Bankaların İnternet Bankacılığı Zararlarından Sorumluluğu
1. İnternet bankacılığı, bankalar için vazgeçilmez bir hizmet kanalı; müşteriler için ise büyük kolaylık kaynağıdır. Ancak bu kolaylık, siber dolandırıcılık riskini de beraberinde getirmektedir. Bir müşterinin hesabından rızası dışında para aktarıldığında ortaya çıkan uyuşmazlıkta temel soru şudur: Zarardan banka mı sorumludur, yoksa müşterinin (müterafik) kusuru indirim sebebi olabilir mi?
Türk hukukunda bankaların “güven kurumu” niteliği ve TBK m. 112 (eski BK m. 96) gereği sorumluluğun kural olarak bankada olduğu kabul edilir. Ancak tartışma, özellikle müşterinin cihazına bulaşan zararlı yazılımlar veya dikkatsizlik iddiaları karşısında ispat külfetinin dağılımında düğümlenmektedir.
Bankaların, bugün ulaşılabilen en ileri güvenlik teknolojilerini kullanma yükümlülüğü, müşterinin hafif ihmali veya cihazına yönelik siber saldırı riskini ortadan kaldırmaktadır. Müşterinin müterafik kusurunun varlığı ancak kastına veya ağır ihmaline eşdeğer, somut bir davranışla ispat edilebilir. Aksi halde banka, en hafif kusurundan dahi sorumludur.
2. SORUMLULUĞUN HUKUKİ TEMELLERİ VE NİTELİĞİ
Mevduat sözleşmesi, 6098 sayılı TBK m. 386 vd. (eski BK m. 306 vd.) anlamında tüketim ödüncü (karz) ile TBK m. 570 (eski BK m. 472) anlamında misli şeylerin saklanması (usulsüz tevdi) unsurlarını taşıyan kendine özgü (sui generis) bir sözleşmedir. Sonuç olarak banka, parayı kendi nam ve hesabına kullanır, mülkiyeti bankaya geçer. Dolayısıyla bir üçüncü kişi tarafından hesaptan usulsüz para çekilmesi, doğrudan bankanın zararıdır. Müşterinin bankaya olan alacak hakkı aynen devam eder (5411 sayılı BankK m. 61/1 bu hakkın sınırlanamayacağını düzenler).
Bu nedenle, müşteri bankaya ifaya ek olarak tazminat değil, asıl alacağını talep etmektedir. Bankanın sorumluluğu, tipik bir haksız fiil veya sözleşme ihlali değil; borcun ifa edilmemesi halidir.
Bankalar sadece tacir değil; kamu güvenini temsil eden, faaliyet izni devlet tarafından verilen ve mevduatı korumakla yükümlü kurumlardır. Doktrinde haklı olarak belirtildiği üzere,
-Bankaların basiret yükümlülüğü (TTK m. 18/2) diğer tacirlere göre çok daha ağırdır.
-Bu kurumlar, internet bankacılığını kendi ticari menfaatleri için sunar; hizmetten kar elde eder. Dolayısıyla bu sistemin güvenliğini sağlamak, gelir elde etmenin doğal bir bedelidir.
-818 sayılı BK m. 99/2 – 100/3 (TBK m. 115/3 – 116/3) uyarınca hafif kusuru ortadan kaldıran sorumsuzluk anlaşmaları geçersizdir. Banka, en hafif kusurundan dahi sorumlu tutulmalıdır.
3. MÜŞTERİNİN YÜKÜMLÜLÜKLERİ VE MÜTERAFİK KUSUR (TBK m. 52)
Müşterinin de kullanıcı adı, şifre ve diğer kimlik bilgilerini özenle saklaması gerekir. Aksi halde TBK m. 52 (eski BK m. 44) anlamında müterafik kusur söz konusu olabilir. Bu durumda tazminattan indirim yapılır veya tamamen kaldırılır.
Ancak bu indirimin uygulanabilmesi için iki şartın birlikte gerçekleşmesi gerekir:
• Zararın doğmasında veya artmasında müşterinin kusuru bulunmalıdır.
• Bu kusur, bankanın kusurundan bağımsız olarak tazminatın belirlenmesinde dikkate alınmalıdır.
Sorun şuradadır: Günümüz teknolojisinde, bir müşterinin bilgisayarına veya telefonuna zararlı yazılım bulaşması, çoğu zaman müşterinin ihmalinden değil, sıradan bir web sitesini ziyaret etmesinden, bir SMS’e tıklamasından veya güncel olmayan bir uygulamadan kaynaklanabilir. Ortalama bir tüketici, bu tür tehditleri öngörme ve engelleme konusunda uzman değildir.
Müşterinin kusuru, ancak aşağıdaki hallerde kabul edilmelidir:
-Şifresini başkasıyla açıkça paylaşmak,
-Banka uyarılarına rağmen aynı şifreyi kullanmaya devam etmek,
-Banka tarafından sağlanan ek güvenlik önlemlerini (örneğin, tanımlı cihaz, SMS onayı) kullanmayı reddetmek.
Buna karşılık; zararlı yazılım bulaşması, müşterinin “dikkatsiz internet kullanması” şeklinde yorumlanmamalıdır. Zira kötü niyetli üçüncü kişiler, sıfırıncı gün açıkları (zero-day) veya sosyal mühendislik yöntemleriyle en dikkatli kullanıcıyı bile hedef alabilir. Bankalar, bu riski fiyatlandırarak hizmet sunar.
4. İSPAT KÜLFETİNİN DENGESİ
TBK m. 112 uyarınca alacaklıya düşen, borcun hiç veya gereği gibi ifa edilmediğini ispatlamaktır. Banka ise, kusursuzluğunu ispatla yükümlüdür (TBK m. 112 c.2 bu konuda açıktır). Somut uyuşmazlıkta banka:
-Kendi bilgi sistemlerinde gerekli güvenlik önlemlerini (Tebliğ m. 26-27 standartları ve ötesinde) aldığını,
-İşlemin yapıldığı sırada kimlik doğrulama mekanizmalarının çalıştığını,
-Müşterinin kusuruyla (örneğin şifresini ihmal etmesiyle) işlemin gerçekleştiğini ispat etmelidir.
Burada önemli bir teknolojik asimetri vardır: Bankalar, işlem loglarına, IP adreslerine, cihaz parmak izine, SMS gönderim kayıtlarına ve hatta biyometrik verilere ulaşabilirken; müşteri sadece kendi cihazındaki kayıtlarla sınırlıdır. Kaldı ki bir zararlı yazılım, çoğu zaman müşteri tarafından fark edilemez ve adli bilişim incelemesi olmadan ispatlanamaz.
Dolayısıyla “müşterinin telefonunda zararlı yazılım tespit edilmiştir” ifadesi, tek başına müşterinin kusurlu olduğu anlamına gelmez. Bankanın ayrıca:
–Bu yazılımı müşterinin bizzat kendi iradesiyle yüklediğini veya
–Banka tarafından kendisine verilen özel güvenlik talimatlarını açıkça ihlal ettiğini,
–Yazılımın bankacılık işlemiyle illiyet bağını açıklayan somut teknik bulgular sunduğunu ispatlaması gerekir.
Müşterinin müterafik kusurunu ispat yükü, banka açısından fiilen çok ağır –hatta olağan bankacılık işlemlerinde neredeyse imkânsız– olduğundan, yasal çözüm, bankaların mutlak garanti anlamında olmasa da en yüksek özen yükümlülüğü ile sorumlu tutulmasıdır. Bu, riskin en iyi dağıtıldığı taraf olan bankaya yüklenmesi anlamına gelir.
5. “OLAĞAN DIŞI İŞLEM” KARŞISINDA BANKANIN AKTİF MÜDAHALE YÜKÜMLÜLÜĞÜ
Bankaların sadece asgari güvenlik önlemlerini alması yetmez. Bankacılık Düzenleme ve Denetleme Kurumu’nun Tebliği m. 26/2, “sıra dışı ve şüpheli işlemleri tespit etmek için takip mekanizmaları kurar” şeklindedir. Bu mekanizmalar, tespitle sınırlı kalmamalı; işlemi geçici olarak durdurma, alternatif kanallardan (e-posta, SMS, telefon görüşmesi, mobil uygulama içi bildirim) çok faktörlü onay alma gibi eylemleri de içermelidir.
Günümüzde bir banka, müşterisinin normal işlem alışkanlığının dışında bir havale (özellikle yüksek tutarlı, yeni bir hesaba, farklı coğrafyaya) gördüğünde;
-İşlemi anında bloke etmeli,
-Müşteriye anlık bildirim göndermeli (SMS, e-posta, push bildirimi),
-Belirli bir süre içinde (örneğin 5 dakika) müşterinin onay vermemesi halinde işlemi iptal etmeli,
-Müşteriye doğrulama amaçlı bir telefon görüşmesi yapmayı (RPA destekli) sistemine entegre etmelidir.
Eğer banka, sadece “bilgi amaçlı” bir eposta gönderip işleme devam ederse, kusursuz olduğunu ileri süremez. Zira bilgi e-postası, niyet beyanı değildir; müşteri postayı görmemiş olabilir, spam klasörüne düşmüş olabilir veya o an erişimi yoktur. Aktif onay olmadan işlemin tamamlanması, bankanın riski üstlendiği anlamına gelir.
6.BANKALARIN SORUMLULUĞU
-Müşteri, kastı veya ağır ihmali (örneğin şifresini yazılı olarak kötü niyetli kişiye vermesi) olmadıkça müterafik kusurla sorumlu tutulamaz.
-Bankanın, olağan dışı bir işlemi tespit etmesi ve fakat yeterli güvenlik kontrolü yapmaması, kendi kusurunu oluşturur ve bu kusur hafif dahi olsa tazmin sorumluluğunu doğurur.
-İspat yükünün ağırlığı ve müşteri ile banka arasındaki bilgi asimetrisi, bankaları “zararın doğmasını engellemek için makul olanın çok üzerinde, en ileri teknolojik tedbirleri” almaya zorlamaktadır. Bu, bir tercih değil, bir zorunluluktur.
Uygulamada bankalar, müşteri sözleşmelerine “müşterinin korumalı alanını aşan” veya “virüs bulaşması” gibi istisnalar koyarak sorumluluktan kaçmaya çalışmaktadır. Ancak yukarıda açıklanan gerekçelerle, bu tür hükümler TBK m. 115-116 karşısında geçersizdir. Banka, teknolojik gelişmeyi yakalamakla yükümlüdür; müşterinin bilgisayarına bulaşan virüs, bankanın sistemini aşmışsa, bu, bankanın güvenlik sisteminin yetersizliğini gösterir.
7. Yargıtay Hukuk Genel Kurulu 2024/304 E, 2025/525 K, 17.09.2025 tarihli kararında; İnternet bankacılığı hesaplarından üçüncü kişilere rıza dışı havale yapılması nedeniyle bankanın tazminat sorumluluğu konusunda, davacının hem TL hem de USD hesabından toplamda önemli bir meblağ, davacının cep telefonuna yüklenen zararlı yazılım vasıtasıyla telefona yönlendirme yapılarak ve SMS’ler engellenerek aktarılmış, banka, olağan dışı işlemleri tespit etmiş, davacıyı aramış ancak telefon yönlendirilmiş olduğundan teyit alamamıştır. Banka sadece işlem yapıldığına dair bir bilgi maili göndermekle yetinmiştir.
Ancak müşterinin cevap vermemesini dahi olağan dışı ve şüpheli kabul eden Yargıtay, güvenlik kontrol prosedürünün işletilmesi, işlemin durdurulması ve etkin bir güvenlik kontrol sürecinin yürütülmesi gerektiğini belirtmiştir. Sadece bilgi maili göndermek yeterli görülmemiştir.
Ayrıca, müşterinin telefonuna zararlı yazılım yüklendiği kesin olarak ispatlanamadığından davalı bankanın müşterinin müterafik kusurunu ispat edemediğine hükmedilmiştir.
Kararda Yargıtay; davacının hesap hareketlerinde olağan dışı meblağlarda ve üçüncü kişi şirketlere para havalesi talebi, davalı banka için de şüpheli görülmüş ve davacıdan işlemler için teyit alma ihtiyacı duyduğu, ayrıca davacı telefondan aranmış ancak telefon başka telefona yönlendirilmiş olduğundan teyit alamadığı, bu nedenle, müşterisinin cevap vermemesinin dahi olağan dışı ve şüpheli olduğu dikkate alınarak, güvenlik kontrolü prosedürünün işletilmesi, işlemin durdurulması ve etkin bir güvenlik kontrol sürecinin yürütülmesi gerekirken, davalı bankanın sadece işlemlerin yapıldığına dair davacıya bilgi maili gönderimiyle yetinmesi sorumluluğun yerine getirildiği anlamına gelmeyeceğine değinmiştir.
Av. Leyla ÜNÜVAR
