1.GİRİŞ

Genel olarak bankalar; faaliyet alanları, kuruluşları, yönetimleri, iç denetim sistemleri, finansal raporlamaları, öz sermayeleri, sermaye yeterlik oranları ve bağımsız denetimleri 5411 sayılı Bankacılık Kanunu ile düzenlenen güven kuruluşlarıdır. Bankaların hukuki sorumlulukları, başta TBK olmak üzere birden fazla mevzuatta düzenlenir. Bilhassa 6762 Sayılı TTK uyarınca da basiretli bir tacir gibi davranma yükümlüğü bulunmaktadır ancak bu sorumluluk normal bir tacire göre ağırlaştırılmış bir sorumluluktur. Günümüzde de bankacılık işlemleri çoğunlukla dijital ortamda gerçekleştirilmektedir. Nitekim ilerleyen teknoloji ve dijitalleşme beraberinde dolandırıcılık gibi eylemlerin de bu alanda yoğunlaşması sonucunu doğurmuştur. Bu bakımdan bankaların internet bankacılık işlemlerinde asgari önlemleri alması bir zorunluluktur. Aksi takdirde banka sorumlu olduğu kadarıyla mudilerin zararını gidermelidir.

2.HUKUKİ TEMELİ

Öncelikle bankacılık işlemlerine ilişkin düzenlemeler başta 5411 Sayılı Bankacılık Kanununda yer almakla birlikte birçok kanunda düzenlenmektedir. Başta gelen kanunlar Türk Borçlar Kanunu, Türk Ticaret Kanunu, Türk Medeni Kanunu’dur. Bununla beraber bankaların elektronik bankacılık hizmetlerin sunulmasında doğabilecek risklere ilişkin esas alınacak asgari usul ve esaslar 3169 Sayılı BDDK’nın Bankaların Bi̇lgi̇ Si̇stemleri̇ ve Elektroni̇k Bankacılık Hi̇zmetleri̇ Hakkında Yönetmeli̇ği’nde düzenlenmiştir.

Öte yandan Türkiye’de bankacılık sektörünün düzenlenmesi ve denetlenmesi amacıyla kurulmuş bağımsız bir kamu otoritesi olan Bankacılık Düzenleme ve Denetleme Kurumunun, 4 Aralık 2013 tarihli 28841 sayılı tebliğinde; 5 maddenin 3. fıkrasına  göre; Banka, kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmak, güvenlik önlemleri saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.

2.1.Bankaların Bi̇lgi̇ Si̇stemleri̇ ve Elektroni̇k Bankacılık Hi̇zmetleri̇ Hakkında Yönetmeli̇k Uyarınca

2.1.1.Bilgi Güvenliğinin Sağlanması

İlgili yönetmeliğin 8.Maddesi nezdinde bankaların bilgi güvenlğini sağlaması ve buna yönelik önlemler alması zorunludur. Ancak bu önlemler tesis edilirken bankalar en yüksek teknoloji standartlarına göre güvenlik önlemlerini almak zorundadır. Zira bu durum bankaların ağırlaştırılmış sorumluluklarının da bir sonucudur.

2.1.2.Güvenlik Konfigürasyonun Sağlanması

Yine ilgili yönetmeliğin 15.maddesi uyarınca banka bünyesinde bankalar tarafından güvenlik konfigürasyonu sağlanmalıdır ve bu madde uyarınca da güvenli konfigürasyon standartları detaylıca düzenlenmiştir. Güvenlik konfigürasyonu; bir sistemin, ağın, yazılımın veya uygulamanın güvenlik ihtiyaçlarına uygun bir şekilde yapılandırılması ve güvenlik kontrollerinin uygulanması sürecidir. Bu konfigürasyon, verilerin korunmasını sağlamak, izinsiz erişimleri engellemek ve güvenlik açıklarını azaltmak amacıyla çeşitli güvenlik önlemlerini içerir. Bu doğrultuda güvenlik konfigürasyonu sağlanmadığı takdirde bankaların sorumluluğu gündeme gelecektir.

2.1.3. Elektronik Bankacılık Hizmetleri Hakkında Düzenleme

Elektronik bankacılık hizmetlerine ilişkin detaylı düzenleme yönetmeliğin 34.Maddesi ve devamında yer almaktadır. İlgili yönetmelik uyarınca elektronik bankacılık hizmetlerinin kapsamı şu şekildedir; İnternet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık servisleri ile ATM ve kiosk cihazları gibi müşterilerin, uzaktan bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri her türlü elektronik dağıtım kanalını ifade eder.

Öncelikle kimlik doğrulama ve işlem güvenliği sağlanmalıdır. 34.maddenin 3.fıkrası uyarınca Birinci fıkraya uygun olmayacak şekilde iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğü bankaya aittir.

Yine 34. Maddenin5.fıkrası uyarınca; Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyen yöntemler barındıracak şekilde müşteri kullanımına sunulmalıdır.

Bahsi geçen 34.maddenin 12.fıkrası uyarınca güvenlik önlemleri; Banka elektronik bankacılık dağıtım kanallarından gerçekleştirilebilecek işlemler için müşterilerine, varsayılan ve müşteri tarafından güncellenebilecek erişim kısıtlamaları, günlük işlem limitleri, güvenli alıcılar listesi gibi ilave güvenlik önlemleri sunar. Güvenlik önlemlerinin tanımlanması, güncellenmesi veya değiştirilmesinin birinci fıkraya uygun olan bir kimlik doğrulama sonrasında gerçekleştirilmesi esastır. Banka kendi risk değerlendirmesi çerçevesinde güvenlik önlemlerinde yapılacak değişiklikler için birinci fıkraya ilave güvenlik önlemleri belirleyebilir.

İlgili yönetmeliğin 34. Maddesinin 15.fıkrası nezdinde; Banka, akıllı telefonlar gibi birden fazla kimlik doğrulama bileşeninin bankaya iletilmesinde kullanılan mobil cihazlar üzerindeki bankacılık uygulamalarının kullandığı hassas verilerin, aynı mobil cihaz üzerindeki diğer uygulamalar ve çalışmakta olan işlemler tarafından erişilemez olmasını sağlayacak önlemler alır. Banka, söz konusu mobil cihazların kaybolması ya da çalınması halinde bunlar üzerindeki hassas verilerin yetkisiz kişilerce erişilemez olmasını sağlamak ve mobil cihazların ele geçirilmesi, güvenilirliğinin bozulması, işletim sistemi yazılımının kırılması veya değiştirilmesi gibi hallerden kaynaklanacak risklerin azaltılması amacıyla günün teknolojisine uygun kontroller tesis etmekle yükümlüdür. Bu doğrultuda özellikle mobil cihazların hırsızlık ve dolandırıcılık gibi eylemler neticesinde erişilmesi hususunda banka buna dair bir işaret aldığında mudiye ait parayı korumalıdır.

2.1.4. Elektronik Bankacılık Hizmetleri Nezdinde Gerçekleşen İşlemlerin Takibi

Elektronik bankacılık hizmetlerinde kimlik bilgilerinin doğrulanması ve bilgi güvenliğinin sağlanması gibi durumlar yeterli olmayıp bankanın yapılan işlemleri takip etmesi gerekmektedir. Şüpheli gördüğü gördüğü işlemleri engellemesi ve asgari olarak risk görülen durumlarda reaksiyon alması gerekmektedir. İşlemlerin takibi de 36.madde de düzenlenmiştir ve bu madde uyarınca da aşağıda yer aldığı üzere risk teşkil eden asgari durumlar sayılmıştır;

Madde 36 – (1) Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar. İşlem takip mekanizması kapsamında uygun olan durumlarda asgari olarak aşağıdaki risk unsurları takip edilir:

a) Finansal sonuç doğuran işlemlere yönelik bilinen dolandırıcılık yöntemleri,

b) Gerçekleştirilen her bir bankacılık işleminin tutarı ve bu tutarlara göre müşterinin konum bilgisi de kullanılarak normal dışı bir ödeme, fon transferi ya da davranış deseni gösterip göstermediği,

c) Kaybolmuş, çalınmış ya da yetkisiz kişilerce ele geçirilmiş kimlik doğrulama unsurlarının listesi,

ç) Her bir kimlik doğrulama oturumuna yönelik olarak zararlı yazılımların bulaşmış olabileceğini gösteren belirtiler.

(2) Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder.

2.1.5.Telefon Bankacılığı ile Yapılan Elektronik Bankacılık Hizmetleri

İlgili yönetmelik bakımından telefon bankacılığı ile yapılan elektronik bankacılık işlemlerinde kayıp, çalıntı ve dolandırıcılık gibi riskli işlemler söz konusuysa nasıl bir yol izlenmesi gerektiği 40.madde de şu şekilde düzenlenmiştir;

Madde 40 – (1) Müşteri 34’üncü maddenin birinci fıkrasına uygun olarak bir kimlik doğrulama gerçekleştirmediği müddetçe, telefon bankacılığında hizmet vermek üzere müşteriyi karşılayan görevlinin müşteriye ilişkin bilgileri görememesi veya müşteriye ilişkin işlem menüsünün aktif olmaması sağlanır. Müşterinin kendi hesapları arasındaki finansal işlemler ile finansal olmayan işlemlerin gerçekleştirilmesi için uygulanacak kimlik doğrulamada PIN bilgisi müşterinin bildiği unsur olarak kullanılabilir. Kayıp, çalıntı ve dolandırıcılık gibi riskli işlem bildirimi durumunda, görevliye bağlanan müşterilerin kimlik doğrulaması yapılmaksızın görevlinin bilmesi gerektiği kadar müşteri bilgisine erişebilmesi sağlanır ve gerekli güvenlik önlemleri alınır. Telefon bağlantısı olmaksızın ya da bağlantının sonlanması halinde kayıp, çalıntı ve dolandırıcılık gibi riskli işlem bildirimi haricinde müşteriye ilişkin herhangi bir işlem gerçekleştirilemez.

Yukarıda yer alan bu hüküm doğrultusunda da riskli bir durumun varlığına rağmen telefon bankacılığı üzerinden işlem yapılmasına bankacılık tarafından izin verildiği, bilgilere ulaşılması engellenmediği takdirde bankanın sorumluluğu vuku bulur.

2.2.Türk Borçlar Kanunu Uyarınca

TBK’nın 115. maddesi 3.fıkrasının: “Uzmanlığı gerektiren bir hizmet, meslek veya sanat, ancak kanun ya da yetkili makamlar tarafından verilen izinle yürütülebiliyorsa, borçlunun hafif kusurundan sorumlu olmayacağına ilişkin önceden yapılan anlaşma kesin olarak hükümsüzdür.” Bu madde kapsamında da bankaların hafif kusurlardan da sorumlu olacağı hususu sabittir ve yine bu hükümde de yer aldığı üzere sorumsuzluk anlaşılması yapılamayacağı sabittir.

2.3.Yargıtay Kararları Uyarınca

Yargıtay’ın 11.Hukuk Dairesi’nin 2017/4888 E., 2019/2015 K. Sayılı Kararında internet dolandırıcılığında bankanın sorumluluğuna ilişkin olarak hesapta bulunan paranın güvenliğini bankanın tam olarak sağlayamamasından ötürü hesaptan çekilen tüm paradan sorumlu olduğuna dair kanaat getirilmiştir. Bu değerlendirme yapılırken de üçüncü kişilerin eylemleri sonucu gerçekleşen dolandırıcılık eylemlerinde bankaya tevdi edilip edilememenin de yanında müterafık kusurun olup olmadığına da bakılır. Yani zarar görenin kusurunun olup olmadığı bu da yapılacak değerlendirmede önemli bir husustur. Söz konusu kararda da bu hususlar şu şekilde yer almaktadır;

“Somut olayda davacıya ait para, davacı hesabından dava dışı kimliği belirli kişi adına hesaptan bir başka hesaba bankaya karşı gerçekleştirilen sahtecilik işlemi ile havale edilmiş olup, bu durum davalı bankayı aldığı mevduatı iade etme yükümlülüğünden kurtarmayacaktır. Dosya kapsamından, işlemlerde davacının üçüncü kişilerle el ve iş birliği ile veya başka şekilde kusurlu davrandığı kanıtlanmamıştır. Davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötü niyetli kişilerin işlemlerine karşı korunamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hale getirmediği anlaşılmaktadır. O halde, davalı bankanın hesaptan çekilen tüm paradan sorumlu olduğunun, ilke olarak kabulü gerekir.”

3.SONUÇ

Netice itibarıyla kanunlarda yer alan hükümler, yönetmelikler, Yargıtay kararları ve bunun dışında özel hüküm bulunan hallerde bankanın alması gereken tedbirler düzenlenmiştir. Bir güven ve özen kurumu olan bankanın gereken önlemleri almadığı ve şüpheli işlemleri engellemediği takdirde güvenliği sağlayamamasından ötürü sorumlu kabul edilmesi gerekir. Özellikle bahsi geçen yönetmelik uyarınca asgari önlemler, işlemlerin takibinde dikkat edilecek hususlar detaylıca düzenlenmiştir. Bu tür bir uyuşmazlık söz konusu olduğu takdirde banka karşısında tüketici sıfatına haiz kişinin bankanın sorumluluğuna ilişkin olarak parasal sınıra riayet ederek Tüketici Mahkemesine başvurması gerekmektedir. Tacirler tarafından dava açılacak davalarda ise uyuşmazlığın giderilebilmesi adına Ticaret Mahkemesinde dava açılması gerekmektedir.

Av. Nur AKKOÇ ve Hukukçu Feyza ARSLAN