Günümüzde teknolojinin gelişmesinin yanı sıra yaklaşık iki senedir yaşadığımız pandemi sürecinin de etkisiyle artık işlemlerimizin hepsini online sistemde gerçekleştirmekteyiz. İnternet günlük hayatımızın vazgeçilmezleri arasında yer almakta, pek çok diğer işlem gibi internet bankacılığı ve mobil bankacılıktan da sıklıkla yararlanmaktayız. İnternet bankacılığı, hem bankalar hem de müşteriler açısından avantajlara sahip olduğu kadar sakıncalar da barındırmakta bu sakıncaların başında güvenlik problemi gelmektedir. Çağımızdaki ilerlemeyle birlikte hırsızlık ve dolandırıcılık eylemlerinin işleniş şekli de değişmekte, bilişim sistemleri kullanarak gerçekleştirilmeye başlanmıştır. Dijital ortamda gerçekleştirilen hırsızlık/dolandırıcılık eylemlerinde mudilerin ve bankanın ek yükümlülükleri bulunmaktadır. Bu hususta mudilerin uğradıkları zararlardan kimin sorumlu tutulacağı, bankanın sorumluluğunun bulunup bulunmadığı konusunun Yargıtay kararları ışığında değerlendirilmesi gerektiğini düşünmekteyiz.

İNTERNET BANKACILIĞINDA TARAFLARIN YÜKÜMLÜLÜKLERİ

İnternet bankacılığının yaygınlaşması ile birlikte çok farklı sebeplere dayanan sakıncalar da ortaya çıkmaktadır. Sakıncaların başında işlem yapan kişilerin kimliğinin tespitindeki zorluklardır. Öte yandan güvenlik problemi hem bankalar hem de müşteriler açısından internet bankacılığında önemli riskler oluşturmakta bu sakıncaların mudiler için olduğu kadar bankalar için de söz konusu olduğunu söylemek mümkündür. Güvenlik probleminin aşılabilmesi için bankalar mudilere kullanıcı adı, müşteri numarası, parola, güvenlik kodu gibi kendilerini tanıtmalarına yarayacak bilgiler vermekte, mudiler de kimseyle paylaşmamaları gereken bu bilgileri kullanarak sisteme girmektedirler. Ancak pek çok zaman bu önlem yeterli gelmemekte ve casus yazılımlar, uzaktan IP bağlantı kurulması gibi tekniklerle mudiler kendi kusurları olmaksızın mağduriyet yaşamaktadırlar. İnternet ve mobil bankacılık üzerinden yaşanabilecek mağduriyetlerin önüne geçebilmek adına bankalara ve mudilere ek yükümlülükler getirilmiştir. Bu yükümlülükler çoğunlukla taraflar arasındaki sözleşmeden kaynaklanmaktadır. Tarafların, yükümlülüklerin yerine getirilmesi konusunda gösterecekleri en küçük bir duyarsızlık ya da ihmal telafisi zor zararların ortaya çıkmasına sebep olabilmektedir.

A) MUDİLERİN YÜKÜMLÜLÜKLERİ

Yalnızca bankalar değil aynı zamanda mudiler de internetin avantajlarından yararlanmak amacıyla internet bankacılığını tercih etmektedirler. Çünkü bu sayede hem bankaya giderek zaman kaybına engel olmakta hem de daha hızlı, kolay ve ucuz bir şekilde işlemlerini yapabilmektedirler. Mudiler, internet bankacılığından yararlanmak adına bankalar ile sözleşmeler imzalamakta ve sözleşmelere eklenen hükümlerle internet bankacılığını kullanmak istediklerini beyan etmektedirler. Buna göre mudiler kendi rızalarına uygun olarak imzaladıkları bu sözleşmeler ile kullanmaya başladıkları internet bankacılığının gereklerine uygun olarak davranma yükümlülüğü altındadırlar. Bu amaçla da mudilerin kendilerinden beklenen her türlü güvenlik tedbirini almaları ve dikkat ve özeni göstermeleri gerekmekte olup aksi halde olası sonuçlara ihmalleri oranında katlanmak durumundadırlar.

İnternet bankacılığını kullanırken mağdur olmamak adına kullanıcılar öncelikle bilgisayar, tablet veya telefonlarının güvenliğini sağlamak üzerine bir takım yükümlülük altına girmektedirler.[1] Bu yükümlülüğünü yerine getirirken mudiler ilk olarak cihazlarını zararlı yazılımlardan korunmalıdırlar. Cihazlara dışarıdan gönderilen, virüsler ile mudilerin inetnet bankacılığına kayıtlı olan kullanıcı adı ve şifreleri gibi bilgileri tespit edilmekte ve bu şekilde de banka hesapları dışarıdan müdahalelere açık hale gelmektedir.[2] Virüslerden korunmak için mudilerin alabilecekleri en temel önlem cihaza program yüklenirken lisanslı olanı seçmek, virüslerden korunmak için gerekli antivirüs programlarının kullanılmasıdır.

İnternet bankacılığı kullanan mudilerin sisteme giriş yapmaları ve işlem yapabilmeleri için, kendileri tanıtmalarına yarayacak, sadece kendilerinin bilmesi gereken kullanıcı adı ve şifre gibi belirleyici veriler bulunmaktadır. Mudilerin internet bankacılığında kullanacakları şifreleri oluşturulurken başkaları tarafından tahmil edilebilir olmamasına özen göstermeleri gerekir. Öte yandan şifrelerin oluşturulması kadar korunması da mudiler için önemli bir yükümlülük olduğundan mudilerin de gerekli güvenlik tedbirlerini almaları gerekir.

B) BANKALARIN YÜKÜMLÜLÜKLERİ

Bankalar internet bankacılığı hizmetini, mudilere kolaylık olmasının yanında kendi işlem hacimlerini artırmak ve daha fazla gelir elde etmek amacıyla sunmaktadırlar. Bankalar güven kurumu olup, mudilerin hesaplarını özenle korumakla yükümlüdürler.[3] 6102 Sayılı TTK’nun 18. Maddesinin ikinci fıkrası gereği tacir sıfatına haiz olan banka ütün faaliyetlerinde basiretli bir iş adamı gibi hareket etmelidir.[4]

Yargıtay 11. Hukuk Dairesinin 2007/12559 E. 2009/1362 K. Sayılı ve 09.02.2009 Tarihli Kararı;

Bankalar, özel yasa ile kurulan ve ekonomik alanda çeşitli imtiyazlar tanınan kuruluşlardır. Güven kuruluşları olan bankalar, topladıkları mevduatı sahtecilere karşı özenle korumak zorundadırlar. Bu hususta objektif özen borcu altında olan bankalar, hafif kusurlarından dahi sorumludurlar. BK'nın 99. maddesi uyarınca yapmış oldukları sorumsuzluk anlaşmaları da geçerli değildir.” şeklindedir. Dolayısıyla güvenli bir internet bankacılık hizmetinin sunulmasında, normal bankacılık işlemlerindeki yükümlülüklerin yanı sıra bankanın üzerine düşen bazı ek yükümlülükler vardır. Bankaların mudilerin kullandıkları internet bankacılığı hizmetinin güvenliğinin sağlanması için gerekli olan altyapıyı kurmaları ve çalışır vaziyette bulundurmaları her şeyden önce aralarındaki sözleşme hükümlerine dayanmaktadır.[5] Bu bağlamda, internet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bankaların internet bankacılığı sisteminin güvenliğine yönelik tüm tedbirleri almaları ve sistem hatalarını ve eksikliklerini gidererek sistemi bilinen en son teknolojik gelişmeye uygun hâle getirmeleri büyük önem taşımaktadır. Aksi takdirde bankaların müşterilerin internet bankacılığını kullanmakta olması bankaların mevduatları koruma yükümlülüğünü ortadan kaldırmayacağı gibi, sorumluluğunu da hafifletmeyecektir. Bu kapsamda işlemlerini internet ortamına taşıyarak daha fazla müşteri kitlesine ulaşmak ve dolayısıyla daha fazla kâr elde etmek isteyen bankanın, buna paralel olarak gerekli teknolojik ve yazılımsal önlemleri alması, gelişen teknoloji karşısında kötü niyetli üçüncü kişilerin internet bankacılığı sistemine girişimlerini anında engelleyecek güvenlik mekanizmasını oluşturması, sistemini sürekli güncelleyerek yenilemesi, herhangi bir usulsüz işlemle karşılaşıldığında gerekli önlemleri almanın yanı sıra müşterilerini de anında bilgilendirmesi gerekmektedir.

6098 Sayılı TBK’nun 115. Maddesinin üçüncü fırkası; “Uzmanlığı gerektiren bir hizmet, meslek veya sanat, ancak kanun ya da yetkili makamlar tarafından verilen izinle yürütülebiliyorsa, borçlunun hafif kusurundan sorumlu olmayacağına ilişkin önceden yapılan anlaşma kesin olarak hükümsüzdür.” şeklindedir. Dolayısıyla bankaların internet bankacılığı işlemlerinde hafif kusurlarından dahi sorumlu oldukları ve bu sorumluluğu kaldırmaya yönelik sözleşmelerin de geçersiz olacağını söylemek gerekir.

Bankaların internet bankacılığı hizmetlerinin sunulmasındaki hukuki sorumluluklarına ilişkin Yargıtay kararları incelendiğinde;

Yargıtay 11. Hukuk Dairesi'nin 2020/249 E., 2020/4036 K. Sayılı ve 13.10.2020 Tarihli Kararı;

"Mahkemece, dairemiz bozma ilamına uyularak tüm dosya kapsamına göre, usulsüz işlemler ile çekilen paraların aslında doğrudan doğruya bankanın zararı niteliğinde olduğu, mevduat sahibinin bankaya karşı alacağının aynen devam ettiği, usulsüz işlemlerin gerçekleşmesinde ispatlandığı taktirde mevduat sahibinin müterafik kusurundan söz edilebildiği, dava konusu olayda davacının banka kartının kopyalanmış olduğu, davacıya atfedilecek bir müterafik kusur isnadının mümkün olmadığı, davalı bankanın ise bir güven kurumu olarak mevduat hesabında bulunan paranın güvenliğinin tam olarak sağlayamadığı, kötü niyetli kişilerin işlemlerine karşı koruyamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu sebeple usulsüz işlemleri engelleyememesinden ve objektif özen yükümlülüğünün yerine getirilmemesinden kaynaklanan hafif kusurlarından dahi sorumlu olması nedeniyle oluşan zararın tümünden davalı bankanın sorumlu olduğu gerekçesiyle, davanın kabulü ile 5.000,00 TL'nin 12.09.2013 tarihinden itibaren 3095 sayılı yasanın 2/2 maddesi gereğince değişen oranlarda avans faiziyle birlikte davalıdan tahsili ile davacıya ödenmesine karar verilmiştir…usul ve kanuna uygun bulunan hükmün ONANMASINA." şeklindedir.

Yargıtay Hukuk Genel Kurulu'nun 2017/2224 E., 2018/1753 K. Sayılı ve 22.11.2018 Tarihli Kararı ile de; bankaların hafif kusurlarından dahi sorumlu olduğu, ayrıca bu sorumluluğu kaldırmaya yönelik sözleşmelerin geçerli olmadığı, zira sorumsuzluk sözleşmesi hükümlerine sınırlama getiren 6098 sayılı Türk Borçlar Kanununun "Uzmanlığı gerektiren bir hizmet, meslek veya sanat, ancak kanun ya da yetkili makamlar tarafından verilen izinle yürütülebiliyorsa, borçlunun hafif kusurundan sorumlu olmayacağına ilişkin önceden yapılan anlaşma kesin olarak hükümsüzdür" şeklindeki 115/3 maddesi gereğince, bankaların hafif kusurlarından dolayı ortaya çıkan sorumluluğunu kaldıran sözleşme hükümlerinin de geçersiz olduğu, 6102 sayılı Türk Ticaret Kanunu'nun 18/2 maddesi gereğince tacir olan davalının basiretli tacir gibi davranma yükümlülüğü altında olduğu ve bu kapsamda tüm önlemleri alması gerektiği kabul edilmiştir.

Yargıtay 11. Hukuk Dairesinin 2008/2936 E., 2009/6689 K. Sayılı ve 01.06.2009 Tarihli Kararı;

“Mahkemece, toplanan kanıtlar ve benimsenen bilirkişi raporu doğrultusunda, davacının olayda bir kusurunun bulunmadığı, davalı bankanın da olayda kusurlu olmamasına rağmen olayın meydana gelmesine bir kısım teknolojik eksikliklerin neden olduğu, davalı Bankanın internet bankacılığında kullanılan erişim mekanizmasını daha güvenli hale getirecek teknolojileri kullanması ile bu tür problemleri önlemesi mümkün olabilecekken bu ve buna benzer önlemleri almadığı, elektronik personelin yeteneğini arttırıcı, daha iyi bilgilerle donatılmadığı, bu durumun bankanın davacıya sağlaması gereken güvenlik konusunda bir eksiklik olduğu, dolayısıyla, objektif özen yükümlülüğünü yerine getirmediği ve davacının oluşan zararlarından sorumlu bulunduğu, diğer davalı M. Z.'in haksız fiil eylemlerini gerçekleştirdiğinin kanıtlanamadığı, ceza kovuşturmasında hakkında kovuşturmaya yer olmadığına karar verildiği gerekçesiyle…davalıdan alınarak davacıya verilmesine, diğer davalı hakkındaki davanın ise reddine karar verilmiştir…Yukarda açıklanan nedenlerle, davalılardan Banka vekilinin tüm temyiz itirazlarının reddi ile usul ve kanuna uygun bulunan karanın ONANMASINA” şeklindedir.

Yargıtay kararında bankanın, internet bankacılığında kullanılan mekanizmayı güvenli hale getirecek teknolojileri kullanması gerektiğini, bu tür önlemleri aldığı takdirde şayet hırsızlık ve dolandırıcılık eylemleri gerçekleşmeyecek ise burada bankanın sorumluluğu bulunduğunu belirtmiştir.

Yargıtay 11. Hukuk Dairesi’nin 2017/4888 E., 2019/2015 K. Sayılı ve 11.03.2019 Tarihli Kararı;

davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötüniyetli kişilerin işlemlerine karşı korunamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hale getirmediği anlaşılmaktadır. O halde, davalı bankanın hesaptan çekilen tüm paradan sorumlu olduğunun, ilke olarak kabulü gerekir." şeklindedir.

Yargıtay kararında bankaların dolandırıcılık ve hırsızlık eylemlerine karşı mudilerin hesaplarını koruma yükümlülüğü altında olduklarını, yükümlülükleri kapsamında ilgili güvenlik önlemlerini geliştirmeleri ve bu önlemleri kullanmayı müşterilere zorunlu hale getirmeleri gerektiği aksi takdirde sorumluluklarının doğacağı açıkça belirtilmiştir.

Yargıtay 11. Hukuk Dairesi’nin 2009/12698 E., 2011/4902 K. Sayılı ve 25.04.2011 Tarihli Kararı;

“…Somut olayda mahkemece, davacının kendisine sunulan güvenlik opsiyonlarını kullanmaması ve bilgilerini gerektiği gibi korumaması nedeniyle tam kusurlu olduğu yönündeki yazılı gerekçeyle dava reddedilmiştir. Oysa davacıya ait para, davalı bankaya karşı gerçekleştirilen sahtecilik eylemi ile hesaplardan çekilerek başka hesaplara havale edilmiş olup, bu durum davalı bankayı aldığı mevduatı iade etme yükümlülüğünden kurtaramayacağı gibi, ispat yükü kendisinde olan davalı banka davacıya vermiş olduğu şifre ve parolanın davacının kusuru ile ele geçirildiğini kanıtlayamamıştır.” şeklindedir. Yargıtay kararına göre bankaya karşı gerçekleştirilen sahtecilik eyleminde banka, mudilerin kusurları ispatlamadıkça mudilerin zararından kendisi sorumlu olacaktır.

Yargıtay 11. Hukuk Dairesnin 2017/2386 E., 2017/4206 K. Sayılı ve 11.09.2017 Tarihli Kararı;

“Bankalar kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür (4491 Sayılı Kanun ile değişik 4389 Sayılı Bankalar Kanunu 10/4 ve 5411 Sayılı Bankacılık Kanunu’nun 61. maddesi). “Mevduat”; ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. 818 Sayılı BK’nın 306 ve 307. maddeleri, 6098 Sayılı TBK’nın 386 ve 387. maddeleri uyarınca ödünç alan, akdin sonunda ödünç verilen parayı, eğer kararlaştırılmışsa faiziyle birlikte iadeye mecburdur. 818 Sayılı BK’nın 472/1. maddesi, 6098 Sayılı TBK’nın 570/1. maddesi uyarınca da “usulsüz tevdi” halinde paranın nef’i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz işlemlerin gerçekleşmesinde, ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.

Somut olayda mahkemece, davaya konu havale işleminin, davacının internette bankacılık işlemlerini gerçekleştirmekte kullandığı şifre ile yapıldığı, bu şekilde gerçekleştirilen havalelerde bankanın ayrıca davacıdan teyit almasının gerekmediği, davalı bankanın bir kusurunun bulunmadığı gerekçesiyle davalı banka yönünden davanın reddine karar verilmiş ise de, davacıya ait mevduat, davalı bankaya karşı gerçekleştirilen sahtecilik işlemi ile hesaplardan çekilerek başka hesaplara havale edilmiş olup, bu durum davalı bankayı aldığı mevduatı iade etme yükümlülüğünden kurtarmayacağı gibi, ispat yükü kendisinde olan davalı banka, davacıya vermiş olduğu şifre ve parolaların davacının kusuru ile üçüncü kişilerce ele geçirildiğini de kanıtlayamamıştır.

Bu itibarla, somut olayda davacıya atfedilecek herhangi bir kusurun ispat edilememesi sebebiyle tüm kusurun davalı bankada olduğunun kabulüyle sonucuna göre bir karar verilmesi gerekirken, yazılı şekilde davalı banka yönünden davanın reddine karar verilmesi doğru olmamış, hükmün bu sebeple davacı yararına BOZULMASI gerekmiştir.” şeklindedir.

Son dönemde gündemde olan IP adresi değiştirilerek internet bankacılığı ile İslam TOPAL’ın hesaplarının boşaltılması hususunu değerlendirmek gerekirse; Bankalar güven kurumu olarak faaliyet göstermektedirler. Bu sebeple her şeyden önce internet bankacılığı işlemleri müşterilere sunulurken, buradaki işlemlerin güvenilir bir şekilde yapılabilmesi için tüm altyapının güvenliğinin sağlanması gerekir. Bankalar bu amaca yönelik olarak güvenlik sistemi kurmalı ve gerektiğinde daha üst versiyonlarını geliştirerek mudilere sunmalıdır. Bir güven kurumu olan bankaların da aynı zamanda bir tüzel kişi tacir olarak basiretli bir şekilde hareket etmesi, gelişen teknolojiye uygun olarak ortaya çıkan dolandırıcılık ve hırsızlık yöntemlerinden mudilerin etkilenmemesi için gerekli her türlü önlemi almaları gerekmektedir. Aksi halde bankanın hukuki sorumluluğu doğacağı gibi öte yandan kusur oranına göre TCK m. 136 kapsamında da sorumlulukları doğacaktır.

----------------

[1] Yılmaz, Süleyman, Hukukî Açıdan Internet Bankacılığı, Yayınlanmamış Doktora Tezi, Ankara 2007, S.152.

[2] Canbek, Gürol/Sağıroğlu, Şeref, Casusu Yazılımlar ve Korunma Yöntemleri, Ankara 2006, S.172.

[3] Battal, Ahmet, Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, Ankara 2001, S.1.vd.

[4] 6102 Sayılı Türk Ticaret Kanunu Madde 18/2: “Her tacirin, ticaretine ait bütün faaliyetlerinde basiretli bir iş adamı gibi hareket etmesi gerekir.” şeklindedir.

[5] Yılmaz, S. 126.