НачалоПубликацииНеразрешени платежни операции

Неразрешени платежни операции — как да защитите парите си при фишинг и измами (2026)

Публикувано: 11 април 2026 | Последна актуализация: 11 април 2026

Събуждате се сутрин, проверявате банковото си приложение и виждате: „Изходящ превод — 2 340 лв.“ — операция, която не сте нареждали. Или получавате SMS, който изглежда като идващ от банката Ви, кликвате на линка, въвеждате данните си и след час сметката Ви е празна. Какво се случва оттук нататък? Кой носи риска и как бързо реагирате, за да си върнете парите? В този практически наръчник обясняваме стъпка по стъпка Вашите права по Закона за платежните услуги и платежните системи (ЗПУПС) и PSD2 — и как да ги упражните ефективно.

Какво е неразрешена платежна операция

Дефиницията се намира в чл. 70, ал. 1 ЗПУПС: платежна операция, за която липсва съгласие на платеца — независимо дали то е трябвало да бъде дадено преди или след извършването на операцията. Законът е категоричен: за всяка една операция по Вашата сметка е задължително да е налице Вашето съгласие, изразено по начина, уговорен с банката (въвеждане на PIN, потвърждение през мобилно приложение, биометрия, 3D Secure код и т.н.).

Няколко типични хипотези, при които е налице неразрешена операция:

  • Превод, извършен след като престъпник е получил Вашите данни чрез фишинг имейл или фалшив сайт, имитиращ банката Ви;
  • Плащане с изгубена или открадната карта, преди Вие да успеете да я блокирате;
  • Теглене на пари от банкомат с клонирана карта (skimming);
  • Онлайн покупка с данни на Вашата карта, до които трети лица са получили достъп след пробив в база данни;
  • Превод, нареден от дете, което не е знаело какво прави, или от друго лице без Ваше изрично упълномощаване;
  • Дублирана операция, осчетоводена два пъти поради техническа грешка в системата на доставчика.

Без значение какъв е механизмът — ако Вие не сте наредили операцията и не сте я одобрили впоследствие, тя е неразрешена по смисъла на закона и законът Ви предоставя специфичен набор от права.

Правна рамка — ЗПУПС, PSD2 и подзаконови актове

Защитата на потребителите срещу неразрешени платежни операции в България се урежда от следните нормативни актове:

  • Закон за платежните услуги и платежните системи (ЗПУПС) — действащата редакция е от 2018 г. и транспонира в българското право Директива (ЕС) 2015/2366 за платежните услуги на вътрешния пазар (PSD2). Именно в ЗПУПС се намират ключовите правила за отговорността при неразрешени операции, задълбоченото установяване на идентичността и процедурите за възстановяване на средства.
  • Наредба № 3 от 16.07.2009 г. на БНБ — урежда условията и реда за изпълнение на платежни операции и използването на платежни инструменти.
  • Българска народна банка (БНБ) — компетентният надзорен орган, пред който се подават жалби срещу доставчици на платежни услуги и който контролира спазването на ЗПУПС.
  • Закон за защита на потребителите — допълнително ниво на защита при отношения с доставчиците на платежни услуги.

Тъй като ЗПУПС транспонира PSD2, режимът на защита в България е хармонизиран с този в останалите държави от Европейския съюз. Основните права, описани по-долу, важат в еднаква степен за клиенти на всички банки, електронни пари и лицензирани платежни институции, работещи на територията на ЕС.

Основен принцип: рискът носи банката (чл. 79 ЗПУПС)

Една от най-важните разпоредби в целия закон е чл. 79 ЗПУПС. Съгласно него, рискът от неразрешена платежна операция се носи по правило от доставчика на платежни услуги — тоест от банката, от електронната парична институция или от лицензирания доставчик, през когото се извършва операцията.

Законодателят е възприел това разрешение по три съображения:

  • Икономическа асиметрия — банката е институционално и технически в пъти по-силна от отделния потребител. Тя разполага със средствата, инфраструктурата и експертизата да проектира сигурни системи и да носи загубите от техните дефекти.
  • Контрол върху системата — потребителят няма никакво влияние върху това как банката проектира системата за автентикация, какви мерки за сигурност внедрява и как ги поддържа. Той не бива да плаща цената за пропуските в чужда инфраструктура.
  • Стимул за инвестиции в сигурност — при разместване на риска към доставчика, той е икономически заинтересован да постоянно повишава нивото на защита.

Друга ключова разпоредба е чл. 78 ЗПУПС, която урежда доказателствената тежест. Когато потребителят оспори дадена операция като неразрешена, доставчикът е длъжен да докаже, че операцията е била автентично удостоверена, точно регистрирана, осчетоводена и не е засегната от техническа повреда или друга неизправност. Фактът, че платежният инструмент е бил използван (например с въведен правилен PIN или успешно 3D Secure потвърждение), сам по себе си не е достатъчно доказателство, че потребителят е дал съгласието си или е действал с измамно намерение, или с груба небрежност.

Това разрешение е фундаментално важно: то означава, че не Вие трябва да доказвате, че не сте извършили операцията — а банката трябва да докаже, че сте я одобрили.

Задължение за възстановяване — незабавно!

Когато доставчикът на платежни услуги бъде уведомен от потребителя за неразрешена операция, възниква ясно и строго задължение за възстановяване. Ключовите параметри са:

  • Срок — възстановяването трябва да бъде извършено незабавно и във всеки случай не по-късно от края на следващия работен ден, след като доставчикът е узнал за или е бил уведомен за неразрешената операция.
  • Пълно възстановяване — сметката на платеца трябва да бъде върната в състоянието, в което би била, ако неразрешената операция не беше изобщо извършена. Това включва не само сумата на превода, но и всички произтичащи такси и лихви.
  • Вальор — датата на задаване при осчетоводяването не може да бъде по-късна от датата, на която сметката е била задължена с неразрешената операция. Това защитава потребителя от загуба на лихви или начисляване на овърдрафтни такси.

Единственото изключение

Доставчикът има право да се отклони от краткия срок за възстановяване само в един случай: ако има основателни съмнения за измама от страна на платеца и при условие че уведоми компетентните органи в писмен вид. Това не е проста възможност за забавяне — доставчикът трябва да посочи конкретни факти, пораждащи съмнението, и да ги документира. В противен случай е длъжен да възстанови средствата в общия срок.

Ако доставчикът не възстанови средствата в срок, вземането става изискуемо и върху неговия размер започва да тече законната лихва за забава по общия ред.

Вашата отговорност — максимум EUR 51.13

Законът внимателно ограничава финансовия риск, който може да падне върху добросъвестния потребител. Нивата на отговорност са стъпаловидни и зависят от момента на уведомление към банката и от степента на Вашата вина.

Преди уведомяване — до EUR 51.13 (BGN 100)

Ако платежният инструмент е изгубен, откраднат или незаконно присвоен и е използван от трето лице преди Вие да уведомите доставчика, максималната Ви отговорност е ограничена до сумата от 51.13 EUR (100 BGN). Това е важна промяна спрямо стария режим, при който лимитът беше 300 BGN — след транспонирането на PSD2 и въвеждането на еврото, лимитът е значително намален в полза на потребителя.

След уведомяване — нулева отговорност

От момента, в който сте уведомили доставчика за загубата, кражбата или неразрешената употреба на инструмента, не носите никаква отговорност за всички последващи неразрешени операции — с едно-единствено изключение: ако сте действали с измамно намерение срещу самата банка.

Нулева отговорност и поради пропуски на доставчика

Платецът също така не носи абсолютно никаква отговорност (освен при собствено измамно намерение) в следните случаи:

  • Когато доставчикът не изисква задълбочено установяване на идентичността (SCA), въпреки че законът го задължава да го прави;
  • Когато доставчикът не е осигурил начин, по който потребителят да го уведоми 24 часа в денонощието, 7 дни в седмицата;
  • Когато загубата е причинена от действия или бездействия на служител, агент, клон на доставчика или на лице, на което доставчикът е възложил изпълнение на свои функции.

Пълна отговорност — кога?

Има три хипотези, в които платецът носи пълната отговорност за всички неразрешени операции, без ограничение и без възможност да се позове на лимита от EUR 51.13:

  • Измама от страна на самия платец — например инсценирана „кражба“ с цел да се търси възстановяване;
  • Умишлено неизпълнение на задълженията по чл. 75 ЗПУПС (виж следващия раздел);
  • Груба небрежност при изпълнение на задълженията по чл. 75 ЗПУПС — но тази преценка е строго казуистична и съдилищата са сравнително резервирани при квалифицирането на конкретно поведение като груба небрежност.

Стъпка по стъпка — какво да направите при неоторизирана операция

Времето е от критично значение. Всяка минута забавяне може да означава нови неразрешени операции или изнасяне на средствата извън обсега на банковите възстановителни процедури. Ето точната последователност от действия, която трябва да следвате:

  1. Минути 0 — 10: Обадете се на горещата линия 24/7 на банката. Всяка банка в България разполага с денонощна линия именно за такива случаи. Номерът е отпечатан на гърба на картата и публикуван в сайта на банката. Нареждайте незабавно блокиране на всички платежни инструменти, свързани със сметката.
  2. Минути 5 — 15: Блокирайте картата през мобилното приложение. Повечето съвременни банкови приложения позволяват моментално временно или окончателно блокиране на картата с един бутон. Направете го паралелно с обаждането — не вместо него, а в допълнение.
  3. В първите часове: Подайте писмено искане за възстановяване. Изпратете имейл до официалния адрес на банката, в който изрично заявявате оспорване на конкретните операции (дата, час, сума, получател) и искате тяхното възстановяване по чл. 79 ЗПУПС. Посетете също клон на банката и подайте писмено заявление срещу входящ номер — това е най-сигурният начин да се докаже моментът на уведомяване.
  4. Запазете всички доказателства. Направете екранни снимки на SMS-ите, имейлите, историята на операциите в приложението, фалшиви сайтове (ако има такива), входящи и изходящи обаждания. Всички тези материали могат да бъдат от решаващо значение при по-нататъшни спорове и евентуален съдебен процес.
  5. 21 дни: Изчакайте становището на банката. Съгласно процедурата по чл. 78 ЗПУПС и действащата практика на БНБ, банката разполага със срок до 21 дни, за да разгледа оплакването и да се произнесе. Ако в този срок не последва възстановяване или писмен мотивиран отказ, вземането Ви става изискуемо и върху него започва да тече законна лихва.
  6. При отказ: Подайте жалба до БНБ. Българската народна банка е надзорен орган и приема жалби срещу поднадзорните доставчици на платежни услуги. Жалбата не е задължителна предпоставка за съдебен иск, но може да окаже значителен натиск върху банката да преразгледа позицията си.
  7. Помирителна комисия за платежни спорове (към КЗП). Алтернативен, безплатен механизъм за разрешаване на спорове между потребители и доставчици на платежни услуги. Производството не е задължително преди съдебен иск, но е полезно за случаи със средна сложност, където и двете страни са склонни към компромис.
  8. Съдебен иск по чл. 79 ЗПУПС. Ако всички предходни стъпки са изчерпани без резултат, предявявате иск пред компетентния съд за осъждане на банката да възстанови сумата, ведно със законната лихва за забава. Производството е подходящо да се води чрез адвокат поради специфичната доказателствена тежест.
  9. Сигнал в полицията. Подайте сигнал до районното полицейско управление или до Главна дирекция „Борба с организираната престъпност“. Това е важно не само за евентуалното наказателно преследване на извършителите, но и защото номерът на прокурорската преписка често се изисква от банките като допълнително доказателство за добросъвестност на потребителя.

Срок за уведомяване — 13 месеца максимум

Едно от най-важните ограничения, които потребителите често пропускат, е срокът за оспорване. Съгласно чл. 78 ЗПУПС, потребителят е длъжен да уведоми доставчика без необосновано забавяне, след като е узнал за неразрешената или неправилно изпълнената операция, и във всеки случай не по-късно от 13 месеца от датата, на която сметката му е била задължена.

След изтичането на 13-месечния срок възможността за възстановяване по процедурата на ЗПУПС се прекратява. Това не означава непременно загуба на всички възможни права (остават общите основания по гражданското право и потенциално деликтни искове), но се губи облекченият режим на доказване и ускорено възстановяване. Ето защо редовното проверяване на банковите извлечения е не просто въпрос на финансова дисциплина, а и на правна защита.

Преглеждайте извлеченията си поне веднъж месечно и включвайте SMS или push известия за всяка операция над определен праг. При най-малкото съмнение за неоторизирана операция, започнете процедурата незабавно — не отлагайте.

Задълбочено установяване на идентичността (SCA)

Strong Customer Authentication (SCA) е една от централните иновации, въведени с PSD2 и транспонирани в ЗПУПС. Задълженията на доставчика да прилага SCA при определен кръг операции са абсолютни и нарушението им води до прехвърляне на целия риск към доставчика.

SCA изисква при всяка онлайн операция или при достъп до сметка да се използват два или повече независими фактора от следните три категории:

  • Знание — нещо, което само потребителят знае (PIN, парола, отговор на сигурностен въпрос);
  • Притежание — нещо, което само потребителят притежава (физическа карта, мобилен телефон с приложение, хардуерен токен);
  • Присъщо качество — нещо, което потребителят е (пръстов отпечатък, лицево разпознаване, гласова биометрия).

Ключовото изискване е факторите да са независими: компрометирането на единия не трябва да води до компрометиране на другите. Така, ако някой знае паролата Ви, но няма физически достъп до телефона Ви, не може да извърши операцията.

Практическото значение на SCA за въпроса на отговорността е следното: ако банката не е приложила SCA, когато е била задължена да го направи, и потребителят стане жертва на неразрешена операция — тогава той не носи никаква отговорност, дори и в лимита от EUR 51.13, освен ако е действал с измамно намерение. Рискът е изцяло у банката.

Кога носите пълна отговорност — грубата небрежност

Най-спорният въпрос в практиката е преценката кога поведението на потребителя е квалифицирано като „груба небрежност“. Това не е обикновена немарливост, а значително по-тежка форма на вина — такава, която съдебната практика описва като „безразличие към очевидния риск“.

Хипотези, които съдилищата са склонни да квалифицират като груба небрежност:

  • Записване на PIN кода върху самата карта или в портмонето заедно с картата;
  • Съхраняване на пароли в незащитен текстов файл на работния плот на компютъра или в лесно достъпно приложение за бележки;
  • Умишлено разкриване на данните на трето лице — например на „служител на банка“ по телефона, или въвеждане на данните в сайт, който очевидно не е този на банката;
  • Повторно ползване на същата сигнална дума, която вече е била компрометирана в известен пробив.

От друга страна, съдебната практика е относително толерантна и не квалифицира като груба небрежност следните поведения:

  • Неактуализиране на антивирусен софтуер на лично устройство;
  • Нередовно сменяне на пароли за онлайн банкиране;
  • Пропуск да се използва двуфакторна автентикация, когато тя не е била задължителна;
  • Добросъвестно кликване върху линк в имейл, който изглежда достоверно като идващ от банката.

Важно е да се подчертае, че доказателствената тежест за грубата небрежност е у доставчика (чл. 78 ЗПУПС). Банката не може просто да твърди, че сте били небрежен — тя трябва да представи конкретни доказателства, които да убедят съда в наличието на квалифицирана вина от Ваша страна.

Типични случаи на фишинг и измами в България

Разбирането на най-разпространените схеми ще Ви позволи да разпознаете атаката навреме и да минимизирате щетите. Ето най-често срещаните сценарии в българския контекст:

„SMS от банката“ с линк за актуализация

Получавате SMS, който изглежда като идващ от познато име (UniCredit, DSK, ПИБ, ОББ и др.) с текст от рода на: „Вашата карта е блокирана, натиснете тук, за да я активирате“. Линкът води към фалшив сайт, визуално почти идентичен с оригинала, където сте подканени да въведете потребителско име, парола и дори SMS кода за двуфакторна автентикация.

Фалшиви имейли за „куриерски такси“

Очаквате пратка и получавате имейл, в който „Еконт“, DHL или „Български пощи“ Ви уведомяват, че за доставка трябва да платите малка такса (3—5 лв.) през приложен линк. Сайтът отново е фалшив, а целта е събирането на данни от картата.

„Служители на банката“ по телефона

Звъни Ви човек, представящ се за служител от сектор „Сигурност“ на банката. Обяснява, че е установен опит за неоторизирана операция и „за Вашата защита“ трябва незабавно да потвърдите чрез SMS код, който ще Ви изпратят. Кодът в действителност е за одобряване на превод към престъпника.

Инвестиционни измами и „крипто“ платформи

Реклами в социалните мрежи за „гарантирани“ високи доходи от инвестиции в криптовалути, Forex или акции. След първоначално малко внасяне и привидно успешни „печалби“, жертвата е подканяна да внесе все по-големи суми и в един момент „платформата“ изчезва.

Техническа поддръжка и фалшиви антивируси

Изскачащ прозорец Ви уведомява, че компютърът е заразен и трябва да се свържете с „техническа поддръжка на Microsoft“. „Техническият специалист“ поема дистанционно управление и в един момент Ви кара да влезете в онлайн банкирането, за да Ви „върнат“ някаква сума.

Социално инженерство в социалните мрежи

Фалшиви профили във Facebook и Instagram се свързват с роднини или приятели и искат спешен превод под предлог за инцидент, болест или наложително пътуване. Често профилите са клонирани, за да изглеждат автентични.

Съдебна практика — важни принципи

Въпреки че ЗПУПС е сравнително нов закон, българските съдилища — както и съдът на ЕС в контекста на PSD2 — вече са формулирали редица важни принципи при прилагането му:

  • Използването на платежния инструмент не доказва съгласието. Върховният касационен съд последователно приема, че самият факт на регистрирано ползване (въвеждане на PIN, потвърждение през 3D Secure и т.н.) не е достатъчен, за да се счита, че потребителят е дал информирано съгласие за операцията. Доставчикът трябва да докаже и елементи отвъд чисто техническото удостоверяване.
  • Общите условия не могат да намалят отговорността на доставчика. Съдилищата отказват да прилагат клаузи в общите условия, които прехвърлят на потребителя риск, който по закон е у доставчика. Подобни клаузи се считат за нищожни като противоречащи на императивни разпоредби на ЗПУПС.
  • Изискванията към потребителската хигиена имат граници. Софийски градски съд в няколко решения е приел, че липсата на актуален антивирус или на редовна смяна на пароли не представлява груба небрежност и не изключва отговорността на доставчика.
  • Доказателствената тежест е на банката. При всяко оспорване на операция като неразрешена, тежестта на доказване е върху банката — а не върху потребителя. Това включва доказване на автентикацията, липса на техническа повреда и евентуалното наличие на груба небрежност.

Често задавани въпроси

В какъв срок банката трябва да ми възстанови парите?
Съгласно чл. 79 ЗПУПС, банката е длъжна да възстанови сумата на неразрешената операция незабавно и във всеки случай не по-късно от края на следващия работен ден, след като е била уведомена. Сметката трябва да бъде върната в състоянието, в което би била, ако неразрешената операция не беше изпълнена. Единственото изключение е ако има основателни съмнения за измама от страна на платеца и банката писмено уведоми компетентните органи.
Колко мога да загубя максимум при кражба на карта?
Максималната Ви финансова отговорност при използване на изгубен, откраднат или незаконно присвоен платежен инструмент ПРЕДИ да уведомите банката е ограничена до EUR 51.13 (BGN 100), съгласно чл. 80 ЗПУПС. След уведомяването не носите никаква отговорност за последващи операции, освен ако сте действали с измамно намерение. Ако банката не е приложила задълбочено установяване на идентичността (SCA), не носите отговорност дори за лимита.
Какъв е крайният срок за жалба срещу неоторизирана операция?
Съгласно чл. 78 ЗПУПС, имате максимум 13 месеца от датата, на която сметката Ви е била задължена с неразрешената операция, за да я оспорите пред доставчика. Препоръчително е обаче уведомяването да стане без необосновано забавяне — още в деня, в който сте узнали за операцията. След изтичането на 13-месечния срок облекченият режим на ЗПУПС не се прилага.
Какво да направя ПЪРВО при неоторизирана операция?
В първите минути: обадете се на горещата линия 24/7 на банката (номерът е на гърба на картата) и нареждайте незабавно блокиране. Паралелно блокирайте картата през мобилното приложение. След това подайте писмено искане за възстановяване — имейл до официалния адрес на банката и лично заявление в клон срещу входящ номер. Запазете всички доказателства (SMS-и, имейли, екранни снимки). Времето е от критично значение.
Ако банката откаже да възстанови сумата — какви са възможностите ми?
При отказ или неразглеждане на искането в разумен срок (ориентировъчно 21 дни) имате няколко паралелни възможности: (1) жалба до БНБ като надзорен орган; (2) сезиране на Помирителната комисия за платежни спорове към КЗП — безплатен извънсъдебен механизъм; (3) иск пред компетентния съд срещу банката по чл. 79 ЗПУПС с претенция за възстановяване и законна лихва за забава. Препоръчва се консултация с адвокат.
Платих по фишинг линк — носи ли банката отговорност?
Зависи от няколко обстоятелства. Ако банката не е приложила задълбочено установяване на идентичността (SCA) при операцията, целият риск е у нея и Вие не носите отговорност, освен при доказано измамно намерение. Ако SCA е било приложено, но Вие сте били подведени от убедително имитиран сайт — съдебната практика обикновено НЕ квалифицира това като груба небрежност, стига да не сте разкривали очевидно подозрителни признаци. Препоръчва се индивидуален анализ на конкретния случай.
Трябва ли да подам сигнал в полицията при фишинг или кражба на карта?
Да, препоръчва се и често е необходимо. Наказателното производство може да доведе до разкриване на извършителите и цялата мрежа. Освен това номерът на прокурорската преписка често се изисква от банките и застрахователите като допълнително доказателство за добросъвестността на потребителя. Сигналът се подава в районното полицейско управление или чрез онлайн портала на МВР.

Пострадахте от неоторизирана операция или банков фишинг?

Екипът на Innovires предоставя специализирана правна помощ при спорове с банки и платежни институции — от подготовка на писмени оспорвания и жалби до БНБ, през производства пред Помирителната комисия, до съдебни искове по чл. 79 ЗПУПС. Свържете се с нас за бърза оценка на случая Ви.