İNTERNET BANKACILIĞI İŞLEMLERİ SIRASINDA BANKA / KREDİ KARTLARININ HACKLENMESİ

İNTERNET BANKACILIĞI İŞLEMLERİ SIRASINDA BANKA / KREDİ KARTLARININ HACKLENMESİ

ÜÇÜNCÜ KİŞİ LEHİNE İŞLEM YAPILMASI HALİNDE BANKANIN HUKUKİ SORUMLULUĞU

Bir önceki yazımızda, “Banka/Kredi Kartlarının Kötüye Kullanması Suçları ile Banka/Kredi Kartlarına Yönelik Saldırılar ve Saldırıdan Sonra İzlenecek Yol” hakkında bilgi vermiştik. İlgili yazıya buradan ulaşabilirsiniz. Bu yazımızda ise TCK m.245’de yazılı suçun mağduru olan veya başkaca bir suç tipinin oluşumuna sebebiyet verecek şekilde banka/kredi kartı bilgileri hacklenen kart sahibinin, rızası dışında yapılan harcamalardan bankanın sorumluluğunu inceleyeceğiz.

Öncelikle belirtmemiz gereken husus bu yazı kapsamında “internet bankacılığı” veya “mobil bankacılık” kullanımı sırasında gerçekleşen rıza dışı harcamalar incelenecektir. Fiziksel olarak kartın çalınması, kaybedilip başka tarafından ele geçirilmesi gibi durumlar daha sonraki yazılarımızda ayrı bir başlık altında incelenecek olup bu konu hakkında gelecek blog yazılarımızı takip edebilirsiniz.

Konuya başlamadan önce, bu çalışmayı daha anlaşılabilir kılmak amacıyla “internet bankacılığı” ve “kusursuz sorumluluk” kavramlarını kısaca ifade edecek olursak;

İnternet Bankacılığı, zaman ve yer sınırlaması olmaksızın bilgi işleme cihazları (bilgisayar, tablet, telefon…) aracılığı ile bankacılık hizmetlerinin internet üzerinden (online-çevrimiçi) sunulması için hazırlanan alternatif dağıtım kanalıdır.

Kusursuz Sorumluluk, konu bakımından bizi ilgilendiren manasıyla, bir kişi veya kuruma duyulan güven sebebiyle ve buna ek olarak ilgili kişi veya kurumun kanuni ve/veya sözleşmesel yükümlülükleri hasebiyle kusurlu olarak gerçekleştirmediği fiilerden dahi sorumlu olması anlamına gelmektedir.

5411 sayılı Bankacılık Kanunu (BK) kapsamında bir güven kuruluşu olan bankaların hukuki sorumlulukları, 6098 sayılı TBK ve 6102 sayılı TTK kapsamında düzenlenmektedir. Ayrıca 5411 sayılı BK m.6 uyarınca bankalar, Bankacılık Denetleme ve Düzenleme Kurulunca (BDDK) verilecek ruhsata tabi şekilde işlemlerini yürütebilmektedirler.

Sıkı bir devlet denetimine ve katı kurallara uymakla yükümlü olan bankalar, uzmanlık gerektiren bir faaliyet yürüttüklerinden ve ruhsata tabi olduklarından, kamu nezdinde güvenilir ve özenli bir kuruluş olarak kabul edilmektedirler ve bu sebeple hafif kusurlarından sorumlu olmayacaklarına dair sözleşme yapamamalarının yanı sıra (konumuzda olduğu gibi) kusursuz eylemlerinden dahi sorumlu tutulabilmektedirler.

Bu hususta çokça içtihat metni de bulunmaktadır. Yargıtay 19. Hukuk Dairesinin 2014/7414 Esas, 2014/12133 Karar 02.07.2014 Tarihli İlamı; aynı dairenin 2015/6084 Esas, 2015/16582 Karar ve 09.12.2015 Tarihli İlamı ve 2015/18380 Esas, 2016/9793 Karar ve 31.05.2016 Tarihli İlamı incelendiğinde her kararda ortak olarak “Bankalar birer güven ve itimat kurumları olduklarından kural olarak hafif kusurlarından da sorumludurlar.” ibaresinin yer aldığı tespit edilecektir.

Banka ve Kredi kartları özelindeki sorumluluk ise 5464 sayılı “Banka Kartları ve Kredı̇ Kartları Kanunu” ve “Banka Kartları ve Kredi Kartları Hakkında Yönetmelik” (RG:10.03.2007) bağlamında incelenmelidir. Bu doğrultuda kart hamilinin yükümlülükleri 5464 sayılı Kanun’un 15. ve 16. Maddelerinde; üye ı̇şyeri ve üye ı̇şyeri anlaşması yapan kuruluşlara ı̇lişkin yükümlülükler 17 – 23.maddeler aralığında ve kart çıkaran kuruluşun yükümlülükleri ise 8 – 14.maddeler aralığında düzenlenmiştir.

Bankalar gerek müşteri işlemlerini kolaylaştırmak gerekse maliyetlerini düşürüp daha geniş müşteri kitlelerine erişebilmek maksadıyla internet bankacılığı hizmetleri sunmaktadırlar. Ülkemizde 1997 yılında ilk kez başlatılan internet bankacılığı sistemi bankaların kendi nezdinde oluşturulmaktadır. Dolayısıyla bu sistemden doğabilecek zararlarda bankanın garantisi altında kabul edilmektedir. O halde bankalar bu sistemde meydana gelen hasarlardan kusursuz olsa dahi sorumlu tutulabilecektir.

İnternet bankacılığı kullanılarak yapılan ödeme işlemlerini ayrı başlıklar altında inceleyecek olursak; 3D Secure kullanılarak yapılan işlemler ve diğer işlemler şeklinde ikili bir ayrım yapabiliriz.

3D Secure (3D Güvenli Ödeme) Sistemi

Günümüzdeki en güvenli ödeme yöntemlerinden biri olarak kabul edilmekte olup en basit anlatımıyla, çeşitli internet siteleri üzerinden kredi/banka kartı vasıtasıyla online alışveriş yapılmasında kart güvenliğini sağlama amacıyla bankaların ve şirketlerin ortak olarak gerçekleştirdiği bir ödeme sürecidir. Bu yöntemde kullanıcı, ilgili internet sitesine kart bilgilerini girdikten sonra banka tarafından özel olarak oluşturulmuş 3D ödeme ekranına yönlendirilir. Kart sahibinin daha önceden tanımlamış olduğu ve banka sisteminde kayıtlı olan cep telefon numarasına yapılmakta olan alışverişin referans numarasını da içerir bir onay kodu iletilir. SMS (kısa mesaj) içerisinden yer alan ve tek kullanımlık (OTP – One Time Password) olarak üretilen bu şifre, kart hamilince yeni pencerede açılmış olan ilgili ekrana girildikten sonra ödeme tamamlanır. 180 saniyelik süre içerisinde onay kodu ilgili ekrana girilmezse banka tarafından ödeme gerçekleştirilmez. Kart bilgilerinin ve onay kodunun ele geçirilmesi için çift katmanlı bir hacking faaliyeti gerektiren ve global ödeme onaylama standartlarına uygun olan bu yöntem şu an için çoğu internet sitesinde güvenli ödeme aracı olarak kullanılmaktadır.

3D Secure yöntemi olmaksızın gerçekleştirilecek ödemelerde ise pek çok saldırı ile karşılaşılması mümkündür. Çift katmanlı koruma ve onaylama yapılmaksızın gerçekleştirilen işlemler pek çok tehlikeye gebe ve saldırıya açıktır. Saldırganların kart bilgilerini ele geçirmek amacıyla kart sahiplerine veya doğrudan banka sistemine karşı gerçekleştirilebildikleri başlıca saldırı yöntemleri; Phising (Oltalama) Saldırıları, Trojen Horse (Truva Atı), Tuş kaydediciler (Keylogger), Social Engineering (Sosyal Mühendislik), Brute Force Attack (Kaba Kuvvet Saldırısı) ve Sniffing (Gizlice Dinleme) şeklinde sıralanabilir. Bu saldırıların detayları ve saldırılara karşı alınabilecek tedbirler için bir önceki yazımızı inceleyebilirsiniz.

Banka, 3D Secure yöntemi kullanmayan bir siteye hizmet vermekte ise söz konusu riski öngörmüş ve sonuçlarına katlanmayı göze almış kabul edilecektir. Bu hizmet sırasında yukarıda yer alan saldırılardan birine veya başkaca bir hacking faaliyetine maruz kalınarak kart hamilinin iradesi dışında harcama yapılmış ise bankanın, bu harcamaların kart hamilinden tahsil etmemesi veya tahsil ettiyse tazmini noktasında hukuki sorumluluğu gündeme gelecektir.

Ancak elbette bu zararın meydana gelmesinde kart hamilinin kasti eylemlerinin veya ağır ihmalinin bulunmaması ve durumun öğrenildikten sonra ivedilikle yerine getirilmesi gereken birtakım yükümlülüklerin icra edilmiş olması gerekmektedir.

Kart hamilinin sorumluluğu kusur sorumluluğu olup kendisine teslim edilen bilgi ve belgeleri üçüncü kişilerle paylaşmak, örneğin alışveriş sırasında iletilen tek kullanımlık kodu bir başkasına vermek gibi eylemlerde bulunmadığı sürece kendisine bir sorumluluk yüklenmeyecektir. Kart sahibinin sorumluluk kapsamı hakkında 11.Hukuk Dairesinin E. 2018/1095, K. 2018/2884, T. 18.4.2018 sayılı ve E. 2013/16010, K. 2014/632, T. 13.1.2014 sayılı kararları incelenebilir.

Yine kart sahibinin lehine olacak şekilde Yargıtay Hukuk Genel Kurulu, E.2017/2850, K.2019/154, T.14.02.2019 sayılı kararında, kartın -ve yorum yoluyla kartın kullanım araçlarının- saklanması ve muhafazasında kart hamilinin kusurlu bir eylemi olmadığı ve iradesi dışında yapılan harcamanın derhal bankaya bildirilmesi ile davacıya atfedilecek bir kusur olmadığını ve bu doğrultuda kart hamilinin sorumlu tutulamayacağına hükmetmiştir.

5464 sayılı Kanun’un 16.maddesinde kart hamili, kartın kullanımı için teslim edilen kod, şifre veya kimlik belirleyici başkaca yöntemlerini korunması gerektiği ve iradesi dışında gerçekleşmiş herhangi bir işlemi öğrenmesi halinde kart çıkaran kuruluşu derhal haberdar etmekle yükümlendirilmiştir.

5464 sayılı Kanun m.12 kapsamında, iradesi dışında gerçekleştirilen işlemi bankasına bildiren kart hamili, bildirimi yaptığı andan itibaren geriye dönük olarak son 24 saat içerisinde gerçekleşen hukuka aykırı kullanımlardan doğan zararlardan yalnız 150₺ ile sınırlı olacak şekilde sorumlu tutulabilecek, bu sınırı aşan kısım bakımından bankanın sorumluluğu gündeme gelecektir. 24 saatten önceki döneme ilişkin ise kural olarak sorumluluk kart hamiline ait olacaktır. Ancak kusurlu olmaları halinde üye iş yerinin ve/veya bankanın sorumluluğu da gündeme gelebilecektir.

 

Günlük hayatta kart kullanıcıları hacker saldırılarına maruz kalarak kart bilgilerinin çalındığı ve kartları ile harcama yapıldığını çoğu zaman, bankaları tarafından gönderilen bir SMS veya e-posta vesilesi ile öğrenmektedirler. Böylesi bir irade dışı harcama ile karşılaşıldığında kart hamilinin ilk yapması gereken derhal bankaya ulaşarak ilgili kartın kullanıma kapatılması talebini ve rızası dışında harcama yapıldığı bilgisini iletmek olmalıdır.

 

Daha sonraki adım ise “harcama itiraz formu” doldurmak olacaktır. Her bankanın kendi internet sitesinde yer alan bu form ivedilikle doldurulmalı ve yine banka tarafından belirtilen e-posta adresine de iletilmelidir. Hukuka aykırı kullanımın öğrenilmesi ile birlikte işlemin kart hamiline ait olmadığı, kullanımın rıza dışı olduğu ve bilişim araçları vasıtası ile hukuka aykırı olarak gerçekleştiği delil oluşturması bakımından yazılı olarak ve ivedi şekilde kart çıkaran kuruluşa bildirilmelidir.

Bu noktadan sonra iki ayrı durumla karşı karşıya kalınmaktadır.

  1. İlk olasılıkta, bankanız ilgili işlemin sizin rızanız dışında gerçekleştiğini ve sizin esasen bir hacking faaliyeti mağduru olduğunuzu kabul ederek kartınıza para iadesini gerçekleştirebilir. Bankalar özellikle düşük meblağlı harcamalarda genel olarak bu yolu tercih etmektedirler.

  2. Diğer olasılıkta ise bankanın sorumluluk kabul etmeyerek ilgili işlemden doğan alacağı sizden tahsil yoluna gitmesi hatta ihtar ve takip yoluna başvurması gündeme gelebilecektir. Özellikle 3D Secure ile gerçekleştirilmekte olan bir ödeme işleminde kompleks bir hacking faaliyetine maruz kaldıysanız çoğu zaman bankalar ödeme yönteminin güvenli olduğunu ileri sürerek sorumluluk kabul etmeyeceklerdir.

Bu duruma örnek olarak, kart hamilinin sim kartı kopyalanarak daha önceden ele geçirilmiş olan kart bilgileri ile 3D Secure işlemler yapılabilmesi gösterilebilir. Bu halde güvenli ödeme yapılmış olmasına rağmen somut olay koşullarında kart hamiline yüklenebilecek bir kusur yok ise yine bankanın sorumluluğu gündeme gelecektir. (Bkz. 11. HD., E. 2013/15754 K. 2013/22693 T. 12.12.2013; E. 2010/10 K. 2011/16909 T. 13.12.2011)

Yaşanılan bu sorun hakkında Tüketici Hakem Heyetine başvurmak çözüme giden en hızlı yol olacaktır. 6502 Sayılı Tüketicinin Korunması Hakkında Kanunun 68. Maddesi ve Tüketici Hakem Heyetleri Yönetmeliği’nin 6. Maddelerinde Yer Alan Parasal Sınırların Arttırılmasına İlişkin Tebliğ’de “Parasal Sınırlar” başlığı altında öngörülen sınır 10.390 Türk Lirası olup, bu meblağın altında bir meblağ (2020 yılı için 10.390₺) söz konusu ise bankanın sorumluluk kabul etmediğine, ödeme yapılmayacağına dair evrak, harcama itiraz formu ve sair belgeler ile hızlıca başvuru yapılmalıdır.

Tüketici Hakem Heyeti başvuruları E-Devlet üzerinden online olarak yapılabilmekteyse de etkili bir başvuru yapılabilmesi için gerekli evrakların toplanması ve başvuru dilekçesinin hazırlanması konularında bir uzmandan hukuki destek alınması, yalnızca vakit kaybına sebep olacak bir başvuru yapılmasının önüne geçecektir.

Tüketici Hakem Heyetinin kararı nihai nitelik taşımamakla birlikte bu karara karşı Tüketici Mahkemesine dava açılabileceği gibi söz konusu hukuki uyuşmazlık başvurudan bağımsız olarak, doğrudan Asliye Hukuk Mahkemesinde dava konusu yapılabilmektedir.

Uyuşmazlık tutarı öngörülen sınırın üzerinde ise ilgili bankayı davalı göstermek suretiyle Asliye Hukuk Mahkemesine tazminat talebinde bulunulabilir. Bu davada, Yargıtay 19. Hukuk Dairesinin yukarıda belirtilen kararlarına atıf yapılabileceği gibi 11.HD.’nin E. 2007/14422 K. 2009/3435 T. 23.03.2009 sayılı ve E. 2008/3759 K. 2009/7585 T. 22.06.2009 sayılı kararlarına da değinilebilir.

Ek olarak 3D Secure yöntemi ile ödeme yapılmış olmasına rağmen bilirkişi raporundaki “bankanın davacının zararın oluşmasında şifre veya korunması gereken bilgileri özenle korumadığına dair bir delil ibraz etmediği, davacının internet bankacılığı kullandığına dair delil sunmadığı ve kredi kartının çok uzun süredir kullanılmıyor olması” ibarelerine dayanılarak bankanın sorumlu bulunduğu 19.HD’nin E. 2016/6536, K. 2017/864, T. 7.2.2017 sayılı kararı da muhakkak incelenmelidir.

 

Yine aynı dairenin E.2014/7414, K.2014/12133, T.02.07.2014 sayılı kararındaDavacının kişisel bilgilerini koruyamadığı, bu konudaki özen yükümlülüğünü ihmal ettiği sabit olmadığı sürece davacı müşteri internet bankacılığı yoluyla 3. kişiler tarafından sahte şifre oluşturulmak suretiyle yapılan harcamalardan dolayı sorumlu tutulamayacağıhükmolunmuştur. (Aynı yönde diğer kararlar için Bkz. 19.HD. E.2015/6084, K.2015/16582 T.09.12.201; E.2015/1838, K.2016/9793, T.31.05.2016; E.2016/6536, K.2017/864, T.07.2.2017.)

 

Sonuç itibariyle, kendi kusuru veya ağır ihmali olmaksızın, maruz kaldığı hacking faaliyeti neticesince kart bilgileri ele geçirilen ve iradesi dışında harcamalarda bulunulan kart hamili, kanunda öngörülen yükümlülüklerini yerine getirmiş ise söz konusu harcamanın yalnız 150₺’lik kısmı ile sorumlu tutulabilmekte, bunu aşan tutar bakımından bankanın sorumluluğu gündeme gelmektedir.

Stj. Av. Can AKGÜL