Bankaların Hafif Kusurdan Dahi Sorumluluğu
Özellikle son yıllarda, banka kullanıcılarının büyük çoğunluğu işlerinin hatrı sayılır bir kısmını bankaların dijital ortamda sundukları internet şubesi veya mobil uygulama hizmetleri üzerinden işlemlerini gerçekleştirmektedirler.
Bankaların sunmakta olduğu bu dijital hizmetler her ne kadar kullanıcıların hayatlarını kolaylaştırsa da güvenlik açıkları sebebiyle müşterilerin ciddi zararlara uğraması söz konusu olabilmektedir.
İzmir avukat kadromuz ile bankaların güvenlik zaafiyetlerinden kaynaklanan dolandırıcılık işlemlerinin hukuki sorumluluğunu, tüketici haklarını ve bankaların yükümlülüklerini inceleyeceğiz.
Bankaların Güvenlik Açıkları ve Tüketicilere Etkisi
Bankalar, 5411 sayılı Bankacılık Kanunu ve ilgili düzenlemeler çerçevesinde mevduat sahiplerinin hesaplarını güvence altına almakla yükümlüdür. Ancak son yıllarda artan dijital dolandırıcılık vakaları, banka sistemlerinin tam anlamıyla güvenli olup olmadığı sorusunu gündeme getirmiştir.
Özellikle oltalama (phishing) saldırıları, SIM kart kopyalama, mobil bankacılık dolandırıcılığı ve sosyal mühendislik yöntemleri ile kullanıcıların hesaplarına erişim sağlanmakta ve büyük maddi kayıplar yaşanmaktadır. Bankaların müşteri hesaplarında meydana gelen olağan dışı işlemleri tespit etmesi ve gerekli güvenlik önlemlerini alması beklenmektedir.
Örneğin, bir dolandırıcının müşteri bilgilerini ele geçirerek hesaba giriş yapması ve yüksek meblağlı para transferleri gerçekleştirmesi durumunda, banka bu işlemleri şüpheli işlem olarak tespit edip işlemi gerçekleştirmeden önce müşteriden ek bir doğrulama talep edebilir.
Bankaların Hukuki Sorumluluğu ve Kusur Durumu
Türk hukuk sisteminde bankalar güven kurumu olarak kabul edilmekte olup hafif kusurlarından dahi sorumlu tutulmaktadır. Konuya ilişkin harici düzenlemelere değinmeden önce belirtmek gerekir ki Türk Borçlar Kanunu’nun 115. maddesi uyarınca, banka ile kullanıcı arasında yapılan sözleşmede yer alan sorumsuzluk anlaşması niteliğindeki hükümler geçersiz olup banka tarafından sağlanan dijital bankacılık hizmetlerinde meydana gelen zararlarda, bankanın özen yükümlülüğünü yerine getirmediği tespit edilmesi halinde bankanın sorumluluğuna gidilebilecektir.
Ayrıca, BDDK tarafından yayımlanan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” kapsamında bankaların şu yükümlülükleri bulunmaktadır:
- Çift faktörlü kimlik doğrulama kullanımı: Bankalar, müşterilerin hesaplarına giriş yaparken ve finansal işlemler gerçekleştirirken en az iki bağımsız kimlik doğrulama bileşeni kullanmalıdır.
- Şüpheli işlem izleme ve alarm sistemleri: Bankalar, olağan dışı ve dolandırıcılık riski taşıyan işlemleri belirlemek için gelişmiş dolandırıcılık izleme sistemleri kurmalı ve şüpheli durumlarda müşterilerle iletişime geçerek ek doğrulama istemelidir.
- Riskli işlemlerde müşteri bilgilendirme yükümlülüğü: Müşterinin mobil cihazına uzaktan erişim olup olmadığını tespit eden mekanizmalar geliştirilmeli ve riskli işlemler hakkında anında bilgilendirme yapılmalıdır.
Ancak birçok olayda bankaların bu yükümlülüklere yeterince uymadığı görülmektedir. Özellikle yüksek tutarlı ve müşterinin normal işlem desenine uymayan transferlerin bankalar tarafından şüpheli işlem olarak değerlendirilmesi ve işlemi durdurma ya da müşteri onayı alma yükümlülüğü bulunmaktadır. Bu yükümlülüğün yerine getirilmemesi halinde bankanın tam kusurlu olduğu kabul edilmektedir.
Tüketici Hakem Heyeti ve Mahkeme Kararları
Tüketici Hakem Heyetleri ve Yargıtay içtihatları, bankaların dolandırılıcıkla mücadele (anti-fraud) sistemlerini etkin kullanmadığı durumlarda müşterilere yapılan işlemlerden bankaların sorumluluğu doğduğunu hüküm altına almaktadır.
Örneğin, İzmir İl Tüketici Hakem Heyeti’nin bir kararında, müşterinin bilgisi ve onayı olmadan hesabından FAST işlemi ile gönderilen tutarın iadesine karar verilmiştir. Bu noktada hakem heyetlerinin kusur oranı hesaplaması yaparak tüketiciler lehine kararlar verdiği görülmektedir.
Yargıtay içtihatlarında da internet bankacılığı dolandırıcılığı nedeniyle mağdur olan müşterinin zararından bankanın sorumlu tutulması gerektiği belirtilmiştir. Kararda, bankanın dolandırıcılık önleme sistemlerini etkin kullanmaması ve olağandışı işlemler için ek doğrulama yapmaması ağır kusur olarak değerlendirilmiştir.
Bankaların Alması Gereken Önlemler
Müşteri mağduriyetlerini en aza indirmek için bankaların güvenlik sistemlerini geliştirmesi ve müşterilere daha güçlü bir koruma sunması gerekmektedir. Bu kapsamda bankalar;
- müşterilerin hesaplarına erişim sağlarken biyometrik doğrulama veya şifre+SMS onayı gibi ek güvenlik adımları ekleyebilir.
- müşterinin alışılmış işlem desenini analiz eden bir algoritma kurarak olağandışı işlemleri anında tespit edebilir.
- büyük tutarlı ve olağan dışı işlemler için müşteriye SMS/e-posta/telefon araması ile doğrulama yapmadan işlem gerçekleştirmeyebilir.
- hesaba giriş yapılan cihazların kötü amaçlı yazılım içerip içermediğini ve tanınmış bir cihaz olup olmadığını tespit eden sistemler geliştirebilir.
Birçok bankanın bu nev’i önlemlerini aldığı bilinse de hala birçok bankanın önlemlerinin yetersiz kaldığını ve dolandırılan vatandaşların haklarını çeşitli mecralarda aradığını görmekteyiz.
Sonuç ve Değerlendirme
Bankalar, mevduat sahiplerinin güvenliğini sağlamak için gerekli teknik önlemleri almak zorundadır. Hafif kusurlarından dahi sorumlu tutulduklarından, müşterilerin zarar görmesine sebep olan güvenlik açıklarından dolayı tazmin sorumlulukları bulunmaktadır.
Tüketicilerin, bankacılık dolandırıcılığına maruz kalmaları halinde durumun niteliğine göre Tüketici Hakem Heyetlerine, Bankacılık Düzenleme ve Denetleme Kurumu’na (BDDK) ve mahkemelere başvurarak zararlarının tazminini talep etmeleri mümkündür.
Bu nedenle, dijital bankacılık kullanıcılarının, bankaların gerekli güvenlik önlemlerini alıp almadığını sorgulaması ve herhangi bir mağduriyet yaşadıklarında yasal haklarını aramaktan çekinmemeleri büyük önem taşımaktadır.
