Bilişim Suçları: Phishing (Oltalama) ve Bankanın Mevduatı Koruma Sorumluluğu

Dijitalleşen finans dünyasında, bankacılık işlemlerinin neredeyse tamamı internet ve mobil şubeler üzerinden gerçekleştirilmektedir. Bu durum işlem kolaylığı sağlasa da, siber suçluların yeni yöntemler geliştirmesine zemin hazırlamıştır. "Phishing" veya Türkçesiyle "Oltalama", bu yöntemlerin başında gelmektedir. Oltalama saldırıları; sahte e-postalar, SMS’ler veya birebir kopyalanmış web siteleri aracılığıyla kullanıcıların banka bilgilerini ele geçirmeyi hedefleyen bir dolandırıcılık türüdür. Bu tür bir saldırı sonucu banka hesabı boşaltılan mudilerin (mevduat sahiplerinin) zararlarından bankanın sorumlu olup olmayacağı, Türk yargı pratiğinde en çok tartışılan ve Yargıtay tarafından net ilkelere bağlanan konulardan biridir.

1. Bankanın "Güven Kurumu" Olma Niteliği ve Özen Borcu

Bankalar, hukuk sistemimizde sıradan ticari işletmeler değil, birer "güven kurumu" olarak kabul edilirler. Halktan mevduat toplayan ve bu kaynakları yöneten bankaların, en ileri teknolojik önlemleri alma ve müşterilerinin varlıklarını koruma yükümlülüğü bulunmaktadır. Borçlar Kanunu ve Bankacılık Kanunu çerçevesinde bankalar, sadece ağır kusurlarından değil, en hafif kusurlarından dahi sorumludurlar. Yargıtay’ın yerleşik içtihadına göre banka, mevduatı "emin bir yerde saklamak" değil, "iade etmek" yükümlülüğü altındadır.

Banka ile müşteri arasındaki ilişki, hukuki niteliği itibariyle bir "karz" (ödünç) sözleşmesi ve "emanet" ilişkisi barındırır. Bu ilişkide banka, kendisine tevdi edilen paranın mülkiyetini kazanır ancak istediği zaman müşteriye geri ödemeyi taahhüt eder. Dolayısıyla, üçüncü kişiler tarafından bilişim sistemleri üzerinden bankadaki paranın çekilmesi halinde, teknik olarak müşterinin parası değil, "bankanın parası" çalınmış sayılır. Banka, müşterisine "senin şifreni dolandırıcıya kaptırmış olman beni ilgilendirmez" diyerek sorumluluktan kurtulamaz.

2. Phishing (Oltalama) Saldırısının Mahiyeti ve İşleyişi

Oltalama yönteminde saldırganlar genellikle bir bankanın resmi web sitesini birebir taklit ederler. Müşteriye "bilgilerinizi güncellemeniz gerekiyor" veya "hesabınıza bloke konuldu" şeklinde panik uyandıran bir link gönderilir. Müşteri bu linke tıkladığında girdiği kullanıcı adı, şifre ve tek kullanımlık SMS onayı dolandırıcıların eline geçer. Bu aşamada bankanın savunması genellikle "müşterinin şifrelerini üçüncü kişilerle paylaştığı" ve "ağır kusurlu" olduğu yönündedir. Ancak modern hukuk, müşterinin her zaman teknolojik gelişmeleri takip edemeyeceğini ve bankanın sistemi kontrol etme gücünü göz önünde bulundurarak farklı bir denge kurmaktadır.

3. Bankanın Teknik Sorumluluğu: "Kusursuz Sorumluluk" Sınırı

Yargıtay 11. Hukuk Dairesi’nin emsal kararlarına göre; bankanın siber saldırılarda sorumluluktan kurtulabilmesi için, işlemin mudi (müşteri) tarafından gerçekleştirildiğini veya mudinin paranın çekilmesine kasten yardımcı olduğunu ispatlaması gerekir. Sadece şifrenin kaptırılmış olması, bankanın teknik güvenlik önlemlerindeki eksikliği gidermez. Banka; müşterinin alışkanlıkları dışındaki büyük tutarlı havaleleri, şüpheli girişleri veya ardışık işlemleri fark edecek "akıllı algoritmalar" kullanmakla yükümlüdür.

Örneğin, müşterinin genellikle İstanbul’dan ve aynı cihazdan giriş yaparken, aniden Rusya üzerinden farklı bir IP ile giriş yapılarak yüksek miktarlı bir havale emri verilmesi durumunda, bankanın bu işlemi teyit etmeden onaylaması "ağır hizmet kusuru" olarak nitelendirilir. Banka, müşterisinin şifresini koruyamamış olmasını bir savunma olarak ileri sürebilse de, bu durum mevduatı ödeme borcunu ortadan kaldırmaz.

4. Yargıtay Emsal Kararı İncelemesi

Yargıtay 11. Hukuk Dairesi'nin 2021 yılında verdiği bir kararda (2021/3655 E., 2022/2841 K.); sanal ortamda gerçekleştirilen korsan saldırılarla müşterinin rızası dışında parasının çekilmesi olayında yerel mahkemenin verdiği "müşteri kusurludur" kararı bozulmuştur. Yüksek mahkeme, bankaların bilişim sistemlerini güvenli tutma yükümlülüğünün bir "sonuç borcu" olduğunu vurgulamıştır. Kararda, bankanın profesyonel bir tacir olarak her türlü riski öngörmesi ve bertaraf etmesi gerektiği belirtilmiştir.

Mahkeme gerekçesinde şu ifadelere yer verilmiştir: "Banka, mevduat sahibinin parasına yönelik saldırıları önleyecek donanımı kurmak zorundadır. Siber ortamda gerçekleşen hırsızlık olaylarında paranın mülkiyeti bankada olduğu için hırsızlık da bankaya karşı yapılmış sayılır. Banka, mudinin şifresini saklamaktaki dikkati ne olursa olsun, parayı mudinin rızası dışında üçüncü kişilere ödemişse tam sorumlu tutulmalıdır."

5. Müşterinin (Mudi) Dikkat Etmesi Gereken Hususlar

Müşterinin zararın tazminini isteyebilmesi için bazı temel kurallara uyması gerekse de, bankanın sorumluluğu "nesnel" bir sorumluluktur. Yine de aşağıdaki hallerde müşterinin kusuru indirime neden olabilir veya bazı durumlarda sorumluluğu etkileyebilir:

Banka kartını ve şifresini yazılı olarak cüzdanında bulundurmak (Ağır İhmal).
Dolandırıcılık teşebbüsünü fark ettiği halde bankaya saatlerce bildirimde bulunmamak.
Banka tarafından gönderilen "şüpheli işlem" uyarılarını dikkate almamak.

Ancak güncel içtihatlar, "oltalama" (linke tıklama) vakalarında, dolandırıcıların profesyonelce hazırlanan sitelerinin ayrımının sıradan bir vatandaş tarafından yapılamayacağını kabul ederek, faturayı bankaya kesmektedir.

6. Hukuki Hak Arama Süreci

Hesabından rızası dışında para çekilen mudi, öncelikle bankaya yazılı bir "itiraz ve iade" dilekçesi ile başvurmalıdır. Bankanın olumsuz cevap vermesi durumunda, Tüketici Hakem Heyeti (limitler dahilinde) veya asıl olarak Tüketici Mahkemesi/Asliye Ticaret Mahkemesi'nde "Alacak Davası" açılmalıdır. Bu davalarda ispat yükü bankadadır; yani banka, paranın mudi tarafından bizzat çekildiğini veya mudinin ağır kusurlu olduğunu kanıtlamak zorundadır. Banka bunu kanıtlayamazsa, çekilen tutarı faiziyle birlikte mudiye iade etmekle yükümlüdür.

Bu makalede yer verilen değerlendirmeler, Yargıtay’ın emsal nitelikteki kararları esas alınarak ve resmi internet sitesinde yayımlanan metinler üzerinden hazırlanmıştır. Ancak olası güncellemeler ve hata ihtimallerine karşı, ilgili kararların kullanılmadan önce mutlaka Yargıtay’ın resmi kaynaklarından teyit edilmesi gerekmektedir.

YARGITAY 11. HUKUK DAİRESİ KARAR ÖZETİ

Esas No: 2021/3655 Karar No: 2022/2841 Karar Tarihi: 20.04.2022 İÇTİHAT METNİ ÖZETİ: "Davacı vekili, müvekkilinin davalı bankada bulunan hesabından internet bankacılığı aracılığıyla 45.000 TL'nin bilgisi ve rızası dışında transfer edildiğini, bankanın güvenlik açığı olduğunu ileri sürerek paranın iadesini talep etmiştir. Davalı banka, işlemin davacının kullanıcı adı ve şifresi ile yapıldığını, şifre güvenliğinin mudiye ait olduğunu savunarak davanın reddini istemiştir. Yargıtay incelemesinde; bankaların güven kurumu olduğu, saklanan paranın mülkiyeti bankaya geçtiğinden hırsızlığın bankaya yapılmış sayıldığı vurgulanmıştır. İnternet bankacılığında haksız işlemle çekilen paradan banka, her türlü özeni göstermesine rağmen kurtulamaz. Mevduat sözleşmesi gereği banka, mudiye parayı eksiksiz iade etmekle yükümlüdür. Somut olayda mudinin ağır kusuru ispatlanamadığından, bankanın sistem zaafiyeti nedeniyle oluşan zarardan %100 oranında sorumlu tutulması gerekir."

Bu yazı, Şişman Hukuk Bürosu Bilişim Hukuku departmanı tarafından hazırlanan genel bilgilendirme amaçlı bir rehberdir. Bilişim dolandırıcılığı vakalarında hukuki hak kayıpları yaşamamak için uzman desteği alınması kritiktir.

Şişman Hukuk Bürosu - Av. Oğuzhan ŞİŞMAN

Siber Suçlar ve Banka Sorumluluğu İçin Danışın