avoguzhansisman@hotmail.com Han Plus Çarşısı, Sultaniye Mah. 330. Sk., Esenyurt / İstanbul
Şişman Hukuk Bürosu Emsal Kararlar

KREDİ KARTI ŞİFRE GÜVENLİĞİ VE SORUMLULUK

Modern finansal sistemin en yaygın ödeme araçlarından biri olan banka ve kredi kartları, günlük ticari hayatı kolaylaştırırken, beraberinde kart güvenliğine dair çok ciddi hukuki sorumluluk rejimlerini de getirmektedir. Kartların üçüncü kişilerce hukuka aykırı şekilde ele geçirilmesi ve kullanılması durumunda doğan maddi zararların kimin üzerinde kalacağı sorusu, bankacılık ve tüketici hukukunun en dinamik uyuşmazlık alanlarından biridir. 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu, bu uyuşmazlıkları çözmek adına taraflara net yükümlülükler yüklemiştir. Yargıtay 13. Hukuk Dairesi'nin incelememize konu emsal kararı, kredi kartı şifresinin muhafaza edilmesi yükümlülüğünü ve "ağır kusur" kavramının sınırlarını belirleyen çok kritik bir içtihattır. Kararda; çalınma veya kopyalanma bulgusu olmaksızın, doğrudan davacıya ait şifrenin girilmesi suretiyle gerçekleştirilen nakit çekim ve harcamalardan, şifreyi güvenli bir şekilde seçmeyen veya muhafaza etmeyen kart sahibinin "ağır kusurlu" sıfatıyla tamamen şahsen sorumlu olacağı açıkça hükme bağlanmıştır.

Tüketiciler genellikle izinsiz kart harcamalarında tüm sorumluluğu bankaya yükleme ve "Kartımdan para çekilmiş, banka güvenlik sistemini sağlayamamış, paramı iade etmeli" şeklinde genel bir yaklaşım sergileme eğilimindedirler. Ancak kanun koyucu, bankalara güvenli sistem kurma yükümlülüğü yüklerken, kart sahiplerine de kendilerine teslim edilen kartı ve şifreyi en yüksek özenle koruma görevi vermiştir. Şifre (PIN), kişiye özel, mahrem ve sadece kart sahibinin bilmesi gereken dijital bir anahtardır. Üçüncü kişilerin bu şifreye kolayca ulaşabilmiş olması, hayatın olağan akışında şifrenin cüzdanda kartın yanına yazılması, doğum tarihi gibi çok basit kombinasyonlar seçilmesi veya başkalarıyla paylaşılması gibi ağır bir ihmalin varlığına işaret eder. Yargıtay'ın bu kararı, şifre gizliliğini ihlal eden kart sahiplerinin kendi ağır kusurlarının faturasını bankaya kesemeyeceklerini teyit etmektedir.

KART SAHİBİNİN YASAL SAKLAMA YÜKÜMLÜLÜĞÜ

5464 sayılı Banka Kartları ve Kredi Kartları Kanunu'nun 15. maddesinde kart sahibinin yükümlülükleri açıkça düzenlenmiştir. Yasaya göre kart sahibi; kredi kartını teslim aldığı andan itibaren kartın ve kartın kullanılmasına ilişkin şifre, PIN kodu gibi güvenlik bilgilerinin güvenli bir şekilde korunması için gerekli tüm önlemleri almakla yükümlüdür. Bu koruma ve saklama borcu, kart sahibi ile banka arasında akdedilen kredi kartı sözleşmelerinin de en temel maddesini oluşturur.

Kart sahibi, şifresini kimseyle paylaşmamalı, yazılı olarak kartın üzerinde veya yakınında tutmamalı ve başkalarının tahmin edemeyeceği karmaşıklıkta seçmelidir. Kartın çalınması, kaybolması veya iradesi dışında elden çıkması durumunda ise derhal bankaya bildirimde bulunarak kartı kapatmalıdır. Yasal saklama borcu, kartın zilyetliğinin (fiili hakimiyetinin) müşteriye geçtiği ilk saniyeden itibaren başlar ve kartın iptal edildiği ana kadar kesintisiz devam eder.

AĞIR KUSUR KAVRAMI VE HUKUKİ SONUÇLARI

Borçlar hukuku ve tüketici hukuku uygulamalarında kusur dereceleri; hafif kusur, orta kusur ve ağır kusur olarak üçe ayrılır. Ağır kusur, dürüstlük kuralının ve mesleki veya kişisel özen borcunun en temel, en basit kurallarının bile hiçe sayılması, yani "bu kadar da olmaz" denilecek derecedeki ağır ihmal veya umursamazlık halleridir.

Kredi kartı güvenliği bağlamında, şifrenin kartın üzerine yazılması, kartla birlikte aynı cüzdanda şifre notunun saklanması veya şifrenin üçüncü bir kişiye güvenilerek söylenmesi hukuken "ağır kusur" olarak kabul edilir. Ağır kusurun en doğrudan hukuki sonucu, kart sahibinin kanunun sunduğu sınırlı sorumluluk korumasından mahrum kalmasıdır. Ağır kusurlu olan tüketici, zararın tamamına kendisi katlanmak zorunda kalır ve bankadan herhangi bir tazminat veya iade talep edemez.

ŞİFRE GÜVENLİĞİ VE İZİNSİZ KULLANIM

İzinsiz kart kullanımlarında davanın çözümü için yapılan araştırmalarda ilk bakılan husus, harcamanın şifreli mi yoksa şifresiz mi (imza veya temassız gibi) yapıldığıdır. Şifresiz işlemlerde veya kopyalanmış kart işlemlerinde bankanın kusuru ve sorumluluğu ön plana çıkarken; işlemlerin doğrudan "kart sahibine ait orijinal şifre girilerek" yapılması durumu tamamen değiştirir.

Yargıtay 13. Hukuk Dairesi kararında bu hususu çok net belirtmiştir: "para çekme işlemlerinin davacı kart sahibine ait şifrenin kullanılması suretiyle yapılmış olması nedeniyle... kartın üçüncü kişilerce kullanımından davacı kart sahibinin sorumlu olduğunun kabulü gerekir. Davacının kartının şifresine ulaşılmış olması, şifrenin güvenli bir şekilde seçilmediğini ya da muhafaza edilmediğini göstermektedir." Mahkeme, şifrenin bir üçüncü şahıs tarafından girilmesini, kart sahibinin şifre saklama borcunu ihlal ettiğinin fiili karinesi (kesin belirtisi) olarak kabul etmektedir.

BEŞ BİN DÖRTYÜZ ALTMIŞ DÖRT SAYILI KANUN UYGULAMASI

5464 sayılı Kanun'un 12. maddesi, kartın kaybolması veya çalınması halinde kart sahibinin sorumluluğunu sınırlandıran çok önemli bir hükümdür. Bu madde uyarınca kart sahibi, yapacağı kayıp/çalıntı bildiriminden önceki yirmi dört saat içinde gerçekleşen hukuka aykırı kullanımlardan doğan zararların en fazla 150 TL'sinden (güncel sınır kanuni düzenlemelere göre değişmektedir) sorumludur. Geri kalan zararı banka üstlenir.

Ancak aynı maddenin devamında çok hayati bir istisna getirilmiştir: Eğer kartın hukuka aykırı kullanımında kart sahibinin "ağır kusuru" varsa veya bildirim yirmi dört saat içinde yapılmamışsa, bu sınırlı sorumluluk hükmü uygulanmaz. Yargıtay emsal kararında da belirtildiği üzere, şifrenin korunmasındaki özensizlik yüzünden şifreli çekim yapılması ağır kusur oluşturduğundan, "davacının olayda ağır kusurunun olduğu ve 5464 sayılı yasanın 12. maddesinden yararlanamayacağı" kesin olarak hükme bağlanmıştır. Bu durumda üye işyeri veya banka değil, tamamen kart sahibi zarardan mesuldür.

BANKA VE KART SAHİBİ KUSUR DAĞILIMI

Kredi kartı davalarında mahkemeler, dosya kapsamında kartın çalındığına veya kopyalandığına (ATM'lere kopyalama aparatı takılması gibi) dair bir emare olup olmadığını araştırır. Eğer kartın kopyalandığına dair emniyet birimlerinin bir tespiti varsa veya bankanın sistem açığından kaynaklanan bir siber saldırı mevcutsa, şifre girilmiş olsa dahi bankanın sorumluluğu doğabilir.

Ancak Yargıtay'ın incelediği olayda, kartın çalındığına veya kopyalandığına dair hiçbir kanıt bulunamamıştır. Kart fiziken kopyalanmamış veya çalınmamış olmasına rağmen doğrudan şifreyle ATM'den para çekilmişse, bu şifrenin üçüncü şahıslara kart sahibi tarafından altın tepside sunulduğu kabul edilir. Bu tip durumlarda bankaya atfedilecek hiçbir kusur bulunmadığından, bankanın tazminat yükümlülüğü tamamen ortadan kalkar ve davanın bütünüyle reddedilmesi gerekir.

YARGITAY KARARININ TÜKETİCİ HUKUKUNA ETKİLERİ

Yargıtay 13. Hukuk Dairesi'nin bu emsal kararı, kredi kartı kullanıcıları için çok ciddi bir uyarı niteliğindedir. Karar, dijital dünyada şifre güvenliğinin ne denli hayati olduğunu ve bu konudaki ihmalkarlığın ne kadar ağır mali sonuçlar doğurabileceğini göstermektedir. Şifre koruma yükümlülüğü, tüketicinin sadece bankaya karşı değil, doğrudan hukuka karşı olan yasal bir ödevidir.

Tüketicilerin, "Kart şifremi cüzdana yazdım ama cüzdanım çalındı, suçlu ben değilim" şeklindeki yaklaşımları hukuken geçersizdir. Hukuk düzeni, kişilerin kendi kusurlu davranışlarından yararlanarak başkalarını zarara uğratmasına veya zararı başkasına yüklemesine izin vermez. Adalet, finansal sistemin güvenliği ve hakkaniyet dengesi adına, kart ve şifre muhafazasında gerekli basireti göstermeyenlerin sorumluluktan kaçamayacakları ilkesini en kararlı şekilde uygulamaya devam edecektir.

SORU – CEVAP BÖLÜMÜ

1. Kredi kartım çalındı ve şifrem girilerek hesabımdan para çekildi. Banka bu parayı bana ödemek zorunda mıdır?

Hayır, kural olarak ödemek zorunda değildir. Yargıtay emsal kararına göre, işlemlerin sizin şifreniz girilerek yapılması şifreyi güvenli muhafaza etmediğinizi gösterir ve bu durum "ağır kusur" sayılır. Ağır kusurunuz olduğu için bankanın sorumluluğu bulunmaz, zarar üzerinizde kalır.

2. Kredi kartı şifresini cüzdanda kartın yanındaki bir kağıda yazmak veya telefonun notlarına kaydetmek hukuken ne anlama gelir?

Bu davranışlar hukukta "ağır kusur" ve ağır ihmal olarak kabul edilir. Kartınız çalındığında hırsızın şifreyi bu notlar sayesinde kolayca bulup işlem yapması durumunda, 5464 sayılı Kanun'un getirdiği sınırlı sorumluluktan (sigorta korumasından) yararlanamazsınız ve tüm zarardan şahsen sorumlu olursunuz.

3. Kartımın kopyalandığını ve şifremin bu şekilde ele geçirildiğini kanıtlarsam sorumluluktan kurtulabilir miyim?

Evet, kurtulabilirsiniz. Eğer ATM'ye kopyalama aparatı ve şifre kaydedici kamera takıldığı emniyet veya bilirkişi raporuyla kanıtlanırsa, bu durumda kart sahibinin kişisel kusuru bulunmadığından bankanın sistemsel güvenlik açığı nedeniyle sorumluluğu doğar ve zarar bankaca karşılanır.

4. Kredi kartımın çalındığını fark ettiğimde ne yapmalıyım? Yasal süre sınırı nedir?

Kartınızın kaybolduğunu veya çalındığını fark ettiğiniz an gecikmeksizin derhal bankanın müşteri hizmetlerini arayarak kartı kullanıma kapatmalısınız. 5464 sayılı Kanun m. 12 uyarınca, bildirimden önceki 24 saat içinde yapılan yetkisiz harcamalardan (ağır kusurunuz yoksa) sınırlı olarak sorumlu olursunuz.

5. Kredi kartı şifremi oluştururken ve kullanırken hukuki risklerden korunmak için nelere dikkat etmeliyim?

Şifrenizi asla doğum tarihiniz, ardışık sayılar (1234) veya TC kimlik numaranız gibi kolay tahmin edilebilir kombinasyonlardan seçmemelisiniz. Şifrenizi hiçbir yere yazılı olarak kaydetmemeli, banka çalışanları dahil hiç kimseyle paylaşmamalı ve ATM'lerde işlem yaparken elinizle tuş takımını mutlaka gizlemelisiniz.

Bu makalede yer verilen değerlendirmeler, Yargıtay’ın emsal nitelikteki kararları esas alınarak ve resmi internet sitesinde yayımlanan metinler üzerinden hazırlanmıştır. Ancak olası güncellemeler ve hata ihtimallerine karşı, ilgili kararların kullanılmadan önce mutlaka Yargıtay’ın resmi kaynaklarından teyit edilmesi gerekmektedir

YARGITAY 13. HUKUK DAİRESİ İÇTİHAT METNİ
Yargıtay 13. Hukuk Dairesi 2013/22035 E.. 2013/31177 Κ. "Yine taraflar arasındaki kredi kartı sözleşmesinin, "Banka Kartlarının Kullanımı başlıklı 20. maddesinde de, banka kartı ve şifresinin özenle muhafaza edilmesi gerektiği, kart ve şifrenin kullanılması suretiyle gerçekleştirilen işlemlerden kart sahibinin sorumlu olduğu belirtilmiştir. Görüldüğü üzere, kredi kartı sahibi, Banka ile sözleşme imzaladığı ve kartın kendi zilyetliğine geçtiği andan itibaren anılan yasa gereğince kendisine tevdi edilen kredi kartını, gerekse bu kartın kullanılması ile ilgili bilgileri koruma ve saklama ile yükümlü olup dava konusu olayda da, para çekme işlemlerinin davacı kart sahibine ait şifrenin kullanılması suretiyle yapılmış olması nedeniyle, gerek açıklanan yasa hükümleri, gerekse imzalanan sözleşme gereğince, kartın üçüncü kişilerce kullanımından davacı kart sahibinin sorumlu olduğunun kabulü gerekir. Davacının kartının şifresine ulaşılmış olması, şifrenin güvenli bir şekilde seçilmediğini ya da muhafaza edilmediğini göstermektedir. Kaldı ki, dosya kapsamındaki delillerden dava konusu kartın çalındığı ya da kopyalandığı yönünde bir bulguya da rastlanmadığı anlaşılmaktadır. Hal böyle olunca davacının olayda ağır kusurunun olduğu ve 5464 sayılı yasanın 12. maddesinden yararlanamayacağı ortaya çıkmaktadır. Bu durumda, kartın hukuka aykırı kullanımında ağır kusuru olan davacının, bankaca kendisine bildirim yapıldığı tarihe kadar olan harcamalardan ve nakit çekimlerden sorumluluğu bulunmaktadır. Mahkemece, davanın reddine karar verilmesi gerekirken yazılı gerekçe ve yanlış değerlendirme ile davanın kısmen kabulüne karar verilmesi usul ve yasaya aykırı olup, bozmayı gerektirir."

Şişman Hukuk Bürosu - Av. Oğuzhan ŞİŞMAN

Hukuki Danışmanlık İçin Bize Yazın