İnternet bankacılığı, hayatımızın ayrılmaz bir parçası haline geldi. Ancak, bu kolaylık yanında mağduriyetler de ortaya çıkabiliyor. Bu makale, internet bankacılığı mağduriyetlerinde bankaların sorumluluklarını, ilgili yasal düzenlemeleri ve Yargıtay kararlarını ele alarak, tüketicilerin haklarını nasıl koruyabilecekleri hakkında bilgi veriyor.

İnternet Bankacılığı Mağduriyetlerinde Banka Sorumluluğu

İspat Yükümlülüğü ve Müterafık Kusur

İnternet bankacılığı mağduriyetlerinde bankaların sorumluluğu, hukuki açıdan önemli bir konudur. Yargıtay'ın E:2013/7902, K:2013/19098 sayılı ve 09.07.2013 tarihli kararı, bu konuda önemli bir içtihat oluşturmaktadır. Bu kararda, bankanın müşterinin kusurunu ispatlama yükümlülüğü açıkça vurgulanmıştır. Borçlar Kanunu m. 96 ve Türk Borçlar Kanunu m. 112 uyarınca, sözleşmeden kaynaklanan sorumluluklarda ispat yükü borçlu tarafındadır. Bu bağlamda, internet bankacılığı dolandırıcılık vakalarında banka, kendisinin kusursuz olduğunu veya müşterinin kusuru bulunduğunu ispat etmekle yükümlüdür.

Müterafık kusur kavramı, 6098 sayılı TBK m. 52 kapsamında değerlendirilmektedir. Banka, müşterinin de kusuru olduğunu iddia ediyorsa, bunu somut delillerle ispatlamak zorundadır. Bilirkişi raporlarının çelişkili olması durumunda, mahkemeler genellikle tüketici lehine karar vermektedir. Bu durum, bankaların ispat yükünü daha da ağırlaştırmaktadır.

Yasal ve Teknik Tedbirler

5411 sayılı Bankacılık Kanunu, bankaların şüpheli işlem tespit sistemleri ve güvenlik önlemleri konusundaki yükümlülüklerini belirlemektedir. Bankalar, dijital platformlarda gerçekleşen işlemlerin güvenliğini sağlamak için kapsamlı teknik altyapılar kurmak zorundadır. Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (31441 sayılı), bu konudaki teknik standartları detaylı şekilde düzenlemektedir.

Bankalar, aşağıdaki teknik tedbirleri almakla yükümlüdür:

• Şüpheli işlem tespit ve önleme sistemleri
• Güvenli kimlik doğrulama mekanizmaları
• İşlem limiti kontrolleri
• Anlık bildirim sistemleri
• Veri şifreleme ve güvenlik duvarları

Müşteri Bilgilendirme ve Güvenlik

Bankaların müşteri güvenliği konusundaki sorumlulukları, sadece teknik önlemlerle sınırlı değildir. Müşterilerin düzenli olarak bilgilendirilmesi ve güvenlik konusunda farkındalıklarının artırılması da bankaların temel görevleri arasındadır. Bu kapsamda bankalar:

• Güvenlik uyarıları ve bilgilendirmeleri düzenli olarak yapmalı
• Şüpheli işlemlerde müşteriyle hemen iletişime geçmeli
• Güvenlik ihlali durumunda gerekli önlemleri derhal almalı
• Müşteri şikayetlerini hızlı ve etkin şekilde değerlendirmeli

Bankalar, müşterilerinin güvenliğini sağlamak için proaktif bir yaklaşım benimsemek zorundadır. Bu yaklaşım, hem yasal bir zorunluluk hem de müşteri güveninin sürdürülmesi açısından kritik öneme sahiptir. Özellikle dijital bankacılık işlemlerinde, bankaların sorumluluğu ve ispat yükü giderek daha fazla önem kazanmaktadır. Yargı kararları da bu yönde şekillenmekte, tüketici haklarının korunmasına yönelik içtihatlar oluşmaktadır.

Dolandırıcılık Risklerine Karşı Banka Önlemleri

Dijital bankacılık hizmetlerinin yaygınlaşmasıyla birlikte, finansal dolandırıcılık riskleri de artış göstermektedir. Bu risklere karşı bankalar, 5411 sayılı Bankacılık Kanunu kapsamında kapsamlı önlemler almakla yükümlüdür. Bu yükümlülükler, bankaların basiretli bir tacir gibi davranma sorumluluğunu düzenleyen 6102 sayılı TTK m. 18/2 ile de desteklenmektedir.

Şüpheli İşlem Tespit Sistemleri

Bankalar, müşterilerinin güvenliğini sağlamak amacıyla gelişmiş şüpheli işlem tespit sistemleri kullanmak zorundadır. Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik uyarınca, bu sistemler şu özellikleri içermelidir:

• Olağan dışı işlem desenlerini tespit eden yapay zeka tabanlı algoritmalar
• Müşteri davranış analizi ve risk skorlama sistemleri
• Gerçek zamanlı dolandırıcılık önleme mekanizmaları
• Çoklu doğrulama sistemleri
• Şüpheli IP adresi ve lokasyon bazlı kontroller

Bu sistemler, müşterilerin alışılmış işlem paternlerinden sapma gösteren her türlü aktiviteyi tespit ederek, potansiyel dolandırıcılık girişimlerini engellemektedir. Özellikle yüksek tutarlı işlemler, farklı lokasyonlardan yapılan girişimler ve alışılmadık saatlerdeki aktiviteler özel olarak incelenmektedir.

Uzaktan Kimlik Tespiti Yöntemleri

31441 sayılı ve 1 Nisan 2021 tarihli Yönetmelik ile bankaların uzaktan kimlik tespiti süreçleri detaylı olarak düzenlenmiştir. Bu düzenleme kapsamında bankalar:

• Biyometrik doğrulama sistemleri
• Görüntülü görüşme ile kimlik tespiti
• Çift faktörlü doğrulama mekanizmaları
• NFC teknolojisi ile kimlik doğrulama
• Gelişmiş şifreleme algoritmaları

gibi teknolojik çözümler kullanmak zorundadır.

Bankaların sorumlulukları 6098 sayılı TBK m. 115/3 kapsamında değerlendirildiğinde, hafif kusurlardan dahi sorumlu oldukları görülmektedir. Bu nedenle bankalar, kimlik tespiti süreçlerinde maksimum güvenlik önlemlerini almak zorundadır. Özellikle yeni hesap açılışları, şifre değişiklikleri ve yüksek tutarlı işlemlerde çok katmanlı doğrulama sistemleri kullanılmaktadır.

Bankalar ayrıca düzenli olarak güvenlik testleri yapmakta ve sistemlerini güncellemektedir. Siber saldırılara karşı penetrasyon testleri, güvenlik duvarı güncellemeleri ve personel eğitimleri gibi önleyici faaliyetler gerçekleştirilmektedir. Müşteri verilerinin korunması için uluslararası güvenlik standartları uygulanmakta ve düzenli denetimler yapılmaktadır.

Tüm bu sistemler ve önlemler, müşterilerin dijital bankacılık hizmetlerini güvenle kullanabilmelerini sağlamayı amaçlamaktadır. Ancak teknolojinin sürekli gelişmesi ve dolandırıcılık yöntemlerinin de buna paralel olarak evrilmesi nedeniyle, bankaların güvenlik sistemlerini sürekli güncellemeleri ve geliştirmeleri gerekmektedir.

Yargıtay Kararları ve Uygulama Örnekleri

Dolandırıcılık Davalarındaki Sorumluluk Paylaşımı

İnternet bankacılığı dolandırıcılık davalarında, Yargıtay'ın emsal niteliğindeki kararları, bankaların sorumluluğunun kapsamını net bir şekilde ortaya koymaktadır. Özellikle Yargıtay 11. Hukuk Dairesi'nin 25.11.2019 tarihli 2019/719 Esas ve 2019/7466 sayılı kararı, bankaların güvenlik önlemleri konusundaki yükümlülüklerini vurgulamaktadır. Bu kararda, bankanın GSM doğrulaması yapmadan gerçekleştirilen işlemlerdeki sorumluluğu açıkça ortaya konulmuştur.

Somut bir örnek olarak, 29.06.2016 tarihinde gerçekleşen ve 96.000 TL tutarındaki dolandırıcılık vakasında, banka müşterisinin hesabından yapılan yetkisiz EFT işlemleri ele alınmıştır. Bu davada banka, işlem öncesi müşterinin GSM numarasından teyit aldığını iddia etmiş, ancak bunu ispatlayamamıştır. Bu durum, bankaların güvenlik protokollerini tam olarak uygulama ve belgeleme konusundaki sorumluluklarını göstermektedir.

İspat Yükü ve Tazminat Kararları

Yargıtay Hukuk Genel Kurulu'nun 16.06.2020 tarihli 2017/19-3092 Esas ve 2020/400 sayılı kararı, internet bankacılığı dolandırıcılık davalarında ispat yükünün dağılımına ilişkin önemli prensipler getirmiştir. Bu kararda vurgulanan temel nokta, bankaların objektif özen yükümlülüğü altında olduğu ve güvenlik önlemlerinin yeterliliğini ispatlama sorumluluğunun kendilerinde olduğudur.

4389 sayılı Bankalar Kanunu çerçevesinde, bankalar sadece kasti eylemlerden değil, ihmallerinden kaynaklanan zararlardan da sorumlu tutulmaktadır. Yargıtay kararları, özellikle şu konuları vurgulamaktadır:

• Bankaların güvenlik sistemlerinin yeterliliğini ispatlama yükümlülüğü
• Müşteri kusuru iddiasının banka tarafından somut delillerle ispatlanması gerekliliği
• Elektronik işlemlerde kullanılan güvenlik protokollerinin güncel teknolojiye uygunluğu

Tazminat kararlarında, mahkemeler genellikle şu kriterleri göz önünde bulundurmaktadır:

• İşlemin gerçekleştiği tarih ve saat
• Bankanın aldığı güvenlik önlemlerinin niteliği
• Müşterinin bilgilendirilme düzeyi
• İşlem tutarının olağan dışı olup olmadığı

Yargıtay'ın yerleşik içtihatları, bankaların "basiretli tacir" sıfatıyla hareket etmesi gerektiğini ve bu nedenle en üst düzey güvenlik önlemlerini almakla yükümlü olduğunu vurgulamaktadır. Özellikle yüksek meblağlı işlemlerde, bankaların ek güvenlik protokolleri uygulaması ve şüpheli işlemleri tespit etmek için gelişmiş sistemler kullanması beklenmektedir.

Son dönem kararlarında, özellikle dijital bankacılık işlemlerinde çift faktörlü doğrulama ve biyometrik güvenlik önlemlerinin önemi vurgulanmakta, bu önlemlerin eksikliği durumunda bankaların sorumluluğunun artacağı belirtilmektedir. Mahkemeler, teknolojik gelişmelere paralel olarak bankaların güvenlik sistemlerini sürekli güncellemesi gerektiğini ve bu konudaki ihmallerin tazminat sorumluluğunu doğuracağını açıkça ortaya koymaktadır.