от престъпни групи техника включва и устройства, при които закриването на ПИН-кода от картодържателя при въвеждането му не е пречка за копирането на защитните характеристики на инструмента – например поставяне на втори панел на АТМ устройството, идентичен с оригиналния, неоторизирани записващи POS устройства при търговци и др. Ето защо в случаите, когато картата и характеристиките й са били копирани чрез записващо устройство в резултат на престъпна дейност, без картодържателят да разбира или съзнава това, за да може да се предпази, следва да намери приложение чл. 57 ЗПУПС.
Във всички случаи доказателствената тежест носи доставчикът на платежни услуги, съгласно чл. 56 ЗПУПС, а не картодържателят. Банката следва да докаже, че платежната операция е автентична, т.е. изпълнена е чрез използване на оригиналната платежна карта и верния ПИН-код. Регистрираното от банката ползване на платежен инструмент не е достатъчно доказателство, че платежната операция е била разрешена, чл. 56, ал. 3 ЗПУПС. Но регистрираното използване на платежен инструмент и въведен ПИН-код би следвало да е достатъчно доказателство за автентичност на операцията. Банката автоматично получава информация дали е използван верен ПИН-код, а той не е известен на никой друг, в т.ч. и на банката, освен на оправомощения картодържател. Хипотезата ще бъде ясна и ако на АТМ устройството (банкомата) има видео наблюдение и е съхранен снимковия материал, кой е извършил операцията. Или тегленето на паричната сума е направено в Доминиканската република или Китай, а картодържателят не е напускал страната и оригиналната платежна карта се намира във фактическата му власт, както и чрез други технически способи.
Затова, ако е налице доказан случай на скимиране, рискът от неразрешената операция следва да се понесе от доставчика на платежна услуга.
Монетата има и обратна страна! Когато фактът на скимиране не е доказан, как да се установи, че е извършено копиране на картата и претенцията за възстановяване на неразрешената платежна операция е основателна?! Дали няма да е налице само твърдение на картодържателя? Например картодържателят живее в София в ж.к. “Младост”, прави среднощна екскурзия до ж.к. “Люлин”, тегли от неохраняем банкомат 400 лв., обажда се незабавно в банката за “неправомерната” операция, за която е “узнал” чрез SMS-съобщение, а всъщност е осъществена от него. Претендира възстановяване на сумата с твърдението, че в този късен час си е бил в къщи и че е изпълнил задължението си да уведоми банката незабавно. Затова всяка ситуация трябва да се изследва и доказва. Няма обща рецепта!
С действащата нормативна уредба доставчикът на платежни услуги е поставен в по-неблагоприятно положение, но той е икономически по-силната страна. А и част от спецификата на банковата дейност е да се поема разумен риск. Издаването на платежна карта следва да се разглежда като елемент от рисковото банкиране, по подобие на предоставянето на банкови кредити. Съществува риск за банката както от невъзстановяване на сумата по предоставения кредит, така и от неправомерното използване на платежни карти. Затова банката следва да прояви грижата на добър търговец при проучване надеждността на картодържателя и въз основа на това да поеме разумен риск. Не случайно една от основните характеристики на договора за издаване на платежна карта е, че той е intuitu personae, тъй като личността на картодържателя е съществен елемент от съдържанието му.
Правните аргументи, защо в случаите на доказано скимиране следва да се приложи чл. 57, ал. 1 ЗПУПС, а не чл. 58, ал. 1 ЗПУПС, могат да бъдат открити в основни облигационноправни принципи.
Съгласно чл. 58, ал. 1 ЗПУПС, разпоредбата на чл. 57 не се прилага и платецът понася загубите, свързани с неразрешените платежни операции, произтичащи от използването на изгубен, откраднат или незаконно присвоен платежен инструмент, когато платецът не е успял да запази персонализираните защитни характеристики на инструмента, до максимален размер, уговорен между доставчика на платежни услуги и ползвателя, но не повече от 300 лв. Този законов текст възпроизвежда чл. 61, т. 1 от Директива 2007/64/ЕО.
Анализът на чл. 58, ал. 1 ЗПУПС (респ. на чл. 61, т. 1 от Директива 2007/64/ЕО) показва, че за да бъдат неблагоприятните последици до 300 лв. за картодържателя, са необходими две предпоставки. Първата е поведението му (действие или бездействие) да е в причинна връзка с противоправния резултат. Втората – това поведение да е причинено виновно, независимо от формата на вината (culpa lata или culpa levis). При тази хипотеза картодържателят не е успял да запази персонализираните защитни характеристики на инструмента. Това означава, че не е проявил дължимата грижа, за да съдейства на доставчика на платежни услуги (длъжника) да изпълни надлежно задължението си. Надлежното изпълнение на задължението в случая означава банката да престира на титуляра на правото, инкорпорирано в платежната карта. Това е една от формите на mora creditoris (забава на кредитора).
В случаите на скимиране на платежната карта е налице противоправно деяние, представляващо престъпление. Това обстоятелство отнема дефинитивно въпроса за вината по отношение на картодържателя. Би могъл да се постави въпросът, дали банката не е проявила небрежност, като не е защитила надлежно АТМ устройствата (банкоматите), чрез които се осъществяват платежните операции, за да препятства възможностите за скимиране. Дори да се абстрахираме от въпроса за евентуалната вина на банката в този случай, не би могло неблагоприятните последици да са за сметка на картодържателя. Нека приемем, че никоя от страните по правоотношението – банката и картодържателят, не носят вина. Тогава казусът трябва да се реши на основата на правилата за носенето на риска. В гражданското право господстват два принципа. Рискът е за длъжника (casum sentit debitor) е общият случай. Това разрешение на проблема за риска произтича от синалагматичната природа на двустранния договор, какъвто характер има и договорът за издаване на платежна карта. Изключението от този принцип е “рискът е за кредитора”, който се проявява, като “рискът е за собственика” (res perit domino). Рискът е за кредитора (собственика) намира приложение само в хипотезата на задължения за dare (да се даде нещо). Задължението за dare по българското право е задължение да се прехвърли право на собственост (върху вещ или стока). Изпълнението на това задължение е обусловено от отговора на въпроса в кой момент собствеността преминава от продавача върху купувача.
Романската правна система (Франция, Белгия, Италия) придава вещен ефект на облигацията. Това означава, че собствеността върху индивидуално определените вещи (стоки) преминава върху купувача от момента на сключването на договора. Същото нормативно разрешение е възприето и в българския ЗЗД (чл. 24). Това нормативно разрешение довежда до преминаването на риска върху кредитора (купувача по продажбеното правоотношение).
Диаметрално противоположно е разрешението при престациите за facere. Такова е задължението на банките по договорите за издаване на платежни карти. Следователно “плащане” на путативен кредитор, поради осъществен от него престъпен състав, ще е за сметка на банката-длъжник по силата на правилата за носенето на риска, т.е. независимо от наличието на вина. Такъв е разумът на нормата на чл. 57 ЗПУПС и затова в случай на неразрешена платежна операция доставчикът на платежни услуги следва да възстанови незабавно на платеца стойността на неразрешената платежна операция.
Като допълнителен аргумент защо в случаите на доказано скимиране на платежна карта банката е длъжна да възстанови стойността на неразрешената платежна операция може да ни послужи и европейската практика в тази насока.
По-горе бе посочено, че европейският аналог на чл. 57 от ЗПУПС е чл. 60, т. 1 от Директива 2007/64/ЕО, а именно в случай на неразрешена платежна операция доставчикът на платежна услуга незабавно възстановява на платеца стойността й. А европейският аналог на чл. 58, ал. 1 ЗПУПС е чл. 61, т. 1 от Директива 2007/64/ЕО, а именно че платецът понася загубите, свързани с неразрешените платежни операции в максимален размер до 300 лева, произтичащи от използването на изгубен, откраднат или незаконно присвоен платежен инструмент.
В запитване, отправено от Асоциацията на банките в България до Европейската банкова асоциация (European Banking Federation), дали търговските банките прилагат чл. 61, точка 1 от Директива 2007/64/ЕО (адаптиран в националното ни законодателство в чл. 58, ал. 1 ЗПУПС) в случаите, когато платежната карта е била обект на скимиране (незаконно копиране) или прилагат чл. 60, точка 1 от нея (чл. 57 ЗПУПС), отговорът (MEMO ref D1186A-2011, Brussels, 28 June 2011) е следният:
|
Белгия |
Търговските банки прилагат чл. 60, т. 1 от Директива 2007/64/ЕО в случаите, когато платежната карта е обект на незаконно копиране (скимиране). |
|
Чешка Република |
Търговските банки са изцяло отговорни за неразрешените платежни операции и незабавно възстановяват сумата по нея на картодържателя. Те не прилагат текста за 150 EUR имуществена загуба на платеца в случай на потвърдено скимиране. |
|
Финландия |
При прилагането на Директива 2007/64/ЕО не е взета позиция относно незаконно копиране на платежна карта. По правило се прилага чл. 60, т. 1, освен ако ползвателят на платежни услуги не носи отговорност по смисъла на чл. 61, т. 1. Както е посочено в правителствения законопроект за прилагане на Директива 2007/64/ЕО (предложение 169/2009 г.), чл. 60, т.1 се прилага и когато неразрешената платежна операция се извършва чрез използване на платежен инструмент. Доставчикът на платежни услуги не носи отговорност за неразрешени платежни операции, ако ползвателят на платежни услуги носи отговорност за тях съгласно чл. 61, т. 1. |
|
Германия |
Чл. 61, т. 1 от Директива 2007/64/ЕО е от значение само ако платежната карта е открадната или изгубена. В повечето случаи на скимиране картата не е изгубена или открадната, а само копирана. Чл. 61, т. 1 е приложим само ако платецът не е успял да запази ПИН-кода на картата в безопасност. Решението се взима за всеки един случай конкретно. В много случаи на скимиране не е възможно да се докаже, че картодържателят не е успял да запази ПИН-кода, защото скимиращата техника е била много хитра и не може да се разпознае от притежателя на картата. |
|
Италия |
В случай на измама чрез скимиране, което обикновено не е резултат от небрежност на картодържателя, търговските банки по правило възстановяват на картодържателя изцяло парите по неразрешената операция. Ако не е доказано измамно или небрежно поведение на картодържателя, той не носи отговорност и следва да се обезщети. |
|
Холандия |
Банките напълно компенсират клиентите си в случаи на скимиране на платежна карта. |
|
Словакия |
Банките проучват всеки случай на неразрешена платежна операция индивидуално и трябва да докажат наличието на скимиране. Платецът понася загубите, свързани с неразрешените платежни операции до 150 EUR, произтичащи от използването на изгубен или откраднат платежен инструмент или когато платецът не е успял да запази персонализираните защитни характеристики при злоупотреба с платежния инструмент. |
|
Испания |
Повечето банки не прилагат отговорността на платците по чл. 61, т. 1 от Директива 2007/64/ЕО, когато платежната карта е била обект на скимиране. |
|
Швеция |
Чл. 60, т. 1 от Директива 2007/64/ЕО се прилага в следните случаи, посочени в правителствения законопроект за прилагане на Директивата (предложение 2009/10: 122, стр. 16): |
Проф. д-р Камелия КАСАБОВА
__________
1 Думата “скимер” е чуждица и буквално означава лъжицата, с която се обира каймака. Използването на идиома се обяснява с “лесния” начин за неправомерно усвояване на парични суми чрез източване на чужда платежна сметка с фалшива платежна карта.
2 Съгласно § 1, т. 7 от Допълнителните разпоредби на Наредба № 3, терминално устройство АТМ (Automated Teller Machine) е устройство за теглене и/или внасяне на пари в брой, плащане на услуги, извършване на преводи между платежни сметки, на справочни и други платежни и неплатежни операции.
3 Съгласно § 1, т. 8 от Допълнителните разпоредби на Наредба № 3, терминално устройство ПОС (Point of Sale, Point of Service) е устройство, чрез което се извършва плащане на стоки и услуги или получаване на пари в брой чрез използване на платежна карта.
4 Вж. в този смисъл Станева, А. Правни последици от неправомерна употреба на банкови карти. Търговско и конкурентно право, 2007, № 5 (по-нататък само: Станева, А. Правни последици от неправомерна употреба …), с. 68-69.
