Кражба на фирма – превенция и последващи мерки за защита през 2024

Време за прочитане : 2 мин.

Преглед

„Кражба“ на фирма е все още е често срещано престъпление в България, въпреки предприетите законодателни мерки. Българските власти многократно до настоящия момент са предотвратявали опити за кражби на фирми чрез документна измама, но за съжаление множество са и случаите, при които, за да се направи каквото и да било, е на практика прекалено късно. Множество са и делата в Съда в Страсбург, по които държавата е осъдена да заплати обезщетение на пострадалите собственици, защото със своите действия и бездействия държавните органи са „помогнали“ да бъде открадната фирмата.

Същност

Кражба на фирма най-често се осъществява по организиран начин от различни лица, действащи съвместно. Целта на измамата е лицата, чрез фалшифициране на документи и подписи или чрез електронно подаване на фалшиви документи с електронен подпис, да осъществят промяна в обстоятелствата, която да бъде отразена в ТРРЮЛНЦ (Търговския регистър) и да бъде сменен управителят на фирмата, с лице, което е част от или подставено на организираната престъпна група. След като бъде вписан нов управител в ТРРЮЛНЦ, това предоставя възможност на престъпниците да се разпореждат с активите на фирмата – най-често банкови сметки и недвижима собственост.

Защита след кражба

При разкриване на кражба на фирма и при положение, че все още нищо не е отчуждено (откраднато) от активите на фирмата, пострадалите лица следва незабавно да предприемат съдебни обезпечителни мерки, целящи спиране увреждането на интересите на законните собственици на търговското дружество.

Обезпечителни мерки

В случай, че собственикът на фирмата е узнал за кражбата, след като промяната в обстоятелствата е била заявена или вписвана по партидата на дружеството в ТРРЮЛНЦ, отново има редица уредени от закона средства за последваща защита. Сред най-често срещаните и ефективни съдебни обезпечителни мерки са:

  • Запор върху дяловете на дружеството – когато се запорират дяловете в дружеството, вписаният в ТРРЮЛНЦ собственик на запорираните дялове не може да се разпорежда с тях и така не може да прехвърли фирмата на поставено лице
  • Забрана на новите му управители да вземат управленски решения – тази мярка цели да ограничи бъдещото разпореждане с активите на дружеството, защото вписаният управител е лицето, което представлява дружеството и с действията си, независимо от това дали има решение на ОС на съдружниците, той отново може да доведе до значими загуби за действителните собственици на фирмата
  • Спиране на всички бъдещи вписвания в ТРРЮЛНЦ – чрез тази мярка се „замразява“ състоянието на фирмата към момента на налагането й т.е. не може да се променя каквото и да е било по партидата на дружеството – управител, съдружници и т.н., докато не бъде вдигната тази обезпечителна мярка
  • Запор върху банкови сметки, собственост на фирмата – чрез тази обезпечителна мярка се ограничава последващото присвояване на авоарите на дружеството
  • Възбрана върху недвижими имоти, собственост на фирмата – веднъж наложена тази обезпечителна мярка препятства прехвърлянето на недвижими имоти на други лица, като по този начин извършителят няма да успее да придобие и след това веднага разпродаде имотите на дружеството
  • Спиране на притежаваните фирмени МПС-та от движение – тази мярка има по-скоро ограничена приложимост, тъй като с нея ще се съхранят единствено моторните превозни средства, които в редки случаи са крайната цел на престъпниците

Производство

Крайната цел на тези и други подобни обезпечителни мерки е да се ограничи последващото разпиляване на притежаваните от фирмата активи, докато са висящи другите съдебни дела срещу извършителите и се чака постановяване на краен съдебен акт, с който действителният собственик на фирмата успешно да си я върне. Образува се специално охранително производство пред компетентния съд, като в самото начало съдът налага обезпечителната мярка, за да се попречи на извършителя да отчужди недвижимите имоти на фирмата.

Превенция

Препоръчителният начин за борба с гореописаните измамни схеми е превенцията – като се осъществява редовен мониторинг на ТРРЮЛНЦ, чрез предоставената възможност за известяване чрез SMS. Търговците, които ползват услугите на адвокати по търговско право или абонаментно правно обслужване, имат възможност да следят и да бъдат уведомявани незабавно, при осъществена каквато и да е промяна в обстоятелствата, касаещи дадена фирма, за която са заявили, че  желаят да получат информация.

Киберпрестъпления 2024: видове и съдействие от адвокат

Време за прочитане : 3 мин.

Видове киберпрестъпления

Адвокатите, специализиращи в кибер и дигиталното право, се сблъскват със следните основни категории киберпрестъпления и атаки, които могат да имат за последица загуби и санкции от държавни органи:

  • Социално инженерство (social engineering)
  • Рансъмуер (ransomware)
  • Интернет на нещата (IoT)
  • Облачни услуги (cloud services)

Социално инженерство

В основата си социалното инженерство използва човешката психология и поведение, от които хакерите и други недобронамерени лица умело се възползват. Вместо да се използва автоматизиран алгоритъм за директна атака към компютърна система (напр. за разбиване на пароли), социалното инженерство е насочено към отделни лица, за да се получи от тях самите необходимите данни с цел осъществяване на неоторизиран достъп и транзакции или извличане на поверителна информация.

Сред най-често срещаните примери за киберпрестъпления чрез социално инженерство е т.нар. фишинг (phishing). При него хакерите изпращат имейл, SMS, Вайбър, месинджър или друго съобщение или създават фалшив уебсайт, чието съдържание максимално наподобява такива на действащи финансови или други институции, като крайната цел е да се заблуди потребителят и сам да разкрие своите идентификационни данни за вход или транзакция (потребителско име, парола, 3D, PIN и др. кодове за потвърждение), мислейки, че ги предоставя не на хакери, а на съответната институция (напр. обслужващата банка, в която жертвата на хакерска атака има разкрита сметка).

При успешна фишинг атака, потребителят-жертва сам предоставя на хакерите своите данни, необходими обикновено за влизане в профил на финансова институция и неоторизирано нареждане на преводи към трети лица, наречени мулета. В резултат на което жертвите на подобни киберпрестъпления търпят понякога много сериозни щети. Основен съвет, който може да бъде даден във връзка с горното, е да не се отговаря на съмнителни съобщения и имейли, като в тази връзка банките изрично предупреждават в своите интернет сайтове, че не комуникират по подобен начин с клиентите си.

В случай, че станете жертва на подобен вид киберпрестъпления, препоръчително е да се свържете с опитен адвокат, за да минимизирате евентуалните негативни последици при последващ опит за възстановяване на откраднатата сума, която е била неоторизирано източена от сметките на жертвата, вкл. чрез завеждане на дело срещу банката, която да възстанови неоторизирано наредените парични средства към сметката на хакера или мулето.

Нередки са случаите, в които жертвите на подобни киберпрестъпления първо подават жалба в обслужващата банка, а едва след това се обръщат към адвокат – след като в жалбата си вече са изложили редица обстоятелства, които сочат на груба небрежност от тяхна страна – което пък намалява шансовете бъдещ иск срещу съответната банка (ако сумите не бъдат възстановени доброволно) да бъде уважен в пълен размер.

Рансъмуер

При този вид киберпрестъпления обикновено се използва злонамерен код или софтуер (malware), който атакува жертвите като криптира (заключва с парола) важни данни с цел получаване на откуп (ransom). Ако жертвата плати (почти винаги в биткоин или друга труднопроследима криптовалута), тогава хакерът обикновено (но не винаги) предоставя на жертвата си парола, с която да декриптира файловете си и отново да има достъп до тях.

Рансъмуер киберпрестъпленията обикновено се делят на първи тип – индивидуални атаки, при които хакерите изпращат спам съобщения до широк кръг нетаргетирани получатели, с очакването някои от тях или да активират прикрепени към имейлите файлове, съдържащи зловреден код (malware), или да отворят хипервръзки, които отново водят до свалянето и инсталирането на устройствата на жертвите на подобен зловреден софтуер. При този тип атака има и елемент на социално инженерство, защото жертвата следва да бъде успешно заблудена сама да инсталира зловредния софтуер.

Вторият основен тип са корпоративните рансъмуер киберпрестъпления, при които хакерите обикновено използват уязвимости (exploits), за да проникнат директно в сървърите на големи корпорации и бизнеси, при което криптирани (заключени) могат да се окажат дори резервните бекап (backup) копия на данните. Ако бекап копията не са засегнати, някои системни администратори предпочитат да възстановят последните налични отпреди хакерската атака записи, което е опция за минимизиране на загубите и неплащане на откуп.

Като цяло последиците от киберпрестъпления може да са пагубни за засегнатите лица, които могат не само безвъзвратно да загубят данните си, но и да понесат огромни финансови загуби. Последният риск може да бъде елиминират или минимизиран от адвокати, които са специалисти в областта на кибер и дигиталното право, както и в сферата на GDPR и защитата на лични данни. Защото по правило при корпоративните рансъмуер киберпрестъпления се засяга поверителността на личните данни на физически лица – клиенти на компанията-жертва, в който случай следва да бъде уведомена Комисията за защита на личните данни (КЗЛД) и са предвидени значителни по размер санкции.

Интернет на нещата

Към интернет на нещата (internet of things – IoT) спадат различни устройства, чието предназначение е съвсем различно от това на класическите компютърни системи (server, desktop, mobile) – напр. умни телевизори, хладилници и др. –  но определени техни функции (напр. пускане на климатик по интернет от разстояние) изискват постоянна връзка с глобалната мрежа.

Добрата новина е, че IoT устройствата не могат да бъдат използвани за типовете киберпрестъпления, свързани с директно причиняване на загуби (напр. източване на банкова сметка). Но именно поради тази причина IoT устройствата по правило са (много по-)зле защитени от кибератаки, което ги прави лесни мишени за хакери.

Инсталирането на зловреден софтуер на едно IoT устройство няма да причини директна загуба на жертвата – собственик на съответното устройство, но въпросното IoT устройство се използва заедно и едновременно с много други такива, които позволява на хакерите да формират „армии“ от компрометирани и заразени с малуер IoT устройства, които извършват атаки срещу различни компютърни системи в мрежата, като напр. блокиране на даден уебсайт чрез DDoS атаки (изпращане на изкуствено генериран трафик от множество заразени устройства едновременно, при което сайтът се претоварва, блокира и не може да бъде използван от потребителите).

Облачни услуги

Най-честите киберпрестъпления при облачните услуги (cloud services) са тип „отказ от услуга“ (DDoS), описани по-горе. Те временно възпрепятстват потребителя да получи достъп до информация и ресурси, тъй като блокират облачните му услуги, но по правило достъпът бива възстановяван в рамките на няколко часа, което обикновено няма фатални последици за потребителите. Последиците за бизнесите обаче са свързани с влошаване на репутацията на организацията, което може съществено да се отрази и на финансовите им приходи.

Значително по-опасните киберпрестъпления са свързани с пробив и неоторизирано влизане в базите данни на съответния доставчик на облачни услуги – което почти винаги е съпроводено с изтегляне на чувствителни данни за потребителите на базата данни, а понякога и с изтриването им. В този случай отново съгласно закона следва да бъде уведомена КЗЛД, тъй като са засегнати лични данни, в резултат на което се развива административно производство, което може да завърши със значителни по размер за съответния бизнес санкции.

Ролята на опитен адвокат при такъв сценарий би била да комуникира съгласно българското законодателство с административния орган и да убеди последния, че клиентът му – доставчик на облачни услуги – е положил всички необходими грижи за предотвратяване на подобни (за съжаление успешни) киберпрестъпления, които изключва санкционирането му за допуснати нарушения.

Търся адвокат в София? Ето как да изберетe

Време за прочитане : 2 мин.

Търся добър адвокат

е популярна реплика сред имащите нужда от юридически услуги. Както при избора на всяка услуга, така и тук, за да намерите добър адвокат, първо трябва да си отговорите на няколко въпроса, за да търсите правилния адвокат:

  1. В каква сфера на правото Ви е необходим адвокат – граждански, наказателен, административен или друг?
  2. Къде търсите адвокат – в София, Пловдив или в друг район?
  3. Има ли други допълнителни критерии, които са от значение за Вас, напр. владеене на чужд език, успешно преминати специализирани курсове и т.н.

Търся адвокат с препоръки

Знаете ли за какво точно търсите адвокат, вече ще е малко по-лесно да се ориентирате при избора му. Винаги е добре да потърсите препоръка от близки и приятели, използвали услугите на адвокат за подобен на Вашия казус. Но не бива да забравяте, че колкото и да са сходни двата казуса, за тяхното разрешаване може да са необходими различни умения, напр. едни адвокати специализират в явяването по съдебни дела, а други работят предимно с оформяне на документи и т.н.

Отзиви за адвокат

Преди да се свържете или срещнете с адвокат, към който сте се ориентирали, може да прочетете отзиви за него в интернет и социалните мрежи, за да прецените дали този адвокат има практика със случаи, близки до Вашия. На следващо място може да проверите образованието и професионалния му опит, за което може да Ви е от помощ и публичният регистър на всички адвокати в страната. В случай, че има онлайн страница съответният адвокат или адвокатската кантора, където работи, разгледайте внимателно съдържанието й. Проучете сферите на специализация на дадения адвокат, с какви проекти и казуси се е занимавал т.е. натрупаната от него практика дали е по случаи като Вашия. Понякога е от значение и местоположението на кантората, в която работи адвокатът, дали е с добра репутация и удобна локация за вас.

Контакт с адвокат

Следващата стъпка е личният контакт – разговор по телефона или най-добре лична среща в кантората. Някои адвокати практикуват първоначалната консултация да е безплатна, а други определят минимален хонорар. Обикновено не особено ангажираните адвокати предлагат безплатни срещи и консултации, но съображенията за хонорара за първоначална консултация може да са различни.

Среща с адвокат

Подгответе се за срещата, като набележите предварително въпросите си, защото така е по-вероятно да получите пълноценна първоначална информация. Споделете всичко, което Ви интересува, защото маловажните за Вас неща, може да се окажат препъникамък за успешно разрешаване на случая Ви. Задайте контролни въпроси, с които да прецените дали адвокатът срещу Вас е висококвалифициран професионалист. Компетентният адвокат ще отговаря точно и ясно на всеки въпрос.

Критерии за добър адвокат

Друг важен белег, че сте попаднали на добър адвокат е, че той ще предложи първо да изследва задълбочено Вашия казус и едва след това ще определи вероятността за благоприятен изход и ще даде конкретен отговор на Вашите въпроси, свързани със сроковете, рисковете, разходите и други по разрешаване на казуса било по съдебен или извънсъдебен ред.

Накратко водещи критерии за намиране на търсения добър адвокат за вашия случай са: предишен опит, добро впечатление при личен и непосредствен контакт, препоръки, ясни и разбираеми съвети. А преди да вземете окончателното решение, че сте намерили търсения адвокат, си задайте въпроса дали сте готов да му доверите, защото липсва ли доверие между адвокат и клиент, това неминуемо ще се отрази при разрешаване на случая.

Източване на банкова сметка или карта чрез хакване на интернет банкиране и успешно оспорване на неоторизирана банкова транзакция онлайн през 2024

Време за прочитане : 10 мин.

Общ преглед

Опасности

Получавате SMS или имейл уведомление, влизате в профила си за интернет банкиране и с ужас установявате, че е налице неоторизирана транзакция и източена банкова сметка или кредитна / дебитна карта. Това е един все по-често срещан сценарий за онлайн кражба, а настоящата статия разглежда източването на лични или фирмени банкови сметки чрез хакерски атаки, мерките за предпазване и опциите за ефективно и пълно възстановяване на щетите от подобна неоторизирана банкова транзакция.

Видове банкиране

Интернет банкирането бива основно 2 вида – активно, при което могат да се правят нареждания на суми онлайн, и пасивно, при което единствено може да се следят движения по сметки и да се правят справки онлайн, но не и да се извършва разпореждане със суми. Източването на банкови сметки посредством хакерски атаки е възможно само в първия случай. Теоретично е възможно източване и при пасивно банкиране, но авторът не е запознат с такъв случай.

Видове защита

При активното онлайн банкиране неминуемо се ползват потребителско име и парола за съответния профил. Но освен това абсолютно всяка банка в България предлага един слой допълнителна защита. Това обикновено са квалифицирани електронни подписи, специални цифрови сертификати на съответната банка, PIN или SMS кодове, предварително генерирани и разпечатани на хартия TAN кодове, или генерируеми на момента и в реално време TOKEN кодове или 3D пароли.

SMS кодове

Изпращането на SMS кодове на телефона на потребителя, титуляр на интернет банкирането, се смята за изключително сигурна опция за допълнителна защита. В такава хипотеза потребителят въвежда потребителско име и парола при нареждане на банкова транзакция, а банката генерира и му изпраща код под формата на SMS съобщение на мобилния му телефон, който код следва също да бъде въведен, наред с потребителско име и парола, за да бъде транзакцията извършена.

Единият риск при тази опция е чисто физическа кражба на телефон, който да попадне в ръцете на хакери, а другата, по-популярна, включва различни опции за атаки от разстояние, при които телефонът е у собственика му, който не подозира нищо.

Хардуерен TOKEN / TAN код

При тази опция на клиента се предоставя хардуерно устройство, т.нар. TOKEN (известно като токен или тоукън). Това устройство генерира уникални кодове в реално време с минимална трайност, обикновено в рамките на 1 минута. Идеята е единствено държателят на това устройство, който би следвало да е оторизиран потребител на онлайн банкирането, да може да извършва банкови транзакции.

Дори хакерска атака напълно да компрометира компютъра или електронното устройство на потребителя посредством инсталирането на зловреден код (вирус, троянски кон или друг малуеър) и дори потребителското име и паролата да бъдат откраднати – съответният хакер или неоторизиран потребител в най-добрия случай ще може да влезе в клиентския профил, но не и да нареди транзакция, защото за тази цел е нужен код, генериран от TOKEN устройството, което чисто физически няма как да се намира в ръцете на хакерите.

TOKEN устройството предоставя още по-сигурна защита, защото не може да бъде клонирано както SIM картите на мобилни оператори. Но е напълно възможно кодовете да попаднат в ръцете на хакер чрез т.нар. ФИШИНГ (PHISHING) атака, която е разгледана по-долу.

Софтуерен TOKEN / 3D парола

Софтуерните токъни и 3D пароли са най-новият „писък на модата“ при 2-факторната автентикация. Те се генерират под формата на код или QR код от устройството на клиента на банката, било то компютър или смартфон. Допълнителен слой защита при мобилните телефони дава мобилният идентификатор, с който разполага всеки смартфон, на който е инсталирано приложение за онлайн банкиране.

Това е един от системните тригъри в банковите системи, който обаче много често банките „проспиват“ при хакване и източване на сметка, но след това, разбира се, се опитват да квалифицират поведението на потребителя като груба небрежност, което разбира се е абсурдно и това става пределно ясно, когато спорът влезе в съд.

Видове атаки

SIM Клониране

Въпреки че SMS кодовете се смятат за сигурна опция за защита, в края на 2021 в България беше разкрита първата масова организирана престъпна схема за източване на банкови сметки чрез клониране на SIM карти на мобилни оператори. Клонирането всъщност представлява активиране на нова SIM карта – пълен дубликат на SIM картата на жертвата на хакерите, която хакерът поставя в своя собствен мобилен телефон, на който пък получава всички SMS кодове за авторизация, а оттам нататък е лесната за хакерите част. Тази атака е възможна в 2 случая – когато хакерът има достъп до телефона на жертавата, за да клонира лично SIM картата му, или когато хакерът има помагач – служител на съответния мобилен оператор, с чиято помощ клонирането става много лесно.

Simjacker / WIBattack

Другият най-популярен вид SMS хакерска атака е т.нар. Simjacker атака, както и нейният по-усъвършенстван „наследник“ WIBattack. Първият тип използва слабости във вградения във всяка SIM карта S@T Browser, а втория – в WIB браузъра, чрез които оперират редица функции на съответния мобилен оператор (проверка на сметка, заявяване на услуги и т.н.).

При Simjacker и WIBattack хакерите изпращат вид системни SMS-и (т.нар. OTA SMS), за които потребителят не бива уведомяван по никакъв начин и няма как да разбере, че е станал жертва на подобна атака. Въпросните SMS-и генерират и обратни SMS-и, изходящи от телефона на жертвата на хакерите, които дават ценна информация на хакерите. По такава схема може да бъде установено местоположението на жертвата (т.е. на практика същата да бъде постоянно следена), могат да бъдат изпращани скъпи SMS-и, да бъдат набирани телефонни номера с добавена стойност и т.н.

Man in the middle

Името на този тип атака („Човек по средата“) напълно отговаря на действителното положение. При този сценарий електронното устройство обикновено е заразено с малуер, който дава на хакера пълен контрол над машината. Следи се комуникацията, като автоматизиран зловреден софтуер „слуша“ за конкретни данни. Когато напр. жертвата натисне бутона „Плати“ в напълно автентичен сайт на онлайн търговец, платежния пакет пристига в компютъра му, но малуерът прихваща потока данни, който не продължава пътя си, а в браузъра се зарежда страница, която прилича на тази на оператора и след въвеждане на данните от потребителя, хакерът вече разполага с тях и може да направи каквито разплащания пожелае.

Хакерът може напр. да нареди плащане в чужбина, откъдето „муле“ може да изтегли сумата, а потребителят, дори да бъде известен с SMS, или не може да се ориентира или вече е твърде късно.

При такива атаки се назначава експертиза, от заключението на която обикновено става пределно ясно, че се касае за хакерска атака, която банката е проспала, най-малкото защото се касае за влизане в онлайн банкирането от непознат IP адрес. Последният може да бъде променен с помощта на ползвана от хакерите VPN услуга, но последната също може да бъде установена при проявено внимание от страна на банката.

Phishing

При класическия фишинг хакерите правят абсолютно или поне максимално точно визуално копие на оригиналния сайт за интернет банкиране, но всъщност сайтът не е на съответната банка, а под контрола на хакерите. В масовия случай хакерите изпращат до жертвата имейли, в които се съдържа покана за предприемане на определени действия (напр. потвърждаване на информацията в профила за онлайн банкиране), често придружена със заплаха от неблагоприятни последици (напр. закриване или изтриване на профила, ако бездействате).

Чисто визуално, на имейл съобщението е придаден вид, че изхожда от съответната банка, но ако се вгледате в адреса на подателя, веднага бихте забелязали нещо нередно – напр. вместо някаквоиме@ibank.bg, в полето за изпращач ще прочетете ibank@каквотоидае.bg. Това е най-сигурният белег, че се касае за опит за измама. Освен това сигурно ще може да видите връзка от сорта на https://ibanking.ibank.bg/, но при щракването на връзката ще се отвори съвсем друг адрес. На който разбира се ще се зареди страница, която визуално изглежда точно като оригиналната страница на съответната банка.

Значи вече сте влезли в сайт, под контрола на хакери, но си мислите, заблудени от дизайна, че сте на автентичния сайт на Вашата банка. И въвеждате всички данни, необходими за влизане във Вашия профил. Обаче не влизате в профила на интернет банкирането, а излиза каквото и да е друго съобщение, обикновено за грешка 404 или временна недостъпност на страницата поради системна поддръжка. Видите ли такова съобщение, тогава значи хакерите вероятно вече разполагат с всички данни, необходими за извършването на неоторизирана банкова транзакция онлайн.

SS7 exploits

SS7 (Signaling System 7) международен телекомуникационен стандарт, по който оперират публичните мрежи (PSTN), в т.ч. и мобилните GSM оператори. Стандартът датира от 1988, а последната му ревизия е от далечната 1993 година, но въпреки това се използва дори при 5G мрежите от последно поколение. SS7 системата най-общо казано задава стандарта и контролира провеждането на разговори, вкл. и всички допълнителни услуги, предлагани от телекомите, като SMS, MMS, гласова поща, роуминг и т.н.

SS7 системата не е публична и се използва само от телекомите. Индиректно се използва и от потребителите на телекомите, но крайните потребители нямат директен достъп до нея. Хакерите обаче намират слабости и уязвимости в системата (exploits) и понякога успяват, макар и само временно, да „пробият“ системата и получат достъп до нея. А случи ли се това, хакерите на практика могат да правят каквото поискат – от клониране на SIM карта, до изпращане на невидими за потребителя системни съобщения, както и подслушване на разговори и четене на SMS съобщения (напр. съдържащи данни за автентикация в системата на някоя банка).

SMS spoofing

Този тип атака е разновидност на класическия фишинг. При нея се изпращат SMS съобщения, които на пръв поглед са от легитимен източник (напр. център за обслужване на клиенти на банка) и приканват потребителя да отвори линк. Този тип атака е сравнително лесна за изпълнение и от неособено висококвалифицирани хакери, дотолкова, доколкото в архитектурата на SMS протокола не е заложена системна проверка на изпращача в SS7 системата, ползвана от мобилните оператори, и съответно не е необходим пробив на тази система, което е доста по-сложно от техническа гледна точка. SMS спуфингът се корени именно в това – че хакерите сравнително безпрепятствено могат да фалшифицират номера на изпращача на SMS и така да заблудят средностатистическия потребител.

Зловредните спуфинг SMS-и по правило съдържат линк, при отварянето на който се инсталира малуеър, инфектиращ различни видове електронни устройства – десктоп системи или лаптопи, най-често с Windows и Mac OS, мобилни устройства базирани на Android или iOS и др. След инфектирането на електронното устройство на потребителя, по правило хакерите установяват пълен контрол и буквално от другия край на света могат да извличат и изпращат всевъзможни данни, вкл. пароли и други средства за автентикация, дори без знанието на потребител. Дори на потребител с повече от средностатистическа дигитална грамотност.

Фалшив IBAN

Разновидност на Phishing и Man in the middle е хакерската атака, при която престъпниците, обикновено чрез фишинг прийоми добиват контрол върху електронното устройство на клиента на съответната банка. След това започват да следят неговата кореспонденция, вкл. изпращаните и получавани имейли.

В нормалната си дейност търговските дружества изпращат фактури по имейл, след което същите се заплащат онлайн или офлайн. Когато започне такава напълно реална кореспонденция между търговски партньори, единият (доставчик) изпраща фактура на другия (получател на стока или услуга), която следва да бъде платена. Получателят много добре знае, че такава фактура следва да бъде платена (защото преди това е проведена имейл кореспонденция или телефонни разговори с параметрите на сделката) и по никакъв начин не би се усъмнил, когато получи имейл с приложена фактура от контрагента си.

Измамата се състои в това, че хакерите прихващат автентичния имейл, който никога не достига до получателя. Изтеглят обаче приложената фактура и обикновено единственото, което правят е да променят IBAN номера на сметката на получателя на плащането. Обикновено дори фирмените данни не се променят. След това тази фалшифицирана фактура се прикача и се изпраща до получателя й, като много често дори се използва оригиналното съдържание на оригиналния имейл (който, както беше изяснено по-горе, е бил прихванат и никога не е бил доставен). И след това добросъвестният получател получава имейла и прави плащането по сметката, посочена във фактурата. Но IBAN номерът е на сметката на хакерите, въпреки че са изписани абсолютно истински фирмени данни. И по този начин парите безвъзвратно заминават по сметка на хакерите.

Банкови карти

Legacy

За източването на сметки не е необходимо да имате онлайн банкиране, достатъчна е дори само една физическа банкова карта (пластика). Преди въвеждането на актуалните банкови карти с чип се използваха карти с магнитна лента, базирани на EMV (Europay, Mastercard, Visa) стандарта за комуникация, който използваше MSD (Magnetic Stripe Data) протокол при картите Visa и респ. PayPass M-Stripe при Mastercard.

Преждеизброените стандарти са доста остарели и уязвими към атаки и затова бяха заменени с нови такива при новото поколение безконтактни карти с чипове. За съжаление старите стандарти са на много места все още приложими в режим „Съвместимост“ (legacy mode) и това неимоверно улеснява хакването и източването дори на най-модерните и защитени карти, тъй като, вместо да разбиват криптирането им, хакерите просто използват споменатия legacy mode.

NFC

Най-новите карти с чип са безконтактни и работят по NFC (Near Field Communication) стандарта за безжична комуникация, при който се безжично се предават данни на честота 13.56 MHz. Всички модерни телефони с ОС Android (Google) / iOS (Apple) разполагат с NFC хардуер, който им позволява да изпълняват същата роля като банкова карта с чип и на практика да заместят последната. Когато данните от картата се копират в телефона (т.нар. дигитализиране), телефонът осъществява абсолютно същата комуникация и за един POS терминал няма значение дали до него доближавате карта с чип или NFC хардуер (мобилен телефон, часовник и др.).

Добрата новина, доколкото може да има такава, при все по-зачестяващите измами с карти, е, че самите криптографски ключове на картите с чип са трудно уязвими и това е една от причините с клонирана карта да бъде използвана за плащания по интернет, като това е възможно само на физически POS терминали за разплащане.

Видове злоупотреби

На първо място сред начините за злоупотреба с и източване на банкова карта е нейната чисто физическа кражба или придобиване и държане по друг начин. За теглене на пари в брой на ATM (банкомат) е необходимо въвеждането на ПИН код, което затруднява крадците и затова те предпочитат плащането на POS терминали, където не се изисква ПИН код. Съгласно евродирективата PSD2 има въведени лимити за плащане без ПИН, но хакерите прилагат различни способи за преодоляване на това ограничение, особено ако картата е в тяхно държане.

Друг все повече набиращ популярност метод е т.нар. скимиране, което е възможно да бъде осъществено поне по няколко различни начина. Първият и най-стар е инсталирането от хакери на допълнителен хардуер на иначе автентични ATM и POS, напр. двойна клавиатура, четец на магнитна лента и т.н. Във връзка с това е препоръчително използването на банкомати, които са оборудвани с камери за наблюдение – там хакерите избягват да извършват подобни измами.

По-модерно напоследък е безжичното прихващане на карти и NFC портфейли. Ако напр. държите банкова си карта (или телефон, в който тя е дигитализирана) в задния си джоб докато чакате на опашка в магазин, хакер може да прихване NFC сигнала на картата или телефона, ако се доближи на по-малко от 10 см от тях. Затова е препоръчително NFC функцията да бъде включвана само при плащане, а картите могат да се държат в специални RFID блокери (продават се кожени портфейли с такава защита, но същата работа върши и станиол, напр. от шоколад, който блокира излъчването на безжични сигнали от картата или телефона).

Apple/Google Pay/Wallet

Същност

Портфейлите (wallets) на Google и Apple са приложения за операционните системи Android и iOS, които представляват платформи за разплащания. Една от основните им функции, използвана от хакерите, се състои в т.нар. дигитализиране на банкови карти, което представлява „вкарването“ на картите в съответния портфейл за бъдеща многократна употреба.

Видове злоупотреби

Хакерите използват два основни способа за източване на суми от картите на потребители – или чрез поемане контрол върху електронното устройство на крайния потребител (чрез инсталиране на троянски коне, spyware или друг тип malware) и извършването на транзакции от директно от него, или чрез кражба на данните на банкови карти. В последния случай хакерите дигитализират картите на потребителите директно на свои собствени устройства, от които извършват неоторизирани транзакции.

Кражба на данни

Основен въпрос във връзка с горното е как могат да бъдат откраднати нечии данни. На първо място това е възможно чрез хакване на онлайн бази данни, в които потребителите са правили разплащания или в които се съдържат данни за техните карти. Възможни са и течове дори от сайтовете на самите банки издатели на картите.

Най-сложена е кражбата на токените за мултифакторна автентикация (3D пароли и др.), като там предпочитани методи са фишингът или зловредни приложения, на които сте дали системни права (permissions) да четат или изпращат SMS или нотификации, в които често се съдържат токени за потвърждение на различни действия – от създаване на портфейл (напр. Apple wallet) или дигитализирането на карти в него до разплащания.

Дигитализация

Предпочитаният напоследък от хакерите метод за източване е чрез дигитализиране на откраднати (данни на) кредитни или дебитни карти, след което започват да я източват чрез правенето на различни покупки чрез офлайн терминали, при плащането на които не се изисква нито въвеждане на ПИН код, нито наличие на физическа карта, а единствено мобилно устройство с NFC функционалност.

Основен въпрос в случая е за мерките против измами в тази връзка, които банката е взела, за да предотврати подобни измами. Опитен адвокат може да изследва въпроса и да постави банката „на тясно“, при което същата няма друг изход, освен да признае претенциите на клиента, чиито средства са били източени.

Спешни действия

Блокиране

Когато „белята“ вече е станала, все още не е прекалено късно. Следва обаче веднага да направите едно нещо – незабавно да се обадите на Вашата банка, която незабавно да блокира профилът Ви в онлайн банкирането, за да не могат да се извършват транзакции. Ако не направите това, вероятно съвсем скоро ще разберете, че сте наредил определена сума на определено трето лице, което не познавате.

Жалба

Силно препоръчително е и своевременното подаване на жалба в полиция или прокуратура. В резултат на която вероятно ще бъде образувано полицейско производство, по което ще бъде установено, че някое трето лице, т.нар. бушон или муле, е изтеглило в брой въпросната сума, с която Вие сте „олекнали“ и я е предало на непознати нему трети лица, които са му оставили нищожна част от сумата като вид възнаграждение за извършената от него услуга по получаване на превод от непознато лице и предаването му в брой на друго непознато лице.

Хакерите, разбира се, ще останат неразкрити, а изтеглилото и предало им сумата лице меко казано няма да е в добро финансово състояние и съответно няма да има смисъл въобще да се опитвате да си възстановите сумата от него.

Възстановянане на сумите

Отговорност

В горния случай изниква въпросът – кой носи отговорността и за чия сметка са финансовите загуби в резултат на подобна измама? Със сигурност и банката, и мобилният оператор ще се опитат да измият ръцете си с потребителя. И не е изключен вариант, напр. при груба небрежност, при който наистина потребителят, независимо дали обикновен гражданин или бизнесмен, понася цялата отговорност и всички финансови загуби.

Затова е повече от препоръчително, още в началния етап на осъществяване на престъпната схема, пострадалото лице да се консултира с опитен адвокат, който знае какво следва да бъде направено и запазено като доказателства, за да бъде пострадалото лице впоследствие напълно обезщетено за всички загуби. Компетентен адвокат може да се намеси напълно ефективно и на по-късен етап, но принципът е, че колкото по-рано – толкова по-добре.

Оспорване

Предвид горното, очевидно загубата ще трябва да бъде понесена или от банката, или от клиента. Или с други думи единствената възможност за клиента да възстанови сумата, източена от банковата му сметка, остава оспорването на неоторизираната банкова транзакция.

Банката, разбира се, в масовия случай ще прехвърли вината върху клиента, дори евентуално ще вземе компютъра или електронното му устройство за експертиза, в резултат на която ще достигне до извод, че клиентът не е положил дължимата грижа съгласно договора за ползване на онлайн банкиране или общите условия към него и предвид това… няма да му възстанови източената неправомерно сума. Съдебната практика обаче е категорична за съдържанието на понятието „груба небрежност“ и тълкуванието на банките почти винаги е друго.

В случая е важна намесата на компетентен експерт, напр. адвокат по банково право, който е запознат как функционират онлайн системите на различните банки. Това помага да се отсеят неоснователните защитни твърдения на съответната банка, с която същата отхвърля претенциите на пострадалите клиенти. Ако напр. се касае за много последователни преводи на по-малка стойност, а не на цялата сума с един превод, това само по себе си не е недопустимо. Но много често, ако се проследят под лупа всички тези преводи, може да се установи пропуск в онлайн системата за сигурност на съответната банка, която е следвало да реагира своевременно и да блокира или изходящите преводи, или въобще целия клиентски акаунт.

Обикновено следват жалби до съответния надзорен орган, който обаче нерядко прехвърля топката обратно към банката и нейния клиент и така се стига до една задънена улица.

Дело

А изходът от горната ситуация е надлежното оспорване на неоторизираната банкова транзакция по съдебен ред или казано с други думи – завеждане на дело срещу банката. Обикновено отпорът от страна на банката е твърд – пълен отказ за споразумение или комуникация дори.

Впоследствие, при завеждане на дело, насрочване на съдебни заседания и назначаване на експертизи, съответната банка има опции да започне да „омеква“ и да предлага компромисно споразумение на клиента, чийто адвокат е поставил доста „неудобни“ въпроси на вещото лице по делото, чиито отговори пък са още по-смущаващи за защитната теза на банката.

И така е напълно възможно да се стигне до момента, в който банката сама моли за извънсъдебно споразумение за възстановяване на клиента на цялата източена от сметката му сума плюс целия заплатен адвокатски хонорар и всички направени в съдебното производство разноски, само и само да не се стигне до постановяването на съдебно решение.

Спечелени дела

Съдебната практика познава много различни случаи на успешно осъдени банки, които възстановяват откраднатите суми на клиентите си, независимо дали са търговски дружества (фирми) или физически лица (потребители).

И то не само чрез хакерски атаки и интернет банкиране, но и при „офлайн“ измами, при които напр. счетоводител на фирма бавно и методически е източвал фирмена сметка с неподписани от управител документи.

Има дори случаи, в които първо банката е осъдена да върне откраднатите суми, а след това е осъдена да заплати обезщетение на клиента за неимуществени вреди – изгубено време и нерви при оспорването на транзакциите, необходимост от водене на дела, за да се докаже правотата на клиента и т.н.

Загубени дела

За съжаление в практиката са срещани и загубени от клиентите дела, което се дължи на няколко основни причини.

На първо място това са прибързани действия от страна на клиента, напр. след блокирането на онлайн банкирането или картата си, клиентът посещава клон на банката, където излага несъгласувани с адвокат обстоятелства, които впослествие са използвани от банката изцяло в негов ущърб.

Друга причина е недостатъчно задълбочено изследване на конкретния казус, в резултат на което може да се окаже, че е предявен иск с една обстоятелствена част, а разследващите или съдът впоследствие установяват ако не коренно, то съвсем различна такава.

Предвид горното е препоръчителна спешна консултация с адвокат веднага след най-неотложните действия по блокиране на карти или акаунти.

Електронен документ

Време за прочитане : 4 мин.

Електронен подпис – видове съгласно Регламент (ЕС) № 910/2014

Валидност и оспорване на електронен документ пред съд по ГПК

КЕП или „квалифициран електронен подпис“ често се използва като синоним на общото понятие „електронен подпис“ в България. Трябва обаче веднага да бъде пояснено, че електронните подписи биват 3 различни вида – „обикновен“, усъвършенстван (УЕП) и квалифициран (КЕП). Материята е уредена в Закона за електронния документ и електронните удостоверителни услуги (ЗЕДЕУУ), Закона за електронната идентификация (ЗЕИ) правилника за приложението му, както и Регламент (ЕС) № 910/2014 на Европейския парламент и на съвета от 23 юли 2014г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО.

  • „Обикновеният“ електронен подпис според Регламента и закона съставлява данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва. Т.е. тук няма никакво друго изискване, освен логически свързани данни в електронна форма. Оттам следва изводът, че дори един обикновен имейл подпис или подпис с химикал на хартия, който след това е бил сканиран и записан в електронен вид в JPG или PNG формат и вмъкнат в PDF или DOCX файл, също представлява електронен подпис по смисъла на действащото законодателство. Следва да се има предвид, че при сканираните подписани документи, съдебната практика възприема по-особена позиция.
  • Усъвършенстваният електронен подпис (УЕП) следва да отговаря на повече изисквания, а най-популярният такъв е DocuSign. На първо място трябва да е свързан по уникален начин с титуляря, така че да може да го идентифицира. Освен това трябва да е създаден чрез данни за създаване на електронен подпис, които са под контрола на титуляря, но най-вече следва да има техническа възможност за проследяване на неоторизирани промени в даден подписан документ. Последната възможност отсъства по подразбиране при „обикновения“ електронен подпис, което го прави много по-лесен за подправяне. Обикновения и усъвършенствания електронен подпис имат правно значение на саморъчен по силата на законова фикция, само когато страните са постигнали съгласие за това, т.е. страните се договарят тези два вида електронни подписи да са равносилни на саморъчния подпис с химикал върху хартия.
  • Квалифицираният електронен подпис (КЕП) отговаря на най-високите възможни изисквания и затова по силата на закона в целия ЕС КЕП се ползват с абсолютна доказателствена стойност относно авторството им. С малки изключения, разбира се, като напр. подписването на нотариален акт, което по силата на закона следва да стане не онлайн, а лично, по възможно „най-аналоговия“ възможен начин – чрез саморъчно полагане с мастило и съответното пишещо средство пред нотариуса, който лично се е уверил в самоличността на подписващото лице. Като цяло съдебната практика е категорична, че от приложното поле на ЗЕДЕУУ, уреждащ електронния документ и електронните удостоверителни услуги, са изключени единствено сделките, за които законът изисква квалифицирана писмена форма, а във всички останали случаи, дори да не са изрично предвидени в закона, КЕП е 100% допустим и приложим. Съгласно закона КЕП на практика представлява УЕП + 2 допълнителни изисквания – а/ да бъде създаден от устройство за създаване на КЕП и б/ да се основава на удостоверение за КЕП. Удостоверение за КЕП с прости думи е базата данни, съдържаща записи на всички КЕП, издадени от даден доставчик на квалифицирани удостоверителни услуги (в България те са едва няколко – „ИНФОРМАЦИОННО ОБСЛУЖВАНЕ“ АД [StampIT], „БОРИКА – БАНКСЕРВИЗ” АД [B-trust], „ИНФОНОТАРИ“ ЕАД [InfoNotary], „СПЕКТЪР” АД, „СЕП БЪЛГАРИЯ” АД). А устройство за създаване на КЕП е хардуерната част, предоставяна от доставчиците, като обикновено се състои от USB устройство (т. нар. флашка), в която се поставя памет (обикн. SIM карта), върху която се съдържат данните за КЕП.

Електронен документ пък е всяко съдържание, съхранявано в електронна форма, по-специално текстови или звуков, визуален или аудио-визуален запис. ЗЕДЕУУ казва, че „писмената форма се смята за спазена, ако е съставен електронен документ, съдържащ електронно изявление“. Електронните документи се признават за напълно валидни дори и като доказателство в съда, където са приравнени по сила на обикновените писмени документи на хартия. Такъв документ може да бъде представен на съда при евентуален съдебен спор на хартиен носител, заверен от страната, която го прилага по делото. Възможно е насрещната страна или съдът обаче да изиска представянето на документа и на електронен носител.

Успешното оспорване или доказване на фалшификация на електронен документ и електронен подпис е в зависимост най-вече от вида му. На пръв поглед най-лесен за оспорване е електронният документ, подписан с обикновен електронен подпис, като напр. имейл съобщение, което може да съдържа както едностранно волеизявление (напр. покана, заявление, предизвестие и т.н.), така и двустранен договор, с който двете страни (имейл адресати) трябва да се съгласят. Трайната съдебна практика приема, че разменените електронни съобщения между две страни представляват електронни изявления и могат да служат като доказателство за сключване на търговска сделка. „Тънкият“ момент тук се състои в това, че едно електронно съобщение се счита за доставено и получено по смисъла на закона с постъпването му в информационната система на адресата или друга информационна система. Съгласно практиката на съдилищата у нас, успешната комуникация между два сървъра е достатъчна, за да се приеме осъществена връзка и обмен на данни между две информационни системи, и респективно да се приеме, че съобщението е доставено, а фактът, че получателят не си е отворил електронната поща е без правно значение. Или с други думи, ако един търговец напр. има регистриран имейл акаунт в mail.bg и изпрати електронно съобщение до друг търговец с имейл акаунт в abv.bg, то съобщението се счита, че е достигнало до знанието на адресата с постъпването му в IT инфраструктурата на доставчика на електронна поща abv.bg. В следващата милисекунда обаче сървърът на abv.bg може да реши, че напр. изпратеното съобщение представлява зловредно (malware) или непоискано съобщение (spam) и да го прихване и изтрие, без съобщението да достигне до пощенската кутия на адресата. Когато става въпрос за сделки на стойност много хиляди или милиони левове, възможни са и „виртуозни“ изпълнения, целящи заобикалянето на закона, като напр. фалшификация на имейл адрес (e-mail spoofing), в който случай имейлът изглежда като напълно автентичен и изпратен от съответния имейл акаунт, но съдебно-техническа експертиза може да открие компрометирани записи при съответния хостинг акаунт, които, в съвкупност с други доказателства, свидетелстват за умишлено изпратено неавтентично (фалшифицирано) електронно съобщение. Или пък напр. изпращане на напълно валидно волеизявление за прекратяване на договор, съдържащо се в имейл, в който имейл обаче умишлено са добавени сливащи се визуално с фона записи, които обаче се засичат от филтрите на имейл доставчика и увеличават т.нар. spam score на имейл съобщението, което постъпва в системата на адресата (т.е. от законова гледна точка се счита за достигнало до знанието на адресата), но веднага след това бива терминирано като нежелано търговско съобщение и въобще не достига до имейл пощенската кутия на адресата. В подобни ситуации се препоръчва намесата на компетентен адвокат или техническо лице, което може да установи подобни незаконосъобразни действия и защити интереса на представляваното от него лице.

КЕП поначало не подлежи на оспорване. Това важи и когато титулярят на КЕП е предоставил идентификационните си данни на трето лице и третото лице фактически е подписало даден документ, а не титулярят. В този случай законът обаче допуска да бъде направено оспорване от самия титуляр, но то ще има действие само занапред. И все пак, важно е да се има предвид, че не подлежи на оспорване авторството, но подлежат на оспорване редица други атрибути на даден електронен документ, като напр. датата на подписване на документа. Един опитен адвокат по IT право знае, че има различни видове КЕП, като някои от тях включват и дата на подписване (time stamp), а наличието или липсата на такава може да доведе до успешно оспорване на електронен документ.

Валидността и оспорването на електронен подпис има връзка със задълбоченото познаване на различните технически спецификации на КЕП, които се съдържат в Регламент (ЕС) № 910/2014.

  1. Възможни формати на самия КЕП
    1. CAdES – upgrade на популярния CMS/PKCS7 формат, позволява различни нива на подписване на всевъзможни видове файлове. Файловите разширения на този формат са .p7m (при ENVELOPING тип подпис) и .p7s (при DETACHED тип подпис).
    2. PAdES – за подписване само на PDF файлове, допустим е единствено ENVELOPED тип подписване, а разширението след подписването си остава .pdf.
    3. XAdES – за подписване само на XML файлове, единственият, който поддържа и трите типа подписване – ENVELOPED, ENVELOPING и DETACHED, а разширението след подписването си остава .xml.
  2. Възможни формати на файловете след подписване
    1. ENVELOPED – 2 в 1, подписът се интегрира в подписвания файл и разширението на файла си остава същото, приложим при PAdES, XAdES.
    2. ENVELOPING – 2 в 1, целият подписван файл се „вкарва“ във файла на подписа, а разширението на файла се променя, приложим при CAdES и XAdES.
    3. DETACHED – подписът и документът са в 2 отделни файла (1 оригинален файл + 1 файл-подпис), приложим при CAdES и XAdES.
  3. Възможни нива на подписване
    1. BASELINE_B – най-базовото възможно ниво на електронния подпис. Удостоверява единствено авторството на подписания документ.
    2. BASELINE_T – BASELINE_B + добавен атрибут за време на подписване (time stamp).
    3. BASELINE_LT – BASELINE_T + добавени атрибути CRL и OCSP, осигуряващи валидността на подписа чрез проверка единствено на подписания файл, без да се изискват допълнителни проверки като статус на удостоверението за КЕП или търсене на сертификационната верига на удостоверението за КЕП.
    4. BASELINE_LTA – BASELINE_LT + добавени атрибути, позволяващи периодично актуализиране на удостовереното време и валидацията на подписа дълго време след създаването му. Или с прости думи, дори някой ден доставчикът на КЕП да престане да съществува, заедно с базата данни, в която може да се провери валидността на подписан с КЕП документ, последният все още ще може да бъде проверен.

Регистрация на онлайн аптека и изисквания за продажба на лекарства по интернет

Време за прочитане : 2 мин.

Продажбата на лекарства по интернет е поредният клон на онлайн търговията, който претърпя бурно развитие по време на пандемията от COVID-19. При поръчка в онлайн аптека, всеки може да закупи определени лекарства и хранителни добавки, без да се налага физически да посещава аптека, а основното ограничение при регистрацията и работата на аптеките онлайн е, че имат право да продават по интернет само лекарства, за които не се изисква рецепта. Така например, пациент не може да се снабди легално напр. с антибиотици, които обикновено са предписвани от личните лекари.

За да може да функционира законосъобразно една онлайн аптека, тя първо трябва да бъде регистрирана надлежно, а след това има законови и подзаконови изисквания, на които трябва да отговаря. Част от тях са валидни за всички онлайн търговци – напр. касаещи сключване на договори от разстояние, защита на потребителите, защита на лични данни (които в случая са чувствителни и изискванията са специални, а санкциите са по-високи) – но други са специфични точно за тази дейност, напр. задължителна регистрация на интернет сайта в Изпълнителната агенция по лекарства (ИАЛ) и т.н. В сайта на ИАЛ има публичен регистър с всички регистрирани онлайн аптеки, така че ако пациент не е сигурен дали и откъде да поръча някое лекарство онлайн, може да направи бърза справка за лиценза на дадена онлайн аптека и да направи поръчка или пък да подаде сигнал за незаконна дейност на онлайн търговец на лекарства.

Особено съществено изискване за откриването на онлайн аптека и нейната регистрация е нейният собственик да има разрешение за продажба на лекарствени продукти на дребно, т.е. да е собственик на офлайн аптека. Друго специфично изискване е задължението по Наредба за предоставяне на консултации във връзка с дейността. Наред с това, собственикът трябва да разполага и със специални превозни средства, които да осигурят максимална защита на лекарствените продукти, предлагани в интернет аптеката. Има и изискване за доставка в рамките на 24 часа.

В последно време, поради все повече увеличаващият се брой интернет аптеки, върху тяхната дейност започна да се упражнява все по-строг контрол. В тази връзка, както всеки онлайн магазин, аптеката трябва да има прецизно изготвени Общи условия, задължителна Политика за защита на личните данни, както и други специфични документи, защото именно в тази насока проверките от страна на надзорните органи са най-чести. В същото време сравнително масово онлайн аптеките нямат изготвени специално за тях и подходящи за дейността им такива задължителни документи, а има и такива, които копират подобни документи от други сайтове, но всички тези пропуски няма как да не бъдат констатирани от проверяващите органи, които налагат съответните санкции, които обикновено са в размер на няколко хиляди лева. Затова е препоръчително съгласуването на работата на онлайн аптеката между няколко категории експерти – IT специалисти, които поддържат сайта, счетоводители, които осчетоводяват поръчките и транзакциите, и юристи, които съгласуват с предходните 2 фигури и собственика на бизнеса наложителни от законова гледна точка промени във функционирането на сайта.

Както при всеки друг сайт за онлайн търговия, онлайн аптеката също има нужда от изготвяне на важна документация, съобразена изцяло с настоящото национално и европейско законодателство, с цел търговецът да не бъде подложен на имуществени санкции поради несъответствие на сайта си със законовите изисквания. И в тази връзка, дори вече да имате изготвен и функциониращ сайт за продажба на лекарства, препоръчително е компетентни лица в областта на приложимото законодателство да направят правен одит и да дадат компетентно становище какво следва да бъде ревизирано на сайта, така че рискът от санкции от надзорните органи да бъде сведен до нула. Юридическият одит обикновено струва многократно по-малко от дори от първата и най-лека санкция, която може да бъде наложена от проверяващи органи, а освен него, адвокат с опит в електронното право би могъл, срещу повече от приемлива месечна такса да сключи официален договор с онлайн аптеката, по силата на който да предоставя текущи правни консултации при всеки възникнал въпрос или проблем и да бъде официален контакт с надзорните органи в случай на проверка.

Електронно правосъдие – подаване на документи до съда и получаване на призовки и уведомления по електронен път

Време за прочитане : 3 мин.

Усъвършенстваната електронна среда по света и у нас накараха дори и съдът да въведе възможност за подаване и за получаване на съдебни книжа дистанционно – по електронен път. Макар и все още малко неясно и някак недовършено, електронното правосъдие вече е факт у нас от началото на месец юли 2021г. Промените в ГПК бяха приети още в края на миналата година, след поредната вълна от коронавируса и масовите апелации от страна на властите да не се ходи до различните държавни институции, вкл. съдилищата, ако не е наистина необходимо. Както можем да разберем, все пак е нужно известно технологично време за влизане в действие на новите възможности. И така, какво предвиждат те?

Още преди повече от година Висшият съдебен съвет (ВСС), заедно с Министерството на правосъдието създадоха така наречения „Единен портал за електронно правосъдие“ (ЕПЕП). Този портал дава възможност, след регистрация, страните по конкретните съдебните дела да виждат всички документи в сканиран вид. Т.е. поне в тази насока не се налага за всяко нещо да се ходи до съда и да се преглеждат материалите по делото, за да може страната или неин представител (най-често адвокат) да се запознае с поредната молба на ответната страна, разпореждане или постановление на съда. Тук разбира се, все още не е напълно избегната опасността да не се виждат абсолютно всички документи, тъй като това зависи от човешкия фактор, който трябва да снеме копие от всеки документ по делото и да го „качи“ в портала. Така че на този етап все още не можем да бъдем напълно сигурни, че виждаме всичко без да излизаме от вкъщи или от офиса. От друга страна, през последните месеци вече почти всички съдилища в страната вече са технически свързани с ЕПЕП, с изключение на Административен съд – София област, Административен съд – Смолян и Военно-апелативния съд. Така, във всеки един друг съд може да се направи регистрация на профил в портала. За достъп до конкретно дело обаче страните трябва да подадат заявление до съда, който разглежда делото им. Отделно от достъпа до книжата по делото, страните имат възможност да посочат дали са съгласни да получават призовки също чрез ЕПЕП. Разбира се, ако някой не е съгласен с това, призовката му ще бъде изпращана по старомодния начин – на хартия, чрез помощта на призовкар.

 Нека да разгледаме опциите, които предоставя електронното правосъдие. Според промените в ГПК връчването на съдебни книжа може да се извърши по четири начина: 1) чрез ЕПЕП; 2) чрез квалифицирана услуга за електронна препоръчана поща; 3) чрез посочена електронна поща или 4) на хартия на настоящия или при липса на такъв, на постоянния адрес на страната. Трябва да имате предвид, че различните опции доказват по различен начин момента на връчването, което в съдебното производство е изключително важно с оглед упражняване правата на страните. Така например, ако съобщението е връчено чрез ЕПЕП (ако страната е дала изричното си съгласие за това) или чрез квалифицирана услуга за електронна препоръчана поща, съобщението се счита за връчено от момента на изтеглянето му. Ако обаче в 7-дневен срок съобщението не бъде изтеглено от неговия адресат, то се счита за автоматично връчено на следващия, 8-ми ден от изпращането му. Този срок важи и ако съобщението от съда е изпратено на обикновената електронна поща на адресата. В този случай обаче има разлика от кой момент започва да тече – не е от изтеглянето, а от потвърждението на получаването му. Ако потвърждение липсва, връчено се счита на 8-мия ден от изпращането.

По време на въведените сериозни ограничения миналата година, съдилищата масово издаваха заповеди страните по делата, както и техните представители, да подават документите си дистанционно. Тогава те обявяваха на кои именно служебни съдебни имейли можеше да се прави това, като разбира се документите трябваше да са подписани с квалифициран електронен подпис (КЕП). След влизане в сила на промените в ГПК повечето съдилища продължиха да използват тази практика – да приемат електронни изявления по имейл. Районен съд – Пловдив обаче изрично отказва, като за целта се позовава на вътрешна заповед, според която електронни документи трябва да бъдат изпращани само чрез ЕПЕП (което към момента все още няма такава осигурена физическа възможност) или чрез системата за сигурно електронно връчване на Държавна агенция „Електронно управление“. Изрично в съобщението на съда се подчертава, че „електронни документи, изпратени от служебни и лични имейли, извън посочените по-горе два начина, няма да бъдат приемани и администрирани“. Това съобщение, което е напълно възможно да е обявено и от други съдилища, смятаме че е в разрез със законодателните норми. В Наредба № 6 на ВСС, макар и по изключение (което не е пояснено в какво се изразява), е предвидена възможност за изпращане на книжа от страна по делото на електронен адрес на съда. Също така, в ГПК е посочено, че съдът не може да откаже да приеме действия в електронна форма, ако изявленията са подписани с КЕП.

Отделно от това, с времето се установи, че в системата ЕПЕП реално има известно забавяне. Така например, е много възможно призовкар да дойде на място и да Ви връчи определение, разпореждане на съда по делото или препис от молба на насрещната страна преди реално тя да е качена в електронното дело. Това, от своя страна, води до извода, че към този момент очевидно ЕПЕП не е толкова надежден източник за своевременна информация.

И не на последно място следва да бъде отбелязан и друг съществен факт – таксите. За образуване на едно дело, за назначаване на някакъв вид съдебна експертиза, се дължи внасяне на държавна такса по сметка на съда. Има обаче и случаи, в които едната страна по делото депозира молба до съда, от която обаче трябва да бъде връчен препис (копие) на насрещната страна. Обикновено, ако тази молба е подадена на място в съда или по пощата, се прилага и копие, което да бъде връчено на другата страна. Когато обаче се използва възможността за изпращане на изявления чрез ЕПЕП например, страната подава конкретния документ, който логично, трябва да бъде разпечатан и да бъде изпратен на страната по делото (става дума за преписа), ако тя не е изявила желание да получава документи чрез същата система. Така е записано и в ГПК: „Към електронните изявления преписи за страните не се представят“. За това действие от страна на съда, страната, която е подала молбата си онлайн, заплаща такса на брой страници, съответно 2 лева за първа и по 1 лев за всяка следваща страница. Реално, по-изгодно излиза на страната да си изпрати молбата, заедно с преписа за другата страна по пощата.

Законът и криптовалутите – правила и изисквания за търговия

Време за прочитане : 3 мин.

Закон за виртуалните валути, базирани на блокчейн (blockchain) технологията, все още няма, нито в България, нито в ЕС, нито в някоя друга развита държава, въпреки че търговията с криптовалути (Bitcoin, Ethereum и др.) процъфтява вече години наред. Надзорните органи в различните държави издават спорадични указания, препоръки и предупреждения, но това няма нищо общо със създаването на правнорегламентирана рамка, към която криптотърговията да се придържа, за унифицирани законови изисквания да не говорим.

Имайки предвид горното, малките и индивидуалните играчи на криптопазара обикновено не предприемат никакви мерки за съответствие със законодателството и това е донякъде оправдано, защото за това се изискват допълнителни разходи. При малко по-големите и средни играчи на пазара на виртуални валути обаче е препоръчително вземането на превантивни мерки, които могат да им спестят между малко и много главоболия с всевъзможни държавни институции за в бъдеще. Дори криптовалутите да не са изчерпателно и прецизно регламентирани в действащото българско и европейско законодателство, това не означава, че напр. НАП няма да направи данъчна ревизия, в рамките на която да установи с ревизионен акт немалки приходи и оттам и неплатени данъци от страна на задълженото лице. Или пък от финансовото разузнаване към ДАНС няма да почукат на вратата във връзка с непредприети дори само на хартия мерки срещу изпирането на пари. Или пък Комисията за защита личните данни (КЗЛД) за изиска от задълженото лице документация за съответствие и изпълнение на законовите изисквания.

Може би е излишно да бъде въобще споменавано, че първата задължителна стъпка в тази насока е регистрацията на дружество с ограничена отговорност (ООД или ЕООД) или акционерно дружество (АД или ЕАД), защото съгласно Търговския закон (ТЗ) лицата, които извършват търговска дейност по занятие, дори да не са регистрирали абсолютно нищо, се приема, че са еднолични търговци (ЕТ). А при ЕТ първо данъчното облагане е по-неблагоприятно и освен това търговецът отговаря с цялото си лично имущество за задълженията си.

Следващата стъпка е начертаването на бизнес модела, в съответствие с който ще бъде извършвана на практика дейността по търговия с криптовалути. Същият е силно препоръчително да бъде съгласуван с адвокат и счетоводител. Най-малко препоръчителен е вариантът, при който се пробва нещо дали работи и след като се установи, че работи безотказно (само от техническа страна обаче), допълнителни мерки от правно или счетоводно естество не се вземат, поне докато не дойдат на посещение компетентните органи и връчат предписание, акт за установяване на административно нарушение, наказателно постановление или друг акт. Добър компромисен вариант е как нещо работи да бъде изпробвано от индивидуален акаунт, който впоследствие да не бъде използван в дейността по търговия с виртуални валути.

Законът за мерките срещу изпирането на пари (ЗМИП) е първият нормативен акт, който следва да бъде съобразен от търговците на криптовалути при извършваната от тях дейност. Там се съдържа и първият опит за легална дефиниция в българското законодателство на понятието виртуални валути – „цифрово представяне на стойност, която не се емитира или гарантира от централна банка или от публичен орган, не е непременно свързана със законово установена валута и няма правния статут на валута или на пари, но се приема от физически или юридически лица като средство за обмяна и може да се прехвърля, съхранява и търгува по електронен път.“. Съгласно най-новите точки на чл. 5 от ЗМИП задължени и съответно подлежащи на санкции по закона са лицата, които по занятие предоставят услуги за обмяна между виртуални валути и признати валути без златно покритие, както и доставчици на портфейли, които предлагат попечителски услуги (физическо или юридическо лице или друго правно образувание, което предоставя услуги за опазване на частни криптографски ключове от името на своите клиенти за притежаването, съхраняването и прехвърлянето на виртуални валути). В зависимост от обема и сложността на извършваните от криптотърговеца операции следва да бъде изготвена и съответната документация, която следва да е налична при поискване от компетентните органи.

Следващият акт, който следва да бъде съобразен при търговията с криптовалути е ЗЗЛД и европейският регламент GDPR. Същите не поставят в прав текст изисквания към търгуващите с криптовалути, но същите произтичат от извършваната дейност. Имайки предвид, че дори само имейл адресите без други съпътстващи данни спадат към категорията „лични данни“, то просто няма как ЗЗЛД да бъде заобиколен, дори когато става дума за търговия със съпътстващо високо ниво на анонимизиация като криптотърговията.

И на последно място сред органите, контролиращи търговията с виртуални валути, се нареждат органите на приходната администрация в лицето на НАП. В тази връзка някои биха се изненадали да разберат, че въобще в законодателството съществува една Наредба № Н-9 от 07.08.2020 г. на министъра на финансите, съгласно която съществува публичен регистър към НАП, в който криптотърговците следва да бъдат вписани. Но следва да се има предвид, че не е толкова важно самото формално вписване в този регистър, колкото „изпипването“ на бизнес модела и дейността, така че данъчната администрация да няма за какво да се „хване“ при упражняването на контрол върху криптотърговците. Въпросното вписване в регистъра е важно да се отбележи, че следва да бъде извършено преди започване на дейността.

Нарушение сигурността на лични данни и санкциите от КЗЛД при хакерска атака, пробив или изтичане

Време за прочитане : 3 мин.

Нарушение на сигурността на данните по смисъла на GDPR (ОРЗД) и ЗЗЛД може да е налице при онлайн или офлайн пробив в сигурността. За да е налице пробив или изтичане, трябва да сме изправени пред един или няколко от следните резултати:

  • Унищожаване – данните не могат вече да бъдат изцяло или частично разчетени, напр. лоши или форматирани сектори на твърд диск или изгорени хартиени документи
  • Загуба – данните са налични, но администраторът няма достъп до тях, напр. кражба на компютър или изгубена от служител по път за работа флашка
  • Промяна – данните са налични, но неточни, напр. злонамерено променени стойности на резултати от медицински изследвания, счетоводни одити, IBAN номера на банкови сметки и др., осъществени от неоторизирано лице
  • Неразрешено разкриване – данните са непокътнати и администраторът има достъп до тях, но са нерегламентирано разпространени, вкл. публично, въпреки че са поверителни, напр. публикуване в онлайн пространството на откраднати от болница здравни досиета на пациенти, номера на кредитни карти, потребителски имена и пароли и т.н.
  • Достъп – същото като по предходната точка, с тази разлика, че не са разпространени, напр. хакер или неоторизирано лице са прочели трудовите договори или служебната имейл кореспонденция на служители в дадена фирма, без да ги правят достояние на трети лица

Офлайн пробивът може да бъде констатиран на практика безпогрешно и в повечето случаи включва човешка намеса – напр. кражба на документи, лаптоп, компютърна конфигурация, NAS сървър, твърд диск (HDD/SSD), оптичен диск (CD/DVD), флаш памет (USB storage) и др. аналогови или цифрови носители, но може да е и напр. резултат от природни или други бедствия като пожар или наводнение. Пробивът може да засегне както цифрови носители, върху които са записани данни, като изброените по-горе, така и аналогови, напр. разпечатани на хартия същите тези данни. Крадецът може да открадне както флашка, на която са записани лични данни на служители, така и класьор с принтирани на хартия същите тези данни, а в резултат на пожар или наводнение могат да бъдат безвъзвратно повредени и двата вида (цифров и аналогов) носители, върху които са записани лични данни.

Онлайн пробивите изискват повече технически знания, но са и по-опасни, защото много често остават незабелязани. Ако дадено лице осъществи неоторизиран достъп до данни офлайн, напр. в архива на фирмата, до което помещение няма право на достъп, поведението му може да бъде забелязано от служители във фирмата или от охраната, оперираща CCTV видеонаблюдение. В аналогична ситуация, но в онлайн среда, неоторизираното лице (хакер) може да осъществи достъп до поверителни лични данни в много случаи напълно незабелязано, особено ако фирмената мрежа, хардуер и софтуер не се поддържат професионално, напр. неправилно конфигуриран файъруол (firewall), липса на антивирусна защита, лог файлове (log files), които се изтриват автоматично в много кратки срокове и т.н.

Ако сигурността на личните данни е била нарушена, чл. 33 от GDPR изисква надзорният орган, в случая Комисията за защита на личните данни (КЗЛД), да бъде уведомен в 3-дневен срок (72 часа) от администратора на лични данни. Ако обработващ лични данни установи пробив, следва да уведоми администратора, който от своя страна пък да уведоми КЗЛД. Ако бъде установено, че е налице висок риск, следва да бъдат уведомени и съответните субекти на лични данни. Пробивът задължително трябва да бъде отбелязан в регистъра на нарушенията на сигурността на личните данни, които администраторът е длъжен да води. Задължително следва да бъде уведомено длъжностното лице по защита на данните (ДЛЗД или DPO), ако такова е било назначено. Ако не е било назначено, препоръчителна е незабавна консултация със и съдействие от специалист в материята на защитата на личните данни, защото неговият опит, преценка и съвети могат да спестят много хиляди левове санкции (максимално до 10 млн. евро или 2% от годишния оборот съгласно GDPR), които могат да бъдат наложени от надзорния орган дори само за неуведомяване или некоректно уведомяване.

Ето и част от въпросите, от отговора на които зависи дали е налице нарушение на сигурността на личните данни и ако е, каква е неговата тежест и респ. вероятна имуществена санкция в ущърб на администратора на лични данни:

  • Съставлява ли дадено злонамерено или неоторизирано действие нарушение на сигурността на личните данни. Защото е възможно да е успешно осъществена хакерска атака, но същата да не съставлява нарушение по смисъла на GDPR, напр. един от най-популярните типове хакерски атаки (DDoS) може само временно да доведе до загуба на достъп до данни.
  • Съществува ли вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако бъде направена правилна, професионална и юридически издържана преценка, че няма риск за субектите на данни, тогава органът може да не бъде уведомяван.
  • Представлява ли нарушението на сигурността на данните висок риск за засегнатите лица – субекти на данни. Ако представлява, същите следва да бъдат уведомени, в допълнение към уведомлението до КЗЛД.
  • Каква информация да бъде първоначално предоставена на надзорния орган. Защото законът допуска поетапно предоставяне на информация на органа, което може да е от неимоверно голяма полза за администратора, ако знае как да се възползва.
  • Описание на нарушението и евентуалните негови последици. Ако нарушението е повече от категорично доказано и не подлежи на никакво съмнение, как точно ще бъде описано то е може би най-важният за администратора на лични данни въпрос, който има пряка връзка с неговата имуществена отговорност и потенциалните санкции, които може да му бъдат наложени. Едно би било положението, ако вирус или друг малуер (malware), напр. троянски кон (trojan), ренсъмуер (ransomware) и др., единствено форматира хард диска на заразен компютър, но съвсем друго, ако се разпрати до всички имейл контакти на заразен компютър и оттам инфектира и нанесе допълнителни поражения. От значение също така са и много други въпроси, вкл. дали напр. е налице бекап (backup) сървър и дали същият е локален или облачен (cloud), дали даден вирус е полиморфен, дали данните са били симетрично или асиметрично криптирани, дали за даден ренсъмуер има наличен декриптор (decryptor) и т.н.
  • Описание на предприетите от администратора мерки. Това е въпрос, който е почти изцяло в компетентността на IT специалистите или IT отдела на администратора на лични данни, но не бива да се неглижира и правилното описание на предприетите мерки. Защото същите може да са на практика най-ефективните, но ако не са добре законово обосновани, това може да доведе до значително по-неприятни за администратора последици.

Видеоконференция по гражданско дело съгласно ГПК

Време за прочитане : 2 мин.

Видеоконференцията по граждански дела беше въведена като възможност в ГПК в края на 2020г. Най-вече превдив това, че съдът не може да спре работа дори в условията на глобалната пандемия от COVID-19, въпреки че в самото начало – в периода март – май 2020г. дори това се случи. Съдилищата спряха работа, а насрочените съдебни заседания се отлагаха напред във времето. Дори е момента съдилищата значително са забавили своята дейност – в по-дълъг период от време не се нарочват заседания, решенията по делата често се бавят повече от посочения в закона едномесечен срок (имайте предвид, че все пак този срок е само инструктивен). Преди няколко седмици съдилищата имаха идея до края на годината да излязат в съдебна ваканция, което обаче не беше посрещнато с възторг нито от граждани, нито от адвокати.

В тази връзка, още в началото на пандемията съдилищата и други институции започнаха да вършат част от работата си дистанционно – чрез видеоконференция. От скоро това вече е законово регламентирано в процесуалните ни кодекси – АПК, ГПК и НПК.

В ГПК видеоконференцията е определена като „комуникационна връзка чрез техническо средство за едновременно предаване и приемане на образ и звук между участниците в процеса, намиращи се на различни места, позволяващи записване и съхраняване на информация на електронен носител“. В една такава връзка могат да вземат участие страните по едно гражданско дело, вещите лица, свидетелите, преводачите и тълковниците. В това число, разбира се трябва да включим и защитниците на страните в процеса – техните адвокати. Всяко едно от изброените лица може да поиска да участва в съдебно заседание чрез видеоконференция. Тя се осъществява в сградата на районния съд по местоживеене на съответния участник. Това означава, че ако Вие живеете в София, а делото се разглежда от съд в Пловдив, няма да е нужно да отидете на място в Пловдив, но ще трябва да се явите пред районния съд в София, където да бъдете идентифицирани от служителите и след това да участвате в съдебното заседание чрез видеоразговор. Това е необходимо с оглед на удостоверяване, че реално лицето, което трябва да вземе участие в заседанието на съда, е това, с което се провежда видео разговора.

Както при всяко съдебно заседание, и в този случай ще бъде изготвен протокол от заседанието, в който ще бъде посочено и името на служителя, който ви е идентифицирал преди започване на видеоконференцията. Възможно е да се направи и звукозапис на самото заседание и по него след това да се изготви протокола. Самият запис от видео разговора, също се прилага към материалите по делото.

Видеоконференцията обаче не е позволена във всички случаи. Кодексът казва, че е допустима, когато страните, свидетелите и вещите лица „не са в състояние да се явят непосредствено пред съда по делото и се намират извън съдебния район“. Интересното е, че не е предвидена изричната възможност да се извършва видеоконференция в ситуацията на извънредна епидемична обстановка, с цел да не се събират много и различни хора на едно и също място.

Дали видеоконферентната връзка ще се наложи в гражданския процес и ще бъде ли реално приложима и в кои случаи, ще разберем с течение на времето. Дотогава единствената опция да не се явявате лично по гражданско дело, по което интересите Ви желаете да бъдат представлявани, е да ангажирате доверен адвокат.