Все по-често потребителите стават жертва на фишинга – умела форма на киберизмама, при която извършителят се маскира като доверен субект – обикновено собствената ви банка, но нерядко и куриер, държавна институция или добре познат търговец, коментира в правния си анализ адвокат Мартин Костов от кантора „Имаш право“.
„Чрез привидно автентични имейли, кратки съобщения, чат кореспонденции или прецизно копирани уеб страници, фишингът подтиква към споделяне на персонализирани защитни характеристики: потребителски имена, пароли, еднократни кодове, данни от платежни карти. Тази атака разчита на скорост, психологически натиск и минимални визуални различия – домейн с една променена буква, логотип, който е неразличим за невъоръжено око, тон и стил на комуникация, достатъчно близки до тези на истинската банка. Правният резултат от подобно подвеждане често е осъществяване на неразрешени платежни операции: пари напускат сметката ви, без вие действително да сте формирали воля да ги преведете на посочения получател. Тук е съществената граница между „техническа“ валидност – системата е регистрирала въвеждане на код – и правната валидност – липсва съгласие за самата транзакция“, допълва адвокат Костов.
Нормативната рамка: кога операцията е „неразрешена“ и какво следва от това
Законът за платежните услуги и платежните системи (ЗПУПС) изрично изисква по чл. 70, ал. 1 наличието на съгласие на платеца – т.е. на вас – за да се приеме, че дадена операция е разрешена; при липса на такова съгласие операцията е неразрешена и задейства защитни механизми в полза на клиента. Именно тук попадат транзакциите, реализирани след фишинг измама: макар процесът да изглежда „коректно удостоверен“ от гледна точка на системата (въведен е код, получен е пуш известие), реална воля за извършване на съответния превод не е съществувала. Затова по чл. 79, ал. 1 ЗПУПС банката е длъжна да възстанови незабавно сумата на неразрешената операция, освен ако докаже, че клиентът е действал измамно или поне с такава степен на небрежност, която правото квалифицира като „груба“. Ключов е и чл. 78, ал. 4: самото регистриране на употреба на платежен инструмент или на правилно въведен еднократен код не е достатъчно доказателство нито за валидно съгласие, нито за измамно или грубо небрежно поведение от страна на платеца; необходимо е по-дълбоко, контекстно и технически конкретизирано изследване.
Две хипотези – два режима на разпределяне на риска
При фишинга правният фокус стои върху липсата на съгласие за конкретното плащане: клиентът може да е въвел код, но го е направил в заблуда относно самоличността на насрещната страна, целта и параметрите на операцията; следователно операцията е неразрешена и се възстановява, ако банката не докаже измама или груба небрежност.
Различна е логиката при неправомерно използване на платежен инструмент – например изгубена или открадната карта, клонирана карта, SIM-swap или компрометирано устройство, при което трето лице фактически упражнява контрол върху инструмента. В тази втора хипотеза законът временно възлага на клиента ограничена отговорност до законов лимит за операциите, извършени преди надлежното уведомяване на банката, която отговорност в момента е законово определена на 100 лева, като от момента на уведомяването всички по-нататъшни щети са за сметка на банката. И в двата режима условието „без неоправдано забавяне“ за подаване на сигнал е общо, а краен срок за възражение е 13 месеца от дебитирането.
Силна клиентска автентикация (SCA): защита, която не отменя анализа на съгласието
Изискването за силна клиентска автентикация предполага комбиниране на два независими фактора – знание (парола/PIN), притежание (телефон/приложение/токен) и характеристика (биометрия). В картовите плащания това обичайно се реализира чрез 3-D Secure. Тук обаче е важно разбирането, че успешното преминаване през SCA е необходимо, но не и достатъчно условие за заключение, че операцията е „разрешена“. Именно при фишинговите сценарии често се случва въвеждането на кода „в реално време“ в заблуда, докато атакуващият го използва мигновено към истинския платежен процес; затова банката трябва да докаже не просто, че е имало въвеждане на код, а че процесът на удостоверяване – с оглед устройство, IP, поведенчески профил, налични аларми и известия към клиента – действително сочи на валидно съгласие за конкретната транзакция, а не на умело манипулирана идентификация.
Дължимото поведение от страна на клиента и на банката – балансът на задълженията
Клиентът, от своя страна, има позитивни задължения по чл. 75 ЗПУПС да използва платежния инструмент съгласно условията, да пази персонализираните защитни характеристики и да уведоми банката незабавно при загуба, кражба, присвояване или всяко съмнение за неправомерно ползване. Това не е формална препоръка, а конкретен стандарт на поведение, без който техническият и правният риск е трудно управляем: колкото по-бързо бъде подаден сигнал, толкова по-реалистична е възможността за блокиране на достъпа и ограничаване на щетите.
Паралелно с това в тежест на банката са възложени сериозни организационни и технически задължения – да осигури двуфакторна автентикация, антифрод механизми, онлайн и поведенчески мониторинг, да поддържа 24/7 канали за блокиране, да реагира при аномалии (необичаен IP, ново устройство, първи превод към непознат бенефициент, необичаен размер или валута) чрез временно спиране и допълнително удостоверяване, както и да комуникира ясно с клиента, че никога не изисква пароли и кодове по телефон, имейл или чат. Този баланс – бърза реакция от клиента и активна превенция от банката – е гръбнакът на системата за защита, предотвратяване на злоупотреби и ограничаване на неприятните последици от вече настъпили злоупотреби.
Възстановяване на суми, тежест на доказване и срокове
Законът е категоричен: при неразрешена операция банката възстановява незабавно сумата (чл. 79, ал. 1 ЗПУПС), освен ако има основателни основания да подозира измама от страна на клиента и уведомява компетентните органи. При спор тежестта за доказване на валидно съгласие – или, при липса на такова, на измамно или грубо небрежно поведение – лежи върху банката (чл. 78, ал. 4). Ограничената отговорност на клиента при неправомерно използване преди уведомяване понастоящем е до 100 лева, а след 01.01.2026 г. – до 50 евро; това ограничение отпада, ако се установи измама или груба небрежност от страна на платеца. Отделно, законът разграничава неотменимостта на платежните нареждания (чл. 85): след като преводът е достигнал стадий, в който не може да бъде спрян по общо правило, неизпълнението на банката да реагира навреме при налична техническа възможност за спиране би могло да формира собствена отговорност.
„Груба небрежност“: висока летва, която не се прескача с предположения
Понятието „груба небрежност“ няма легална дефиниция в ЗПУПС, поради което съдилищата прилагат общия гражданскоправен стандарт: това е такава степен на пренебрегване на минималната грижа, която и най-невнимателният човек би положил. В контекста на електронното банкиране и използването на платежни инструменти това означава не просто грешка под измама, а системно игнориране на елементарните правила за сигурност – диктуване на кодове по телефон, пренебрегване на очевидни предупреждения в SMS/приложение за получател и сума, записване на PIN върху карта или в бележка на телефона, предоставяне на отдалечен достъп до устройството, през което се банкира. Същевременно сложните фишинг схеми с убедителен визуален и езиков профил, spoof-нати номера на банки, интерфейси без видими данни за бенефициент и сума и незабавна реакция от клиента след узнаване по-скоро сочат, че липсва груба небрежност, а е налице ситуация, в която дори внимателен потребител би могъл да бъде заблуден. Банката следва да докаже конкретно защо в дадения случай поведението преминава прага на грубата небрежност, а не да се ограничава до формулата „въведен е код“.
Как да действате на практика: хронология, която спасява доказателства и права
При първи признак на нередност – непознат SMS за код, известие за операция, която не сте инициирали, или внезапна липса на средства – трябва незабавно да блокирате картата или достъпа през приложението или денонощния телефон на банката, и едновременно с това да подадете писмено оспорване през интернет банкирането или официалния канал на банката, описвайки накратко момента, каналa, сумата, валутата и наличния бенефициент, и изрично заявявайки, че не сте разрешавали операцията; изискайте входящ номер. След това запазете всички доказателства: имейли, съобщения, сайтове, push известия, SMS-и, лог от обажданията, и регистрирайте сигнал в МВР/киберпрестъпления – номерът на преписката улеснява последващата комуникация. В кратък срок поискайте от банката пълна техническа справка: използвани фактори за SCA, устройство и IP, поведенчески индикатори, данни от 3-D Secure, налични риск аларми и предприети действия. Ако банката се забавя или отказва възстановяване с общи формулировки от типа „въведен е OTP“, на свой ред настоите за мотивиран отговор с конкретика. При значителни суми или продължителен отказ е оправдано да се пристъпи към помирителни или съдебни механизми с професионална правна помощ.
Какво се очаква от банката – добри практики срещу клишета на отказа
Отговорното поведение на банката предполага незабавна превенция при сигнал или при автоматично засечена аномалия, активна комуникация с клиента и търсене на вторично удостоверяване преди да се позволи рискова операция; бързо вътрешно разследване без неоправдано забавяне; и възстановяване на сумата, ако не е доказано измамно или грубо небрежно поведение. Откази, почиващи единствено на тезата „имаше успешна автентикация“, не отговарят на стандарта на чл. 78, ал. 4 ЗПУПС, защото игнорират контекста на удостоверяването. Също толкова несъстоятелни са и възраженията „уведомяването е закъсняло“, когато от доказателствата се вижда бърза реакция и незабавно блокиране; от момента на уведомяването рискът преминава върху банката. Когато банката твърди, че клиентът е „споделил данни“, следва да бъде изяснено какви именно данни, при какви обстоятелства и дали поведението изобщо достига прага на груба небрежност – което е въпрос на доказване, а не на предположение.
Развенчаване на няколко упорити митове
Митът, че „щом е въведен код, банката не отговаря“, не може да издържи текста на текста на закона: въвеждането на код е елемент от удостоверяването, но не е самоцелно доказателство за валидно съгласие; важно е как е осъществен процесът и дали клиентът е бил в състояние на информирана воля. Не е вярно и че „преводът не може да бъде върнат“: при неразрешена операция възстановяването е принцип, а при разрешена, но рискова транзакция банката носи отговорност, ако е имала реална възможност да предотврати изпълнение и не го е сторила. И накрая – срокът от 13 месеца не означава, че можете да изчаквате без последствия: „без неоправдано забавяне“ е отделен критерий и прекомерното мълчание може да отслаби позицията ви.
Конкретни съвети към потребителите – какво да правите и как да действате (разяснено в „човешки“ смисъл)
Първо, когато говоря за „незабавно блокиране на картата/достъпа“, имам предвид буквално първите минути след като видите SMS/пуш известие за непозната операция или усетите, че сте въвели данни на съмнителна страница: отворете приложението на банката и спрете картата/входа, а ако това не е възможно – позвънете на 24/7 телефона, изписан на гърба на картата или в официалния сайт, като изрично поискате „блокиране по сигнали за измама“. Тази стъпка прекъсва веригата на злоупотребата и ограничава последващи щети, поради което е критична и правно – от момента на надлежното уведомяване банката поема риска за следващи операции.
Второ, „писменото оспорване“ не е бюрократична прищявка, а вашата „застраховка” в спора: подайте формален сигнал през интернет банкирането или имейл формуляра на банката, в който кратко, хронологично и конкретно опишете какво се е случило (дата и час, канал – уеб/приложение/карта, сума, валута, бенефициент ако е видим), и изрично напишете, че не сте разрешавали операцията и искате незабавно възстановяване по чл. 79, ал. 1 ЗПУПС. Настоявайте за входящ номер или автоматично потвърждение – това е доказателство, че сте реагирали „без неоправдано забавяне“.
Трето, „събирайте и запазвайте доказателства“ означава да направите скрийншотове на всичко – съмнителния сайт, електронната поща, SMS-а с кода (като се вижда текстът преди кода – получателят и сумата), пуш известията, журналите на обажданията; ако сте говорили по телефон със „служител на банката“, който ви е искал код – отбележете номер, час и съдържанието на разговора. Тези парчета доказателства често решават изхода на спора: показват, че измамата е била правдоподобна и че вие сте действали добросъвестно.
Четвърто, „искайте технически логове“ не е пожелание, а право: помолете банката писмено да предостави данни за използваните фактори за SCA (какво точно е удостоверила операцията – парола, телефон, биометрия), за устройството и IP адреса, за параметрите по 3-D Secure (ако е картова операция) и за всички риск-аларми и последвали действия. На разбираем език това са електронни следи, които показват дали преводът е минал през вашето устройство и обичаен достъп или е направен „отнякъде другаде“, и дали системите на банката са реагирали адекватно.
Пето, „четете целия SMS/пуш, а не само кода“. Това означава преди да въведете шестте цифри да погледнете какво е изписано над тях – името на получателя, сумата и валутата; ако не разпознавате получателя, сумата е необичайно висока или не сте инициирали нищо, не въвеждайте кода, затворете прозореца и позвънете на банката. Много схеми разчитат на рефлекса „виждам код, значи трябва да го въведа“; всъщност текстът над кода е последната ви защитна линия.
Шесто, „звънете само на официалния номер“ е по-важно, отколкото изглежда: измамниците често изпращат номер, който изглежда като на банката или дори „маскират“ обаждането да излиза с името на банката; затворете телефона и вие потърсете официалния номер от сайта или от картата. Поискайте да се регистрира сигнал, да се блокират инструментите и да получите писмено потвърждение по имейл – така избягвате комуникация по канал, който може да е под контрола на измамника.
Седмо, „не пазете пароли и данни от карти в браузъра“ значи да изключите „запомни парола“ и авто-попълване за банкови сайтове, да почистите вече запазените полета и, ако искате удобство, да използвате мениджър на пароли със силна главна парола и двуфакторна защита; на практика това премахва лесни входни точки при компрометирано устройство. Паралелно с това активирайте PIN на SIM картата, скрийте показването на SMS върху заключен екран и поддържайте операционната система и приложенията актуални – тези „дреболии“ често спират атаки от типа SIM-swap и достъп до кодове през откраднат телефон.
Осмо, „подайте сигнал в МВР/киберпрестъпления“. Това е полезно не само като обществена реакция, но и като правен аргумент – показва, че сте жертва на престъпление и сътрудничите на разследването; запишете номера на преписката и го приложете към жалбата си пред банката. Това не е формално изискване за възстановяване, но сериозно укрепва позицията ви.
Девето- „ескалацията при отказ“. Това означава ако банката ви отговори шаблонно („въведен е OTP, следователно сте вие“), да поискате конкретни мотиви, логове и технически данни; при липса на съдействие – да се обърнете към Комисията за платежни спорове и, когато сумата го оправдава, към съд с иск по общия ред, в който изрично да се изискат електронните следи и да се назначи експертиза.
Тези съвети не добавят нова „правна теория“ към изложението, а превеждат вече очертаните стандарти на практически език: как точно да изглежда една бърза и документирана реакция, какво означават в реалния живот „логове“, „SCA“ и „надлежно уведомяване“, и как да превърнете добросъвестността си в доказуем факт, който задължава банката да понесе своята законова отговорност.
Кога е разумно да потърсите адвокат – и какво да подготвите
Когато сумите са значителни, когато банката отказва възстановяване с клишета или протака без смислена аргументация, когато ви се приписва „груба небрежност“ без убедителни факти, правният съвет не е лукс, а инвестиция в правилно структуриране на претенцията. Полезно е да предоставите кореспонденцията с банката с входящи номера, извлечения и известия, скрийншоти от измамните канали, номера на полицейската преписка и всякакви технологични данни, които сте получили. Така адвокатът може да очертае рамката на спора, да формулира искания към банката за логове и доказателства, да организира помирителни усилия или съдебна защита, съобразно конкретиката на случая.
Финален извод: законът стои до добросъвестния клиент, но и добросъвестността има съдържание
Съвременните фишинг схеми изпитват устойчивостта на доверието между потребител и банка, но правната рамка ясно възнаграждава добросъвестното поведение: ако не сте действали измамно, не сте проявили груба небрежност и сте уведомили своевременно, принципът е, че средствата се възстановяват. Вашата роля е да пазите данните си, да бъдете критични към внезапни искания, да четете внимателно съдържанието на SMS-ите (получател и сума), да реагирате незабавно при съмнение и да съхранявате доказателства; ролята на банката е да докаже валидно съгласие или виновно поведение и да покаже, че системите ѝ за сигурност и реакция са били адекватни спрямо конкретния риск. Когато и двете страни изпълнят дължимото, шансът измамата да бъде осуетена или щетите – възстановени, значително нараства; и най-вече, системата остава справедлива, защото възлага риска там, където той може най-ефективно да се управлява.
