KREDİ KARTI DOLANDIRICILIĞI VE BANKA SORUMLULUĞU
Dijital bankacılığın ve e-ticaretin hayatımızın merkezine yerleşmesiyle birlikte, kredi kartı dolandırıcılığı vakaları hem nitelik hem de nicelik olarak ciddi bir artış göstermiştir. Tüketicilerin bilgisi ve rızası dışında gerçekleşen internet harcamaları, "kim sorumlu?" sorusunu hukuk gündeminin en üst sıralarına taşımıştır. Bankalar, bu tür harcamaların kart şifresi, güvenlik numarası (CVV) ve son kullanma tarihi gibi "sadece kullanıcıda bulunması gereken" bilgilerle yapıldığını ileri sürerek sorumluluğu tüketiciye yüklemeye çalışmaktadır. Ancak Türk hukuk sisteminde bankalar, sadece birer hizmet sağlayıcı değil, aynı zamanda toplumun sarsılmaz bir güven duyduğu "güven kurumları"dır. Bu sıfat, bankalara sıradan bir işletmenin çok ötesinde, en hafif kusurundan dahi sorumlu tutulacakları bir özen yükümlülüğü yükler. Bir kredi kartından günlerce süren ve olağan dışı seyreden internet harcamaları yapılmasına rağmen bankanın sessiz kalması, teknik altyapıdaki yetersizliklerin veya ihmalin göstergesidir.
Kredi kartı dolandırıcılığı davalarında temel uyuşmazlık, "şifreli işlemler" üzerinden yürütülmektedir. Bankalar, şifre ile yapılan işlemlerde kusurun tamamen tüketicide olduğu karinesine dayanırken; Yargıtay, bu karinenin mutlak olmadığını, bankanın dolandırıcılık girişimlerini tespit edip engelleme yükümlülüğünün devam ettiğini vurgulamaktadır. Tüketicinin şifresini "kendi kusuruyla" çaldırıp çaldırmadığı, teknik bilirkişi raporlarıyla ispatlanmalıdır. Özellikle SMS bilgilendirmesi yapılmayan veya 3D Secure gibi ek güvenlik katmanlarının aktif edilmediği harcamalarda bankanın sorumluluğu kaçınılmazdır. Bu makalemizde, bankaların güven kurumu olma sıfatını, internet harcamalarındaki güvenlik standartlarını, şifreli ve şifresiz işlemler arasındaki sorumluluk farklarını, tüketicinin özen borcunu ve Yargıtay’ın güncel kusur analizi yaklaşımını akademik bir perspektifle ele alacağız.
BANKALARIN "GÜVEN KURUMU" SIFATI
Banka, hukuk tekniği açısından sıradan bir tacir değildir. Bankalar, kamu güvenine dayalı faaliyet yürüten, mudilerin ve kart hamillerinin varlıklarını emanet ettikleri profesyonel kuruluşlardır. Bu "güven kurumu" olma niteliği, bankaların yürüttükleri işlemlerin güvenliğini sağlama konusunda "objektif özen borcu" altında olduklarını gösterir. Banka, teknik altyapısını en modern dolandırıcılık yöntemlerine karşı korumak ve şüpheli işlemleri anında tespit ederek zararın artmasını önlemekle yükümlüdür.
Hukukumuzda bankalar, "hafif kusurlarından" dahi sorumlu tutulurlar. Bu, bankanın sistemine sızan bir hacker veya tüketicinin bilgisayarına bulaşan bir virüs nedeniyle yapılan harcamalarda, bankanın "benim bir hatam yok, şifreyi girmişler" diyerek sorumluluktan kurtulamayacağı anlamına gelir. Banka, sisteminin geçilemez olduğunu veya geçildiğinde bunu fark edip durdurabileceğini garanti etmek zorundadır. Tüketicinin sorumluluğu ancak "ağır kusur" veya "kasıt" durumunda (örneğin şifreyi bir başkasına kendi isteğiyle vermesi) ön plana çıkar.
Bankanın bu özel statüsü, ispat yükünü de etkiler. Banka, işlemin usulüne uygun yapıldığını ve güvenlik sistemlerinde hiçbir açık olmadığını kanıtlamak zorundadır. Tüketicinin "ben yapmadım" beyanı, bankayı savunmaya geçiren en güçlü iddiadır.
İNTERNET HARCAMALARINDA GÜVENLİK STANDARTLARI
İnternet harcamaları, fiziki kartın POS cihazından geçirilmediği "kartın bulunmadığı" (CNP) işlemlerdir. Bu tür işlemlerde güvenlik riski çok daha yüksektir. Modern bankacılık, bu riski minimize etmek için 3D Secure (tek kullanımlık şifre), şüpheli işlem filtreleri ve anlık harcama limitleri gibi araçlar geliştirmiştir. Bir bankanın, tüketicinin alışveriş alışkanlıklarına tamamen aykırı, peş peşe ve yüksek tutarlı harcamaları fark etmemesi, bu güvenlik standartlarının ihlali niteliğindedir.
Özellikle oltalama (phishing) saldırılarıyla ele geçirilen kart bilgileriyle yapılan harcamalarda, bankanın siber güvenlik duvarlarının bu sızıntıyı veya olağan dışı veri trafiğini algılaması beklenir. Eğer bir karttan on gün boyunca aralıksız usulsüz harcama yapılıyor ve banka ancak onuncu günün sonunda tüketiciyi arıyorsa, burada ağır bir "hizmet kusuru" söz konusudur. Banka, teknolojinin sunduğu tüm imkanları kullanarak tüketicisini korumalıdır.
Güvenlik standartları sadece yazılımsal değildir; idari süreçleri de kapsar. Şüpheli bir işlem algılandığında kartın geçici olarak bloke edilmesi veya tüketiciden onay alınması, profesyonel bankacılığın asgari gereğidir.
ŞİFRELİ VE ŞİFRESİZ İŞLEMLERDE KUSUR AYRIMI
Kredi kartı dolandırıcılığında bankaların en büyük sığınağı "şifreli işlem" (PIN veya 3D Secure şifresi ile yapılan işlem) savunmasıdır. 5464 sayılı Kanun, kart şifresinin korunması yükümlülüğünü tüketiciye verir. Ancak Yargıtay’ın emsal kararında da belirtildiği üzere, sadece "şifre girildi" demek, bankayı sorumluluktan tamamen kurtarmaya yetmez. Mahkeme, o şifrenin tüketicinin ağır kusuruyla mı, yoksa bankanın sistemindeki bir sızıntıyla mı (örneğin kart kopyalama veya veri tabanı ihlali) ele geçirildiğini araştırmalıdır.
Şifresiz yapılan işlemlerde (temassız veya CVV ile yapılan bazı harcamalar) bankanın iade yükümlülüğü çok daha nettir. Nitekim emsal olayda da banka, şifresiz işlemleri tüketiciye iade etmiş ancak şifreli olanları "senin kusurun" diyerek reddetmiştir. Oysa şifreli işlemler de dolandırıcılar tarafından karmaşık yazılımlar vasıtasıyla (keylogger vb.) ele geçirilebilir. Burada kritik soru şudur: Tüketici bu şifreyi birine "söyledi mi" yoksa şifre teknolojinin yardımıyla "çalındı mı"?
Eğer şifre çalınmışsa ve tüketicinin bu çalınmada bariz bir dikkatsizliği yoksa, sorumluluk yine güven kurumu olan bankadadır. Şifre, bankanın sunduğu bir güvenlik aracıdır; bu aracın etkisiz kalması bankanın risk alanına girer.
TÜKETİCİNİN ÖZEN VE SAKLAMA BORCU
Tüketici, kredi kartını ve şifresini "kendi namusunu korur gibi" korumakla yükümlüdür. Şifreyi kartın üzerine yazmak, cüzdanda şifre notu saklamak veya şifreyi telefonda kendisini bankacı olarak tanıtan dolandırıcılara kendi rızasıyla söylemek "ağır kusur" niteliğindedir. Bu gibi durumlarda bankanın sorumluluğu kalkar veya ciddi oranda azalır.
Ancak tüketicinin "normal bir kullanıcı" olarak gösterdiği özenin ötesinde bir profesyonellik sergilemesi beklenemez. Tüketici, gelişmiş casus yazılımlara karşı teknik bir uzman gibi korunamaz. Dolayısıyla, tüketicinin şifresini paylaştığına dair somut bir kanıt (ses kaydı, tanık beyanı vb.) yoksa, "şifre sadece sende vardı, o zaman sen verdin" şeklindeki mantık yürütmeler hukuken geçerli değildir.
Özen borcu, harcamaların fark edilmesinden sonraki süreci de kapsar. Kartın kaybolması veya harcamaların fark edilmesi durumunda bankaya derhal bildirimde bulunulmalıdır. Gecikmeli bildirimler, zararın artmasına neden olduğu için tüketicinin kusur oranını artırır.
SMS VE BİLGİLENDİRME YÜKÜMLÜLÜĞÜ
Modern bankacılık hukukunda en önemli güvenlik mekanizmalarından biri anlık bilgilendirmedir. Her harcama sonrasında tüketiciye giden bir SMS veya uygulama bildirimi, dolandırıcılığı ilk dakikada durdurabilir. Emsal kararda görüldüğü üzere, harcamaların on gün boyunca devam etmesi ve bankanın tüketiciyi ancak sonunda araması, bankanın "zararı azaltma borcu"nu ihlal ettiğini gösterir.
Bankalar, yapay zeka tabanlı "dolandırıcılık tespit sistemleri" (Fraud Detection) kullanmaktadır. Bir karttan on saniye içinde beş farklı ülkeden alışveriş yapılması veya alışılmadık tutarlarda peş peşe işlem geçmesi durumunda sistemin alarm vermesi gerekir. Bu alarm verildiğinde tüketiciye ulaşılmaması veya onayı alınmadan işlemlerin devamına izin verilmesi, bankanın ağır hizmet kusurudur.
SMS bilgilendirmesi bir lütuf değil, bankanın sunduğu hizmetin güvenliğini sağlayan asli bir unsurdur. Bu mekanizmanın çalışmaması nedeniyle artan zarardan banka tek başına sorumludur.
USULSÜZ HARCAMALARDA İSPAT YÜKÜ
İspat yükü kural olarak davacıda (tüketicide) gibi görünse de, bankacılık uyuşmazlıklarında ispat yükü yer değiştirir. Tüketici "bu harcamayı ben yapmadım" dediği anda, banka bu harcamanın tüketici tarafından yapıldığını veya tüketicinin ağır kusuru nedeniyle gerçekleştiğini ispatlamak zorundadır. Banka, işlemin yapıldığı IP adreslerini, cihaz kimliklerini ve şifre giriş detaylarını mahkemeye sunmalıdır.
Sadece "sistemde şifre doğru girildi" raporu sunmak yeterli bir ispat değildir. Mahkeme, bu verileri bilişim uzmanı bilirkişilere inceletir. Bilirkişi, şifrenin uzaktan bir saldırıyla mı ele geçirildiğini yoksa fiziksel olarak mı girildiğini saptamaya çalışır. İspat edilemeyen her şüphe, "tüketici lehine yorum" ilkesi gereği tüketici lehine değerlendirilir.
Ayrıca, davacı ve davalının iddia ettiği "harcama miktarları" arasındaki farklar da netleştirilmelidir. Banka, reddettiği ve kabul ettiği tüm harcamaların dökümünü şeffaf bir şekilde mahkemeye sunmakla yükümlüdür.
YARGITAY'IN GÜNCEL KUSUR ANALİZİ
Yargıtay’ın emsal bozma kararı, yerel mahkemelere çok önemli bir ödev vermiştir: Eksik inceleme ile karar vermeyin. Sadece "banka güven kurumudur, sorumludur" diyerek veya sadece "şifre kullanılmış, tüketici hatalıdır" diyerek kestirip atılamaz. Teknik bir inceleme (bilirkişi raporu) ile şifrenin nasıl ele geçirildiği, bankanın güvenlik duvarlarının o anki durumu ve bilgilendirme yükümlülüğünün yerine getirilip getirilmediği somut olarak saptanmalıdır.
Bozma kararı, özellikle "denetime açık rapor" vurgusu yapmaktadır. Yani bilirkişi raporu "banka kusurludur" demekle yetinmemeli, neden kusurlu olduğunu teknik verilerle açıklamalıdır. Yargıtay, bankanın "şüpheli işlem" tespit mekanizmalarının o dönemde çalışıp çalışmadığının araştırılmasını istemektedir.
Sonuç olarak; kredi kartı dolandırıcılığında fatura her zaman tüketiciye kesilemez. Bankalar, sundukları kartların güvenliğini en üst düzeyde sağlamakla ve bir sızıntı olduğunda bunu derhal fark edip müdahale etmekle yükümlüdür. Şifre, tüketicinin kalesidir ancak bu kalenin anahtarının bankanın sistemindeki bir gedikten sızılıp çalınması durumunda, kale duvarlarını sağlam tutmayan banka sorumlu olacaktır. Tüketiciler, kendilerine ait olmayan harcamalar karşısında sessiz kalmamalı, bankanın güven kurumu olma sıfatından doğan haklarını yasal yollarla aramalıdır. Dijital dünya risklerle dolu olabilir ancak hukuk, bu risklerin maliyetini her zaman en zayıf halkanın omuzlarına yüklemez. Adalet, teknolojinin arkasına gizlenen ihmalleri gün yüzüne çıkarır.
SORU – CEVAP BÖLÜMÜ
Derhal bankanızı arayıp kartınızı bloke ettirin ve harcamalara itiraz edin. Ardından savcılığa suç duyurusunda bulunun. Banka itirazınızı reddederse Tüketici Mahkemesi'nde "menfi tespit" davası açabilirsiniz.
Evet, olabilir. Sadece şifre girilmiş olması bankayı sorumluluktan kurtarmaz. Bankanın şüpheli işlemi fark etmemesi veya güvenlik altyapısının yetersiz olması durumunda banka sorumlu tutulabilir.
Eğer şifreyi kendi rızanızla telefonda dolandırıcılara söylediyseniz "ağır kusurlu" sayılırsınız. Ancak telefonunuza gelen SMS'ler bankanın sistemindeki bir açıkla (SIM swap vb.) çalınmışsa banka sorumludur.
Bankalar genellikle bu savunmayı yapar ancak hukuk bunu her zaman kabul etmez. Şifreli işlemlerin de dolandırıcılık yöntemleriyle ele geçirilebileceği mahkemece bilirkişi incelemesiyle saptanabilir.
Bu, bankanın "özen borcu"nun ihlalidir. Olağan dışı harcamalarda SMS veya telefonla bilgilendirme yapmayan banka, artan zarardan dolayı kusurlu bulunur ve Yargıtay bu duruma dikkat etmektedir.
Bu makalede yer verilen değerlendirmeler, Yargıtay’ın emsal nitelikteki kararları esas alınarak ve resmi internet sitesinde yayımlanan metinler üzerinden hazırlanmıştır. Ancak olası güncellemeler ve hata ihtimallerine karşı, ilgili kararların kullanılmadan önce mutlaka Yargıtay’ın resmi kaynaklarından teyit edilmesi gerekmektedir.