MOBİL DOLANDIRICILIKTA BANKANIN SORUMLULUĞU

Dolandırıcılar tarafından bazı zararlı yazılımlar, uygulamalar, mailler veya reklam mesajları gönderilerek oltalama (phishing) denilen yöntemle birçok kişinin banka hesapları ele geçirilmektedir. Ele geçirilen banka hesabından kredi çekilerek, harcama yapılarak veya hesaplardaki paralar transfer edilerek, kişiler dolandırılmakta ve büyük bir mağduriyet yaşatılmaktadır. Ancak bu tip sahtecilik ve dolandırıcılıklara karşı bankalar müşterilerinin hesap güvenliği ve kişisel bilgilerini korumakla mükelleftir.

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği’nin 36. Maddesi hükümlerine göre de elektronik bankacılık sistemine girişten sonra da müşterilerin olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri takip edilerek tespit edilmek zorundadır.  SMS ile gönderilen şifrelerle işlem yapılması ya da işlemlerin onaylanmış (mobil aktivasyon işlemi tamamlanmış) cihaz/uygulama ile gerçekleştirilmesi bankaları işlemleri sıra dışı ve şüpheli olup olmadıkları açısından izleme yükümlülüğünden kurtarmamaktadır.

Özen kurumu olan bankanın, müşterilerden çok daha fazla dolandırıcılık olayları hakkında bilgi sahibi ve tedbirli olarak, mobil bankacılık işlemlerin gerçekleştirildiği cihazın bu şekilde mobil aktivasyonu tamamlanmış bir cihaz olabileceğini göz ardı etmemesi gerektiği, güvenlik süreçlerini ona göre düzenlemesi, yeni kullanılmaya başlanan bir cihazın söz konusu olduğu durumlarda çok daha sıkı güvenlik önlemleri uygulaması gerektiği değerlendirilmektedir.

Bankacılık Düzenleme ve Denetleme Kurumunun, 4 Aralık 2013 tarihli 28841 sayılı tebliğinin m. 5/3’ e  göre; ‘’Banka, kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmak, güvenlik önlemleri saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.’’

19.10.2005 tarihli ve 5411 sayılı Bankacılık Kanununun 93’üncü maddesi uyarınca Bankacılık Düzenleme ve Denetleme Kurumu tarafından düzenlenen Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te ayrıntılı bir şekilde bankaların uyması gereken kurallar ve bankaların sorumlulukları belirtilmiştir. Bankalar yönetmelikteki sorumluluklarını yerine getirmek için her türlü teknik tedbiri almak zorundadır. Müşterilerine verdikleri dijital bankacılık hizmetlerindeki her türlü riski sıfırlamak ve güvenli bir hizmet vermek sorumluluklarının başında gelmektedir. Ayrıca verdikleri hizmetin güvenlik derecesi müşterilerin bankaya güven duymasını sağlayacaktır. Bankaların online bankacılık hizmetleri konusundaki sorumlulukları ve almaları gereken önlemler, 15.03.2020 tarihinde yayınlanan yönetmelik ile belirtilmiştir.  Yönetmelikte online bankacılığa giriş için asgari teknik önlemlerin yanında, bankalara, şüpheli işlemlerin tespiti ve takibi sorumluluğu yüklenmiştir. İlgili yönetmeliğin 36. Maddesi şu şekildedir:

(1) Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar. İşlem takip mekanizması kapsamında uygun olan durumlarda asgari olarak aşağıdaki risk unsurları takip edilir:

a) Finansal sonuç doğuran işlemlere yönelik bilinen dolandırıcılık yöntemleri,

b) Gerçekleştirilen her bir bankacılık işleminin tutarı ve bu tutarlara göre müşterinin konum bilgisi de kullanılarak normal dışı bir ödeme, fon transferi ya da davranış deseni gösterip göstermediği,

c) Kaybolmuş, çalınmış ya da yetkisiz kişilerce ele geçirilmiş kimlik doğrulama unsurlarının listesi,

ç) Her bir kimlik doğrulama oturumuna yönelik olarak zararlı yazılımların bulaşmış olabileceğini gösteren belirtiler.

(2) Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.”

Yönetmelik maddesinden de anlaşılacağı üzere yasal düzenlemeler bankaya şüpheli işlemler konusunda ciddi sorumluluklar yüklemektedir. Bankaların bu konuda teknolojiyi de kullanarak çok dikkatli davranmaları gerekmektedir. Düzenlemeye göre, online bankacılık işlemleri için SMS yolu ile gönderilen şifrelerle işlemin yapılması ve onaylanması, bankaların sorumluluğunu ortadan kaldırmaz. Bankaların, bunun ötesinde, şüpheli olabilecek işlemleri filtreleme ve bu işlemleri izleme yükümlülüğü vardır.

BANKANIN SORUMLULUĞU                                                                                     

Bankalar, kişilerin kendilerine emanet ettiği ekonomik değerleri korumak zorundadırlar. Ayrıca müşterilerine eğer dijital bir hizmet verecekler ise hiçbir riski müşterilerine yüklememek zorundadırlar. Tüm riskler banka tarafından üstlenilir ve yok edilmeye çalışılır. Çünkü bankacılık hizmetlerinde asıl olan şubeden yüz yüze bankacılıktır. Dijital bankacılık her ne kadar müşteriye kolaylık sağlasa da asıl kazananı banka olmaktadır. Banka bakımından büyük bir tasarruf sağlamaktadır. Ayrıca kolayca kullandırdığı krediler sonucunda da kazancını artırmaktadır. Bu konuyu yine aynı yönetmelikte dijital bankacılığın müşteri tarafından talep edilmesi konusu belirtilmektedir. İlgili madde şu şekildedir: 

‘’Banka, müşteri talebi olmadan internet bankacılığı ve mobil bankacılık hizmetini ilgili müşterinin kullanımına açamaz. Müşteri, herhangi bir elektronik bankacılık hizmetine erişimini kapatmışsa veya kapattırmışsa, müşterinin yeni bir talebi olmadan ilgili hizmet kullanıma açılamaz.” 

Ancak uygulamada dijital bankacılık açılırken çoğu zaman müşterinin talebi olmadan banka tarafından açılmaktadır. Bu olayı normal olarak kabul eden müşteriler sorgulamadan kullanmaya devam etmektedir. Ayrıca mobil telefon kullanımının yaygınlaşması da dijital bankacılık kullanımını artırmıştır. Şüpheli kişiler tarafından müşterilerin hesaplarına erişimin engellenmesi için yasa koyucu çeşitli düzenlemelerde tüm sorumluluğu bankalara vermiştir. İlgili düzenlemeler şu şekildedir:

Bankacılık Düzenleme ve Denetleme Kurumundan: 31441 sayılı ve 1 Nisan 2021 tarihli Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine Ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmeliğin ‘’Kimlik Tespit Edilecek Kişinin Doğrulanması’’ Başlıklı 10. Madde:

‘’(1) Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gerekliliklerine ilişkin ilgili mevzuat hükümleri saklıdır.’’

‘Uzaktan Kimlik Tespitinde Sorumluluk’  Başlıklı 11.Madde:

‘’(1) Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır. Banka uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izler. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü bankadadır.”

Yasal düzenlemeden de görüleceği üzere Bankanın hiçbir şekilde müşterinin banka hesabına şüpheli erişime müsaade etmemesi gerekmektedir. Bunu sağlamak için tüm imkanlarını kullanmak ve güvenli dijital bankacılık hizmetini sunmak zorundadır.

Yargıtay 11. Hukuk Dairesinin bu konudaki emsal kararı: ‘’ İşlemde davacının üçüncü kişilerle iş birliği yaparak veya başka şekilde kusurlu davrandığı ispatlanamamıştır. Davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötü niyetli kişilerin işlemlerine karşı korunamadığı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hâle getirmediği anlaşılmaktadır. Bu durumda davalı banka hesaptan çekilen tüm paradan sorumludur. Bunun ilke olarak kabulü gerekir.’’ şeklindedir.

Yargıtay 11. Hukuk Dairesi 2019/4714 E. , 2021/2525 K. sayılı ilamında;

“Davacının cep telefonuna uzaktan erişim ile SMS yönlendirmesi yapılarak, bankalar tarafından gönderilen ve içerisinde onay şifresi bulunan dinamik şifre SMS’leri kendi telefonlarına yönlendirdikleri ve para transfer işlemleri yapıldığı, internet bankacılığını müşterilerine özendiren davalı bankaların kendisine emanet edilen mevduatı koruma özel yükümlülüğü gereğince; internet bankacılığı işlemlerinde işlem yapanın gerçek müşteri olup olmadığını belirleme yönünde, gelişen dolandırıcılık yöntemlerine karşı, bunları önleyici gerekli altyapının sağlanarak güvenlik önlemlerini almak zorunda olduklarını bozmadan sonra temin edilen bilgi ve belgelerin sonucu ve kusur oranını değiştirir nitelikte olmadığı, davacının 44.825,00 TL tutarındaki zararından davalı bankaların davacıya karşı müteselsilen sorumlu oldukları gerekçesiyle..”

 Yargıtay 11.Hukuk Dairesi 2017/4888 E.,  2019/2015 K. sayılı ilamında;

“Dosya kapsamından, işlemlerde davacının üçüncü kişilerle el ve işbirliği ile veya başka şekilde kusurlu davrandığı kanıtlanmamıştır. Davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötüniyetli kişilerin işlemlerine karşı korunamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hale getirmediği anlaşılmaktadır. O halde, davalı bankanın hesaptan çekilen tüm paradan sorumlu olduğunun, ilke olarak kabulü gerekir.”

Yargıtay 11.Hukuk Dairesi’nin 2007/12559 E., 2009/1362 K. sayılı ilamında;

“…Bankalar, özel yasa ile kurulan ve ekonomik alanda çeşitli imtiyazlar tanınan kuruluşlardır. Güven kuruluşları olan bankalar, topladıkları mevduatı sahtecilere karşı özenle korumak zorundadırlar. Bu hususta objektif özen borcu altında olan bankalar, hafif kusurlarından dahi sorumludurlar. BK’nın 99. maddesi uyarınca yapmış oldukları sorumsuzluk anlaşmaları da geçerli değildir….İnternet bankacılığı yoluyla yapılan işlemlerde gerekli önlemleri almayan banka, kural olarak özen yükümlülüğünü ihlal etmekle asli kusurludur..”

Yargıtay 11. Hukuk Dairesi 2023/2673 E., 2024/5119 K. sayılı ilamında;

‘’4491 Sayılı Yasa ile değişik 4389 Sayılı Bankalar Kanunu 10/4 ve 5411 sayılı Bankacılık Kanunu'nun 61 inci maddesi uyarınca bankalar kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür. Bu tanımlamaya göre, mevduat sözleşmesi ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Yine 6098 sayılı Borçlar Kanunun 379 uncu maddesi uyarınca ödünç alan, akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile birlikte iadeye mecburdur. Aynı Yasa'nın 570/1 inci maddesi uyarınca usulsüz tevdide paranın nef'i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, dolandırıcılık eylemi müşteriye değil bankaya karşı gerçekleştirilmekte ve mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz işlemlerin gerçekleşmesinde ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir. Birer güven kurumları olan bankalar, aldıkları mevduatları sahtecilere karşı özenle korumak zorundadırlar. Bu nedenle de hafif kusurlarından dahi sorumludurlar.’’

Ankara Bölge Adliye Mahkemesi 2022/996 E., 2024/1196 K. sayılı ilamında;

‘’Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Hükümleri gereği internet bankacılığı yoluyla üçüncü kişi/kişilerce davacının hesabından, bilgisi ve rızası dışında, kredi kullanılması, kullanılan kredinin üçüncü kişi hesabına aktarılması, devamında kısa süreli aralık ile aynı bedelli ikinci kredinin kullanılmasının olağan dışı ve şüpheli görülerek davalının davacıdan teyit alma ihtiyacını duymadığı, yapılan işlemlerin olağan dışı ve şüpheli olduğu gözetildiğinde gerekli güvenlik önlemlerini almayarak davacının zarara uğramasına davalı sebebiyet vermiştir. Bu kabul çerçevesinde davacıya yüklenebilecek herhangi bir kusur bulunmayıp, meydana gelen zararın oluşmasında davalı banka tam kusurludur. Taraflara yüklenecek kusur takdiri somut olayın özelliklerine göre hâkime aittir.’’

Ankara Bölge Adliye Mahkemesi 21. Hukuk Dairesi 2022/1536 E., 2024/1615 K. sayılı ilamında;

‘’Böylelikle yapılan bu işlemin davacı müşterinin olağan işlemlerinden olmadığı, işlemin şüpheli / riskli olarak tespit edilmesi, şüpheli işlem olarak bankaca teyit aramalarının yapılması gerekirken bu işleme onay verildiği, bankanın gerekli önem ve özeni göstermediği, davalı bankanın, davacının parolasının kendi kusuru ile ele geçirildiğini de kanıtlayamadığı gibi yapılan işlemlerin yapıldığı saat ve işlem miktarı da dikkate alındığında bankanın fraud (dolandırıcılık) mekanizmasını devreye alıp, SMS gönderimi, ek güvenlik şifresi, telefon ile arayarak teyit etme gibi ekstra güvenlik önlemlerini almadığından banka tam kusurlu olduğu, bu durumda somut olayda kusurun tamamının davalı bankaya ait olacağı, güven ve itibar müessesesi olan bankanın dolandırıcılık olayını engelleyebilecek teknolojileri transfer edip paranın hesaptan çıkmasını engelleyemediği, yine bir özen kurumu olan bankanın en hafif kusurundan dahi sorumlu olduğu, hesapta bulunan paranın güvenliğini davalı bankanın tam olarak sağlamakla yükümlülüğü bulunduğu, dikkate alındığında bankanın davacının tüm zararından sorumlu tutulması gerektiği anlaşılmakla, ilk derece mahkemesince davalı bankanın tam kusurlu kabul edilmesi suretiyle davanın kabulü yönünde karar vermesi usul ve yasaya uygun bulunmuştur.’’

SONUÇ

Bankacılık hizmeti özel ve büyük özen gösterilecek bir hizmettir. Bu nedenle sıkı bir denetim ve kurallara sahiptir. Bu hizmeti vermek isteyen şirketler de bu zorlukları bilerek ve riskleri göze alarak bu işe girerler. Zaten yasal düzenlemeler de bu yöndedir. Gerçekleşen internet bankacılığı dolandırıcılığı sonrasında kusuru müşteriye yüklemeye çalışmak bir bankacılık refleksi olarak gerçekleşir. Ancak bu tür durumlarda olay dikkatlice incelenmeli ve dijital deliller ile olayın oluş biçimi analiz edilmelidir. Özellikle bankaların mutlaka kullanmak zorunda oldukları şüpheli bankacılık işlemi tespit sistemlerinin düzgün konfigürasyon edilip edilmediği incelenmelidir. Yapay zekanın gelişmesiyle bu sistemler çok başarılı sonuçlar vermektedir. Müşterilerin geçmiş işlemleri de kullanılarak eğitilen yapay zekâ sayesinde gerçek zamanlı şüpheli işlem tespiti artık kolayca sağlanmaktadır. Bu nedenle bankalar tarafından gerekli hassasiyetin gösterilerek müşterilerin mağdur edilmemesi, bankanın en önemli hizmeti olacaktır.

Stj Av. Emre ÇALIŞKAN

Av. Mustafa Alper KÜÇÜKYILMAZ