„Man–in–the–middle attack“, неразрешена платежна операция и кого пази законът при електронно банкиране?
„Man–in–the–middle attack“ или „човек в средата“ атака е станалата известна след 2017 г. кибератака, при която хакери прихващат съществуващ разговор или трансфер на данни, заемат място в „средата“ на трансфера и използват достъпената по този начин информация, най-често за престъпни цели. През 2017 г. е установено, че жертви на този тип атаки са потребителите, използващи приложения за мобилно банкиране. Особеното в случая е, че намесата на третия човек не е видима и не оставя следи, по които в последствие да бъде доказана. По този начин при електронно банкиране е променян IBAN на банката на получателя, промяната не е била установена от платеца, ползвател на платежната услуга, а няма данни за нерегламентиран достъп до интернет банкирането. В този случай спорът е дали това представлява разрешена или неразрешена платежна операция.
Общото правило на Закона за платежните услуги и платежните системи (ЗПУПС) предвижда, че банката носи отговорност за изпълнена от нея неразрешена платежна операция, освен в случаите, когато клиентът е действал чрез измама, или че умишлено или при груба небрежност не е изпълнил някое от задълженията си за спазване на условията за издаване и ползване на съответния платежен инструмент.
При използването на електронно банкиране и атака от типа „човек в средата“ платецът, който е използвал предоставените му от банката средства за идентификация, реално не е давал съгласие за изпълнение на платежната операция по променения IBAN, но системата на банката отчита, че единствено той е извършвал действия в банкирането.
В общите условия на банките, въз основа на изрично предвидената в ЗПУПС възможност, е предвидено по отношение на клиенти (непотребители), че когато клиентът твърди, че е налице неразрешена платежна операция, той носи доказателствената тежест при установяването на автентичността на същата.
От тук произтичат два въпроса – при променен IBAN в резултат от атака от типа „човек в средата“ неразрешена ли е платежната операция и носи ли банката отговорност за възстановяване на сумата.
В спор за възстановяване на сумата по такава операция адвокатското дружество успя да защити по дело на свой клиент, че неблагоприятните последици от изпълнението на платежна операция в този случай, въпреки че е наредена чрез приетия от страните платежен инструмент, ще останат в правната сфера на платеца само при доказване от страна на банката, че е налице измама от платеца, умисъл или груба небрежност на ползвателя на платежните услуги, довели до неизпълнение на съществените задължения, вменени му във връзка с използване на платежния инструмент.
По отношение на значението на уговореното в общите условия разместване на доказателствената тежест за неразрешената операция, българският съд приема, че по делото всяка от страните носи тежестта да докаже фактите, от които черпи правата си и по този начин реално не освобождава банката – доставчик от доказване на факта, че платежната операция е разрешена. Независимо от процесуалния закон, предвидената ЗПУПС, възможност за прехвърляне на тежестта за доказване на неразрешената операция върху платеца е резултат от транспонираната Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета от 25 ноември 2015 г. за платежните услуги във вътрешния пазар. Именно необходимостта от тълкуване на този текст от директивата е основанието за отправяне на преюдициално запитване от Tribunal Judicial da Comarca do Porto — Juízo Central Cível до Съда на Европейския съюз, по което е образувано дело С-448/21. Произнасянето на Съда ще е от ключово значение за прилагането от националните съдилища на споразумението между ползвателя (непотребител) и доставчика на платежни услуги на по-тежък режим на отговорност на платеца при неразрешена операция, изпълнена чрез електронно банкиране, включително и в случаите на кибератака „човек в средата“.