Yargıtay Sanal Dolandırıcılıktan Bankayı Sorumlu Tuttu Mu ?
T.C. Yargıtay 19. Hukuk Dairesi’ nin verdiği bir karar, yazılı ve görsel medyada , sanal dolandırıcılıktan bankanın sorumlu olduğu ve bu tür olaylarda müşterilerin sorumlu tutulamayacağına hükmettiği şeklinde verildi.
Haberi okuduğumda gerçekten hiçbir şey anlamadım. Haberde kredi kartı ile 34 kez sanal ortamda harcama yapıldığı, işlemlerin 3D Secure yöntemi ile gerçekleştiği , kart sahibinin bankaya işlemlerin bilgisi dışında yapıldığına yönelik itirazının banka tarafından red edildiği, bu nedenle kart sahibinin banka tarafından bu işlemler karşılığında kendisine borç geçilen tutara karşı dava açtığı, dava sonucunda yerel mahkemenin bankayla kart sahibine ortak sorumluluk yükleyen kararını Yargıtay’ın bozduğu ve gerekçe olarak da internet bankacılığı yoluyla 3. kişiler tarafından sahte şifre oluşturularak yapılan harcamalardan kart sahibi sorumlu tutulamaz diyerek bütün sorumluluğun bankaya ait olduğuna karar verildiği yazıyordu.
Kredi kartı, sanal ortam, internet siteleri, internet bankacılığı, 3D Secure ne ararsan vardı haberde. Dedim ki haberi yapanlar Yargıtay kararını kesin yanlış yorumladılar, o yüzden direkt karara ulaşıp bir bakayım. Yargıtay 19. Hukuk Dairesi 2015 / 6084 esas no’ lu, 2015 / 16582 karar sayılı karara ulaştım ve okudum. Haberde yazılan ile karar metni aynıydı. Tabi bilirkişi raporunu göremediğim için başka bir detaya ulaşamadım. Bu nedenle paylaşacağım görüşler, sadece yukarıda ve haberde yer alan bilgilere dayanacaktır.
Kartın fiziki olarak ibraz edilmesinin mümkün olmadığı mesafeli işlemlerde ( mail order, telefon order, elektronik ticaret ) “ Kart numarası ” , ” Kartın Vadesi ” , ” Güvenlik Kodu ” ‘ nun çeşitli şekillerde öğrenilmesi veya ele geçirilmesi ile bu bilgilerle mal ve hizmet satın alınabilmesi dolandırıcılığa ve suistimale açık bir kullanım şekli olduğundan, hem Kartlı Ödeme Sistemleri kuralları gereği hem de 5464 sayılı Banka Kartları ve Kredi Kartları Kanununa göre mal ve hizmet alımlarındaki zararlardan kart sahipleri sorumlu tutulamazlar.
5464 Sayılı Banka Kartları ve Kredi Kartları Kanununda Mesafeli İşlemler
- Kart Kullanımına İlişkin Yükümlülükler başlıklı 15 inci maddesiyle ; …. bu kanunun 20. inci maddesi uyarınca harcama belgesi düzenlenmeksizin çeşitli iletişim araçları yoluyla veya sipariş formu vasıtasıyla yapılan mal ve hizmet alımlarındaki hukuka aykırı kullanımlardan kaynaklanan zararlardan kart hamilleri sorumlu
- İspat Yükü başlıklı 32 inci maddesiyle ; … .. kart numarası bildirmek suretiyle üye işyerinden telefon, elektronik ortam, sipariş formu veya diğer iletişim araçları yoluyla yapılan işlemlerden doğacak anlaşmazlıklarda ispat yükü işyerine
Bu durumda sanal ortamda bilgisi ve onayı dışında kartından 34 kez işlem yapılan kart sahibi bankasına itiraz ettiğinde, banka neden itirazını olumsuz olarak yanıtladı sorusu akla gelebilir. Dava konusundan anladığımız, işlemler 3D Secure olarak gerçekleştiği için, banka itiraz talebini olumsuz yanıtladı. Çünkü 3D Secure sisteminde, kart sahibi, şifresi ile işlemin kendisi tarafından yapıldığını doğrularken, kartın ve kart sahibinin aynı yerde olduğu belgelenmiş olmaktadır. Bu nedenle Kartlı Ödeme Sistemleri Kuralları gereğince, 3D Secure olarak gerçekleşen işlemler için, kart sahibi işlemin kendisine ait olmadığı veya bilgisi onayı dışında yapıldığı ( fraud ) nedenli itirazda bulunamaz ; bulunsa da itiraz, kart bankası tarafından reddedilir.
Davanın içeriğine göre bankada itirazı red etmiş. Peki bu durumda, yerel mahkeme banka ile kart sahibine neden ortak sorumluluk yüklemiş olabilir ? Tamamen fikir üreteceğim, somut olarak yerel mahkemenin verdiği kararı bilmiyorum.
Mahkemelerde bankaların kusurlu olduğuna hükmedilirken genellikle şöyle bir mantıkla konuya yaklaşılıyor. Hafif kusurundan bile sorumlu bir banka olarak sen şayet piyasadaki x bankası gibi tedbirler alsaydın, bu zarar meydana gelmezdi ; dolayısıyla banka olarak sorumluluğunu gereğince yerine getirmediğin için oluşan bu zararın ( genellikle ) % 50’ sini ödemen gerekir. Buradan yola çıkarsak, bankaların güvenlik birimleri 7 / 24 banka üzerinden gerçekleşen her türlü finansal işlemi belli kriterler ve filtreler ile izleyerek takip eder, riskli olarak tespit edilen işlemler için müşterilerini arayarak işlem Teyidi talep ederler. Eğer müşteri işlemi teyit etmezse, işlem kart ile yapıldı ise kartı kapatırlar, internet / mobil şube kanalı ile hesap bilgileri üzerinden izinsiz bir işlem tespit edildi ise şifreleri ve hesapları bloke ederler. Bu dava konusunda da, aynı kart ile aynı iş yerinden 34 defa aynı tutar ile işlem yapıldığında, bankanın güvenlik filtrelerine işlemin takılması gerekirdi. Ve bankanın işlemleri sorgulayarak, kart sahibine ulaşmaya çalışarak teyit alması gerekirdi. Bu durum göz önüne alınmış ve bankanın kusuru olarak değerlendirilmiş olabilir.
Bankacılık Düzenleme ve Denetleme Kurumunun, 4 Aralık 2013 tarihli 28841 sayılı tebliğinde ; 5 maddenin 3. fıkrasına göre ; Banka, kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmak, güvenlik önlemleri saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür. Tebliğe buradan ulaşabilirsiniz.
Öte yandan, şayet banka müşterisi de kullanıcı adı / parola / şifrenin başkalarının eline geçmesinde kusurlu / özensiz hareket etmişse zararın oluşmasında elbette müşterinin kusuru da söz konusu edilmeli ve somut olayda zararın ortaya çıkmasına neden olan kusur esaslarına göre hareket edilerek sorumluluk paylaştırılmış olabilir.
Şimdi gelelim, Yargıtay’ ın verdiği karara ;
” Davacının kişisel bilgilerini koruyamadığı, bu konudaki özen yükümlülüğünü ihmal ettiği sabit olmadığı sürece davacı müşteri internet bankacılığı yoluyla 3. Kişiler tarafından sahte şifre oluşturmak suretiyle yapılan harcamalardan dolayı sorumlu tutulamaz. Mahkemece bu yönler gözetilerek bir karar verilmesi gerekirken davacının da kusurlu bulunduğu kabul edilerek yazılı şekilde hüküm kurulmasında isabet görülmemiştir.”
Bu karar metni ile, kredi kartı ile bir internet sitesinde sanal ortamda 3D Secure olarak 34 defa işlem yapılmasından, internet bankacılığı yoluyla 3. kişiler tarafından sahte şifre oluşturulmasına geldik. Burada nasıl bir bağlantı olabilir ?
3D Secure sürecinde bankadan cep telefonuna gelen şifre, OTP ( tek kullanımlık şifre ) olarak adlandırılan işlemlerin doğrulanması için tek seferlik kullanım amacıyla üretilen ve gönderilen şifredir. Karar metninde geçen, internet bankacılığı yoluyla 3. kişiler tarafından sahte şifre oluşturulması ile örtüşmüyor.
Bu nedenle Yargıtay’ ın verdiği kararı esas olarak yola çıkarsak ; bana sadece aşağıdaki senaryo mantıklı geliyor. Davacının kişisel bilgileri, kimlik bilgileri ele geçiriliyor, davacı adına internet bankacılığı şifresi oluşturuluyor ve sanal kart yaratılıyor. Sanal karttan 3D Secure olarak işlemler yapılıyor. Ancak böyle bir senaryoda, kredi kartı, internet bankacılığı, 3D Secure, sanal ortam ve internet sitesini bir araya getirebiliyorum.
Eğer davanın konusunun içinde internet bankacılığı varsa, internet bankacılığından yararlanmak isteyen banka müşterisi, bankası ile yapacağı anlaşma sonucu, ek bir hizmet olarak internet bankacılığı hizmetini talep edebilir. Yapılan sözleşme ile internet bankacılığına izin verilmiş müşteri, bankanın web sitesi üzerinden gerekli şartları gerçekleştirmek şartıyla internet bankacılığından yararlanabilir. Eğer 3. Kişiler tarafından, davacının kişisel bilgileri çalınarak bilgisi dışında internet bankacılığı başvurusu yapılıp, internet bankacılığı şifresi oluşturulma durumu varsa, bankaya yapılan sahte başvurunun tespit edilememesi olarak değerlendirilir. Ve tüm sorumluluk bankaya aittir.
Bunun dışında eğer banka müşterisinin internet bankacılığı şifresinin veya parolasının 3. kişiler ile paylaşması veya internet bankacılığını kullandığı bilgisayarın güvenlik zaafı nedeniyle bilgisayar korsanları tarafından şifresinin ele geçirilme durumu varsa, kendi görüşüme göre banka sorumlu tutulamaz. Banka kendi sisteminin güvenliğini sağlamanın yanında, banka müşterisinin bilgisayarının da güvenliği sağlamakla sorumlu tutulamaz. Bu nedenle, internete bağlanan herkes bilgisayarının güvenliğinden kendisi sorumludur. Bu güvenliği sağlayamayan ve mağdur olanlar suçu bankada arayamazlar.
Sonuç olarak, yukarıda açıklamaya çalıştığım gibi, bu karar üzerinden sanal dolandırıcılıktan banka sorumlu tutuldu denemez. Çünkü davanın konusu ve Yargıtay’ ın kararı hakkında detayları bilmiyoruz. Bu haberde yer alan bilgilerle bu karara varılamaz. Benim kanaatim şu yönde ; güvenlik altyapısı en yüksek kurumlar bile bazı tür siber saldırılara karşı çaresiz kalabiliyor. Bu nedenle, gerek kart ile gerekse internet / mobil bankacılığı üzerinden yapılan dolandırıcılık vakalarında, banka müşterilerinin kusurlu / özensiz hareket etmesinden doğan kusur mu var ya da bankanın güvenlik sistemi zaaflardan mı kaynaklı kusur var yoksa hem bankanın hem banka müşterisinin ortak kusuru mu var, vakaya göre değişiklik gösterir. Her vakanın kendi içinde ayrı olarak değerlendirilmesi gerekir.
Fraud and Charge Back Uzmanı – İ.Kudret ELÇİBOĞA‘ dan Uzmangörüş.com tarafından alınan özel izinle bu makaleyi yayınlamaktadır. Bu makale 5846 sayılı Fikir ve Sanat Eserleri Yasası kapsamında korunmaktadır.
