T.C.
Yargıtay
Hukuk Genel Kurulu
2024/304 E., 2025/525 K.
"İçtihat Metni"
MAHKEMESİ : Ankara Bölge Adliye Mahkemesi 21. Hukuk Dairesi
SAYISI : 2023/1215 E., 2023/1455 K.
ÖZEL DAİRE KARARI : Yargıtay 11. Hukuk Dairesinin 14.03.2023 tarihli ve
2021/4893 Esas, 2023/1538 Karar sayılı BOZMA kararı
Taraflar arasındaki banka sorumluluğuna dayalı tazminat davasından dolayı yapılan yargılama sonunda İlk Derece Mahkemesince davanın kısmen kabulüne karar verilmiştir.
Kararın taraf vekilleri tarafından istinaf edilmesi üzerine, Bölge Adliye Mahkemesince davalı vekilinin istinaf başvurusunun esastan reddine, davacı vekilinin istinaf başvurusunun kabulü ile İlk Derece Mahkemesi kararı kaldırılarak yeniden hüküm kurulmak suretiyle davanın kabulüne karar verilmiştir.
Bölge Adliye Mahkemesi kararı, davalı vekili tarafından temyiz edilmesi üzerine Yargıtay 11. Hukuk Dairesince yapılan inceleme sonunda bozulmuş, Bölge Adliye Mahkemesi tarafından Özel Daire bozma kararına karşı direnilmiştir.
Direnme kararı davalı vekili tarafından temyiz edilmekle; kesinlik, süre, temyiz şartı ve diğer usul eksiklikleri yönünden yapılan ön inceleme sonucunda, temyiz dilekçesinin kabulüne karar verildikten sonra Tetkik Hâkimi tarafından hazırlanan gündem ve dosyadaki belgeler incelenip gereği düşünüldü:
I. DAVA
Davacı vekili; müvekkilinin davalı banka nezdinde vadeli TL ve döviz hesabının bulunduğunu, internet bankacılığını da kullandığını, tatil sebebiyle şehir dışında bulunduğu 11.07.2018 tarihinde mobil internet kanalıyla hesaplarını kontrol ettiğinde hesaplarında parasının olmadığını farkettiğini, davalı bankanın Altınoluk Şubesine giderek hesap hareketlerini ve dökümünü kontrol ettiğinde hesaplarda bulunan paranın hiç tanımadığı iki ayrı şirkete mobil bankacılık yoluyla havale edildiğini tespit ettiğini, aynı gün bu işlemi yapanlar hakkında suç duyurusunda bulunduğunu ve davalı bankadan paranın iadesini istediğini ancak bankanın hiçbir sorumluluğunun bulunmadığı gerekçesiyle müvekkiline parasını iade etmediğini, güven kurumu olan bankanın kendisine emanet edilen mevduatı korumakla yükümlü olduğunu ileri sürerek fazlaya ilişkin hakları saklı kalmak kaydıyla TL hesabı sebebiyle 5.000,00 TL’nin, döviz hesabı sebebiyle ise 1.000,00 USD’nin davalıdan tahsiline karar verilmesini talep etmiş, daha sonra ıslah dilekçesiyle; TL hesabına ilişkin alacağını 30.000,00 TL'ye, döviz hesabına ilişkin alacağını ise 8.883,02 USD 'ye yükseltmiştir.
II. CEVAP
Davalı vekili; müvekkilinin internet bankacılığı işlemlerinde güvenliği sağlamak için gerekli tüm önlemlerini aldığını, dava konusu işlemlerin davacının kendisine ait kullanıcı kodu, statik şifre ve davacının banka sistemlerinde kayıtlı olan telefonuna gönderilen tek kullanımlık şifre ile gerçekleştirdiğini, müvekkiline atfı kabil bir kusur bulunmadığını belirterek davanın reddini savunmuştur.
III. İLK DERECE MAHKEMESİ KARARI
Ankara 5. Tüketici Mahkemesinin 24.10.2019 tarihli ve 2018/319 Esas, 2019/478 Karar sayılı kararı ile; yapılan işlemlerin davalı banka tarafından olağan dışı bulunduğu ve davacıdan teyit alma ihtiyacı hissedildiği ancak dolandırıcılar tarafından davacının telefonu başka bir telefona yönlendirildiğinden teyit alınamadığı, davalı bankanın buna rağmen davaya konu işlemlerin yapılmasına izin verdiği, oysa Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ'in "Güvenlik Kontrol Sürecinin Tesis Edilmesi ve Yönetilmesi" başlıklı 26/2. maddesine göre bankanın bu durumda işleme izin vermemesi gerektiği, belirtilen sebeplerle davalı bankanın zararın gerçekleşmesinde %80 oranında kusurlu olduğu, dolandırıcılığın davacının cep telefonuna bulaştırılmış olan bir bankacılık zararlı yazılımı maharetiyle gerçekleştirildiği, bu yazılımın ancak davacının kişisel bilgilerine bir şekilde erişilmesiyle yüklenebileceği, kişisel bilgilerini koruma hususunda gerekli dikkat ve özeni göstermeyen davacının da zararın gerçekleşmesinde %20 oranında müterafik kusurunun bulunduğu gerekçesiyle davanın kısmen kabulüne, 24.006,04 TL'nin ve 7.107,00 USD'nin davalıdan tahsiline karar verilmiştir.
IV. İSTİNAF
A. İstinaf Yoluna Başvuranlar
İlk Derece Mahkemesinin yukarıda belirtilen kararına karşı süresi içinde taraf vekilleri istinaf başvurusunda bulunmuştur.
B. Gerekçe ve Sonuç
Ankara Bölge Adliye Mahkemesi 21. Hukuk Dairesinin 15.04.2021 tarihli ve 2020/366 Esas, 2021/562 Karar sayılı kararı ile; davacının davalı banka nezdindeki TL mevduat hesabındaki 30.000,00 TL ile ABD Doları hesabındaki 8.884.00 USD'nin davacının bilgisi ve rızası dışında 11.07.2018 tarihinde üçüncü kişilerin hesabına internet bankacılığı yoluyla havale edildiği, işlemin davacının davalı banka sisteminde kayıtlı cep telefonuna zararlı bir yazılım yüklemek suretiyle yabancı bir telefona yönlendirmek suretiyle gerçekleştirildiği, bu nedenle davalı bankaca gönderilen tek kullanımlık SMS şifresinin davacıya ulaşmadığı, dava konusu işlemlerin hepsinin SMS ile gönderilen tek kullanımlık şifre ile gerçekleştirilmesine, üstelik davalı tarafından da işlemler olağan dışı ve şüpheli bulunarak davacıdan teyit alma ihtiyacı duyularak davalı bankaca aranan davacının cep telefonu başka bir telefona yönlendirilmiş olduğundan davacıdan teyit alınamamasına rağmen dava konusu işlemlerin yapılmasına izin verildiği, ayrıca davacının incelenen 01.01.2018-11.07.2018 tarih aralığına ait banka hesap hareketlerinde olay tarihinden önce dava konusu paraların havale edildiği dava dışı şirketlerle herhangi bir işlem tesis etmediği, dolayısıyla davalı bankanın davacının zarara uğramasına yol açan bu olayda kusurlu olduğu, davalı bankanın davacının gerek saklamakla yükümlü olduğu banka kartına ait şifre ve parola gibi kişisel bilgilerini üçüncü kişilerle paylaştığını ve gerekse de söz konusu kişisel bilgilerinin üçüncü kişilerin eline geçmesine yol açan cep telefonundaki zararlı yazılımı yüklemesinde müterafik kusurunun bulunduğunu ispatla yükümlü olduğu ancak dosya kapsamı itibarıyla belirtilen hususların davalı bankaca kanıtlanamadığı, bu nedenle davacıya atfı kabil bir kusur bulunmadığı gerekçesiyle davalı vekilinin istinaf başvurusunun esastan reddine, davacı vekilinin istinaf başvurusunun ise kabulü ile İlk Derece Mahkemesi kararının kaldırılmasına, esas hakkında yeniden hüküm tesis edilerek davanın kabulü ile 30.000,00 TL'nin ve davalıdan tahsiline karar verilmiştir.
V. BOZMA VE BOZMADAN SONRAKİ YARGILAMA SÜRECİ
A. Bozma Kararı
1. Bölge Adliye Mahkemesinin yukarıda belirtilen kararına karşı süresi içinde davalı vekili temyiz isteminde bulunmuştur.
2. Yargıtay 11. Hukuk Dairesinin yukarıda tarih ve sayısı belirtilen kararı ile;
"...1.Tarafların iddia, savunma ve dayandıkları belgelere, uyuşmazlığın hukuki nitelendirilmesi ile uygulanması gereken hukuk kurallarına, dava şartlarına, yargılamaya hâkim olan ilkelere, ispat kurallarına ve temyiz olunan kararda belirtilen gerekçelere göre davalı vekilinin aşağıdaki paragrafların kapsamı dışındaki temyiz itirazları yerinde görülmemiştir.
2.Dava, davacının davalı banka nezdinde bulunan hesaplarında yer alan mevduatın internet bankacılığı aracılığıyla üçüncü kişilere havale edildiği iddiasına dayalı tazminat istemine ilişkindir.
3.Davalı banka, davaya konu işlemlerin gerçekleştiği tarihte, internet bankacılığı işlemlerinde 3 aşamalı bir güvenlik protokolü uygulamakta olup sisteme erişmek isteyen kullanıcılar, kullanıcı adları ve statik şifreleri yanında banka sistemine kayıtlı telefon numarasına SMS'le gönderilen tek kullanımlık şifreyi de doğru olarak sisteme girmek zorundadırlar. 25.09.2019 tarihli bilirkişi raporunda yer alan açıklamalardan, dolandırıcıların davacının cep telefonuna zararlı bir yazılım bulaştırmak suretiyle gerek kullanıcı adıyla statik şifreyi gerekse de tek kullanımlık dinamik şifreyi ele geçirdikleri ve davaya konu işlemleri bu suretle gerçekleştirdikleri anlaşılmaktadır.
4.Bölge Adliye Mahkemesince, davacıya atfı kabil bir kusur bulunmadığı, davalı bankanın meydana gelen zarardan sorumlu olduğu sonucuna ulaşılmış ise de davacının telefonunu bu tür saldırılardan korumak için gerekli önlemleri almadığı gibi kişisel bilgilerini korumak noktasında da gereken özeni göstermediği anlaşılmaktadır. Bunun yanında, davaya konu havale işlemleri, davacının telefonuna bulaştırılan bir zararlı yazılım marifetiyle gerçekleştirildiğinden davalı bankanın bu duruma müdahale imkânı da bulunmamaktadır. Bu nedenle davacının zararın meydana gelmesinde müterafik kusuru bulunduğunun kabulü gerekir.
5.Bu itibarla, Bölge Adliye Mahkemesince, zararın meydana gelmesinde davalı banka yanında davacının da müterafik kusurlu olduğu gözetilerek sonucuna göre bir karar verilmesi gerekirken yanılgılı değerlendirmeye dayalı olarak karar verilmesi doğru görülmemiş, bozmayı gerektirmiştir..." gerekçesiyle karar oy çokluğuyla bozulmuştur.
B. Bölge Adliye Mahkemesince Verilen Direnme Kararı
Bölge Adliye Mahkemesinin yukarıda tarih ve sayısı belirtilen kararı ile önceki gerekçeye ilâveten; bozma ilamında davacının cep telefonuna zararlı yazılımları engelleyici program yüklenmemesi kusur olarak nitelendirilmişse de anılan programı yüklemenin tüketiciler için zorunluluk olduğuna dair yasal bir düzenleme olmadığı gibi sözleşmede de bir düzenleme bulunmadığı gerekçesiyle direnme kararı verilmiştir.
VI. TEMYİZ
A. Temyiz Yoluna Başvuranlar
Bölge Adliye Mahkemesinin yukarıda belirtilen direnme kararına karşı süresi içinde davalı vekili temyiz isteminde bulunmuştur.
B. Temyiz Sebepleri
Davalı vekili; dava konusu işlemlerin doğru kullanıcı kodu, statik şifre ve doğru telefon numarasına gönderilen tek kullanımlık şifreyle gerçekleştirildiğini, davacının şifre, kart ve kişisel bilgilerini gereği gibi muhafaza etmediğini, müvekkilinin mudinin cep telefonuna zararlı yazılım yükleyip yüklemediğini bilemeyeceğini ve bunun sorumluluğunun davacı üzerinde olduğunu, gerekli güvenlik önlemlerini davacının alması gerektiğini, somut olayda davacının ağır kusuru olduğunu, ceza hukuku sürecinin tamamlanmadığını, davacının cep telefonunun başka numaraya yönlendirilmesinde kusuru olup olmadığının araştırılmadığını belirterek direnme kararını temyiz etmiştir.
C. Uyuşmazlık
Direnme yoluyla Hukuk Genel Kurulu önüne gelen uyuşmazlık; davacı mudinin kişisel bilgilerini muhafaza etmek ve telefonunu zararlı yazılımlardan ve bu yolla yapılan saldırılardan korumak konusunda gereken özeni gösterip göstermediği, buradan varılacak sonuca göre davacının müterafik kusurunun bulunup bulunmadığı noktasında toplanmaktadır.
D. Gerekçe
1. İlgili Hukuk
1. 818 sayılı (Mülga)Borçlar Kanunu'nun (818 sayılı BK) 44, 96, 99/2, 100/3, 3 06... /1 maddeleri.
2. 6098 sayılı Türk Borçlar Kanunu'nun (6098 sayılı TBK) 52, 112, 115/3, 116/3, 3 86... /1 maddeleri.
3. 5411 sayılı Bankalar Kanunu'nun (5411 sayılı Kanun) 61/1 maddesi.
4. Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ'in (Tebliğ) 26/2 ve 27. maddeleri.
2. Değerlendirme
1. Uyuşmazlığın çözümü için öncelikle konuya ilişkin yasal düzenlemeler ile hukuki kavram ve kurumların ortaya konulmasında yarar bulunmaktadır.
2. İnternet, birden fazla haberleşme ağının (network) bilgisayarlar aracılığıyla meydana getirdikleri bir iletişim ortamıdır.
3. Günümüzde internet, tüm dünya üzerine yayılmış olan çok geniş bir bilgisayar ağı olmaktan öte hayatın bir gerekliliği durumuna gelmiştir. Bu iletişim ağından yararlanan internet bankacılığı ve yine internet bankacılığının alt bir dalı olarak günümüz teknolojik seviyesinin bir ürünü olan mobil bankacılık; teknolojide meydana gelen gelişmeler sonucu ortaya çıkan ve hemen hemen bütün bankacılık işlemlerinin bu sistem üzerinden yapılabilmesini sağlayan bir bankacılık türüdür.
4. Bankalar tarafından hazırlanan sözleşmelerde yer alan yaygın tarifiyle internet bankacılığı; şahsın kablolu, kablosuz iletişim sistemleri ile teknik şartlara haiz bilgisayar, tablet, cep telefonu gibi araçlar üzerinden ve internet-wap aracılığı ile otomatik, sesli yanıt sistemi ile şifre ve parolayı kullanarak, bankanın belirleyeceği kurallar ve limitler dâhilinde şahsın banka hesapları üzerinde her türlü işlem yapma yöntemidir.
5. İnternet bankacılığındaki en önemli sorun, hiç kuşkusuz güvenlik sorunudur. Güvenli bir internet bankacılık hizmetinin sunulmasında, böyle bir hizmetin alınmasında, hem bankanın hem de müşterinin üzerine düşen yükümlülükler ve sorumluluklar vardır. Bu bağlamda, internet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bankaların internet bankacılığı sisteminin güvenliğine yönelik tüm tedbirleri almaları ve sistem hatalarını ve eksikliklerini gidererek sistemi bilinen en son teknolojik gelişmeye uygun hâle getirmeleri büyük önem taşımaktadır. Müşterilerin internet bankacılığını kullanmakta olması bankaların mevduatı koruma yükümlülüğünü ortadan kaldırmayacağı gibi, sorumluluğunu da hafifletmeyecektir. Bu kapsamda işlemlerini internet ortamına taşıyarak daha fazla müşteri kitlesine ulaşmak ve dolayısıyla daha fazla kâr elde etmek isteyen bankanın, buna paralel olarak gerekli teknolojik ve yazılımsal önlemleri alması, gelişen teknoloji karşısında kötüniyetli üçüncü kişilerin internet bankacılığı sistemine girişimlerini anında engelleyecek güvenlik mekanizmasını oluşturması, sistemini sürekli güncelleyerek yenilemesi, herhangi bir usulsüz işlemle karşılaşıldığında gerekli önlemleri almanın yanı sıra müşterilerini de anında bilgilendirmesi gerekmektedir (Abdurrahman Savaş, İnternet Bankacılığı ve Tarafların Yükümlülükleri, Selçuk Üniversitesi Hukuk Fakültesi Dergisi, C. 19, S. 2, s. 151.).
6. Bankalar, özel yasa ile kurulan ve kendilerine alanlarında çeşitli imtiyazlar tanınan, topladıkları mevduatı sahteciliklere karşı özenle korumak zorunda olan kuruluşlar olup, sahip oldukları bu vasıfları sebebiyle bankacılık işlemlerinin güvenilen tarafı konumundadırlar. Bu durum, bankaların bir güven kurumu olarak kabul edilmesini ve bankanın sorumluluğunun özel güven sebebiyle ağırlaştırılmasını gerektirir (Ahmet Battal, Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, Ankara 2001, s.106). Gerçekten de bankaların, tacir olarak bütün işlemlerinde basiretli davranma yükümlülüğü herhangi bir tacirden bu yönüyle farklıdır. Bu sebeple bankalardan beklenen basiret ölçüsü ve özen yükümlüğü şüphesiz daha ağırdır. Özellikle bankaların internet bankacılığı hizmeti vermeye başladıkları andan itibaren özen yükümlülüğünün daha da arttığının kabul edilmesi gerekmektedir.
7. O hâlde, bankalar, ağırlaştırılmış sorumluluğun bir gereği olarak objektif özen yükümlülüğü altında bulunmakta olup, buna karşılık hafif kusurlarından dahi sorumludurlar. Ayrıca, bu sorumluluğu kaldırmaya yönelik sözleşmeler de geçerli değildir. Zira sorumsuzluk sözleşmesi hükümlerine sınırlama getiren 818 sayılı BK'nın 99/2 ve 100/3. (6098 sayılı TBK'nın 115/3 ve 116/3.) maddeleri gereğince, bankaların hafif kusurlarından dolayı ortaya çıkan sorumluluğunu kaldıran sözleşme hükümleri geçersiz olacaktır.
8. Zira bankalar kendilerine yatırılan paraları istenildiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdürler. Buna göre mevduat sözleşmesi, tüketim ödüncü (karz) ile misli şeylerin saklanmasına ilişkin saklama sözleşmelerinin (usulsüz tevdi) niteliklerini taşıyan kendine özgü bir sözleşmedir Bunun sonucu ise mevduatın niteliğine uygun düştüğü oranda tüketim ödüncü (karz) veya misli şeylerin saklanması hükümlerinin kıyasen uygulanmasıdır.
9. Bilindiği üzere, tüketim ödüncü sözleşmesi 6098 sayılı TBK'nın 386 vd. (818 sayılı BK'nın 306 vd.) maddelerinde düzenmiş olup, anılan 6098 sayılı TBK'nın 386. maddesi "tüketim ödüncü sözleşmesi, ödünç verenin, bir miktar parayı ya da tüketilebilen bir şeyi ödünç alana devretmeyi, ödünç alanın da aynı nitelik ve miktarda şeyi geri vermeyi üstlendiği sözleşmedir." şeklindedir. Bu hükme göre, ödünç alan konumundaki banka, kendisine ödünç verilen parayı kararlaştırılmışsa faizi ile birlikte iadeye mecburdur.
10. Bu hükme paralel düzenleme 5411 sayılı Kanun'un 61/1 hükmünde ise “4721 sayılı Türk Medenî Kanununun rehinlere ve hapis hakkına, 818 sayılı Borçlar Kanununun alacağın devir ve temlikine, takasa dair hükümleri ile diğer kanunların verdiği yetkiler ve koyduğu yükümlülükler saklı kalmak şartıyla mevduat ve katılım fonu sahiplerine ödenmesi gereken tutarları geri alma hakları hiçbir suretle sınırlandırılamaz. Mevduat veya katılma hesabı sahipleri ile kredi kuruluşları arasında vade ve ihbar süresi hakkında kararlaştırılan şartlar saklıdır.” şeklinde düzenlenmiştir.
11. Yine saklama (vedia) sözleşmelerinde misli şeylerin saklanmasına ilişkin 6098 sayılı TBK'nın 570/1. maddesi (818 sayılı BK'nın 472/1. maddesi) "saklayanın kendisine bırakılan parayı aynen geri vermek zorunda olmaksızın mislen geri vermesi açıkça veya örtülü olarak kararlaştırılmışsa, o paranın yararı ve hasarı kendisine ait olur" şeklindedir.
12. Bunun yanında hiç kuşkusuz, müşterilerin de internet bankacılığında kullanılmak üzere kendilerine verilen kullanıcı adı, şifresi ve diğer bilgileri üçüncü kişilerin eline geçmesini önleyecek gerekli tedbirleri almaları ve bu konuda azami özeni göstermeleri gereklidir. Bu sebepledir ki müşterilerin internet veya mobil bankacılık kanallarına eriştikleri cihazlarına başkalarının ulaşmaması için azami özeni göstermeleri gerekmektedir. Müşterilerin, internet bankacılığında kullanılmak üzere kendilerine verilen özel bilgilerini, banka ve kredi kartlarında olduğu gibi, üçüncü kişilerden özenle koruma ve saklama yükümlülüğü mevcuttur. Bu yükümlülüklerin ihlal edilmesi hâlinde müşterinin kendi kusurundan kaynaklanan bu durumun sorumluluğuna kusuru oranında katlanması gerekmektedir.
13. Bu itibarla, müşterinin internet dolandırıcılığı eyleminin işlenmesinde ve kişisel bilgilerinin kötüniyetli üçüncü kişilerin eline geçmesinde kusuru var ise 818 sayılı BK’nın 44. maddesi (6098 sayılı TBK’nın 52. maddesi) gereğince bu kusur, müterafik kusur olarak değerlendirilebilecektir. Bu durumda banka, sözleşmeden doğan yükümlülüğünü yerine getirememesinde kusurlu olmadığını 818 sayılı BK’nın 96. maddesi (6098 sayılı TBK’nın 112. maddesi) gereğince ispat etmek durumunda olup, ayrıca müşterisinin müterafik kusurunu da ispat etmekle yükümlüdür (Hamdi Yasaman, Banka Hukuku, İstanbul 2013, C. II, s.105) .
14. Bankacılık işlemleri alanında sözleşme özgürlüğü ilkesinin etkili bir şekilde uygulanmaması nedeniyle bankaların sorumluluğu konusunda özel düzenlemelerin ve yorumların yapılması da bir gerekliliktir. (Battal, s.1) Bu gerekliliğin bir ürünü olan ve 14.09.2007 tarihli, ve 26643 sayılı Resmî Gazete'de yayımlanarak yürürlüğe giren Bankacılık Düzenleme ve Denetleme Kurumu Tebliği'nin 26/2. maddesinde "banka, internet bankacılığı faaliyetleri kapsamında gerçekleşen sıra dışı ve şüpheli işlemleri tespit etmek için takip mekanizmaları kurar."; aynı Tebliğ'in 27/4. maddesinde ise "müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin "sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin "bildiği" unsur olarak parola/değişken parola bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır" ifadesine yer verilmekle bankalarca alınması gereken tedbirler belirtilmiştir. Gerek anılan düzenlemelerin bankalara oranla zayıf konumda olan müşterileri koruma maksadı ve gerekse de düzenleniş biçimleri gözetildiğinde bu tedbirlerin asgari güvenlik standartlarını belirlemek amacıyla konulduğu, ancak bankalarca hâlin icabına göre bu asgari güvenlik standartlarının üzerine çıkılarak gelişen ve değişen teknoloji kullanılarak en uygun ve üst düzey önlemlerin alınmasında bir engel bulunmadığı şüphesizdir.
15. Yukarıda yapılan açıklamalar ışığında somut olay değerlendirildiğinde; davalı banka nezdindeki TL mevduat hesabından 30.000,00 TL ile USD hesabındaki 8.884,00 USD' nin davacının rızası dışında üçüncü kişilere gönderildiği ve davacıya ait telefonun olay tarihinde başka telefon numarasına yönlendirildiği gibi SMS almasının da engellendiği sabit olup bilirkişilerce davacının cep telefonuna yüklenen zararlı bir yazılım eliyle bu yönlendirmelerin yapılmış olacağı belirtilerek kusur değerlendirmesi yapılmıştır.
16. Öte yandan bankalar kendilerine yatırılan paraları istenildiğinde veya belli vadede aynı veya misli ile mudilere iade etmekle yükümlü olduğundan bankalardan usulsüz işlemle çekilen paralar, doğrudan doğruya bankanın zararı niteliğindedir ve mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Mevduat sahibinin usulsüz işlemlerin gerçekleşmesinde el ve işbirliği veyahut kusuru ispatlandığı taktirde müterafik kusurdan söz edilebilir ve bu kusura isabet eden kısım mevduat sahibine iade edilmez.
17. Somut olayda, davacının hesap hareketlerinde olağan dışı meblağlarda ve üçüncü kişi şirketlere para havalesi talebi, davalı banka için de şüpheli görülmüş ve davacıdan işlemler için teyit alma ihtiyacı duymuştur. Ayrıca davacı telefondan aranmış ancak telefon başka telefona yönlendirilmiş olduğundan teyit alamamıştır. Bu nedenle, müşterisinin cevap vermemesinin dahi olağan dışı ve şüpheli olduğu dikkate alınarak, güvenlik kontrolü prosedürünün işletilmesi, işlemin durdurulması ve etkin bir güvenlik kontrol sürecinin yürütülmesi gerekirken, davalı bankanın sadece işlemlerin yapıldığına dair davacıya bilgi maili gönderimiyle yetinmesi sorumluluğun yerine getirildiği anlamına gelmemektedir.
18. Hâl böyle olmakla birlikte, Tebliğ'in 26/2. maddesi gereğince sıra dışı ve şüpheli işlemleri tespit etmek için takip mekanizmaları kurmakla mükellef olan davalı bankanın sıradışı işlemi tespit etmesine rağmen davacı mudiden teyit almaksızın işleme devam ettiği, hayatın olağan akışı içinde kişilerin mail kontrolünün sıklığı ile internet okur yazarlığı dikkate alındığında günümüzün teknolojik seviyesinde elektronik imza, yüz tanıma, kimlik okutma vb. gibi gelişmiş güvenlik önlemlerini alması mümkünken bu tedbirleri almadığı da anlaşılmakla birlikte davacının telefonuna yüklenilen zararlı bir yazılımın kendisine erişilmesine engel olduğu yönündeki kabul dahi bilirkişilerce somut verilerle kesin olarak ortaya konulamadığından davacı mudinin müterafik kusurunun dahi davalı banka tarafından ispat edilemediği sonucuna varılmıştır.
19. Hukuk Genel Kurulunda yapılan görüşmeler sırasında; davacının kişisel bilgilerini muhafaza edemediği ve cep telefonuna zararlı olabilecek programlar yüklemesiyle telefonunu erişime açık hâle getirdiği, dolayısıyla kişisel bilgilerini gerektiği gibi muhafaza etmeyen müşterilerin oluşan zararlardan sorumlu olmalarının ve müterafik kusurlu sayılmalarının gerektiği, bu bakımdan Özel Dairenin bozma kararının yerinde olduğu ve direnme kararının bozulması gerektiği görüşü ileri sürülmüş ise de bu görüş yukarıda açıklanan nedenlerle Kurul Çoğunluğu tarafından benimsenmemiştir.
20. Hâl böyle olunca; yukarıda açıklanan nedenlerden dolayı Bölge Adliye Mahkemesince verilen direnme kararı usul ve yasaya uygun olup yerindedir.
21. Ne var ki, diğer temyiz itirazları Özel Dairece incelenmediğinden bu konuda inceleme yapılmak üzere dosya Özel Daireye gönderilmelidir.
VII. KARAR
Açıklanan sebeplerle;
Direnme uygun olup davalı vekilinin diğer temyiz itirazlarının incelenmesi için dosyanın YARGITAY 11. HUKUK DAİRESİNE GÖNDERİLMESİNE,
17.09.2025 tarihinde oy çokluğuyla kesin olarak karar verildi.
"K A R Ş I O Y"
İlk derece mahkemesi ile Özel Daire arasındaki uyuşmazlık, davalı bankanın şüpheli gördüğü internet bankacılığı işleminde, mudiyi aramasına rağmen iletişim kuramadığı hâlde işleme onay vermesi ve böylece mudinin Türk Lirası ve döviz cinsinden hesabındaki paranın dava dışı kişilere transver edilmesi olayında, kişisel bilgilerini gereği gibi korumayan davacı mudinin müterafik kusurunun bulunup, bulunmadığı noktasında toplanmaktadır.
Bankacılık Kanunun amacı Kanunun birinci maddesinde düzenlenmiştir. Bu hükme göre, Kanunun amacı, finansal piyasalarda güven ve istikrarın sağlanmasına, kredi sisteminin etkin bir şekilde çalışmasına, tasarruf sahiplerinin hak ve menfaatlerinin korunmasına ilişkin usûl ve esasları düzenlemektir. Müşterilerin hak ve menfaatlerinin etkin korunmasının temini bağlamında, Kanunun 76/3. maddesi ile müşterilerin kimlikleri doğrulanmadan, müşteriyle ilgili bankacılık işlemi yapılması yasaklanmıştır.
Bankalar Düzenleme ve Denetim Kurumu tarafından çıkarılan, Kanunun uygulanmasına ilişkin Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğin 26. maddesi ile güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi düzenlenmiştir. Tebliğin bu maddesinin 2. fıkrasına göre, banka, internet bankacılığı faaliyetleri kapsamında gerçekleşen sıra dışı ve şüpheli işlemleri tespit etmek için takip mekanizmaları kurar. Tebliğin 27. maddesinde ise kimlik doğrulama düzenlenmiştir. Bu maddenin 1. fıkrasına göre, banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama mekanizması tesis eder. Müşterilerin, kurulan kimlik doğrulama mekanizmasından geçmeden hizmetlerden yararlanmasına müsaade etmeyecek bir yapı banka tarafından kurulur. Bu maddenin 4. fıkrasına göre ise, müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin "sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin "bildiği" unsur olarak parola/değişken parola bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır. 10. fıkrasına göre ise, tek kullanımlık parola sunan cihazlardaki bu bilgi belirli bir süre sonra siliniyor olmalı ve/veya bir temizleme olanağı ile cihazdan silinebilmeli, bu cihazların ürettiği parolalar, bilinen parola tahmin yöntemleriyle belirlenmesi imkânsız, değişken ve eşsiz olmalıdır.
Bu hükümlerden anlaşıldığına göre, bankacılık işlemlerinin online platformlarda yaygınlaşması ve internet üzerinde alışverişlerin artmasıyla birlikte bankacılık işlemlerinde güvenliğin sağlanması için çeşitli güvenlik önlemlerinin alınması gerekmektedir. Bu önlemler iki grupta toplanmaktadır. Biri, bankalar tarafından alınması gereken önlemler, diğeri ise, müşteri tarafından alınması gereken önlemlerdir.
Bankalar tarafından alınması gereken önlemler, bankacılık sistemine girmede kimlik doğrulama, diğeri ise sıra dışı ve şüpheli işlemleri tespit etmek için takip mekanizmaları kurmaktır. Mevzuatta öngörülen kimlik doğrulama iki bileşenden oluşmaktadır. Biri, müşteri tarafından oluşturulan ve belirli periyotlarda müşteri tarafından değiştirilmesi gereken parola, diğeri ise banka sisteminde kayıtlı olan müşteri telefonuna gönderilen tek kullanımlık şifredir. Sıra dışı ve şüpheli işlem yapıldığının tespiti hâlinde ise banka işlemi gerçekleştirmeden önce müşteriyi bilgilendirmesi gerekmektedir. Müşteri tarafından alınması gereken önlemler ise, kişisel bilgilerini korumak ve telefon ve bilgisayarına zararlı yazılımların yüklenmesine engel olmaktır. Bu bağlamda müşteri, zararlı yazılımlara yol açan oltalama saldırılara karşı dikkatli olmalı ve bilmediği kişiler tarafından mesajla gönderilen linkleri açmaması gerekmektedir. Çünkü, bankaların müşteride olan telefon ve bilgisayarları zararlı yazılımlara karşı koruma imkanı bulunmamaktadır.
Bu açıklamalardan sonra somut olay değerlendirildiğinde, davacı kişisel bilgileri olan, kimlik numarası ile bankaca kendisine verilen kod ve kendi oluşturduğu şifrenin üçüncü kişilerin eline geçmesine sebep olmuş, telefonuna yüklenen zararlı yazılımla telefonu dolandırıcıların telefonuna yönlendirilmiş ve sonuçta davacının davalı banka nezdindeki Türk Lirası hesabı ile döviz hesabındaki tüm tasarrufu üçüncü kişilerin hesabına aktarılmıştır. Bankacılık işleminin şüpheli olduğu banka tarafından tespit edilmiş, ancak davacının telefonu dolandırıcıların telefonuna yönlendirilmiş olduğundan banka çalışanı davacıya ulaşamamıştır. Dolayısıyla banka çalışanı müşterinin telefonunun yönlendirilmiş olduğu telefonla iletişim kurup işleme onay verdiğinin kabulü gerekmektedir.
Bu durumda davacı müşteri hem kişisel bilgilerini tam olarak koruyamadığından, hem de telefonunu zararlı yazılımlara karşı koruyamadığı için olayın oluşumunda kusuru bulunmaktadır. Güven kurumu olan ve hükümetin verdiği izinle imtiyazlı olarak ticari faaliyette bulunan banka ise her türlü kusurundan sorumludur. O nedenle güvenlik önlemlerini tam olarak alması ve uygulaması gerekmektedir. Bu bağlamda, davalı banka, sisteme girmek için kimlik doğrulamada kullanıcı kimlik numarası veya kullanıcı kodunun girilmesi, statik şifrenin girilmesi ve bankaca kullanıcı telefonuna gönderilen tek kullanımlık şifrenin girilmesinden ibaret üç aşamalı güvenlik uygulamakta ve bu uygulamanın da uluslararası standartlara uygun olmasına rağmen, davaya konu olan bankacılık işleminin sıra dışı ve şüpheli olduğunu tespit etmesine rağmen işlemlere onay vermesi nedeniyle bankanın da kusuru bulunmaktadır. İşlemin şüpheli olduğunu tespit ettikten sonra müşteriyi aramış olması, ancak müşteri telefonunun yönlendirilmiş olması nedeniyle müşteri yerine dolandırıcılarla iletişim kurması bir güven kurumu olan bankayı sorumluluktan kurtarmamalıdır. Bu durumda olayın oluşunda hem bankanın hem de davacının ihmalinin bulunduğu kabul edilmelidir.
Nitekim, bankanın tam kusurlu olduğunu belirten birinci bilir kişi raporu ile bankanın kusursuz müşterinin tam kusurlu olduğunu belirten ikinci bilirkişi raporu arasındaki çelişkiyi gidermek için ilk derece mahkemesince alınan ve somut olayın oluşuna uygun olduğu anlaşılan üçüncü bilirkişi raporunda, olayın oluşunda davalı bankanın %80 oranında, davacı mudinin (müşterinin) ise %20 oranında kusurlu olduğu belirtilmiştir. Bu durum karşısında, çelişkiyi gideren üçüncü bilirkişi kurulu raporuna göre davanın kısmen kabulüne karar veren ilk derece mahkemesinin kararına yönelik istinaf başvurusunun bölge adliye mahkemesi hukuk dairesince esastan reddine karar verilmesi gerekirken, istinaf başvurusunun kabulü ile ilk derece mahkemesinin kararının kaldırılıp davanın tümden kabulüne karar verilmesi, bu kararın bozulmasına ilişkin Özel Dairenin kararına karşı bölge adliye mahkemesince direnme kararı verilmesi doğru olmamıştır.
Sonuç olarak, kanuna, usule ve somut olaya uygun olmayan direnme kararının bozulması gerektiği görüşünde olduğumdan Sayın Çoğunluğun direnme kararının onanması yönündeki görüşüne katılmamaktayım.