BANKA HESAPLARINDAN YAPILAN DOLANDIRICILIKTA BANKANIN SORUMLULUĞU

Dolandırıcılar tarafından bazı zararlı yazılımlar, uygulamalar veya reklam mesajları gönderilerek oltalama yöntemiyle birçok kişinin banka hesapları ele geçirilmektedir. Ele geçirilen banka hesabından kredi, alışveriş veya hesaplardaki paralar başkalarına transfer edilerek, kişiler dolandırılmaktadır. Ancak bu tip sahtecilik ve dolandırıcılıklara karşı bankalar müşterilerinin hesap güvenliği ve kişisel bilgilerini korumakla mükelleftir.

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin “İşlemlerin takibi” başlıklı 36. Maddesi hükümlerine göre de elektronik bankacılık sistemine girişten sonra da müşterilerin olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri takip edilerek tespit edilmek zorundadır.  

SMS ile gönderilen şifrelerle işlem yapılması ya da işlemlerin onaylanmış (mobil aktivasyon işlemi tamamlanmış) cihaz/uygulama ile gerçekleştirilmesi bankaları işlemleri sıra dışı ve şüpheli olup olmadıkları açısından izleme yükümlülüğünden kurtarmamaktadır. 

Özen kurumu olan bankanın, müşterilerden çok daha fazla dolandırıcılık olayları hakkında bilgi sahibi ve tedbirli olarak, mobil bankacılık işlemlerin gerçekleştirildiği cihazın bu şekilde mobil aktivasyonu tamamlanmış bir cihaz olabileceğini göz ardı etmemesi gerektiği, güvenlik süreçlerini ona göre düzenlemesi, yeni kullanılmaya başlanan bir cihazın söz konusu olduğu durumlarda çok daha sıkı güvenlik önlemleri uygulaması gerektiği değerlendirilmektedir. 

Bankacılık Düzenleme ve Denetleme Kurumunun, 4 Aralık 2013 tarihli 28841 sayılı tebliğinde; 5 maddenin 3. fıkrasına  göre; Banka, kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmak, güvenlik önlemleri saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.

Bankalar birer güven ve itimat kurumları olduklarından kural olarak hafif kusurlarından da sorumludurlar. Bankalar, müşterilerinin kişisel bilgilerini korumakla mükelleftir. Bankaların, internet bankacılığında müşterilerinin güvenliğini sağlayacak güvenlik enstrümanlarını kullanması zorunludur.

Kartın fiziki olarak ibraz edilmesinin mümkün olmadığı mesafeli işlemlerde (mail order, telefon order, elektronik ticaret) “Kart numarası”, “Kartın Vadesi”, ” Güvenlik Kodu” nun çeşitli şekillerde öğrenilmesi veya ele geçirilmesi ile bu bilgilerle mal ve hizmet satın alınabilmesi dolandırıcılığa ve suistimale açık bir kullanım şekli olduğundan, hem Kartlı Ödeme Sistemleri kuralları gereği hem de 5464 sayılı Banka Kartları ve Kredi Kartları Kanununa göre mal ve hizmet alımlarındaki zararlardan kart sahipleri sorumlu tutulamazlar.

Bankalar; faaliyet alanları, kuruluşları, yönetimleri, iç denetim sistemleri, finansal raporlamaları, öz sermayeleri, sermaye yeterlik oranları ve bağımsız denetimleri 5411 sayılı Bankacılık Kanunu ile düzenlenen güven kuruluşlarıdır. Bankaların hukuki sorumlulukları, başta TBK olmak üzere birden fazla mevzuatta düzenlenir.

6102 sayılı TTK uyarınca, tüm tacirlerin ticari işleriyle ilgili olarak basiretli bir tacir gibi davranmaları gerektiği düzenlenir. Bankalar, kamu nezdinde güven uyandıran kuruluşlar olarak kendi faaliyet alanlarının gerektirdiği ölçüde basiret ve özenle davranmalıdır. Kamu nezdinde oluşturulan bu güven bankaların işlemlerinde sıradan bir tacirden daha yüksek bir özen göstermelerini gerektirir.

Güvenin korunması ilkesi, güvenen nezdinde bir güven unsurunun oluşmasına sebebiyet veren güvenilenin, yarattığı bu güvene uygun davranışlarda bulunması ve bunun sonuçlarına da katlanması anlamı taşır. Bankalar, yükümlülüklerini yerine getirirken objektif özen ile davranmak durumunda olup birer itimat kurumları olan bankalar, aldıkları mevduatları sahtecilere karşı özenle korumak zorundadırlar. Bu konuda objektif özen borcunun gereği olarak hafif kusurlarından da sorumludurlar. Bankaların, sözleşmeden kaynaklanan veya bu kapsamda değerlendirilen borçlarını, hiç ya da gereği gibi yerine getirmemelerinin sonucu Borçlar Kanunu’nda genel hatlarıyla açıklanmıştır.

Buna göre alacaklı hakkını kısmen veya tamamen alamamış ise borçlu olan taraf, kendisinde hiçbir kusur olmadığını ispat edemedikçe bundan dolayı doğan zararı karşılamak zorundadır. Bankaların, kendilerine güvenen müşterilerine, onların yakınları olan üçüncü kişilere ve bilgi almak ya da ilişki kurmak amacıyla kendilerine başvuran kişilere karşı koruyucu nitelikte bir özen borcu vardır.

Banka dolandırıcılık olaylarında dolandırıcılar banka müşterilerinin bilgi ve SMS ile gönderilen şifrelerini ele geçirmek için çeşitli yöntemler geliştirmişlerdir. Bunlardan bir tanesi de bankaların resmi bankacılık uygulamaları görünümlü, girilen bilgileri çalma, SMS’leri okuyarak çalma, sonrasında gizleme amacıyla silme, bulaştığı telefonun uzaktan kontrol edilmesi yeteneklerine haiz zararlı bankacılık yazılımları oluşturmak, çekiliş, iade ve ödül gibi vaatler içeren, bu zararlı yazılımların bağlantılarını içeren oltalama SMS, sosyal medya mesajları veya reklamları göndererek müşterilerini bu yazılımları indirerek kurmaya ikna etmektir. Bu zararlı yazılımlar indirilerek kurulmakta, arka planda çalışarak dolandırıcıların telefonu uzaktan kumanda etmesine olanak sağlamaktadır. Dolandırıcılar ele geçirdikleri tüketicinin telefonuna uzaktan bağlanarak yüklü mobil bankacılıkla tüketicinin hesabına giriş yapmakta, gelen SMS’leri okuyup kullanıp gizlemek amacıyla silmekte, sonuçta uzaktan hukuk dışı kullanımlar yapmaktadırlar.     

Gerekli güvenlik önlemlerini almayarak güvenlik zaafiyeti gösteren bankanın, müşterisinin bankacılık bilgilerinin üçüncü kişilerin eline geçmesine sebebiyet vermesi durumunda, müşterisinin oluşan zararından sorumludur.

Ankara Bölge Adliye Mahkemesi 21. Hukuk Dairesi’nin 2023/1508 K. Sayılı ilamı.