avoguzhansisman@hotmail.com Han Plus Çarşısı, Sultaniye Mah. 330. Sk., Esenyurt / İstanbul
Şişman Hukuk Bürosu Emsal Kararlar

İNTERNET BANKACILIĞI DOLANDIRICILIĞI BANKANIN SORUMLULUĞU

Bilişim teknolojilerinin baş döndürücü bir hızla ilerlemesi, bankacılık sektörünü fiziksel şubelerden kurtararak internet bankacılığı, mobil uygulamalar ve dijital ödeme sistemleri üzerinden 24 saat kesintisiz hizmet veren devasa bir dijital altyapıya kavuşturmuştur. Ancak bu dijitalleşme süreci, siber suçluların ve dolandırıcıların da iştahını kabartmış; oltalama (phishing) yöntemleri, sahte sim kart kopyalama işlemleri ve kötü amaçlı yazılımlar vasıtasıyla mevduat sahiplerinin hesaplarından üçüncü kişilerin hesaplarına sahte talimatlarla yasadışı para transferleri gerçekleştirilmeye başlanmıştır. Bankacılık ve ceza hukuku dairesinde en büyük hukuki tartışma, bu yolla hesaptan çalınan paraların zararından kimin sorumlu olacağıdır. Bankalar, siber dolandırıcılıklarda genellikle suçu müşterinin şifresini koruyamamasına veya sahte linklere tıklamasına (kendi ağır kusuruna) yükleyerek tazminat ödemekten kaçınmak isterler. Oysa bankalar, hukuk düzeninde sıradan birer ticari işletme olmayıp, kamu nezdinde en yüksek güvene sahip "Güven Kurumları"dır. Güven kurumu sıfatının doğal sonucu olarak bankalar, müşterilerinin yatırdığı mevduatın (paranın) güvenliğini en yüksek seviyede sağlamak ve kötü niyetli kişilerin siber saldırılarına karşı mutlak koruyucu önlemler geliştirmekle yükümlüdür. Yargıtay 11. Hukuk Dairesi'nin bu makaleye konu olan emsal ve siber siber suç davalarında bankanın hukuki sorumluluk rejimini çizen sarsılmaz kararı, müşterinin dolandırıcılarla aktif bir el ve işbirliği içinde olduğu kanıtlanamadığı sürece, internet bankacılığı yoluyla hesaptan çekilen tüm paradan bankanın kusursuz olarak sorumlu olduğunu ve mevduatı iade etmek zorunda olduğunu net bir şekilde ortaya koymaktadır. Karar uyarınca; hacklenen hesaplardan banka sorumludur.

Uygulamada, bir sabah telefonuna gelen sahte bir kargo takip linkine tıklayan veya kendini banka personeli olarak tanıtan dolandırıcılara onay kodu veren mevduat sahibinin hesabındaki 500.000 TL, saniyeler içinde tanımadığı bir üçüncü şahsın hesabına havale edilmektedir. Mağdur müşteri, durumu fark edip bankaya başvurduğunda banka "şifre ve onay kodunu kendiniz girmişsiniz, bizim sistemimizde siber bir açık yoktur, kusur tamamen sizdedir" yanıtını vermektedir. Bunun üzerine müşteri, bankaya karşı Tüketici Mahkemesinde veya Asliye Ticaret Mahkemesinde "Mevduat Alacağının İadesi" davası açmaktadır. Yerel mahkemeler bazen ilk etapta atanan standart bilirkişilerin "şifre güvenliğini sağlayamayan müşteri kusurludur" yönündeki yüzeysel raporlarına dayanarak davayı reddetmekteydi. Oysa Yargıtay 11. Hukuk Dairesi, bu kararları kökten bozmaktadır. Müşterinin el birliğiyle dolandırıcılık yaptığı kanıtlanmadıkça, banka güvenlik açıklarını kapatmak, şüpheli işlemleri bloke etmek ve müşterisini koruyacak üst düzey mekanizmaları zorunlu kılmakla yükümlüdür. Paranın güvenliğinden banka sorumludur.

BANKANIN GÜVEN KURUMU NİTELİĞİ

Bankacılık hukukunda bankalar, özel birer güven kurumları olarak kabul edilir.

Bu nitelikleri gereği bankaların sorumlulukları sıradan bir borçludan çok daha ağırdır. Bankalar, en hafif kusurlarından dahi sorumludurlar. Müşterinin kendilerine duyduğu bu güveni sarsmayacak şekilde teknik, idari ve siber tüm önlemleri eksiksiz almak zorundadırlar.

MEVDUATI İADE ETME YÜKÜMLÜLÜĞÜ

Mevduat sözleşmesi, usulsüz karz (ödünç) niteliğinde bir hukuki ilişkidir.

Müşterinin bankaya yatırdığı para, mülkiyet olarak bankaya geçer ancak banka bu parayı müşterinin ilk talebinde aynen iade etmekle yasal olarak yükümlüdür (TBK m. 386). Hesaptaki paranın siber dolandırıcılarca çalınması, bankayı mevduatı iade borcundan asla kurtarmaz. Çalınan para bankanın kendi parasıdır.

İNTERNET BANKACILIĞI DOLANDIRICILIĞI HUKUKİ BOYUTU

İnternet şubeleri üzerinden yapılan sahte transferler, bankaya karşı gerçekleştirilmiş sahtecilik eylemleridir.

Dolandırıcılar doğrudan müşterinin cüzdanından para çalmamakta, bankanın dijital sistemlerine sahte veriler girerek bankayı aldatmaktadırlar. Banka, kendisine ait sisteme yapılan bu yetkisiz girişleri engellemekle mükelleftir. Bu durum siber dolandırıcılığın hukuki temelidir.

BANKANIN KUSURSUZ SORUMLULUK REJİMİ

Türk hukukunda bankaların siber dolandırıcılıklar karşısındaki sorumluluğu "Kusursuz Sorumluluk" esasına dayanır.

Yani banka, "benim hiçbir kusurum yok, sistemim günceldi" diyerek sorumluluktan kaçamaz. Banka, tehlike sorumluluğu dairesinde, sunduğu dijital bankacılık hizmetinin getirdiği siber riskleri tek başına üstlenmek zorundadır. Kusuru olmasa bile zararı ödemelidir.

GÜVENLİK MEKANİZMALARININ YETERSİZ OLMASI

Birçok banka, dolandırıcılıkların önüne geçebilecek yapay zeka tabanlı şüpheli işlem kontrol sistemlerini zorunlu tutmamaktadır.

Örneğin, hayatı boyunca tek seferde 5.000 TL'den fazla transfer yapmamış bir müşterinin hesabından gece yarısı tek seferde 500.000 TL transfer ediliyorsa, sistemin bunu otomatik olarak bloke etmesi ve teyit araması yapması gerekir. Bu mekanizmaları kurmayan veya müşterisine zorunlu kılmayan banka doğrudan sorumludur.

MÜŞTERİ KUSURUNUN İSPATI USULÜ

Bankanın sorumluluktan kurtulabilmesinin tek yolu, müşterinin ağır kusurunu veya suç ortaklığını ispatlamasıdır.

Banka, müşterisinin dolandırıcılarla "el ve işbirliği" yaptığını ya da şifrelerini bilerek ve isteyerek üçüncü kişilere devrettiğini somut delillerle kanıtlamak zorundadır. Sadece müşterinin oltaya düşerek şifre kaptırması, bankanın kusursuz sorumluluğunu ortadan kaldıran bir "ağır kusur" olarak kabul edilmez.

HMK UYARINCA BİLİŞİM BİLİRKİŞİSİ İNCELEMESİ

6100 sayılı Hukuk Muhakemeleri Kanunu (HMK) çerçevesinde, banka dolandırıcılığı davalarında teknik inceleme şu usulle yürütülür:

HMK m. 266 ve m. 282 uyarınca mahkeme, siber transferin yapıldığı IP adreslerini, transferde kullanılan cihazların MAC kimliklerini ve işlem saatlerindeki SMS onay kodlarının gönderim log kayıtlarını incelemek üzere bilişim hukuku uzmanları ve bilgisayar mühendislerinden oluşan bilirkişi heyeti atar. Bilirkişiler, HMK kuralları çerçevesinde bankanın güvenlik altyapısını ve iki adımlı doğrulama sistemlerinin çalışıp çalışmadığını teknik raporla saptar. Rapor, bankanın altyapı yetersizliğini ve dolayısıyla sorumluluğunu kesinleştiren en güçlü yargılama delilidir.

HUKUKİ YORUMLAR VE BANKACILIK HUKUKU

Yargıtay 11. Hukuk Dairesi'nin bu muhteşem emsal kararı, siber çağda mevduat sahiplerinin haklarını siber hırsızlara ve sorumluluktan kaçan finans devlerine karşı koruyan en güçlü hukuki kalkandır.

Sonuç olarak; internet bankacılığı dolandırıcılığında hesapta bulunan paranın güvenliğini tam olarak sağlayamayan banka, hesaptan çekilen tüm paradan ilkesel olarak kusursuz sorumludur. Müşterinin suç ortaklığı kanıtlanmadığı sürece bankanın parayı iade yükümlülüğü devam eder. Mahkemenin davayı reddeden kararı bozulmalıdır. Yargıtay, bu kararla hem tüketicileri korumuş hem de bankacılık hukukuna sarsılmaz bir adalet standardı kazandırarak Türk hukukuna paha biçilemez bir değer katmıştır.

SORU – CEVAP BÖLÜMÜ

1. İnternet bankacılığı hesabımdan bilgim dışında para transfer edilmiş. Ne yapmalıyım?

Hemen bankanızın müşteri hizmetlerini arayarak hesabı bloke ettirin ve işleme itiraz edin. Ardından Cumhuriyet Savcılığına şikayette bulunun ve bir avukat vasıtasıyla bankaya iade davası açın.

2. Banka bana "onay kodunu siz girmişsiniz, ödeme yapamayız" diyor. Bu yasal mıdır?

Hayır. Yargıtay emsal kararı gereği, onay kodunu girmiş olmanız bankayı sorumluluktan kurtarmaz. Banka, kötü niyetli kişilerin bu kodlara erişmesini engelleyecek etkili güvenlik altyapısı kurmak zorundadır.

3. Bankadan çalınan paramın tamamını geri alabilir miyim?

Evet. Eğer dolandırıcılarla işbirliği yaptığınız kanıtlanamazsa, banka hesaptan usulsüz olarak çekilen paranın tamamını (yasal faiziyle birlikte) size geri ödemekle yükümlüdür.

4. Bu davalarda zamanaşımı süresi ne kadardır?

Mevduatın iadesi talepleri usulsüz karz sözleşmesine dayandığı için genel zamanaşımı süresi 10 yıldır. Ancak hak kaybına uğramamak için işlemin öğrenilmesinden sonra hızlıca dava açılması tavsiye edilir.

5. Bankaya dava açarsam dava ne kadar sürer ve hangi mahkemede açılır?

Eğer tüketici sıfatıyla (bireysel hesap) işlem yapıyorsanız görevli mahkeme Tüketici Mahkemesidir. Şirket hesabı ise Asliye Ticaret Mahkemesidir. Davalar ortalama 1 ila 2 yıl arasında sonuçlanmaktadır.

Bu makalede yer verilen değerlendirmeler, Yargıtay’ın emsal nitelikteki kararları esas alınarak ve resmi internet sitesinde yayımlanan metinler üzerinden hazırlanmıştır. Ancak olası güncellemeler ve hata ihtimallerine karşı, ilgili kararların kullanılmadan önce mutlaka Yargıtay’ın resmi kaynaklarından teyit edilmesi gerekmektedir.

YARGITAY 11. HUKUK DAİRESİ İÇTİHAT METNİ
Yargıtay 11. Hukuk Dairesi 2017/4888 E., 2019/2015 K. "Somut olayda davacıya ait para, davacı hesabından dava dışı kimliği belirli kişi adına hesaptan bir başka hesaba bankaya karşı gerçekleştirilen sahtecilik işlemi ile havale edilmiş olup, bu durum davalı bankayı aldığı mevduatı iade etme yükümlülüğünden kurtarmayacaktır. Dosya kapsamından, işlemlerde davacının üçüncü kişilerle el ve işbirliği ile veya başka şekilde kusurlu davrandığı kanıtlanmamıştır. Davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötüniyetli kişilerin işlemlerine karşı korunamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hale getirmediği anlaşılmaktadır. O halde, davalı bankanın hesaptan çekilen tüm paradan sorumlu olduğunun, ilke olarak kabulü gerekir."

Şişman Hukuk Bürosu - Av. Oğuzhan ŞİŞMAN

Hukuki Danışmanlık İçin Bize Yazın